IT 73

Privacywetgeving mogelijk niet van toepassing bij slaafs kopiëren persoonsgegevens

Diverse exploitanten van zoekmachines hebben onlangs van de samenwerkende privacytoezichthouders het verzoek gekregen in verband met privacywetgeving hun dienstverlening aan te passen. Interessant is dat uit deze verzoeken volgt dat er kennelijk situaties denkbaar zijn waarop de (strenge) privacywetgeving niet van toepassing is

Met dank aan Mark Jansen, Dirkzwager advocaten.

Alle toezichthouders op de privacywetgeving in Europa zijn verenigd in de zogenaamde “Artikel 29 Werkgroep” (zie over die werkgroep ons eerdere blogbericht). Deze werkgroep heeft onlangs brieven gestuurd aan Yahoo, Microsoft en Google. In deze brieven geeft de werkgroep aan wat er volgens haar nog (meer) moet gebeuren om de dienstverlening van deze bedrijven in overeenstemming met de privacywetgeving te krijgen.

In dit blogbericht richt ik me op de brief aan Google. Uit deze brief blijkt dat, kort gezegd, van Google wordt verlangd dat zij:

  • de zoekgegevens tot maximaal 6 maanden bewaart (nu: 9 maanden);
  • die zoekgegevens volledig onomkeerbaar anonimiseert
    • meer specifiek door het gehele IP-adres te verwijderen (en niet alleen het laatste deel);
    • daar waar (geanonimseerde) zoekresultaten op indirecte wijze toch persoonsgegevens prijsgeven, deze gegevens beperken zodat indirecte identificatie niet mogelijk is;
  • beter en sneller voldoet aan verzoeken om gegevens uit de zoekresultaten te verwijderen.

Eén punt in de brief valt specifiek op. Google heeft betoogd dat zij als zoekmachine niet kan worden aangemerkt als verantwoordelijke voor de persoonsgegevens die op de door haar geindexeerde websites staan, omdat zij slechts als passief doorgeefluik van die gegevens werkt (mere conduit). De Artikel 29 Werkgroep is het hier mee eens: “the Working Party agrees with that rationale”.

Dit is opvallend en wel om de volgende reden. Google werkt met een cache-kopie van alle websites die zij heeft geïndexeerd. Google heeft met andere woorden een kopie opgeslagen van de websites en de daarop vermelde persoonsgegevens. Kopiëren van persoonsgegevens is onmiskenbaar een vorm van “verwerken”. Het systeem van de privacyrichtlijn is vervolgens vrij overzichtelijk: wanneer persoonsgegevens van een EU-burger worden “verwerkt”, is er altijd een bedrijf of instelling die als “verantwoordelijke” voor die verwerking aan te wijzen is. De privacyrichtlijn maakt geen uitzondering voor passieve verwerking. Je zou dus verwachten dat Google in deze situatie als “verantwoordelijke” zou zijn aangemerkt. Het opvallende is echter dat de Werkgroep concludeert dat Google wel verwerkt, maar niet als verantwoordelijke hiervoor kan worden aangemerkt.

Dit lijkt een behoorlijke beperking op het systeem van privacybescherming op te leveren. Wie (persoons)gegevens slechts kopieert en vervolgens onbewerkt doorgeeft aan anderen, zou niet als “verantwoordelijke” aan te merken zijn. Dat zou voor veel exploitanten van websites en andere ondernemers betekenen dat de Wet bescherming persoonsgegevens niet of verminderd op hen van toepassing zijn.

Toch kan deze conclusie niet te snel worden getrokken. De Werkgroep vervolgt namelijk met de opmerking: “However, as soon as data on websites are removed or changed, you do become the controller of the (outdated) personal data contained in the index or Google cache.”. Dit is een belangrijke nuance. Praktisch gesproken kan een exploitant van een zoekmachine immers niet garanderen dat de door haar gekopieerde pagina’s nog ongewijzigd op het web staan, hetgeen haar al snel weer tot “verantwoordelijke” maakt.

Conclusie is dat de (verstrekkende en strenge) privacywetgeving nagenoeg altijd van toepassing is, maar dat een (buitenwettelijke) uitzondering kennelijk wel verdedigbaar is. Verder valt op dat het de toezichthouders op de privacy kennelijk ernst is, nu ze deze grote ondernemingen zo actief sommeert hun beleid te herzien.

Dit bericht is oorspronkelijk verschenen op: http://dirkzwagerieit.nl/2009/11/12/privacywetgeving-mogelijk-niet-van-toepassing-bij-slaafs-kopieren-persoonsgegevens/

IT 77

HvJ EG: Geen gebruiksvergoeding bij herroeping overeenkomst door consument

Het Hof van Justitie voor de Europese Gemeenschappen (HvJ EG) heeft zich in een arrest van 3 september 2009 uitgelaten over de – belangrijke – vraag of een internetverkoper compensatie mag eisen voor het gebruik door de koper van een via internet gekocht goed in de herroepingsperiode, indien het goed vervolgens binnen die periode defect raakt en de koper zich daarna tijdig op het herroepingsrecht beroept (HvJEG, 03-09-2009, zaak C-489/07).

Met dank aan Joost Becker , Dirkzwager advocaten.

In deze Duitse zaak gaat het om de aanschaf via internet van een laptop ter waarde van € 278,–. De laptop is op 2 december 2005 gekocht. In augustus 2006 treedt er een defect op, welk defect op 4 augustus 2006 door de koper bij de internetverkoper is gemeld. De internetverkoper weigert vervolgens het defect gratis te repareren en het notebook terug te nemen tegen terugbetaling van de koopprijs aan de koper, die zich vervolgens tijdig op het herroepingsrecht beroept. (Hierbij teken ik aan dat de herroepingsperiode in Duitsland volgens deze uitspraak langer is; te weten 6 maanden in plaats van 3. Indien de consument-koper niet naar behoren is geïnformeerd over het herroepingsrecht, vervalt het niet.)

Volgens de internetverkoper moet de koper sowieso een gebruiksvergoeding betalen voor de 8 maanden dat van de laptop gebruik is gemaakt. De internetverkoper fixeert dit op een bedrag van € 118,80 per kwartaal, in totaal € 316,80.

Hierop stelt de Duitse rechter een prejudiciële vraag aan het HvJ EG; mag de verkoper bij tijdige herroeping door de consument een gebruiksvergoeding eisen voor een geleverd consumtiegoed? Het antwoord is in beginsel nee.

Het HvJ EG stelt voorop dat aan de consument voor uitoefening van het herroepingsrecht ten hoogste de rechtstreekse kosten voor het terugzenden van goederen kunnen worden aangerekend. Anders wordt uitoefening van het herroepingsrecht tezeer geblokkeerd. De consument moet volgens het HvJ EG ook een passende bedenktijd krijgen om het goed (in alle vrijheid en zonder enige druk) te keuren en uit te proberen. Het betalen van een compenserende vergoeding voor gebruik van het goed is hiermee niet verenigbaar.

Een en ander staat er volgens het HvJ EG echter niet aan in de weg dat een consument-koper verplicht kan zijn een billijke compenserende vergoedig te betalen, indien de koper het goed dat via internet is verworven heeft gebruikt op een wijze die niet verenigbaar is met de beginselen van burgerlijk recht, zoals goede trouw of ongerechtvaardigde verrijking. Met dat laatste lijkt het HvJ EG op situaties van misbruik of behaald voordeel te wijzen. Helaas laat het HvJ EG na deze omstandigheden verder uit te werken. Wél maakt het HvJ EG in dit kader duidelijk dat de hoogte van een compenserende vergoeding geen afbreuk mag doen aan de doeltreffendheid en effectiviteit van het herroepingsrecht, bijvoorbeeld indien de compensatie qua hoogte in geen verhouding staat tot de koopprijs of de consument-koper zou moeten bewijzen dat hij het goed niet heeft gebruikt op een wijze die verder gaat dan nodig voor het uitoefenen van het herroepingsrecht. Ook de vraag hoelang het heeft geduurd voordat de consument het herroepingsrecht heeft uitgeoefend, kan hierbij een rol spelen.

Dit bericht is oorspronkelijk verschenen op: http://dirkzwagerieit.nl/2009/09/14/hvj-eg-internetverkoper-mag-in-beginsel-geen-compenstatie-eisen-voor-gebruik-goed-bij-herroeping-door-koper/