Inhoud Recht en Informatica HC6:    Privacybescherming Inleiding/historie Hoofdlijnen Wet bescherming persoonsgegevens (Wbp) Speciale regelingen   Henry Prakken 2 juni 2014  Spam Cookies Internationale aspecten 1 2 Historie  Eind jaren ‘60 heerste een ‘1984’-gevoel   Gecomputeriseerde vastlegging van gegevens  Flop door burgerlijke ongehoorzaamheid   1990: Wet persoonsregistraties  2001: Wet bescherming persoonsgegevens Nieuwe technologieen: Internet, GPS, RFID, biometrie, drones, gezichtsherkenning, …  incl. opdracht tot nadere wetgeving 1995: Europese richtlijn privacybescherming Spam, cookies, … 2004 in Nederlandse wet geïmplementeerd  1983: Recht op privacy in Grondwet  2002: Richtlijn privacy en elektronische communicatie  14e volkstelling (1971)    Opkomst ICT: nieuwe mogelijkheden van opslag etc..   Nieuwe ontwikkelingen  9/11: alles werd anders …  Nieuwe bevoegdheden politie, justitie en AIVD  Nieuwe bewaar- en afgifteplichten  Doorgifte gegevens naar VS Er komt een nieuwe EU-verordening (direct werkend!) 3 4 Grondwet Art. 10 Wbp: wat wordt beschermd?   Ieder heeft, behoudens bij of krachtens wet te stellen beperkingen, recht op eerbiediging van zijn persoonlijke levenssfeer     Art 8 EVRM:  Verwerking van persoonsgegevens Ruime definitie persoonsgegeven: beperkingen mogen alleen als noodzakelijk in een democratische samenleving in het belang van de nationale veiligheid, openbare veiligheid of het nationale welzijn van het land, het voorkomen van wanordelijkheden of strafbare feiten, de bescherming van de gezondheid of de goede zeden of voor de bescherming van rechten en vrijheden van anderen 5  Betreft een natuurlijk persoon; die voor bezitter van gegeven zonder onevenredige inspanning identificeerbaar is. Ruime definitie verwerking:  Verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken d.m.v. verzending, verspreiding of andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, afschermen, uitwissen of vernietigen 6 1 Hoe krijgt privacybescherming vorm in de Wbp? Enkele actoren  Betrokkene: op wie gegevens  betrekking hebben    Verantwoordelijke: wie doel en wijze  verwerking vaststelt CBP: het college bescherming persoonsgegevens Informatieplichten verantwoordelijke aan betrokkene Beveiligings- en geheimhoudingsplichten verantwoordelijke Meldingsplicht persoonsbestanden aan CBP      maar veel uitzonderingen Stimuleren zelfregulering via gedragscodes Rechten van betrokkene op inzage, correctie, verzet Verzet: belangenafweging, behalve bij direct marketing Normen voor rechtmatigheid van verzamelen en verwerken persoonsgegevens 7 8 Toepassingsbereik Wbp  Niet van toepassing op o.a.:     Persoonlijke of huishoudelijke activiteiten Inlichtingen- en veiligheidsdiensten Uitvoering politietaak   Informatieplichten   Speciale wetgeving  Beperkt toepasbaar op:  Verwerking voor journalistieke, artistieke of literaire doeleinden  Doel verwerking en identiteit verantwoordelijke Als verkregen van betrokkene: bij verzamelen Tenzij al op de hoogte Anders: bij vastlegging of (als daarvoor bedoeld) eerste verstrekking aan derden  tenzij al op de hoogte of onevenredige inspanning i.v.m. vrijheid van meningsuiting 9 Rechtmatigheid verzamelen: doelbeginsel  10 Facebook’s privacy policy Art 7 Wbp: Verzamelen persoonsgegevens mag alleen voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden  Niet welbepaald: “voor marketingdoeleinden” 11 We gebruiken de gegevens die we over jou ontvangen voor de services en functies die we verzorgen voor jou en andere gebruikers zoals je vrienden, de adverteerders die advertenties op de site kopen en de ontwikkelaars die de games, toepassingen en websites ontwikkelen die je gebruikt. We geven onze advertentiepartners of klanten pas gegevens nadat we je naam en andere elementen die je persoonlijk zouden kunnen identificeren hebben verwijderd, of wanneer we de gegevens zodanig hebben gecombineerd met de gegevens van anderen dat ze jou niet meer persoonlijk identificeren. 12 2 Rechtmatigheid verwerken (1): gerechtvaardigde doeleinden  Art 8 Wbp: Verwerken van gegevens mag alleen:   na ondubbelzinnige toestemming betrokkene (vrij, voor specifieke verwerkingen, op informatie berustend); of als noodzakelijk voor o.a.:    vervulling wettelijke plicht uitvoeren overeenkomst met betrokkene (sub f:) behartiging gerechtvaardigd belang van verantwoordelijke of ontvanger van gegevens, tenzij strijd met belang, rechten, vrijheden etc van betrokkene 13 Facebook en toestemming Voor inhoud waarop intellectuele-eigendomsrechten rusten, zoals foto’s en video (IE-inhoud), geef je ons nadrukkelijk de volgende toestemming, afhankelijk van je privacy- en app-instellingen: je verleent ons een niet-exclusieve, overdraagbare, royaltyvrije, wereldwijde licentie om alle IE-inhoud te gebruiken die je plaatst op Facebook of in verband met Facebook (IE-licentie). Deze IElicentie eindigt wanneer je jouw IE-inhoud of je account verwijdert, tenzij je jouw inhoud hebt gedeeld met anderen en zij de inhoud niet hebben verwijderd. Je geeft ons toestemming je naam, profielfoto, inhoud en informatie (zoals een merk dat je leuk vindt) te gebruiken voor commerciële, gesponsorde of gerelateerde inhoud die door ons wordt aangeboden of verbeterd. Dit betekent bijvoorbeeld dat je een bedrijf of een andere entiteit toestaat ons te betalen om je naam en/of profielfoto met je inhoud of informatie te tonen, zonder dat je daarvoor compensatie krijgt. Als je een specifieke doelgroep hebt geselecteerd voor je inhoud of informatie, respecteren we bij het gebruik je keuze. Door op Registreren te klikken, ga je akkoord met onze voorwaarden en geef je aan dat je ons beleid inzake gegevensgebruik, inclusief ons cookiegebruik hebt gelezen en begrepen. 14 Rechtmatigheid verwerken (2): afwijken van doel  Art 9 Wbp: verdere verwerking persoonsgegevens moet verenigbaar zijn met doeleinden waarvoor gegevens verkregen zijn    Bijv. reclame voor product verwant aan doel Verenigbaarheid bepaald door wegen volgende criteria:       Rechtmatigheid verwerken (3): Proportionaliteit  Verwantschap met doel Aard gegevens Gevolgen voor betrokkene Wijze van verkrijging gegevens Mate van passende waarborgen … Art 10 Wbp: persoonsgegevens niet langer bewaren dan nodig voor doel verwerking Art 11 Wbp: Verwerking persoonsgegevens moet, gezien de doeleinden waarvoor gegevens verkregen zijn, toereikend, ter zake dienend en niet bovenmatig zijn. 15 16 Rechtmatigheid verwerken (4): Bijzondere gegevens Handhaving   Verwerking van bijzondere gegevens (ras, godsdienst of levensovertuiging, politieke gezindheid, gezondheid, sexueel leven, lidmaatschap vakbond, strafrechtelijk) is verboden tenzij wettelijke plicht of zwaarwegend algemeen belang    Rechten op inzage, correctie en verzet Toezicht + Dwangsommen door CBP Boete door CBP op niet melden Soms strafbaar   Beroep op rechter:   17 Opzettelijke overtreding meldingsplicht is misdrijf! Tegen bedrijven: civiele rechter Tegen overheid: bestuursrechter 18 3 Spam: speciale regeling in Tw  Hoofdregel: Spam voor commerciële, ideële of charitatieve doeleinden mag alleen na toestemming ontvanger   Handhaving spamregeling Tw  Bestuursrechtelijk door OPTA:   Maar spam over soortgelijke producten en diensten aan bestaande klant mag met opt-out mogelijkheid Melding identiteit verzender en wijze van afmelding verplicht    bestuursrechtelijke boetes tot EUR 450.000 Dwangsommen … Algemeen burgerlijk recht: onrechtmatige daad Versturen spam is niet strafbaar!  Maar niet melden identiteit en afmeldingsmogelijkheid wel. 19 20 Cookies Internationale aspecten  Kunnen inzicht geven in internetgedrag en – voorkeuren PC-bezitter Moeten voldoen aan rechtmatigheidsgronden Wbp  Nieuwe wet (in Tw):    Bijv. gebruik van door cookie verzamelde gegevens Informatie vooraf aan betrokkene vereist      O.a. doeleinden Bijv. In privacy- of cookiereglement Betrokkene moet ondubbelzinnig toestemming na duidelijke informatie geven voor de cookies   Art 4 Wbp: Wet is ook van toepassing op buitenlandse verantwoordelijke als die gebruikt maakt van middelen binnen Nederland. Verstrekking gegevens aan landen buiten EG mag zonder vergunning alleen bij passend beschermingsniveau  Behalve bij functionele cookies (nodig voor communicatie of strikt noodzakelijk voor de gevraagde dienst). Minister wil ook “first party analytic cookies” uitzonderen. VS biedt geen passend beschermingsniveau!   April 2010: akkoord EU-VS over doorgifte bankgegevens April 2012: akkoord EU-VS over doorgifte vluchtgegevens 21 22 Privéwebsites: de Lindqvist-zaak Zoekmachines    Zoekmachines zitten op een goudmijn Opslaan van gegevens EU-burgers door zoekmachine valt in principe onder WbP Zijn zoekgegevens persoonsgegevens?   Mogelijk als gecombineerd opgeslagen met bijv. IP-adres Zo ja, dan gelden alle eisen van de Wbp!   Zweedse vrijwilligster van kerk vermeldt zonder toestemming te vragen namen van medevrijwilligers, hun werkzaamheden en liefhebberijen op haar homepage Europese HofvJ 2003:   Verwerking van persoonsgegevens Niet beperkt tot huiselijke sfeer, dus privacywet van toepassing   23 Dus o.a. meldingsplicht! Geen uitvoer van gegevens naar derde landen 24 4