Op 10 januari 2017 heeft de Europese Commissie (hierna: de Commissie) een voorstel tot een verordening op het gebied van privacy en elektronische communicatie gepubliceerd, die de ePrivacyrichtlijn moet vervangen. Met get voorstel beoogt de Commissie de veiligheid van digitale communicatiediensten te vergroten door te voorzien in een hoog beschermingsniveau van de privacy van gebruikers van dergelijke diensten. Daarnaast heeft voorgestelde verordening ten doel om voor consistentie te zorgen met de Algemene verordening gegevensbescherming (hierna: AVG) die per 25 mei 2018 van toepassing is.
Opinie
De Europese privacytoezichthouders, verzameld in de zogeheten Artikel 29 Werkgroep, hebben zich inmiddels gebogen over het voorstel van de Commissie en daarover een opiniedocument van welgeteld 35 pagina’s gepubliceerd.
Uitbreiding
De toezichthouders beginnen positief en geven aan dat ze zich kunnen vinden in het voorstel van de Commissie. Dit geldt met name in de keuze van de Commissie om voor een verordening te kiezen in plaats van (weer) een richtlijn. Dit zorgt ervoor dat alle regels in de EU gelijk zijn en biedt duidelijkheid aan zowel organisaties als toezichthouders. Daarnaast wijzen de toezichthouders erop dat met een verordening meer coherentie kan worden gecreëerd ten opzichte van de AVG. De ePrivacyverordening dient als een ideaal instrument als aanvulling op de AVG, aldus de toezichthouders.
De toezichthouders benadrukken verder dat zij de uitbreiding van de werkingssfeer van de regels tot over de top aanbieders, zoals Skype, Facebook en Viber, verwelkomen. Dergelijke dienstverleners zijn functioneel immers vergelijkbaar met meer traditionele communicatiemiddelen en hebben daarom ook een potentieel vergelijkbare impact op de privacy.
Aandachtspunten
Maar de toezichthouders zijn niet alleen maar positief. De privacytoezichthouders uiten namelijk ook belangrijke zorgen over vier bepalingen in het voorstel die het niveau van bescherming van persoonsgegevens ondermijnen, zoals dat is geregeld in de AVG.
Wifi tracking
Ten aanzien van de bepalingen in de ePrivacyverordening over wifi-tracking, het volgen van mensen via hun mobiele telefoon, benadrukken de toezichthouders dat deze in lijn dienen te zijn met de AVG. Volgens de toezichthouders is wifi-tracking, afhankelijk van de omstandigheden en het doel van gegevensverzameling, onder de AVG alleen toegestaan indien daarvoor toestemming is verkregen of indien de verzamelde gegevens worden geanonimiseerd. Het laatste is echter alleen mogelijk indien aan vier voorwaarden wordt voldaan: i) het doel van gegevensverzameling moet beperkt zijn tot statistische tellingen; ii) het volgen moet beperkt zijn in zowel tijd als ruimte zodat alleen de strikt noodzakelijke gegevens worden verzameld om voorgaand doel te bereiken; iii) de gegevens dienen direct te worden gewist dan wel geanonimiseerd; en iv) er zijn effectieve opt-out mogelijkheden.
Analyse van de inhoud van metadata
Met betrekking tot de analyse van de inhoud van metadata (verkeers- en locatiegegevens), moet het uitgangspunt zijn dat het verboden is om dergelijke gegevens te verwerken zonder toestemming van eindgebruikers (zowel afzender als ontvanger). De toezichthouders wijzen er in dat verband op dat gebruikers ook expliciet om bepaalde diensten, zoals zoekfunctionaliteiten in eigen mailbox en diensten die tekst omzetten in gesproken taal, kunnen verzoeken, providers moeten dan in staat zijn om dergelijke diensten te kunnen leveren. Om deze reden dient er een uitzondering opgenomen te worden in de ePrivacyerordening voor het verwerken van inhoud en metadata voor dergelijk persoonlijk gebruik.
Tracking cookies en toestemming
De voorstellen van de Commissie brengen daarnaast ook belangrijke wijzigingen aan in het regime met betrekking tot cookies. Onder de bestaande regels op grond van de ePrivacyrichtlijn is voor het plaatsen en lezen van informatie op het eindapparaat van een eindgebruiker door middel van tracking cookies in beginsel de geïnformeerde toestemming nodig van de eindgebruiker. Nu is het nog zo dat de toegang tot een bepaalde dienst of website kan worden ontzegt indien de gebruiker of websitebezoeker geen toestemming geeft. Als het aan de toezichthouders ligt, moet de ePrivacyverordening dergelijke cookiemuren verbieden.
Privacy by default
Met betrekking tot de laatste zorg geven de toezichthouders nog mee dat apparaten en software privacy vriendelijke standaardinstellingen moeten aanbieden en gebruikers duidelijke mogelijkheden bieden om dergelijke standaardinstellingen te bevestigen of te veranderen tijdens een installatieproces. De instellingen moeten bovendien ook makkelijk toegankelijk zijn gedurende het gebruik. Deze zienswijze van de toezichthouders sluit mooi aan bij de AVG waarin het beginsel van privacy by design en privacy by default is verankerd.