WhatsApp verliest rechtszaak tegen de Autoriteit Persoonsgegevens

Geen reacties
Tags: , , , , ,
Posted 25 Nov 2016 in nieuws

WhatsApp moet een vertegenwoordiger in Nederland aanwijzen om te voldoen aan de Wet bescherming persoonsgegevens (hierna: ”Wbp”). Dat heeft de bestuursrechter van de rechtbank Den Haag in een uitspraak van 22 november 2016. Doet WhatsApp  dat niet dan moet zij een dwangsom van 10.000 euro per dag betalen, die maximaal oploopt 1 miljoen euro.

Wanneer is de Wbp van toepassing?

De (hierna: “Wbp”) is van toepassing op de verwerking van persoonsgegevens in het kader van activiteiten van een vestiging van een verantwoordelijke in Nederland. Het gaat er om dat er door één of meer vestigingen van een verantwoordelijke een economische activiteit in Nederland wordt uitgeoefend in het kader waarvan persoonsgegevens worden verwerkt.

De Wbp is echter ook van toepassing als een organisatie gegevens verwerkt met behulp van middelen die zich in Nederland bevinden, denk bijvoorbeeld aan een server die in Nederland staat of het inschakelen van een Nederlandse bewerker, terwijl die organisatie niet in Nederland én ook niet in een ander land van de Europese Unie gevestigd is.

In dat geval mag een organisatie deze persoonsgegevens alleen verwerken als in Nederland een persoon of instantie aanwijst die namens de organisatie handelt. De Wbp bepaalt dan dat voor de toepassing van de Wbp en de daarop berustende bepalingen, de vertegenwoordiger aangemerkt als de verantwoordelijke.

Het voorgaande geldt niet indien de middelen slechts voor doorvoer worden gebruikt, zoals in het geval van telecommunicatienetwerken (kabels) of postdiensten die er slechts voor zorgen dat communicatie via de Europese Unie andere landen kan bereiken.

De uitspraak

Al in 2014 heeft de AP WhatsApp op de vingers getikt omdat zij geen vertegenwoordiger in Nederland had aangewezen, waarna WhatsApp naar de bestuursrechter stapte om het sanctiebesluit ongedaan te maken.

In de uitspraak van dinsdag 22 november 2016 oordeelt de bestuursrechter echter dat WhatsApp de gegevens van haar Nederlandse gebruikers verwerkt via de app die zich bevindt op Nederlandse smartphones. Om deze reden is de bestuursrechter van mening dat WhatsApp bij het verwerken van de persoonsgegevens van haar gebruikers gebruikmaakt van middelen in Nederland.

In dat verband oordeelt de rechter dat de app voor meer dan alleen doorvoer wordt gebruikt, aangezien WhatsApp bij het verkrijgen van toegang tot het telefoonboek van de gebruiker de telefoonnummers op haar eigen server vergelijkt met de user tabel waarop de nummers van alle gebruikers staan opgeslagen. Gezien het voorgaande moet WhatsApp op grond van de Wbp een vertegenwoordiger in Nederland aanwijzen.

Anticiperen op de Privacyverordening?

WhatsApp voerde nog aan dat van haar ten onrechte wordt verlangd dat zij een vertegenwoordiger in Nederland aanwijst, omdat in de Privacyverordening, die vanaf 25 mei 2018 van toepassing is, is bepaald dat een verantwoordelijke zonder vestiging in de Europese Unie slechts één vertegenwoordiger binnen de Europese Unie hoeft aan te wijzen.

De bestuursrechter gaat hier – helaas voor WhatsApp – niet in mee omdat niet is gebleken dat WhatsApp al een vertegenwoordiger in een ander EU land heeft aangewezen.

De rechter overweegt daarom dat er geen concreet zicht op legalisatie van de bestaande situatie bestaat. WhatsApp zal dus alsnog moeten voldoen aan het sanctiebesluit van de Autoriteit Persoonsgegevens.

Status van vertegenwoordiger onduidelijk?

Al in 2010 merkten de Europese privacytoezichthouders, verenigd in de Artikel 29-werkgroep, dat er in verschillende landen praktische vragen bestaan ten aanzien van het treffen van handhavingsmaatregelen tegen een vertegenwoordiger.

“Dit komt bijvoorbeeld voor als de enige vertegenwoordiger van de verantwoordelijke in de EU een advocatenkantoor is. In de nationale uitvoeringsmaatregelen wordt geen eensluidend antwoord gegeven op de vraag of de vertegenwoordiger namens de voor de verwerking verantwoordelijke aansprakelijk kan worden gesteld en of aan de vertegenwoordiger op basis van het burgerlijk recht of het strafrecht sancties kunnen worden opgelegd.

“De aard van de verhouding tussen de vertegenwoordiger en de voor de verwerking verantwoordelijke is hierbij doorslaggevend. In sommige lidstaten neemt de vertegenwoordiger de plaats in van de voor de verwerking verantwoordelijke, ook wat betreft handhaving en sancties, terwijl hij in andere lidstaten alleen een eenvoudige volmacht heeft. In het nationaal recht van sommige lidstaten is uitdrukkelijk bepaald dat er boetes kunnen worden opgelegd aan de vertegenwoordigers (bijvoorbeeld in België, Nederland en Griekenland), terwijl deze mogelijkheid in andere lidstaten niet bestaat (bijvoorbeeld in Frankrijk).”

Duidelijkheid op komst?

Gezien het voorgaande zijn de Europese privacytoezichthouders van mening dat op dit punt harmonisatie op Europees niveau noodzakelijk is om de vertegenwoordiger een doeltreffender rol te geven. “In het bijzonder moeten betrokkenen hun rechten kunnen uitoefenen tegenover de vertegenwoordiger, onverminderd rechtsvorderingen die tegen de voor de verwerking verantwoordelijke zelf kunnen worden ingesteld.”

De Privacyverordening lijkt de onduidelijkheid inderdaad weg te nemen. De verordening bepaalt namelijk:

“In geval van niet-naleving door de verwerkingsverantwoordelijke of de verwerker dient de aangewezen vertegenwoordiger aan handhavingsprocedures te worden onderworpen.” Maar: “Het feit dat de verwerkingsverantwoordelijke of de verwerker een vertegenwoordiger aanwijzen, doet niet af aan de mogelijkheid om tegen de verwerkingsverantwoordelijke of de verwerker zelf vorderingen in te stellen.” Het lijkt er dus op dat op grond van de Privacyverordening zowel de vertegenwoordiger als de verantwoordelijke (of bewerker) aangesproken kunnen worden in geval van overtreding van de privacywetgeving.

*) Bron: rechtspraak.nl

**) Dit artikel is tevens gepubliceerd op de website van SOLV Advocaten



Lees het volledige bericht op Emerce »


Add Your Comment