Intellectueel eigendomsrecht, mediarecht, GDPR en ICT
Liggen belangengroeperingen in de toekomst op de loer bij GDPR-overtredingen?
Het zou wel eens goed kunnen dat de handhaving van de GDPR er binnenkort helemaal anders uitziet. Tot nu toe waren belangengroeperingen (zoals Testaankoop) enkel gerechtigd om in naam van een particulier een gerechtelijke procedure te voeren op basis van een overtreding van de GDPR. Met een prejudiciële vraag die het Duitse Bundesgerichtshof, de hoogste rechterlijke instantie in Duitsland, eind mei heeft gesteld aan het Hof van Justitie van de EU, zou dit wel eens voorgoed kunnen veranderen. Overtreders zijn bij deze gewaarschuwd.Waarover handelt de prejudiciële vraag van het Bundesgerichtshof?
Een Duitse consumentenrechtengroepering is verwikkeld in een gerechtelijke procedure tegen Facebook over de toestemming die gebruikers moeten geven wanneer ze een derde partij toegang geven tot hun profielgegevens en tijdlijn. In het bijzonder gaat het hier over de aanbieders van online videogames, zoals Farmville of Candy Crush, die vanop het Facebook-platform zelf gespeeld kunnen worden. Facebookgebruikers kunnen met een simpele klik op een knop toestemming geven aan deze derde partijen om toegang te krijgen tot hun gebruikersgegevens en in hun naam statusupdates te plaatsen op hun profiel.
‘Een druk op een knop is niet voldoende voor een rechtmatige toestemming’, vindt de Duitse tegenhanger van Test-Aankoop, en ze stellen dan ook een gerechtelijke procedure in bij het Berlijnse Landgericht. Dit deden ze omdat de Duitse wetgeving haar deze bevoegdheid geeft op basis van de wet oneerlijke marktpraktijken. Facebook zelf argumenteert dat de Duitse consumentenrechtengroepering niet bevoegd is om een gerechtelijke procedure op te starten wanneer zij dit niet namens een particulier doet. In artikel 80 van de GDPR staan namelijk slechts twee mogelijke rollen van een belangengroepering opgesomd: enerzijds mogen zij namens datasubjecten een gerechtelijke procedure instellen, anderzijds mogen zij op zelfstandige basis een klacht indienen bij de bevoegde toezichthoudende autoriteiten. Er wordt echter niets gezegd over de mogelijkheid voor dit soort groeperingen om zelfstandig een gerechtelijke procedure te voeren. De zaak is ondertussen bij het Bundesgerichtshof geraakt, dat op haar beurt een prejudiciële vraag heeft gesteld aan het Hof van Justitie.
Het verwachte antwoord van het Hof van Justitie
De kans is groot dat het Hof van Justitie in het voordeel van belangengroeperingen zal oordelen. Het kwam immers vorig jaar al tot een gelijkaardig oordeel in het ‘Fashion ID’-arrest. Ook hier was er onduidelijkheid over het feit of lidstaten bijkomende procesbevoegdheden konden toekennen aan belangengroeperingen, ook al vertegenwoordigden zij geen specifieke particulier. Het Hof antwoordde bevestigend op deze vraag, stellende dat de mogelijkheid voor belangengroeperingen om een gerechtelijke procedure op te starten, de doelstellingen van de Richtlijn helpt te verwezenlijken en dus geoorloofd is.
Dit arrest handelde echter nog over de voorganger van de GDPR, namelijk de Privacyrichtlijn. De conclusie van het Hof van Justitie kan daarom niet zomaar naar de nieuwe regelgeving doorgetrokken worden. De vorige Richtlijn gaf lidstaten immers uitdrukkelijk de kans om ‘passende maatregelen’ te implementeren om de Richtlijn effectief toe te passen, terwijl de GDPR een eenduidig regime over heel de EU wil installeren. De nood aan een duidelijk signaal is dus nog steeds aanwezig. Het antwoord van het Hof van Justitie wordt verwacht in de loop van volgend jaar.
Gevolgen voor bedrijven
Wanneer het Hof van Justitie belangengroeperingen expliciet de mogelijkheid biedt om gerechtelijke procedures op te starten, kunnen bedrijven zich hier maar beter op voorbereiden. Waar particulieren bij een relatief ‘onbelangrijke’ schending van hun rechten nog zullen afzien van een lange en kostelijke procedure, zijn de mogelijkheden van zulke groeperingen op vlak van financiële en menselijke middelen natuurlijk veel groter.
Naar alle waarschijnlijkheid zal er hierdoor een toename zijn in het aantal procedures die gevoerd worden op basis van GDPR-overtredingen. Bedrijven zullen er niet zomaar meer vanuit kunnen gaan dat het toch nooit verder zal gaan dan een initiële klacht van een zich van zijn privacy bewuste particulier. Zij doen er dus goed aan opnieuw hun websites, nieuwsbrieven en beveiligingsmechanismen na te kijken, als voorbereiding op de komst van een nieuwe, geduchte speler in het GDPR-landschap.