Er zijn veranderingen op til inzake e-Privacy: op 10 januari 2017 publiceerde de Europese Commissie na een uitgebreide voorstudie haar voorstel voor een herziening van de e-Privacy richtlijn uit 2002 (richtlijn 2002/58/EG).
Opvallend is dat de commissie in haar voorstel koos voor een verordening in plaats van voor een richtlijn. Dit betekent dat als de voorgestelde regels aanvaard worden door de Raad en het Europees Parlement, zij eenvormig van toepassing zullen zijn in alle lidstaten, al wordt de lidstaten in het voorstel op bepaalde punten nog vrijheid gelaten om aanvullend wetgeving uit te vaardigen.
In een snel ontwikkelende realiteit mag het niet verbazen dat vijftien jaar oude rechtsregels op bepaalde punten aan vervanging toe zijn. time.lex zet de belangrijkste veranderingen die het voorstel aanbrengt voor u op een rijtje.
De huidige e-privacy richtlijn, die onder andere regels bevat over vertrouwelijkheid van communicatie en over het gebruik van cookies, is slechts van toepassing op traditionele telecomproviders zoals internetaanbieders. Online diensten voor elektronische communicatie worden door de richtlijn niet gevat, wat betekent dat “over the top” (OTT) diensten zoals Skype, Facebook Messenger, Whatsapp, Gmail en dergelijke momenteel buiten het toepassingsgebied blijven.
De voorgestelde verordening zorgt ervoor dat ook dergelijke diensten garanties moeten bieden inzake de vertrouwelijkheid van elektronische communicatie. Bovendien heeft de verordening ook betrekking op communicatie tussen apparaten. Dat betekent dat ook het zogenaamde internet of things (IOT) binnen het toepassingsgebied van de verordening valt.
De e-Privacy richtlijn had enkel betrekking op de inhoud van elektronische communicatie. De verordening daarentegen beschermt bovendien ook de meta-data die aan dergelijke communicatie is gehecht. Meta-data zijn de gegevens die aan een bepaalde inhoudelijke communicatie kleven, zoals de identiteit van de afzender en ontvanger, de datum, het exacte tijdstip en de locatie.
Hoewel de inhoud van een communicatie misschien instinctief aanvoelt als meer gevoelige informatie, kunnen meta-data gebruikt worden om heel precieze conclusies te trekken over het privéleven van de betrokkene. Meta-data verdienen dus dezelfde bescherming als de inhoud van de communicatie. De verordening voorziet een dergelijke bescherming. Vertrouwelijkheid is de regel.
Bovendien is verwerking van de elektronische communicatiegegevens slechts toegestaan indien het technisch noodzakelijk is of mits er toestemming is van de betrokkene. Buiten die gevallen om moet de verlener van elektronische communicatiediensten de data verwijderen of anonimiseren.
Niettemin krijgen dienstverleners voldoende economische kansen onder de nieuwe verordening. De betrokkene kan de toestemming tot verwerking immers verlenen voor zowel de inhoud van zijn of haar elektronische communicatie als voor de meta-data die eraan kleven, tenminste in die gevallen waar de verwerking van anonieme data niet tot hetzelfde resultaat zou leiden. Op die manier krijgen dienstverleners de mogelijkheid om innovatieve diensten te ontwikkelen.
Het verbod om spam te sturen (ongewenste elektronische communicatie via e-mail, SMS of geautomatiseerde telefoonoproep) wordt uitgebreid onder de verordening. In principe is toestemming van de betrokkene vereist voor het versturen van commerciële communicatie, tenzij er al sprake is van een bestaande relatie met een klant. In dat geval moet een opt-out wel steeds mogelijk zijn.
Voor telemarketing is onder de verordening ook in beginsel toestemming vereist, al wordt lidstaten de keuze gelaten om een alternatieve werkwijze te volgen, waarbij telemarketing in beginsel is toegestaan, tenzij een natuurlijke persoon zich heeft laten registreren op een “bel-me-niet-lijst”. In elk geval mogen callcenters onder de nieuwe regels hun nummer niet langer verbergen of moeten minstens een bijzondere prefix gebruiken, zodat consumenten telemarketing eenvoudiger kunnen identificeren.
De nieuwe verordening beoogt daarnaast om de bestaande regels omtrent cookies te vereenvoudigen. Onder de huidige regelgeving is geïnformeerde toestemming vereist, wat in de praktijk vaak opgelost wordt door cookie banners: een melding op de website die de gebruiker informeert en/of om toestemming vraagt.
Onder de verordening zal toestemming voortaan gegeven kunnen worden door middel van de browserinstellingen. Daarbij is wel vereist dat consumenten kunnen kiezen tussen strengere en minder strenge privacy instellingen. Die keuze is dan vervolgens bindend voor de websites die de consument bezoekt.
Bovendien is toestemming niet langer vereist voor cookies die louter bedoeld zijn om de internet-ervaring van consumenten te verbeteren. Voor tracking-cookies daarentegen is wel toestemming vereist. Wel moeten aanbieders van software die elektronische communicatie mogelijk maakt eindgebruikers in elk geval in staat stellen om, op het moment van installatie, cookies van derde partijen te weigeren.
De handhaving van de nieuwe regels wordt door de verordening overgelaten aan de nationale autoriteiten voor gegevensbescherming. In België is dat de Privacycommissie. Deze autoriteiten krijgen, net zoals onder de GDPR, meer uitgebreide handhavingsbevoegdheden, met name de mogelijkheid om fikse boetes op te leggen. Dat zou er toe moeten leiden dat de regels nauwgezet gevolgd zullen worden.
Artikel 29 van de voorgestelde verordening bepaalt dat de verordening van kracht zal worden tegelijk met de GDPR, op 25 mei 2018. Dat is niet onlogisch, gezien de verwantschap tussen beide verordeningen. De timing van de Europese Commissie is nochtans ambitieus, aangezien het voorstel de normale wetgevende procedure nog moet doorlopen. Wij volgen de ontwikkelingen alvast met argusogen.
Voor meer informatie over deze juridische ontwikkeling, contacteer een advocaat bij time.lex.