NATIONAAL PRIVACYCONGRES 2012
Over het vergeetrecht en een rechtop gegevensoverdraagbaarheid
Gerrit-Jan Zwenne
right to dataprotection
right toinformation
right toaccess
right toobject
dataportabilityright
right to beforgotten
Vagelis PapakonstantinouVienna 9-10 May 2012
HET VERGEETRECHT
het recht om te worden vergeten en om gegevens te laten wissen
The Forgetting Pill Erases PainfulMemories. Forever
Whenever the brain wants to retain
something, it relies on just a handful of
chemicals. Even more startling, an
equally small family of compounds
could turn out to be a universal eraser
of history, a pill that we could take
whenever we wanted to forget
anything.
And researchers have found one of
these compounds.
In the very near future, the act of
remembering will become a choice.
The Internet has an almost unlimited search andmemory capacity. So even tiny scraps of personalinformation can have a huge impact, even yearsafter they were shared or made public. The rightto be forgotten will build on already existing rulesto better cope with privacy risks online. It is theindividual who should be in the best position toprotect the privacy of their data by choosingwhether or not to provide it. It is thereforeimportant to empower EU citizens, particularlyteenagers, to be in control of their own identityonline”
Vivian Reding 2012
“
”
…the web is littered with references to mycriminal conviction in Italy, but I respect theright of journalists and others to write about it,with no illusion that I should I have a ‘right’ todelete all references to it at some point in thefuture. But all of my empathy for wanting to letpeople edit-out some of the bad things of theirpast doesn't change my conviction that historyshould be remembered, not forgotten, even ifit's painful.
Peter Fleischer 2011
“
”
…anyone who advocates the establishment ofa full-blown right to be forgotten must clarifywhat this right means and how it can beeffected.
…considerable obstacles need to beovercome if people are really to be able tohave their digital footprints forgotten and toshun their data shadows
Bert-Jaap Koops 2011
“
”
[The RtbF is] one of the more interestingparts of the Regulation. Its implications forthe information society need thinking throughcarefully – as does the challenge of makingthis right work in practice. …
…an insufficiently qualified right to beforgotten could have serious implications forfreedom of expression – particularly the rightto publish information – and for themaintenance of the historical record.
ICO 2012
“
”
A right to be forgotten wrongly treatsfreedom of expression as an exception inrelation to the right to privacyJoris van Hoboken 2011
Ik schat in dat een dergelijke regelingweinig realistisch is
Corien Prins 2011
it represents the biggest threat to freespeech on the Internet in the comingdecadeJeffrey Rose 2012
“
”
[H]et recht om te worden vergeten [is] aanleidinggeweest voor een fundamentele en een zeerlangdurige gedachtenwisseling. In een algemeneinleiding werden […] de nodige vragen gesteld overhet realiteitsgehalte van hetgeen de verordeningbelooft. De bepaling is uiterst omvangrijk. Debedoeling is goed, en het recht op wissen enafschermen moeten beslist behouden blijven. Maar devraag is of de verantwoordelijke in het tijdperk van desociale media in staat zal zijn te achterhalen bij welkederde zich gegevens bevinden, welke inspanningenhij daartoe redelijkerwijs kan en moet leveren, en wat
er van de derde redelijkerwijs kan worden verwacht.
Kamerstukken II 2012/13, 32 761, nr. 44. bldz. 5
“
”
[D]e relatie met exceptie voor persoonlijk enhuishoudelijk gebruik, en de uitleg die daar door deCommissie aan is gegeven (verspreiding van dataaan een onbekend aantal derden valt daarbuiten)[moet] verder […] worden doordacht. De vraag is ofvan een individuele burger die gegevens op internetplaatst, zonder dat hij zich bewust is, of zichredelijkerwijs bewust hoeft te zijn van deconsequenties daarvan, kan worden gevergd dat hijallerlei verstrekkende maatregelen neemt.Kamerstukken II 2012/13, 32 761, nr. 44. bldz. 5
“
”
waarover gaat het eigenlijk?
• aanspraak van betrokkene dat zijngegevens worden gewist en niet verderverspreid
• als die gegevens niet langer nodig zijn inverband met de verwerkingsdoelen, of
• als toestemming is ingetrokken ofbewaartermijn verstreken en anderegrondslag ontbreekt
• als betrokkene heeft bezwaar gemaakt
• als verwerking op andere gronden nietvoldoet aan de verordening
art. 17 lid 1 Vo.verwijderrecht
kunnen gegevensverder wordenverspreid na te zijngewist?
voegt per saldoweinig toe aan watal is geregeld inWbp e.a.
kinderen…
“…met name waar het gaatom persoonsgegevens diedoor de betrokkene als kindbeschikbaar zijn gesteld”
… particularly relevant, when the data subjecthas given their consent as a child, when notbeing fully aware of the risks involved by theprocessing, and later wants to remove suchpersonal data especially on the Internet (53)
art. 17 lid 2 Vo.vergeetrecht
openbaargemaakte gegevens
• bij openbaarmaking van persoons-gegevens verplichting voorverantwoordelijke om redelijkemaatregelen te nemen
• om derde-verwerkers op de hoogte testellen dat de betrokkene ook henverzoekt de gegevens te verwijderen
t.a.v. onder zijnverantwoordelijkheidopenbaargemaaktegegevens
incl. koppelingdaarnaar, of kopiedaarvan
voor die openbaarmaking is de verantwoordelijkeook verantwoordelijk, als de gegevens met zijntoestemming openbaar zijn gemaakt…!
dus…
verantwoordelijke moet op verzoek
• gegevens onverwijld verwijderen
• derden informeren over verwijder-verzoek, als de gegevens openbaarzijn gemaakt
• en is verantwoordelijk voor openbaar-gemaakte gegevens, als deze met zijntoestemming zijn openbaargemaakt
inspanningsverplichting‘vergeet-mij-register’?
filters voor foto’s..? zwarte lijstenmet verboden persoonsgegevens?
uitzonderingen
gegevens zijn nodig
• voor vrijheid van meningsuiting
• om redenen van algemeen belangop het gebied van volksgezondheid
• voor historische, statistische ofwetenschappelijke doeleinden
• voor voldoening wettelijkebewaarplichten
• doelstelling van algemeen belang• eerbiediging recht op bescherming
persoonsgegevens, en• evenredig
op wie rust debewijslast?
en verder
• invulling gedelegeerd aan Commissie
• tweede boetecategorie
• nalevingskosten onbekend• max. €500.000, of• 1% omzet
(tussen)conclusies vergeetrecht
• voor zover het vergeetrechtiets nieuws, brengt zijn ernog veel vragen
• én grote fundamentele enpraktische bezwaren
gaat Commissie diebeantwoorden?toezichthouders? rechter..?
toevoegen: proportionaliteits-criteria,zoals de aard van gegevens, wijzevan verspreiding en kosten vantenuitvoerlegging enz…?
alternative: notice and take down
Article 17a Notice and take down
Where an information society serviceprovider processes the personal dataother than as the controller of such data,the information society service providershall provide the data subject with easilyaccessible means to request thepersonal data to be removed from theservice, [especially where the data relateto the period during which the datasubject was a child] VNO-NCW
october 2012
GEGEVENSOVERDRAAGBAARHEID
het recht om persoonsgegevens van de ene naar de andereverantwoordelijke over te zetten
We have to find appropriate answers on Web2.0 services and one answer might be dataportability
…
Article 18 of the Regulation takes up afundamental problem of informational self-determination.
Peter Schaar
“
”
…change of the provider is becoming increasinglyburdensome if it involves the transfer of largeamounts of personal data in online profiles andother databases. This bears the risk of controllersexploiting their position to the detriment of theconsumer. [The DP-right] helps to avoid such lock-ineffects. Nevertheless, the proposed provision mightnot completely reach its aim, as data subjects whomake use of this new right will lose the possibility tokeep in contact with ‘friends’ who stay with theformer controller. This problem could only be solvedby a duty to provide for interoperability
Gerrit Hornung
“
”
[The DP-right] poses serious risks to a long-established E.U. fundamental right of dataprotection, the right to security of a person'sdata. Previous access requests by individualswere limited in scope and format. By contrast,when an individual's lifetime of data must beexported ‘without hindrance’, then onemoment of identity fraud can turn into alifetime breach of personal data.
Peter Swire & Yianni Lagos
“
”
The RDP as defined in Article 18 of the draftRegulation, however, is unprecedented andproblematic. […]
[T]he RDP would impose substantial costs onsuppliers of software and aps, to write thesoftware to export data from one system“without hindrance” so that the data can beimported smoothly into a second system. Thecosts of this mandated code would be passedon to consumers
Peter Swire & Yianni Lagos
“
”
gegevensoverdraagbaarheid
• verantwoordelijke moet betrokkene opverzoek een kopie verstrekken vandiens persoonsgegevens
• als die gegevens worden verwerkt ineen ‘algemeen gebruikt elektronischen gestructureerd formaat’
art. 18 lid 1 Vo.overdrachtgegevens
in een ‘algemeen gebruiktelektronisch engestructureerd formaat’
wat is dat eigenlijk?
gegevensoverdraagbaarheid
• op verzoek van betrokkene moetverantwoordelijke gegevens overdragenvan zijn eigen geautomatiseerd systeemnaar dat van een ander
• als ze worden verwerkt op basis vantoestemming of overeenkomst
art. 18 lid 2 Vo.overdrachtgegevens
in een ‘algemeengebruikt elektronischen gestructureerdformaat’
verplichting totopnemen van degegevens?
en verder…
• weer een delegatiebepaling voor deCommissie
• ook de tweede boetecategorie
• en ook hier nalevingskosten onbekend
een besparing van €2,3 mld.op administratieve lasten,d.w.z. kosten van toezicht endergelijke
maar onduidelijk is wat de kosten zijn voorverantwoordelijken, bewerkers enbetrokkenen…Vgl. Kamerstukken II 2011/12, 32 76, nrs. 31 en
42
Het recht op dataportabiliteit gaf in het algemeenaanleiding tot één centraal vraagpunt. Ook voorNederland is het de vraag of dit recht niet zoumoeten worden beperkt tot uitsluitend digitaletoepassingen, tot de sociale media en de dienstenvan de informatiemaatschappij.
Daarnaast moet goed worden gelet op detoelaatbaarheid van de mogelijk uit dit rechtvoortvloeiende beperkingen van hetmededingingsrecht of het recht op de intellectueleeigendom.
Kamerstukken II 2012/13, 32 761, nr. 44. bldz. 5
“
”
social networks
(55) …the data subject should also beallowed to transmit those data, whichthey have provided, from one automatedapplication, such as a social network,into another one.
alternative: user generated content
Article 18 Right to data portability
1. The data subject shall have the right,where his user-generated content ispublished through an information societyservice, to obtain from informationsociety service provider a copy of suchcontent, which allows for further use bythe data subject
VNO-NCWOctober 2012
gegevensoverdraagbaarheids-recht vs mededingingsrecht
• oplossing voor‘lock-in’..?
• porteren bij eindecontract…?
• hoe om te gaan metslamming issues..?
Vgl. discussies overtelefoonnummersen
bankrekeningnummers,domeinnamen enz.
level playing field..!
vragen, discussie?
Top Related