Het meest tot de verbeelding sprekende recht dat de Algemene Verordening Gegevensbescherming (AVG of GDPR) aan burgers geeft is zonder twijfel het “right to be forgotten” of, in mooi Nederlands, het recht op vergetelheid.
Het is op basis van dit recht dat je als dataverwerkend bedrijf gevraagd kan worden om persoonsgegevens overal op het internet te (doen) verwijderen. In theorie, want in werkelijkheid blijken zoekmachines als Google weinig geneigd om de stortvloed aan “ontlinkingsverzoeken” die ze binnenkrijgen ook effectief uit te voeren. Een op het eerste zicht gelijkaardig recht verplicht Internet Service Providers om illegale content te verwijderen op verzoek.
Twee recente arresten van het Europees Hof van Justitie gaan in op de vraag wanneer wel of niet gevolg moet gegeven worden aan een ontlinkingsverzoek en hoe ver de Google’s en Facebooks van deze wereld daarin moeten gaan.
We vatten beide arresten hieronder kort samen. Vreemd genoeg lijken ze eerder tegenstrijdig aan elkaar te zijn, maar dat is slechts schijn. Lees even mee…
Right to be forgotten
Het right to be forgotten is het recht om niet gewoon de verwijdering van persoonsgegevens te vragen bij een bedrijf, overheid of organisatie, maar om meteen ook te vragen dat de verantwoordelijke in kwestie bij iedereen met wie hij de gegevens heeft gedeeld, vraagt om “iedere koppeling naar, of kopie of reproductie van die persoonsgegevens te wissen”
In tegenstelling tot wat algemeen gedacht wordt, is het recht op vergetelheid zeker niet absoluut. In de eerste plaats kan de verantwoordelijke voor de verwerking in een hele reeks gevallen weigeren om gegevens te verwijderen. Bovendien is het recht om ook bij derden verwijdering te vragen (lees dus verwijdering uit Google of verwijdering uit social media) op geen enkele manier een verplichting. De Gegevensbeschermingsautoriteit zegt zelf op zijn website dat de verantwoordelijke hier “geen enkele resultaatsverbintenis heeft” en dat de term “recht op vergetelheid te grote verwachtingen schept”.
Niettemin heeft elk van ons in se het basisrecht om de verwijdering van onze gegevens te vragen, niet enkel bij een bepaald bedrijf, maar op alle plaatsen waar dat bedrijf onze gegevens gedeeld heeft.
Praktische moeilijkheden en juridische onduidelijkheid
Het right to be forgotten brengt heel wat problemen en vragen met zich mee in de praktijk. Twee daarvan werden recent uitgeklaard door het Europees Hof van Justitie.
Het gaat om twee geheel verschillende juridische vragen die echter allebei gelinkt zijn aan het recht om gegevens verwijderd te krijgen van het internet en het recht om illegale content verwijderd te zien.
Google moet enkel “Europese” links verwijderen
In een eerste zaak besliste het EHJ eind september dat Google niet verplicht is om links te verwijderen op alle versies van zijn zoekmotor wereldwijd, maar alleen op die versies van zijn search engines die gericht zijn op de EU-lidstaten Staat. Google was in deze zaak gedagvaard door de Franse Gegevensbeschermingsautoriteit CNIL, die eiste dat Google wereldwijd bepaalde gegevens zou verwijderen, iets wat Google geweigerd had.
Google wordt in zijn redenering dus gevolgd door het Europees Hof van Justitie: Google moet gegevens buiten de EU niet verwijderen. Het gevolg daarvan is dat informatie die via Google.be niet meer te vinden is online mogelijks wél nog te vinden is voor wie surft via Google.com (en zijn locatiegegevens voor Google verborgen houdt).
Een en ander holt het hele right to be forgotten ernstig uit, natuurlijk. Het permanent verwijderen van gegevens op internet is op deze wijze -voor zover dat niet sowieso het geval is- een utopie geworden…
Maar Facebook moet wereldwijd ingrijpen
Amper een goede week later, op 3 oktober 2019, besliste datzelfde Europees Hof dat Facebook, als zogenaamde Internet Service Provider, door een nationale rechtbank wél verplicht kan worden om lasterlijke inhoud wereldwijd te verwijderen (tenminste voor zover het recht van de betrokken landen zulks zou toelaten).
Is dat niet precies de omgekeerde beslissing?
Wel, op het eerste zicht wel, maar achter de schijnbaar tegenstrijdige beslissingen zit wel degelijk logica.
Beide beslissingen betreffen immers geschillen over andere wetgeving. In de Google zaak ging het om het right to be forgotten onder GDPR en daarin stelde het Europees Hof van Justitie vast dat heel die GDPR enkel afdwingbaar is binnen de EU (of beter de EER, inclusief Noorwegen, Liechtenstein en Andorra), terwijl het Facebook dossier eigenlijk ging over de toepassing van de Richtlijn Elektronische Handel, die vroeger in België was opgenomen in de Wet Elektronische Handel en tegenwoordig in Boek XII van het Wetboek Economisch Recht. Die wet regelt de vraag of een Internet Service Provider verplicht kan worden om illegale content (in dit geval lasterlijke content) wereldwijd te blokkeren. De Richtlijn Elektronische Handel bevat immers een verplichting voor zo’n ISP’s om illegale inhoud te verwijderen of blokkeren en het EHJ oordeelt dat een nationale rechter perfect kan oordelen dat Facebook alles moet doen wat het kan om zo’n illegale content ook buiten de EU te verwijderen.
Wat betekent dat dan concreet?
Op het eerste gezicht zijn beide beslissingen tegenstrijdig, maar dat is slechts schijn.
De precieze betekenis van beide arresten is in se dat het verwijderen van persoonsgegevens onder het recht op vergetelheid van de AVG niet wereldwijd is, maar van zodra er sprake is van illegale inhoud (laster en eerroof in dit Facebookarrest, maar ook valsheid in geschrifte, kinderpornografie of bijvoorbeeld ook namaak) kan een nationale rechter wél wereldwijde maatregelen opleggen aan een Internet Service Provider.
Dat laatste betekent overigens niet automatisch dat die content ook wereldwijd verdwijnt. Bij het uitvoeren van een verwijderingsbevel in vreemde landen hangt immers veel af van de lokale wetgeving.
Met andere woorden: een persoon wiens gegevens verwerkt worden, of “betrokkene” zoals de GDPR dat dan noemt, kan de verwijdering van zijn of haar gegevens uit de zoekresultaten vragen binnen de EER. Wie ook daarbuiten gegevens verwijderd wil zien kan dat enkel als het gaat om illegale (strafrechtelijke) content.
Vragen over verwijderen van gegevens GDPR of elektronische handel?
Neem gerust vrijblijvend contact op met Bart Van den Brande op 0486/901931 of via bart@siriuslegal.be