De opportuniteit en impact van de Algemene Verordening Gegevensbescherming (GDPR) - GDPR als voorbeeld voor de rest van de wereld?

(1)

DE IMPACT EN OPPORTUNITEIT VAN

DE

ALGEMENE

VERORDENING

GEGEVENSBESCHERMING (GDPR)

GDPR ALS VOORBEELD VOOR DE REST VAN DE WERELD?

Stéphanie Adriaens

Studentennummer: 01504020

Promotor: Prof. dr. Ben Depoorter

Masterproef voorgelegd voor het behalen van de graad master in de rechten Academiejaar: 2019 - 2020

(2)

(3)

“Personal data is the new oil of the internet and the new currency of the digital world.”

M Kuneva, ‘Keynote Speech SPEECH/09/156’ (Roundtable on Online Data Collection, Targeting and Profiling 31 maart, 2009).

(4)

(5)

PRIVACY

Ik, Stéphanie Adriaens, verklaar in deze vertrouwelijkheidsclausule dat de inhoud van deze masterproef mag worden geraadpleegd en/of gereproduceerd voor persoonlijk gebruik. Het gebruik van deze masterproef valt onder de bepalingen van het auteursrecht en bronvermelding is steeds noodzakelijk.

(6)

(7)

DANKWOORD

Deze masterproef vormt de laatste stap voor het behalen van mijn diploma, na een rechtenopleiding van vijf jaar aan de Universiteit Gent. Gedurende deze vijf jaar heb ik met momenten veel discipline aan de dag moeten leggen en soms ‘nee’ moeten zeggen op een aanbod dat leuker was dan studeren, maar deze werden rijkelijk gecompenseerd met het fantastische studentenleven dat Gent en alle medestudenten mij hebben gegeven. De opleiding in de Rechten heeft mij geholpen een bredere kijk te hebben op het leven en heeft ervoor gezorgd dat ik met een andere bril naar de maatschappij en al zijn facetten kijk. Ik ben daarom heel dankbaar dat ik de kans heb gekregen om deze opleiding te starten, waar hij mij ook brengt, het zal me ondersteunen in alles wat ik onderneem in het leven.

Het schrijven van dit sluitstuk was niet altijd gemakkelijk, zeker niet gezien het feit dat het zwaartepunt werd geschreven ten tijde van een wereldwijde gezondheidscrisis (Covid-19) die ons verplichte om ‘in ons kot’ te blijven. En dit kot was voor mij niet mijn kot in Gent, maar wel thuis in Hamme, samen met mijn gezin. Ik wens daarom eerst en vooral mijn mama, papa, oma en mijn twee broers te bedanken om altijd klaar te staan voor mij tijdens deze – niet altijd even gemakkelijke – periode. Zij moesten niet enkel de functie van raadgever en luisterend oor vervullen, maar ook deze van afleiding en ontspanning aangezien een babbeltje op café met vrienden niet mogelijk was. Uiteraard kon ik virtueel wel rekenen op al mijn vrienden, bedankt iedereen voor de online ‘apéro’s’, klaagzangen en work-outs die het allemaal een stuk dragelijker maakten. Dankjewel aan iedereen die mij op enigerlei hielp om deze masterproef tot een goed einde te brengen, dankjewel aan de Universiteit Gent en de stad Gent met al zijn inwoners voor deze onvergetelijke periode in mijn leven en dankjewel aan synoniemen.net, mijn rots in de branding.

Hamme, 12 mei 2020 Stéphanie Adriaens

(8)

(9)

INHOUDSOPGAVE

PRIVACY ... V DANKWOORD ... VII INHOUDSOPGAVE ... IX

DEEL I. INLEIDING ... 1

DEEL II. SCHETSING GDPR ... 3

1. HET TOEPASSINGSGEBIED VAN DE GDPR ... 3

1.1. Materieel toepassingsgebied ... 3

1.1.1. Het begrip verwerking ... 3

1.1.2. Het begrip persoonsgegevens... 4

1.2. Personeel toepassingsgebied ... 6

1.3. Territoriaal toepassingsgebied... 7

1.3.1. Vestigingscriterium ... 8

1.3.1.1. Een ‘vestiging’ in de Unie ... 8

1.3.1.2. De verwerkingen gebeuren binnen het kader van de activiteiten van de vestiging ...10

1.3.1.3. Ongeacht of de verwerking zelf binnen de Unie plaatsvindt ...10

1.3.1.4. Toepassing van het vestigingscriteria op verwerkingsverantwoordelijke en verwerker ...12

1.3.2. Doelgerichtheidscriterium (‘target’) ... 12

1.3.2.1. ‘Betrokkenen binnen de Unie’ ...13

1.3.2.2. Het aanbieden van goederen of diensten aan betrokkenen binnen de Unie ...13

1.3.2.3. Het monitoren van het gedrag van betrokkenen binnen de Unie ...14

2. VOOROPGESTELD DOEL EN VOORBEREIDENDE WERKEN ... 17

DEEL III. SITUERING GDPR GLOBAAL ... 22

1. ALGEMEEN ... 22

2. CHINA ... 23

2.1. De Cyber Security Law ... 23

2.2. Cyber Security Law en de GDPR ... 24

3. DE VERENIGDE STATEN ... 28

(10)

3.2. NIST en de GDPR ... 32

3.3. Privacy-Shield ... 33

DEEL IV. OPPORTUNITEIT EN IMPACT VAN DE VERORDENING ... 35

1. SOCIAALECONOMISCH VRAAGSTUK – STANDPUNT DATASUBJECT ... 35

1.1. Theoretisch Luik ... 36

1.1.1. Het concept ‘Privacy’ ... 36

1.1.2. Privacy Paradox ... 39

1.1.3. Privacy Trade Off ... 40

1.1.3.1. Baten van geopenbaarde gegevens ...41

1.1.3.2. Kosten van geopenbaarde gegevens ...41

1.1.4. Rationaliteit van de Homo Economicus ... 43

1.1.4.1. Onzekerheid/ informatie-asymmetrie ...45

1.1.4.2. Context ...46

1.2.2.2. Manipuleerbaarheid en invloed ...48

1.2. Praktisch Luik ... 49

1.2.1. Is er vraag naar meer bescherming en meer vertrouwen langs de kant van de consumenten? ... 52

1.2.2. Hoe/ op welke manier kan deze bescherming het beste worden geboden? 55 1.2.3. Handelen consumenten naar hun privacy-preferenties? Zullen dienstenaanbieders die hun vertrouwen niet beschamen hiervoor beloond worden? 57 1.3. Besluit... 63

2. SOCIAALECONOMISCH VRAAGSTUK – STANDPUNT ONDERNEMINGEN (DATAHOUDERS) . 69 2.1. Theoretisch luik ... 69 2.1.1. Technologische ontwikkeling ... 69 2.1.1.1. Blockchain ... 70 2.1.1.1.1. Wat is Blockchain?...70 2.1.1.1.2. Blockchain en de GDPR ...71 2.1.1.2. Artificiële Intelligentie... 79 2.1.1.2.1. Wat is AI? ...79 2.1.1.2.2. AI en de GDPR ...79 2.1.2. Theoretische gevolgen ... 82

(11)

2.2. Praktisch luik ... 87

2.2.1. Trade off - afweging ... 87

2.2.1.1. Inzet op technologie ...87

2.2.1.2. Inzet op consumentenvertrouwen ...90

2.2.2. Blik op de praktijk ... 91

3. TERUGKOPPELING ... 94

DEEL V. CONCLUSIE: GDPR ALS VOORBEELD VOOR REST VAN DE WERELD? .. 96

(12)

(13)

DEEL I. INLEIDING

Op 25 mei 2018 werd de Algemene Verordening Gegevensbescherming (AVG), beter bekend als de General Data Protection Regulation (GDPR), van kracht.

Het was voor veel ondernemingen en organisaties een grote ommekeer en een moeilijke oefening om zo ‘snel’ compliant te zijn met de nieuwe regels. Men wist vaak ook niet wat exact van hen verwacht werd, deze verandering vraagt natuurlijk tijd om volledig begrepen, geïnterpreteerd en geïntegreerd te worden.

Het probleem ligt echter niet enkel op het vlak van hoe men deze verordening nu juist moet implementeren, maar vaak zit men nog aan een voorstadium en stelt de vraag zich nog of men een antwoord zal en wil geven op de verordening. Deze laatste vraag rijst voornamelijk in internationale context, buiten de Europese Unie.

Wat betreft het hoe en of, kunnen er verschillende bedenkingen gemaakt worden. Deze bedenkingen kunnen bekeken worden zowel vanuit het standpunt van de consumenten (de betrokkene) als vanuit de andere kant van het spectrum, de ondernemingen (de datahouders). Zijn betrokkenen zich bewust over hun eigen privacy online? Is er bij de betrokkenen nood aan dergelijke bescherming en zelfs vraag naar? Kunnen ondernemingen die dit (sneller) implementeren hier een concurrentievoordeel uit halen? Daarnaast, zullen niet-Europese ondernemingen evenveel moeite doen voor deze implementatie of zal men enkel nog diensten aanbieden buiten de Europese Unie? Een voorbeeld hiervan, op de dag van de inwerkingtreding van de verordening waren enkele websites van Amerikaanse kranten niet beschikbaar voor EU-burgers.1_{De oorzaak hiervan}

lag in het feit dat deze kranten nog niet in lijn waren met de nieuwe wetgeving en dat het voor hen dus gemakkelijker was om alle Europese gebruikers te blokkeren dan meteen aan de regelgeving te voldoen.

1_{N. ANXON,} _“Blocking ₅₀₀ _{Million users is} _{easier than} _{complying with Europe’s}

New Rules”, Bloomberg, 25 mei 2018, laatst geraadpleegd op maandag 27 april 2020 via: https://www.bloomberg.com/news/articles/2018-05-25/blocking-500-million-users-is-easier-than-complying-with-gdpr.

(14)

De twee vooropgestelde doelen van de nieuwe verordening zijn terug te vinden in enerzijds het privacyaspect, namelijk het beschermen van persoonsgegevens en anderzijds het vrij verkeer van gegevens. Indien de privacy van individuen gerespecteerd en gegarandeerd wordt krijgen zij vertrouwen in de online omgeving. Door van de Europese Unie een veilige ‘cocon’ van gegevensverwerking en gegevensuitwisseling te maken, wordt ook het vrij verkeer van deze gegevens binnen de Europese Unie gefaciliteerd.

Na een korte schetsing van het toepassingsgebied van de GDPR, zal dit instrument gekaderd worden in een ruimer wereldbeeld, ten opzichte van de Verenigde Staten (VS) en China. Deze drie rechtsstelsels (EU, VS en China) liggen ver uit elkaar qua gegevensbescherming en zijn daarom interessant om te vergelijken. Verder zal er een dubbele analyse gebeuren. Enerzijds zal er gekeken worden naar de sociaaleconomische impact van de GDPR. Is dit “eerder paternalistisch” instrument noodzakelijk ter bescherming van individuen en geeft dit hen vertrouwen in het gebruik van onlinediensten? Of zijn individuen in staat om zelf rationele afwegingen te maken? Anderzijds wordt ook de kant van de datahouders/ de aanbieders van onlinediensten belicht. Merken zij een voordeel door hun – GDPR-conforme – onlinediensten op de Europese markt aan te bieden en hoe zien zij de trade-off tussen het vertrouwen van consumenten versus het inboeten van datavrijheid. Zal dit tevens een innovatie-stimulerend effect hebben voor deze aanbieders? Aan de hand van deze twee aspecten zal er teruggekoppeld worden naar de aanpak van de Verenigde Staten en China om zo te komen tot een antwoord op de vraag of onze GDPR eventueel als voorbeeld kan dienen voor de rest van de wereld.

Een pasklaar antwoord op welk instrument, in welk rechtstelsel, uiteindelijk het beste is voor iedereen, zal u hier niet vinden. Een diepgaander onderzoek naar deze problematiek met verschillende luiken, dat een licht schijnt op mogelijke antwoorden en stof tot nadenken biedt, wel.

(15)

DEEL II. SCHETSING GDPR

1. Het toepassingsgebied van de GDPR

Alvorens in te kunnen gaan op de effecten die de GDPR teweegbrengt, is het nuttig te kijken naar wat de GDPR nu juist inhoudt. De scope van deze materproef laat het niet toe al te uitgebreid in te gaan op de inhoud van de Europese verordening, maar een schetsing van het toepassingsgebied is wel noodzakelijk voor het begrijpen van de impact ervan. De start van dit werk was mijn fascinatie voor de ruime implicatie en werking die de GDPR met zich meebracht, wat reeds de assumptie met zich meebrengt dat het toepassingsgebied vrij ruim is.

1.1. Materieel toepassingsgebied

De GDPR is van toepassing op geheel of gedeeltelijk geautomatiseerde verwerkingen van persoonsgegevens, evenals op de niet-geautomatiseerde verwerkingen waarbij persoonsgegevens opgenomen worden in een gestructureerd bestand of hiertoe bestemd zijn.2_{Kortom, de GDPR is van toepassing op quasi alle verwerkingen van}

persoonsgegevens. Opdat het een zo groot mogelijke bescherming zou kunnen bieden, wordt een ruime interpretatie gehanteerd.3

1.1.1. Het begrip verwerking

Een verwerking is elke bewerking of geheel van bewerkingen van persoonsgegevens of een geheel van persoonsgegevens, al dan niet op geautomatiseerde wijze uitgevoerd.4_De

bedoeling van de verordening was om technologieneutraal te zijn, wat betekent dat zij niet afhankelijk mag zijn van gebruikte technologie. De bewoording die gebruikt wordt in het instrument moet bijgevolg ook van toepassing kunnen zijn op tot nog toe onbekende

2_{Art. 2, lid 1 GDPR.}

3_{P. VOIGHT en A. VON DEM BUSSCHE, The EU General Data Protection Regulation (GDPR) a practical}

guide, Springer 2017, p 9.

(16)

technieken. De bescherming moet compleet zijn waardoor zowel handmatige verwerkingen (dit wil zeggen opname in een bestand) als geautomatiseerde verwerkingen (digitalisering) hieronder vallen.

Artikel 4 geeft verder ook nog een opsomming van wat onder deze verwerkingen kan worden verstaan: “zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.” Dossiers of verzamelingen van dossiers die niet gestructureerd zijn volgens bepaalde criteria is een voorbeeld die de GDPR geeft van verwerkingen die niet onder het toepassingsgebied vallen.5_{Het is dus}

van belang dat er een zekere mate van structuur in zit.

Voor veel organisaties omvat dit zowat al hun activiteiten. Daarenboven mag er ook niet vergeten worden dat dit niet enkel de persoonsgegevens van klanten zijn, ook de persoonsgegevens van werknemers en anderen waarmee er bijvoorbeeld gecontracteerd wordt vallen hieronder.6

1.1.2. Het begrip persoonsgegevens

Persoonsgegevens worden omschreven als alle informatie over een geïdentificeerde of

identificeerbare natuurlijke persoon7 (de betrokkene). Van belang is hier het concept

‘identificeerbaar’, hierdoor wordt de scope alweer sterk verruimd. Als identificeerbaar duidt artikel 4, lid 1 GDPR aan: “een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.” Het is dus lang niet vereist dat de betrokkene bij naam wordt genoemd. Om te bepalen of een natuurlijke

5_{Overweging 15 GDPR.}

6_{Governance Privacy Team, EU General Data Protection Regulation (GDPR): An implementation and}

Compliance Guide, IT Governance Publishing, 2016, Hoofdstuk 1.

(17)

persoon identificeerbaar is, moet door een verwerkingsverantwoordelijke of een andere persoon rekening worden gehouden met alle middelen waarvan redelijkerwijs valt te verwachten dat zij zullen worden gebruikt om de natuurlijke persoon direct of indirect te identificeren, bijvoorbeeld selectietechnieken.

Hier kan er nog een onderscheid gemaakt worden tussen gegevens die geanonimiseerd worden en gegevens die gepseudonimiseerd worden. De GDPR is enkel van toepassing op deze laatste omdat het bij gepseudonimiseerde gegevens nog mogelijk is de betrokkene te identificeren indien men beschikt over een ‘sleutel’. Deze sleutel is als het ware de code om te ontcijferen op wie deze gegevens betrekking hebben. Deze sleutel moet uiteraard apart en veilig worden bewaard, maar het gebruik hiervan neemt niet weg dat identificatie mogelijk is.

Bovenstaande persoonsgegevens vallen dus binnen het toepassingsgebied van de GDPR en zullen moeten voldoen aan enkele voorwaarden. Van belang is echter dat deze gegevens op hun beurt kunnen worden opgesplitst in twee categorieën: enerzijds zijn er de gegevens die kunnen worden verwerkt indien ze voldoen aan de opgelegde bescherming en anderzijds zijn er ook zogenaamde ‘gevoelige gegevens’ die men in principe nooit mag verwerken. In principe, want in heel strikt omschreven gevallen zal verwerking alsnog toegestaan zijn.

In deze categorie van gevoelige gegevens zitten twee soorten, namelijk de ‘persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten’8_{en de}

‘bijzondere categorieën van persoonsgegevens’9_{. Op de eerste categorie zal ik hier niet}

verder ingaan aangezien zij de scope van dit werk te buiten gaan.

De bijzondere categorieën van persoonsgegevens daarentegen kunnen wel van belang zijn voor private bedrijven bij hun verwerkingsprocessen. Deze categorie van persoonsgegevens omvat: genetische gegevens, biometrische gegevens10,

8_{Art. 10 GDPR.} 9_{Art. 9, lid 1 GDPR.}

10_{Een verduidelijking van biometrische gegevens kan gevonden worden in een advies van de groep}

(18)

gezondheidsgegevens en gegevens met betrekking tot iemands seksueel gedrag of seksuele geaardheid, ras, etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen of lidmaatschap van een vakbond. Het belang van

deze extra bescherming ligt in de toepassing van de antidiscriminatie. Het risico op discriminatie is veel groter bij het verwerken van deze specifieke gegevens.

1.2. Personeel toepassingsgebied

De GDPR is van toepassing op iedereen die op een van de voorgaande wijze persoonsgegevens verwerkt. Dit ongeacht of het gaat om een natuurlijke persoon, dan wel een rechtspersoon. In dit opzicht wordt er een onderscheid gemaakt tussen de verwerkingsverantwoordelijke11_{(‘controller’) en de verwerker}12_{(‘processor’). Daar waar de}

verwerkingsverantwoordelijke degene is die het initiatief neemt tot het (laten) verwerken van gegevens en hier ook het specifieke doel voor bepaalt, is de verwerker de loutere uitvoerder van deze instructies.13_{Deze twee kunnen samenvallen indien de}

verwerkingsverantwoordelijke ook de verwerker is. Besteedt de verwerkingsverantwoordelijke echter de verwerking van gegevens uit aan een derde dan zullen deze twee personen niet samenvallen.

Een voorbeeld ter illustratie: Amazon Web Service (AWS) is een clouddienst die wordt aangeboden door Amazon. Wanneer AWS-consumenten gebruik maken van deze Cloud om persoonsgegevens te verwerken, dan handelt deze consument (gebruiker van het AWS-systeem) als verwerkingsverantwoordelijke, maar AWS handelt hier als verwerker. AWS voert hier namelijk de aanwijzingen uit die hen door de consumenten gegeven

kenmerken of herhaalbare handelingen waar die kenmerken en/of acties uniek zijn voor dat individu en ook effectief meetbaar zijn, zelfs als deze patronen in de praktijk slechts een mate van waarschijnlijkheid betreffen.” Als voorbeeld wordt verwezen naar gezichtsstructuren (denk aan gezichtsherkenningsfuncties), maar ook een handgeschreven handtekening enzovoort. (Zie: GROEP GEGEVENSBESCHERMING ARTIKEL 29 (WP29), Advies over het begrip persoonsgegevens, 20 juni 2007, nr. 4/2007, https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2007/wp136_en.pdf, p8.

11_{Art. 4, lid 7 GDPR} 12_{Art. 4, lid 8 GDPR}

13_{GROEP GEGEVENSBESCHERMING ARTIKEL 29 (WP29), Advies over de concepten}

‘verwerkingsverantwoordelijke’ en ‘verwerker’, 16 februari 2010, nr. 1/2010, https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2010/wp169_en.pdf, p7 e.v.. Zie ook V. D’HUYS, GDPR in de praktijk: De nieuwe Europese privacywetgeving, Group Joos, p 16-17.

(19)

worden via de AWS-servicecontroles.14_{Zoals AWS zelf aangeeft zijn zij verantwoordelijk}

voor de bescherming van de algemene infrastructuur die alle diensten beheert. Dit hoort in overeenstemming te zijn met de voorwaarden van artikel 28 GDPR.

1.3. Territoriaal toepassingsgebied

Last but not least is het territoriaal toepassingsgebied van uitzonderlijk belang voor dit

eindwerk. De GDPR heeft een zeer ruim toepassingsgebied zoals verder verduidelijkt zal worden, maar het is niet oneindig. Aan het einde van mijn onderzoek wil ik graag te weten komen in hoeverre dit wel oneindig zou moeten zijn en wat hier de voor- en nadelen van zouden zijn. Het territoriaal toepassingsgebied zal dus niet zonder belang zijn voor de verdere interpretatie van dit werkstuk.

Artikel 3 GDPR geeft twee grote toepassingsgebieden aan. Ten eerste is de verordening van toepassing op verwerkingen van persoonsgegevens die gebeuren in het kader van activiteiten van een vestiging van een verwerkingsverantwoordelijke of een verwerker in de Unie ongeacht of deze verwerking al dan niet in de Unie plaatsvindt.

Ten tweede, als de verwerker of verwerkingsverantwoordelijke niet gevestigd is in de Unie, maar de betrokkene bevindt zich in de EU én de verwerking houdt verband met het aanbieden van goederen of diensten aan de betrokkene in de EU of het monitoren van het gedrag van de betrokkene dat in de EU plaatsvindt (denk aan Google Maps).

Ter volledigheid zullen ook de plaatsen waar het recht van lidstaten van toepassing is, ook al zijn ze niet in de Unie gevestigd, onderworpen zijn aan de GDPR maar enkel voor wat betreft de verwerkingsverantwoordelijken die daar verwerkingen van persoonsgegevens doen.

Het voornemen van de Europese wetgever met artikel 3 was om een alomvattende bescherming van datasubjecten te verzekeren en een gelijk speelveld te creëren voor

14_{C. WOOLF, “The AWS Shared Responsibility Model and GDPR”, AWS Security Blog, 15 mei 2018, laatst}

geraadpleegd op maandag 27 april 2020 via https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/.

(20)

ondernemingen die actief zijn op de EU-markten, in een internationale context van gegevensstromen.15

1.3.1. Vestigingscriterium

De European Data Protection Board16_{deelt het vestigingscriterium onder in vier}

onderdelen; de vereiste van een vestiging in de Unie, de vereiste dat de verwerkingen gebeuren binnen het kader van de activiteiten van de vestiging, ongeacht of de verwerking zelf binnen de Unie plaatsvindt en de toepassing van het vestigingscriteria op verwerkingsverantwoordelijke en verwerker. Om een duidelijk overzicht te bewaren zal ook hier deze structuur aangehouden worden.

1.3.1.1. Een ‘vestiging’ in de Unie

Voor het criterium van vestiging moet rekening gehouden worden met zowel de verwerkingsverantwoordelijke als de verwerker. Indien een van beiden zijn vestiging in de Unie heeft, zijn de verwerkingen onderworpen aan de GDPR. De vraag is nu echter wat er onder “vestiging” verstaan wordt.

De exacte definitie van een vestiging zoals deze is bedoeld in artikel 3 wordt niet gegeven, hoewel een “hoofdvestiging” wel gedefinieerd wordt in artikel 4(16). Overweging 22 bepaalt evenwel dat een vestiging het effectief en daadwerkelijk uitoefenen van activiteiten via bestendige verhoudingen betreft, zonder dat kwalificatie als moeder-dan wel dochtervereniging daarbij doorslaggevend is. Deze overweging is exact overgenomen uit overweging 19 van privacyrichtlijn17_{die vervangen werd door de GDPR.}

15_{EUROPEAN DATA PROTECTION BOARD (EDPB), Guidelines on the territorial scope of the GDPR}

(article 3), 16 november 2018, nr. 3/2018,

https://edpb.europa.eu/sites/edpb/files/consultation/edpb_guidelines_3_2018_territorial_scope_en.pdf, p.3.

https://edpb.europa.eu/sites/edpb/files/consultation/edpb_guidelines_3_2018_territorial_scope_en.pdf.

17_{Overweging 19 Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995}

betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens

(21)

Bevestiging hiervan is ook terug te vinden in de rechtspraak van het Hof van Justitie, onder andere in Arrest Google v. Spain18_{. In Google v. Spain oordeelt het Hof dat Google Spanje}

via een vaste vestiging in Spanje een daadwerkelijk en reële activiteit verricht en daarenboven rechtspersoonlijkheid bezit. Zij vormt aldus een dochteronderneming van Google Inc. en daaruit volgend een vestiging in de zin van artikel 3, lid 1 GDPR. Het ondersteunen van reclameactiviteiten van Google Inc. door Google Spain volstond als ‘daadwerkelijke en reële activiteit’. De verwerking van persoonsgegevens zelf gebeurt dan wel niet door Google Spain, het is opnieuw voldoende dat het wordt verricht ‘in het kader van de activiteiten’ van Google Spain.19_{Het Hof hanteert dus een bijzonder ruim criterium}

voor het territoriale toepassingsgebied.

Opmerkelijk is dat het Hof dit criterium zelfs nog ruimer interpreteert voor diensten die uitsluitend op het internet worden aangeboden.20_{Voor deze diensten kan men reeds van}

een vestiging spreken bij één enkele vertegenwoordiger indien deze optreedt met zekere mate van duurzaamheid en met de nodige middelen voor de verlening van de concrete onlinediensten in de desbetreffende lidstaat, aldus het Hof. Alvorens men zou denken dat er geen enkele grens meer is aan het territoriaal toepassingsgebied, moet er toch gewezen worden op de uitspraak van het Hof in Verein für konsumenteninformation v. Amazon.21

Het feit dat een website louter raadpleegbaar is in de Unie is geen voldoende voorwaarde om van een vestiging te spreken.

We kunnen dus concluderen dat het begrip ‘vestiging’ in de betekenis van artikel 3 GDPR zeer ruim wordt geïnterpreteerd teneinde het doel van doeltreffende en volledige bescherming van het recht op eerbieding van de persoonlijke levenssfeer te waarborgen. Er blijft bij deze interpretatie echter steeds wel de vereiste van enig aanknopingspunt met de Unie zodat al te ruime interpretaties geen stand kunnen houden.

18_{HvJ 13 mei 2014, nr. C-131/12, Google v. Spain, ECLI:EU:C:2014:317, punt 48.} 19_{HvJ 13 mei 2014, nr. C-131/12, Google v. Spain, ECLI:EU:C:2014:317, punt 52.} 20_{HvJ 1 oktober 2015, nr. C-230/14, Weltimmo, ECLI:EU:C:2015:639, punt 29-30.}

21_{HvJ 28 juli 2016, nr. C-191/15, Verein für Konsumenteninformation v. Amazon, ECLI:EU:C:2016:612, punt}

(22)

Eens gekwalificeerd als vestiging zal men daarbij wel nog moeten nagaan of de gegevensverwerkingen die door deze vestiging worden uitgevoerd ook effectief gebeuren binnen het kader van de activiteiten van deze vestiging alvorens volledig onder artikel 3, lid 1 te vallen.

1.3.1.2. De verwerkingen gebeuren binnen het kader van de activiteiten van de vestiging

Zoals reeds eerder vermeld (Google v. Spain), is het niet noodzakelijk dat de vestiging deze verwerking ook effectief zelf uitvoert. Het volstaat dat deze verwerking wordt uitgevoerd in het kader van de activiteiten van deze vestiging. Deze vereiste zal steeds in

concreto moeten worden nagegaan.22_{Hierbij wordt rekening gehouden met de relatie}

tussen de vestiging binnen de Unie en de gegevensverwerker of verwerkingsverantwoordelijke die buiten de Unie gevestigd is enerzijds en het genereren van inkomen in de Unie anderzijds.

Concreet zal er dus gekeken worden naar de mate van onderlinge relatie tussen de vestiging binnen de EU en de verwerker of verwerkingsverantwoordelijke buiten de Unie. Blijkt dat deze twee entiteiten onlosmakelijke verbonden zijn, zij het op het vlak van inkomsten of een andere in concreto aan te tonen link, dan zal ook de vestiging buiten de Unie onderworpen zijn aan de GDPR.

1.3.1.3. Ongeacht of de verwerking zelf binnen de Unie plaatsvindt

Zoals hierboven reeds uiteengezet is er geen vereiste van effectieve verwerking binnen de Unie zelf. Het volstaat dat een verwerking plaatsvindt via een vestiging van de verwerker of verwerkingsverantwoordelijke die zich in de Unie bevindt.

(23)

Stel: Een Belgische onderneming biedt uitsluitend diensten aan buiten de Unie en alle gegevens worden ook enkel verzameld van personen buiten de Unie. De Belgische onderneming verwerkt echter al deze gegevens. Hoewel de persoonsgegevens buiten de Unie worden verzameld, worden deze wel verwerkt in de Unie, namelijk in het kader van

de activiteiten van deze Belgische onderneming die fungeert als

verwerkingsverantwoordelijke.

Let op, ook het omgekeerde geldt. Een Belgische onderneming die zijn data wel verzamelt in België, maar de verwerking ervan gebeurt buiten de Unie. De Belgische onderneming bepaalt wel het doel en de middelen van deze verwerking buiten de Unie. De verwerking gebeurt dus niet in de Unie, maar hij gebeurt wel in het kader van de activiteiten van deze Belgische onderneming.

Concluderend; de geografische locatie is dus van belang wat betreft de vestiging van de verwerker of verwerkingsverantwoordelijke zelf of een activiteit in het kader van een niet-Europese verwerker of verwerkingsverantwoordelijke. De geografische locatie is daarentegen niet van belang voor de plaats van verwerking zelf.

Overweging 14 van de GDPR bevestigt dat de GDPR van toepassing is op natuurlijke personen, ongeacht hun nationaliteit: “De bescherming die door deze verordening wordt geboden, heeft betrekking op natuurlijke personen, ongeacht hun nationaliteit of verblijfplaats, in verband met de verwerking van hun persoonsgegevens.” Het maakt dus geen verschil of het persoonsgegevens zijn van al dan niet Europese burgers, zolang de verwerking valt onder het territoriale toepassingsgebied van de GDPR zoals reeds besproken. Houd hierbij wel de rechtspraak van Google v. CINIL in het achterhoofd, waarbij enige nuance wordt aangebracht op de gelijke bescherming van Unieburgers en niet-Unieburgers (zie ook infra).

(24)

1.3.1.4. Toepassing van het vestigingscriteria op verwerkingsverantwoordelijke en verwerker

Indien een verwerkingsverantwoordelijke die onderworpen is aan de GDPR een verwerker kiest die buiten de Unie gevestigd is, zonder onderworpen te zijn aan de GDPR dan zal deze verwerkingsverantwoordelijke ervoor moeten zorgen dat de verwerker via contract of ander juridisch bindend document de toepassing van de GDPR waarborgt voor deze verwerkingen.23_{Ter illustratie kan verwezen worden naar het voorbeeld van de Amazon}

Web Service (zie supra). AWS verklaart op hun website dat de diensten die zij aanbieden in overeenstemming zijn met de GDPR: “Today, I’m very pleased to announce that all AWS

services can be used in compliance with the General Data Protection Regulation (GDPR).”24

Omgekeerd zal een verwerkingsverantwoordelijke die niet onderworpen is aan de GDPR, niet alsnog in overeenstemming moeten zijn met de GDPR indien hij kiest voor een verwerker binnen de Unie, zonder dat deze verwerker onlosmakelijk verbonden is aan de verwerkingsverantwoordelijke. De verwerker zal wel onderworpen zijn aan de GDPR, maar dit brengt niet automatisch met zich mee dat de verwerkingsverantwoordelijke moet voldoen aan de GDPR.

1.3.2. Doelgerichtheidscriterium (‘target’)

Daar waar lid 1 van artikel 3 gericht is op de verwerking in het kader van de activiteiten van een vestiging van de verwerker of verwerkingsverantwoordelijke in de Unie, is het tweede lid gericht op verwerkingen door een niet in de Unie gevestigde verwerker of verwerkingsverantwoordelijke.

23_{Art. 28 GDPR.}

24_{C. WOOLF, 26 maart 2018,}_{“All AWS Services GDPR ready”, AWS Security Blog, laatst geraadpleegd op}

(25)

1.3.2.1. ‘Betrokkenen binnen de Unie’

Het criterium voor de bescherming van de betrokkene is niet het Europees Burgerschap, maar wel de geografische locatie van de betrokkenen. Het ‘aanwezig zijn’ in de Unie volstaat om te kunnen genieten van de bescherming onder de GDPR.

Deze aanwezigheid wordt onderzocht op het ogenblik dat goederen of diensten worden aangeboden of het gedrag van de betrokkene wordt gemonitord, ongeacht de duur van deze aanbieding of monitoring.25

Opnieuw moet hier gewezen worden op het feit dat het raadpleegbaar zijn van een website bijvoorbeeld niet volstaat om onderworpen te zijn aan de GDPR. Er moet effectief sprake zijn van ‘targetting’ (doelgericht) van de betrokkene, via het specifiek aanbieden van goederen of diensten of via monitoring.

Een voorbeeld wordt in dit kader gegeven door de EDPB; “a U.S. citizen is travelling

through Europe during his holidays. While in Europe, he downloads and uses a news app that is offered by a U.S. company. The app is exclusively directed at the U.S. market. The collection of the U.S. tourist's personal data via the app by the U.S. company is not subject

to the GDPR.”26

1.3.2.2. Het aanbieden van goederen of diensten aan betrokkenen binnen de Unie

Het feit onderworpen te zijn aan de GDPR louter op basis van de aanwezigheid van de betrokkene binnen de Unie is enkel van toepassing indien men een goed of dienst aanbiedt aan deze betrokkene die zich in de Unie bevindt (tenzij monitoring, zie infra).

https://edpb.europa.eu/sites/edpb/files/consultation/edpb_guidelines_3_2018_territorial_scope_en.pdf, p13.

(26)

Onder het aanbieden van diensten vallen zowel diensten die worden aangeboden tegen vergoeding, alsook diensten waarvoor geen tegenprestatie is vereist.27_{De aanbieder moet}

het vereiste voornemen hebben om goederen of diensten aan te bieden aan subjecten die zich binnen de Unie bevinden.28_{Het louter toegankelijk zijn van de website is opnieuw}

onvoldoende. Mogelijke indicaties voor dit voornemen zijn de gebruikte taal of valuta die in één of meer lidstaten gangbaar is. Verschillende elementen kunnen in aanmerking worden genomen voor deze kwalificatie, een beoordeling in concreto zal dan ook vereist zijn.

1.3.2.3. Het monitoren van het gedrag van betrokkenen binnen de Unie

“Om uit te maken of een verwerking kan worden beschouwd als controle van het gedrag

van betrokkenen, dient te worden vastgesteld of natuurlijke personen op het internet

worden gevolgd, en onder meer of in dat verband eventueel

persoonsgegevensverwerkingstechnieken worden gebruikt waarbij een profiel wordt opgesteld van een natuurlijke persoon, in het bijzonder om besluiten ten aanzien van hem te nemen of om zijn persoonlijke voorkeuren, gedragingen en attitudes te analyseren of te voorspellen.”29

De EDPB voegt hier nog aan toe dat het monitoren van gedrag niet beperkt is tot het internet, maar dat ook andere netwerken of technologieën hieronder vallen.30_Hiermee

bevestigt de EDPB de wens van de Europese wetgever om technologieneutraal te blijven.

Hoewel er geen specifieke vereiste is opgenomen wat betreft de bedoeling van targetting, wordt dit impliciet wel vereist door de voorwaarden van monitoring. Op basis van de gegevens van monitoring zal een profiel van de betrokkene worden opgesteld dat als basis dient voor bepaalde diensten aan te bieden, voorspellingen te uiten enzovoort.

27_{HvJ 26 april 1988, nr. C-352/85, Bond van Adverteerders en andere t. Nederlandse Staat,}

ECLI:EU:C:1988:196, punt 15-17.

28_{Overweging 23 GDPR.} 29_{Overweging 24 GDPR.}

(27)

Concluderend kan gesteld worden dat het territoriaal toepassingsgebied van de verordening vrij ruim is, hij is in veel gevallen zelfs niet beperkt tot louter het Europees grondgebied. Een nuance hierop is echter van belang, zoals eerder al aangehaald is het territoriaal toepassingsgebied niet oneindig. Een belangrijke beperking is terug te vinden in de uitspraak van het Hof van Justitie in Google t. CNIL inzake het recht op vergetelheid.31

Volgens artikel 17 GDPR kunnen inwoners van de EU een recht op vergetelheid uitoefenen. Dit houdt in dat de betrokkene het recht heeft om wissing van zijn persoonsgegevens, die de verwerkingsverantwoordelijke van hem of haar bijhoudt, te verkrijgen. Dit recht is afhankelijk van enkele materiële voorwaarden die in artikel 17 opgesomd staan en sinds het arrest Google t. CNIL hangt er ook een territoriaal aspect aan vast. Het Hof besloot dat dit recht op gegevenswissing (vergetelheid) slechts strekt binnen de landsgrenzen van de 27 lidstaten van de Unie. In dit concrete geval waarbij er aan Google werd gevraagd om bepaalde gegevens te wissen, blijkt de zoekmachine enkel verplicht om de persoonsgegevens te verwijderen die voortkomen uit internetzoekopdrachten die binnen de Unie worden uitgevoerd.

Extra nuancering is hier evenwel noodzakelijk. In punt 72 verduidelijkt het Hof dat nationale toezichthoudende autoriteiten (zoals onder andere CNIL, de Franse gegevensbeschermingsautoriteit) bevoegd blijven om een afweging te maken tussen het recht van de betrokken persoon op eerbiediging van zijn privéleven en op bescherming van zijn persoonsgegevens enerzijds en de vrijheid van informatie anderzijds. Deze afweging kan ertoe leiden dat de ‘exploitant van de betreffende zoekmachine’ alsnog verplicht wordt om alle mogelijke links te verwijderen ongeacht vanwaar de zoekopdracht komt.

In punt 70 oordeelde het Hof bovendien ook, dat zoekmachine-exploitanten de ‘dereferencing’32_{moeten aanvullen met maatregelen die een in de EU gevestigde}

internetgebruiker zouden verhinderen of ernstig ontmoedigen om toegang te krijgen tot de verwijderde links bij gebruik van een zoekmachineversie buiten de EU. Er wordt dus naar een balans gezocht tussen de initiële bedoeling om de territoriale reikwijdte van deze

31_{HvJ 24 september 2019, nr. C-507/17, Google t. CNIL, ECLI:EU:C:20:2019:772.} 32_{Het verwijderen van bepaalde links naar de persoonsgegevens.}

(28)

bepaling te beperken buiten de EU, maar anderzijds wel een effectieve bescherming te bieden. Het enkel verwijderen van links via Europese zoekversies is namelijk een gemakkelijk te omzeilen maatregel.

Dit arrest kan op langere termijn veel verdere implicaties hebben dan op het eerste zicht blijkt. Aangezien bedrijven die persoonsgegevens verwerken hun bereik op wereldwijde schaal blijven uitbreiden, zal de spanning tussen de nationale regelgevende instantie en deze bedrijven naar verwachting toenemen. Naarmate nationale bedrijven hun schaal op wereldvlak blijven uitbreiden, zullen de nationale jurisdicties hun privacynormen universeel uitgebreider willen zien opdat er een volledige bescherming zou zijn van de rechten van hun burgers met betrekking tot de verwerking van hun persoonsgegevens.33_De

versterking van de rol van de GDPR bij het vaststellen van een norm voor internationale gegevensbescherming is dus van groot belang met aanzienlijke gevolgen voor bedrijven in de hele wereld.

33_{M. SAMONTE,}_{“Google v. CNIL: “The territorial Scope of the Right to Be Forgotten Under EU Law”,}

European Papers, Vol. 4, no. 3, European Forum, Insight van 27 januari 2020, laatst geraadpleegd op 17 februari 2020 via: http://www.europeanpapers.eu/es/europeanforum/google-v-cnil-territorial-scope-of-right-to-be-forgotten-under-eu-law#_ftn50.

(29)

2. Vooropgesteld doel en voorbereidende werken

Zoals reeds blijkt uit de benaming van de GDPR is het voornaamste doel van de verordening het beschermen van gegevens van personen. Dit nemen we verder samen onder de grotere koepel van het concept “privacy”. Naast dit privacy doel staat ook het stimuleren van het vrij verkeer van deze gegevens voorop. Deze twee doelen blijken uit het uiteindelijke instrument dat de GDPR geworden is.

Nog voor de GDPR op 25 mei 2018 in werking trad, was er reeds een richtlijn die gold en handelde over dezelfde problematiek, namelijk de verwerking van persoonsgegevens.34

Deze richtlijn werd reeds in 2000 aangenomen, maar bleek niet opgewassen tegen de snelle evoluties in het domein.35_{Het meest opvallende en direct in het oog springende}

verschil is uiteraard de ontwikkeling van een richtlijn naar een verordening. Door het gebruik van een verordening wordt de harmonisatie binnen de Unie gestimuleerd, alsook de rechtszekerheid.36_{Daar waar een richtlijn nog moet worden omgezet in elke lidstaat en}

lidstaten zelf de middelen hiervoor kiezen, is dit niet het geval bij een verordening. Een verordening is rechtstreeks uitvoerbaar in elke lidstaat, wat ook maakt dat het instrument in elke lidstaat hetzelfde zal worden geïnterpreteerd. Dit nieuwe kaderwerk voor gegevensbescherming dat de GDPR is geworden zal er een zijn dat coherent is en met een sterke handhaving aldus de Commissie.37_{Hierdoor hoopt men bij te dragen aan de}

ontwikkeling van de digitale interne markt.

34_{Richtlijn 2002/58/EG van het Europees Parlement en de Raad van 12 juli 2002 betreffende de verwerking}

van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie, Publicatieblad Nr. L 201 van 31/07/2002.

35_{European Commission , “Proposal for a regulation of the European Parliament and of the Council on the}

protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation)”, Brussel 25 januari 2012, https://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2012:0011:FIN:EN:PDF, p2.

36_Ibid.

37_{“This is why it is time to build a stronger and more coherent data protection framework in the EU, backed}

by strong enforcement that will allow the digital economy to develop across the internal market, put individuals in control of their own data and reinforce legal and practical certainty for economic operators and public authorities.” Zie European Commission , “Proposal for a regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation)”, Brussel 25 januari 2012, https://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2012:0011:FIN:EN:PDF, p2.

(30)

Begin 2012 kwam de Europese Commissie dan ook met het voorstel voor een algemene verordening voor gegevensbescherming.38_{Ook hier zouden de twee voornaamste}

principes, gegevensbescherming en vrij verkeer van gegevens, een hoofdrol blijven spelen. Deze concepten blijven dus een constante in de wetgeving omtrent gegevensbescherming.39_{Daarnaast zou er wel rekening gehouden worden met de snel}

evoluerende technologie. De mate waarin technologie en daarbij gegevensverwerking als sleutelrol is toegenomen valt niet bij te houden met wetgeving. Wetgeving holt zoals wel vaker ook hier achter de feiten aan. Er zijn ook steeds meer mogelijkheden voor individuen om persoonlijke informatie prijs te geven40_{, denk onder meer aan verschillende}

sociale-media-platforms, maar ook het online shoppen en nog veel meer. Het instrument zou daarom technologieneutraal moeten zijn om zo de kracht van de tijd te kunnen doorstaan.41

Dit houdt meer concreet in dat nieuwe technologieën geen invloed mogen hebben op de uitwerking van de GDPR. De verwoording zou zodanig zijn opgesteld dat ook nieuwe, ten tijde van het opstellen van de GDPR nog niet gekende, manieren van gegevensverwerking onder het toepassingsgebied vallen.

Om deze doelen te bereiken wordt er een prominente rol gegeven aan het vertrouwen van de mensen in de onlinewereld.42_{Dit vertrouwen moet de sleutel tot succes zijn. Vertrouwen}

in onlinediensten zal automatisch leiden tot een stijgend gebruik van onlinediensten wat

protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation)”, Brussel 25 januari 2012, https://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2012:0011:FIN:EN:PDF.

39_{Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of}

individuals with regard to the processing of personal data and on the free movement of such data, Publicatieblad L 281 , 23/11/1995 P. 0031 – 0050. Zie ookRichtlijn 2002/58/EG van het Europees Parlement en de Raad van 12 juli 2002 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie, Publicatieblad Nr. L 201 van 31/07/2002

protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation)”, Brussel 25 januari 2012, https://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2012:0011:FIN:EN:PDF, p1.

41_{Onder andere overweging 13, European Commission ,}_{“Proposal for a regulation of the European}

Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation)”, Brussel 25 januari 2012, https://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2012:0011:FIN:EN:PDF, p19. Zie ook overweging 15, GDPR.

(31)

op zijn beurt de innovatie ervan stimuleert. Dit vertrouwen zou moeten voortspruiten uit onder andere de strenge regulering die wordt opgelegd aan gegevensverwerkers. Indien men vertrouwen heeft dat zijn of haar privacy gewaarborgd blijft, dan zal men ook sneller geneigd zijn tot het gebruiken van allerlei diensten.

De belangrijkste vraag is echter hoe dit vertrouwen en bijgevolg de privacy en het vrij verkeer van gegevens kan worden verkregen. Om een juist instrument hiervoor te kiezen, verwijst de Commissie naar een impact assessment die werd gedaan met drie mogelijke beleidsalternatieven.43_{Merk op dat deze drie opties een verschillende graad van}

overheidsinterventie met zich meebrengen. Deze opties gingen van een minimale tussenkomst via wetswijzigingen en beleidsondersteuningen tot wetgeving die specifiek gekwalificeerde problemen aanduidt en verder tot een volledige centralisatie van de handhaving op Europees niveau.44

Het uiteindelijke resultaat kreeg een, volgens de Commissie, gemiddeld niveau van overheidstussenkomst, maar met elementen uit zowel de eerste als de laatste optie. Kortom, een mengelmoes. Deze impact assessment hield rekening met de vooropgestelde doelen (privacy en vrij verkeer), de economische impact voor alle stakeholder en de sociale impact op de fundamentele rechten en vrijheden.45

Laat ons even kort ingaan op enkele gemaakte keuze. Persoonlijk lijkt mij de keuze om te handelen vanuit Europees niveau algemeen gezien een juiste keuze. De verzameling, verwerking en doorgifte van gegevens blijft nu eenmaal niet beperkt binnen landsgrenzen. Een verschillende aanpak in verschillende lidstaten zou leiden tot een lappendeken aan wetgeving wat verwerking en doorgifte quasi onmogelijk maakt. Vanuit dit oogpunt wordt de nood aan vrij verkeer van gegevens glashelder. Juridisch gezien echter, steunt deze bevoegdheidsverdeling op de principes van subsidiariteit en proportionaliteit.46_{Wat betreft}

protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation)”, Brussel 25 januari 2012, laatst geraadpleegd op maandag 27 april 2020 via https://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2012:0011:FIN:EN:PDF, p4.

44_Ibid. 45_{Ibid, p 4-5.}

(32)

proportionaliteit, werd er een impact assessment uitgevoerd onder leiding van de Commissie. Dit moet leiden tot een resultaat dat niet verder gaat dan wat nodig is om de doelstellingen te verwezenlijken.47_{Verder zal krachtens het subsidiariteitsbeginsel de Unie}

optreden:

“op de gebieden die niet onder haar exclusieve bevoegdheid vallen, slechts op indien en voor zover de doelstellingen van het overwogen optreden niet voldoende door de lidstaten op centraal, regionaal of lokaal niveau kunnen worden verwezenlijkt, maar vanwege de omvang of de gevolgen van het

overwogen optreden beter door de Unie kunnen worden bereikt.”48

Verwijzende naar de fragmentatie voorheen en het grensoverschrijdende karakter van gegevensverwerking dezer dagen dient hierbij geen extra motivering om het optreden van de Unie te verantwoorden. Bovendien draait het om privacybescherming, zoals gewaarborgd in artikel 8 van het Europees handvest (zie ook infra). Dit fundamenteel recht vraagt een uniforme set aan regels met een gemeenschappelijk minimum beschermingsniveau.49

Daarnaast is er de keuze voor het instrument van een verordening eerder dan voor een richtlijn. Zoals reeds eerder aangemerkt, zou dit moeten zorgen voor meer rechtszekerheid en minder fragmentatie tussen de lidstaten. Hier moet echter opgemerkt worden dat er nog steeds enige vrijheid is gelaten aan de lidstaten. Een eenvoudig voorbeeld hiervan is te vinden in artikel 8 GDPR. Hier laat men de vrijheid aan de lidstaten om de leeftijd voor rechtmatige toestemming van een kind zelf in te vullen tussen 13 jaar en 16 jaar. De

47_{Artikel 5, (4) Verdrag betreffende de Europese Unie van 7 februari 1992.} 48_{Artikel 5, (3) Verdrag betreffende de Europese Unie van 7 februari 1992.}

protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation)”, Brussel 25 januari 2012, laatst geraadpleegd op maandag 27 april 2020 via https://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2012:0011:FIN:EN:PDF, p6.

(33)

visualisatie hieronder maakt duidelijk hoe gefragmenteerd deze keuze is geworden in de verschillende lidstaten.50

Kortom, door de economische en sociale integratie binnen de EU en dankzij de interne markt is er sprake van een substantiële groei van interstatelijke transacties. Ook op vlak van staatsveiligheid moeten nationale autoriteiten met elkaar samenwerken om data uit te wisselen. Dit brengt een hele reeks nieuwe uitdagingen met zich mee, eveneens op vlak van gegevensbescherming, wanneer deze data massaal uitgewisseld wordt.

Indien vertrouwen een voorwaarde is voor onder andere verdere ontwikkeling en dit kan opgewekt worden door sterkere handhaving, dan vergt dit alles inderdaad een coherent kader ter bescherming van de persoonsgegevens. Naast vertrouwen zou dit ook zorgen voor meer rechtszekerheid voor alle actoren in de keten. Dat dit alles gunstiger zal zijn op een interstatelijk niveau vloeit voort uit de aard van de huidige technologie. De vraag rijst dan echter in welke mate dit kader niet hetzelfde zou moeten zijn over heel de wereld? Gegevensverzameling- en verwerking gebeurt uiteraard niet enkel in – en binnen – de Europese Unie.

50 _{Afbeelding: I. MILKAITE en E. LIEVENS, “Better Internet for Kids – Counting down to 25 May 2018:}

mapping the GDPR age of consent across the EU”, 8 mei 2018, https://www.betterinternetforkids.eu/web/portal/practice/awareness/detail?articleId=3017751, figuur 1, p5.

(34)

DEEL III. SITUERING GDPR GLOBAAL

1. Algemeen

Met de Europese Privacyrichtlijn van 1995 heeft men getracht een harmonisatie te bereiken wat betreft privacy en gegevensverwerking, maar een richtlijn bleek nog te veel ruimte te laten voor verschillen op nationaal niveau. Dit was de aanleiding van de verordening zoals we die nu kennen. Het voordeel van het gebruik van een verordening om aan regelgeving te doen binnen de Europese Unie is dat de lidstaten (quasi) geen vrijheid krijgen voor de omzetting en interpretatie. De EU legt het regelgevend kader vast voor alle lidstaten zonder nog veel beoordelingsvrijheid te laten aan de nationale instanties. Dat de situatie binnen de Europese Unie sterk gereguleerd is, en dan zeker sinds de intrede van de GDPR, staat vast. Deze hoge reguleringsgraad is echter niet overal in de wereld hetzelfde. Gegevensbescherming als fundamenteel recht kwam niet van dag één op dag twee tot stand. Een hele evolutie is voorafgegaan. Denk ook aan het feit dat de verordening een nieuwe versie is van de reeds eerder bestaande richtlijnen.51_{Men heeft}

reeds kunnen leren van de implementatie van deze richtlijn alvorens de verordening in werking kon treden.52_{Dit is een voorsprong die men over het algemeen niet terugvindt in}

andere rechtssystemen.

In het kader van deze masterproef is het interessant ook het al dan niet regelgevend kader van andere rechtssystemen, in andere werelddelen, kort te belichten. Daarom wordt hieronder verder ingegaan op de geldende regimes in China en de Verenigde Staten. Deze twee rechtsstelsels werden gekozen omwille van hun grote invloed op de wereldeconomie enerzijds en anderzijds omwille van hun uiteenlopende aanpak omtrent gegevensbescherming.

51_{Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de}

bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens. Alsook Richtlijn 2002/58/EG van het Europees Parlement en de Raad van 12 juli 2002 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie, Publicatieblad Nr. L 201 van 31/07/2002.

52_{N.F. PALMIERI, “Data Protection in an Increasingly Globalized World”, Indiana Law Review, Vol. 94:297,}

(35)

2. China

Wat betreft China, heerst er een perceptie dat er zo goed als geen gegevensbescherming aan te pas komt. Een geheel andere zienswijze dan in Europa dus. Reeds lang doet de Chinese overheid aan surveillance op grote schaal, zonder dat hiertegenover een sterk legislatief kader lijkt te staat.

Een voorbeeld hiervan is terug te vinden in The Telegraph53_{. Hierin wordt uitgelegd hoe}

Chinese politieagenten artificiële intelligentie (verder ‘AI’) gebruiken bij het identificeren van mogelijke verdachten. Zonder enige vereiste toestemming kunnen ze via hun zonnebril, die artificiële intelligentie-technologie bevat, direct de persoonlijke gegevens van een individu, waaronder ook gevoelige gegevens, te zien krijgen. Dit soort ‘roekeloos’ gedrag zou in de EU nooit mogelijk zijn. Dit maakt natuurlijk dat onder andere de AI-wedloop moeilijker bij te houden wordt door Europa, maar ook andere technologische evoluties zouden onder kunnen lijden. De GDPR lijkt voor China dus niet direct aantrekkelijk en dit zou op economisch vlak eerder een negatieve invloed kunnen hebben voor Europa. Recent echter, is er verandering gekomen in deze volledige stilte.

Graag zou ik evenwel opmerken dat veel geraadpleegde literatuur afkomstig is vanuit andere stelsels dan China, wat kan gezorgd hebben voor een interpretatie die beïnvloed is vanuit een Europese of Amerikaanse visie.

2.1. De Cyber Security Law

Op 1 juni 2017 trad de Cyber Security Law54_{in werking en op 1 mei 2018 de}_{“The Personal}

Information Security Specification”55_{. Dit tweede instrument is echter een niet-bindende}

richtlijn, maar toont toch eveneens aan dat er wordt stil gestaan bij het vraagstuk omtrent gegevensbescherming en dat men dit niet volledig aan zich laten voorbijgaan. Of zo lijkt het toch.

53_N._{CONNOR, “Chinese police using facial recognition glasses to identify suspects”, The Telegraph, 7}

februari 2018. URL: https://www.telegraph.co.uk/news/2018/02/07/chinese-police-using-facial-recognition-glasses-identify-suspects/

54_{Chinese Cyber Security Law van 1 juni 2017, ook naar verwezen als Network Security Law}

(36)

Gegevensbescherming wordt niet overal op dezelfde manier geïnterpreteerd. Daar waar gegevensbescherming vanuit Europees oogpunt een fundamenteel recht voor individuen uitmaakt, is dit vanuit Chinees oogpunt eerder een beleidsinstrument, bedoeld om de communistische overheersing te beschermen.56_{Zo gaat orde en stabiliteit boven het}

individuele belang. Het idee heerst dat een regering die door de wet wordt ingeperkt een bedreiging vormt voor het regime.57_{Op deze manier ontwikkelt China een eigen regime}

van gegevensbescherming, met eigen aandachtspunten.

Wat deze Cyber Security Law nu exact inhoudt is niet altijd even duidelijk. Duidelijk is wel dat het eveneens een omnibus werking heeft. Net zoals de GDPR is het niet sectorspecifiek, maar heeft het een heel ruime werking, zowel wat betreft territoriaal, materieel als personeel toepassingsgebied.58_{De wet is van toepassing op de ontwikkeling,}

exploitatie, onderhoud en gebruik van netwerken alsmede cybersecurity op het Chinese territorium. Het concept ‘netwerk’ wordt gedefinieerd in artikel 76, (1) en verwijst vrij vertaald naar systemen die bestaan uit computers of andere ‘informatieterminals’ en gerelateerd materiaal dat bepaalde regels en procedures volgt voor de verzameling, opslag, overdracht, uitwisseling en verwerking van informatie.

2.2. Cyber Security Law en de GDPR

Hieronder zal kort ingegaan worden op aanwezigheid van de basisprincipes vervat in artikel 5 GDPR in de Chinese Cyber Security Law (transparantie, rechtmatigheid & behoorlijkheid, juistheid, doelbinding, dataminimalisatie, opslagbeperking, integriteit & vertrouwelijkheid en verantwoordingsplicht).

56_{A. CHANG, “Warring State: China’s Cybersecurity Strategy”, december 2014, laatst geraadpleegd op 28}

april 2020, via :

https://s3.amazonaws.com/files.cnas.org/documents/CNAS_WarringState_Chang_report_010615.pdf?mti me=20160906082142. Zie ook: E. WONG, “China, Cybersecurity Is Part of Strategy for Protecting Communist Party”, New York Times, via: https://sinosphere.blogs.nytimes.com/2014/12/03/for-china-cybersecurity-is-part-of-strategy-for-protecting-the-communist-party/

57 _{S.W. HAROLD, M.C. LIBICKI en A.S. CEVALLO, “Getting to Yes with China in Cyberspace”, Rand}

Corporation, 2016, p. 22 (105).

58_{Artikel 2 Network Security Law: niet-officiële vertaling: URL:}

(37)

Als eerste raken we de vereiste van transparantie, rechtmatigheid en behoorlijkheid aan. Dit principe houdt in dat er sprake moet zijn van een gerechtvaardigde verwerkingsgrond, waarbij de verwerking eerlijk en loyaal gebeurt en voldoende informatie aan de betrokkene wordt meegegeven.

Volgens de GDPR is een van de gerechtvaardigde verwerkingsgronden de toestemming van de betrokkene. Hoewel toestemming ook wel enige rol speelt in de Chinese regelgeving, is het niet de hoofdzaak zoals vaak wel het geval is bij de GDPR.59_{De nadruk}

ligt eerder op het correct gebruik van persoonsgegevens dan op het verkrijgen van de toestemming. Hiervoor verwijst de wet geregeld naar ‘noodzakelijkheid’ van het gebruik van persoonsgegevens, zonder hier echter een verdere verklaring aan te geven.60_Hoewel

dit op het eerst zicht dus niet lijkt overeen te stemmen, mag er niet vergeten worden er ook andere verwerkingsgronden worden aangeduid in artikel 6 GDPR. Zo kan bijvoorbeeld ook een overeenkomst of een wettelijke verplichting een gerechtvaardigde verwerkingsgrond uitmaken.61 _Deze _{verwerkingsgronden} _leunen _reeds _meer _aan _bij _de

noodzakelijkheidsvereiste van de Chinese Cyber Security Law.

Wat betreft transparantie valt er weldegelijk een groot onderscheid te merken met de GDPR. Daar waar de GDPR sterk inzet op het recht op kennisgeving, recht van toegang/inzage en het recht op rectificatie, is dit niet aanwezig in de Chinese regelgeving. Het recht op toegang/inzage is op geen enkele manier expliciet aanwezig.62_{Een individu}

kan bijgevolg niet de informatie die van hem of haar wordt bijgehouden opvragen bij een gegevensverwerker.

Indien we transparantie mede koppelen aan juistheid, dan kunnen we wel een toevlucht vinden in artikel 43 dat een recht op rectificatie biedt. Een individu heeft de mogelijkheid om verbetering of verwijdering te vragen van zijn of haar gegevens. Dit recht op verwijdering zal er zijn indien de netwerkbeheerder niet gehandeld heeft volgens de

59_{Artikel 41 Network Security Law, niet-officiële vertaling: URL:}

https://www.newamerica.org/cybersecurity-initiative/digichina/blog/translation-cybersecurity-law-peoples-republic-china/.

60_{Zie onder meer artikelen 41, 42 en 50 Cyber Security Law} 61_{Art. 6 GDPR}

(38)

regelgeving en verbetering zal net zoals bij ons (GDPR) mogelijk zijn indien er fouten geslopen zijn in de gegevens die worden bijgehouden.

Ook voor de vereiste van doelbinding (artikel 5, 1, (b) GDPR) vinden we een ‘vergelijkbare’ bepaling terug in de Chinese wetgeving. Artikel 41 bepaalt dat netwerkbeheerders duidelijk het doel, de middelen en het toepassingsgebied zullen moeten mededelen.

Verder is ook de integriteit en vertrouwelijkheid63_{in zekere mate terug te vinden, alsook de}

verantwoordingsplicht64_{. De verantwoordingsplicht, die wordt uitgewerkt van artikel 59 tot}

en met artikel 75, bepaalt duidelijk welke boetes verbonden zijn aan welke overtreding. Daaraan verbonden hangt ook de bevoegdheid om overeenstemming met de wetgeving na te gaan. Artikel 51 geeft deze bevoegdheid aan de National Grid and Information

Department (CAC)65_{, de Cyberspace administratie van China.}66_{Deze CAC rapporteert aan}

het Leading Small Group for Network Security and Informatization (LSG) wat opgericht en geleid wordt door de president van China (Xi Jinping).67_{Dit staat lijnrecht tegenover het}

concept van de toezichthoudende autoriteiten van de GDPR die een onafhankelijke functie uitoefenen.

Wat echter op het eerste moeilijker terug te vinden is en wat ook van belang is voor deel III, 2 (stimulans voor innovatie) van deze masterproef zijn bepalingen die handelen over dataminimalisatie en opslagbeperking.

Dit is een heikel punt voor de ontwikkeling van veel nieuwe technologieën, alsook reeds bestaande technologieën. Later wordt er verder ingegaan op de al dan niet innovatie stimulerende effecten van deze bepalingen.

63_{Zie meerdere verwijzingen naar maatregelen die netwerkbeheerders nemen die ‘noodzakelijk’ zijn. O.a. in}

artikelen 41, 42 en 50.

64_{Zie Hoofdstuk VI: ‘Legal responsibility’}

65 _{R. BIRD, P. Y. QUAH, “Where are we now with data protection law in China?”, Freshfields Bruckhaus}

Deringer, 11 september 2019, laatste raadpleging op 28 april 2020, via: https://digital.freshfields.com/post/102fqnd/where-are-we-now-with-data-protection-law-in-china-updated-september-2019.

2019, Hein Online, p/ 321.

67_{P.J. BOLT, S.N. CROSS, “China, Russia and Twenty-First Century Global Geopolitics”, Oxford University}

(39)

Wat betreft dataminimalisatie wordt er een ‘soft’ versie vooropgesteld. Een netwerkbeheerder mag geen persoonsgegevens verzamelen wanneer dit geen verband houdt met de diensten die deze aanbiedt.68_{Een nadere beschouwing echter leert dat de}

richtlijn van 2018 (The Personal Information Security Specification) wel verder ingaat op deze dataminimalisatie. Punt 5, d van deze richtlijnen bepaalt het volgende:

“d) Minimization Principle: Unless otherwise agreed by the PI subject, only process the minimum types and quantity of PI necessary for the purposes for which the authorized consent is obtained from the PI subject. After the purposes have been achieved, the PI should be deleted promptly according to the

agreement.”69

Deze bepaling komt reeds in de buurt van het dataminimalisatie principe vervat in artikel 5, c GDPR.

Ook aan de vereiste van opslagbeperking wordt er weinig aandacht besteed in de wetgeving, maar zijn er hier en daar wel sporen van terug te vinden in de richtlijn. In punt 5.6, 3 wordt er gewag gemaakt van ‘storage time limit’ die in de privacy policy moet worden vermeld en volgens punt 5.3., a) zal de periode van opslag moeten worden medegedeeld aan het gegevenssubject.

Deze richtlijn is uiteraard niet bindend, maar toont wel aan dat er alvast gedacht wordt aan deze principes en er in zeker mate wel rekening mee zou moeten worden gehouden.

Uit deze korte schetsing kunnen enkele conclusies getrokken worden. Eerst en vooral is het duidelijk dat China ook niet stil staat. De bepalingen zijn niet even verregaand als deze die in de GDPR vervat liggen, maar lijken toch verregaander dan de algemene perceptie over het China waar alles kan en alles mogelijk is. Hier moet echter een

68_{Artikel 41, §2: “Network Operators must not gather information unrelated tot he services they provide”.} 69_{Zie vrije vertaling:}

(40)

bijzonder belangrijke kanttekening in het achterhoofd gehouden worden. Het doel dat voor ogen wordt gehouden bij beide wetgevingen (GDPR en Network Security Law) is fundamenteel verschillend. Daar waar bij de Europese GDPR het individu voorop staat en een maximale controle krijgt over zijn eigen gegevens, is dit in China geenszins het geval. Het collectieve belang gaat voor op het individuele belang. Daarenboven is er ook een intrinsiek andere aanpak door het feit dat het staatsgestel de touwtjes in handen houdt in China (zie LSG).

3. De Verenigde Staten

In tegenstelling tot wetgeving voor handen in Europa en China is deze van de Verenigde Staten niet allesomvattend. Er wordt meer sectorspecifiek te werk gegaan, met dikwijls territoriale verschillen.70_{Op federaal niveau is er dus geen sprake van een omnibus}

regelgeving omtrent gegevensbescherming. Dit houdt ook in dat de Amerikaanse Grondwet het recht op gegevensbescherming niet expliciet erkent, in tegenstelling tot het Handvest van de grondrechten van de Europese Unie (zie infra). Hoewel niet expliciet opgenomen in de grondwet, is een grondwettelijk recht op privacy wel erkend in de Amerikaanse rechtspraak.71

Lokaal zijn er in Amerika ook reeds eigen initiatieven wat betreft gegevensbescherming. Staten zijn namelijk vrij om zelf wetgeving hieromtrent aan te nemen. Een lappendeken aan regelgeving is hier dus niet uitgesloten.

California bijvoorbeeld mag dan reeds lang een pionier zijn op vlak van technologische evolutie, maar ze is nu ook een van de eersten die een nieuwe wetgeving voor bescherming van gegevens aanneemt. “California leads the way on U.S.-dataprivacy

2019, Hein Online, p. 323.

71_{Een samenlezing van Amendement 1, 3, 4 en 9 creëert een recht op privacy (in huwelijksverband).}

Verschillende bepalingen van de Bill of Rights samengelezen creëren als het waren een ‘zone’ dat een recht op privacy tegen het overheidsoptreden omhelst. Zie: U.S. Supreme Court of 29 March 1965, 381 U.S. 479

(1965), Griswold v. Conneticut. 2 jaar later oordeelde het Supreme Court in Katz v. United States ook dat het

afluisteren van een telefoon steeds een voorafgaand bevel vereist om in overeenstemming te zijn met het vierde Amendement.