Ik weet niet of u het herkent, maar ik heb even met mijn ogen geknipperd en het is al eind januari 2021. In 2017 kon men nog niet vermoeden dat de ePrivacyverordening zelfs nu nog volop onderwerp van discussie zou zijn.
In 2019 schreef mijn collega Laura Poolman al een update met de hoopvolle kop “Wordt 2019 álsnog het jaar van de ePrivacyverordening?” en in juni 2020 volgde een vervolg. Nu is er, onder Portugees voorzitterschap, wederom schot in de zaak met de publicatie van een nieuw concept van de ePrivacyverordening. Dit concept bevat een aantal interessante wijzigingen. We geven jullie graag een nieuwe update.
Voor degenen die het niet scherp (meer) hebben of nieuw zijn in dit onderwerp: de ePrivacyverordening is onderdeel van de Digital Single Market-strategie. Het doel hiervan is om ervoor te zorgen dat ook de gegevensbescherming rond elektronische communicatie in de EU gewaarborgd is. Daarnaast moet de ePrivacyverordening de diverse lidstatelijke regelgeving op dit vakgebied harmoniseren en is het doel om deze regelgeving beter aan te laten sluiten op de Algemene Verordening Gegevensbescherming (AVG). Zoals ik al in de inleiding schreef, is het debat over de ePrivacyverordening de afgelopen jaren steeds meer een hoofdpijndossier geworden. Vaak lopen onderhandelingen stuk op voor lidstaten cruciale punten, zoals de mogelijkheden voor het gebruik van cookies.
Portugal is op 1 januari 2021 op de zetel van de voorzitter neergestreken, nadat Duitsland deze positie op 1 juli 2020 had overgenomen. Vier dagen later, op 5 januari 2021, werd het nieuwe voorstel al gepubliceerd. Dit gebeurde intussen voor de 14e keer. Op 7 januari 2021 is het voorstel besproken in WP TELE.
Een overzicht van de belangrijkste wijzigingen:
Om de ePrivacyverordening meer in overeenstemming te brengen met de AVG is de territoriale reikwijdte verruimd. Door de wijziging zal de ePrivacyverordening ook van toepassing zijn op de verwerking van persoonsgegevens door verwerkingsverantwoordelijken die niet in de EU zijn gevestigd, maar op een plek waar krachtens het internationaal publiekrecht het lidstatelijke recht van toepassing is (in lijn met artikel 3(3) AVG).
Ook zijn er opnieuw bepalingen opgenomen die betrekking hebben op de “verenigbare verdere verwerking” voor de metadata van elektronische communicatie en data verkregen uit cookies. Met deze nieuwe bepalingen, die in eerdere versies waren geschrapt, kan een onderneming deze data onder specifieke voorwaarden - maar zonder toestemming te hoeven vragen - verder verwerken. Daarmee wordt de Verordening op dit punt meer afgestemd op art. 6(4) AVG. Voorwaarden die de concept Verordening onder andere noemt is het uitvoeren van een DPIA en voorafgaande raadpleging bij de toezichthouder.
Er zijn opnieuw bepalingen opgenomen die het delen van geanonimiseerde statistische metadata met derde partijen mogelijk maken, mits er een DPIA wordt uitgevoerd en er voorafgaande raadpleging wordt gedaan bij de AP.
Niet geheel onbelangrijk: het concept bevat een definitie van het begrip ‘locatiegegevens’.
Maar, het meest interessant is de wijziging - of schrapping van een zinssnede- in het kader van ‘cookiewalls’. In artikel 20aaaa is het criterium verwijderd dat een gebruiker ook in staat moet zijn om bij dezelfde aanbieder een vergelijkbare toegang tot de website te verkrijgen, zonder dat hij de cookies accepteert. De nieuwe situatie zou betekenen dat wanneer andere, soortgelijke partijen een vergelijkbaar aanbod bieden op hun website, websitehouders (blijkbaar) geen vergelijkbare toegang (meer) tot hun eigen website hoeven te bieden indien de gebruiker de cookies niet accepteert. Dit maakt het gebruik van cookiewalls in die gevallen toegestaan.
Als reden voor die laatste wijziging wordt aangevoerd dat de zinssnede “by the same provider” een te restrictief beleid oplevert, waardoor het voor aanbieders vrijwel onmogelijk is om “gratis” content aan te bieden. Waar vele wijzigingen betrekking hebben op het meer in overeenstemming brengen van de Verordening met de AVG, lijkt deze wijziging hiermee juist op gespannen voet te staan. In de richtlijnen over toestemming stelt de EDPB namelijk uitdrukkelijk dat het gebruik van cookiewalls niet is toegestaan, zelfs niet als er een alternatief wordt geboden door een derde partij.
Het is dan ook niet gek dat de EDPB na publicatie een verklaring heeft gepubliceerd waarin zij haar zorgen uit over de nieuwe concept ePrivacyverordening. Zij benadrukt dat de voorzitter een kans heeft gemist om een duidelijke uitleg te geven over het gebruik van cookiewalls.(1)
De vraag die resteert is of het de Portugese voorzitter lukt om een akkoord van alle lidstaten te krijgen. Het is gezien het lange proces inmiddels gevaarlijk geworden om uitspraken te doen over de kans van slagen. Wat in ieder geval zeker is, is dat de termijn van de inwerkingtreding en toepasselijkheid van de ePrivacyverordening wordt ingekort. In art. 29 van het concept is deze termijn van 2 jaar, naar twaalf maanden ingekort. Hierdoor zullen ondernemingen, als het zover is, minder lang de tijd hebben om hun praktijk conform de definitieve ePrivacyverordening in te richten.
Meer artikelen van Kennedy Van der Laan >>