Conclusie Europese Hof van Justitie over afgeven persoonsgegevens
Wat betekent de conclusie van de advocaat-generaal van het Europese Hof van Justitie over het afgeven van verkeersgegevens van klanten?
Over het afgeven van persoonsgegevens door providers is veel te doen. Recente jurisprudentie lijkt te suggereren dat dat altijd moet als er een klacht komt van bijvoorbeeld BREIN of de Buma. Zelfs XS4All heeft haar beleid op dit punt versoepeld. Nu moet het Europese Hof zich voor de eerste keer buigen over de vraag of een provider verplicht kan worden persoonsgegevens aan auteursrechten-organisaties af te geven.
Er zijn nu al twee stromingen over wat deze conclusie betekent: afgifte van verkeersgegevens is verboden, of juist het verbieden van afgifte is toegestaan.
Kokott begint namelijk als volgt (met dank aan Planet voor de vertaling)
Hieruit volgend zal ik aantonen dat de gemeenschapsrechterlijke voorschriften over databescherming bij elektronische communicatie de doorgifte van persoonlijke verkeersdata slechts toestaan aan instellingen van de staat en geen directe doorgifte aan de vertegenwoordigers van rechtenorganisaties, die hun eisen civielrechtelijk kunnen vorderen.
Dat lijkt dus duidelijk: afgifte is verboden.
De uiteindelijke aanbeveling aan het Hof is echter veel minder verstrekkend:
Het is met het Gemeenschapsrecht verenigbaar wanneer Lidstaten de doorgifte van persoonlijke verkeersgegevens in het kader van civielrechtelijke handhaving van auteursrechten verbieden.
En daarom zegt BREIN:
De conclusie van de AG komt erop neer dat het EU recht toestaat dat lidstaten bepalen dat persoonsgegevens niet voor dit doel aan private patrijen mogen worden afgegeven. Als het Europese hof die conclusie volgt dan is vervolgens de vraag of een lidstaat een dergelijke uitsluiting kent. In die landen zou dan alleen strafrechtelijke vervolging van inbreukmakende p2p-gebruikers zijn toegestaan. In Nederland is dat niet het geval.
Maar dat gaat me ook weer te snel. Het Hof moet antwoord geven op vragen van nationale rechtbanken, en de vraag was hier, “mag de Spaanse rechter verbieden dat persoonsgegevens worden afgegeven in civiele zaken?” Het antwoord daarop is dus “ja”, met als motivatie dat Europees recht geen ruimte biedt voor afgifte.
De vraag was niet “mogen providers verplicht worden persoonsgegevens afgeven in civiele zaken”. Het antwoord daarop zou zijn geweest “nee, want Europees recht biedt daar geen ruimte voor.”
Het uitgangspunt is dat verkeersgegevens en IP-adressen persoonsgegevens zijn en dus alleen mogen worden afgegeven als Europese wetgeving daar de mogelijkheid voor biedt. Dat volgt uit de Privacy-richtlijn 95/46, bij ons de Wet Bescherming Persoonsgegevens.
Is er een mogelijkheid voor auteursrechten-organisaties? Nee, zegt de A-G.
Zo bepaalt Richtlijn 2002/58 betreffende privacy en elektronische communicatie dat verkeersgegevens kunnen worden afgegeven aan “bevoegde organen … met het oog op het beslechten van geschillen, in het bijzonder met betrekking tot interconnectie en facturering”. De Spaanse auteursrechten-organisatie betoogde dat zij daar ook onder vielen, maar de A-G is het daar niet mee eens. Dit gaat uitsluitend over afgeven aan rechtbanken of instanties als de OPTA.
Artikel 15 van deze richtlijn biedt de mogelijkheid om uitzonderingen op deze regels te maken, maar “ruzie over auteursrecht” staat er niet bij:
De lidstaten kunnen wettelijke maatregelen treffen ter beperking van de reikwijdte van de in (…) deze richtlijn bedoelde rechten en plichten, indien dat in een democratische samenleving noodzakelijk, redelijk en proportioneel is ter waarborging van de nationale, d.w.z. de staatsveiligheid, de landsverdediging, de openbare veiligheid, of het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten of van onbevoegd gebruik van het elektronische-communicatiesysteem (…)
De richtlijnen over auteursrecht bieden de mogelijkheid om inbreuk op auteursrecht strafbaar te stellen. Zo is in Nederland “opzettelijke inbreuk op het auteursrecht” strafbaar met zes maanden cel (artikel 31 Auteurswet). Een lidstaat zou kunnen besluiten uitwisseling zonder toestemming via filesharing strafbaar te stellen. In zo’n situatie kan een provider dus verplicht worden mee te werken aan de opsporing van de pleger van dat feit. Maar ook dan gaat het om “opsporen en vervolgen van strafbare feiten” en ook dat biedt geen basis voor het afgeven van die gegevens aan een private organisatie zoals BREIN of de Buma.
De recente richtlijn 2006/24 over bewaren van verkeersgegevens verplicht providers om verkeersgegevens te bewaren en zonodig af te geven. Ook hier weer: alleen aan de bevoegde nationale autoriteiten. Niet aan private organisaties.
Er is met andere woorden geen grondslag in Europees recht om afgifte van verkeersgegevens aan private organisaties toe te staan. Een verbod is dus in overeenstemming met Europees recht. Een plicht tot afgifte is dan echter juist in strijd met dit recht. Maar ja, dat was de vraag niet, en het Hof beantwoordt alleen de vragen die men stelt.
De conclusie van de A-G is trouwens juridisch niet bindend. Dat is alleen het arrest van het Hof, dat over een aantal maanden wordt verwacht. Het Hof kan zonder meer een heel ander besluit nemen. Maar vaak wordt de conclusie wel grotendeels overgenomen.
Arnoud
Tags:
Je schrijft:
Zou het verstrekken van NAW-gegevens door providers aan bijvoorbeeld BREIN werkelijk in strijd zijn met het EU-recht? Het lijkt mij interessant, dat verder uit te laten zoeken.
Volgens mij is in zaken in Nederland door de rechter besloten dat NAW-gegevens verstrekt moesten worden om BREIN in staat te stellen, een procedure te beginnen tegen vermeende inbreukmakers. (Omdat je in Nederland geen anonieme personen voor de rechter kunt dagen). Het gaat daarbij om NAW-gegevens, niet om verkeersgegevens. Net als in de zaak Promusicae - Telefónica; als ik mij niet vergis gaat het ook daar om het vrijgeven van NAW-gegevens, niet om verkeersgegevens.
Reactie door Niels Huijbregts — 23 juli 2007 @ 18:58
We hebben natuurlijk HR Lycos/Pessers waarin ook het stukje privacy/persoonsgegevens aan de orde kwam. Dat ging op basis van de WBP, die in artikel 8 sub f afgifte toestaat als dat “noodzakelijk is voor de behartiging van het gerechtvaardigde belang” van de vragende partij. Of zo’n rechtszaak een gerechtvaardigd belang vormde, en of afgifte noodzakelijk was, vereist een belangenafweging, aldus de HR. En die viel uit in het voordeel van Pessers.
Dat artikel komt uit Richtlijn 95/46, artikel 7 sub f om precies te zijn. De A-G kijkt in het geheel niet naar dat artikel, omdat Richtlijn 2002/58 als specifiekere privacywet voor telecommunicatie geldt, en dan geldt wat daarin staat, boven de algemene wet (item 46). En richtlijn 2002/58 is strenger over de afgifte van verkeersgegevens.
En over het verschil tussen verkeers- en persoonsgegevens: artikel 6 van Richtlijn 2002/58 spreekt van “verkeersgegevens met betrekking tot abonnees en gebruikers”. En dat zijn m.i. persoonsgegevens in de zin van de WBP.
Arnoud
Reactie door Arnoud Engelfriet — 23 juli 2007 @ 19:34
Mooie discussie. Ik heb ook eens gekeken naar het advies van de AG. Strekking van haar betoog is volgens mij dat Richtlijn 2002/58/EG het niet toelaat dat opgeslagen verkeersgegevens worden gebruikt om een (anonieme) gebruiker te identificeren op vordering van een private partij. Als haar interpretatie van Richtlijn 2002/58/EG juist is, dan verzet het Europese recht zich tegen de verstrekking van NAW-gegevens door providers, voorzover deze verkeersgegevens dienen te verwerken om de NAW-gegevens te kunnen achterhalen. Verwerking mag niet, dus verstrekking kan niet.
In Lycos/Pessers heeft de Hoge Raad aangenomen dat de provider onder bepaalde omstandigheden een plicht heeft desgevraagd NAW-gegevens aan private partijen te verstrekken. Als verstrekking van NAW-gegevens mag (en dat werd daar op basis van 8 sub f Wbp beoordeeld), dan moet die verstrekking (onder bepaalde omstandigheden) ook plaatsvinden, aldus de HR.
Indien de benadering van de AG juist is (en de rechter heeft daarin natuurlijk het laatste woord, maar ik deel haar interpretatie van de richtlijn wel), dan kan de verstrekking van NAW-gegevens niet op basis van Lycos/Pessers worden afgedwongen, indien voor die verstrekking een verwerking van verkeersgegevens nodig is.
Wilfred
Reactie door Wilfred — 26 juli 2007 @ 12:42
Duitse rechter weigert persoonsgegevens filesharers af te geven…
Schending van auteursrecht is Bagatellkriminalität, aldus de Duitse rechter. In Duitsland kun je als auteursrechthebbende niet zoals in Nederland van een provider eisen dat deze persoonsgegevens van gebruikers afgeeft als die je auteursrecht schenden….
Trackback door Internetrecht: actualiteiten en commentaar — 13 augustus 2007 @ 8:58
Afgifte persoonsgegevens door providers toegestaan, maar niet zomaar…
Europese landen mogen geen ongenuanceerde regels hanteren dat internetproviders persoonsgegevens van klanten altijd moeten afgeven bij rechtszaken, zo oordeelde het Europese Hof van Justitie gisteren. Een instantie als BREIN, of iemand die zich beledig…
Trackback door Internetrecht: actualiteiten en commentaar — 30 januari 2008 @ 8:57