WTF-momentje op de vrijdagmiddag dat ik het las: Facebook weigert inzage in persoonsgegevens van hun gebruikers omdat afgifte daarvan hun handelsgeheimen in gevaar zou brengen.
De groep Europe versus Facebook had een campagne opgezet waarbij alle Europese Facebookgebruikers opgeroepen werden om een inzageverzoek te doen onder de privacywet van alle persoonsgegevens die Facebook van ze had. Facebook is verplicht daaraan mee te werken, en biedt daarvoor dit formulier, maar beriep zich tegenover enkele Ierse verzoekers op een uitzondering in de Ierse privacywet die handelsgeheimen beschermt.
De basis van het inzageverzoek is het recht van inzage, bij ons artikel 35 Wet bescherming persoonsgegevens. Dit recht bepaalt dat iedereen het recht heeft te vragen “of hem betreffende persoonsgegevens worden verwerkt.” Als dat zo is, dan moet de verantwoordelijke daarvoor “een volledig overzicht daarvan in begrijpelijke vorm” verschaffen, met onder meer het doel van de verwerking, de soorten gegevens, de ontvangers (of soorten ontvangers) en alles dat hij heeft over de herkomst van de gegevens. Een flinke bult gegevens, volgens bronnen tot een gigabyte groot.
Lid 4 van dit artikel bepaalt dat men óók moet vertellen op welke manier men gegevens verwerkt:
Desgevraagd doet de verantwoordelijke mededelingen omtrent de logica die ten grondslag ligt aan de geautomatiseerde verwerking van hem betreffende gegevens.
De beheerder van het bestand mag een verzoek alleen weigeren als het disproportioneel grote lasten op zou leveren. Hij mag bovendien geen hoge administratiekosten rekenen ” de wet noemt expliciet een bedrag van 5 euro als maximumvergoeding voor het afhandelen van een dergelijk verzoek. Dat er mogelijk een hoop moet worden gekopieerd of uitgetypt, maakt het verzoek nog niet meteen disproportioneel, zo besliste de Hoge Raad in de Dexia-zaak. Daar werd overigens ook bepaald dat het oproepen tot het massaal doen van verzoeken géén misbruik van het recht is. De Privacy Inzage Machine van Bits of Freedom is dus volstrekt legaal (en deze verkapte oproep om ‘m te gebruiken dus ook).
De Ierse wet bevat nog een specifieke uitzondering voor dat “logica”-lid:
Subsection (1) (a) (iv) of this section is not to be regarded as requiring the provision of information as to the logic involved in the taking of a decision if and to the extent only that such provision would adversely affect trade secrets or intellectual property (in particular any copyright protecting computer software).
Deze uitzondering staat bij ons niet in de wet, maar hij is terug te vinden in de privacyrichtlijn, overweging 41, dus in de praktijk mag de rechter deze uitzondering toch toepassen bij ons.
Men mag dus inzage weigeren in de logica als dat handelsgeheimen in gevaar zou brengen. Daar kan ik me nog wel iets bij voorstellen. Maar het moge duidelijk zijn dat inzage weigeren in persoonsgegevens zelf met een beroep op dit artikel niet kan. Je bent dan misschien het product van Facebook, maar dat product heeft wel het recht te weten wat er precies van hem wordt verkocht en aan wie.
Arnoud
Ik las ergens anders dat het wellicht ging om de biometrische gegevens die facebook afgeleid heeft uit foto’s die je geupload hebt. Dit zijn geen “platte” gegevens zoals naam, adres, of een datum, maar een afgeleide ervan. Uit deze afgeleide is misschien wel handelsinformatie te halen (“hoe werkt het algoritme”). Mag facebook dit achterhouden?
Nee, persoonsgegevens zijn persoonsgegevens en daar moet inzage in gegeven worden.
De informatie hoe men eraan komt zou vanwege dat handelsgeheimen-stuk wel generiek kunnen blijven: “afgeleid uit beeldanalyse van foto X en Y, welke analyse op een trade secret wijze gebeurt”.
En wat nu als je bij een site (bijvoorbeeld Facebook) geen account hebt maar de kans aanwezig is (Like knoppen/je opent de site een keer) dat ze wel persoonsgegevens hebben. Heeft de betreffende site dan nog de plicht om je de mogelijkheid te geven dat je kunt opvragen welke gegevens ze van je hebben? Eventueel tegen de eerder genoemde 5 euro.
In het verleden dacht ik hier en/of op ictrecht.nl gezien te hebben dat een IP adres mogelijk ook als persoonsgegeven gezien kan worden.
@ Ikke: Die informatie wordt niet opgevraagd middels het formulier. Je wilt enkel weten welke informatie er is opgeslagen, niet hoe men daaraan is gekomen. FB heeft in de algemene voorwaarden, min of meer, gezet dat ze tot doel hebben zoveel mogelijk informatie te verzamelen van haar gebruikers. Daar past dit beeld wel bij om het niet te willen vertrekken. Claimde FB niet het eigendom te hebben verkregen van alle informatie wanneer een gebruiker dit op FB plaatst? Teksten, foto’s, informatie, en al het andere.
Mijn vraag is wel waarom FB gegevens van gebruikers op deze wijze binnen eigen muren tracht te houden. Vrezen ze juridische sancties of hebben ze zoveel informatie van gebruikers dat gebruikers erg zelf bang voor worden nog iets met FB te doen? Wanneer men het ‘GeenStijl alu-hoedje’ opzet: er zijn verhalen dat FB gesponsord wordt door de CIA. Zou het niet in het belang van een opsporingsdienst zijn om op deze wijze veel inzichtelijke informatie van mensen te verkrijgen. Een databank die door gebruikers zelf wordt gevuld met allerlei info over hen…
Mij is de laatste paar weken geleerd dat (oa.) de wet bescherming persoonsgegevens een implementatie is van de data protection directive (95/46/EC). Artikel 12 van deze directive bevat een dergelijke uitzondering niet. In artikel 13 par. 1 staat dat beperking mogelijk is “..when such a restriction constitutes a necessary measures to safeguard:(…)(e) an important economic or financial interest of a Member State or of the European Union, including monetary, budgetary and taxation matters;(…)”; in par. 2 staat dat dit onder safeguards moet gebeuren tenzij de data alleen voor wetenschappelijke toepassingen. Nu is mijn vraag; valt deze regel van Ierland onder 13.1e (en by extension, mag facebook zich daardoor hierop beroepen of niet)?
Dan nog iets over die overwegingen; wat doen die nou precies, anders dan de verschillende standpunten opsommen? Zijn ze ook wet?
Artikel 12 Richtlijn is bij ons vertaald naar artikel 43 Wbp. Meest relevant is item e, “de bescherming van de betrokkene of van de rechten en vrijheden van anderen.” Dit wil zeggen dat als inzage de privacy van een ander zou schenden, men geen inzage hoeft te geven – of eerst moet anonimiseren. Denk aan camerabeelden waar jij en een ander op staat. Jij mag die beelden opvragen maar die ander moet wel uitgepixeld eerst.
Facebook mag zich dus op die regel beroepen maar het moet wel ‘noodzakelijk’ zijn. En dat wil zeggen “sorry ik kan écht op geen enkele wijze jou je gegevens geven zonder dat ik mezelf of anderen schaad”. Ik zou niet weten hoe Facebook dááraan voldoet. De kosten zijn in elk geval géén argument, zie het Dexia-arrest in de blog.
Tja, zo kan elk bedrijf wel een paar redenen bedenken om haar bedrijfsprocessen waarin je persoonsgegevens betrokken zijn als handelsgeheim op te voeren.
Dus eigenlijk is het wachten op wat jurispredentie. Is het eigenlijk wel mogelijk om een rechtszaak aan te spannen als je verzoek geweigerd wordt? (Ik voel de ‘Kunt u dat niet uitdrukken in een geldbedrag? Dan geen belang!’-bui al hangen.)