Overzicht Actueel

Nieuwe concepttekst ePrivacy Verordening

Het jaar was nog geen week begonnen, en er lag alweer een nieuwe concepttekst voor de ePrivacy Verordening bij de Europese Raad. Het is inmiddels de veertiende concepttekst voor de ePrivacy Verordening. Of deze versie de eindstreep wél gaat halen is nog maar de vraag, maar Portugal lijkt binnen zijn overgenomen voorzitterschap toe te willen werken naar een akkoord.

Wat gaat de ePrivacy Verordening regelen?
Eenmaal aangenomen zal de ePrivacy Verordening regels opleggen rondom het gebruik van persoonsgegevens binnen elektronische communicatie. Denk hierbij aan de inzet van marketingkanalen als e-mail, cookies en telemarketing.

Belangrijkste wijzigingen concepttekst
In de bijsluiter bij de tekst maakt de Portugese voorzitter duidelijk dat hun doel is om de tekst te vereenvoudigen, meer in lijn te brengen met de AVG en de territoriale scope van de ePrivacy Verordening te verbreden zodat deze ook van toepassing is op verwerkingen gedaan door een verantwoordelijke buiten de EEG.

Andere dingen die opvallen:

  • De grondslag gerechtvaardigd belang komt (wederom) niet meer voor in het voorstel. In een eerdere versie werd ruimte geboden voor de aanbieder om te kiezen voor gerechtvaardigd belang als grondslag voor het plaatsen van cookies. De grondslag heeft zijn weg niet teruggevonden in deze conceptversie van de ePrivacy Verordening, en wij verwachten ook niet dat deze nog terug zal komen.
  • ‘Verenigbare verwerking’ voor metadata en data verkregen uit cookies is (opnieuw) toegevoegd aan het voorstel. Hoewel deze benadering nog steeds de mogelijkheid uitsluit om de gegevens verder te verwerken voor profileringsdoeleinden “waarvoor altijd de toestemming van de eindgebruiker vereist is”, is het een stap vooruit in de doorvoering van de risk-based benadering van de AVG. Hiermee is ook de relevantie van accountabillity voor aanbieders onderstreept en doorgevoerd.
  • Dat er bij een cookiewall sprake moet zijn van een cookieloos vergelijkbaar aanbod bij dezelfde aanbieder is verwijderd als criterium. Websitehouders mogen dus een cookiewall instellen, ook als een andere aanbieder een vergelijkbaar aanbod heeft. Dit komt niet overeen met het standpunt van de EDPB over cookiewalls in de guideline over toestemming. Daarin stellen de toezichthouders dat de geldigheid van toestemming niet afhankelijk gemaakt kan worden van het content-aanbod van derden.
  • Voor telemarketing blijft de bepaling staan die lidstaten in staat stelt om (i) een vaste periode te bepalen voor het gebruik van de soft opt-in, (ii) een specifieke prefix aan te nemen ter identificatie van telemarketingoproepen en (iii) B2B-direct marketing via elektronische weg te reguleren. Lees hier hoe Nederland invulling geeft aan deze keuzevrijheid.
  • Tot slot is de periode van inwerkingtreding en toepasselijkheid gehalveerd van 2 jaar naar 1 jaar. Dit geeft het bedrijfsleven minder tijd om de dagelijkse praktijk in lijn te brengen met de verordening.

EDPB-visie
De EDPB heeft in de recent uitgebrachte statement over de ePrivacy Verordening haar zorgen geuit over de oplaaiende discussie over de toezichthoudende partij. Enkele lidstaten pleiten voor keuzevrijheid voor toezichthouder, bijvoorbeeld in Nederland de ACM. De EDPB pleit juist voor één toezichthouder voor zowel de AVG als de ePrivacy Verordening. Ze zijn namelijk bang voor een fragmentatie van toezicht, procedurele complexiteit en een ongelijk speelveld tussen de lidstaten. Het is volgens hen van groot belang dat men bij één loket terecht kan voor alle zaken rondom de verwerking van persoonsgegevens.