Spring naar content

Het bedrag is dan misschien minder hoog dan we bij eerdere boetes voor Big Tech hebben gezien, het besluit is er niet minder interessant om. In de kern gaat deze zaak om twee dingen: (1) het doorgeven van persoonsgegevens aan een derde partij die zelf verwerkingsverantwoordelijke is (derdenverstrekking) en (2) het voor betrokkenen mogelijk maken om een verzoek in te dienen om hun gegevens te verwijderen. Voor zo’n ‘derdenverstrekking’ is, net als bij andere verwerkingen van persoonsgegevens, een geldige grondslag nodig én moet er duidelijk worden geïnformeerd. Let op: bij een derdenverstrekking gaat het dus niet om het inschakelen van een verwerker.  

Het ‘Lumen-project’ 

In 2014 oordeelde het Hof van Justitie van de Europese Unie, de hoogste Europese rechter, dat aanbieders van internetzoekmachines (zoals Google) verantwoordelijk zijn voor het verwijderen van persoonsgegevens wanneer betrokkenen daarom vragen. Om hier gehoor aan te geven heeft Google een systeem met formulieren ingericht waarmee betrokkenen een verzoek tot verwijdering kunnen indienen. Naast dat de persoonsgegevens in de formulieren worden gebruikt om de verzoeken te beoordelen, verstuurt Google bepaalde persoonsgegevens door naar het ‘Lumen-project’. Dit project is een publiek toegankelijke database die op initiatief van de Universiteit van Harvard tot stand is gekomen. Doel van de database is om onderzoekers (en andere geïnteresseerden) de mogelijkheid te geven de verzoeken tot verwijdering te bestuderen. Een betrokkene kwam er in 2018 achter dat zijn persoonsgegevens in het kader van het Lumen-project werden doorgegeven en diende daarover klachten in bij de Spaanse toezichthouder. 

Derdenverstrekking 

Op het eerste oog lijkt deze derdenverstrekking misschien onschuldig, maar de Spaanse toezichthouder oordeelde hier anders over. Na het invullen van de formulieren door een betrokkene, verstuurt Google automatisch het e-mailadres, de redenen van het verzoek en de URL door naar Lumen in de Verenigde Staten. Google verstrekt de persoonsgegevens omdat de verwerking volgens Google noodzakelijk is voor de behartiging van het gerechtvaardigd belang van zowel Google als Lumen. 

De toezichthouder kan zich in dat standpunt om een aantal redenen niet vinden. Volgens de toezichthouder informeert Google onvoldoende over de verstrekking aan Lumen. Google’s privacy statement vermeldt over de verdere verstrekking vrijwel niks en een door Google geplaatst kort bericht bij de formulieren zelf maakt volgens de toezichthouder ook niets goed. Daarnaast werd de invuller van het formulier geen mogelijkheid geboden om zich te verzetten tegen de derdenverstrekking. Ook blijkt nergens uit dat Google een – wettelijk verplichte – belangenafweging heeft gemaakt. Om die redenen kan Google geen beroep doen op de gerechtvaardigd-belang-grondslag en is er dus geen rechtmatige grondslag voor de verstrekking aan Lumen. 
 

Recht op gegevenswissing 

Het tweede onderdeel van het besluit van de Spaanse toezichthouder gaat over gegevenswissing. Google zou betrokkenen onvoldoende in staat hebben gesteld het recht op gegevenswissing te kunnen uitoefenen. Voornaamste reden hiervoor is dat de toezichthouder vindt dat het proces met de formulieren onnodig complex is ingericht, waarmee het invullers zou kunnen verwarren. Daar komt bij dat het verstrekken van de gegevens aan Lumen tegenstrijdig is aan het verzoek van een betrokkene om zijn gegevens te wissen. 

Bij het bepalen van de hoogte van de boete is ook meegenomen dat de persoonsgegevens werden verstuurd naar een partij die buiten de Europese Unie is gevestigd. Daarnaast heeft de Spaanse toezichthouder Google ook bevolen om er bij Lumen op aan te dringen dat Lumen het gebruik van de verstrekte persoonsgegevens stopt én deze ook verwijdert (voor zover het persoonsgegevens van burgers van de Europese Unie betreft). Lumen heeft laten weten dit te hebben uitgevoerd.  

Google kan nog in beroep gaan tegen het besluit van de toezichthouder. 

Wat betekent dit voor de praktijk? 

Concreet kun je een aantal dingen uit dit besluit halen voor je eigen praktijk. Check of je persoonsgegevens verstrekt aan een organisatie die hier zelf als verwerkingsverantwoordelijke mee aan de slag gaat. Zorg ervoor dat je voor deze verstrekking een geldige verwerkingsgrondslag hebt, onderbouw deze grondslag (bijvoorbeeld door het uitvoeren van de verplichte belangenafweging bij de keuze voor de gerechtvaardigd-belang-grondslag), informeer de betrokkene én biedt de mogelijkheid om zich tegen de verdere verstrekking te verzetten. Maak daarnaast het proces om een verzoek tot het wissen van hun persoonsgegevens in te dienen niet onnodig moeilijk. 

Heb jij vragen over jouw verstrekking van persoonsgegevens aan een andere organisatie? Neem dan contact op met onze juristen via legal@ddma.nl. 

Romar van der Leij

Legal counsel

Ook interessant

Lees meer
Data delen buiten EU |

Google Analytics onder vuur: wat kun je nu doen?

Het onderzoek naar Google Analytics door de Autoriteit Persoonsgegevens en andere Europese toezichthouders heeft het nodige stof doen opwaaien in onze sector. Wat betekent deze ontwikkeling en wat kun je…
Lees meer
AVG |

Privacy Shield 2.0: de oplossing voor het datadoorgiftedossier?

Sinds 2020 is er onduidelijkheid over doorgifte van persoonsgegevens naar de Verenigde Staten (VS). Verschillende Europese privacytoezichthouders onderzoeken daarom of het gebruik van Google Analytics vanwege overzeese datadoorgifte in strijd…
Lees meer
AVG |

Template: Data Transfer Impact Assessment (alleen voor leden)

In de Schrems II-uitspraak is door de hoogste Europese rechter bepaald dat data zonder geldig adequaatheidsbesluit alleen gedeeld kan worden als er onderzoek wordt gedaan naar het beschermingsniveau in het…