In het vorige deel van dit tweeluik over de Data Act werd duidelijk welke nieuwe regels de verordening in het leven roept. De Data Act moet met deze regels data toegankelijker en bruikbaarder maken, innovatie gebaseerd op data bevorderen en de beschikbaarheid van data vergroten. Als we spreken van data in deze context, hebben we het zowel over niet-persoonsgebonden gegevens als persoonsgegevens.[1] Als het gaat om persoonsgegevens kennen we echter ook al een tijdje een andere belangrijke Europese wet: de Algemene verordening gegevensbescherming of AVG. Wat zijn de overeenkomsten en verschillen tussen deze twee wetten? En hoe verhouden ze zich tot elkaar? Je leest er hier meer over!
Welke wet heeft voorrang?
Omdat de Data Act en de AVG beide regels bevatten voor de omgang met persoonsgegevens, rijst al snel de vraag welke wet voorgaat op de ander in het geval van tegenstrijdigheden. Dit probleem is door de Europese wetgever ook voorzien en zij heeft dan ook gepoogd om via een aantal bepalingen in de Data Act duidelijkheid te scheppen.
Zo valt in overweging 7 en art. 1 lid 5 te lezen dat de Data Act een aanvulling vormt op de AVG en geen afbreuk doet aan het Europese en nationale recht inzake de bescherming van persoonsgegevens. De regels uit de Data Act mogen op geen enkele wijze zo worden uitgelegd dat het recht op privacy wordt beperkt. Wanneer er dan toch tegenstrijdigheden zijn, heeft de AVG voorrang. Beide wetten zullen dus op zo’n manier geïnterpreteerd moeten worden dat ze elkaar zo goed mogelijk aanvullen en elkaar in evenwicht houden.
Maar creëert de Europese wetgever hier wel genoeg duidelijkheid mee voor de praktijk? De scheidslijn tussen persoonsgegevens en niet-persoonsgebonden gegevens is flinterdun.[2] Zodra de door een ‘smart’ apparaat gegenereerde data al te herleiden is naar identificeerbare persoon, bijvoorbeeld door de koppeling aan een account, gelden deze gegevens als persoonsgegevens en is de AVG naast de Data Act van toepassing. Door deze dunne scheidslijn is het voor organisaties soms lastig om per product en dienst te bepalen of de gegevens persoonsgegevens zijn en aan welke wetgeving ze zich moeten houden. Daarnaast is het bij een aantal tegenstrijdige punten op voorhand nog moeilijk te zeggen hoe ze geïnterpreteerd moeten worden.
Toegang
Zo moeten aanbieders van ‘smart’ apparaten hun gebruikers[3] door de Data Act toegang verlenen tot de data die het apparaat genereert. Het kan hier dus ook gaan om persoonsgegevens. Wanneer dit de persoonsgegevens van de gebruiker zelf zijn, levert dit waarschijnlijk geen probleem op. ‘Smart’ apparaten kunnen echter ook door andere personen dan de hoofdgebruiker worden gebruikt. Denk bijvoorbeeld aan een Smart Home-systeem waar meerdere geregistreerde gezinsleden gebruik van maken, of een slimme bedrijfsauto waar werknemers in rijden.
Voor het verzamelen van de data van de andere gebruikers (betrokkenen) zal de gebruiker die de gegevens opvraagt een grondslag uit de AVG moeten hebben.[4] Dit geldt waarschijnlijk niet voor het voorbeeld van het Smart Home-systeem, want dit zou weleens onder de huishoudexceptie van art. 2 lid 2 sub c AVG kunnen vallen, maar bijvoorbeeld wel voor de werkgever van de werknemer met de slimme bedrijfsauto.
Art. 4 lid 12 van de Data Act bepaalt daarnaast dat de aanbieder van het ‘smart’ apparaat alleen persoonsgegevens van andere betrokkenen ter beschikking mag stellen als de gebruiker daar een grondslag uit de AVG voor heeft. Dit impliceert dat de aanbieder eerst moet controleren of de gebruiker wel een grondslag heeft. Dit zal in de praktijk erg lastig zijn en vergt een grote inspanning van de aanbieder. Dit lijkt erg disproportioneel en het is dus maar de vraag of deze bepaling ook op deze wijze dient te worden geïnterpreteerd.
Voorts rijst de vraag welke grondslag de aanbieder zelf heeft om de persoonsgegevens van derden te verstrekken aan de gebruiker die data opvraagt. Overweging 7 van de Data Act geeft namelijk duidelijk aan dat de verordening geen nieuwe zelfstandige grondslag schept. Of dit zo geïnterpreteerd moet worden dat de bepalingen uit art. 4 Data Act geen wettelijke verplichting zijn zoals bedoeld is in art. 6 lid 1 sub c AVG, is nog niet duidelijk.
Overdraagbaarheid
Het feit dat niet-persoonsgebonden gegevens al snel persoonsgegevens worden, zorgt ook voor onduidelijkheid bij het recht op overdraagbaarheid van data in beide wetten. De AVG kent namelijk het recht om persoonsgegevens over te laten dragen naar een andere verwerkingsverantwoordelijke en met de Data Act krijgen gebruikers de mogelijkheid om data over te laten dragen naar een derde partij.[5] De bepaling uit de Data Act moet een aanvulling vormen op het recht uit de AVG.[6] Het schept echter op een aantal punten ruimere mogelijkheden, terwijl de AVG bij tegenstrijdigheden prevaleert. Dit roept de vraag op hoe vaak gebruikers dan gebruik kunnen maken van het recht uit de Data Act en of het wel een nuttige aanvulling is op het recht uit de AVG.
Zo staat bijvoorbeeld art. 5 lid 6 Data Act de gebruiker toe om gegevens van andere betrokkenen over te laten dragen als daar één van de grondslagen uit art. 6 AVG voor is. Het recht uit de AVG geldt echter alleen voor door de betrokkene verstrekte gegevens en het aantal grondslagen waarop dit is toegestaan is beperkter. Daarnaast is de bepaling uit de Data Act van toepassing op gebruikers, dus zowel natuurlijke personen als rechtspersonen, en geldt het recht uit de AVG alleen voor de betrokkene. Tot slot geeft art. 9 Data Act de aanbieder van het ‘smart’ apparaat ook de mogelijkheid om aan de derde partij een passende vergoeding te vragen voor de data en biedt de AVG deze mogelijkheid niet.
Transparantie
De AVG en de Data Act bevatten beide informatieplichten. De informatieplicht van art. 3 Data Act is naast de informatieplichten uit de AVG van toepassing.[7] Op een aantal punten overlapt de te verstrekken informatie, zoals bijvoorbeeld bij de doeleinden van de gegevensverwerking en het type gegevens. Er zijn echter ook verschillen in de te verstrekken informatie en bovendien worden er andere eisen gesteld aan hoe de informatie verstrekt moet worden. Zo dien je op basis van de AVG informatie in een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm, en in duidelijke en eenvoudige taal te verstrekken. Volgens de Data Act hoeft dit alleen op een duidelijke en begrijpelijke wijze. Tevens geldt, net als bij het recht op overdraagbaarheid, dat de informatieplicht uit de Data Act bedoeld is voor gebruikers en die uit de AVG alleen voor betrokkenen.
Aangezien er nu al veel informatie in de vorm van privacy-verklaringen en gebruikersvoorwaarden afkomt op gebruikers en betrokkenen, zal er nog een manier gevonden moeten worden om op zo’n wijze aan de nieuwe informatieplicht uit de Data Act te voldoen dat het zo weinig mogelijk verwarring schept. Dit zal een uitdaging zijn voor de praktijk.
Conclusie
Kortom, er kan geconcludeerd worden dat de poging van de Europese wetgever om duidelijkheid te scheppen voor situaties waarin de Data Act schuurt met de AVG niet helemaal is gelukt. Dit komt met name door de dunne scheidslijn tussen niet-persoonsgebonden gegevens en persoonsgegevens, en de verschillen tussen beide wetten. Voor de praktijk zal het daarom de komende periode lastig zijn om te bepalen aan welke verplichtingen moet worden voldaan. Hopelijk zullen de toezichthouders en het Hof van Justitie van de Europese Unie snel duidelijkheid bieden.
Ben je benieuwd of jouw bedrijf te maken krijgt met de Data Act en hoe je dit moet combineren met je verplichtingen uit de AVG? Neem dan gerust contact met ons op. Privacy1 denkt graag met je mee!
Geschreven door: Abe Kramer – Juridisch Adviseur
[1] Zie art. 1 lid 2 Data Act.
[2] Zie ons blog over het Interactive Advertising Bureau Europe voor een uitgebreidere uitleg.
[3] Een natuurlijke of rechtspersoon die een ‘smart’ apparaat in eigendom heeft, of aan wie contractueel
tijdelijke rechten zijn overgedragen om dat apparaat te gebruiken, of die gerelateerde diensten ontvangt.
[4] Zie art. 6 AVG & overweging 34 Data Act.
[5] Zie art. 20 AVG & art. 5 Data Act.
[6] Zie art. 1 lid 5 Data Act.
[7] Zie overweging 24 Data Act.