Juridisch up to Date
   

Betaling met persoonsgegevens: een nieuw concept in consumentencontractenrecht

Recent zijn twee belangwekkende wetten aangenomen door de Eerste Kamer. Deze wetten dienen ter implementatie van drie EU-richtlijnen, namelijk de Moderniseringsrichtlijn (Richtlijn (EU) 2019/2161), de Richtlijn levering van digitale inhoud en digitale diensten (Richtlijn (EU) 2019/770) en de Richtlijn verkoop van goederen (Richtlijn (EU) 2019/771). De Moderniseringsrichtlijn en de Richtlijn levering van digitale inhoud en digitale diensten introduceren het begrip ‘betalen’ met persoonsgegevens. Daarmee wordt een belangrijke lacune opgevuld. Voorheen waren ‘gratis’ digitale diensten of inhoud niet onderworpen aan de regels inzake consumentenbescherming. Dat is met deze nieuwe wetgeving aangepast. Als de consument geen prijs betaalt, maar wel zijn of haar persoonsgegevens dient te verstrekken, dan krijgt de consument onder de nieuwe wetgeving wel bescherming. In dit artikel geven wij een toelichting op dit nieuwe concept in het consumentencontracten- en consumentenkooprecht.

Wat is ‘betalen’ met persoonsgegevens?

Als gevolg van de implementatie van de Moderniseringsrichtlijn (middels de Implementatiewet richtlijn modernisering consumentenbescherming, Stb. 2022, 157) en de Richtlijn levering van digitale inhoud en digitale diensten (Implementatiewet richtlijnen verkoop goederen en levering digitale inhoud, Stb. 2022, 164) – deze implementatiewet implementeert dus ook de Richtlijn verkoop van goederen (Richtlijn (EU) 2019/771) waarin evenwel geen bepaling staat ter zake het verstrekken van persoonsgegevens – wordt bestaande wetgeving aangepast en worden nieuwe regels geïntroduceerd die zien op het ‘betalen’ met persoonsgegevens. Strikt genomen spreekt de wetgeving overigens van de ‘verstrekking van persoonsgegevens’ in ruil voor de levering van digitale inhoud of een digitale dienst. De Moderniseringsrichtlijn en de Richtlijn digitale inhoud volgen daarbij globaal dezelfde aanpak.

Wat wordt bedoeld met het ‘betalen’ met persoonsgegevens? Uit de relevante bepalingen kan worden opgemaakt dat verschillende aspecten bepalen of er sprake is van het ‘betalen’ met persoonsgegevens. Het gaat om het sluiten van een overeenkomst (i), waarbij een handelaar zich verbindt om te leveren (ii) en de consument persoonsgegevens aan de handelaar verstrekt of zich ertoe verbindt deze te verstrekken (iii). Uit deze opsomming volgt een transactie element: er moet in feite steeds sprake zijn van het ruilen van persoonsgegevens tegen de levering van digitale inhoud of het verrichten van een digitale dienst. Hierbij merken we nog op dat de regeling inzake de ‘betaling’ met persoonsgegevens is beperkt tot de levering van digitale inhoud en het verrichten digitale diensten en dus niet geldt voor andere (fysieke) producten.

Het verstrekken van persoonsgegevens wordt door de wetgever gezet tegenover het betalen van een prijs. De persoonsgegevens fungeren dus in feite als een betaalmiddel. Om die reden wordt vaak gesproken over het ‘betalen’ met persoonsgegevens. Let wel, wanneer de wetgever spreekt over betaling (bijvoorbeeld in artikel 6:230p BW), gaat het doorgaans over betaling van een prijs in geld (of op andere wijze, bijvoorbeeld met een voucher). De Nederlandse wetgever maakt in de memorie van toelichting nog duidelijk dat wanneer er (ook) een prijs in geld wordt betaald, de regels over betaling met persoonsgegevens niet van toepassing zijn (ook al worden er persoonsgegevens verstrekt).

Van belang is ook om te kijken naar de wat het ‘betalen’ met persoonsgegevens niet is. Uit de relevante wetsartikelen (zie hieronder) volgt dat er geen sprake is van het ‘betalen’ met persoonsgegevens wanneer de door de consument verstrekte persoonsgegevens:

  • door de handelaar alleen worden verwerkt voor het leveren van de digitale inhoud (die niet op een materiele drager wordt geleverd) of voor het verrichten van de digitale dienst;
  • de handelaar alleen in staat stellen om te voldoen aan de op de handelaar van toepassing zijnde wettelijke vereisten, bijvoorbeeld in het kader van het bestrijden van het witwassen van geld of terrorisme.

Uit de memorie van toelichting volgt daarnaast nog dat de regels inzake het ‘betalen’ met persoonsgegevens in Nederland niet gelden in situaties:

  • waarin de consument, zonder een overeenkomst met de handelaar te hebben gesloten, aan reclame wordt blootgesteld uitsluitend om toegang te krijgen tot digitale inhoud of een digitale dienst (zie ook Moderniseringsrichtlijn overweging 35).
  • waarin de handelaar alleen metagegevens verzamelt, zoals informatie over het apparaat of de browser van de consument (“device fingerprinting” of “browser fingerprinting” genoemd) of de browsergeschiedenis, behalve wanneer deze situatie naar nationaal recht als een overeenkomst wordt beschouwd.

Materiële regels inzake ‘betalen’ met persoonsgegevens

Aanpassing bestaande wettelijke bepalingen: bredere toepassing regels voor overeenkomsten tussen handelaren en consumenten

Als gevolg van de Implementatiewet Richtlijn modernisering consumentenbescherming wordt het toepassingsgebied van Boek 6 Titel 5 Afdeling 2B BW uitgebreid. Deze afdeling betreft de bepalingen voor overeenkomsten tussen handelaren en consumenten.

Bij Richtlijn (EU) 2019/2161 zijn de in artikel 2, punten 5 en 6, van de Richtlijn consumentenrechten opgenomen definities van verkoop- en dienstenovereenkomsten gewijzigd, en hebben ze niet langer betrekking op consumenten die een prijs betalen. Rekening houdend met de wijzigingen in artikel 3 blijven deze overeenkomsten echter alleen onder de richtlijn vallen wanneer de consument een prijs (zoals aangegeven: dit kan een prijs in geld zijn, maar bijvoorbeeld ook een voucher) moet betalen, tenzij het voorwerp van een dienstenovereenkomst een digitale dienst is.

Boek 6, Titel 5 Afdeling 2B BW gaat aldus ook gelden voor overeenkomsten gesloten tussen een handelaar en een consument waarbij een handelaar digitale inhoud levert die niet wordt geleverd op een materiële drager of een digitale dienst verricht of zich ertoe verbindt deze te verrichten en de consument persoonsgegevens aan de handelaar verstrekt of zich ertoe verbindt deze te verstrekken, tenzij de door de consument verstrekte persoonsgegevens uitsluitend worden verwerkt door de handelaar voor het leveren van de digitale inhoud die niet op een materiële drager wordt geleverd of voor het verrichten van de digitale dienst of om de handelaar in staat te stellen te voldoen aan de op hem van toepassing zijnde wettelijke vereisten, en de handelaar die gegevens voor geen enkel ander doel verwerkt (artikel 6:230h lid 1 onderdeel 1 BW). De regels gelden dus bijvoorbeeld voor overeenkomsten waarbij gratis toegang wordt verschaft tot digitale online-inhoud of digitale diensten en de consument ermee instemt dat zijn persoonsgegevens ook voor marketingdoeleinden worden verwerkt.

Omdat Boek 6 Titel 5 Afdeling 2B BW van toepassing is, betekent dit betekent onder andere dat voor de handelaar informatieplichten (zoals bijvoorbeeld die beschreven in artikel 6:230m BW) gaan gelden en de bedenktermijn (artikel 6:230o BW) als uitgangspunt van toepassing is. Doordat de regels over de bedenktermijn van toepassing worden, heeft een consument, als de overeenkomst buiten de verkoopruimte of op afstand is gesloten, in beginsel de mogelijkheid om een overeenkomst voor de levering van digitale inhoud of de verrichting van een digitale dienst binnen een termijn van veertien dagen zonder opgaaf van reden te ontbinden. De bedenktermijn geldt echter niet in alle gevallen. Met de Implementatiewet zijn er ook uitzonderingen geïntroduceerd voor overeenkomsten voor digitale diensten en digitale inhoud. Om te bepalen of en op welke gronden een uitzondering van toepassing is, dient te worden bepaald of is sprake van een digitale dienst of van digitale inhoud en of sprake is van betaling in geld of met persoonsgegevens (zie artikel 6:230p BW).

De Implementatiewet introduceert een nieuwe regeling die ziet op de beëindiging van de overeenkomsten tot levering van digitale inhoud of het verrichten van digitale diensten (artikel 6:230r lid 5 BW). Hieruit volgt dat in geval van ontbinding de handelaar dient af te zien van het verdere gebruik van alle niet-persoonsgegevens. De gevolgen van ontbinding voor de verwerking van persoonsgegevens worden geregeld door de Algemene verordening gegevensbescherming ((EU) 2016/679) (AVG).

Introductie nieuwe wettelijke bepalingen: Nieuwe titel in Boek 7 BW

Als gevolg van de implementatie van de Richtlijn levering van digitale inhoud en digitale diensten is een nieuwe titel in Boek 7 BW ingevoegd, namelijk Titel 1AA (“Overeenkomst voor de levering van digitale inhoud en digitale diensten tussen handelaren en consumenten”).

De titel is van onder meer van toepassing als de handelaar digitale inhoud of een digitale dienst aan de consument levert of zich ertoe verbindt die te leveren en de consument de handelaar persoonsgegevens verstrekt of zich ertoe verbindt die te verstrekken, tenzij de door de consument verstrekte persoonsgegevens uitsluitend door de handelaar worden verwerkt om de digitale inhoud of digitale dienst te leveren of om de handelaar in staat te stellen te voldoen aan de wettelijke vereisten waaraan hij is onderworpen en de handelaar de gegevens niet voor andere doeleinden verwerkt (artikel 7:50ab lid 1 onderdeel b BW).

Deze titel is niet van toepassing op overeenkomsten inzake (onder meer) software die door de handelaar wordt aangeboden op basis van een vrije en open licentie waarvoor de consument geen prijs of digitale weergave van waarde betaalt en wanneer de door de consument verstrekte persoonsgegevens uitsluitend worden verwerkt door de handelaar om de beveiliging, compatibiliteit of interoperabiliteit van die software te verbeteren (artikel 7:50ab lid 3 onderdeel f BW).

In Titel 1AA worden de verplichtingen voor de handelaar en de consument geregeld in het kader van de levering van digitale inhoud of digitale diensten. Op grond van de nieuwe regels geldt nu ook voor digitale inhoud of digitale diensten dat deze moeten beantwoorden aan de overeenkomst (conformiteit) en heeft de consument bepaalde remedies indien dit niet het geval is. Onder de wettelijke garantieregeling valt voor handelaren ook de verplichting om de consument updates, waaronder beveiligingsupdates, te bieden gedurende de periode die de consument redelijkerwijs kan verwachten (artikel 7:50ae lid 4 BW). Titel 1AA kent verder voor handelaren ook enkele geheel nieuwe vereisten. Zo bevat artikel 7:50al BW bepalingen over het wijzigen van digitale inhoud of digitale diensten gedurende de looptijd van een overeenkomst en bepaalt artikel 7:50aj BW wat de handelaar bij ontbinding dient te doen met gegevens die door de consument zijn verstrekt of gecreëerd gedurende het gebruik van de digitale inhoud of digitale dienst.

Relatie met de AVG

Wanneer een overeenkomst de verwerking van persoonsgegevens met zich brengt, moet de handelaar voldoen aan zijn verplichtingen op grond van het consumentenrecht en — in zijn hoedanigheid als verwerkingsverantwoordelijke — ook aan de verplichtingen op grond van de AVG. De wetgever benadrukt in de memorie van toelichting dat de Moderniseringsrichtlijn en de Richtlijn levering van digitale inhoud en digitale diensten onverlet laten dat elke verwerking van persoonsgegevens in overeenstemming moet zijn met de AVG. Beide rechtskaders zijn gelijktijdig en op complementaire wijze van toepassing op de relatie tussen bedrijven en consumenten.

De relatie tussen de AVG en de nieuwe consumentenwetgeving met betrekking tot ‘betalen’ met persoonsgegevens komt vooral naar voren bij het sluiten van de overeenkomst en bij het ontbinden daarvan. Volgens de Nederlandse wetgever behelst het willen aangaan van de overeenkomst in feite de toestemming van de consument om zijn persoonsgegevens te verwerken.5 Toestemming op grond van artikel 6 lid 1 onderdeel a AVG is volgens de wetgever ook de enige rechtsgrondslag die in aanmerking komt als tegenprestatie. Zoals hierboven reeds aangegeven, is geen sprake van betalen met persoonsgegevens op grond van de wet indien de persoonsgegevens uitsluitend worden verwerkt om de digitale inhoud of digitale dienst te leveren. Daardoor dient steeds een onderscheid te worden gemaakt tussen de inbreng van toestemming als tegenprestatie en het verwerken van persoonsgegevens omdat dit noodzakelijk is voor de uitvoering van de overeenkomst.

Wanneer de consument de overeenkomst ontbindt, waaronder met een beroep op de bedenktermijn, dient dit volgens de wetgever ook te worden gezien als het intrekken van de toestemming voor het verwerken van persoonsgegevens. Dientengevolge is de handelaar gehouden om te voldoen aan de verplichtingen op grond van de AVG. Indien de consument zijn toestemming voor het verwerken van zijn persoonsgegevens intrekt overeenkomstig artikel 7 lid 3 AVG) is hij niet langer gebonden aan de overeenkomst indien hij daarvoor geen prijs of digitale weergave van waarde betaalt (artikel 7:50ab lid 5 BW). Hierdoor wordt derhalve in feite een nieuwe beëindigingsgrond voor de consument geïntroduceerd. De wetgever benadrukt dat een intrekking van toestemming niet betekent dat daarmee sprake is van een toerekenbare tekortkoming in de nakoming van de overeenkomst. De handelaar is bij intrekking van de toestemming gerechtigd om de toegang tot de digitale inhoud of digitale dienst (geheel) te beperken.

Tot slot

De nieuwe regels die volgen uit de implementatie van de Richtlijn levering van digitale inhoud en digitale diensten zijn reeds van toepassing in Nederland. De nieuwe regels uit de Moderniseringsrichtlijn moeten vanaf 28 mei 2022 van toepassing zijn.

Auteur(s): Roelien van Neck en Lisette den Butter, Bird & Bird (Netherlands) LLP

Uit: Juridisch Up to Date, nummer 5, mei 2022