Het is ondertussen algemeen bekend dat het bijzonder lastig is om ongezien op het internet rond te struinen. Bedrijven gebruiken slimme trucjes om je internetgedrag te monitoren. Dit fenomeen wordt ook wel tracking genoemd. Niet alleen online, maar ook in de echte wereld proberen bedrijven mensen te tracken. Het feit dat bijna iedereen tegenwoordig een telefoon op zak heeft, maakt dit makkelijk. Elke mobiele telefoon lekt namelijk voortdurend zijn aanwezigheid via wifi en bluetooth. Ook als je je telefoon even niet actief gebruikt. Maar wat zijn de regels daarover?
Wat is wifi- en bluetoothtracking?
Bij wifitracking en bluetoothtracking wordt een apparaat – veelal een smartphone – gevolgd aan de hand een uniek getal. Dat is het MAC-adres, dat wordt meegezonden via het wifi- of bluetoothsignaal. Aangezien bijna alle telefoons wifi en bluetooth ondersteunen, zijn eigenaren van smartphones dus eenvoudig te volgen. Winkeliers die hier gebruik van maken kunnen eenvoudig zien hoeveel mensen langs hun winkel lopen, hoeveel van die mensen daadwerkelijk naar binnen gaan, welke producten zij bekijken en hoelang zij ergens blijven staan. Je onbespied in het openbaar wanen is er niet bij.
Verwerking van persoonsgegevens?
Is er sprake van verwerking van persoonsgegevens bij wifi- en bluetoothtracking? De AP meent van wel. Ondanks dat er geen direct identificerende gegevens worden verwerkt met wifi- en bluetoothtracking, worden er volgens de AP wel degelijk persoonsgegevens verwerkt. Er wordt onder meer het MAC-adres, signaalsterkte, serienummer, de locatie van de sensor en het tijdstip van de waarneming geregistreerd. De combinatie van deze gegevens – mogelijk met andere gegevens – kan te herleiden zijn tot een bepaald persoon. Het gaat hier om indirect identificeerbare gegevens. Persoonsgegevens mogen alleen worden verwerkt als hier een wettelijke grondslag voor is.
Wettelijke grondslag voor de verwerking van persoonsgegevens via wifi- en bluetoothtracking
Bedrijven kunnen het digitaal volgen van mensen in de (semi-)openbare ruimte in theorie op drie wettelijke gronden baseren. (Verwerking van persoonsgegevens in de openbare ruimte valt primair onder de verantwoordelijkheid van de overheid, een private partij heeft daar doorgaans geen gezag.) Naast toestemming zijn dat gerechtvaardigd belang of het uitvoeren van een overeenkomst.
Gezien de strenge voorwaarden die gelden voor de wettelijk grondslag toestemming, is deze grondslag lastig en praktisch onuitvoerbaar. De grondslag uitvoering van de overeenkomst zal ook niet vaak aan de orde zijn. De gegevensverwerking moet immers noodzakelijk zijn voor de uitvoering van de overeenkomst. Dit zal bij de winkelende consument niet vaak het geval zijn, tenzij de kern van de overeenkomst nu juist is dat de betrokkene wordt gevolgd.
Een beroep op de grondslag gerechtvaardigd belang kan onder strikte voorwaarden mogelijk zijn. Indien het volgen van mensen met wifi- en bluetoothtracking in de semi-openbare ruimte bijvoorbeeld nodig is om de fysieke veiligheid van betrokkenen te waarborgen. Deze verwerking dient dan tevens aan de vereisten van proportionaliteit en subsidiariteit te voldoen en de belangen van beide partijen moeten tegen elkaar worden afgewogen.
Resumerend
Het digitaal volgen van mensen op (semi-)openbare plekken is een inbreuk op de privacy die slechts bij uitzondering gebruikt mag worden. Er zijn vrijwel geen redenen die het volgen van winkelend publiek of reizigers rechtmatig maken. Bovendien zijn er minder ingrijpende methoden om hetzelfde doel te bereiken, zonder schending van de privacy, aldus de AP.
Meer weten?
Heeft u vragen over wifitracking of bluetoothtracking of de verwerking van persoonsgegevens? Neem geheel vrijblijvend contact op met onze privacyspecialisten.
Neem contact op