Een rechter van het Britse Hooggerechtshof heeft toestemming gegeven voor een class-action-stijl privacyrechtszaak tegen TikTok wegens zijn omgang met kindergegevens. De rechtszaak werd aangespannen door een toen 12-jarig meisje dat anonimiteit is verleend door de rechtbank om de claim in te dienen dat de sociale netwerksite de gegevens van kinderen onrechtmatig verwerkt.

De rechtszaak eist een schadevergoeding namens miljoenen kinderen voor vermeend misbruik van hun informatie – en als de juridische actie slaagt, kan TikTok op het spel staan ​​om miljarden euro’s aan schadevergoeding te betalen.

Een soortgelijk schadevergoedingsverzoek voor kinderen is ook ingediend tegen TikTok in Nederland.

Beide class action-rechtszaken zijn gebaseerd op artikel 80 van de GDPR.

De privacyfunctionarissen van veel grotere bedrijven en e-commerceplatforms hebben slapeloze nachten gehad over de mogelijke gevolgen van artikel 80. Artikel 80 van GDPR bevat regels over de bevoegdheden van non-profitorganisaties die actief zijn rond de bescherming van de rechten en vrijheden van betrokkenen met betrekking tot de GDPR.

In de eerste plaats geeft artikel 80, lid 1, die non-profitorganisaties het recht om op te treden wanneer ze rechtstreeks worden gemachtigd door een specifieke betrokkene. Zo kan een vzw in naam en voor rekening van een bepaalde persoon een klacht indienen of een rechtszaak aanspannen met betrekking tot de GDPR, wanneer deze kan aantonen (bv. een ondertekend mandaat) dat de specifieke persoon de vzw heeft gevraagd om te doen dus. Dit is natuurlijk niet wat privacy officers ’s nachts wakker houdt.

Het is het volgende deel dat hun zorgen baart. Artikel 80, lid 2, bevat een openingsclausule: voor zover voorzien door de wetgeving van de lidstaten, heeft een non-profitorganisatie het recht om klachten in te dienen of rechtsmiddelen in te dienen krachtens de GDPR, onafhankelijk van het mandaat van een betrokkene, als de NPO van oordeel is dat de rechten van een betrokkene onder GDPR zijn geschonden als gevolg van de verwerking.

Dit opent natuurlijk de deur voor de gevreesde class action-rechtszaken, en dat is precies wat er recentelijk is gebeurd: twee rechtbanken uit 2 verschillende EU-lidstaten gaven toestemming voor een GDPR-gerelateerde class action.

In een beslissing van 26.05.2021 heeft de handelsrechtbank van Wenen geoordeeld dat juridische acties door een Oostenrijkse instelling voor consumentenbescherming op grond van de Oostenrijkse wet op de consumentenbescherming ook gebaseerd kunnen zijn op schendingen van de GDPR. En in zijn uitspraak van 12.07.2021 oordeelde de Rechtbank Amsterdam dat de Stichting Gegevensbescherming, een non-profit organisatie in Nederland, namens Nederlandse Facebook-gebruikers bij de Nederlandse rechter mag procederen tegen Facebook over de vraag of Facebook een geldige rechtsgrond heeft voor haar verwerkingsactiviteiten.

In beide beslissingen werd rechtstreeks verwezen naar artikel 80, lid 2 en konden de non-profitorganisaties onafhankelijk van een direct mandaat handelen en dus class action-procedures voeren.

Sindsdien hebben we class actions gezien tegen Facebook, Tik Tok, Salesforce, Youtube… Er zullen ongetwijfeld nog meer volgen.

Laten we eens kijken naar het feit dat volgens de EDPB alle deelnemers aan een e-commerceplatform gezamenlijke verwerkingsverantwoordelijken zijn. Dus als een retailer op het platform de GDPR schendt, kan de platformbeheerder ook aansprakelijk worden gesteld voor de overtreding door deze retailer.

Als we deze kennis combineren met het feit dat GDPR-gerelateerde class actions mogelijk zijn, is het gemakkelijk in te zien waarom privacyfunctionarissen slapeloze nachten hebben.