Dutch class action against US tech giants for violation of privacy

Read this article in Dutch

A foundation of privacy experts called the Privacy Collective (TPC) has filed a class-action lawsuit concerning General Data Protection Regulation (GDPR) violations before the Dutch court.

TPC claims that tech giants Salesforce and Oracle misused the personal data of millions of Dutch people and is claiming privacy violation damages of €500 for every internet user per company.

With at least 10 million internet users in the Netherlands, this potentially amounts to €5 billion in damages for each company. TPC is backed by British litigation funder Innsworth and a similar class-action lawsuit is set to be filed by TPC in England and Wales. The more than 220-page long summons is published online. 

While European Data Protection Authorities (DPAs), such as the Dutch DPA (Autoriteit Persoonsgegevens) can also address infringements of the GDPR and impose fines, they cannot award damages. A similar complaint was brought before the Dutch DPA, but was not dealt with. The Dutch DPA stated on their website it has dealt with understaffing and a limited budget. The Dutch DPA and the Ministry of Justice and Security recently commissioned a study on the organisation’s budget. 

This blog discusses the alleged misuse of personal data, the grounds of TPC's claim and the GDPR and compensation for damages in the Netherlands.
 

The alleged misuse of personal data

According to TPC, Oracle and Salesforce misused personal data by collecting, bundling, enriching and selling the digital profiles of Dutch internet users without their consent. 

Oracle and Salesforce play an indispensable role in the collection and processing of data for Data Management Platforms (DMPs). DMPs rank the data of internet users, meaning behavioural targeting can take place on online auctions via real-time bidding (RTB). 

RTB is a complex auction system where advertisers bid real-time for advertising space on a website and the highest bidder is then permitted to display their personalized banner to the internet user. This all happens in just about 200 milliseconds. 

To determine which visitor is most interesting for their brand, companies exchange surfing behaviour, location data, IP numbers and other personal details such as credit card, location, social media and financial data with each other. This data is collected via cookies (pieces of software installed on computers and smartphones).
 

Grounds of the claim 

TPC claims that the aforementioned misuse of personal data constitutes a violation of the right to private and family life and the right to protection of personal data (articles 7 and 8 Charter of fundamental rights of the European Union, as well as the GDPR and the Dutch Telecommunications Act). 

The GDPR provides data subjects with the explicit right to be compensated by a controller or processor if they suffer material or non-material damage resulting from an infringement of the GDPR. 

With the Settlement of Large-scale Losses or Damage (Class Actions) Act coming into force in January 2020, it is now possible for parties in the Netherlands to mount mass-claim damages on behalf of those involved. Until January 1st 2020, only a declaration of law could be obtained.
 

GDPR and damages

The concept of damages in the GDPR must be interpreted in a way that fully reflects the objectives of the GDPR in the light of the Court of Justice of the European Union (CJEU) case law. This implies that national courts need to interpret their own law in accordance with the objectives of the GDPR. 

There has not been any case law by the CJEU on this subject to date. It is therefore difficult to predict how national courts should deal with damages resulting from GDPR violations and what kind of damages it may award. In the Netherlands, the maximum amount of compensation an individual received for non-material damage in relation to a GDPR violation has so far been €500¹.  

TPC claims Oracle and Salesforce breached the GDPR in several ways. Most notably by:

1. the application of automated decision-making;
2. processing personal data without legal basis;
3. non-transparent processing; and
4. infringement of the principle of data minimisation, and
5. (5) the unlawful transmission of personal data to the U.S. 

Conclusion

This is a new test of a class action for damages in a court in the Netherlands. Not only does the case have the potential to set a new standard for the pay out of monetary damages for privacy violations, the proceedings could have important legal ramifications beyond the Netherlands as well. 

The Dutch court will have the difficult task to interpret the rights protected under the GDPR and to then translate a breach into a monetary sum to be paid out (if any). 

Due to the absence of any precedents, both on a Dutch and European level, it is difficult to speculate about the outcome of the case. The only certainty is that this case is of great interest to practitioners and businesses alike, even those not established in the Netherlands. 

To be continued!

¹ Administrative Court on 1 April 2020, ECLI:NL:RVS:2020:899

Dutch

Nederlandse massaclaim tegen Amerikaanse technologiebedrijven vanwege privacyschending

Een stichting van privacy deskundigen, genaamd de Privacy Collective (TPC), is bij de Nederlandse rechter een massaclaim gestart vanwege – onder meer - schendingen van de Algemene Verordening inzake Gegevensbescherming (AVG). TPC stelt dat de tech giganten Salesforce en Oracle misbruik maken van de persoonsgegevens van miljoenen Nederlanders en eist een schadevergoeding van €500,- per internetgebruiker per bedrijf. Met ten minste 10 miljoen internetgebruikers in Nederland komt dit potentieel neer op €5 miljard aan schadevergoeding per bedrijf.
 
TPC wordt gesteund door de Britse procesfinancier Innsworth en gaat in Engeland en WalesTPC een soortgelijk proces aanspannen. De meer dan 220 pagina's tellende dagvaarding is online gepubliceerd.
 
Europese gegevensbeschermingsautoriteiten, zoals de Nederlandse Autoriteit Persoonsgegevens (AP), kunnen ook schendingen van de AVG aanpakken door bijvoorbeeld boetes op te leggen, maar zij kunnen geen schadevergoeding toekennen aan betrokkenen. Een soortgelijke klacht is bij de Nederlandse AP ingediend, maar is niet in behandeling genomen. De Nederlandse AP gaf op haar website aan dat zij te kampen heeft met onderbezetting en een beperkt budget. De Nederlandse AP en het Ministerie van Justitie en Veiligheid hebben onlangs een onderzoek laten uitvoeren naar het budget van de organisatie.
 
Deze blog bespreekt het gestelde misbruik van persoonsgegevens, de gronden van de vordering van TPC en de AVG en schadevergoeding in Nederland.
 

Het gestelde misbruik van persoonsgegevens

Volgens TPC maken Oracle en Salesforce misbruik van persoonsgegevens door de digitale profielen van Nederlandse internetgebruikers zonder hun toestemming te verzamelen, te bundelen, te verrijken en te verkopen.
 
Oracle en Salesforce spelen een onmisbare rol bij het verzamelen en verwerken van gegevens voor Data Management Platforms (DMPs). DMPs rangschikken de gegevens van internetgebruikers, waardoor "behavioural targeting" kan plaatsvinden op online veilingen via real-time biedingen (RTB).
 
RTB is een complex veilingsysteem waarbij adverteerders real-time bieden op advertentieruimte op een website en de hoogste bieder vervolgens zijn gepersonaliseerde advertentie mag tonen aan de internetgebruiker. Dit alles gebeurt slechts in ongeveer 200 milliseconden.
 
Om te bepalen welke bezoeker het meest interessant is voor hun merk, wisselen bedrijven surfgedrag, locatiegegevens, IP-adressen en andere persoonsgegevens met elkaar uit zoals creditcard, locatie, sociale media en financiële gegevens. Deze gegevens worden verzameld via cookies (stukjes software die op computers en smartphones zijn geïnstalleerd).
 

Gronden van de vordering

TPC stelt dat bovengenoemd misbruik van persoonsgegevens een schending is van het recht op privé- en gezinsleven en het recht op bescherming van persoonsgegevens (artikel 7 en 8 van het Handvest van de grondrechten van de Europese Unie, de AVG en de Nederlandse Telecommunicatiewet).
 
De AVG geeft betrokkenen uitdrukkelijk het recht op vergoeding van materiële of immateriële schade als gevolg van een inbreuk op de AVG.
 
Met het van kracht worden van de Wet afwikkeling massaschade in collectieve actie (WAMCA) in januari 2020 is het nu mogelijk voor partijen in Nederland namens de betrokkenen een massaclaim in te dienen. Tot 1 januari 2020 kon alleen een verklaring van recht worden verkregen.
 

AVG en schadevergoeding

Het concept van schade in de AVG moet worden geïnterpreteerd op eenmanier die in overeenstemming is met de doelstellingen van de AVG in het licht van de jurisprudentie van het Hof van Justitie van de Europese Unie ("HvJEU"). Dit betekent dat de nationale rechtbanken nationaal recht moeten uitleggen in overeenstemming met de doelstellingen van de AVG.
 
Tot op heden heeft het Hof van Justitie van de Europese Unie zich niet uitgesproken over dit onderwerp. Het is daarom moeilijk te voorspellen hoe de nationale rechtbanken moeten omgaan met het toekennen van schadevergoeding als gevolg van schendingen van de AVG en wat voor soort schadevergoeding zij kunnen toekennen. In Nederland bedraagt de maximale vergoeding die een persoon  tot nu toe heeft ontvangen voor immateriële schade in verband met schending van de AVG 500 euro¹.
 
TPC stelt dat Oracle en Salesforce de AVG op verschillende manieren hebben geschonden.
 
Met name door:
(1) de toepassing van geautomatiseerde besluitvorming;
(2) de verwerking van persoonsgegevens zonder grondslag;
(3) niet-transparante verwerking;
4) schending van het beginsel van dataminimalisatie; en
(5) de onrechtmatige doorgifte van persoonsgegevens aan de Verenigde Staten.
 

Conclusie

Dit is een nieuwe test van een massaclaim bij een rechtbank in Nederland. Niet alleen heeft deze zaak de potentie een nieuwe norm te stellen voor de betaling van schadevergoeding voor AVG schendingen, de procedure kan ook belangrijke juridische gevolgen hebben buiten Nederland.
 
De Nederlandse rechter heeft de moeilijke taak de door de AVG beschermde rechten te interpreteren en een schending vervolgens te vertalen in een (eventueel) uit te betalen geldbedrag.
 
Door het ontbreken van jurisprudentie, zowel op Nederlands als op Europees niveau, is het moeilijk te speculeren over de uitkomst van de zaak. De enige zekerheid is dat deze zaak van groot belang is voor zowel professionals als bedrijven, ook als die niet in Nederland zijn gevestigd.
 
Wordt vervolgd!

¹ Raad van State op 1 april 2020, ECLI:NL:RVS:2020:899