Privacy haalt dagelijks het nieuws. Daarbij komen vanzelfsprekend vooral de grotere zaken aan bod. Denk aan gevoelige datalekken, grootschalige hacks of de inzet van (geheime) camera’s. Er gebeurt echter veel meer op het gebied van privacy, wat niet altijd het nieuws haalt. Aan de hand van jurisprudentie leren we veel over hoe de Algemene verordening gegevensbescherming (‘AVG’) uiteindelijk toegepast wordt. In deze blog zetten we diverse uitspraken van de maand juni op een rij.
Dit heeft het Europees Hof van Justitie besloten in deze zaak. De zaak draait om een voormalige werknemer die een verzoek tot inzage richt aan zijn voormalige werkgever. De werknemer was tegelijkertijd klant bij de voormalige werkgever en was erachter gekomen dat zijn persoonsgegevens door andere werknemers geraadpleegd waren. De werknemer vroeg om inzage in de identiteit van de werknemers die zijn gegevens geraadpleegd hadden, de datums waarop de raadpleging plaatsvond alsook het doel waarvoor de gegevens verwerkt werden.
De rechtbank heeft hierop aan het Hof van Justitie gevraagd om artikel 15 AVG met betrekking tot het recht op inzage te interpreteren. Het Hof stelt vast dat de AVG, in werking getreden op 25 mei 2018, van toepassing is op verzoeken tot inzage die na die datum zijn gericht, zelfs al betreft het verwerkingen van persoonsgegevens die voor die datum plaatsvonden.
Daarnaast stelt het Hof vast dat het recht op inzage het recht omvat om informatie met betrekking tot de raadpleging van persoonsgegevens, de datums en de doelen van de verwerking te weten. Dit recht geldt in principe niet om te weten welke werknemers precies die activiteiten uitvoerden op instructie van de verwerkingsverantwoordelijke. Als het zonder deze kennisname voor de betrokkene onmogelijk is om het recht op inzage uit te oefenen en als de rechten en vrijheden van de werknemers overwogen zijn, valt het wel onder het inzagerecht. In dit laatste geval moet een belangenoverweging gemaakt worden tussen enerzijds het effectief uit kunnen oefenen van het recht op inzage van de betrokkene en anderzijds de rechten en vrijheden van de anderen. Waar mogelijk worden de rechten en vrijheden van de anderen uiteraard niet schaadt.
Deze uitspraak is interessant in het kader van de termijnen die gehanteerd moeten worden bij het behandelen van een verzoek tot inzage.
Het geschil gaat over een betrokkene die een functionaris gegevensbescherming in gebreke stelt over het niet tijdig nemen van een besluit op het verzoek tot inzage. De reden dat niet direct voldaan werd aan het verzoek is doordat de identiteit niet meteen vastgesteld kon worden. Het verzoek werd dus beantwoord met een vraag tot identificatie. Dit is een belangrijke stap bij het behandelen van een verzoek tot inzage alvorens inzage te geven. Overigens geldt in principe een termijn van een maand vanaf ontvangst van het verzoek om het te behandelen. Bij complexe of verzoeken die dermate groot zijn, kan de termijn verlengd worden met twee maanden.
De rechtbank besloot dat ook de kennisgave over het niet voldoen aan een verzoek een besluit is, dus dat een ingebrekestelling wegens het nemen van geen besluit niet nodig is.
De rechtbank Amsterdam neemt je in deze uitspraak mee in de beoordeling van de weigering van een verwijderingsverzoek naar aanleiding van opname in een register gebaseerd op gerechtvaardigd belang.
De persoonsgegevens van de rekeninghouder in kwestie werden door ING opgenomen in het Incidentenregister en het Externe Verwijzingsregister voor de duur van 8 jaar naar aanleiding van deelname in omvangrijke fraude. Die fraude vond plaats op de ING-bankrekening van de rekeninghouder. Als reactie hierop heeft de rekeninghouder gevraagd om de persoonsgegevens uit de registers te verwijderen.
Allereerst kijkt de rechtbank bij het beoordelen van het verzoek tot verwijdering naar de grond waarop de verwerking van persoonsgegevens is gebaseerd. In dit geval is de opname gebaseerd op het gerechtvaardigd belang. Voordat deze grond voor de rechtmatige verwerking van persoonsgegevens gebruikt kan worden, moet er aan een aantal voorwaarden voldaan worden.
De rechtbank kijkt hierbij eerst naar welk gerechtvaardigd belang aangevoerd wordt en het gewicht daarvan. De consequenties voor ING, de mate van betrokkenheid van de persoon in kwestie en het soort feit dat gepleegd was, werden overwogen bij de opname in de registers. Aangezien het hier ging om een zwaarder vermoeden, en niet louter om een redelijk vermoeden, van schuld aan fraude met zwaardere consequenties voor ING, werd de melding in de registers als voldoende zwaarwichtig en gerechtvaardigd beschouwd.
Daarnaast kijkt de rechtbank naar de proportionaliteit en subsidiariteit. Dit betekent dat de inbreuk op de belangen van de betrokkene niet onevenredig mag zijn in verhouding tot het met de verwerking te dienen doel, en dat dit doel in redelijkheid niet op een andere, voor de betrokkene minder nadelige, wijze kan worden verwezenlijkt. Hierbij komt ook de belangenafweging aan bod, namelijk dat de verwerking van persoonsgegevens moet worden afgewogen tegen de mogelijke nadelige gevolgen daarvan voor de betrokkene.
De rechtbank stelde hierbij dat ook aan die laatste voorwaarden voldaan is. Er is daarbij rekening gehouden met de omvang van het feit (de fraude), alternatieve mogelijkheden, de houding van de betrokkene en het feit dat het belang voor de financiële sector zwaarder doorweegt dan de consequenties voor de betrokkene.
Bij een verwijderingsverzoek waarbij de verwerking gebaseerd is op een gerechtvaardigd belang, is het dus belangrijk om de bovenstaande toets te kunnen motiveren.
Twijfel je over hoe een verzoek van een betrokkene behandeld moet worden of over het gebruik van het gerechtvaardigd belang als grondslag voor de verwerking van persoonsgegevens? Neem dan gerust contact op met ICTRecht en dan helpen wij je met plezier verder.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.