Privacy haalt dagelijks het nieuws. Daarbij komen vanzelfsprekend vooral de grotere zaken aan bod. Denk aan gevoelige datalekken, grootschalige hacks of de inzet van (geheime) camera’s. Er gebeurt echter veel meer op het gebied van privacy, wat niet altijd het nieuws haalt. Aan de hand van jurisprudentie leren we veel over hoe de Algemene verordening gegevensbescherming (hierna: AVG) uiteindelijk toegepast wordt. In deze blog zetten we diverse uitspraken van de maand mei op een rij.
Op 4 mei 2023 heeft het Europese Hof van Justitie (hierna: Europese Hof) enkele belangrijke uitspraken gedaan met betrekking tot de AVG. De uitspraken geven blijk van het grote belang van het recht op privacy en de bescherming van persoonsgegevens. Bovendien blijkt eens te meer dat het privacyrecht voortdurend in beweging is. In de volgende drie uitspraken worden de implicaties voor het individu en diens rechten, maar ook de implicaties voor organisaties bij de verwerking van persoonsgegevens besproken.
Het CRIF is een Oostenrijks bedrijfsadviesbureau dat tegen betaling informatie verstrekt over de solvabiliteit van derden. Het CRIF heeft hierbij ook de persoonsgegevens van verzoeker verwerkt. Verzoeker heeft het CRIF verzocht om een kopie te verstrekken van de documenten, zoals e-mails en databankuittreksels, die zijn persoonsgegevens bevatten. Hiertoe heeft CRIF een samengevoegde lijst verstrekt met alle verwerkte persoonsgegevens. Verzoeker heeft een klacht ingediend wegens het nalaten een kopie van de documenten te verstrekken en stapt naar de DSB (de Oostenrijkse autoriteit voor gegevensbescherming). Vervolgens heeft de DSB geoordeeld dat het CRIF wel degelijk heeft voldaan aan diens verplichting tot het geven van inzicht in de verwerkte persoonsgegevens. Verzoeker is in beroep gegaan tegen het besluit van de DSB en de Oostenrijkse rechter vraagt het Europese Hof in deze zaak om meer duidelijkheid te geven over de uitleg van het begrip ‘kopie’ en ‘informatie’ in de zin van art. 15 (3) van de AVG.
Het Europese Hof sluit aan bij de gebruikelijke betekenis van ‘kopie’, waarbij een kopie geldt als een reproductie van een origineel. Dit betekent dat een lijst met een korte beschrijving van de persoonsgegevens of een verwijzing naar de categorieën persoonsgegevens niet aan deze definitie voldoet. Vervolgens legt het Hof het begrip ‘persoonsgegevens’ uit als “alle informatie over een identificeerbaar persoon”. De woordkeuze “alle informatie” wijst op de bedoeling om een ruime betekenis te hanteren en een dergelijke lijst als onvoldoende te beschouwen. Als persoonsgegevens moeten worden beschouwd alle direct of indirect identificeerbare informatie over een persoon en de gegevens die voortvloeien uit de verwerking van deze gegevens. Het Hof concludeert dat het inzageverzoek ertoe strekt om transparant te zijn over de gegevensverwerking door een getrouwe en begrijpelijke reproductie van al deze gegevens te geven. In enkele gevallen vereist dit de verstrekking van een kopie van uittreksels uit documenten of volledige documenten die de gegevens van betrokkenen bevatten. Verzoeker is in het gelijk gesteld.
De Österreichische Post (hierna: Post AG) heeft informatie verzameld over de politieke voorkeuren van de Oostenrijkse bevolking. Deze informatie hebben zij verkocht aan organisaties, zodat deze doelgerichter reclame kunnen verzenden. Aan verzoeker UI wordt de voorkeur voor een bepaalde partij toegeschreven, maar deze informatie is nooit gedeeld met derden. UI had geen toestemming gegeven voor de verwerking van zijn persoonsgegevens en vordert schadevergoeding. UI stelt tijdelijke emotionele schade geleden te hebben door geassocieerd te worden met deze partij en eist dat de verwerking van de gegevens wordt beëindigd. Partijen hebben geprocedeerd tot de hoogste nationale rechter, deze heeft enkele vragen aan het Europese Hof voorgelegd.
In deze zaak heeft het Hof zich gebogen over de toekenning van schadevergoeding bij een onrechtmatige verwerking in de zin van art. 82 AVG. De begrippen “materiële of immateriële schade” en “schadevergoeding voor de geleden schade” hebben een autonome en uniforme betekenis als Unierechtelijke begrippen. Voor toekenning van schadevergoeding zijn er drie vereisten:
Uit de bewoordingen van het artikel blijkt dat niet altijd schade wordt geleden door een onrechtmatige verwerking. Een onrechtmatige verwerking op zichzelf is zodoende niet voldoende voor de toekenning van schadevergoeding.
Daarnaast gaat het Hof uit van een ruime betekenis van ‘schade’ zonder drempel van ernst. Zo is het niet mogelijk om in een nationale regeling een ondergrens te stellen voor de ernst van de geleden schade. Het bestaan van “immateriële schade" kan ook recht geven op vergoeding. Tot slot oordeelt het Hof dat de hoogte van schadevergoeding wel bepaald mag worden door de nationale regels van een lidstaat. Volgens het gelijkwaardigheidsbeginsel mag de hoogte van schadevergoeding op grond van Europese regelingen bij soortgelijke situaties in nationaal recht echter niet ongunstiger uitvallen. Daarnaast moet volgens het doeltreffendheidsbeginsel de toekenning van schadevergoeding in de praktijk niet moeilijker gemaakt worden. Voor de AVG betekent dit, dat in ieder geval de volledige en daadwerkelijke geleden schade moet worden vergoed.
De betrokkene UZ heeft een verzoek om internationale bescherming gedaan bij de Bundesamt (een Duits bestuursorgaan). Dit verzoek is afgewezen op basis van een dossier met diens persoonsgegevens. Tegen het besluit is beroep ingesteld bij de rechter. Vervolgens is het dossier elektronisch doorgestuurd naar de rechter. De rechter twijfelt of het bijhouden van het dossier en de toezending in lijn met de wet is. Het eerste probleem dat zich voordoet is dat de Bundesambt in strijd met art. 30 AVG geen register heeft bijgehouden van de verwerkingsactiviteiten vanaf het moment van het verzoek om internationale bescherming. Daarnaast ontbreekt in strijd met art. 26 AVG een nationale regeling voor het overdragen van stukken tussen bestuurlijke en rechterlijke instanties.
In deze zaak herhaalt het Hof dat bij de uitleg van Unierechtelijke bepalingen naast de bewoordingen ook rekening gehouden moet worden met de context en de doelstellingen van de regeling. Zodoende moeten de bepalingen in de AVG in samenhang met elkaar bekeken worden. Om aan de verantwoordingsplicht uit art. 5 AVG te voldoen, moeten ook de voorwaarden voor rechtmatige gegevensverwerking uit art. 6 AVG in acht genomen worden. De andere bepalingen uit hoofdstuk II, dat betrekking heeft op de beginselen van de AVG, hebben als doel om de verplichtingen van een verwerkingsverantwoordelijke duidelijk te maken. De verwerking van gegevens is slechts rechtmatig als deze beginselen worden nageleefd. In hoofdstuk IV worden algemene verplichtingen opgelegd om naleving van de AVG-beginselen zoveel mogelijk te bewerkstelligen.
De bepalingen over het bijhouden van een verwerkingsregister en de doorgifte van persoonsgegevens in de gerechtelijke procedure (art. 26 respectievelijk 30 AVG) zijn van ondergeschikte betekenis voor de bescherming van de rechten en vrijheden van betrokkenen. Door deze bepalingen niet na te leven, is er geen sprake van handelen in strijd met de verantwoordingsplicht. De enkele schending van de algemene verplichtingen uit de AVG, brengt dus geen onrechtmatige gegevensverwerking met zich mee. Als gevolg hiervan heeft een betrokkene ook niet de mogelijkheid om gebruik te maken van het recht op verwijdering van de gegevens (art. 17 AVG) of beperking van de verwerking (art. 18 AVG). De schending zal gesanctioneerd moeten worden met één van de maatregelen uit hoofdstuk VIII.
Tot slot oordeelt het Hof dat voor het gebruik van persoonsgegevens in een gerechtelijke procedure niet de toestemming van de betrokkene is vereist. De verwerking kan ook op een andere grond uit art. 6 AVG gebaseerd worden. In geval van de rechtspraak zal dit de uitoefening van een taak in het algemeen belang betreffen. Het Hof concludeert dat bij het niet in acht nemen van de algemene verplichtingen uit art. 26 en 30 AVG de rechtmatigheid van het betrekken van deze persoonsgegevens in de gerechtelijke procedure niet afhangt van het al dan niet verkrijgen van toestemming.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.