Casus: aan wie is mijn telefoonboekvermelding verkocht?
De casus in de kwestie voor het Hof is zeer overzichtelijk. Een man vraagt aan een uitgever van telefoongidsen in Oostenrijk (RW Österreichische Post) welke persoonsgegevens er van zijn verwerkt en aan wie deze gegevens zijn verstrekt.
De uitgever heeft in reactie op die vraag volstaan met een algemene mededeling dat persoonsgegevens worden verkocht, zonder duidelijk te maken aan wie de gegevens concreet zijn verstrekt. De Oostenrijkse rechters vragen zich af of dat antwoord afdoende is en zo belandt de kwestie uiteindelijk bij het Hof van Justitie.
Hof: kijken naar ratio en doel bepaling
Het Hof constateert dat de bepaling over het recht op inzage zowel spreekt over het recht op informatie over de ontvangers als over de categorieën van ontvangers.
Het Hof stelt echter dat er niet louter naar de tekst moet worden gekeken en wijst op:
- de considerans, waarin eenvoudigweg wordt gesteld dat er moet worden verteld wie de ontvangers zijn;
- dat transparantie juist een van de kernbeginselen van de AVG is;
- het inzagerecht er juist voor is om specifieke informatie te krijgen die is toegespitst op de betrokkene;
- het inzagerecht ook bedoeld is om te kunnen toetsen of persoonsgegevens rechtmatig zijn verwerkt en dat omvat juist ook de toets of de gegevens wel aan bevoegde ontvangers zijn verstrekt;
- de AVG kent de betrokkene allerlei rechten toe, die niet nuttig uitgeoefend zouden kunnen worden als betrokkene niet weet over de ontvangers;
- de AVG kent bovendien in artikel 19 toch al een ketenbepaling die partijen in beginsel verplicht om partijen verderop in de keten te informeren over rectificaties en wissingen van gegevens;
- de AVG geeft een invulling aan het grondrecht op privacy.
Het Hof concludeert dat ook dat de betrokkene recht heeft op specifieke informatie over ontvangers. De betrokkene kan er zelf voor kiezen zijn verzoek te beperken tot informatie over categorieën van ontvangers.
Hof: soms uitzonderingen denkbaar
Het Hof herhaalt echter ook dat het privacyrecht niet absoluut is. Gelet daarop is het denkbaar dat onder omstandigheden onmogelijk is om transparant te zijn over de ontvangers. Meer specifiek denkt het Hof aan de situatie dat de concrete ontvangers nog niet bekend zijn en slechts categorieën van ontvangers kunnen worden genoemd.
Verder herinnert het Hof aan de mogelijkheid om inzageverzoeken te weigeren indien de verzoeken kennelijk ongegrond of buitensporig van aard zijn. De bewijslast dat het verzoek ongegrond of buitensporig is, ligt bij de organisatie waaraan het inzageverzoek is gericht.
Korte duiding
Voorafgaand aan het arrest wat in feite de grote vraag: volstaat bij een inzageverzoek een overzicht met categorieën van ontvangers, of moeten de concrete ontvangers worden vermeld? Het Hof beslist nu in laatstgenoemde zin. Gelet op de tekst en ratio van de AVG is dat denk ik niet verrassend, maar brengt wel de nodige praktische aandachtspunten met zich mee.
Het komt er op neer dat organisaties die persoonsgegevens verstrekken een verstrekkingenadministratie zullen moeten gaan bijhouden. Een praktische tip zou kunnen zijn om het bestaande verwerkingsregister - dat toch al verplicht een overzicht te hebben van de categorieën van ontvangers - waar mogelijk nader te concretiseren tot de concrete ontvangers. Dat voorkomt immers dubbele administraties.
Een valkuil hierbij kan zijn dat het begrip ontvanger zeer ruim is gedefinieerd als "een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, al dan niet een derde, aan wie/waaraan de persoonsgegevens worden verstrekt". Naar de letter van de definitie zijn daar zelfs verwerkers onder te verstaan. Wel kan de vraag worden gesteld of de argumenten die het Hof allemaal noemt om te rechtvaardigen dat de concrete ontvangers moeten worden genoemd ook opgaan voor de verwerker. De verwerker treedt immers in feite op als een "verlengde arm" van de verwerkingsverantwoordelijke en werkt louter onder diens instructies. In dat licht is de vraag wat het belang van betrokkene is te weten welke verwerker(s) er worden ingeschakeld. Tegelijkertijd rust op de verwerker een zelfstandige aansprakelijkheid (artikel 82 AVG); hetgeen ervoor zou pleiten om ook transparant te zijn over die verwerker. Het is nog onduidelijk welke kant het Hof hier zal gaan. Daar waar mogelijk doen organisaties er tot die tijd goed aan de regels hier maar ruim te interpreteren en ook transparant te zijn over verwerkers.
Een extra aandachtspunt daarbij is weer dat veel verwerkers zullen werken met sub-verwerkers, waarbij die sub-verwerkers binnen kaders en middels een opt-out regime vrijelijk kunnen worden vervangen. Berichtgeving over wijziging in die verwerkers komt naar zijn aard veelal bij een specifieke afdeling terecht (zoals IT). Die afdeling zal die informatie moeten doorgegeven aan de afdeling die het hiervoor bedoelde uitgebreidere verwerkingsregister bijhoudt, althans de inzageverzoeken afhandelt. Wanneer dat niet gebeurt kunnen immers de inzageverzoeken niet correct worden afgehandeld.
Onder ontvangers zijn geen overheidsinstanties te verstaan die gegevens ontvangen in het kader van een bijzonder onderzoek overeenkomstig het nationale of Europese recht (zie artikel 4 sub 9 AVG). Andere overheidsinstanties vallen hier echter wel onder. Ook allerlei (vaak wettelijk verplichte) verstrekkingen aan overheidsinstanties als de Belastingdienst en het UWV moeten dus worden geadministreerd. Gek genoeg is hier in artikel 14 lid 5 wel een in voorzien in een uitzondering en in artikel 15 AVG niet.
Het Hof heeft zich niet expliciet uitgelaten over verstrekkingen aan ontvangers waarop een beroepsgeheim rust (zoals medici, advocaten, etc.). Mijn inschatting zou echter zijn dat er geen transparantie hoeft te worden betracht over die ontvangers. De ontvanger op wie een beroepsgeheim rust hoeft uit hoofde van dat beroepsgeheim zelf niet transparant te zijn. Het zou wat gek zijn wanneer de verstrekker dat wel moet zijn. Dat staat haaks op het doel dat met het beroepsgeheim wordt gediend. Organisaties zouden zich ook nodeloos in de kaart laten kijken indien ze transparant moeten zijn over bijvoorbeeld het feit dat een dossier naar een advocaat is gestuurd.
Een andere leuke breinbreker is dat er legio situaties zijn waarin er niet eens informatie kan worden gegeven over de ontvangers. Zo weten we bijvoorbeeld niet wie deze blog leest, terwijl mijn naam erop staat. Voor iedereen die deze blog archiveert (en dus verwerkt): u kunt de artikel 14 AVG informatie aan me mailen.
Een ander aandachtspunt is dat de ontvanger zelf in beginsel ook transparant moet zijn (zie artikel 14 AVG). Daarop zijn enkele uitzonderingen (zie lid 5), zoals de situatie dat de betrokkene reeds over de informatie beschikt.
Wanneer er geen informatie kan worden verstrekt over de ontvangers, dan lijkt de conclusie te zijn dat het kernbeginsel van transparantie wordt geschonden en dat er (dus) sprake is van een onrechtmatige verwerking van persoonsgegevens. De vraag is wat de consequentie daarvan is. We zijn op dit moment in afwachting van een zaak voor het Hof over hoe ruim het schadebegrip moet worden geïnterpreteerd. Wanneer de conclusie van de advocaat-generaal wordt gevolgd geeft een inbreuk op de AVG niet op zichzelf al recht op schadevergoeding indien er niet daadwerkelijk sprake is van schade. In die lijn is de vraag of de betrokkene een claim heeft indien er geen transparantie kan worden betracht over de ontvangers van gegevens. Vermoedelijk niet. Wel kan de Autoriteit Persoonsgegevens in dat geval een boete opleggen. Op grond van de huidige boetebeleidsregels zou er dan een basisboete van € 525.000, volgen.
Heeft u vragen over voorgaande? Neem gerust contact op.