Wetgeving geen excuus om gegevens online te publiceren en ruime uitleg bijzondere persoonsgegevens

11 augustus 2022, laatst geüpdatet 11 september 2024
De Grote Kamer van het EU Hof van Justitie heeft onlangs een principiële uitspraak gewezen in het privacyrecht. Twee kwesties komen aan de orde: (1) wetten die verplichten tot het verwerken van persoonsgegevens kunnen zelf worden getoetst aan grondrechten en (2) het begrip 'bijzondere persoonsgegevens' moet ruim worden uitgelegd. Een korte beschouwing.
Mark Jansen 
Mark Jansen 
Advocaat - Associate Partner
In dit artikel

De achtergronden

De kwestie gaat in de kern over het volgende. In Litouwen is er wetgeving die tot doel heeft om te waarborgen dat overheidsfunctionarissen het publieke belang dienen, onpartijdig handelen en niet het slachtoffer worden van corruptie.

In dat kader worden bepaalde overheidsfunctionarissen verplicht om een verklaring af te geven aan een ethische commissie over hun private belangen, waaronder begrepen betrokkenheid bij rechtspersonen, ontvangen giften en bepaalde verrichte transacties. Er moet daarbij ook informatie worden verschaft over de levenspartner van de overheidsfunctionaris en diens belangen. De verklaring wordt door de ethische commissie online gepubliceerd.

Een man die werk als directeur voor een milieubeschermingsorganisatie wordt aangesproken door de ethische commissie wegens het niet voldoen aan de verplichting tot het afleggen van de verklaring. Daarop vecht de man zowel de wetgeving aan als de vermeende schending van zijn privacy. Een specifieke klacht ging over de plicht details over de levenspartner openbaar te maken. De kwestie belandt uiteindelijk bij het Hof van Justitie.

Hof: dezelfde uitleg onder richtlijn en AVG

Het Hof begint met de vaststelling dat de kwestie deels ziet op feiten van voor de inwerkingtreding van de AVG. Dit zou betekenen dat de kwestie (voor die periode) valt onder de privacyrichtlijn 95/46. Het Hof merkte echter ook op dat voor de vragen in kwestie dat niet uitmaakt, nu privacyrichtlijn en AVG op deze punten hetzelfde moeten worden geïnterpreteerd.

Hof over automatische online publicatie

Het Hof oordeelt allereerst over de wet op grond waarvan de verklaringen op de website van de ethische commissie worden gepubliceerd.

Hoog beschermingsniveau, ook zakelijke gegevens kunnen persoonsgegevens zijn

Het Hof herhaalt daarbij allereerst (de bestendige jurisprudentie) dat de AVG een hoog beschermingsniveau nastreeft, dat iedere verwerking van persoonsgegevens aan de beginselen en grondslagen moet voldoen en dat het irrelevant is of de gegevens in kwestie verband houden met een professionele activiteit. Dit laatste - ook zakelijke gegevens zijn persoonsgegevens - leidt in de praktijk nog wel eens tot misverstanden.

Constitutionele toets bij privacywetgeving

Bij zowel verwerkingen op grond van een wettelijke plicht (sub c) als een publieke taak (sub e) moet deze zijn gebaseerd op een wet. Die wet moet voldoen aan het bepaalde in artikel 6.3 AVG. Het Hof stelt dat artikel 6.3 uitdrukt wat er in artikel 52.1 van het Handvest staat en ook overeenkomstig moet worden geïnterpreteerd. Het Hof slaat hier in feite een brug tussen de AVG en de grondrechtencatalogus van het Handvest en stelt dat alle wetgeving die ziet op de verwerking van persoonsgegevens moet voldoen aan alle eisen die het Handvest stelt.

Anti-corruptie legitiem doel

De wet in kwestie dient op zichzelf een gerechtvaardigd doel (waarborgen van eerlijkheid en onpartijdigheid en tegengaan corruptie in publieke sector). Het Hof signaleert ook dat van transparantie op zichzelf een prikkel tot correct handelen kan uitgaan. De vraag is echter of niet een minder ingrijpend middel gekozen had kunnen worden.

Tijdgebrek geen rechtvaardiging voor privacyschending

De lokale Litouwse rechter vroeg zich in dat kader al af waarom niet wordt volstaan met het controleren van de afgegeven verklaringen (i.p.v. deze online te zetten). Daarop had de ethische commissie aangegeven daarvoor geen tijd te hebben. Het Hof is echter duidelijk: tijdsgebrek kan nooit ('in any event') een rechtvaardiging zijn voor een inbreuk op grondrechten.

Waarborgen vereist

Bovendien, zelfs als online publicatie nodig zou zijn, dan nog is de vraag waarom geen nadere waarborgen zijn onderzocht. Er moet immers ook altijd aan dataminimalisatie worden gedaan. Dus alleen die data die bijdraagt aan het doel mag worden gepubliceerd. Meer specifiek lijkt de mate van detail waarin over de levenspartner moest worden bericht lijkt niet noodzakelijk.

Ook bij heel legitieme doelen nog wel letten op privacy

Ook bij hele legitieme doelen moet nog steeds een afweging tegen het belang van betrokkene worden gemaakt. Daarbij moet rekening worden gehouden met aard en gevoeligheid van de gegevens, de verwerkingsmethoden en het aantal personen met toegang. In dit geval worden gevoelige gegevens van zowel de overheidsfunctionaris als levenspartner openbaar gemaakt, terwijl de openbaarmaking van gegevens van die partner niet in dezelfde mate dwingend is. Het cumulatief effect van het geheel van de te publiceren gegevens kan de inbreuk bovendien verergeren.

Het voor onbeperkt publiek toegankelijk maken van gegevens kan er toe leiden dat die gegeven voor hele andere doeleinden worden opgezocht. Betrokkene zou door adverteerders of criminelen benaderd kunnen worden. Het betreft dus een ernstige inbeuk volgens het Hof.

Geen goede balans, maar bepaalde gegevens wel relevant

De conclusie is dan ook dat in de betreffende wetgeving geen goede balans is gevonden en dat onvoldoende waarborgen zijn getroffen.

Tegelijkertijd concludeert het Hof ook dat informatie over belangen bij ondernemingen, verenigingen, fondsen, etc. van betrokkene en – mits anoniem – die van de partner wel relevant kan zijn gelet op het doel. Zolang daarvoor (alsnog) een goede balans wordt gevonden en wordt geborgd dat slechts het minimaal noodzakelijke wordt gepubliceerd, mogen die gegevens wel worden gepubliceerd.

Met dit laatste oordeel lijkt het Hof alvast wat vooruit te lopen op vervolgvragen en wellicht ook wel critici de wind uit de zeilen te nemen die (vanuit de onderbuik) mopperen dat er "niets meer mag vanwege privacy'.

Ruime uitleg bijzondere persoonsgegevens

Het tweede deel van het arrest ziet op het publiceren van de naam van de levenspartner van de directeur van de milieuorganisatie. De verwijzende rechter meent namelijk dat uit die naam de seksuele oriëntatie van de directeur (of eigenlijk: van beide personen) is af te leiden. Dat roept de vraag op of data waaruit die oriëntatie blijkt als bijzondere persoonsgegevens moeten worden gezien.

Het Hof stelt vast dat de tekst van artikel 9 AVG de verschillende soorten bijzondere persoonsgegevens in twee categorieën lijkt te verdelen:

  • revealing’ (blijken) &
  • concerning’ (over/met betrekking tot)

Louter naar de tekst kijkend zou er dus wellicht een verschil in interpretatie moeten zijn. 'Revealing' lijkt immers ruimer te zijn dan 'concerning' en ook te wijzen op data die niet direct, maar wel indirect iets gevoeligs prijs geeft.

Een dergelijk verschil in interpretatie kan het Hof echter lastig rijmen met de duiding in de considerans, het doel van een hoog beschermingsniveau en het specifieke doel bijzondere persoonsgegevens extra goed te beschermen.

Het Hof komt dan ook tot de conclusie dat indirect gevoelige informatie niet uitgesloten kan zijn van de werking van artikel 9 AVG

Dat maakt dan ook dat het publiceren op een website van informatie die indirect de seksuele geaardheid kan onthullen een verwerking vormt van bijzondere persoonsgegevens.

Slotopmerking

Het arrest is een fraai voorbeeld van constitutionele toetsing van (privacy)wetgeving. De wet die tot verwerking van persoonsgegevens verplicht kan als zodanig worden aangevallen. Dit maakt dus ook dat in ultimo het HvJEU de bevoegde rechter is om (via prejudiciële vragen) in voorkomend geval onze nationale wetgeving te beoordelen.

Dat nationale wetgeving kan worden getoetst is overigens op zichzelf niet verrassend. Voorbeelden in Nederland die we daarvan hebben gezien (zij het deels op een wat andere grondslag) waren bijvoorbeeld de kwestie over het buiten werking stellen van de bewaarplicht telecommunicatiegegevens en het onverbindend verklaren van de Syri-wetgeving.

De ruime uitleg van het begrip bijzondere persoonsgegevens komt me verder in de basis logisch voor. Wel roept het interessante vervolgvragen op.

Zo is het publiceren van de naam van de partner nu kennelijk in alle gevallen verboden (het gaat immers om iedere informatie die direct of indirect iets zegt over 'a natural person's sex life or sexual orientation', niet alleen bij personen met een oriëntatie die afwijkt van die van het gemiddelde). Gelijk zo zou je kunnen stellen dat het publiceren of iemand kinderen heeft nu ook verboden is (zij het dat het bestaan van de niet-natuurlijke bevruchting wellicht weer maakt dat dit er buiten valt).

Ook voor begrippen uit de oude 'revealing' categorie is de vraag of er nu gevolgen zijn. Want revealing is dus kennelijk inderdaad heel ruim (en ook indirect) bedoeld. Zo komt wellicht de (oude) discussie over ras en etniciteit weer terug op en wat dan bijvoorbeeld nationaliteit nu wel/niet zegt.

Het zou mij niets verbazen wanneer we op de veel langere termijn toch wat toegaan naar een contextuele benadering van het begrip bijzondere persoonsgegevens. Anders zijn veel situaties van 'bijvangst' van bijzondere persoonsgegevens en het verwerkingsverbod daarvan maatschappelijk gezien toch lastig uit te leggen. In het verleden nam de Autoriteit Persoonsgegevens in de beleidsregels cameratoezicht al het standpunt in dat, vrij vertaald, 'bijvangst' van bijzondere persoonsgegevens op camerabeelden niet kwalificeert als verwerking van bijzondere persoonsgegevens. Later benadrukte de AP echter dat dit standpunt niet verbreed mag worden tot andere kwesties.

We gaan zien hoe het zich verder ontwikkelt. Blijf de blog volgen.