Einde inhoudsopgave
De beveiliging van persoonsgegevens (O&R nr. 135) 2022/5.2.5.3
5.2.5.3 Evenredigheidsbeginsel
mr. J.A. Hofman, datum 01-07-2022
- Datum
01-07-2022
- Auteur
mr. J.A. Hofman
- JCDI
JCDI:ADS660992:1
- Vakgebied(en)
Privacy (V)
Voetnoten
Voetnoten
Het betreft Verordening (EG) nr. 261/2004 van het Europees Parlement en de Raad van 11 februari 2004 tot vaststelling van gemeenschappelijke regels inzake compensatie en bijstand aan luchtreizigers bij instapweigering en annulering of langdurige vertraging van vluchten en tot intrekking van Verordening (EEG) nr. 295/9 (PbEU 2004, L 046).
Preambule verordening passagiersrechten luchtvaart, o. 1 en 3 jo. HvJ EU 31 januari 2013, ECLI:EU:C:2013:43, pt. 63 (Denise McDonagh v. Ryanair).
HvJ EU 31 januari 2013, ECLI:EU:C:2013:43, pt. 59 (Denise McDonagh v. Ryanair). Dit zou tevens inbreuk maken op het recht op eigenendom (art. 17 Hv).
Zie over deze toets ook §5.2.2.1.
HvJ EU 31 januari 2013, ECLI:EU:C:2013:43, pt. 45-49 en 62-65 (Denise McDonagh v. Ryanair). Zie vergelijkbaar HvJ EU 22 januari 2013, ECLI:EU:C:2013:28 (Sky Österreich GmbH v. Österreichischer Rundfunk).
HvJ EU 31 januari 2013, ECLI:EU:C:2013:43, pt. 49 (Denise McDonagh v. Ryanair).
Dit neemt echter niet weg dat financiële belangen van verwerkingsverantwoordelijken en verwerkers mogelijk wel om andere (niet aan art. 16 Hv gerelateerde) redenen aan bepaalde concrete beveiligingsverplichtingen in de weg staan. Zie in dit kader ook Google Spain, waarin wordt overwogen dat een bepaalde persoonsgegevensverwerkingen, “Gelet op de potentiële ernst van deze inmenging (…) niet kan worden gerechtvaardigd door louter het economisch belang dat de exploitant van een dergelijke zoekmachine bij deze verwerking heeft” (HvJ EU 13 mei 2014, ECLI:EU:C:2014:317, pt. 81 (Google Spain)). Zie ook §6.3.3.
HvJ EU 24 november 2011, ECLI:EU:C:2011:771, pt. 48-49 (Scarlet Extended) en HvJ EU 16 februari 2012, ECLI:EU:C:2012:85, pt. 45-47 (SABAM v. Netlog). In deze uitspraak speelde het recht op de bescherming van persoonsgegevens overigens een rol, maar werd het tezamen met het recht op de vrijheid van ondernemerschap tegen de belangen van de auteursgerechtigden afgewogen (resp. pt. 50-51 en pt. 48-51).
Vermoedelijk is dit ook de reden waarom in art. 17 van Richtlijn van het Europees Parlement en de Raad van 17 april 2019 inzake auteursrechten en naburige rechten in de digitale eengemaakte markt en tot wijziging van Richtlijnen 96/9/EG en 2001/29/EG (PbEU 2019, L. 130/92), waar wordt beschreven dat lidstaten het voorschrift tot het implementeren van een zogenoemd ‘uploadfilter’ moeten formuleren, onder 8 bepaalt dat de toepassing van het artikel niet leidt tot een algemene toezichtsvoorschrift. Zie in dit kader ook de preambule, o. 84 en Romero Moreno 2020.
HvJ EU 24 november 2011, ECLI:EU:C:2011:771, pt. 48 (Scarlet Extended). Vergelijkbaar: HvJ EU 16 februari 2012, ECLI:EU:C:2012:85, pt. 46 (SABAM v. Netlog), “Een dergelijk rechterlijk bevel zou dus leiden tot een ernstige aantasting van de vrijheid van ondernemerschap van de hostingdienstverlener, aangezien hij een ingewikkeld, kostbaar en permanent computersysteem zou moeten installeren dat alleen door hem zou worden bekostigd, hetgeen overigens in strijd zou zijn met de in art. 3, lid 1, van richtlijn 2004/48 gestelde eisen dat maatregelen ter bescherming van de intellectuele-eigendomsrechten niet onnodig ingewikkeld of kostbaar mogen zijn”.
HvJ EU 24 november 2011, ECLI:EU:C:2011:771, pt. 48 (Scarlet Extended) en HvJ EU 16 februari 2012, ECLI:EU:C:2012:85, pt. 46 (SABAM v. Netlog).
Het HvJ EU gaat in zijn uitspraken over het recht op de vrijheid van ondernemerschap niet systematisch de verschillende onderdelen van het evenredigheidsbeginsel af. Toch is uit zijn uitspraken af te leiden hoe het belang bij de vrijheid van ondernemerschap in de context van dit beginsel moet worden afgewogen tegen andersoortige belangen. Dit geeft enig inzicht in de wijze waarop dit recht tegen de andere in het kader van de AVG-beveiligingsbepalingen relevante rechten en belangen dient te worden afgewogen.
In Denise McDonagh v. Ryanair bekijkt het HvJ EU het recht op de vrijheid van ondernemerschap in de context van de verordening passagiersrechten luchtvaart.1 Deze verordening maakt deel uit van het beleid waarmee de EU zorgdraagt voor een hoog niveau van consumentenbescherming (hetgeen zij dient te doen o.g.v. art. 38 Hv).2 In de zaak bepleitte Ryanair dat enkele bepalingen uit de verordening passagiersrechten luchtvaart ongeldig zijn vanwege strijd met (onder meer) art. 16 Hv omdat zij luchtvaartmaatschappijen een deel van hun arbeid en investeringen ontnemen.3 Het HvJ EU onderzoekt daarom of er met de regeling een juist evenwicht is verzekerd tussen aan de ene kant het belang van een hoog niveau van consumentenbescherming en aan de andere kant het recht op de vrijheid van ondernemerschap.4 Het komt tot de conclusie dat de aanzienlijke negatieve economische gevolgen van de ter discussie staande voorschriften voor marktpartijen worden gerechtvaardigd door het belang van het hoge niveau van consumentenbescherming, en dat er dus geen schending is van art. 16 Hv.5 Een ervaren marktdeelnemer zou de kosten van de naleving van de op hem rustende voorschriften moeten voorzien, en kan deze dus doorberekenen in de prijzen van zijn producten.6
Een sterk met het vraagstuk uit McDonagh v. Ryanair vergelijkbare kwestie kan spelen in de context van de AVG-beveiligingsbepalingen. Net als de verordening passagiersrechten luchtvaart, beoogt de AVG immers een hoog beschermingsniveau te waarborgen. De naleving van de AVG-beveiligingsbepalingen kan bovendien, net als die van de voorschriften die in McDonagh v. Ryanair centraal staan, gepaard gaan met hoge kosten. Toch kan deze uitspraak niet zonder meer worden toegepast bij de invulling van de AVG-beveiligingsbepalingen. Anders dan de bepalingen die centraal stonden in McDonagh v. Ryanair, bepaalt art. 32 AVG uitdrukkelijk dat de uitvoeringskosten van beveiligingsmaatregelen de passendheid van deze maatregelen beïnvloeden. Financiële argumenten zijn in deze context daardoor mogelijk van een groter belang dan in de context van de verordening passagiersrechten luchtvaart. Wel geeft McDonagh v. Ryanair inzicht in de rol die het recht op de vrijheid van ondernemerschap daarbij heeft. Er kan uit worden geconcludeerd dat het financiële belang van een verwerkingsverantwoordelijke of verwerker niet om grondrechtelijke redenen kan verhinderen dat de AVG-beveiligingsbepalingen aanzienlijke negatieve financiële gevolgen hebben voor deze partijen.7 Dit helpt het belang te waarderen.
In twee andere uitspraken, Scarlet Extended en SABAM v. Netlog, beantwoordt het HvJ EU de vraag of internetproviders en hostingdienstverleners (in casu bij rechterlijke bevel) mogen worden verplicht tot het implementeren van een systeem dat a) alle via hun diensten lopende communicatie op auteursrechtinbreuken scant, en b) de communicatie blokkeert die daadwerkelijk een inbreuk op deze rechten maakt.8 Het ging om een systeem dat op alle klanten zou moeten worden toegepast, preventief zou werken, geen beperking in tijd zou kennen en volledig door de internetprovider respectievelijk hostingdienstverlener zou moeten worden bekostigd. Het HvJ EU oordeelt dat een gezamenlijke lezing van verscheidene EU-rechtelijke regelingen meebrengt dat een dergelijk zeer algemeen voorschrift niet mag worden opgelegd.9 Zij zou, zo wordt overwogen, geen juist evenwicht verzekeren tussen enerzijds het recht op de vrijheid van ondernemerschap en anderzijds de bescherming van de belangen van auteursrechthouders (zoals dat is gewaarborgd op grond van art. 17 lid 2 Hv). Zo’n verplichting zou leiden “tot een ernstige beperking van de vrijheid van ondernemerschap van de betrokken internetprovider, aangezien het hem verplicht om een permanent, duur en ingewikkeld informaticasysteem in te voeren dat alleen door hem wordt bekostigd”.10
Mogelijk kan uit Scarlet Extended en SABAM v. Netlog worden afgeleid dat verwerkingsverantwoordelijken en verwerkers niet mogen worden verplicht tot het beveiligen van al hun verwerkingen met een specifieke en dure beveiligingsmaatregel die zij zelf moeten bekostigen. Daarbij is echter van belang dat er enkele belangrijke verschillen bestaan tussen de omstandigheden in Scarlet Extended en SABAM v. Netlog en de omstandigheden van gevallen die worden geregeld door de AVG-beveiligingsbepalingen.
Het eerste verschil tussen de situaties die voorlagen in Scarlet Extended en SABAM v. Netlog en de situaties die de toepassing van de AVG-beveiligingsbepalingen vergen, is het belang dat tegenover het recht op de vrijheid van ondernemerschap staat. In bovengenoemde uitspraken waren dit de belangen van auteursrechthouders en het principe uit art. 17 lid 2 Hv. In het kader van de AVG-beveiligingsbepalingen is dit (in ieder geval) het belang bij de bescherming van persoonsgegevens en de eerbiediging van het privéleven. Het is de vraag of een afweging tegen deze rechten tot een andere uitkomst zou leiden. Daarbij is relevant dat het HvJ EU zich in zijn belangrijkste overwegingen (zie hierboven geciteerd) heeft uitgelaten over het recht op de vrijheid van ondernemerschap, zonder dit toe te spitsen op de belangen die hiertegen worden afgewogen. Dit impliceert dat wat, wanneer er een ander belang tegenover de vrijheid van ondernemerschap zou staan, tot een vergelijkbare uitkomst zou leiden.
Een ander belangrijk verschil tussen Scarlet Extended en SABAM v. Netlog enerzijds en de kwesties die in de context van de AVG-beveiligingsbepalingen kunnen spelen anderzijds, is dat in deze uitspraken (in niet nader uiteengezette mate) meespeelde dat het ter discussie staande rechterlijke bevel nadrukkelijk strijdig was met art. 3 lid 1 richtlijn 2004 v. 48, dat bepaalt dat maatregelen ter bescherming van intellectuele eigendomsrechten niet onnodig ingewikkeld of kostbaar mogen zijn.11 De AVG bevat geen vergelijkbaar artikel. Het ligt echter voor de hand art. 32 AVG, dat bepaalt dat de uitvoeringskosten van invloed zijn op de passendheid van beveiligingsmaatregelen, in overeenstemming met deze richtlijnbepaling uit te leggen.12 Dit zou passen bij de keuzevrijheid die de AVG haar normadressaten laat en het belang dat wordt gehecht aan de afstemming van de beveiliging op de omstandigheden van een concreet geval, en geeft deze bepaling bovendien enig (minimaal) effect.13 Naar mijn mening kan dan ook uit Scarlet Extended en SABAM v. Netlog worden geconcludeerd dat verwerkingsverantwoordelijken en verwerkers om grondrechtelijke redenen niet mogen worden verplicht, door bijvoorbeeld een rechter of de toezichthouder, tot het treffen van een specifieke, zeer kostbare, beveiligingsmaatregel die hij zelf volledig moet bekostigen indien hij de risico’s ook op een andere manier kan wegnemen.