Einde inhoudsopgave
De beveiliging van persoonsgegevens (O&R nr. 135) 2022/5.2.2.1
5.2.2.1 Het Handvest en de invulling van wettelijke bepalingen
mr. J.A. Hofman, datum 01-07-2022
- Datum
01-07-2022
- Auteur
mr. J.A. Hofman
- JCDI
JCDI:ADS660893:1
- Vakgebied(en)
Privacy (V)
Voetnoten
Voetnoten
Dit past bij de rol die grondrechten van oorsprong vervullen. Deze is voornamelijk publiekrechtelijk. Zie Busch & Schulte-Nölke 2011, p. 5; Barkhuysen, Bos & Ten Have 2011, §3.2.2; Nehmelman & Noorlander 2013, §1.1; De Mol 2014, §7.3.1; Walkia 2016. Ook de verplichtingen uit het EVRM zijn gericht op verdragslanden (art. 1 EVRM).
Zie hierover en over de discussie die in dit kader is gevoerd o.a. Barkhuysen, Bos & Ten Have 2011, §3.2.2; Nehmelman & Noorlander 2013, §1.1; De Mol 2014, §7.3.1; Kerikmäe 2014, §6; Walkia 2016, part III; Hijmans 2016, p. 44; Craig & De Búrca 2020, §13.6(C). Van ‘directe horizontale werking’ bestaat geen vaste definitie. Er is sprake van indien de fundamentele rechten kunnen worden ingeroepen in rechtsgedingen tussen particulieren partijen (zie bijv. De Mol 2014, §7.2.1).
HvJ EU 6 november 2018, ECLI:EU:C:2018:871, pt. 87 (Bauer). Doorgaans wordt aangenomen dat alleen grondrechten die nauwkeurig, duidelijk en voorwaardelijk zijn en geen aanvullende maatregelen vereisen horizontaal kunnen werken (HvJ EG 5 februari 1963, ECLI:EU:C:1963:1 (Van Gend en Loos)). Zie over de directe horizontale werking van de grondrechten uit het Handvest verder De Mol 2014, §7.2.1; Rossi 2017, §E; Frantziou 2020, §II; Leczykiewicz 2020.
Zie ook §5.1.
Zie bijv. HvJ EG 16 december 2008, ECLI:EU:C:2008:727, pt. 51 (Satamedia) en HvJ EU 14 februari 2019, ECLI:EU:C:2019:122, pt. 49 (Buivids).
HvJ EU 13 mei 2014, ECLI:EU:C:2014:317, pt. 38 (Google Spain).
Dit wordt wel gezien als een variant op ‘gewone’ directe horizontale werking (Frantziou 2020, §IV.A).
Zie ook §4.5.
Zie bijv. HvJ EU 24 november 2011, ECLI:EU:C:2011:771, pt. 48-49 (Scarlet Extended), en hierover Leczykiewicz 2013. Overigens wordt in de literatuur ook wel aangenomen dat dit recht horizontale werking heeft (bijv. Asser/Hartkamp 3-1 2019/66a).
De verplichtingen uit het Handvest rusten op de instellingen, organen en instanties van de EU en op lidstaten wanneer die het recht van de EU ten uitvoer brengen.1 Zij dienen, zo volgt uit art. 51 Hv, de grondrechten te eerbiedigen en de toepassing ervan te bevorderen. Voor private partijen bestaat er geen vergelijkbare plicht. Hoewel het Handvest van belang is bij de invulling van de AVG-beveiligingsbepalingen, betekent dit niet zonder meer dat private partijen andere persoonsgegevensbeveiligingsverplichtingen hebben dan publieke. De vaststelling van de beveiligingsverplichtingen van verwerkingsverantwoordelijken en verwerkers vereist immers de uitleg van een verordening, niet de toepassing van het Handvest. Ook kan het zijn dat er via de weg van de ‘directe horizontale werking’ ook voor private partijen rechten en plichten uit het Handvest voortvloeien.2 De mogelijkheden hiertoe moeten per grondrecht worden beoordeeld.3 Omdat het Handvest bij de invulling van art. 5 lid 1 onder f en 32 AVG echter niet hoeft te worden toegepast, is het vraagstuk van de directe horizontale werking hierbij niet rechtstreeks van belang.
Dat het persoonsgegevensbeschermingsrecht moet worden uitgelegd in het licht van haar doelstelling,4 heeft het HvJ EU nooit toegespitst op publieke partijen.5 Ook voor private partijen is de functie die de AVG vervult bij de eerbiediging van grondrechten van belang. Ten aanzien van de beveiligingsbepalingen blijkt dit ook uit de tekst van art. 32 AVG: bij de vormgeving van beveiliging moet iedere verwerkingsverantwoordelijke en iedere verwerker immers rekening houden met de “qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van personen”.6 Zij zijn zo allemaal verantwoordelijk voor de bescherming van deze rechten. Dat private partijen in de context van het persoonsgegevensbeschermingsrecht grondrechten moeten eerbiedigen, blijkt ook uit de rechtspraak van het HvJ EU. Zie vooral de uitspraak in de zaak Google Spain:
“Aangezien de activiteit van een zoekmachine de grondrechten op privéleven en op bescherming van persoonsgegevens dus aanzienlijk kan aantasten, (…), moet de exploitant van deze machine – als persoon die het doel van en de middelen voor deze activiteit vaststelt – in het kader van zijn verantwoordelijkheden, zijn bevoegdheden en zijn mogelijkheden verzekeren dat deze activiteit voldoet aan de vereisten van richtlijn 95/46, opdat de daarin vervatte waarborgen hun volle werking kunnen krijgen en een doelmatige en volledige bescherming van de betrokkenen, en met name van de eerbiediging van hun recht op privéleven, daadwerkelijk tot stand kan worden gebracht.”7
Private partijen zijn dus verantwoordelijk voor een doelmatige en volledige bescherming van betrokkenen en daardoor – in de context van de AVG – voor de waarborging van de grondrechten uit het Handvest.8 Uit de geciteerde overweging blijkt dit alleen expliciet voor de eerbiediging van het privéleven. Dat niet op dezelfde manier wordt verwezen naar het recht op de bescherming van persoonsgegevens komt waarschijnlijk doordat de uitspraak is gewezen onder de Dataprotectierichtlijn, dat ten doel had in het bijzonder dit recht te eerbiedigen.9 Nu het HvJ EU het recht op de bescherming van persoonsgegevens echter wel noemt, en dit recht de plaats van het recht op de eerbiediging van het privéleven in de doelstelling van de AVG heeft ingenomen, is de conclusie gerechtvaardigd dat onder de AVG private partijen, net als publieke partijen, verantwoordelijk zijn voor het daadwerkelijk tot stand brengen van de bescherming van beide grondrechten. Zowel publieke als private verwerkingsverantwoordelijken en verwerkers zullen de aan grondrechten gerelateerde risico’s dan ook moeten meenemen bij de vormgeving van persoonsgegevensbeveiliging.
Overigens heeft het HvJ EU het recht op de vrijheid van ondernemerschap op dezelfde manier laten meewegen bij de invulling van verplichtingen in horizontale verhoudingen.10 Ook dit recht beïnvloedt dus de verplichtingen van private partijen, los van de vraag of er directe horizontale werking vanuit gaat.