Einde inhoudsopgave
Gegevensbescherming in faillissement (O&R nr. 136) 2023/3.5.1
3.5.1 Speciale persoonsgegevens in faillissement
mr. M.D. Reijneveld, datum 01-08-2022
- Datum
01-08-2022
- Auteur
mr. M.D. Reijneveld
- JCDI
JCDI:ADS675776:1
- Vakgebied(en)
Ondernemingsrecht (V)
Voetnoten
Voetnoten
Conceptwetsvoorstel Verzamelwet gegevensbescherming, Memorie van Toelichting, p. 35.
Zo merkte de AP NAW-gegevens van (oud-)werknemers die waren verstrekt aan inkomensverzekeraars aan als bijzondere persoonsgegevens (omdat werkgevers deze gegevens alleen verstrekken als sprake is van ziekte en/of arbeidsongeschiktheid), AP januari 2018, p. 2.
Art. 9 lid 2 sub g AVG: “de verwerking is noodzakelijk om redenen van zwaarwegend algemeen belang, op grond van Unierecht of lidstatelijk recht, waarbij de evenredigheid met het nagestreefde doel wordt gewaarborgd, de wezenlijke inhoud van het recht op bescherming van persoonsgegevens wordt geëerbiedigd en passende en specifieke maatregelen worden getroffen ter bescherming van de grondrechten en de fundamentele belangen van de betrokkene”. In haar wetgevingsadvies over de Verzamelwet gegevensbescherming vraagt de Raad van State wat een zwaarwegend algemeen belang onderscheidt van een (niet-zwaarwegend) algemeen belang, Raad van State, Verzamelwet gegevensbescherming, maart 2022, W16.21.0372/II, p. 3-4.
Vgl. AP augustus 2019, p. 3.
Kamerstukken II 2017/18 34 851, 3, p. 114.
Hof Den Haag, 24 december 2019, ECLI:NL:GHDHA:2019:3539, r.o. 4.23.
Von Meijenfeldt 2020, p. 253.
Vgl. Shabani & Borry 2018, p. 154; Staunton, Slokenberga & Mascalzoni 2019, p. 1161.
Zo worden als voorbeeld van passende waarborgen voor archivering in overweging 156 en art. 89 lid 1 AVG de pseudonimisering genoemd, voor verdere verwerking in art. 6 lid 4 sub e AVG versleuteling of pseudonimisering, en in art. 46 lid 2 AVG worden als passende waarborgen voor doorgifte van persoonsgegevens aan een derde land onder meer genoemd: juridisch bindende en afdwingbare instrumenten, standaardbepalingen, bindende bedrijfsvoorschriften en certificeringsmechanismes.
European Commission 2020, p. 6.
Voigt & von dem Bussche 2017, p. 5.
Zie uitgebreid Hartkamp 2019, nr. 109-112. Zie ook Tjong Tjin Tai 2011.
De Britse wetgever heeft een lijst met ‘Appropriate policy document and additional safeguards’ opgenomen als Schedule 1 Part 4 bij de Data Protection Act 2018. Hetzelfde heeft de Duitse wetgever gedaan in §48 (2) Datenschutz-Anpassungs-und-Umsetzungsgesetz EU (DSAnpUG-EU).
De curator zal tijdens een faillissement al snel speciale persoonsgegevens verwerken.1 De bijzondere categorieën van persoonsgegevens dienen ruim te worden geïnterpreteerd.2 Een voorbeeld van een bijzonder persoonsgegeven is bijvoorbeeld de registratie ‘afwezigheid vanwege ziekte’. De verwerking van dergelijke persoonsgegevens is verboden, tenzij een van de limitatief in artikel 9 AVG opgesomde uitzonderingen zich voordoet.3 Bijzondere categorieën van persoonsgegevens kunnen bijvoorbeeld worden verwerkt om redenen van zwaarwegend algemeen belang, op grond van een wettelijke bepaling die ook maatregelen bevat om de fundamentele belangen van de betrokkene te beschermen.4 Die wettelijke bepaling moet passende waarborgen bieden ter bescherming van persoonsgegevens “en andere grondrechten”5 en specificeren wat voor persoonsgegevens de verwerkingsverantwoordelijke mag verwerken.6 Daarnaast moet ook altijd een grondslag voor gegevensverwerking uit artikel 6 AVG van toepassing zijn.
Persoonsgegevens van strafrechtelijke aard zien zowel op veroordelingen en “min of meer gegronde verdenkingen”,7 als op maatregelen met een punitief karakter.8Artikel 10 AVG biedt ruimte om gegevens van strafrechtelijke aard te verwerken, mits dit gebeurt onder toezicht van de overheid of de verwerking is toegestaan in een wet, die passende waarborgen voor de rechten en vrijheden van betrokkenen biedt.
Zowel bij de verwerking van strafrechtelijke als bijzondere persoonsgegevens zijn dus ‘passende waarborgen’ vereist. Deze waarborgen kunnen blijken uit de wettekst of uit de toelichting.9 Het is in grote mate aan de lidstaten gelaten om te bepalen wat zij inhouden.10 De AVG bevat geen definitie van ‘passend’. In verschillende contexten worden in de AVG voorbeelden gegeven van ‘passende waarborgen’, maar deze zijn niet allemaal even relevant voor de verwerking van speciale persoonsgegevens.11Artikel 32 AVG geeft aan dat passende maatregelen bijvoorbeeld pseudonimisering, versleuteling, een procedure voor het testen van de beveiligingsmaatregelen en het vermogen om vertrouwelijkheid te garanderen omvatten. Hoewel dit enigszins helpt, zijn het niet hele duidelijke vereisten.
De Europese Commissie heeft als uitgangspunt geformuleerd: “the stronger the impact on the freedoms of the individuals, the stronger corresponding safeguards should be provided for in the relevant law”.12 Of waarborgen ‘passend’ zijn, hangt dus onder meer af van het risico voor de betrokkene bij verwerking.13 Gezien de rechtspraak van het Hof van Justitie moet daarnaast worden voldaan aan het effectiviteitsbeginsel.14 Welke waarborgen genomen moeten worden, blijft daarmee echter onduidelijk.
Verschillende lidstaten hebben in hun implementatiewetgeving van de AVG lijsten opgenomen met passende waarborgen.15 In hun wetgeving noemen Engeland en Duitsland bijvoorbeeld de vaststelling van bijzondere termijnen, aanvullende informatieverstrekking aan de betrokkene, beperking van de toegang tot de persoonsgegevens bij de verwerkingsverantwoordelijke, de gescheiden verwerking van bijzondere persoonsgegevens of het opstellen van aanvullende beleidsdocumenten over de omgang met bijzondere categorieën van persoonsgegevens. De Nederlandse wetgever heeft zo’n lijst niet opgenomen. Het lijkt mij wenselijk om zo’n lijst te creëren, teneinde meer duidelijkheid te scheppen over het type waarborgen waaraan kan worden gedacht. Dit kan ook buiten de situatie van faillissement aanvullende duidelijkheid scheppen.