Einde inhoudsopgave
De beveiliging van persoonsgegevens (O&R nr. 135) 2022/5.2.3.3
5.2.3.3 Evenredigheidsbeginsel
mr. J.A. Hofman, datum 01-07-2022
- Datum
01-07-2022
- Auteur
mr. J.A. Hofman
- JCDI
JCDI:ADS660874:1
- Vakgebied(en)
Privacy (V)
Voetnoten
Voetnoten
Zie voor een toepassing van dit criterium in de context van het recht op de bescherming van persoonsgegevens en het recht op de eerbiediging van het privéleven HvJ EU 17 oktober 2013, ECLI:EU:C:2013:670, pt. 40 e.v. (Schwarz)
Bijv. HvJ EU 9 november 2010, ECLI:EU:C:2010:662, pt. 77 (Volker en Schecke); HvJ EU 8 april 2014, ECLI:EU:C:2014:238, pt. 52 (Digital Rights Ireland); HvJ EU 11 december 2014, ECLI:EU:C:2014:2428, i.h.b. pt. 29 (Ryneš); Dat in dit kader meestal wordt verwezen naar het recht op de eerbiediging van het privéleven (zie §5.2.4.3), komt vermoedelijk omdat het recht op de bescherming van persoonsgegevens de eerste keer dat deze (inmiddels) standaardoverweging werd gebezigd nog niet was erkend. Zie verder ook HvJ EU 2 oktober 2018, ECLI:EU:C:2018:788, pt. 55 (Ministerio Fiscal), waarin is overwogen dat het doel van de inmenging in verhouding moet staan tot de ernst ervan.
HvJ EU 2 oktober 2018, ECLI:EU:C:2018:788, pt. 55 (Ministerio Fiscal), waarin het HvJ EU overweegt dat de doelstelling van de inmenging in verhouding staat tot de ernst van de inmenging die de ingreep meebrengt.
Zie in dit kader ook HvJ EU 8 april 2014, ECLI:EU:C:2014:238, pt. 44 (Digital Rights Ireland), en de aldaar aangehaalde jurisprudentie.
HvJ EU 8 april 2014, ECLI:EU:C:2014:238, pt. 66 (Digital Rights Ireland).
Het HvJ EU heeft in Canada PNR overwogen dat de beperkingen op het recht op de bescherming van persoonsgegevens slechts binnen het strikt noodzakelijke blijven indien “de regeling die de inmenging bevat minimale eisen oplegt, zodat degenen van die de gegevens zijn doorgegeven over voldoende garanties beschikken dat hun gegevens doeltreffend worden beschermd tegen het risico van misbruik” (HvJ EU 26 juli 2017, ECLI:EU:C:2017:592, pt. 141 (Canada PNR)). Zie ook HvJ EU 16 juli 2020, ECLI:EU:C:2020:559, pt. 176 (Schrems II) en tot slot HvJ EU 21 december 2016, ECLI:EU:C:2016:970, pt. 118 e.v. (Tele2 Sverige AB), waaruit blijkt aan welke eisen een nationale regeling aangaande persoonsgegevensverwerkingen moeten voldoen.
HvJ EU 14 februari 2019, ECLI:EU:C:2019:122, pt. 66 (Buivids).
Zie in dit kader, naast het hierboven opgenomen citaat, bijv. ook HvJ EU 26 juli 2017, ECLI:EU:C:2017:592, pt. 39 (Canada PNR)).
Zie ook HvJ EU 8 april 2014, ECLI:EU:C:2014:238, pt. 55 (Digital Rights Ireland); HvJ EU 16 juli 2020, ECLI:EU:C:2020:559, pt. 176 (Schrems II).
Zie over deze toets en de verhouding daarvan tot het evenredigheidsbeginsel §5.2.2.2.
HvJ EG 6 november 2003, ECLI:EU:C:2003:596, pt. 89 (Lindqvist).
HvJ EU 21 december 2016, ECLI:EU:C:2016:970, pt. 122 (Tele2 Sverige AB).
HvJ EU 13 mei 2014, ECLI:EU:C:2014:317, pt. 81 (Google Spain). De inmenging die centraal stond was de weergave van persoonsgegevens in een resultatenlijst door zoekmachines. De ernst daarvan had te maken met dat “elke internetgebruiker op basis van deze verwerking via de resultatenlijst een gestructureerd overzicht kan krijgen van de over deze persoon op het internet vindbare informatie, die potentieel betrekking heeft op tal van aspecten van zijn privéleven en die, zonder deze zoekmachine, niet of slechts zeer moeilijk met elkaar in verband had kunnen worden gebracht, en deze internetgebruiker aldus een min of meer gedetailleerd profiel van de betrokkene kan opstellen. Bovendien is de inmenging in deze rechten van de betrokkene des te sterker door de belangrijke rol van internet en zoekmachines in de moderne samenleving, waardoor de in een dergelijke resultatenlijst weergegeven informatie overal beschikbaar is” (pt. 80).
HvJ EU 13 mei 2014, ECLI:EU:C:2014:317, pt. 81, 97 en 98 (Google Spain). Zie ook De Vries 2016.
HvJ EU 13 mei 2014, ECLI:EU:C:2014:317, pt. 99 (Google Spain).
HvJ EU 13 mei 2014, ECLI:EU:C:2014:317, pt. 97 (Google Spain).
Zie hierover §6.3.3.
Het HvJ EU heeft het evenredigheidsbeginsel al verschillende keren op (vermeende) inmengingen in art. 8 Hv toegepast. De betreffende overwegingen geven inzicht in de waarde van de belangen die in de context van het recht op de bescherming van persoonsgegevens kunnen meespelen en in hun onderlinge verhouding.
De drie toetsen van het evenredigheidsbeginsel (zie §5.2.2.2) zijn sterk situatieafhankelijk en worden door het HvJ EU niet altijd duidelijk onderscheidden. In de context van het recht op de bescherming van persoonsgegevens komt de geschiktheid van de beperking doorgaans slechts aan bod wanneer die ter discussie staat. Partijen betwijfelen deze geschiktheid echter vrijwel nooit.1
De eerste stap van het HvJ EU bij de toepassing van het evenredigheidsbeginsel op inmengingen in het recht op de bescherming van persoonsgegevens is veelal het uitvoeren van de noodzakelijkheidstoets.2 Uit rechtspraak blijkt dat het in het kader van het noodzakelijkheidsvereiste van belang is dat het doel van de inmenging in verhouding staat tot de ernst daarvan.3 Zo moet een regeling die persoonsgegevensverwerkingen mogelijk maakt, om hieraan te voldoen, “duidelijke en precieze regels betreffende de draagwijdte en de toepassing van de betrokken maatregel bevatten die minimale vereisten opleggen, zodat de personen van wie de gegevens zijn bewaard over voldoende garanties beschikken dat hun persoonsgegevens doeltreffend worden beschermd tegen het risico van misbruik en tegen elke onrechtmatige raadpleging en elk onrechtmatig gebruik van deze gegevens”.4 Wanneer een regeling hier niet aan voldoet, kan zij ongeldig werden verklaard. Dit gebeurde bij de Dataretentierichtlijn. Daarbij hechtte het HvJ EU vooral waarde aan het gebrek aan specifieke regels die ertoe strekten de beveiliging van gegevens duidelijk en strikt te regelen om de volle integriteit en vertrouwelijkheid te waarborgen, en daarbij rekening houden met de enorme hoeveelheid verwerkte gegevens, het gevoelige karakter daarvan en de van belang zijnde risico’s.5
Bij de noodzakelijkheidstoets gaat het er dus om dat persoonsgegevens doeltreffend worden beschermd tegen het risico van misbruik en tegen elke onrechtmatige raadpleging en elk onrechtmatig gebruik.6 Beveiliging speelt in dit kader een belangrijke rol. Deze rol is zo groot, dat beveiligingsmaatregelen inmengingen in het recht op de bescherming van persoonsgegevens kunnen ‘afzwakken’.7 Deze rol, en het feit dat uit de eerdergenoemde rechtspraak blijkt dat de bescherming ‘doeltreffend’ moet zijn, impliceert dat verwerkingsverantwoordelijken en verwerkers daadwerkelijk bepaalde bescherming moeten bieden: het doen van een redelijke inspanning hiertoe is niet voldoende. Bovendien zijn de wettelijke vereisten minimale eisen: meer beveiliging mag worden geboden.8 Beveiliging is, zo blijkt uit de rechtspraak, echter niet altijd in dezelfde mate noodzakelijk. Hoe groter het risico is dat gegevens op onrechtmatige wijze worden geraadpleegd, hoe meer beveiliging de noodzakelijkheidstoets vereist. De noodzaak ervan is groter wanneer persoonsgegevens automatisch worden verwerkt.9
Bij het laatste deel van het evenredigheidsbeginsel, de proportionaliteitstoets in strikte zin,10 spelen alle positieve en negatieve gevolgen van een grondrechtenbeperking een rol. De duur van de schending (verwerking) en het belang van de bescherming van de betrokken gegevens zijn hierbij in het bijzonder van belang.11 Verder zijn de hoeveelheid bewaarde gegevens, het gevoelige karakter van deze gegevens en het risico van onrechtmatige toegang tot deze gegevens relevant, zo blijkt uit Tele 2 Sverige AB. In ieder geval tezamen kunnen deze factoren meebrengen dat een verwerkingsverantwoordelijke of verwerker in een specifiek geval door middel van passende beveiligingsmaatregelen een ‘bijzonder hoog’ niveau van bescherming en beveiliging moet waarborgen. In Tele 2 Sverige AB betekende dit de waarborging van “de volle integriteit en vertrouwelijkheid van de betrokken gegevens”.12 Het is opvallend dat het HvJ EU in Digital Rights Ireland vergelijkbaar heeft overwogen in de context van het noodzakelijkheidsbeginsel. Het is hierdoor niet geheel duidelijk waarbij deze overweging waarbij ‘hoort’. In ieder geval is duidelijk dat het evenredigheidsbeginsel als geheel eisen kan stellen aan de hoogte van het te waarborgen persoonsgegevensbeschermings- en beveiligingsniveau. Dergelijke eisen zullen moeten doorklinken in de invulling van art. 5 lid 1 onder f en 32 AVG.
Uit het arrest Google Spain volgt dat lang niet ieder belang een aantasting van het recht op de bescherming van persoonsgegevens kan rechtvaardigen. In deze zaak bracht de potentiële ernst van een inmenging in het recht op de bescherming van persoonsgegevens mee dat het loutere economische belang van de verwerkingsverantwoordelijke deze inmenging niet kon rechtvaardigen.13 Ook de ondersteuning van dit economische belang met het belang van het publiek om informatie te verkrijgen, was onvoldoende voor rechtvaardiging.14 De rechten van de betrokkenen hebben hierop in beginsel voorrang omdat zij gegrond zijn in art. 7 en 8 Hv. Uit de uitspraak blijkt dat er bijzondere redenen nodig zijn voor een andere uitkomst.15 In dit kader noemt het HvJ EU het belang van het publiek om informatie te verkrijgen van een persoon die een rol speelt in het openbare leven.16
Voor de invulling van art. 5 lid 1 onder f en 32 AVG betekent het bovenstaande dat louter economische belangen van de verwerkingsverantwoordelijken en verwerkers er niet op zichzelf toe kunnen leiden dat persoonsgegevens niet of slechts minimaal hoeven te worden beveiligd (iets dat overigens ook volgt uit de wezenlijke inhoud van dit recht, zie §5.2.3.2). Dergelijke belangen zijn dus, zo blijkt uit art. 32 lid 1 AVG,17 wel van belang voor de invulling van de AVG-beveiligingsverplichtingen, maar kunnen er niet toe leiden dat de beveiliging onder een bepaald niveau kan komen.