Einde inhoudsopgave
De beveiliging van persoonsgegevens (O&R nr. 135) 2022/5.4.4
5.4.4 De samenhang volgens het HvJ EU en zijn omgang met eventuele conflicten
mr. J.A. Hofman, datum 01-07-2022
- Datum
01-07-2022
- Auteur
mr. J.A. Hofman
- JCDI
JCDI:ADS660976:1
- Vakgebied(en)
Privacy (V)
Voetnoten
Voetnoten
HvJ EG 6 november 2003, ECLI:EU:C:2003:596, pt. 79 (Lindqvist); HvJ EU 9 maart 2010, ECLI:EU:C:2010:125, pt. 21 (Commissie v. Duitsland).
Zie t.a.v. hetgeen voor de komma HvJ EU 9 maart 2010, ECLI:EU:C:2010:125, pt. 21 (Commissie v. Duitsland); HvJ EU 6 oktober 2015, EU:C:2015:650, pt. 39 (Schrems I); HvJ EU 9 maart 2017, ECLI:EU:C:2017:197, pt. 38 (Manni), en over hetgeen erna HvJ EG 6 november 2003, ECLI:EU:C:2003:596, pt. 79-80 (Lindqvist). Zie verder preambule AVG, o. 5.
Zie §5.4.3.
Zie bijv. HvJ EU 24 september 2019, ECLI:EU:C:2019:772, pt. 60 (Google v. CNIL).
HvJ EG 6 november 2003, ECLI:EU:C:2003:596, pt. 85 en 97 (Lindqvist). Vgl. OESO-richtlijnen, Explanatory memoradum, §25. Zie ook: Cuijpers 2004, §5.2.3. Verder moeten lidstaten hier ook rekening mee houden bij het vormgeven van nadere regels (i.h.k.v. bijv. art. 8 lid 1 AVG, HvJ EU 24 november 2011, ECLI:EU:C:2011:777, pt. 34 (ASNEF & FECEMD)).
HvJ EU 9 maart 2010, ECLI:EU:C:2010:125, pt. 30 (Commissie v. Duitsland), vgl. HvJ EG 6 november 2003, ECLI:EU:C:2003:596, pt. 90 (Lindqvist). Zij betreffen de Dataprotectierichtlijn. Er is echter geen reden om aan te nemen dat dit onder de AVG anders is. De AVG heeft immers dezelfde doelstellingen en bevat nog steeds veel open normen die in het concrete geval ingevuld moeten worden.
Zie §4.6.
HvJ EG 20 mei 2003, ECLI:EU:C:2003:294, pt. 42 (Österreichischer Rundfunk e.a.). Vgl. HvJ EG 6 november 2003, ECLI:EU:C:2003:596, pt. 41 (Lindqvist). Wel wordt het recht uitgelegd op basis van de grondrechten “voor zover zij de verwerking regelt van persoonsgegevens die afbreuk kunnen doen aan de fundamentele vrijheden, met name het recht op persoonlijke levenssfeer” (Österreichischer Rundfunk e.a., pt. 68).
Zie over het Handvest en het Verdrag van Lissabon §4.6.1 en §4.6.2. Het HvJ hecht sindsdien ook in het algemeen meer belang aan deze grondrechtenbescherming (HvJ EU 6 oktober 2015, ECLI:EU:C:2015:650, i.h.b. pt. 39 (Schrems I), en de aldaar aangehaalde rechtspraak). Zie ook Sarmiento 2013, §1. De eerste keer dat het HvJ EU art. 8 Hv meenam bij de uitleg van het persoonsgegevensbeschermingsrecht was het Handvest overigens nog niet in werking getreden (HvJ EG 29 januari 2008, ECLI:EU:C:2008:54, pt. 63-64 (Promusicae). Het is overigens geen uitzondering dat het HvJ EU aanknoopt bij toekomstige ontwikkelingen (zie Conway 2012, p. 257/258).
Zie HvJ EG 16 december 2008, ECLI:EU:C:2008:727, pt. 52 (Satamedia). Het HvJ EU was hierin niet meteen consistent. Zo overwoog het later nog dat de richtlijn ‘hoofdzakelijk’ het vrije verkeer van persoonsgegevens beoogt te verzekeren, maar dat dit kan indruisen tegen het recht op bescherming van persoonsgegevens zoals dat is neergelegd in art. 8 EVRM, en dat de richtlijn daarom ook tot doel heeft een hoog beschermingsniveau van fundamentele rechten en vrijheden te waarborgen (HvJ EU 9 maart 2010, ECLI:EU:C:2010:125, pt. 20-22 (Commissie v. Duitsland)).
HvJ EU 5 mei 2011, ECLI:EU:C:2011:279, pt. 50 (Deutsche Telekom). Deze overweging wordt gezien als een belangrijke stap richting het erkennen van het recht op bescherming van persoonsgegevens als zelfstandig fundamenteel recht (Tzanou 2017, §2.II.B.ii).
HvJ EU 9 maart 2010, ECLI:EU:C:2010:125, pt. 20-22 (Commissie v. Duitsland); HvJ EU 24 november 2011, ECLI:EU:C:2011:777 (ASNEF & FECEMD); HvJ EU 7 november 2013, ECLI:EU:C:2013:715, i.h.b. pt. 29 (IPI); HvJ EU 1 oktober 2015, ECLI:EU:C:2015:639, pt. 53 (Weltimmo).
HvJ EU 13 mei 2014, ECLI:EU:C:2014:317 (Google Spain); HvJ EU 11 december 2014, ECLI:EU:C:2014:2428, i.h.b. pt. 29 (Ryneš); HvJ EU 6 oktober 2015, ECLI:EU:C:2015:650, i.h.b. pt. 38-39 (Schrems I).
HvJ EU 24 november 2011, ECLI:EU:C:2011:777, pt. 34 (ASNEF & FECEMD). Zie ook HvJ EG 6 november 2003, ECLI:EU:C:2003:596, pt. 97 (Lindqvist).
Zie hierover §4.6.1 en §4.6.2. Preambule AVG, o. 12. Over de precieze reikwijdte van art. 16 VWEU wordt nog gediscussieerd (De Hert 2015). Hoewel dit artikel bij een letterlijke lezing enige beperkingen bevat, lijkt het uitgangspunt op dit moment dat het de EU een geschikt mandaat geeft met onbeperkte taken (Hijmans 2016, p. 506). Het idee daarbij is dat art. 16 VWEU een unieke rechtsgrondslag is op basis waarvan de EU-voorschriften betreffende de bescherming van persoonsgegevens van natuurlijke personen kan uitvaardigen. Een uitleg die verbrokkeling van het stelsel van bescherming van persoonsgegevens meebrengt zou tegen de visie van de verdragsluitende partijen indruisen (Conclusie P. Mengozzi 8 september 2016, ECLI:EU:C:2016:656, pt. 119 (Canada PNR)). Zie ook: Kranenborg 2014, 08.08-08-14.
Onder de Dataprotectierichtlijn was dit verband wel essentieel, omdat deze richtlijn was gebaseerd op een artikel dat het Europees Parlement en de Raad machtigt regels te treffen die de instelling en werking van de interne markt betreffen (114 VWEU).
Lynskey 2015, §3.C.3 en 3.D.2; Kosta 2015, §4.V; Hijmans 2016, §2.10. Zie ook Conclusie A. Tizzano 14 november 2002, ECLI:EU:C:2002:662, pt. 53 (Österreichischer Rundfunk e.a.).
HvJ EG 20 mei 2003, ECLI:EU:C:2003:294, pt. 68 (Österreichischer Rundfunk e.a.). Zie tevens o.a. HvJ EU 6 oktober 2015, ECLI:EU:C:2015:650, pt. 38 (Schrems I) en HvJ EU 13 mei 2014, ECLI:EU:C:2014:317, pt. 68 (Google Spain).
HvJ EU 7 november 2013, ECLI:EU:C:2013:715, pt. 32 (IPI) en aldaar aangehaalde rechtspraak.
HvJ EU 13 mei 2014, ECLI:EU:C:2014:317 (Google Spain). Zie §5.2.3.1.
HvJ EU 1 oktober 2015, ECLI:EU:C:2015:639, pt. 53 (Weltimmo). Deze overweging betreft art. 28 lid 6 van de Dataprotectierichtlijn.
Zie §5.3.3.
Ondanks dat de twee AVG-doelen in de visie van de EU-wetgever in elkaars verlengde liggen, is het HvJ EU meermaals tot de conclusie gekomen dat ze met elkaar kunnen conflicteren.1 Meer specifiek heeft het overwogen dat het vrije verkeer van persoonsgegevens kan indruisen tegen de rechten op de bescherming van persoonsgegevens en de eerbiediging van het privéleven, doordat de interne markt zorgt voor een toename van persoonsgegevensuitwisselingen.2 Dit is in lijn met de wijze waarop de rechten in de context van het Handvest samenhangen.3
Bij de vormgeving van een grondrechtenbeperking moet de EU-wetgever de grondrechten die worden beperkt en de doelen ten behoeve waarvan dat gebeurt, tegen elkaar afwegen.4 Hij zal bij de AVG aldus een evenwicht hebben gezocht tussen – in het bijzonder – de waarborging van de rechten op de bescherming van persoonsgegevens en de eerbiediging van het privéleven aan de ene kant en de realisatie van het vrije verkeer van persoonsgegevens en de waarborging van het recht op de vrijheid van ondernemerschap aan de andere kant. Doordat hij hierbij gedeeltelijk voor open normen heeft gekozen, moet deze afweging bij de invulling van deze normen echter gedeeltelijk opnieuw worden gemaakt.5 Zowel het HvJ EU als de nationale rechters en toezichthouders hebben in dit kader de verantwoordelijkheid een juist evenwicht te vinden tussen “de bescherming van het recht op de bescherming van de persoonlijke levenssfeer en de belangen die een vrij verkeer van persoonsgegevens noodzakelijk maken”.6
Hoewel de EU-wetgever geen hiërarchische verhouding tussen de AVG-doelen heeft willen aanbrengen, lijkt het HvJ EU de doelen bij de uitleg van de AVG niet gelijk te waarderen. Hoe het deze doelen tot elkaar relateert, is in de loop van de tijd gewijzigd. Mogelijk heeft dit te maken met de wijziging van de grondslag van het persoonsgegevensbeschermingsrecht en de invoering van art. 116 VWEU en de erkenning van het recht op de bescherming van persoonsgegevens.7
Oorspronkelijk legde het HvJ EU de nadruk op het vrije verkeer van persoonsgegevens. Het zag het wegnemen van de belemmeringen voor de werking van de interne markt die voortvloeien uit de verschillen tussen nationale wetgevingen als het voornaamste doel van de Dataprotectierichtlijn.8 Harmonisering van het nationale persoonsgegevensbeschermingsrecht stond daarom voorop.
Sinds de afkondiging van het Handvest en de inwerkingtreding van het Verdrag van Lissabon zijn de twee doelen van het persoonsgegevensbeschermingsrecht gelijkwaardiger.9 Het HvJ EU overwoog bijvoorbeeld dat de Dataprotectierichtlijn “tot doel heeft dat de lidstaten, waar zij het vrij verkeer van persoonsgegevens mogelijk maken, tegelijkertijd de bescherming van de fundamentele rechten en vrijheden van natuurlijke personen, met name van hun privéleven, waarborgen in verband met de verwerking van persoonsgegevens”.10
In de Deutsche Telekom-zaak overweegt het HvJ EU voor het eerst dat de Dataprotectierichtlijn het recht op bescherming van persoonsgegevens in de zin van art. 8 Hv beoogt te eerbiedigen zonder daarbij te vermelden dat de verordening ook nog een ander doel heeft.11 Sindsdien haalt het of beide doelstellingen van het gegevensbeschermingsrecht aan,12 of focust het op de waarborging van de rechten op de bescherming van persoonsgegevens en de eerbiediging van het privéleven.13 Het beschrijft het doel van het persoonsgegevensbeschermingsrecht nu als “het verzekeren van een evenwicht tussen het vrije verkeer van persoonsgegevens en de bescherming van de persoonlijke levenssfeer”.14 Oftewel: waar het HvJ EU de waarborging van de internemarktdimensie door middel van de realisatie van het vrije verkeer van persoonsgegevens oorspronkelijk zag als de voornaamste doelstelling van het persoonsgegevensbeschermingsrecht, acht het dit tegenwoordig formeel gelijkwaardig aan de eerbiediging van de bij de bescherming van persoonsgegevensbescherming betrokken grondrechten. Dit is waarschijnlijk te verklaren vanuit de tussentijdse erkenning van het recht op bescherming van persoonsgegevens als fundamenteel recht en het feit dat met het Verdrag van Lissabon een nieuwe juridische grondslag voor het persoonsgegevensbeschermingsrecht is geïntroduceerd.15 Door in het bijzonder deze grondslag, is het voor de geldigheid van het persoonsgegevensbeschermingsrecht niet langer essentieel dat een regeling nadrukkelijk aan de totstandkoming van de interne markt wordt gerelateerd.16 Hierdoor kon de nadruk van het persoonsgegevensbeschermingsrecht meer op de bescherming van het recht op de bescherming van persoonsgegevens komen te liggen.17
Ondanks de gelijkwaardige benadering van de AVG-doelen, is een van de standaardoverwegingen van het HvJ EU dat het persoonsgegevensbeschermingsrecht noodzakelijkerwijs moet worden uitgelegd op basis van de grondrechten, voor zover dit “de verwerking regelt van persoonsgegevens die afbreuk kunnen doen aan de fundamentele vrijheden, met name het recht op persoonlijke levenssfeer”.18 In lijn hiermee benoemt het doorgaans dat iedere uitzondering op de bescherming van persoonsgegevens binnen het strikt noodzakelijke dient te blijven omdat de bescherming van het fundamentele recht dit vereist. Daarbij overweegt het HvJ EU niet dat ook rekening moet worden gehouden met het vrije verkeer van persoonsgegevens of de rechten die samenhangen met het vrije verkeer.19 Zelfs in Google Spain, waarin het HvJ EU op basis van grondrechten de Dataprotectierichtlijn uitlegt op een wijze die gezien de tekst van deze richtlijn niet voor de hand ligt, komt de vrijheid van persoonsgegevens niet verder aan bod.20
Mogelijk heeft de nadruk op grondrechtenbescherming in de rechtspraak van het HvJ EU te maken met de opzet van de AVG en de vragen die het tot op heden zijn voorgelegd. Het zou kunnen dat deze vragen voornamelijk gingen over bepalingen die aan het recht op de bescherming van persoonsgegevens relateerden. Dat de EU-wetgever met de AVG in het geheel een juist evenwicht tussen de verschillende betrokken belangen heeft willen bewerkstelligen, betekent immers niet dat iedere bepaling afzonderlijk ook een evenwicht hiertussen bevat. Het kan zijn dat sommige bepalingen vooral bijdragen aan het ene doel, en andere aan het andere. Dit lijkt echter geen verklaring te bieden voor deze ‘grondrechtennadruk’.21 Als het HvJ EU zich buigt over een bepaling die vooral bijdraagt aan de rechten op de bescherming van persoonsgegevens en de eerbiediging van het privéleven, gaat het namelijk niet in op het vrije verkeer van persoonsgegevens, en lijkt het dit ook niet impliciet mee te nemen. Tegelijkertijd, als het zich uitlaat over een bepaling die vooral bijdraagt aan het vrije verkeer van persoonsgegevens, benoemt het wel dat de bescherming van deze rechten niet uit het oog mag worden verloren. Het HvJ EU legt de focus bij de uitleg van de AVG, met andere woorden, meer op het recht op de bescherming van persoonsgegevens en het recht op de eerbiediging van het privéleven dan op het vrije verkeer van persoonsgegevens en het recht op de vrijheid van ondernemerschap. Het acht het vrije verkeer van persoonsgegevens vooral van belang bij het tegengaan van nationale verschillen.22 Bij de invulling van art. 5 lid 1 onder f en 32 AVG zal, vanwege de rol die deze bepalingen vervullen bij de realisatie van de afzonderlijke AVG-doelen en hun onderlinge verhouding in de visie van de EU-wetgever en in de context van het Handvest, dan ook vooral van belang zijn dat ‘passend’ minimaal zo moet worden uitgelegd dat inmengingen in het recht op de bescherming van persoonsgegevens en de eerbiediging van het privéleven kunnen worden gerechtvaardigd, en dat tegelijkertijd moet worden voorkomen dat er lidstatelijke verschillen ontstaan voor wat betreft beveiligingsvoorschriften.