Einde inhoudsopgave
Gegevensbescherming in faillissement (O&R nr. 136) 2023/3.3.2
3.3.2 Noodzakelijkheid
mr. M.D. Reijneveld, datum 01-08-2022
- Datum
01-08-2022
- Auteur
mr. M.D. Reijneveld
- JCDI
JCDI:ADS675767:1
- Vakgebied(en)
Ondernemingsrecht (V)
Voetnoten
Voetnoten
Art. 6 lid 1 sub e AVG en art. 6 lid 3 AVG. Zie ook: Kamerstukken II 2017/18, 34 851, 3, p. 35.
HvJ EU 16 december 2008, ECLI:EU:C:2008:724, r.o. 52 (Heinz Huber v. Bundesrepublik Deutschland). Zie ook: EDPB 2/2019, p. 8. De EDPB is de onafhankelijke Europese instantie die zorgt dat de AVG consequent wordt toegepast en de samenwerking tussen de nationale gegevensbeschermingsautoriteiten bevordert.
De EDPB is een Europees orgaan dat bijdraagt aan de consequente toepassing van het gegevensbeschermingsrecht in de EU en de samenwerking tussen de gegevensbeschermingsautoriteiten. De EDPB bestaat uit de vertegenwoordigers van de nationale gegevensbeschermingsautoriteiten en de EDPS. De EDPB volgde de WP29 op. Zie uitgebreider §1.5.1.
Art. 6 lid 1 sub b en f AVG.
EDPB 8/2020 punt 47. Zie ook HvJ EU 4 mei 2017, ECLI:EU:C:2017:336, r.o. 30 (Rīgas).
EDPB 2/2019, punt 27. Zie ook: Bundesverwaltungsgericht (Oostenrijk) 4 december 2020, W274 2233705-1/3E.
HvJ EU 16 december 2008, ECLI:EU:C:2008:727 (Satakunnan Markkinapörssi en Satamedia Oy), r.o. 56; HvJ EU 9 november 2010, ECLI:EU:C:2010:662 (Volker und Markus Schecke en Eifert), r.o. 77; HvJ EU 7 november 2013, ECLI:EU:C:2013:715 (IPI), r.o. 39; HvJ EU 8 april 2014, ECLI:EU:C:2014:238 (Digital Rights Ireland), r.o. 52; HvJ EU 11 december 2014, ECLI:EU:C:2014:2428 (Ryneš), r.o. 28; HvJ EU 6 oktober 2015, ECLI:EU:C:2015:650 (Schrems), r.o. 92; HvJ EU 21 december 2016, ECLI:EU:C:2016:970 (Tele2 Sverige AB), r.o. 96. Zie ook EHRM 6 juni 2016, 37138/14 (Szabó en Vissy t. Hongarije), r.o. 73. Zie ook EDPS 2017. Deze Toolkit is bedoeld om te helpen beoordelen of de voorgestelde maatregelen in overeenstemming zijn met de EU-wetgeving inzake gegevensbescherming en in het bijzonder art. 8 jo. 52 Handvest, p. 2.
De EDPB spreekt van “realistic, less intrusive alternatives”, zie: EDPB 2/2019, punt 25.
Zie bijvoorbeeld HvJ EU 9 november 2010, ECLI:EU:C:2010:662 (Volker und Markus Schecke en Eifert), HvJ EU 4 mei 2017, ECLI:EU:C:2017:336 (Rīgas), r.o. 30; EDPS 2017, p. 7.
Vgl ICO, ‘What are the rules on special category data?’, online via https://bit.ly/3gPC6X3.
EDPB 2/2019, punt 25; Eisenschmid 2019, p. 318.
Daarnaast is vereist dat iedere verwerking van persoonsgegevens noodzakelijk is voor de uitoefening van de taak.1 Dit hangt samen met het beginsel van minimale gegevensverwerking: persoonsgegevens moeten “toereikend zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt”.2 Het concept ‘noodzakelijkheid’ is een autonoom begrip van Unierecht. Het heeft een eigen, zelfstandige betekenis die losstaat van het nationale recht.3
Hoe het noodzakelijkheidsvereiste precies moet worden ingevuld, is voor de taak van algemeen belang nog niet duidelijk. De EDPB4 heeft wel toelichting gegeven over de noodzakelijkheidstoets bij andere grondslagen, zoals de noodzakelijkheid voor de uitvoering van een overeenkomst en het gerechtvaardigd belang.5 Daarbij wordt een strenge toets gehanteerd waarbij de verwerkingsverantwoordelijke moet beoordelen of hij met een minder ingrijpende verwerking ook zijn doel kan bereiken.6 Daarvoor is het van belang om te weten wat objectief gezien noodzakelijke persoonsgegevens zijn om het doel te bereiken.7
Het Hof van Justitie oordeelt in lijn hiermee dat alleen strikt noodzakelijke verwerkingen van persoonsgegevens zijn toegestaan.8 Als er redelijkerwijs haalbare,9 minder ingrijpende mogelijkheden zijn om hetzelfde doel te bereiken, is de verwerking niet noodzakelijk.10 Verwerkingen zijn ook niet automatisch noodzakelijk wanneer zij deel uitmaken van de bedrijfsprocessen of omdat het gebruikelijk is dat de persoonsgegevens verwerkt worden.11 Een verwerking is ook niet noodzakelijk als deze ‘gewoon handig’ is voor de verwerkingsverantwoordelijke.12
De curator heeft ruime bevoegdheden binnen de uitvoering van zijn taak van algemeen belang en in dat kader moet ook steeds een noodzakelijkheidstoets worden aangelegd. Voor de curator zijn noodzakelijke verwerkingen die verwerkingen zonder welke hij objectief gezien niet kan beheren en vereffenen. Hierbij kan bijvoorbeeld worden gedacht aan het onder zich nemen van de administratie van de failliet: zonder deze verwerking van persoonsgegevens kan de curator het faillissement niet afwikkelen. Het behalen van een zo groot mogelijke opbrengst is niet het enige doel dat bij zijn werkzaamheden leidend is. Het zal van de concrete omstandigheden van het faillissement afhangen welke verwerkingen noodzakelijk zijn. De curator moet dan ook uiteindelijk in elke situatie afzonderlijk beoordelen welke verwerkingen noodzakelijk zijn. In de volgende paragraaf bespreek ik de aanknopingspunten die het wetsvoorstel en de toelichting geven om te beoordelen wat precies noodzakelijke verwerkingen zijn.