Einde inhoudsopgave
De beveiliging van persoonsgegevens (O&R nr. 135) 2022/4.2
4.2 De opkomst van het persoonsgegevensbeschermingsrecht
mr. J.A. Hofman, datum 01-07-2022
- Datum
01-07-2022
- Auteur
mr. J.A. Hofman
- JCDI
JCDI:ADS660859:1
- Vakgebied(en)
Privacy (V)
Voetnoten
Voetnoten
Zie t.a.v. de (dubbele) doelstelling van dit rechtsgebied hoofdstuk 5.
Resolutie (74)29, Explanatory Report, pt. 3; Holvast 2007, §27.3.1.7 (over het ontstaan van deze bewustwording). Binnen Europa is het eerste gegevensbeschermingsrecht aangenomen door de Duitse deelstaat Hesse (Hessische Datenschutzgesetz, 7 oktober 1970). Zie Gonzáles Fuster 2014, §3.1 en Van Alsenoy 2019, deel III, hfdst. 3-5 voor een bespreking van deze wet en enkele vroege nationale gegevensbeschermingswetten.
Zie Hondius 1975, hfdst. 2; Gonzáles Fuster 2014, hfdst. 3 en Custers e.a. 2017. Zie §4.4 over de eerste Nederlandse persoonsgegevensbeschermingwet, de WPR.
Op grond van art. 1 EVRM geldt de door het EVRM geboden bescherming voor eenieder die ressorteert onder de rechtsmacht van een van de verdragsluitende partijen. Het EVRM is ondertekend door de leden van de Raad van Europa (zie preambule EVRM). Rond 1978 waren dit met name landen in West-Europa. Inmiddels is vrijwel ieder land in Europa lid van de Raad (zie ook Statuut van de Raad van Europa, art. 3).
Dit recht wordt ook wel het recht op privacy genoemd (o.a. Verhey 1992, §7.3.1.2; De Hert 1997, i.h.b. nr. 1-10 en Gonzáles Fuster 2014, §4.2.1).
De reikwijdte van art. 8 EVRM is door het EHRM uitgebreid tot buiten wat het artikel uitdrukkelijk bepaalt (zie De Hert 1997, nr. 7, Nieuwenhuis 2001, §6.2, De Hert, Hoefmans & Stevens 2013, art. 8 EVRM, §C.6.1.). T.a.v. de bescherming van privégegevens gebeurde dit voor het eerst in: EHRM 6 september 1978, ECLI:CE:ECHR:1978:0906JUD000502971 (Klass e.a. v. Duitsland) en EHRM 2 augustus 1984, ECLI:CE:ECHR:1985:0426JUD000869179 (Malone v. het Verenigd Koninkrijk). De horizontale werking van art. 8 EVRM hangt af van het constitutionele systeem van een lidstaat (zie hierover Gerards 2014, p. 24; Schermer & van der Sloot 2020, §5.2). In Nederland wordt aangenomen dat deze bepaling directe horizontale werking heeft (Verhey 1992; Schermer & van der Sloot 2020, §14.3).
Koning 2015, §2.2.
Het persoonsgegevensbeschermingsrecht dient ertoe natuurlijke personen te beschermen tegen de risico’s die gepaard gaan met persoonsgegevensverwerkingen.1 De sterke stijging van deze risico’s is de belangrijkste aanleiding voor de totstandkoming van dit rechtsgebied geweest. De rond 1960 ontstane mogelijkheid tot het digitaal verwerken van grote hoeveelheden gegevens was daarbij cruciaal. Omdat publieke en private partijen hierdoor nauwkeurige profielen van individuen konden samenstellen, werden de potentiële inbreuken op het recht op privacy reëler en omvangrijker. De wens (en plicht) van de nationale wetgevers om het privéleven van natuurlijke personen te eerbiedigen heeft (hebben) rond 1970 geleid tot de eerste regelingen op het gebied van de bescherming van persoonsgegevens.2 Hoewel nationale wetgevers zich bij het construeren van hun persoonsgegevensbeschermingsrecht konden baseren op intergouvernementele richtlijnen, bleek dit veelal lastig. In de meeste lidstaten (waaronder Nederland) is dan ook pas tussen pakweg 1980 en 1990 een wet over de bescherming (en beveiliging) van persoonsgegevens aangenomen.3
Los van het eventuele van toepassing zijnde nationale recht, geniet vrijwel iedere natuurlijke persoon in (West-)Europa vanaf de jaren ’70 enige bescherming ten aanzien van zijn of haar persoonlijke informatie.4 Deze bescherming vloeit voort uit het recht op ‘de eerbiediging van het privé-, familie- en gezinsleven’ uit art. 8 van het Europees Verdrag tot de bescherming van de Rechten van de Mens den de Fundamentele Vrijheden (EVRM).5 Dit recht ziet niet expliciet op de bescherming van persoonsgegevens, maar verleent burgers als gevolg van jurisprudentie van het Europees Hof voor de Rechten van de Mens (EHRM) toch enige (in Nederland horizontaal werkende) rechten op dit punt.6 De grondslag van deze bescherming brengt met zich dat zij een andere aard en omvang heeft dan de bescherming die het hedendaagse persoonsgegevensbeschermingsrecht verleent. Daar waar dit laatste ervan uitgaat dat van alle persoonsgegevens misbruik kan worden gemaakt,7 ziet de op basis van art. 8 EVRM verleende bescherming enkel op gegevens die in het concrete geval ‘het privéleven raken’.8 In het EVRM kan dan ook geen algemeen recht op de bescherming van persoonsgegevens worden gelezen. Dit verdrag biedt slechts contextafhankelijke bescherming.9
Het EHRM heeft art. 8 EVRM voor zover mij bekend tot op heden niet aangewend om eisen aan de beveiliging van persoonsgegevensverwerkingen te stellen.10 Het HvJ EU brengt deze bepaling wel nadrukkelijk in verband met de beveiliging van persoonsgegevensverwerkingen. In §5.2.1 en 5.2.4 kijk ik nog naar de betekenis van het EVRM voor de invulling van art. 5 lid 1 onder f en 32 AVG.