2.2.2.1 Algemeen

Documentgegevens:

mr. J.A. Hofman, datum 01-07-2022

Datum: 01-07-2022
Auteur: mr. J.A. Hofman
JCDI: JCDI:ADS660983:1
Vakgebied(en): Privacy (V)

Art. 5 lid 1 onder f en 32 AVG hebben betrekking op ‘verwerkingen’ van ‘persoonsgegevens’. Deze twee begrippen staan centraal in de gehele AVG. Zij maken de kern uit van het materiële toepassingsgebied van deze verordening, dat zich in beginsel uitstrekt tot iedere “geheel of gedeeltelijk geautomatiseerde verwerking, alsmede de verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen”.1 Op dit materiële toepassingsgebied bestaan enkele uitzonderingen. Zo vallen verwerkingen die natuurlijke personen bij de uitoefening van een zuiver persoonlijke of huishoudelijke activiteit verrichten (zoals het maken van een adresboekje of het schrijven van brieven) niet onder de AVG.2 Wanneer een verwerking van persoonsgegevens wel binnen het materiële toepassingsgebied van de AVG valt, brengt dit verschillende rechten en verplichtingen mee, waaronder die uit art. 5 lid 1 onder f en 32 AVG. De definities van ‘persoonsgegevens’ en ‘verwerking’ zijn breed en worden door het HvJ EU ruim uitgelegd. De AVG-beveiligingsbepalingen zijn hierdoor van toepassing op vele situaties.3 Om duidelijk te maken hoe divers deze situaties (en daarmee de omstandigheden die meespelen bij de invulling van de beveiligingsbepalingen) zijn, sta ik in de komende twee paragrafen kort stil bij deze begrippen. Bij de bespreking van ‘verwerking’ ga ik ook in op de beperking van het toepassingsgebied van de AVG tot verwerkingen die (geheel of gedeeltelijk) geautomatiseerd zijn.

De AVG is slechts van toepassing indien een verwerking niet alleen binnen haar materiële toepassingsgebied valt, maar ook binnen haar territoriale toepassingsgebied. Hieronder vallen in ieder geval alle verwerkingen die plaatsvinden in het kader van de activiteiten van een zich in de EU bevindende vestiging van een verwerkingsverantwoordelijke of verwerker. Daarnaast is de AVG in veel gevallen van toepassing op verwerkingen die persoonsgegevens betreffen van natuurlijke personen die zich in de EU bevinden.4 Omdat het territoriale toepassingsgebied geen inzicht geeft in de inhoud van de AVG-beveiligingsbepalingen, en de AVG vrijwel altijd van toepassing is als er een Nederlandse partij bij een verwerking is betrokken, zal ik niet verder op deze eisen ingaan.

De AVG is op 24 mei 2016 in werking getreden en is sinds 25 mei 2018 van toepassing.5 Met haar van toepassing wording zijn de Dataprotectierichtlijn en de Nederlandse omzettingswet daarvan, de Wet bescherming persoonsgegevens, ingetrokken.6 De AVG bevat in principe geen overgangsrecht en geeft lidstaten ook niet de mogelijkheid overgangsregels ten aanzien van het materiële recht te stellen.7 De toepasselijkheid van de AVG op een concrete zaak hangt blijkens jurisprudentie van het HvJ EU af van “de datum van de feiten van het hoofdgeding”.8 De Nederlandse rechter legt dezelfde toets aan.9

Toon alle voetnoten

Voetnoten

Voetnoten

Art. 2 AVG.

Zie preambule AVG, o. 18. Vanwege de grondrechtelijke achtergrond van het persoonsgegevensbeschermingsrecht worden deze uitzonderingen op de werkingssfeer strikt uitgelegd. Zie bijv. HvJ EG 6 november 2003, ECLI:EU:C:2003:596, pt. 44 (Lindqvist); HvJ EU 10 juli 2018, ECLI:EU:C:2018:551, pt. 35 e.v. (Jehovan) en HvJ EU 14 februari 2019, ECLI:EU:C:2019:122, pt. 41 (Buivids). Zie voor andere uitzonderingen op het materiële toepassingsbereik van de AVG art. 2 lid 2 en 3 AVG en daarover preambule AVG, o. 14-21.

Uit rechtspraak blijkt dat beperkingen op het recht op bescherming van persoonsgegevens, en hiermee op het materiële toepassingsgebied van de AVG, “binnen de grenzen van het strikt noodzakelijke” moeten blijven (zie bijv. HvJ EU 11 december 2014, ECLI:EU:C:2014:2428, pt. 28 (Ryneš)). Vanwege de brede uitleg die het HvJ EU als gevolg van deze visie aan het begrip persoonsgegevens geeft, concludeert Purtova dat de AVG “the law of everything” zou kunnen worden (Purtova 2018, §6). Zie ook Demetzou 2020-II, §II.A.

Zie voor de voorwaarden hiervoor en de gehele regeling inzake het territoriale toepassingsgebied art. 3 AVG. Zie verder preambule AVG, o. 22-25 en uitgebreider Europees Comité voor gegevensbescherming 2019, richtsnoeren 3/2018.

Art. 99 AVG.

Art. 94 lid 1 AVG en art. 51 UAVG jo. Besluit van 16 mei 2018 tot vaststelling van het tijdstip van inwerkingtreding van de Uitvoeringswet Algemene verordening gegevensbescherming.

Zie Zwenne, in: T&C Privacy- en telecommunicatierecht 2018, UAVG, hfdst. 5, inleidende opmerkingen, ook voor een beschrijving van enkele onderwerpen ten aanzien waarvan wel overgangsrecht bestaat of aanwijzingen betreffende overgang zijn gegeven. De Uitvoeringswet Algemene Verordening Gegevensbescherming (UAVG) bevat wel overgangsrecht ten aanzien van niet-materieelrechtelijke onderwerpen (art. 48 en 48a UAVG).

Dit is vaste jurisprudentie van het HvJ EU, en blijkt t.a.v. de AVG expliciet uit HvJ EU 29 juli 2019, ECLI:EU:C:2019:629, pt. 3 (Fashion ID).

Bijv. ABRvS 20 januari 2021, ECLI:NL:RVS:2021:107 (Appellant v. college van B&W Almere).