Einde inhoudsopgave
De beveiliging van persoonsgegevens (O&R nr. 135) 2022/5.2.3.1
5.2.3.1 Inhoud en reikwijdte
mr. J.A. Hofman, datum 01-07-2022
- Datum
01-07-2022
- Auteur
mr. J.A. Hofman
- JCDI
JCDI:ADS660940:1
- Vakgebied(en)
Privacy (V)
Voetnoten
Voetnoten
Zie over de achtergrond van deze bepalingen §4.6.
In gelijke zin Mifsud Bonnici 2013; Dalla Corte 2020, §1.
Toelichtingen bij het Handvest van de Grondrechten, toelichting ad art. 8 Hv. Zie §7.3.1 voor meer over (de opvolger van) Verordening 45/2001 (Verordening 2018/1725).
Toelichtingen bij het Handvest van de Grondrechten, toelichting ad art. 52. Hier wordt aangegeven met welke EVRM-artikelen de Handvest-artikelen corresponderen.
De toelichtingen verwijzen niet letterlijk naar de AVG en naar Verordening 2018/1725, maar naar de Dataprotectierichtlijn en Verordening 45/2001. Op grond van art. 94 lid 1 AVG en art. 99 Verordening 2018/1725 verwijzen zij inmiddels naar deze regelingen.
Zie voor een beschrijving van deze twee visies bijv.: Mifsud Bonnici 2013, p. 134-135; Gonzáles Fuster & Gutwirth 2013, §2 en Dalla Corte 2020, §IV.
Dalla Corte 2020, §IV.
HvJ EU 17 oktober 2013, ECLI:EU:C:2013:670, pt. 25 (Schwarz).
HvJ EU 26 juli 2017, ECLI:EU:C:2017:592, pt. 126 (Canada PNR). Zie ook HvJ EU 8 april 2014, ECLI:EU:C:2014:238, pt. 36 (Digital Rights Ireland) en HvJ EU 2 oktober 2018, ECLI:EU:C:2018:788, pt. 55 (Ministerio Fiscal).
Resp. HvJ EU 24 november 2011, ECLI:EU:C:2011:777, pt. 42 (ASNEF & FECEMD) en HvJ EU 5 mei 2011, ECLI:EU:C:2011:279, pt. 52 (Deutsche Telekom). Zie ook HvJ EU 9 november 2010, ECLI:EU:C:2010:662, pt. 49 (Volker en Schecke), waarin is overwogen dat art. 8 lid 2 Hv persoonsgegevensverwerkingen onder bepaalde voorwaarden toelaat.
Zie bijv. Mifsud Bonnici 2013; Gonzáles Fuster & Gutwirth 2013; Lynskey 2015; Tzanou 2017; Dalla Corte 2020.
Zie t.a.v. dit onderscheid i.h.b. Mifsud Bonnici 2013, p. 134-135; Gonzáles Fuster & Gutwirth 2013, §2 en Dalla Corte 2020, §IV.
Zie §5.2.2.2.
Mifsud Bonnici 2013, p. 134-135; Gonzáles Fuster & Gutwirth 2013, §2; Lynskey 2015, §5.D; Tzanou 2017, §1.IV.C.i; Dalla Corte 2020, p. 46 e.v.
In Canada PNR benoemt het HvJ EU immers (duidelijker dan in Schwarz, waarin het de term ‘inmenging’ niet gebruikt) dat de betreffende handeling een inmenging in het recht op de bescherming van persoonsgegevens zal meebrengen omdat er persoonsgegevens worden verwerkt. De vergelijkbare overweging in Digital Rights Ireland (zie enkele voetnoten terug) ziet niet op handelingen, maar op een richtlijn. Omdat een richtlijn altijd dient te voldoen aan art. 52 Hv, en de term ‘inmenging’ mogelijk uit de systematiek van deze bepaling kan voorkomen, kan op basis van deze overweging niet ontegenzeggelijk worden geconcludeerd dat het HvJ EU de verbiedende lezing van art. 8 Hv heeft omarmd. Ook Deutsche Telekom en Volker en Schecke (zie over deze laatste enkele voetnoten terug) kunnen zowel de prohibitive als de permissive lezing ondersteunen: zij geven immers slechts aan dat art. 8 lid 2 Hv het verwerken van persoonsgegevens mogelijk maakt, niet of dit meebrengt dat er in het geheel geen inmenging plaatsvindt, of dat zo’n inmenging is gerechtvaardigd. Dit is in tegenstelling tot ASNEF & FECEMD, waarin nadrukkelijk wordt gesproken over een ‘beperking’, een term die niet goed past bij de prohibitive lezing.
Zie §5.2.2.2.
Europese Toezichthouder voor gegevensbescherming 2020; ‘The EDPS quick-guide to necessity and proportionality’ (factsheet).
HvJ EU 8 april 2014, ECLI:EU:C:2014:238, pt. 37/39 en 65 (Digital Rights Ireland). In de eerste overweging verwijst het HvJ EU naar overweging 77 en 80 van de conclusie van de A-G (Concl. A-G P. Cruz Villalón 12 december 2013, ECLI:EU:C:2013:845). Hierin verduidelijkt de A-G echter niet waarom er sprake is van zo’n zeer ruimte en bijzonder zware inmenging.
HvJ EU 2 oktober 2018, ECLI:EU:C:2018:788, pt. 59 (Ministerio Fiscal). Uit HvJ EU 4 mei 2017, ECLI:EU:C:2017:336, pt. 32 (Rīgas satiksme) blijkt dat ook de mogelijkheid om toegang te verkrijgen tot de gegevens in voor het publiek toegankelijke bronnen in dit kader relevant is. Hierbij kan ook de leeftijd van degene wiens gegevens worden verwerkt een rol spelen.
Zie ook De Hert 2017, p. 169. Doordat de AVG, anders dan de Dataprotectierichtlijn, wel een recht om vergeten te worden bevat, stelt De Hert dat deze zaak typerend is voor de manier waarop de EU-wetgever de invulling overneemt die het HvJ EU aan een open regel geeft. In de zaak ging het overigens niet alleen om het recht op de bescherming van persoonsgegevens, maar ook om het recht op de eerbiediging van het privéleven.
Concl. A-G N. Jääskinen, 25 juni 2013, ECLI:EU:C:2013:424, pt. 108 en 133 (Google Spain).
HvJ EU 13 mei 2014, ECLI:EU:C:2014:317, pt. 97 (Google Spain).
HvJ EU 13 mei 2014, ECLI:EU:C:2014:317, pt. 97 en 98 (Google Spain).
Zie ook: Kranenborg 2015, §III.A, waarin Kranenborg concludeert dat het HvJ EU “could validly have come to different conclusions”.
Art. 51 Hv jo. 251-281 VWEU.
Hoewel het beschermingsbereik van de AVG niet is beperkt tot één of meer grondrechten, volgt uit de doelstelling van deze verordening dat de bescherming die zij beoogt te bieden ten aanzien van de grondrechten en fundamentele vrijheden van natuurlijke personen ‘met name’ het recht op bescherming van persoonsgegevens betreft.1
Het recht op de bescherming van persoonsgegevens vindt zijn grondslag in art. 8 lid 1 Hv en art. 16 lid 1 VWEU, die beide bepalen dat “eenieder recht op bescherming van de hem betreffende persoonsgegevens” heeft.2 Art. 8 lid 2 Hv voegt hieraan toe: “Deze gegevens moeten eerlijk worden verwerkt, voor bepaalde doeleinden en met toestemming van de betrokkene of op basis van een andere gerechtvaardigde grondslag waarin de wet voorziet. Eenieder heeft recht op toegang tot de over hem verzamelde gegevens en op rectificatie daarvan”. Lid 3 bepaalt ten slotte dat er een onafhankelijke autoriteit toeziet op de naleving van deze regels.3
De inhoud en reikwijdte van het recht op de bescherming van persoonsgegevens zijn nog niet uitgekristalliseerd.4 Uit de toelichtingen bij het Handvest blijkt dat art. 8 Hv is gebaseerd op art. 8 EVRM, de Dataprotectierichtlijn, Verordening 45/2001 – die de verwerking van persoonsgegevens door communautaire instellingen en organen betreft – en (de voorganger van) art. 16 VWEU.5 Tegelijkertijd verduidelijken ze dat art. 8 Hv niet dezelfde inhoud en reikwijdte heeft als art. 8 EVRM.6 Tot slot blijkt uit de preambule van het Handvest dat (inmiddels) de AVG en Verordening 2018/1725 de voorwaarden en beperkingen bevatten voor de uitoefening van het recht op de bescherming van persoonsgegevens.7 Hieruit blijkt de precieze inhoud van het recht op de bescherming van persoonsgegevens echter niet.
Er bestaan in de literatuur grofweg twee visies op de inhoud en reikwijdte van het recht op de bescherming van persoonsgegevens.8 Dit is het gevolg van een sterk uiteenlopende kijk op het verband tussen art. 8 lid 1 Hv enerzijds en art. 8 lid 2 en 3 Hv anderzijds.9
Het recht op de bescherming van persoonsgegevens kan om te beginnen een prohibitive (verbiedend) karakter hebben. De structuur van art. 8 Hv is dan vergelijkbaar met die van art. 8 EVRM.10 Het grondrecht volgt daarbij uit het eerste lid van deze bepaling. De verbiedende formulering van dit lid brengt mee dat iedere persoonsgegevensverwerking een inmenging vormt in het recht op de bescherming van persoonsgegevens en hier dus in beginsel strijdig mee is. De leden 2 en 3 dienen ertoe de omstandigheden te beschrijven waaronder een dergelijke inmenging is gerechtvaardigd. Zij betreffen daardoor – net als art. 52 Hv – niet zozeer de inhoud van het recht, maar de inmengingen daarop. Uit verscheidende uitspraken lijkt te volgen dat het HvJ EU deze ‘verbiedende’ benadering heeft omarmd. Zo overweegt het in de Schwarz-uitspraak dat uit art. 7 en 8 lid 1 Hv, gelezen in hun onderlinge verband, volgt “dat in beginsel elke verwerking van persoonsgegevens door een derde, een aantasting van die rechten kan opleveren”.11 In zijn advies over het Canada PNR-overeenkomst legt het HvJ EU daarnaast uit dat de handelingen die dankzij deze overeenkomst zouden kunnen worden verricht een inmenging in het recht op de bescherming van persoonsgegevens vormen, aangezien zij verwerkingen van persoonsgegevens zijn.12 Ook uit zijn overwegingen over art. 8 lid 2 Hv blijkt dat het HvJ EU art. 8 Hv als verbodsbepaling benadert. Zo overweegt het in ASNEF & FECEMD dat uit art. 8 lid 2 Hv, tezamen met art. 52 lid 1 Hv, blijkt dat het recht op de bescherming van persoonsgegevens onder bepaalde voorwaarden kan worden beperkt, en in Deutsche Telekom dat persoonsgegevens op grond van art. 8 lid 2 Hv kunnen worden verwerkt indien aan bepaalde voorwaarden is voldaan.13
In de literatuur wordt de prohibitive lezing van art. 8 Hv veelal verworpen ten gunste van de zogenoemde permissive (regulerende) lezing.14 Deze visie gaat ervan uit dat de leden 2 en 3 van art. 8 Hv niet zozeer zien op de inmengingen in het recht uit lid 1, maar de belangrijkste onderdelen zijn van dit recht. Daarbij is het belang daarvan zo groot dat persoonsgegevensverwerkingen slechts in strijd zijn met het recht op de bescherming van persoonsgegevens wanneer zij niet voldoen aan de eisen uit de leden 2 en 3 van art. 8 Hv.15 Het verbod is hierbij dus niet het uitgangspunt. In de literatuur wordt doorgaans bepleit dat deze visie beter past bij het systeem van het Handvest, waarin art. 52 Hv immers als horizontale beperkingsbepaling geldt.16 Ook zou zij beter aansluiten op het Verdrag van Straatsburg en de Dataprotectierichtlijn, waarin persoonsgegevensverwerkingen ook niet algemeen werden verboden.17 Het HvJ EU volgt deze lezing desalniettemin niet, wat in het bijzonder blijkt uit de hiervoor besproken overwegingen uit de arresten Canada PNR en ASNEF & FECEMD.18 Ook zijn overwegingen over de wezenlijke inhoud van het recht op de bescherming van persoonsgegevens geven geen blijk van een permissieve lezing. Waar de permissieve opvatting ervan uitgaat dat de leden 2 en 3 de belangrijkste elementen van dit recht benoemen, heeft het HvJ EU in de gevallen waarin het zich uitliet over de wezenlijke inhoud van het recht, namelijk juist de focus op andere elementen gelegd (zie §5.2.3.2). Omdat het uiteindelijk aan het HvJ EU is om het Handvest uit te leggen,19 is het uitgangspunt vooralsnog dan ook dat iedere verwerking van persoonsgegevens een te rechtvaardigen inmenging in het recht op de bescherming van persoonsgegevens oplevert.20 De AVG vormt de wettelijke grondslag die dat mogelijk maakt.21 Overigens sluit ook de Europese Toezichthouder voor gegevensbescherming zich bij de lezing aan.22
Inmengingen in het recht op de bescherming van persoonsgegevens komen voor in verschillende gradaties. Zo vormde de Dataretentierichtlijn een “zeer ruime en bijzonder zware inmenging” in dit recht omdat zij geen duidelijke en precieze regels bevatte over de omvang van de inmengingen die zij mogelijk maakte.23 Bij de beoordeling van de ernst van een inmenging is het verder in ieder geval van belang of de inmenging het mogelijk maakt nauwkeurige conclusies over het privéleven van de betrokken persoon te trekken.24
Uit het arrest Google Spain blijkt dat het recht op de bescherming van persoonsgegevens verregaande invloed kan hebben op het persoonsgegevensbeschermingsrecht.25 Deze zaak ging onder andere over art. 12 sub b en art. 14, eerste alinea, sub a van de Dataprotectierichtlijn (het recht op uitwissing en afscherming van gegevens en het recht van verzet). De vraag die voorlag was of deze bepalingen meebrengen dat betrokkenen ten opzichte van zoekmachineaanbieders het recht hebben om vergeten te worden.26 Advocaat-Generaal N. Jääskinen concludeerde dat dergelijk recht niet uit de bepalingen van de Dataprotectierichtlijn volgt en hier bij een Handvest-conforme uitleg ook niet uit kan voortvloeien.27 Het HvJ EU komt tot een andere conclusie. Het overweegt daarbij eerst dat de betrokkenen op basis van art. 7 en 8 Hv kunnen verlangen dat hun informatie niet in zoekresultaten naar voren komt.28 Vervolgens benoemt het dat het belang dat betrokkenen hierbij hebben, gezien deze grondrechtelijke achtergrond, in beginsel voorrang heeft op economische belangen van de zoekmachine, en dat er ook geen overwegend publiek belang is dat het rechtvaardigt dat betrokkenen dit recht niet toekomt.29 Het HvJ EU beslist daarom dat betrokkenen in deze context, op grond van het recht op uitwissing en afscherming van gegevens en het recht van verzet, het recht toekomt om vergeten te worden.
In Google Spain legt het HvJ EU de Dataprotectierichtlijn al met al uit op een manier die niet zozeer aansluit bij de bewoording van deze richtlijn, maar bij de grondrechten en fundamentele vrijheden uit het Handvest.30 Ik acht aannemelijk dat het hier ook onder AVG toe zou kunnen overgaan, nu het als instelling van de EU verplicht is de grondrechten uit het Handvest te eerbiedigen.31 Het recht op de bescherming van persoonsgegevens is dan ook van groot belang voor de invulling van de normen uit AVG.