Gegevensbescherming in faillissement (O&R nr. 136) 2023/2.1.2:2.1.2 Vanuit het gegevensbeschermingsrecht bezien

Gegevensbescherming in faillissement (O&R nr. 136) 2023/2.1.2

2.1.2 Vanuit het gegevensbeschermingsrecht bezien

Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.

De opvatting dat persoonsgegevens daarmee niet tot de boedel behoren, strookt niet met de praktijk. Een curator die bijvoorbeeld persoonsgegevens in de vorm van een klantenbestand verkoopt, gaat ervan uit dat persoonsgegevens een waarde vertegenwoordigen en dat hij als curator over die persoonsgegevens mag beschikken. Persoonsgegevens vertegenwoordigen een waarde, ook tijdens faillissement.1 De AP merkte hierover in haar brief aan INSOLAD over de verwerking van persoonsgegevens in faillissement het volgende op:

“De AP laat in deze brief in het midden of persoonsgegevens onder het begrip ‘vermogen’ in de zin van artikel 20 Fw kunnen worden geschaard, als onderdeel van de boedel die de curator dient te beheren en te vereffenen. De AP merkt op dat hierover in de literatuur discussie bestaat en meermaals is betoogd dat persoonsgegevens noch als zaak, noch als goed kunnen worden gekwalificeerd. Wat echter vaststaat is dat data in geld waardeerbaar is en als onderdeel van de boedel wordt beschouwd. De praktijk wijst uit dat curatoren persoonsgegevens verkopen”.2

Vast staat dat een curator vaak ‘iets’ doet met persoonsgegevens – bijvoorbeeld door de personeelsadministratie door te nemen of klantengegevens te verkopen. Civielrechtelijk is het lastig om de positie van persoonsgegevens in faillissement vast te stellen. Om te bepalen wat de verantwoordelijkheid van de curator ten opzichte van de door de failliet verzamelde persoonsgegevens is op basis van de AVG, is het antwoord op die civielrechtelijke vraag uiteindelijk niet doorslaggevend.

Vanuit de AVG bezien is het niet bijzonder relevant om te weten of persoonsgegevens juridisch-technisch gezien in de boedel vallen. Dit komt door het zeer andere perspectief op verantwoordelijkheid dat de AVG hanteert. Hierbij wordt slechts ten dele uitgegaan van de juridische situatie, waarbij degene die juridisch verantwoordelijk is voor de persoonsgegevens daar ook verwerkingsverantwoordelijke voor is.

De verantwoordelijkheid moet daarnaast worden bepaald aan de hand van de feitelijke situatie. Voor de vraag welke verantwoordelijkheden de curator op basis van de AVG heeft voor de persoonsgegevens is de civielrechtelijke kwalificatie van persoonsgegevens dan ook minder relevant dan zij op het eerste oog lijkt. In de AVG staat – om te bepalen wie verantwoordelijk is voor de naleving van de AVG – de ‘verwerkingsverantwoordelijke’ centraal. De vraag die leidend is, is niet of persoonsgegevens in de boedel vallen, maar of de curator degene is die beschikkingsmacht over de persoonsgegevens heeft, oftewel: bepaalt hij het doel en de middelen van de verwerking?

Deze functie is alleen te gebruiken als je bent ingelogd.