-
Introductie
In deze zaak gaat het om de reikwijdte van het begrip persoonsgegevens en de uitwerking van het recht op toegang tot deze gegevens uit richtlijn 95/46 (hierna: de richtlijn). Deze richtlijn is in Nederland in de Wet bescherming persoonsgegevens (Wbp) geïmplementeerd. Vanaf 25 mei 2018 zullen de regels van de Algemene verordening gegevensbescherming (AVG) gelden en worden zowel de richtlijn als de Wbp ingetrokken. De definitie van ‘persoonsgegevens’ is in de AVG hetzelfde als in de richtlijn. Het recht van toegang tot de gegevens, in de AVG het ‘recht van inzage’ genoemd, is onder de AVG echter wat aangescherpt. Wanneer een decentrale overheid persoonsgegevens verwerkt, zullen de regels van de richtlijn, en straks van de AVG toegepast moeten worden. Ook zal de betrokkene zich dan kunnen beroepen op rechten zoals het recht van inzage, vastgelegd in artikel 12 richtlijn en artikel 15 AVG.
-
ZAAK
HvJ EU 20 december 2017, C‑434/16, ECLI:EU:C:2017:994 (Nowak).
-
BELEIDSDOSSIERS EN THEMATIEK
Digitale Overheid
De Algemene verordening gegevensbescherming -
SAMENVATTING FEITEN
Peter Nowak dient in mei 2010 een verzoek in tot toegang tot alle persoonsgegevens die de beroepsorganisatie voor accountants/belastingadviseurs (CAI) over hem heeft. Het CAI stuurt hem daarop zeventien documenten toe, maar weigert echter hem zijn schriftelijke examenwerk toe te sturen. Volgens het CAI betreft dit examenwerk geen persoonsgegevens. Ook de Ierse toezichthouder (Data Protection Commissioner), waar Nowak een klacht indient, is van mening dat de gegevens van het examen geen persoonsgegevens vormen. De rechtsprekende instanties waar Nowak de beslissing wil aanvechten zijn ook van mening dat er geen sprake is van persoonsgegevens. Uiteindelijk besluit het Supreme Court, de hoogste Ierse rechter, om duidelijkheid te vragen bij het Europese Hof van Justitie middels twee prejudiciële vragen.
-
RECHTSVRAGEN
1. Zijn gegevens die in of als antwoorden worden opgeschreven door een kandidaat tijdens een beroepsexamen persoonsgegevens zijn in de zin van richtlijn 95/46?
2.Welke factoren zijn relevant om te bepalen of in een gegeven geval een examenwerk een persoonsgegeven vormt en welk gewicht dient dan aan deze factoren te worden toegekend? -
SAMENVATTING UITSPRAAK
De definitie in artikel 2 van de richtlijn stelt dat onder persoonsgegevens valt: “iedere informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon”. Volgens diezelfde bepaling wordt als identificeerbaar beschouwd: “een persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificatienummer of van een of meer specifieke elementen die kenmerkend zijn voor zijn of haar fysieke, fysiologische, psychische, economische, culturele of sociale identiteit”. Het Hof besluit hierop twee elementen te controleren:
- of er in dit geval sprake is van een natuurlijk persoon die kan worden geïdentificeerd; en
- of de betreffende gegevens informatie over deze persoon bevatten.
Identificeerbaar natuurlijk persoon?
Het Hof stelt dat er in dit geval sprake is van een natuurlijk persoon die kan worden geïdentificeerd. De natuurlijk persoon kan namelijk direct geïdentificeerd worden door zijn naam, of indirect geïdentificeerd door het identificatienummer van de kandidaat.
Daarbij is belangrijk dat de vraag of de examinator de kandidaat al dan niet kan identificeren op het moment dat de correctie en markering van het examenwerk irrelevant is. Om een gegeven als persoonsgegeven te kwalificeren is niet vereist dat alle informatie aan de hand waarvan de betrokkene kan worden geïdentificeerd bij een en dezelfde persoon berust. Hierbij verwijst het Hof naar het arrest Breyer (ECLI:EU:C:2016:779, r.o. 43).
Bevatten de antwoorden informatie over deze persoon?
Het Hof legt uit dat het begrip informatie breed opgevat moet worden. Het gaat hierbij niet alleen om gevoelige informatie, maar om zowel elke soort objectieve informatie als subjectieve informatie onder de vorm van meningen of beoordelingen, op voorwaarde dat deze informatie de betrokkene „betreft”. Wanneer die informatie wegens haar inhoud, doel of gevolg gelieerd is aan een bepaalde persoon, gaat het dus om een persoonsgegeven.
Het Hof voert verschillende redenen aan waarom de antwoorden op het – schriftelijke – examen van Nowak persoonsgegevens bevatten. Deze antwoorden weerspiegelen bijvoorbeeld het kennisniveau van de kandidaat, maar bevatten ook zijn handschrift. Het verzamelen van de informatie heeft onder andere tot doel een evaluatie te maken van de beroepsbekwaamheden van de kandidaat. Tot slot kan het gebruik van deze informatie, dat met name leidt tot het al dan niet slagen van de kandidaat voor het betrokken examen, gevolgen hebben voor zijn rechten en belangen. Het slagen kan bijvoorbeeld zijn kansen om in aanmerking te komen voor het gewenste beroep of de gewenste functie bepalen of beïnvloeden.
Het examen van Nowak bevatte ook opmerkingen van de examinator. Volgens het Hof bevatten ook deze opmerkingen informatie over de kandidaat en kunnen deze gevolgen hebben voor de rechten en belangen van de kandidaat. Dat deze opmerkingen ook informatie opleveren over de examinator doet daar niet aan af. Het Hof stelt dat ook deze opmerkingen onder het recht op toegang vallen.
Recht van toegang
Het Hof noemt verder dat het recht van toegang uit artikel 12 van de richtlijn met name noodzakelijk is om de betrokkene in staat te stellen om het recht op rectificatie, uitwissing of afscherming van die persoonsgegevens uit te kunnen oefenen. Hierbij verwijst het Hof naar het arrest Y.S. (ECLI:EU:C:2014:2081, r.o. 44). Als laatste wijst het Hof er ook nog op dat zowel de richtlijn als de AVG bepalingen bevatten die de rechten van de betrokkene, waaronder het recht van inzage, beperken. Het recht om een kopie van de persoonsgegevens te ontvangen mag bijvoorbeeld geen afbreuk doen aan de rechten en vrijheden van anderen.
-
DECENTRALE RELEVANTIE
Decentrale overheden dienen per 25 mei 2018 te voldoen aan de regels van de AVG. Het kan lastig zijn het begrip persoonsgegevens af te bakenen. Uit dit arrest blijkt dat het begrip zeer breed ingevuld moet worden. Om te bepalen wat een persoonsgegeven is, moet gekeken worden of er een natuurlijk persoon is die kan worden geïdentificeerd en of de gegevens iets over deze persoon zeggen. Belangrijk is daarbij dat niet vereist is dat alle informatie aan de hand waarvan de betrokkene kan worden geïdentificeerd, bij een en dezelfde persoon berust. Wanneer een decentrale overheid vaststelt dat er sprake is van persoonsgegevens, zullen de regels van de AVG moeten worden toegepast.
Het recht van inzage zal onder de AVG een van de belangrijkste rechten van de betrokkene zijn waar decentrale overheden mee te maken krijgen. In dit arrest benoemt het Hof dat het recht op toegang noodzakelijk is om de betrokkene in staat te stellen zijn persoonsgegevens eventueel te kunnen corrigeren of uitwissen. Met deze overweging in gedachte houdend kan het in de praktijk handig zijn met een betrokkene die het recht van inzage inroept af te stemmen of de betrokkene al een bepaald gedeelte van persoonsgegevens in gedachten heeft dat hij wil inzien. Anders dan onder de richtlijn en de Wbp moet de verwerkingsverantwoordelijke onder de AVG de betrokkene een kopie verstrekken van de persoonsgegevens die hij verwerkt. Dit blijkt uit artikel 15 lid 3 AVG. In lid 4 van ditzelfde artikel komt echter ook terug dat dit recht geen afbreuk mag doen aan de rechten en vrijheden van anderen. Hier zal dan een weloverwogen afweging over moeten worden gemaakt.
Meer informatie:
Digitale Overheid, Europa decentraal
Privacy: de Algemene verordening gegevensbescherming, Europa decentraal
Verwerken van persoonsgegevens, Europa decentraal
AVG deel I: Persoonsgegevens en verwerken, Europa decentraal
Privacy: kan het publiceren van een bedrijfsnaam in strijdt zijn met de AVG?, Praktijkvraag Europa decentraal