Bedrijfssysteem

Begrippen uit het privacyrecht worden ruim uitgelegd


Definities binnen de privacywetgeving  zoals de AVG, worden ruim uitgelegd. Organisaties zijn hierdoor niet alleen verantwoordelijk voor de persoonsgegevens die zij in hun bedrijfssystemen verwerken. Ook voor zaken als analoge aantekeningen die worden gemaakt door leden en werknemers kunnen organisaties verantwoordelijk worden gehouden. Ook deze categorie van gegevens heeft aandacht nodig waar het gaat om de beveiliging of het kunnen nakomen van andersoortige verplichtingen op grond van de AVG.

Begrippen uit het privacyrecht worden ruim uitgelegd

Het Europese Hof van Justitie, de hoogste Europese rechter, heeft recent een arrest gewezen over de naleving van privacyrechten. Dit nadat een Finse rechter vragen had gesteld aan het Hof inzake de privacy naleving van een gemeenschap van Jehova’s getuigen. In dit arrest dat op 10 juli 2018 is gewezen worden diverse begrippen uit het privacyrecht ruim uitgelegd.

De Finse privacy autoriteit heeft eerder een bevel gegeven aan een gemeenschap van Jehova’s getuigen om bij de van-huis-tot-huisverkondiging door haar leden het privacyrecht na te leven. De commissie gegevensbescherming had op verzoek van de toezichthouder voor gegevensbescherming de gemeenschap van Jehova’s getuigen verboden om in het kader van de van-huis-tot-huisverkondiging door haar leden persoonsgegevens te verzamelen of te verwerken zonder de wettelijke voorwaarden voor de verwerking van dergelijke gegevens in acht te nemen. Bovendien had de commissie gegevensbescherming gelast, ervoor te zorgen dat er binnen een termijn van zes maanden geen persoonsgegevens meer voor de doelstellingen van deze gemeenschap zouden worden verzameld zonder dat die voorwaarden in acht werden genomen.

De gemeenschap van Jehova’s getuigen heeft vervolgens betwist dat zij persoonsgegevens zouden verwerken. Zij menen dat slecht de leden individueel persoonlijke aantekeningen bijhouden en dat er geen sprake is van een “bestand”. Bij deze uitvoering kunnen de leden zich beroepen op de uitzondering in het privacyrecht voor persoonlijk en huishoudelijk gebruik, zo meent de gemeenschap. De gemeenschap wint de rechtszaak waarna de toezichthouder in hoger beroep gaat. De Finse rechter komt in hoger beroep tot het oordeel dat de gemeenschap van Jehova’s getuigen instructies en sjablonen, voor het maken van aantekeningen, geeft aan haar leden voor bij het langs de deuren gaan. De gemeenschap coördineert welke leden bij wie langs de deur gaan en houdt lijsten bij van adressen die een bezoek niet op prijs stellen. De Finse rechter legt deze vragen vervolgens voor aan het Hof van Justitie.

Behandeling door het Hof van Justitie

Het Hof van Justitie behandelt kortgezegd drie kwesties: wanneer is er sprake van persoonlijk of huishoudelijk gebruik, is het privacyrecht wel van toepassing op (persoonlijke) analoge aantekeningen en lijstjes (is dit een bestand?) en als laatste kwestie de vraag of een organisatie verantwoordelijk is voor de gegevensverwerking door haar leden?

Persoonlijk en huishoudelijk gebruik

Het privacyrecht is niet van toepassing als een verwerking van persoonsgegevens plaatsvindt voor persoonlijk of huishoudelijk gebruik. Deze uitzondering is echter beperkt. Het Hof zegt hierover in overweging 42 dat “activiteit in dit verband niet als een met uitsluitend persoonlijke of huishoudelijke doeleinden verrichte activiteit in de zin van die bepaling worden beschouwd wanneer zij erin bestaat, persoonsgegevens voor een onbepaald aantal personen toegankelijk te maken, of wanneer deze activiteit -zelfs gedeeltelijk- de openbare ruimte bestrijkt en daardoor is gericht op de sfeer buiten de privésfeer van degene die de gegevens verwerkt.” Het Hof is van mening dat de van-huis-tot-huisverkondiging naar de aard ervan het doel heeft het geloof van de gemeenschap van Jehova’s getuigen te verkondigen aan personen die niet tot het gezin van de verkondigers behoren. Deze activiteit is hierdoor gericht op de sfeer buiten de privésfeer van de verkondigers. Tevens worden er kennelijk centraal lijsten bijgehouden van mensen die niet bezocht willen worden. Dit geeft te kennen, zo oordeelt het Hof, dat er toch enige gegevensuitwisseling met de centrale organisatie zal plaatsvinden

Kortgezegd is het Hof van mening dat deze uitzondering alleen opgaat als het gaat om activiteiten die tot het privé- of gezinsleven van particulieren behoren. Zodra de verwerking erop is gericht om persoonsgegevens voor een onbepaald aantal personen toegankelijk te maken of wanneer de verwerkingsactiviteit de openbare ruimte bestrijkt en zich daarmee richt op de sfeer buiten de privésfeer is de uitzondering voor persoonlijk of huishoudelijk gebruik niet van toepassing.

Analoge aantekeningen en lijstjes

Het privacyrecht, zoals dat is vastgelegd binnen de AVG, is van toepassing op digitale- en analoge verwerkingen voor zover deze gegevens zijn opgenomen in een bestand. Hierbij ontstaat de vraag of de persoonlijke aantekeningen en lijstjes kunnen worden gekwalificeerd als een bestand? Het Hof benadrukt in overweging 62 dat het begrip “bestand” ruim moet worden opgevat en dat het hierbij vooral gaat om gegevens die gestructureerd zijn volgens specifieke criteria die het in de praktijk mogelijk maken deze gegevens gemakkelijk terug te vinden voor een later gebruik ervan.

Organisatie verantwoordelijk voor de gegevensverwerking door haar leden

De derde vraag die het Hof heeft beantwoord, is of de organisatie verantwoordelijk is voor de gegevensverwerking door haar leden. Het verzamelen van persoonsgegevens over de aan huis bezochte personen en de latere verwerking daarvan, zo stelt het Hof, dienen voor de verwezenlijking van het doel van de gemeenschap van Jehova’s getuigen, namelijk de verbreiding van het geloof van deze gemeenschap en worden door de leden-verkondigers verricht voor specifieke doelen van deze gemeenschap. Het Hof stelt in overweging 72 dat de gemeenschap van Jehova’s getuigen haar leden-verkondigers aanmoedigt in het kader van hun verkondigingsactiviteit persoonsgegevens te verwerken. Het Hof komt tot de conclusie dat een geloofsgemeenschap samen met haar leden-verkondigers kan worden beschouwd als verantwoordelijke voor de verwerking van de persoonsgegevens. Hierbij is het niet nodig is dat die gemeenschap toegang heeft tot die gegevens of dat wordt aangetoond dat zij haar leden schriftelijke richtsnoeren of instructies voor die verwerking heeft gegeven.

Zoals de Advocaat Generaal in zijn conclusie stelt (nr. 66): 

Naar mijn mening bestaan er – gelet op de noodzaak het begrip “voor de verwerking verantwoordelijke” in de zin van richtlijn 95/46 ruim uit te leggen en een hoge mate van bescherming na te streven – voldoende aanwijzingen om aan te nemen dat de gemeenschap het doel van de verwerking van de door de leden verzamelde gegevens vaststelt, namelijk het voortdurend streven naar meer gelovigen via doeltreffender verkondigingswerk door een zo goed mogelijke voorbereiding van de bezoeken.

Ruime verantwoordelijkheid voor organisaties

Deze uitspraak van het Europese Hof van Justitie leert ons dat definities binnen de privacywetgeving  zoals de AVG, ruim moeten worden uitgelegd. Organisaties zijn blijkens deze uitspraak niet alleen verantwoordelijk voor de persoonsgegevens die zij in hun centrale (bedrijfs)systemen verwerken. Ook voor zaken als aantekeningen en lijstjes die worden gemaakt door leden, maar denk wellicht ook aan werknemers, kunnen organisaties verantwoordelijk worden gehouden. Ook deze categorie van gegevens heeft dus aandacht nodig van organisaties, bijvoorbeeld waar het gaat om de beveiliging of het kunnen nakomen van andersoortige verplichtingen op grond van de AVG.