[divider]
Het Hof van Justitie van de Europese Unie heeft op 17 juli 2014 arrest gewezen naar aanleiding van prejudiciële vragen van twee Nederlandse rechterlijke instanties over het begrip persoonsgegevens en de reikwijdte van het inzagerecht. Ik zal in dit artikel achtereenvolgens de achtergronden bij het arrest kort bespreken (§ 1), een overzicht geven van de gestelde prejudiciële vragen (§ 2), het arrest samenvatten (§ 3) en het arrest van enig commentaar voorzien (§ 4). Ten slotte volgt een korte conclusie (§ 5).
1. Achtergronden van de twee Nederlandse procedures
1.1 De kwestie voor de rechtbank te Middelburg
Alle gestelde prejudiciële vragen komen in de basis voort uit één procedure die ruim twee jaar geleden speelde voor de rechtbank in Middelburg. Een asielzoeker wilde middels een beroep op het inzagerecht uit de Wet bescherming persoonsgegevens (hierna: Wbp) inzage verkrijgen in de juridische analyse die is gebruikt bij de voorbereiding op de uiteindelijke beslissing in zijn asielprocedure. Die juridische analyse wordt overigens in de procedure ook wel “de minuut” genoemd.
De rechtbank Middelburg signaleerde in het vonnis van 15 maart 2012[1] dat de Raad van State en de Hoge Raad sterk verschillend oordelen over de strekking van het inzagerecht. Het was namelijk bestendige lijn van de Raad van State dat het inzagerecht geen recht gaf op afgifte van bescheiden, maar alleen op een overzicht van de daarin verwerkte persoonsgegevens[2]. Dit terwijl de Hoge Raad in de Dexia-uitspraken juist uitdrukkelijk overwoog dat het inzagerecht een ruime strekking kent, waarbij de verantwoordelijke “alle relevante informatie over de betrokkene moeten verschaffen, hetgeen, afhankelijk van de omstandigheden, vaak zal kunnen - en zo nodig op aanwijzing van de rechter zal moeten - gebeuren door het verstrekken van afschriften, kopieën of uittreksels” [3].
Voorts signaleerde de rechtbank dat de Raad van State het begrip “persoonsgegevens” restrictief uitlegt, terwijl de artikel 29 werkgroep in advies 4/2007 ogenschijnlijk een ruimere uitleg voorstaat. Zo had de Raad van State eerder geoordeeld dat een juridische analyse niet moet worden aangemerkt als een persoonsgegeven[4]. De artikel 29 werkgroep heeft echter juist benadrukt dat ook objectieve gegevens die gevolgen kunnen hebben voor een bepaalde persoon moeten worden aangemerkt als persoonsgegevens (zogenaamde “resultaatgegevens”)[5].
De rechtbank zag in al deze tegengestelde standpunten aanleiding de procedure te schorsen en prejudiciële vragen te stellen aan het Hof van Justitie.
1.2 De kwestie voor de Raad van State
Enkele maanden later zag de Raad van State zich geconfronteerd met een soortgelijke kwestie (zij het in hoger beroep). Ook hier wenste een asielzoeker een afschrift te ontvangen van de “minuut” en deed daartoe een beroep op het inzagerecht uit de Wbp. In de uitspraak[6] zet de Raad van State allereerst zijn eigen bestendige lijn omtrent het inzagerecht uiteen. Vervolgens constateert de Raad dat “gegeven de verwijzingsuitspraak van de rechtbank Middelburg bestaat (…) thans onduidelijkheid over de interpretatie van artikel 12, aanhef en onder a, tweede streepje, van de Privacyrichtlijn”. De Raad ziet hierin aanleiding om eveneens prejudiciële vragen te stellen.
2. De door beide instanties gestelde prejudiciële vragen
De prejudiciële vragen die door de rechtbank Middelburg en de Raad van State zijn gesteld kennen een sterke overlap. Schematisch ziet dat er als volgt uit:
Trefwoord | Rechtbank Middelburg | Raad van State |
Begrip persoonsgegeven | 1. Zijn de gegevens die in de minuut van betrokkene zijn weergegeven en die betrekking hebben op betrokkene, persoonsgegevens in de zin van artikel 2, onder a, van de Privacyrichtlijn | |
Juridische analyse persoonsgegeven? | 2. Is de in de minuut opgenomen juridische analyse een persoonsgegeven in de zin van voornoemde bepaling? | 5. Kan een juridische analyse, zoals neergelegd in een "minuut", worden aangemerkt als een persoonsgegeven in de zin van artikel 2, onder a, van Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens? |
Reikwijdte inzagerecht: overzicht van gegevens of afschrift van documenten | 3. Wanneer het Hof bevestigt dat de hiervoor omschreven gegevens persoonsgegevens zijn, dient de verwerker/overheidsinstantie dan ook ingevolge artikel 12 van de Privacyrichtlijn en artikel 8, tweede lid, van het EU Handvest inzage te geven in deze persoonsgegevens?5. Wanneer betrokkene verzoekt om inzage in de minuut, dient de verwerker/overheidsinstantie een kopie van dit document te verschaffen om zo recht te doen aan het inzagerecht? | 1. Dient artikel 12, aanhef en onder a, tweede streepje, van Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens aldus te worden uitgelegd dat er een recht bestaat op een afschrift van stukken waarin persoonsgegevens zijn verwerkt, of is voldoende dat een volledig overzicht in begrijpelijke vorm wordt verstrekt van de persoonsgegevens die in de desbetreffende stukken zijn verwerkt?2. Dienen de woorden "recht van inzage" in artikel 8, tweede lid, van het Handvest van de grondrechten van de Europese Unie aldus te worden uitgelegd dat er een recht bestaat op een afschrift van stukken waarin persoonsgegevens zijn verwerkt, of is voldoende dat een volledig overzicht in begrijpelijke vorm wordt verstrekt van de persoonsgegevens die in de desbetreffende stukken zijn verwerkt in de zin van artikel 12, aanhef en onder a, tweede streepje, van Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens? |
Rechtstreeks beroep op Handvest en uitzonderingen daarop | 4. Kan betrokkene in dit kader ook een rechtstreeks beroep doen op artikel 41, tweede lid, onder b, van het EU Handvest, en zo ja, moet de hierin opgenomen zinsnede “met inachtneming van het gerechtvaardigde belang van de vertrouwelijkheid op besluitvorming” zo worden uitgelegd dat het recht op inzage in de minuut op die grond kan worden geweigerd? | 3. Is artikel 41, tweede lid, aanhef en onder b, van het Handvest van de grondrechten van de Europese Unie mede gericht tot de lidstaten van de Europese Unie voor zover zij het recht van de Unie ten uitvoer brengen in de zin van artikel 51, eerste lid, van het Handvest van de grondrechten van de Europese Unie?4. Levert de consequentie dat als gevolg van het geven van inzage in "minuten" daarin niet meer de redenen worden vastgelegd waarom een bepaald besluit wordt voorgesteld, hetgeen de interne ongestoorde gedachtewisseling binnen de betrokken overheidsinstantie en de ordelijke besluitvorming niet ten goede komt, een gerechtvaardigd belang van de vertrouwelijkheid op in de zin van artikel 41, tweede lid, aanhef en onder b, van het Handvest van de grondrechten van de Europese Unie? |
Uitzondering interne gedachtevorming | 6. Behoort tot de bescherming van rechten en vrijheden van anderen in de zin van artikel 13, eerste lid, aanhef en onder g, van Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens ook het belang van een interne ongestoorde gedachtewisseling binnen de betrokken overheidsinstantie? Indien het antwoord hierop negatief luidt, kan dit belang dan worden gebracht onder artikel 13, eerste lid, aanhef en onder d of f, van die richtlijn? |
Tabel 1: vergelijking prejudiciële vragen
3. Het arrest van het Hof van Justitie
3.1 Beperkte interpretatie van het begrip persoonsgegevens
Het Hof van Justitie beantwoordt in het arrest allereerst de vraag of een juridische analyse is te beschouwen als een persoonsgegeven. Het Hof overweegt in r/o 39 hierover als volgt: “De juridische analyse in een minuut kan daarentegen weliswaar persoonsgegevens bevatten, maar vormt op zich niet een dergelijk gegeven in de zin van artikel 2, sub a, van richtlijn 95/46”. De minuut bevat volgens het Hof namelijk “geen informatie over de aanvrager van de verblijfstitel, maar hooguit, voor zover die analyse niet beperkt blijft tot een zuiver abstracte uitlegging van het recht, informatie over de beoordeling en de toepassing van dat recht door de bevoegde autoriteit op de situatie van de aanvrager, waarbij die situatie met name wordt vastgesteld middels de hem betreffende persoonsgegevens waarover die autoriteit beschikt” (r/o 40).
Opvallend is dat het Hof daarna – hoewel in feite het antwoord reeds is gegeven – ook nog uitvoerig stilstaat bij het doel en de strekking van de richtlijn. Het Hof overweegt in dat kader allereerst dat het doel van de richtlijn is “de fundamentele rechten en vrijheden van natuurlijke personen, inzonderheid hun persoonlijke levenssfeer, te beschermen en zo het vrije verkeer van deze gegevens tussen de lidstaten mogelijk te maken” (r/o 42). Dit doel komt onder meer tot uiting in de rechten die aan betrokkene worden toegekend (r/o 43). Dankzij die rechten kan de betrokkene verifiëren of zijn gegevens juist zijn en deze zo nodig laten corrigeren of de verwerking daarvan laten staken (r/o 44). Het privacyrecht strekt echter niet zo ver dat het ook een recht geeft juridische analyses te laten verbeteren of de verwerking daarvan te laten staken (r/o 45). Het doel van de privacyrichtlijn is namelijk niet om “de transparantie van het besluitvormingsproces van overheidsorganen te verzekeren en goede administratieve praktijken te bevorderen” (r/o 47).
Het Hof komt dan ook tot de slotsom dat “de gegevens over de aanvrager van een verblijfstitel die in de minuut zijn weergegeven, en in voorkomend geval die welke in de juridische analyse in die minuut zijn weergegeven, „persoonsgegevens” zijn in de zin van deze bepaling, maar dat die analyse als zodanig niet aldus kan worden gekwalificeerd” (r/o 48). Ik kom hier bij mijn opmerkingen nog op terug.
3.2 Beperkte reikwijdte van het inzagerecht
Vervolgens beantwoordt het Hof de vragen over de precieze strekking en reikwijdte van het inzagerecht, meer specifiek of de betrokkene recht heeft op afschrift van bescheiden of niet.
Het Hof benadrukt allereerst – conform bestendige lijn – dat de privacyrichtlijn moet worden uitgelegd tegen de achtergrond van de grondrechten (r/o 54). Vervolgens overweegt het Hof dat het in artikel 8 lid 2 van het Handvest vermelde inzagerecht, is uitgewerkt in artikel 12 sub a van de privacyrichtlijn (r/o 55)[7]. De privacyrichtlijn laat het over aan de lidstaten om te bepalen op welke concrete wijze uitvoering wordt gegeven aan het inzagerecht, mits de verstrekte gegevens “begrijpelijk” zijn en de betrokkene in staat stellen kennis te nemen van die gegevens, deze te controleren en te verifiëren of deze in overeenstemming met de richtlijn worden verwerkt (r/o 57).
De betrokkene kan aan de privacyrichtlijn dus geen recht op afschrift van bescheiden ontlenen, mits maar in een andere vorm volledig aan voornoemde doelstellingen kan worden voldaan (r/o 58). Het volstaat dan ook dat “aan de aanvrager van de verblijfstitel een volledig overzicht, in begrijpelijke vorm, van al deze gegevens wordt gegeven, dat wil zeggen in een vorm die deze aanvrager in staat stelt kennis te nemen van die gegevens en te controleren of zij juist zijn en zijn verwerkt in overeenstemming met deze richtlijn, opdat hij eventueel de hem bij de artikelen 12, sub b en c, 14, 22 en 23 van die richtlijn verleende rechten kan uitoefenen” (r/o 59).
3.3 Geen beroep op artikel 41 Handvest in nationale procedures
Het Hof overweegt ten slotte dat artikel 41 van het Handvest uitsluitend is gericht “tot de instellingen, organen en instanties van de Unie (zie in die zin arrest Cicala, C‑482/10, EU:C:2011:868, punt 28). Bijgevolg kan de aanvrager van een verblijfstitel aan artikel 41, lid 2, sub b, van het Handvest geen recht op inzage in het nationale dossier betreffende zijn aanvraag ontlenen.” (r/o 67).
4. Opmerkingen
In deze paragraaf zal ik enkele opmerkingen plaatsen bij het arrest. Het betreft achtereenvolgens de beperkte interpretatie van het begrip persoonsgegevens (4.1) en de beperkte reikwijdte van het inzagerecht (4.2).
4.1 Beperkte interpretatie begrip persoonsgegevens
Het is opvallend dat het Hof van Justitie het begrip persoonsgegevens in dit arrest veel beperkter uitlegt dan de artikel 29 werkgroep (WP29) doet. Zoals Ewoud Swart in zijn noot daarbij signaleerde gebeurde dit ook al in de conclusie van A-G Sharpston[8]. Ik zal dit hierna toelichten.
De WP29 maakt in de opinie 4/2007 onderscheid tussen inhoudsgegevens (gegevens over iemand), doelgegevens (gegevens die worden gebruikt met het doel een persoon te beoordelen) en resultaatinformatie (gegevens die gevolgen kunnen hebben voor een bepaald persoon)[9].
Het valt op dat de jurisprudentie van het Hof van Justitie meestal ziet op de eerste categorie persoonsgegevens (inhoudsgegevens). Het is in dat licht ook niet zo verrassend om te zien dat het Hof van Justitie vrij snel aanneemt dat de betreffende gegevens als persoonsgegevens zijn aan te merken. Ook in het onderhavige arrest gebeurt dit, het Hof overweegt immers dat het “geen twijfel” lijdt dat de gegevens naam, geboortedatum, nationaliteit, geslacht, etniciteit, religie en taal zijn aan te merken als persoonsgegevens (r/o 38).
Andere arresten van het Hof van Justitie over de privacyrichtlijn zijn in dat kader vergelijkbaar. Ik verwijs dan ook graag naar het in Tabel 2 vermelde overzicht van rechtspraak, waarin diverse soorten gegevens staan genoemd die zijn gekwalificeerd als persoonsgegevens[10].
Arrest | Beschrijving | Inhoud | Doel | Resultaat |
Lindqvist-arrest[11] | Informatie over leden kerkgenootschap | X | ||
Promusicae-arrest[12], Bonnier Audio-arrest[13], Scarlet/SABAM arrest[14], Netlog/SABAM arrest[15] | Gegevens over (vermeend) inbreukmakers op IE-rechten van derden | X (vanuit perspectief provider) | Mogelijk vanuit het perspectief van de derde die nog niet over de NAW-gegevens beschikt, maar alleen over technische gegevens als IP-adres en gegevens over de bij de inbreuk gebruikte apparatuur en software. | |
Heinz Huber arrest[16] | Gegevens over in Duitsland woonachtige buitenlanders | X | ||
Satamedia-arrest[17] | Inkomensgegevens | X | ||
Rijkeboer-arrest[18] | Gegevens over aan welke derden persoonsgegevens zijn verstrekt (“verstrekkingsgegevens”) | X | ||
GBA-uittreksel arrest[19] | NAW-gegevens | X | ||
Bavarian Lager arrest[20] | Deelnemers aan een vergadering | X | ||
Schecke & Eifert arrest[21] | Gegevens over aan specifieke ondernemers verstrekte landbouwsubsidies | X | ||
Deutsche Telekom arrest[22] | Abonneegegevens klanten providers | X | ||
Worten-arrest[23] | Gegevens over werktijden van specifieke werknemers (“arbeidstijdenregister”) | X | ||
Schwarz-arrest[24] | Vingerafdrukken | X | ||
IPI-arrest[25] | Door privédetectives verzamelde gegevens | X | X (voor verzamelde gegevens die op het moment van verzamelen nog niet aan een persoon te koppelen zijn) | |
Google-arrest[26] | Naam en gegevens over socialezekerheidsschulden | X | ||
Asielzoekersarrest | Naam, geboortedatum, nationaliteit, geslacht, etniciteit, religie en taal | X |
Tabel 2: indeling jurisprudentie |
Kennelijk wordt er niet vaak geprocedeerd over informatie die niet direct iets over een bepaalde persoon zegt (dus over andere gegevens dan inhoudsgegevens). Dat is wellicht ook niet zo verrassend, wanneer bedacht wordt dat het bij doelgegevens en resultaatgegevens van de omstandigheden van het geval afhangt of bepaalde gegevens als persoonsgegevens zijn aan te merken.
Juist in de onderhavige casus zou echter wel eens sprake kunnen zijn van doelgegevens, voor zover het betreft de juridische analyse in de minuut. Van doelgegevens is in de opinie van de WP29 immers sprake als “rekening houdende met alle omstandigheden van het precieze geval, gegevens worden gebruikt of waarschijnlijk zullen worden gebruikt met het doel een persoon te beoordelen, op een bepaalde wijze te behandelen of de status of het gedrag van die persoon te beïnvloeden”[27].
De minuut in de onderhavige kwestie lijkt toch aan deze omschrijving te voldoen. Volgens het arrest wordt in een uitgebreide minuut immers “met name ingegaan op de geloofwaardigheid van afgelegde verklaringen en vermeldt hij de redenen waarom een aanvrager volgens hem al dan niet in aanmerking komt voor een verblijfstitel” (r/o 15). Het betreft met andere woorden informatie die zal worden gebruikt om de betreffende asielzoeker te beoordelen. Dat sluit (bijna) naadloos aan op de hiervoor geciteerde omschrijving van de WP29 van de betreffende gegevens.
Namens de betreffende asielzoekers is ook een vergelijkbare argumentatie verdedigd[28]. Zij hebben immers betoogd dat alle informatie die “bepalend is voor de beoordeling van de aanvraag voor een verblijfstitel en op het concrete geval van de aanvrager wordt toegepast” moet worden aangemerkt als een persoonsgegeven (r/o 35). Die lijn is door het Hof in r/o 39 en r/o 40 echter uitdrukkelijk verworpen.
Het lijkt er dan ook op – hoewel nooit te veel conclusies aan één enkel arrest moeten worden verbonden – dat het Hof van Justitie wel eens terughoudend zou kunnen zijn bij het kwalificeren van doelgegevens als persoonsgegevens. Dat zou ik zelf overigens een wenselijke ontwikkeling vinden, aangezien het begrip persoonsgegevens anders wel erg ver wordt opgerekt[29].
4.2 Beperkte reikwijdte inzagerecht
De overwegingen van het Hof over het inzagerecht lijken op het eerste gezicht helder, maar zijn bij nadere beschouwing toch lastig. Ik zal dat hierna toelichten.
Het Hof overweegt dat in reactie op een inzageverzoek het volstaat wanneer “een volledig overzicht, in begrijpelijke vorm, van al deze gegevens wordt gegeven, dat wil zeggen in een vorm die deze aanvrager in staat stelt kennis te nemen van die gegevens en te controleren of zij juist zijn en zijn verwerkt in overeenstemming met deze richtlijn, opdat hij eventueel de hem bij de artikelen 12, sub b en c, 14, 22 en 23 van die richtlijn verleende rechten kan uitoefenen”.
Bij eerste lezing ontstaat wellicht de indruk dat het volstaat dat een “overzicht” van de gegevens wordt gegeven. Dit lijkt sterk op de lijn die in Nederland door de Raad van State tot op heden werd ingenomen: een overzicht van de verwerkte persoonsgegevens volstaat, afschrift van de bescheiden waarin die persoonsgegevens zijn opgenomen is niet vereist.
Bij tweede lezing valt echter op dat er vele eisen worden gesteld aan een dergelijk overzicht, wil er sprake zijn van de vereiste verstrekking “in begrijpelijke vorm”. Het gegeven overzicht moet de betrokken immers, mede gelet op alle artikelen waar het Hof zelf naar verwijst, in staat stellen:
- te kunnen controleren of de persoonsgegevens juist zijn;
- te kunnen controleren of de persoonsgegevens in overeenstemming met de richtlijn worden verwerkt;
- het correctierecht uit te oefenen (artikel 12 sub b);
- te verlangen dat eventuele correcties ook door derden waaraan die gegevens zijn verstrekt worden toegepast (artikel 12 sub c);
- zich te verzetten tegen verwerkingen op grond van artikel 7 onder sub e en/of sub f (artikel 14 sub a);
- zich te verzetten tegen verwerkingen in het kader van direct marketing en te worden geïnformeerd over het bestaan van dit recht (artikel 14 sub b);
- zich tot de rechter te wenden wanneer zijn rechten worden geschonden (artikel 22); en
- de schade die wordt geleden wegens een onrechtmatige verwerking van persoonsgegevens op de verantwoordelijke te verhalen (artikel 23).
Het is maar de vraag of het verstrekken van louter een overzicht van de verwerkte persoonsgegevens, zonder enige context, de betrokkene tot dit alles in staat stelt. De betrokkene lijkt zich in een dergelijk geval immers eenvoudig te kunnen verweren met de stelling dat zonder afschrift van alle bescheiden waarin die persoonsgegevens zijn opgenomen, niet te controleren is of de gegevens wel voldoende “eerlijk” (artikel 6 sub a richtlijn) en voldoende “nauwkeurig” (artikel 6 sub d richtlijn) zijn verwerkt. Ook zou de betrokkene het standpunt kunnen innemen dat het correctierecht illusoir wordt, indien hij niet wordt geïnformeerd over de context waarin zijn persoonsgegevens worden gebruikt, al was het maar om bijvoorbeeld te kunnen controleren of de gegevens wel worden verwerkt in overeenstemming met het verzameldoel (artikel 6 sub b richtlijn) en of ze in de betreffende context wel “ter zake dienend” zijn (artikel 6 sub c richtlijn).
Daar staat echter wel tegenover dat het Hof van Justitie in het arrest uitdrukkelijk overweegt dat de minuut niet op grond van het privacyrecht door de betrokkene mag “worden gecontroleerd op de juistheid ervan en worden gerectificeerd uit hoofde van artikel 12, sub b, van richtlijn 95/46” (r/o 45). De ratio hiervan is dat het doel en strekking van het privacyrecht niet zo ver strekt dat de oordeelsvorming op grond van de juridische analyse onderwerp is van het controle- en/of wijzigingsrecht van de betrokkene.
Op zichzelf lijkt me deze beperking op grond van doel en strekking van de privacyrichtlijn juist. Dat neemt niet weg dat dit voor de praktijk een spanningsveld oplevert: gelet op de eisen die door het Hof worden gesteld aan het te verstrekken overzicht van persoonsgegevens moet de verantwoordelijke welhaast de context waarin de persoonsgegevens worden verwerkt laten zien, terwijl anderzijds de betrokkene niet (altijd) het recht heeft die context in te zien c.q. te wijzigen.
Aan dit spanningsveld zal in de praktijk invulling moeten worden gegeven. Een verantwoordelijke die zich geconfronteerd ziet met een inzageverzoek staat dan ook voor enkele lastige keuzes:
- Allereerst ziet hij zich geconfronteerd met de vraag welke gegevens in zijn administratie allemaal aan te merken zijn als persoonsgegevens. Veel richting geeft dit arrest van het Hof hiervoor in de praktijk nog niet, zij het dat voorzichtig geconcludeerd zou kunnen worden dat inhoudsgegevens waarschijnlijk allemaal als persoonsgegevens zijn aan te merken, terwijl verdedigbaar is dat doel- en resultaatgegevens niet onder het begrip vallen[30] en dat het begrip persoonsgegevens dus enigszins is geobjectiveerd door het Hof[31].
- Vervolgens moet de verantwoordelijke afwegen of bepaalde gegevens wellicht op grond van één of meer van de uitzonderingen in artikel 13 privacyrichtlijn niet verstrekt hoeven te worden. In de praktijk zal met name de uitzondering voor de bescherming “van de rechten en vrijheden van anderen” daarbij relevant zijn.
- Daarna staat de verantwoordelijke voor de uitdaging de betreffende gegevens op zodanige wijze te verstrekken, dat aan alle hiervoor genoemde criteria wordt voldaan. De verantwoordelijke heeft op dat moment m.i. de keuze uit twee routes:
- De verantwoordelijke verstrekt afschrift van alle documenten waarin persoonsgegevens zijn opgenomen, eventueel met enkele zwartgemaakte passages vanwege de uitzonderingen (zie vorige punt), en benadrukt bij de verstrekking richting de betrokkene dat hij geen correctierecht heeft op al die gegevens. Dit is de meest transparante route, zij het dat de discussie met de betrokkene zich hiermee mogelijk verplaatst naar het moment waarop deze zijn correctierecht gaat uitoefenen[32].
- De verantwoordelijke verstrekt slechts een overzicht van de persoonsgegevens die worden verwerkt, alsmede een overzicht van alle doeleinden waarvoor die gegevens worden verwerkt en de ontvangers van die informatie (en wellicht zelfs enige aanvullende contextuele informatie). De documenten waarin die persoonsgegevens staan vermeld worden echter niet verstrekt. De verantwoordelijke zal daarbij kunnen verwijzen naar de hiervoor geciteerde rechtsoverweging, om te onderbouwen dat het inzagerecht geen recht geeft op afschrift van dergelijke documenten. Daarbij kan er tevens op worden gewezen dat een dergelijke verstrekking niet in lijn zou zijn met het doel en de strekking van de privacyrichtlijn. De verantwoordelijke die kiest voor deze route, haalt de eventuele discussie met de betrokkene wel naar voren, nu het de betrokkene vermoedelijk veelal juist om de documenten zelf is te doen.
Dit zijn geen eenvoudige keuzes voor veel verantwoordelijken om te maken. Ook rechters die vervolgens weer moeten oordelen of aan alle gestelde eisen is voldaan, hebben geen benijdenswaardige taak. Ik ben dan ook erg benieuwd hoe dit leerstuk zich verder zal ontwikkelen.
5. Conclusie
Het Hof van Justitie geeft, in navolging van de advocaat-generaal, een relatief beperkte interpretatie aan het begrip persoonsgegevens. Het is verdedigbaar dat het Hof hiermee de ruimere opvatting van de artikel 29 werkgroep over het begrip heeft verworpen. Daarnaast geeft het Hof van Justitie een interpretatie aan het inzagerecht die op het eerste gezicht beperkt lijkt, maar bij nadere beschouwing juist wel eens erg ruim zou kunnen blijken te zijn. Het is de vraag hoe verantwoordelijken en rechters deze nieuwe, en complexe, regels in de praktijk zullen gaan toepassen.
[7] Daarmee lijkt deze uitspraak tevens relevant voor alle inzageverzoeken die rechtstreeks op artikel 8 van het Handvest worden gebaseerd.
[8] “Analyze this: een inzagerecht in de juridische analyse?”, mr. E. Swart, P&I 2014, afl. 3, nr. 96.
[10] Bij het invullen van deze tabel ben ik er overigens van uitgegaan – mede gelet op de door WP29 in de opinie gegeven voorbeelden – dat inhoudsgegevens in beginsel nooit doelgegevens of resultaatgegevens zijn (anders gezegd: na het koppelen van de gegevens aan de betrokkene, zijn het per definitie inhoudsgegevens).
[12] Arrest van het Hof (Grote kamer) van 29 januari 2008, Productores de Música de España (Promusicae) tegen Telefónica de España SAU, Zaak C-275/06.
[13] Arrest van het Hof (Derde kamer) van 19 april 2012, Bonnier Audio AB en anderen tegen Perfect Communication Sweden AB, Zaak C-461/10.
[14] Arrest van het Hof (Derde kamer) van 24 november 2011, Scarlet Extended SA tegen Société belge des auteurs, compositeurs et éditeurs SCRL (SABAM), Zaak C-70/10.
[15] Arrest van het Hof (Derde kamer) van 16 februari 2012, Belgische Vereniging van Auteurs, Componisten en Uitgevers CVBA (SABAM) tegen Netlog NV, Zaak C-360/10.
[16] Arrest van het Hof (Grote kamer) van 16 december 2008, Heinz Huber tegen Bundesrepublik Deutschland, zaak C-524/06.
[17] Arrest van het Hof (Grote kamer) van 16 december 2008, Tietosuojavaltuutettu tegen Satakunnan Markkinapörssi Oy en Satamedia Oy, Zaak C-73/07.
[18] Arrest van het Hof (Derde kamer) van 7 mei 2009, College van burgemeester en wethouders van Rotterdam tegen M. E. E. Rijkeboer, Zaak C-553/07.
[19] Arrest van het Hof (Achtste kamer) van 12 december 2013, Procedure ingeleid door X, Zaak C-486/12.
[20] Arrest van het Hof (Grote kamer) van 29 juni 2010, Europese Commissie tegen The Bavarian Lager Co. Ltd.,
Zaak C-28/08 P.
[21] Arrest van het Hof (Grote kamer) van 9 november 2010, Volker und Markus Schecke GbR (C-92/09) en Hartmut Eifert (C-93/09) tegen Land Hessen, Gevoegde zaken C-92/09 en C-93/09.
[22] Arrest van het Hof (Derde kamer) van 5 mei 2011, Deutsche Telekom AG tegen Bundesrepublik Deutschland, Zaak C-543/09.
[23] Arrest van het Hof (Derde kamer) van 30 mei 2013, Worten - Equipamentos para o Lar SA tegen Autoridade para as Condições de Trabalho (ACT), Zaak C-342/12.
[24] Arrest van het Hof (Vierde kamer) van 17 oktober 2013, Michael Schwarz tegen Stadt Bochum, Zaak C-291/12. Strikt genomen in de context van artikel 7 Handvest, maar ik zie geen aanleiding om te veronderstellen dat dit in de context van de privacyrichtlijn anders zou zijn.
[25] Arrest van het Hof (Derde kamer) van 7 november 2013, Institut professionnel des agents immobiliers (IPI) tegen Geoffrey Englebert en anderen, Zaak C-473/12.
[26] Arrest van het Hof (Grote kamer) van 13 mei 2014.
Google Spain SL en Google Inc. tegen Agencia Española de Protección de Datos (AEPD) en Mario Costeja González. Zaak C-131/12.
[29] Een opmerking in de kantlijn bij dit punt. De voorbeelden van de WP29 over doel- en resultaatgegevens betreffen situaties waarbij feitelijke gegevens die voor een ander doel zijn verzameld, worden gebruikt om een persoon te beoordelen. Dat lijkt me eerder een klassiek voorbeeld van het schenden van de verplichting een verzameldoel vast te stellen en je daar aan te houden, dan een reden om het begrip persoonsgegevens op te rekken. Bovendien geldt dat zodra de gegevens gekoppeld zijn aan een specifieke natuurlijke persoon, het weer inhoudsgegevens betreft. De toegevoegde waarde van doel- en resultaatgegevens lijkt me dan ook klein te zijn.
[30] Daarvoor zijn in feite twee redenen: (1) het Hof lijkt in dit arrest expliciet te verwerpen dat doelgegevens persoonsgegevens zijn en (2) er is ook nauwelijks tot geen jurisprudentie over doel- en resultaatgegevens als persoonsgegevens.
[31] Van inhoudsgegevens is immers redelijk objectief vast te stellen welke gegevens als persoonsgegevens zijn te beschouwen, terwijl het bij doel- en resultaatgegevens van alle omstandigheden van het geval afhangt of de gegevens als persoonsgegevens moeten worden beschouwd. Een waar lawyer’s paradise waar menig verantwoordelijke vermoedelijk niet op zit te wachten.
[32] Hoewel de vraag is of het veel betrokkenen in de praktijk om het correctierecht te doen is, mijn indruk is dat inzage voor een groot deel van de betrokkenen al volstaat.