Kern van het geschil: mogen verkeersgegevens worden overgedragen aan incassobureau?
De kwestie gaat over een Duitse man die een geschil heeft met het bedrijf mr. Nexnet. De betreffende man heeft gebeld met een (betaal)nummer van Verizon om toegang te krijgen tot Internet. De daarmee gemoeide kosten zijn aan hem in rekening gebracht door Deutsche Telekom (zijn telefonie-aanbieder). Toen de man niet betaalde heeft Deutsche Telekom de vordering in het kader van factoring overgedragen aan het bedrijf Nexnet. Volgens de man is deze factoringovereenkomst nietig, omdat in zijn beleving de verkeersgegevens (gegevens over het gebruik van het nummer van Verizon) nooit aan Nexnet hadden mogen worden overgedragen omdat voor de verwerking van verkeersgegevens hele strikte regels gelden (op grond van richtlijn 2002/58/EG). De Duitse rechter stel hierover vragen aan het Hof van Justitie.
Hof van Justitie: dat mag, onder voorwaarden
Het Hof is relatief snel klaar met het geven van antwoord op de vragen van de Duitse rechter. In artikel 6 van de richtlijn 2002/58/EG staat namelijk letterlijk dat "verkeersgegevens die noodzakelijk zijn ten behoeve van de facturering van abonnees en interconnectiebetalingen mogen worden verwerkt" (lid 2) en dat die verwerking alleen mag "worden uitgevoerd door personen die werkzaam zijn onder het gezag van de aanbieders (...) voor facturering (...), en moet beperkt blijven tot hetgeen noodzakelijk is om die activiteiten te kunnen uitvoeren".
De randvoorwaarden zijn dus vrij helder. De vraag die open ligt is wat "werkzaam zijn onder gezag van de aanbieder" precies betekent. Het Hof overweegt hierover het volgende:
20. Vastgesteld zij dat noch richtlijn 2002/58 noch de voor de uitlegging daarvan relevante stukken, zoals de voorbereidende werkzaamheden, duidelijkheid scheppen over de precieze strekking van het begrip „onder het gezag”. Derhalve moet overeenkomstig de rechtspraak van het Hof de betekenis van dit begrip worden bepaald in overeenstemming met de in de omgangstaal gebruikelijke betekenis ervan, met inachtneming van de context waarin het wordt gebruikt en de door de regeling waarvan het deel uitmaakt beoogde doelstellingen (...).
21. In de gebruikelijke betekenis van dit begrip in de omgangstaal, handelt een persoon onder het gezag van een andere persoon wanneer de eerste in opdracht en onder toezicht van de tweede handelt.
Het Hof stelt aldus twee eisen: een opdrachtrelatie en toezicht door de opdrachtgever. Dit lijkt aldus sterk op het kader uit het algemene privacyrecht, meer specifiek de artikelen 16 en 17 uit de privacyrichtlijn (vergelijk ook artikel 14 Wet bescherming persoonsgegevens).
De eisen die het Hof vervolgens stelt aan toezicht gaan ver, want de opdrachtgever moet daadwerkelijk kunnen controleren op de opdrachtnemer zich aan de afspraken houdt. In de woorden van het Hof:
23. Artikel 6, leden 2 en 5, van richtlijn 2002/58 bevat een uitzondering op de in artikel 5, lid 1, neergelegde vertrouwelijkheid van communicatie, door de verwerking van verkeersgegevens die nodig zijn voor de facturering van de diensten toe te staan (zie in die zin arrest van 29 januari 2008, Promusicae, C‑275/06, Jurispr. blz. I‑271, punt 48). Aangezien het een uitzondering betreft, moeten die bepaling van de betrokken richtlijn en bijgevolg ook het begrip „onder het gezag” strikt worden uitgelegd [zie arrest van 17 februari 2011, The Number (UK) en Conduit Enterprises, C‑16/10, Jurispr. blz. I‑691, punt 31]. Een dergelijke uitlegging impliceert dat de dienstenaanbieder daadwerkelijk kan controleren of de cessionaris van de vorderingen de hem opgelegde voorwaarden voor de verwerking van verkeersgegevens naleeft.
Even verderop gaat het Hof nog iets verder, door te stellen dat de uitbestedende partij op elk moment moet kunnen controleren of het incassobureau zich aan de verplichtingen houdt:
27. (...) In het bijzonder moet de overeenkomst tussen de dienstenaanbieder die zijn vorderingen cedeert en de cessionaris daarvan bepalingen bevatten die de wettige verwerking van de verkeersgegevens door die laatste waarborgen en moet op grond van die overeenkomst de dienstenaanbieder zich op elk ogenblik ervan kunnen vergewissen dat de cessionaris die bepalingen naleeft.
Dat betekent dus dat in een bewerkersovereenkomst in de telecommunicatiesector niet alleen afspraken over beveiliging en geheimhouding moeten zijn opgenomen, maar ook afspraken over hoe de verantwoordelijke daadwerkelijk toezicht kan uitoefenen op de bewerker.
Ook buiten de telecomsector relevant?
Volgens het Hof van Justitie staan in de privacyrichtlijn "vergelijkbare bepalingen" (zie rechtsoverweging 25) en moet richtlijn 2002/58 worden uitgelegd tegen de achtergrond van de algemene privacyrichtlijn.
Het heeft er dan ook alle schijn van dat, hoewel de zaak formeel gezien alle betrekking heeft op de telecommunicatiesector, de hiervoor beschreven verplichtingen ook gelden voor het algemene privacyrecht. Daarin staat al dat de verantwoordelijk "moet toezien op de naleving van die [beveiligings]maatregelen" (artikel 17 lid 2 privacyrichtlijn). Naar ik aanneem zal in een volgend arrest van het Hof van Justitie dan ook een keer expliciet worden geoordeeld dat onder die bestaande toezichtsverplichtingen ook moet worden verstaan dat dit toezicht op ieder moment en daadwerkelijk kan worden uitgefeoend.
