Toegekende punten op een puntenrijbewijs mogen niet zomaar worden verwerkt. Deze gegevens vallen onder de extra strenge regels inzake strafrechtelijke gegevens. Wat strafrechtelijke gegevens zijn moet in de hele Europese Unie op dezelfde manier worden geïnterpreteerd. Letse wetgeving die het mogelijk maakte om de aan iemand toegekende punten op te vragen is in strijd met die strenge regels. Dit alles volgt uit een recente beslissing van het Hof van Justitie. Deze beslissing heeft ook gevolgen voor Nederland.
Aanleiding: kritiek op delen van strafpunten
De situatie die heeft geleid tot de uitspraak is overzichtelijk. Aan persoon B zijn strafpunten toegekend wegens verkeersovertredingen. Deze strafpunten staan aangetekend in het nationale Letse register van voertuigen en bestuurders. Aangezien in Letland dit register openbaar is, heeft iedereen deze gegevens kunnen opvragen. Persoon B stelt dat een dergelijk systeem zijn privacy schendt en start daarop een procedure voor de rechtbank in Letland.
Letse instanties overtuigd, alleen privacytoezichthouder twijfelt
In de procedure in Letland worden zowel het Letse Parlement, de directie verkeersveiligheid en de Letse privacytoezichthouder gehoord.
Het Letse parlement benadrukt dat het inderdaad de bedoeling is dat de gegevens vrij opgevraagd kunnen worden nu dit de verkeersveiligheid zou verbeteren en het ook aansluit bij het grondwettelijke recht op toegang tot informatie.
De directie verkeersveiligheid benadrukt dat de wet geen beperkingen stelt aan het gebruik van de informatie. Er zijn contracten met commerciële aanbieders gesloten waarin is vastgelegd dat deze aanbieders niet meer informatie mogen tonen dan de informatie die is verkregen uit het register. Net als bij het parlement lijkt absoluut geen sprake van twijfel of het systeem als zodanig rechtmatig is.
De privacytoezichthouder geeft wel aan te twijfelen of de noodzaak voor het systeem wel is aangetoond en of het systeem wel proportioneel is.
Letse rechter stelt vragen
De Letse rechter vraagt zich af of het systeem van openbaarmaking van de punten wel is te verenigen met de AVG. De rechter vraagt dan ook aan het Hof van Justitie uitleg over de AVG.
Meer specifiek vraagt de rechter zich onder meer af of de verstrekking van de gegevens niet haaks staat op het verbod in de AVG op de verwerking van strafrechtelijke gegevens en of de wetgeving die dit toestaat niet in strijd is met beginselen uit de AVG.
Om welke gegevens gaat het?
Het is wat zoeken in de uitspraak om welke gegevens het nu precies gaat. Gelet op wat onder meer in overweging 42 en 43 staat vermeld vermoed ik echter dat zowel de overtreding als het daarvoor toegekende aantal punten in het register worden vermeld (en ik vermoed op grond van logica ook een veld als datum).
Hof: AVG is van toepassing
Het Hof moet eerst de vraag beantwoorden of de AVG wel speelt. Daar is het Hof echter snel klaar mee: het verstrekken van gegevens over de punten is een verwerking van persoonsgegevens.
Bovendien zijn de uitzonderingen uit de AVG niet van toepassing: de meeste uitzonderingen moeten heel strikt worden geïnterpreteerd. De enige uitzondering met enig raakvlak gaat over de verwerking in het kader van opsporing en vervolging en juist dat speelt niet bij openbaarmaking van dit soort gegevens. De AVG is dus 'gewoon' van kracht.
Hof: bescherming strafrechtelijke gegevens dient hoog doel
Vervolgens benadrukt het Hof het belang van het verbod op het verwerken van strafrechtelijke gegevens. Het hof spreekt over gegevens met een "bijzondere gevoeligheid" die "in zeer ernstige mate inbreuk kunnen maken" op grondrechten. Strafrechtelijke gegevens kunnen namelijk "aanleiding geven tot maatschappelijke afkeuring, zodat het feit dat toegang wordt verleend tot dergelijke gegevens de betrokkene kan stigmatiseren en aldus op ernstige wijze inbreuk kan maken op zijn privé- of beroepsleven."
Hof: Europees uitleggen wat strafrechtelijke gegevens zijn
Het Hof benadrukt dat begrippen uit de AVG, tenzij naar nationaal recht wordt verwezen, in beginsel in de hele Unie autonoom en uniform moeten worden uitgelegd (r/o 81). Het moet niet zo zijn dat de bescherming die de AVG biedt van land tot land verschilt omdat er verschillend naar verkeersovertredingen wordt gekeken (r/o 83).
Het Hof geeft drie criteria om te beoordelen of een strafbaar feit van strafrechtelijke aard is. Daarbij geeft het Hof ook direct wat kanttekeningen, die ik in onderstaand schema direct verwerk:
- juridische kwalificatie naar nationaal recht;
- kanttekening 1: die kwalificatie is niet doorslaggevend (immers: Europees uniform interpreteren, zie r/o 80-82);
- kanttekening 2: zelfs feiten die naar nationaal recht niet strafrechtelijk van aard zijn, kunnen dat in EU-verband wel zijn (zie r/o 88);
- aard van het strafbare feit: de sanctie moet een repressief doel dienen (eventueel ook preventief), doch niet louter reparatoir (zie r/o 89);
- zwaarte van de sanctie
- opmerking: het Hof is niet heel helder wat "zwaar genoeg" is, maar alles overwegend lijkt dit een lage drempel, zeker ook gelet op de verwijzing naar het EHRM dat in beginsel verkeersovertredingen als strafrechtelijk ziet.
Vervolgens concludeert het Hof dat gegevens over verkeersovertredingen die kunnen leiden tot toekennen van strafrechten in ieder geval vallen onder het verbod van artikel 10 AVG (r/o 93). In het dictum formuleert het Hof het zelfs nog iets ruimer, door te bepalen dat artikel 10 AVG "van toepassing is op de verwerking van persoonsgegevens die betrekking hebben op strafpunten die aan bestuurders van voertuigen zijn toegekend wegens verkeersovertredingen".
De verwerking van gegevens over de strafpunten valt dus onder het verbod uit de AVG. Daarmee is de kwestie echter nog niet af, want de AVG bepaalt dat nationale wetgeving de verwerking toch kan toestaan.
Hof: AVG biedt ruimte voor nationale regelingen, mits ze voldoen aan de AVG
Het Hof van Justitie komt daarop toe aan het onderzoeken van de Letse wetgeving. De Letse rechter had daarover een vrij specifieke vraag gesteld, maar het Hof leest daarin de bredere vraag of die wetgeving wel te verenigen is met de AVG (r/o 97).
Het Hof benadrukt daarop dat iedere verwerking moet voldoen aan de beginselen die vastliggen in artikel 5 en 6 AVG (r/o 97). Het Hof benadrukt echter ook dat de AVG aan nationale lidstaten ook veel ruimte laat, nu diezelfde beginselen geen harde verboden kennen (r/o 103-104). Sterker nog, privacy is niet absoluut en moet worden afgewogen tegen andere grondrechten (r/o 105). Wel is het zo dat inbreuken op de privacy moeten voldoen aan strikte eisen van noodzakelijkheid en voorzienbaarheid (r/o 105). Daarbij moet ook worden getoetst op proportionaliteit, subsidiariteit en evenredigheid (r/o 106).
Daarop komt het Hof aan de meer inhoudelijke toets. Het Hof stelt vast dat het verbeteren van de verkeersveiligheid op zichzelf een door de Unie erkend doel is (r/o 108). Dat doel moet dan echter wel op de meest privacyvriendelijke wijze worden nagestreefd (r/o 109-110). In andere lidstaten worden hele andere maatregelen getroffen en Letland lijkt die andere routes niet eens onderzocht te hebben (r/o 111). Bovendien blijkt nergens uit dat het ingevoerde systeem werkt (r/o 116). Dat hiermee notoire overtreders beter in beeld komen kan onder omstandigheden zinvol zijn, maar rechtvaardigt nog niet de openbaarmaking van hun gegevens (r/o 114). Bovendien maakt het systeem ook helemaal geen onderscheid tussen gewone en notoire overtreders (r/o 115). Dit terwijl de gegevens de bestuurders ernstig kunnen stigmatiseren (r/o 112-113).
De nationale wet voldoet dus niet aan de basisprincipes van de AVG. Het verstrekken van de gegevens is dus niet toegestaan.
Vertaling naar Nederland
In Nederland zijn gegevens over verkeersovertredingen niet op te vragen door het publiek. In die zin is het arrest niet direct op onze praktijk toepasbaar. Er zitten echter genoeg interessante aspecten aan het arrest die maken dat ik het toch behandel.
Het Hof geeft een ruime, beste laagdrempelige uitleg, aan het begrip strafrechtelijke persoonsgegevens. Toegekende strafpunten, althans de daaraan ten grondslag liggende gegevens over overtredingen, vallen hier (al) onder.
Die grens ligt dus (veel) lager dan tot op heden in Nederlands rechtspraak werd aangenomen. Naar Nederlands recht werd immers onder strafrechtelijke gegevens veelal verstaan “zodanig concrete feiten en omstandigheden dat zij een als strafbaar feit te kwalificeren bewezenverklaring (…) kunnen dragen.”. Een enkele aangifte of iets dergelijks was hiervoor onvoldoende.
Ik vraag me af of dit Nederlandse kader dus houdbaar is. De huidige uitspraak laat immers zien dat het enkele feit dat een delict is begaan waarop een strafpunt staat al onder het begrip valt. De hoge drempel van voldoende feiten en omstandigheden om te kunnen komen tot een bewezenverklaring wordt niet gesteld (=o.a. meerdere bewijsmiddelen, voldoen aan alle delictbestanddelen, etc.). Wel lijkt bij het HvJEU het mogelijke gevolg voor de betrokkene zwaar te wegen (en daarvoor de aard van het delict althans de kans op stigmatisering weer mee te wegen).
Dit roept de vraag op hoe om te gaan met bijvoorbeeld iets ogenschijnlijk simpels als het vastleggen van de bewering van een klant dat hij/zij krap bij kas zit vanwege het betalen van veel boetes. Of denk aan het verhalen van verkeersboetes op leaserijders. Het lijkt verstandig in ieder geval niet vast te leggen wat de achtergrond van die boetes was.
Opmerkelijk is overigens verder dat Nederland een eigen draai geeft aan het begrip strafrechtelijke persoonsgegevens. Volgens de UAVG vallen hier niet alleen de gegevens als bedoeld in artikel 10 AVG onder, maar ook de “persoonsgegevens betreffende een door de rechter opgelegd verbod naar aanleiding van onrechtmatig of hinderlijk gedrag” (zie artikel 1 UAVG). Ook dit lijkt lastig vol te houden gelet op de uniforme uitleg die het HvJEU aan het begrip geeft (in samenhang met het beginsel van vrije uitwisseling van gegevens binnen de EU).
Een ander aspect dat opvalt aan deze zaak is de directe toetsing van de nationale wetgeving aan de beginselen uit de AVG. Dit is nog niet zo vaak voorgekomen. Het HvJEU legt de lat echter hoog; de eisen die aan nationale wetgeving worden gesteld die zien op de verwerking van persoonsgegevens zijn streng. Tegelijkertijd is ook fraai om te zien dat het Hof het beginselkarakter van de AVG benadrukt: binnen de kaders die de beginselen stellen is er veel ruimte voor lidstaten om te komen tot een eigen invulling met eigen wetgeving. Het ligt wel voor de hand dat het Hof dit laatste steeds strikter en "Europeser" gaat interpreteren (zoals we het EHRM ook op thema's hebben zien doen door de decennia heen), vermoedelijk met uitzondering van (althans meer terughoudendheid bij) die bepalingen in de AVG waar expliciet ruimte wordt gelaten aan nationale wetgeving.
Ten slotte
Heeft u vragen over het privacyrecht? Neem gerust contact op.
