Het Hof van Justitie heeft op 10 juli 2018 een arrest gewezen over het naleven van privacyrecht door Jehova getuigen. Het arrest heeft ook voor andere organisaties gevolgen (denk aan huis-aan-huis verkoop, maar bijv. ook werkgevers). Diverse begrippen uit het privacyrecht worden namelijk (wederom) ruim uitgelegd. Een korte analyse.
De achtergronden
In Finland heeft de Finse privacyautoriteit een bevel gegeven aan Jehova's getuigen om bij de van-huis-tot-huisverkondiging door haar leden het privacyrecht na te leven.
De Jehova's getuigen betwisten dat zij persoonsgegevens verwerken. Zij stellen dat hooguit de leden zelf persoonlijke aantekeningen bijhouden. Die leden zelf zouden zich kunnen beroepen op de uitzondering in het privacyrecht voor persoonlijk en huishoudelijk gebruik.
In eerste instantie winnen de Jehova's getuigen een rechtszaak. De toezichthouder gaat echter in hoger beroep.
De hoogste Finse rechter stelt onder meer vast dat de Jehova's getuigen instructies geven aan hun leden voor het langs de deur gaan. Daarbij worden ook sjablonen e.d. voor het maken van aantekeningen verstrekt. Eventuele aantekeningen worden louter analoog gemaakt. De organisatie coördineert welke leden waar langs de deur gaan en houdt lijsten bij van adressen die bezoek niet op prijs stellen. De Jehova's getuigen (als organisatie) benadrukken echter ook dat zij niet van haar leden verlangt dat er gegevens worden verzameld en als er al gegevens worden verzameld, dat zij die niet kent.
De hoogste Finse rechter stelt diverse vragen aan de hoogste Europese rechter (Hof van Justitie) hoe met de kwestie om te gaan.
HvJ: huishoudelijk gebruik is maar heel beperkt
Het Hof van Justitie benadrukt allereerst dat het privacyrecht bedoeld is om een hoog niveau van bescherming te waarborgen. De wet kent maar heel weinig uitzonderingen op die hoofdregel.
Een van de uitzonderingen is die voor "persoonlijk of huishoudelijk gebruik". Deze uitzondering is echter heel beperkt. Zo merkt het Hof op:
In dit verband kan een activiteit niet als een met uitsluitend persoonlijke of huishoudelijke doeleinden verrichte activiteit in de zin van die bepaling worden beschouwd wanneer zij erin bestaat, persoonsgegevens voor een onbepaald aantal personen toegankelijk te maken, of wanneer deze activiteit – zelfs gedeeltelijk – de openbare ruimte bestrijkt en daardoor is gericht op de sfeer buiten de privésfeer van degene die de gegevens verwerkt.
Vervolgens constateert het Hof:
- dat de van-huis-tot-huisverkondiging naar de aard ervan tot doel heeft het geloof van de gemeenschap van Jehova’s getuigen te verkondigen aan personen die niet tot het gezin van de leden-verkondigers behoren. Deze activiteit is dus gericht op de sfeer buiten de privésfeer van de leden-verkondigers.
- dat er kennelijk centraal lijsten worden bijgehouden van mensen die niet bezocht willen worden, hetgeen impliceert dat er toch enige gegevensuitwisseling met de centrale organisatie plaatsvindt;
- dat weliswaar grondrechten het belijden en verkondigen van geloof beschermen, maar dat die nog niet maakt dat daarmee de verkondiging een uitsluitend huishoudelijke of persoonlijke activiteit is.
De jehova's getuigen kunnen zich dus niet beroepen op de uitzondering voor huishoudelijk of persoonlijk gebruik.
Met name het criterium dat het Hof geeft is voor de bredere praktijk relevant: zodra een verwerking van persoonsgegevens in de openbare ruimte plaatsvindt of ziet op een onbepaald aantal personen, dan gaat de uitzondering voor persoonlijk gebruik al niet meer op.
HvJ: ook analoge verwerkingen vallen heel snel onder privacyrecht
Vervolgens komt de vraag op of het privacyrecht wel van toepassing is op de analoge aantekeningen die door de leden van de Jehova's getuigen worden gemaakt.
Een korte opfrisser tussendoor. Het privacyrecht (ook de huidige AVG) is van toepassing in twee situaties:
- alle digitale verwerkingen;
- analoge verwerkingen alleen voor zover de gegevens zijn opgenomen in een bestand of bestemd zijn daarin opgenomen te worden.
De vraag is dus of de aantekeningenboekjes e.d. kwalificeren als "bestand".
Het Hof benadrukt dat het begrip "bestand" ruim is omschreven en dat eigenlijk de enige eis is dat de gegevens (enigszins) gestructureerd zijn opgeslagen. De wijze van precieze opslag is irrelevant. Bepalend is of "persoonsgegevens gemakkelijk kunnen worden teruggevonden".
Vervolgens stelt het Hof vast dat de gegevens worden verwerkt in het kader van een gestructureerde aanpak om het geloof te verkondigen. Ook worden de lijsten van mensen die niet bezocht willen worden bijgewerkt op basis van deze gegevens.
Het ligt dus voor de hand dat de Finse rechter zal vaststellen dat de gegevens wel degelijk in een bestand zijn opgenomen.
Deze tweede vaststelling is, in combinatie met de volgende, voor de praktijk zeer relevant.
HvJ: organisatie verantwoordelijk voor de verwerkingen
De laatste vraag is of de organisatie verantwoordelijk is voor de gegevensverwerking door haar leden. Die vraag is met name relevant omdat de organisatie niet alle gegevens ontvangt
Het Hof herhaalt dat het begrip "verantwoordelijke" kan zien op meerdere (rechts)personen. En gezamenlijke verantwoordelijkheid impliceert niet dat iedere partij voor 100% van de verwerking aansprakelijk is. Met andere woorden: je valt snel onder het begrip "verantwoordelijke", maar of alle (gevolgen van) verwerkingen dan ook toerekenbaar zijn aan iedere betrokken partij is een tweede vraag.
Schriftelijke instructies zijn niet vereist om van verantwoordelijkheid te kunnen spreken. Het gaat er (slechts) om welke partij(en) deelnemen aan de vaststelling van doel en middelen van de verwerking.
Voor gezamenlijke verantwoordelijkheid is het bovendien niet noodzakelijk dat iedere partij ook daadwerkelijk toegang heeft tot de gegevens.
Het Hof constateert vervolgens dat de gemeenschap haar leden aanmoedigt en dat de verwerking ook met name het doel van de gemeenschap dient. De gemeenschap coördineert de verwerking ook en heeft daar ogenschijnlijk als enige belang bij. Hoewel het uiteindelijk aan het Finse gerecht is om vast te stellen wie er verantwoordelijk is (of zijn), lijkt het voor de hand te liggen dat deze verantwoordelijkheid bij de gemeenschap wordt gelegd.
Opmerkelijk is dan echter weer wel dat het Hof afsluit met de conclusie dat "een geloofsgemeenschap samen met haar leden-verkondigers" verantwoordelijke is. Het Hof lijkt dus, ondanks de vingerwijzing richting de kerk, uit te gaan van gezamenlijke verantwoordelijkheid. Dit zou betekenen dat ieder afzonderlijk kerklid ook aansprakelijk is te houden voor de eventuele privacyschendingen van de kerk en/of de kerkleden (zij het dat het Hof ook lijkt aan te nemen dat niet iedere claim altijd toe te rekenen zal zijn aan iedere deelgenoot, zie hiervoor).
Slotopmerking
De laatste twee onderwerpen samen bezien betekent voor de praktijk veel. Organisaties zijn niet alleen verantwoordelijk voor de persoonsgegevens die zij in centrale systemen laten verwerken, maar ook voor meer informele aantekeningen van hun werknemers (mits enigszins gestructureerd). Die gegevens moeten dus evengoed goed worden beveiligd en bij bijvoorbeeld een inzageverzoek in de analyse worden meegenomen. Een leuke uitdaging voor de praktijk.
Eigen initiatieven van personen om bepaalde persoonsgegevens voor hun organisatie te verwerken kunnen zich bovendien tegen die personen keren, in die zin dat dit hen mogelijk (mede)verantwoordelijk maakt voor die persoonsgegevensverwerkingen. Een nieuwe uitdaging voor werkgevers, zeker gelet op de ruime (doch ook wel genuanceerde) werkgeversaansprakelijkheid.
Verder is een instructie om persoonsgegevens niet te delen op zichzelf niet voldoende om onder het privacyrecht uit te komen.
Een belangrijk arrest dus voor de praktijk, dat met name bij meerpartijenverhoudingen waarschijnlijk vaak zal moeten worden geraadpleegd.
Heeft u vragen over het privacyrecht? Neem dan gerust contact op met mij of een van de andere leden van het privacyteam.
