Het Hof van Justitie van de EU heeft op 24 februari 2022 geoordeeld dat de belastingdienst 'gewoon' onder de regels van de AVG valt. Dat betekent ook dat de Belastingdienst alle beginselen uit de privacywet moet volgen. Beperkingen daarop mogen alleen bij wet zijn gesteld en een dergelijke wet moet voldoen aan strenge criteria uit de AVG. De belastingdienst mag best in bulk gegevens opvragen in het kader van de opsporingstaak, maar dat moet dan wel op proportionele wijze en binnen de kaders van de wet gebeuren. De kwestie ging hier over de Letse belastingautoriteit, maar de overwegingen en strenge regels zijn in feite voor zeer veel Nederlandse overheidsinstanties / bestuursorganen relevant.
Fiscus wil gegevens internetportaal
De kwestie zelf is overzichtelijk en kort samen te vatten. Zoals hierna blijkt is de juridische kant van de kwestie echter nog best veelomvattend.
Het gaat hier om een kwestie in Letland. De Letse belastingautoriteit vroeg bij een internetbedrijf dat een advertentieportaal exploiteert gegevens op over de in een bepaalde periode op het portaal aangeboden auto's. Daarbij werden ook de telefoonnummers van de verkopers opgevraagd. De Letse belastingdienst wilde de gegevens in een digitaal en eenvoudig doorzoekbaar formaat ontvangen. Die verstrekking zou vervolgens vanaf dat moment iedere maand opnieuw automatisch moeten worden herhaald.
Internetbedrijf roept AVG in, maar eerst nog zonder succes
Het internetbedrijf verzette zich tegen dit verzoek. Volgens het internetbedrijf was het verzoek niet in overeenstemming met het principe van evenredigheid en minimale verwerking van persoonsgegevens uit de AVG/GDPR.
De Letse belastingdienst verwierp dit bezwaar door simpelweg te stellen dat zij wettelijk bevoegd is de gegevens op te vragen.
Toen het internetbedrijf naar de rechter ging, gaf de rechter de fiscus gelijk. Volgens de rechter is de AVG inderdaad niet van toepassing is was de fiscus bevoegd de gegevens op te vragen, zolang dit maar bleef binnen de kaders van de belastingwetten.
Hoger beroep rechter verwijst kwestie naar Luxemburg
Het internetbedrijf laat het er echter niet bij zitten en stelt hoger beroep in. Kennelijk is het een vrij principiële kwestie. Dat kan ik ook wel plaatsen, want in feite wordt het internetbedrijf gedwongen een automatisch en ongefilterde lijntje naar de fiscus te creëren. Het is te begrijpen dat het internetbedrijf daar paal en perk aan wil stellen.
In hoger beroep erkent de fiscus volgens de hoger beroep rechter dat het verzoek om gegevens samenhangt met een verwerking van persoonsgegevens. De hoger beroep rechter heeft echter vragen over wat dit betekent voor de kwestie. Zo vraagt de verwijzende rechter zich af hoe om te gaan met de beginselen uit de AVG, hoe de AVG samenhangt met lokaal recht en hoe om te gaan met wat grofmazig geformuleerde (bulk) verzoeken. Er worden dan ook vragen gesteld aan het Hof van Justitie in Luxemburg.
HvJEU: fiscus valt gewoon onder AVG
Het Hof van Justitie begint de beantwoording met de vaststelling dat de AVG van toepassing is op een kwestie als deze. De redenering van het Hof kan vrij eenvoudig worden samengevat:
- de AVG is van toepassing op het verwerken van persoonsgegevens;
- het staat vast dat onder de gevraagde gegevens zich persoonsgegevens bevinden (dat wordt door partijen niet betwist);
- het begrip 'verwerken' moet ruim worden uitgelegd, het verstrekken en ter beschikking stellen van persoonsgegevens valt daar zeker onder;
- de belastingdienst valt niet onder de specifieke regels voor politie en justitie, nu het begrip "bevoegde autoriteit" moet worden begrepen in het licht van de bescherming van persoonsgegevens op het gebied van justitiële samenwerking in strafzaken en politiële samenwerking terwijl:
- belastinginning en bestrijding van belastingfraude niet onder dat bereik vallen; en
- er ook geen signaal is dat de gegevens nu al worden verzameld met als specifiek doel strafvervolging in te stellen.
Het verwerken van persoonsgegevens door de fiscus valt dus 'gewoon' onder de AVG. Dat betekent ook dat de regels van de AVG onverkort van toepassing zijn. Daarover gaat vervolgens het vervolg van het arrest.
HvJEU: AVG beoogt hoog niveau bescherming, beperkte uitzonderingen
Het Hof vervolgt met de overweging dat de AVG een hoog niveau van bescherming beoogt (r/o 49). De beginselen van artikel 5 moeten daartoe altijd worden geëerbiedigd (r/o 50).
Er kunnen volgens artikel 23 AVG wel bij wet beperkingen op artikel 5 worden gesteld. Het Hof wijst er op dat dit niet per se een nationale wet hoeft te zijn (r/o 52), maar dat - nu bescherming van privacy een grondrecht is - de wet wel zelf de rechtsgrond en de reikwijdte van de inmenging precies moet bepalen (r/o 54). Er zijn dan ook duidelijke en nauwkeurige regels vereist die voldoende waarborgen voor de betrokkene bevatten om deze tegen misbruik te beschermen (r/o 55). Die strikte regels voor inbreuken op grondrechten moeten ook gelden voor artikel 23 AVG. Een uitzondering op de regels van de AVG veronderstelt dat betrokkene uit de wet kan "vaststellen onder welke omstandigheden en voorwaarden de reikwijdte van de hun door deze verordening verleende rechten kan worden beperkt". (r/o 56).
Dat betekent dat de belastingdienst niet mag afwijken van de AVG, tenzij er een nationale wet is die dat afwijken toestaat en die voldoet aan dit strikte criterium.
HvJEU: verzoek fiscus om gegevens moet toetsbaar zijn en ook getoetst worden
Vervolgens behandelt het Hof gebundeld de vragen van de Letse rechter over, vrij vertaald, hoe nu om te gaan met het bulkkarakter van de verzoeken. De Letse fiscus had immers best grofmazig/ongefilterd om gegevens verzocht.
Het benadrukt daarbij allereerst dat er twee verwerkingen van persoonsgegevens te onderscheiden zijn:
- de verzameling door de fiscus;
- de verstrekking door het internetbedrijf aan de fiscus.
Beide verwerkingen moeten voldoen aan de AVG.
Een van de principes uit de AVG is dat van doelbepaling en doelbinding (artikel 5 lid 1 sub b AVG). Het Hof benadrukt dat dit beginsel impliceert dat uiterlijk bij de verzameling van de persoonsgegevens het verzameldoel moet vaststaan (r/o 64) en dat deze doeleinden ook zijn omschreven / geformuleerd (r/o 65). De doelen moeten bovendien gerechtvaardigd zijn, hetgeen betekent dat er een grondslag moet zijn in de zin van artikel 6 AVG (r/o 66).
De fiscus zal gelet op het voorgaande bij het doen van een verzoek om gegevens de verwerkingsdoelen daarin moeten vermelden (r/o 68). Dit lijkt een overweging in algemene zin, ongeacht wat de grondslag voor de verwerking is.
Een rechtmatige grondslag kan de uitvoering van een taak van algemeen zijn in de zin van artikel 6 lid 1 sub e AVG. Mits die taak daadwerkelijk voortvloeit uit de wet en mits de verwerking beperkt blijft tot het voor die taak noodzakelijke, kan een overheidsorgaan ook zonder expliciete wettelijke grondslag persoonsgegevens opvragen. Zo begrijp ik althans uit de deels wat lastig leesbare overwegingen 69-71. Bij een verzoek om gegevens op die grond moeten de doeleinden (en kennelijk ook de publieke taak) wel in het verzoek worden vermeld, zodat degene aan wie het verzoek is het gericht (hier: het internetbedrijf) en later de rechter dit kan toetsen (r/o 71).
Verderop in het arrest benadrukt het Hof dat op de verwerkingsverantwoordelijke de verantwoordingsplicht rust om aan te kunnen tonen dat de beginselen van artikel 5 worden nageleefd (r/o 77). Dat impliceert m.i. dat de partij die een verzoek ontvangt om gegevens te verstrekken (hier: het internetbedrijf) het verzoek zelfs moet toetsen alvorens tot verstrekking over te gaan.
HvJEU: AVG principes staan haaks op grofmazige bulk-verzoeken
Vervolgens wijst het Hof op een tweede principe uit de AVG, namelijk dat van enerzijds borgen dat toereikende en ter zake dienende persoonsgegevens worden verwerkt doch anderzijds het beperken van de verwerking tot het strikt noodzakelijke (artikel 5 lid 1 sub c AVG). Vrij vertaald: het gaat om de juiste balans, zowel bij het verwerken van te veel als bij het verwerken van te weinig persoonsgegevens kunnen immers verkeerde conclusies over personen worden getroffen.
Dat principe, samengenomen met het principe dat uitzonderingen op het grondrecht van gegevensbescherming strikt moeten worden geïnterpreteerd, maakt dat persoonsgegevens niet in bulk mogen worden verzameld. Dat geldt ook voor bestuursorganen die handelen in het kader van een publieke taak (r/o 74). De Letse rechter zal dus moeten toetsen of het verzoek van de fiscus om gegevensverstrekking niet toe te spitsen is op bepaalde (zoek)criteria (r/o 76). Het Hof benadrukt daarbij nog eens dat iedere verwerkingsverantwoordelijke, dus ook de Letse fiscus, moet kunnen verantwoorden dat de principes van de AVG worden nageleefd (r/o 75) en daarmee dus ook dat de verzameling van persoonsgegevens is beperkt tot het strikt noodzakelijk (r/o 78).
Ook het tijdvak waarbinnen gegevens moeten worden verstrekt zal beperkt moeten zijn tot het noodzakelijke (r/o 79/80) en ook daarvoor ligt de bewijslast bij de Letse fiscus (r/o 81). Wel stelt het Hof dat het enkele feit dat er geen temporele grenzen aan de verstrekking zijn gesteld niet per definitie maakt dat de verstrekking onrechtmatig zou zijn (r/o 83).
De conclusie die de Letse rechter nog zal moeten trekken laat zich gelet op dit strenge kader wel raden....
HvJEU: wettelijke regelingen moeten precies zijn
Op het slot van het arrest gaat het Hof weer terug naar verstrekkingen op grond van een wettelijke plicht (zo begrijp ik het althans). In r/o 83 en 84 wordt immers weer teruggegrepen op "nationale regeling (...) als in het hoofdgeding aan de orde".
(Of het Hof bedoelt hier terug te grijpen op afwijkende wetgeving als bedoeld in artikel 23 AVG zoals eerder in de uitspraak behandeld, dat kan ook)
Het Hof benadrukt dat een wettelijke regeling die verplicht tot het verwerken van persoonsgegevens:
duidelijke en nauwkeurige regels moet bevatten over de reikwijdte en de toepassing van de betrokken maatregel en minimumvereisten moet opleggen, zodat degenen van wie de persoonsgegevens worden verwerkt, over voldoende waarborgen beschikken dat die gegevens doeltreffend worden beschermd tegen het risico van misbruik. Die regeling moet wettelijk verbindend zijn naar intern recht en in het bijzonder aangeven in welke omstandigheden en onder welke voorwaarden een maatregel die voorziet in de verwerking van dergelijke gegevens kan worden genomen, en aldus waarborgen dat de inmenging tot het strikt noodzakelijke wordt beperkt
Een regeling inzake een verzoek om informatie moet aldus volgens het Hof voorzien in objectieve criteria om te bepalen wanneer persoonsgegevens moeten worden doorgegeven.
HvJEU: drie verklaringen voor recht
Al het voorgaande leidt uiteindelijk tot driemaal een verklaring voor recht. Mijn eigen vrije samenvatting daarvan is als volgt:
- De fiscus is bij het verzamelen van persoonsgegevens aan de AVG gebonden.
- De fiscus mag alleen van de AVG afwijken wanneer er een nationale wet is die dat toestaat (en die wet voldoet aan de strikte criteria van artikel 23 AVG);
- De fiscus mag wel in bulk gegevens opvragen, maar dat opvragen moet wel voldoen aan de eisen van de AVG (zoals noodzakelijkheid, doelbinding en tijdsbeperking).
Of in de woorden van het Hof:
1) Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG (algemene verordening gegevensbescherming) moet aldus worden uitgelegd dat het verzamelen van informatie die een aanzienlijke hoeveelheid persoonsgegevens inhoudt waartoe de belastingautoriteit van een lidstaat overgaat bij een marktdeelnemer, onderworpen is aan de vereisten van deze verordening, in het bijzonder die van artikel 5, lid 1, ervan.
2) Verordening 2016/679 moet aldus worden uitgelegd dat de belastingautoriteit van een lidstaat niet mag afwijken van artikel 5, lid 1, van deze verordening wanneer haar een dergelijk recht niet is toegekend bij een wetgevingsmaatregel in de zin van artikel 23, lid 1, van die verordening.
3) Verordening 2016/679 moet aldus worden uitgelegd dat zij zich er niet tegen verzet dat de belastingautoriteit van een lidstaat een aanbieder van internetadvertentiediensten verplicht om haar informatie te verstrekken over de belastingplichtigen die advertenties in een van de rubrieken van zijn internetportaal hebben geplaatst, mits de betrokken gegevens met name noodzakelijk zijn voor de specifieke doeleinden waarvoor zij worden verzameld en het tijdvak gedurende hetwelk die gegevens worden verzameld niet langer is dan strikt noodzakelijk om de doelstelling van algemeen belang te verwezenlijken.
Slotopmerking
Het HvJEU is enerzijds streng en strikt, doch biedt anderzijds (enige) ruimte inzake de interpretatie van de grondslag publieke taak (sub e). Zo begrijp ik het althans na eerste lezing (het is en blijft een blogje, ik schrijf dit in een uurtje of zo).
Voor bestuursorganen zitten er mogelijk nog wel wat voetangels en klemmen in het arrest. Op dit moment is het zo dat de bevoegdheden van bestuursorganen in het kader van handhaving en toezicht vrij breed en ruim zijn geformuleerd in hoofdstuk 5 van de Algemene wet bestuursrecht. Weliswaar staat ook nu al in de wet dat die bevoegdheden moeten worden beperkt tot het noodzakelijke (vgl. artikel 5:13 Awb), maar dat laat onverlet dat de bevoegdheden zelf heel breed geformuleerd zijn. Het is maar zeer de vraag of die brede, algemeen geformuleerde bepalingen voldoende precies zijn als bedoeld in deze uitspraak. Ik waag dat te betwijfelen. Dat zou kunnen betekenen dat bestuursorganen bij het opvragen van persoonsgegevens in het kader van handhaving en toezicht wat meer in de verdediging/verantwoording geduwd worden en meer richting de grondslag van sub e (uitvoering publieke taak). Zij zullen dan preciezer moeten formuleren wat ze nodig hebben en waarom ze dat nodig hebben en dat aan de bezitter van de persoonsgegevens moeten kunnen uitleggen. En let wel: het bestuursorgaan is vervolgens, gelet op de regels van doelbinding, gebonden aan dat zelfgeformuleerde verzameldoel bij verdere verwerking.
Hierdoor ontstaat mogelijk de wat complexe situatie dat de Autoriteit Persoonsgegevens (mede) bevoegd wordt om handhavend op te treden bij bestuurlijk toezicht. Mocht een bestuursorgaan te ver gaan in het opvragen van persoonsgegevens, dan kan immers zowel (i) in de handhavingsprocedure worden betoogd dat de opgevraagde gegevens niet mogen worden gebruikt omdat daarmee de privacy is geschonden als (ii) daarnaast worden betoogd dat de verwerking van persoonsgegevens bij de handhaving door het bestuursorgaan getuigt van een schending van de AVG.
Verder doet de nadruk van het Hof op de principes van de AVG, ook al wordt een legitiem doel gediend, denken aan andere wetgevingsinitiatieven. Zo is de Wet gegevensverwerking door samenwerkingsverbanden op dit moment aanhangig bij de Eerste Kamer. Die wet beoogt gegevensuitwisseling in samenwerkingsverbanden gemakkelijker te maken. De wet kwam vrij geruisloos door de Tweede Kamer; de Eerste Kamer is echter opvallend kritisch (met de eis om nader advies, publieke behandeling, etc.). Die wet dient weliswaar best legitieme doelen (fraudebestrijding en dergelijke), maar het is maar zeer de vraag of de criteria en de grenzen die deze wet stelt aan, alsmede de waarborgen tegen, de (veelal verplichte!) gegevensverstrekking wel voldoen aan de legaliteitseisen die het Hof in dit arrest (andermaal) benadrukt. Tegenstanders van die wet hebben naar mijn idee weer een extra argument in handen.
Nou ja, over dit arrest is vast het laatste woord nog niet gezegd. We blijven het volgen.
Vragen over privacy?
Heeft u vragen over het privacyrecht? Neem gerust contact op.
