Vermelding in faillissementsverslagen
De aanleiding voor de uitspraak is heel overzichtelijk. Een onderneming gaat in 2010 failliet. Op de website van de curator wordt een verslag gepubliceerd. In dat verslag zijn gegevens over één van de werknemers te lezen.
Handhavingsverzoek bij AP afgewezen
Deze man is daarover niet te spreken en verzoekt de Autoriteit Persoonsgegevens (AP) handhavend op te treden tegen de curator en tegen de Staat der Nederlanden.
De AP wijst het verzoek af, omdat volgens de AP niet voldaan is aan de criteria van het handhavingsbeleid en overigens er geen sprake lijkt te zijn van een overtreding van de wet. De man gaat daartegen in bezwaar (bij de AP), en vervolgens in beroep (bij de rechtbank) en hoger beroep (bij de Raad van State).
Beroep en hoger beroep: individuele verzoeken in behandeling?
Tijdens de behandeling van het beroep en het hoger beroep speelt de (principiële) discussie of de Autoriteit wel of geen individuele verzoeken in behandeling neemt.
Tot aan het hoger beroep nam de AP het standpunt in dat burgers in een individueel geval zelf rechtsmiddelen moeten instellen. In een laat stadium in het hoger beroep wijzigt dit standpunt opeens. De AP licht dan opeens toe dat ook individuele verzoeken tot handhaving of andere (meer informele) acties kunnen leiden.
De eerdere afwijzing van het verzoek tot handhaving was dus slecht voorbereid en slecht gemotiveerd. De man krijgt in zoverre dus gelijk in de procedure. Zoals hierna zal blijken is dit echter een pyrrusoverwinning.
Raad van State: huidige beleid in overeenstemming met de richtlijn
Juist omdat de Autoriteit Persoonsgegevens in hoger beroep heeft toegelicht dat er wel degelijk soms ook in individuele gevallen actie wordt ondernomen, stelt de Raad van State vast dat het beleid van de AP niet in strijd is met de privacyrichtlijn:
11.1. Naar het oordeel van de Afdeling blijkt uit deze brief van de AP thans voldoende dat een verzoek om handhaving van een individu niet reeds om die reden niet in behandeling wordt genomen. De bewoordingen van de artikelen 4.1 en 4.2 van de Beleidsregels laten voorts aan de AP ruimte om in individuele gevallen over te gaan tot een onderzoek en, in het geval een overtreding wordt vastgesteld, tot handhaving. Gelet hierop is de Afdeling van oordeel dat het nuttig effect van het in de Privacyrichtlijn voorziene administratieve toezicht door de AP niet in gevaar komt.
De Autoriteit Persoonsgegevens is hier mogelijk door het oog van de naald gekropen. Dezelfde Raad van State stelde immers eerder in een vergelijkbare kwestie prejudiciële vragen over het handhavingsbeleid van de AP. Die vragen zijn destijds helaas voortijdig ingetrokken. Het lijkt er op dat de AP nu net op tijd heeft toegelicht dat het beleid wel degelijk ruimte laat voor handhaving in individuele gevallen. Ik vermoed dat er daardoor nu geen aanleiding is andermaal die vragen te stellen aan het Hof van Justitie.
Handhaving niet meer zinvol, want gegevens al van de site
De Raad van State stelt vervolgens vast dat de Autoriteit Persoonsgegevens had kunnen optreden tegen één website waarop de gegevens van de man onrechtmatig vermeld stonden. Ten tijde van het hoger beroep waren de gegevens echter niet meer op die website te vinden. De kwestie is dus ingehaald door de tijd en handhaving zou nou niet meer passend zijn.
Pyrrusoverwinning voor de man
De man krijgt dus meerdere punten het gelijk aan zijn zijde: (1) omdat de afwijzing van zijn handhavingsverzoek slecht onderbouwd was en (2) omdat er wel degelijk sprake was van een overtreding van de wet.
De kwestie is echter ingehaald door de tijd, zodat handhaving ondertussen zinloos zou zijn. De man wint dus uiteindelijk niets met zijn gelijk. Het enige voordeel van zijn (formele) gelijk is dat de Autoriteit Persoonsgegevens veroordeeld wordt (een deel van) de proceskosten en het griffierecht te betalen.
Wat had de man beter kunnen doen?
Het is makkelijk roepen vanaf de zijlijn, maar om het bericht af te maken meld ik toch maar even hoe de kwestie ook had kunnen lopen. De man had een verzoek tot correctie bij de websitehouder kunnen doen en vervolgens, bij het uitblijven van het gewenste resultaat, een verzoekschrift kunnen indienen bij de rechtbank (artikel 46 Wbp). Dat verzoekschrift hoeft niet per se door een advocaat ingediend te worden (artikel 46 lid 4 Wbp), dus burgers kunnen daarmee zelf aan de slag. Er is wel griffierecht verschuldigd, maar dat is nog geen 300 euro. Er kan aan de rechtbank worden verzocht bij een toewijzende veroordeling ook een dwangsom op te leggen (artikel 46 lid 5 Wbp), om zo de veroordeling kracht bij te zetten.
Het ligt voor de hand dat de betreffende websitehouder bij een dergelijke procedure veroordeeld was, tenzij de websitehouder gehoor zou hebben gegeven aan het correctieverzoek. De overtreding van de wet is immers al gegeven.
Welk risico lopen bedrijven en instellingen?
Bedrijven en instellingen die persoonsgegevens verwerken zien zich geconfronteerd met consumenten die zich steeds meer activistisch opstellen. Juist omdat de drempel om te procederen heel laag ligt (zie vorige alinea) en de toezichthouder burgers ook stimuleert om vooral zelf op te treden, bestaat het risico dan ook dat meer bedrijven en instellingen geconfronteerd worden met procedures over privacyrecht.
De meeste kwesties zullen beginnen met een verzoek om inzage in of correctie van gegevens. Het is voor bedrijven en instellingen dan ook zaak om adequaat te reageren op alle verzoeken om inzage, correctie en verzet, om zo te voorkomen dat de kwestie escaleert tot een rechtszaak.
Meer informatie
Heeft u zelf een vraag over het privacyrecht? Wilt u advies over hoe om te gaan met een verzoek, of wilt u juist zelf procederen over een afwijzende beslissing op een verzoek? Neem dan gerust contact op. Wij helpen u graag verder.
