De kwestie: mag een privédetective in het geniep persoonsgegevens verzamelen?
De aanleiding voor de uitspraak van het Europese Hof is een Belgische kwestie. Hierover heb ik eerder al eens geschreven op dit weblog. De kernvraag uit de procedure is of door privédetectives verzameld bewijs wel rechtmatig is, wanneer die privédetectives niet hebben voldaan aan de transparantieverplichting uit het privacyrecht.
Een hele principiele vraag. Privédetectives verzamelen immers juist nagenoeg altijd, vanwege de aard van hun werk, onderzoeksgegevens zonder dat ze hierover transparant zijn richting degene die voorwerp vormt van hun onderzoek. Transparantie betrachten zou het werk waarschijnlijk onmogelijk maken. Daar staat natuurlijk tegenover dat al te snel uitzonderingen toestaan op het transparantiebeginsel maakt dat dit kernbeginsel uit het privacyrecht wordt uitgehold.
Uitzondering genoemd in privacyrichtlijn van toepassing
In de privacyrichtlijn staan in artikel 13 enkele situaties op grond waarvan lidstaten in de nationale wetgeving uitzonderingen mogen opnemen op o.m. het transparantiebeginsel.
In het arrest benadrukt het Hof dat de lidstaten niet verplicht zijn een of meer van deze uitzonderingen over te nemen in de eigen wetgeving. Wanneer een uitzondering wordt opgenomen, moet deze echter wel voldoen aan de omschrijving van artikel 13 privacyrichtlijn en bovendien noodzakelijk zijn:
32. Wat artikel 13, lid 1, van richtlijn 95/46 betreft, blijkt duidelijk uit de bewoordingen ervan, en met name uit de woorden „de lidstaten kunnen”, dat deze bepaling de lidstaten niet verplicht om in hun nationale recht te voorzien in uitzonderingen om de in dit artikel 13, lid 1, sub a tot en met g, vermelde doeleinden te verwezenlijken, maar dat integendeel de wetgever hun de keuze heeft willen laten om te beslissen of, en in voorkomend geval voor welke doeleinden, zij wetgevende maatregelen wensen vast te stellen die met name beogen de omvang van de informatieverplichtingen ten aanzien van de betrokkene te beperken. Bovendien blijkt uit de bewoordingen van datzelfde artikel 13, lid 1, eveneens dat de lidstaten dergelijke maatregelen slechts kunnen vaststellen indien deze noodzakelijk zijn. De voorwaarde dat de maatregelen „noodzakelijk” moeten zijn, beperkt aldus de krachtens artikel 13, lid 1, aan de lidstaten toegekende mogelijkheid, en betekent geenszins dat deze lidstaten verplicht zijn om in alle gevallen waarin aan deze voorwaarde is voldaan, in de betrokken uitzonderingen te voorzien.
Het Hof laat in het midden wanneer een uitzondering precies noodzakelijk is. Het Hof benadrukt wel dat een uitzondering niet al te snel mag worden aangenomen:
39. Volgens vaste rechtspraak vereist de bescherming van het fundamenteel recht op een persoonlijke levenssfeer dat de uitzonderingen op en beperkingen van de bescherming van persoonsgegevens binnen de grenzen van het strikt noodzakelijke blijven (arresten van 16 december 2008, Satakunnan Markkinapörssi en Satamedia, C‑73/07, Jurispr. blz. I‑9831, punt 56, en 9 november 2010, Volker und Markus Schecke en Eifert, C‑92/09 en C‑93/09, Jurispr. blz. I‑11063, punten 77 en 86).
Situatie privedetective verschilt mogelijk van land tot land
Het Hof concludeert vervolgens dat het handelen van een privedetective ten behoeve van een beroepsorganisatie in principe valt onder de uitzondering van artikel 13 lid 1 sub d privacyrichtlijn.
45. Daaruit volgt dat, wanneer een lidstaat ervoor heeft gekozen om de uitzondering van dat artikel 13, lid 1, sub d, in zijn recht om te zetten, de betrokken beroepsorganisatie en de voor die organisatie handelende privédetectives zich dus op die uitzondering kunnen beroepen en niet zijn onderworpen aan de in de artikelen 10 en 11 van richtlijn 95/46 opgenomen verplichting om de betrokkene te informeren.
Let wel: hier staat dus niet dat alle privedetectives zich altijd op de uitzondering kunnen beroepen. Hier staat alleen dat privedetectives die zijn ingeschakeld door beroepsorganisaties in het kader van de controle op de naleving van de beroepscodes zich op de uitzondering kunnen beroepen. Of het beroep op de uitzondering onder meer omstandigheden opgaat zal in andere zaken moeten worden uitgemaakt.
Een privedetective kan zich bovendien alleen op deze uitzondering beroepen indien er inderdaad in de nationale wet een uitzondering is opgenomen. Is dat niet gebeurd, dan zal de privedetective op grond van het privacyrecht aan de betrokkene moeten melden dat er persoonsgegevens worden verwerkt en voor welke doeleinden:
46. Omgekeerd geldt dat wanneer de lidstaat niet in deze uitzondering heeft voorzien, de betrokkenen moeten worden geïnformeerd over de verwerking van hun persoonsgegevens op de wijze die, met name wat de termijnen betreft, is vastgelegd in deze artikelen 10 en 11.
De privacyrechtelijke regels die voor privedetectives gelden kunnen dus - ondanks de Europese privacyrichtlijn - in de praktijk per Europese lidstaat verschillen. Dit hangt af van wat de lidstaat in het eigen wetboek heeft opgenomen.
Overigens is in Nederland in bijlage 6 bij de Regeling particuliere beveiligingsorganisaties en recherchebureaus een verplicht door privedetectives te hanteren privacygedragscode opgenomen. Of daarmee sprake is van het omzetten van de uitzondering van de privacyrichtlijn in het nationale recht is mij niet bekend. Van een expliciete uitzondering lijkt immers geen sprake te zijn (in de trant van "artikel 33 en 34 Wbp zijn niet van toepassing op beveiligingsorganisaties en recherchebureaus").
Wanneer informeren?
Overigens staat er nog een interessante opmerking in het arrest van het Hof waar ik op het slot van dit bericht nog even bij stil wil staan. Het Hof legt namelijk uit op welk moment de informatie aan de betrokkene moet worden gegeven:
- wanneer persoonsgegevens bij de betrokkene zelf worden verkregen, moet de betrokkene onmiddellijk worden geinformeerd;
- wanneer persoonsgegevens niet bij de betrokkene zelf worden verkregen (dus bij een 3e partij), is onmiddellijke informatieverstrekking niet noodzakelijk.
Zie in dat kader deze overweging 23 van het Hof:
23. Opgemerkt moet echter worden dat volgens deze bepaling, die betrekking heeft op de gegevens die niet bij de betrokkene zijn verkregen, de betrokkene niet moet worden geïnformeerd op het ogenblik dat de gegevens worden verkregen, maar pas later. Daarentegen bepaalt artikel 10 van richtlijn 95/46, dat betrekking heeft op de verkrijging van gegevens bij de betrokkene, dat deze persoon moet worden geïnformeerd op het ogenblik dat de gegevens worden verkregen (zie in die zin arrest van 7 mei 2009, Rijkeboer, C‑553/07, Jurispr. blz. I‑3889, punt 68). De verplichting om de betrokkene onmiddellijk te informeren, vloeit dus niet voort uit het door de verwijzende rechterlijke instantie aangehaalde artikel 11 van richtlijn 95/46, maar uit dit artikel 10.
Deze overweging kan ik niet volledig plaatsen. Artikel 11 privacyrichtijn bepaalt namelijk dat wanneer een verantwoordelijke gegevens wil verstrekken aan een 3e partij, de betrokkene daarover moet informeren "uiterlijk op het moment van de eerste verstrekking van de gegevens" aan deze 3e partij.
Wanneer een partij persoonsgegevens aan een privedetective verstrekt, moet dus ofwel deze verstrekkende partij de betrokkene daarover informeren op het moment van verstrekken, ofwel de ontvangende privedetective moet de betrokkene hierover ogenblikkelijk informeren op het moment van ontvangen. Het lijkt mij dat die momenten in de praktijk nagenoeg altijd zullen samenvallen. Waarom het Hof dan ook zo nadrukkelijk onderscheid maakt tussen de artikelen 10 en 11 van de privacyrichtlijn is mij dan ook niet duidelijk. Maar wellicht zie ik hier iets over het hoofd. Wordt ongetwijfeld vervolgd.
