Kees Kouwenhoven
Privacy is het afgelopen jaar veel in het nieuws geweest. 25 mei 2018 werd in de media aangewezen als de deadline waarop de verzameling van persoonsgegeven zou moeten voldoen aan de regels van de Algemene verordening gegevensbescherming (Avg). De verordening was eigenlijk twee jaar eerder al in werking getreden, en daarvoor golden al de regels van haar voorganger, Richtlijn 95/46. Maar pas vanaf 25 mei heeft de toezichthouder, de Autoriteit Persoonsgegevens (AP), de verordening gehandhaafd. Sindsdien zijn er een aantal uitspraken gedaan met betrekking tot privacy.
Rb Amsterdam 15 november 2018, ECLI:NL:RBAMS:2018:8138
In verband met een belastingaanslag onderzocht de Belastingdienst de feitelijke woonplaats van een belastingplichtige die toevallig ook houder van een Museumkaart was. In maart 2017 verzocht de dienst de stichting Museumkaart om de gegevens vanaf 2014 van deze kaarthouder. De stichting weigerde dit, omdat dit een inbreuk op de privacy van de kaarthouder zou betekenen en omdat de kaatverkoop en het museumbezoek erdoor zouden dalen.
De rechter oordeelde dat de Avg geen belemmering is voor de gegevensverstrekking. Er is een grondslag voor deze verwerking, namelijk de noodzaak om te voldoen aan een wettelijke plicht (art. 53 jo. 47 AWR). Volgens de rechter is het aannemelijk de betreffende gegevens van belang kunnen zijn bij belastingheffing. Uit de gegevens over het museumbezoek kan men afleiden waar de belastingplichtige woont. Bovendien heeft de stichting niet goed onderbouwd dat de kaartverkoop en het museumbezoek zullen dalen. Zij moest daarom onder dreiging van een dwangsom meewerken.
Tietosuojavaltuutettu / Jehovan todistajat – uskonnollinen yhdyskunta
Ook in Luxemburg is recent een privacyzaak geweest (HvJ EU 10 juli 2018, ECLI:EU:C:2018:551, C‑25/17). Deze had nog betrekking op Richtlijn 95/46, maar de uitspraak is ook voor de Avg van belang. Deze zaak liet zien hoe ver de privacyregels reiken.
De Finse gemeenschap van de Jehova’s Getuigen liet haar leden tijdens de huis aan huis verkondiging persoonsgegevens verzamelen, zoals naam, adres, geloofsovertuiging en gezinssituatie van de personen waar zij hun boodschap verkondigden. In 2013 verbood de Finse privacytoezichthouder deze praktijk wegens strijd met de wettelijke regels voor verzameling van persoonsgegevens. De rechter die hierover moest oordelen stelde drie prejudiciële vragen aan het Europees Hof van Justitie, waarvan er twee te maken hadden met de vraag of deze activiteiten wel onder de privacyregels vielen.
1) Is de privacywetgeving van toepassing is op het verzamelen en verwerken van persoonsgegevens door individuele leden van de geloofsgemeenschap?
Verzameling van persoonsgegevens door natuurlijke personen voor activiteiten met uitsluitend persoonlijke of huishoudelijke doeleinden valt buiten de werking van de Richtlijn, aldus art. 3 lid 2 van de Richtlijn (en art. 2 lid 2 Avg). Daar was in dit geval echter geen sprake van. Het doel van de gegevensverzameling was het verkondigen van het geloof en dit was niet beperkt tot de privésfeer van de leden. Bovendien worden de gegevens doorgegeven aan andere afdelingen binnen de gemeenschap van de Jehova’s Getuigen.
2) Is er sprake is van een bestand van persoonsgegevens in de zin van Richtlijn 95/46, dat wil zeggen “elk gestructureerd geheel van persoonsgegevens die volgens bepaalde criteria toegankelijk zijn, ongeacht of dit geheel gecentraliseerd dan wel gedecentraliseerd is of verspreid op een functioneel of geografisch bepaalde wijze”?
Er was volgens het Hof sprake van een bestand aangezien de verzamelde persoonsgegevens worden gestructureerd aan de hand van criteria die zijn bepaald met het oog op het nagestreefde doel, namelijk het voorbereiden van latere bezoeken en het beheren van de lijsten van personen die niet meer bezocht willen worden.
3) Wie is de verwerkingsverantwoordelijke in de zin van de Richtlijn, d.w.z. “de natuurlijke of rechtspersoon, de overheidsinstantie, (,,,) die alleen of te zamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt”?
Omdat de gemeenschap samen met haar leden de doelen van de geloofsverkondiging vaststelt, oordeelde het EHJ dat de geloofsgemeenschap samen met haar leden kan worden beschouwd als verantwoordelijke. Of de gemeenschap toegang heeft tot die gegevens of dat zij haar leden schriftelijke richtsnoeren of instructies voor die verwerking heeft gegeven, is voor die vraag niet van belang. De verwerkingsverantwoordelijke is onder andere verantwoordelijk voor het naleven van de privacyregels en als dit niet juist gebeurt kan de toezichthouder een boete opleggen.
