3 uitspraken op één dag: uitleg van de AVG door het Hof van Justitie

Op 4 mei 2023 heeft het Hof van Justitie van de Europese Unie (hierna: het Hof) drie privacy-uitspraken gedaan. Daarin geeft het Hof uitleg over...

Deel dit artikel

Op 4 mei 2023 heeft het Hof van Justitie van de Europese Unie (hierna: het Hof) drie privacy-uitspraken gedaan. Daarin geeft het Hof uitleg over de toepassing en interpretatie van een aantal wetsartikelen uit de Algemene Verordening Gegevensbescherming (AVG). In dit artikel bespreken we deze uitspraken en wat we daaruit kunnen leren voor de praktijk.

1. Inzagerecht: het recht op een kopie van persoonsgegevens

Eén van de rechten die de AVG een betrokkene toekent, is het inzagerecht (artikel 15 AVG). Met dit recht kan inzage worden gevraagd in de persoonsgegevens die door een organisatie over de betrokkene worden verwerkt. Het inzagerecht is een vrij absoluut recht. Er zijn in de rechtspraak slechts beperkt uitzonderingen op het inzagerecht toegestaan. In artikel 15 AVG is bepaald dat de organisatie als onderdeel van de te verstrekken inzage de betrokkene een kopie van de persoonsgegevens moet verstrekken.

Wat houdt een kopie van persoonsgegevens in? Al langere tijd bestaat er discussie over de vraag welke gegevens verstrekt moeten worden om correct aan een inzageverzoek te voldoen. Waar de ene organisatie zich beperkt tot het verstrekken van sec een overzicht van de persoonsgegevens die zich in systemen en/of documenten bevinden, verstrekt een andere organisatie de volledige documenten waar de persoonsgegevens zich in bevinden. Ziet het kopierecht nu alleen op de gegevens zelf of ook op de documenten waar die persoonsgegeven in staan? Daarover moest het Hof oordelen (HvJ EU 4 mei 2023, C-487/21, ECLI:EU:C:2023:369 (FF/Österreichische Datenschutzbehörde en CRIF).

In deze zaak speelde het volgende. Een betrokkene had aan een adviesbureau gevraagd om inzage in zijn persoonsgegevens én om een kopie van bepaalde uittreksels waarin zijn persoonsgegevens stonden. Het adviesbureau volstond met het terugsturen van een zelfstandige lijst van zijn persoonsgegevens, zonder dat een kopie van de uittreksels werd toegestuurd.

Is hiermee voldaan aan het inzagerecht?

Het Hof geeft antwoord op deze vraag door uitleg te geven over de reikwijdte van het inzagerecht. Dit recht betekent volgens het Hof dat een betrokkene een waarheidsgetrouwe en begrijpelijke reproductie van al zijn persoonsgegevens moet ontvangen. Dit recht omvat ook het verkrijgen van een kopie van uittreksels van documenten of volledige documenten die de persoonsgegevens bevatten, indien dit noodzakelijk is voor een betrokkene om zijn andere wettelijke rechten (bijvoorbeeld het recht op rectificatie en vergetelheid) daadwerkelijk uit te kunnen oefenen. Dan zullen de persoonsgegevens samen met een kopie van de documenten waar de persoonsgegevens zich in bevinden verstrekt moeten worden.

Het Hof geeft daarmee geen zwart-wit antwoord. Wel is duidelijk dat het recht op een kopie niet altijd beperkt is tot (een opsomming van) persoonsgegevens zelf. Het kán zijn dat het recht op een kopie, betekent een recht op een kopie van integrale stukken. Het is dan aan een betrokkene om aannemelijk te maken dat dit noodzakelijk is om (andere) wettelijke rechten uit te kunnen oefenen. Dat zal – gelet op de andere rechten uit de AVG – snel aan de orde zijn. Organisaties moeten er daarom rekening mee houden dat de reikwijdte van het inzagerecht vaak ook een recht op een kopie van stukken zal omvatten.

Let op, als een organisatie documenten verstrekt om te voldoen aan een inzageverzoek (wat dus ook een kopierecht betekent), moet zij altijd wel rekening houden met de rechten en vrijheden van anderen. Dit kan betekenen dat de persoonsgegevens van derden of andere vertrouwelijke informatie uit verstrekte informatie en documenten moeten worden weggelakt.

2. Recht op vergetelheid en beperking van de verwerking

Naast het inzagerecht kent de AVG ook het recht ‘om vergeten te worden’ en het recht om de verwerking van persoonsgegevens te beperken. Een beroep op deze rechten is onder meer mogelijk als de persoonsgegevens onrechtmatig zijn verwerkt. Wanneer is dat aan de orde? Is een schending van de AVG altijd aan te merken als het ‘onrechtmatig verwerken’ van persoonsgegevens? Nee, zegt het Hof in deze zaak (HvJ EU 4 mei 2023, C-60/22, ECLI:EU:C:2023:373, (UZ/Bundesrepublik Deutschland)).

In deze kwestie had de Duitse IND haar verwerkingsregister (artikel 26 AVG) niet op orde én waren er persoonsgegevens van deze bestuurlijke instantie naar een gerechtelijke instantie doorgestuurd zonder de gezamenlijke verwerkingsverantwoordelijkheid te regelen (artikel 30 AVG). Eén van de vragen die voorlag bij het Hof was of een betrokkene zich vanwege deze schendingen van de AVG op zijn recht om vergeten te worden of zijn recht op beperking van de verwerking te beroepen. Dat mag volgens de artikelen waarin deze rechten zijn geregeld, namelijk als sprake is van een onrechtmatige verwerking. De vraag is daarom wat de AVG verstaat onder een onrechtmatige verwerking. Is dat iedere schending van de AVG of gaat het slechts om specifieke schendingen van de AVG?

Het Hof oordeelt dat een verwerking als rechtmatige verwerking wordt aangemerkt, als deze verwerking voldoet aan artikel 6 AVG. Dat artikel bevat de zes mogelijke grondslagen voor het verwerken van persoonsgegevens, zoals toestemming, uitvoering van een overeenkomst, voldoen aan een wettelijke plicht of een gerechtvaardigd belang. Het Hof stelt vervolgens vast dat van een onrechtmatige verwerking sprake is, als sprake is van een verwerking zónder een grondslag uit artikel 6 AVG.

Het niet-nakomen van de verplichtingen uit de artikelen 26 en 30 AVG is geen situatie waarin geen grondslag voor de verwerking bestaat en kan dus niet als een ‘onrechtmatige’ verwerking worden aangemerkt. Kortom, van een onrechtmatige verwerking in de zin van de AVG is alleen sprake als een grondslag voor de verwerking ontbreekt. Onrechtmatig verwerken betekent dus: in strijd met artikel 6 AVG. Als sprake is van een ándere schending van de AVG, is dat uiteraard fout, maar niet aan te merken als een onrechtmatige verwerking. Zo’n schending van de AVG zorgt dan niet dat een beroep gedaan kan worden op het recht om niet te vergeten te worden of het recht tot beperking van de verwerking. Deze rechten zijn uiteraard wel middelen om de rechten en vrijheden van betrokkenen te beschermen. Die rechten kunnen wel worden ingezet bij een overtreding van artikel 6 AVG. En in de andere gevallen waarin de artikelen van deze rechten voorzien.

Let op: dit betekent natuurlijk niet dat er geen gevolgen zijn van het niet-naleven van AVG-verplichtingen. De toezichthoudende autoriteit kan altijd corrigerende maatregelen opleggen, de betrokkene kan een klacht indienen bij de toezichthoudende autoriteit of rechtstreeks schadevergoeding vorderen vanwege een inbreuk op de AVG. Een beroep op vergetelheid of beperking van de verwerking biedt bij een andere schending dan schending van artikel 6 AVG (dus: verwerken zonder (goede) grondslag) echter geen uitkomst.

3. Schadevergoeding door een inbreuk op de AVG

De laatste zaak (HvJ EU 4 mei 2023, C-300/21, ECLI:EU:C:2023:370, (UI/Österreichische Post AG)) waar het Hof zich over heeft gebogen, gaat over een geschil tussen een inwoner uit Oostenrijk en een Oostenrijks bedrijf dat als handelaar in adressen, informatie verzamelde over de politieke voorkeuren van de Oostenrijkse bevolking. De Oostenrijker eiste een immateriële schadevergoeding van het Oostenrijkse bedrijf, omdat het feit dat er gegevens over zijn veronderstelde politieke opvattingen werden opgeslagen, hem ‘erg boos heeft gemaakt, dat hij zijn vertrouwen hierdoor is verloren en dat hij zich voor schut gezet voelde’. De gegevens waren niet aan derden doorgegeven, dus materiële schade kon niet worden aangetoond. Het ging dus om de vraag of er al schade vergoedt moet worden, omdat je wéét dat je rechten zijn aangetast. Naar Oostenrijks recht was dat niet mogelijk, omdat daarvoor sprake moest zijn van een bepaalde mate van ernstige schade.

Het Hof buigt zich in deze zaak over de vraag of een inbreuk op de AVG op zichzelf, direct een recht op (immateriële) schadevergoeding oplevert. Deze vraag beantwoordt zij ontkennend. Uit artikel 82 AVG volgen namelijk drie cumulatieve voorwaarden: (1) een verwerking van persoonsgegevens die inbreuk maakt op de AVG, (2) daadwerkelijk geleden schade én (3) een causaal verband tussen deze schade en de inbreuk. Een inbreuk op de AVG op zichzelf is dus onvoldoende voor een recht op schadevergoeding. Daar is ook daadwerkelijke schade en een causaal verband tussen de inbreuk en de schade voor nodig. Dit is overigens anders voor het opleggen van administratieve geldboetes en andere sancties (artikelen 83 en 84 AVG), die vooral een bestraffend doel hebben. Deze zijn niet afhankelijk van het bestaan van schade.

Volgens het Hof moet het begrip ‘schade’ wel ruim worden uitgelegd. De Oostenrijkse wetsbepaling waarin immateriële schadevergoeding pas wordt toegekend als de schade een bepaalde mate van ernst heeft bereikt, is niet toegestaan. Daarmee wordt een ontoelaatbare drempel opgeworpen. Dat acht het Hof in strijd met de doelstellingen van de AVG. Hoe de omvang van de schadevergoeding uiteindelijk wordt bepaald is afhankelijk van het nationale recht van een lidstaat, maar een drempel, zoals ‘ernstige schade’, is niet toegestaan.

De schadevergoeding is bedoeld om de betrokkene te compenseren voor de daadwerkelijk geleden schade. De schadevergoeding is niet bedoeld om iemand (daarnaast) te straffen. Juridisch gezegd: de schadevergoeding heeft geen punitief karakter; daar zijn andere middelen voor. Het blijft dus noodzakelijk dat het bestaan van daadwerkelijke schade wordt aangetoond. Zonder schade, geen recht op schadevergoeding. Daartegenover staat dat als er ook maar enige vorm van immateriële schade aantoonbaar is, er ook recht op schadevergoeding bestaat. Dat mag niet belemmerd worden door regels van nationaal recht.

Het aantonen van daadwerkelijke schade vanwege inbreuken op de AVG is vaak lastig. Het is meestal onduidelijk wat er met persoonsgegevens is gebeurd en wat de daadwerkelijke schade is. Vaak is er geen materiële schade in de zin van de wet. Immateriële schade wordt niet snel aangenomen. De voorwaarde voor schadevergoeding (schade) is dus op zichzelf heel laag, maar de crux zit in het aantonen van die schade. Toegepast op de zaak geldt dat de Oostenrijker, die negatieve gevolgen ervaart van de actie van de adressenhandelaar, dient aan te tonen dat deze gevolgen ook daadwerkelijk immateriële schade voor hem zouden opleveren. Dit zal de Oostenrijkse rechter moeten bepalen.

De uitspraak van het Hof verandert de basiseisen om aanspraak te maken op schadevergoeding niet. Met de uitspraak is juist verduidelijkt dat een inbreuk van de AVG op zichzelf nog geen recht geeft op schadevergoeding. Het aantonen van schade blijft in de praktijk voor een betrokkene een lastige opgave. Is die er eenmaal, dan is de weg vrij voor een schadevergoeding.

De privacyrecht-advocaten van Wille Donker advocaten staan zowel organisaties als betrokkenen bij. Bijvoorbeeld bij het naleven van de AVG, maar ook bij het uitoefenen van rechten onder de AVG. Heeft u over de besproken uitspraken of over de AVG een vraag, neem dan contact met ons op.