Afgelopen jaar heeft het Gerecht van het Hof van Justitie (‘Gerecht’) een uitspraak gewezen met potentieel zeer veel impact op de praktijk (1). De uitspraak ziet op een onderwerp waar al decennialang over wordt gediscussieerd: de reikwijdte van het begrip persoonsgegevens.
De vraag die centraal staat is of gegevens die een partij zelf niet tot personen kan herleiden voor die partij toch als persoonsgegevens kwalificeren. Moet deze beoordeling worden gemaakt vanuit het perspectief van de partij die over persoonsgegevens beschikt, of moet die beoordeling vanuit een breder perspectief plaatsvinden? Volgens het Gerecht geldt het eerste: of gegevens als persoonsgegevens kwalificeren moet worden beoordeeld vanuit het perspectief van de partij die over de persoonsgegevens beschikt. Dat is een beperktere invulling dan die door de Europese privacytoezichthouders wordt aangehangen, met potentieel veel impact voor de praktijk. Als van bepaalde gegevens wordt aangenomen dat zij niet meer als persoonsgegevens kwalificeren, dan is daarop niet de AVG van toepassing. En wat brengt dat voor complicaties met zich mee? Om dat goed weer te geven, zetten we in dit blog eerst kort uiteen waarover deze zaak ook al weer gaat. Daarna bespreken we de impact voor de praktijk.
De SRB (Single Resolution Board) is de Europese autoriteit belast met het ordelijk afwikkelen van faillissementen bij banken. Na een dergelijk proces beoordeelt de SRB of een normaal insolventieproces voor aandeelhouders en crediteuren voordeliger was geweest. Voor die beoordeling, mogen de potentieel getroffen aandeelhouders en crediteurs opmerkingen indienen via een formulier (2). Al deze opmerkingen werden echter niet door de SRB zelf beoordeeld, maar door een partij die de SRB daarvoor had ingeschakeld: Deloitte. Een deel van de ingezonden berichten van de potentieel getroffen aandeelhouders en crediteurs werd daarom gedeeld met Deloitte. Elke opmerking was voorzien van een unieke identificatiecode. Deloitte kreeg echter geen informatie over welke opmerking(scode) bij welke potentieel getroffen partij hoorde. De vraag die in de zaak dan opkomt is: zijn die opmerkingen met unieke codes wel persoonsgegevens voor Deloitte? Vijf van de potentieel getroffen partijen stelden van wel: zij hebben een klacht ingediend bij de bevoegde privacytoezichthouder, de EDPS. Zij stelden zich op het punt dat de SRB hun persoonsgegevens met o.a. Deloitte had gedeeld, zonder hen hierover te informeren in lijn met de AVG. Volgens de EDPS was de SRB op dit punt tekortgeschoten. De SRB was het daar echter niet mee eens en verzocht het Gerecht om het herziene besluit van de EDPS nietig te verklaren (3).
Of een partij gegevens kan herleiden tot een natuurlijk persoon, kan op verschillende manieren worden beoordeeld. In de overwegingen bij de AVG staat dat rekening moet worden gehouden met “alle middelen waarvan redelijkerwijs valt te verwachten dat zij worden gebruikt door de verwerkingsverantwoordelijke of door een andere persoon […].” In de praktijk draait het vaak om de laatste zinsnede: hoe moeten we die uitleggen? Moet rekening worden gehouden met elke “andere persoon”, waaronder bijvoorbeeld ook Big Tech partijen? Die insteek valt onder de objectieve leer. Of moet alleen rekening worden gehouden met gegevens bij een andere persoon voor zover de verwerkingsverantwoordelijke gerechtigd is die op te vragen? Daarbij wordt voor de beoordeling het perspectief van één partij gekozen. Dit noemen we de relatieve leer. Het Gerecht benoemt de objectieve en relatieve leer in deze zaak niet als zodanig, maar verwijst wel naar het Breyer-arrest. In dat arrest benoemen het Hof en de Advocaat-Generaal dit wel expliciet (4).
In het Breyer-arrest paste het Hof de zogeheten relatieve leer toe: of een dynamisch IP-adres als persoonsgegeven kwalificeerde, werd beoordeeld vanuit het perspectief van de partij die daarover beschikte. De zogeheten objectieve leer werd echter niet uitdrukkelijk van de hand gewezen. In die zaak deed dit er ook minder toe omdat beide routes leidde tot dezelfde conclusie: het ging om persoonsgegevens. Het Gerecht gaat er in de SRB/EDPS-zaak echter geheel aan voorbij dat mogelijk ook de objectieve leer zou kunnen worden toegepast. Het Gerecht past ‘by default’ de relatieve leer toe, en verwijst daarbij naar het Breyer-arrest. De unieke identificatiecode kon door Deloitte niet worden gebruikt om achter de identiteit van de vraagsteller te komen. Met deze nieuwe SRB/EDPS-zaak lijkt het er daarom op dat de optie om de objectieve leer toe te passen definitief van de hand is gedaan.
Wat is de impact van deze uitspraak op onderhandelingen over verwerkersovereenkomsten?
In de situatie dat X versleutelde gegevens deelt aan Y, zonder de sleutel te verschaffen, is er dan een verwerkersovereenkomst nodig en wat is de impact op de onderhandelingen hierover? De gegevensdeling is voor X sowieso een verwerking van persoonsgegevens, maar voor Y niet. Moet Y dan een verwerkersovereenkomst aangaan met X? Als X op grond van de AVG verwerkingsverantwoordelijke is, is X in overtreding als er geen schriftelijke afspraken worden gemaakt wanneer persoonsgegevens worden gedeeld met een verwerker. Vanuit het perspectief van X is het daarom waarschijnlijk vereist om een verwerkersovereenkomst te sluiten, ook als kan worden betoogd dat de gegevens voor Y niet kwalificeren als persoonsgegevens. Voor Y ligt dat anders.
Aangezien de gegevens voor Y geen persoonsgegevens zijn, is de AVG niet op Y van toepassing. Op Y rust dan geen verplichting om een verwerkersovereenkomst te sluiten. In de praktijk wordt meestal echter het zekere voor het onzekere genomen, ook rekening houdend met de positie van X. Als in een dergelijke situatie een verwerkersovereenkomst wordt gesloten, zijn er wel bepaalde aandachtspunten. Het is raadzaam om dan goed na te denken over de definiëring van het begrip persoonsgegevens en de implicaties daarvan. Als hiervoor simpelweg wordt verwezen naar de AVG, dan kan dit onduidelijkheid met zich meebrengen. Wat als de verwerker dan stelt dat het voor de verwerker geen persoonsgegevens zijn? En dat daarom bijvoorbeeld de verplichting om een datalek aan de verwerkingsverantwoordelijke te melden niet van toepassing was?
Een andere reden voor organisaties om niet direct te stoppen met het aangaan van verwerkersovereenkomsten is dat de EDPS beroep heeft aangetekend tegen de uitspraak van het Gerecht (5). De EDPS voert daarbij – kort gezegd – onder meer aan dat het Gerecht een verkeerde uitleg aan het begrip persoonsgegevens heeft gegeven.
De kans dat het beroep van de EDPS op dit punt slaagt is overigens niet groot. Op 9 november 2023 heeft het Hof namelijk geoordeeld dat een voertuigidentificatienummer (VIN) een persoonsgegeven is, voor zover degene die toegang heeft tot het VIN over de middelen kan beschikken om het VIN redelijkerwijs in te zetten om de eigenaar van het voertuig te identificeren (6). In deze zaak werd per entiteit beoordeeld of het VIN een persoonsgegeven was. Vanuit de positie van sommige ontvangers, was de conclusie dat het VIN géén persoonsgegeven was (7).
Moet internationale doorgifte worden gelegitimeerd onder Hoofdstuk V van de AVG?
In het arrest van het Gerecht kwam doorgifte naar een derde land buiten de EER niet aan de orde. Maar wat als daarvan wel sprake is? Welke gevolgen heeft het toepassen van de relatieve leer dan? Als de importeur de gegevens niet kan herleiden volgens de relatieve leer, dan hoeft de importeur niet te voldoen aan hoofdstuk V van de AVG. Dit ligt anders voor de exporteur, voor wie de gegevens wel als persoonsgegevens gelden. Dan zal de exporteur toch moeten zorgdragen dat aan de vereisten voor doorgifte onder de AVG wordt voldaan. De EDPB Guidance over aanvullende maatregelen maken duidelijk dat ook als technische maatregelen worden getroffen waardoor de importeur de persoonsgegevens niet zal kunnen herleiden tóch een doorgiftemechanisme vereist is (8).
Hoe legt men de impact van deze zaak intern uit?
Hoe dit uit te leggen op de werkvloer? Sinds de inwerkingtreding van de AVG hebben veel organisaties koortsachtig gewerkt aan compliance. De compliance werkzaamheden zijn vaak verricht vanuit de objectieve leer, in lijn met de guidance stukken van de Europese privacytoezichthouders. Dit arrest van het Gerecht biedt echter ruimte om de relatieve leer toe te passen, wat kan leiden tot interne discussies. Hoe ga je daarmee om?
Als persoonsgegevens binnen de organisatie zijn gepseudonimiseerd, zouden ze wellicht makkelijker kunnen worden gedeeld met derden die de sleutel niet hebben. Aangezien dit niet lijkt te boteren met de richtlijnen over dit onderwerp van de Europese privacytoezichthouders, brengt dit wel risico’s met zich mee (9). Bij handhaving kan de objectieve leer worden toegepast.
Veiligheidshalve passen de meeste organisaties daarom nog altijd de objectieve leer toe. Deze keuze is vaak ook geïnspireerd uit praktisch oogpunt: de beoordeling op grond van de objectieve leer is minder complex. Als medewerkers uit zichzelf beginnen over toepassing van de relatieve leer, dan kan het wijzen op de risico’s en praktische nadelen hen weer richting de objectieve leer bijsturen. Aangezien deze “catch-all approach” natuurlijk ook nadelen met zich meebrengt, zijn er ook organisaties die het beste van twee werelden kiezen. Zij gebruiken de objectieve leer als uitgangspunt, maar op case-by-case basis wijken ze daar dan onder omstandigheden van af.
HvJ EU 26 april 2023, T-557/20, ECLI:EU:T:2023:219, m.nt. V.I. Laan, punt 16.
De SRB biedt potentieel getroffen aandeelhouders en crediteurs de mogelijkheid om te worden gehoord. Zie r.o. 8 e.v. voor een nadere omschrijving van deze procedure.
Gerecht HvJ 26 april 2023, T-557/20, ECLI:EU:T:2023:219, r.o. 33.
HvJ EU 19 oktober 2016, C-582/14, ECLI:EU:C:2016:779 (Breyer/Bundesrepublik Deutschland), r.o. 25; Concl. A-G 12 mei 2016, C-582/14, ECLI:EU:C:2016:339, conclusie bij HvJ EU 19 oktober 2016, C-582/14, ECLI:EU:C:2016:779 (Breyer/Bundesrepublik Deutschland), r.o. 53
HvJ EU 9 november 2023, C-319/22, ECLI:EU:C:2023:837, r.o. 48.
HvJ EU 9 november 2023, C-319/22, ECLI:EU:C:2023:837, r.o. 49.
EDPB 18 juni 2021, Aanbevelingen 01/2020 inzake maatregelen ter aanvulling op doorgifte-instrumenten teneinde naleving van het beschermingsniveau van persoonsgegevens in de Unie te waarborgen, p. 28 e.v.
HvJ EU 26 april 2023, T-557/20, ECLI:EU:T:2023:219, m.nt. V.I. Laan, punt 15; zie Artikel 29 Werkgroep, Advies 4/2007 over het begrip persoonsgegeven (WP 136), goedgekeurd op 20 juni 2007 en Advies 5/2014 over anonimiseringstechnieken (WP 216), goedgekeurd op 10 april 2014.
