Op 6 augustus 2018 publiceerde de GAR op zijn website het voorlopige besluit over het al dan niet toekennen van compensatie aan de aandeelhouders en crediteuren. Ook werd de procedure om te worden gehoord aangekondigd. Het recht om te worden gehoord is een fundamenteel recht waarin het EU-recht voorziet voor personen die door een individuele maatregel van een EU-orgaan worden getroffen. In deze specifieke procedure werd een tweefasig proces gestart. De eerste fase, genaamd de “inschrijvingsfase”, betrof de registratie van geïnteresseerde aandeelhouders en schuldeisers via een online formulier, waarbij ze ondersteunende documentatie konden verstrekken. In de tweede fase, de “consultatiefase”, konden geverifieerde aandeelhouders en schuldeisers schriftelijke opmerkingen indienen over het voorlopig besluit en de bijgevoegde beoordeling.
Aan het begin van de inschrijvingsfase heeft de GAR op de aanmeldingswebsite voor het hoorproces een privacyverklaring gepubliceerd waarin de verwerking van persoonsgegevens in het kader van het proces werd uiteengezet. Tijdens de inschrijvingsfase hadden alleen bepaalde medewerkers van de GAR toegang tot de verzamelde gegevens om de geschiktheid van de deelnemers te beoordelen. Deze gegevens waren niet zichtbaar voor de medewerkers van de GAR die verantwoordelijk waren voor de verwerking van de ontvangen opmerkingen tijdens de consultatiefase. Deze medewerkers ontvingen alleen opmerkingen die geïdentificeerd werden met een alfanumerieke code die aan elke individuele opmerking was gekoppeld op basis van het ingediende formulier.
Nadat de opmerkingen waren geaggregeerd, automatisch gefilterd en gecategoriseerd, heeft de GAR de opmerkingen over de uitgevoerde beoordeling doorgestuurd naar Deloitte. Alleen opmerkingen die tijdens de consultatiefase waren ontvangen en voorzien waren van een alfanumerieke code werden aan Deloitte verstrekt. Door middel van deze code kon alleen de GAR de opmerkingen koppelen aan de gegevens die tijdens de inschrijvingsfase waren verzameld. Deloitte had geen toegang tot de database met gegevens die tijdens de inschrijvingsfase waren verzameld.
Bij de EDPS zijn vijf klachten ingediend, waarin de klagers stellen dat de GAR de privacyverklaring heeft geschonden door zonder hun medeweten gegevens door te sturen naar Deloitte (2). Na een herzieningsverzoek heeft de EDPS geconcludeerd dat de GAR inderdaad in strijd met verordening 2018/1725 heeft gehandeld (3). Als reactie hierop heeft de GAR beroep aangetekend bij het Gerecht van de Europese Unie, waarbij zij de nietigverklaring van het herziene besluit van de EDPS eiste. Het Gerecht heeft het beroep van de GAR toegewezen en het herziene besluit van de EDPS vernietigd.
Het Gerecht heeft in dit arrest het begrip persoonsgegevens verder verhelderd. Om als persoonsgegeven te worden beschouwd, moeten twee cumulatieve voorwaarden worden vervuld: ten eerste moet de informatie betrekking hebben op een natuurlijke persoon, en ten tweede moet die natuurlijke persoon “geïdentificeerd of identificeerbaar” zijn. Het Gerecht oordeelde dat de EDPS niet grondig genoeg heeft onderzocht of de aan Deloitte verstrekte informatie daadwerkelijk persoonsgegevens waren. Het Gerecht merkte op dat het begrip persoonsgegevens een ruime reikwijdte heeft en niet beperkt is tot gevoelige of persoonlijke informatie, maar zich potentieel uitstrekt tot elke soort informatie, inclusief objectieve en subjectieve informatie zoals meningen en beoordelingen, op voorwaarde dat deze informatie betrekking heeft op de betrokken persoon.
Het oordeel van de EDPS dat de schriftelijke opmerkingen van de klagers tijdens de consultatiefase hun mening of zienswijze weerspiegelden en daarom als persoonsgegevens moesten worden geclassificeerd, kan niet worden gebaseerd op vermoedens, maar moet gebaseerd zijn op een onderzoek dat ertoe strekt te bepalen of een standpunt, gelet op de inhoud, het doel of het gevolg ervan, gelieerd is aan een bepaalde persoon. Aangezien de EDPS een dergelijk onderzoek niet heeft uitgevoerd, kon niet worden geconcludeerd dat de aan Deloitte verstrekte informatie persoonsgegevens waren.
Ten tweede boog het Hof zich over de vraag of de aan Deloitte verstrekte informatie betrekking had op een “geïdentificeerde of identificeerbare” natuurlijke persoon.
Het Hof merkt op dat niet wordt betwist dat de alfanumerieke code op zichzelf geen identificatie van de auteurs van de opmerkingen mogelijk maakte. Bovendien had Deloitte geen toegang tot de identificatiegegevens die tijdens de inschrijvingsfase werden ontvangen en die de deelnemers aan de hand van de code aan hun opmerkingen zouden kunnen koppelen. Hoewel de EDPS stelt dat de aanvullende informatie, bestaande uit de alfanumerieke code en de identificatiedatabase, nodig was om de auteurs van de opmerkingen te identificeren, blijkt uit het arrest Breyer dat het aan Deloitte is om te beoordelen of de aan haar verstrekte informatie betrekking heeft op “identificeerbare personen”. Het was dus de taak van de EDPS om te onderzoeken of Deloitte over redelijkerwijs beschikbare middelen beschikte om de auteurs van de opmerkingen te identificeren. Aangezien de EDPS niet heeft onderzocht of Deloitte dergelijke middelen had en of zij redelijkerwijs toegang kon krijgen tot de aanvullende informatie, kon de EDPS niet concluderen dat de aan Deloitte verstrekte informatie gegevens betrof over een “identificeerbare natuurlijke persoon” volgens artikel 3, lid 1 van verordening 2018/1725. Het Hof vernietigt daarom het herziene besluit van de EDPS.
Dit oordeel van het Gerecht benadrukt de noodzaak voor de EDPS om zorgvuldig en grondig te onderzoeken of informatie als persoonsgegevens moet worden beschouwd, met name wanneer het gaat om de vraag of de informatie betrekking heeft op een bepaalde persoon en of deze persoon identificeerbaar is. Het Hof legt de nadruk op de verplichting om niet (alleen) te kijken naar het perspectief van de verwerkingsverantwoordelijke, maar ook naar het perspectief van de ontvanger van de informatie, om te bepalen of de informatie gegevens betreft over een identificeerbare persoon. Deze uitspraak biedt belangrijke richtlijnen voor de interpretatie en toepassing van gegevensbeschermingsregels met betrekking tot persoonsgegevens in de Europese Unie.Top of Form
Het arrest geeft grofweg aanleiding tot twee belangrijke observaties. Ten eerste heeft het Gerecht geoordeeld dat om te bepalen of gepseudonimiseerde informatie die aan een gegevensontvanger is overgedragen persoonsgegevens vormt, het perspectief van de gegevensontvanger moet worden meegewogen. Het is niet voldoende dat de gegevensoverdrager de middelen heeft om de betrokkenen opnieuw te identificeren; de gegevensontvanger moet ook aanvullende informatie hebben waarmee hij de betrokkenen kan heridentificeren en wettelijke middelen hebben om toegang te krijgen tot dergelijke informatie. Indien de gegevensontvanger niet over deze mogelijkheden beschikt, kan de overgedragen informatie als geanonimiseerd worden beschouwd voor de ontvanger en dus niet als persoonsgegevens. Ten tweede heeft het Gerecht bepaald dat persoonlijke opvattingen of meningen niet automatisch als persoonsgegevens moeten worden beschouwd. Een beoordeling op basis van de specifieke omstandigheden is vereist om te bepalen of een opvatting door de inhoud, het doel of het effect ervan is gekoppeld aan een bepaalde persoon. Dit betekent dat niet alle persoonlijke opvattingen of meningen als persoonsgegevens moeten worden behandeld, maar dat er een analyse moet plaatsvinden om te bepalen of er een directe koppeling is met een individu.
Om te bepalen of een natuurlijke persoon identificeerbaar is, moet volgens overweging 26 van de AVG rekening worden gehouden met alle middelen die redelijkerwijs kunnen worden gebruikt door de verwerkingsverantwoordelijke of door een andere persoon om de persoon direct of indirect te identificeren. Volgens de absolute benadering worden gegevens beschouwd als identificeerbaar wanneer een partij, zij het de verwerkingsverantwoordelijke of een willekeurige, onbekende derde, in staat is om de betrokkene te identificeren. Onder deze benadering worden gegevens sneller als persoonsgegevens gekwalificeerd. De relatieve benadering beschouwt de middelen die redelijkerwijs ter beschikking staan van de verwerkingsverantwoordelijke als juridisch relevant, waarbij de mogelijkheid wordt opengehouden dat de gegevens eerst bij een derde zijn opgevraagd.
In het Breyer-arrest heeft het Gerecht niet expliciet gekozen tussen de absolute en relatieve benadering. Volgens het Gerecht wordt een dynamisch IP-adres beschouwd als persoonsgegeven voor een websitehouder, op voorwaarde dat deze juridische middelen heeft om toegang te verkrijgen tot identificerende gegevens van de internetprovider (ISP). Dit gold in het bijzonder voor situaties waarin de Duitse overheid betrokken was bij cyberaanvallen. Hieruit kan worden afgeleid dat het Gerecht, zonder specifiek te verwijzen naar de relatieve benadering, waarde hecht aan de vraag wie toegang heeft tot aanvullende informatie en daarmee de betrokkene kan identificeren. Het is echter belangrijk om te beoordelen of het redelijkerwijs mogelijk is om een dynamisch IP-adres te koppelen aan extra informatie die in het bezit is van de internetprovider, om zo de betreffende persoon te kunnen identificeren. Advocaat-generaal Sánchez-Bordona, had in punt 68 van zijn conclusie bij het Breyer-arrest opgemerkt dat dit niet het geval is wanneer de identificatie van de betrokkene wettelijk verboden is of in de praktijk onuitvoerbaar. Dit kan bijvoorbeeld het geval zijn wanneer de benodigde tijd, kosten en inspanningen buitensporig zijn, waardoor het risico op identificatie in werkelijkheid verwaarloosbaar lijkt. Hiermee lijkt ook de advocaat-generaal te neigen naar de relatieve benadering.
Het verschil tussen dit arrest en het Breyer-arrest ligt uitsluitend in de contextuele omstandigheden. Kort gezegd gaat het om de vraag of er wel of geen legitieme, wettelijke toegang is tot een referentie dataset met aanvullende informatie. In het Breyer-arrest was het perspectief van de websitehouder doorslaggevend bij de vraag of het IP-adres als persoonsgegeven werd beschouwd. In het geval van Breyer had de Duitse overheid legitieme toegang tot identificatiemiddelen die gekoppeld waren aan IP-adressen voor cyberbeveiligingsonderzoeken. In de huidige zaak had Deloitte daarentegen geen legitieme toegang tot identificatiemiddelen die gekoppeld waren aan de verwerkte inhoud.
In deze zaak hebben de EDPS en het Gerecht echter verschillende conclusies getrokken met betrekking tot het gebruik van de Breyer-criteria. Het Gerecht is van mening dat bij het beoordelen van de onomkeerbaarheid van pseudonimisering altijd het perspectief van de ontvanger in acht moet worden genomen. De EDPS daarentegen betoogde dat de gegevens voor de verzender persoonsgegevens waren, omdat pseudonimisering vanuit het oogpunt van de verzender wel omkeerbaar was.
Het belang van een contextuele benadering, waarbij het perspectief van de ontvanger wordt meegewogen bij de beoordeling van persoonsgegevens, blijkt ook uit de recente overwegingen van advocaat-generaal Sánchez-Bordona in zijn conclusie van 4 mei 2023 (4). Hier buigt de advocaat-generaal zich over de kwestie of een voertuigidentificatienummer (VIN) als persoonsgegeven moet worden beschouwd. In tegenstelling tot verschillende gegevensbeschermingsautoriteiten, zoals de Beierse gegevensbeschermingsautoriteit voor de particuliere sector en de gegevensbeschermingsautoriteit van Noordrijn-Westfalen in Duitsland, is de advocaat-generaal van mening dat het VIN niet zonder meer als persoonsgegeven kan worden beschouwd. De advocaat-generaal overweegt dat de kwalificatie van een persoonsgegeven afhankelijk is van het perspectief waaruit het wordt bekeken, evenals de middelen die redelijkerwijs door een bepaalde actor kunnen worden aangewend voor identificatie. Het is daarom van essentieel belang om de verschillende middelen die redelijkerwijs door verschillende actoren kunnen worden ingezet voor identificatiedoeleinden te onderzoeken. Zo zullen overheidsinstanties doorgaans over meer middelen beschikken om een persoon te identificeren dan een commercieel bedrijf. Hoewel het Gerecht nog een beslissing moet nemen in deze zaak, hebben wij het vertrouwen dat het Gerecht, gezien zijn eerdere jurisprudentie met betrekking tot vergelijkbare onderwerpen, de bevindingen van de advocaat-generaal zal ondersteunen.
Het is overigens belangrijk om op te merken dat het Gerecht in deze uitspraak niet heeft geconcludeerd dat de schriftelijke opmerkingen geanonimiseerd waren. Het Gerecht heeft alleen geconcludeerd dat de EDPS de inhoud van de opmerkingen niet had onderzocht voordat ze als persoonsgegevens werden beschouwd. GAR betwistte dat de schriftelijke opmerkingen feitelijke en juridische informatie bevatten die losstaat van de persoon of zijn persoonlijke eigenschappen, en niet gerelateerd was aan het privéleven van de klager. Daarom zouden de schriftelijke opmerkingen, wanneer ze gekoppeld worden aan codes, niet als persoonsgegevens beschouwd moeten worden. Het Gerecht heeft echter dit specifieke argument niet overwogen, maar heeft gebruikgemaakt van de redenering in de zaak Nowak en geoordeeld dat meningen of standpunten niet automatisch als persoonsgegevens moeten worden beschouwd. Deze beoordeling moet gebaseerd zijn op een onderzoek naar de vraag of een opmerking, door de inhoud, het doel of het effect ervan, gelieerd is aan een bepaalde persoon. In dit geval kon de EDPS niet concluderen dat de gegevens persoonsgegevens waren omdat de inhoud van de opmerkingen niet was onderzocht.
In mei 2022 heeft het Gerecht in een uitspraak geconcludeerd dat de inhoud van een persbericht, waarin opmerkingen over een verdachte werden gemaakt, geanonimiseerd was (5). In het persbericht werd gesteld dat een vrouwelijke Griekse academicus werd verdacht van het frauduleus claimen van €245.525,43 aan persoonlijke uitgaven. In haar schadevordering tegen de EU bij het Gerecht betoogde zij dat een lezer van het persbericht aan de hand van de daarin opgenomen gegevens verschillende kenmerken van haar kon identificeren, zoals het feit dat zij een Griekse vrouw was, het bedrag van de financiering en het feit dat haar vader bij dezelfde universiteit werkte. Het Gerecht oordeelde echter dat er geen persoonsgegevens in het persbericht stonden, omdat de aanvrager niet geïdentificeerd werd en niet identificeerbaar was aan de hand van redelijkerwijs te verwachten middelen. Het Gerecht hanteerde een beoordeling op basis van de “gemiddelde lezer” om vast te stellen of de aanvrager identificeerbaar was.
Deze uitspraken benadrukken het belang van een zorgvuldige analyse van de context en de inhoud van gegevens bij het vaststellen van hun status als persoonsgegevens en daarmee de materiële toepasselijkheid van de AVG. Het is essentieel om een evenwicht te vinden tussen gegevensbescherming en het vrije verkeer van informatie. Hoewel de jurisprudentie zich geleidelijk ontwikkelt, blijkt duidelijk dat Europese rechters vasthouden aan een contextuele, relatieve benadering bij het beoordelen van de juridische status van data en persoonsgegevens, waarbij het perspectief van de ontvanger en het risico op heridentificatie worden meegewogen.
Zoals geregeld in artikel 20, leden 16 tot en met 18, van verordening nr. 806/2014
De beslissing heeft betrekking op verordening 2018/1725, het equivalent van de AVG voor EU-instellingen, maar de concepten en relevante vereisten voor gegevensbescherming zijn hetzelfde.
Specifiek met betrekking tot de AVG, zal het Hof van Justitie zelf deze kwestie opnieuw onderzoeken in zaak C-604/22.
De beslissing heeft betrekking op verordening 2018/1725, het equivalent van de AVG voor EU-instellingen, maar de concepten en relevante vereisten voor gegevensbescherming zijn hetzelfde.
Specifiek met betrekking tot de AVG, zal het Gerecht zelf deze kwestie opnieuw onderzoeken in zaak C-604/22.
(4) Zie: ECLI:EU:C:2023:385 (Gesamtverband Autoteile-Handel e.V. v Scania CV AB) (C-319/22)
(5) Zie: ECLI:EU:T:2022:273 (T-384/20)
