In juni 2017 heeft de Gemeenschappelijke Afwikkelingsraad (GAR) – de Europese autoriteit voor de afwikkeling van de banken - een speciale afwikkelingsregeling vastgesteld met betrekking tot de Spaanse bank Banco Popular Español SA. Na de afwikkeling van Banco Popular heeft Deloitte, als onafhankelijke beoordelaar, de GAR voorzien van de beoordeling die zij had uitgevoerd om vast te stellen of de aandeelhouders en crediteuren beter zouden zijn behandeld indien er een normale insolventieprocedure ten aanzien van Banco Popular was gevolgd (1).
Dit is een artikel van Robbert Santifort en Ilham Ezzamouri van Eversheds Sutherland.
Op 6 augustus 2018 publiceerde de GAR op zijn website het voorlopige besluit over het al dan niet toekennen van compensatie aan de aandeelhouders en crediteuren ten aanzien van wie de afwikkelingsmaatregelen aangaande Banco Popular waren genomen en betreffende de inleiding van de procedure om te worden gehoord. Het recht om te worden gehoord is een fundamenteel recht waarin het EU-recht voorziet voor personen die door een individuele maatregel van een EU-orgaan worden getroffen. In deze specifieke procedure werd een tweefasig proces gestart. De eerste fase, genaamd de “inschrijvingsfase”, betrof de registratie van geïnteresseerde aandeelhouders en schuldeisers via een online formulier, waarbij ze ondersteunende documentatie konden verstrekken. In de tweede fase, de “consultatiefase”, konden geverifieerde aandeelhouders en schuldeisers schriftelijke opmerkingen indienen over het voorlopig besluit en de bijgevoegde beoordeling.
Aan het begin van de inschrijvingsfase heeft de GAR op de aanmeldingswebsite voor het hoorproces een privacyverklaring gepubliceerd waarin de verwerking van persoonsgegevens in het kader van het proces werd uiteengezet. Tijdens de inschrijvingsfase hadden alleen bepaalde medewerkers van de GAR toegang tot de verzamelde gegevens om de geschiktheid van de deelnemers te beoordelen. Deze gegevens waren niet zichtbaar voor de medewerkers van de GAR die verantwoordelijk waren voor de verwerking van de ontvangen opmerkingen tijdens de consultatiefase. Deze medewerkers ontvingen alleen opmerkingen die geïdentificeerd werden met een alfanumerieke code die aan elke individuele opmerking was gekoppeld op basis van het ingediende formulier.
Nadat de opmerkingen waren geaggregeerd, automatisch gefilterd en gecategoriseerd, heeft de GAR de opmerkingen over de uitgevoerde beoordeling doorgestuurd naar Deloitte. Alleen opmerkingen die tijdens de consultatiefase waren ontvangen en voorzien waren van een alfanumerieke code werden aan Deloitte verstrekt. Door middel van deze code kon alleen de GAR de opmerkingen koppelen aan de gegevens die tijdens de inschrijvingsfase waren verzameld. Deloitte had geen toegang tot de database met gegevens die tijdens de inschrijvingsfase waren verzameld.
De betrokken aandeelhouders en schuldeisers hebben vijf klachten ingediend bij de Europese Toezichthouder voor gegevensbescherming (EDPS) op basis van verordening 2018/1725 (2). De klagers hebben aangevoerd dat de GAR hun niet had meegedeeld dat de verzamelde gegevens in strijd met de privacyverklaring zouden worden doorgezonden aan derden.
De EDPS heeft een eerste besluit genomen waarin werd geconcludeerd dat de GAR de bepalingen van de verordening had geschonden door de klagers niet op de hoogte te stellen dat hun persoonsgegevens aan Deloitte konden worden verstrekt. Na een verzoek om herziening door de GAR werd dit besluit ingetrokken en vervangen door een herzien besluit van de EDPS waarin opnieuw werd vastgesteld dat de GAR de verordening had overtreden.
In reactie hierop heeft de GAR beroep aangetekend bij het Europese Hof van Justitie (hierna: Hof), waarbij zij onder andere vroeg om de nietigverklaring van het herziene besluit van de EDPS.
Het Hof heeft het beroep van de GAR toegewezen en het herziene besluit van de EDPS vernietigd.
In zijn arrest heeft het Hof het begrip persoonsgegevens verduidelijkt zoals gedefinieerd in artikel 3, lid 1 van verordening 2018/1725, dat verwijst naar “elke informatie over een geïdentificeerde of identificeerbare natuurlijke persoon”. Om als persoonsgegeven te worden beschouwd, moeten twee cumulatieve voorwaarden worden vervuld: ten eerste moet de informatie betrekking hebben op een natuurlijke persoon, en ten tweede moet die natuurlijke persoon “geïdentificeerd of identificeerbaar” zijn.
Allereerst heeft het Hof onderzocht of de EDPS terecht kon concluderen dat de aan Deloitte verstrekte informatie betrekking had op een natuurlijke persoon zoals bedoeld in de verordening. Het Hof merkt op dat de EDPS in het herziene besluit alle opmerkingen van de betrokken aandeelhouders en schuldeisers tijdens de raadplegingsfase als “persoonsgegevens” heeft geclassificeerd, zonder zich te beperken tot de informatie die aan Deloitte is verstrekt. Het Hof oordeelt dat het passend is om het onderzoek te beperken tot de vraag of de informatie die aan Deloitte is verstrekt, als persoonsgegevens kan worden beschouwd volgens artikel 3, lid 1 van verordening 2018/1725.
Het Hof merkt op dat het begrip persoonsgegevens een ruime reikwijdte heeft, en niet beperkt is tot gevoelige of persoonlijke informatie, maar zich potentieel uitstrekt tot elke soort informatie, inclusief objectieve en subjectieve informatie zoals meningen en beoordelingen, op voorwaarde dat deze informatie betrekking heeft op de betrokken persoon. Het Hof concludeert dat de EDPS in het herziene besluit niet heeft onderzocht of de inhoud, het doel of het effect van de aan Deloitte verstrekte informatie daadwerkelijk verband hielden met een bepaalde persoon.
Het oordeel van de EDPS dat de schriftelijke opmerkingen van de klagers tijdens de consultatiefase hun mening of zienswijze weerspiegelden en daarom als persoonsgegevens moesten worden geclassificeerd, kan niet worden gebaseerd op vermoedens, maar moet gebaseerd zijn op een onderzoek dat ertoe strekt te bepalen of een standpunt, gelet op de inhoud, het doel of het gevolg ervan, gelieerd is aan een bepaalde persoon. Aangezien de EDPS een dergelijk onderzoek niet heeft uitgevoerd, kon niet worden geconcludeerd dat de aan Deloitte verstrekte informatie persoonsgegevens waren.
Ten tweede boog het Hof zich over de vraag of de aan Deloitte verstrekte informatie betrekking had op een “geïdentificeerde of identificeerbare” natuurlijke persoon. Het Hof constateert dat niet wordt betwist dat de alfanumerieke code op zichzelf de identificatie van de auteurs van de opmerkingen niet mogelijk maakte. Bovendien had Deloitte geen toegang tot de identificatiegegevens die tijdens de inschrijvingsfase werden ontvangen en die de deelnemers aan de hand van de code aan hun opmerkingen zouden kunnen koppelen. Hoewel de EDPS stelt dat de aanvullende informatie, bestaande uit de alfanumerieke code en de identificatiedatabase, nodig was om de auteurs van de opmerkingen te identificeren, blijkt uit het arrest Breyer dat het aan Deloitte is om te beoordelen of de aan haar verstrekte informatie betrekking heeft op “identificeerbare personen”. Het was dus de taak van de EDPS om te onderzoeken of Deloitte over redelijkerwijs beschikbare middelen beschikte om de auteurs van de opmerkingen te identificeren door de aan Deloitte verstrekte informatie te combineren met de aanvullende informatie waarover de GAR beschikte. Aangezien de EDPS niet heeft onderzocht of Deloitte dergelijke middelen had en of zij redelijkerwijs toegang kon krijgen tot de aanvullende informatie, kon de EDPS niet concluderen dat de aan Deloitte verstrekte informatie gegevens betrof over een “identificeerbare natuurlijke persoon” volgens artikel 3, lid 1 van verordening 2018/1725. Het Hof vernietigt daarom het herziene besluit van de EDPS.
Dit oordeel van het Hof benadrukt de noodzaak voor de EDPS om zorgvuldig en grondig te onderzoeken of informatie als persoonsgegevens moet worden beschouwd, met name wanneer het gaat om de vraag of de informatie betrekking heeft op een bepaalde persoon en of deze persoon identificeerbaar is. Het Hof legt de nadruk op de verplichting om niet (alleen) te kijken naar het perspectief van de verwerkingsverantwoordelijke, maar ook naar het perspectief van de ontvanger van de informatie, om te bepalen of de informatie gegevens betreft over een identificeerbare persoon. Deze uitspraak biedt belangrijke richtlijnen voor de interpretatie en toepassing van gegevensbeschermingsregels met betrekking tot persoonsgegevens in de Europese Unie.Top of Form
Om te bepalen of gepseudonimiseerde informatie die aan een gegevensontvanger is overgedragen persoonsgegevens vormen, moet het perspectief van de gegevensontvanger worden overwogen. Als de gegevensontvanger geen aanvullende informatie heeft waarmee hij de betrokkenen opnieuw kan identificeren en geen wettelijke middelen heeft om toegang te krijgen tot dergelijke informatie, kan de overgedragen informatie als geanonimiseerd worden beschouwd voor de ontvanger en dus niet als persoonsgegevens. Het feit dat de gegevensoverdrager de middelen heeft om de betrokkenen opnieuw te identificeren, betekent niet automatisch dat de overgedragen informatie ook persoonsgegevens vormt voor de ontvanger.
Het Hof oordeelde ook dat hoewel persoonlijke opvattingen of meningen persoonsgegevens kunnen vormen, dit niet automatisch moet worden aangenomen. Een beoordeling op basis van de specifieke omstandigheden is vereist om te bepalen of een opvatting door de inhoud, het doel of het effect ervan is gekoppeld aan een bepaalde persoon.
Om te bepalen of een natuurlijke persoon identificeerbaar is, moet volgens overweging 26 van de AVG rekening worden gehouden met alle middelen die redelijkerwijs kunnen worden gebruikt door de verwerkingsverantwoordelijke of door een andere persoon om de persoon direct of indirect te identificeren. De discussie over de kwalificatie van persoonsgegevens onder de AVG betreft de vraag of de “absolute” of “relatieve” benadering moet worden toegepast. Volgens de absolute benadering worden gegevens beschouwd als identificeerbaar wanneer een partij, zij het de verwerkingsverantwoordelijke of een willekeurige, onbekende derde, in staat is om de betrokkene te identificeren. Onder deze benadering worden gegevens sneller als persoonsgegevens gekwalificeerd. De relatieve benadering beschouwt de middelen die redelijkerwijs ter beschikking staan van de verwerkingsverantwoordelijke als juridisch relevant, waarbij de mogelijkheid wordt opengehouden dat de gegevens eerst bij een derde zijn opgevraagd.
In het Breyer-arrest heeft het Hof niet expliciet gekozen tussen de absolute en relatieve benadering. Volgens het Hof wordt een dynamisch IP-adres beschouwd als persoonsgegeven voor een websitehouder, op voorwaarde dat deze juridische middelen heeft om toegang te verkrijgen tot identificerende gegevens van de internetprovider (ISP). Dit gold in het bijzonder voor situaties waarin de Duitse overheid betrokken was bij cyberaanvallen. Hieruit kan worden afgeleid dat het Hof, zonder specifiek te verwijzen naar de relatieve benadering, waarde hecht aan de vraag wie toegang heeft tot aanvullende informatie en daarmee de betrokkene kan identificeren. De woorden "voor hem" in de genoemde overweging suggereren dat willekeurige derden worden uitgesloten. Het is echter belangrijk om te beoordelen of het redelijkerwijs mogelijk is om een dynamisch IP-adres te koppelen aan extra informatie die in het bezit is van de internetprovider, om zo de betreffende persoon te kunnen identificeren. Advocaat-generaal Sánchez-Bordona, had in punt 68 van zijn conclusie bij het Breyer-arrest opgemerkt dat dit niet het geval is wanneer de identificatie van de betrokkene wettelijk verboden is of in de praktijk onuitvoerbaar. Dit kan bijvoorbeeld het geval zijn wanneer de benodigde tijd, kosten en inspanningen buitensporig zijn, waardoor het risico op identificatie in werkelijkheid verwaarloosbaar lijkt. Hiermee lijkt ook de advocaat-generaal te neigen naar de relatieve benadering.
Het verschil tussen dit arrest en het Breyer-arrest ligt uitsluitend in de contextuele omstandigheden. Kort gezegd gaat het om de vraag of er wel of geen legitieme, wettelijke toegang is tot een referentie dataset met aanvullende informatie. In het Breyer-arrest was het perspectief van de websitehouder doorslaggevend bij de vraag of het IP-adres als persoonsgegeven werd beschouwd. In het geval van Breyer had de Duitse overheid legitieme toegang tot identificatiemiddelen die gekoppeld waren aan IP-adressen voor cyberbeveiligingsonderzoeken. In de huidige zaak had Deloitte daarentegen geen legitieme toegang tot identificatiemiddelen die gekoppeld waren aan de verwerkte inhoud.
In deze zaak hebben de EDPS en het Hof echter verschillende conclusies getrokken met betrekking tot het gebruik van de Breyer-criteria. Het Hof is van mening dat bij het beoordelen van de onomkeerbaarheid van pseudonimisering altijd het perspectief van de ontvanger in acht moet worden genomen. De EDPS daarentegen betoogde dat de gegevens voor de verzender persoonsgegevens waren, omdat pseudonimisering vanuit het oogpunt van de verzender wel omkeerbaar was.
Het belang van een contextuele benadering, waarbij het perspectief van de ontvanger wordt meegewogen bij de beoordeling van persoonsgegevens, blijkt ook uit de recente overwegingen van advocaat-generaal Sánchez-Bordona in zijn conclusie van 4 mei 2023 (3). Hier buigt de advocaat-generaal zich over de kwestie of een voertuigidentificatienummer (VIN) als persoonsgegeven moet worden beschouwd. In tegenstelling tot verschillende gegevensbeschermingsautoriteiten, zoals de Beierse gegevensbeschermingsautoriteit voor de particuliere sector en de gegevensbeschermingsautoriteit van Noordrijn-Westfalen in Duitsland, is de advocaat-generaal van mening dat het VIN niet zonder meer als persoonsgegeven kan worden beschouwd. De advocaat-generaal overweegt dat de kwalificatie van een persoonsgegeven afhankelijk is van het perspectief waaruit het wordt bekeken, evenals de middelen die redelijkerwijs door een bepaalde actor kunnen worden aangewend voor identificatie. Het is daarom van essentieel belang om de verschillende middelen die redelijkerwijs door verschillende actoren kunnen worden ingezet voor identificatiedoeleinden te onderzoeken. Zo zullen overheidsinstanties doorgaans over meer middelen beschikken om een persoon te identificeren dan een commercieel bedrijf.
Hoewel het Hof nog een beslissing moet nemen in deze zaak, hebben wij het vertrouwen dat het Hof, gezien zijn eerdere jurisprudentie met betrekking tot vergelijkbare onderwerpen, de bevindingen van de advocaat-generaal zal ondersteunen.
Het is overigens belangrijk om op te merken dat het Hof in deze uitspraak niet heeft geconcludeerd dat de schriftelijke opmerkingen geanonimiseerd waren. Het Hof heeft alleen geconcludeerd dat de EDPS de inhoud van de opmerkingen niet had onderzocht voordat ze als persoonsgegevens werden beschouwd. GAR betwistte dat de schriftelijke opmerkingen feitelijke en juridische informatie bevatten die losstaat van de persoon of zijn persoonlijke eigenschappen, en niet gerelateerd was aan het privéleven van de klager. Daarom zouden de schriftelijke opmerkingen, wanneer ze gekoppeld worden aan codes, niet als persoonsgegevens beschouwd moeten worden. Het Hof heeft echter dit specifieke argument niet overwogen, maar heeft gebruikgemaakt van de redenering in de zaak Nowak en geoordeeld dat meningen of standpunten niet automatisch als persoonsgegevens moeten worden beschouwd. Deze beoordeling moet gebaseerd zijn op een onderzoek naar de vraag of een opmerking, door de inhoud, het doel of het effect ervan, gelieerd is aan een bepaalde persoon. In dit geval kon de EDPS niet concluderen dat de gegevens persoonsgegevens waren omdat de inhoud van de opmerkingen niet was onderzocht.
In mei 2022 concludeerde het Hof in een uitspraak echter wel dat de inhoud van een persbericht, die opmerkingen over een verdachte bevatte, geanonimiseerd was (4). In een openbaar persbericht werd gesteld dat een vrouwelijke Griekse academicus werd verdacht van het frauduleus claimen van €245.525,43 aan persoonlijke uitgaven. In haar schadevordering tegen de EU bij het Hof betoogde zij dat een lezer van het persbericht aan de hand van de daarin opgenomen gegevens verschillende kenmerken van haar kon identificeren, zoals het feit dat zij een Griekse vrouw was, het bedrag van de financiering en het feit dat haar vader bij dezelfde universiteit werkte. Het Hof oordeelde echter dat er geen persoonsgegevens in het persbericht stonden, omdat de aanvrager niet geïdentificeerd werd en niet identificeerbaar was aan de hand van redelijkerwijs te verwachten middelen. Het Hof hanteerde een toetsing aan de “gemiddelde lezer” om te bepalen of de aanvrager identificeerbaar was.
Deze uitspraken benadrukken het belang van een zorgvuldige analyse van de context en de inhoud van gegevens bij het vaststellen van hun status als persoonsgegevens en daarmee de materiële toepasselijkheid van de AVG. Het is essentieel om een evenwicht te vinden tussen gegevensbescherming en het vrije verkeer van informatie. Hoewel de jurisprudentie zich geleidelijk ontwikkelt, blijkt duidelijk dat Europese rechters vasthouden aan een contextuele, relatieve benadering bij het beoordelen van de juridische status van data en persoonsgegevens, waarbij het perspectief van de ontvanger en het risico op heridentificatie worden meegewogen.
Zoals geregeld in artikel 20, leden 16 tot en met 18, van verordening nr. 806/2014
De beslissing heeft betrekking op verordening 2018/1725, het equivalent van de AVG voor EU-instellingen, maar de concepten en relevante vereisten voor gegevensbescherming zijn hetzelfde.
Zie: ECLI:EU:C:2023:385 (Gesamtverband Autoteile-Handel e.V. v Scania CV AB) (C-319/22)
Zie: ECLI:EU:T:2022:273 (T-384/2
KENNISBANK