Inleiding
Op 1 oktober 2015 heeft het Europees Hof van Justitie een uitspraak gedaan over de uitleg van Richtlijn 95/46/EG in een procedure van de in Slowakije gevestigde onderneming Weltimmo tegen de Hongaarse Autoriteit bescherming persoonsgegevens. Het recht op bescherming van persoonsgegevens is een grondrecht. De Europese wetgever heeft ter uitvoering van dit grondrecht, zoals neergelegd in art. 8 van het EVRM, Richtlijn 95/46/EG uitgevaardigd. De EU-Lidstaten dienen deze richtlijn in de nationale wetgeving op te nemen. De Wbp is daar de Nederlandse uitwerking van. Dit betekent net zoals voor tal van andere door de Europese wetgever uitgevaardigde wettelijke regels, dat de uitleg van de Europese Richtlijn van belang is voor de uitleg van de nationale wetgeving. De uitspraak van het Hof werpt nieuw licht op de uitleg van Richtlijn 95/46/EG.
Bescherming persoonsgegevens
De ontwikkelingen op het vlak van de bescherming van persoonsgegevens lijken in een stroomversnelling te komen. In dit kader heb ik recentelijk een blog gepubliceerd op de website van Vorstman Advocaten over de Nederlandse Wet bescherming persoonsgegevens (Wbp) en in het bijzonder de per 1 januari 2016 ingevoerde wijziging van die wet met betrekking tot het melden van datalekken. Voor meer informatie over de Wbp verwijs ik graag naar dat blog.
In het kader van de Richtlijn wordt onder persoonsgegevens verstaan alle in een databank verzamelde gegevens, die betrekking hebben op natuurlijke personen en die tot die personen kunnen worden herleid. Wanneer overheden, bedrijven of instellingen dergelijke gegevens met betrekking tot natuurlijke personen verzamelen en bijhouden, dient daar op een zorgvuldige manier mee omgegaan te worden. Degene die de gegevens verzamelt, opslaat en bewerkt (deze wordt aangeduid als de “verwerker” of ook wel “verantwoordelijke”) moet bovendien bij het verzamelen en gerechtvaardigd belang hebben en er moeten niet meer gegevens worden verzameld dan strikt noodzakelijk is (proportionaliteit). De reikwijdte van de verplichting tot bescherming van persoonsgegevens is groter dan de gemiddelde burger en het gemiddelde bedrijf zich realiseert.
Eenmaal verzamelde gegevens mogen niet zomaar aan derden ter hand gesteld worden. Daarover ging de discussie in de zaak Weltimmo.
Geautomatiseerde verwerking
In het bijzonder bij geautomatiseerde verwerking dienen er extra beschermingsmaatregelen te worden getroffen. In dat kader heeft het Hof van Justitie ook een uitspraak gedaan in de zogenaamde Facebook-zaak. Maar ook de per 1 januari 2016 ingevoerde aanvulling op de Wbp, de Wet Datalekken, geeft blijk van de door de wetgever gevoelde noodzaak om de in de digitale omgeving verzamelde en opgeslagen persoonsgegevens te beschermen. Het recente voorval, waarbij de NS per abuis de NAW-gegevens en de bankgegevens van 5.000 klanten aan 3 personen heeft gemaild, geeft een indicatie dat een ongeluk met verstrekkende consequenties voor de privacy bij geautomatiseerde verwerking in een klein hoekje zit.
Steeds meer gegevens delen versus bescherming
Er is een spanningsveld tussen enerzijds het alsmaar meer delen en toegankelijk maken van persoonlijke informatie via het internet en anderzijds het grondrecht van de bescherming van de persoonsgegevens. In onze vrije samenleving beseffen we dat wellicht soms niet, maar het belang van de bescherming van die gegevens is zeer wezenlijk. Zeker als het gaat om de extra gevoelige “bijzondere” persoonsgegevens zoals informatie over politieke overtuiging, geloofsovertuiging, ras, seksuele geaardheid en gezondheid.
Er is ook een politiek spanningsveld. Aan de ene kant komt de wetgever op voor de bescherming van persoonsgegevens en stelt substantiële boetes op onzorgvuldig omgaan met die gegevens. Aan de andere kant wil bijvoorbeeld de minister van VWS, dat zorgverzekeraars zo min mogelijk belemmeringen tegenkomen bij het kennis nemen van medische gegevens van de verzekerde patiënten. Evenzo is er druk op de geheimhouding door advocaten.
De vraag zou gesteld kunnen worden, of de wetgeving zijn doel niet voorbij schiet. Met name de zogenaamde cookiewetgeving is voor de gemiddelde internetgebruiker niet goed te begrijpen. Je wordt geconfronteerd met allerlei nogal storende cookiemeldingen, die de doorsnee bezoeker van websites maar voor lief neemt om verder te kunnen met het bezoek aan een website. Vinden we die bescherming wel wezenlijk genoeg om ermee te worden lastig gevallen?
De casus Weltimmo
Het in Slowakije gevestigde bedrijf Weltimmo exploiteert een vastgoedwebsite met advertenties voor onroerend goed in Hongarije. Daarvoor worden de persoonsgegevens van de aanbieders van het onroerend goed bijgehouden. De eerste maand wordt de advertentie op de website gratis geplaatst en daarna zijn er advertentiekosten verschuldigd. De problemen ontstonden doordat adverteerders de dienst na een maand opzegden, maar dit niet door Weltimmo werd verwerkt. Weltimmo bracht derhalve kosten in rekening, maar de adverteerders wilden die niet betalen omdat ze hadden opgezegd. Volgens schakelde Weltimmo een incassobureau in om de in rekening gebrachte kosten te incasseren, waarbij zij de persoonsgegevens van de betrokken adverteerders aan het incassobureau verschafte. Naar aanleiding van klachten van de getroffen adverteerders nam de Hongaarse Autoriteit Bescherming Persoonsgegevens maatregelen en legde aan Weltimmo de (in Hongarije) maximale boete van EUR 32.000 op.
Art. 4 EU-Richtlijn
Het Hongaarse hooggerechtshof stelde in cassatie prejudiciële vragen aan het Hof van Justitie. Die vragen betroffen art. 4 en art. 28 van de genoemde EU-Richtlijn, te weten welk recht van toepassing is in een dergelijke situatie en of de Hongaarse Autoriteit Bescherming Persoonsgegevens wel bevoegd was om tegen een in Slowakije gevestigde onderneming op te treden op het punt van de verwerking van persoonsgegevens door dat bedrijf.
Art. 4 lid 1 onder a van de Richtlijn bepaalt, dat elke lidstaat zijn nationale wetgeving toepast op activiteiten inzake de verwerking van persoonsgegevens door de “verantwoordelijke”, voor zover de activiteiten plaatsvinden in de eigen lidstaat. De bepaling is hier vereenvoudigd weergegeven. Wanneer een zelfde verantwoordelijke meerdere vestigingen heeft in verschillende lidstaten, dan dient die ervoor te zorgen dat in elk van de lidstaten aan de nationale wetgeving wordt voldaan.
Weltimmo betoogde, dat haar activiteiten inzake de verwerking van persoonsgegevens uitsluitend plaatsvonden in Slowakije, aangezien zij daar haar vestiging heeft. Het Hof wilde hier niet aan. Omdat het hier gaat om een grondrecht, te weten de waarborg ter bescherming van de fundamentele rechten en vrijheden van natuurlijke personen, moet volgens het hof een bijzonder ruime territoriale werkingssfeer worden gegeven aan de nationale beschermingsbepalingen. Het begrip “vestiging” mag niet restrictief worden uitgelegd. Zodra er sprake is van het “effectief en daadwerkelijk uitoefenen van activiteiten door een duurzame vestiging” is er sprake van een vestiging in de lidstaat. Het maakt daarbij ook niet uit of het gaat om een bijkantoor en of het bijkantoor rechtspersoonlijkheid heeft. Een enkele vertegenwoordiger kan al voldoende zijn om te spreken van een vestiging in het kader van deze EU-Richtlijn. Weltimmo had overigens ook een agent in Hongarije en bewerkte specifiek de Hongaarse markt. Het Europese Hof wil ook geen ruimte bieden voor de argumentatie, dat de in Hongarije gevestigde agent zich niet bezighield met de verwerking van persoonsgegevens. Waar het om gaat is of de betreffende verwerking van persoonsgegevens op enigerlei wijze te maken heeft met de activiteiten van de onderneming en of de agent in de betreffende lidstaat actief is, aldus het Hof. Of het om de verwerking van persoonsgegevens gaat van Hongaarse ingezetenen die ook de Hongaarse nationaliteit hebben, doet verder niet ter zake.
Met name wanneer er diensten via internet worden aangeboden, kan dus zelfs een geringe vorm van activiteit door de in de andere lidstaat gevestigde onderneming voldoende zijn om de nationale wetgeving van de lidstaat waar de website zich op richt van toepassing te laten zijn. Daarmee is ook de Autoriteit Bescherming Persoonsgegevens van de lidstaat waar de dienstverlening op gericht is bevoegd om op te treden.
Art. 28 EU-Richtlijn
In art. 28 van de EU-Richtlijn wordt bepaald, dat de lidstaten er zorg voor moeten dragen dat er in elke lidstaat een Autoriteit is, die het toezicht in het kader van de richtlijn uitoefent ter bescherming van persoonsgegevens. Deze autoriteiten dienen verschillende bevoegdheden te hebben: (i) de bevoegdheid om onderzoek te doen en toegang te krijgen tot gegevens (in de Wbp heeft de Autoriteit zelfs de bevoegdheid tot binnentreden in een woning), (ii) de bevoegdheid om in te grijpen door middel van adviezen, aanwijzingen of waarschuwingen en (iii) om in rechte tegen inbreuken op te treden. Daarbij valt onder meer te denken aan het opleggen van boetes.
In het kader van de Weltimmo zaak kwam ook aan de orde waar de grens zou liggen, wanneer geconcludeerd zou moeten worden dat de verantwoordelijke niet actief is op het grondgebied van de Autoriteit die zich met een (vermeende) inbreuk bezighoudt. In hoeverre zou de Hongaarse Autoriteit zich met deze kwestie hebben mogen bezighouden, wanneer vastgesteld was dat Weltimmo in de zin van de richtlijn geen vestiging in Hongarije had? Het Hof van Justitie geeft aan, dat de grens ligt bij de soevereiniteit van de betrokken lidstaten. De Autoriteit van het ene land mag wel onderzoek doen naar een mogelijke inbreuk op haar eigen grondgebied, maar wanneer blijkt dat de activiteiten niet vallen onder art. 4 van de EU-Richtlijn, dan blijven haar bevoegdheden beperkt tot het doen van onderzoek.
Wel kan zij dan ingevolge art. 28 lid 6 de Autoriteit van de andere lidstaat vragen om in te grijpen. De Richtlijn schrijft ook voor dat de toezichthoudende autoriteiten moeten samenwerken en onderling inlichtingen moeten uitwisselen. De Autoriteit in de andere lidstaat kan zich daarbij verlaten op de informatie die ze heeft gekregen van de Autoriteit uit de onderzoekende lidstaat.
Implicaties van de uitspraak
Deze uitspraak brengt met zich mee, dat de reikwijdte van de bevoegdheid van de nationale Autoriteiten groter is dan aanvankelijk werd aangenomen. Bedrijven die in meerdere lidstaten van de EU actief zijn, moeten zich rekenschap geven van de verschillende nationale wetgevingen op het vlak van de bescherming van persoonsgegevens. Bedrijven die persoonsgegevens verwerken -en zeker wanneer het gaat om de verwerking van persoonsgegevens in relatie tot het internet- moeten zich afvragen in hoeverre er daarbij sprake is van duurzame activiteiten in een andere lidstaat dan de lidstaat van eigen vestiging. Zo ja, dan zal men zich ook rekenschap moeten geven van de toepasselijke bepalingen van de nationale wetgeving ter plaatse.
Slotsom
De procedure rond Weltimmo laat zien hoe Europese richtlijnen of verordeningen doorwerken in nationale wetgeving die voortgevloeid is uit die Europese wetgeving. Die invloed bestrijkt een veel breder terrein dan alleen de bescherming van persoonsgegevens. Het is soms wel een kwestie van vallen en opstaan, en zoeken naar een juiste uitwerking en toepassing van de Richtlijn. Een voorbeeld daarvan is te vinden op de website van de Nederlandse Autoriteit Bescherming Persoonsgegevens, die trachtte op te treden tegen een internetbedrijf dat gebruik maakt van targeting en retargeting van advertenties op websites door middel van cookies. De sanctie van de Nederlandse Autoriteit is effectief ontlopen door uit te wijken naar Groot-Brittannië. Het inschakelen van de Autoriteit aldaar bleef zonder gevolg, omdat de regels daar kennelijk anders luiden en meer ruimte bieden dan in Nederland. Dat neemt niet weg, dat de ontwikkeling naar een Europese markt en een echte Europese Unie voor alle ingezetenen ook op het juridische vlak onstuitbaar voortschrijdt.
M. de Vries, 15-02-2016
mrmdevriesblog 