Bart Van den Brande schreef onderstaande bijdrage voor het Tijdschrift Privacy en Persoonsgegevens, uitgave 12/2018:
Mag een geloofsgemeenschap in het kader van haar bekeringswerk persoonsgegevens verzamelen en verwerken zonder de expliciete toestemming van de betrokkenen en is zij daarbij onderworpen aan het (pre-AVG) Europese gegevensbeschermingsrecht? Dat is eenvoudig samengevat het vraagstuk dat beantwoord wordt in een erg interessant arrest van het Hof van Justitie van 10 juli 2018.
Het arrest brengt verduidelijking over de precieze interpretatie van een aantal van de basisbegrippen in het gegevensbeschermingsrecht die ook in de AVG zijn opgenomen. Het gaat daarbij weliswaar om een arrest dat gewezen werd in het kader van een geschil over de interpretatie onder Richtlijn 95/46 en specifiek onder Fins recht, maar de begrippen die hierbij onder de loep genomen werden, zijn stuk voor stuk ook in de AVG opgenomen, zodat het arrest ook erg relevant is voor de betekenis van deze begrippen onder de AVG. De gevolgen van het arrest onderstrepen de noodzaak voor bedrijven en verenigingen (ook feitelijke verenigingen) om intern volledige controle te verkrijgen op alle persoonsgegevens die door hun personeel, medewerkers, leden of vrijwilligers verwerkt worden om als organisatie ten aanzien van álle persoonsgegevens te kunnen voldoen aan de vereisten die de AVG met zich meebrengt.
De aanleiding van het arrest: Jehova’s getuigen op de been
Het geschil kadert in de activiteiten van de geloofsgemeenschap van Jehova’s getuigen, die van oudsher aan hun leden de opdracht geven om door middel van huis-aan-huis bezoeken en hun tijdschrift ‘De Wachttoren’ te proberen andersgelovigen te overtuigen om tot hun eigen geloofsovertuiging toe te treden.
Op zich is daar vanzelfsprekend niets verkeerds aan en alle wereldreligies kennen in meer of mindere mate een zekere bekeringsdrang. Alleen stelde de Finse Gegevensbeschermingsautoriteit daarbij vast dat de betrokken Jehova’s getuigen klaarblijkelijk min of meer systematisch en op basis van door hun kerk ter beschikking gestelde template-formulieren en met duidelijke instructies heel wat persoonsgegevens noteerden van de personen met wie ze tijdens hun van huis-aan-huisbezoeken in aanraking kwamen. Zo werden bijvoorbeeld namen, adressen en religieuze voorkeuren bijgehouden en werd genoteerd wanneer een bepaalde persoon het onaangekondigde bezoek absoluut niet geapprecieerd had.
Dit was naar de mening van de Finse Gegevensbeschermingsautoriteit niet aanvaardbaar. De Finse privacywaakhond was van oordeel dat een en ander een inbreuk uitmaakte op de privacy van de betrokkenen en gaf aan de Finse afdeling van Jehova’s getuigen het bevel om bij de huisbezoeken door haar leden voortaan het gegevensbeschermingsrecht na te leven. Meer in het bijzonder werd de gemeenschap van Jehova’s getuigen verboden om in het kader van de van-huis-tot-huisverkondiging door haar leden nog langer persoonsgegevens te verzamelen of te verwerken zonder daarbij de wettelijke voorwaarden voor zo’n verwerking na te leven.
De gemeenschap van Jehova’s getuigen van haar kant meende dat zij zelf helemaal geen persoonsgegevens verwerkte. Zij hield voor dat haar leden persoonlijk en op eigen initiatief losse aantekeningen bijhielden die niet beschouwd konden worden als een “bestand”. Bovendien meende de gemeenschap dat haar leden zich konden beroepen op de uitzondering in het gegevensbeschermingsrecht voor persoonlijk en huishoudelijk gebruik.
Enigszins verbazend werd de Jehova’s gemeenschap door de rechter in eerste aanleg in deze redenering gevolgd, waarna de toezichthouder in hoger beroep ging. De Finse beroepsrechter legde vervolgens enkele pertinente vragen voor aan het Hof van Justitie:
– Wanneer is er sprake van persoonlijk of huishoudelijk gebruik?
– Is het gegevensbeschermingsrecht ook van toepassing op (persoonlijke) analoge notities en kunnen die als een bestand beschouwd worden?
– Is een organisatie verantwoordelijk voor de gegevensverwerking door haar individuele leden?
De beslissingen van het Hof
Persoonlijk en huishoudelijk gebruik
Overweging 12 bij Richtlijn 95/46 bepaalde:
“Overwegende dat de beginselen inzake bescherming moeten gelden voor alle verwerkingen van persoonsgegevens zodra de werkzaamheden van de voor de verwerking verantwoordelijke binnen de werkingssfeer van het gemeenschapsrecht vallen; dat dit niet geldt voor de verwerking van gegevens door een natuurlijke persoon in activiteiten met uitsluitend persoonlijke of huishoudelijke doeleinden, bijvoorbeeld correspondentie en het bijhouden van adressenbestanden”.
Artikel 3.2 van Richtlijn 95/46 luidde:
“De bepalingen van deze richtlijn zijn niet van toepassing op de verwerking van persoonsgegevens: […] – die door een natuurlijk persoon in activiteiten met uitsluitend persoonlijke of huishoudelijke doeleinden wordt verricht.”
Dezelfde bepalingen vonden we in de oude Fins Privacywet terug en stonden bijvoorbeeld in België in artikel 4, §2 van de Wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens.
De uitzonderingen van artikel 3.2 Richtlijn 95/46 moeten volgens het Hof in eerdere arresten beperkend worden geïnterpreteerd.
Het Hof kreeg nu in het kader van dit geschil de gelegenheid om zich nogmaals uit te spreken over de precieze draagwijdte van het begrip “persoonlijke of huishoudelijke doeleinden” en besluit dat deze uitzondering beperkt geïnterpreteerd moet worden. Het Hof stelt hierover opnieuw dat “de activiteit in dit verband niet als een met uitsluitend persoonlijke of huishoudelijke doeleinden verrichte activiteit in de zin van die bepaling kan worden beschouwd wanneer zij erin bestaat, persoonsgegevens voor een onbepaald aantal personen toegankelijk te maken, of wanneer deze activiteit -zelfs gedeeltelijk- de openbare ruimte bestrijkt en daardoor is gericht op de sfeer buiten de privésfeer van degene die de gegevens verwerkt.”
Het Hof oordeelt dat de huis-aan-huisverkondiging door de Jehova’s getuigen tot doel heeft het geloof van de gemeenschap te verkondigen aan andersgelovigen die duidelijk geen deel uitmaken van het gezin of de familie van de huis-aan-huisverkondigers. De activiteit valt hierdoor wel degelijk buiten de uitzondering voor verwerking binnen de privésfeer. Dit is des te meer het geval nu er blijkbaar centraal binnen de gemeenschap ook lijsten bijgehouden werden van mensen die niet bezocht willen worden, wat volgens het Hof duidt op enige gegevensuitwisseling met de centrale organisatie, wat meteen elke twijfel over het privékarakter van de verwerking wegneemt. Het doorslaggevende element lijkt voor het Hof met andere woorden vooral te liggen in de zekere mate van sturing van een en ander door de geloofsgemeenschap, waaruit blijkt dat de notities van de huis-aan-huisverkondigers niet voor puur persoonlijk gebruik bestemd waren, maar een hoger doel nastreefden dat het persoonlijke of familiale overstijgt.
Het Hof besluit dan ook logischerwijze dat in casu geen sprake is van verwerking voor persoonlijke of huishoudelijke doeleinden, aangezien de uitzondering alleen opgaat voor activiteiten die tot het privé- of gezinsleven van particulieren behoren. Zodra de verwerking erop is gericht om persoonsgegevens voor een ruimer aantal personen toegankelijk te maken of als de verwerkingsactiviteit in de openbare ruimte kadert en daarmee de privésfeer overstijgt, is de uitzondering voor persoonlijke of huishoudelijke doeleinden niet langer van toepassing
Zijn analoge notities en lijstjes een bestand?
De volgende vraag was of de notities van de huis-aan-huispredikers beschouwd kunnen worden als een “bestand van persoonsgegevens”in de zin van de definitie die hieraan gegeven werd in Richtlijn 95/46.
Artikel 3 van de Richtlijn luidde als volgt:
“De bepalingen van deze richtlijn zijn van toepassing op de geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, alsmede op de niet-geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen.”
Artikel 2.c van de Richtlijn definieerde een bestand als “elk gestructureerd geheel van persoonsgegevens die volgens bepaalde criteria toegankelijk zijn, ongeacht of dit geheel gecentraliseerd dan wel gedecentraliseerd is of verspreid op een functioneel of geografisch bepaalde wijze”.
In casu ging het om schriftelijke notities gemaakt door de huis-aan-huispredikers van Jehova’s getuigen. Het ging dus duidelijk om een niet-geautomatiseerde verwerking, die enkel onder de Richtlijn viel als er sprake was van (de bedoeling tot) opname in een bestand.
Het Hof benadrukt dat het begrip “bestand” ruim moet worden geïnterpreteerd en dat het hierbij vooral gaat om persoonsgegevens die gestructureerd zijn volgens specifieke criteria die het in de praktijk mogelijk maken deze gegevens gemakkelijk terug te vinden voor een later gebruik ervan.
In dit geval bleken de schriftelijke notities wel degelijk geordend bijgehouden te worden op basis van naam en adres of bijvoorbeeld ook op basis van lijsten met personen die best niet opnieuw gecontacteerd zouden worden.
Het Hof stuurt er in dit arrest duidelijk op aan om de benedengrens om tot het bestaan van een bestand te besluiten, zo laag mogelijk te houden , in die zindat het loutere feit dat een bepaalde set persoonsgegevens doorzoekbaar is op een aantal criteria met een minimale ordening of logica, volstaat om van een bestand te kunnen spreken. Dit alles blijft relevant na 25 mei 2018, aangezien de definitie van een bestand onder AVG bijna letterlijk dezelfde is gebleven.
Een en ander staat overigens in schril contrast met een recent arrest van het Hof van Cassatie. Het Hof besloot daarin dat het Hof van Beroep Luik de toenmalige wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens niet miskend had door te oordelen dat het geheel van contracten met haar klanten die een bank bijhoudt, geen bestand uitmaakt ondanks het feit dat die contracten om administratieve redenen wel degelijk in logisch gestructureerde dossiers werden bijgehouden.
Wie is verantwoordelijke voor de gegevensverwerking?
De derde vraag die het Hof heeft beantwoord, is wie beschouwd moet worden als verantwoordelijke voor de gegevensverwerking in de context van individuele vrijwilligers die gegevens verzamelen en verwerken in het kader van een vereniging of organisatie.
In dit geval hield de gemeenschap van Jehova’s getuigen voor dat haar leden op eigen initiatief handelden en dat zijzelf als organisatie aldus niet als verantwoordelijke voor de verwerking beschouwd kon worden.
We brengen daarbij in herinnering dat het doorslaggevende criterium om te bepalen of iemand al dan niet de hoedanigheid van verantwoordelijke heeft, ligt in het antwoord op de vraag in welke mate hij of zij het doel van en de middelen voor de verwerking bepaalt.
Het verzamelen en verwerken van persoonsgegevens van de aan huis bezochte personen, zo zegt het Hof, dient de verwezenlijking van het doel van de gemeenschap van Jehova’s getuigen, met name de verspreiding van hun geloof. De leden-verkondigers van Jehova’s getuigen verzamelen deze gegevens dus met het oog op het verwezenlijken van specifieke doelen van de geloofsgemeenschap. Een en ander gebeurt, zo zegt het Hof in overweging 72, op aanzet of aanmoediging van de gemeenschap van Jehova’s getuigen, wat betekent dat het doel van en de middelen voor de gegevensverwerking (mee) bepaald werden door de geloofsgemeenschap.
De advocaat-generaal had daarbij in zijn conclusie al vooropgesteld:
“Naar mijn mening bestaan er – gelet op de noodzaak het begrip “voor de verwerking verantwoordelijke” in de zin van richtlijn 95/46 ruim uit te leggen en een hoge mate van bescherming na te streven – voldoende aanwijzingen om aan te nemen dat de gemeenschap het doel van de verwerking van de door de leden verzamelde gegevens vaststelt, namelijk het voortdurend streven naar meer gelovigen via doeltreffender verkondigingswerk door een zo goed mogelijke voorbereiding van de bezoeken.”
Het Hof concludeert daaruit dat de geloofsgemeenschap samen met haar leden-verkondigers kan worden beschouwd als verantwoordelijke voor de verwerking van de persoonsgegevens. Het is daarbij niet noodzakelijk dat die gemeenschap toegang heeft tot die gegevens of dat wordt aangetoond dat zij haar leden schriftelijke richtsnoeren of instructies voor die verwerking heeft gegeven. Het Hof had daarbij recentelijk nog benadrukt dat het begrip verantwoordelijke ruim uitgelegd moet worden om een doeltreffende en volledige bescherming van de betrokkenen te verzekeren, dat verschillende personen gezamenlijk verantwoordelijke kunnen zijn en dat deze verantwoordelijken ook in verschillende stadia en in verschillende mate bij de verwerking betrokken kunnen zijn, wat ook in casu het geval lijkt te zijn.
Belangrijke gevolgen voor (feitelijke) verenigingen en ook voor bedrijven
Dit arrest leert ons dat definities in Richtlijn 95/46 en bij uitbreiding in de AVG ruim moeten worden geïnterpreteerd en uitzonderingen restrictief, steeds met een hoog niveau van bescherming voor de betrokkene voor ogen.
Dit geldt, net als onder het oude recht evenzeer voor het begrip verantwoordelijke voor de verwerking. Maar voor het eerst stelt zich de vraag naar een soort van organisch gedeelde of collectieve verantwoordelijkheid voor de verwerking tussen alle leden van een organisatie. Eerdere adviezen van met name de Werkgroep Artikel 29 gingen niet in op dit toch enigszins atypische aspect van het begrip verantwoordelijkheid voor de verwerking. In dit specifieke geval lijkt het Hof zich vooral gericht te hebben op een pragmatische benadering van het geschil teneinde te voorkomen dat de gemeenschap van Jehova’s getuigen zou ontsnappen aan de toepassing van de AVG omwille van de kunstmatige afstand die zij trachtte te scheppen tussen de organisatie, die zogenaamd geen gegevens verzamelde en ook geen sturing zou geven in die zin aan haar leden en de individuele gemeenschapsleden die deur-aan-deur bezoeken afleggen en daarbij wel degelijk instructies opvolgden van hogerhand. Een en ander valt terug op de fundamentele vraag wie het doel en de middelen van de verwerking bepaalt en in welke mate de gewekte schijn daartoe overeenstemt met de werkelijkheid, waarbij de werkelijke situatie en feitelijke beoordeling steeds voorrang zal moeten krijgen. Dit was precies ook de insteek van het recente arrest Wirtschaftsakademie Schleswig-Holstein van het Europees Hof voor Justitie, waarin afgelopen zomer geoordeeld werd dat bij het beheren van een Facebook fanpagina voor een bedrijf of instelling enerzijds Facebook als verantwoordelijke voor de verwerking moet gezien worden, maar anderzijds ook de uitbater van de fanpagina zelf als beheerder beschouwd kan worden. Beiden beheren immers, elk binnen hun eigen context, het doel en de middelen van de verwerking. De samenlezing van beide arresten met het al eerder geciteerde advies van de Werkgroep Artikel 29 uit 2010 bevestigen dat het bepalen van de hoedanigheid van verantwoordelijke voor de verwerking in alle gevallen een pragmatische en feitelijke invulling vereist, wat ertoe kan leiden dat met name in feitelijke verenigingen alle leden hoofdelijk als verantwoordelijke beschouwd zullen worden.
Aangaande het begrip bestand, is de vaak terugkerende vaststelling in de praktijk bij bedrijven en verenigingen dat leden, vrijwilligers of werknemers heel wat persoonsgegevens verwerken buiten centrale softwaresystemen (ERP-pakketten, CRM-tools, enz.) om, wat zorgt voor een proliferatie aan lokaal opgeslagen Excel-bestanden, in een of andere cloudservice gedeelde documenten, op eigen toestellen opgeslagen foto’s, verslagen, emails, enz. Hetzelfde geldt voor sportverenigingen, ouderverenigingen en alle (feitelijke) verenigingen die met vrijwilligers werken en waar gegevens vaak ook gedecentraliseerd bij die vrijwilligers worden verwerkt.
Dit arrest maakt zeer duidelijk dat in vele gevallen dit soort gegevens wel degelijk opgenomen is of zal worden in een bestand én dat het bedrijf of de vereniging in de meeste gevallen medeverantwoordelijke zal zijn. Het is dus voor bedrijven en verenigingen van primordiaal belang om persoonsgegevens intern te identificeren en lokaliseren en vervolgens de verwerking ervan onder controle te krijgen om ten aanzien van alle persoonsgegevens binnen de organisatie te kunnen voldoen aan de vereisten van de AVG.
Heeft u vragen over GDPR of databescherming in het algemeen?
Neem gerust vrijblijvend contact op met Bart op bart@siriuslegal.be of op +32 486 901 931