Recht op inzage: er zijn grenzen aan de toegang tot (persoons)gegevens

De Ierse Court of Appeal heeft in een recente uitspraak geoordeeld dat notities (memoranda) met betrekking tot een klacht van een werknemer over een audit die werd uitgevoerd door zijn werkgever geen persoonsgegevens uitmaken.

De recente Europese rechtspraak maakt duidelijk dat de rechten van betrokkenen – zoals hun recht op inzage – zeer ruim zijn, maar niet onbegrensd. We hebben in het verleden al enkele keren gewezen op het feit dat inzageverzoeken voor persoonsgegevens zéér ver kunnen gaan. Dat blijkt uit enkele oudere beslissingen van het Italiaanse Hof van Cassatie (lees hier ons blogartikel “Recht op inzage onder GDPR geldt ook voor interne verslagen“), de rechtbank Midden-Nederland (lees hier ons blogartikel “Recht op inzage onder GDPR geldt ook voor e-mails”) en onze eigen GBA (beslissing 33/2020 van 19 juni 2020).

Een individuele afweging is steeds noodzakelijk, zowel wat betreft de kwalificatie van gegevens (als persoonsgegevens) als het verlenen van een gevolg aan de inzageverzoeken van betrokkenen.

 

Waarover gaat deze uitspraak over het recht op inzage?

De heer Nowak beweerde dat zijn voormalige werkgever voor twee audits niet had voldaan aan de wettelijke boekhoudings- en auditnormen en diende een klacht in bij de Chartered Accountants Regulatory Board (“CARB”).

Als reactie op die klacht heeft zijn voormalige werkgever CARB voorzien van bepaalde notities (memoranda), waarin de klachten worden behandeld. Die memoranda waren het onderwerp van de procedure.

Nadat de CARB had besloten dat de klacht van de heer Nowak geen verder onderzoek waard was, heeft de heer Nowak een verzoek om toegang tot gegevens (inzageverzoek) ingediend bij zijn voormalige werkgever. Zijn personeelsdossier mocht de heer Nowak uiteindelijk ontvangen, de relevante memoranda daarentegen niet.

Ontevreden over de reactie van zijn voormalige werkgever, diende de heer Nowak een klacht in bij de Ierse toezichthoudende autoriteit (de Data Protection Commission of DPC).

De DPC stelde vast dat de memoranda geen persoonsgegevens van de heer Nowak bevatten. Zowel de Circuit Court als de High Court bevestigden dat oordeel. Het inzageverzoek van de heer Nowak kon dus geen betrekking hebben op die memoranda.

 

Wat besliste de Court of Appeal?

De Court of Appeal merkte eveneens op dat de heer Nowak niet bij naam genoemd werd in de memoranda, maar dat het in de begeleidende brief wel het geval was. De heer Nowak wordt dus wel geïdentificeerd door de memoranda in samenhang met de begeleidende brief. Voordat er sprake is van persoonsgegevens moet er volgens de Court of Appeal worden vastgesteld dat de memoranda gegevens bevatten die “betrekking hebben op” de heer Nowak en dat het enkel zo is wanneer het gaat om de identiteit, de kenmerken of het gedrag van de heer Nowak.

De heer Nowak had niet gesteld dat zijn klacht verband hield met de uitoefening van zijn functie als stagiair-accountant. Er was geen verband tussen zijn werk aan de audits en zijn klacht. De inhoud van de memoranda en de vaststelling van de klacht konden alleen van invloed zijn op zijn voormalige werkgever, en niet op de heer Nowak.

De redenering van de Court of Appeal kan dus worden samengevat als volgt:

• de memoranda hebben op geen enkele wijze betrekking op de belangen van de heer Nowak aangezien er in de memoranda op geen enkele wijze naar hem werd verwezen
• de memoranda gaan niet “over” de heer Nowak of “verwijzen naar de identiteit, de kenmerken of het gedrag van” hem
• stellen dat de memoranda persoonsgegevens bevatten, enkel en alleen omdat ze werd opgesteld als gevolg van de klacht van de heer Nowak, zou het begrip persoonsgegevens “onjuist uitrekken”
• en daarom hebben de memoranda geen “betrekking op” de heer Nowak en bevatten ze zijn persoonsgegevens niet.

 

De zeer ruime interpretatie van het begrip persoonsgegeven door het Hof van Justitie

De heer Nowak heeft anderzijds eerder met succes een procedure opgestart tegen de DPC, waarin hij toegang verzocht tot zijn examendocumenten. 

Het Hof van Justitie oordeelde in een arrest van 20 december 2017 (C-434/16) uiteindelijk dat de schriftelijke antwoorden op een beroepsexamen en de eventuele opmerkingen van de examinator bij deze antwoorden persoonsgegevens van de kandidaat uitmaken en dat de kandidaat bijgevolg in principe toegang moet kunnen krijgen tot die documenten.

Meer informatie over die uitspraak kan je vinden in ons blogartikel “Een handgeschreven examendocument kan persoonsgegevens vormen”.Die rechtspraak ligt in de lijn met de zeer ruime uitlegging die doorgaans wordt gegeven aan het begrip persoonsgegevens en de verregaande inzagerechten van betrokkenen.

 

Wat betekent dat voor jouw bedrijf?

Tot nu toe leken de definitie van persoonsgegevens en de actiemogelijkheden van betrokkenen zich steeds verder uit te breiden – vooral omdat in het eerste Nowak-arrest van het Hof van Justitie werd vastgesteld dat schriftelijke antwoorden op een beroepsexamen en de eventuele opmerkingen van de examinator bij deze antwoorden persoonsgegevens uitmaken.

Op basis van de besproken uitspraak van de Court of Appeal kunnen ondernemingen bij ontvangst van inzageverzoeken mogelijks argumenteren dat het feit dat een werknemer een klacht indient niet meteen betekent dat alle documentatie die betrekking heeft op die klacht persoonsgegevens uitmaken – tenzij de klacht een beoordeling van het karakter of het gedrag van die werknemer inhoudt.

Hou er in ieder geval rekening mee dat er bij inzageverzoeken van bijvoorbeeld klanten of werknemers tijdig moet gereageerd worden op die verzoeken. Verder is een individuele afweging steeds noodzakelijk, zowel wat betreft de kwalificatie van gegevens (als persoonsgegevens) als het verlenen van een gevolg aan de uitoefening van rechten.

 

Vragen over GDPR en databescherming in België of Europa?

Contacteer ons vrijblijvend via bart@siriuslegal.be.

Dit artikel werd geschreven door Michiel Beutels