Rina Steenkamp - Privacy en technologie
Hoofdstuk 2. Voorwaarden voor de rechtmatigheid van de verwerking van persoonsgegevens
Paragraaf 1. De verwerking van persoonsgegevens in het algemeen
Artikel 8 [Grondslag rechtmatigheid gegevensverwerking]
[...] de gegevensverwerking noodzakelijk is voor de behartiging van het gerechtvaardigde belang van de verantwoordelijke of van een derde aan wie de gegevens worden verstrekt, tenzij het belang of de fundamentele rechten en vrijheden van de betrokkene, in het bijzonder het recht op bescherming van de persoonlijke levenssfeer, prevaleert
Ingevolge dit onderdeel is een gegevensverwerking geoorloofd indien deze noodzakelijk is voor de behartiging van een gerechtvaardigd belang van de verantwoordelijke of van een derde aan wie de gegevens worden verstrekt, tenzij het belang of de fundamentele rechten en vrijheden van de betrokkene, in het bijzonder het recht op bescherming van de persoonlijke levenssfeer, doorslaggevend zijn. Onderdelen b tot en met e van artikel 8 zijn specifiek daar steeds een bepaald doel wordt genoemd waaraan moet worden getoetst. Onderdeel f is met de verwijzing naar een gerechtvaardigd belang van de verantwoordelijke, welk belang dan ook, veel algemener van aard en daarmee in wezen een soort restbepaling. In de praktijk blijkt dat een sluitende regeling van de gronden van verwerking van persoonsgegevens niet goed mogelijk is.
De vraag rijst op welke wijze van de daarin gegeven interpretatieruimte gebruik moet worden gemaakt. In de eerste plaats vereist onderdeel f dat er sprake is van een gerechtvaardigd belang van de verantwoordelijke of van een derde. Een gerechtvaardigd belang van de verantwoordelijke kan aanwezig worden geacht in het geval dat de betreffende verwerking voor laatstgenoemde noodzakelijk is om zijn reguliere bedrijfsactiviteiten te kunnen verrichten. De verantwoordelijke kan zijn beroep of bedrijf niet goed uitoefenen indien hem de mogelijkheid zou worden ontzegd de met het oog daarop noodzakelijke gegevens te verwerken. Zo dient een schadeverzekeraar ten behoeve van een schadeclaim naast de gegevens van zijn cliënt ook gegevens van de tegenpartij en eventuele getuigen te kunnen verwerken. Zonder een dergelijke verwerking zou een goede dienstverlening niet goed mogelijk zijn.
Een dergelijke interpretatie vindt rechtstreekse steun in de richtlijn: in overweging 30 komt tot uitdrukking dat persoonsgegevens in het kader van wettige activiteiten, zoals 'dagelijks beheer van ondernemingen en andere organisaties', in beginsel kunnen worden gebruikt en aan derden verstrekt. Cruciaal is evenwel dat de toelaatbaarheid van de gegevensverwerking door diezelfde richtlijn begrensd wordt: de verwerking is uitsluitend toelaatbaar indien zij noodzakelijk is met het oog op belang van de verantwoordelijke of een derde én het belang van degene van wie de gegevens worden verwerkt niet prevaleert. De bepaling impliceert een motiveringsplicht voor de verantwoordelijke. Hij dient voor zichzelf verschillende vragen te beantwoorden, zoals:
De noodzakelijkheidseis die in artikel 8 besloten ligt, veronderstelt dat de verantwoordelijke op dergelijke vragen een bevredigend antwoord heeft. Desgevraagd dienen deze antwoorden ook zichtbaar te worden gemaakt, zodat zij eventueel door de rechter kunnen worden getoetst.
Enige voorbeelden mogen de betekenis van dit onderdeel verduidelijken. In het algemeen deel van deze memorie is reeds het voorbeeld genoemd van de schadeverzekeraar die ten behoeve van de afwikkeling van een schadeclaim naast de gegevens van zijn cliënt ook gegevens van de tegenpartij en eventuele getuigen moet kunnen verwerken. Ook in het geval iemand een levensverzekeringsovereenkomst wil sluiten te behoeve van een derde, zullen eveneens de gegevens van die derde door de verzekeraar daartoe verwerkt moeten worden. Zonder dat zou zijn dienstverlening niet goed mogelijk zijn. Ook ten aanzien van gegevensverwerkingen die weliswaar geen onderdeel uitmaken van de reguliere bedrijfsactiviteiten van de verantwoordelijke maar deze wel in wezenlijke zin ondersteunen, kan in de regel worden aangenomen dat de verantwoordelijke een gerechtvaardigd belang heeft. Als voorbeeld kan worden genoemd de gegevensverwerking in het bedrijf in het kader van fraudebestrijding en intern marktonderzoek. Een gegevensverwerking kan ook geschieden in het kader van activiteiten die weliswaar geen (direct) onderdeel uitmaken van de kernactiviteiten van de verantwoordelijke maar daar nauw mee verweven zijn. Een voorbeeld is wanneer een bedrijf zijn cliëntgegevens wil benutten voor het doen van een mailing om een nieuw produkt onder hun aandacht te brengen (direct marketing). Ook dan kan in beginsel een gerechtvaardigd belang van de verantwoordelijke worden aangenomen.
Daarnaast moet de gegevensverwerking noodzakelijk zijn ten behoeve van het gerechtvaardigd belang van de verantwoordelijke (of een derde). Kunnen hun belangen anderszins of met minder ingrijpende middelen worden gediend, dan is de voorgenomen gegevensverwerking niet toegestaan. Hier spelen wederom het proportionaliteits- en subsidiariteitsbeginsel een rol. Evenals bij de gronden b tot en met e dient de noodzaak in de uiteengezette zin in verhouding tot het doel te worden beoordeeld. Dat betekent dat, alle belangen in ogenschouw genomen, de voorgenomen gegevensverwerking als noodzakelijk voor het doel moet worden beschouwd.
De bepaling schrijft in aanvulling op de eerste afweging (noodzakelijk voor een gerechtvaardigd belang van de verantwoordelijke), waarbij mogelijk de belangen van de betrokkene als onderdeel van een veelheid van belangen reeds onder ogen zijn gezien, nog een tweede toets voor. Deze tweede toets vergt een nadere afweging, waarbij de belangen van de betrokkene een zelfstandig gewicht in de schaal leggen tegenover het belang van de verantwoordelijke. Met deze tweede toets wordt nog eens extra de nadruk gelegd op het proportionaliteitsvereiste. Deze extra toets is aan het slot van het voorschrift opgenomen door middel van de zinsnede 'tenzij het belang of de fundamentele rechten en vrijheden van de betrokkene, in het bijzonder het recht op bescherming van de persoonlijke levenssfeer, prevaleert'. Dit betekent niet dat op voorhand de belangen van de betrokkene zwaarder moeten wegen, doch slechts dat een hernieuwde aangescherpte toets, waarbij de belangen van de betrokkene afzonderlijk moeten worden gewogen. Indien de betrokkene geen belang heeft bij de door de verantwoordelijke voorgestane gegevensverwerking, behoeft dit geenszins te betekenen dat daarmee de gegevensverwerking ongeoorloofd is. Verantwoordelijke en betrokkene kunnen tegengestelde belangen hebben bij een gegevensverwerking. Een bank heeft bij voorbeeld een geheel ander belang bij het verwerken van de beschikbare gegevens teneinde mogelijkheden tot compensatie van vorderingen na te gaan dan de daarbij betrokken cliënten zelf hebben. Alleen in het geval dat het belang van de betrokkene op bescherming van zijn persoonlijke levenssfeer doorslaggevend is dient de verantwoordelijke af te zien van de gegevensverwerking.
De verantwoordelijke dient de belangen af te wegen zoals deze aan hem bekend zijn. Indien de omstandigheden daartoe aanleiding geven zal van hem kunnen worden verwacht nader onderzoek te doen naar het gewicht van deze belangen. De afweging zal in dit stadium evenwel in de regel een meer algemeen karakter hebben. Kan een individuele betrokkene aanspraak maken op een andere uitkomst van deze afweging op gronden die de verantwoordelijke niet kende en niet behoefde te kennen, dan kan de betrokkene deze nadere afweging in zijn geval op de door aangedragen gronden afdwingen via het recht van verzet als bedoeld in artikel 40. Bij de in onderdeel f voorgeschreven afweging speelt een rol de mate van gevoeligheid van de gegevens die de verantwoordelijke wil verwerken en de maatregelen die de verantwoordelijke heeft genomen ten einde rekening te houden met de belangen van de betrokkene. De belangen van de betrokkene zullen in mindere mate gewicht in de schaal leggen naarmate in zijn belang meer waarborgen voor een zorgvuldig gebruik van de gegevens zijn genomen. Zo kan een bank er een gerechtvaardigd belang bij hebben de betalingsverkeergegevens van bepaalde cliënten – bij voorbeeld cliënten die regelmatig op hun rekening rood staan of hoge kredieten hebben opgenomen en aflossingsproblemen hebben – te analyseren, bij voorbeeld om deze personen te kunnen adviseren met het doel hun betaalgedrag efficiënter te doen zijn. Duidelijk is dat een dergelijke analyse gerechtvaardigd is nadat de desbetreffende cliënten zijn benaderd met het verzoek een dergelijke analyse te mogen doen en zij in de gelegenheid zijn gesteld daartegen bezwaar te maken. Het ongevraagd analyseren en adviseren van de cliënt op basis van een analyse van zijn persoonlijke gegevens, zal in het algemeen niet door de onderhavige bepaling kunnen worden gedragen. Het feit dat een verantwoordelijke in een gedragscode nadere voorschriften heeft opgenomen over het gebruik dat van de gegevens wordt gemaakt en de personen aan wie ze kunnen worden verstrekt, kan eveneens een rol spelen bij de beantwoording van de vraag in het kader van onderdeel f of de verantwoordelijke een juiste afweging van belangen heeft gemaakt.
Tot de relevante omstandigheden die eveneens meewegen bij een oordeel over de door de verantwoordelijke gemaakte afweging speelt tevens een rol of het gaat om de publieke dan wel de private sector. Binnen de publieke sector geldt immers de rechtstreeks werkende grondwetsbepaling die de persoonlijke levenssfeer beschermt, mede tegen de achtergrond van de daarmee corresponderende verdragsbepalingen. Ook in gevallen dat het onderdeel zou leiden tot een inbreuk op de persoonlijke levenssfeer, en de bepaling in dat geval als een legitimerende grondslag zou moeten worden aangemerkt als bedoeld in artikel 10, eerste lid, van de Grondwet, dan nog mag in het licht van artikel 8 EVRM, deze inbreuk niet verdergaan dan noodzakelijk is. De jurisprudentie van het EHRM heeft hieraan een uitgewerkte betekenis gegeven, zoals in het algemeen deel van deze memorie is uiteengezet.
De Grondwet en het EVRM beogen in eerste instantie slechts de vrijheidssfeer van de burger ten opzichte van de overheid te waarborgen. Gaat het om de private sector dan hebben de in het geding zijnde grondrechten slechts een afgeleide werking (de z.g. horizontale werking) namelijk voor zover zij uit een oogpunt van maatschappelijke zorgvuldigheid ook door burgers jegens elkaar in acht behoren te worden genomen. De werking heeft niet de volle omvang als in de publieke sector. Bij de interpretatie van het begrip 'noodzakelijk' in onderdeel f speelt de vraag of het gaat om een publieke dan wel een private context daarom mede een rol. Waar dus het bestaande onderscheid in de materiële bepalingen van de WPR tussen private en publieke sector in de tekst van het wetsvoorstel wordt opgeheven, blijft dit onderscheid bij de interpretatie van het voor beide sectoren geldende algemene norm van onderdeel f, desalniettemin relevant.
In het algemeen deel van de toelichting bij dit artikel is al ingegaan op het belang van artikel 8, onder f. Wij wezen erop dat deze verwerkingsgrond ten opzichte van de WPR, in de private sector een aanscherping van mogelijkheden oplevert om gegevens te verwerken: niet meer de verwerkingen waartoe het belang van de verantwoordelijke dat redelijkerwijs aanleiding geeft (artikel 4 WPR), maar de noodzaak van de behartiging van diens gerechtvaardigd belang, dient voortaan de grondslag voor de gegevensverwerking te zijn. Dit laatste criterium gold krachtens de WPR alleen voor de publieke sector.
Overeenkomstig de WPR kan ook het belang van een derde grond kan zijn voor de verwerking van gegevens. Als gevolg hiervan behoeft de verantwoordelijke niet dezelfde persoon te zijn als degene in wiens belang de gegevens worden verwerkt. De verantwoordelijke kan zich een belang van een derde aantrekken en ten behoeve van dat belang gegevens die hij reeds onder zich heeft, verwerken. Een koepelorganisatie kan bijvoorbeeld in het belang van de bij haar aangesloten organisaties een registratie aanhouden van geconstateerde fraudegevallen. Een vergelijking kan ook worden getrokken met artikel 13 WPR dat spreekt van het bedrijfsmatig verstrekken van gegevens aan derden. De verantwoordelijke kan gegevens verwerken voor een ander doel dan het oorspronkelijke waarvoor de gegevens werden vergaard, eventueel ten behoeve van een derde, voor zover het gaat om doeleinden die verenigbaar zijn met het oorspronkelijk doel. Dit brengt met zich mee dat de verwerking niet kan plaatsvinden voor een doel ofwel belang van een derde dat niet verenigbaar is met het doel waarvoor de gegevens door de verantwoordelijke zijn verzameld. Het is niet mogelijk dat de verantwoordelijke enkel uit faciliterende overwegingen gegevens ten behoeve van een derde verwerkt. Indien het doel waaraan de verantwoordelijke is gebonden bijvoorbeeld met zich brengt dat de gegevens moeten worden vernietigd kan hij deze niet meer bewaren enkel om de reden dat het verwerken van die gegevens het belang van de derde zou dienen.
Gaat het om verstrekking aan een derde dan zou een vergelijking kunnen worden getrokken met artikel 13 WPR dat eveneens uitgaat van het doel van een derde als grond voor een verstrekking.
Het bovenstaande brengt een verruiming van het beginsel van doelbinding met zich omdat immers niet alleen het doel van de verwerking maar ook andere doeleinden, mits verenigbaar met het oorspronkelijk doel, grond kunnen zijn voor een verstrekking aan derden. Onderdeel f laat in beginsel een dergelijke verwerking toe, tenzij het belang van de betrokkene zwaarder moet wegen. In de regel zal diens belang vergen dat hij vooraf in de gelegenheid wordt gesteld bezwaar te maken tegen een dergelijke voorgenomen verstrekking, tenzij een dergelijke bekendmaking van de zijde van het gemeentelijk energiebedrijf aan de betrokkenen een onevenredige inspanning zou vergen. Bij gegevensverwerking noodzakelijk voor de behartiging van een gerechtvaardigd belang van een derde, dient de verantwoordelijke – alvorens tot verwerking over te gaan – op de hoogte te zijn van het belang dat de derde heeft bij de gegevensverwerking en welke hem ter beschikking staande gegevens in het licht van evenbedoelde belang van betekenis zijn (zie bij voorbeeld HR 10 december 1993, NJ 1994, 667). Ongeacht de verantwoordelijkheid van de derde dient de verantwoordelijke daarbij af te wegen of de verwerking noodzakelijk is met het oog op dat belang en of het belang van de betrokkene niet dient te prevaleren.
[MvT, pagina 86-89]