Het Europese Hof van Justitie heeft op 10 juli 2018 een arrest gewezen, nadat een Finse rechter vragen heeft gesteld aan het Hof inzake de privacy-verplichtingen van een gemeenschap Jehova’s getuigen. Hoewel de uitspraak gebaseerd is op het ‘oude’ privacyrecht (in Nederland de Wet bescherming persoonsgegevens), is deze ook nu relevant aangezien veel begrippen en bepalingen onder de Algemene Verordening Gegevensbescherming (AVG) ongewijzigd zijn gebleven.
1. Huishoudelijk gebruik
De AVG is niet van toepassing als een verwerking van persoonsgegevens plaatsvindt voor persoonlijk of huishoudelijk gebruik. Deze uitzondering mag volgens het Hof echter enkel gebruikt worden als het gaat om activiteiten die tot het privé- of gezinsleven van particulieren behoren. Wanneer de verwerking gericht is op het ‘toegankelijk maken van persoonsgegevens voor een onbepaald aantal personen’ of als ‘de verwerkingsactiviteit de openbare ruimte bestrijkt en daardoor gericht is op de sfeer buiten de privésfeer’ is de uitzondering voor persoonlijk of huishoudelijk gebruik in elk geval niet van toepassing.
2. Bestand
De AVG is van toepassing op alle digitale verwerkingen en op analoge verwerkingen (zoals fysieke personeelsdossiers) voor zover de gegevens zijn opgenomen in een “bestand”. Het begrip bestand is in de AVG gedefinieerd als een gestructureerd geheel van persoonsgegevens die volgens bepaalde criteria toegankelijk zijn.
Volgens het Hof is al snel sprake van een bestand, namelijk als de gegevens gestructureerd zijn op een manier dat zij gemakkelijk terug te vinden zijn. Het gaat dan ook niet alleen om steekkaarten, specifieke lijsten of een ander ordeningssysteem.
3. Organisatie verantwoordelijk voor verwerkingen door leden
Wanneer is een organisatie verantwoordelijk voor verwerkingen die haar leden verrichten, als de organisatie geen expliciete instructie heeft gegeven voor deze verwerkingen? Relevant is in hoeverre de verwerkingen het doel van de organisatie dienen. Wanneer de organisatie daarnaast de verwerkingen coördineert en aanmoedigt bij haar leden, ligt het volgens het Hof voor de hand dat de verantwoordelijkheid bij de organisatie ligt. Hieruit maken wij op dat – wanneer verwerkingen geschieden in het kader van het lidmaatschap bij een vereniging of organisatie – al snel sprake zal zijn van verwerkingsverantwoordelijkheid, hetgeen zou betekenen dat een organisatie (mogelijk onbedoeld) verantwoordelijk en aansprakelijk kan zijn voor de verwerkingshandelingen van haar leden.
Tot slot
Uit bovengenoemde uitspraak blijkt dat definities uit de AVG naar verwachting strikt moeten worden uitgelegd en dat het uitgangspunt altijd dient te blijven dat de privacy van betrokkenen op hoog niveau beschermd wordt.
Wij volgen uitspraken en ontwikkelingen op de voet en houden u op de hoogte over het meest recente privacynieuws!
Hebt u hierover vragen? Neem dan contact op met onze sectie privacyrecht via het e-mailadres privacyrecht@vangelderadvocaten.nl of telefonisch via 088- 88 40 840. Wij helpen u graag verder.
Bron: Europese Hof van Justitie, 10 juli 2018, ECLI:EU:C:2018:551
