HvJ EU, 04-05-2017, nr. C-13/16

Artikel 7 van de Fizisko personu datu aizsardzības likums (Letse wet bescherming persoonsgegevens) is in soortgelijke bewoordingen geformuleerd als artikel 7 van de richtlijn. Het bepaalt dat persoonsgegevens, tenzij de wet anders bepaalt, slechts mogen worden verwerkt indien is voldaan aan ten minste één van de volgende voorwaarden:

De verwijzende rechterlijke instantie wenst te vernemen of op grond van artikel 7, onder f), van de richtlijn persoonsgegevens moeten worden verstrekt met het doel een civielrechtelijke procedure in te leiden. Met andere woorden: de verwijzende rechterlijke instantie wenst te vernemen of de richtlijn zelf een verplichting oplegt om die persoonsgegevens te verstrekken.

Naar mijn mening kan een dergelijke verplichting niet uit de richtlijn zelf worden afgeleid. Dat volgt ondubbelzinnig uit de tekst, de structuur en het doel van de richtlijn.

Wat om te beginnen de structuur en de logica van de richtlijn betreft, geldt dat de onderliggende standaardregel ervan is dat persoonsgegevens in de regel niet mogen worden verwerkt, ter waarborging van een hoog niveau van bescherming van het privéleven.4. De verwerking van persoonsgegevens dient dan ook, naar de aard ervan, de uitzondering te blijven.

Artikel 7 past binnen die structuur. Deze bepaling voorziet in een lijst van uitzonderingen op de standaardregel, in welke gevallen gegevensverwerking gerechtvaardigd is wanneer aan strikt omschreven voorwaarden is voldaan. De in artikel 7 genoemde categorieën zijn derhalve uitzonderingen op de algemene regel.

Tegen deze achtergrond bevestigt de tekst van artikel 7 duidelijk dat de opgesomde categorieën louter moeten worden gezien als het verlenen van een bevoegdheid of mogelijkheid om persoonsgegevens te verwerken, en niet als een verplichting, wanneer de feitelijke situatie binnen een van de wettelijke uitzonderingen valt. Overeenkomstig deze bepaling bepalen de lidstaten ‘dat de verwerking van persoonsgegevens slechts mag geschieden indien…’.5. Die bewoordingen, die ook in de andere taalversies zijn gebruikt6., laten duidelijk zien dat de uitzonderingen van artikel 7 inderdaad uitzonderingen zijn. Er kan geen verplichting uit worden afgeleid om persoonsgegevens te verwerken.

Het feit dat in elk geval enkele van de in artikel 7 opgenomen uitzonderingen rechtstreekse werking hebben7., doet aan de eerdere conclusie niet af. Zij doen niet noodzakelijkerwijs een recht op de verkrijging van informatie ontstaan voor degenen die daarom verzoeken, en evenmin doen zij een daaruit voortvloeiende verplichting tot onthulling ontstaan voor degenen die deze informatie bezitten. Artikel 7 voorziet eerder in algemene regels opdat de gegevensverwerker kan vaststellen wanneer, of, hoe en in welke mate verkregen persoonsgegevens mogen worden verwerkt.

Ten slotte bestaat het algemene doel van de richtlijn erin, binnen de EU te voorzien in gemeenschappelijke grenzen of beperkingen voor verwerking van persoonsgegevens. De concrete en individuele gronden en redenen voor de verwerking moeten dan doorgaans in het nationale recht of in andere rechtsinstrumenten van de EU worden gezocht. De richtlijn stelt met andere woorden grenzen aan de gegevensverwerking en voorziet niet in bevordering ervan.

De tekst, de structuur, de logica en het doel van de richtlijn laten dan ook vrij duidelijk zien dat artikel 7, onder f), van de richtlijn niet in de zin kan worden gelezen dat daaruit uit zichzelf een verplichting voortvloeit om persoonsgegevens te verstrekken.

In een breder systematisch kader en subsidiair kan hieraan worden toegevoegd dat een vergelijkbare structuur niet ongewoon is op andere gebieden van het EU-recht waarin instrumenten van afgeleid EU-recht rechtstreeks of indirect aan persoonsgegevens raken.

Richtlijn 2002/58/EG8. betreffende de persoonlike levenssfeer en de sector elektronische communicatie bijvoorbeeld, die ten aanzien van de elektronische communicatie sector een aanvulling vormt op richtlijn 95/46, bevat evenmin een verplichting tot het verstrekken van informatie. Het Hof maakte in de zaak Promusicae duidelijk dat de eerstgenoemde richtlijn de lidstaten niet belet en ook niet dwingt om in het kader van een civielrechtelijke procedure een verplichting tot het verstrekken van persoonsgegevens op te leggen.9. De lidstaten moeten hierover dus zelf beslissen. Het is geen noodzakelijk gevolg van het Unierecht.

In dezelfde zin heeft het Hof geoordeeld dat andere richtlijnen10., die raken aan persoonsgegevens maar hoofdzakelijk beogen de doeltreffende bescherming van de intellectuele eigendom in de informatiemaatschappij te waarborgen11., evenmin aan de lidstaten de verplichting oplegden om persoonsgegevens te verstrekken teneinde in het kader van een civielrechtelijke procedure de doeltreffende bescherming van het auteursrecht te garanderen.12.

Zoals de verwijzende rechterlijke instantie heeft opgemerkt, heeft de verwerende partij wel degelijk enige persoonsgegevens verkregen: de voor- en achternaam van de betrokkene. Voor het overige is zijn verzoek afgewezen. Naar ik veronderstel, moet dit op grond van het nationale recht zijn gebeurd.

Met betrekking tot de persoonsgegevens die daadwerkelijk zijn verstrekt, is het daarom van belang of het verstrekken ervan al dan niet in overeenstemming was met artikel 7 van de richtlijn.

Er moet echter duidelijk worden benadrukt dat het hiernavolgende gedeelte van deze conclusie betrekking heeft op de bevoegdheid om persoonsgegevens te verstrekken in een feitelijke situatie zoals aan de orde in het hoofdgeding, op voorwaarde dat het nationale recht een rechtsgrondslag voor dat verstrekken biedt. Met andere woorden, welke grenzen stelt het EU-recht in een dergelijke situatie aan het verstrekken van persoonsgegevens? Indien het nationale recht in een vergelijkbare situatie zou bepalen dat persoonsgegevens moeten worden verstrekt, zou een dergelijke verstrekking dan in overeenstemming met artikel 7, onder f), van de richtlijn zijn?

Naar mijn mening is het in een situatie als aan de orde in het hoofdgeding geheel in overeenstemming met artikel 7, onder f), van de richtlijn om die persoonsgegevens te verstrekken die volstaan en voldoende nauwkeurig zijn opdat de benadeelde partij een civielrechtelijke procedure aanhangig kan maken.

Ik zal daarom in dit deel in de eerste plaats onderzoeken wat op grond van de richtlijn in een vergelijkbare feitelijke situatie de juiste rechtsgrondslag is voor het verwerken van persoonsgegevens. In de tweede plaats zal ik de voorwaarden voor toepassing van artikel 7, onder f), van de richtlijn uiteenzetten. In de derde plaats zal ik de onderhavige zaak tegen de achtergrond van deze voorwaarden bespreken.

Een eerste vraag die in zowel de schriftelijke stukken als in de mondelinge opmerkingen aan de orde is gekomen, is welk punt van artikel 7 van de richtlijn in een feitelijke situatie als aan de orde in het hoofdgeding van toepassing zou zijn.

De meeste partijen en interveniënten hebben het door de verwijzende rechterlijke instantie ingeroepen artikel 7, onder f), aangevoerd. De Oostenrijkse regering heeft echter in haar schriftelijke opmerkingen betoogd dat artikel 7, onder f), van de richtlijn niet de juiste rechtsgrondslag is, zelfs niet voor het instellen van een civielrechtelijke procedure. Dat komt doordat de in deze bepaling neergelegde grond voor gegevensverwerking te abstract en onnauwkeurig zou zijn. Om die reden kan deze bepaling een dergelijke beperking van het recht van gegevensbescherming niet rechtvaardigen.

De Commissie heeft zich in haar schriftelijke opmerkingen toegespitst op artikel 7, onder f). In haar mondelinge opmerkingen heeft zij echter eveneens gesuggereerd dat de gegevensverwerking als aan de orde in het hoofdgeding ook onder artikel 7, onder c), of artikel 7, onder e), van de richtlijn zou kunnen vallen.

Artikel 7 van de richtlijn zet verschillende rechtsgrondslagen voor het rechtmatig verwerken van gegevens uiteen en maakt daarbij een onderscheid tussen zes scenario’s. Om te mogen worden verwerkt dienen deze gegevens ten minste onder één van de in artikel 7 genoemde categorieën te vallen. Het is echter duidelijk dat de werkingssfeer en de ratio van deze bepalingen verschillend zijn.

In ruimere en abstracte zin bevat artikel 7 drie soorten uitzonderingen, te weten gevallen waarin de verwerking van persoonsgegevens rechtmatig is: ten eerste, indien de betrokkene zijn toestemming heeft verleend [artikel 7, onder a)]; ten tweede, indien in bepaalde mate ervan wordt uitgegaan dat de voor de verwerking verantwoordelijke of derden gerechtvaardigde belangen hebben [artikel 7, onder b) tot en met e)]; en ten derde, indien tegengestelde gerechtvaardigde belangen niet alleen worden vastgesteld, maar deze ook prevaleren boven de rechten en vrijheden van de betrokkene [artikel 7, onder f)].

De werkingssfeer van artikel 7, onder f), is dan ook ruimer dan die van artikel 7, onder c), of artikel 7, onder e). De eerstgenoemde bepaling is niet gebonden aan specifieke juridische of feitelijke omstandigheden, maar is in nogal algemene bewoordingen geformuleerd. De toepassing ervan is echter strenger, omdat het afhankelijk is gesteld van het daadwerkelijke bestaan van gerechtvaardigde belangen van de voor de verwerking verantwoordelijke of van een derde, die prevaleren boven de belangen van de betrokkene. Artikel 7, onder c), en artikel 7, onder e), stellen dit vereiste niet.

Wetenschappelijke discussies daargelaten, verdienen twee aspecten echter de aandacht. In de eerste plaats sluiten de in artikel 7 opgenomen uitzonderingen elkaar niet uit. Twee, of mogelijkerwijze zelfs alle drie de punten zouden van toepassing kunnen zijn op hetzelfde feitencomplex.13. In de tweede plaats is het praktische verschil in de toepassing, ondanks de enigszins andere formulering, waarschijnlijk nogal minimaal, op voorwaarde dat er sprake is van een duidelijk omschreven en geloofwaardig gerechtvaardigd belang.

Rekening houdend met die voorbehouden, maar mij voegend naar de nationale rechterlijke instantie, die beschikt over volledige kennis van de feiten van de zaak en van het nationale recht zoals dat in de vraag is uiteengezet en die artikel 7, onder f), van de richtlijn als de toepasselijke uitzondering inroept — dient het Hof naar mijn mening op die grondslag te werk te gaan.

Artikel 7, onder f), voorziet in twee cumulatieve voorwaarden. Aan beide voorwaarden moet worden voldaan wil een verwerking van persoonsgegevens rechtmatig zijn. Ten eerste dient de verwerking van de persoonsgegevens noodzakelijk te zijn voor de behartiging van het gerechtvaardigde belang van de voor de verwerking verantwoordelijke of van de derde(n) aan wie de gegevens worden verstrekt. Ten tweede mogen het belang of de fundamentele rechten en vrijheden van de betrokkene niet prevalerenboven het gerechtvaardigde belang.14.

De tweede voorwaarde streeft een afweging van de betrokken belangen na. Voor didactische doeleinden kan de eerste voorwaarde in twee sub-voorwaarden worden opgedeeld: het gerechtvaardigd belang zelf enerzijds, en het noodzakelijke karakter van de verwerking, dus een soort van evenredigheidstoets, anderzijds.

Voor de toepassing van artikel 7, onder f), dienen er derhalve drie elementen aanwezig te zijn: het bestaan van een gerechtvaardigd belang ter rechtvaardiging van de verwerking (a); dat belang dient te prevaleren boven de rechten en belangen van de betrokkene (belangenafweging) (b); en de noodzaak van de verwerking voor de bescherming van het gerechtvaardigde belang (c).

Nu ik het algemene kader van de analyse uiteengezet heb, kom ik thans tot de onderhavige zaak, met het voorbehoud dat het uiteraard uiteindelijk aan de nationale rechter staat om, gelet op zijn uitgebreide kennis van de feiten en het nationale recht, een beslissing te nemen.

Rīgas Satiksme heeft de politie verzocht om het adres en het nummer van de identiteitskaart van de taxipassagier teneinde in een civielrechtelijke procedure de geleden schade te kunnen verhalen.

In de eerste plaats is de uitoefening in rechte van een recht als aan de orde in het hoofdgeding een gerechtvaardigd belang in de zin van artikel 7, onder f), zoals de Tsjechische, de Spaanse en de Portugese regering terecht hebben betoogd.

Dit wordt ook bevestigd door artikel 8, lid 2, onder e), van de richtlijn, dat bepaalt dat de verwerking van bepaalde gevoelige gegevens mogelijk is wanneer ‘de verwerking […] noodzakelijk is voor de vaststelling, de uitoefening of de verdediging van een recht in rechte’. Indien de uitoefening van een recht in rechte de verwerking van gevoelige gegevens kan rechtvaardigen op grond van artikel 8, zie ik niet in waarom dat niet a fortiori als een gerechtvaardigd belang kan worden beschouwd ter rechtvaardiging van de verwerking van niet-gevoelige gegevens op grond van artikel 7, onder f). Die uitlegging volgt ook uit een pragmatische benadering van de richtlijn tegen de achtergrond van de andere instrumenten van afgeleid recht (hierboven genoemd) die streven naar een evenwicht tussen privacy en een doeltreffende rechterlijke bescherming.28.

In de tweede plaats zie ik, wat de belangenafweging in het algemeen betreft, geen reden waarom de belangen of de fundamentele rechten van de betrokkene zouden moeten prevaleren boven het specifieke legitieme doel van de benadeelde partij om een civielrechtelijke procedure in te stellen. In deze context kan hieraan eventueel worden toegevoegd dat het enige wat de verwerende partij in feite vraagt, de mogelijkheid is om een gerechtelijke procedure bij een civiele rechter in te stellen. Het verschaffen van die gegevens zou daarmee op zichzelf niet eens tot een onmiddellijke verandering van de rechtspositie van de betrokkene leiden.

Zoals de Portugese regering terecht heeft aangevoerd, dient juist in de fase van de belangenafweging de leeftijd van de betrokkene in aanmerking te worden genomen.

De verwijzende rechterlijke instantie wenst inderdaad te vernemen in hoeverre het relevant is dat de taxipassagier ten tijde van het ongeval minderjarig was. Naar mijn mening, en gelet op de bijzondere omstandigheden van deze zaak, is dat niet van belang.

In de regel dient in het kader van de belangenafweging inderdaad rekening te worden gehouden met het feit dat de betrokkene minderjarig is. De bijzondere overwegingen die zijn gewijd aan, en de verhoogde bescherming van, minderjarige kinderen, dienen echter duidelijk samen te hangen met het soort aan de orde zijnde gegevensverwerking. Tenzij precies wordt aangetoond op welke wijze het verstrekken van gegevens in dit specifieke geval bijvoorbeeld de lichamelijke of geestelijke ontwikkeling van een kind in gevaar brengt, zie ik geen reden om aan te nemen dat het feit dat de schade door een minderjarige is veroorzaakt, daadwerkelijk tot uitsluiting van de civiele aansprakelijkheid zou moeten leiden.

Indien de uitkomst van de belangenafweging zou zijn dat de belangen van de betrokkene niet prevaleren boven de belangen van degene die om verstrekking van persoonsgegevens verzoekt, rijst er nog een laatste vraag, namelijk de vraag welke gegevens moeten worden verstrekt.

Het staat ook hier aan de verwijzende rechterlijke instantie om te onderzoeken op welke rechtsgrondslag in het nationale recht deze verstrekking moet plaatsvinden. Wanneer deze grondslag eenmaal vaststaat, verzet het ‘noodzakelijkheidscriterium’ van artikel 7, onder f), van de richtlijn zich naar mijn mening zeker niet tegen de verstrekking van alle gegevens die noodzakelijk zijn om naar Lets recht een civielrechtelijke procedure in te stellen.

De Letse regering heeft betoogd dat volgens vaste rechtspraak de bescherming van het grondrecht op privacy vereist dat de afwijkingen van de bescherming van persoonsgegevens en de beperkingen daarop, beperkt moeten blijven tot hetgeen strikt noodzakelijk is. Hoewel deze regering heeft erkend dat er alternatieve mogelijkheden waren om aanvullende gegevens te verkrijgen, heeft zij toegegeven dat de voor- en achternaam waarschijnlijk onvoldoende waren om een recht in rechte uit te oefenen, en de beoordeling daarvan bijgevolg aan de nationale rechter voorgelegd.

Opgemerkt moet worden dat artikel 8, lid 7, van de richtlijn de lidstaten speelruimte laat om te bepalen of zij identificatienummers al dan niet verstrekken. De lidstaten zijn bijgevolg niet verplicht om identificatienummers te verwerken, tenzij dit absoluut noodzakelijk is om een civielrechtelijke procedure in te kunnen stellen.

Niet zozeer de precieze aard van de gegevens is van belang, maar het bezit van alle relevante gegevens die absoluut noodzakelijk zijn om een recht in rechte te kunnen uitoefenen. Indien naar nationaal recht het adres hiertoe voldoende is, hoeven er geen nadere gegevens te worden verstrekt.

Het staat aan de nationale rechter om vast te stellen hoeveel persoonsgegevens noodzakelijk zijn opdat Rīgas satiksme naar Lets recht doeltreffend een procedure in rechte29. kan instellen. Ik wil enkel nog benadrukken dat, zoals reeds uiteengezet in de punten 74 en 75 van deze conclusie, het bestaan van alternatieven om de noodzakelijke persoonsgegevens te verkrijgen, niet relevant is voor de toepassing van artikel 7, onder f). Rīgas satiksme moet in staat zijn om alle noodzakelijke gegevens te verkrijgen van de voor de gegevensverwerking verantwoordelijke tot wie hij het verzoek heeft gericht.

Deze zaak is enigszins bijzonder. De verwijzende rechterlijke instantie wenst in wezen te vernemen of een uitzondering die de verwerking van persoonsgegevens toestaat, kan worden uitgelegd als een verplichting voor de voor de gegevensverwerking verantwoordelijke om de identiteit kenbaar te maken van een persoon die een auto-ongeluk heeft veroorzaakt. Het lijkt erop dat deze vraag in werkelijkheid wordt gesteld, omdat het op nationaal niveau uit hoofde van de gegevensbescherming moeilijk, dan wel onmogelijk, is om dergelijke gegevens te verkrijgen.

Wanneer we kijken naar de feiten van de zaak, zou een niet-geïnformeerde omstander de volgende onschuldige vraag kunnen stellen: is het in een zaak waarin het gaat om een individueel verzoek om de identiteit kenbaar te maken van de persoon die schade heeft toegebracht aan de eigendom van degene die het verzoek heeft gedaan, opdat laatstgenoemde een procedure in rechte jegens deze persoon kan instellen om de schade te kunnen verhalen, daadwerkelijk noodzakelijk dat de politie op meerdere momenten de belangen van partijen afweegt en een evenredigheidstoets uitvoert, dat er een langdurige procedure volgt en dat er een advies komt van de nationale privacytoezichthouder?

De onderhavige zaak is opnieuw een voorbeeld30. waarin de wetgeving inzake gegevensbescherming doorwerkt en wordt toegepast in nogal verrassende omstandigheden. Het leidt — en niet alleen voor de niet-geïnformeerde omstander — tot een bepaald intellectueel onbehagen wat de redelijke toepassing en functie van de regels inzake gegevensbescherming betreft. Ik maak van deze gelegenheid gebruik om hierover enkele afsluitende opmerkingen te maken.

Het lijdt geen twijfel dat de bescherming van persoonsgegevens van essentieel belang is in het digitale tijdperk. Het Hof heeft een vooraanstaande rol gespeeld bij de ontwikkeling van de rechtspraak op dit gebied31., en terecht.

De aangehaalde zaken hebben echter betrekking op de hoofdbekommernis van de bescherming van persoonsgegevens, waarvoor deze oorspronkelijk in het leven is geroepen en krachtdadig moet worden beschermd: grootschalige verwerking van persoonsgegevens door automatische en digitale middelen, in elke vorm, zoals compilatie, beheer, en gebruik van omvangrijke gegevensbestanden, de overdracht van gegevensbestanden voor andere dan rechtmatige doeleinden, het verzamelen en archiveren van metagegevens, enzovoorts.

Net als op andere rechtsgebieden dienen de regels betreffende een bepaalde activiteit voldoende flexibel te zijn om alle situaties te dekken die zich kunnen voordoen. Dat brengt echter het risico met zich mee dat deze regels te ruim worden uitgelegd en toegepast. Dit zou ertoe kunnen leiden dat deze regels ook worden toegepast in een situatie waarin het verband met het oorspronkelijke doel zwak en twijfelachtig is. De te ruime en in zekere mate ‘absolute’ toepassing zou er uiteindelijk ook toe kunnen leiden dat het oorspronkelijke doel, dat op zichzelf erg belangrijk en legitiem was, in diskrediet wordt gebracht.

Het Hof heeft in de zaak Promusicae in het algemeen de noodzaak benadrukt dat de uitlegging van richtlijnen betreffende persoonsgegevens een juist evenwicht tussen de verschillende door de rechtsorde van de EU beschermde grondrechten verzekert.32.

Hieraan kan wellicht een zekere regel van gezond verstand worden toegevoegd, die bij de belangenafweging zou moeten worden toegepast. Deze regel komt erop neer dat het oorspronkelijke en wezenlijke (zeker niet het enige, maar eenvoudigweg het wezenlijke) doel van de wetgeving voor ogen wordt gehouden: activiteiten op grotere schaal die door mechanische en automatische middelen worden uitgevoerd, en het gebruik en de overdracht van de gegevens die op deze manier zijn verkregen. Naar mijn bescheiden mening vereist een situatie waarin een persoon om één enkel stuk verzoekt ten aanzien van een specifiek persoon in een concrete relatie, echter een veel lichtere toets, wanneer er een duidelijk en geheel legitiem doel bestaat dat voortvloeit uit de normale toepassing van het recht.

Samengevat, gezond verstand is weliswaar geen rechtsbron, maar dient zeker een rol te spelen om richting te geven aan de uitlegging van het recht. Het zou uiterst ongelukkig zijn indien de bescherming van persoonsgegevens zou ontaarden in een belemmering door persoonsgegevens.