Datum
20.12.2024
Het Hof van Justitie van de Europese Unie (HvJEU) pakte in 2024 lekker door: meer dan 30 gegevensbeschermingszaken werden behandeld. Daar zijn boeken mee te vullen, maar wat zijn een aantal interessante punten waar de leergierige DPO’s iets concreets mee kunnen?
De bijzondere categorieën worden breed geïnterpreteerd
Het verwerken van bestellingen van medicijnen op de Amazon Marketplace, is dat een verwerking van bijzondere categorieën aan gegevens? Die vraag lag voor bij het Hof, en de voorbereidende opinie van de Advocaat-Generaal concludeerde alvast “Nee, niet als het medicijnen zonder voorschrift zijn”. De Ibuprofen kan immers voor iedereen zijn, en wat zegt dat nu over de gezondheidstoestand?
Volgens het Hof genoeg dat je met wat gezond boerenverstand conclusies kunt trekken over de gezondheidstoestand van de besteller, zelfs al zal dat soms niet terecht zijn. Ook bestellingen zonder voorschrift zijn dus bijzondere categorieën (art. 9) gegevens. Het Hof geeft aan dat we niet voor niets een hoog niveau van bescherming vereisen voor zulke gegevens, en al te snel gaan nuanceren leidt tot een verlaging van dat niveau.
Denk ook terug aan de HvJEU zaak uit Litouwen waarbij het louter publiceren van de naam van de partner in een overheidstransparantieregister aanzien werd als publicatie van een bijzonder gegeven: men kan immers relatief simpel de seksuele geaardheid bepalen wanneer de mandataris Theodoor heet en de partner Alfons.
Les voor de DPO: we zijn wellicht sneller dan we dachten bijzondere categorieën van gegevens aan het verwerken dan we dachten!
Hoe ver mag je de art. 9 uitzondering “kennelijk openbaar gemaakt” toepassen?
Zonder twijfel is Max Schrems de persoon met de meeste HvJEU zaken op zijn naam. De recentste heeft overigens niet te maken met internationale doorgiften, maar wel met een ietwat obscure uitzonderingsregel in art. 9.2e die het mogelijk maakt om bijzondere categorieën aan persoonsgegevens te verwerken wanneer die “kennelijk door de betrokkene openbaar zijn gemaakt”.
De context was het verwerken door Meta van gegevens die de seksuele geaardheid onthullen. Schrems betoogde dat Meta gegevens over zijn seksuele geaardheid verwerkte, niet alleen op basis van interacties van Schrems op Meta platformen maar ook op basis van gegevens die ze onrechtstreeks had verkregen via derden. Een belangrijk argument van Meta om die gegevens toch te mogen gebruiken, bestond eruit dat Max Schrems op enig moment in gesprek op een event (dat onder meer werd opgenomen en op YouTube beschikbaar is) had aangegeven dat hij gay is.
Dit argument faalde op twee belangrijke punten: ten eerste dateerde de video van na de eerste verwerkingen rond geaardheid door Meta (het team van Meta was waarschijnlijk wanhopig op zoek gegaan naar video’s waarin Schrems zijn geaardheid uitte). Ten tweede, zelfs al zou dat event voor de verwerkingen hebben gelegen, een dergelijke openbaarmaking betekent vervolgens niet dat bijzondere categorieën persoonsgegevens voor ieder doeleinde mogen worden gebruikt. Zeker niet wanneer dit betekent dat gegevens die over allerlei platformen waren verzameld ingezet gaan worden om gepersonaliseerde advertenties te sturen. De “kennelijke openbaarmaking” en het doeleinde waarvoor de gegevens vervolgens gebruikt worden moeten gelijkaardig zijn en binnen de redelijke verwachtingen van de betrokkene liggen.
Een gerechtvaardigd belang mag commercieel zijn
De Nederlandse AP bleef zo stug volhouden (met faillissementen tot gevolg), dat je je af en toe afvroeg of ze misschien toch gelijk hadden met hun “Normuitleg Gerechtvaardigd Belang”. Die normuitleg hield kortgezegd in dat gerechtvaardigd belang enkel toegepast mocht worden in een niet-commerciële context en wanneer de wet ergens voorziet in dit belang.
Privacy minnend Europa kon het zich amper voorstellen omdat dit de toepassing van het gerechtvaardigd belang als rechtsgrond bijna volledig zou uithollen. Het Hof volgde daar gelukkig in: uiteraard mag een gerechtvaardigd belang niet tégen de wet zijn, maar het moet niet specifiek voorzien zijn en kan dus bijna ieder mogelijk belang zijn. De verdere uitwerking van de twee andere toetsstenen van een gerechtvaardigd belang (de noodzakelijkheidstoets en de belangenafweging) zullen vervolgens bepalen of je dit belang ook gerechtvaardigd is.
De les voor de DPO: gerechtvaardigd belang mag gelukkig nog best breed ingezet worden, maar zorg dat je het kunt onderbouwen!
Wanneer krijg je een schadevergoeding?
Dit jaar zeer vaak de revue gepasseerd bij het Hof: vragen over schadevergoedingen. Zo vaak, dat je je soms afvraagt of het nu echt zinvol is dat het Hof er nòg een behandeld. We kennen uiteraard artikel 82 waar de mogelijkheid wordt voorzien om (im)materiële schade te verhalen. Het Hof heeft nu meermaals bevestigt welke criteria we moeten hanteren om te bepalen of er recht is op een schadevergoeding:
- Er moet aantoonbare schade zijn.
- Er is een inbreuk t.a.v. de GDPR.
- De schade is het gevolg van de inbreuk.
Hoe hoog de schadevergoeding moet zijn hangt dan weer volledig af van de geleden schade en belangrijk: schadevergoedingen vanuit de GDPR hebben een compensatoir en geen punitief karakter. Oftewel, geen Amerikaanse toestanden waar schadevergoedingen een afschrikwekkend effect moeten hebben, wel échte vergoedingen voor geleden schade. Hoe klein die ook moge zijn, in de laatste relevante zaak werd door het Hof aangegeven dat zelfs excuses voldoende kunnen zijn. Maar zoals altijd bij het Hof: case by case te bekijken.
Meer interesse in hoe het HvJEU gegevensbescherming vormgeeft? Kom dan zeker naar onze sessie HvJ EU caselaw: Inzichten voor DPO’s waar Jos Dumortier en Bart van Buitenen stilstaan bij de belangrijkste uitspraken van het Hof van de afgelopen decennia!
Datum
20.12.2024
