Het Hof van Justitie van de Europese Unie (HvJEU) heeft in mei een arrest gewezen over het inzagerecht. Dit arrest heeft mogelijk verstrekkende gevolgen voor organisaties die persoonsgegevens verwerken. Er volgt namelijk een verruiming van het inzagerecht uit.
Wat speelde er?
Een persoon heeft het adviesbureau CRIF verzocht om inzage in de hem betreffende persoonsgegevens. Ook heeft hij verzocht om een kopie van alle documenten die zijn gegevens bevatten. CRIF heeft daarop een geaggregeerde lijst met zijn verwerkte persoonsgegevens gedeeld. De verzoeker was van mening dat CRIF met hem een kopie van alle documenten die zijn gegevens bevatten had moeten delen. Vandaar dat de verzoeker een klacht heeft ingediend en tegen de afwijzing van die klacht in beroep is gegaan. De Oostenrijkse rechter die dit beroep behandelt heeft prejudiciële vragen gesteld aan het HvJEU.
Kortgezegd vraagt deze rechter zich af wat de draagwijdte van het inzagerecht is. Bevat dit het recht om een kopie van de persoonsgegevens te verkrijgen? Gaat het om een kopie van uittreksels of zelfs een kopie van volledige documenten die persoonsgegevens bevatten?
Minicollege AVG
Het HvJEU geeft in de opbouw naar de beantwoording van de vragen een minicollege van de huidige rechtsregels. Het HvJEU benadrukt de ruime betekenis van de begrippen persoonsgegevens en verwerking. Persoonsgegevens strekken zich potentieel uit tot elk soort informatie, waaronder objectieve en subjectieve informatie. Verwerkingen kunnen allerlei soorten handelingen zijn, wat blijkt uit de niet-uitputtende lijst die de AVG hanteert.
Met het inzagerecht kunnen personen nagaan of persoonsgegevens van hen worden verwerkt. Bij een bevestigend antwoord kunnen ze controleren of de persoonsgegevens juist zijn en rechtmatig worden verwerkt. Op basis van deze informatie kan de persoon andere rechten van betrokkenen uitoefenen. Zoals het laten verwijderen van persoonsgegevens. De verwerkingsverantwoordelijke moet ervoor zorgen dat de persoon de informatie op een beknopte, transparante, begrijpelijke en in gemakkelijk toegankelijke vorm ontvangt.
Context van gegevensverwerking relevant
Uit de tekstuele interpretatie van het inzagerecht haalt het HvJEU geen antwoord op de gestelde prejudiciële vragen. Wel stelt het dat een zuiver algemene beschrijving van verwerkte gegevens of een verwijzing naar categorieën persoonsgegevens niet onder de gebruikelijke betekenis van een kopie valt. Enkel een algemene opsomming van de soorten persoonsgegevens geven betekent dus veelal niet voldoen aan het inzagerecht.
Een kopie moet de persoonsgegevens volledig en getrouw reproduceren. Wat dat precies inhoudt, legt het HvJEU uit aan de hand van het doel van het inzagerecht. De kopie kan uittreksels uit documenten of zelfs volledige documenten met onder meer persoonsgegevens bevatten. Dit geldt wanneer kennis van de context waarin deze gegevens worden verwerkt noodzakelijk is. Einddoel daarbij is dat de persoon een begrijpelijk beeld van de verwerkte persoonsgegevens krijgt. In bepaalde situaties kan de context namelijk noodzakelijk zijn om op een transparante en begrijpelijke manier inzage in de verwerkte persoonsgegevens te verkrijgen. Een voorbeeld hiervan is de situatie waarin geen persoonsgegevens over een persoon worden verwerkt, maar juist uit deze afwezigheid informatie over die persoon is af te leiden.
Wat betekent de rechtsregel?
Op het eerste oog lijkt het HvJEU het inzagerecht te verruimen. Een enkele opsomming van de soorten persoonsgegevens is onvoldoende. Ook speelt de context een grotere rol. Verwerkingsverantwoordelijken kunnen eerder genoodzaakt zijn om een ruimere context aan de persoon mee te delen. Uitzonderingen, zoals beperkingsgronden, blijven van toepassing. Het inzagerecht mag geen afbreuk doen aan rechten en vrijheden van derden. Bij strijdigheid tussen beide belangen moet een afweging plaatsvinden. Dit mag er niet toe leiden dat geen enkele informatie aan de persoon wordt medegedeeld. Ruimte voor het (gedeeltelijk) niet-mededelen van gevoelige informatie is er dus nog steeds.
(On)werkbare situatie?
Is het nog wel te doen voor verwerkingsverantwoordelijken om op tijd te voldoen aan een inzageverzoek? Organisaties moeten met de ruime betekenis van het verwerken van persoonsgegevens veel verwerkingen bijhouden. Daarna moeten zij bij inzageverzoeken lastige afwegingen maken die veel tijd kunnen kosten. Om een verspilling van kostbare tijd te voorkomen, kunnen wij helpen bij het inrichten van de processen en het beoordelen van lastige kwesties. Neem vooral contact op met onze advocaten Privacyrecht wanneer je vragen hebt.
Deze blog is geschreven in samenwerking met Luuk Wassink.