De Richtlijn gegevensbescherming opsporing en vervolging, Richtlijn 2016/680, zorgt ervoor dat persoonsgegevens goed beschermd worden als zij verwerkt worden met als doel het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten. Het gaat dan om gegevens aan de hand waarvan concrete personen geïdentificeerd kunnen worden. Deze gegevens mogen alleen voor legitieme doeleinden worden verzameld en verwerkt. Daarnaast is het belangrijk dat deze gegevens correct bijgewerkt zijn. Autoriteiten zijn dan ook verplicht om onjuiste gegevens te wissen of corrigeren.
Omdat de persoonsgegevens die onder de werkingssfeer van de Richtlijn vallen gebruikt kunnen worden voor juridische onderzoeken of strafrechtelijke vervolging, kunnen lidstaten er voor kiezen om het inzagerecht van personen te beperken. Dit dient tot het beschermen van de openbare veiligheid en om de rechten en vrijheden van derden, zo vloeit voort uit artikel 15 van de Richtlijn. Tegelijkertijd benadrukt de Richtlijn ook het belang van het recht op inzage van de gegevens door de rechthebbende, in artikel 14, en het recht op rectificatie of het wissen van persoonsgegevens, in artikel 16.
Om deze rechten te realiseren, dienen lidstaten maatregelen te treffen waarmee personen zich met een verzoek om inzage, correctie of verwijdering van gegevens kunnen wenden tot toezichthouders, zo is bepaald in artikel 17 van de Richtlijn. De toezichthouder oefent dan de rechten van een persoon uit en brengen daarover verslag uit aan de verzoeker. Maar leiden de acties van de toezichthouder dan tot een juridisch bindend besluit? En wat nou als de rechthebbende het niet eens is met die acties, staat er dan een rechtsgang open voor de verzoeker?
Zaak
HvJ EU 16 november 2023, C-333/22, ECLI:EU:2023:874, Ligue des droits humains (Controle door de toezichthoudende autoriteit op de gegevensverwerking)
Beleidsdossier en thematiek
Feiten
In deze zaak staat de particulier onder acroniem ‘BA’ samen met de Belgische mensenrechtenorganisatie Ligue des droits humains tegenover de Belgische toezichthouder Controleorgaan op de politionele informatie (hierna: het Controleorgaan).
De situatie
In 2016 heeft BA een veiligheidsattest aangevraagd, dat was vereist voor een tijdelijke baan. Een veiligheidsattest wordt in België verleend door de Belgische Nationale Veiligheidsoverheid en geeft aan dat iemand vertrouwd kan worden met het omgaan met vertrouwelijke informatie. Het is daarmee enigszins vergelijkbaar met een Verklaring Omtrent het Gedrag in Nederland. De Belgische Nationale Veiligheidsoverheid heeft in hetzelfde jaar, 2016, het verzoek van BA om een attest af te geven afgewezen.
In 2020 is vervolgens door de raadsman van BA een verzoek ingediend bij het Controleorgaan om inzicht te krijgen in de persoonsgegevens van BA en in welke databank die aanwezig waren en om de verantwoordelijken voor de betrokken verwerking van persoonsgegevens te identificeren.
In reactie op dit verzoek, heeft het Controleorgaan aangegeven dat inzage alleen indirect mogelijk was. De reden hiervoor is niet gecommuniceerd naar de betrokkene. Vervolgens heeft het Controleorgaan dat het zelf zou nagaan bij de bevoegde instantie (de Algemene Nationale Gegevensbank) of de eventuele verwerking van de gegevens van BA rechtmatig was en dat het BA zou informeren over eventuele wijzigingen of verwijdering hiervan.
Als toezichthouder is het Controleorgaan in staat om, waar nodig, de politie opdracht te geven om gegevens te verwijderen of aan te passen. Na de aanvraag heeft het Controleorgaan de persoonsgegevens van BA en de eventuele verwerking daarvan gecontroleerd bij de Algemene Nationale Gegevensbank, die door alle Belgische nationale politiediensten wordt gebruikt. Waar toepasselijk zijn deze gegevens vervolgens gewijzigd of verwijderd zo geeft het Controleorgaan aan. Het heeft BA hier ook van op de hoogte gesteld.
De Rechtzaak
Na de kennisgeving van het Controleorgaan heeft BA samen met de Ligue des droits humans een kort geding aangespannen bij de Tribunal de première instance francophone de Bruxelles, oftewel de Franstalige Rechtbank van eerste aanleg te Brussel.
Hierbij wordt een beroep gedaan op artikel 8, lid 3, en op artikel 47 van het Handvest van de grondrechten van de Europese Unie (hierna: het Handvest). Deze bepalen respectievelijk dat onafhankelijke autoriteiten dienen te controleren of de regels rondom het verwerken van persoonsgegevens nageleefd worden en dat iedereen recht heeft op een eerlijke en openbare behandeling van een aanklacht wegens (mogelijk) geschonden rechten en vrijheden.
BA en de Ligue des droits humans vragen zich af of de bevoegdheden van de in deze zaak betrokken toezichthouders, vastgelegd in artikel 47 van Richtlijn 2016/680, toereikend zijn om de bovengenoemde grondrechten te realiseren.
De Brusselse Rechtbank van eerste aanleg heeft zichzelf ‘onbevoegd’ verklaard om van dit verzoek in kort geding kennis te nemen. BA en de Ligue des droits human hebben vervolgens de zaak in hoger beroep ingesteld bij het Cour d’appel de Bruxelles. In de procedure voor dat rechtscollege wijst dat college er op dat het recht om in beroep te gaan tegen een juridisch bindend besluit, vastgelegd in artikel 53 van Richtlijn 2016/680, mogelijk niet correct uitgevoerd kunnen worden als dat niet door de persoon zelf uitgeoefend kan worden.
In de hier voorliggende situatie zou dat recht alleen jegens de verwerkende instantie uitgeoefend kunnen worden, maar niet jegens de toezichthouder. Verder wijst de verwijzende rechter nog op de beperkte informatie die de toezichthouder heeft gegeven over de acties die zijn verricht naar aanleiding van het verzoek, waardoor het onduidelijk blijft of de rechten van BA daarbij toereikend zijn nageleefd.
Aangezien deze problematiek voortvloeit uit een mogelijke interne tegenstelling in het Europees recht, heeft de Cour d’appel de Bruxelles zich ter zake onbevoegd verklaart en de zaak doorverwezen naar het Hof van Justitie van de Europese Unie (HvJ EU; hierna: het Hof).
Rechtsvragen
De Cour d’appel de Bruxelles verzoekt het Hof om de volgende twee prejudiciële vragen te beantwoorden:
- Kan een persoon bezwaar maken op het besluit van de toezichthouder wanneer deze de rechten van de betrokkene jegens de dataverwerker uitoefent?
- Voldoet artikel 17 van Richtlijn 2016/680, betreffende het uitoefenen van rechten van een betrokkene door een toezichthouder, aan artikelen 8, lid 3, en 47 van het Handvest, in dat het de toezichthouder enkel verplicht om de betrokkene te informeren over het plaatsvinden van controles en evaluaties en over het recht om hierover in beroep te gaan bij de rechter?
Uitspraak van het Hof
Eerste prejudiciële vraag
In zijn antwoord op de eerste prejudiciële vraag wijst het Hof er op dat het antwoord afhangt van de taken en bevoegdheden die artikel 17 van Richtlijn 2016/680 aan de toezichthouder toekent. In artikel 53, lid 1, van de Richtlijn is bepaald dat de lidstaten personen het recht moeten toekennen om bezwaar te maken tegen juridisch bindende besluiten van een aangewezen toezichthoudende instantie. De vraag die hier uitvloeit is of een toezichthouder een juridisch bindend besluit neemt (of moet nemen) bij het uitvoeren van artikel 17 van de Richtlijn.
Het Hof legt uit dat op grond van artikel 17, lid 1, van de Richtlijn toezichthouders verplicht zijn maatregelen te treffen om de rechten van natuurlijke personen te garanderen waar zij deze zelf niet uit kunnen oefenen. Om dit te kunnen realiseren, schrijft artikel 47 van de Richtlijn voor dat een toezichthouder niet alleen onderzoeksbevoegdheden heeft, maar ook ‘effectieve bevoegdheden tot het treffen van corrigerende maatregelen’.
Daaruit volgt dat een toezichthouder in staat moet zijn om een volledig controleproces uit te voeren. Wanneer deze de betrokkene informeert over genomen acties en het beëindigen van dit proces, heeft dit immers gevolgen voor de rechtspositie van de betrokkene. Om deze reden stelt het Hof dat het uitvoeren van het controleproces, inclusief het informeren van de betrokkene, een juridisch bindend besluit moet zijn.
Gebaseerd op deze conclusie, verwijst het Hof wederom naar artikel 53 van Richtlijn 2016/680. Deze bepaling bevat het recht om bezwaar te maken tegen het juridisch bindende besluit van een toezichthouder.
Het moet op grond daarvan dus mogelijk zijn voor een persoon om bezwaar te maken op het besluit van de toezichthouder wanneer die de rechten van de betrokkene jegens de dataverwerker uitoefent.
Tweede prejudiciële vraag
De tweede prejudiciële vraag betreft de kwestie of het informeren van een betrokkene dat de noodzakelijke controles en eventuele rectificaties van persoonsgegevens door een toezichthouder, zoals bepaald in artikel 17, lid 3, toereikend zijn om de rechten die vastgelegd zijn in artikel 8, lid 3, en artikel 47 van het Handvest te realiseren. Dit zijn respectievelijk het recht dat een onafhankelijke autoriteit er op toeziet dat de regels rondom het beschermen van persoonsgegevens nageleefd worden en het recht om in beroep te gaan bij een rechter om een betrokkene de kans te geven zijn rechten zo goed mogelijk te verzekeren.
Artikel 17, lid 3, van de Richtlijn verplicht de toezichthouder om de betrokkene op de hoogte te stellen dat de noodzakelijke controles en rectificaties hebben plaatsgevonden. De toezichthouder hoeft daarbij aan de betrokkene in principe geen inhoudelijke informatie te geven. Immers, Richtlijn 2016/680 draait om gevoelige gegevens in de context van juridische opsporing en vervolging. Vanwege de gevoelige aard van deze informatie, die ook impact kan hebben op de openbare veiligheid of de rechten en vrijheden van derden, is de kennisgevingplicht van de toezichthouder beperkt.
Dit roept echter de vraag op of, met de beperkt verkregen informatie, een betrokkene in staat is zijn rechten zo goed mogelijk te beschermen, conform artikel 47 van het Handvest. Immers, zonder volledige kennis van zaken is het moeilijk te beslissen of de betrokkene er baat bij heeft om zich tot de bevoegde rechter te wenden. Daarnaast is het ook de vraag of de rechter met de beperkte informatie instaat is om de het juridisch bindend besluit van de toezichthouder te toetsen.
Als antwoord hierop, wijst het Hof naar artikel 52, lid 1, van het Handvest. Hierin staat dat beperkingen aan artikel 47 gesteld kunnen worden, indien zij noodzakelijk zijn om door de Europese Unie erkende doelstellingen van algemeen belang te realiseren of om de rechten en vrijheden van derden te beschermen.
Het Hof legt daarbij uit dat de in artikel 17, lid 3, van Richtlijn 2016/680 bepaalde plicht van kennisgeving door de toezichthouder voorbij de minimale verstrekking van informatie kan gaan. Daarbij dienen lidstaten dan ook voor te schrijven dat toezichthouders deze informatie verstrekken, indien het niet in strijd is met doelstellingen van algemeen belang of de rechten en vrijheden van derden.
In het geval dat de doelstellingen van algemeen belang of de rechten en vrijheden van derden wel in het geding komen, bevestigt het Hof dat de toezichthouder de verstrekte informatie moet beperken. Wel blijft het daarbij mogelijk voor de betrokkene om zich tot de rechter te wenden.
Om de toetsing van het controleproces van toezichthouders door een rechtelijke instantie mogelijk te maken, dienen de lidstaten wettelijke regelingen tot stand te brengen waarbij een bevoegde rechter wordt aangewezen die er op toe kan zien dat het recht op inzage van de betrokkene wordt nageleefd. Daarbij kan de rechter controleren of de toezichthouder zijn taak betrekking tot het controleren en mogelijk corrigeren en verwijderen persoonsgegevens van de betrokkene correct heeft uitgevoerd. Daarnaast kan de rechter onderzoeken of de toezichthouder inderdaad het recht had om de informatie die het daarbij aan te betrokkene geeft te beperken.
Het Hof leidt hieraan af dat de mogelijkheden voor controle op de toezichthouder en evenredigheid waarmee informatieverstrekking beperkt wordt, toereikend zijn om te concluderen dat artikel 17 van Richtlijn 2016/680 niet in strijd is me artikelen 8, lid 3, en artikel 47 van het Handvest.
Decentrale relevantie
Ook decentrale overheden beschikken over informatie die valt of kan vallen onder de werkingssfeer van Richtlijn 2016/680. Denk aan informatie die kan worden gebruikt voor beoordeling in het licht van de Wet BIBOB. Bij besluitvorming over verzoeken om inzage, correctie of verwijdering van informatie moeten decentrale overheden juridisch bindende besluiten nemen naar aanleiding van verzoeken van betrokkenen. Betrokkenen hebben immers een recht om bezwaar en beroep in te stellen tegen besluiten die worden genomen naar aanleiding van dergelijke verzoeken.
Meer Informatie
Het persbericht van het Hof.