Europese rechtspraak

Laatste update: 21 oktober 2024

Door: en

Voor decentrale overheden is het regelmatig een puzzel om vast te stellen of de verwerking van persoonsgegevens aan de verwerkingsbeginselen uit de Algemene Verordening Gegevensbescherming (AVG) voldoet. De AVG hanteert strenge normen voor rechtmatige verwerking van persoonsgegevens zoals naam, contactgegevens, BSN, maar ook etnische afkomst, politieke opvattingen of seksuele geaardheid. Verder stelt de AVG strenge voorwaarden aan het verwerken van gevoelige persoonsgegevens, zoals gegevens over seksuele geaardheid.

Op 4 oktober 2024 deed het Hof van Justitie van de Europese Unie (hierna ‘het Hof’) uitspraak over het beginsel van minimale gegevensverwerking en de verwerking van bijzondere categorieën van persoonsgegevens.

Zaak

HvJ EU 4 oktober 2024, C-446/21, ECLI:EU:C:2024:834, Schrems

Feiten

Het Hof beantwoordde twee prejudiciële vragen die zijn ingediend door de hoogste Oostenrijkse rechter. Deze vragen werden opgeworpen in een zaak tussen de Oostenrijker Maximilian Schrems en het bedrijf Meta Platforms Ireland Ltd. (hierna ‘Meta’). Schrems is een Facebookgebruiker en Meta is de eigenaar van het online socialemediaplatform Facebook. Schrems beweert dat Meta zijn persoonsgegevens onrechtmatig heeft verwerkt.

Meta is verwerkingsverantwoordelijke onder de AVG en verzamelt persoonsgegevens van Europese Facebookgebruikers met een gratis abonnement om op basis daarvan gepersonaliseerde reclame aan te bieden en hiermee inkomsten te genereren (punten 11-12). Om toegang te krijgen tot het online platform moeten Facebookgebruikers een gebruikersovereenkomst ondertekenen en daarbinnen algemene voorwaarden aanvaarden. Op basis van deze algemene voorwaarden verzamelt Meta met behulp van cookies, sociale plug-ins en pixels gegevens over de gebruikersactiviteiten op Facebook, maar ook op websites en apps van derden. Deze gegevens koppelt Meta aan Facebookaccounts voor gepersonaliseerde reclame (punten 13 en 15-20).

Hoewel Schrems, de betrokkene, tijdens een publiek toegankelijk rondetafelgesprek zijn seksuele geaardheid had geuit, had hij dit nooit vermeld op Facebook. Niettemin ontving hij gepersonaliseerde reclames gericht op homoseksualiteit, omdat hij websites van derden had bezocht die bestemd zijn voor een homoseksueel publiek (punt 17). Meta kon namelijk met behulp van plug-ins de onlineactiviteiten van Schrems volgen en zo de gevoelige persoonsgegevens verzamelen.

Minimale gegevensverwerking

De Oostenrijkse rechter legde vier prejudiciële vragen voor aan het Hof, maar trok de eerste en derde vraag in, omdat het Hof van Justitie deze vragen had beantwoord in zaak C-252/21, EU:C:2023:537. Het Hof beantwoordde vervolgens alleen de tweede en de vierde vraag.

Tweede prejudiciële vraag:

‘’Moet artikel 5, lid 1, onder c), AVG (minimale gegevensverwerking) aldus worden uitgelegd dat alle persoonsgegevens waarover een platform als in het hoofdgeding beschikt (met name via de betrokkene of via derden op en buiten het platform), mogen worden samengevoegd, geanalyseerd en verwerkt met het oog op gerichte reclame, zonder enige beperking met betrekking tot de duur of de aard van de gegevens?’’ (cursief toegevoegd)

  • Artikel 5 lid 1 onder c van de AVG

    Persoonsgegevens moeten toereikend zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt („minimale gegevensverwerking”).

Het Hof maakt drie punten met betrekking tot deze vraag:

Ten eerste gaf het Hof de opbouw van de AVG weer om het belang van het beginsel van minimale gegevensverwerking te benadrukken. De AVG draagt bij aan bescherming van fundamentele vrijheden en grondrechten van burgers, met name die van de eerbiediging van privéleven bescherming van persoonsgegevens, artikelen 7 en 8 van het Handvest van de Grondrechten van de EU. Verder voorziet de AVG in cumulatieve verwerkingsbeginselen en rechten van de betrokkene die de verwerkingsverantwoordelijke aantoonbaar moet respecteren. Een van deze beginselen is het beginsel van minimale gegevensverwerking, dat voorschrijft dat verwerkingsverantwoordelijken niet meer gegevens mogen verwerken dan nodig voor het verwerkingsdoeleinde (punten 45-51).

Ten tweede besprak het Hof de duur van gegevensverwerking in het licht van de beginselen van minimale gegevensverwerking en opslagbeperking. Volgens die beginselen mag de verwerkingsverantwoordelijke persoonsgegevens niet langer verwerken en bewaren dan noodzakelijk voor het verwerkingsdoel. Zo kan een verwerking die in eerste instantie rechtmatig was na verloop van tijd onrechtmatig worden, indien de gegevens niet langer noodzakelijk zijn voor het oorspronkelijke verwerkingsdoeleinde. De nationale rechter moet beoordelen of de bewaringstermijn van de persoonsgegevens door Meta, bedoeld voor de verspreiding van gepersonaliseerde reclame, gerechtvaardigd is. Een bewaring voor onbepaalde tijd bestempelt het Hof in ieder geval als een onevenredige inmenging in de rechten van de betrokkene (punten 52-58).

Ten derde paste het Hof het beginsel van minimale gegevensverwerking toe op het hoofdgeding. In casu worden de persoonsgegevens van Facebookgebruikers niet alleen verzameld op Facebook, maar ook op websites en apps van derden. Hierdoor kan Meta bijna alle onlineactiviteiten van Facebookgebruikers volgen met als gevolg ernstige inmenging in hun grondrechten, waaronder eerder genoemde artikelen 7 en 8 van het Handvest. Daarom constateerde het Hof dat de verwerking door Meta waarschijnlijk onevenredig is gezien de potentieel onbeperkte omvang van de verwerking (punten 59-64).

Het Hof antwoordde dat volgens het beginsel van minimale gegevensverwerking de verwerkingsverantwoordelijke geen persoonsgegevens mag verwerken zonder vastgelegde tijdsbeperking of zonder onderscheid te maken in de aard van die persoonsgegevens.

Gevoelige gegevens

Vierde prejudiciële vraag:

‘’Moet artikel 5, lid 1, onder b), juncto artikel 9, lid 2, onder e), AVG aldus worden uitgelegd dat een verklaring over de eigen seksuele geaardheid in het kader van een rondetafelgesprek de verwerking van andere gegevens over de seksuele geaardheid toestaat met het oog op de samenvoeging en analyse van gegevens met het oog op gepersonaliseerde reclame?” (cursief toegevoegd)

  • Artikel 5 lid 1 onder b AVG

    Persoonsgegevens moeten voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en mogen vervolgens niet verder op een met die doeleinden onverenigbare wijze worden verwerkt; […] („doelbinding”). (cursief toegevoegd)

  • Artikel 9 lid 1 AVG

    Verwerking van persoonsgegevens waaruit […] politieke opvattingen […] blijken, en verwerking van […] gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid zijn verboden.

  • Artikel 9 lid 2 onder e AVG

    Lid 1 is niet van toepassing wanneer aan een van de onderstaande voorwaarden is voldaan: de verwerking heeft betrekking op persoonsgegevens die kennelijk door de betrokkene openbaar zijn gemaakt. (cursief toegevoegd)

Het Hof stelde vast dat de Oostenrijkse rechter wil weten of Schrems geen recht meer heeft op de bescherming van gegevens over seksuele geaardheid onder artikel 9 lid 1, omdat hij zijn seksuele geaardheid tijdens een rondetafelgesprek openbaar zou hebben gemaakt. Vervolgens wil de rechter weten of Meta hierdoor het recht zou hebben om andere gegevens met betrekking tot Schrems’ seksuele geaardheid te verwerken (punten 66-67). 

De verwerking van bijzondere categorieën van persoonsgegevens, waaronder over seksuele geaardheid, is in beginsel verboden onder artikel 9 lid 1 AVG tenzij aan een van de uitzonderingen onder artikel 9 lid 2 AVG is voldaan. Artikel 9 lid 2 onder e AVG voorziet dat bijzondere persoonsgegevens verwerkt mogen worden als de betrokkene deze ‘’kennelijk’’ openbaar heeft gemaakt. Kennelijke openbaarmaking betekent dat de betrokkene deze gegevens ‘’uitdrukkelijk en door middel van een ondubbelzinnige actieve handeling voor een breed publiek toegankelijk heeft willen maken’’ (punten 70-77).

Het rondetafelgesprek was publiek toegankelijk via kaartverkoop en streaming. Hierdoor heeft Schrems mogelijk zijn seksuele geaardheid ‘’kennelijk’’ openbaar gemaakt. Het Hof benadrukte echter dat de kennelijke openbaarmaking door Schrems zich beperkt tot één specifiek gegeven over zijn seksuele geaardheid. Volgens de restrictieve uitlegging van artikel 9 lid 1 onder 2 AVG mogen alle andere gegevens over Schrems’ seksuele geaardheid niet verwerkt worden omdat hij deze gegevens niet openbaar heeft gemaakt. Tot slot onderstreepte het Hof met betrekking tot artikel 9 lid 2 onder a AVG dat Schrems ook geen toestemming heeft gegeven aan Facebook voor de verwerking van andere gegevens over zijn seksualiteit (punten 78-82).

Het Hof concludeerde dat de verwerkingsverantwoordelijke alleen gevoelige persoonsgegevens mag verwerken die de betrokkene openbaar heeft gemaakt.

Hoe nu verder?

Het Hof heeft nu de vragen van de Oostenrijkse rechter over Europees recht beantwoord en helderheid gegeven over de interpretatie van de AVG. Hierna is het aan de nationale rechter om te oordelen over de zaak. Dit oordeel moet in overeenstemming zijn met de bindende interpretatie van het Hof.

Decentrale relevantie

Decentrale overheden zijn verwerkingsverantwoordelijke onder de AVG. Deze uitspraak herinnert verwerkingsverantwoordelijken eraan dat zij nauwkeurig en zorgvuldig moeten omgaan met het verzamelen en verwerken van persoonsgegevens. Dit geldt te meer voor de verwerking van gevoelige gegevens. Deze zaak maakt duidelijk dat het beginsel van minimale gegevensverwerking de verwerkingsverantwoordelijke verplicht om persoonsgegevens zo kort en restrictief mogelijk te verwerken, ook als de betrokkene publiekelijk bepaalde gevoelige persoonsgegevens openbaar heeft gemaakt.

Meer informatie

Kenniscentrum Europa Decentraal, AVG Rechtmatige verwerkingen
Kenniscentrum Europa Decentraal, Verwerkings­verantwoordelijke, verwerker en verwerkers­overeenkomst