Recht op inzage bevat het recht op de identiteit van ontvangers
Als betrokkene heb je op basis van de Algemene Verordening Gegevensbescherming (AVG) het recht op inzage in de verwerking van jouw persoonsgegevens. Onderdeel van dit recht op inzage is dat je mag weten aan wie jouw gegevens zijn verstrekt. In een recente uitspraak heeft het Hof van Justitie van de Europese Unie bepaald dat je hierbij ook recht hebt op de identiteit van de ontvangers van jouw persoonsgegevens.
De feiten
Begin 2019 heeft een man, de betrokkene, een verzoek tot inzage in zijn persoonsgegevens gedaan bij het bedrijf Österreichische Post op grond van artikel 15 AVG. Onderdeel van dit verzoek was om informatie te ontvangen over de partijen aan wie zijn persoonsgegevens zijn doorgegeven. Österreichische Post heeft op dit verzoek geantwoord door te benoemen dat zij (voor zover wettelijk toegestaan) als uitgever van telefoongidsen de persoonsgegevens doorgeeft aan zakelijke klanten voor marketingdoeleinden.
Als reactie hierop heeft de betrokkene Österreichische Post voor de nationale rechter gedaagd met de vordering om ook de identiteit van de ontvangers – en daarmee dus de concrete ontvangers – van zijn persoonsgegevens te verstrekken aan hem. Als reactie hierop heeft Österreichische Post in het proces bij de nationale rechter laten weten dat de persoonsgegevens zijn doorgegeven aan onder meer IT-bedrijven en politieke partijen.
Volgens de nationale rechter is het voldoende om alleen de categorieën van ontvangers mede te delen aan de betrokkene, de AVG noemt immers in artikel 15 lid 1 sub c dat het gaat om “de ontvangers of categorieën van ontvangers van de persoonsgegevens”. Naar aanleiding van deze uitspraak heeft de betrokkene hoger beroep ingesteld. In dit hoger beroep maakte het Oostenrijkse Oberste Gerichtshof de afweging tussen enerzijds de bewoording in het AVG artikel, die ruimte lijkt open te laten om alleen de categorieën van ontvangers mede te delen en anderzijds de bescherming van de betrokkene. In het kader van deze afweging is een prejudiciële vraag aan het Hof van Justitie van de Europese Unie (het Hof) gesteld.
Preliminary question to the Court
The preliminary question to the Court seeks to clarify whether the right of access under the GDPR should be interpreted to mean that, as a data controller, you are obliged to also disclose the identity of recipients to the data subject. The preliminary question concerns both existing and future recipients of the personal data.
Prejudiciële vraag aan het Hof
De prejudiciële vraag aan het Hof ziet op het verkrijgen van duidelijkheid over de vraag of het recht op inzage uit de AVG zo moet worden uitgelegd dat je als verwerkingsverantwoordelijke verplicht bent om de identiteit van de ontvangers ook mede te delen aan de betrokkene. De prejudiciële vraag ziet zowel op bestaande als toekomstige ontvangers van de persoonsgegevens.
Overwegingen van het Hof
Het Hof geeft aan niet alleen rekening te houden met de bewoordingen in de wet, maar ook met de doelstelling van de wet (in dit geval de AVG), zie r.o. 29. Het feit dat de tekst van artikel 15 AVG eerst “ontvangers” en daarna pas “categorieën van ontvangers” benoemt ziet volgens het Hof niet op een bepaalde rangorde. Alleen op basis van de bewoordingen uit de AVG kan dus niet worden vastgesteld of de identiteit van de ontvangers onderdeel moet zijn van het antwoord op het recht van inzage.
Vervolgens kijkt het Hof naar de overwegingen in de AVG. Overweging 63 noemt niet dat het recht op inzage beperkt kan worden tot alleen de categorieën van ontvangers. Daarnaast verwijst het Hof naar het transparantiebeginsel uit artikel 5 AVG op basis waarvan de betrokkene moet beschikken over informatie over de wijze waarop zijn persoonsgegevens worden verwerkt.
Het Hof benoemt ook specifiek het verschil tussen het recht op informatie (artikelen 13 en 14 AVG) en het recht op inzage. Dit laatste recht impliceert volgens het Hof dat de betrokkene de keuze moet hebben om, indien mogelijk, informatie te ontvangen over de specifieke ontvangers of over de categorieën van ontvangers. Onderdeel van het recht op inzage van de betrokkene is daarnaast om ook de rechtmatigheid van de verwerking te controleren, dus ook of de ontvangers daadwerkelijk bevoegd zijn tot ontvangst van zijn gegevens.
Het recht van inzage is volgens het Hof bovendien noodzakelijk om de andere rechten van betrokkenen uit te kunnen oefenen, waaronder het recht op rectificatie en gegevenswissing. Hiervoor moet de betrokkene dus ook weten wie de concrete ontvangers van zijn persoonsgegevens zijn. Het Hof benadrukt tenslotte dat artikel 19 AVG dit bevestigt. Deze bepaling bevat namelijk om in beginsel iedere ontvanger van persoonsgegevens op de hoogte te stellen van onder meer rectificatie of wissing van de verstrekte persoonsgegevens.
Identiteit van ontvangers als onderdeel van recht op inzage
Op basis van bovenstaande overwegingen komt het Hof tot de conclusie dat de informatie die als antwoord op het verzoek tot inzage wordt verstrekt aan de betrokkene zo nauwkeurig mogelijk moet zijn. De betrokkene heeft de keuze om informatie te ontvangen over de specifieke ontvangers van zijn persoonsgegevens of alleen over de categorieën van ontvangers.
Het Hof sluit het arrest af met een aantal nuances. Zo benoemt het Hof dat de rechten uit de AVG niet absoluut zijn en dat er dus specifieke situaties kunnen zijn waarin geen informatie kan worden verstrekt over de concrete ontvangers. Indien het onmogelijk is om de identiteit van concrete ontvangers mee te geven, in het bijzonder wanneer deze nog niet bekend zijn, kan worden volstaan met alleen de categorieën van ontvangers. Ook mogen verzoeken van betrokkenen die aantoonbaar kennelijk ongegrond of buitensporig zijn geweigerd worden.
Het recht op inzage uit de AVG moet volgens het Hof dusdanig worden uitgelegd dat de verwerkingsverantwoordelijke verplicht is om niet alleen de categorieën van ontvangers, maar ook de identiteit van ontvangers van de persoonsgegevens mede te delen aan de betrokkene, tenzij het onmogelijk is om de ontvangers te identificeren of het verzoek kennelijk ongegrond of buitensporig is.
Bron: HvJ EU 12 januari 2023, C‑154/21, ECLI:EU:C:2023:3.
Dit artikel is op 1 maart 2023 gepubliceerd als nieuwsbericht voor Sdu OpMaat Privacyrecht.