Op 1 augustus heeft het Hof van Justitie van Europa (HJE) een vonnis uitgesproken dat verregaande gevolgen kan hebben voor de verwerking van persoonsgegevens binnen de EU. De rechtszaak – tussen de Litouwse milieuorganisatie OT en het lokale Chief Official Ethics Commission (COEC) – betrof een meningsverschil over de interpretatie van nationale anti-corruptiewetgeving. De directie van OT gaf aan dat zij het onterecht vonden dat werk gerelateerde en/of persoonlijke relaties in een publiekelijk toegankelijk, openbaar register moesten worden opgenomen. Ze beargumenteerden dat een dergelijk wet niet alleen een substantiële inbreuk op het recht van privacy is, maar dat het ook verregaande gevolgen zou hebben voor het privéleven van de organisatie haar medewerkers.[1]
De uitspraak van het Hof
Het HJE oordeelde dat de Litouwse anti-corruptiewetgeving een legitiem doel nastreeft, namelijk “het versterken (…) van de waarborgen voor eerlijkheid en onpartijdigheid van beleidsmakers in de publieke sector; het voorkomen van belangenconflicten en het bestrijden van corruptie [in de publieke sector].”[2] Maar zij oordeelde ook dat de bekendmaking van opzichzelfstaande, expliciet persoonlijke informatie (in een register) op grond van de Litouwse wet een ernstige en onrechtvaardige inbreuk zou vormen op het recht van privacy en de bescherming van persoonsgegevens.[3]
Met name de openbaarmaking van namen zou niet mogen, omdat ook “…indirect de seksuele geaardheid van de persoon zou kunnen worden onthuld” en het hierom zou gaan om “een verwerking van bijzondere categorieën persoonsgegevens.”[4] Over die verwerking zou middels de General Data Protection Regulation per geval een uitspraak van de rechter nodig zijn om te bepalen of de gegevens wel of niet openbaar gemaakt mogen worden.[5]
Verregaande gevolgen
De rechtszaak laat zien dat volgens het HJE de publicatie van namen neerkomt op een verwerking van bijzondere persoonsgegevens, aangezien seksuele geaardheid mogelijk hieruit herleid zou kunnen worden. Maar het is mogelijk dat ook andere gegevens (bijv. openbare donaties aan politieke partijen, fondsen of liefdadigheidsinstellingen) als bijzonder of gevoelig zullen worden gezien door het HJE, omdat hieruit religieuze overtuigingen, politieke gezindheid of andere persoonlijke opvattingen kunnen worden geïnterpreteerd. Vooral voor organisaties en ondernemingen die aanzienlijke hoeveelheden persoonsgegevens gebruiken of verwerken kan deze uitspraak dus van grote gevolge zijn. Techgiganten Google, Amazon en Meta wisten tot kortgeleden een groot gedeelte van de GDPR te omzeilen door te beargumenteren dat ze alleen indirect verkregen informatie van klanten gebruikten (d.w.z. aanschaf van online abonnementen, surfgedrag of gebruik van bepaalde zoektermen) om persoonlijke profielen samen te stellen die rekening hielden met geloof, gezondheid en ras.[6] Met deze uitspraak wordt ook deze juridische omzeiling onmogelijk gemaakt.
Buiten deze grote organisaties om zal bij elke (middel-)grote onderneming die met een uitgebreide verwerking van persoonsgegevens te maken heeft opnieuw moeten worden afgewogen of die verwerking of openbaarmaking rechtmatig is – wat ongetwijfeld tot complexe en praktische problemen zal zorgen daar waar gegevens al moeilijk te categoriseren zijn.
Uiteraard zullen ook compliance- en privacy officers moeten bekijken op welke manier de eigen organisatie overeenkomstige informatie vastlegt, hoe deze beschermd word en of toelichting hierover richting medewerkers toereikend genoeg is.
[1] Zie het vonnis C-184/20, punt 39 – 40.
[2] C-184/20, punt 129.1.
[3] C-184/20, punt 129.2.
[4] Ibidem.
[5] Artikel 9 v. GDPR.
[6] https://www.reuters.com/technology/regulator-calls-big-tech-privacy-cases-be-handled-by-eu-watchdog-2022-06-17/ ; https://www.benzinga.com/markets/penny-stocks/22/08/28395550/have-we-seen-the-beginning-of-the-end-of-data-privacy-in-the-european-union