Merkwaardige zaken geven merkwaardige uitspraken, is een oud juridisch motto. Zo ook hier in Brillen Rottler: wie een AVG-inbreuk uitlokt door opzettelijk persoonsgegevens aan te bieden en dan de ander aan te spreken op noncompliance, kan wegens misbruik van recht worden tegengehouden.
De achtergrond van de zaak klinkt als iets dat ik vaker heb gezien. De eisende partij had zich ingeschreven voor de nieuwsbrief van opticien Brillen Rottler, en vervolgens een inzageverzoek gedaan met de kennelijke hoop de opticien op een inbreuk te kunnen betrappen.
Brillen Rottler herkende de man (kennelijk wordt er breed geroepen dat dit een professioneel AVG-inbreukspeurder is) en weigerde zijn verzoek met een beroep op misbruik van recht. Waarop de man 1000 euro schadevergoeding eiste bij de rechter wegens geen gehoor geven aan zijn inzageverzoek.
Dat eindigde dus bij de hoogste Europese rechter, die nu bepaalt dat dat wel degelijk een vorm van misbruik is.
Allereerst: waar staat dat in de wet? Artikel 12 lid 5 AVG geeft als enige grond dat “kennelijk ongegronde of buitensporige” verzoeken mogen worden afgewezen. Dit was één verzoek, dus moeilijk dat ‘buitensporig’ te noemen zou je denken. Maar het Hof ziet dit als een kwalitatief en niet een kwantitatief criterium: ook één verzoek kan buitensporig zijn, mits aan twee eisen is voldaan:
[T]en eerste een reeks objectieve omstandigheden waaruit blijkt dat, ondanks de formele naleving van de voorwaarden van de Uniewetgeving, het doel van die wetgeving niet is bereikt; en ten tweede een subjectief element, bestaande uit de intentie van de betrokkene om een ??voordeel te behalen uit de Uniewetgeving door kunstmatig de voorwaarden te scheppen om dat voordeel te verkrijgen.Allereerst moet je verzoek dus niet een ‘echt’ AVG-doel dienen. Dat gaat bij inzage met name om het kunnen controleren en zo nodig laten corrigeren van je gegevens. Dat was hier niet echt aan de orde: je weet wat je invulde bij de nieuwsbriefinschrijving.
Het tweede element is subjectiever: “kunstmatig de voorwaarden scheppen” om mensen op een inbreuk te betrappen. Daarbij mag je meenemen dat meneer dit vaker doet, zodat de indruk duidelijker is dat hij het niet om dat ‘echte’ doel doet.
De zaak is terugverwezen voor de benodigde feitelijke inschatting, maar de hint is wel duidelijk dat deze meneer niet 1000 euro rijker de zaal zal verlaten.
Arnoud
Maar hoe zou dat in NL werken. Die claim van 1000 euro lijkt me nergens op gebaseerd? “auw mijn data” werkt toch niet?
Hoe zit het dan met ‘proefprocessen’? Dat gaat er ook niet om om je gelijk te halen, maar meer om te zien hie de rechter oordeelt gegeven een bepaalde set omstandigheden.
Gebruikelijk bij zo’n opzet is dat je alleen een verklaring voor recht vordert (het is onrechtmatig om X te doen) en niet ook schadevergoeding.
Zou dit een lijst zijn? En zo ja kunnen de deze AVG inbreukverdieners dan een inzageverzoek doen van deze lijst?
Ik zou zeggen dat zo’n lijst een journalistiek product is en dat het inzagerecht dan niet geldt. Bronbescherming.
Deze redenering vind ik wat kort door de bocht. Wat ik invul bij een inschrijving is één ding; wat ze vervolgens nog verder er aan koppelen (koppeling met m’n aankopen, tracking pixels, dingen van onder-Europees-recht-waarschijnlijk-illegale-data-brokers, etc) en wat ik níet zomaar in de interface en de to-header van elk mailtje te zien krijg, dát is óók wat ik verwacht terug te zien onder recht op inzage. Ik vind ’t niet onredelijk om dat te doen met ’t idee dat je gaat controleren of wat de verwerkingsverantwoordelijke zégt dat ze doen en wat ze écht doen met elkaar overeenkomt. En zo niet, dat je ze dan erop kunt wijzen dat sommige van die verwerkingen niet mogen (in z’n algemeenheid of puur omdat ze je niet correct vooraf geïnformeerd hebben of waar ’t dan ook op nat gaat), of de toezichthouder kunt inseinen.
“Je maakt de account alleen maar aan om ze op verwerkingen die niet mogen te betrappen” is effectief het werk van de toezichthouder doen, ik zie ook ergens wel de redenering dat je dat aan hun moet overlaten; maar ja, als je niet weet wat ze verwerken kun je ook geen toezichthouder inseinen dat ze dingen doen die niet mogen. Waar ligt de grens, wanneer mag dat wel en wanneer mag dat niet? Want als recht op inzage niet ingezet mag worden om de verwerkingsverantwoordelijke, nou ja, verantwoordelijk te houden, zijn er dan uberhaupt nog manieren om dat wél te doen?
En ja, hier ga ik er natuurlijk van uit dat de verwerkingsverantwoordelijken netjes alle data die ze over je hebben ook in de inzage gooien; een te kwader trouwe partij geeft je wél data, maar niet de data waarvan ze zelf donders goed weten dat ze dat niet mogen hebben.
Wat ik dan weer wél misbruik van recht vind is verzoeken doen met het idee dat in x procent van de gevallen ze geen, of niet op tijd, inzage geven, en je zo een boetebeding voor non-compliance in inzage an sich gebruikt om voordeel uit te halen. Maar dan weegt dus ook een stuk zwaarder mee dat dit een seriële aanvrager is die hetzelfde trucje op meerdere plekken uitvoert en die ’t niet zozeer boeit of de gegevensverwerking an sich allemaal legitiem is.