Ophef op vrijdag: het Hof van Justitie heeft geoordeeld dat het mondeling uitspreken van persoonsgegevens ook onder de AVG valt. Wacht, wat? Oké, er zit natuurlijk iets meer nuance aan deze uitspraak (C-740/22) maar in de kern klopt het wel degelijk.
De zaak begon als een background check van de Finse afdeling Endemol Shine over een deelnemer aan een van hun programma’s. Endemol belde met de Etelä-Savon käräjäoikeus (de rechtbank Zuid-Savo, maar ik höü van Finse namen) om te vragen of er strafzaken tegen deze persoon liepen.
De rechtbank weigerde antwoord te geven “want dat mag niet van de AVG”, iets preciezer: antwoord geven zou een verwerking van strafrechtelijke persoonsgegevens opleveren, ook als men dat mondeling zou doen. En er was geen grond voor die verwerking (verstrekking) omdat “meewerken aan private background checks” niet in de wet genoemd staat. Endemol ging in beroep omdat volgens hen een mondelinge mededeling in het geheel buiten de AVG valt. Dat leidde tot vragen aan het Hof van Justitie.
Dat de gevraagde gegevens persoonsgegevens zijn staat vast. Het Hof is snel klaar met de vraag of dit telt als ‘verwerking’; dat is zo want de definitie van verwerking omvat alles dat je met persoonsgegevens kunt doen. Dus ook het voorlezen of uit je hoofd opzeggen daarvan.
Dit wil alleen niet zeggen dat de AVG geldt. Daarvoor is vereist hetzij dat de gegevens elektronisch worden verwerkt, hetzij dat ze in een bestand zitten of bestemd zijn daarin te worden opgenomen. Voorlezen is per definitie niet een elektronische verwerking, dus komt het neer op de vraag of we hier met een bestand te maken hebben.
In dit verband heeft het Hof reeds geoordeeld dat, om het in punt 34 van het onderhavige arrest in herinnering gebrachte doel te bereiken, deze bepaling een ruime omschrijving geeft van het begrip „bestand” in de zin van „elk” gestructureerd geheel van persoonsgegevens. Bovendien beoogt het vereiste dat het geheel van persoonsgegevens moet zijn „gestructureerd volgens specifieke criteria”, uitsluitend ervoor te zorgen dat de persoonsgegevens gemakkelijk kunnen worden teruggevonden. Behalve dit vereiste bevat artikel 4, punt 6, AVG geen enkele bepaling over de wijze waarop een bestand moet worden gestructureerd, en over de vorm die een dergelijk bestand moet hebben.Dat de rechtbank een systeem met dossiers had, betwistte niemand. En daarin zit een zoekfunctie, en dat is genoeg om het systeem een “bestand” te noemen in de zin van de AVG. Daaruit concludeert het Hof dat wie voorleest uit zulke dossiers, persoonsgegevens verwerkt en onder de AVG valt.
Het verstrekken van die gegevens is vervolgens triviaal in strijd met de AVG, maar dat laat ik even buiten beschouwing. De eerste conclusie is namelijk al ophef genoeg. Ik ken vele, vele partijen die erop staan dat dingen mondeling gebeuren “omdat anders de AVG van toepassing is”. En dat is dus nu geen argument meer.
De scope is echter wel iéts beperkter dan “alle voorlezen valt onder de AVG”. Men zegt immers dat het voorlezen van zulke informatie onder de AVG valt “voor zover deze informatie in een bestand is opgenomen of bestemd is om daarin te worden opgenomen.” De bron van de informatie moet dus een bestand zijn waaruit je voorleest.
Ik zie de uitspraak dus meer als een blokkade tegen “ik mag je geen mail sturen, dus ik lees het wel even voor” dan dat het Hof nu wérkelijk heeft gemeend dat iedere vorm van praten over personen onder de AVG valt.
Arnoud