In januari 2023 heeft het Hof van Justitie van de Europese Unie (HvJ-EU) in zaak C-154/21 besloten dat “eenieder het recht heeft te weten aan wie zijn of haar persoonsgegevens zijn verstrekt“. Dit vonnis werd aangekondigd na een geschil bij het Oostenrijkse Hooggerechtshof tussen een Oostenrijks staatsburger en de Oostenrijkse postdienst Österreichische Post.
De burger van Oostenrijk verzocht de postdienst de identiteit bekend te maken van de ontvangers van wie zijn persoonsgegevens waren gedeeld. De Oostenrijkse postdienst verklaarde dat het persoonlijke gegevens gebruikt voor zover toegestaan door de wet, persoonsgegevens aan handelspartners aanbiedt voor marketingdoeleinden, maar niet duidelijk wat de exacte identiteit van de ontvangers is. Tijdens de procedure verduidelijkte de Oostenrijkse postdienst verder dat de gegevens waren doorgegeven aan verwerkers en derden, waaronder:
- Adverteerders die actief zijn in e-Commerce and winkels
- IT-bedrijven
- Aanbieders van mailinglijsten en
- verenigingen zoals liefdadigheidsinstellingen, niet-gouvernementele organisaties of politieke partijen
Het Oostenrijkse Hooggerechtshof bleef toen met de vraag zitten; laat de AVG de verwerkingsverantwoordelijke de keuze om de specifieke identiteit van de ontvangers of alleen de categorieën ontvangers bekend te maken; of dat het de betrokkene het recht geeft om zijn specifieke identiteit te kennen?
Dat was de vraag die aan het HvJ-EU werd gesteld.
In deze blog kijken we naar de betreffende casus, bespreken we wat dit betekent voor uw organisatie en wat u nu moet doen om de naleving van de nieuwe uitspraak te waarborgen.
De beslissing van het Hof
Het HvJ-EU maakte duidelijk dat betrokkenen het recht hebben om te weten wie hun persoonsgegevens ontvangt. Het Hof verklaart:
“… Wanneer persoonsgegevens aan ontvangers zijn of zullen worden verstrekt, is er een verplichting voor de verwerkingsverantwoordelijke om de betrokkene op verzoek de werkelijke identiteit van die ontvangers te verstrekken. Alleen wanneer het (nog) niet mogelijk is om die ontvangers te identificeren, mag de verwerkingsverantwoordelijke alleen de categorieën van de ontvanger in kwestie aangeven…”
Het Hof voegde er ook het voorbehoud aan toe dat het verzoek kan worden afgewezen, zolang de verwerkingsverantwoordelijke kan aantonen dat het verzoek kennelijk ongegrond of buitensporig is.
In dit geval heeft het HvJ-EU artikel 15, lid 1, onder c), in een bredere context geïnterpreteerd en de doelstellingen van de AVG overwogen, waarbij het oordeelde dat betrokkenen het recht hebben om te weten wie over hun gegevens beschikt. Ter bevordering van de beslissing heeft het Hof de volgende punten benadrukt:
- Het recht op toegang vereist dat alle verwerkingen in overeenstemming zijn met artikel 5 en op transparante wijze worden uitgevoerd
- Onderscheid gemaakt tussen het “echte” recht van betrokkenen om informatie op te vragen uit hoofde van artikel 15 en de transparantievereisten uit hoofde van de artikelen 13 en 14
- Overweging 63 verleent het recht om de ontvangers van de persoonsgegevens te kennen en te communiceren met betrokkenen
- Dat er nog een afwegingstoets is, dit is geen absoluut recht en het kan geweigerd worden (zoals wanneer de daadwerkelijke ontvanger niet bekend is). Op grond van artikel 12, lid 5, onder b), kan de voor de verwerking verantwoordelijke het verzoek ook weigeren indien hij het kennelijk ongegrond of buitensporig heeft geacht.
Waarom is deze beslissing belangrijk?
Deze beslissing kan mogelijk gevolgen hebben voor veel kleine en middelgrote organisaties, maar het is ook een belangrijke beslissing op het gebied van de rechten van betrokkenen. Het HvJ-EU heeft heel duidelijk gemaakt dat het recht op toegang essentieel is om betrokkenen in staat te stellen hun andere rechten uit te oefenen die door de AVG worden verleend. Dit omvat het recht op rectificatie, recht op verwijdering, recht op beperking van de verwerking, recht om bezwaar te maken tegen verwerking of het recht op schadevergoeding en aansprakelijkheid als ze schade hebben geleden.
Hoewel dit arrest betrokkenen geen nieuw recht geeft, strekt het zich uit tot het recht van inzag voor betrokkenen. Het bevestigt ook dat betrokkenen het recht moeten hebben om te weten waar hun gegevens naartoe gaan en om welke reden deze met een derde partij worden gedeeld.
Wat moet uw organisatie doen?
Ga om te beginnen terug naar uw gegevensstromen en zoek uit waar uw gegevens naartoe gaan en waar al uw leveranciers zich bevinden. U moet ervoor zorgen dat dit up-to-date is en nauwkeurig de het proces weergeeft van de persoonlijke gegevens die u verzamelt. In dit stadium moet u ook overwegen om naar uw verwerkingsregister te kijken en ervoor te zorgen dat deze een afspiegeling blijven van uw verwerkingsactiviteiten. Als er belangrijke wijzigingen zijn aangebracht in uw gegevensoverzicht of als uw processen zijn gewijzigd, moet uw verwerkingsregister worden bijgewerkt om dit weer te geven. U moet er ook voor zorgen dat u vendor due diligence hebt uitgevoerd op nieuwe leveranciers, omdat dit zal helpen om aan te tonen dat u verantwoordelijk bent voor het delen en verwerken van persoonlijke gegevens.
Privacybeleid
Uw volgende prioriteit moet zijn om uw privacyverklaring bij te werken met uw gegevensverwerkers en externe leveranciers. Dit toont transparantie aan uw betrokkenen. Dit zal uw betrokkenen ook aanmoedigen om naar de privacyverklaring te gaan om deze informatie te vinden, in plaats van u rechtstreeks te vragen deze te verstrekken.
U moet alle andere bestaande kennisgevingen bijwerken om deze wijziging weer te geven. Dit omvat alle beleidsregels en procedures die de rechten van betrokkenen behandelt. Deze moeten mogelijk worden bijgewerkt en het personeel dat verzoeken van betrokkenen behandelt, moet op de hoogte worden gebracht van eventuele wijzigingen.
Andere rechten van betrokkenen worden beschermd
Verzeker uzelf dat uw organisatie alle andere rechten respecteert die de AVG betrokkenen toekent. Het HvJ-EU heeft duidelijk gemaakt dat het recht om te weten waar de persoonsgegevens van een betrokkene naartoe gaan (en naar wie) een cruciaal onderdeel vormt van het recht op inzage. Hierbij toegevoegd, dat het “recht op inzage noodzakelijk is om de betrokkene in staat te stellen andere rechten uit te oefenen die door de AVG worden verleend”. Het is belangrijk dat u nadenkt en begrijpt hoe uw bedrijf andere rechten van betrokkenen nakomt en hoe deze nieuwe uitspraak aansluit. U dient ervoor te zorgen dat alle rechten die door uw betrokkenen worden uitgeoefend, worden meegedeeld aan alle betrokken gegevensverwerkers of externe leveranciers. Ondersteunt de externe verwerker u bijvoorbeeld wanneer een van uw betrokkenen zijn adres wil bijwerken of een kopie van zijn gegevens wil verkrijgen?
Conclusie
Deze uitspraak is een belangrijke verduidelijking voor organisaties en kan hen ertoe aanzetten om veel van hun processen en beleid te veranderen. Als uw organisatie betrokkenen in de EU heeft of als u een gegevensverwerker bent voor een in de EU gevestigde verwerkingsverantwoordelijk, moet u ervoor zorgen dat u dit besluit nakomt en een mechanisme biedt voor het verstrekken van deze informatie aan betrokkenen (vooral als zij daarom vragen).
Als uw organisatie persoonsgegevens verwerkt over betrokkenen die woonachtig zijn in de EU, of als u meer informatie wilt over hoe u uw beleid up-to-date en compliant kunt houden, vult u dan het onderstaande formulier in, waarna iemand van ons team contact met u opneemt.