Thema 2: De AVG: reikwijdte en basisbegrippen
Leerdoelen van deze week:
- De kernbegrippen van de AVG uitleggen: persoonsgegevens, verwerking, bestand, verwerking voor “zuiver
persoonlijke of huishoudelijke activiteit”, betrokkene, verantwoordelijke, verwerker;
- Een gemotiveerd oordeel vormen of een bepaalde verwerkingssituatie binnen de reikwijdte van de AVG valt;
- De impact beoordelen van moderne technologieën op de materiële reikwijdte van de AVG;
- De impact beoordelen van moderne technologieën op de verdeling van verantwoordelijkheid onder de AVG;
- Een gemotiveerd oordeel vormen over de rechtspraak, b.v. de consistentie met en invloed op de bestaande
jurisprudentie en regelgeving;
- Een onderbouwde conclusie vormen over wie verwerkingsverantwoordelijke & verwerker is.
Literatuur 2
Kranenborg / Verhey, H6 en H7 2
Groep gegevensbescherming artikel 29, Advies 4/2007 over het begrip
persoonsgegevens, 20 juni 2007 4
Leenes, Ronald E. (2007) “Do They Know Me? Deconstructing Identifiability” 6
European Data Protection Board, Guidelines 07/2020 on the concepts of controller and
processor in the GDPR 8
Mahieu, Rene, van Hoboken, Joris V.J. (2019) “Fashion-ID: Introducing a Phase
Oriented Approach to Data Protection?” European Law Blog, 2019 10
Hoorcollege 11
Reikwijdte: Wanneer is de AVG van toepassing? 11
Materiële werkingssfeer 11
Territoriale reikwijdte 12
De actoren: Wie draagt plichten? Wie heeft rechten? 16
Werkgroep 19
Jurisprudentie 24
HvJ EU 19 oktober 2016, Breyer [feiten, 1ste vraag]. 24
HvJ EU 20 december 2017, Nowak 24
HvJ EU 5 juni 2018, Wirtschaftsakademie [feiten, 1ste + 2de vraag]. 25
HvJ EU 10 juli 2018, Jehova’s getuigen [feiten, 1ste-4de vraag]. 25
HvJ EU 29 juli 2019, Fashion ID [Feiten, 2de vraag] 26
L 27
1
,Literatuur
Kranenborg / Verhey, H6 en H7
Hoofdstuk 6 - Reikwijdte
Inleiding
De reikwijdte van de AVG volgt uit art. 1-4.
Van geautomatiseerde verwerking is sprake als gebruik wordt gemaakt van middelen en methoden van
geautomatiseerde gegevensverwerking. De verwerking is gedeeltelijk geautomatiseerd als bij een onderdeel van de
verwerking ook gebruik wordt gemaakt van handmatige (niet-geautomatiseerde) verwerking. De
gegevensbeschermingsregels zijn ook van toepassing op handmatige verwerking als deze gegevens in een bestand
zijn of zullen worden opgenomen.
Definitie ‘persoonsgegevens’
Algemeen
Art. 4(1) AVG: persoonsgegevens worden hier gedefinieerd als ‘alle informatie over een geïdentificeerde of
identificeerbare natuurlijke persoon’. Deze definitie bevat vier elementen.
In de AVG zijn er aparte, striktere regels neergelegd voor de verwerking van ‘bijzondere categorieën
persoonsgegevens', vanwege hun aard. Dat laat onverlet dat het persoonsgegevens zijn waarvoor de definitie-elementen
ook relevant zijn.
‘Alle informatie …’
Het begrip moet ruim worden opgevat. Hieronder valt alle informatie. Het is niet beperkt tot gegevens van iemands
privéleven. In die zin wordt de reikwijdte van de gegevensbeschermingsregels strikt genomen niet beperkt tot, of
gelijkgesteld met, de reikwijdte van het recht op bescherming van het privéleven.
In de zaak Nowak maakte het HvJ EU duidelijk dat ook subjectieve informatie in de vorm van meningen of
beoordelingen onder het begrip ‘persoonsgegevens’ kunnen vallen. De uitspraak van het HvJ EU volgt het standpunt
van de Artikel 29-Groep, die eerder duidelijk maakte dat ook subjectieve informatie onder het begrip
‘persoonsgegevens’ valt.
Het HvJ EU stelde in Nowak wel als voorwaarde dat de informatie de betrokkene betreft.
‘... over …’
In de meeste gevallen is het gemakkelijk te bepalen of informatie op individuele personen betrekking heeft.
Het HvJ EU stelde in Nowak dat voldaan was aan de definitie van ‘persoonsgegevens’, omdat de informatie wegens
haar inhoud, doel of gevolg gelieerd was aan de kandidaat.
‘... een geïdentificeerde of identificeerbare …’
Identificeerbaar: een persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een
zogenoemde ‘identificator’.
Lastiger ligt het bij gegevens met behulp waarvan personen niet of niet zonder meer traceerbaar zijn. In die gevallen
gaat het om de vraag of de identiteit van de betrokkenen personen zonder onevenredige inspanning kan worden
vastgesteld.
Als het gaat om de mate van identificeerbaarheid moet gekeken worden naar alle middelen waarvan redelijkerwijs valt
te verwachten dat zij worden gebruikt door de verwerkingsverantwoordelijke of door een ander persoon om de
identiteit vast te stellen. Rekening moet worden gehouden met alle objectieve factoren. Indien een onevenredige
hoeveelheid tijd, geld en menskracht nodig zou zijn om identificatie te realiseren, is er geen sprake van een
persoonsgegeven.
In de Breyer-uitspraak is overwogen dat niet vereist is dat alle informatie, aan de hand waarvan de betrokkene kan
worden geïdentificeerd, bij een en dezelfde persoon berust. Het HvJ EU overwoog dat een middel niet geacht kan
2
, worden redelijkerwijs te worden gebruikt als identificatie van de betrokkene bij wet is verboden of in de praktijk
ondoenlijk is, zodat het gevaar voor identificatie in werkelijkheid onbeduidend lijkt.
Voor de beoordeling of sprake is van een persoonsgegeven moet de volledige context worden betrokken.
De AVG is niet van toepassing op anonieme gegevens, te weten gegevens die zodanig anoniem zijn gemaakt dat de
betrokkene niet of niet meer identificeerbaar is. Zogenoemde ‘gepseudonimiseerde’ persoonsgegevens, die door
gebruik van aanvullende gegevens aan een natuurlijke persoon kunnen worden gekoppeld, worden wel als
persoonsgegevens aangemerkt.
Bij het gebruik van een blockchain zal ook vaak sprake zijn van verwerking van persoonsgegevens, ook al zijn de
gegevens versleuteld.
‘ … natuurlijke persoon’
Het moet gaan om een levend persoon, dus niet een rechtspersoon.
Een voorbeeld: IP-adressen - wel of geen persoonsggeven?
Hoofdstuk 6: Rechten van de Betrokkenen
Definitie van Betrokkene
● Betrokkene: Een geïdentificeerde of identificeerbare natuurlijke persoon. (Art. 4(1) AVG).
Rechten van Betrokkenen
1. Recht op Inzage (Art. 15 AVG)
○ Informatie: Doeleinden van de verwerking, categorieën van persoonsgegevens, ontvangers, beoogde
bewaartermijn.
○ Toegang: Recht op een kopie van de persoonsgegevens.
2. Recht op Rectificatie (Art. 16 AVG)
○ Doel: Correctie van onjuiste of onvolledige gegevens.
○ Procedure: Betrokkene kan verzoeken om correctie.
3. Recht op Wissing (Recht om Vergeten te Worden) (Art. 17 AVG)
○ Grondslagen: Gegevens zijn niet langer nodig, betrokkene trekt toestemming in, gegevens zijn
onrechtmatig verwerkt.
○ Uitzonderingen: Vrijheid van meningsuiting, juridische verplichtingen.
4. Recht op Beperking van Verwerking (Art. 18 AVG)
○ Grondslagen: Betrokkene betwist de juistheid, verwerking is onrechtmatig, gegevens zijn niet langer
nodig, bezwaar tegen verwerking.
5. Recht op Dataportabiliteit (Art. 20 AVG)
○ Doel: Overdragen van gegevens aan een andere verwerkingsverantwoordelijke.
○ Vorm: Structuur, gangbaar en machineleesbaar formaat.
6. Recht van Bezwaar (Art. 21 AVG)
○ Grondslagen: Verwerking gebaseerd op gerechtvaardigde belangen, direct marketing, profilering.
○ Procedure: Betrokkene kan bezwaar maken tegen verwerking.
7. Recht op Informatie over Datalekken (Art. 34 AVG)
○ Verplichtingen: Meld datalekken zonder onredelijke vertraging aan de toezichthoudende autoriteit en
mogelijk aan de betrokkenen.
Belangrijke Uitspraken
● Google Spain SL, Google Inc. v Agencia Española de Protección de Datos (AEPD), Mario Costeja
González: Recht om vergeten te worden.
● Schrems II: Ongeldigheid van het Privacy Shield voor gegevensoverdrachten naar de VS.
Hoofdstuk 7: Verplichtingen van de Verwerkingsverantwoordelijke en Verwerker
3