GDPR juristprudentie uit 2003. Het begon in 1998 met een bloggende Zweedse huishoudster

De Europese privacywet GDPR gaat veel ondernemers veel te ver. Ze vinden het een bureaucratisch gedrocht. Wat velen niet beseffen is dat de regels in de GDPR helemaal niet zo nieuw zijn. En dat er ook al veel langer opgetreden wordt tegen schendingen van de privacy.

En dan heb ik het niet over de Wet Bescherming persoonsgegevens.

De privacywetgeving en handhaving gaat nog veel verder terug. Dit artikel is bijzonder interessant voor mensen die meer willen weten over jurisprudentie die verwerkt is in de GDPR.

Het begon in 1998

Het begon allemaal in 1998, twintig jaar voor de GDPR die op 25 mei 2018 van kracht wordt, met de website die een huishoudster in Zweden bouwde voor de parochie van een kerk waar ze bij was aangesloten.

De huishoudelijke hulp Bodil Lindqvist was betrokken bij de voorbereiding van de communie in de Zweedse parochie Alseda Zweden. In haar vrije tijd volgde ze een computercursus waarvoor ze onder meer een homepagina op internet moest creeren. Daarmee schreef ze eind 1998 geschiedenis.

Bodil leek het handig dat parochianen gemakkelijk de informatie konden vinden die zij nodig zouden kunnen hebben.

Bodil was haar tijd vooruit

Het waren de begindagen van internet. Bodil was haar tijd ver vooruit. Ze was eigenlijk een van de eerste bloggers. Vrijwel niemand hield zich destijds nog bezig met internet. Smartphones bestonden nog niet. Snel internet, zoals we nu kennen, was er ook niet.

De website van Bodil bevatte informatie over haarzelf en 18 van haar collega’s in de parochie. Ze noemde haar collega’s met naam en toenaam. Ze beschreef het werk van haar collega’s en hun hobby’s ook in licht humoristische bewoordingen. In verscheidene gevallen werden hun gezinssituatie, hun telefoonnummer en andere informatie verstrekt.

Medische informatie

Ze vertelde ook dat een van haar collega’s haar voet had gekwetst en om medische redenen in deeltijd werkte. Deze blog kwam haar duur te staan. Ze had de wet overtreden.

Lindqvist had haar collega’s niet van het bestaan van de website met hun privegegevens op de hoogte gesteld noch hun toestemming gekregen. Ze had evenmin haar handelwijze aan de Datainspektion gemeld (Zweeds overheidsorgaan voor de bescherming van elektronisch doorgegeven gegevens).

Strafrechtelijk onderzoek

Toen zij vernam dat de bedoelde pagina’s door een aantal van haar collega’s niet op prijs werden gesteld, heeft zij ze verwijderd. Maar daarmee voorkwam ze niet dat er een strafrechtelijk onderzoek naar haar handelen werd in gesteld door het Zweedse openbaar ministerie.

Het kwam tot een baanbrekende rechtszaak.

De rechtsprocedure die volgde eindigde voor het Europese hof. En de uitspraak van toen past geheel bij de Europese privacywet GDPR, die eigenlijk dus helemaal niet zo nieuw is.

Boete van 4.000 kronen

Bodil Lindqvist kreeg een boete van 4 000 Zweedse kronen (ongeveer 450 EUR) wegens de automatische verwerking van persoonsgegevens, zonder dat zij de Zweedse toezichthoudende autoriteit voor de bescherming van elektronisch doorgestuurde gegevens schriftelijk in kennis had gesteld, wegens de niet-toegestane doorgifte van gegevens aan derde landen en wegens de verwerking van gevoelige persoonsgegevens (voetletsel en deeltijdwerk op medische gronden).

Ze moest bovendien nog eens 300 Euro betalen aan een Zweeds fonds voor slachtofferhulp.

Zweedse rechters willen Europees advies

Zij is tegen dit besluit in beroep gegaan bij het Zweedse Hof van Beroep (Göta hovrätt), die de zaak voorlegde aan het Europese Hof van Justitie in Den Haag. De Zweedse rechters wilden het volgende weten:

„1)    Is het vermelden van een persoon – met naam of met naam en telefoonnummer – op een homepage op het internet een handeling die onder de werkingssfeer van richtlijn [95/46] valt? Is er sprake van een .geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens’, wanneer op een eigenhandig gecreëerde homepage op het internet een aantal personen worden vermeld met verklaringen en mededelingen omtrent onder meer hun werksituatie of hun hobby’s?

2)    Bij ontkennend antwoord op de voorgaande vraag: kan het op een homepage op internet creëren van speciale pagina’s voor een vijftiental personen, met links tussen die pagina’s die zoeken op voornaam mogelijk maken, worden aangemerkt als een .niet-geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen’ in de zin van artikel 3, lid 1?

Indien het antwoord op een van deze vragen bevestigend luidt, stelt de hovrätt ook nog de volgende vragen:

3)    Kan het opnemen van dergelijke gegevens over collega’s op een privé-homepage, die evenwel toegankelijk is voor al degenen die het adres van de homepage kennen, op grond van een van de uitzonderingen van artikel 3, lid 2, worden geacht buiten de werkingssfeer van richtlijn [95/46] te vallen?

4)    Is de mededeling op een homepage, dat een bij name genoemde collega haar voet heeft bezeerd en met gedeeltelijk ziekteverlof is, een persoonsgegeven over de gezondheid, dat volgens artikel 8, lid 1, niet mag worden verwerkt?

5)    De doorgifte van persoonsgegevens naar derde landen is volgens richtlijn [95/46] in bepaalde gevallen verboden. Indien iemand in Zweden met behulp van een computer persoonsgegevens op een homepage opneemt, die op een server in Zweden is opgeslagen – waardoor die persoonsgegevens voor onderdanen van een derde land toegankelijk worden -, is dan sprake van doorgifte van gegevens naar derde landen in de zin van richtlijn [95/46]? Blijft het antwoord hetzelfde indien, voorzover bekend, geen onderdaan van een derde land feitelijk kennis heeft genomen van de gegevens, of indien de betrokken server zich zuiver fysiek in een derde land bevindt?

6)    Vormen de bepalingen van richtlijn [95/46] in een geval als het onderhavige een beperking die in strijd is met de algemene beginselen van vrijheid van meningsuiting of andere in de EU geldende vrijheden of rechten, die onder meer overeenkomen met artikel 10 van het Europees verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden?

7)    Kan een lidstaat op de in de voorgaande vragen bedoelde punten voorzien in een verdergaande bescherming van persoonsgegevens of in een ruimere werkingssfeer dan uit richtlijn [95/46] voortvloeit, ook wanneer geen sprake is van een van de in artikel 13 bedoelde gevallen?”

Europese uitspraak

De Europese rechters beoordeelden of de aan Bodil Lindqvist ten laste gelegde activiteiten in strijd zijn met de bepalingen van de richtlijn betreffende de bescherming van persoonsgegevens, die tot doel heeft in alle lidstaten een gelijk niveau van bescherming van de rechten en vrijheden van natuurlijke personen op dit gebied te waarborgen.

Het Europese Hof oordeelde dat de verwijzing op een internetpagina naar verschillende personen en hun identificatie met naam of anderszins (onder opgave van hun telefoonnummer of informatie over hun arbeidsomstandigheden en hobby’s) “de geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens” vormt.

Verwerken van bijzondere persoonsgegevens

Bovendien komt de verwijzing naar de gezondheidstoestand van een individu neer op een verwerking van gezondheidsgegevens in de zin van de richtlijn van 1995. Onder de nieuwe privacywet GDPR keert die richtlijn uit 1995 terug bij de bepaling over het verwerken van bijzondere persoonsgegevens.

Een dergelijke verwerking van persoonsgegevens valt niet onder de categorie van activiteiten in het kader van de openbare veiligheid, noch onder de categorie van louter persoonlijke of huishoudelijke activiteiten, die buiten het toepassingsgebied van de richtlijn vallen.

Europees Verdrag Rechten van de Mens

De Europese rechters verwijzen ook naar Artikel 8 van het Europees verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden dat op 4 november 1950 in Rome werd ondertekend. Het verdrag regelt het recht op respect voor het privéleven, het familie- en gezinsleven, en artikel 10 daarvan bevat bepalingen inzake de vrijheid van meningsuiting.

Het Europese Hof herinnert eraan dat de richtlijn ook specifieke regels bevat om de lidstaten in staat te stellen toezicht uit te oefenen op de doorgifte van persoonsgegevens naar derde landen.

Vrijheid van meningsuiting

De bepalingen van de richtlijn houden op zich geen beperking in die in strijd is met het beginsel van de vrijheid van meningsuiting of andere grondrechten.

Nationale regelingen

Het staat aan de nationale autoriteiten en rechterlijke instanties die bevoegd zijn voor de toepassing van de nationale regeling ter uitvoering van de richtlijn, een juist evenwicht te verzekeren tussen de betrokken rechten en belangen, met inbegrip van deze grondrechten.

Rechters met vooruitziende blik

De Europese rechters waren in 2003 kortom hun tijd ver vooruit. Dat blijkt ook uit hun visie destijds op de impact van hun uitspraak voor toekomstige ontwikkelingen:

Enerzijds zal de economische en sociale integratie die het gevolg is van de totstandbrenging en de werking van de interne markt, noodzakelijkerwijs leiden tot een aanzienlijke toename van de stroom van persoonsgegevens tussen alle deelnemers aan het economische en sociale leven van de lidstaten, zowel ondernemingen als nationale overheden van de lidstaten. Die deelnemers hebben in zekere mate behoefte aan persoonsgegevens om in het kader van de door de interne markt gevormde ruimte zonder binnengrenzen hun transacties te kunnen uitvoeren of hun opdracht te kunnen vervullen. Anderzijds verlangen de bij de verwerking van persoonsgegevens betrokken personen terecht dat die gegevens doeltreffend worden beschermd.

Bron: Arrest van het Hof, 6 november 2003:

Richtlijn 95/46/EG – Werkingssfeer – Openbaarmaking van persoonsgegevens op internet – Plaats van openbaarmaking – Begrip doorgifte van persoonsgegevens naar derde landen – Vrijheid van meningsuiting – Verenigbaarheid met richtlijn 95/46 van verdergaande bescherming van persoonsgegevens door wettelijke regeling van lidstaat”

Meer actueel awareness nieuws

Privacywet links

PrivacyZone bundelt handige en interessante links die betrekking hebben op de Europese privacywet AVG / GDPR op deze pagina. Hebt u tips voor links die hier volgens u bij horen te staan? Meld het ons: info@privacyzone.nl
Jurisprudentie