Short Reads

De AVG staat niet in de weg aan de verwerking van persoonsgegevens door een toezichthouder tijdens een bedrijfsbezoek

De AVG staat niet in de weg aan de verwerking van persoonsgegevens do

De AVG staat niet in de weg aan de verwerking van persoonsgegevens door een toezichthouder tijdens een bedrijfsbezoek

10.03.2020 NL law

Bedrijven die met toezicht worden geconfronteerd, zijn gehouden op verzoek van een toezichthouder in beginsel alle informatie te verstrekken. Met de komst van de Algemene verordening gegevensbescherming (AVG) is in de praktijk de vraag opgekomen of een toezichthouder bevoegd is om persoonsgegevens die onderdeel uitmaken van de gevraagde informatie te verwerken.

Het Hof Den Haag oordeelde voor het eerst in zijn arrest van 12 februari 2019 (ECLI:NL:GHDHA:2019:417) dat de Autoriteit Consument en Markt (ACM) bevoegd was om tijdens een bedrijfsbezoek persoonsgegevens te kopiëren. De AVG biedt daarvoor volgens het Hof grondslag nu de verwerking noodzakelijk is voor de vervulling van het algemeen belang, namelijk het toezicht op de naleving van in dit geval de Mededingingswet. In dit blogbericht worden het arrest en vonnis van de rechtbank besproken en de betekenis daarvan voor de praktijk.

Bedrijfsbezoek

De zaak gaat om een bedrijfsbezoek van de ACM in het kader van een onderzoek naar mogelijke overtreding van de Mededingingswet. Tijdens dat bezoek heeft de ACM onder andere digitale data van enkele medewerkers gekopieerd, waaronder ook persoonsgegevens. Het bedrijf verzoekt in een civiel kort geding onder meer om staking van het onderzoek door de ACM. Er is sprake van een civiel kort geding, omdat feitelijke toezichtshandelingen - zoals het kopiëren van stukken door de ACM - niet bij de bestuursrechter kunnen worden aangevochten.

De rechtbank stelde het bedrijf deels in het gelijk voor wat betreft het kopiëren van mailboxen van enkele medewerkers. Volgens de rechtbank heeft de ACM in strijd met haar digitale werkwijze (ACM Werkwijze voor onderzoek in digitale gegevens 2014) gehandeld door het bedrijf daarover vooraf niet te informeren. Het gevolg daarvan was dat de informatie van de desbetreffende medewerkers buiten het onderzoek van de ACM moest blijven. Aan de bevoegdheidsvraag op grond van de AVG gaat de rechtbank vervolgens voorbij.

Tegen dat vonnis stelt het bedrijf beroep in bij het Hof waarin het zich onder meer op het standpunt stelt dat de ACM niet over een wettelijke basis beschikt die op grond van artikel 6, eerste lid, van de AVG is vereist om persoonsgegevens die onderdeel uitmaken van de gekopieerde data  te verwerken.

Arrest van het Hof

Het Hof stelt het bedrijf in het kort geding in het ongelijk en oordeelt dat de ACM wel bevoegd is om het onderzoek uit te voeren en dat daarvoor een wettelijke basis bestaat in de AVG. Het Hof is van oordeel dat de wettelijke grondslag voor de verwerking van persoonsgegevens door de ACM kan worden gebaseerd op grond van artikel 6 lid 1 sub e AVG. Dit artikellid bepaalt dat de verwerking alleen rechtmatig is indien de verwerking noodzakelijk is voor de vervulling van een taak van algemeen belang. Volgens het Hof is het algemeen belang gegeven nu het gaat om toezicht op de naleving van de Mededingingswet. Bovendien staat volgens het Hof artikel 5:17 Awb niet in de weg aan de verwerking van persoonsgegevens ook al ziet die bevoegdheid op inzage van de toezichthouder in ‘zakelijke gegevens en bescheiden’. Daarvoor acht het Hof relevant:

  • dat die gegevens voor de ACM noodzakelijk zijn, omdat pas op basis van alle verstrekte documenten kan worden bepaald of de gegevens en bescheiden zakelijk zijn of niet.
  • de digitale werkwijze van de ACM die zijn grondslag vindt in onder meer artikel 5:17 Awb voldoende waarborgen biedt dat documenten van persoonsgegevens worden geschoond voordat het onderzoeksteam van de ACM ermee aan de slag gaat.
  • de bredere bevoegdheid in artikel 6b en artikel 7 van de Instellingswet ACM die de onder toezicht gestelde verplicht om ‘gegevens en inlichtingen’ aan de ACM te verstrekken en welke gegevens de ACM uitsluitend mag gebruiken voor zover dat noodzakelijk is voor de uitvoering van zijn taak.

Betekenis voor de praktijk

  • De les uit dit arrest is dat bedrijven, burgers en instellingen niet zonder meer kunnen weigeren om persoonsgegevens te verstrekken aan toezichthouders, omdat de AVG daaraan in de weg zou staan. De AVG in samenhang gelezen met de toezichtsbevoegdheden in de Awb (o.a. inzage in zakelijke gegevens en bescheiden, verstrekken van inlichtingen en de medewerkingsplicht) en eventueel bijzondere bevoegdheden in specifieke wetten (o.a. de Instellingswet ACM) bieden daarvoor voldoende grondslag. De verwerking van persoonsgegevens door de toezichthouder kan berusten op de grondslag dat de verwerking noodzakelijk is voor de vervulling van een taak van algemeen belang (artikel 6 lid 1 sub e AVG). Dat belang is volgens het Hof gegeven als het gaat om toezicht op de naleving van de wet- en regelgeving door de desbetreffende toezichthouder in kwestie.
  • Deze grondslag benoemt de Europese Toezichthouder voor gegevensbescherming overigens ook in zijn brief van 22 oktober 2018 (p. 6). Daarin staat dat artikel 6 lid 1 sub c AVG niet in de weg staat aan de verplichting voor een betrokkene om informatie waaronder ook persoonsgegevens te verstrekken aan Europese toezichthouders.
  • Voor (rechts)personen betekent dit dat zij bij (bedrijfs)bezoeken van toezichthouders goed moeten opletten of de toezichthouder de waarborgen bij de totstandkoming van de onderzoksdataset in acht neemt. Die waarborgen hebben de AFM en de ACM in elk geval vastgelegd in hun daarvoor specifiek opgestelde beleidsregels.

Team

Related news

24.09.2021 EU law
Digital Law Up(to)date: (1) the download of a software with a permanent licence can constitute a “sale of goods”; (2) alert of the BEUC regarding the privacy policy of WhatsApp and its new term of use

Articles - In this blog, we briefly present two interesting news in the field of digital law: (1) a judgment of the CJEU considering that the download of a software with a permanent licence can constitute a “sale of goods”, and (2) an alert of the BEUC regarding the privacy policy of WhatsApp and its new terms of use.

Read more

09.09.2021 BE law
Digital Law Up(to)date: (1) Parliamentary initiatives about cyber attacks; (2) ‘Zero tariff’ options before the CJEU; and (3) Council of State, GDPR and encryption

Articles - In this blog, we briefly present three interesting news in the field of digital law: (1) Parliamentary initiatives to tackle cyber attacks (2) "Zero tariff" options and open internet access do not mix! (3) Council of State, GDPR and encryption: validation of a decision of the Flemish Authorities

Read more

21.09.2021 NL law
Mogen grote steden woningbeleggers in alle wijken weren?

Short Reads - Gemeenten krijgen binnenkort een nieuw instrument in de strijd tegen woningnood: opkoopbescherming. Dit is een vergunningplicht voor het verhuren van een recent aangeschafte woning. Het doel daarvan is het weren van opkopende beleggers die delen van de woningmarkt domineren. Onder meer de gemeenten Rotterdam, Den Haag en Amsterdam hebben al gezegd hiervan gebruik te zullen maken in de hele gemeente. Dat laatste is echter makkelijker gezegd dan gedaan.

Read more

13.09.2021 NL law
Adopting the new Standard Contractual Clauses to secure international personal data transfers

Short Reads - Recently, the European Commission issued an implementing decision on standard new contractual clauses (“SCCs”) for the transfer of personal data to countries outside the European Economic Area. Organisations need to use the new SCCs from 27 September 2021 and onwards. Transitional periods apply for existing international data transfer agreements. To meet their obligations under the General Data Protection Regulation, organisations need to make the appropriate changes in time.

Read more