01/06/2023 - Naar aanleiding van een recente uitspraak van het Gerecht is de definitie van persoonsgegevens verder verduidelijkt, met name wanneer bepaalde gegevens niet als persoonsgegevens moeten worden beschouwd. In deze zaak heeft het Gerecht bepaald dat gegevens niet als persoonsgegevens moeten worden beschouwd wanneer deze worden verzonden naar een ontvanger die niet over de middelen beschikt om de betrokkenen te her-identificeren en wanneer er geen wettelijke mogelijkheden zijn om toegang te krijgen tot deze informatie. Als gevolg hiervan kunnen de verzonden gegevens als anoniem worden beschouwd en worden deze niet langer gezien als persoonsgegevens. Daarnaast benadrukt het Gerecht in deze uitspraak dat niet alle meningen van een betrokkene als persoonsgegevens moeten worden aangemerkt, maar dat dit van geval tot geval moet worden beoordeeld. 

Achtergrond van de zaak  

In de betreffende zaak tussen getroffen aandeelhouders en schuldeisers (de "betrokkenen") en de Single Resolution Board (‘SRB’) (de "gegevensverzender") verwerpt het Gerecht de beslissing van de Europese Toezichthouder voor Gegevensbescherming (‘EDPS’). De feiten van de zaak zijn als volgt: de gegevensverzender, SRB, heeft gegevens verzameld om de betrokkenen te kunnen identificeren en heeft deze gegevens opgeslagen in een database. Vervolgens heeft SRB een elektronisch formulier naar alle betrokkenen gestuurd om hen in staat te stellen hun standpunten kenbaar te maken. Het formulier bevatte zeven vragen waarbij beperkte ruimte was voor antwoorden. De antwoorden op dit formulier werden gedeeld met een adviesbureau, Deloitte, dat de antwoorden zou analyseren. Voordat dit gebeurde, werden de namen van de respondenten vervangen door een willekeurig gegenereerde code van 33 cijfers. Deze code werd ontwikkeld voor controle– en opvolgingsdoeleinden. De formulieren werden gedeeld met Deloitte door deze te uploaden naar een beveiligde virtuele dataserver waar slechts een beperkt aantal medewerkers van Deloitte toegang toe had. 

De betrokkenen kwamen erachter dat SRB de formulieren met Deloitte had gedeeld en beschouwden dit als een schending van artikel 13 van de Algemene Verordening Gegevensbescherming (‘AVG’), omdat SRB hen hier niet over had geïnformeerd. SRB was echter van mening dat de gedeelde formulieren anonieme gegevens bevatten en dat het daarom niet nodig was om de betrokkenen in hun privacyverklaring te informeren over het delen van deze gegevens met Deloitte. Deloitte had namelijk nooit toegang gehad tot de database waarin de informatie van de betrokkenen was opgeslagen en waarmee de betrokkenen geïdentificeerd zouden kunnen worden. 

Uitspraak van het Gerecht

Het EDPS oordeelde dat het hier ging om gepseudonimiseerde gegevens en dat het er niet toe deed dat Deloitte geen toegang had tot de database. Volgens het EDPS had SRB de betrokkenen moeten informeren. Het Gerecht verwerpt dit standpunt en sluit zich aan bij de conclusies van de zaak Breyer, waarin wordt gesteld dat rekening moet worden gehouden met het perspectief van de ontvanger bij de vraag of gegevens die aan een ontvanger worden verzonden als persoonsgegevens moeten worden beschouwd. Het Gerecht oordeelt dat het EDPS zich in de positie van Deloitte moet verplaatsen om te bepalen of de aan hen verstrekte informatie betrekking heeft op "identificeerbare personen". Aangezien Deloitte geen toegang had tot de database en het EDPS niet heeft onderzocht of Deloitte juridische middelen had om toegang te krijgen tot aanvullende informatie, concludeert het Gerecht dat Deloitte de betrokkenen niet kon her-identificeren. Het feit dat SRB als verzender wel toegang had tot deze informatie is volgens het Gerecht niet relevant en betekent niet automatisch dat de verzonden gegevens persoonsgegevens zijn. 

Wat betreft de mening van een betrokkene stelt het Gerecht dat moet worden beoordeeld of een standpunt als persoonsgegeven moet worden beschouwd op basis van de vraag "of het onderzoek of het standpunt verband houdt met een bepaalde persoon". Aangezien het EDPS deze beoordeling niet heeft uitgevoerd, kan niet worden geconcludeerd dat de aan Deloitte verstrekte informatie betrekking had op een natuurlijke persoon. 

Julia Buhrs Senior Legal Consultant

Wilt u meer weten?

Bent u na het lezen van deze blog benieuwd of uw organisatie gegevens verwerkt die zijn aan te merken als persoonsgegevens? Of wilt u weten of uw privacyverklaring wel aan alle AVG vereisten voldoet? Neem dan contact met ons op, wij staan klaar om u te adviseren.