De Europese Dag van de Privacy, maar wat is nu eigenlijk ‘privacy’?

In 2007 hebben de Raad van Europa en de Europese Commissie 28 januari uitgeroepen tot de Europese Dag van de Privacy (ook wel: Data Protection Day). Er is gekozen voor 28 januari nu op deze dag in 1981 het Dataprotectieverdrag werd ondertekend, waarmee een basis werd gelegd voor de Europese privacybescherming.

Op verschillende websites is terug te lezen dat het doel van de Dag van de Privacy is het verstrekken van informatie en het creëren van bewustwording over het gebruik van persoonsgegevens. Opvallend is dat hier de begrippen ‘privacy’ en ‘bescherming van persoonsgegevens’ door elkaar gebruikt worden. Hoewel privacy en gegevensbescherming zonder meer met elkaar verbonden zijn, zijn ze niet identiek en zien wij de verwarring tussen deze twee begrippen regelmatig terug in de praktijk. Dit kan leiden tot een te beperkte juridische afweging bij een discussie over bijvoorbeeld de vraag of een werkgever naar de vaccinatiestatus van een werknemer mag vragen, of bij publicaties op internet.

In dit artikel behandelen wij de verhouding tussen het Europees Verdrag voor de Rechten van de Mens (‘EVRM’) en de Algemene Verordening Gegevensbescherming (‘AVG’). Of anders gezegd: het verschil tussen het recht op privacy en het recht op bescherming van persoonsgegevens.

Wat is privacy?

De term privacy is al geruime tijd hot and happening en verschijnt dan ook regelmatig in het nieuws. Wat privacy nu precies inhoudt, is al enige tijd onderwerp van discussie. De eerste betekenis van de term privacy gaat terug tot het eind van de 19^e eeuw waarbij het begrip werd gedefinieerd als het recht om met rust gelaten te geworden, zowel in verticale relaties (tussen de overheid en de burger) als in horizontale relaties (tussen burgers onderling).¹ Anderen definiëren privacy als het recht op autonomie en zelfbeschikking² of als een openbaar goed dat burgers in staat stelt om hun eigen identiteit te ontwikkelen.³

Het recht op privacy wordt ook wel in wettelijke context het recht op eerbiediging van de persoonlijke levenssfeer genoemd, of het recht van elke burger om zijn eigen leven te leiden met zo min mogelijk inmenging van buitenaf.

Wettelijk kader: het recht op privacy

De belangrijkste grondslag binnen de Europese Unie voor het recht op privacy is artikel 8 EVRM. Dit recht is ruim en omvat het recht op eerbiediging van privéleven, familie- en gezinsleven, woning en correspondentie. Onder het recht op privéleven valt onder meer het recht op identiteit en persoonlijke ontwikkeling, maar ook de controle over en bescherming van gegevens die iemands persoonlijke leven kunnen raken.⁴

Het recht op privacy onder artikel 8 lid 1 EVRM omvat een negatieve verplichting, maar is ook relatief. Dit houdt in dat de overheid zich in beginsel moet onthouden van bepaalde handelingen die een schending zouden vormen. Een inbreuk op het recht op privacy is alleen toegestaan indien wordt voldaan aan de vereisten van artikel 8 lid 2 EVRM, waaronder de proportionaliteit en subsidiariteit. Dit brengt met zich mee dat een inbreuk niet onevenredig mag zijn in verhouding tot het doel en dat dit doel in redelijkheid niet op een andere wijze kan worden bereikt.⁵

Hoewel artikel 8 EVRM met name ziet op de verticale relatie tussen overheid en burger, geldt dat aan rechten uit het EVRM onder omstandigheden ook (indirect) horizontale werking kan toekomen. Dit betekent dat een (rechts)persoon zijn privacyrechten kan inroepen tegen een andere (rechts)persoon. Bijvoorbeeld via een onrechtmatige daadsactie, waarbij het slachtoffer een beroep doet op inbreuk op zijn recht op privacy.⁶

Het recht op privacy kan bovendien ook positieve verplichtingen omvatten die lidstaten verplichten maatregelen te treffen om respect voor het privéleven tussen individuen te verzekeren.⁷ Men kan dan denken aan wetten die opgesteld worden waarop betrokkenen een beroep kunnen doen, zoals de AVG.

Het recht op privacy of privéleven is naast artikel 8 EVRM ook vastgelegd in de Universele Verklaring van de Rechten van de Mens (artikel 12), het Handvest van de Grondrechten van de Europese Unie wordt (artikel 7) en in de Nederlandse Grondwet (artikel 10 tot en met 13).

Oorspronkelijk zag het recht op privacy op een fysieke wereld, maar door de snelle technologische ontwikkelingen is het interessant hoe dit belangrijke recht zich in de digitale wereld – langzaam – meebeweegt, en mede een focus legt op de bescherming van persoonsgegevens.

Wettelijk kader: het recht op gegevensbescherming

Door de Hoge Raad is meermaals bepaald dat de bescherming van persoonsgegevens ook een grondrecht is dat wordt beschermd door artikel 8 EVRM, maar de bescherming van persoonsgegevens wordt meer specifiek benoemd in artikel 16 lid 1 van het Verdrag betreffende de werking van de Europese Unie en artikel 8 lid 1 van het Handvest van de grondrechten van de Europese Unie.⁸ Ook in Nederland verwijst artikel 10 lid 2 van de Grondwet concreet naar de bescherming in verband met het vastleggen en verstrekken van persoonsgegevens. Verder wordt de bescherming van persoonsgegevens gereguleerd door de AVG en de Nederlandse Uitvoeringswet (‘UAVG’).

In tegenstelling tot het EVRM, is de AVG alleen van toepassing wanneer persoonsgegevens geheel of gedeeltelijk geautomatiseerd verwerkt worden, en op de verwerking van persoonsgegevens die in een bestand zijn opgenomen of bestemd zijn om daarin te worden opgenomen. Daarmee is het toepassingsbereik van de AVG beperkt(er) ten opzichte van het EVRM. Daar is immers niet vereist dat het moet gaan om geheel of gedeeltelijk geautomatiseerde verwerking of een verwerking van persoonsgegevens in een bestand.

De AVG is dus slechts een gedeelte van het grotere geheel dat door het EVRM wordt beschermd. Waar het EVRM vrijwel alle privacyaspecten beschermt, beschermt de AVG alleen de verwerking van persoonsgegevens. In het Santander-arrest is wel bepaald dat bepalingen uit de destijds geldende Wet bescherming persoonsgegevens, welke na de invoering van de AVG vervangen is door de UAVG, uitgelegd dienen te worden in overeenstemming met het EVRM.⁹

Verder merken wij voor de volledigheid nog op dat de inhoud en de reikwijdte van zowel het recht op privacy, als het recht op gegevensbescherming grotendeels worden bepaald door de rechtspraak van het Europese Hof voor de Rechten van de Mens (‘EHRM’) en het Hof van Justitie van de Europese Unie, maar ook door richtsnoeren en besluiten van toezichthouders.

Verschil in toepassing: EVRM en (U)AVG

Er wordt echter niet voor niets een onderscheid wordt gemaakt tussen de voorgaande twee rechten. Het recht op privacy en het recht op gegevensbescherming kunnen enerzijds met elkaar overlappen; zo kan de verwerking van persoonsgegevens gevolgen hebben voor het privéleven van een persoon. Anderzijds kunnen de reikwijdte, de motivering en de logica tussen het recht op privacy en het recht op gegevensbescherming ook verschillen. Wij illustreren dit aan de hand van drie situaties en voorbeelden.

Situatie I: EVRM niet, AVG wel van toepassing

Het begrip gegevensbescherming komt in beginsel voort uit het recht op privacy, maar niet ieder gebruik van persoonsgegevens valt onder de bescherming van het privéleven. Om te beoordelen of een bepaalde verwerking het privéleven raakt, moet rekening worden gehouden met de specifieke context waarin de persoonsgegevens zijn verkregen en bewaard, de aard van de persoonsgegevens, de manier waarop de persoonsgegevens worden verwerkt, en de resultaten die ermee kunnen worden verkregen.¹⁰

Voorbeeld:

Een werkgever legt gegevens vast met betrekking tot de naam van werknemers en het loon dat aan hen betaald moet worden. Deze vastlegging kan in beginsel niet worden beschouwd als een inmenging in de persoonlijke levenssfeer en daarom is het EVRM niet van toepassing.¹¹ Omdat persoonsgegevens wel worden opgenomen in een bestand, is de AVG hier van toepassing en dient de werkgever te beschikken over een geldige grondslag.

Situatie II: AVG niet, EVRM wel van toepassing

In andere situaties kan het ook het geval zijn dat de AVG niet van toepassing is, maar het EVRM wel. Bijvoorbeeld wanneer geen sprake is van geautomatiseerde verwerking of wanneer de persoonsgegevens niet bedoeld zijn om opgenomen te worden in een bestand. Wij illustreren dit aan de hand van het volgende voorbeeld.

Voorbeeld

Het enkel vragen naar de vaccinatiestatus van een werknemer door een werkgever is geen verwerking in de zin van de AVG wanneer de informatie niet geautomatiseerd wordt verwerkt of in een bestand wordt opgeslagen. Daarmee zou deze handeling buiten het toepassingsbereik van de AVG vallen. In deze situatie zou echter artikel 8 EVRM wel in het geding kunnen zijn, met name wanneer de werkgever de wetenschap over de vaccinatiestatus van zijn werknemers gaat misbruiken of niet is voldaan aan de vereisten uit artikel 8 lid 2 EVRM.

Situatie III: zowel AVG als EVRM van toepassing

Uiteraard zijn er ook situaties die ertoe leiden dat zowel het EVRM, als de AVG van toepassing is. Het privéleven en de gegevensbescherming kan bijvoorbeeld in het geding komen bij een compilatie van gegevens over een persoon¹² of het (onrechtmatig) delen van persoonsgegevens.

Voorbeeld

Het EHRM stelt dat het publiceren van iemands naam, de adresgegevens en belastinggegevens ook een inmenging in het privéleven kan vormen. Hoewel deze gegevens volgens het EHRM niet beschouwd kunnen worden als intieme details van iemands identiteit, kunnen zij nog steeds (tezamen) veelomvattende informatie over een persoon onthullen en daarmee strijdig zijn met artikel 8 EVRM.¹³ Daarnaast betreft dit in beginsel een gegevensverwerking in de zin van de AVG, waarvoor onder meer een geldige grondslag benodigd is.

De voorgaande voorbeelden dienen alleen ter illustratie; uiteraard is iedere situatie afhankelijk van de feiten en omstandigheden. Het is in ieder geval van belang bewust te zijn van de verschillende kaders zoals hiervoor toegelicht.

Conclusie

Er bestaat meer dan alleen de AVG. Wij zien dat dit in de praktijk nog wel eens vergeten wordt. Het feit dat de AVG wellicht niet van toepassing is, hoeft nog niet te betekenen dat een overheidsinstantie of organisatie vrij is om te handelen. Het privacyrecht omvat immers een breder toetsingskader.

Heeft u nadere vragen over dit toetsingskader? Neem dan contact op met Kim de Bonth (k.debonth@holla.nl), Femmie Schets (f.schets@holla.nl), Ruben Krul (r.krul@holla.nl) of met één van de andere medewerkers van de Business Unit Intellectuele Eigendom, ICT & Privacy (088-4402400).

¹ Samuel D Warren and Louis D Brandeis, ‘The Right to Privacy’ (1890) 193 Harvard Law Review, pp 195-196.

² Paul de Hert and Serge Gutwirth, ‘Privacy, data protection and law enforcement. Opacity of the individual and transparency of power’ in Erik Claes, Antony Duff and Serge Gutwirth (eds), Privacy and the criminal law (Intersentia 2006), p 1.

³ Mireille Hildebrandt, ‘Profiling and the Identity of the European Citizen’ in Mireille Hildebrandt and Serge Gutwirth (eds), Profiling the European Citizen – Cross-Disciplinary Perspectives (Springer 2008), p 315.

⁴ EHRM 25 februari 1997, ECLI:CE:ECHR:1997:0225JUD002200993 (Z. t. Finland).

⁵ HR 3 december 2021, ECLI:NL:HR:2021:1814.

⁶ T&C BW, commentaar op art. 6:162 BW, 2c.

⁷ EHRM 13 June 1979 (Marckx t. Belgium), par 31; EHRM 24 April 2018 (Lozovyye t. Russia), par 36.

⁸ HR 3 december 2021, ECLI:NL:HR:2021:1814; HR 9 september 2011, ECLI:NL:HR:2011:BQ8097 (Santander).

⁹ HR 9 september 2011, ECLI:NL:HR:2011:BQ8097 (Santander).

¹⁰ EHRM 4 december 2008, ECLI:CE:ECHR:2008:1204JUD003056204 (S. en Marper t. Verenigd Koninkrijk).

¹¹ Bureau van de Europese Unie voor de grondrechten & Raad van Europa, Handboek Europese gegevensbeschermingswetgeving, Luxemburg: Bureau voor publicaties van de Europese Unie 2021, p. 23.

¹² EHRM 30 januari 2020, ECLI:CE:ECHR:2020:0130JUD005000112 (Breyer t. Duitsland).

¹³ EHRM 12 januari 2021, ECLI:CE:ECHR:2021:0112JUD003634516 (L.B. t. Hongarije).