C-25/17 Jehovan todistajat
Prejudiciële hofzaak
Zie bijlage rechts voor de verwijzingsuitspraak, en klik hier voor het volledige dossier van het Hof van Justitie. Termijnen: Motivering departement: 18 maart 2017 Concept schriftelijke opmerkingen: 03 april 2017 Schriftelijke opmerkingen: 03 mei 2017 Trefwoorden: bescherming persoonsgegevens; verzamelen persoonsgegevens in kader geloofsverkondiging; begrip gegevensbestand; Onderwerp: - verordening (EU) nr. 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG (Pb 2016, L 119, blz. 1); - richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens. De wervingspraktijk van de geloofsgemeenschap Jehovah’s getuigen is naar ik aanneem algemeen bekend. Het gaat in deze zaak om de bescherming van persoonsgegevens. De (natuurlijke) personen die langs de deuren gaan noteren zaken over de bezochte adressen op notitieblaadjes, memoblaadjes en dergelijke, met name als geheugensteuntje voor een volgend bezoek. In het informatieblad ‘Onze koninkrijksdienst’ van november 2011 stond een artikel was een opsomming opgenomen welke gegevens de leden over de bezochte adressen zouden kunnen noteren (zoals gezinssamenstelling, geloof en dergelijke). Deze passage is één maal kort behandeld in een ledenbijeenkomst. Daarna volgde in juli 2012 een artikel over het bereiken van ‘anderstaligen’. Wanneer een lid stuit op een niet-Fins sprekende burger wordt hem geadviseerd de gegevens door te geven aan de dienstopziener zodat er iemand gevonden kan worden die de betreffende taal spreekt. Hiervan wordt een lijst bijgehouden. Ook bestaat er een lijst van personen die niet meer benaderd wensen te worden (de ‘verbodslijst’). De toezichthouder gegevensbescherming (verweerder) bepaalt dat het verwerken van dit soort gegevens onder de wet persoonsgegevens valt. De FIN Commissie voor gegevensbescherming stelt bij besluit van 17-09-2013 vast dat het verzoekster verboden wordt haar wijze van het verzamelen van persoonsgegevens voort te zetten voor zover zij niet aan de wettelijke voorwaarden voldoet en haar een termijn van zes maanden gegeven om de werkwijze te veranderen. In de procedure waarin verzoekster bij de bestuursrechter opkomt tegen het besluit stelt zij dat het gaat om verwerking persoonsgegevens voor persoonlijke doeleinden in de zin van de wet, zodat de wet niet van toepassing is. Ook maakt zij melding van de standpunten van de NL, DEN en NOOaut over gegevensbescherming in verband met de verzameling van gegevens door Jehovah’s getuigen. In deze landen zou door de aangewezen autoriteit bepaald zijn dat de verzamelde gegevens niet binnen de werkingssfeer van de bescherming persoonsgegevens valt, dan wel niet in strijd zijn met de wet. De rechter stelt verzoekster in het gelijk en verklaart 18-12-2014 het besluit nietig. Verweerder gaat in beroep bij de verwijzende rechter. Bij de verwijzende FIN (hoogste bestuursrechter) stelt verweerder dat de door verzoekster verzamelde gegevens een stelsel van persoonsgegevensbestanden uitmaken. De gegevens worden verzameld om voor het volgende bezoek als geheugensteuntje te kunnen worden gebruikt. De geloofsgemeenschap en de leden ervan die verkondigingswerk verrichten, moeten samen als voor de verwerking verantwoordelijke worden beschouwd. Zo niet dan zou het voor verweerder uiterst moeilijk zijn om de persoonlijke levenssfeer van de bezochte burger en zijn persoonsgegevens te beschermen. Verzoekster benadrukt dat het om een persoonlijke beoefening van het geloof gaat. Zij controleert de door de leden verzamelde gegevens niet en neemt er geen kennis van. Zij geeft slechts aanbevelingen hoe te verzamelen. De gegevens worden aan niemand ter beschikking gesteld en niet ingevoerd in een systeem. De verwijzende rechter moet als eerste bepalen of het verzamelen binnen de werkingssfeer van de FIN wet valt (= de omzetting van de RL 95/46). Hij oordeelt dat de betreffende gegevens vallen onder artikel 2.a van de RL, hetgeen niet door partijen bestreden. Onduidelijk is echter of artikel 3.2, tweede streepje, aldus moet worden uitgelegd dat het door de leden van de geloofsgemeenschap verrichte verkondigingswerk in de context waarvan persoonsgegevens worden verwerkt, een activiteit is die met uitsluitend persoonlijke of huishoudelijke doeleinden wordt verricht. Hij moet ook rekening houden met de in het handvest grondrechten en in de FIN Gw vastgelegde godsdienstvrijheid en de vrijheid van vereniging. Verzoekster heeft gewezen op het arrest Jehovah’s getuigen/Rusland van het EHRM uit 2010. Ook speelt een rol dat de gegevens niet in een bestand (‘cartotheek’) worden opgenomen, maar de RL maakt niet duidelijk of de hierboven beschreven niet-geautomatiseerde verzameling van persoonsgegevens een bestand in de zin van de RL is. Uit het arrest C-131/12 blijkt hem dat in de EU-rechtspraak het begrip ‘voor de verwerking verantwoordelijke’ ruim moet worden opgevat. Verweerder heeft gesteld dat de geloofsgemeenschap de daadwerkelijke controle uitoefent over de manier waarop de gegevens worden verwerkt en ook instructies geeft hoe het verzamelen kan plaatsvinden. Maar daar staat tegenover dat de leden zelf kunnen beslissen welke gegevens zij verzamelen en hoe zij dat doen. Hij legt het HvJEU de volgende vragen voor: 1. Dienen de in artikel 3, lid 2, van [richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (hierna: “richtlijn gegevensbescherming”)] vermelde situaties waarin de richtlijn niet van toepassing is, aldus te worden opgevat dat het verzamelen en nadien verwerken van persoonsgegevens door leden van een geloofsgemeenschap in het kader van hun verkondigingswerk (waarbij zij van deur tot deur gaan) niet binnen de werkingssfeer van de richtlijn valt? Welke betekenis komt bij de beoordeling van de toepasselijkheid van de richtlijn toe aan het feit dat de geloofsgemeenschap en haar gemeenten het verkondigingswerk in het kader waarvan de gegevens worden verzameld organiseren, alsook aan het feit dat het tegelijk gaat om de persoonlijke geloofsbeoefening door de leden van de geloofsgemeenschap? 2. Dient de definitie van het begrip “bestand” in artikel 2, onder c), van de richtlijn gegevensbescherming, mede gelet op de overwegingen 26 en 27 van deze richtlijn, aldus te worden uitgelegd dat de totaliteit van de persoonsgegevens die in het kader van het hierboven beschreven verkondigingswerk (waarbij van deur tot deur wordt gegaan) op niet-geautomatiseerde wijze worden verzameld (namen, adressen en eventueel ook andere gegevens en kenmerken van de betrokken persoon), a) geen dergelijk bestand vormt, omdat cartotheken, registers of op soortgelijke ordeningssystemen die het opzoeken vergemakkelijken uitdrukkelijk niet onder de definitie van de Finse wet betreffende persoonsgegevens vallen, of b) wel een dergelijk bestand vormt, omdat uit de gegevens – gelet op hun doel – gemakkelijk en zonder onevenredige kosten daadwerkelijk de voor later gebruik benodigde informatie kan worden gehaald, zoals in de Finse wet betreffende persoonsgegevens is bepaald? 3. Dient de in artikel 2, onder d), van de richtlijn gegevensbescherming vermelde zinsnede “die, respectievelijk dat, alleen of tezamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt” aldus te worden uitgelegd dat een geloofsgemeenschap die een activiteit waarbij persoonsgegevens worden verzameld organiseert (onder andere door de gebieden op te delen waarbinnen de verkondigers hun werk moeten verrichten, door het verkondigingswerk te monitoren en door registers bij te houden van personen die niet willen dat verkondigers hen bezoeken), in verband met deze activiteit van haar leden kan worden aangemerkt als verantwoordelijke voor de verwerking van persoonsgegevens, ondanks het feit dat de geloofsgemeenschap aanvoert dat enkel de individuele verkondigers toegang hebben tot de genoteerde informatie? 4. Moet het voornoemde artikel 2, onder d), aldus worden uitgelegd dat de geloofsgemeenschap slechts als voor de verwerking verantwoordelijke kan worden aangemerkt indien zij andere specifieke maatregelen – zoals het geven van opdrachten of schriftelijke instructies – neemt waarmee zij de verzameling van gegevens stuurt, of volstaat het dat de geloofsgemeenschap daadwerkelijk een rol speelt bij de sturing van de activiteiten van haar leden? De derde en de vierde vraag hoeven slechts te worden beantwoord indien uit het antwoord op de eerste en de tweede vraag volgt dat de richtlijn toepasselijk is. De vierde vraag hoeft slechts te worden beantwoord indien op basis van het antwoord op de derde vraag niet kan worden uitgesloten dat artikel 2, onder d), van de richtlijn van toepassing is op een geloofsgemeenschap. Aangehaalde (recente) jurisprudentie: C-465/00 Österreichischer Rundfunk; C-131/12 Google Specifiek beleidsterrein: BZK, VenJ