Geen uitwisseling van persoonsgegevens door overheid zonder burger te informeren

Contentverzamelaar

Geen uitwisseling van persoonsgegevens door overheid zonder burger te informeren

Een overheidsdienst mag gegevens van burgers niet zomaar delen met andere overheidsdiensten. De burger moet daarover vooraf worden geïnformeerd, tenzij de uitwisseling wettelijk is geregeld. Dat heeft het EU-Hof geantwoord op vragen van een Roemeense rechter.

Het gaat om het arrest van het EU-Hof van oktober 2015 in de zaak C-201/14, Bara. Lees ook het ECER-bericht naar aanleiding van de conclusie van de advocaat-generaal: Delen van persoonsgegevens met andere instanties moet wettelijk geregeld.

De EU-privacyrichtlijn 95/46 regelt onder welke voorwaarden persoonsgegevens mogen worden “verwerkt”. Daaronder valt ook het doorzenden, verspreiden of op enigerlei andere wijze ter beschikking stellen aan anderen van de persoonsgegevens. Volgens artikel 10 van deze richtlijn moet een verwerker van persoonsgegevens de persoon in kwestie informeren over de doeleinden van de verwerking waarvoor de gegevens zijn bestemd en de ontvangers van de gegevens.

Op grond van het Roemeense recht mogen overheidsinstellingen persoonsgegevens delen met ziekteverzekeringsfondsen, zodat zij de identiteit van verzekerden kunnen vaststellen. De zaak gaat over enkele Roemeense zelfstandigen, waaronder Bara. De Roemeense belastingdienst had hun gegevens doorgegeven aan het nationale socialezekerheidsfonds, dat vervolgens betaling heeft gevorderd van achterstallige bijdragen aan het ziekteverzekeringsstelsel. Het ging enkel om gegevens ter identificatie van personen (naam, voornaam en adres) en niet om gegevens met betrekking tot verkregen inkomsten. Bara en de andere belanghebbenden voerden vervolgens voor de rechter in Roemenië aan dat zij nooit waren geïnformeerd over het feit dat hun gegevens voor andere doeleinden zouden worden gebruikt dan waar ze oorspronkelijk voor waren verstrekt aan de belastingdienst.

De Roemeense rechter vroeg vervolgens aan het EU-Hof of de Roemeense praktijk in strijd was met richtlijn 95/46. Het EU-Hof oordeelde hierover dat het vereiste van een eerlijke verwerking van de persoonsgegevens een overheidsinstantie ertoe verplicht om de betrokkenen te informeren over het feit dat hun gegevens zullen worden overgedragen aan een andere overheidsinstantie met het oog op verwerking door deze laatste instantie.

Op grond van artikel 13 van richtlijn 95/46 mogen lidstaten wettelijke maatregelen treffen ter beperking van de reikwijdte van deze informatieplicht, maar in dit geval omschreef de Roemeense wet noch de gegevens die overgedragen mochten worden noch de modaliteiten van zo’n overdracht. Slechts in een bilateraal protocol tussen de twee diensten was dit nader uitgewerkt en dat is volgens het EU-Hof niet voldoende. Aangezien de beperking op de informatieplicht niet was vastgelegd in een wettelijke maatregel was het niet toegestaan dat persoonsgegevens tussen twee overheidsinstanties werden uitgewisseld zonder dat de betrokkenen daarover op voorhand werden geïnformeerd.