Het Hof van Justitie verduidelijkt dat het recht op inzage niet enkel de categorieën van ontvangers betreft, maar ook de specifieke ontvangers zelf indien de betrokkene hierom verzoekt. Slechts in limitatieve gevallen zal voormeld verzoek niet moeten worden ingewilligd.
Als onderneming komt u vroeg of laat in contact met de problematiek van gegevensbescherming. Een belangrijk instrument waarmee u in dit verband rekening dient te houden is de Algemene Verordening Gegevensbescherming, beter gekend als de “GDPR”.
De GDPR heeft verschillende verplichtingen in het leven geroepen waaraan u moet voldoen om zogenaamd “GDPR-compliant” te zijn. Zo zal u onder andere een privacyverklaring (beter gekend onder het Engelse equivalent “privacy policy”) dienen op te stellen en beschikbaar maken op uw website, om tegemoet te komen aan uw verplichting tot transparantie en het recht op informatie van de betrokkene (het zogenaamde “data subject”). In deze privacyverklaring dienen, overeenkomstig artikel 13 of 14 van de GDPR, verschillende verplichte vermeldingen te worden opgenomen, zoals onder andere de identiteit van de verwerkingsverantwoordelijke, de periode dat persoonsgegevens worden opgeslagen, de rechten van de betrokkene(n), etc. U zal in de privacyverklaring ook de ontvangers of categorieën van ontvangers van persoonsgegevens dienen op te nemen, met andere woorden de personen en/of ondernemingen aan wie u persoonsgegevens doorstuurt of minstens de categorie waartoe ze behoren.
Het Europees Hof van Justitie heeft op 12 januari 2023 haar licht doen schijnen op de convergentie tussen het recht op inzage van de betrokkene en de verplichte mededeling van de identiteit van de ontvangers van persoonsgegevens.
De feiten die aan de grondslag lagen van het geschil zijn als volgt: Een Oostenrijkse burger diende een verzoek om inlichtingen in bij een onderneming waarbij hij wenste te vernemen aan wie de onderneming de persoonsgegevens had bezorgd. De Oostenrijkse burger in kwestie kreeg als repliek dat zijn persoonsgegevens waren verschaft aan “bedrijven in de marketingsector” zonder deze bedrijven te identificeren.
Nadat de vraag uiteindelijk bij het Europees Hof van Justitie belandde, heeft het Hof deze vraag beantwoord door in haar arrest te stellen dat een onderneming verplicht is aan de betrokkene die om inlichtingen vraagt om de identiteit van de specifieke ontvangers mee te delen, tenzij dit onmogelijk is of het verzoek tot inzage kennelijk ongegrond of buitensporig is.
Het Hof staaft dit door gewag te maken van het feit dat elke verwerking van persoonsgegevens dient te gebeuren overeenkomstig de algemene beginselen van de GDPR, zo ook volgens het zogenaamde “transparantiebeginsel”. Verder haalt het Hof aan dat de GDPR en haar preambule niets preciseert over een beperking van het recht op inzage tot louter de categorieën van ontvangers. Artikel 15 van de GDPR voorziet volgens het Hof immers in een “daadwerkelijk recht tot inzage” zodat het datasubject de keuze heeft om informatie te krijgen over ofwel de ontvangers ofwel de categorieën van ontvangers van persoonsgegevens.
Het Hof bevestigt in die zin dat artikel 15 geen rangorde bevat. De uitspraak onderstreept de bredere beschermingsgedachte in de GDPR, aangezien een breed recht op inzage de nuttige werking van alle rechten uit de verordening waarborgt, zoals onder andere het recht om vergeten te worden, het recht om gegevens aan te passen, etc.
Indien uw onderneming voortaan met een verzoek tot inzage wordt geconfronteerd, zal u dus verplicht zijn de ontvangers van persoonsgegevens specifiek te identificeren, tenzij de identiteit van de derde-ontvanger (nog) niet gekend is of indien er kan worden aangetoond dat het verzoek tot inzage kennelijk ongegrond of buitensporig is. Een loutere verwijzing naar de categorieën van ontvangers volstaat aldus niet.
Hebt u vragen over welke gevolgen deze uitspraak heeft op uw onderneming? Aarzel dan niet om ons te contacteren.
Gerelateerd nieuws
Hoe kunnen we helpen?
Ontdek onze expertises