Op 26 april 2023 heeft het Europese Hof duidelijkheid gegeven over de vraag wanneer verzonden gegevens anoniem zijn en wanneer pseudoniem. Het antwoord op deze vraag is relevant omdat de regels en verplichtingen van de AVG niet van toepassing zijn op het verzenden van geanonimiseerde gegevens. Allereerst zet ik de feiten uiteen, daarna geef ik het oordeel weer van het Europese Hof en tot slot zal ik aangeven wat deze uitspraak zal betekenen voor de praktijk.
1. Feiten
Deze zaak gaat over een geschil tussen de European Data Protection Supervisor (EDPS) en de Gemeenschappelijke Afwikkelingsraad (GAR). De GAR neemt besluiten over de afwikkeling van Europese banken als deze in moeilijkheid verkeren. In 2017 had de Spaanse bank Banco Popular problemen en werd besloten om de bank in afwikkeling te plaatsen. De GAR heeft de aandeelhouders en crediteuren die door de afwikkeling waren getroffen, uitgenodigd om hun meningen te laten horen via een internetformulier over een voorlopig besluit over het al dan niet betalen van compensatie aan hen.
De opmerkingen heeft de GAR gepseudonimiseerd door hieraan alfanumerieke codes toe te kennen en deze heeft zij vervolgens verzonden naar Deloitte. Deloitte werd verzocht advies te geven over deze opmerkingen. De GAR was de enige partij die toegang had tot de databank met identificatiegegevens van de aandeelhouders en crediteuren en kon deze identificatiegegevens als enige koppelen aan de opmerkingen. Deloitte kon hier niet bij.
Vijf aandeelhouders en crediteuren hebben vervolgens geklaagd bij de EDPS dat de GAR niet in haar privacyverklaring had vermeld dat de verzamelde antwoorden zouden worden doorgezonden naar Deloitte. Het EDPS oordeelde dat de GAR, vanwege het doorzenden van de gegevens zonder vermelding hiervan in de privacyverklaring, in strijd heeft gehandeld met haar informatieplicht op grond van de AVG. De GAR was het hier niet mee eens. Zij vond dat de gegevens voor Deloitte konden worden aangemerkt als anonieme gegevens. Dit zou betekenen dat de AVG hierop niet van toepassing zou zijn. De zaak ging uiteindelijk naar het Europese Hof van Justitie.
2. Oordeel
Een centrale vraag die het Hof in deze zaak beantwoordt, is of de doorgezonden gegevens betrekking hebben op een ‘identificeerbare’ persoon. Het antwoord op deze vraag is relevant, omdat positieve beantwoording ervan leidt tot de conclusie dat het gaat om persoonsgegevens en deze vallen onder het toepassingsbereik van de AVG.
Maatstaf Breyer/Bundesrepubliek
Het Hof verwijst in haar oordeel naar het arrest van 19 oktober 2016 (Breyer/Bundesrepublik Deutschland). In deze zaak ging het over de vraag of een dynamisch IP-adres een persoonsgegeven vormt voor de aanbieder van onlinemediadiensten die dat adres had geregistreerd. Met enkel het IP-adres kon de aanbieder de gebruiker van de website niet identificeren. De internetprovider beschikte over aanvullende gegevens die, in combinatie met het IP-adres, het mogelijk maakten om de gebruiker te identificeren. Er moest worden nagegaan of de mogelijkheid het IP-adres te combineren met de extra informatie van de internetprovider een wettig middel is dat redelijkerwijs kan worden ingezet door een partij om de betrokkene te identificeren. Dit is niet het geval als de identificatie van de betrokkene bij de wet verboden is, of in de praktijk ondoenlijk is, bijvoorbeeld omdat zij – gelet op de vereiste tijd, kosten en mankracht – een excessieve inspanning zou vergen, zodat het gevaar voor identificatie in werkelijkheid gering lijkt.
Toepassing maatstaf
In GAR/EDPS vergelijkt het Hof de situatie van Deloitte met die van de aanbieder van onlinemediadiensten uit Breyer/Bundesrepubliek Deutschland. Deloitte beschikt over de alfanumerieke codes van de gegevens, maar deze zijn op zichzelf onvoldoende om de auteurs van de opmerkingen te identificeren. Deloitte heeft geen toegang tot de identificatiegegevens die het mogelijk maken om met de alfanumerieke code de deelnemers aan de opmerkingen te koppelen. Ook de GAR wordt vergeleken met de internetprovider. De GAR is de enige partij die in het bezit is van de aanvullende gegevens die nodig zijn om de deelnemers te identificeren.
Het EDPS had zich in de positie van Deloitte moeten verplaatsen en had moeten onderzoeken of de verzonden gegevens voor Deloitte betrekking hadden op ‘identificeerbare’ personen. Aangezien Deloitte vanuit haar perspectief enkel geanonimiseerde gegevens heeft ontvangen, oordeelt het Hof dat de AVG niet van toepassing is en dat de GAR de informatieplicht uit de AVG niet heeft overtreden.
3. Betekenis uitspraak voor de praktijk
– Toepassingsbereik AVG
Uit deze uitspraak van het Hof volgt dat gegevens voor de verzender persoonsgegevens kunnen zijn, terwijl dezelfde gegevens vanuit het perspectief van de ontvanger anonieme gegevens zijn. Deze conclusie brengt met zich mee dat de verwerking voor de verzender onder het toepassingsbereik van de AVG valt en dat dezelfde verwerking vanuit het perspectief van de ontvanger niet eronder valt. Gepseudonimiseerde gegevens vallen immers onder de AVG en geanonimiseerde gegevens niet.
– Ontvanger, verwerker en de verwerkersovereenkomst
In de betreffende zaak wordt gesproken van een ‘ontvanger’. Een ‘ontvanger’ is niet hetzelfde als een ‘verwerker’ in de zin van de AVG. De ‘verwerker’ is de partij die ‘ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt’ (art. 4(8) AVG). Als de ontvangende partij de gegevens tevens verwerkt en deze gegevens zijn vanuit zijn perspectief anoniem, dan is er geen verwerkersovereenkomst nodig. De AVG-verplichting voor een verwerkersovereenkomst geldt namelijk niet voor anonieme gegevens.
– Onderzoeksplicht voor verzender?
Het Hof benadrukt in deze uitspraak dat de toezichthouder verplicht is om zich bij haar oordeel of sprake is van persoonsgegevens te verplaatsen in het perspectief van de specifieke ontvanger. Deze onderzoeksplicht van de toezichthouder brengt voor de verzender indirect ook een onderzoeksplicht met zich mee. Als de verzender er, gelet op zijn eigen perspectief, van uitgaat dat de gegevens namelijk anoniem zijn, terwijl de toezichthouder vanuit het perspectief van de ontvanger oordeelt dat het gaat om persoonsgegevens, dan loopt de verzender het risico inbreuk te maken op de AVG.
De verzender doet er dus goed aan om, zo goed als mogelijk, onderzoek te doen naar de status van de gegevens (anoniem of niet) vanuit het perspectief van de ontvanger. Hierbij kan de verzender aansluiten bij de maatstaf voor onderzoek die het Hof in deze uitspraak heeft geformuleerd voor de toezichthouder: de verzender moet nagaan of de identificatie met de verzonden gegevens vanuit het perspectief van de ontvanger bij de wet verboden is, of in de praktijk ondoenlijk is, bijvoorbeeld omdat zij een excessieve inspanning zou vergen.
Mocht er zich onverhoopt een datalek voordoen aan de zijde van de ontvanger waardoor gegevens niet meer anoniem zijn voor de ontvanger of voor een derde partij, dan kan de verzender met het uitgevoerde onderzoek bovendien aantonen dat de verantwoordelijkheid hiervoor niet bij hem ligt. De gegevens waren ten tijde van het verzenden immers anoniem voor de ontvanger.
Bronnen: HvJ EU 26 april 2023, ECLI:EU:T:2023:219 (GAR/EDPS); HvJ EU 19 oktober 2016, ECLI:EU:C:2016:779 (Breyer/Bundesrepublik Deutschland).