Uitspraak
RECHTBANK ROTTERDAM
Zittingsplaats Rotterdam
Bestuursrecht
zaaknummer: ROT 19/3036
uitspraak van de enkelvoudige kamer van 19 maart 2021 in de zaak tussen
[naam eiser], te [woonplaats eiser], eiser
en
Autoriteit Persoonsgegevens, verweerder
gemachtigden: mr. O.S. Nijveld en mr. J.M.A. Koster.
Als derde-partij neemt aan het geding deel: [naam partij], te [vestigingsplaats]
gemachtigde: [naam 1].
Procesverloop
Bij besluit van 27 februari 2019 (primair besluit) heeft verweerder eiser bericht over de afhandeling van zijn klacht.
Bij besluit van 16 mei 2019 (bestreden besluit) heeft verweerder het bezwaar van eiser tegen het primaire besluit ongegrond verklaard.
Eiser heeft tegen het bestreden besluit beroep ingesteld.
Verweerder heeft een verweerschrift ingediend.
Het onderzoek ter zitting heeft plaatsgevonden op 18 februari 2021. Eiser is verschenen
.Verweerder heeft zich laten vertegenwoordigen door zijn gemachtigden. [naam partij] heeft zich laten vertegenwoordigen door haar gemachtigde, vergezeld door haar dochter [naam 2].
.Verweerder heeft zich laten vertegenwoordigen door zijn gemachtigden. [naam partij] heeft zich laten vertegenwoordigen door haar gemachtigde, vergezeld door haar dochter [naam 2].
Overwegingen
1. [naam partij] heeft DEX Online Services ingeschakeld om haar ledenadministratie, met daarin persoonsgegevens van eiser, te automatiseren. Ook biedt [naam partij] haar leden de mogelijkheid om gebruik te maken van de app Yogibit, om toegang te krijgen tot hun eigen gegevens, zodat zij zich bijvoorbeeld kunnen af- en aanmelden voor lessen. Op 30 januari 2019 heeft eiser een klacht ingediend bij verweerder over [naam partij] en verweerder verzocht om (handhavende) maatregelen te nemen tegen [naam partij], omdat de handelswijze van [naam partij] volgens eiser niet in overeenstemming is met Verordening 2016/679 van het Europees Parlement en de Raad van de Europese Unie van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (de Algemene Verordening Gegevensbescherming: AVG). Verweerder heeft de klacht bij besluit van 27 februari 2019 afgewezen, omdat zij geen evidente overtreding van de AVG constateerde. Eiser heeft tegen deze afwijzing bezwaar gemaakt.
2. In het bestreden besluit heeft verweerder het bezwaar van eiser ongegrond verklaard. Daaraan heeft verweerder ten grondslag gelegd dat [naam partij] door het inschakelen van DEX Online Services niet in strijd handelt met de AVG. Zowel [naam partij] als DEX Online Services heeft gehoor gegeven aan het verzoek van eiser om verwijdering in de zin van artikel 17 van de AVG. [naam partij] beschikt over een geldige grondslag voor de verwerking van eisers persoonsgegevens en niet is gebleken dat zijn persoonsgegevens zijn verwerkt in de YogiBit app. Gelet op het voorgaande bestond er voor verweerder op grond van paragraaf 2.5. Beleidsregels prioritering klachtenonderzoek (Beleidsregels) geen aanleiding om deze kwestie te toetsen aan de prioriteringscriteria en om een nader onderzoek in te stellen. Verweerder ziet geen aanleiding om handhavend of anderszins op te treden tegen [naam partij] of DEX Online Services.
3. In beroep voert eiser aan dat [naam partij], voordat zijn persoonsgegevens aan DEX Online Services zouden worden verstrekt, eerst nadrukkelijk aan hem om toestemming daarvoor had moeten vragen. Volgens eiser is verweerder vergeten om te kijken naar de definitie van ‘toestemming’, zoals weergegeven in artikel 4, onder 11, van de AVG. Volgens eiser was het voor [naam partij] niet noodzakelijk in de zin van artikel 6, eerste lid, aanhef en onder b, van de AVG, om DEX Online Services in te schakelen voor haar leerlingenadministratie. [naam partij] had er ook voor kunnen kiezen om een secretaresse aan te nemen, wat mogelijk wel noodzakelijk zou zijn geweest. Daarnaast stelt eiser dat hij als vrije EU-burger het recht heeft om te kiezen of hij mee wil gaan in de keuze van [naam partij] voor die derde-partij. Verweerder is er in het bestreden besluit aan voorbijgegaan dat [naam partij], voordat DEX Online Services werd ingeschakeld, altijd zelfstandig de ledenadministratie heeft bijgehouden en dat, hoewel het bijhouden daarvan noodzakelijk is, voor het inschakelen van een derde partij nog geen overtuigend bewijs of argument is overgelegd. Nu de noodzakelijkheid ontbreekt, is volgens eiser artikel 6, eerste lid, onder a, van de AVG van toepassing en was zijn toestemming vereist voor het verstrekken van zijn persoonsgegevens aan DEX Online Services.
Bij wijze van subsidiair standpunt stelt eiser dat het aan DEX Online Services was om zich ervan te vergewissen dat [naam partij] voldeed aan de in artikel 6 van de AVG gestelde voorwaarden. Ook stelt eiser dat [naam partij] op grond van artikel 5, tweede lid, van de AVG als verwerkingsverantwoordelijke een verantwoordingsplicht heeft en de naleving van artikel 5, eerste lid, van de AVG moet kunnen aantonen. Hij stelt dat in het besluit ontbreekt dat deze naleving zou zijn aangetoond. Eiser stelt dat het voorgaande ook geldt ten aanzien van de invoering van zijn persoonsgegevens in de YogiBit-app.
4. Het wettelijk kader is opgenomen in de bijlage. De bijlage maakt deel uit van deze uitspraak.
4.1.
De rechtbank overweegt als volgt.
4.2.
Niet in geschil is dat [naam partij] moet worden aangemerkt als verwerkingsverantwoordelijke in de zin van artikel 4, aanhef en onder 7, van de AVG en dat DEX Online Services moet worden aangemerkt als verwerker in de zin van artikel 4, aanhef en onder 8, van de AVG. [naam partij] heeft DEX Online Services ingeschakeld om haar ledenadministratie te automatiseren en bepaalt daarmee doel en middelen van de verwerking. DEX Online Services verwerkt persoonsgegevens van [naam partij] in opdracht van [naam partij].
4.3.
De mogelijke grondslagen voor rechtmatige verwerking van persoonsgegevens staan in artikel 6 van de AVG. Voor zover hier van belang is de verwerking op grond van artikel 6, eerste lid, onder a, van de AVG rechtmatig als de betrokkene toestemming heeft gegeven voor de verwerking van zijn persoonsgegevens voor een of meer specifieke doeleinden. Op grond van artikel 6, eerste lid, onder b, van de AVG is de verwerking rechtmatig als de verwerking noodzakelijk is voor de uitvoering van een overeenkomst waarbij de betrokkene partij is.
4.4.
De noodzakelijkheidstoets betekent dat moet worden voldaan aan de beginselen van proportionaliteit en subsidiariteit. Het proportionaliteitsbeginsel betekent dat de inbreuk op de belangen van de bij de verwerking van de persoonsgegevens betrokken persoon niet onevenredig mag zijn in verhouding tot het met de verwerking te dienen doel. Op grond van het subsidiariteitsbeginsel mag het doel waarvoor de persoonsgegevens worden verstrekt in redelijkheid niet op een andere, voor de bij de verwerking van persoonsgegevens betrokken persoon, minder nadelige wijze kunnen worden verwezenlijkt.
4.5.
De rechtbank stelt vast dat het doel van de verwerking van de persoonsgegevens het bijhouden van de ledenadministratie door [naam partij] is. Partijen zijn het erover eens dat dit een gerechtvaardigd doel is in de zin van artikel 5, eerste lid, aanhef en onder b, van de AVG. Partijen zijn het er ook over eens dat het bijhouden van de ledenadministratie door [naam partij] noodzakelijk is om te kunnen voldoen aan de overeenkomst die eiser met [naam partij] had. Zoals verweerder terecht stelt, zijn partijen het er daarmee over eens dat [naam partij] zich hierbij in beginsel kan beroepen op de grondslag ‘noodzakelijk voor de overeenkomst’. Partijen verschillen wel van mening over de vraag of het inschakelen van DEX Online Services door [naam partij] voor de automatisering van haar ledenadministratie noodzakelijk was en of dat van belang is.
4.6.
Naar het oordeel van de rechtbank stond het [naam partij] als verwerkingsverantwoordelijke vrij om te besluiten de persoonsgegevens binnen de organisatie te verwerken, of om de verwerkingen uit te besteden aan een externe organisatie als verwerker, zijnde in dit geval DEX Online Services. Dex Online Services kan zich in dat kader beroepen op de grondslag van de verwerkingsverantwoordelijke, [naam partij], waarbij [naam partij] verantwoordelijk blijft voor de verwerkingen die zij heeft uitbesteed aan Dex Online Services. In dat kader is ook een verwerkersovereenkomst, zoals bedoeld in artikel 28 van de AVG, tussen [naam partij] en Dex Online Services opgemaakt. Dat deze overeenkomst mogelijk geantidateerd kan zijn, zoals eiser ter zitting heeft gesteld, doet de rechtbank nog niet twijfelen aan de juistheid van (de totstandkoming van) deze overeenkomst. DEX Online Services was vervolgens gehouden om de persoonsgegevens indachtig de overeenkomst tussen eiser en [naam partij] te verwerken. In dat kader bestond er ook geen aanleiding om eiser separaat daarvoor om toestemming te vragen. Geheel ten overvloede merkt de rechtbank op dat, voor zover desalniettemin zou moeten worden geoordeeld dat het noodzakelijkheidsvereiste ook zou gelden ten opzichte van Dex Online Services, daaraan in dit geval wordt voldaan. In dat kader heeft [naam partij] ter zitting toegelicht dat de administratie eerst op papier en in Excel werd bijgehouden, maar dat vanwege de enorme groei van [naam partij] een andere wijze van administreren noodzakelijk was. In eerste instantie werd een secretaresse ingeschakeld, maar omdat dat geen financieel haalbare oplossing bleek, werd er – mede vanuit veiligheidsoogpunt – voor gekozen om de administratie in het vervolg via DEX Online Services te laten verlopen. De rechtbank ziet geen aanleiding hieraan te twijfelen, zodat de rechtbank geen grond ziet voor het oordeel dat het uitbesteden van de verwerkingen aan DEX Online Services niet noodzakelijk was. Ook rust, anders dan eiser bij wijze van subsidiair standpunt stelt, op DEX Online Services als verwerker geen verplichting om zich ervan te vergewissen dat [naam partij] als verwerkingsverantwoordelijke aan de in artikel 6 van de AVG gestelde verplichtingen voldeed.
4.7.
Naar het oordeel van de rechtbank heeft verweerder zich op het standpunt kunnen stellen dat is voldaan aan de verantwoordingsplicht die [naam partij] heeft ten aanzien van de naleving van artikel 5, eerste lid, van de AVG. Zoals verweerder ter zitting heeft toegelicht is daar in dit geval invulling aan gegeven doordat de ondertekende verwerkingsovereenkomst tussen [naam partij] en DEX Online Services is overgelegd.
4.8.
Naar het oordeel van de rechtbank heeft verweerder zich genoegzaam gemotiveerd op het standpunt gesteld dat niet is gebleken dat de persoonsgegevens van eiser zijn verwerkt in de YogiBit-app en dat het leden van [naam partij] vrijstaat om al dan niet gebruik te maken van deze app. Ter zitting is door [naam partij] bovendien aangegeven dat aan eiser alternatieven zijn aangeboden, zodat hij de app niet hoefde te gebruiken. Eiser heeft dat in beroep niet afdoende gemotiveerd betwist. Gelet op het voorgaande kan hetgeen eiser in beroep heeft aangevoerd ten aanzien van de invoering van zijn gegevens in de YogiBit-app niet slagen.
4.9.
Gelet op het voorgaande heeft verweerder zich op goede gronden op het standpunt gesteld dat er geen evidente overtreding is van de AVG en dat er geen aanleiding is om de klacht van eiser nader te onderzoeken. De stellingen van eiser, dat hij zich als EU-burger niet beschermd voelt door verweerder en dat door [naam partij] en Dex Online Services tijdens de hoorzitting niet onderbouwde beweringen zijn gedaan, zoals dat eiser nieuwsbrieven met uitleg zou hebben ontvangen, leiden de rechtbank niet tot een ander oordeel, nu deze stellingen niet kunnen afdoen aan de rechtmatigheid van het bestreden besluit.
5. De beroepsgrond van eiser dat hij, zelfs als de AVG niet in werking zou zijn getreden, zou zijn beschermd door de Wet Bescherming Persoonsgegevens (Wbp), slaagt tot slot evenmin. Redengevend daartoe is alleen al dat de AVG op 25 mei 2018 in werking is getreden en van toepassing is geworden. De Wbp is toen ingetrokken.
6. Gelet op het voorgaande is het beroep ongegrond.
7. Voor een proceskostenveroordeling bestaat geen aanleiding.
Beslissing
De rechtbank verklaart het beroep ongegrond.
Deze uitspraak is gedaan door mr. A.M.J. Adriaansen, rechter, in aanwezigheid van mr. H.L. de Vries, griffier. De uitspraak is uitgesproken in het openbaar op 19 maart 2021.
De griffier is buiten staat
Griffier
rechter
Een afschrift van deze uitspraak is verzonden aan partijen op:
Bent u het niet eens met deze uitspraak?
Tegen deze uitspraak kan binnen zes weken na de dag van verzending daarvan hoger beroep worden ingesteld bij de Afdeling bestuursrechtspraak van de Raad van State.
Bijlage – wettelijk kader
1. Overweging 141 van de preambule van Richtlijn 95/46/EG (de Algemene Verordening Gegevensbescherming: AVG) luidt: Iedere betrokkene dient het recht te hebben om een klacht in te dienen bij één enkele toezichthoudende autoriteit, met name in de lidstaat waar hij gewoonlijk verblijft, en een doeltreffende voorziening in rechte in te 4.5.2016 L 119/25 Publicatieblad van de Europese Unie NL stellen overeenkomstig artikel 47 van het Handvest indien hij meent dat inbreuk is gemaakt op zijn rechten uit hoofde van deze verordening of indien de toezichthoudende autoriteit niet optreedt naar aanleiding van een klacht, een klacht gedeeltelijk of geheel verwerpt of afwijst, of indien deze niet optreedt wanneer zulk optreden noodzakelijk is ter bescherming van de rechten van de betrokkene. Het onderzoek dat naar aanleiding van een klacht wordt uitgevoerd, gaat niet verder dan in het specifieke geval passend is en kan worden onderworpen aan rechterlijke toetsing. De toezichthoudende autoriteit dient de betrokkene binnen een redelijke termijn in kennis te stellen van de voortgang en het resultaat van de klacht. Indien de zaak verder onderzoek of coördinatie met een andere toezichthoudende autoriteit vereist, dient de betrokkene tussentijdse informatie te worden verstrekt. Elke toezichthoudende autoriteit dient maatregelen te treffen om het indienen van klachten te faciliteren, zoals het ter beschikking stellen van een klachtenformulier dat tevens elektronisch kan worden ingevuld, zonder dat andere communicatiemiddelen worden uitgesloten.
Artikel 4 van de AVG luidt:
Definities
Voor de toepassing van deze verordening wordt verstaan onder:
1) „persoonsgegevens”: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon („de betrokkene”); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon;
2) „verwerking”: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens;
(…)
7) „verwerkingsverantwoordelijke”: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt; wanneer de doelstellingen van en de middelen voor deze verwerking in het Unierecht of het lidstatelijke recht worden vastgesteld, kan daarin worden bepaald wie de verwerkingsverantwoordelijke is of volgens welke criteria deze wordt aangewezen;
8) „verwerker”: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/ dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt;
(…)
11) „toestemming” van de betrokkene: elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling hem betreffende verwerking van persoonsgegevens aanvaardt;
(…)
Artikel 5 van de AVG luidt:
Beginselen inzake verwerking van persoonsgegevens
1.Persoonsgegevens moeten:
a. a) worden verwerkt op een wijze die ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant is („rechtmatigheid, behoorlijkheid en transparantie”);
b) voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en mogen vervolgens niet verder op een met die doeleinden onverenigbare wijze worden verwerkt; de verdere verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden wordt overeenkomstig artikel 89, lid 1, niet als onverenigbaar met de oorspronkelijke doeleinden beschouwd („doelbinding”);
c) toereikend zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt („minimale gegevensverwerking”);
d) juist zijn en zo nodig worden geactualiseerd; alle redelijke maatregelen moeten worden genomen om de persoonsgegevens die, gelet op de doeleinden waarvoor zij worden verwerkt, onjuist zijn, onverwijld te wissen of te rectificeren („juistheid”);
e) worden bewaard in een vorm die het mogelijk maakt de betrokkenen niet langer te identificeren dan voor de doeleinden waarvoor de persoonsgegevens worden verwerkt noodzakelijk is; persoonsgegevens mogen voor langere perioden worden opgeslagen voor zover de persoonsgegevens louter met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden worden verwerkt overeenkomstig artikel 89, lid 1, mits de bij deze verordening vereiste passende technische en organisatorische maatregelen worden getroffen om de rechten en vrijheden van de betrokkene te beschermen („opslagbeperking”);
f) door het nemen van passende technische of organisatorische maatregelen op een dusdanige manier worden verwerkt dat een passende beveiliging ervan gewaarborgd is, en dat zij onder meer beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging („integriteit en vertrouwelijkheid”).
2.De verwerkingsverantwoordelijke is verantwoordelijk voor de naleving van lid 1 en kan deze aantonen („verantwoordingsplicht”).
Artikel 6 van de AVG luidt:
Rechtmatigheid van de verwerking
1.De verwerking is alleen rechtmatig indien en voor zover aan ten minste een van de onderstaande voorwaarden is voldaan:
a. a) de betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens voor een of meer specifieke doeleinden;
b) de verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of om op verzoek van de betrokkene vóór de sluiting van een overeenkomst maatregelen te nemen;
(…)
Artikel 28 van de AVG luidt:
1. Wanneer een verwerking namens een verwerkingsverantwoordelijke wordt verricht, doet de verwerkingsverantwoordelijke uitsluitend een beroep op verwerkers die afdoende garanties met betrekking tot het toepassen van passende technische en organisatorische maatregelen bieden opdat de verwerking aan de vereisten van deze verordening voldoet en de bescherming van de rechten van de betrokkene is gewaarborgd.
2. De verwerker neemt geen andere verwerker in dienst zonder voorafgaande specifieke of algemene schriftelijke toestemming van de verwerkingsverantwoordelijke. In het geval van algemene schriftelijke toestemming licht de verwerker de verwerkingsverantwoordelijke in over beoogde veranderingen inzake de toevoeging of vervanging van andere verwerkers, waarbij de verwerkingsverantwoordelijke de mogelijkheid wordt geboden tegen deze veranderingen bezwaar te maken.
3. De verwerking door een verwerker wordt geregeld in een overeenkomst of andere rechtshandeling krachtens het Unierecht of het lidstatelijke recht die de verwerker ten aanzien van de verwerkingsverantwoordelijke bindt, en waarin het onderwerp en de duur van de verwerking, de aard en het doel van de verwerking, het soort persoonsgegevens en de categorieën van betrokkenen, en de rechten en verplichtingen van de verwerkingsverantwoordelijke worden omschreven. Die overeenkomst of andere rechtshandeling bepaalt met name dat de verwerker:
a. a) de persoonsgegevens uitsluitend verwerkt op basis van schriftelijke instructies van de verwerkingsverantwoordelijke, onder meer met betrekking tot doorgiften van persoonsgegevens aan een derde land of een internationale organisatie, tenzij een op de verwerker van toepassing zijnde Unierechtelijke of lidstaatrechtelijke bepaling hem tot verwerking verplicht; in dat geval stelt de verwerker de verwerkingsverantwoordelijke, voorafgaand aan de verwerking, in kennis van dat wettelijk voorschrift, tenzij die wetgeving deze kennisgeving om gewichtige redenen van algemeen belang verbiedt;
b) waarborgt dat de tot het verwerken van de persoonsgegevens gemachtigde personen zich ertoe hebben verbonden vertrouwelijkheid in acht te nemen of door een passende wettelijke verplichting van vertrouwelijkheid zijn gebonden;
c) alle overeenkomstig artikel 32 vereiste maatregelen neemt;
d) aan de in de leden 2 en 4 bedoelde voorwaarden voor het in dienst nemen van een andere verwerker voldoet;
e) rekening houdend met de aard van de verwerking, de verwerkingsverantwoordelijke door middel van passende technische en organisatorische maatregelen, voor zover mogelijk, bijstand verleent bij het vervullen van diens plicht om verzoeken om uitoefening van de in hoofdstuk III vastgestelde rechten van de betrokkene te beantwoorden;
f) rekening houdend met de aard van de verwerking en de hem ter beschikking staande informatie de verwerkingsverantwoordelijke bijstand verleent bij het doen nakomen van de verplichtingen uit hoofde van de artikelen 32 tot en met 36;
g) na afloop van de verwerkingsdiensten, naargelang de keuze van de verwerkingsverantwoordelijke, alle persoonsgegevens wist of deze aan hem terugbezorgt, en bestaande kopieën verwijdert, tenzij opslag van de persoonsgegevens Unierechtelijk of lidstaatrechtelijk is verplicht;
h) de verwerkingsverantwoordelijke alle informatie ter beschikking stelt die nodig is om de nakoming van de in dit artikel neergelegde verplichtingen aan te tonen en audits, waaronder inspecties, door de verwerkingsverantwoordelijke of een door de verwerkingsverantwoordelijke gemachtigde controleur mogelijk maakt en eraan bijdraagt.
Waar het gaat om de eerste alinea, punt h), stelt de verwerker de verwerkingsverantwoordelijke onmiddellijk in kennis indien naar zijn mening een instructie inbreuk oplevert op deze verordening of op andere Unierechtelijke of lidstaatrechtelijke bepalingen inzake gegevensbescherming.
4. Wanneer een verwerker een andere verwerker in dienst neemt om voor rekening van de verwerkingsverantwoordelijke specifieke verwerkingsactiviteiten te verrichten, worden aan deze andere verwerker bij een overeenkomst of een andere rechtshandeling krachtens Unierecht of lidstatelijk recht dezelfde verplichtingen inzake gegevensbescherming opgelegd als die welke in de in lid 3 bedoelde overeenkomst of andere rechtshandeling tussen de verwerkingsverantwoordelijke en de verwerker zijn opgenomen, met name de verplichting afdoende garanties met betrekking tot het toepassen van passende technische en organisatorische maatregelen te bieden opdat de verwerking aan het bepaalde in deze verordening voldoet. Wanneer de andere verwerker zijn verplichtingen inzake gegevensbescherming niet nakomt, blijft de eerste verwerker ten aanzien van de verwerkingsverantwoordelijke volledig aansprakelijk voor het nakomen van de verplichtingen van die andere verwerker.
(…)
9. De in de leden 3 en 4 bedoelde overeenkomst of andere rechtshandeling wordt in schriftelijke vorm, waaronder elektronische vorm, opgesteld.
10. Indien een verwerker in strijd met deze verordening de doeleinden en middelen van een verwerking bepaalt, wordt die verwerker onverminderd de artikelen 82, 83 en 84 met betrekking tot die verwerking als de verwerkingsverantwoordelijke beschouwd.
Artikel 77 van de AVG luidt:
1. Onverminderd andere mogelijkheden van administratief beroep of een voorziening in rechte, heeft iedere betrokkene het recht een klacht in te dienen bij een toezichthoudende autoriteit, met name in de lidstaat waar hij gewoonlijk verblijft, hij zijn werkplek heeft of waar de beweerde inbreuk is begaan, indien hij van mening is dat de verwerking van hem betreffende persoonsgegevensinbreuk maakt op deze verordening.
(…)
2. Paragraaf 2.5. van de Beleidsregels prioritering klachtenonderzoek (Beleidsregels), luidt:
Eerste beoordeling klacht
Klachten kunnen telefonisch, per post of digitaal via een (elektronisch) klachtenformulier worden ingediend. Bij het behandelen van een klacht onderzoekt de Autoriteit Persoonsgegevens (AP) de klacht in de mate waarin dat gepast is. Wat gepast is, kan per geval verschillen en is afhankelijk van alle concrete feiten en omstandigheden van het geval.
Aan de hand van een eerste beoordeling van de klacht bepaalt de AP of mogelijk sprake is van een
overtreding, waartegen de AP kan optreden. Daarbij onderzoekt de AP in ieder geval de ontvangen
informatie van de klager en beschikbare informatie van de vermeende overtreder. Bijvoorbeeld de website of bij de AP bekende informatie uit eerdere onderzoeken en signalen. Verder kan, voor zover daar naar het oordeel van de AP aanleiding toe is, de AP een of meer van de volgende bronnen onderzoeken:
- informatie bij andere (inter)nationale toezichthouders;
- algemene informatie op internet of uit andere openbare bronnen en media (zoals relevante weten regelgeving en jurisprudentie en relevante (wetgevings)adviezen van de AP; en
- vergelijkbare dossiers bij de AP.
Zo nodig neemt de AP contact op met de klager en/of de vermeende overtreder en vraagt zij hen schriftelijk of telefonisch om nadere informatie om zo voldoende inzicht te krijgen in de vermeende overtreding, de gevolgen van deze vermeende overtreding en de betrokkenheid van de vermeende overtreder.
Het is mogelijk dat al na een eerste beoordeling van de inhoud van een klacht blijkt dat sprake is van een overtreding en de AP deze (direct) naar tevredenheid kan afhandelen. Zo kan bijvoorbeeld telefonisch contact worden opgenomen met de klager waarbij de AP hem informatie en advies geeft, bijvoorbeeld om de (Functionaris Gegevensbescherming van de) vermeende overtreder te benaderen en hoe hij dat het beste kan doen. Op die manier kan de klager er zelf voor zorgen dat zijn klacht wordt opgelost.
In andere gevallen kan de AP bijvoorbeeld aansturen op bemiddeling. Ook is het mogelijk dat, nadat de AP contact met de klager heeft opgenomen, aanstonds duidelijk is dat er geen sprake is van een overtreding en hem uitlegt waarom, en vervolgens de klacht beëindigt.
Deze voorbeelden maken duidelijk dat de klager, zonder dat sprake hoeft te zijn van een diepgravend onderzoek, toch voldoende kan zijn geholpen. De klacht is ook hiermee op passende wijze en daarmee in overeenstemming met de AVG onderzocht. Daarnaast kan de AP, als aanstonds duidelijk is dat van een overtreding sprake is, gebruik maken van de inzet van informele interventies richting de (vermeende) overtreder. Die kunnen vaak betrekkelijk snel en met een inzet van een geringe toezichtcapaciteit worden ingezet. Hierbij valt te denken aan telefonische confrontatie, een normoverdragend gesprek of een waarschuwingsbrief. Ook deze vorm van klachtafhandeling kan in een voorkomend geval als passend worden gekwalificeerd.
Uit de eerste beoordeling van de klacht, dan wel een verzoek om handhaving kan, zonder dat daarvoor aanvullende informatie nodig is, al voldoende blijken dat geen sprake is van een overtreding, of dat dat juist wel het geval is. In het eerste geval wijst de AP het verzoek om handhaving af of beëindigt de behandeling van de klacht. In het tweede geval start de AP een handhavingstraject en treedt zij in beginsel handhavend op, tenzij sprake is van bijzondere omstandigheden zoals concreet zicht op legalisatie of wanneer handhavend optreden onevenredig zou zijn.
In het geval uit de eerste beoordeling blijkt dat er in het dossier voldoende aanwijzingen zijn dat sprake is van een overtreding, maar een nader onderzoek nodig is om de overtreding te kunnen vaststellen, dan komt het onderzoek in de volgende fase terecht. In die fase wordt getoetst aan de prioriteringscriteria.