Bedrijven die met toezicht worden geconfronteerd, zijn gehouden op verzoek van een toezichthouder in beginsel alle informatie te verstrekken. Met de komst van de Algemene verordening gegevensbescherming (AVG) is in de praktijk de vraag opgekomen of een toezichthouder bevoegd is om persoonsgegevens die onderdeel uitmaken van de gevraagde informatie te verwerken. Het Hof Den Haag oordeelde voor het eerst in zijn arrest van 12 februari 2019 (ECLI:NL:GHDHA:2019:417) dat de Autoriteit Consument en Markt (ACM) bevoegd was om tijdens een bedrijfsbezoek persoonsgegevens te kopiëren. De AVG biedt daarvoor volgens het Hof grondslag nu de verwerking noodzakelijk is voor de vervulling van het algemeen belang, namelijk het toezicht op de naleving van in dit geval de Mededingingswet.

In dit blogbericht worden het arrest en vonnis van de rechtbank besproken en de betekenis daarvan voor de praktijk.

Bedrijfsbezoek

De zaak gaat om een bedrijfsbezoek van de ACM in het kader van een onderzoek naar mogelijke overtreding van de Mededingingswet. Tijdens dat bezoek heeft de ACM onder andere digitale data van enkele medewerkers gekopieerd, waaronder ook persoonsgegevens. Het bedrijf verzoekt in een civiel kort geding onder meer om staking van het onderzoek door de ACM. Er is sprake van een civiel kort geding, omdat feitelijke toezichtshandelingen – zoals het kopiëren van stukken door de ACM – niet bij de bestuursrechter kunnen worden aangevochten.

De rechtbank stelde het bedrijf deels in het gelijk voor wat betreft het kopiëren van mailboxen van enkele medewerkers. Volgens de rechtbank heeft de ACM in strijd met haar digitale werkwijze (ACM Werkwijze voor onderzoek in digitale gegevens 2014) gehandeld door het bedrijf daarover vooraf niet te informeren. Het gevolg daarvan was dat de informatie van de desbetreffende medewerkers buiten het onderzoek van de ACM moest blijven. Aan de bevoegdheidsvraag op grond van de AVG gaat de rechtbank vervolgens voorbij.

Tegen dat vonnis stelt het bedrijf beroep in bij het Hof waarin het zich onder meer op het standpunt stelt dat de ACM niet over een wettelijke basis beschikt die op grond van artikel 6, eerste lid, van de AVG is vereist om persoonsgegevens die onderdeel uitmaken van de gekopieerde data te verwerken.

Arrest van het Hof

Het Hof stelt het bedrijf in het kort geding in het ongelijk en oordeelt dat de ACM wel bevoegd is om het onderzoek uit te voeren en dat daarvoor een wettelijke basis bestaat in de AVG. Het Hof is van oordeel dat de wettelijke grondslag voor de verwerking van persoonsgegevens door de ACM kan worden gebaseerd op grond van artikel 6 lid 1 sub e AVG. Dit artikellid bepaalt dat de verwerking alleen rechtmatig is indien de verwerking noodzakelijk is voor de vervulling van een taak van algemeen belang. Volgens het Hof is het algemeen belang gegeven nu het gaat om toezicht op de naleving van de Mededingingswet. Bovendien staat volgens het Hof artikel 5:17 Awb niet in de weg aan de verwerking van persoonsgegevens ook al ziet die bevoegdheid op inzage van de toezichthouder in ‘zakelijke gegevens en bescheiden’. Daarvoor acht het Hof relevant:

dat die gegevens voor de ACM noodzakelijk zijn, omdat pas op basis van alle verstrekte documenten kan worden bepaald of de gegevens en bescheiden zakelijk zijn of niet.
de digitale werkwijze van de ACM die zijn grondslag vindt in onder meer artikel 5:17 Awb voldoende waarborgen biedt dat documenten van persoonsgegevens worden geschoond voordat het onderzoeksteam van de ACM ermee aan de slag gaat.
de bredere bevoegdheid in artikel 6b en artikel 7 van de Instellingswet ACM die de onder toezicht gestelde verplicht om ‘gegevens en inlichtingen’ aan de ACM te verstrekken en welke gegevens de ACM uitsluitend mag gebruiken voor zover dat noodzakelijk is voor de uitvoering van zijn taak.

Betekenis voor de praktijk

De les uit dit arrest is dat bedrijven, burgers en instellingen niet zonder meer kunnen weigeren om persoonsgegevens te verstrekken aan toezichthouders, omdat de AVG daaraan in de weg zou staan. De AVG in samenhang gelezen met de toezichtsbevoegdheden in de Awb (o.a. inzage in zakelijke gegevens en bescheiden, verstrekken van inlichtingen en de medewerkingsplicht) en eventueel bijzondere bevoegdheden in specifieke wetten (o.a. de Instellingswet ACM) bieden daarvoor voldoende grondslag. De verwerking van persoonsgegevens door de toezichthouder kan berusten op de grondslag dat de verwerking noodzakelijk is voor de vervulling van een taak van algemeen belang (artikel 6 lid 1 sub e AVG). Dat belang is volgens het Hof gegeven als het gaat om toezicht op de naleving van de wet- en regelgeving door de desbetreffende toezichthouder in kwestie.
Deze grondslag benoemt de Europese Toezichthouder voor gegevensbescherming overigens ook in zijn brief van 22 oktober 2018 (p. 6). Daarin staat dat artikel 6 lid 1 sub c AVG niet in de weg staat aan de verplichting voor een betrokkene om informatie waaronder ook persoonsgegevens te verstrekken aan Europese toezichthouders.
Voor (rechts)personen betekent dit dat zij bij (bedrijfs)bezoeken van toezichthouders goed moeten opletten of de toezichthouder de waarborgen bij de totstandkoming van de onderzoksdataset in acht neemt. Die waarborgen hebben de AFM en de ACM in elk geval vastgelegd in hun daarvoor specifiek opgestelde beleidsregels.

Het bericht ‘De AVG staat niet in de weg aan de verwerking van persoonsgegevens door een toezichthouder tijdens een bedrijfsbezoek‘ is een bericht van Stibbeblog.nl.