Joris DeeneHet Hof van Justitie van de Europese Unie heeft op 3 april 2025 (C-710/23) een belangrijk arrest gewezen over de verwerking van persoonsgegevens in officiële documenten. Deze uitspraak verduidelijkt wanneer gegevens van personen die optreden namens rechtspersonen als persoonsgegevens worden beschouwd en onder welke voorwaarden deze mogen worden vrijgegeven. Denk hierbij bijvoorbeeld aan de naam, handtekening of e-mailadres van de bestuurders van een vennootschap.
De feiten van de zaak
De zaak betrof een geschil tussen een burger (L.H.) en het Tsjechische Ministerie van Volksgezondheid. L.H. verzocht het ministerie om informatie over de personen die contracten hadden ondertekend voor de aankoop van COVID-19 screeningtests en de bijbehorende certificaten.
Het ministerie verstrekte de gevraagde documentatie gedeeltelijk, maar maakte bepaalde gegevens onleesbaar, waaronder namen, handtekeningen, functies en soms e-mailadressen en telefoonnummers van de natuurlijke personen die deze documenten namens rechtspersonen hadden ondertekend. Het ministerie deed dit met het oog op de bescherming van persoonsgegevens overeenkomstig de Algemene Verordening Gegevensbescherming (AVG).
De prejudiciële vragen
De zaak kwam uiteindelijk terecht bij de hoogste bestuursrechter van Tsjechië, die twee belangrijke vragen voorlegde aan het Hof van Justitie:
- Vormen de voornaam, achternaam, handtekening en contactgegevens van een persoon die een rechtspersoon vertegenwoordigt “persoonsgegevens” in de zin van de AVG, zelfs als deze gegevens alleen worden gebruikt om te identificeren wie namens de rechtspersoon mag optreden?
- Mag nationaal recht (inclusief vaste rechtspraak) aanvullende voorwaarden stellen bovenop de AVG, zoals de verplichting om betrokkenen vooraf te informeren en te raadplegen voordat hun gegevens aan derden worden verstrekt?
De uitspraak van het Hof
Persoonsgegevens van vertegenwoordigers
Op de eerste vraag oordeelde het Hof ondubbelzinnig dat de naam, handtekening en contactgegevens van een natuurlijke persoon die een rechtspersoon vertegenwoordigt, wel degelijk persoonsgegevens zijn in de zin van artikel 4, punten 1 en 2 van de AVG.
Het Hof benadrukte dat het begrip “persoonsgegevens” ruim moet worden uitgelegd en potentieel alle soorten informatie omvat die betrekking heeft op een geïdentificeerde of identificeerbare natuurlijke persoon. De omstandigheid dat deze gegevens uitsluitend worden gebruikt om te identificeren wie namens een rechtspersoon mag handelen, doet niet ter zake voor deze kwalificatie.
Het Hof maakte ook duidelijk dat overweging 14 van de AVG, die stelt dat de verordening geen betrekking heeft op gegevens over rechtspersonen, deze interpretatie niet verandert. Deze overweging verwijst naar gegevens van de rechtspersoon zelf (zoals de bedrijfsnaam, het KBO-nummer, het adres van de maatschappelijke zetel, het info@bedrijf.be e-mailadres), niet naar de gegevens van natuurlijke personen die namens rechtspersonen handelen.
Nationale aanvullende vereisten
Op de tweede vraag oordeelde het Hof dat artikel 6, lid 1, onder c) en e) van de AVG, gelezen in samenhang met artikel 86, zich niet verzet tegen nationale rechtspraak die vereist dat verwerkingsverantwoordelijken betrokkenen informeren en raadplegen voordat hun gegevens worden verstrekt.
Zo’n verplichting kan zelfs bijdragen aan een rechtmatige, eerlijke en transparante verwerking door betrokkenen de gelegenheid te geven hun standpunt kenbaar te maken.
Er is echter een belangrijke nuance: de toepassing van deze verplichting mag niet onmogelijk zijn of onevenredige inspanningen vereisen. Ze mag ook niet leiden tot een onevenredige beperking van het recht van het publiek op toegang tot officiële documenten.
Praktische implicaties
Dit arrest heeft belangrijke gevolgen voor zowel overheidsinstanties als bedrijven en individuen:
- Voor overheidsinstanties: Bij het verstrekken van officiële documenten moeten zij de namen, handtekeningen en contactgegevens van individuen die namens rechtspersonen handelen als persoonsgegevens behandelen. Ze moeten betrokkenen in principe informeren en raadplegen vóór verstrekking, tenzij dit onmogelijk of onevenredig moeilijk is.
- Voor bedrijven en hun vertegenwoordigers: Natuurlijke personen die namens bedrijven contracten ondertekenen hebben recht op bescherming van hun persoonsgegevens, zelfs wanneer ze in professionele hoedanigheid handelen.
- Voor het bredere publiek: Het recht op toegang tot officiële documenten blijft bestaan, maar moet worden afgewogen tegen het recht op gegevensbescherming. Een automatische weigering om informatie te verstrekken alleen omdat het moeilijk is betrokkenen te raadplegen, is niet toegestaan.
Conclusie
Dit arrest bevestigt dat de AVG een evenwichtige benadering vereist tussen twee belangrijke belangen: transparantie in overheidshandelen en bescherming van persoonsgegevens. Nationale regels kunnen extra bescherming bieden aan betrokkenen, maar deze bescherming mag niet zo ver gaan dat ze het recht op toegang tot informatie onevenredig beperkt.
Voor organisaties die informatieverzoeken ontvangen of indienen, is het cruciaal dit evenwicht te begrijpen en te respecteren.
