Terug naar bibliotheek
Raad van State

ECLI:NL:RVS:2024:2221 - Raad van State - 28 mei 2024

Uitspraak

ECLI:NL:RVS:2024:222128 mei 2024

Genoemde wetsartikelen

Artikel 8 WOB

Uitspraak inhoud

AFDELINGBESTUURSRECHTSPRAAK

Uitspraak op het hoger beroep van:

[appellante], gevestigd te [plaats],

appellante,

tegen de uitspraak van de rechtbank Amsterdam van 15 januari 2024 in zaak nr. 22/101 en 22/102 in het geding tussen:

[appellante]

en

de Autoriteit Persoonsgegevens.

Procesverloop

Bij besluit van 30 juli 2020 heeft de Autoriteit aan [appellante] een boete van € 6.000 opgelegd wegens overtreding van Verordening 2016/679 van het Europees Parlement en de Raad van de Europese Unie van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (de Algemene Verordening Gegevensbescherming, hierna: AVG).

Bij besluit van 10 mei 2021 heeft de Autoriteit op grond van artikel 8 van de Wet openbaarheid van bestuur (hierna: Wob) besloten het besluit van 30 juli 2020 openbaar te maken.

Bij afzonderlijke besluiten van 4 januari 2022 heeft de Autoriteit de door [appellante] tegen de besluiten van 30 juli 2020 en 10 mei 2021 gemaakte bezwaren ongegrond verklaard.

Bij uitspraak van 15 januari 2024 heeft de rechtbank de door APG daartegen ingestelde beroepen ongegrond verklaard.

Tegen deze uitspraak heeft [appellante] hoger beroep ingesteld.

De Afdeling heeft de zaak ter zitting behandeld op 2 mei 2024, waar [appellante], vertegenwoordigd door mr. J.M. van den Hil-ten Thij, advocaat te Amsterdam en [gemachtigden], en de Autoriteit, vertegenwoordigd door mr. J.M.A. Koster en mr. E. Nijhof, zijn verschenen.

Overwegingen

Wettelijk kader

Inleiding

Hoger beroep

Boetebesluit

[appellante] stelt verder dat, als de boete mocht worden opgelegd, deze nog verdergaand had moeten worden gematigd, namelijk tot nihil. [appellante] heeft niet met opzet gehandeld. Zij had haar privacybeleid op orde en had al het mogelijke gedaan om overtredingen te voorkomen. Onvoldoende gewicht is toegekend aan de omstandigheid dat de verwijderverzoeken niet waren gericht aan het in de privacyverklaring genoemde e-mailadres. De drie incidenten waren het gevolg van een menselijke fout. [appellante] acht onduidelijk hoe de Autoriteit op grond van de factoren in de Boetebeleidsregels Autoriteit Persoonsgegevens 2019 (hierna: Boetebeleidsregels) in de praktijk op zeer uiteenlopende boetes kan uitkomen. Gelet op het motiveringsbeginsel en het rechtszekerheidsbeginsel moet de Autoriteit uitleggen hoe zij tot een bepaalde boetehoogte is gekomen, maar dat heeft zij in dit geval niet gedaan.

4.1. Tussen partijen is niet in geschil dat [appellante] artikel 17, eerste lid, in samenhang gelezen met artikel 12, derde lid, van de AVG heeft overtreden. Op grond van artikel 58, tweede lid, van de AVG kan de Autoriteit in dit geval verschillende corrigerende maatregelen treffen. Wanneer met verwerkingen inbreuk op bepalingen van de AVG is gemaakt, kan de verwerkingsverantwoordelijke ingevolge sub b worden berispt. Ingevolge sub i kan, naargelang de omstandigheden van elke zaak, naast of in plaats van de in dit lid bedoelde maatregelen, een administratieve geldboete op grond van artikel 83 van de AVG worden opgelegd. Bij de beoordeling of een boete wordt opgelegd en het vaststellen van de hoogte daarvan, wordt rekening gehouden met de in artikel 83, tweede lid, van de AVG genoemde factoren. Hiertoe behoort onder meer de aard, de ernst en de duur van de inbreuk, rekening houdend met de aard, de omvang of het doel van de verwerking in kwestie alsmede het aantal getroffen betrokkenen en de omvang van de door hen geleden schade. De Autoriteit heeft aan haar bevoegdheid invulling gegeven door de Boetebeleidsregels vast te stellen, waarin zij de in de AVG genoemde factoren heeft overgenomen.

4.2. De Boetebeleidsregels bepalen voor een categorie II-situatie, het niet tijdig gevolg geven aan een verwijderingsverzoek, een basisboete van € 310.000 en een boetebandbreedte tussen € 120.000 en € 500.000. Afhankelijk van de in artikel 7 van de Boetebeleidsregels genoemde factoren kan de basisboete binnen de bandbreedte worden verhoogd of verlaagd. De Autoriteit heeft een boete van € 310.000 onevenredig hoog geacht. [appellante] heeft namelijk privacybeleid vastgesteld en meer dan 650 verwijderverzoeken wel succesvol verwerkt. Aannemelijk is dat de drie incidenten het resultaat zijn van een menselijke fout. Ook heeft [appellante] het beleid na de klachten aangescherpt. De Autoriteit heeft de boete in afwijking van de Boetebeleidsregels daarom gematigd en een boete van € 6.000 passend en geboden geacht.

4.3. Zoals de Afdeling eerder heeft overwogen (uitspraak van 13 december 2023, ECLI:NL:RVS:2023:4624), heeft de Autoriteit beleidsruimte om al dan niet handhavend op te treden. De Autoriteit heeft in het besluit op bezwaar overwogen dat het recht op verwijdering onlosmakelijk is verbonden met de controle op de verwerking van persoonsgegevens waardoor de belanghebbende in staat is te achterhalen of persoonsgegevens op rechtmatige wijze zijn verwerkt. Volgens de Autoriteit ging het om een ernstige overtreding, omdat in drie gevallen is geconstateerd dat [appellante] niet op verwijderingsverzoeken heeft gereageerd. De Autoriteit heeft in de schriftelijke uiteenzetting nader toegelicht dat het hier gaat om een groot bedrijf dat veel gevoelige persoonsgegevens onder zich heeft. De overtredingen deden zich voor bij verschillende labels van het bedrijf, waaruit kan worden opgemaakt dat het privacybeleid van [appellante] in de praktijk niet in brede zin werd nageleefd. De Afdeling kan de Autoriteit hierin volgen. Dat het niet om een incident ging, wordt ondersteund door twee waarschuwingsbrieven van de Autoriteit uit oktober en november 2018. Niet alleen blijkt daaruit dat er, naast de drie personen die klachten indienden en waarvoor de boete is opgelegd, nog twee andere personen klachten over [appellante] hebben ingediend. Daarnaast heeft [appellante] niet naar aanleiding van die brieven de feitelijke uitvoering van haar werkprocessen verbeterd. De stelling dat zij de beide aangetekend verstuurde brieven, gericht aan verschillende adressen van [appellante] niet heeft ontvangen, acht de Afdeling net als de Autoriteit niet geloofwaardig. De Autoriteit heeft verder toegelicht dat de voorliggende situatie verschilt van de door [appellante] genoemde gevallen waarin sprake was van een kleine inbreuk en met een berisping werd volstaan, omdat de Autoriteit [appellante] op de overtredingen heeft moeten wijzen en pas daarna gevolg is gegeven aan de verwijderingsverzoeken. Onder deze omstandigheden heeft de Autoriteit in dit geval mogen oordelen dat sprake was van een ernstige overtreding. Anders dan door [appellante] is betoogd, is het opleggen van een boete in plaats van een berisping niet in strijd met de uitspraak van het Hof van Justitie van 5 december 2023, ECLI:EU:C:2023:950 (Deutsche Wohnen). In die zaak heeft het Hof van Justitie overwogen dat voor het opleggen van een administratieve boete in de zin van artikel 83 van de AVG vanwege een inbreuk is vereist dat de verwerkingsverantwoordelijke deze inbreuk opzettelijk of uit nalatigheid heeft begaan (punt 75). Daarvoor is geen handeling en zelfs geen kennis van het leidinggevend orgaan van die rechtspersoon vereist (punt 77). In dit geval staat vast dat in drie afzonderlijke gevallen door medewerkers van [appellante] geen gevolg is gegeven aan verzoeken tot verwijdering van persoonsgegevens en dat de verzoekers opnieuw door medewerkers van [appellante] zijn benaderd. Dat handelen van de betreffende medewerkers is aan te merken als een door nalatigheid veroorzaakte inbreuk. Zoals hierna wordt overwogen, valt [appellante] namelijk een verwijt te maken. De Autoriteit mocht dan ook op grond van artikel 58, tweede lid, aanhef en onder i, van de AVG een boete opleggen.

4.4. De Afdeling begrijpt het betoog van [appellante] zo dat zij de opgelegde boete van € 6.000 nog steeds onevenredig hoog acht. De Afdeling zal het boetebesluit, dat op grond van Unierecht is genomen, mede gelet op artikel 83, eerste lid, van de AVG toetsen aan het Unierechtelijke evenredigheidsbeginsel.

De Afdeling stelt vast dat de boete aanzienlijk lager is vastgesteld dan de in de Boetebeleidsregels genoemde basisboete. Met de rechtbank is zij van oordeel dat de boete in dit geval terecht niet verdergaand is gematigd. Met de omstandigheden dat [appellante] privacybeleid had, te weten een intern Handboek gegevensbescherming uit mei 2018, een interne Handleiding voor AVG-verzoeken uit 2018 en een privacy statement op de website, heeft de Autoriteit al rekening gehouden. Naar het oordeel van de Afdeling kan niet worden gezegd dat [appellante] haar privacybeleid ook op orde had. De betrokkenen hebben hun verwijderverzoeken ingediend als antwoord op de mailings die zij van recruiters ontvingen. Hoewel de Handleiding voor AVG-verzoeken - kennelijk als vangnet voor het in het privacy statement genoemde e-mailadres [mailadres] - in zo’n situatie voorzag, zijn de instructies om een bevestiging te sturen en de manager in te lichten om de benodigde stappen te ondernemen niet (goed) opgevolgd. Ook al is dat niet opzettelijk gebeurd, hiervan valt [appellante] wel een verwijt te maken. Uit de e-mailcorrespondentie met de drie betrokkenen, die bij het onderzoeksrapport van 3 december 2019 zijn gevoegd, blijkt dat [appellante] ook geen gevolg gaf aan herhaalde verzoeken om verwijdering en de betrokkenen bleef benaderen voor vacatures. Niet is gebleken van willekeur. Dat de Autoriteit in de praktijk op zeer uiteenlopende boetes kan uitkomen, maakt de in dit geval opgelegde boete niet onevenwichtig.

Gelet op het doel van de AVG van een doeltreffende bescherming van persoonsgegevens, acht de Afdeling de boete van € 6.000 niet onevenredig.

4.5. Het betoog slaagt niet.

Openbaarmakingsbesluit

5.1. Op 1 mei 2022 is de Wet open overheid in werking getreden. Het besluit op bezwaar tegen het openbaarmakingsbesluit dat in deze procedure ter beoordeling staat, is genomen op 4 januari 2022, dus voor 1 mei 2022. Dat betekent dat voor de beoordeling van dit geding de Wob nog van toepassing is (zie de uitspraak van de Afdeling van 15 juni 2022, ECLI:NL:RVS:2022:1699, onder 1.2).

5.2. Zoals de Afdeling eerder heeft overwogen (onder meer de uitspraak van 13 oktober 2021, ECLI:NL:RVS:2021:2295 en de uitspraak van 10 november 2010, ECLI:NL:RVS:2010:BO3468) past bij de taak van een toezichthouder dat boetebesluiten worden gepubliceerd, zodat bekendheid wordt gegeven aan de wijze van uitvoering van deze taak en anderen worden gewaarschuwd. Ook in de situatie waarin wordt overgegaan tot een openbaarmaking uit eigen beweging op grond van artikel 8 van de Wob, moet een afweging van belangen plaatsvinden. Die afweging houdt in dit geval in dat het algemene belang dat met openbaarmaking wordt gediend, moet worden afgewogen tegen het belang van [appellante] om geen onevenredig nadeel te lijden als gevolg van de publicatie. Daarbij wordt aan het algemeen belang van openbaarmaking een groot gewicht toegekend.

5.3. De Autoriteit heeft aan haar bevoegdheid als bedoeld in artikel 8 van de Wob invulling gegeven door de Beleidsregels openbaarmaking door de Autoriteit Persoonsgegevens vast te stellen. Ingevolge artikel 2.1 van die beleidsregels verschaft de Autoriteit uit eigen beweging informatie over het beleid, daaronder begrepen de voorbereiding en uitvoering daarvan met het oog op (i) het tijdig en afdoende informeren van het publiek over overtredingen die hen persoonlijk (kunnen) treffen en de naleving van de geconstateerde overtredingen (ii) transparantie over zijn beleid en de uitvoering daarvan, (iii) het afleggen van verantwoording over de wijze waarop de Autoriteit van zijn bevoegdheden gebruik maakt, (iv) het effectueren van het beleid van de Autoriteit. Op grond van artikel 4.1 maakt de Autoriteit handhavingsbesluiten openbaar. De Autoriteit heeft toegelicht dat de generale preventieve werking die uitgaat van de openbaarmaking van het boetebesluit groter is dan een uitleg op de website van de Autoriteit over de regeling van de gegevenswissing. Uit die werkwijze blijkt namelijk dat de Autoriteit de naleving van die regeling daadwerkelijk afdwingt. Naar het oordeel van de Afdeling heeft de Autoriteit publicatie van het boetebesluit, gelet op de door haar nagestreefde doelen van algemeen belang, op zichzelf noodzakelijk mogen achten.

Met de rechtbank ziet de Afdeling geen grond voor het oordeel dat de Autoriteit in de omstandigheden van dit geval aanleiding had moeten zien om van publicatie af te zien, of te volstaan met een geanonimiseerde publicatie. De rechtbank heeft niet uitgesloten dat het besluit tot openbaarmaking reputatieschade tot gevolg kan hebben en heeft de mogelijk te verwachten financiële schade in haar afweging betrokken. De rechtbank heeft in haar beoordeling van het onevenredige nadeel voor [appellante] terecht het gestelde schadebedrag vergeleken met de omzet van [appellante] en niet met de hoogte van de boete. Daargelaten nog of het door [appellante] gestelde schadebedrag van € 300.000 per jaar aannemelijk is, is de vermeende benadeling mede gelet op haar omzet van € 18.000.000 per jaar, die de Autoriteit heeft berekend en [appellante] niet heeft weersproken, niet onevenredig. De Afdeling begrijpt dat de mogelijke schade als gevolg van de boete voor [appellante] als een straf voelt. Dit maakt het oordeel van de rechtbank in zoverre echter niet onjuist. Verder is de Afdeling met de Autoriteit van oordeel dat het publieke belang van openbaarmaking niet voldoende kan worden gediend door een geanonimiseerde openbaarmaking. De door [appellante] genoemde belangen, bezien in samenhang met de bijzondere omstandigheden die zij in het kader van het boetebesluit heeft aangedragen, zijn naar het oordeel van de Afdeling niet als een onevenredig nadeel aan te merken.

Het betoog slaagt niet.

Conclusie en proceskosten

Beslissing

De Afdeling bestuursrechtspraak van de Raad van State:

bevestigt de aangevallen uitspraak.

Aldus vastgesteld door mr. E.J. Daalder, lid van de enkelvoudige kamer, in tegenwoordigheid van mr. L.E.E. Konings, griffier.

w.g. Daalderlid van de enkelvoudige kamer

w.g. Koningsgriffier

Uitgesproken in het openbaar op 29 mei 2024

612

BIJLAGE | Wettelijk kader

Algemene Verordening Gegevensbescherming

Artikel 12 Transparante informatie, communicatie en nadere regels voor de uitoefening van de rechten van de betrokkene

Artikel 17 Recht op gegevenswissing („recht op vergetelheid")

Artikel 58 Bevoegdheden

Artikel 83 Algemene voorwaarden voor het opleggen van administratieve geldboeten

Wet openbaarheid van bestuur

Artikel 8

Artikel 10