Zijn er eigenlijk wel gevallen waarin de AVG niet van toepassing is?

De AVG is op vrijwel iedere verwerking van persoonsgegevens van toepassing, maar er zijn uitzonderingen! In dit artikel gaan we in op de vraag wáár en in welke gevallen de AVG van toepassing is. Met name artikel 2 en 3 van de AVG zijn bepalend.

In welke gevallen is de AVG van toepassing? (materiële reikwijdte)

De AVG is van toepassing op de geheel of gedeeltelijk geautomatiseerde verwerking en op de verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen (art. 2, lid 1, AVG).

Persoonsgegevens zien op informatie over een geïdentificeerde of identificeerbare natuurlijke persoon. Het gaat om directe informatie over iemand of informatie die naar deze persoon te herleiden is. Gegevens van overleden personen of van organisaties worden niet gekwalificeerd als persoonsgegevens. Verwerking van persoonsgegevens ziet op het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens (art. 4, lid 2, AVG).

De AVG is van toepassing op alle vormen van geautomatiseerde verwerking. Zo volgt uit het Lindqvist-arrest dat het plaatsen van persoonsgegevens op internetpagina’s als geheel of gedeeltelijk geautomatiseerde verwerking wordt aangemerkt.[1]

Niet-geautomatiseerde persoonsgegevens vallen niet onder de AVG, maar indien deze in een bestand zijn opgenomen (of bestemd zijn hiervoor) vallen ze daar wel onder. Een bestand is elk gestructureerd geheel van persoonsgegevens die volgens bepaalde criteria toegankelijk zijn, ongeacht of dit geheel gecentraliseerd of gedecentraliseerd is dan wel op functionele of geografische gronden is verspreid (art. 4, lid 6, AVG). Onder bestand valt ook een geheel van in het kader van een van-huis-tot-huisverkondiging verzamelde persoonsgegevens, bestaande uit de naam en het adres van en andere informatie over de aan huis bezochte personen die gestructureerd zijn. Met gestructureerd wordt bedoeld dat persoonsgegevens gemakkelijk kunnen worden teruggevonden. Om onder dit begrip te vallen hoeft een dergelijk geheel geen steekkaarten, specifieke lijsten of andere ordeningssystemen te omvatten.[2]

De AVG is niet van toepassing in geval van een niet-geautomatiseerde persoonsgegevens die niet zijn (of worden) opgenomen in een bestand zoals losse notitie briefjes.

De verordening is van toepassing op gegevensverwerkingen door gerechten en rechterlijke autoriteiten. De bevoegdheden van toezichthoudende autoriteiten mogen zich niet uitstrekken tot de verwerking van persoonsgegevens door gerechten in het kader van hun gerechtelijke taken. Dit ziet op de bevordering van de rechterlijke onafhankelijkheid (art. 55, lid 3 en overweging 20, AVG).

Ook blijft de AVG van toepassing op de richtlijn inzake elektronische handel (2000/31/EG). De aansprakelijkheid van hosters, Internet Service Providers of platforms (art. 12-15, richtlijn inzake elektronische handel (2000/31/EG)) wordt echter beperkt. Zo zijn ze niet aansprakelijk voor onrechtmatig verwerkte persoonsgegevens en is de AVG dus deels niet van toepassing op deze partijen.

De uitzonderingen – in welke gevallen is de AVG niet van toepassing?

De AVG is niet van toepassing op de volgende verwerkingen van persoonsgegevens.

Inlichtingen- en veiligheidsdiensten

De AVG is niet van toepassing op activiteiten die binnen de werkingssfeer van de Wet op de inlichtingen- en veiligheidsdiensten 2017 vallen (art. 3, lid 2, UAVG). Het verrichten van onderzoek met betrekking tot organisaties en personen (die door de doelen die zij nastreven, dan wel door hun activiteiten aanleiding geven tot het ernstige vermoeden dat zij een gevaar vormen voor het voortbestaan van de democratische rechtsorde) is hier een voorbeeld van.

De AVG is echter wel van toepassing als het gaat om activiteiten van inlichtingen- en veiligheidsdiensten die niet onder Wet op de inlichtingen- en veiligheidsdiensten 2017 vallen. Denk bijvoorbeeld aan de bedrijfsvoering bij deze organisaties.

Defensie

De AVG is niet van toepassing op activiteiten die binnen de werkingssfeer van titel V, hoofdstuk 2, VEU vallen voor zover deze ziet op de verwerking van persoonsgegevens door de krijgsmacht en de minister van Defensie hiertoe beslist met het oog op de inzet of het ter beschikking stellen van de krijgsmacht ter uitvoering van de in artikel 97 van de Grondwet omschreven taken (art. 3, lid 3, sub a, UAVG en art. 2, lid 2, sub b, AVG).

Bijvoorbeeld: het is niet altijd mogelijk (of wenselijk) om alle bepalingen onverkort toe te passen in geval van internationale militaire operaties.

Zuiver persoonlijke of huishoudelijke activiteit

Door een natuurlijke persoon bij de uitoefening van een zuiver persoonlijke of huishoudelijke activiteit (art. 2, lid 2, sub c, AVG). Dit behelst de activiteiten van de persoon die de gegevens verwerkt, niet de persoon wiens gegevens worden verwerkt.[3] In het Jehova’s getuigen-arrest is bepaald dat geen sprake is van gegevensverwerking voor persoonlijke of huishoudelijke doeleinden indien het gaat om het verzamelen en/of latere verwerking van persoonsgegevens door leden van een geloofsgemeenschap.[4]

Bijvoorbeeld: het bijhouden van een privéadressenboekje op je computer of het voeren van privécorrespondentie (overweging 18, AVG). Veel mensen houden voor hun werk eigen lijstjes bij zoals adresbestanden van personen met wie zij regelmatig contact onderhouden. Dit kan gekwalificeerd worden als een persoonlijke aantekening, aangezien het als geheugensteun dient. Het valt dan onder de uitzondering voor persoonlijke activiteiten.[5]

Casus: in het Lindqvist-arrest wordt duidelijk dat het opnemen van naam- en andere gegevens op een website moet worden aangemerkt als een geautomatiseerde verwerking van persoonsgegevens. Er is geen sprake van een persoonlijke of huishoudelijke activiteit die tot het persoonlijke of gezinsleven van particulieren behoren, maar van de verwerking van persoonsgegevens die door openbaarmaking op internet voor een onbepaald aantal personen toegankelijk worden gemaakt. De AVG is dus gewoon van toepassing.[6]

Politie en justitie

Door de bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid (art. 2, lid 2, sub d, AVG en overweging 19 AVG).

Kort gezegd, zijn op de verwerking van persoonsgegevens door politie en het OM is de Wet politiegegevens (Wpg) en de Wet justitiële en strafvorderlijke gegevens (Wjsg) van toepassing.

Verwerkingen door de EU

Op de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie is Verordening (EU) nr. 2018/1725 van toepassing (art. 2, lid 3, AVG). Dit geldt voor de volgende instanties: de Europese Commissies en de in Nederland gevestigde EU-instituties zoals de Europol, Eurojust en het EMA. Verordening (EU) nr. 2018/1725 en andere rechtshandelingen van de Unie zijn aan de beginselen en regels van de AVG aangepast en worden in het licht daarvan toegepast (overweging 17, AVG).

Waar is de AVG van toepassing? (territoriale reikwijdte)

Artikel 3 van de AVG bepaalt waar de AVG van toepassing is.  De AVG is van toepassing op de verwerking van persoonsgegevens in het kader van de activiteiten van een vestiging van een verwerkingsverantwoordelijke of een verwerker in de Unie, ongeacht of de verwerking in de Unie al dan niet plaatsvindt.

In welke gevallen is sprake van een ‘vestiging’

De AVG is van toepassing op (ook  buitenlandse!) organisaties die zijn gevestigd in EU-landen. Dit is als gevolg van de activiteiten van een vestiging van een verwerkingsverantwoordelijke of een verwerker in de Unie, ongeacht of de verwerking al dan niet in de Unie plaatsvindt (art. 3, lid 1, AVG). Het is dan ook belangrijk om in overweging te nemen of de verwerking van persoonsgegevens plaatsvindt “in het kader van de activiteiten van” een dergelijke vestiging. Dit kun je bepalen door de relatie tussen een verwerkingsverantwoordelijke/verwerker buiten de Unie en diens lokale vestiging in de Unie te bestuderen. Daarnaast kun je kijken naar de gegenereerde inkomsten in de Unie.[7]

Een vestiging houdt in dat er effectief en daadwerkelijk activiteiten worden uitgeoefend via bestendige verhoudingen, zelfs als die activiteiten gering zijn. Een handelsagent kan ook als ‘vestiging’ kwalificeren indien deze belast is met het innen van gelden in verband met een internetdienst en hij de verwerkingsverantwoordelijke vertegenwoordigt bij geschillen.[8]

• Voorbeeld: Samsung die een vestiging heeft in Nederland en vervolgens persoonsgegevens opslaat van Nederlandse klanten. De AVG is van toepassing ongeacht of de verwerking als gevolg van die specifieke activiteiten in de EU of Zuid-Korea plaatsvindt (overweging 22, AVG).
• Casus: Uit het Costeja-arrest volgt dat het Hof het argument verwerpt dat de AVG niet van toepassing is nu Google Inc. gevestigd is in de Verenigde Staten. Google Inc heeft een vestiging in Spanje (Google Spain) waarbij Google Spain activiteiten verricht ter ondersteuning van Google Inc., waardoor de AVG wel van toepassing is. Google komt dus niet onder haar verplichtingen als verantwoordelijke uit door te zeggen dat zij niet gehouden is aan de Europese wet- en regelgeving.[9]

Het Caribische deel van het Koninkrijk

Over het algemeen wordt er vanuit gegaan dat de AVG niet van toepassing is op de BES-eilanden en in de andere landen binnen het Koninkrijk (Curaçao, Aruba en Sint-Maarten). Het is de vraag of dat standpunt vol te houden is.[10]Op de BES-eilanden is de Wet bescherming persoonsgegevens BES van toepassing en in de andere landen zijn er landsverordeningen van toepassing.

Aanbieden van goederen of diensten aan betrokkenen in de Unie

De AVG is van toepassing op persoonsgegevens van betrokkenen die zich in de Unie bevinden en worden verwerkt door een niet in de Unie gevestigde verwerkingsverantwoordelijke of verwerker. Dit is het geval wanneer de verwerking verband houdt met het aanbieden van goederen of diensten aan deze betrokkenen in de Unie, ongeacht of een betaling door de betrokkenen is vereist (art. 3, lid 2, sub a, AVG).

Om te bepalen of sprake is van het aanbieden van goederen of diensten moet onder andere gekeken worden naar de toegankelijkheid van de website in de Unie van de verwerker en het toepassen van een andere valuta die gebruikt wordt in andere lidstaten. Als bijvoorbeeld duidelijk wordt dat het mogelijk is om middels de euro te betalen op een website of dat de site van de verwerkingsverantwoordelijke vertaald kan worden naar een voor de betrokkene te begrijpen taal, kun je vaststellen dat dit verband houdt met het aanbieden van goederen of diensten aan deze betrokkenen in de Unie. Verwerking van persoonsgegevens in verband met onbewuste of incidentele levering van goederen of diensten aan een persoon op het grondgebied van de Unie valt niet binnen het territoriale toepassingsgebied van de AVG.

Voorbeeld: Een in de VS gevestigde start-up zonder bedrijfsaanwezigheid of vestiging in de EU biedt een applicatie met stadsplattegronden voor toeristen aan. De applicatie verwerkt persoonsgegevens met betrekking tot de locatie van de gebruikers (de betrokkenen) zodra zij de applicatie beginnen te gebruiken in de stad die zij bezoeken, om zo gerichte advertenties te kunnen tonen voor restaurants, bars, hotels en andere plaatsen die zij kunnen bezoeken. De applicatie is beschikbaar voor toeristen die New York, San Francisco, Toronto, Parijs of Rome bezoeken (overweging 23, AVG).[11]

Monitoren van gedrag van betrokkenen in de Unie

Organisaties die gevestigd zijn buiten de EU en die persoonsgegevens van EU-burgers verwerken middels monitoring (art. 3, lid 2, sub b, AVG). Dit is bijvoorbeeld monitoring van of regelmatige verslaglegging over de gezondheidstoestand van een persoon. Monitoring ten behoeve van gedragsgerichte advertenties komt vaak voor.

Voorbeeld: Een in Canada gevestigde ontwikkelaar van een app zonder vestiging in de Unie monitort het gedrag van betrokkenen in de Unie en valt daarom onder de AVG. De ontwikkelaar maakt gebruik van een in de VS gevestigde verwerker voor de optimalisatie en het onderhoud van de app (overweging 24, AVG).[12]

Buiten de Unie waar het lidstatelijke recht van toepassing is

De verwerking van persoonsgegevens door een verwerkingsverantwoordelijke die niet in de Unie is gevestigd, maar op een plaats waar krachtens het internationaal publiekrecht het lidstatelijke recht van toepassing is (art. 3, lid 3, AVG). Dit is vaak een consulaire post of diplomatieke vertegenwoordiging.

Voorbeeld: Het Nederlandse consulaat in Kingston, Jamaica, opent een online sollicitatieproces voor de werving van lokaal personeel ter ondersteuning van zijn administratie. Hoewel het Nederlandse consulaat in Kingston, Jamaica, niet in de Unie is gevestigd, is de AVG op grond van artikel 3, lid 3, toch van toepassing op zijn verwerking van persoonsgegevens vanwege het feit dat het een consulaire post van een EU-land betreft waar het lidstatelijke recht van toepassing is (overweging 25, AVG).[13]

Samenvatting reikwijdte

Kortom, de AVG heeft een brede reikwijdte. Het is daarom van belang om de veelzijdigheid goed te bestuderen. De materiële reikwijdte is dus gericht op geheel of gedeeltelijke geautomatiseerde verwerking van persoonsgegevens en maakt duidelijk op welke handelingen de AVG van toepassing is. Er zijn echter uitzonderingen m.b.t. de verwerkingen:

• In het kader van activiteiten die binnen de werkingssfeer van Wet op de inlichtingen- en veiligheidsdiensten 2017 vallen (art. 3, lid 2, UAVG).
• Bij activiteiten binnen de werkingssfeer van titel V, hoofdstuk 2, VEU voor zover deze ziet op de verwerking van persoonsgegevens door de krijgsmacht en de minister van Defensie.
• Bij de uitoefening van een zuiver persoonlijke of huishoudelijke activiteit.
• Door instellingen, organen en instanties van de Unie.

Het territoriale toepassingsgebied maakt duidelijk waar de AVG van toepassing is en maakt een onderscheid tussen vestiging van verwerkingsverantwoordelijken/verwerkers in en buiten de Unie. Wat betreft het Caribische deel van het Koninkrijk Bovendien zie je de brede reikwijdte terug in het feit dat lidstatelijk recht middels internationaal publiekrecht veel wordt toegepast.

Voetnoten

[1] HvJ EU 6 november 2003, C-101/01, NJ 2004/248 (Lindqvist), r.o. 26-28.

[2] HvJ EU 10 juli 2018, ECLI:EU:C:2018:551, m.nt. S.E. Reinders Folmer (Jehovan todistajat), r.o. 62-63.

[3] HvJ EU 11 december 2014, C‑212/13, ECLI:EU:C:2014:2428 (Ryneš), r.o. 31 en 33.

[4] HvJ EU 10 juli 2018, C-25/17, ECLI:EU:C:2018:551 (Jehova’s getuigen), r.o. 51.

[5] Kamerstukken II 2017/18, 34851, 7, p. 10; Kamerstukken II 1997/98, 25892, 3, p. 70.

[6] HvJ EU 6 november 2003, C-101/01, NJ 2004/248 (Lindqvist), r.o. 47.

[7] EDPB 12 november 2019, richtsnoeren 3/2018, p. 6-9.

[8] HvJ EU 1 oktober 2016, C-230/14, ECLI:EU:C:2015:639 (Weltimmo).

[9] CJEU 13 May 2014, C-131/12 (Google Spain SL, Google Inc. v Agencia Española de Protección de Datos, Mario Costeja González), r.o. 44-50.

[10] https://www.linkedin.com/pulse/de-avg-ook-van-toepassing-op-het-caribische-deel-wessel-geursen/

[11] EDPB 12 november 2019, richtsnoeren 3/2018 over het territoriale toepassingsgebied van de AVG (artikel 3), p. 17.

[12] EDPB 12 november 2019, richtsnoeren 3/2018 over het territoriale toepassingsgebied van de AVG (artikel 3), p. 23.

[13] EDPB 12 november 2019, richtsnoeren 3/2018 over het territoriale toepassingsgebied van de AVG (artikel 3), p. 25.

Foto door Gemma Evans op Unsplash