Conclusie AG: Religieuze gemeenschap kan worden aangemerkt als verwerker persoonsgegevens verzameld door Jehova getuigen

Conclusie AG 1 februari 2018, IT 2477; IEFbe 2473; C-25/17 (Jehova's getuigen) Privacy. Gelet op een en ander geef ik het Hof in overweging de door de Korkein hallinto-oikeus gestelde prejudiciële vragen te beantwoorden als volgt:

1)      Verkondigingswerk waarbij van deur tot deur wordt gegaan, zoals aan de orde in het hoofdgeding, valt niet onder de uitzonderingen van artikel 3, lid 2, eerste en tweede streepje, van richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens.

2)      Artikel 3, lid 1, van richtlijn 95/46, gelezen in samenhang met artikel 2, onder c), van die richtlijn, moet aldus worden uitgelegd dat een geheel van persoonsgegevens die door leden van een religieuze gemeenschap in het kader van activiteiten als in het hoofdgeding op basis van een bepaalde geografische opdeling worden verzameld op niet-geautomatiseerde wijze en dienen ter voorbereiding van latere bezoeken aan personen met wie een geestelijke dialoog is aangegaan, een bestand kan vormen.

3)      Artikel 2, onder d), van richtlijn 95/46 moet aldus worden uitgelegd dat een religieuze gemeenschap die verkondigingswerk organiseert waarbij persoonsgegevens worden verzameld, als voor de verwerking verantwoordelijke kan worden aangemerkt, hoewel zij zelf geen toegang heeft tot de door haar leden verzamelde persoonsgegevens. Schriftelijke instructies zijn niet vereist om te kunnen spreken van ,voor de verwerking verantwoordelijke’ in de zin van richtlijn 95/46, maar er moet, zo nodig aan de hand van een reeks aanwijzingen, worden vastgesteld of de verantwoordelijke in staat is daadwerkelijk invloed uit te oefenen op het verzamelen en verwerken van de persoonsgegevens. Dit staat ter beoordeling van de verwijzende rechter.

Gestelde vragen [IEF 2244]:

1. Dienen de in artikel 3, lid 2, van [richtlijn gegevensbescherming] vermelde situaties waarin de richtlijn niet van toepassing is, aldus te worden opgevat dat het verzamelen en nadien verwerken van persoonsgegevens door leden van een geloofsgemeenschap in het kader van hun verkondigingswerk (waarbij zij van deur tot deur gaan) niet binnen de werkingssfeer van de richtlijn valt? Welke betekenis komt bij de beoordeling van de toepasselijkheid van de richtlijn toe aan het feit dat de geloofsgemeenschap en haar gemeenten het verkondigingswerk in het kader waarvan de gegevens worden verzameld organiseren, alsook aan het feit dat het tegelijk gaat om de persoonlijke geloofsbeoefening door de leden van de geloofsgemeenschap? 

2. Dient de definitie van het begrip “bestand” in artikel 2, onder c), van de richtlijn gegevensbescherming, mede gelet op de overwegingen 26 en 27 van deze richtlijn, aldus te worden uitgelegd dat de totaliteit van de persoonsgegevens die in het kader van het hierboven beschreven verkondigingswerk (waarbij van deur tot deur wordt gegaan) op niet-geautomatiseerde wijze worden verzameld (namen, adressen en eventueel ook andere gegevens en kenmerken van de betrokken persoon), 
a) geen dergelijk bestand vormt, omdat cartotheken, registers of op soortgelijke ordeningssystemen die het opzoeken vergemakkelijken uitdrukkelijk niet onder de definitie van de Finse wet betreffende persoonsgegevens vallen, of 
b) wel een dergelijk bestand vormt, omdat uit de gegevens – gelet op hun doel – gemakkelijk en zonder onevenredige kosten daadwerkelijk de voor later gebruik benodigde informatie kan worden gehaald, zoals in de Finse wet betreffende persoonsgegevens is bepaald? 

3. Dient de in artikel 2, onder d), van de richtlijn gegevensbescherming vermelde zinsnede “die, respectievelijk dat, alleen of tezamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt” aldus te worden uitgelegd dat een geloofsgemeenschap die een activiteit waarbij persoonsgegevens worden verzameld organiseert (onder andere door de gebieden op te delen waarbinnen de verkondigers hun werk moeten verrichten, door het verkondigingswerk te monitoren en door registers bij te houden van personen die niet willen dat verkondigers hen bezoeken), in verband met deze activiteit van haar leden kan worden aangemerkt als verantwoordelijke voor de verwerking van persoonsgegevens, ondanks het feit dat de geloofsgemeenschap aanvoert dat enkel de individuele verkondigers toegang hebben tot de genoteerde informatie? 

4. Moet het voornoemde artikel 2, onder d), aldus worden uitgelegd dat de geloofsgemeenschap slechts als voor de verwerking verantwoordelijke kan worden aangemerkt indien zij andere specifieke maatregelen – zoals het geven van opdrachten of schriftelijke instructies – neemt waarmee zij de verzameling van gegevens stuurt, of volstaat het dat de geloofsgemeenschap daadwerkelijk een rol speelt bij de sturing van de activiteiten van haar leden? 

De derde en de vierde vraag hoeven slechts te worden beantwoord indien uit het antwoord op de eerste en de tweede vraag volgt dat de richtlijn toepasselijk is. De vierde vraag hoeft slechts te worden beantwoord indien op basis van het antwoord op de derde vraag niet kan worden uitgesloten dat artikel 2, onder d), van de richtlijn van toepassing is op een geloofsgemeenschap.

Afbeelding: CC-BY-SA 3.0. Robert de Jong