Gepubliceerd op dinsdag 10 juli 2018
IT 2599
HvJ EU ||
10 jul 2018
HvJ EU 10 jul 2018, IT 2599; ECLI:EU:C:2018:551 (Tietosuojavaltuutettu tegen Jehova's getuigen), https://www.itenrecht.nl/artikelen/hvj-eu-geloofsgemeenschap-is-samen-met-haar-leden-verantwoordelijk-voor-verwerking-van-persoonsgegev

HvJ EU: geloofsgemeenschap is samen met haar leden verantwoordelijk voor verwerking van persoonsgegevens die bij een van-huis-tot-huisverkondiging zijn verzameld

HvJ EU 10 juli 2018, IEFbe 2649; IT 2599; ECLI:EU:C:2018:551; C-25/17; (Tietosuojavaltuutettu tegen Jehova's getuigen) Privacy. Uit het persbericht: Een geloofsgemeenschap zoals de gemeenschap van Jehova’s getuigen is samen met haar leden-verkondigers verantwoordelijk voor de verwerking van persoonsgegevens die in het kader van een van-huis-tot-huisverkondiging zijn verzameld. Bij de in het kader van een dergelijke activiteit verrichte verwerking van persoonsgegevens moeten de regels van het Unierecht betreffende de bescherming van de persoonsgegevens in acht worden genomen

(Enkel Frans en Finstalig op het moment van publicatie)
1)L’article 3, paragraphe 2, de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, lu à la lumière de l’article 10, paragraphe 1, de la charte des droits fondamentaux de l’Union européenne, doit être interprété en ce sens que la collecte de données à caractère personnel effectuée par des membres d’une communauté religieuse dans le cadre d’une activité de prédication de porte-à-porte et les traitements ultérieurs de ces données ne constituent ni des traitements de données à caractère personnel mis en œuvre pour l’exercice d’activités visées à l’article 3, paragraphe 2, premier tiret, de cette directive ni des traitements de données à caractère personnel effectués par des personnes physiques pour l’exercice d’activités exclusivement personnelles ou domestiques, au sens de l’article 3, paragraphe 2, second tiret, de ladite directive.

2) L’article 2, sous c), de la directive 95/46 doit être interprété en ce sens que la notion de « fichier », visée par cette disposition, couvre un ensemble de données à caractère personnel collectées dans le cadre d’une activité de prédication de porte-à-porte, comportant des noms et des adresses ainsi que d’autres informations concernant les personnes démarchées, dès lors que ces données sont structurées selon des critères déterminés permettant, en pratique, de les retrouver aisément aux fins d’une utilisation ultérieure. Pour qu’un tel ensemble relève de cette notion, il n’est pas nécessaire qu’il comprenne des fiches, des listes spécifiques ou d’autres systèmes de recherche.

3) L’article 2, sous d), de la directive 95/46, lu à la lumière de l’article 10, paragraphe 1, de la charte des droits fondamentaux, doit être interprété en ce sens qu’il permet de considérer une communauté religieuse comme étant responsable, conjointement avec ses membres prédicateurs, des traitements de données à caractère personnel effectués par ces derniers dans le cadre d’une activité de prédication de porte-à-porte organisée, coordonnée et encouragée par cette communauté, sans qu’il soit nécessaire que ladite communauté ait accès aux données ni qu’il doive être établi qu’elle a donné à ses membres des lignes directrices écrites ou des consignes relativement à ces traitements.

Gestelde prejudiciele vragen (IT 2244)
1. Dienen de in artikel 3, lid 2, van [richtlijn gegevensbescherming] vermelde situaties waarin de richtlijn niet van toepassing is, aldus te worden opgevat dat het verzamelen en nadien verwerken van persoonsgegevens door leden van een geloofsgemeenschap in het kader van hun verkondigingswerk (waarbij zij van deur tot deur gaan) niet binnen de werkingssfeer van de richtlijn valt? Welke betekenis komt bij de beoordeling van de toepasselijkheid van de richtlijn toe aan het feit dat de geloofsgemeenschap en haar gemeenten het verkondigingswerk in het kader waarvan de gegevens worden verzameld organiseren, alsook aan het feit dat het tegelijk gaat om de persoonlijke geloofsbeoefening door de leden van de geloofsgemeenschap?
2. Dient de definitie van het begrip “bestand” in artikel 2, onder c), van de richtlijn gegevensbescherming, mede gelet op de overwegingen 26 en 27 van deze richtlijn, aldus te worden uitgelegd dat de totaliteit van de persoonsgegevens die in het kader van het hierboven beschreven verkondigingswerk (waarbij van deur tot deur wordt gegaan) op niet-geautomatiseerde wijze worden verzameld (namen, adressen en eventueel ook andere gegevens en kenmerken van de betrokken persoon), a) geen dergelijk bestand vormt, omdat cartotheken, registers of op soortgelijke ordeningssystemen die het opzoeken vergemakkelijken uitdrukkelijk niet onder de definitie van de Finse wet betreffende persoonsgegevens vallen, of b) wel een dergelijk bestand vormt, omdat uit de gegevens – gelet op hun doel – gemakkelijk en zonder onevenredige kosten daadwerkelijk de voor later gebruik benodigde informatie kan worden gehaald, zoals in de Finse wet betreffende persoonsgegevens is bepaald?
3. Dient de in artikel 2, onder d), van de richtlijn gegevensbescherming vermelde zinsnede “die, respectievelijk dat, alleen of tezamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt” aldus te worden uitgelegd dat een geloofsgemeenschap die een activiteit waarbij persoonsgegevens worden verzameld organiseert (onder andere door de gebieden op te delen waarbinnen de verkondigers hun werk moeten verrichten, door het verkondigingswerk te monitoren en door registers bij te houden van personen die niet willen dat verkondigers hen bezoeken), in verband met deze activiteit van haar leden kan worden aangemerkt als verantwoordelijke voor de verwerking van persoonsgegevens, ondanks het feit dat de geloofsgemeenschap aanvoert dat enkel de individuele verkondigers toegang hebben tot de genoteerde informatie?
4. Moet het voornoemde artikel 2, onder d), aldus worden uitgelegd dat de geloofsgemeenschap slechts als voor de verwerking verantwoordelijke kan worden aangemerkt indien zij andere specifieke maatregelen – zoals het geven van opdrachten of schriftelijke instructies – neemt waarmee zij de verzameling van gegevens stuurt, of volstaat het dat de geloofsgemeenschap daadwerkelijk een rol speelt bij de sturing van de activiteiten van haar leden? De derde en de vierde vraag hoeven slechts te worden beantwoord indien uit het antwoord op de eerste en de tweede vraag volgt dat de richtlijn toepasselijk is. De vierde vraag hoeft slechts te worden beantwoord indien op basis van het antwoord op de derde vraag niet kan worden uitgesloten dat artikel 2, onder d), van de richtlijn van toepassing is op een geloofsgemeenschap.