19 mrt 2021
AP ziet terecht af van verzoek tot handhaving AVG
Rechtbank Rotterdam 19 maart 2021, IT 3452, ECLI:NL:RBROT:2021:2304 (Eiser tegen Autoriteit Persoonsgegevens) Gegevensverwerker DEX Online Services is ingeschakeld om een ledenadministratie, met daarin persoonsgegevens van eiser, te automatiseren. Eiser heeft de Autoriteit Persoonsgegevens (AP) verzocht hiertegen op te treden, omdat deze van mening was dat de AVG werd overtreden. De AP heeft dit verzoek afgewezen. Hierop besluit eiser een vordering bij de rechtbank in te stellen. Primair voert hij aan dat er voor de verwerking van zijn gegevens eerst om zijn toestemming had moeten worden gevraagd op grond van artikel 6, eerste lid, onder a, van de AVG. De rechtbank wijst de vordering echter af en stelt o.a. dat er geen toestemming nodig was voor de verwerking in kwestie.
4.6. Naar het oordeel van de rechtbank stond het [naam partij] als verwerkingsverantwoordelijke vrij om te besluiten de persoonsgegevens binnen de organisatie te verwerken, of om de verwerkingen uit te besteden aan een externe organisatie als verwerker, zijnde in dit geval DEX Online Services. Dex Online Services kan zich in dat kader beroepen op de grondslag van de verwerkingsverantwoordelijke, [naam partij], waarbij [naam partij] verantwoordelijk blijft voor de verwerkingen die zij heeft uitbesteed aan Dex Online Services. In dat kader is ook een verwerkersovereenkomst, zoals bedoeld in artikel 28 van de AVG, tussen [naam partij] en Dex Online Services opgemaakt. Dat deze overeenkomst mogelijk geantidateerd kan zijn, zoals eiser ter zitting heeft gesteld, doet de rechtbank nog niet twijfelen aan de juistheid van (de totstandkoming van) deze overeenkomst. DEX Online Services was vervolgens gehouden om de persoonsgegevens indachtig de overeenkomst tussen eiser en [naam partij] te verwerken. In dat kader bestond er ook geen aanleiding om eiser separaat daarvoor om toestemming te vragen. Geheel ten overvloede merkt de rechtbank op dat, voor zover desalniettemin zou moeten worden geoordeeld dat het noodzakelijkheidsvereiste ook zou gelden ten opzichte van Dex Online Services, daaraan in dit geval wordt voldaan. In dat kader heeft [naam partij] ter zitting toegelicht dat de administratie eerst op papier en in Excel werd bijgehouden, maar dat vanwege de enorme groei van [naam partij] een andere wijze van administreren noodzakelijk was. In eerste instantie werd een secretaresse ingeschakeld, maar omdat dat geen financieel haalbare oplossing bleek, werd er – mede vanuit veiligheidsoogpunt – voor gekozen om de administratie in het vervolg via DEX Online Services te laten verlopen. De rechtbank ziet geen aanleiding hieraan te twijfelen, zodat de rechtbank geen grond ziet voor het oordeel dat het uitbesteden van de verwerkingen aan DEX Online Services niet noodzakelijk was. Ook rust, anders dan eiser bij wijze van subsidiair standpunt stelt, op DEX Online Services als verwerker geen verplichting om zich ervan te vergewissen dat [naam partij] als verwerkingsverantwoordelijke aan de in artikel 6 van de AVG gestelde verplichtingen voldeed.
4.7. Naar het oordeel van de rechtbank heeft verweerder zich op het standpunt kunnen stellen dat is voldaan aan de verantwoordingsplicht die [naam partij] heeft ten aanzien van de naleving van artikel 5, eerste lid, van de AVG. Zoals verweerder ter zitting heeft toegelicht is daar in dit geval invulling aan gegeven doordat de ondertekende verwerkingsovereenkomst tussen [naam partij] en DEX Online Services is overgelegd.
4.8. Naar het oordeel van de rechtbank heeft verweerder zich genoegzaam gemotiveerd op het standpunt gesteld dat niet is gebleken dat de persoonsgegevens van eiser zijn verwerkt in de YogiBit-app en dat het leden van [naam partij] vrijstaat om al dan niet gebruik te maken van deze app. Ter zitting is door [naam partij] bovendien aangegeven dat aan eiser alternatieven zijn aangeboden, zodat hij de app niet hoefde te gebruiken. Eiser heeft dat in beroep niet afdoende gemotiveerd betwist. Gelet op het voorgaande kan hetgeen eiser in beroep heeft aangevoerd ten aanzien van de invoering van zijn gegevens in de YogiBit-app niet slagen.
4.9. Gelet op het voorgaande heeft verweerder zich op goede gronden op het standpunt gesteld dat er geen evidente overtreding is van de AVG en dat er geen aanleiding is om de klacht van eiser nader te onderzoeken. De stellingen van eiser, dat hij zich als EU-burger niet beschermd voelt door verweerder en dat door [naam partij] en Dex Online Services tijdens de hoorzitting niet onderbouwde beweringen zijn gedaan, zoals dat eiser nieuwsbrieven met uitleg zou hebben ontvangen, leiden de rechtbank niet tot een ander oordeel, nu deze stellingen niet kunnen afdoen aan de rechtmatigheid van het bestreden besluit.