30 aug 2019
Geen schending van privacyregels bij gebruik ov-chipkaart
Rechtbank Midden-Nederland 30 augustus 2019, IT 2854; ECLI:NL:RBMNE:2019:4011 (ov-chipkaart) De Autoriteit Persoonsgegevens (AP) hoeft niet handhavend op te treden tegen de Nederlandse Spoorwegen (NS) omdat het spoorbedrijf de privacy van reizigers zou schenden. Een man uit Almere legde het verzoek tot handhaving bij de AP neer omdat de NS volgens hem in strijd handelt met de Wet bescherming persoonsgegevens. Deze wet is in 2018 opgevolgd door de AVG.
De Almeerder is verplicht om met zijn treinabonnement, een persoonlijke ov-chipkaart, in- en uit te checken. Hij stelt dat de NS hiermee zijn persoonsgegevens verwerkt terwijl dit volgens hem niet noodzakelijk is. Omdat hij op deze manier niet anoniem kan reizen, is hij van mening dat de NS zijn privacy schendt. Hij vroeg daarom de Autoriteit Persoonsgegevens handhavend op te treden tegen de NS, maar die wees dit verzoek af.
De bestuursrechter vindt dat de AP het verzoek van de Almeerder terecht heeft afgewezen. Volgens de AP is het niet aannemelijk dat de NS zich schuldig maakt aan het overtreden van de Wet bescherming persoonsgegevens. Zo is de verwerking van de persoonsgegevens bij het in- en uitchecken noodzakelijk voor de uitvoering van de overeenkomst die de man heeft met de NS. De NS moet namelijk kunnen controleren of is betaald voor het abonnement én of binnen het traject van het abonnement wordt gereisd. Verder is verwerking van de gegevens nodig om aanvragen op grond van de ‘Regeling geld terug bij vertraging’ te behandelen, te controleren en uit te keren. De Autoriteit Persoonsgegevens heeft voldoende gemotiveerd dat de NS de regels niet overtreedt. Bovendien stelt de AP dat het doel van de NS waarvoor de persoonsgegevens worden verwerkt, niet op een andere manier bereikt kan worden.
Artikel 8 van het Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden (EVRM)
12. Eiser heeft aangevoerd dat de gegevensverwerking van verweerder in strijd is met artikel 8 van het EVRM. Deze beroepsgrond treft geen doel. De rechtbank licht die conclusie als volgt toe. Met de totstandkoming van Wbp heeft de wetgever de Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (de Privacyrichtlijn)4geïmplementeerd. De grondslag van de Privacyrichtlijn is onder andere het EVRM. In de memorie van toelichting van de Wbp5 is verder ingegaan op de verhouding tussen het grondwettelijke recht op bescherming van het privéleven van artikel 8 van het EVRM en de Wbp. Artikel 8 van het EVRM eist dat als inbreuken op het privéleven plaatsvinden, deze voorzien moeten zijn in de wet en noodzakelijk moeten zijn op grond van een aantal nader aangegeven gronden. Bij de toepassing van in grondrechtenbepalingen opgenomen beperkingsclausules, zoals artikel 8 van het EVRM (en het later inwerking getreden artikel 8 van het Handvest van de grondrechten van de Europese Unie, hierna: Handvest), spelen het proportionaliteits- en subsidiariteitsbeginsel een belangrijke rol. Het evenredigheids- of proportionaliteitsbeginsel geldt rechtstreeks op grond van artikel 8 van het EVRM. Deze mede op de grondrechten gebaseerde beginselen nemen, zo blijkt verder uit de memorie van toelichting, in de Wbp een centrale positie in. Op veel plaatsen in deze wet wordt de verwerking van gegevens gebonden aan het noodzakelijkheidscriterium. De Wbp heeft hiermee onmiskenbaar een Europeesrechtelijke grondslag. De rechtbank ziet geen aanleiding om te oordelen dat de implementatie van de Privacyrichtlijn en artikel 8 van het EVRM in de Wbp onjuist is en oordeelt dat verweerder door vast te stellen dat NS de Wbp niet heeft overtreden, zij ook artikel 8 van het EVRM en het later in werking getreden artikel 8 van het Handvest niet heeft overtreden. Het betoog van eiser slaagt dus niet.