Raad van State hanteert ruime definitie verantwoordelijke Wbp
Raad van State 8 september 2010, 200909350/1/H3 (LJN: BN6172). Stichting Universiteitsblad beheert een database met daarin persoonsgegevens. Toch oordeelt de Raad van State dat niet de stichting maar het college van bestuur van de Rijksuniversiteit Groningen verantwoordelijk is in de zin van de Wbp. Reden: het college is eigenaar van de domeinnaam van de website, hosting provider en gerechtigd om het bestuur van de stichting, de redactieraad, de hoofdredacteur/directeur en de redactiesecretaris te benoemen en te ontslaan. Met dank aan Polo van der Putt, Vondst Advocaten.
De Stichting Universiteitsblad beheert het online-archief van de Universiteitskrant Groningen, met daarin oude krantenberichten uit de universiteitskrant. X, wiens naam in een van de artikelen voorkomt, verzoekt het college van bestuur van de Rijksuniversiteit Groningen om zijn persoonsgegevens uit het online archief te verwijderen. Het college neemt het standpunt in dat de Stichting Universiteitsblad ten deze de verantwoordelijke is in de zin van de Wbp. De Raad van State gaat daar niet in mee:
"2.5.1 [...] Naar het oordeel van de Afdeling moet in dit geval het college als de verantwoordelijke worden aangemerkt. Daartoe overweegt zij als volgt.
De domeinnaam waarop de verwerking van de persoonsgegevens van [appellant] heeft plaatsgevonden is eigendom van de Rijksuniversiteit Groningen. Daarnaast heeft het college in zijn verweerschrift van 10 februari 2009 erkend dat de universiteit hosting provider is, en dat van het college verwacht mag worden aan de Stichting Universiteitsblad opdracht te geven om gegevens te verwijderen als deze evident onrechtmatig zijn. Bovendien worden ingevolge de statuten van de Stichting Universiteitsblad het bestuur van deze stichting, de redactieraad, de hoofdredacteur/directeur en de redactiesecretaris benoemd door het college en kan een bestuurslid te allen tijde worden ontslagen door het college. De Afdeling is op grond hiervan van oordeel dat het college het doel en de middelen kan bepalen voor de verwerking van persoonsgegevens en als verantwoordelijke in de zin van artikel 1, aanhef en onder d, van de Wbp dient te worden aangemerkt. Het college heeft zich derhalve ten onrechte op het standpunt gesteld dat het niet aan het verzoek van [appellant] kan voldoen omdat het niet de verantwoordelijke is voor de verwerking van zijn persoonsgegevens."
De Raad van State ziet geen reden om prejudiciële vragen te stellen over de uitleg van het begrip verantwoordelijke.
Betekent deze uitspraak nou ook dat bijvoorbeeld aandeelhouders van een besloten vennootschap die het bestuur kunnen aanstellen en ontslaan, verantwoordelijke zijn van de door de vennootschap verwerkte persoonsgegevens? Dat zou de privacy-wereld op zijn kop zetten!
Lees de uitspraak hier.