Blog

Stand-As-1-4-Privacy: Wettekst AVG schendt de AVG!

***Update: Uiteraard betrof dit een 1 aprilgrap!***

De Stichting Stand-As-1-4-Privacy heeft vandaag aangekondigd de EU te zullen dagvaarden: De wettekst van de AVG zou volgens de privacystichting inbreuk maken op de AVG.

In de AVG staan persoonsgegevens

Stichting Stand-As-1-4-Privacy stelt dat de wettekst van de AVG inbreuk maakt op de AVG, omdat er persoonsgegevens in de ondertekening van de AVG zijn verwerkt, zonder daarvoor aan de vereisten van de AVG te voldoen. De naam en de functie van de voorzitters van het Parlement en de Raad zijn immers expliciet genoemd in de ondertekening:

AVG ondertekening

 

De stichting meent dat zowel de namen als de functies in de ondertekening kwalificeren als persoonsgegevens. Door deze gegevens kunnen namelijk direct en indirect de betreffende personen worden geïdentificeerd. Immers, er is maar één voorzitter van het Europees Parlement, en maar één voorzitter van de Raad. Daarmee triggert de toepasselijkheid van de AVG.

 

Stichting Stand-As-1-4-Privacy

Over 54 dagen is de Algemene Verordening Gegevensbescherming (AVG, of in het Engels: GDPR) van toepassing. De Stichting Stand-As-1-4-Privacy strijdt vandaag voor de bescherming van de privacybelangen van betrokkenen met een publieke functie.

 

Schulz en Hennis-Plasschaert lijken tevens zelf betrokken te zijn bij de voorgenomen dagvaarding.

 

Grondslag voor de verwerking ontbreekt

Volgens de stichting heeft de EU – als verwerkingsverantwoordelijke – geen rechtvaardiging voor de verwerking van de persoonsgegevens. “De voorzitters hebben geen toestemming hebben gegeven voor de verwerking van hun persoonsgegevens. Onder de AVG dient toestemming vrijelijk en ondubbelzinnig te zijn gegeven. Dit vereist een actieve handeling.” Hiervan is volgens de stichting geen sprake.

 

“De ondertekening van verdragen en verordening is een standaardprocedure”, aldus de woordvoerder van de stichting. “Een toestemming kan in dat kader niet vrijelijk gegeven worden omdat de voorzitters niet vrij zijn in het geven van toestemming, vanwege hun arbeidsrelatie met de EU.”

 

De stichting onderbouwt stellig dat een werknemer in beginsel geen toestemming kan geven aan de werkgever voor de verwerking van zijn of haar persoonsgegevens. De werknemer voelt altijd enige druk van de werkgever om toestemming te geven, omdat sprake is van een gezagsverhouding. Deze toestemming is dus nooit geheel vrijelijk, en voldoet daarom niet aan de vereisten van de AVG.

 

Dit betekent dat de werkgever de verwerking van persoonsgegevens eigenlijk altijd op een andere grondslag moet baseren. Maar volgens de stichting ontbreekt ook een andere grondslag voor de verwerking. Ook zou de EU niet voldoen aan de transparantieplicht en het beginsel van doelbinding:

 

“Het is nooit aan mij verteld dat ik een verordening als deze zou moeten ondertekenen, althans dat mijn persoonsgegevens daarvoor gebruikt zouden worden”, aldus de voorzitter van het Parlement. “Volgens mij is er geen sprake van welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden voor de verzameling van mijn persoonsgegevens. Sterker nog, ze worden nu verder verwerkt voor doeleinden die onverenigbaar zijn met het oorspronkelijke doel waarvoor ze zijn verwerkt: mijn salarisuitbetaling!”

 

privacy advocaatPrivacy by design

Stand-As-1-4-Privacy geeft desondanks aan wel te begrijpen dat verdragen en verordeningen moeten worden ondertekend. Zij stelt zich echter op het standpunt dat deze procedure anders moet worden ingericht. Met name gezien het in de AVG opgenomen beginsel privacy by design.

 

Het begrip privacy by design is uitgewerkt in artikel 25 AVG. In dit artikel is bepaald dat al bij de ontwikkeling van producten, diensten of procedures rekening dient te worden gehouden met de privacy.

 

Stand-As-1-4-Privacy meent dat ook de ondertekeningsprocedure van het Parlement en de Raad aan dit beginsel dient te voldoen. De stichting geeft als voorbeeld dat de gegevens in de procedure van ondertekening standaard kunnen worden gepseudonimiseerd. “Het is niet nodig om de naam van de voorzitter te weten” “Veurzitter” of “Praeses” zou voldoende zijn, aldus de stichting. “Nu weet iedereen ter wereld dat ik de AVG heb ondertekend”, onderstreept de Voorzitter van de Raad. “Dat is toch niet nodig?”

 

Daarnaast is het nog maar de vraag of de verwerking van persoonsgegevens wel voldoet aan het beginsel van ‘minimale gegevensverwerking’. “Het is toch helemaal niet noodzakelijk om onze namen tot in de eeuwigheid onder de AVG gepubliceerd te hebben?” menen beide voorzitters. “Er zouden maatregelen moeten worden genomen om de verwerking in principe te beperken tot 25 mei 2020 – het evaluatiemoment van de AVG – en vervolgens iedere vier jaar daarna.”

 

Algemeen belang

De Stichting verwacht enige moeite met artikel 86 AVG, op grond waarvan persoonsgegevens in officiële documenten bekend mogen worden gemaakt in overeenstemming met het Unierecht omdat het publiek recht heeft op toegang daartoe. “Maar dat neemt niet weg dat de wettekst dus in overeenstemming met de AVG moet zijn”.

 

Nog geen reactie van de EU

De Stichting tracht daarom nog in overleg tot een oplossing te komen. Maar een reactie van de EU is vandaag nog niet bekend. “Waarschijnlijk kunnen ze onze contactgegevens niet vinden, aangezien we die onder de AVG niet zonder verwerkersovereenkomst mogen verstrekken aan derde partijen”.

Gerelateerde berichten