Mag de curator zomaar uw persoonsgegevens opnemen in faillissementsverslagen?

Met de immer groeiende focus op bescherming van persoonsgegevens, in samenhang met de nieuwe Europese Privacy Verordening – de Algemene Verordening Gegevensbescherming (General Data Protection Regulation) – en de reeds sinds 2000 geldende Nederlandse Wet bescherming persoonsgegevens, bestaat een interessante uitspraak van de Raad van State over bescherming van de privacy van derden in openbaar gepubliceerde faillissementsverslagen.

Op 19 oktober 2016 oordeelde de Raad van State dat een curator ervoor moet zorgen dat persoonsgegevens in faillissementsverslagen (i) niet zonder meer toegankelijk zijn en (ii) dat deze niet (zonder nadere specificering) kunnen worden gevonden via zoekmachines.

Wat was er aan de hand? Een rechtskundig adviseur verzorgde debiteurenincasso’s voor een onderneming. In 2010 ging de onderneming failliet. In het faillissementsverslag van de curator werd de adviseur met naam en toenaam genoemd. De adviseur verzocht de Autoriteit Persoonsgegevens (‘AP’) om handhaving van de bescherming van zijn persoonsgegevens, oftewel: verwijdering van zijn gegevens uit de openbare faillissementsverslagen wegens een onaanvaardbare inbreuk op zijn recht op bescherming van zijn persoonlijke levenssfeer (art. 8 EVRM: het recht op privacy).

De AP weigerde, bezwaar mocht niet baten, dus ging de adviseur in beroep bij de rechtbank. Ook die zag kennelijk de noodzaak niet in. Pas in hoger beroep bij de Afdeling Bestuursrechtspraak van de Raad van State kreeg de adviseur gelijk. De Raad van State verwijst naar een brief van de AP uit 2005, waarin is aangegeven dat onbeperkte toegang tot faillissementsverslagen een ruimer gebruik van persoonsgegevens mogelijk maakt dan nodig voor het doel van de publicaties. Het faillissementsverslag waar het om draaide was gepubliceerd zowel op de website van het kantoor van de curator als op de website van de Raad voor de Rechtspraak (insolventies.rechtspraak.nl) en vrij toegankelijk voor eenieder.

Volgens de Raad van State was de opname van de persoonsgegevens van de adviseur in strijd met het noodzakelijkheidsvereiste van de Wet bescherming persoonsgegevens: verwerking mag niet verder gaan dan strikt noodzakelijk voor het doel van de verwerking (art. 11 lid 1 Wbp). Kortom: de curator moet ervoor zorgen dat de persoonsgegevens die hij besluit op te nemen in zijn verslagen niet makkelijk kunnen worden gevonden door die gegevens te anonimiseren of doordat ze slechts vindbaar zijn door het invoeren van specifieke (combinaties van) zoektermen in zoekmachines.

Bron: Sophie den Held, 19 september 2017

Heeft u vragen over de nieuwe Europese Verordening en gebruik van persoonsgegevens in uw dagelijkse praktijk? Of worstelt u met een privacy policy, bewaartermijnen of de Wet meldplicht datalekken? De Privacy Desk van Ekelmans & Meijer Advocaten is gespecialiseerd in het privacy proof maken van uw bedrijfsvoering. Kijk op de website voor meer informatie en onze contactgegevens: Privacyrecht.
 
Privacy Desk Alert - september 2017
kennis