Uitspraak
RECHTBANK DEN HAAG
Bestuursrecht
zaaknummer: SGR 15/9125
uitspraak van de meervoudige kamer van 22 november 2016 in de zaak tussen
WhatsApp Inc., (rechtspersoon naar buitenlands recht) gevestigd te Mountain View, Californië (Verenigde Staten), eiseres
(gemachtigde: mr. Q.R. Kroes en mr. M.P.F. Reker),
en
Autoriteit Persoonsgegevens, verweerder
(gemachtigden: mr. R.W. Veldhuis en mr. N.N. Bontje).
Procesverloop
Bij besluit van 22 juli 2014 (het primaire besluit) heeft verweerder, voor zover thans van belang, aan eiseres een last onder dwangsom opgelegd wegens handelen in strijd met
artikel 4, derde lid, van de Wet bescherming persoonsgegevens (Wbp).
artikel 4, derde lid, van de Wet bescherming persoonsgegevens (Wbp).
Bij besluit van 3 november 2015 (het bestreden besluit) heeft verweerder het bezwaar van eiseres ongegrond verklaard.
Eiseres heeft tegen het bestreden besluit beroep ingesteld.
Verweerder heeft een verweerschrift ingediend.
Het onderzoek ter zitting heeft plaatsgevonden op 11 oktober 2016.
Eiseres en verweerder hebben zich laten vertegenwoordigen door hun gemachtigden.
Overwegingen
1. Eiseres is de ontwikkelaar van de mobiele communicatie-applicatie (app) Whatsapp, een veel gebruikte instant messaging app voor smartphones. Het uitwisselen van berichten via de app is gratis. Er zijn miljoenen Nederlandse gebruikers. Verweerder heeft een onderzoek ingesteld omdat volgens hem via de app op smartphones in Nederland persoonsgegevens worden verwerkt van zogenaamde
non-users, nu gebruikers van de app toegang geven tot hun elektronische adresboek, inclusief de mobiele telefoonnummers van contacten die de app niet gebruiken.
non-users, nu gebruikers van de app toegang geven tot hun elektronische adresboek, inclusief de mobiele telefoonnummers van contacten die de app niet gebruiken.
De mobiele nummers waartoe de app toegang verkrijgt, worden door eiseres vergeleken met de zogenoemde
user tabelop haar servers in de Verenigde Staten, waarin de mobiele telefoonnummers van alle gebruikers van de app staan opgeslagen. De mobiele telefoonnummers van non-users worden door eiseres op haar servers opgeslagen in versleutelde vorm. In het bestreden besluit heeft verweerder geconcludeerd dat de verwerking van persoonsgegevens van de non-users voldoet aan de eisen die de Wbp stelt.
user tabelop haar servers in de Verenigde Staten, waarin de mobiele telefoonnummers van alle gebruikers van de app staan opgeslagen. De mobiele telefoonnummers van non-users worden door eiseres op haar servers opgeslagen in versleutelde vorm. In het bestreden besluit heeft verweerder geconcludeerd dat de verwerking van persoonsgegevens van de non-users voldoet aan de eisen die de Wbp stelt.
2. In het bestreden besluit heeft verweerder de in het primaire besluit opgelegde last onder dwangsom gehandhaafd, voor zover eiseres handelt in strijd met artikel 4, derde lid, van de Wbp. Uit dat artikel volgt volgens verweerder dat eiseres een vertegenwoordiger binnen Nederland moet aanwijzen. In het geval van niet naleving van deze last vóór het einde van de begunstigingstermijn is eiseres een dwangsom verschuldigd van € 10.000,- per dag dat niet aan de last is voldaan met een maximum van € 1.000.000,-. De begunstigingstermijn bedraagt drie maanden na dagtekening van het bestreden besluit en is door verweerder geschorst totdat door de rechtbank uitspraak is gedaan op onderhavig beroep.
Juridisch kader
3. In artikel 4, eerste lid, aanhef en onder c, van Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (richtlijn), is bepaald dat elke Lid-Staat zijn nationale, ter uitvoering van deze richtlijn vastgestelde bepalingen toepast op de verwerking van persoonsgegevens indien de voor de verwerking verantwoordelijke persoon niet is gevestigd op het grondgebied van de Gemeenschap en voor de verwerking van persoonsgegevens gebruik maakt van al dan niet geautomatiseerde middelen die zich op het grondgebied van genoemde Lid-Staat bevinden, behalve indien deze middelen op het grondgebied van de Europese Gemeenschap slechts voor doorvoer worden gebruikt.
In het tweede lid is bepaald dat in de in lid 1, onder c) bedoelde omstandigheden de voor de verwerking verantwoordelijke een op het grondgebied van de betrokken Lid-Staat gevestigde vertegenwoordiger moet aanwijzen, onverminderd rechtsvorderingen die tegen de voor de verwerking verantwoordelijke zelf kunnen worden ingesteld.
In artikel 1 van de Wbp is bepaald dat in die wet en de daarop berustende bepalingen wordt verstaan onder:
a. persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon;
b. verwerking van persoonsgegevens: elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens;
[…];
d. verantwoordelijke: de natuurlijke persoon, rechtspersoon of ieder ander die of het bestuursorgaan dat, alleen of tezamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt;
e. bewerker: degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen;
f. betrokkene: degene op wie een persoonsgegeven betrekking heeft;
g. derde: ieder, niet zijnde de betrokkene, de verantwoordelijke, de bewerker, of enig persoon die onder rechtstreeks gezag van de verantwoordelijke of de bewerker gemachtigd is om persoonsgegevens te verwerken.
In artikel 2, tweede lid, aanhef en onder a, van de Wbp is bepaald dat de wet niet van toepassing is op de verwerking van persoonsgegevens ten behoeve van activiteiten met uitsluitend persoonlijke of huishoudelijke doeleinden.
In artikel 4, tweede lid, van de Wbp is bepaald dat deze wet van toepassing is op de verwerking van persoonsgegevens door of ten behoeve van een verantwoordelijke die geen vestiging heeft in de Europese Unie, waarbij gebruik wordt gemaakt van al dan niet geautomatiseerde middelen die zich in Nederland bevinden, tenzij deze middelen slechts worden gebruikt voor de doorvoer van persoonsgegevens.
In het derde lid is bepaald dat het een verantwoordelijke als bedoeld in het tweede lid is verboden persoonsgegevens te verwerken, tenzij hij in Nederland een persoon of instantie aanwijst die namens hem handelt overeenkomstig de bepalingen van deze wet. Voor de toepassing van deze wet en de daarop rustende bepalingen, wordt hij aangemerkt als de verantwoordelijke.
4. Eiseres voert aan dat verweerder haar ten onrechte een last onder dwangsom heeft opgelegd. Daartoe voert eiseres het volgende aan:
Strijd met de richtlijn
5. Volgens eiseres is artikel 4, derde lid, van de Wbp strijdig met de richtlijn. Daartoe betoogt eiseres dat ingevolge artikel 4, tweede lid, van de richtlijn uitsluitend een vertegenwoordiger in een lidstaat moet worden aangewezen, terwijl artikel 4, derde lid, van de Wbp verder gaat door te bepalen dat die vertegenwoordiger ook aan de Wbp dient te voldoen en geacht wordt de verantwoordelijke te zijn. Anders dan verweerder veronderstelt heeft het Hof van Justitie van de EU (HvJ) meermaals bevestigd dat de richtlijn in beginsel dient te leiden tot volledige harmonisatie en dat de lidstaten alleen van de richtlijn kunnen afwijken als de richtlijn uitdrukkelijk een dergelijke mogelijkheid daartoe biedt. Daarvan is in dit geval geen sprake, aldus eiseres. Nu in de richtlijn enkel wordt gesproken van een lokale vertegenwoordiger in het kader van de informatieverplichtingen van de vertegenwoordiger en in het kader van de meldplicht aan de privacytoezichthouder gaat voormelde bepaling van de Wbp verder dan de richtlijn en is deze aldus onverbindend.
5.1.
De rechtbank overweegt als volgt.
Het HvJ heeft in het arrest van 6 november 2003, C-101/01, Lindqvist overwogen dat uit punt 8 van de considerans van de richtlijn blijkt dat de richtlijn de bescherming van de rechten en vrijheden van personen voor wat betreft de verwerking van persoonsgegevens in alle lidstaten op hetzelfde niveau wil brengen zodat de harmonisatie van nationale wettelijke regelingen in beginsel tot volledige harmonisatie dient te leiden. Voor zover in de richtlijn de lidstaten op bepaalde gebieden manoeuvreerruimte wordt toegekend, dienen die mogelijkheden op de in de richtlijn voorgeschreven wijze te worden benut, aldus het HvJ. Uit het voorgaande volgt dat eiseres terecht aanvoert dat, anders van verweerder in het bestreden besluit heeft gesteld, volledige harmonisatie is beoogd, tenzij een specifieke bepaling van de richtlijn ruimte biedt om daarvan af te wijken. Nu de bepaling van de richtlijn over de wettelijke verantwoordelijke, artikel 4, tweede lid, die ruimte niet biedt, moet worden bezien of artikel 4, derde lid, van de Wbp daarmee in overeenstemming is.
5.2.
In artikel 4, derde lid, van de Wbp is bepaald dat de lokale vertegenwoordiger aan de Wbp dient te voldoen en geacht wordt de verantwoordelijke te zijn. In de richtlijn is bepaald dat de verantwoordelijke een op het grondgebied van de betrokken lidstaat gevestigde vertegenwoordiger moet aanwijzen, onverminderd rechtsvorderingen die tegen de voor de verwerking verantwoordelijke zelf kunnen worden ingesteld. Daaruit blijkt naar het oordeel van de rechtbank dat ook in de richtlijn de verplichting wordt geschapen om een vertegenwoordiger aan te wijzen die door de toezichthoudende autoriteit kan worden aangesproken in het kader van het waarborgen van de rechten en verplichtingen waarin de richtlijn voorziet. De rechtbank ziet zich daarin gesteund door het advies over toepasselijk recht van 16 december 2010, uitgebracht door de zogenoemde artikel 29-Groep, die is opgericht op grond van artikel 29 van de richtlijn en fungeert als onafhankelijk Europees adviesorgaan inzake gegevensbescherming en de persoonlijke levenssfeer. Op bladzijde 21 van dat advies is vermeld dat met artikel 4, eerste lid, aanhef en onder c, van de Privacyrichtlijn is beoogd het recht op de bescherming van persoonsgegevens dat deze richtlijn biedt te waarborgen, zelfs indien de voor de verwerking verantwoordelijke niet is gevestigd op het grondgebied van de EU. Voorts is in dat advies vermeld dat de werkingssfeer van artikel 4, eerste lid onder c, van de richtlijn verduidelijking behoeft gezien de doelstelling van de richtlijn om personen te beschermen en juridische leemten in de toepassing van de beginselen voor de gegevensbescherming te voorkomen. Het HvJ heeft vervolgens in het arrest van 13 mei 2014, C-131/12, Google Spain overwogen dat artikel 4 van de richtlijn niet restrictief mag worden uitgelegd.
5.3.
Gelet op het voorgaande faalt het betoog van eiseres dat artikel 4, derde lid, van de Wbp verder gaat dan artikel 4, tweede lid, van de richtlijn. Het laat naar het oordeel van de rechtbank overigens de mogelijkheid onverlet dat de verantwoordelijke en de vertegenwoordiger overeenkomen dat boetes en lasten onder dwangsom vanwege eventuele overtredingen van de Wbp voor rekening van de verantwoordelijke komen.
Anticiperen op toekomstige regelgeving
6. Voorts voert eiseres aan dat haar onvoldoende ruimte is gelaten om te anticiperen op de aanstaande versoepeling van de verplichting in de richtlijn om een vertegenwoordiger aan te wijzen. In de finale versie van Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (verordening) is bepaald dat een verantwoordelijke zonder vestiging in de EU een vertegenwoordiger moet aanwijzen in de EU. De verantwoordelijke mag op grond van de verordening, binnen de overgangstermijn van twee jaar, dan ook zelf kiezen in welke lidstaat een vertegenwoordiger wordt aangewezen. Verweerder heeft ten onrechte geen rekening gehouden met de omstandigheid dat concreet zicht op legalisatie bestaat, aldus eiseres.
6.1.
De rechtbank overweegt als volgt.
De verordening is in werking getreden op 24 mei 2016, derhalve ruim zes maanden na het bestreden besluit. Bovendien is de verordening pas rechtstreeks toepasselijk vanaf 25 mei 2018. Reeds daarom bestaat geen grond voor het oordeel dat verweerder ten onrechte eiseres geen ruimte heeft gelaten om te anticiperen op de verordening. Overigens is ter zitting niet gebleken dat eiseres in een andere lidstaat van de EU een vertegenwoordiger heeft, zodat ook daarom niet kan worden staande gehouden dat concreet zicht op legalisatie bestaat.
Verantwoordelijke in de zin van de Wbp
7. Voorts voert eiseres aan dat zij geen verantwoordelijke is in de zin van artikel 4, tweede lid, van de Wbp, nu zij niet kan worden gekwalificeerd als verantwoordelijke die geautomatiseerde middelen in Nederland gebruikt die worden ingezet voor meer dan alleen doorvoer van gegevens van non-users. Daartoe voert eiseres aan dat zij haar gebruikers slechts de mogelijkheid biedt om hun adresboeken – met daarin de telefoonnummers van non-users – te verzenden naar servers in de VS, alwaar de gegevens worden geanonimiseerd. Van verwerking in Nederland is volgens eiseres dan ook geen sprake.
7.1.
De rechtbank overweegt als volgt.
Vooropgesteld wordt dat eiseres ter zitting te kennen heeft gegeven dat zij de gegevens van haar gebruikers als verantwoordelijke verwerkt, zodat in het midden kan blijven of eiseres ten aanzien van de gegevens van non-users als verantwoordelijke optreedt.
7.2.
Vervolgens rijst de vraag of eiseres bij het verwerken van de persoonsgegevens van haar gebruikers gebruik maakt van al dan niet geautomatiseerde middelen in Nederland. De rechtbank is van oordeel dat die vraag bevestigend moet worden beantwoord, nu eiseres via de door haar geboden dienst – de app zelf, die zich bevindt op de smartphones van de gebruikers in Nederland – persoonsgegevens verwerkt. Zij ziet zich daarin gesteund door het advies over apps op intelligente apparaten van 27 februari 2013 van de artikel 29-Groep. Daarin is vermeld dat de richtlijn van toepassing is in iedere situatie waarbij het gebruik van apps op intelligente apparaten de verwerking van persoonsgegevens met zich meebrengt.
7.3.
Ten slotte moet worden bezien of eiseres de app gebruikt voor meer dan alleen doorvoer. In dit kader acht de rechtbank van belang dat de artikel 29-Groep in haar advies over toepasselijk recht heeft benadrukt dat met doorvoer wordt gedoeld op middelen die uitsluitend worden gebruik voor ‘de eenvoudige overdracht van punt tot punt’, waarbij kan worden gedacht aan kabels en postdiensten. Nu eiseres bij het verkrijgen van toegang tot het telefoonboek van de gebruiker de telefoonnummers op haar eigen server vergelijkt met de user tabel waarop de nummers van alle gebruikers staan opgeslagen, is naar het oordeel van de rechtbank geen sprake van enkel doorvoer.
7.4.
Gelet op al het voorgaande bestaat dan ook geen grond voor het oordeel dat in het geval van eiseres niet is voldaan aan de vereisten van artikel 4, tweede lid, van de Wbp.
Persoonlijk gebruik
8. Eiseres voert voorts aan dat zij een bewerker is die gegevens verwerkt ten behoeve van gebruikers in het kader van de uitsluitend persoonlijke doeleinden van deze gebruikers, zodat ingevolge artikel 2, tweede lid, onder a, van de Wbp die wet in dit geval niet van toepassing is. Daartoe voert eiseres aan dat in de Memorie van Toelichting bij de Wbp (Kamerstukken II, 1997/98, 25 892, nr. 3, p. 70) is vermeld dat van persoonlijk gebruik sprake is wanneer de gegevens worden gebruikt als persoonlijke aantekeningen, bedoeld als geheugensteun. Daaronder kan worden verstaan het opslaan van telefoonnummers in een adresboek, aldus eiseres. Verweerder heeft miskend dat het voor een goed functioneren van de app niet noodzakelijk is om toegang te verkrijgen tot het adresboek van de gebruiker. Bovendien worden de gegevens, als ze worden gedeeld, niet gedeeld met een onbepaald aantal personen, zoals bij een website het geval is. In zoverre is het arrest Lindqvist dan ook niet van toepassing, aldus eiseres. Er doet zich daarentegen wel de situatie voor als bedoeld in het arrest van 11 december 2014, C-212/13, Rynes, waarin het HvJ heeft overwogen dat de uitzondering voor activiteiten met uitsluitend persoonlijke doeleinden onder meer geldt voor het bijhouden van adresbestanden, zelfs wanneer deze activiteiten incidenteel het privéleven van anderen raken of kunnen raken. Volgens eiseres blijk daaruit dat het verwerken van de telefoonnummers op de telefoons van de gebruikers niet onder het toepassingsbereik van de Wbp valt. Ten slotte voert eiseres in dit verband aan dat zij de gegevens van de non-user niet ook gebruikt voor zijn eigen doeleinden en belangen, zodat ook om die reden dat gebruik alleen betrekking heeft op het persoonlijk gebruik door het individu dat de gegevens heeft verstrekt.
8.1.
De rechtbank volgt verweerder in zijn betoog dat de verwerking die hier centraal staat niet het bijhouden van de eigen adressenlijst van de gebruiker is, maar de verwerking door eiseres van die gegevens nadat de app op de smartphone van de gebruiker is geïnstalleerd. Er is geen sprake van gebruik door een natuurlijk persoon voor zichzelf, reeds nu eiseres de gegevens waartoe zij toegang krijgt verzamelt en verstuurt naar haar servers alwaar de gegevens worden opgeslagen. Gelet daarop faalt het betoog van eiseres dat de uitzondering van artikel 2, tweede lid, onder a, van de Wbp van toepassing is.
Slechts bewerker
9. Voorts voert eiseres aan dat zij ten aanzien van de gegevens van de non-users slechts optreedt als bewerker namens haar gebruikers.
9.1.
Reeds nu, zoals hiervoor onder 7.2. is overwogen, eiseres te kennen heeft gegeven ten aanzien van de gegevens van de gebruikers -in elk geval- als verantwoordelijke op te treden, waarin besloten ligt dat zij in zoverre aldus niet slechts optreedt als bewerker, kan deze beroepsgrond haar niet baten en hoeft aan beoordeling daarvan derhalve niet te worden toegekomen.
Geen persoonsgegevens
10. Eiseres voert aan dat de telefoonnummers van non-users geen persoonsgegevens zijn omdat deze geanonimiseerd zijn.
10.1.
Ook deze beroepsgrond kan eiseres niet baten, reeds nu zij ten aanzien van de gegevens van de gebruikers als verantwoordelijke optreedt.
Onmogelijkheid om een vertegenwoordiger aan te wijzen
11. Ten slotte voert eiseres aan dat het in de praktijk onmogelijk is om te voldoen aan de in artikel 4, derde lid, van de Wbp neergelegde verplichting om een vertegenwoordiger aan te wijzen, zodat die bepaling om die reden buiten toepassing moet worden gelaten. Daartoe wijst eiseres er op dat die bepaling tot gevolg heeft dat de lokale vertegenwoordiger geacht wordt aansprakelijkheid op zich te nemen voor boetes en dwangsommen die eiseres zou kunnen oplopen, terwijl de lokale vertegenwoordiger geen enkele invloed heeft op de activiteiten van eiseres. Het is eiseres niet gelukt om een commerciële partij te vinden die een dergelijk risico wil aanvaarden.
11.1.
De rechtbank volgt verweerder in diens standpunt dat de niet nader onderbouwde stelling van eiseres dat het niet gelukt is een vertegenwoordiger te vinden geen grond biedt om artikel 4, derde lid, van de Wbp buiten toepassing te laten. De rechtbank wijst naar hetgeen hiervoor onder 5.3 is overwogen.
12. Het beroep is ongegrond. Voor een proceskostenveroordeling bestaat geen aanleiding.
Beslissing
De rechtbank verklaart het beroep ongegrond.
Deze uitspraak is gedaan door mr. G.P. Kleijn, voorzitter, en mr. M. Dam en mr. M.J.L. van der Waals, leden, in aanwezigheid van mr. A. Ferment, griffier. De beslissing is in het openbaar uitgesproken op 22 november 2016.
Rechtsmiddel
Tegen deze uitspraak kan binnen zes weken na de dag van verzending daarvan hoger beroep worden ingesteld bij de Afdeling bestuursrechtspraak van de Raad van State. Als hoger beroep is ingesteld, kan bij de voorzieningenrechter van de hogerberoepsrechter worden verzocht om het treffen van een voorlopige voorziening of om het opheffen of wijzigen van een bij deze uitspraak getroffen voorlopige voorziening.