Rechtbank Gelderland, 16-05-2022, ECLI:NL:RBGEL:2022:2431, AWB - 20 _ 68
Rechtbank Gelderland, 16-05-2022, ECLI:NL:RBGEL:2022:2431, AWB - 20 _ 68
Gegevens
- Instantie
- Rechtbank Gelderland
- Datum uitspraak
- 16 mei 2022
- Datum publicatie
- 17 mei 2022
- ECLI
- ECLI:NL:RBGEL:2022:2431
- Zaaknummer
- AWB - 20 _ 68
Inhoudsindicatie
Eiser heeft op 17 augustus 2018 bij verweerder het verzoek ingediend om met toepassing van de Algemene
Verordening Gegevensbescherming (EU) 20 16/679 (hierna: de AVG) handhavend op te treden tegen derde partij, omdat derde partij geen contante betalingen meer accepteert. Hierdoor is de aanschaf van
een bioscoopkaartje alleen nog mogelijk door middel van een pinbetaling aan de kassa dan wel via de website
van derde partij. Consumpties kunnen ook niet meer met contant geld worden betaald. Bij deze
pinbetalingen worden persoonsgegevens verwerkt. Ook bij het bezoeken van de website van derde partij
worden persoonsgegevens verwerkt. Eiser vindt dat hij anoniem de arthouse films die derde partij
aanbiedt moet kunnen bezoeken om maatschappelijk te kunnen participeren met behoud van zijn privéleven.
Voor de verwerking van persoonsgegevens als gevolg van de pinbetalingen of een bezoek aan de website bestaat
volgens eiser geen noodzaak en dat levert volgens hem strijd op met de AVG.
In het bestreden besluit heeft verweerder zich -kort samengevat- op het standpunt gesteld dat er geen sprake is
van een overtreding van de AVG door derde partij. Voor handhavend optreden bestaat volgens verweerder
geen aanleiding.
De rechtbank toetst of verweerder heeft kunnen concluderen dat de AVG door derde partij niet wordt
overtreden. Indien dat het geval is dan is verweerder niet bevoegd om handhavend op te treden.
Het beroep is ongegrond.
Uitspraak
Zittingsplaats Arnhem
Bestuursrecht
zaaknummer: AWB 20/68
in de zaak tussen
en
(gemachtigden: W. van Steenbergen en T.G.H. Spruyt)
Als derde-partijen hebben aan het geding deelgenomen: [Derde partij 1] en [belanghebbende] (verder: [Derde partij 1] ), te [woonplaats] .
Procesverloop
Bij besluit van 16 april 2019 (het primaire besluit) heeft verweerder het verzoek van eiser om handhavend op te treden tegen [Derde partij 1] afgewezen.
Bij besluit van 27 november 2019 (het bestreden besluit) heeft verweerder het bezwaar van eiser ongegrond verklaard.
Eiser heeft tegen het bestreden besluit beroep ingesteld.
Verweerder heeft een verweerschrift ingediend.
Het onderzoek ter zitting heeft plaatsgevonden op 8 februari 2022. Eiser en de gemachtigden van verweerder hebben daaraan via beeldverbinding deelgenomen. De derde-partijen zijn daar vertegenwoordigd door [Derde partij 1].
Overwegingen
Inleiding
1. Eiser heeft op 17 augustus 2018 bij verweerder het verzoek ingediend om met toepassing van de Algemene Verordening Gegevensbescherming (EU) 2016/679 (hierna: de AVG) handhavend op te treden tegen [Derde partij 1] , omdat [Derde partij 1] geen contante betalingen meer accepteert. Hierdoor is de aanschaf van een bioscoopkaartje alleen nog mogelijk door middel van een pinbetaling aan de kassa dan wel via de website van [Derde partij 1] . Consumpties kunnen ook niet meer met contant geld worden betaald. Bij deze pinbetalingen worden persoonsgegevens verwerkt. Ook bij het bezoeken van de website van [Derde partij 1] worden persoonsgegevens verwerkt. Eiser vindt dat hij anoniem de arthouse films die [Derde partij 1] aanbiedt moet kunnen bezoeken om maatschappelijk te kunnen participeren met behoud van zijn privéleven. Voor de verwerking van persoonsgegevens als gevolg van de pinbetalingen of een bezoek aan de website bestaat volgens eiser geen noodzaak en dat levert volgens hem strijd op met de AVG.
In het bestreden besluit heeft verweerder zich -kort samengevat- op het standpunt gesteld dat er geen sprake is van een overtreding van de AVG door [Derde partij 1] . De verwerking van persoonsgegevens bij de aanschaf van een bioscoopkaartje, zowel bij pinbetalingen aan de kassa als via de website, en bij de aanschaf van een consumptie in de horecagelegenheid is, noodzakelijk voor de uitvoering van een overeenkomst (artikel 6, eerste lid, onder b, van de AVG). De verwerking van persoonsgegevens ten gevolge van een bezoek aan de website van [Derde partij 1] is noodzakelijk voor het verzorgen en verbeteren van de website (artikel 6, eerste lid, onder f, van de AVG). Voor handhavend optreden bestaat volgens verweerder geen aanleiding.
2. De rechtbank toetst of verweerder heeft kunnen concluderen dat de AVG door [Derde partij 1] niet wordt overtreden. Indien dat het geval is dan is verweerder niet bevoegd om handhavend op te treden.
Voor de relevante wettelijke bepalingen verwijst de rechtbank naar de bijlage bij deze uitspraak.
De rechtbank zal hieronder allereerst het beroep beoordelen voor zover dat is gericht tegen de verwerking van persoonsgegevens bij pinbetalingen voor de aanschaf van een bioscoopkaartje aan de kassa of een consumptie in de horecagelegenheid en iDeal-betalingen bij de aanschaf van een bioscoopkaartje via de website van [Derde partij 1] (pin- en iDeal-betalingen). Daarna zal de rechtbank het beroep beoordelen voor zover dat is gericht tegen de verwerking van persoonsgegevens bij een bezoek van de website van [Derde partij 1] (bezoek van de website).
Beoordeling door de rechtbank
3. Pin- en iDeal-betalingen
Welke gegevens worden verwerkt?
Bij een pinbetaling voor een bioscoopkaartje aan de kassa of een consumptie in de horecagelegenheid, wordt het bankrekeningnummer van de bezoeker, het bedrag en de betaaldatum verwerkt. Doordat [Derde partij 1] voor het afhandelen van de financiële transacties bij pinbetalingen gebruik maakt van een Payment Service Provider (PSP) wordt op het bankrekeningnummer van de bezoeker de zogeheten PAN Masking techniek toegepast. Deze techniek is een internationale standaard, opgesteld door de Payment Card Industry Security Standards Council (PCI SSC) om financiële transacties veilig te verrichten. Door toepassing van deze techniek zijn alleen de laatste vier cijfers van de gemaskeerde bankrekeningnummers, samen met de bedragen en de data waarop is betaald voor [Derde partij 1] zichtbaar.
Bij de aanschaf van een bioscoopkaartje via de website van [Derde partij 1] kan met iDeal worden betaald. [Derde partij 1] maakt gebruik van betalingsverwerker Buckaroo, die PAN Masking toepast op de bankrekeningnummers. Bij de aanschaf via de website worden de naam, het e-mailadres, het telefoonnummer, de transactiegegevens en het IP-adres van de bezoeker verwerkt.
Is er een overeenkomst?
De rechtbank is van oordeel dat sprake is van een overeenkomst. Bij de aanschaf van een bioscoopkaartje aan de kassa of via de website en de aanschaf van een consumptie in het horecabedrijf komt tussen [Derde partij 1] en de bezoeker een overeenkomst tot stand. Dat het, zoals eiser stelt, bij [Derde partij 1] gaat om een door de overheid gesubsidieerde instelling, heeft niet tot gevolg dat er daarom geen overeenkomst tot stand zou komen.
Wat is het toetsingskader?
De verwerking van persoonsgegevens kan rechtmatig zijn als die noodzakelijk is voor de uitvoering van de overeenkomst. Voor deze beoordeling hanteert de rechtbank het volgende toetsingskader.1
Eerst moet worden beoordeeld of het doel waarvoor de persoonsgegevens worden verwerkt welbepaald en uitdrukkelijk omschreven is. Verder moet worden beoordeeld of met de aan de orde zijnde verwerking van de persoonsgegevens dat doel ook wordt bereikt. Indien de verwerking van de persoonsgegevens voor het bereiken van het specifieke doel in deze zin noodzakelijk is, moet vervolgens worden beoordeeld of de inbreuk op de privacy evenredig is met de belangen die zijn gediend met de verwerking van de persoonsgegevens. Zoals de Afdeling bestuursrechtspraak van de Raad van State heeft geoordeeld in haar uitspraak van 20 september 2017, ECLI:NL:RVS:2017:2555, moet in het licht van het EU-Handvest worden beoordeeld of de inbreuk op de privacy is beperkt tot wat voor het behalen van het doel strikt noodzakelijk is. Met name moet worden beoordeeld of het doel waarvoor de persoonsgegevens worden verwerkt in redelijkheid niet op een andere, voor de bij de verwerking van persoonsgegevens betrokken personen minder nadelige wijze kan worden verwezenlijkt. De intensiteit waarmee dit dient te gebeuren wordt mede bepaald door de specificiteit van de aangedragen alternatieven. Met andere woorden: hoe gedetailleerder de betrokkene het alternatief beschrijft, hoe indringender het onderzoek van verweerder moet zijn.
Met deze toetsing van de belangen in het concrete geval is de AVG in overeenstemming met artikel 8 van het Europees Verdrag van de rechten van de mens en de fundamentele vrijheden (verder: EVRM). Een toetsing aan dit artikel afzonderlijk kan daarom achterwege blijven.
In dit geval gaat het om de vraag of de verwerking van persoonsgegevens noodzakelijk is voor de uitvoering van een overeenkomst als bedoeld in artikel 6, eerste lid, aanhef en onder b, van de AVG waarbij de bioscoopbezoeker of de bezoeker van de horecagelegenheid van [Derde partij 1] partij is. Zoals blijkt uit advies 06/2014 van de voormalige Artikel 29 Werkgroep en Richtsnoeren 2/2019 van het Europees Comité voor gegevensbescherming moet artikel 7, onder b, van de Privacyrichtlijn, de voorloper van de bepaling uit de AVG, strikt worden geïnterpreteerd. Het enkele feit dat de verwerking van gegevens onder een overeenkomst valt of daarmee verband houdt, betekent niet dat deze verwerking noodzakelijk is voor de uitvoering van de overeenkomst. Artikel 7, onder b, van de Privacyrichtlijn is vrijwel gelijkluidend aan artikel 6, eerste lid, aanhef en onder b, van de AVG. Wat in het advies en Richtsnoeren staat is dus ook voor de interpretatie van de AVG van belang.
Wat is het doel van de verwerking?
Het doel van de verwerking van persoonsgegevens is het vergroten van de veiligheid van de medewerkers, voornamelijk vrijwilligers, van [Derde partij 1] . Sinds de verhuizing in 2018 naar de nieuwe locatie accepteert [Derde partij 1] niet langer contante betalingen. [Derde partij 1] wil, vanuit de zorgplicht voor haar medewerkers, de veiligheid van haar medewerkers zo goed mogelijk beschermen en heeft daarom gekozen voor het uitsluitend werken met pinbetalingen. [Derde partij 1] gaat er vanuit dat zij door de afwezigheid van contact geld minder aantrekkelijk zal zijn voor potentiële overvallers. Op de website en bij de ingang van [Derde partij 1] is kenbaar gemaakt dat alleen pinbetalingen worden geaccepteerd. Ter zitting is namens [Derde partij 1] toegelicht dat in het voormalige pand van [Derde partij 1] twee keer geld uit de kassa is gestolen en dat [Derde partij 1] haar medewerkers zo veel mogelijk wil beschermen en niet aan de risico’s van een overval wil blootstellen.
Het doel van de verwerking van persoonsgegevens bij de aanschaf van een bioscoopkaartje via de website is de correcte levering van het bioscoopkaartje.
Is het doel gerechtvaardigd en kan met de aan orde zijnde verwerking het doel ook worden bereikt?
De rechtbank is van oordeel dat verweerder de veiligheid van de medewerkers van [Derde partij 1] een gerechtvaardigd doel heeft mogen achten voor de invoering van de verplichte pinbetaling en de afschaffing van de mogelijkheid om met contant geld te betalen.
Ook is de rechtbank van oordeel dat door de afwezigheid van contant geld de veiligheid van de medewerkers in het pand van [Derde partij 1] wordt vergroot. Met de verplichte pinbetaling wordt het doel, waarvoor de verplichting om met pin te betalen geldt, dus bereikt.
Verweerder heeft ook de correcte levering van het bioscoopkaartje een gerechtvaardigd doel mogen achten voor de verwerking van persoonsgegevens bij de aanschaf van een bioscoopkaartje via de website van [Derde partij 1] .
Is de verwerking noodzakelijk voor de uitvoering van de overeenkomst?
Zoals hiervoor is opgemerkt, is het doel van de verwerking van persoonsgegevens duidelijk en gerechtvaardigd. De verwerking van persoonsgegevens bij een pinbetaling is een inherent gevolg van een pinbetaling en is daarmee noodzakelijk voor het bereiken van het specifieke doel. Daarmee maakt de pinbetaling onderdeel uit van de overeenkomst. Ook ten aanzien van een via de website aangeschaft bioscoopkaartje geldt dat de verwerking van persoonsgegevens noodzakelijk is voor een correcte levering van het kaartje.
De rechtbank is dan ook van oordeel dat verweerder de grondslag voor de verwerking van persoonsgegevens (bij de aanschaf van een bioscoopkaartje aan de kassa, via de website en van consumpties in de horecagelegenheid) terecht heeft gebaseerd op uitvoering van de (koop)overeenkomst die [Derde partij 1] heeft met de bezoeker.
Is de verwerking evenredig?
Verweerder heeft zich op het standpunt kunnen stellen dat het doel waarvoor de persoonsgegevens door [Derde partij 1] worden verwerkt redelijkerwijs niet op een andere, voor de bij de verwerking van de persoonsgegevens betrokken persoon, minder nadelige wijze kan worden bereikt. Het toestaan van betaling van een bioscoopkaartje of consumptie met contant geld, zou immers afbreuk doen aan de doelstelling van [Derde partij 1] om de veiligheid van haar medewerkers zo veel mogelijk te waarborgen.
Daarbij heeft verweerder terecht van belang geacht dat de verwerking van persoonsgegevens bij een pinbetaling bij [Derde partij 1] beperkt blijft tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt en dat is voldaan aan de eis van minimale gegevensverwerking. [Derde partij 1] maakt bij pinbetalingen gebruik van een PSP en door toepassing van de PAN Masking techniek, zijn alleen de laatste vier cijfers van de gemaskeerde bankrekeningnummers, samen met de bedragen en de data waarop is betaald, zichtbaar. Daarmee is de verwerking van persoonsgegevens beperkt.
Naar het oordeel van de rechtbank heeft verweerder zich ook op het standpunt kunnen stellen dat de verwerking van persoonsgegevens bij de aanschaf van een bioscoopkaartje via de website beperkt blijft tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt en dat ook voldaan is aan de eis van minimale gegevensverwerking. Daarbij heeft verweerder terecht van belang geacht dat [Derde partij 1] gebruik maakt van betalingsverwerker Buckaroo, die PAN Masking toepast op de bankrekeningnummers. Ook heeft verweerder kunnen meewegen dat de persoonsgegevens nodig zijn voor een correcte levering van het bioscoopkaartje en dat de persoonsgegevens die bij aanschaf van een kaartje via de website worden verzameld, worden verwijderd na de voorstellingsdatum, tenzij sprake is van een door de bezoeker aangemaakt account.
Tot slot heeft verweerder kunnen wijzen op de mogelijkheid voor eiser om een bioscoopkaartje te kopen met een elders met contant geld aangeschafte bioscoopbon. Daarmee blijft de mogelijkheid bestaan om zonder de verwerking van persoonsgegevens een kaartje te kopen voor het [Derde partij 1] .
De rechtbank is op grond van het vorenstaande van oordeel dat de verwerking van persoonsgegevens evenredig is met de belangen die met de verwerking van de persoonsgegevens zijn gediend.
4. Bezoek van de website
Bij een bezoek van de website van [Derde partij 1] wordt het IP-adres van de bezoeker verwerkt en worden functionele en analytische cookies geplaatst. Een IP-adres bevat informatie betreffende een geïdentificeerde of een identificeerbare natuurlijke persoon, doordat met het IP-adres een computer is te identificeren, aan de hand waarvan het mogelijk is een natuurlijk persoon te identificeren. Daarmee is het IP-adres een persoonsgegeven. [Derde partij 1] is verwerkingsverantwoordelijke als bedoeld in artikel 4, sub 7, van de AVG.
Op grond van artikel 6, eerste lid, aanhef en onder f, van de AVG is de verwerking van persoonsgegevens alleen rechtmatig indien en voor zover de verwerking noodzakelijk is voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind is.
Verweerder heeft zich naar het oordeel van de rechtbank op het standpunt kunnen stellen dat [Derde partij 1] met de verwerking van het IP-adres van de bezoeker van de website (en de plaatsing van functionele en analytische cookies) een gerechtvaardigd belang nastreeft. Dit belang betreft het verzorgen en verbeteren van de website.
Verweerder wijst er op dat het verwerken van een IP-adres inherent is aan het bezoeken van een website (door het IP-adres weet een webserver, waar de gevraagde informatie naar toe moet worden gestuurd) en dat [Derde partij 1] voorzorgsmaatregelen heeft getroffen om ongewenste gevolgen voor eiser als bezoeker van de website te minimaliseren. [Derde partij 1] heeft overeenkomstig de Handleiding van verweerder de stappen 1 tot en met 4 toegepast aan de hand waarvan Google Analytics privacyvriendelijk kan worden ingesteld. Zo heeft [Derde partij 1] via Eagerly een verwerkersovereenkomst met haar sub-verwerker Google afgesloten, waarin is opgenomen dat het laatste octet van het IP-adres wordt gemaskeerd. [Derde partij 1] koppelt geen gebruikers-ID’s aan IP-adressen en heeft het haar sub-verwerkers niet toegestaan om de gemaskeerde IP-adressen voor eigen diensten te gebruiken. Ook informeert [Derde partij 1] gebruikers in haar privacystatement dat zij gebruik maakt van Google Analytics en de stappen 1 tot en met 4 heeft toegepast. Daarnaast worden bezoekers bij een eerste bezoek geattendeerd op het gebruik van functionele en analytische cookies. Voor het gebruik van andere cookies (marketing en tracking) is uitdrukkelijke toestemming van de bezoeker vereist, die bezoekers van de website kunnen verlenen of weigeren door middel van een zogenaamde pop-up.
Verweerder heeft zich naar het oordeel van de rechtbank op het standpunt kunnen stellen dat de verwerking van de persoonsgegevens bij een bezoek van de website noodzakelijk is voor de behartiging van het belang van het verzorgen en verbeteren van de website. Daarbij heeft verweerder terecht de omvang van de inbreuk op de privacy van eiser afgewogen tegen het belang van [Derde partij 1] bij de verwerking van de persoonsgegevens. Verweerder heeft zich op het standpunt kunnen stellen dat de inbreuk op de privacy van eiser beperkt is en dat het doel, het verzorgen en verbeteren van de website, niet op een andere minder nadelige wijze kan worden bereikt.
Conclusie
5. Uit het bovenstaande volgt dat de beroepsgronden van eiser tegen het standpunt van verweerder in het bestreden besluit geen doel treffen. Het beroep is ongegrond. Voor een proceskostenveroordeling bestaat geen aanleiding.
Beslissing
De rechtbank:
verklaart het beroep ongegrond.
|
Deze uitspraak is gedaan door mr. G.H.W. Bodt, voorzitter, mr. S.A. van Hoof en mr. M. Ichoh, rechters, in tegenwoordigheid van R. van Diest, griffier. De beslissing is in het openbaar uitgesproken op: . |
||
|
griffier |
voorzitter |
|
|
Afschrift verzonden aan partijen op: |
||
Rechtsmiddel
Tegen deze uitspraak kan binnen zes weken na de dag van verzending daarvan hoger beroep worden ingesteld bij de Afdeling bestuursrechtspraak van de Raad van State. Als hoger beroep is ingesteld, kan bij de voorzieningenrechter van de hogerberoepsrechter worden verzocht om het treffen van een voorlopige voorziening of om het opheffen of wijzigen van een bij deze uitspraak getroffen voorlopige voorziening.