Welke gegevens zijn persoonsgebonden en waarom cookies altijd persoonsgebonden zijn, onafhankelijk van de cookie-waarden, is het onderwerp van dit artikel. Een persoonsbinding bestaat vaker dan veel mensen denken. Persoonsgebonden gegevens kleuren andere gegevens op een andere manier en maken ze tot gegevens met persoonsbinding.
Inleiding
Persoonsgebonden gegevens zijn zodanige gegevens, die op een persoon schijnen te slaan. Zo is bijvoorbeeld de naam van een persoon, samen met diens adres (straat, huisnummer, postcode, plaats, land, planeten, galaxieaanduiding) een persoonsgebonden gegevenswaarde. In plaats van gegevenwaarde wordt overigens vaak gesproken van datum. Datum is de enkelvoudsvorm van gegeven.
De naam van een persoon samen met hun adres vormt een directe persoonslink. Maar ook gegevens die indirect op een persoon wijzen, zijn persoonsgebonden. Dat blijkt uit Artikel 4 Nr. 1 GDPR duidelijk. De GDPR spreekt niet over direct of indirect persoonsgebonden, maar over geïdentificeerde of identificeerbare personen.
Een persoon is identificeerbaar, zodra het objectief mogelijk is dat men zelf of met behulp van anderen een relatie tot de persoon kan vaststellen. Derden kunnen bijvoorbeeld telecommunicatiedienstverleners, geheimdiensten of overheidsinstanties zijn. Het maakt niet uit of deze derden op dit moment van u om persoonsgegevens gevraagd kunnen worden. Het is voldoende dat er objectief voorzien is in de mogelijkheid. Bijvoorbeeld kan een dergelijke mogelijkheid door strafvervolging geopend worden. Dat had de EuGHR in het vonnis van 19 oktober 2016 – C-582/14 ("Breyer", IP-adressen zijn persoonsgegevens) vastgesteld.
Naast dat de Artikel 29 Groep van de EU heeft vastgesteld dat een persoon ook dan als identificeerbaar wordt beschouwd, wanneer hij in een groep van personen kan worden onderscheiden van de anderen. Dit is in de zogenaamde Opinion 4/2007 geformuleerd. De Artikel 29 Groep voor Gegevensbescherming was de voorganger van het Europees Comité voor Gegevensbescherming (EDSA) en wordt zelfs in Artikel 94 GDPR genoemd. Zij heeft dus een aanzienlijke relevantie.
Wanneer is een persoon direct herkenbaar?
Boven heb ik al het voorbeeld gegeven met een naam en adres van een persoon. Deze data maakt een volledige, directe identificatie van een persoon mogelijk. Alle data die rechtstreeks op een persoon wijst, maakt deze persoon rechtstreeks identificeerbaar.
Als een persoon in een zelfhulpgroep van anonieme alcoholisten een grijs hoofd heeft en de anderen geen grijs hoofd hebben, dan zou die persoon op basis van het volgende gegevensveld te onderscheiden zijn: „De persoon waar het om gaat, is in deze groep en heeft een grijs hoofd“.
Nun zou de persoon misschien nog niet direct geïdentificeerd zijn. Want als ik iemand voor me zie, weet ik meestal niet wie deze persoon is, hoe hij heet en waar deze persoon woont.
Alleen kan het al zijn dat iemand schade lijdt omdat iemands gegevens worden misbruikt, zonder dat bekend is waar de persoon woont. Hierdoor rijst de vraag of het dan niet voldoende is om de persoon rechtstreeks voor zich te hebben om een directe relatie met die persoon te hebben. Op deze vraag ga ik hier echter niet verder in. Dat zou een eigen onderzoek waard zijn, dat misschien beter geschikt is voor een jurist.
Wat is een indirecte verwijzing naar personen?
Als de directe Personenbezogenheid wordt ontkend, bestaat er vaak een indirecte Personenbezogenheid. Dit is dan te bevestigen wanneer er een objectieve mogelijkheid bestaat om de persoon volledig te identificeren.
Het voorbeeld van de grijsaard in de groep anonieme alcoholisten laat zien dat er ten minste een indirecte verwijzing naar personen is. Want als de grijsaarde in de groep een strafbaar feit begaat, kan bij de vervolging vastgesteld worden wie precies de grijsaarde is. Daarmee is het "datum 'persoon in de groep is grijs'" een persoonsgebonden datum (natuurlijk in dat genoemde kader). Want er bestaat objectief de mogelijkheid dat
- De grijsaard zal een strafbaar feit plegen en
- De strafvorderingsmogelijkheden in Duitsland laten toe de persoon volledig te identificeren op grond van een vermoeden van het plegen van een strafbaar feit.
Men zou de grijsaard ook zonder strafbaar feit kunnen identificeren, bijvoorbeeld als de persoon in een auto rijdt die is toegelaten aan hem en waarin hij naar het treffen van de zelfhulpgroep is gereden. Op een auto moet volgens de wegcode een Rijksbewijsplaatkenmerk aangebracht zijn (het kan zijn dat er auto's bestaan waar dit niet op toegepast wordt, maar daar gaat het hier niet om). Het license plate is weer uniek gekoppeld aan de persoon, dus aan haar naam en adres. De autoriteiten kennen deze koppeling. Als de auto nu in een ongeluk verkeerd, kan de eigenaar geïdentificeerd worden. Een ongeluk is meestal geen strafbaar feit. Het zou zelfs kunnen zijn dat de grijsaardrijdster van de zelfhulpgroep helemaal niet schuldig what aan het ongeluk. De veroorzaker van het ongeluk moest in ieder geval de adresgegevens van de grijsaard laten opsturen om een correcte afhandeling van het ongeluk te garanderen. Ook iets als "rijden en vluchten" wil de veroorzaker van het ongeluk voorkomen en schrijft zich in twijfelgevallen het kenteken van de beschadigde auto op, als deze niet aanwezig is bij zijn auto.
Als iemand theoretisch in een ongeluk verstrikt kan raken, is elke persoon die u tegenkomt op het einde van de dag identificeerbaar. Daarmee zou elk gegevenswaarde tot een persoon die fysiek in uw buurt is, een persoonsgebonden gegeven zijn. In ieder geval geldt dit voor personen die internetten. Zie hiervoor de sectie "Cookies" verderop. Als u met iemand belt en deze persoon belt u vanuit zijn privéverbinding of eigen smartphone, dan zijn alle gegevens over uw gesprekspartner eveneens persoonsgebonden. De GDPR geldt echter alleen als gegevens minstens opgeslagen of gedeeltelijk automatiserend verwerkt worden (zie Artikel 2 Nr. 1 GDPR). Zo ver ik weet, is de signaaloverdracht bij telefoons wel automatisch.
Da is het ook waarschijnlijk mogelijk om iemand binnen de wet te volgen om te zien waar hij naartoe is gegaan, misschien wel naar zijn woonplaats. Dat alleen maar ter inspiratie.
Viele Artikel in PDF-Form · Kompakte Kernaussagen für Beiträge · Offline-KI · Freikontingent+ für Website-Checks
My name is Klaus Meffert. I have a doctorate in computer science and have been working professionally and practically with information technology for over 30 years. I also work as an expert in IT & data protection. I achieve my results by looking at technology and law. This seems absolutely essential to me when it comes to digital data protection. My company, IT Logic GmbH, also offers consulting and development of optimized and secure AI solutions.
