CONCLUSIE VAN ADVOCAAT-GENERAAL
M. BOBEK
van 26 januari 2017 (1)
Zaak C‑13/16
Valsts policijas Rīgas reģiona pārvaldes Kārtības policijas pārvalde
tegen
Rīgas pašvaldības SIA „Rīgas satiksme”
[verzoek van de Augstākā tiesa, Administratīvo lietu departaments (hoogste rechter in bestuurszaken, Letland) om een prejudiciële beslissing]
„Prejudiciële verwijzing – Persoonsgegevens – Rechtmatige gegevensverwerking – Artikel 7, onder f), van richtlijn 95/46/EG – Omvang en voorwaarden – Verplichting of bevoegdheid om persoonsgegevens te verwerken – Begrip ‚verwerking noodzakelijk voor de behartiging van het gerechtvaardigde belang van de voor de verwerking verantwoordelijke of van de derde(n)’”
I. Inleiding
1. Een taxichauffeur zette zijn taxi stil aan de kant van de weg in Riga. Op het moment dat een trolleybus van Rīgas satiksme („verwerende partij”) de taxi passeerde, opende een taxipassagier plots het portier. Het kwam tot een botsing waardoor de trolleybus beschadigd raakte. Rīgas satiksme verzocht de politie („verzoekende partij”) om de identiteit van de passagier bekend te maken. Rīgas satiksme wilde een civielrechtelijke procedure instellen om de aan de trolleybus veroorzaakte schade op deze passagier te verhalen. De politie gaf Rīgas satiksme slechts de naam van de passagier en weigerde om het nummer van diens identiteitskaart en diens adres te geven.
2. Tegen deze feitelijke achtergrond wenst de verwijzende rechterlijke instantie te vernemen of artikel 7, onder f), van richtlijn 95/46/EG (hierna: „richtlijn”)(2) de verplichting oplegt om alle persoonsgegevens te verstrekken die noodzakelijk zijn om een civielrechtelijke procedure aanhangig te maken tegen degene die verantwoordelijk wordt geacht voor een bestuursrechtelijke overtreding. Deze rechterlijke instantie wenst voorts te vernemen of het antwoord op deze vraag anders zou zijn indien de betreffende persoon minderjarig is.
II. Toepasselijke bepalingen
A. Unierecht
1. Handvest van de grondrechten van de Europese Unie (hierna: „Handvest”)
3. Artikel 7 luidt als volgt: „Eenieder heeft recht op eerbiediging van zijn privéleven, zijn familie- en gezinsleven, zijn woning en zijn communicatie.”
4. Artikel 8 bepaalt:
„1. Eenieder heeft recht op bescherming van de hem betreffende persoonsgegevens.
2. Deze gegevens moeten eerlijk worden verwerkt, voor bepaalde doeleinden en met toestemming van de betrokkene of op basis van een andere gerechtvaardigde grondslag waarin de wet voorziet. Eenieder heeft recht op toegang tot de over hem verzamelde gegevens en op rectificatie daarvan.
3. Een onafhankelijke autoriteit ziet toe op de naleving van deze regels.”
2. Verdrag betreffende de werking van de Europese Unie
5. Ingevolge artikel 16, lid 1, VWEU heeft eenieder „recht op bescherming van zijn persoonsgegevens”.
3. Richtlijn 95/46 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens
6. Artikel 2 bevat een aantal definities voor de toepassing van de richtlijn.
„a) ,persoonsgegevens’, iedere informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon, hierna ,betrokkene’ te noemen; als identificeerbaar wordt beschouwd een persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificatienummer of van een of meer specifieke elementen die kenmerkend zijn voor zijn of haar fysieke, fysiologische, psychische, economische, culturele of sociale identiteit;
b) ‚verwerking van persoonsgegevens’, hierna ‚verwerking’ te noemen, elke bewerking of elk geheel van bewerkingen met betrekking tot persoonsgegevens, al dan niet uitgevoerd met behulp van geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op enigerlei andere wijze ter beschikking stellen, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens;
[…]
f) ‚derde’, de natuurlijke of rechtspersoon, de overheidsinstantie, de dienst of enig ander lichaam, niet zijnde de betrokkene, noch de voor de verwerking verantwoordelijke, noch de verwerker, noch de personen die onder rechtstreeks gezag van de voor de verwerking verantwoordelijke of de verwerker gemachtigd zijn om de gegevens te verwerken;
[…]”
7. Hoofdstuk II, met het opschrift „Algemene voorwaarden voor de rechtmatigheid van de verwerking van persoonsgegevens” bevat een artikel 5, dat bepaalt dat „de lidstaten […] binnen de grenzen van de bepalingen van dit hoofdstuk nader de voorwaarden [bepalen] waaronder de verwerking van persoonsgegevens rechtmatig is”.
8. Ingevolge artikel 6, lid 1, bepalen de lidstaten „dat de persoonsgegevens:
[…]
c) toereikend, ter zake dienend en niet bovenmatig moeten zijn, uitgaande van de doeleinden waarvoor zij worden verzameld of waarvoor zij vervolgens worden verwerkt;
[…]”
9. Volgens artikel 7 bepalen de lidstaten „dat de verwerking van persoonsgegevens slechts mag geschieden indien:
a) de betrokkene daarvoor zijn ondubbelzinnige toestemming heeft verleend, of
b) de verwerking noodzakelijk is voor de uitvoering van een overeenkomst waarbij de betrokkene partij is of voor het nemen van precontractuele maatregelen naar aanleiding van een verzoek van de betrokkene, of
c) de verwerking noodzakelijk is om een wettelijke verplichting na te komen waaraan de voor de verwerking verantwoordelijke onderworpen is, of
d) de verwerking noodzakelijk is ter vrijwaring van een vitaal belang van de betrokkene, of
e) de verwerking noodzakelijk is voor de vervulling van een taak van algemeen belang of die deel uitmaakt van de uitoefening van het openbaar gezag die aan de voor de verwerking verantwoordelijke of de derde aan wie de gegevens worden verstrekt, […] is opgedragen, of
f) de verwerking noodzakelijk is voor de behartiging van het gerechtvaardigde belang van de voor de verwerking verantwoordelijke of van de derde(n) aan wie de gegevens worden verstrekt, mits het belang of de fundamentele rechten en vrijheden van de betrokkene die aanspraak maakt op bescherming uit hoofde van artikel 1, lid 1, van deze richtlijn, niet prevaleren.”
10. Artikel 8 verbiedt in beginsel de verwerking van bijzondere categorieën gegevens, waaronder persoonlijke gegevens waaruit de raciale of etnische afkomst, de politieke opvattingen, of de godsdienstige of levensbeschouwelijke overtuiging blijkt. Het artikel voorziet echter in een aantal uitzonderingen.
11. Het verbod is overeenkomstig artikel 8, lid 2, onder e), met name niet van toepassing wanneer „de verwerking […] noodzakelijk is voor de vaststelling, de uitoefening of de verdediging van een recht in rechte”.
12. Artikel 8, lid 5, bepaalt:
„[…]
De lidstaten kunnen voorschrijven dat ook verwerkingen van gegevens inzake administratieve sancties of burgerrechtelijke beslissingen onder toezicht van de overheid kunnen worden verricht.”
13. Ingevolge artikel 8, lid 7, stellen de lidstaten „de voorwaarden vast waaronder een nationaal identificatienummer of enig ander identificatiemiddel van algemene aard voor verwerkingsdoeleinden mag worden gebruikt.”
14. Artikel 14 luidt als volgt: „De lidstaten kennen de betrokkene het recht toe:
a) zich ten minste in de gevallen, bedoeld in artikel 7, onder e) en f), te allen tijde om zwaarwegende en gerechtvaardigde redenen die verband houden met zijn bijzondere situatie ertegen te verzetten dat hem betreffende gegevens het voorwerp van een verwerking vormen, behoudens andersluidende bepalingen in de nationale wetgeving. In geval van gerechtvaardigd verzet mag de door de voor de verwerking verantwoordelijke persoon verrichte verwerking niet langer op deze gegevens betrekking hebben.
[…]”
15. De richtlijn is ingetrokken bij verordening (EU) 2016/679.(3) Deze verordening is op 24 mei 2016 in werking getreden. De nieuwe verordening is echter slechts van toepassing vanaf 25 mei 2018.
B. Nationaal recht
16. Artikel 7 van de Fizisko personu datu aizsardzības likums (Letse wet bescherming persoonsgegevens) is in soortgelijke bewoordingen geformuleerd als artikel 7 van de richtlijn. Het bepaalt dat persoonsgegevens, tenzij de wet anders bepaalt, slechts mogen worden verwerkt indien is voldaan aan ten minste één van de volgende voorwaarden:
1) de betrokkene heeft zijn toestemming gegeven;
2) de verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of om op verzoek van de betrokkene vóór de sluiting van een overeenkomst maatregelen te nemen;
3) de gegevensverwerking is noodzakelijk voor het nakomen van een wettelijke verplichting die geldt voor de voor de verwerking verantwoordelijke;
4) de gegevensverwerking is noodzakelijk ter bescherming van vitale belangen van de betrokkene, waaronder diens leven en gezondheid;
5) de gegevensverwerking is noodzakelijk ter bescherming van het algemeen belang of ten behoeve van openbare dienstverlening waarbij gegevens worden verstrekt aan de voor de verwerking verantwoordelijke of een derde;
6) de gegevensverwerking is noodzakelijk ter behartiging van een gerechtvaardigd belang van de voor de verwerking verantwoordelijke of een derde aan wie gegevens worden verstrekt. Daarbij mag geen afbreuk worden gedaan aan de fundamentele rechten en vrijheden van de betrokkene.
III. Hoofdgeding en prejudiciële vraag
17. In december 2012 vond er te Riga een verkeersongeval plaats. Een taxichauffeur had zijn taxi aan de kant van de weg stilgezet. Net toen een trolleybus van Rīgas satiksme passeerde, opende de passagier van de taxi het portier, waardoor de bus beschadigd raakte. Als gevolg van het ongeluk werd een bestuursrechtelijke procedure ingeleid. Er werd een proces-verbaal opgemaakt waarin werd vastgesteld dat er een bestuursrechtelijke overtreding had plaatsgevonden.
18. Aanvankelijk achtte Rīgas satiksme de taxichauffeur aansprakelijk voor het ongeval, zodat het de schade probeerde te verhalen op de verzekeringsmaatschappij die de wettelijke aansprakelijkheid van de eigenaar van de taxi dekte. De verzekeringsmaatschappij wees Rīgas satiksme er echter op dat zij geen vergoeding zou uitkeren omdat het ongeval niet was te wijten aan de taxichauffeur, maar aan de passagier, tegen wie Rīgas satiksme een civielrechtelijke procedure kon instellen.
19. Rīgas satiksme wendde zich daarop tot de Valsts policijas Rīgas reģiona pārvaldes Kārtības policijas pārvaldes Satiksmes administratīvo pārkāpumu izskatīšanas birojs (bureau verkeersovertredingen van de afdeling ordehandhaving van de rijkspolitie regio Riga) (hierna: „politie”). Rīgas satiksme verzocht om informatie over de persoon aan wie bij het ongeluk een administratieve sanctie was opgelegd. Meer in het bijzonder verzocht Rīgas satiksme om de naam, het nummer van de identiteitskaart en het adres van de taxipassagier, alsmede om afschriften van de stukken waarin de taxichauffeur en de passagier de omstandigheden van het ongeval uiteenzetten. Rīgas satiksme heeft de politie meegedeeld dat de gevraagde informatie uitsluitend zou worden gebruikt om een civielrechtelijke procedure tegen deze persoon in te stellen.
20. De politie heeft het verzoek van Rīgas satiksme slechts gedeeltelijk gehonoreerd. Zij verstrekte alleen de naam van de taxipassagier, maar weigerde het nummer van de identiteitskaart en het adres van die persoon te verstrekken. Rīgas satiksme ontving evenmin de verklaringen die waren afgelegd door de bij het ongeval betrokken personen.
21. De politie gaf in haar besluit aan dat bescheiden in het dossier alleen kunnen worden verstrekt aan partijen die betrokken zijn bij de bestuursrechtelijke procedure naar aanleiding van de overtreding. Rīgas satiksme was geen partij. Wat het nummer van de identiteitskaart en het adres betreft, verbiedt de Datu valsts inspekcija (de Letse privacytoezichthouder) bovendien dat dergelijke persoonsgegevens worden verstrekt.
22. Overeenkomstig artikel 261 van de Latvijas Administratīvo pārkāpumu kodekss (Letse wetboek van administratieve overtredingen) kan in bestuursrechtelijke procedures met betrekking tot overtredingen een persoon op diens uitdrukkelijk verzoek als slachtoffer worden erkend. Rīgas satiksme heeft geen gebruikgemaakt van het recht om als slachtoffer te worden erkend in de betrokken bestuursrechtelijke procedure.
23. Rīgas satiksme heeft het besluit van de politie bij de bestuursrechter aangevochten voor zover geweigerd is het nummer van de identiteitskaart en het adres van de taxipassagier te verstrekken.
24. Bij beslissing van 16 mei 2014 heeft de Administratīvā rajona tiesa (bestuursrechter) het beroep van Rīgas satiksme toegewezen. Deze rechter heeft de politie gelast om de in het beroep gevraagde informatie, te weten het nummer van de identiteitskaart en het adres van de taxipassagier, te verstrekken.
25. De politie heeft tegen deze beslissing hoger beroep ingesteld bij de Augstākā tiesa (hoogste rechter, Letland), de verwijzende rechterlijke instantie in deze zaak. De verwijzende rechterlijke instantie heeft allereerst de Letse privacytoezichthouder om een advies gevraagd. Volgens de privacytoezichthouder mochten de gegevens in dit concrete geval niet worden verstrekt op grond van artikel 7, punt 6, van de wet bescherming persoonsgegevens, aangezien in het wetboek van administratieve overtredingen is bepaald aan welke natuurlijke of rechtspersonen de politie informatie over een zaak mag verstrekken. Het verstrekken van persoonsgegevens in bestuursrechtelijke procedures die tot sancties leiden, kan dus slechts geschieden op grond van de punten 3 en 5 van dat artikel. Bovendien is het zo dat de voor de verwerking verantwoordelijke (in dit geval de politie) krachtens artikel 7 van die wet niet verplicht maar bevoegd is om gegevens te verwerken.
26. De Letse privacytoezichthouder heeft hieraan toegevoegd dat Rīgas satiksme de informatie langs andere weg kon verkrijgen, namelijk door een met redenen omkleed verzoek te richten aan de Iedzīvotāju reģistrs (burgerlijke stand), dan wel door op grond van de artikelen 98, 99 en 100 van de Civilprocesa likums (Letse wet op de burgerlijke rechtsvordering) een verzoek tot verkrijging van bewijs tot de rechter te richten. De betreffende rechter kan de politie dan gelasten de persoonsgegevens te verstrekken die Rīgas satiksme nodig heeft om een civielrechtelijke procedure tegen de betrokken persoon te kunnen instellen.
27. De verwijzende rechterlijke instantie heeft twijfels omtrent de door de Letse privacytoezichthouder genoemde alternatieve mogelijkheden om de persoonsgegevens te verkrijgen. Wordt een verzoek gericht aan de burgerlijke stand, waarin alleen de naam van de taxipassagier wordt gegeven, dan is het mogelijk dat meerdere personen deze naam hebben. De betrokken persoon kan dan alleen worden geïdentificeerd door middel van aanvullende gegevens, als die waarom in het onderhavige geval is verzocht (het nummer van de identiteitskaart en het adres). Bovendien heeft de Letse privacytoezichthouder de bepalingen van de wet op de burgerlijke rechtsvordering die zien op de bewijslevering, aangehaald. Volgens artikel 128 van de wet op de burgerlijke rechtsvordering moeten bij het indienen van een vordering de naam en het nummer van de identiteitskaart (indien bekend) van de verweerder worden vermeld, alsmede diens wettelijke verblijfplaats en het in het register opgenomen tweede adres, of anders diens postadres. De eiser moet dus op zijn minst weten waar de verweerder woont.
28. Volgens de verwijzende rechterlijke instantie zijn de alternatieve mogelijkheden om de noodzakelijke persoonsgegevens te verkrijgen bijgevolg onduidelijk of ondoeltreffend. Mogelijkerwijs kan Rīgas satiksme zijn gerechtvaardigde belangen derhalve slechts beschermen indien hij de gevraagde persoonsgegevens van de politie krijgt.
29. De verwijzende rechterlijke instantie twijfelt ook aan de uitlegging van het in artikel 7, onder f), [van de richtlijn] gebruikte begrip „noodzakelijk”, en acht de uitlegging ervan beslissend voor de uitkomst van de onderhavige procedure.
30. In deze omstandigheden heeft de Augstākās tiesas Administratīvo lietu departaments (hoogste rechter in bestuurszaken, Letland) de behandeling van de zaak geschorst en het Hof van Justitie verzocht om een prejudiciële beslissing over de volgende vraag:
„Moeten de woorden ‚noodzakelijk […] voor de behartiging van het gerechtvaardigde belang […] van de derde(n) aan wie de gegevens worden verstrekt’ in artikel 7, onder f), van richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens aldus worden uitgelegd dat de rijkspolitie aan Rīgas satiksme de gevraagde persoonsgegevens dient te verstrekken die noodzakelijk zijn om een civielrechtelijke procedure in te stellen? Is het voor het antwoord op deze vraag van belang dat, zoals uit de stukken blijkt, de taxipassagier van wie Rīgas satiksme de gegevens heeft opgevraagd, ten tijde van het ongeval minderjarig was?”
31. Rīgas satiksme en de Commissie, alsmede de Tsjechische, de Spaanse, de Letse, de Oostenrijkse en de Portugese regering hebben schriftelijke opmerkingen ingediend. De Commissie en de Letse regering zijn gehoord tijdens de mondelinge behandeling, die op 24 november 2016 heeft plaatsgevonden.
IV. Bespreking
32. De verwijzende rechterlijke instantie wenst in wezen te vernemen of er op grond van de richtlijn een verplichting bestaat voor de verwerkingsverantwoordelijke om gegevens te verstrekken ter identificatie van een persoon die verantwoordelijk wordt geacht voor een bestuursrechtelijke overtreding, opdat de Rīgas satiksme een civielrechtelijke procedure kan instellen.
33. Mijn bondige antwoord op deze specifieke vraag van de verwijzende rechterlijke instantie luidt „nee”. De richtlijn zelf voorziet niet in een dergelijke verplichting. Het voorziet slechts in een bevoegdheid (in de zin van toestemming of autorisatie) om dat te doen, wanneer een aantal elementen aanwezig zijn. De bevoegdheid om bepaalde activiteiten bij wet uit te voeren betreft een categorie die moet worden onderscheiden van de verplichting om dergelijke activiteiten uit te voeren.
34. Gelet op de feiten van deze zaak is dit echter niet het enige geschilpunt. Het Hof wordt ook verzocht om in elk geval ten dele, namelijk ten aanzien van de gegevens die daadwerkelijk zijn verstrekt, vast te stellen wat de voorwaarden zijn voor toepassing van artikel 7, onder f), van de richtlijn en welke en hoeveel persoonsgegevens die degene die om gegevens vraagt, overeenkomstig deze bepaling kan verkrijgen.
35. Deze conclusie is daarom als volgt opgebouwd. In de eerste plaats zal ik uiteenzetten waarom de instantie die de gegevens in haar bezit heeft, naar mijn mening op grond van de richtlijn niet verplicht is om deze gegevens te verstrekken (deel A). In de tweede plaats zal ik, teneinde de verwijzende rechterlijke instantie een volledig en zinvol antwoord in deze zaak te verschaffen, uiteenzetten wat de voorwaarden zijn voor toepassing van artikel 7, onder f), van de richtlijn en welke en hoeveel persoonsgegevens kunnen worden verstrekt indien aan de voorwaarden is voldaan (deel B).
A. Verplichting tot het verstrekken van gegevens
36. De verwijzende rechterlijke instantie wenst te vernemen of op grond van artikel 7, onder f), van de richtlijn persoonsgegevens moeten worden verstrekt met het doel een civielrechtelijke procedure in te leiden. Met andere woorden: de verwijzende rechterlijke instantie wenst te vernemen of de richtlijn zelf een verplichting oplegt om die persoonsgegevens te verstrekken.
37. Naar mijn mening kan een dergelijke verplichting niet uit de richtlijn zelf worden afgeleid. Dat volgt ondubbelzinnig uit de tekst, de structuur en het doel van de richtlijn.
38. Wat om te beginnen de structuur en de logica van de richtlijn betreft, geldt dat de onderliggende standaardregel ervan is dat persoonsgegevens in de regel niet mogen worden verwerkt, ter waarborging van een hoog niveau van bescherming van het privéleven.(4) De verwerking van persoonsgegevens dient dan ook, naar de aard ervan, de uitzondering te blijven.
39. Artikel 7 past binnen die structuur. Deze bepaling voorziet in een lijst van uitzonderingen op de standaardregel, in welke gevallen gegevensverwerking gerechtvaardigd is wanneer aan strikt omschreven voorwaarden is voldaan. De in artikel 7 genoemde categorieën zijn derhalve uitzonderingen op de algemene regel.
40. Tegen deze achtergrond bevestigt de tekst van artikel 7 duidelijk dat de opgesomde categorieën louter moeten worden gezien als het verlenen van een bevoegdheid of mogelijkheid om persoonsgegevens te verwerken, en niet als een verplichting, wanneer de feitelijke situatie binnen een van de wettelijke uitzonderingen valt. Overeenkomstig deze bepaling bepalen de lidstaten „dat de verwerking van persoonsgegevens slechts mag geschieden indien...”.(5) Die bewoordingen, die ook in de andere taalversies zijn gebruikt(6), laten duidelijk zien dat de uitzonderingen van artikel 7 inderdaad uitzonderingen zijn. Er kan geen verplichting uit worden afgeleid om persoonsgegevens te verwerken.
41. Het feit dat in elk geval enkele van de in artikel 7 opgenomen uitzonderingen rechtstreekse werking hebben(7), doet aan de eerdere conclusie niet af. Zij doen niet noodzakelijkerwijs een recht op de verkrijging van informatie ontstaan voor degenen die daarom verzoeken, en evenmin doen zij een daaruit voortvloeiende verplichting tot onthulling ontstaan voor degenen die deze informatie bezitten. Artikel 7 voorziet eerder in algemene regels opdat de gegevensverwerker kan vaststellen wanneer, of, hoe en in welke mate verkregen persoonsgegevens mogen worden verwerkt.
42. Ten slotte bestaat het algemene doel van de richtlijn erin, binnen de EU te voorzien in gemeenschappelijke grenzen of beperkingen voor verwerking van persoonsgegevens. De concrete en individuele gronden en redenen voor de verwerking moeten dan doorgaans in het nationale recht of in andere rechtsinstrumenten van de EU worden gezocht. De richtlijn stelt met andere woorden grenzen aan de gegevensverwerking en voorziet niet in bevordering ervan.
43. De tekst, de structuur, de logica en het doel van de richtlijn laten dan ook vrij duidelijk zien dat artikel 7, onder f), van de richtlijn niet in de zin kan worden gelezen dat daaruit uit zichzelf een verplichting voortvloeit om persoonsgegevens te verstrekken.
44. In een breder systematisch kader en subsidiair kan hieraan worden toegevoegd dat een vergelijkbare structuur niet ongewoon is op andere gebieden van het EU-recht waarin instrumenten van afgeleid EU-recht rechtstreeks of indirect aan persoonsgegevens raken.
45. Richtlijn 2002/58/EG(8) betreffende de persoonlijke levenssfeer en de sector elektronische communicatie bijvoorbeeld, die ten aanzien van de elektronische communicatie sector een aanvulling vormt op richtlijn 95/46, bevat evenmin een verplichting tot het verstrekken van informatie. Het Hof maakte in de zaak Promusicae duidelijk dat de eerstgenoemde richtlijn de lidstaten niet belet en ook niet dwingt om in het kader van een civielrechtelijke procedure een verplichting tot het verstrekken van persoonsgegevens op te leggen.(9) De lidstaten moeten hierover dus zelf beslissen. Het is geen noodzakelijk gevolg van het Unierecht.
46. In dezelfde zin heeft het Hof geoordeeld dat andere richtlijnen(10), die raken aan persoonsgegevens maar hoofdzakelijk beogen de doeltreffende bescherming van de intellectuele eigendom in de informatiemaatschappij te waarborgen(11), evenmin aan de lidstaten de verplichting oplegden om persoonsgegevens te verstrekken teneinde in het kader van een civielrechtelijke procedure de doeltreffende bescherming van het auteursrecht te garanderen.(12)
B. Bevoegdheid tot het verstrekken van gegevens
47. Zoals de verwijzende rechterlijke instantie heeft opgemerkt, heeft de verwerende partij wel degelijk enige persoonsgegevens verkregen: de voor- en achternaam van de betrokkene. Voor het overige is zijn verzoek afgewezen. Naar ik veronderstel, moet dit op grond van het nationale recht zijn gebeurd.
48. Met betrekking tot de persoonsgegevens die daadwerkelijk zijn verstrekt, is het daarom van belang of het verstrekken ervan al dan niet in overeenstemming was met artikel 7 van de richtlijn.
49. Er moet echter duidelijk worden benadrukt dat het hiernavolgende gedeelte van deze conclusie betrekking heeft op de bevoegdheid om persoonsgegevens te verstrekken in een feitelijke situatie zoals aan de orde in het hoofdgeding, op voorwaarde dat het nationale recht een rechtsgrondslag voor dat verstrekken biedt. Met andere woorden, welke grenzen stelt het EU-recht in een dergelijke situatie aan het verstrekken van persoonsgegevens? Indien het nationale recht in een vergelijkbare situatie zou bepalen dat persoonsgegevens moeten worden verstrekt, zou een dergelijke verstrekking dan in overeenstemming met artikel 7, onder f), van de richtlijn zijn?
50. Naar mijn mening is het in een situatie als aan de orde in het hoofdgeding geheel in overeenstemming met artikel 7, onder f), van de richtlijn om die persoonsgegevens te verstrekken die volstaan en voldoende nauwkeurig zijn opdat de benadeelde partij een civielrechtelijke procedure aanhangig kan maken.
51. Ik zal daarom in dit deel in de eerste plaats onderzoeken wat op grond van de richtlijn in een vergelijkbare feitelijke situatie de juiste rechtsgrondslag is voor het verwerken van persoonsgegevens. In de tweede plaats zal ik de voorwaarden voor toepassing van artikel 7, onder f), van de richtlijn uiteenzetten. In de derde plaats zal ik de onderhavige zaak tegen de achtergrond van deze voorwaarden bespreken.
1. De juiste rechtsgrondslag volgens artikel 7 van de richtlijn
52. Een eerste vraag die in zowel de schriftelijke stukken als in de mondelinge opmerkingen aan de orde is gekomen, is welk punt van artikel 7 van de richtlijn in een feitelijke situatie als aan de orde in het hoofdgeding van toepassing zou zijn.
53. De meeste partijen en interveniënten hebben het door de verwijzende rechterlijke instantie ingeroepen artikel 7, onder f), aangevoerd. De Oostenrijkse regering heeft echter in haar schriftelijke opmerkingen betoogd dat artikel 7, onder f), van de richtlijn niet de juiste rechtsgrondslag is, zelfs niet voor het instellen van een civielrechtelijke procedure. Dat komt doordat de in deze bepaling neergelegde grond voor gegevensverwerking te abstract en onnauwkeurig zou zijn. Om die reden kan deze bepaling een dergelijke beperking van het recht van gegevensbescherming niet rechtvaardigen.
54. De Commissie heeft zich in haar schriftelijke opmerkingen toegespitst op artikel 7, onder f). In haar mondelinge opmerkingen heeft zij echter eveneens gesuggereerd dat de gegevensverwerking als aan de orde in het hoofdgeding ook onder artikel 7, onder c), of artikel 7, onder e), van de richtlijn zou kunnen vallen.
55. Artikel 7 van de richtlijn zet verschillende rechtsgrondslagen voor het rechtmatig verwerken van gegevens uiteen en maakt daarbij een onderscheid tussen zes scenario’s. Om te mogen worden verwerkt dienen deze gegevens ten minste onder één van de in artikel 7 genoemde categorieën te vallen. Het is echter duidelijk dat de werkingssfeer en de ratio van deze bepalingen verschillend zijn.
56. In ruimere en abstracte zin bevat artikel 7 drie soorten uitzonderingen, te weten gevallen waarin de verwerking van persoonsgegevens rechtmatig is: ten eerste, indien de betrokkene zijn toestemming heeft verleend [artikel 7, onder a)]; ten tweede, indien in bepaalde mate ervan wordt uitgegaan dat de voor de verwerking verantwoordelijke of derden gerechtvaardigde belangen hebben [artikel 7, onder b) tot en met e)], en ten derde, indien tegengestelde gerechtvaardigde belangen niet alleen worden vastgesteld, maar deze ook prevaleren boven de rechten en vrijheden van de betrokkene [artikel 7, onder f)].
57. De werkingssfeer van artikel 7, onder f), is dan ook ruimer dan die van artikel 7, onder c), of artikel 7, onder e). De eerstgenoemde bepaling is niet gebonden aan specifieke juridische of feitelijke omstandigheden, maar is in nogal algemene bewoordingen geformuleerd. De toepassing ervan is echter strenger, omdat het afhankelijk is gesteld van het daadwerkelijke bestaan van gerechtvaardigde belangen van de voor de verwerking verantwoordelijke of van een derde, die prevaleren boven de belangen van de betrokkene. Artikel 7, onder c), en artikel 7, onder e), stellen dit vereiste niet.
58. Wetenschappelijke discussies daargelaten, verdienen twee aspecten echter de aandacht. In de eerste plaats sluiten de in artikel 7 opgenomen uitzonderingen elkaar niet uit. Twee, of mogelijkerwijze zelfs alle drie de punten zouden van toepassing kunnen zijn op hetzelfde feitencomplex.(13) In de tweede plaats is het praktische verschil in de toepassing, ondanks de enigszins andere formulering, waarschijnlijk nogal minimaal, op voorwaarde dat er sprake is van een duidelijk omschreven en geloofwaardig gerechtvaardigd belang.
59. Rekening houdend met die voorbehouden, maar mij voegend naar de nationale rechterlijke instantie, die beschikt over volledige kennis van de feiten van de zaak en van het nationale recht zoals dat in de vraag is uiteengezet en die artikel 7, onder f), van de richtlijn als de toepasselijke uitzondering inroept, dient het Hof naar mijn mening op die grondslag te werk te gaan.
2. De voorwaarden en de werkingssfeer van artikel 7, onder f), van de richtlijn
60. Artikel 7, onder f), voorziet in twee cumulatieve voorwaarden. Aan beide voorwaarden moet worden voldaan wil een verwerking van persoonsgegevens rechtmatig zijn. Ten eerste dient de verwerking van de persoonsgegevens noodzakelijk te zijn voor de behartiging van het gerechtvaardigde belang van de voor de verwerking verantwoordelijke of van de derde(n) aan wie de gegevens worden verstrekt. Ten tweede mogen het belang of de fundamentele rechten en vrijheden van de betrokkene niet prevalerenboven het gerechtvaardigde belang.(14)
61. De tweede voorwaarde streeft een afweging van de betrokken belangen na. Voor didactische doeleinden kan de eerste voorwaarde in twee sub‑voorwaarden worden opgedeeld: het gerechtvaardigd belang zelf enerzijds, en het noodzakelijke karakter van de verwerking, dus een soort van evenredigheidstoets, anderzijds.
62. Voor de toepassing van artikel 7, onder f), dienen er derhalve drie elementen aanwezig te zijn: het bestaan van een gerechtvaardigd belang ter rechtvaardiging van de verwerking (a); dat belang dient te prevaleren boven de rechten en belangen van de betrokkene (belangenafweging) (b), en de noodzaak van de verwerking voor de bescherming van het gerechtvaardigde belang (c).
a) Gerechtvaardigd belang
63. In de eerste plaats wordt aan verwerking in de zin van artikel 7, onder f), van de richtlijn de voorwaarde gesteld dat er een gerechtvaardigd belang van de voor de verwerking verantwoordelijke of van de derde bestaat.
64. In de richtlijn wordt het begrip „gerechtvaardigd belang” niet gedefinieerd.(15) Degene die de gegevens verwerkt of daarvoor verantwoordelijk is, dient derhalve, onder toezicht van de nationale rechter, te bepalen of er sprake is van een gerechtvaardigd belang dat een inmenging in het privéleven zou kunnen rechtvaardigen.
65. Het Hof heeft reeds geoordeeld dat transparantie(16) en de bescherming van de eigendom, de gezondheid en het gezinsleven(17) gerechtvaardigde belangen zijn. Het begrip gerechtvaardigd belang is voldoende flexibel om rekening te houden met andere overwegingen. Ik twijfel er niet aan dat het belang van een derde bij het verkrijgen van persoonsgegevens van degene die schade heeft aangebracht aan zijn eigendom, teneinde de schade op deze persoon in rechte te verhalen, als een gerechtvaardigd belang kan worden aangemerkt.
b) Belangenafweging
66. De tweede voorwaarde heeft betrekking op de afweging van twee categorieën tegengestelde belangen, te weten de belangen en rechten van de betrokkene(18) en de belangen van de voor de verwerking verantwoordelijke of van de derde(n). De voorwaarde dat er een belangenafweging moet plaatsvinden volgt duidelijk uit zowel artikel 7, onder f), als uit de ontstaansgeschiedenis van de richtlijn. Wat de tekst van laatstgenoemde betreft, vereist artikel 7, onder f), dat het gerechtvaardigd belang van de betrokkene zelf wordt afgewogen tegen het gerechtvaardigd belang van de voor de verwerking verantwoordelijke of van de derde(n). De ontstaansgeschiedenis bevestigt dat de belangenafweging al, op enigszins verschillende wijze, was voorzien in het oorspronkelijke Commissievoorstel(19) en ook in het gewijzigde voorstel na de eerste lezing in het Europees Parlement.(20)
67. Het Hof heeft geoordeeld dat toepassing van artikel 7, onder f), een afweging van de betrokken tegengestelde rechten en belangen vereist. Rekening moet worden gehouden met het belang van de uit de artikelen 7 en 8 van het Handvest voortvloeiende rechten van de betrokkene.(21) Een dergelijke afweging dient per geval plaats te vinden.(22)
68. De belangenafweging is de sleutel tot de juiste toepassing van artikel 7, onder f). Het is juist daardoor dat artikel 7, onder f), zich geheel onderscheidt van de andere bepalingen van artikel 7. De belangenafweging hangt altijd af van de omstandigheden van het concrete geval. Daarom heeft het Hof benadrukt dat lidstaten voor bepaalde categorieën persoonsgegevens de uitkomst van de afweging van de tegengestelde rechten en belangen dan ook niet definitief mogen vaststellen, zonder ruimte te bieden voor een afwijkende uitkomst wegens de bijzondere omstandigheden van het concrete geval.(23)
69. Teneinde die belangenafweging op een zinvolle manier uit te voeren dient in het bijzonder rekening te worden gehouden met de aard en de gevoeligheid van de gevraagde gegevens, de mate van openbaarheid ervan(24) en de ernst van de gepleegde overtreding. Een van de mogelijke elementen die bij de afweging moet worden meegenomen en die van belang is in de onderhavige zaak, is de leeftijd van de betrokkene.
c) Noodzakelijkheid
70. Wat de noodzakelijkheid, of, op een zekere manier, de evenredigheid („basic proportionality”) betreft, heeft het Hof in het algemeen geoordeeld dat de uitzonderingen en beperkingen ter zake van de bescherming van persoonsgegevens binnen de grenzen van het strikt noodzakelijke moeten blijven.(25) De aard en de hoeveelheid gegevens die mogen worden verwerkt, moeten dan ook binnen de perken blijven van wat noodzakelijk is voor de aan de orde zijnde gerechtvaardigde belangen.
71. De evenredigheidstoets behelst een beoordeling van de verhouding tussen doelen en gekozen middelen. De gekozen middelen mogen niet verder gaan dan noodzakelijk is. Die logica werkt echter ook in tegengestelde richting: de middelen moeten geschikt zijn om het beoogde doel te bereiken.
72. Praktisch gezien heeft de voor de gegevensverwerking verantwoordelijke die dient te beoordelen of aan het noodzakelijkheidsvereiste is voldaan, twee mogelijkheden. Hij kan ofwel geen informatie verstrekken, of hij dient, indien hij besluit over te gaan tot gegevensverwerking, al de – voor de behartiging van het gerechtvaardigde belang – noodzakelijke gegevens te verstrekken.(26)
73. In de eerste plaats eisen artikel 6, lid 1, onder c), en overweging 28 van de richtlijn dat de persoonsgegevens toereikend, ter zake dienend en niet bovenmatig zijn, uitgaande van de doeleinden waarvoor zij worden verzameld of waarvoor zij vervolgens worden verwerkt.(27) Uit deze bepalingen volgt derhalve dat de verstrekte gegevens ook toereikend en ter zake dienend moeten zijn voor de behartiging van het gerechtvaardigde belang.
74. In de tweede plaats vereist het gezonde verstand een redelijke aanpak van de gegevens die daadwerkelijk moeten worden verwerkt. Degenen die om informatie vragen, dienen de nuttige en relevante gegevens te ontvangen die noodzakelijk en voldoende zijn ter bescherming van hun eigen gerechtvaardigde belang, zonder dat zij een verzoek moeten doorsturen aan een andere instantie die wellicht ook over deze gegevens beschikt.
75. Om een metafoor te gebruiken: de toepassing van het noodzakelijkheidscriterium mag er niet toe leiden dat de behartiging van een gerechtvaardigd belang in een Kafkaiaanse jacht op een schat verandert die sterk doet denken aan een aflevering van Fort Boyard, waarin de deelnemers van de ene ruimte naar de andere worden gestuurd om verschillende aanwijzingen te verzamelen en zo uiteindelijk de te bereiken plek te raden.
76. Tot slot moet worden herhaald dat de vraag welke gegevens precies moeten worden verstrekt, een aangelegenheid van nationaal recht is. Het is mogelijk dat het nationale recht alleen tot het gedeeltelijk verstrekken van gegevens verplicht, terwijl dat op zichzelf onvoldoende zou zijn. Dat is inderdaad mogelijk. Het feit dat de nationale wettelijke regeling praktisch gezien weinig zinvol lijkt, betekent niet dat deze wettelijke regeling automatisch onverenigbaar met het EU-recht is, mits die wettelijke regeling binnen de regelgevingsruimte van de lidstaten blijft. Hetgeen hier wordt gesuggereerd, is dat artikel 7, onder f), van de richtlijn zich niet verzet tegen de volledige verstrekking van alle gegevens die noodzakelijk zijn ter verwezenlijking van een legitiem doel, mits aan de overige voorwaarden is voldaan.
3. Toepassing op het onderhavige geval
77. Nu ik het algemene kader van de analyse uiteengezet heb, kom ik thans tot de onderhavige zaak, met het voorbehoud dat het uiteraard uiteindelijk aan de nationale rechter staat om, gelet op zijn uitgebreide kennis van de feiten en het nationale recht, een beslissing te nemen.
78. Rīgas Satiksme heeft de politie verzocht om het adres en het nummer van de identiteitskaart van de taxipassagier teneinde in een civielrechtelijke procedure de geleden schade te kunnen verhalen.
79. In de eerste plaats is de uitoefening in rechte van een recht als aan de orde in het hoofdgeding een gerechtvaardigd belang in de zin van artikel 7, onder f), zoals de Tsjechische, de Spaanse en de Portugese regering terecht hebben betoogd.
80. Dit wordt ook bevestigd door artikel 8, lid 2, onder e), van de richtlijn, dat bepaalt dat de verwerking van bepaalde gevoelige gegevens mogelijk is wanneer „de verwerking […] noodzakelijk is voor de vaststelling, de uitoefening of de verdediging van een recht in rechte”. Indien de uitoefening van een recht in rechte de verwerking van gevoelige gegevens kan rechtvaardigen op grond van artikel 8, zie ik niet in waarom dat niet a fortiori als een gerechtvaardigd belang kan worden beschouwd ter rechtvaardiging van de verwerking van niet-gevoelige gegevens op grond van artikel 7, onder f). Die uitlegging volgt ook uit een pragmatische benadering van de richtlijn tegen de achtergrond van de andere instrumenten van afgeleid recht (hierboven genoemd) die streven naar een evenwicht tussen privacy en een doeltreffende rechterlijke bescherming.(28)
81. In de tweede plaats zie ik, wat de belangenafweging in het algemeen betreft, geen reden waarom de belangen of de fundamentele rechten van de betrokkene zouden moeten prevaleren boven het specifieke legitieme doel van de benadeelde partij om een civielrechtelijke procedure in te stellen. In deze context kan hieraan eventueel worden toegevoegd dat het enige wat de verwerende partij in feite vraagt, de mogelijkheid is om een gerechtelijke procedure bij een civiele rechter in te stellen. Het verschaffen van die gegevens zou daarmee op zichzelf niet eens tot een onmiddellijke verandering van de rechtspositie van de betrokkene leiden.
82. Zoals de Portugese regering terecht heeft aangevoerd, dient juist in de fase van de belangenafweging de leeftijd van de betrokkene in aanmerking te worden genomen.
83. De verwijzende rechterlijke instantie wenst inderdaad te vernemen in hoeverre het relevant is dat de taxipassagier ten tijde van het ongeval minderjarig was. Naar mijn mening, en gelet op de bijzondere omstandigheden van deze zaak, is dat niet van belang.
84. In de regel dient in het kader van de belangenafweging inderdaad rekening te worden gehouden met het feit dat de betrokkene minderjarig is. De bijzondere overwegingen die zijn gewijd aan, en de verhoogde bescherming van, minderjarige kinderen, dienen echter duidelijk samen te hangen met het soort aan de orde zijnde gegevensverwerking. Tenzij precies wordt aangetoond op welke wijze het verstrekken van gegevens in dit specifieke geval bijvoorbeeld de lichamelijke of geestelijke ontwikkeling van een kind in gevaar brengt, zie ik geen reden om aan te nemen dat het feit dat de schade door een minderjarige is veroorzaakt, daadwerkelijk tot uitsluiting van de civiele aansprakelijkheid zou moeten leiden.
85. Indien de uitkomst van de belangenafweging zou zijn dat de belangen van de betrokkene niet prevaleren boven de belangen van degene die om verstrekking van persoonsgegevens verzoekt, rijst er nog een laatste vraag, namelijk de vraag welke gegevens moeten worden verstrekt.
86. Het staat ook hier aan de verwijzende rechterlijke instantie om te onderzoeken op welke rechtsgrondslag in het nationale recht deze verstrekking moet plaatsvinden. Wanneer deze grondslag eenmaal vaststaat, verzet het „noodzakelijkheidscriterium” van artikel 7, onder f), van de richtlijn zich naar mijn mening zeker niet tegen de verstrekking van alle gegevens die noodzakelijk zijn om naar Lets recht een civielrechtelijke procedure in te stellen.
87. De Letse regering heeft betoogd dat volgens vaste rechtspraak de bescherming van het grondrecht op privacy vereist dat de afwijkingen van de bescherming van persoonsgegevens en de beperkingen daarop, beperkt moeten blijven tot hetgeen strikt noodzakelijk is. Hoewel deze regering heeft erkend dat er alternatieve mogelijkheden waren om aanvullende gegevens te verkrijgen, heeft zij toegegeven dat de voor- en achternaam waarschijnlijk onvoldoende waren om een recht in rechte uit te oefenen, en de beoordeling daarvan bijgevolg aan de nationale rechter voorgelegd.
88. Opgemerkt moet worden dat artikel 8, lid 7, van de richtlijn de lidstaten speelruimte laat om te bepalen of zij identificatienummers al dan niet verstrekken. De lidstaten zijn bijgevolg niet verplicht om identificatienummers te verwerken, tenzij dit absoluut noodzakelijk is om een civielrechtelijke procedure in te kunnen stellen.
89. Niet zozeer de precieze aard van de gegevens is van belang, maar het bezit van alle relevante gegevens die absoluut noodzakelijk zijn om een recht in rechte te kunnen uitoefenen. Indien naar nationaal recht het adres hiertoe voldoende is, hoeven er geen nadere gegevens te worden verstrekt.
90. Het staat aan de nationale rechter om vast te stellen hoeveel persoonsgegevens noodzakelijk zijn opdat Rīgas satiksme naar Lets recht doeltreffend een procedure in rechte(29) kan instellen. Ik wil enkel nog benadrukken dat, zoals reeds uiteengezet in de punten 74 en 75 van deze conclusie, het bestaan van alternatieven om de noodzakelijke persoonsgegevens te verkrijgen, niet relevant is voor de toepassing van artikel 7, onder f). Rīgas satiksme moet in staat zijn om alle noodzakelijke gegevens te verkrijgen van de voor de gegevensverwerking verantwoordelijke tot wie hij het verzoek heeft gericht.
C Een epiloog ten gunste van gegevensbescherming
91. Deze zaak is enigszins bijzonder. De verwijzende rechterlijke instantie wenst in wezen te vernemen of een uitzondering die de verwerking van persoonsgegevens toestaat, kan worden uitgelegd als een verplichting voor de voor de gegevensverwerking verantwoordelijke om de identiteit kenbaar te maken van een persoon die een auto-ongeluk heeft veroorzaakt. Het lijkt erop dat deze vraag in werkelijkheid wordt gesteld, omdat het op nationaal niveau uit hoofde van de gegevensbescherming moeilijk, dan wel onmogelijk, is om dergelijke gegevens te verkrijgen.
92. Wanneer we kijken naar de feiten van de zaak, zou een niet-geïnformeerde omstander de volgende onschuldige vraag kunnen stellen: is het in een zaak waarin het gaat om een individueel verzoek om de identiteit kenbaar te maken van de persoon die schade heeft toegebracht aan de eigendom van degene die het verzoek heeft gedaan, opdat laatstgenoemde een procedure in rechte jegens deze persoon kan instellen om de schade te kunnen verhalen, daadwerkelijk noodzakelijk dat de politie op meerdere momenten de belangen van partijen afweegt en een evenredigheidstoets uitvoert, dat er een langdurige procedure volgt en dat er een advies komt van de nationale privacytoezichthouder?
93. De onderhavige zaak is opnieuw een voorbeeld(30) waarin de wetgeving inzake gegevensbescherming doorwerkt en wordt toegepast in nogal verrassende omstandigheden. Het leidt – en niet alleen voor de niet-geïnformeerde omstander – tot een bepaald intellectueel onbehagen wat de redelijke toepassing en functie van de regels inzake gegevensbescherming betreft. Ik maak van deze gelegenheid gebruik om hierover enkele afsluitende opmerkingen te maken.
94. Het lijdt geen twijfel dat de bescherming van persoonsgegevens van essentieel belang is in het digitale tijdperk. Het Hof heeft een vooraanstaande rol gespeeld bij de ontwikkeling van de rechtspraak op dit gebied(31), en terecht.
95. De aangehaalde zaken hebben echter betrekking op de hoofdbekommernis van de bescherming van persoonsgegevens, waarvoor deze oorspronkelijk in het leven is geroepen en krachtdadig moet worden beschermd: grootschalige verwerking van persoonsgegevens door automatische en digitale middelen, in elke vorm, zoals compilatie, beheer, en gebruik van omvangrijke gegevensbestanden, de overdracht van gegevensbestanden voor andere dan rechtmatige doeleinden, het verzamelen en archiveren van metagegevens enzovoorts.
96. Net als op andere rechtsgebieden dienen de regels betreffende een bepaalde activiteit voldoende flexibel te zijn om alle situaties te dekken die zich kunnen voordoen. Dat brengt echter het risico met zich mee dat deze regels te ruim worden uitgelegd en toegepast. Dit zou ertoe kunnen leiden dat deze regels ook worden toegepast in een situatie waarin het verband met het oorspronkelijke doel zwak en twijfelachtig is. De te ruime en in zekere mate „absolute” toepassing zou er uiteindelijk ook toe kunnen leiden dat het oorspronkelijke doel, dat op zichzelf erg belangrijk en legitiem was, in diskrediet wordt gebracht.
97. Het Hof heeft in de zaak Promusicae in het algemeen de noodzaak benadrukt dat de uitlegging van richtlijnen betreffende persoonsgegevens een juist evenwicht tussen de verschillende door de rechtsorde van de EU beschermde grondrechten verzekert.(32)
98. Hieraan kan wellicht een zekere regel van gezond verstand worden toegevoegd, die bij de belangenafweging zou moeten worden toegepast. Deze regel komt erop neer dat het oorspronkelijke en wezenlijke (zeker niet het enige, maar eenvoudigweg het wezenlijke) doel van de wetgeving voor ogen wordt gehouden: activiteiten op grotere schaal die door mechanische en automatische middelen worden uitgevoerd, en het gebruik en de overdracht van de gegevens die op deze manier zijn verkregen. Naar mijn bescheiden mening vereist een situatie waarin een persoon om één enkel stuk verzoekt ten aanzien van een specifiek persoon in een concrete relatie, echter een veel lichtere toets, wanneer er een duidelijk en geheel legitiem doel bestaat dat voortvloeit uit de normale toepassing van het recht.
99. Samengevat, gezond verstand is weliswaar geen rechtsbron, maar dient zeker een rol te spelen om richting te geven aan de uitlegging van het recht. Het zou uiterst ongelukkig zijn indien de bescherming van persoonsgegevens zou ontaarden in een belemmering door persoonsgegevens.
V. Conclusie
100. Gelet op het voorgaande, geef ik het Hof in overweging de vraag van de Augstākā tiesa, Administratīvo lietu departaments (hoogste rechter in bestuurszaken, Letland) te beantwoorden als volgt:
„Artikel 7, onder f), van richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens kan niet aldus worden uitgelegd dat de voor de verwerking verantwoordelijke verplicht is om de persoonsgegevens te verstrekken waar een derde om heeft verzocht teneinde een civielrechtelijke procedure in te stellen.
Artikel 7, onder f), van de richtlijn verzet zich er echter niet tegen dat deze gegevens worden verstrekt, mits het nationale recht het verstrekken van persoonsgegevens in situaties als aan de orde in het hoofdgeding mogelijk maakt. Het feit dat de betrokkene ten tijde van het ongeval minderjarig was, is in dit verband niet relevant.”