CONCLUSIE VAN ADVOCAAT-GENERAAL
J. KOKOTT
van 20 juli 2017 (1)
Zaak C‑434/16
Peter Nowak
tegen
Data Protection Commissioner
[verzoek van de Supreme Court (hoogste rechterlijke instantie, Ierland) om een prejudiciële beslissing]
„Prejudiciële verwijzing – Richtlijn 95/46/EG – Verwerking van persoonsgegevens – Begrip ,persoonsgegevens’ – Toegang tot eigen schriftelijk examenwerk – Opmerkingen van de examinator”
I. Inleiding
1. Bestaat examenwerk uit persoonsgegevens, hetgeen zou kunnen impliceren dat de examenkandidaat op basis van de richtlijn gegevensbescherming(2) van de organisator van het examen inzage in zijn eigen werk kan verlangen? Deze vraag is aan de orde in het onderhavige verzoek om een prejudiciële beslissing van de Supreme Court (hoogste rechterlijke instantie, Ierland). In het hoofdgeding gaat het echter niet rechtstreeks om inzage in examenwerk, maar om de weigering van de voormalige Ierse toezichthouder voor de gegevensbescherming om een klacht wegens weigering van de toegang in behandeling te nemen.
2. In casu staat de vraag centraal of de in examenwerk vervatte uiteenzettingen van de examenkandidaat persoonsgegevens kunnen zijn. In die context kan echter tevens aandacht worden besteed aan de vraag of relevant is dat het examenwerk met de hand is geschreven en of ook opmerkingen van de examinator in het examenwerk als persoonsgegevens moeten worden gekwalificeerd.
3. Hoewel de richtlijn gegevensbescherming binnenkort zal worden opgevolgd door de nog niet toepasbare algemene verordening gegevensbescherming(3), zal dit met betrekking tot het begrip persoonsgegevens geen veranderingen met zich brengen. Dat betekent dat de onderhavige prejudiciële verwijzing ook van belang is voor de toekomstige toepassing van het Unierecht inzake gegevensbescherming.
II. Toepasselijke bepalingen
4. Artikel 2, onder a), van de richtlijn gegevensbescherming definieert verschillende begrippen, en omschrijft met name wat onder persoonsgegevens moet worden begrepen:
„In de zin van deze richtlijn wordt verstaan onder:
a) ‚persoonsgegevens’, iedere informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon, hierna ‚betrokkene’ te noemen; als identificeerbaar wordt beschouwd een persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificatienummer of van een of meer specifieke elementen die kenmerkend zijn voor zijn of haar fysieke, fysiologische, psychische, economische, culturele of sociale identiteit;
b) ‚verwerking van persoonsgegevens’, hierna ‚verwerking’ te noemen, elke bewerking of elk geheel van bewerkingen met betrekking tot persoonsgegevens, al dan niet uitgevoerd met behulp van geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op enigerlei andere wijze ter beschikking stellen, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens;
c) ‚bestand van persoonsgegevens’, hierna ‚bestand’ te noemen, elk gestructureerd geheel van persoonsgegevens die volgens bepaalde criteria toegankelijk zijn, ongeacht of dit geheel gecentraliseerd dan wel gedecentraliseerd is of verspreid op een functioneel of geografisch bepaalde wijze”.
5. De werkingssfeer van de richtlijn volgt uit artikel 3 ervan:
„1. De bepalingen van deze richtlijn zijn van toepassing op de geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, alsmede op de niet-geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen.
[...]”
6. Artikel 12 van de richtlijn gegevensbescherming regelt het recht van toegang:
„De lidstaten waarborgen elke betrokkene het recht van de voor de verwerking verantwoordelijke te verkrijgen:
a) vrijelijk en zonder beperking, met redelijke tussenpozen en zonder bovenmatige vertraging of kosten:
– uitsluitsel omtrent het al dan niet bestaan van verwerkingen van hem betreffende gegevens, alsmede ten minste informatie over de doeleinden van deze verwerkingen, de categorieën gegevens waarop deze verwerkingen betrekking hebben en de ontvangers of categorieën ontvangers aan wie de gegevens worden verstrekt;
– verstrekking, in begrijpelijke vorm, van de gegevens die zijn verwerkt, alsmede de beschikbare informatie over de oorsprong van de gegevens;
– mededeling van de logica die ten grondslag ligt aan de automatische verwerking van hem betreffende gegevens, in elk geval als het gaat om de geautomatiseerde besluiten als bedoeld in artikel 15, lid 1;
b) naargelang van het geval, de rectificatie, de uitwissing of de afscherming van de gegevens waarvan de verwerking niet overeenstemt met de bepalingen van deze richtlijn, met name op grond van het onvolledige of onjuiste karakter van de gegevens”.
7. Overweging 41 geeft een toelichting op het doel van het recht op toegang:
„Overwegende dat eenieder over het recht moet kunnen beschikken toegang te verkrijgen tot de gegevens die het voorwerp van een verwerking vormen en hemzelf betreffen, zodat hij zich van de juistheid en de rechtmatigheid van de verwerking ervan kan vergewissen; [...]”
8. Artikel 13, lid 1, van de richtlijn gegevensbescherming vormt de grondslag voor uitzonderingen op bepaalde regelingen:
„1. De lidstaten kunnen wettelijke maatregelen treffen ter beperking van de reikwijdte van de in artikel 6, lid 1, artikel 10, artikel 11, lid 1, artikel 12 en artikel 21 bedoelde rechten en plichten indien dit noodzakelijk is ter vrijwaring van
a) de veiligheid van de staat;
b) de landsverdediging;
c) de openbare veiligheid;
d) het voorkomen, het onderzoeken, opsporen en vervolgen van strafbare feiten of schendingen van de beroepscodes voor gereglementeerde beroepen;
e) een belangrijk economisch en financieel belang van een lidstaat of van de Europese Unie, met inbegrip van monetaire, budgettaire en fiscale aangelegenheden;
f) een taak op het gebied van controle, inspectie of regelgeving, verbonden, ook al is dit incidenteel, met de uitoefening van het openbaar gezag in de onder c), d) en e), bedoelde gevallen;
g) de bescherming van de betrokkene of van de rechten en vrijheden van anderen.”
III. Feiten en verzoek om een prejudiciële beslissing
9. Nowak was als Trainee Accountant (accountant/belastingadviseur in opleiding) geslaagd voor verschillende examens bij het Institute of Chartered Accountants of Ireland (beroepsorganisatie van de accountants/belastingadviseurs in Ierland; hierna: „CAI”), maar vier keer gezakt voor het examen Strategic Finance and Management Accounting. Het gaat hierbij om een examen waarbij eigen referentiemateriaal mag worden meegebracht („openboekexamen”).
10. Na de vierde poging, in het najaar van 2009, was Nowak voornemens de uitslag aan te vechten, maar besloot uiteindelijk, in mei 2010, om een verzoek tot inzage in zijn gegevens in te dienen op grond van het Ierse recht inzake gegevensbescherming en om toegang te verzoeken tot alle hem betreffende „persoonsgegevens” waarover het CAI beschikte.
11. Bij brief van 1 juni 2010 legde het CAI zeventien stukken over aan Nowak, maar weigerde diens schriftelijk examenwerk vrij te geven op grond van het feit dat het CAI was meegedeeld dat dat werk geen „persoonsgegevens” betreft in de zin van de wetgeving inzake gegevensbescherming.
12. Nowak nam vervolgens contact op met het bureau van de Data Protection Commissioner (Ierse toezichthouder voor de gegevensbescherming; hierna: „DPC”), en verzocht om bijstand. Hij betwistte de opvatting dat het bij zijn examenwerk niet om persoonsgegevens zou gaan. In juni 2010 deelde de DPC Nowak per mail onder andere mede dat „in het algemeen [wat gegevensbescherming betreft] geen rekening wordt gehouden met schriftelijk examenwerk [...] omdat het hierbij doorgaans niet om persoonsgegevens gaat”.
13. De correspondentie tussen Nowak en de toenmalige DPC over de vrijgegeven informatie werd voortgezet en leidde ertoe dat Nowak op 1 juli 2010 een formele klacht indiende. Op 21 juli 2010 deelde de DPC Nowak schriftelijk mee dat hij, na de gegevens opnieuw te hebben onderzocht, geen wezenlijke schending van het recht inzake gegevensbescherming had kunnen vaststellen. Voorts wees hij erop dat het bij het materiaal met betrekking waartoe Nowak „een recht op rectificatie” wilde uitoefenen „niet gaat om persoonsgegevens waarop [het recht inzake gegevensbescherming] van toepassing is.” De DPC nam de klacht derhalve niet verder in behandeling.
14. Nowak stelde tegen die beslissing beroep in bij de Ierse rechters. Thans is de zaak aanhangig bij de Supreme Court, die de volgende prejudiciële vragen voorlegt aan het Hof:
„1) Kunnen gegevens die in of als antwoorden door een kandidaat tijdens een beroepsexamen worden opgeschreven, persoonsgegevens zijn in de zin van richtlijn 95/46/EG?
2) Indien het antwoord op vraag 1 luidt dat alle of sommige van dergelijke gegevens persoonsgegevens kunnen zijn in de zin van de richtlijn, welke factoren zijn dan relevant voor de vaststelling of het in een bepaald geval bij dergelijk schriftelijk examenwerk om persoonsgegevens gaat, en hoe zwaar dienen dergelijke factoren te wegen?”
15. Tijdens de procedure voor het Hof hebben Nowak en de huidige DPC als partijen in het hoofdgeding, de Helleense Republiek, Ierland, de Republiek Polen, de Portugese Republiek, de Republiek Oostenrijk, Hongarije, de Tsjechische Republiek en de Europese Commissie schriftelijke opmerkingen ingediend. Ter terechtzitting op 22 juni 2017 waren naast Nowak en de DPC ook Ierland en de Europese Commissie vertegenwoordigd.
IV. Juridische beoordeling
16. In de onderhavige prejudiciële verwijzing staat de vraag centraal of examenwerk moet worden beschouwd als persoonsgegevens (zie punt A). Daarnaast stelt een aantal belanghebbenden de vraag aan de orde of eventuele opmerkingen van examinatoren in het examenwerk persoonsgegevens van de examenkandidaat zijn (zie punt B). En ten slotte heeft met name de Commissie verwezen naar verdere voorwaarden voor de toegang tot gegevens uit hoofde van het recht inzake gegevensbescherming (zie punt C).
A. Examen
17. Met zijn twee vragen, die gezamenlijk moeten worden beantwoord, wenst de Supreme Court te vernemen of een schriftelijk examen wordt bestreken door de definitie van persoonsgegevens in de zin van artikel 2, onder a), van de richtlijn gegevensbescherming. Achtergrond van die vraag is dat Nowak, kandidaat bij het betrokken examen, op basis van het recht op inzage uit hoofde van het recht inzake gegevensbescherming, dat is verankerd in artikel 12 van de richtlijn gegevensbescherming, inzage verlangt in zijn examen en in dat verband tevergeefs een klacht heeft ingediend bij de toenmalige DPC.
1. Definitie van persoonsgegevens
18. De richtlijn gegevensbescherming heeft een zeer ruime werkingssfeer en bestrijkt een grote verscheidenheid aan persoonsgegevens.(4) Volgens artikel 2, onder a), moet iedere informatie over een geïdentificeerde of identificeerbare natuurlijke persoon worden beschouwd als persoonsgegevens.
a) Kwalificatie van examenwerken
19. In de visie van de huidige DPC bevat examenwerk, in het bijzonder wanneer het gebruik van eigen referentiemateriaal is toegestaan, geen persoonsgegevens. Die opvatting kan over het algemeen bij een geïsoleerde inaanmerkingneming van de beantwoording van examenvragen als juist worden beschouwd. Aangezien examenvragen normaliter abstract geformuleerd zijn of betrekking hebben op fictieve situaties(5), zouden ook bij de beantwoording ervan geen geïdentificeerde of identificeerbare natuurlijke personen in het geding moeten zijn.
20. Hoewel de vragen van de Supreme Court inderdaad alleen maar betrekking lijken te hebben op de beantwoording, namelijk de „gegevens die [...] door een kandidaat [...] worden opgeschreven”, zou het niet zinvol zijn de analyse niet verder te verdiepen.
21. Zoals vrijwel alle overige belanghebbenden namelijk terecht benadrukken, bevat examenwerk niet alleen gegevens die betrekking hebben op de beantwoording van bepaalde vragen, maar verbindt het deze gegevens ook aan de persoon als examenkandidaat die het werk opstelt. Het werk legt vast dat de betrokken persoon aan een bepaald examen heeft deelgenomen en welk resultaat hij daarbij heeft behaald. Dat dat resultaat verband houdt met de persoon, blijkt tevens uit het feit dat examenkandidaten de belangrijkste examenuitslagen over het algemeen in hun cv vermelden.
22. De vraag of bij een examen eigen antwoorden moeten worden geformuleerd of dat volgens het multiple choice systeem een keuze uit verschillende antwoorden moet worden gemaakt, is voor de kwalificatie van het examenwerk als belichaming van persoonsgegevens evenmin van belang als de in casu gegeven mogelijkheid om bepaalde materialen te raadplegen („openboekexamen”).
23. Het verband tussen de betrokken prestatie en de examenkandidaat is echter sterker naarmate hij de antwoorden zelf moet uitwerken. Bij de zelfstandige uitwerking van een antwoord moet de kandidaat immers meer doen dan enkel de geleerde stof weergeven: in dat geval blijkt ook hoe de kandidaat denkt en te werk gaat.
24. In ieder geval heeft een examen echter – in tegenstelling tot bijvoorbeeld een representatieve enquête – niet tot doel gegevens te verzamelen die losstaan van de persoon. Een examen strekt veeleer ertoe de prestatie van een specifieke persoon, namelijk de examenkandidaat, vast te stellen en te documenteren. Ieder examen is erop gericht een beeld te verkrijgen van de hoogstpersoonlijke en individuele prestatie van de examenkandidaat. Niet voor niets wordt de ongerechtvaardigde gebruikmaking van externe prestaties bij examens als poging tot fraude streng bestraft.
25. Dat betekent dat in examenwerk informatie over de examenkandidaat tot uitdrukking komt en dit in zoverre een bundel van persoonsgegevens vormt.
26. Dat deze conclusie juist is, volgt overigens ook uit het feit dat een examenkandidaat een op de bescherming van zijn privésfeer gebaseerd gerechtvaardigd belang heeft om zich te verzetten tegen de verwerking van het aan hem gekoppelde examenwerk buiten de examenprocedure om. Een examenkandidaat behoeft namelijk niet te aanvaarden dat zijn examenwerk zonder zijn toestemming wordt doorgegeven aan derden, laat staan gepubliceerd.
27. Anders dan de DPC stelt, gaat het bij de in examenwerk tot uitdrukking komende persoonsgegevens om meer dan het resultaat van het examen, het behaalde cijfer of de punten die voor bepaalde delen van het examen zijn gegeven. Die waarden geven slechts een samenvatting van de examenprestatie die in detail in het examenwerk zelf is gedocumenteerd.
28. Aan de kwalificatie van examenwerk als belichaming van persoonsgegevens wordt geen afbreuk gedaan wanneer op het examenwerk niet de naam van de kandidaat, maar alleen maar een kencijfer of een streepjescode is vermeld. Volgens artikel 2, onder a), van de richtlijn gegevensbescherming moet informatie namelijk reeds als persoonsgegevens worden gekwalificeerd wanneer de betrokken althans indirect identificeerbaar is.(6) Ook kan de examenkandidaat, voor zover hij verzoekt om inzage in het examenwerk bij de organisatie die het examen heeft georganiseerd, door die organisatie aan de hand van het kencijfer worden geïdentificeerd.
b) Betekenis van het handschrift
29. Nowak, Polen en Tsjechië benadrukken voorts terecht dat uit met de hand geschreven antwoorden bijkomende informatie over de examenkandidaat kan worden afgeleid, namelijk op basis van het handschrift. Met de hand geschreven examenwerk is als het ware een schrijfproef die althans potentieel op een later tijdstip kan worden gebruikt als indicatie om te onderzoeken of een andere tekst eveneens in het handschrift van de examenkandidaat is geschreven. Het handschrift kan dus uitsluitsel geven over de identiteit van de auteur van het werk.
30. Of een dergelijke schrijfproef zich ertoe leent de schrijver met zekerheid te identificeren, kan voor de kwalificatie als persoonsgegevens geen rol spelen. Ook aan de hand van tal van andere persoonsgegevens kunnen, wanneer zij op zich in aanmerking worden genomen, nog geen personen met zekerheid worden geïdentificeerd. Derhalve behoeft ook niet te worden beslist of het handschrift al dan niet als biometrische informatie moet worden beschouwd.
2. Doel van het recht van toegang
31. In tegenstelling tot de opvatting van Ierland pleit ook het in overweging 41 van de richtlijn gegevensbescherming toegelichte doel van het recht van toegang tot persoonsgegevens niet tegen de kwalificatie van examenwerk als zodanig. In die overweging is vastgesteld dat een ieder toegang moet verkrijgen tot de gegevens die het voorwerp van een verwerking vormen en hemzelf betreffen, zodat hij zich van de juistheid en de rechtmatigheid van de verwerking ervan kan vergewissen. Ierland vreest dat de examenkandidaat op die basis in verbinding met het in artikel 12, onder b), vastgelegde recht op rectificatie de correctie van onjuiste examenantwoorden zal verlangen.
a) Teleologische uitlegging van het begrip persoonsgegevens
32. Om te beginnen wil ik eraan herinneren dat het in casu pas in tweede instantie gaat om het recht van toegang, en in eerste instantie om de uitlegging van het begrip persoonsgegevens. De Commissie heeft ter terechtzitting terecht uiteengezet dat aan dit begrip tal van andere voorwaarden van de richtlijn gegevensbescherming gekoppeld zijn. Zo verlangt artikel 6, lid 1, onder a), dat persoonsgegevens eerlijk en rechtmatig moeten worden verwerkt en onder b), dat de gegevens voor een bepaald doel moeten worden verkregen.
33. In verband met het onderhavige geval is bijzonder relevant dat volgens artikel 8, lid 3, van het Handvest van de grondrechten, artikel 16, lid 2, VWEU en artikel 28 van de richtlijn gegevensbescherming, aangewezen autoriteiten in volledige onafhankelijkheid toezicht houden op de naleving van het Unierecht op het vlak van de bescherming van natuurlijke personen bij de verwerking van persoonsgegevens.(7) In die context kennen artikel 8, leden 1 en 3, van het Handvest en artikel 28, lid 4, van de richtlijn gegevensbescherming de personen waarop de gegevens betrekking hebben, het recht toe om bij de nationale toezichthoudende autoriteiten een verzoek in te dienen betreffende de bescherming van hun grondrechten.(8)
34. Derhalve kan de kwalificatie van informatie als persoonsgegevens niet afhankelijk worden gesteld van de vraag of er specifieke regelingen bestaan betreffende de toegang tot die informatie, die mogelijkerwijs naast of in plaats van het recht van toegang zouden kunnen gelden. Ook kunnen problemen in verband met een recht op rectificatie voor de vaststelling of informatie als persoonsgegevens moet worden gekwalificeerd, niet doorslaggevend zijn. Wanneer die factoren effectief zouden meewegen, zouden bepaalde persoonsgegevens namelijk van de gehele werkingssfeer van de richtlijn gegevensbescherming kunnen worden uitgesloten, hoewel de in plaats daarvan toepasbare regels geen gelijkwaardige, maar hooguit een fragmentarische bescherming waarborgen.
b) Rectificatie van gegevens
35. Specifiek met betrekking tot het recht van toegang en het vraagstuk van de rectificatie moet echter worden erkend dat dit recht in het geval van een examen duidelijk niet kan worden ingeroepen om, na onder verwijzing naar artikel 12, onder b), van de richtlijn gegevensbescherming inzage te hebben verkregen, aan te dringen op een rectificatie van de inhoud van het examenwerk, dat wil zeggen van het door de examenkandidaat gegeven antwoord.(9) Want zoals Polen terecht benadrukt, moeten de juistheid en volledigheid van persoonsgegevens volgens artikel 6, lid 1, onder d), van de richtlijn gegevensbescherming worden beoordeeld tegen de achtergrond van het doel waarvoor zij worden verzameld en verwerkt. Het doel van een examen bestaat erin een beeld te verkrijgen van de kennis en de vaardigheden van de examenkandidaat op het tijdstip van het examen. Dit kan juist worden beoordeeld op basis van de door de kandidaat verrichte prestatie en in het bijzonder de daarin vervatte fouten. Dat verkeerde antwoorden zijn gegeven, betekent derhalve niet dat de in het examenwerk tot uitdrukking komende persoonsgegevens onjuist zijn.
36. Een rectificatie zou echter in aanmerking komen indien mocht blijken dat het examenwerk de door de kandidaat verrichte prestatie onjuist of onvolledig documenteert. Dit zou bijvoorbeeld het geval zijn wanneer – zoals Griekenland opmerkt – het examenwerk van een andere examenkandidaat aan de betrokken persoon zou zijn gekoppeld, hetgeen onder meer aan de hand van het handschrift zou kunnen worden vastgesteld, of wanneer delen van het examenwerk zijn verdwenen.
37. Overigens kan niet worden uitgesloten dat een examenkandidaat er op een later tijdstip een gerechtvaardigd belang bij heeft dat persoonsgegevens die in het examenwerk tot uitdrukking komen, volgens artikel 12, onder b), van de richtlijn gegevensbescherming worden uitgewist, dat wil zeggen dat het examenwerk wordt vernietigd. Een dergelijk belang kan uiterlijk worden verondersteld tot het tijdstip dat het examenwerk op grond van het verlopen van termijnen niet meer als bewijs kan dienen bij een controle van de examenuitslag. Ook met het oog op een dergelijk recht op uitwissing dient te worden erkend dat in examenwerk persoonsgegevens tot uitdrukking komen.
38. Ten slotte zijn de rectificatie en de andere uit artikel 12, onder b), van de richtlijn gegevensbescherming voortvloeiende rechten, namelijk het recht op uitwissing en op afscherming van gegevens, niet het enige doel van het recht op inzage.
39. Hoewel het doel van het recht op inzage volgens overweging 41 erin bestaat dat de betrokkene zich van de juistheid en de rechtmatigheid van de verwerking van zijn persoonsgegevens kan vergewissen, worden in de meeste taalversies de woorden „in het bijzonder” gebruikt.(10) Daarmee heeft de wetgever reeds aangegeven dat het hier om een ruimer doel gaat. Want ook afgezien van een rectificatie, uitwissing of afscherming hebben de betrokkenen in de regel een gerechtvaardigd belang om te weten te komen welke hen betreffende gegevens door de verantwoordelijke worden verwerkt.
40. Nu is het een feit dat een examenkandidaat in de tijd meteen na het examen over het algemeen weinig behoefte aan informatie zal hebben. Hij zal zich over het algemeen nog aan de inhoud van zijn antwoorden kunnen herinneren en erop rekenen dat de voor het examen verantwoordelijke organisatie zijn examen nog bewaart.
41. Naar verwachting zal het herinneringsvermogen van de kandidaat na een aantal jaren echter duidelijk minder zijn, zodat een eventueel verzoek om toegang ook overeenkomt met een daadwerkelijke behoefte aan informatie – om het even om welke reden die behoefte ontstaat. Bovendien wordt na verloop van tijd – in het bijzonder na het verlopen van eventuele termijnen voor het instellen van beroep en het indienen van verzoeken om herziening – steeds onzekerder of het examenwerk nog is opgeslagen. In die situatie moet de examenkandidaat ten minste te weten kunnen komen of zijn examenwerk nog wordt bewaard. Ook met het oog op dat recht moet worden erkend dat in het examenwerk persoonsgegevens van de examenkandidaat tot uitdrukking komen.
c) Misbruik van het recht van toegang
42. Bij wijze van aanvulling zal ik nog ingaan op het vraagstuk van misbruik van het recht van toegang tot persoonsgegevens, aangezien het beroep van Nowak op nationaal vlak door de DPC en het verzoek om toegang in de onderhavige procedure door Tsjechië als misbruik van het recht van toegang zijn gekwalificeerd. Dit verwijt houdt kennelijk verband met het feit dat Nowak geen gebruik heeft gemaakt van de procedure inzake controle van examenresultaten, maar zich beroept op het recht van toegang uit hoofde van het recht inzake gegevensbescherming.
43. Vast staat dat het Unierecht niet met het oog op misbruik of bedrog mag worden ingeroepen.(11)
44. De vaststelling dat sprake is van misbruik vereist zowel een objectief als een subjectief element. Wat ten eerste het objectieve element betreft, moet voor deze vaststelling uit een geheel van objectieve omstandigheden blijken dat in weerwil van de formele naleving van de door de Unieregeling opgelegde voorwaarden, het door deze regeling beoogde doel niet werd bereikt. Ten tweede vereist een dergelijke vaststelling ook een subjectief element, in die zin dat uit een geheel van objectieve factoren moet blijken dat het wezenlijke doel van de betrokken handelingen erin bestaat een ongerechtvaardigd voordeel te verkrijgen. Het verbod van misbruik geldt immers niet wanneer er voor de betrokken handelingen een andere verklaring kan bestaan dan de loutere verkrijging van een (ongerechtvaardigd) voordeel.(12)
45. Ervan uitgaande dat in examenwerk persoonsgegevens tot uitdrukking komen, zou het doel van de richtlijn gegevensbescherming volgens de argumentatie van de DPC en Ierland niet worden bereikt aangezien een recht van toegang uit hoofde van het recht inzake gegevensbescherming de betrokkene in staat zou stellen de regelingen betreffende de examenprocedure en betreffende het bezwaar tegen examenbeslissingen te omzeilen.
46. Indien wordt aangenomen dat het recht van toegang uit hoofde van het recht inzake gegevensbescherming tot gevolg heeft dat de regelingen betreffende de examenprocedure en betreffende het bezwaar tegen examenbeslissingen worden omzeild, dan moet hiertegen echter met instrumenten van de richtlijn gegevensbescherming worden opgetreden. Hier moet vooral worden gedacht aan artikel 13, dat de mogelijkheid biedt om ter bescherming van bepaalde, daar genoemde belangen, uitzonderingen op het recht van toegang vast te leggen.
47. Voor zover die redenen in bepaalde situaties geen uitzondering rechtvaardigen, hetgeen mogelijkerwijs in verband met examens het geval is, moet worden erkend dat de wetgever de op de grondrechten gebaseerde vereisten van de gegevensbescherming voorrang heeft verleend boven concreet geraakte andere belangen.
48. Ik wil echter erop wijzen dat de toekomstige algemene verordening gegevensbescherming deze verhouding van haar scherpe kanten zal ontdoen. Ten eerste mag volgens artikel 15, lid 4, van die verordening het recht om een kopie van persoonsgegevens te verkrijgen geen afbreuk doen aan de rechten en vrijheden van anderen. Ten tweede biedt artikel 23 van de verordening nog meer mogelijkheden dan artikel 13 van de richtlijn om de waarborgen op het gebied van de gegevensbescherming in te perken, voor zover in het bijzonder andere belangrijke doelstellingen van algemeen belang van de Unie of van een lidstaat uit hoofde van artikel 23, lid 1, onder e), van de verordening beperkingen kunnen rechtvaardigen.
49. Het loutere bestaan van andere nationale regelingen die eveneens betrekking hebben op inzage in examenwerken is daarentegen nog niet voldoende om aan te nemen dat het doel van de richtlijn niet wordt bereikt.
50. Maar zelfs aangenomen dat het doel van de richtlijn niet wordt bereikt, is niet duidelijk in hoeverre een examenkandidaat een ongerechtvaardigd voordeel verkrijgt indien hij door middel van een verzoek om inzage toegang tot zijn examenwerk krijgt. Met name het feit dat de betrokkene op basis van het recht van toegang informatie verkrijgt waartoe hij anders geen toegang zou hebben, kan niet als misbruik worden beschouwd. Voor zover er reeds toegang tot persoonsgegevens bestond, was er immers geen behoefte aan invoering van het recht op inzage uit hoofde van het recht inzake gegevensbescherming. Doel van het voornoemde recht op inzage is veeleer de betrokkene – onder voorbehoud van de uitzonderingen van artikel 13 van de richtlijn gegevensbescherming – toegang tot zijn eigen gegevens te bieden indien geen ander recht van toegang bestaat.
3. Tussenconclusie
51. Samenvattend stel ik vast dat handgeschreven examenwerk dat aan een examenkandidaat kan worden gekoppeld, moet worden beschouwd als persoonsgegevens in de zin van artikel 2, onder a), van de richtlijn gegevensbescherming.
B. Eventuele opmerkingen van de examinator in examenwerk
52. Een aantal belanghebbenden en met name Nowak stellen de vraag aan de orde of eventuele opmerkingen van de examinator in het examenwerk eveneens persoonsgegevens van de examenkandidaat zijn.
53. Voor de beslissing in het hoofdgeding behoeft hierop echter niet te worden ingegaan, aangezien het daarin niet om de vraag gaat of eventuele opmerkingen van de examinator inlichtingen over Nowak zijn. In dat geding is eerder aan de orde of de toenmalige DPC de klacht van Nowak terecht mocht afwijzen met het argument dat het bij examenwerk principieel niet om persoonsgegevens gaat. In hoeverre opmerkingen van de examinator eveneens moeten worden beschouwd als gegevens met betrekking tot de examenkandidaat zou niet door de Supreme Court, maar – mocht het beroep slagen – door de huidige DPC moeten worden beoordeeld. Ik zal hierop echter desalniettemin ingaan voor het geval dat het Hof toch aandacht aan deze problematiek wenst te besteden.
54. Anders dan bij het examenwerk in zijn totaliteit is met betrekking tot opmerkingen van de examinator slecht met moeite voorstelbaar dat er vanuit het oogpunt van het recht op gegevensbescherming een recht zou bestaan op rectificatie, uitwissing of afscherming van onjuiste gegevens. Het lijkt namelijk uitgesloten dat opmerkingen in examenwerk betrekking zouden hebben op ander examenwerk of dat zij niet de opvatting van de examinator weergeven. Aangezien die opmerkingen juist ertoe strekken die opvatting te documenteren, zouden zij in de zin van de richtlijn gegevensbescherming ook dan niet onjuist en voor rectificatie vatbaar zijn indien de door die opmerkingen gedocumenteerde evaluatie objectief niet gerechtvaardigd was.
55. Eventuele bezwaren tegen de opmerkingen zouden derhalve in het kader van een klacht tegen de beoordeling van het examenwerk moeten worden behandeld.
56. Het is echter voorstelbaar dat het reeds vermelde recht op uitwissing met betrekking tot het examenwerk ook de opmerkingen van de examinator bestrijkt.
57. Niettemin zou een recht van toegang met betrekking tot de opmerkingen van de examinator primair tot doel hebben de examenkandidaat informatie te verstrekken over de beoordeling van bepaalde delen van zijn examenwerk.
58. In zoverre bestaan er gelijkenissen tussen het onderhavige geval en een zaak waarin het Hof de uitbreiding van het recht op inzage in de juridische analyse van een asielaanvraag weigerde, omdat daarmee in werkelijkheid niet het doel van die richtlijn zou worden gediend, maar het doel dat erin bestaat de betrokkene een recht van toegang tot bestuurlijke documenten te verzekeren.(13) In casu zou kunnen worden aangenomen dat de toegang tot informatie betreffende de beoordeling van examenwerk in eerste instantie in het kader van de examenprocedure respectievelijk een speciale procedure van bezwaar tegen examenbeslissingen zou moeten worden verkregen en niet op basis van het recht inzake gegevensbescherming. Aangezien de examenprocedure niet door het Unierecht wordt bepaald, zijn eventuele rechten op inzage in dit verband uitsluitend afhankelijk van het nationale recht.
59. In het voornoemde arrest stelde het Hof bovendien vast dat een dergelijke juridische analyse geen informatie vormt over de aanvrager van de verblijfstitel, maar hooguit informatie over de beoordeling en de toepassing van het recht door de bevoegde autoriteit op de situatie van de aanvrager.(14) Ook die vaststelling zou op het eerste gezicht kunnen worden toegepast op opmerkingen van de examinator. Hieruit zou in die zin alleen maar kunnen worden opgemaakt hoe de examinator de antwoorden beoordeelt.
60. Inderdaad is het geheel niet noodzakelijk dat een examinator bij het corrigeren van examenwerk weet wie het examen heeft afgelegd. Integendeel, bij tal van schriftelijke examens wordt, zoals in de situatie die ten grondslag ligt aan het hoofdgeding, juist ervoor gezorgd dat de examinatoren niet op de hoogte zijn van de identiteit van de deelnemers teneinde belangenconflicten en vooringenomenheid uit te sluiten. Hun opmerkingen hebben dan ook – hetgeen kennelijk ook geldt voor het in casu litigieuze examen – in eerste instantie geen betrekking op de examenkandidaat als persoon.
61. Desalniettemin strekken dergelijke opmerkingen ertoe de examenprestatie te beoordelen en hebben zij in zoverre indirect betrekking op de examenkandidaat. De organisatie achter het examen kan de kandidaat ook zonder problemen identificeren en een verband leggen tussen hem en de opmerkingen van de examinator zodra deze het gecorrigeerde examenwerk aan de organisatie heeft teruggegeven.
62. Oostenrijk wijst er bovendien op dat in het examenwerk gemaakte opmerkingen normaliter – in tegenstelling tot bijvoorbeeld een korte analyse van het examenwerk – onlosmakelijk met het examenwerk zijn verbonden omdat zij los daarvan geen enkele zin hebben. In het examenwerk zelf komen echter – zoals reeds uiteengezet – persoonsgegevens van de examenkandidaat tot uitdrukking. Die gegevens worden juist met het doel verzameld en verwerkt om de in de opmerkingen van de examinator tot uitdrukking komende beoordeling van de prestatie van de examenkandidaat mogelijk te maken.
63. Reeds op grond van dit nauwe verband tussen het examenwerk en de daarop vermelde opmerkingen van de examinator moeten ook die opmerkingen worden beschouwd als persoonsgegevens van de examenkandidaat in de zin van artikel 2, onder a), van de richtlijn gegevensbescherming.
64. De mogelijkheid om de bezwaarprocedure voor examens te omzeilen kan daarentegen niet uitsluiten dat het recht inzake gegevensbescherming van toepassing is. Het feit dat mogelijkerwijs parallel verdere regelingen inzake toegang tot bepaalde informatie bestaan, kan namelijk geen afbreuk doen aan het recht inzake gegevensbescherming. Het zou hooguit rechtmatig kunnen zijn dat de betrokkenen worden gewezen op de parallel bestaande rechten op inzage, voor zover hiervan effectief gebruik kan worden gemaakt.
65. Volledigheidshalve wil ik erop wijzen dat de opmerkingen van de examinator tegelijkertijd persoonsgegevens van die persoon zelf zijn. Die rechten lenen zich principieel ertoe beperkingen van het recht op inzage volgens artikel 13, lid 1, onder g), van de richtlijn gegevensbescherming te rechtvaardigen indien zij zwaarder wegen dan de gerechtvaardigde belangen van de examenkandidaat. Om dit potentiële belangenconflict definitief op te lossen zou het echter over het algemeen zinvol zijn het gecorrigeerde examenwerk te vernietigen zodra een ex post controle van de examenprocedure vanwege het verlopen van de termijnen niet meer mogelijk is.
C. Overige voorwaarden voor de toepassing van de richtlijn gegevensbescherming
66. De Commissie voert terecht aan dat voor de toepassing van de richtlijn gegevensbescherming en het recht op inzage niet alleen sprake moet zijn van het bestaan van persoonsgegevens, maar ook aan andere voorwaarden zijn moet voldaan. Ook kan op grond van die toepassing het recht op inzage worden ingeperkt.
67. De Supreme Court stelt echter geen vragen betreffende die verdere voorwaarden en beperkingsmogelijkheden, zodat het Hof hierop niet behoeft in te gaan. Dit lijkt ook niet nodig om de Supreme Court in staat te stellen om te beoordelen of de toenmalige DPC terecht heeft geweigerd de klacht van Nowak verder in behandeling te nemen.
68. Mocht het Hof desalniettemin op die vragen willen ingaan, dan zou op het eerste gezicht met name artikel 3, lid 1, van de richtlijn gegevensbescherming relevant zijn. Hierin is vastgelegd dat de bepalingen van de richtlijn enkel van toepassing zijn op de geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, alsmede op de niet-geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen.
69. Het is niet noodzakelijkerwijs zo dat het examenwerk van Nowak geautomatiseerd is verwerkt, bijvoorbeeld doordat het in een geautomatiseerd gegevensverwerkend systeem is ingevoerd en opgeslagen. Niettemin moet ervan worden uitgegaan dat het in elk geval deel uitmaakt van een „bestand”. Een bestand behoeft volgens artikel 2, onder c), van de richtlijn gegevensbescherming namelijk niet per se te zijn opgeslagen in een elektronisch gegevensverwerkend systeem. Veeleer bestrijkt dit begrip elk gestructureerd geheel van persoonsgegevens die volgens bepaalde criteria toegankelijk zijn. Een alfabetisch of op basis van andere criteria ingedeelde fysieke verzameling van examenwerk op papier voldoet reeds aan die voorwaarden.
V. Conclusie
70. Ik geef het Hof derhalve in overweging de prejudiciële vragen van de Supreme Court te beantwoorden als volgt:
„Met de hand geschreven examenwerk dat aan een examenkandidaat kan worden gekoppeld, moet, met inbegrip van eventuele daarop vermelde opmerkingen van examinatoren, worden beschouwd als persoonsgegevens in de zin van artikel 2, onder a), van richtlijn 95/46/EG betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens.”