Zaak C-526/24 Brillen Rottler behandelt een actueel thema in privacyland (zeker als je de Digital Omnibus volgt): wanneer wordt een GDPR-inzageverzoek misbruik, en wat kan je daar als verwerkingsverantwoordelijke tegen doen?
De zaak draait om iemand die zich inschreef op de nieuwsbrief van een opticien en amper twee weken later een inzageverzoek indiende op basis van artikel 15. De verwerkingsverantwoordelijke weigerde, omdat hij ervan overtuigd was dat de aanvraag deel uitmaakte van een bewuste strategie: GDPR-inbreuken uitlokken om daarna schadevergoeding te eisen. De Duitse rechter legde de zaak voor aan het HvJ EU met twee vragen: hoe ver reikt het verweer van de verwerkingsverantwoordelijke, en kan een weigering om artikel 15 na te leven aanleiding geven tot een schadeclaim?
Context
Artikel 15 GDPR: recht van inzage.
Artikel 15 GDPR geeft de betrokkene het recht om te weten of zijn of haar persoonsgegevens worden verwerkt. En zo ja: welke gegevens, en waarvoor. In Brillen Rottler is dat het vertrekpunt van het hele geschil. De betrokkene schreef zich in op de nieuwsbrief van het bedrijf en diende 13 dagen later een inzageverzoek in.
De verwerkingsverantwoordelijke vond dat buitensporig en weigerde te antwoorden. De zaak gaat dus niet over de vraag óf het recht van inzage bestaat, maar over de vraag of de weigering in deze concrete situatie rechtmatig was.
Artikel 12(5) GDPR: kennelijk ongegronde of buitensporige verzoeken.
Artikel 12(5) GDPR is het voornaamste wapen van de verwerkingsverantwoordelijke in deze zaak. De regel is eenvoudig: verzoeken op basis van artikelen 15 tot en met 22 zijn in principe gratis. Maar bij kennelijk ongegronde of buitensporige verzoeken, mag de verwerkingsverantwoordelijke een redelijke vergoeding aanrekenen of gewoon weigeren. De bewijslast ligt wel bij de verantwoordelijke zelf.
In dit specifieke geval weigerde de verwerkingsverantwoordelijke omdat hij het verzoek als misbruik zag. Zijn redenering: de betrokkene schreef zich bewust in op diensten om daarna inzageverzoeken in te dienen, GDPR-inbreuken uit te lokken en schadevergoeding op te eisen. Ook al was het de eerste aanvraag, toch vond de verwerkingsverantwoordelijke die buitensporig.
En dat roept meteen een belangrijke vraag op: speelt de intentie van de betrokkene een rol bij de beoordeling?
Artikel 82 GDPR: schadevergoeding.
Artikel 82 GDPR geeft iedereen die materiële of immateriële schade lijdt door een GDPR-inbreuk, het recht op vergoeding door de verantwoordelijke verwerkingsverantwoordelijke of verwerker.
Die bepaling wordt steeds vaker ingeroepen. Betrokkenen combineren hun verzoeken steeds vaker met een schadeclaim. Het HvJ EU heeft de afgelopen jaren al heel wat verduidelijkt, waaronder wanneer er sprake is van immateriële schade, en wat het vereiste causaal verband is tussen inbreuk en schade. Meer lezen over schadevergoedingen onder de GDPR? Lees
In deze zaak ging de betrokkene een stap verder. Hij hield niet alleen vast aan zijn inzageverzoek, maar eiste ook €1.000 schadevergoeding voor immateriële schade. Zijn redenering: de weigering om artikel 15 na te leven is een GDPR-inbreuk, en die inbreuk heeft hem schade berokkend.
Relevantie
De feiten zijn eenvoudig, maar de gevolgen reiken verder. Betrokkenen oefenen hun rechten steeds vaker uit, zowel te goeder als te kwader trouw (bvb in een arbeidscontext, bij consumentengeschillen, en meer). Verwerkingsverantwoordelijken weten daardoor vaak niet goed wanneer ze een verzoek als buitensporig mogen afwijzen.
Daar komt bij dat GDPR-schadeclaims toenemen. De vergoedingscultuur verschilt van lidstaat tot lidstaat, maar de rechtsonzekerheid raakt iedereen. Meer duidelijkheid zou zowel verwerkingsverantwoordelijken als betrokkenen ten goede komen.
Uitspraak van het HvJ EU
Het Hof verduidelijkte dat artikel 12(5) GDPR niet beperkt is tot herhaalde verzoeken. Hoewel de bepaling “herhaalde” verzoeken als voorbeeld noemt, is dat louter illustratief. Ook een éénmalig inzageverzoek kan dus buitensporig zijn, als aan de juiste voorwaarden is voldaan.
Het recht van inzage is geen absoluut recht. Overweging 4 van de GDPR maakt duidelijk dat het moet worden afgewogen tegen andere grondrechten, volgens het evenredigheidsbeginsel. Maar wat betekent “buitensporig” dan precies?
Wat is rechtsmisbruik in de GDPR?
Het Hof vertrok van een basisbeginsel: EU-recht mag niet worden misbruikt om een oneerlijk voordeel te behalen. Een verzoek is “buitensporig” in de zin van artikel 12(5) als het in essentie neerkomt op misbruik van het recht van inzage. De verwerkingsverantwoordelijke moet daarvoor twee dingen aantonen:
- Het objectieve element: op basis van alle feiten werd het verzoek niet ingediend voor het doel waarvoor het recht van inzage bestaat, ook al ziet het er formeel correct uit.
- Het subjectieve element: de betrokkene creëerde de situatie bewust om de GDPR in te roepen en daar voordeel uit te halen.
Kortom: een verzoek is misbruik als de betrokkene er niet oprecht naar streefde om te weten hoe diens gegevens worden gebruikt of verwerkt, maar het verzoek inzette om bijvoorbeeld een schadeclaim op te bouwen.
Wat moet een verwerkingsverantwoordelijke doen?
De bewijslast ligt bij de verwerkingsverantwoordelijke. Om te weigeren of kosten aan te rekenen, moet hij ondubbelzinnig aantonen dat de betrokkene het verzoek indiende om kunstmatig de voorwaarden te creëren voor een schadeclaim, en niet voor een legitiem gegevensbeschermingsdoel. Dat is een hoge drempel. Factoren die kunnen helpen:
- Een zeer korte periode tussen inschrijving en het indienen van een verzoek.
- Een patroon van gelijkaardige verzoeken bij meerdere verwerkingsverantwoordelijken, zoals in deze zaak.
- Het verzoek maakt deel uit van een bredere procedure die niets met gegevensbescherming te maken heeft.
Besluit
Dit arrest brengt meer duidelijkheid. Het Hof bevestigt dat zelfs één enkel verzoek buitensporig kan zijn. Verwerkingsverantwoordelijken staan dus niet machteloos tegenover slechte bedoelingen, ook niet bij een eerste aanvraag.
In de praktijk blijft de lat hoog. Concrete bewijzen van een verborgen motief zijn noodzakelijk, en die moeten zorgvuldig gedocumenteerd zijn voordat je als verwerkingsverantwoordelijke mag weigeren.
De kern van de boodschap: de GDPR mag niet als wapen worden gebruikt, maar misbruik aantonen blijft moeilijk. Dit arrest verandert weinig aan de dagelijkse praktijk. Wat het wél doet, is bevestigen dat de deur niet volledig gesloten is. In zeer specifieke, goed gedocumenteerde omstandigheden is een weigering juridisch verdedigbaar.
