Sinds de invoering van de Algemene Verordening Gegevensbescherming (“AVG”), heeft de Autoriteit Persoonsgegevens (“AP”) regelmatig boetes opgelegd aan partijen die de privacy wet- en regelgeving schenden. In de praktijk komt het regelmatig voor dat deze partijen het boetbesluit aanvechten, omdat de toezichthoudende autoriteit niet aan alle (materiële/formele) voorwaarden heeft voldaan.
Het toezichts- en handhavingsdeel van de AVG is dan ook volop in ontwikkeling. Dit blijkt ook uit een aantal arresten die het Hof van Justitie van de Europese Unie (“HvJEU”) recent heeft gewezen, waarin (o.a.) vragen worden beantwoord over de definitie van het begrip ‘verwijtbaar handelen’ bij het schenden van de AVG en de mogelijkheid om rechtsmaatregelen te treffen tegen een besluit van de toezichthouder.
Boete bij verwijtbaar handelen door een (groep van) onderneming(en)
Tijdens de coronapandemie ontwikkelde ITSS in opdracht van het Litouwse ministerie van Volksgezondheid (“NVSC”) een app voor het monitoren van personen die in aanraking waren gekomen met het COVID-19-virus. De wijze waarop persoonsgegevens in de app werden verwerkt, was echter niet in overeenstemming met de AVG, hetgeen resulteerde in boetes voor zowel NVSC als ITSS.
ITSS betoogde dat alleen NVSC – als verwerkingsverantwoordelijke – een boete kon worden opgelegd, aangezien de app in opdracht van NVSC was ontwikkeld. Het NVSC meende echter dat de boete enkel aan ITSS kan worden uitgedeeld, aangezien zij nooit toestemming aan ITSS had gegeven om de app beschikbaar te maken in de app-store.
Oordeel van het HvJEU
Volgens het HvJEU kan NVSC als verwerkingsverantwoordelijke worden aangemerkt, aangezien zij het doel (het beheersen van de coronapandemie) en de middelen (het inzetten van een applicatie) voor de verwerking heeft bepaald. Het feit dat NVSC zelf geen persoonsgegevens heeft verwerkt, geen (verwerkers)overeenkomst met ITSS heeft gesloten én ITSS geen toestemming heeft gegeven voor het aanbieden van de applicatie, maakt dit niet anders. Enkel wanneer NVSC voorafgaand aan beschikbaar stellen van de app expliciet haar bezwaren had geuit, zou men tot een andere conclusie kunnen zijn gekomen: in dat geval worden de verwerkingsactiviteiten namelijk niet langer in opdracht en ten behoeve van NVSC uitgevoerd.
Wat betreft de boete, geeft het HvJEU aan dat deze alleen kan worden opgelegd wanneer vaststaat dat de verwerkingsverantwoordelijke verwijtbaar heeft gehandeld. In andere woorden: de verwerkingsverantwoordelijke moet opzettelijk of uit nalatigheid haar verplichtingen uit hoofde van de AVG hebben geschonden. Daarbij maakt het niet uit of de verwerkingsverantwoordelijke zich al dan niet bewust was van het feit dat de verwerkingsactiviteiten in strijd waren met de AVG: kennis van het onrechtmatige karakter van de verwerkingsactiviteiten bij het bestuur van de organisatie is dus niet vereist.
Daarnaast kan de verwerkingsverantwoordelijke volgens het HvJEU niet alleen aansprakelijk worden gesteld voor de activiteiten die zij zelf uitvoert, maar ook voor de verwerkingen die namens haar worden verricht door (bijvoorbeeld) een verwerker. Deze verantwoordelijkheid strekt zich echter niet uit tot situaties waarin de verwerker ervoor kiest om de persoonsgegevens voor eigen doeleinden te verwerken en/of de activiteiten van de verwerker anderszins onverenigbaar zijn met de instructies van de verwerkingsverantwoordelijke.
Mogelijkheid tot het starten van een procedure tegen een besluit
Een inwoner van België (“BA”) heeft enkele jaren geleden een verzoek ingediend bij de Nationale Veiligheidsoverheid (“NVO”) voor de afgifte van een veiligheidsattest. Deze aanvraag werd afgewezen, aangezien BA in het verleden had deelgenomen aan een aantal betogingen. BA heeft vervolgens het Controleorgaan op de Politionele Informatie (“CPI”) verzocht om de (verwerkings)verantwoordelijke te identificeren die zijn gegevens aan het NVO had verstrekt. Daarnaast verlangt BA inzage in de gegevens die tot de afwijzing van zijn verzoek hebben geleid.
In haar reactie op het verzoek gaf het CPI aan dat BA op grond van de nationale wet- en regelgeving zijn rechten slechts indirect (via het CPI) kon uitoefenen tegen het NVO, maar dat zij BA in ieder geval verzekert dat zij de gegevensbank van het NVO zal (laten) controleren en zo nodig de politie zou gelasten om informatie te verwijderen en/of te wijzigen. Enkele maanden later heeft het CPI laten weten dat zij de nodige verificaties had verricht, maar dat zij op grond van de wet geen nadere informatie mocht verstrekken.
BA neemt hier geen genoegen mee en start samen met mensenrechtenorganisatie ‘Ligue des droits Humains’ een procedure tegen het CPI.
Oordeel van het HvJEU
Op grond van de Richtlijn gegevensbescherming opsporing en vervolging ((EU) 2016/680) (de “Richtlijn”) heeft een betrokkene het recht een procedure te starten tegen een juridisch bindend besluit van een toezichthoudende autoriteit. Het indirect uitoefenen van rechten door een toezichthoudende autoriteit kan hier volgens het HvJEU ook onder worden verstaan. Op grond van de Richtlijn heeft iedere nationale autoriteit namelijk de taak om – op verzoek van een betrokkene – de rechtmatigheid van bepaalde verwerkingsactiviteiten te controleren. De betrokkene moet ook binnen een redelijke termijn worden geïnformeerd over het resultaat van het onderzoek.
Het informeren van de betrokkene over het resultaat van het onderzoek kan volgens het HvJEU ook worden aangemerkt als een besluit van de toezichthoudende autoriteit om het controleproces te beëindigen. Aangezien dit besluit gevolgen heeft voor de rechtspositie van de betrokkene, kan de mededeling van het CPI worden gezien als een juridisch bindend besluit, waartegen de betrokkene juridische stappen moet kunnen ondernemen.
Tot slot merkt het HvJEU op dat het niet is toegestaan om op voorhand de informatieverstrekking tot een minimum te beperken. De toezichthoudende autoriteit moet per geval beoordelen of het mogelijk is om meer informatie met de betrokkene te delen, teneinde deze in staat te stellen om zijn/haar vorderingen deugdelijk te onderbouwen.
Afsluitende opmerkingen
Er wordt steeds meer invulling gegeven aan de toezicht- en handhavingsbevoegdheden van privacy autoriteiten. Uiteraard houden wij deze ontwikkelingen nauwlettend voor u in de gaten.
Heeft u vragen naar aanleiding van deze blog of een bericht van (bijvoorbeeld) de Autoriteit Persoonsgegevens? Neem dan gerust contact met ons op.
