CONCLUSIE VAN ADVOCAAT-GENERAAL
P. PIKAMÄE
van 31 maart 2022 (1)
Zaak C‑77/21
Digi Távközlési és Szolgáltató Kft.
tegen
Nemzeti Adatvédelmi és Információszabadság Hatóság
[verzoek van de Fővárosi Törvényszék (rechter voor de agglomeratie Boedapest, Hongarije) om een prejudiciële beslissing]
„Prejudiciële verwijzing – Bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens – Verordening (EU) 2016/679 – Artikel 5, lid 1, onder b) en e) – Beginsel van doelbinding – Beginsel van opslagbeperking – Rechtmatig verzamelde en opgeslagen persoonsgegevens van klanten – Oprichting van een andere, specifieke interne databank naar aanleiding van een technische storing – Toetsing achteraf van de verwerkingsdoeleinden – Tweeledig doeleinde – Verschillende doeleinden van verwerking en van verzameling van de gegevens – Verenigbaarheid van de verwerking met de verzamelingsdoeleinden – Artikel 6, lid 4 – Databank na verhelping van de technische storing niet gewist – Verwezenlijking van de verwerkingsdoeleinden”
1. Onder welke voorwaarden mag een aanbieder van internet- en televisiediensten persoonsgegevens van zijn klanten, die rechtmatig zijn verzameld en reeds opgeslagen, in een extra interne databank bewaren zonder hun uitdrukkelijke toestemming maar om een technische storing te ondervangen?
2. Dat is een van de in de onderhavige zaak opgeworpen vragen die het Hof in de gelegenheid zal stellen om zijn steeds omvangrijkere rechtspraak inzake verordening (EU) 2016/679(2) aan te vullen, meer bepaald wat betreft de beginselen van doelbinding en opslagbeperking die in artikel 5, lid 1, onder b) en e), van deze handeling zijn neergelegd.
I. Toepasselijke bepalingen
3. In het kader van de onderhavige zaak zijn de artikelen 4 tot en met 6, 13 en 32 AVG relevant.
II. Hoofdgeding en prejudiciële vragen
4. Digi Távközlési és Szolgáltató Kft. (hierna: „Digi”) is een van de belangrijkste aanbieders van internet- en televisiediensten in Hongarije.
5. Digi heeft in april 2018 naar aanleiding van een technische storing die de werking van een server had aangetast, een zogeheten „testdatabank” opgericht, waarnaar de persoonsgegevens van ongeveer een derde van haar particuliere klanten zijn gekopieerd.
6. Op 23 september 2019 heeft Digi vernomen dat een ethische hacker zich toegang tot de persoonsgegevens van ongeveer 322 000 personen had weten te verschaffen. De hacker heeft de aanval zelf aan deze onderneming gemeld in een op 21 september 2019 verzonden e-mailbericht, waarin hij als bewijs een regel van de testdatabank had opgevraagd. Digi heeft de fout hersteld, een geheimhoudingsovereenkomst met de hacker afgesloten en hem een beloning aangeboden.
7. Nadat Digi de testdatabank had gewist, heeft zij de inbreuk in verband met persoonsgegevens op 25 september 2019 gemeld aan de Nemzeti Adatvédelmi és Információszabadság Hatóság (nationale autoriteit voor gegevensbescherming en vrijheid van informatie; hierna: „autoriteit”), waarna die autoriteit een onderzoek heeft ingesteld.
8. Bij besluit van 18 mei 2020 heeft de autoriteit met name vastgesteld dat Digi ten eerste in strijd met artikel 5, lid 1, onder b) en e), AVG had gehandeld doordat zij de testdatabank na de uitvoering van de nodige tests en de oplossing van de problemen niet had gewist, waardoor een groot aantal in deze testdatabank opgeslagen persoonsgegevens bijna anderhalf jaar lang zonder doel was bewaard in een bestand waarmee de betrokkenen konden worden geïdentificeerd, en dat een inbreuk in verband met persoonsgegevens mogelijk was gemaakt doordat deze databank niet was gewist. Ten tweede was de autoriteit van mening dat Digi artikel 32, leden 1 en 2, AVG had geschonden. In die omstandigheden heeft de autoriteit Digi een geldboete van 100 000 000 Hongaarse forint (HUF) (circa 270 000 EUR) opgelegd.
9. Digi heeft de rechtmatigheid van dit besluit aangevochten bij de verwijzende rechter.
10. Die rechter merkt op dat de door Digi naar de testdatabank gekopieerde persoonsgegevens zijn verzameld met het afsluiten van abonnementsovereenkomsten als doel en dat de autoriteit de rechtmatigheid van de gegevensverzameling niet heeft betwist. De verwijzende rechter wenst evenwel te vernemen of door het kopiëren van op doelgebonden wijze verzamelde gegevens naar een andere databank het doel van de gegevensverzameling en ‑verwerking is gewijzigd. Ook moet volgens die rechter worden beoordeeld of het opzetten van een testdatabank en het op deze wijze verwerken van klantgegevens verenigbaar zijn met het doel van de verzameling van deze gegevens. In dit verband geeft het beginsel van doelbinding geen duidelijke aanwijzingen voor de beantwoording van de vraag, in welke interne systemen de verwerkingsverantwoordelijke rechtmatig verzamelde gegevens kan verwerken en of hij deze gegevens mag kopiëren naar een testdatabank, zonder dat het doel van de gegevensverzameling daardoor wordt gewijzigd.
11. Voor het geval dat het opzetten van de testdatabank niet verenigbaar is met het doel van de verzameling, wenst de verwijzende rechter tevens te vernemen of, gelet op het feit dat de verwerking van klantgegevens in een andere databank niet het herstellen van fouten maar het afsluiten van overeenkomsten tot doel heeft, de benodigde bewaartermijn moet worden afgestemd op de duur die vereist is om de fouten te herstellen dan wel op die welke vereist is om de contractuele verplichtingen na te komen.
12. In deze omstandigheden heeft de Fővárosi Törvényszék (rechter voor de agglomeratie Boedapest, Hongarije) de behandeling van de zaak geschorst en het Hof verzocht om een prejudiciële beslissing over de volgende vragen:
„1) Moet het begrip ‚doelbinding’ als omschreven in artikel 5, lid 1, onder b), [AVG] aldus worden uitgelegd dat de verwerkingsverantwoordelijke parallel in een andere databank persoonsgegevens kan bewaren die voor het overige op rechtmatige en doelgebonden wijze zijn verzameld en opgeslagen, of is het bewaren van de gegevens in een parallelle databank niet meer verenigbaar met de rechtmatige doeleinden waarvoor de betrokken gegevens werden verzameld?
2) Indien het antwoord op de eerste vraag luidt dat de parallelle opslag van gegevens op zichzelf niet verenigbaar is met het beginsel van doelbinding, is het dan verenigbaar met het beginsel van ‚opslagbeperking’ als bedoeld in artikel 5, lid 1, onder e), [AVG] dat de verwerkingsverantwoordelijke parallel in een andere databank persoonsgegevens bewaart die voor het overige op rechtmatige en doelgebonden wijze zijn verzameld en opgeslagen?”
III. Procedure bij het Hof
13. Verzoekster en verweerster in het hoofdgeding, de Hongaarse, de Tsjechische en de Portugese regering alsmede de Europese Commissie hebben schriftelijke opmerkingen ingediend. Ter terechtzitting van 17 januari 2022 hebben verzoekster en verweerster in het hoofdgeding, de Hongaarse regering en de Commissie tevens pleidooi gehouden.
IV. Analyse
A. Ontvankelijkheid
14. De autoriteit en de Hongaarse regering hebben twijfels geuit over de ontvankelijkheid van het verzoek om een prejudiciële beslissing, omdat de gestelde vragen volgens hen geen afspiegeling vormen van de feiten van het hoofdgeding en niet rechtstreeks relevant zijn voor de beslechting ervan.
15. Volgens vaste rechtspraak van het Hof is het uitsluitend een zaak van de nationale rechter aan wie het geschil is voorgelegd en die de verantwoordelijkheid voor de te geven rechterlijke beslissing draagt, om, rekening houdend met de bijzonderheden van het geval, zowel de noodzaak van een prejudiciële beslissing voor het wijzen van zijn vonnis als de relevantie van de vragen die hij aan het Hof voorlegt, te beoordelen. Wanneer de gestelde vragen betrekking hebben op de uitlegging of de geldigheid van een Unierechtelijke regel, is het Hof derhalve in beginsel verplicht daarop te antwoorden. Bijgevolg geldt voor door nationale rechters gestelde vragen een vermoeden van relevantie. Het Hof kan slechts weigeren uitspraak te doen op een door een nationale rechterlijke instantie gestelde prejudiciële vraag, wanneer blijkt dat de gevraagde uitlegging geen verband houdt met een reëel geschil of met het voorwerp van het hoofdgeding, wanneer het vraagstuk van hypothetische aard is of wanneer het Hof niet beschikt over de gegevens, feitelijk en rechtens, die noodzakelijk zijn om een zinvol antwoord te geven op de gestelde vragen. In casu bevat het verzoek om een prejudiciële beslissing voldoende feitelijke en juridische gegevens om de reikwijdte van de prejudiciële vragen te begrijpen. Bovendien en vooral kan uit geen enkel element van het dossier waarover het Hof beschikt worden afgeleid dat de gevraagde uitlegging van het Unierecht geen verband houdt met een reëel geschil of met het voorwerp van het hoofdgeding, of hypothetisch van aard is.(3)
16. In dit verband moet worden opgemerkt dat bij de verwijzende rechter beroep is ingesteld tot nietigverklaring van een besluit waarbij Digi, in haar hoedanigheid van verwerkingsverantwoordelijke, is bestraft wegens vermeende schending van de beginselen van doelbinding en opslagbeperking als bedoeld in artikel 5, lid 1, onder b) en e), AVG, waarop het verzoek om uitlegging van die rechter betrekking heeft. Het verzoek om een prejudiciële beslissing dient derhalve ontvankelijk te worden geacht.
B. Rechtskader voor de analyse
17. Vastgesteld moet worden dat het verzoek om een prejudiciële beslissing uitsluitend betrekking heeft op de uitlegging van artikel 5 AVG in het kader van een hoofdgeding dat de rechtmatigheid betreft van de verwerking van persoonsgegevens door Digi, een van de belangrijkste aanbieders van internet- en televisiediensten in Hongarije en dus een exploitant die online toegang tot communicatiediensten aan het publiek aanbiedt.
18. Opgemerkt zij dat artikel 1, lid 1, van richtlijn 2002/58/EG(4) bepaalt dat deze richtlijn voorziet in de harmonisering van de regelgeving van de lidstaten die nodig is om een gelijk niveau van bescherming van fundamentele rechten en vrijheden – met name het recht op een persoonlijke levenssfeer en vertrouwelijkheid – bij de verwerking van persoonsgegevens in de sector elektronische communicatie te waarborgen. Voorts bepaalt artikel 3 van richtlijn 2002/58 dat deze richtlijn van toepassing is op de verwerking van persoonsgegevens in verband met de levering van openbare elektronische-communicatiediensten over openbare communicatienetwerken in de Unie, met inbegrip van de openbare communicatienetwerken die systemen voor gegevensverzameling en identificatie ondersteunen. Bijgevolg moet worden aangenomen dat deze richtlijn de activiteiten van de aanbieders van dergelijke diensten regelt.(5)
19. Overeenkomstig artikel 1, lid 2, van richtlijn 2002/58 vormt deze richtlijn een specificatie van en een aanvulling op richtlijn 95/46/EG(6) voor de doelstellingen van voornoemd lid 1, met dien verstande dat verwijzingen in richtlijn 2002/58 naar richtlijn 95/46 krachtens artikel 94, lid 2, AVG gelden als verwijzingen naar deze verordening(7). Volgens overweging 10 van richtlijn 2002/58 is in de sector elektronische communicatie richtlijn 95/46 van toepassing, met name op alle aangelegenheden met betrekking tot de bescherming van fundamentele rechten en vrijheden die niet specifiek onder het bepaalde in richtlijn 2002/58 vallen, met inbegrip van de plichten van de verantwoordelijke en de rechten van personen.(8)
20. Uit het verzoek om een prejudiciële beslissing blijkt dat het hoofdgeding geen betrekking heeft op het gebruik van de elektronische-communicatiediensten door de abonnees van Digi en dus ook niet op de door richtlijn 2002/58 geregelde bescherming van de aldus verrichte communicatie en de daarmee verband houdende verkeersgegevens, maar wel op de interne werking van deze onderneming. Vast staat dat Digi in 2018 naar aanleiding van een technische serverstoring waardoor de oorspronkelijke databank met de gegevens van haar abonnees ontoegankelijk was geworden, een bestand onder de naam „test” heeft gemaakt, waarnaar zij de persoonsgegevens van een deel van haar klanten heeft gekopieerd.(9) Nadat Digi de fout had hersteld, zijn de gegevens tot en met september 2019 bewaard gebleven in de nieuwe databank, en in die periode is de databank gehackt. De aldus door Digi verrichte activiteit heeft de kenmerken van „verwerking van persoonsgegevens”, waarvoor deze onderneming de „verantwoordelijke” is in de zin van de definities in artikel 4, leden 2 en 7, AVG. Bovendien is Digi in die hoedanigheid door de autoriteit bestraft omdat zij bij die gelegenheid haar verplichtingen uit hoofde van met name artikel 5, lid 1, onder b) en e), AVG niet was nagekomen.
21. In dit verband zij eraan herinnerd dat elke verwerking van persoonsgegevens, behoudens de op grond van artikel 23 AVG toegestane uitzonderingen, dient plaats te vinden met eerbiediging van de beginselen die daarop van toepassing zijn en de rechten van de betrokkene, zoals neergelegd in respectievelijk de hoofdstukken II en III van die verordening. In het bijzonder moet elke verwerking van persoonsgegevens ten eerste in overeenstemming zijn met de in artikel 5 van deze verordening geformuleerde beginselen, en ten tweede voldoen aan de in artikel 6 ervan opgesomde rechtmatigheidsvoorwaarden.(10)
22. Volgens artikel 5 AVG staat het aan de verwerkingsverantwoordelijke om ervoor te zorgen dat persoonsgegevens „rechtmatig, behoorlijk en transparant” worden verwerkt [onder a)], dat zij „voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en […] vervolgens niet verder op een met die doeleinden onverenigbare wijze worden verwerkt” [onder b)], dat zij „toereikend zijn, ter zake dienend en [niet bovenmatig zijn, uitgaande van de doeleinden waarvoor zij worden verzameld of waarvoor zij verder worden verwerkt]” [onder c)], dat zij „juist zijn en zo nodig worden geactualiseerd” [onder d)] en, ten slotte, dat zij „worden bewaard in een vorm die het mogelijk maakt de betrokkenen niet langer te identificeren dan voor [de verwezenlijking van] de doeleinden waarvoor [zij worden verzameld of waarvoor zij verder worden verwerkt] noodzakelijk is” [onder e)], waarbij voor de verwerking van gegevens voor historische, statistische of wetenschappelijke doeleinden specifieke bepalingen gelden. In die context moet deze verantwoordelijke alle redelijke maatregelen nemen om de gegevens die niet aan deze vereisten voldoen, te wissen of te rectificeren.(11)
C. Draagwijdte van het verzoek om een prejudiciële beslissing
23. De verwijzende rechter verzoekt het Hof om aanwijzingen met betrekking tot de uitlegging van de in artikel 5, lid 1, onder b), respectievelijk onder e), AVG neergelegde beginselen van doelbinding en opslagbeperking, en heeft daartoe twee afzonderlijke prejudiciële vragen over deze bepalingen gesteld. De tweede vraag, die betrekking heeft op het beginsel van beperking van de opslag van gegevens, is echter slechts voorwaardelijk gesteld, voor het geval dat de betrokken verwerking onverenigbaar is met het beginsel van doelbinding.
24. Benadrukt zij evenwel dat de in artikel 5 AVG gestelde vereisten voor de verwerking van persoonsgegevens duidelijk cumulatief en onafhankelijk van elkaar zijn.(12) Het vraagstuk van de naleving van het beginsel van opslagbeperking staat juridisch los van het vraagstuk van het beginsel van doelbinding. In het besluit dat in het hoofdgeding aan de orde is, is de autoriteit van mening dat de opslag van gegevens in een extra interne databank schending oplevert van bovengenoemde twee afzonderlijke beginselen.
25. Hoewel de verwijzende rechter zijn tweede vraag formeel heeft beperkt door deze voorwaardelijk voor te leggen, staat deze omstandigheid er niet aan in de weg dat het Hof hem alle uitleggingsgegevens verschaft die nuttig kunnen zijn voor de uitspraak in het hoofdgeding, door uit alle door deze rechter verschafte gegevens, met name uit de motivering van de verwijzingsbeslissing, de elementen van het Unierecht te putten die, gelet op het voorwerp van het geding, uitlegging behoeven.(13)
D. Rechtmatigheid van de verwerking uit het oogpunt van de beginselen van doelbinding en opslagbeperking
1. Overwegingen vooraf
26. Om te beginnen moet mijns inziens de respectieve draagwijdte van de in artikel 5, lid 1, onder b) en e), AVG neergelegde beginselen worden onderzocht, en wel in samenhang met het begrip „opslag” waarmee de gelaakte verwerking in de verwijzingsbeslissing en in de stukken van de belanghebbende partijen wordt beschreven vanuit twee invalshoeken. De eerste betreft de handeling zelf van opslag of bewaring van gegevens, in casu het opslaan van een kopie van de gegevens van een deel van de Digi-abonnees in een extra interne databank. De tweede invalshoek betreft opslag in de zin van de handhaving van deze databank gedurende een bepaalde periode. Die vraag betreft dus de duur van de gegevensopslag. In dit verband valt het hierboven aangehaalde vraagstuk van de tijdsduur in mijn ogen niet onder het beginsel van doelbinding, maar uitsluitend onder dat van opslagbeperking.
27. Het beginsel van doelbinding als bedoeld in artikel 5, lid 1, onder b), AVG is tweeledig: persoonsgegevens moeten ten eerste voor „welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde” doeleinden worden verzameld, en mogen ten tweede „vervolgens niet verder op een met die doeleinden onverenigbare wijze worden verwerkt”. Dit beginsel heeft tot doel het gebruik van persoonsgegevens zo duidelijk mogelijk af te bakenen door te zorgen voor een evenwicht tussen de eerbiediging van de grondrechten van de betrokkenen op het gebied van de persoonlijke levenssfeer en gegevensbescherming, en een zekere mate van flexibiliteit voor de verwerkingsverantwoordelijke bij het beheer van die gegevens, die nodig is in de digitale wereld met de daaraan verbonden risico’s.
28. Met het tweede bestanddeel van dit beginsel, dat in casu meer bepaald van belang is, wordt beoogd de grenzen te bepalen waarbinnen voor een bepaald doel verzamelde persoonsgegevens opnieuw mogen worden gebruikt. Volgens artikel 5, lid 1, onder b), AVG, moet elke verwerking van gegevens na de verzameling ervan als „verdere verwerking” worden beschouwd en dus, uitzonderingen daargelaten, aan het vereiste van verenigbaarheid voldoen.(14) Dit vereiste houdt in dat er een concreet, logisch en voldoende nauw verband moet bestaan tussen het doel van de gegevensverzameling en de verdere verwerking ervan. Met andere woorden, deze verwerking mag niet worden losgekoppeld van het oorspronkelijke doel van de gegevensverzameling of daarmee in strijd zijn en de strekking ervan moet verenigbaar zijn met de bestaansreden van het verzamelen, los van het vraagstuk van de tijdsduur.
29. Het beginsel van doelbinding vormt strikt genomen geen uitdrukking van het evenredigheidsbeginsel, anders dan het beginsel van opslagbeperking als bedoeld in artikel 5, lid 1, onder e), AVG. Zoals het Hof heeft verduidelijkt, vloeit uit de vereisten van dit artikel voort dat zelfs een aanvankelijk rechtmatige verwerking van gegevens na verloop van tijd mogelijk niet langer met deze verordening verenigbaar is wanneer deze gegevens niet langer noodzakelijk zijn voor de doeleinden waarvoor zij zijn verzameld of verwerkt. Dit is met name het geval wanneer deze gegevens gelet op deze doeleinden en gelet op de verstreken tijd ontoereikend, niet of niet meer ter zake dienend of bovenmatig zijn.(15)
30. In het kader van het beginsel van opslagbeperking moet dus worden beoordeeld of de verwerking evenredig is aan het doel van die verwerking, gelet op het tijdsverloop. Het langer bewaren van gegevens dan nodig is, dat wil zeggen langer dan noodzakelijk is voor de verwezenlijking van de doeleinden waarvoor die gegevens zijn opgeslagen, is in strijd met dat beginsel.(16) De gegevens moeten worden gewist wanneer de verwerkingsdoeleinden zijn bereikt.(17) Het beginsel van opslagbeperking biedt dus een antwoord op de vraag wanneer de opslag van de gegevens in een extra interne databank van Digi niet langer gerechtvaardigd was.
31. In het licht van bovenstaande overwegingen zal ik onderzoeken of de betrokken verwerking gelet op de twee voornoemde beginselen rechtmatig is.
2. Beginsel van doelbinding
32. Teneinde na te gaan of een dergelijk beginsel, wat het tweede bestanddeel ervan betreft, in acht is genomen, is het zaak eerst het doeleinde of de doeleinden van de betrokken gegevensverzameling vast te stellen. Uit het aan het Hof overgelegde dossier blijkt dat deze gegevens door Digi zijn verzameld met het oog op het afsluiten en uitvoeren van door haar aangeboden abonnementsovereenkomsten voor internet- en televisiediensten, en dat de rechtmatigheid van deze eerste verwerking niet ter discussie staat tussen partijen in het hoofdgeding. Hetzelfde geldt voor de daaropvolgende onvermijdelijke verwerking die bestaat in de opslag van die gegevens in een speciaal daarvoor bestemde databank, die we als oorspronkelijke databank zullen aanmerken.(18) In deze context wenst de verwijzende rechter met name te vernemen of het welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doel van de gegevensverzameling is „gewijzigd” doordat deze gegevens naar een extra databank zijn gekopieerd, naast de oorspronkelijke opslag die tussen partijen onbetwist is.
33. Volgens de rechtspraak van het Hof moeten de in de AVG vastgelegde regels ter bescherming van persoonsgegevens worden geëerbiedigd bij elke verwerking ervan zoals gedefinieerd in artikel 2 van deze verordening.(19) Uit bovengenoemde vraagstelling komt volgens mij naar voren dat wordt voorbijgegaan aan het vereiste van individuele beoordeling van elke verwerking van persoonsgegevens die na de verzameling ervan plaatsvindt, zoals dat in casu voortvloeit uit artikel 5, lid 1, onder b), AVG.
34. Met andere woorden, elk later gebruik van deze gegevens moet worden onderzocht teneinde na te gaan welk specifiek doel daarmee wordt nagestreefd en, in voorkomend geval, of dat gebruik verenigbaar is met het doel van de verzameling. De rechtmatigheid van die verzameling en van de eerste gegevensopslag kan niet automatisch, door een soort overloopeffect, van invloed zijn op de eerbiediging van het beginsel van doelbinding bij een verdere verwerking, ongeacht of daarbij dezelfde gegevens zijn verwerkt. Zoals de Hongaarse regering aanvoert, kan er niet van worden uitgegaan dat de verwerkingsverantwoordelijke persoonsgegevens in verschillende bestanden en zonder beperkingen mag opslaan, mits hij deze aanvankelijk op rechtmatige wijze heeft verzameld en verwerkt.
35. Daarom moet worden onderzocht of de doeleinden waarvoor de gegevens werden verzameld en de verdere verwerking van die gegevens verenigbaar zijn, zoals voorgeschreven in artikel 5, lid 1, onder b), AVG. Deze vraag rijst logischerwijs echter alleen indien deze verwerking voor andere dan de oorspronkelijk aangegeven doeleinden wordt verricht.
36. Zo mag volgens overweging 50 van deze verordening de verwerking van persoonsgegevens „voor andere doeleinden” dan die waarvoor zij aanvankelijk zijn verzameld, enkel worden toegestaan indien de verwerking verenigbaar is met de doeleinden van die verzameling. De bewoordingen van artikel 6, lid 4, van die verordening bieden eveneens steun aan bovenstaande vaststelling. Deze bepaling bevat een niet-uitputtende opsomming van criteria aan de hand waarvan in een bepaalde configuratie kan worden beoordeeld of de verwerking „voor een ander doel” verenigbaar is met het doel waarvoor de persoonsgegevens aanvankelijk zijn verzameld. Indien wordt vastgesteld dat het verzamelen van de gegevens en de verdere verwerking ervan hetzelfde doel dienen, zoals Digi beweert, zou de verenigbaarheid niet meer hoeven te worden onderzocht en zou kunnen worden geconcludeerd dat de gegevens in het licht van het beginsel van doelbinding rechtmatig zijn verwerkt.(20)
a) Doeleinden van de verwerking
37. Uit het aan het Hof overgelegde dossier, en meer bepaald uit de verklaringen van Digi, blijkt dat deze onderneming als gevolg van een technische serverstoring waardoor de oorspronkelijke databank niet meer toegankelijk was, een kopie van de gegevens van een deel van de abonnees heeft opgeslagen in een extra interne databank, de zogeheten „testdatabank”, om het technische incident te verhelpen en toegang tot de gegevens te waarborgen overeenkomstig de verplichting die aan de verwerkingsverantwoordelijke wordt opgelegd door artikel 5, lid 1, onder f), en die is uitgewerkt in artikel 32 AVG.(21) Digi stelt dat deze verwerking zo tevens bijdroeg tot de verwezenlijking van het doel van de gegevensverzameling, namelijk levering van de contractueel overeengekomen dienst. In die omstandigheden zou de litigieuze opslag geen ander doel dienen, hetgeen elke schending van artikel 5, lid 1, onder b), van deze verordening uitsluit.
38. Hoewel het uiteraard aan de verwijzende rechter staat om de rechtmatigheid van bovengenoemde verwerking na te gaan, met name gelet op de vereisten van artikel 5 AVG en op alle omstandigheden van het voorliggende geval, kunnen hem daartoe meerdere aanwijzingen worden verstrekt.
39. In de eerste plaats merk ik op dat Digi er in wezen op wijst dat de litigieuze verwerking een tweeledig doel dient, in die zin dat het eerste en specifieke doel bestaande in het verhelpen van de serverstoring en het veiligstellen van de beschikbaarheid van de abonneegegevens zelf deel uitmaakt van een algemeen en secundair doel bestaande in de uitvoering van de abonnementsovereenkomsten, dat samenvalt met dat van de oorspronkelijke gegevensverzameling.
40. In de praktijk is het zeker mogelijk dat persoonsgegevens worden verzameld of verder worden verwerkt voor verschillende doeleinden, hetgeen in de AVG duidelijk in overweging wordt genomen en erkend, zoals blijkt uit de bewoordingen van artikel 5, lid 1, onder b), en artikel 6, lid 1, onder a), alsook de overwegingen 32 en 50 ervan. Deze benadering beantwoordt aan de noodzaak, pragmatisch en flexibel te zijn ten aanzien van de complexe en weinig lineaire verwerking van persoonsgegevens in het digitale tijdperk. Daarbij moet echter wel in aanmerking worden genomen dat er een nauwkeurig doel mee moet worden nagestreefd, hetgeen een sleutelfactor vormt bij de tenuitvoerlegging van de Europese regeling inzake bescherming van persoonsgegevens.
41. Een voldoende nauwkeurig doel vormt aldus een fundamentele waarborg voor voorspelbaarheid en rechtszekerheid, aangezien de betrokkene mede hierdoor kan begrijpen waarvoor zijn gegevens kunnen worden gebruikt en hij zo een weloverwogen beslissing kan nemen. Deze voorspelbaarheid is van wezenlijk belang bij de beoordeling of het doel van de gegevensverzameling en de verdere verwerking ervan verenigbaar zijn; aldus wordt het gevaar beperkt dat het evenwicht tussen de redelijke verwachtingen van de betrokkenen in verband met het mogelijke gebruik van hun gegevens in de toekomst enerzijds en de door de verwerkingsverantwoordelijke verrichte handelingen anderzijds wordt verstoord. De specificatie van het doel is tevens nodig voor de toepassing van andere vereisten inzake de kwaliteit van de gegevens, waaronder het feit dat de verzamelde gegevens toereikend, ter zake dienend, evenredig en juist dienen te zijn, alsmede voor de vereisten inzake de bewaartermijn overeenkomstig artikel 5, lid 1, onder c), d) en e), AVG.
42. Dit nauwkeurigheidsvereiste geldt dus voor elke verwerking, en niet alleen in de eerste fase van de gegevensverzameling, zoals in advies 3/2013 van de Artikel 29-werkgroep(22) wordt benadrukt. Opgemerkt dient te worden dat gegevensverwerking op basis van toestemming van de betrokkene alleen rechtmatig is indien de betrokkene toestemming heeft gegeven voor deze verwerking voor een of meer „specifieke” doeleinden, zoals bepaald in artikel 6, lid 1, onder a), AVG.
43. In die omstandigheden kunnen met een bepaalde verwerking weliswaar twee doeleinden worden nagestreefd, maar moet elk van deze doeleinden nauwkeurig zijn en een objectieve en voldoende nauwe band met de betrokken verwerking hebben.
44. In de tweede plaats moet worden gewezen op de bijzondere context waarin de beoordeling van het doeleinde of de doeleinden van de betrokken verdere verwerking dient te worden verricht.
45. Volgens de overwegingen 60 en 61 AVG moet de betrokkene overeenkomstig de beginselen van behoorlijke en transparante verwerking op de hoogte worden gesteld van het feit dat er verwerking plaatsvindt en van de doeleinden daarvan, en moet de informatie over de verwerking van zijn persoonsgegevens hem worden meegedeeld op het moment dat die gegevens bij hem worden verzameld. In dit verband bepaalt artikel 13, lid 1, onder c), van die verordening dat wanneer persoonsgegevens betreffende een betrokkene bij die persoon worden verzameld, de verwerkingsverantwoordelijke hem al bij de verkrijging van de persoonsgegevens de verwerkingsdoeleinden waarvoor deze zijn bestemd, alsook de rechtsgrond voor de verwerking, verstrekt.
46. Dit neemt niet weg dat een verwerkingsverantwoordelijke, hoe vooruitziend en bedachtzaam hij ook moge zijn, mogelijk niet in staat is de aard en de precieze reikwijdte van alle handelingen in de gegevensverwerkingsketen al bij de opzet van de verwerking te voorzien en te bepalen. Evenzo is de onderhavige zaak een perfecte illustratie van het vraagstuk van het beheer van een technische storing, die zich per definitie onverwachts voordoet, en van de daaropvolgende uitvoering van een bepaalde soort gegevensverwerking voor een aanvankelijk niet gespecificeerd doeleinde.
47. In het kader van de beoordeling van de rechtmatigheid van een dergelijke verwerking door de toezichthoudende autoriteit, en vervolgens door de rechterlijke instantie waarbij beroep tegen de beslissing van die autoriteit is ingesteld, zoals in casu, wordt dit doeleinde achteraf getoetst in het licht van de informatie die de verwerkingsverantwoordelijke tijdens de administratieve procedure heeft verstrekt. Het staat aan deze verwerkingsverantwoordelijke, die de betrokken verwerking heeft opgezet, om overeenkomstig de in artikel 5, lid 2, AVG neergelegde verantwoordingsplicht aan te tonen dat het beweerde doeleinde reëel is en, in voorkomend geval, dat de verwerking verenigbaar is met het doeleinde van de gegevensverzameling.(23)
48. In dit verband kunnen bij de toetsing van dit doeleinde twee concrete en objectieve elementen in aanmerking worden genomen. Ten eerste bepaalt artikel 13, lid 3, AVG dat wanneer persoonsgegevens betreffende een betrokkene bij die persoon worden verzameld en de verwerkingsverantwoordelijke voornemens is deze gegevens verder te verwerken voor een ander doel dan dat waarvoor zij zijn verzameld, die verantwoordelijke de betrokkene vóór die verdere verwerking informatie over dat andere doel(24) en alle relevante verdere informatie als bedoeld in lid 2 van die bepaling verstrekt. Ten tweede moet elke verwerkingsverantwoordelijke krachtens artikel 30, lid 1, AVG een – in schriftelijke vorm, waaronder in elektronische vorm, opgesteld – register bijhouden van de verwerkingsactiviteiten die onder zijn verantwoordelijkheid plaatsvinden, en dat register op verzoek ter beschikking stellen van de toezichthoudende autoriteit. Dit register bevat verschillende gegevens, waaronder informatie over de verwerkingsdoeleinden.
49. In casu lijkt vast te staan dat Digi geen van de betrokken abonnees op de hoogte heeft gebracht van haar voornemen om hun gegevens te dupliceren en deze op te slaan in een interne databank die bestemd is voor het uitvoeren van tests en het herstellen van fouten, aangezien deze verwerking volgens haar geen ander doel had dan het verzamelen van gegevens, en bijgevolg niet binnen de werkingssfeer van artikel 13, lid 3, AVG(25) viel. Uit het aan het Hof overgelegde dossier kan bovendien niet worden opgemaakt of Digi in aanmerking komt voor de vrijstelling waarin is voorzien in artikel 30, lid 5, van deze verordening en die betrekking heeft op de verplichting om een register bij te houden.(26)
50. Hoe dan ook merk ik op dat Digi ter terechtzitting duidelijk heeft aangegeven dat de technische storing die zich in 2018 had voorgedaan, niet tot een onderbreking van de contractueel overeengekomen dienst had geleid, en de litigieuze opslag louter op grond van het risico van een dergelijke onderbreking had plaatsgevonden. Deze verklaringen moeten in verband worden gebracht met objectieve materiële vaststellingen met betrekking tot de gekozen naam voor de databank, namelijk „test”, met het feit dat deze databank niet de gegevens van alle, maar slechts een derde van de abonnees bevatte, en het feit dat de databank, na 18 maanden lang door Digi te zijn vergeten terwijl het aanvankelijke technische incident reeds was opgelost, onmiddellijk is gewist na de hackeraanval in september 2019 waardoor de gegevensbeveiliging was aangetast.
51. In die omstandigheden lijkt te kunnen worden aangenomen dat met de litigieuze verwerking enkel en alleen het concrete en specifieke doel werd nagestreefd van tijdelijke beveiliging van een deel van de abonneegegevens in verband met het verhelpen van een technisch incident waardoor de werking van de server was aangetast, wat mijns inziens een ander doel is dan het verzamelen van gegevens.
52. De Commissie en Digi betogen daarentegen dat een dergelijke verwerking, waarmee wordt beoogd te voldoen aan de beveiligingsverplichting die op grond van artikel 5, lid 1, onder f), AVG op de verwerkingsverantwoordelijke rust en die in artikel 32 AVG nader is uitgewerkt, niet kan worden geacht een nieuw of ander doel na te streven, aangezien dit de nuttige werking van die handeling zou ondermijnen en zou leiden tot informatieverstrekking aan de betrokkenen zonder praktisch nut.
53. Deze abstracte en systematische benadering lijkt mij in strijd met het vereiste dat de rechtmatigheid van elke verwerking met inachtneming van alle relevante omstandigheden van het concrete geval dient te worden beoordeeld. Het is in werkelijkheid een dergelijke benadering die ertoe leidt dat de verplichting tot informatieverstrekking aan de betrokkenen als bedoeld in artikel 13, lid 3, AVG, haar nuttige werking wordt ontnomen, waarbij de verwerkingsverantwoordelijke deze informatie aan hen moet verstrekken om te waarborgen dat hun gegevens eerlijk worden verwerkt.(27) Deze verplichting dient te worden nagekomen in het geval waarin de verwerking, zoals in casu, plaatsvindt in het kader van een contractuele verhouding en haar grondslag vindt in artikel 6, lid 1, onder b), AVG, dat ziet op de noodzaak van de verwerking voor de uitvoering van de overeenkomst zonder dat de toestemming van de medecontractanten vereist is. Ten slotte gaat die benadering voorbij aan de bestaansreden van artikel 5, lid 1, onder b), AVG, namelijk dat een verdere verwerking die een ander doel dient dan het verzamelen van gegevens, niet noodzakelijkerwijs onrechtmatig is, aangezien het volstaat dat die verwerking verenigbaar is met het doel van de gegevensverzameling om aan voornoemde bepaling te voldoen.
b) Verenigbaarheid van de verwerking
54. Artikel 5, lid 1, onder b), AVG bevat geen enkele aanwijzing over de voorwaarden waaronder een verdere verwerking die een ander doel dient dan dat van de oorspronkelijke gegevensverzameling, als verenigbaar met dat doel kan worden beschouwd. In dit verband moet worden verwezen naar artikel 6, lid 4, AVG, gelezen in samenhang met overweging 50 van die verordening, waaruit een verband blijkt tussen het beginsel van doelbinding en de rechtsgrondslag van de betrokken verwerking.
55. In deze bepaling wordt met betrekking tot het verenigbaarheidsvereiste een onderscheid gemaakt naargelang de verwerking voor een ander doel dan dat waarvoor de gegevens zijn verzameld, al dan niet berust op de toestemming van de betrokkene of op een Unierechtelijke of lidstaatrechtelijke bepaling die in een democratische samenleving een noodzakelijke en evenredige maatregel vormt ter waarborging van de in artikel 23, lid 1, AVG bedoelde doelstellingen.
56. Indien deze vraag bevestigend wordt beantwoord, mag de verwerkingsverantwoordelijke volgens overweging 50, tweede alinea, AVG de persoonsgegevens verder verwerken, ongeacht of dat verenigbaar is met de doeleinden.(28) Deze uitzondering op het verenigbaarheidsvereiste wordt in wezen gerechtvaardigd doordat er andere regels bestaan waarmee de betrokkenen worden beschermd, meer bepaald regels inzake de verstrekking van informatie aan laatstgenoemden over de andere doeleinden en over het recht om bezwaar te maken tegen de verwerking.(29)
57. Indien deze vraag ontkennend wordt beantwoord, en dat is het geval in de onderhavige zaak, houdt de verwerkingsverantwoordelijke volgens de bewoordingen van artikel 6, lid 4, AVG:
„[…]
bij de beoordeling van de vraag of de verwerking voor een ander doel verenigbaar is met het doel waarvoor de persoonsgegevens aanvankelijk zijn verzameld onder meer rekening met:
a) ieder verband tussen de doeleinden waarvoor de persoonsgegevens zijn verzameld, en de doeleinden van de voorgenomen verdere verwerking;
b) het kader waarin de persoonsgegevens zijn verzameld, met name wat de verhouding tussen de betrokkenen en de verwerkingsverantwoordelijke betreft;
c) de aard van de persoonsgegevens, met name of bijzondere categorieën van persoonsgegevens worden verwerkt, overeenkomstig artikel 9, en of persoonsgegevens over strafrechtelijke veroordelingen en strafbare feiten worden verwerkt, overeenkomstig artikel 10;
d) de mogelijke gevolgen van de voorgenomen verdere verwerking voor de betrokkenen;
e) het bestaan van passende waarborgen, waaronder eventueel versleuteling of pseudonimisering.”
58. Aangezien Digi ten tijde van de verzameling van de gegevens geen enkele formele aanwijzing heeft gegeven over de voorgenomen verdere verwerking en het doel ervan, dient te worden overgegaan tot een materiële benadering, die mijns inziens leidt tot de vaststelling dat de verwerking verenigbaar is.
59. Dienaangaande bestaat er ontegenzeglijk een verband tussen het doel van de oorspronkelijke gegevensverzameling, te weten de uitvoering van de abonnementsovereenkomst voor internet- en televisiediensten, en een verwerking die ertoe strekt, die gegevens in een extra interne databank veilig te stellen en op geheel veilige wijze tests uit te voeren om een technische storing te verhelpen waarmee de levering van de contractueel overeengekomen dienst in gevaar zou kunnen komen. Hoewel zij elkaar niet overlappen, zoals hierboven is aangegeven, zijn deze doeleinden logisch gezien met elkaar verbonden.
60. Benadrukt zij dat deze verwerking niet afwijkt van de legitieme verwachtingen van de abonnees wat het verdere gebruik van hun gegevens betreft. Het feit dat gegevens in een extra interne databank worden opgeslagen omdat er een technische storing moet worden opgelost waardoor de toegankelijkheid tot de gegevens in de oorspronkelijke databank wordt aangetast, kan immers niet als verrassend of onwaarschijnlijk worden beschouwd. Bovendien zijn de betrokken gegevens nog steeds door dezelfde verwerkingsverantwoordelijke verwerkt en zijn zij niet aan derden bekendgemaakt, hetgeen er a priori op duidt dat zich geen negatieve gevolgen hebben voorgedaan. Het feit dat de hacker zich toegang tot de gegevens van Digi in die databank heeft weten te verschaffen, kan er in mijn ogen niet toe leiden dat met terugwerkende kracht wordt geconcludeerd dat de betrokken verwerking onverenigbaar is.
3. Beginsel van opslagbeperking
61. Overeenkomstig artikel 5, lid 1, onder e), AVG moeten persoonsgegevens worden bewaard in een vorm die het mogelijk maakt de betrokkenen niet langer te identificeren(30) dan voor de doeleinden waarvoor de persoonsgegevens worden verwerkt noodzakelijk is; persoonsgegevens mogen voor langere perioden worden opgeslagen voor zover de persoonsgegevens louter met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden worden verwerkt overeenkomstig artikel 89, lid 1, van die verordening, mits de bij die verordening vereiste passende technische en organisatorische maatregelen worden getroffen om de rechten en vrijheden van de betrokkene te beschermen.
62. Zoals reeds gezegd geeft het beginsel van opslagbeperking uitdrukking aan het evenredigheidsbeginsel en aan het beginsel van „minimale gegevensverwerking”, dat inhoudt dat de persoonsgegevens toereikend en ter zake dienend moeten zijn alsook beperkt moeten blijven tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt.(31) In het kader van het beginsel van opslagbeperking houdt de vraag of de verwerking noodzakelijk is, wat de tijdsduur betreft, verband met de vraag of deze nog wel haar doel dient.
63. Er zij tevens aan herinnerd dat de eerbiediging van het evenredigheidsvereiste inhoudt dat de uitzonderingen op de bescherming van de persoonsgegevens en de beperkingen ervan binnen de grenzen van het strikt noodzakelijke blijven.(32) Het Hof heeft duidelijk aangegeven dat artikel 5, lid 1, onder e), AVG strekt tot bescherming van de betrokkenen.(33)
64. In overweging 39 AVG staat net zo uitdrukkelijk dat de opslagperiode van gegevens „tot een strikt minimum [moet worden] beperkt” en dat de verwerkingsverantwoordelijke daartoe termijnen dient vast te stellen voor het wissen van gegevens of voor een periodieke toetsing ervan. Krachtens artikel 13, lid 2, onder a), AVG moet de verwerkingsverantwoordelijke de betrokkene bij de verkrijging van de persoonsgegevens, naast de in lid 1 van dat artikel bedoelde informatie, aanvullende informatie verstrekken om een behoorlijke en transparante verwerking te waarborgen, waaronder de periode gedurende welke de persoonsgegevens zullen worden opgeslagen, of indien dat niet mogelijk is, de criteria ter bepaling van die termijn.(34)
65. Tegen deze achtergrond moet, gelet op het geheel van de omstandigheden van het onderhavige geval(35), worden vastgesteld op welk moment de doeleinden van de opslag van een kopie van de gegevens van een deel van de abonnees in een extra interne databank in voorkomend geval konden worden geacht te zijn verwezenlijkt, waardoor deze verwerking geen bestaansreden meer had en Digi de gegevens moest wissen. Uiteraard staat het krachtens de in artikel 5, lid 2, AVG neergelegde verantwoordingsplicht aan de verwerkingsverantwoordelijke om aan te tonen dat de verwerking rechtmatig is gelet op het beginsel van opslagbeperking, net zoals dat het geval is voor het beginsel van doelbinding.
66. In het onderhavige geval stelt Digi dat, gelet op het feit dat de litigieuze opslag het doel van beveiliging van de gegevens diende en aldus bijdroeg tot de verwezenlijking van het doel van uitvoering van de abonnementsovereenkomst, de periode van opslag van de gegevens in de testdatabank strookte met die van de uitvoering van haar contractuele verplichtingen, hetgeen elke schending van artikel 5, lid 1, onder e), AVG uitsluit.
67. Wat het bepalen van het doeleinde of de doeleinden betreft, verwijs ik naar alle vaststellingen en beoordelingen die zijn verricht in het kader van de beantwoording van de vraag of het beginsel van doelbinding in acht is genomen en waaruit volgt dat de betrokken verwerking niet kon worden geacht een tweeledig doel na te streven, waaronder de uitvoering van de abonnementsovereenkomsten.(36)
68. Hoe dan ook moest de gegevensverwerking in de vorm van opslag in een extra intern bestand, ongeacht de aard van het vastgestelde doeleinde of de vastgestelde doeleinden, in de tijd beperkt blijven tot wat strikt noodzakelijk was. Met andere woorden, toen de oorspronkelijke storing eenmaal was verholpen, was er geen sprake meer van de omstandigheid die de opslag van de gegevens en de bewaring ervan rechtvaardigde. Het primaire en rechtstreekse doel van gegevensbeveiliging voor het verhelpen van het technische incident, afzonderlijk beschouwd of zelfs in samenhang met het indirecte en secundaire doel van uitvoering van de abonnementsovereenkomsten, kon in deze omstandigheden geen rechtvaardiging meer vormen voor de voortzetting van de gegevensverwerking.
69. Vastgesteld moet worden dat Digi ondubbelzinnig heeft aangegeven dat de testdatabank bedoeld was om de toegang tot de gegevens van de abonnees te waarborgen „totdat de fout was hersteld” en dat zij de databank per ongeluk niet heeft gewist, hoewel het herstellen van de fouten het bestaan ervan niet langer rechtvaardigde(37), hetgeen betekent dat de litigieuze verwerking geen nut en dus geen doel meer had. Kan een interne databank, waarvan de verwerkingsverantwoordelijke zelf heeft toegegeven dat deze anderhalf jaar lang was vergeten, nog worden geacht een daadwerkelijk doel te dienen? Het antwoord op deze vraag lijkt mij ontkennend te moeten luiden.
V. Conclusie
70. Gelet op het voorgaande geef ik het Hof in overweging de vragen van de Fővárosi Törvényszék te beantwoorden als volgt:
„1) Artikel 5, lid 1, onder b), van verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG (algemene verordening gegevensbescherming) moet aldus worden uitgelegd dat het aldaar geformuleerde beginsel er niet aan in de weg staat dat rechtmatig verzamelde en opgeslagen persoonsgegevens in een extra interne databank worden bewaard, voor zover met deze verwerking dezelfde doeleinden worden nagestreefd als die van de verzameling of, indien dat niet het geval is, deze verwerking verenigbaar is met de verzamelingsdoeleinden, hetgeen de verwerkingsverantwoordelijke dient aan te tonen, ook in het geval waarin met de verwerking wordt voldaan aan diens verplichting om een passende beveiliging van de persoonsgegevens te waarborgen zoals bedoeld in artikel 5, lid 1, onder f), van die verordening.
Wanneer die verwerking voor een ander doel dan waarvoor de gegevens zijn verzameld, niet berust op de toestemming van de betrokkene of op een wetgevingshandeling van de Unie of van een lidstaat als bedoeld in artikel 23, lid 1, van verordening 2016/679, moet de verenigbaarheid ervan met de verzamelingsdoeleinden worden vastgesteld aan de hand van met name de criteria van artikel 6, lid 4, van die verordening.
2) Artikel 5, lid 1, onder e), van verordening 2016/679 moet aldus worden uitgelegd dat het aldaar geformuleerde beginsel eraan in de weg staat dat rechtmatig verzamelde en opgeslagen gegevens worden bewaard – in een vorm die het mogelijk maakt de betrokkenen te identificeren – in een extra interne databank waarmee wordt beoogd een technische storing te verhelpen en deze gegevens tijdelijk veilig te stellen, gedurende langere tijd dan noodzakelijk is voor de verwezenlijking van dat doel en dus na de oplossing van dit incident, ook wanneer dat rechtstreekse en primaire doel in verband kan worden gebracht met het indirecte en secundaire doel van uitvoering van de contractueel overeengekomen dienst.”