Zaak C‑683/21
Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos
tegen
Valstybinė duomenų apsaugos inspekcija
(verzoek om een prejudiciële beslissing,
ingediend door de Vilniaus apygardos administracinis teismas)
Arrest van het Hof (Grote kamer) van 5 december 2023
„Prejudiciële verwijzing – Bescherming van persoonsgegevens – Verordening (EU) 2016/679 – Artikel 4, punten 2 en 7 – Begrippen ‚verwerking’ en ‚verwerkingsverantwoordelijke’ – Ontwikkeling van een mobiele IT-applicatie – Artikel 26 – Gezamenlijke verwerkingsverantwoordelijkheid – Artikel 83 – Oplegging van administratieve geldboeten – Voorwaarden – Vereiste dat de inbreuk opzettelijk of uit nalatigheid is begaan – Verantwoordelijkheid van de verwerkingsverantwoordelijke voor de verwerking van persoonsgegevens door een verwerker”
1. Bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens – Verordening 2016/679 – Begrip „verwerkingsverantwoordelijke” – Entiteit die een onderneming opdracht heeft gegeven om een mobiele IT-applicatie te ontwikkelen maar geen gegevens heeft verwerkt, geen uitdrukkelijke toestemming heeft gegeven om gegevens te verwerken of om de applicatie beschikbaar te stellen aan het publiek en de applicatie niet heeft aangekocht – Daaronder begrepen – Voorwaarde – Daadwerkelijke deelneming aan het vaststellen van het doel van en de middelen voor de verwerking – Uitzondering
(Verordening 2016/679 van het Europees Parlement en de Raad, overweging 74 en art. 4, punt 7)
(zie punten 30‑38, dictum 1)
2. Bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens – Verordening 2016/679 – Gezamenlijke verwerkingsverantwoordelijkheid – Voorwaarde – Gezamenlijk vaststellen van het doel van en de middelen voor de verwerking – Vereiste van een regeling tussen de gezamenlijke verwerkingsverantwoordelijken over de vaststelling van het doel van en de middelen voor de verwerking of over de voorwaarden met betrekking tot hun gezamenlijke verantwoordelijkheid – Geen
(Verordening 2016/679 van het Europees Parlement en de Raad, overweging 79 en art. 4, punt 7, en art. 26, lid 1)
(zie punten 41‑46, dictum 2)
3. Bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens – Verordening 2016/679 – Begrip „verwerking” – Gebruik van persoonsgegevens in het kader van IT-tests van een mobiele applicatie – Daaronder begrepen – Voorwaarde – Verwerking van persoonsgegevens – Verwerking van anonieme of fictieve gegevens – Daarvan uitgesloten – Verwerking van gepseudonimiseerde persoonsgegevens die door het gebruik van aanvullende gegevens aan een natuurlijke persoon kunnen worden gekoppeld – Daaronder begrepen
(Verordening 2016/679 van het Europees Parlement en de Raad, overweging 26 en art. 4, punten 1, 2 en 5)
(zie punten 50‑59, dictum 3)
4. Bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens – Verordening 2016/679 – Oplegging van administratieve geldboeten – Voorwaarden – Geen speelruimte voor de lidstaten om de materiële voorwaarden vast te stellen met betrekking tot het opleggen van een administratieve geldboete aan een verwerkingsverantwoordelijke – Vereiste dat de verwerkingsverantwoordelijke de inbreuk opzettelijk of uit nalatigheid heeft gepleegd
(Art. 288 VWEU; verordening 2016/679 van het Europees Parlement en de Raad, overwegingen 10, 129 en 148 en art. 58, 83 en 84)
(zie punten 64‑82, 86, dictum 4)
5. Bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens – Verordening 2016/679 – Oplegging van administratieve geldboeten – Mogelijkheid om een dergelijke geldboete op te leggen aan een verwerkingsverantwoordelijke voor de verwerking van persoonsgegevens door een verwerker – Uitzonderingen
(Verordening 2016/679 van het Europees Parlement en de Raad, art. 4, punt 8, art. 28, lid 10, en art. 83)
(zie punten 83‑86, dictum 4)
Samenvatting
In 2020 hebben de Litouwse autoriteiten met het oog op een betere beheersing van de COVID-19-pandemie besloten om een mobiele IT-applicatie aan te schaffen. Deze applicatie moest helpen bij de epidemiologische follow-up door het registreren en monitoren van gegevens over mensen die waren blootgesteld aan het COVID-19-virus.
Daartoe heeft de Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos (nationaal centrum voor volksgezondheid van het ministerie van Volksgezondheid, Litouwen; hierna: „NVSC”), dat verantwoordelijk was voor de aanschaf van deze applicatie, contact opgenomen met de vennootschap UAB „IT sprendimai sėkmei” (hierna: „ITSS”), met het verzoek om een dergelijke mobiele applicatie te ontwikkelen. Vervolgens hebben de werknemers van het NVSC aan deze vennootschap e-mails gezonden waarin zij met name uitlegden welke vragen er in deze applicatie moesten worden gesteld.
In de periode van april tot mei 2020 stond de door ITSS ontwikkelde mobiele applicatie ter beschikking van het publiek. Als gevolg daarvan hebben 3 802 personen van deze applicatie gebruikgemaakt en verschillende gegevens over zichzelf verstrekt, zoals gevraagd in deze applicatie. Wegens een gebrek aan financiering heeft het NVSC aan ITSS echter geen overheidsopdracht voor de officiële aankoop van haar mobiele applicatie gegund en de desbetreffende procedure beëindigd.
Ondertussen had de nationale toezichthoudende autoriteit een onderzoek ingesteld naar de verwerking van persoonsgegevens als gevolg van het gebruik van deze applicatie. Bij besluit van deze autoriteit, dat is vastgesteld na afloop van het onderzoek, zijn er administratieve geldboeten opgelegd aan zowel het NVSC als ITSS, die als gezamenlijke verwerkingsverantwoordelijke werden beschouwd.
Het NVSC is tegen dit besluit opgekomen bij de Vilniaus apygardos administracinis teismas (bestuursrechter in eerste aanleg Vilnius, Litouwen). Aangezien deze rechter twijfels had over de uitlegging van verschillende bepalingen van de AVG(1), heeft hij het Hof om een prejudiciële beslissing verzocht.
In zijn arrest verduidelijkt de Grote kamer van het Hof de begrippen „verwerkingsverantwoordelijke”, „gezamenlijke verwerkingsverantwoordelijken” en „verwerking”(2) en spreekt het zich uit over de mogelijkheid om een administratieve geldboete op te leggen aan een verwerkingsverantwoordelijke(3) wanneer de bestrafte inbreuk op de AVG niet opzettelijk of uit nalatigheid is begaan.
Beoordeling door het Hof
In de eerste plaats merkt het Hof op dat een entiteit die een onderneming opdracht heeft gegeven om een mobiele IT-applicatie te ontwikkelen en in die context heeft deelgenomen aan de vaststelling van het doel van en de middelen voor de verwerking van persoonsgegevens via die applicatie, als verwerkingsverantwoordelijke(4) kan worden beschouwd. Die vaststelling blijft ook overeind indien die entiteit niet zelf persoonsgegevens heeft verwerkt, niet uitdrukkelijk heeft ingestemd met de uitvoering van de specifieke handelingen voor die verwerking of voor de beschikbaarstelling van die mobiele applicatie aan het publiek, en zij die mobiele applicatie niet heeft aangekocht, tenzij die entiteit zich vóór die beschikbaarstelling aan het publiek uitdrukkelijk heeft verzet tegen de beschikbaarstelling en de verwerking van de persoonsgegevens als gevolg daarvan.
In de tweede plaats wijst het Hof erop dat het, om twee entiteiten als gezamenlijke verwerkingsverantwoordelijken te kunnen kwalificeren, niet nodig is dat er tussen deze entiteiten een regeling bestaat over de vaststelling van het doel van en de middelen voor de verwerking van de persoonsgegevens, of dat er een regeling bestaat waarin de voorwaarden betreffende de gezamenlijke verantwoordelijkheid voor de verwerking worden vastgesteld. Het is juist dat de gezamenlijke verwerkingsverantwoordelijken krachtens de AVG(5) hun respectieve verantwoordelijkheden voor de nakoming van de verplichtingen uit hoofde van deze verordening op transparante wijze vast dienen te stellen door middel van een onderlinge regeling. Het bestaan van een dergelijke regeling vormt echter geen voorafgaande voorwaarde om twee of meer entiteiten als „gezamenlijke verwerkingsverantwoordelijken” te kwalificeren, maar een verplichting die de AVG oplegt aan de gezamenlijke verwerkingsverantwoordelijken, zodra zij als verwerkingsverantwoordelijken zijn gekwalificeerd, teneinde de naleving van de uit hoofde van de AVG op hen rustende verplichtingen te verzekeren. Deze kwalificatie vloeit dus voort uit het enkele feit dat meerdere entiteiten hebben deelgenomen aan de vaststelling van het doel van en de middelen voor de verwerking.
Wat de gezamenlijke vaststelling door de betrokken entiteiten van het doel van en de middelen voor de verwerking betreft, oordeelt het Hof dat hun deelname aan die vaststelling verschillende vormen kan aannemen en het resultaat kan zijn zowel van hun gezamenlijk besluit als van hun convergerende besluiten. In dit laatste geval moeten de besluiten elkaar aanvullen, zodat elk ervan een concreet effect heeft op de vaststelling van het doel van en de middelen voor de verwerking.
In de derde plaats verklaart het Hof dat het gebruik van persoonsgegevens in het kader van IT-tests van een mobiele applicatie een verwerking(6) vormt. Dit is echter niet het geval indien die gegevens zodanig zijn geanonimiseerd dat de persoon op wie die gegevens betrekking hebben niet of niet meer identificeerbaar is of wanneer het gaat om fictieve gegevens die geen betrekking hebben op een bestaande natuurlijke persoon.
De vraag of persoonsgegevens worden gebruikt voor IT-tests dan wel voor een ander doel is namelijk irrelevant voor de kwalificatie van de handeling als „verwerking”. Verder kan alleen een verwerking die betrekking heeft op „persoonsgegevens” worden gekwalificeerd als een „verwerking” in de zin van de AVG. Fictieve of anonieme gegevens zijn evenwel geen persoonsgegevens.
In de vierde en laatste plaats stelt het Hof vast dat er op grond van artikel 83 AVG alleen een administratieve geldboete kan worden opgelegd aan een verwerkingsverantwoordelijke indien vaststaat dat hij opzettelijk of uit nalatigheid inbreuk op de regels van deze verordening heeft gemaakt.(7)
In dit verband preciseert het Hof dat de Uniewetgever de lidstaten geen beoordelingsmarge heeft gelaten met betrekking tot de materiële voorwaarden waaraan een toezichthoudende autoriteit moet voldoen wanneer zij besluit om op grond van deze bepaling een administratieve geldboete op te leggen aan een verwerkingsverantwoordelijke. Het feit dat de AVG de lidstaten de mogelijkheid biedt om te voorzien in uitzonderingen met betrekking tot in die lidstaten gevestigde overheidsinstanties en overheidsorganen(8) alsook in eisen betreffende de procedure die de toezichthoudende autoriteiten moeten volgen om een administratieve geldboete op te leggen(9), betekent geenszins dat deze lidstaten ook bevoegd zijn om dergelijke materiële voorwaarden vast te stellen.
Wat deze voorwaarden betreft, merkt het Hof op dat één van de in de AVG opgesomde elementen – op basis waarvan de toezichthoudende autoriteit aan de verwerkingsverantwoordelijke een administratieve geldboete oplegt – „de opzettelijke of nalatige aard van de inbreuk”(10) is. In geen van die elementen wordt echter melding gemaakt van enige mogelijkheid om de verwerkingsverantwoordelijke aansprakelijk te stellen wanneer hij niet onrechtmatig heeft gehandeld. Bijgevolg kunnen alleen inbreuken op de AVG die de verwerkingsverantwoordelijke opzettelijk of uit nalatigheid heeft begaan ertoe leiden dat hem op grond van artikel 83 van die verordening een administratieve geldboete wordt opgelegd.
Het Hof voegt daaraan toe dat deze lezing steun vindt in de algemene opzet en het doel van de AVG. In dit verband vormt het bestaan van een sanctieregeling op grond waarvan krachtens de AVG een administratieve geldboete kan worden opgelegd indien de specifieke omstandigheden van elk geval dit rechtvaardigen, een stimulans voor de verwerkingsverantwoordelijken en verwerkers om deze verordening na te leven. Door hun afschrikkende werking dragen administratieve geldboeten bij tot een betere bescherming van de betrokken natuurlijke personen. De Uniewetgever heeft het echter niet noodzakelijk geacht om te voorzien in de oplegging van administratieve geldboeten als er geen sprake is van schuld. Aangezien de AVG tot doel heeft een gelijkwaardig en homogeen beschermingsniveau tot stand te brengen en deze verordening daartoe in de gehele Unie op coherente wijze moet worden toegepast, zou het in strijd zijn met dit doel als de lidstaten een dergelijke boeteregeling konden invoeren.
Tot slot oordeelt het Hof dat die geldboete kan worden opgelegd aan een verwerkingsverantwoordelijke voor de verwerking van persoonsgegevens die door een verwerker namens hem wordt verricht, tenzij de verwerker in het kader van die verwerkingen de gegevens voor eigen doeleinden heeft verwerkt of op een wijze die onverenigbaar is met het kader of de wijze van verwerking zoals die door de verwerkingsverantwoordelijke waren bepaald of op zodanige wijze dat redelijkerwijs niet kan worden aangenomen dat de verwerkingsverantwoordelijke daarmee zou hebben ingestemd. In dat geval moet de verwerker worden geacht voor een dergelijke verwerking verantwoordelijk te zijn.