CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2023:949

Voorlopige editie

ARREST VAN HET HOF (Grote kamer)

5 december 2023 (*)

„Prejudiciële verwijzing – Bescherming van persoonsgegevens – Verordening (EU) 2016/679 – Artikel 4, punten 2 en 7 – Begrippen ‚verwerking’ en ‚verwerkingsverantwoordelijke’ – Ontwikkeling van een mobiele IT-applicatie – Artikel 26 – Gezamenlijke verwerkingsverantwoordelijkheid – Artikel 83 – Oplegging van administratieve geldboeten – Voorwaarden – Vereiste dat de inbreuk opzettelijk of uit nalatigheid is begaan – Verantwoordelijkheid van de verwerkingsverantwoordelijke voor de verwerking van persoonsgegevens door een verwerker”

In zaak C‑683/21,

betreffende een verzoek om een prejudiciële beslissing krachtens artikel 267 VWEU, ingediend door de Vilniaus apygardos administracinis teismas (bestuursrechter in eerste aanleg Vilnius, Litouwen) bij beslissing van 22 oktober 2021, ingekomen bij het Hof op 12 november 2021, in de procedure

Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos

tegen

Valstybinė duomenų apsaugos inspekcija,

in tegenwoordigheid van:

UAB „IT sprendimai sėkmei”,

Lietuvos Respublikos sveikatos apsaugos ministerija,

wijst

HET HOF (Grote kamer),

samengesteld als volgt: K. Lenaerts, president, L. Bay Larsen, vicepresident, A. Arabadjiev, C. Lycourgos, E. Regan, T. von Danwitz, Z. Csehi, O. Spineanu-Matei, kamerpresidenten, M. Ilešič, J.‑C. Bonichot, L. S. Rossi, A. Kumin, N. Jääskinen (rapporteur), N. Wahl en M. Gavalec, rechters,

advocaat-generaal: N. Emiliou,

griffier: C. Strömholm, administrateur,

gezien de stukken en na de terechtzitting op 17 januari 2023,

gelet op de opmerkingen van:

– Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos, vertegenwoordigd door G. Aleksienė,

– Valstybinė duomenų apsaugos inspekcija, vertegenwoordigd door R. Andrijauskas,

– de Litouwse regering, vertegenwoordigd door V. Kazlauskaitė-Švenčionienė als gemachtigde,

– de Nederlandse regering, vertegenwoordigd door C. S. Schillemans als gemachtigde,

– de Raad van de Europese Unie, vertegenwoordigd door R. Liudvinavičiūtė en K. Pleśniak als gemachtigden,

– de Europese Commissie, vertegenwoordigd door A. Bouchagiar, H. Kranenborg en A. Steiblytė als gemachtigden,

gehoord de conclusie van de advocaat-generaal ter terechtzitting van 4 mei 2023,

het navolgende

Arrest

1 Het verzoek om een prejudiciële beslissing betreft de uitlegging van artikel 4, punten 2 en 7, artikel 26, lid 1, en artikel 83, lid 1, van verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG (algemene verordening gegevensbescherming) (PB 2016, L 119, blz. 1; hierna: „AVG”).

2 Dit verzoek is ingediend in het kader van een geding tussen het Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos (nationaal centrum voor volksgezondheid van het ministerie van Volksgezondheid, Litouwen; hierna: „NVSC”) en de Valstybinė duomenų apsaugos inspekcija (nationale toezichthouder voor gegevensbescherming, Litouwen; hierna: „VDAI”) over een besluit waarbij de VDAI het NVSC krachtens artikel 83 AVG een administratieve geldboete heeft opgelegd wegens schending van de artikelen 5, 13, 24, 32 en 35 van die verordening.

Toepasselijke bepalingen

Unierecht

3 De overwegingen 9, 10, 11, 13, 26, 74, 79, 129 en 148 AVG luiden:

„(9) [...] De lidstaten bieden op het vlak van verwerking van persoonsgegevens uiteenlopende niveaus van bescherming van de rechten en vrijheden van natuurlijke personen, met name de bescherming van persoonsgegevens, wat het vrije verkeer van persoonsgegevens binnen de [Europese] Unie in de weg kan staan. Die verschillen kunnen dan ook een belemmering vormen voor de uitoefening van economische activiteiten op Unieniveau, de mededinging verstoren en de overheid beletten de taak die zij uit hoofde van het Unierecht heeft, te vervullen. [...]

(10) Teneinde natuurlijke personen een consistent en hoog beschermingsniveau te bieden en de belemmeringen voor het verkeer van persoonsgegevens binnen de Unie op te heffen, dient het niveau van bescherming van de rechten en vrijheden van natuurlijke personen op het vlak van verwerking van deze gegevens in alle lidstaten gelijkwaardig te zijn. Er moet gezorgd worden voor een in de gehele Unie coherente en homogene toepassing van de regels inzake bescherming van de grondrechten en de fundamentele vrijheden van natuurlijke personen in verband met de verwerking van persoonsgegevens. [...]

(11) Doeltreffende bescherming van persoonsgegevens in de gehele Unie vereist de versterking en nadere omschrijving van de rechten van betrokkenen en van de verplichtingen van degenen die persoonsgegevens verwerken en van degenen die over die verwerking beslissen, alsmede gelijkwaardige bevoegdheden op het gebied van toezicht en handhaving van de regels inzake gegevensbescherming en vergelijkbare sancties voor overtredingen in de lidstaten.

[...]

(13) Teneinde natuurlijke personen in de gehele Unie een consistent niveau van bescherming te bieden en te voorkomen dat verschillen het vrije verkeer van persoonsgegevens op de interne markt hinderen, is een verordening nodig om marktdeelnemers, met inbegrip van kleine, middelgrote en micro-ondernemingen, rechtszekerheid en transparantie te bieden, te voorzien in dezelfde wettelijk afdwingbare rechten voor natuurlijke personen in alle lidstaten en in verplichtingen en verantwoordelijkheden voor de verwerkingsverantwoordelijken en de verwerkers, te zorgen voor consistent toezicht op de verwerking van persoonsgegevens en voor vergelijkbare sancties in alle lidstaten, alsook voor doeltreffende samenwerking tussen de toezichthoudende autoriteiten van verschillende lidstaten. [...]

[...]

(26) De beginselen van gegevensbescherming moeten voor elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon gelden. Gepseudonimiseerde persoonsgegevens die door het gebruik van aanvullende gegevens aan een natuurlijke persoon kunnen worden gekoppeld, moeten als gegevens over een identificeerbare natuurlijke persoon worden beschouwd. [...] De gegevensbeschermingsbeginselen dienen derhalve niet van toepassing te zijn op anonieme gegevens, namelijk gegevens die geen betrekking hebben op een geïdentificeerde of identificeerbare natuurlijke persoon of op persoonsgegevens die zodanig anoniem zijn gemaakt dat de betrokkene niet of niet meer identificeerbaar is. Deze verordening heeft derhalve geen betrekking op de verwerking van dergelijke anonieme gegevens, onder meer voor statistische of onderzoeksdoeleinden.

[...]

(74) De verantwoordelijkheid en aansprakelijkheid van de verwerkingsverantwoordelijke moeten worden vastgesteld voor elke verwerking van persoonsgegevens die door of namens hem wordt uitgevoerd. Meer bepaald dient de verwerkingsverantwoordelijke te worden verplicht passende en effectieve maatregelen uit te voeren en te kunnen aantonen dat elke verwerkingsactiviteit overeenkomstig deze verordening geschiedt, ook wat betreft de doeltreffendheid van de maatregelen. Bij die maatregelen moet rekening worden gehouden met de aard, de omvang, de context en het doel van de verwerking en het risico voor de rechten en vrijheden van natuurlijke personen.

[...]

(79) Voor de bescherming van de rechten en vrijheden van betrokkenen en de verantwoordelijkheid en aansprakelijkheid van verwerkingsverantwoordelijken en verwerkers is het noodzakelijk [...] dat de bij deze verordening vastgestelde verantwoordelijkheden op duidelijke wijze worden toegewezen, ook wanneer de verwerkingsverantwoordelijke de doeleinden en de middelen voor de verwerking samen met andere verwerkingsverantwoordelijken vaststelt, of wanneer een verwerking namens een verwerkingsverantwoordelijke wordt uitgevoerd.

[...]

(129) Met het oog op een consequent toezicht en eenvormige handhaving van deze verordening in de gehele Unie dienen de toezichthoudende autoriteiten in alle lidstaten dezelfde taken en feitelijke bevoegdheden te hebben, waaronder de bevoegdheden om onderzoek te verrichten, corrigerende maatregelen te nemen en sancties op te leggen [...]. De bevoegdheden van de toezichthoudende autoriteiten moeten overeenkomstig passende in het Unierecht en het lidstatelijke recht bepaalde procedurele waarborgen, onpartijdig, behoorlijk en binnen een redelijke termijn worden uitgeoefend. Elke maatregel dient met name passend, noodzakelijk en evenredig te zijn met het oog op naleving van deze verordening en rekening houdend met de omstandigheden van elk individueel geval, het recht van iedere persoon te eerbiedigen om vóór het nemen van enige individuele maatregel die voor hem nadelige gevolgen zou hebben te worden gehoord, en overbodige kosten en buitensporige ongemakken voor de personen in kwestie te vermijden. Onderzoeksbevoegdheden betreffende toegang tot terreinen moeten overeenkomstig de specifieke voorschriften van het lidstatelijke procesrecht, zoals een verplichte voorafgaande toestemming van een rechterlijke instantie, worden uitgeoefend. Elke juridisch bindende maatregel van de toezichthoudende autoriteit dient schriftelijk, duidelijk en ondubbelzinnig te zijn, de toezichthoudende autoriteit die de maatregel heeft uitgevaardigd en de datum van uitvaardiging te vermelden, door het hoofd of een door het hoofd gemachtigd lid van de toezichthoudende autoriteit ondertekend te zijn, de redenen voor de maatregel te bevatten en naar het recht op een doeltreffende voorziening in rechte te verwijzen. Dit dient bijkomende voorschriften overeenkomstig het lidstatelijke procesrecht niet uit te sluiten. De vaststelling van juridisch bindende besluiten impliceert de mogelijkheid tot rechterlijke toetsing in de lidstaat van de toezichthoudende autoriteit die het besluit heeft vastgesteld.

[...]

(148) Met het oog op een krachtiger handhaving van de regels van deze verordening dienen straffen, met inbegrip van administratieve geldboeten, te worden opgelegd voor elke inbreuk op de verordening, naast of in plaats van passende maatregelen die door de toezichthoudende autoriteiten ingevolge deze verordening worden opgelegd. Indien het gaat om een kleine inbreuk of indien de te verwachten geldboete een onevenredige last zou berokkenen aan een natuurlijk persoon, kan in plaats van een geldboete worden gekozen voor een berisping. Er dient evenwel rekening te worden gehouden met de aard, de ernst en de duur van de inbreuk, met het opzettelijke karakter van de inbreuk, met schadebeperkende maatregelen, met de mate van verantwoordelijkheid, of met eerdere relevante inbreuken, met de wijze waarop de inbreuk ter kennis van de toezichthoudende autoriteit is gekomen, met de naleving van de maatregelen die werden genomen tegen de verwerkingsverantwoordelijke of de verwerker, met de aansluiting bij een gedragscode en met alle andere verzwarende of verzachtende factoren. Het opleggen van straffen, met inbegrip van administratieve geldboeten, moet onderworpen zijn aan passende procedurele waarborgen overeenkomstig de algemene beginselen van het Unierecht en het [Handvest van de grondrechten van de Europese Unie], waaronder een doeltreffende voorziening in rechte en een eerlijke rechtsbedeling.”

4 Artikel 4 van deze verordening bepaalt:

„Voor de toepassing van deze verordening wordt verstaan onder:

1) ‚persoonsgegevens’: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (‚de betrokkene’); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon;

2) ‚verwerking’: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens;

[...]

5) ‚pseudonimisering’: het verwerken van persoonsgegevens op zodanige wijze dat de persoonsgegevens niet meer aan een specifieke betrokkene kunnen worden gekoppeld zonder dat er aanvullende gegevens worden gebruikt, mits deze aanvullende gegevens apart worden bewaard en technische en organisatorische maatregelen worden genomen om ervoor te zorgen dat de persoonsgegevens niet aan een geïdentificeerde of identificeerbare natuurlijke persoon worden gekoppeld;

[...]

7) ‚verwerkingsverantwoordelijke’: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt; wanneer de doelstellingen van en de middelen voor deze verwerking in het Unierecht of het lidstatelijke recht worden vastgesteld, kan daarin worden bepaald wie de verwerkingsverantwoordelijke is of volgens welke criteria deze wordt aangewezen;

8) ‚verwerker’: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat namens de verwerkingsverantwoordelijke persoonsgegevens verwerkt;

[...]”

5 Artikel 26 („Gezamenlijke verwerkingsverantwoordelijken”) van die verordening bepaalt in lid 1:

„Wanneer twee of meer verwerkingsverantwoordelijken gezamenlijk de doeleinden en middelen van de verwerking bepalen, zijn zij gezamenlijke verwerkingsverantwoordelijken. Zij stellen op transparante wijze hun respectieve verantwoordelijkheden voor de nakoming van de verplichtingen uit hoofde van deze verordening vast, met name met betrekking tot de uitoefening van de rechten van de betrokkene en hun respectieve verplichtingen om de in de artikelen 13 en 14 bedoelde informatie te verstrekken, door middel van een onderlinge regeling, tenzij en voor zover de respectieve verantwoordelijkheden van de verwerkingsverantwoordelijken zijn vastgesteld bij een Unierechtelijke of lidstaatrechtelijke bepaling die op de verwerkingsverantwoordelijken van toepassing is. In de regeling kan een contactpunt voor betrokkenen worden aangewezen.”

6 Artikel 28 („Verwerker”) van die verordening bepaalt in lid 10:

„Indien een verwerker in strijd met deze verordening de doeleinden en middelen van een verwerking bepaalt, wordt die verwerker onverminderd de artikelen 82, 83 en 84 met betrekking tot die verwerking als de verwerkingsverantwoordelijke beschouwd.”

7 Artikel 58 („Bevoegdheden”) AVG bepaalt in lid 2:

„Elke toezichthoudende autoriteit heeft alle volgende bevoegdheden tot het nemen van corrigerende maatregelen:

a) de verwerkingsverantwoordelijke of de verwerker waarschuwen dat met de voorgenomen verwerkingen waarschijnlijk inbreuk op bepalingen van deze verordening wordt gemaakt;

b) de verwerkingsverantwoordelijke of de verwerker berispen wanneer met verwerkingen inbreuk op bepalingen van deze verordening is gemaakt;

[...]

d) de verwerkingsverantwoordelijke of de verwerker gelasten, waar passend, op een nader bepaalde manier en binnen een nader bepaalde termijn, verwerkingen in overeenstemming te brengen met de bepalingen van deze verordening;

[...]

f) een tijdelijke of definitieve verwerkingsbeperking, waaronder een verwerkingsverbod, opleggen;

[...]

i) naargelang de omstandigheden van elke zaak, naast of in plaats van de in dit lid bedoelde maatregelen, een administratieve geldboete opleggen op grond van artikel 83; en

[...]”

8 Artikel 83 („Algemene voorwaarden voor het opleggen van administratieve geldboeten”) AVG luidt:

„1. Elke toezichthoudende autoriteit zorgt ervoor dat de administratieve geldboeten die uit hoofde van dit artikel worden opgelegd voor de in de leden 4, 5 en 6 vermelde inbreuken op deze verordening in elke zaak doeltreffend, evenredig en afschrikkend zijn.

2. Administratieve geldboeten worden, naargelang de omstandigheden van het concrete geval, opgelegd naast of in plaats van de in artikel 58, lid 2, onder a) tot en met h) en onder j), bedoelde maatregelen. Bij het besluit over de vraag of een administratieve geldboete wordt opgelegd en over de hoogte daarvan wordt voor elk concreet geval naar behoren rekening gehouden met het volgende:

a) de aard, de ernst en de duur van de inbreuk, rekening houdend met de aard, de omvang of het doel van de verwerking in kwestie alsmede het aantal getroffen betrokkenen en de omvang van de door hen geleden schade;

b) de opzettelijke of nalatige aard van de inbreuk;

c) de door de verwerkingsverantwoordelijke of de verwerker genomen maatregelen om de door betrokkenen geleden schade te beperken;

d) de mate waarin de verwerkingsverantwoordelijke of de verwerker verantwoordelijk is gezien de technische en organisatorische maatregelen die hij heeft uitgevoerd overeenkomstig de artikelen 25 en 32;

e) eerdere relevante inbreuken door de verwerkingsverantwoordelijke of de verwerker;

f) de mate waarin er met de toezichthoudende autoriteit is samengewerkt om de inbreuk te verhelpen en de mogelijke negatieve gevolgen daarvan te beperken;

g) de categorieën van persoonsgegevens waarop de inbreuk betrekking heeft;

h) de wijze waarop de toezichthoudende autoriteit kennis heeft gekregen van de inbreuk, met name of, en zo ja in hoeverre, de verwerkingsverantwoordelijke of de verwerker de inbreuk heeft gemeld;

i) de naleving van de in artikel 58, lid 2, genoemde maatregelen, voor zover die eerder ten aanzien van de verwerkingsverantwoordelijke of de verwerker in kwestie met betrekking tot dezelfde aangelegenheid zijn genomen;

j) het aansluiten bij goedgekeurde gedragscodes overeenkomstig artikel 40 of van goedgekeurde certificeringsmechanismen overeenkomstig artikel 42; en

k) elke andere op de omstandigheden van de zaak toepasselijke verzwarende of verzachtende factor, zoals gemaakte financiële winsten, of vermeden verliezen, die al dan niet rechtstreeks uit de inbreuk voortvloeien.

3. Indien een verwerkingsverantwoordelijke of een verwerker opzettelijk of uit nalatigheid met betrekking tot dezelfde of daarmee verband houdende verwerkingsactiviteiten een inbreuk pleegt op meerdere bepalingen van deze verordening, is de totale geldboete niet hoger dan die voor de zwaarste inbreuk.

4. Inbreuken op onderstaande bepalingen zijn overeenkomstig lid 2 onderworpen aan administratieve geldboeten tot 10 000 000 EUR of, voor een onderneming, tot 2 % van de totale wereldwijde jaaromzet in het voorgaande boekjaar, indien dit een hoger bedrag vertegenwoordigt:

a) de verplichtingen van de verwerkingsverantwoordelijke en de verwerker overeenkomstig de artikelen 8, 11, 25 tot en met 39, en 42 en 43;

[...]

5. Inbreuken op onderstaande bepalingen zijn overeenkomstig lid 2 onderworpen aan administratieve geldboeten tot 20 000 000 EUR of, voor een onderneming, tot 4 % van de totale wereldwijde jaaromzet in het voorgaande boekjaar, indien dit een hoger bedrag vertegenwoordigt:

a) de basisbeginselen inzake verwerking, met inbegrip van de voorwaarden voor toestemming, overeenkomstig de artikelen 5, 6, 7 en 9;

b) de rechten van de betrokkenen overeenkomstig de artikelen 12 tot en met 22;

[...]

d) alle verplichtingen door de lidstaten vastgesteld krachtens hoofdstuk IX;

[...]

6. Niet-naleving van een bevel van de toezichthoudende autoriteit als bedoeld in artikel 58, lid 2, is overeenkomstig lid 2 van dit artikel onderworpen aan administratieve geldboeten tot 20 000 000 EUR of, voor een onderneming, tot 4 % van de totale wereldwijde jaaromzet in het voorgaande boekjaar, indien dit een hoger bedrag vertegenwoordigt.

7. Onverminderd de bevoegdheden tot het nemen van corrigerende maatregelen van de toezichthoudende autoriteiten overeenkomstig artikel 58, lid 2, kan elke lidstaat regels vaststellen betreffende de vraag of en in hoeverre administratieve geldboeten kunnen worden opgelegd aan in die lidstaat gevestigde overheidsinstanties en overheidsorganen.

8. De uitoefening door de toezichthoudende autoriteit van haar bevoegdheden uit hoofde van dit artikel is onderworpen aan passende procedurele waarborgen overeenkomstig het Unierecht en het lidstatelijke recht, waaronder een doeltreffende voorziening in rechte en een eerlijke rechtsbedeling.

[...]”

9 Artikel 84 („Sancties”) AVG bepaalt in lid 1:

„De lidstaten stellen de regels inzake andere sancties vast die van toepassing zijn op inbreuken op deze verordening, in het bijzonder op inbreuken die niet aan administratieve geldboeten onderworpen zijn overeenkomstig artikel 83, en treffen alle nodige maatregelen om ervoor te zorgen dat zij worden toegepast. Die sancties zijn doeltreffend, evenredig en afschrikkend.”

Litouws recht

10 Artikel 29, lid 3, van de Viešųjų pirkimų įstatymas (wet inzake overheidsopdrachten) noemt bepaalde omstandigheden waarin de aanbestedende dienst het recht of de verplichting heeft om de op zijn initiatief georganiseerde aanbestedingsprocedures of vergelijkende examens in te trekken op om het even welk ogenblik vóór de sluiting van de overheidsopdracht (of van de voorovereenkomst) of de aanwijzing van de winnaar van het vergelijkende examen.

11 Artikel 72, lid 2, van de wet inzake overheidsopdrachten bepaalt de fasen van de onderhandelingen die de aanbestedende dienst voert in het kader van een procedure van gunning via onderhandelingen zonder voorafgaande bekendmaking.

Hoofdgeding en prejudiciële vragen

12 In de context van de pandemie ten gevolge van het COVID-19-virus heeft de Lietuvos Respublikos sveikatos apsaugos ministras (minister van Volksgezondheid van de Republiek Litouwen) bij een eerste besluit van 24 maart 2020 de directeur van het NVSC opdracht gegeven om onmiddellijk een computersysteem aan te schaffen om de gegevens van de aan dit virus blootgestelde personen te registreren en te monitoren met het oog op de epidemiologische follow-up.

13 Bij e-mail van 27 maart 2020 heeft een persoon die beweerde het NVSC te vertegenwoordigen (hierna: „A.S.”), de vennootschap UAB „IT sprendimai sėkmei” (hierna: „ITSS”) meegedeeld dat zij was uitgekozen om voor dat doel een mobiele applicatie te ontwikkelen. A.S. heeft vervolgens e-mails aan ITSS gezonden over verschillende aspecten van de ontwikkeling van deze applicatie, waarbij een kopie van die e-mails aan de directeur van het NVSC is gezonden.

14 Tijdens de onderhandelingen tussen ITSS en het NVSC hebben naast A.S. ook andere werknemers van het NVSC aan deze vennootschap e-mails gestuurd over de bewoordingen van de vragen die in de betrokken mobiele applicatie zouden worden gesteld.

15 Bij de ontwikkeling van deze mobiele applicatie is een privacybeleid ontwikkeld waarin ITSS en het NVSC werden aangewezen als verwerkingsverantwoordelijken.

16 De betrokken mobiele applicatie, waarin ITSS en het NVSC werden genoemd, kon vanaf 4 april 2020 worden gedownload in de Google Play Store en vanaf 6 april 2020 in de Apple App Store. De applicatie werkte tot en met 26 mei 2020.

17 Tussen 4 april 2020 en 26 mei 2020 hebben 3 802 personen van deze applicatie gebruikgemaakt en de door de applicatie gevraagde gegevens over hen verstrekt, zoals identiteitsnummer, geografische coördinaten (breedte- en lengtegraad), land, stad, gemeente, postcode, straatnaam, gebouwnummer, naam, voornaam, persoonlijke code, telefoonnummer en adres.

18 Bij een tweede besluit van 10 april 2020 heeft de minister van Volksgezondheid van de Republiek Litouwen de directeur van het NVSC opgedragen om de betrokken mobiele applicatie aan te kopen bij ITSS; daartoe is overwogen om zich te beroepen op artikel 72, lid 2, van de wet inzake overheidsopdrachten. Er is echter geen enkele overheidsopdracht voor de officiële aankoop van deze applicatie door het NVSC aan ITSS gegund.

19 Op 15 mei 2020 heeft het NVSC deze vennootschap dan ook verzocht om in de betrokken mobiele applicatie op geen enkele wijze naar het NVSC te verwijzen. Bovendien heeft het NVSC deze vennootschap bij brief van 4 juni 2020 ervan in kennis gesteld dat het de procedure voor de aankoop van de applicatie overeenkomstig artikel 29, lid 3, van de wet betreffende overheidsopdrachten had beëindigd wegens een gebrek aan financiering voor die aankoop.

20 In het kader van een onderzoek naar de verwerking van persoonsgegevens dat op 18 mei 2020 is gestart, heeft de VDAI vastgesteld dat er persoonsgegevens waren verzameld met behulp van de betrokken mobiele applicatie. Bovendien is vastgesteld dat de gebruikers die voor deze toepassing hadden geopteerd als methode voor de opvolging van de isolatie die als gevolg van de COVID-19-pandemie verplicht was gesteld, vragen hadden beantwoord die verband hielden met de verwerking van persoonsgegevens. Deze gegevens zouden zijn verstrekt in de antwoorden op de via die applicatie gestelde vragen en hadden met name betrekking op de gezondheidstoestand van de betrokken persoon en de naleving door deze persoon van de voorwaarden van isolatie.

21 Bij besluit van 24 februari 2021 heeft de VDAI het NVSC op grond van artikel 83 AVG een administratieve geldboete van 12 000 EUR opgelegd omdat het NVSC de artikelen 5, 13, 24, 32 en 35 van deze verordening had geschonden. Bij dit besluit is ook een administratieve geldboete van 3 000 EUR opgelegd aan ITSS als gezamenlijke verwerkingsverantwoordelijke.

22 Het NVSC is tegen dit besluit opgekomen bij de Vilniaus apygardos administracinis teismas (bestuursrechter in eerste aanleg Vilnius, Litouwen), de verwijzende rechter, op grond dat ITSS moet worden beschouwd als de enige verwerkingsverantwoordelijke in de zin van artikel 4, punt 7, AVG. ITSS brengt daartegen in dat zij in opdracht van het NVSC, dat volgens haar de enige verwerkingsverantwoordelijke is, heeft gehandeld als verwerker in de zin van artikel 4, punt 8, AVG.

23 De verwijzende rechter wijst erop dat ITSS de betrokken mobiele applicatie heeft ontwikkeld en dat het NVSC deze onderneming met advies heeft bijgestaan wat betreft de inhoud van de vragen die in die applicatie zouden worden gesteld. Er bestaat echter geen overheidsopdracht tussen het NVSC en ITSS. Het NVSC heeft ook geen goedkeuring of toestemming verleend voor het beschikbaar stellen van deze applicatie via de verschillende appstores.

24 Deze rechter verklaart verder dat de betrokken mobiele applicatie was ontwikkeld om het door het NVSC toegewezen doel te verwezenlijken, namelijk de beheersing van de COVID-19-pandemie door het ontwikkelen van een IT-instrument, en dat het de bedoeling was om voor dat doel persoonsgegevens te verwerken. Wat de rol van ITSS betreft, was het niet de bedoeling dat deze vennootschap andere doelstellingen zou nastreven dan het ontvangen van een vergoeding voor het ontwikkelde IT-product.

25 De verwijzende rechter merkt tevens op dat tijdens het onderzoek van de VDAI is vastgesteld dat de Litouwse vennootschap Juvare Lithuania – die het IT-systeem beheert voor het toezicht en de controle op overdraagbare ziekten die zich dreigen te verspreiden – kopieën moest ontvangen van de in de betrokken mobiele applicatie verzamelde persoonsgegevens. Daarenboven werd er voor het testen van de applicatie gebruikgemaakt van fictieve gegevens, met uitzondering van de telefoonnummers van de werknemers van deze onderneming.

26 Tegen deze achtergrond heeft de Vilniaus apygardos administracinis teismas de behandeling van de zaak geschorst en het Hof verzocht om een prejudiciële beslissing over de volgende vragen:

„1) Kan het begrip ‚verwerkingsverantwoordelijke’ bedoeld in artikel 4, punt 7, AVG, aldus worden uitgelegd dat een persoon die voornemens is een instrument voor gegevensverzameling (mobiele applicatie) te verwerven middels een overheidsopdracht, ook als een verwerkingsverantwoordelijke moet worden aangemerkt, ongeacht het feit dat er geen overheidsopdracht is geplaatst en dat het ontwikkelde product (mobiele applicatie), ter verwerving waarvan gebruik is gemaakt van een procedure voor het plaatsen van een overheidsopdracht, niet is overgedragen?

2) Kan het begrip ‚verwerkingsverantwoordelijke’ bedoeld in artikel 4, punt 7, AVG, aldus worden uitgelegd dat een aanbestedende dienst ook dient te worden aangemerkt als verwerkingsverantwoordelijke in het geval deze dienst het eigendomsrecht van het ontwikkelde IT-product niet heeft verworven en niet in bezit heeft genomen, maar de eindversie van de ontwikkelde applicatie links of interfaces bevat naar dat openbaar lichaam en/of het privacybeleid, dat niet officieel door het betreffende openbaar lichaam is goedgekeurd of erkend, met dien verstande dat dat openbaar lichaam zelf een verwerkingsverantwoordelijke is?

3) Kan het begrip ‚verwerkingsverantwoordelijke’ bedoeld in artikel 4, punt 7, AVG, aldus worden uitgelegd dat een persoon die geen daadwerkelijke gegevensverwerkingsactiviteiten zoals omschreven in artikel 4, punt 2, AVG heeft verricht en/of geen duidelijke toestemming/goedkeuring voor de verrichting van dergelijke activiteiten heeft verleend, ook dient te worden aangemerkt als verwerkingsverantwoordelijke? Is het voor de uitlegging van het begrip ‚verwerkingsverantwoordelijke’ van belang dat het IT-product dat is gebruikt voor de verwerking van persoonsgegevens, is ontwikkeld volgens een instructie die door de aanbestedende dienst is geformuleerd?

4) Indien de vaststelling van daadwerkelijke gegevensverwerkingsactiviteiten van belang is voor de uitlegging van het begrip ‚verwerkingsverantwoordelijke’, dient het begrip ‚verwerking’ van persoonsgegevens bedoeld in artikel 4, punt 2, AVG dan aldus te worden uitgelegd dat het mede geldt voor situaties waarin kopieën van persoonsgegevens zijn gebruikt voor het testen van IT-systemen tijdens de procedure voor de verwerving van een mobiele applicatie?

5) Kan de gezamenlijke verantwoordelijkheid voor de verwerking van gegevens overeenkomstig artikel 4, punt 7, en artikel 26, lid 1, AVG uitsluitend aldus worden uitgelegd dat hiervoor sprake moet zijn van doelbewust op elkaar afgestemde handelingen om het doeleinde en de middelen van gegevensverwerking vast te stellen, of kan dat begrip ook in die zin worden uitgelegd dat de gezamenlijke verantwoordelijkheid ook geldt in situaties waarin er geen duidelijke ‚regeling’ bestaat over het doel van en de middelen voor gegevensverwerking en/of de entiteiten hun handelingen niet op elkaar hebben afgestemd? Zijn de omstandigheden die betrekking hebben op de ontwikkelingsfase van het middel van verwerking van persoonsgegevens (IT-applicatie) waarin persoonsgegevens zijn verwerkt en het doel van de ontwikkeling van de applicatie juridisch van belang voor de uitlegging van het begrip gezamenlijke verantwoordelijkheid voor de verwerking van gegevens? Kan een ‚regeling’ tussen de gezamenlijke verwerkingsverantwoordelijken uitsluitend worden uitgelegd als een duidelijke en omschreven vaststelling van voorwaarden betreffende de gezamenlijke verantwoordelijkheid voor de verwerking van gegevens?

6) Dient het bepaalde in artikel 83, lid 1, AVG, op grond waarvan ‚administratieve boeten doeltreffend, evenredig en afschrikkend zijn’, aldus te worden uitgelegd dat het ook geldt voor gevallen waarin de aansprakelijkheid komt te liggen bij de ‚verwerkingsverantwoordelijke’ wanneer de ontwikkelaar, tijdens het proces ter ontwikkeling van een IT-product, ook handelingen ter verwerking van persoonsgegevens verricht, en leiden de onrechtmatige handelingen ter verwerking van persoonsgegevens die door de verwerker worden verricht altijd automatisch tot juridische aansprakelijkheid van de ‚verwerkingsverantwoordelijke’? Dient die bepaling aldus uitgelegd te worden dat zij ook gevallen van risicoaansprakelijkheid van de verwerkingsverantwoordelijke omvat?”

Beantwoording van de prejudiciële vragen

Eerste tot en met derde vraag

27 Met zijn eerste tot en met derde vraag, die samen moeten worden onderzocht, wenst de verwijzende rechter in essentie te vernemen of artikel 4, punt 7, AVG aldus moet worden uitgelegd dat een entiteit die een onderneming opdracht heeft gegeven om een mobiele IT-applicatie te ontwikkelen, als verwerkingsverantwoordelijke in de zin van deze bepaling kan worden beschouwd hoewel deze entiteit de persoonsgegevens niet zelf heeft verwerkt, zij niet uitdrukkelijk heeft ingestemd met de uitvoering van de specifieke handelingen voor die verwerking of voor de beschikbaarstelling van die mobiele applicatie aan het publiek, en zij die mobiele applicatie niet heeft aangekocht.

28 Artikel 4, punt 7, AVG geeft een ruime uitlegging aan het begrip „verwerkingsverantwoordelijke”, waarmee wordt gedoeld op een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, „het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt”.

29 Het doel van deze ruime uitlegging, in overeenstemming met dat van de AVG, bestaat erin een doeltreffende bescherming van de fundamentele rechten en vrijheden van natuurlijke personen te waarborgen en met name een hoog niveau van bescherming van het recht van eenieder op bescherming van zijn persoonsgegevens (zie in die zin arresten van 29 juli 2019, Fashion ID, C‑40/17, EU:C:2019:629, punt 66, en 28 april 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, punt 73 en aldaar aangehaalde rechtspraak).

30 Het Hof heeft reeds geoordeeld dat een natuurlijke of rechtspersoon die om hem moverende redenen invloed uitoefent op de verwerking van dergelijke gegevens en daardoor deelneemt aan de vaststelling van het doel van en de middelen voor de verwerking, kan worden geacht voor die verwerking verantwoordelijk te zijn. In dit verband is het niet noodzakelijk dat het doel van en de middelen voor de verwerking worden vastgesteld bij wege van schriftelijke richtsnoeren of instructies van de verwerkingsverantwoordelijke (zie in die zin arrest van 10 juli 2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, punten 67 en 68), of dat de verwerkingsverantwoordelijke formeel als zodanig is aangewezen.

31 Om vast te stellen of een entiteit als het NVSC kan worden aangemerkt als verwerkingsverantwoordelijke in de zin van artikel 4, punt 7, AVG, moet dus worden onderzocht of deze entiteit daadwerkelijk en om haar moverende redenen invloed heeft uitgeoefend op de vaststelling van het doel van en de middelen voor die verwerking.

32 In casu blijkt, onder voorbehoud van de door de verwijzende rechter te verrichten verificaties, uit het dossier waarover het Hof beschikt dat de applicatie is ontwikkeld in opdracht van het NVSC en dat daarmee werd beoogd het door het NVSC toegewezen doel te verwezenlijken, namelijk de beheersing van de COVID-19-pandemie door middel van een IT-instrument voor de registratie en de monitoring van de gegevens van personen die in contact zijn geweest met het COVID-19-virus. Dat doel indachtig was het NVSC voornemens de persoonsgegevens van gebruikers van de aan de orde zijnde mobiele applicatie te verwerken. Bovendien blijkt uit de verwijzingsbeslissing dat de parameters voor deze applicatie, zoals de gestelde vragen en de bewoordingen ervan, waren aangepast aan de behoeften van het NVSC en dat dit centrum een actieve rol heeft gespeeld bij de vaststelling ervan.

33 In die omstandigheden moet er in beginsel van worden uitgegaan dat het NVSC daadwerkelijk heeft deelgenomen aan het bepalen van het doel van en de middelen voor de verwerking.

34 Daarentegen kan het enkele feit dat het NVSC in het privacybeleid van de betrokken mobiele applicatie als verwerkingsverantwoordelijke stond vermeld en dat die applicatie links naar die entiteit bevatte, enkel relevant worden geacht voor zover vast komt te staan dat het NVSC uitdrukkelijk of impliciet met die vermelding of die verwijzing heeft ingestemd.

35 Verder sluiten de omstandigheden die de verwijzende rechter heeft aangehaald in de overwegingen ter ondersteuning van zijn eerste drie prejudiciële vragen – namelijk dat het NVSC zelf geen persoonsgegevens heeft verwerkt, dat er geen overeenkomst tussen het NVSC en ITSS bestond, dat het NVSC de betrokken mobiele applicatie niet heeft aangekocht of dat het NVSC geen toestemming heeft gegeven voor de verspreiding van deze applicatie via appstores – niet uit dat het NVSC kan worden aangemerkt als „verwerkingsverantwoordelijke” in de zin van artikel 4, punt 7, AVG.

36 Uit deze bepaling, gelezen in het licht van overweging 74 AVG, blijkt immers dat een entiteit die voldoet aan de voorwaarde van artikel 4, punt 7, AVG niet alleen verantwoordelijk is voor elke verwerking van persoonsgegevens die zij zelf uitvoert, maar ook voor de verwerking die namens haar wordt uitgevoerd.

37 In dit verband moet evenwel worden gepreciseerd dat het NVSC niet kan worden aangemerkt als de verantwoordelijke voor de verwerking van persoonsgegevens die het gevolg is van de beschikbaarstelling van de mobiele applicatie in kwestie aan het publiek, indien het zich vóór die beschikbaarstelling uitdrukkelijk tegen die beschikbaarstelling heeft verzet, waarbij het aan de verwijzende rechter staat om dit na te gaan. In dat geval kan immers niet worden geoordeeld dat de betrokken verwerking namens het NVSC is uitgevoerd.

38 Gelet op de voorgaande overwegingen moet op de eerste tot en met de derde vraag worden geantwoord dat artikel 4, punt 7, AVG aldus moet worden uitgelegd dat een entiteit die een onderneming opdracht heeft gegeven om een mobiele IT-applicatie te ontwikkelen en in die context heeft deelgenomen aan de vaststelling van het doel van en de middelen voor de verwerking van persoonsgegevens via die applicatie, als verwerkingsverantwoordelijke in de zin van deze bepaling kan worden beschouwd hoewel deze entiteit de persoonsgegevens niet zelf heeft verwerkt, zij niet uitdrukkelijk heeft ingestemd met de uitvoering van de specifieke handelingen voor die verwerking of voor de beschikbaarstelling van die mobiele applicatie aan het publiek, en zij die mobiele applicatie niet heeft aangekocht, tenzij die entiteit zich vóór die beschikbaarstelling aan het publiek uitdrukkelijk heeft verzet tegen de beschikbaarstelling en de verwerking van persoonsgegevens als gevolg daarvan.

Vijfde vraag

39 Met zijn vijfde vraag, die in de tweede plaats moet worden onderzocht, wenst de verwijzende rechter in essentie te vernemen of artikel 4, punt 7, en artikel 26, lid 1, AVG aldus moeten worden uitgelegd dat het, om twee entiteiten als gezamenlijke verwerkingsverantwoordelijken te kunnen kwalificeren, nodig is dat er tussen deze entiteiten een regeling bestaat over de vaststelling van het doel van en de middelen voor de verwerking van de betrokken persoonsgegevens of dat er een regeling bestaat waarin de voorwaarden voor de gezamenlijke verantwoordelijkheid voor de verwerking worden vastgesteld.

40 Volgens artikel 26, lid 1, AVG is er sprake van „gezamenlijke verwerkingsverantwoordelijken” wanneer twee of meer verwerkingsverantwoordelijken gezamenlijk de doeleinden en middelen van de verwerking bepalen.

41 Volgens de rechtspraak van het Hof kan een natuurlijke of rechtspersoon dus slechts als gezamenlijk verantwoordelijk worden beschouwd indien hij zelfstandig voldoet aan de definitie van „verwerkingsverantwoordelijke” in artikel 4, punt 7, AVG (zie in die zin arrest van 29 juli 2019, Fashion ID, C‑40/17, EU:C:2019:629, punt 74).

42 Niettemin uit het bestaan van een gezamenlijke verantwoordelijkheid zich niet noodzakelijkerwijs in een gelijkwaardige verantwoordelijkheid van de verschillende ondernemers die betrokken zijn bij de verwerking van persoonsgegevens. Deze ondernemers kunnen juist in verschillende stadia en in verschillende maten bij deze verwerking betrokken zijn, zodat het niveau van verantwoordelijkheid van elk van hen moet worden beoordeeld in het licht van alle relevante omstandigheden van het geval (arrest van 5 juni 2018, Wirtschaftsakademie Schleswig-Holstein, C‑210/16, EU:C:2018:388, punt 43). Bovendien vooronderstelt de omstandigheid dat meerdere deelnemers verantwoordelijk zijn voor dezelfde verwerking niet dat ieder van hen toegang heeft tot de betrokken persoonsgegevens (arrest van 10 juli 2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, punt 69 en aldaar aangehaalde rechtspraak).

43 Zoals de advocaat-generaal in punt 38 van zijn conclusie heeft opgemerkt, kan de deelname aan de vaststelling van het doel van en de middelen voor de verwerking verschillende vormen aannemen, die zowel het resultaat kan zijn van een gezamenlijk besluit van twee of meer entiteiten als resulteren uit convergerende besluiten van die entiteiten. In dit laatste geval moeten de besluiten elkaar aanvullen, zodat elk ervan een concreet effect heeft op de vaststelling van het doel van en de middelen voor de verwerking.

44 Daarentegen kan niet worden verlangd dat er tussen deze verwerkingsverantwoordelijken een formele regeling bestaat over het doel van en de middelen voor de verwerking.

45 Het is juist dat de gezamenlijke verwerkingsverantwoordelijken krachtens artikel 26, lid 1, AVG, gelezen in het licht van overweging 79 van die verordening, hun respectieve verantwoordelijkheden voor de nakoming van de verplichtingen uit hoofde van deze verordening op transparante wijze vast dienen te stellen door middel van een onderlinge regeling. Het bestaan van een dergelijke regeling vormt echter geen voorafgaande voorwaarde om twee of meer entiteiten als gezamenlijke verwerkingsverantwoordelijken te kwalificeren, maar een verplichting die artikel 26, lid 1, AVG oplegt aan de gezamenlijke verwerkingsverantwoordelijken, zodra zij als verwerkingsverantwoordelijken zijn gekwalificeerd, teneinde de naleving van de uit hoofde van de AVG op hen rustende vereisten te verzekeren. Deze kwalificatie vloeit dus voort uit het enkele feit dat meerdere entiteiten hebben deelgenomen aan de vaststelling van het doel van en de middelen voor de verwerking.

46 Gelet op de voorgaande overwegingen moet op de vijfde vraag worden geantwoord dat artikel 4, punt 7, en artikel 26, lid 1, AVG aldus moeten worden uitgelegd dat het, om twee entiteiten als gezamenlijke verwerkingsverantwoordelijken te kunnen kwalificeren, niet nodig is dat er tussen deze entiteiten een regeling bestaat over de vaststelling van het doel van en de middelen voor de verwerking van de betrokken persoonsgegevens, of dat er een regeling bestaat waarin de voorwaarden voor de gezamenlijke verantwoordelijkheid voor de verwerking worden vastgesteld.

Vierde vraag

47 Met zijn vierde vraag wenst de verwijzende rechter in essentie te vernemen of artikel 4, punt 2, AVG aldus moet worden uitgelegd dat het gebruik van persoonsgegevens in het kader van IT-tests van een mobiele applicatie een „verwerking” in de zin van deze bepaling vormt.

48 Zoals blijkt uit punt 25 van het onderhavige arrest, moest de Litouwse vennootschap die het IT-systeem beheert voor het toezicht en de controle op overdraagbare ziekten die zich dreigen te verspreiden, in casu kopieën ontvangen van de met de betrokken mobiele applicatie verzamelde persoonsgegevens. In het kader van de IT-tests werd er gebruikgemaakt van fictieve gegevens, met uitzondering van de telefoonnummers van de werknemers van die onderneming.

49 In de eerste plaats definieert artikel 4, punt 2, AVG het begrip „verwerking” als „een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés”. In een niet-limitatieve opsomming, die wordt ingeleid door het woord „zoals”, noemt deze bepaling als voorbeelden van verwerking onder meer het verzamelen, ter beschikking stellen en gebruiken van persoonsgegevens.

50 Uit de bewoordingen van deze bepaling, met name uit de uitdrukking „een bewerking”, blijkt dus dat de Uniewetgever aan het begrip „verwerking” een ruime strekking heeft willen geven [zie in die zin arrest van 24 februari 2022, Valsts ieņēmumu dienests (Verwerking van persoonsgegevens voor fiscale doeleinden), C‑175/20, EU:C:2022:124, punt 35] en dat de redenen waarom een handeling of een geheel van handelingen wordt verricht, niet in aanmerking kunnen worden genomen om te bepalen of deze handeling of dit geheel van handelingen een „verwerking” in de zin van artikel 4, punt 2, AVG vormt.

51 Bijgevolg is de vraag of persoonsgegevens worden gebruikt voor IT-tests of voor een ander doel, irrelevant voor de kwalificatie van de betrokken handeling als „verwerking” in de zin van artikel 4, punt 2, AVG.

52 In de tweede plaats is het echter van belang te verduidelijken dat alleen een verwerking die betrekking heeft op „persoonsgegevens” een „verwerking” in de zin van artikel 4, punt 2, AVG vormt.

53 Artikel 4, punt 1, AVG verduidelijkt in dit verband wat er onder „persoonsgegevens” wordt verstaan: „alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon”, dat wil zeggen „een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon”.

54 De omstandigheid waarnaar de verwijzende rechter in zijn vierde vraag verwijst, namelijk dat het gaat om „kopieën van persoonsgegevens”, kan als zodanig niet afdoen aan de kwalificatie van deze kopieën als persoonsgegevens in de zin van artikel 4, punt 1, AVG, mits die kopieën daadwerkelijk informatie bevatten die betrekking heeft op een geïdentificeerde of identificeerbare natuurlijke persoon.

55 Evenwel moet worden vastgesteld dat fictieve gegevens geen persoonsgegevens in de zin van artikel 4, punt 1, AVG zijn, aangezien zij geen betrekking hebben op een geïdentificeerde of identificeerbare natuurlijke persoon, maar op een persoon die in feite niet bestaat.

56 Hetzelfde geldt voor in het kader van IT-tests gebruikte gegevens die anoniem of geanonimiseerd zijn.

57 Uit overweging 26 AVG en uit de definitie zelf van het begrip „persoonsgegevens” in artikel 4, punt 1, van deze verordening volgt immers dat dit begrip niet ziet op „anonieme gegevens, namelijk gegevens die geen betrekking hebben op een geïdentificeerde of identificeerbare natuurlijke persoon”, noch op „persoonsgegevens die zodanig anoniem zijn gemaakt dat de betrokkene niet of niet meer identificeerbaar is”.

58 Daar staat tegenover dat uit artikel 4, punt 5, AVG, gelezen in samenhang met overweging 26 van die verordening, voortvloeit dat persoonsgegevens die louter zijn gepseudonimiseerd en die door het gebruik van aanvullende gegevens aan een natuurlijke persoon kunnen worden gekoppeld, moeten worden beschouwd als gegevens over een identificeerbare natuurlijke persoon, waarop de gegevensbeschermingsbeginselen van toepassing zijn.

59 Gelet op de voorgaande overwegingen dient op de vierde vraag te worden geantwoord dat artikel 4, punt 2, AVG aldus moet worden uitgelegd dat het gebruik van persoonsgegevens in het kader van IT-tests van een mobiele applicatie een „verwerking” in de zin van deze bepaling vormt, tenzij die gegevens zodanig anoniem zijn gemaakt dat de persoon waarop die gegevens betrekking hebben niet of niet meer identificeerbaar is of wanneer het gaat om fictieve gegevens die geen betrekking hebben op een bestaande natuurlijke persoon.

Zesde vraag

60 Met zijn zesde vraag wenst de verwijzende rechter in essentie te vernemen of artikel 83 AVG aldus moet worden uitgelegd dat er op grond van deze bepaling alleen een administratieve geldboete kan worden opgelegd indien vaststaat dat de verwerkingsverantwoordelijke opzettelijk of uit nalatigheid een in de leden 4 tot en met 6 van dat artikel bedoelde inbreuk heeft gepleegd, en dat die geldboete kan worden opgelegd aan een verwerkingsverantwoordelijke voor de verwerking die door een verwerker namens hem wordt verricht.

61 Wat in de eerste plaats de vraag betreft of er krachtens artikel 83 AVG een administratieve geldboete kan worden opgelegd voor zover vaststaat dat de verwerkingsverantwoordelijke of de verwerker opzettelijk of uit nalatigheid een in de leden 4 tot en met 6 van dat artikel bedoelde inbreuk heeft gepleegd, blijkt uit lid 1 van dat artikel dat deze geldboeten doeltreffend, evenredig en afschrikkend moeten zijn. Artikel 83 AVG bepaalt evenwel niet uitdrukkelijk dat deze inbreuken slechts met een dergelijke geldboete kunnen worden bestraft indien zij opzettelijk of op zijn minst uit nalatigheid zijn begaan.

62 De Litouwse regering en de Raad van de Europese Unie leiden hieruit af dat de Uniewetgever de lidstaten een zekere beoordelingsmarge heeft willen laten bij de uitvoering van artikel 83 AVG, zodat zij administratieve geldboeten kunnen opleggen op grond van deze bepaling, in voorkomend geval zonder dat is aangetoond dat de met deze geldboete bestrafte inbreuk op de AVG opzettelijk of uit nalatigheid is begaan.

63 Deze uitlegging van artikel 83 kan niet worden aanvaard.

64 In dit verband zij eraan herinnerd dat bepalingen van verordeningen krachtens artikel 288 VWEU in het algemeen rechtstreekse werking hebben in de nationale rechtsorden, zonder dat de nationale autoriteiten uitvoeringsmaatregelen hoeven vast te stellen. Voor sommige bepalingen van verordeningen kan het evenwel noodzakelijk zijn dat door de lidstaten nationale maatregelen ter uitvoering ervan worden vastgesteld (zie in die zin arrest van 28 april 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, punt 58 en aldaar aangehaalde rechtspraak).

65 Dit is met name het geval voor de AVG, waarvan sommige bepalingen de lidstaten de mogelijkheid bieden om strengere of afwijkende nationale bepalingen vast te stellen die hun een beoordelingsmarge laten met betrekking tot de wijze waarop deze regels kunnen worden toegepast (arrest van 28 april 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, punt 57).

66 Evenzo is het bij gebreke van specifieke procedureregels in de AVG een zaak van de rechtsorde van elke lidstaat om, met inachtneming van de beginselen van gelijkwaardigheid en doeltreffendheid, de regels vast te stellen voor vorderingen die worden ingediend ter bescherming van de rechten die de justitiabelen aan die bepalingen ontlenen [zie in die zin arrest van 4 mei 2023, Österreichische Post (Immateriële schade ten gevolge van de verwerking van persoonsgegevens), C‑300/21, EU:C:2023:370, punten 53 en 54 en aldaar aangehaalde rechtspraak].

67 Uit de bewoordingen van artikel 83, leden 1 tot en met 6, AVG kan echter niet worden afgeleid dat de Uniewetgever de lidstaten een beoordelingsmarge heeft willen laten met betrekking tot de materiële voorwaarden waaraan een toezichthoudende autoriteit moet voldoen wanneer zij besluit een administratieve geldboete op te leggen aan een verwerkingsverantwoordelijke voor een in de leden 4 tot en met 6 van dat artikel bedoelde inbreuk.

68 Enerzijds bepaalt artikel 83, lid 7, AVG inderdaad dat elke lidstaat regels kan vaststellen betreffende de vraag of en in hoeverre administratieve geldboeten kunnen worden opgelegd aan in die lidstaat gevestigde overheidsinstanties en overheidsorganen. Anderzijds blijkt uit artikel 83, lid 8, van deze verordening, gelezen in het licht van overweging 129 ervan, dat de uitoefening door de toezichthoudende autoriteit van haar bevoegdheden uit hoofde van dat artikel is onderworpen aan passende procedurele waarborgen overeenkomstig het Unierecht en het lidstatelijke recht, waaronder een doeltreffende voorziening in rechte en een eerlijke rechtsbedeling.

69 Het feit dat deze verordening de lidstaten aldus de mogelijkheid biedt om te voorzien in uitzonderingen met betrekking tot in die lidstaten gevestigde overheidsinstanties en overheidsorganen alsook in eisen betreffende de procedure die de toezichthoudende autoriteiten moeten volgen om een administratieve geldboete op te leggen, betekent echter geenszins dat deze lidstaten ook bevoegd zijn om, naast dergelijke uitzonderingen en procedurele eisen, materiële voorwaarden vast te stellen die in acht moeten worden genomen om de verwerkingsverantwoordelijke aansprakelijk te stellen en hem krachtens artikel 83 een administratieve geldboete op te leggen. Overigens bevestigt het feit dat de Uniewetgever uitdrukkelijk in deze mogelijkheid heeft voorzien, maar niet in de mogelijkheid om dergelijke materiële voorwaarden vast te stellen, dat hij de lidstaten dienaangaande geen beoordelingsmarge heeft gelaten.

70 Deze vaststelling vindt ook steun in een gezamenlijke lezing van de artikelen 83 en 84 AVG. Artikel 84, lid 1, van deze verordening erkent namelijk dat de lidstaten bevoegd blijven om de regeling vast te stellen inzake „andere sancties die van toepassing zijn” op inbreuken op deze verordening, „in het bijzonder op inbreuken die niet aan administratieve geldboeten onderworpen zijn overeenkomstig artikel 83”. Uit de gezamenlijke lezing van deze bepalingen volgt dus dat de vaststelling van de materiële voorwaarden voor het opleggen van dergelijke administratieve geldboeten buiten die bevoegdheid valt. Deze voorwaarden vallen dus uitsluitend onder het Unierecht.

71 Wat die voorwaarden betreft, moet worden opgemerkt dat artikel 83, lid 2, AVG de elementen opsomt op basis waarvan de toezichthoudende autoriteit aan de verwerkingsverantwoordelijke een administratieve geldboete oplegt. Een van deze elementen is opgenomen onder b) van deze bepaling, meer bepaald „de opzettelijke of nalatige aard van de inbreuk”. In geen van de in die bepaling opgesomde elementen wordt echter melding gemaakt van enige mogelijkheid om de verwerkingsverantwoordelijke aansprakelijk te stellen wanneer hij niet onrechtmatig heeft gehandeld.

72 Voorts moet artikel 83, lid 2, AVG worden gelezen in samenhang met lid 3 van dat artikel, dat tot doel heeft de gevolgen te bepalen van gevallen van cumulatieve inbreuken op deze verordening, en dat bepaalt: „indien een verwerkingsverantwoordelijke of een verwerker opzettelijk of uit nalatigheid met betrekking tot dezelfde of daarmee verband houdende verwerkingsactiviteiten een inbreuk pleegt op meerdere bepalingen van deze verordening, is de totale geldboete niet hoger dan die voor de zwaarste inbreuk”.

73 Uit de bewoordingen van artikel 83, lid 2, AVG volgt dus dat alleen inbreuken op de bepalingen van deze verordening die door de verwerkingsverantwoordelijke op verwijtbare wijze zijn begaan – dat wil zeggen opzettelijk of uit nalatigheid begane inbreuken – ertoe kunnen leiden dat hem op grond van dat artikel een administratieve geldboete wordt opgelegd.

74 Deze lezing vindt steun in de algemene opzet en het doel van de AVG.

75 Ten eerste heeft de Uniewetgever voorzien in een sanctieregeling die de toezichthoudende autoriteiten in staat stelt om, afhankelijk van de omstandigheden van elk geval, de meest passende sancties op te leggen.

76 Artikel 58 AVG, waarin de bevoegdheden van de toezichthoudende autoriteiten worden uiteengezet, bepaalt in lid 2, onder i), dat deze autoriteiten een administratieve geldboete kunnen opleggen op grond van artikel 83, „naast of in plaats van” de andere in artikel 58, lid 2, genoemde corrigerende maatregelen, zoals waarschuwingen, berispingen of bevelen. Evenzo staat in overweging 148 van die verordening met name te lezen dat de toezichthoudende autoriteiten, indien het gaat om een kleine inbreuk of indien de te verwachten geldboete een onevenredige last zou berokkenen aan een natuurlijke persoon, ervoor mogen kiezen om geen geldboete op te leggen en in plaats daarvan een berisping te geven.

77 Ten tweede blijkt in het bijzonder uit overweging 10 AVG dat de bepalingen ervan met name tot doel hebben om natuurlijke personen binnen de Unie een consistent en hoog niveau van bescherming tegen de verwerking van persoonsgegevens te bieden en daartoe een coherente en homogene toepassing van de regels inzake bescherming van de grondrechten en fundamentele vrijheden van deze personen in verband met de verwerking van persoonsgegevens binnen de gehele Unie willen verzekeren. In de overwegingen 11 en 129 AVG wordt voorts beklemtoond dat het met het oog op een coherente toepassing van deze verordening noodzakelijk is dat de toezichthoudende autoriteiten over gelijkwaardige bevoegdheden beschikken op het gebied van toezicht en handhaving van de regels inzake gegevensbescherming, en dat zij vergelijkbare sancties kunnen opleggen in geval van inbreuken op deze verordening.

78 Het bestaan van een sanctieregeling op grond waarvan krachtens artikel 83 AVG een administratieve geldboete kan worden opgelegd indien de specifieke omstandigheden van elk geval dit rechtvaardigen, vormt een stimulans voor de verwerkingsverantwoordelijken en verwerkers om deze verordening na te leven. Door hun afschrikkende werking dragen administratieve geldboeten bij tot een betere bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en vormen zij dus een sleutelelement om de eerbiediging van de rechten van deze personen te waarborgen, overeenkomstig de doelstelling van deze verordening om dergelijke personen in verband met de verwerking van persoonsgegevens een hoge mate van bescherming te waarborgen.

79 De Uniewetgever heeft het echter niet noodzakelijk geacht om ter waarborging van die hoge mate van bescherming te voorzien in de oplegging van administratieve geldboeten als er geen sprake is van schuld. Aangezien de AVG tot doel heeft een gelijkwaardig en homogeen beschermingsniveau tot stand te brengen en deze verordening daartoe in de gehele Unie op coherente wijze moet worden toegepast, zou het in strijd zijn met dit doel om de lidstaten toe te staan een dergelijke regeling in te voeren voor het opleggen van een geldboete krachtens artikel 83 van deze verordening. Een dergelijke keuzevrijheid zou bovendien de mededinging tussen de marktdeelnemers binnen de Unie kunnen verstoren, hetgeen zou indruisen tegen de doelstellingen die de Uniewetgever met name in de overwegingen 9 en 13 van die verordening heeft geformuleerd.

80 Bijgevolg moet worden vastgesteld dat er op grond van artikel 83 AVG geen administratieve geldboete kan worden opgelegd voor een in de leden 4 tot en met 6 ervan bedoelde inbreuk zonder dat is aangetoond dat deze inbreuk opzettelijk of uit nalatigheid door de verwerkingsverantwoordelijke is begaan, en dat een verwijtbare inbreuk dus een voorwaarde is om een dergelijke geldboete te kunnen opleggen.

81 In dit verband moet met betrekking tot de vraag of een inbreuk opzettelijk of uit nalatigheid is gepleegd en derhalve krachtens artikel 83 AVG kan worden bestraft met een administratieve geldboete, nog worden gepreciseerd dat een verwerkingsverantwoordelijke kan worden bestraft voor een gedraging die binnen de werkingssfeer van de AVG valt wanneer deze verwerkingsverantwoordelijke niet onkundig kon zijn van het inbreukmakende karakter van zijn gedrag, ongeacht of hij zich ervan bewust was de bepalingen van de AVG te schenden (zie naar analogie arresten van 18 juni 2013, Schenker & Co. e.a., C‑681/11, EU:C:2013:404, punt 37 en aldaar aangehaalde rechtspraak; 25 maart 2021, Lundbeck/Commissie, C‑591/16 P, EU:C:2021:243, punt 156, en 25 maart 2021, Arrow Group en Arrow Generics/Commissie, C‑601/16 P, EU:C:2021:244, punt 97).

82 Wanneer de verwerkingsverantwoordelijke een rechtspersoon is, moet er ook op worden gewezen dat er voor de toepassing van artikel 83 AVG geen handeling of zelfs maar kennis van het bestuursorgaan van die rechtspersoon vereist is (zie naar analogie arresten van 7 juni 1983, Musique Diffusion française e.a./Commissie, 100/80-103/80, EU:C:1983:158, punt 97, en 16 februari 2017, Tudapetrol Mineralölerzeugnisse Nils Hansen/Commissie, C‑94/15 P, EU:C:2017:124, punt 28 en aldaar aangehaalde rechtspraak).

83 Wat in de tweede plaats de vraag betreft of op grond van artikel 83 AVG aan een verwerkingsverantwoordelijke een administratieve geldboete kan worden opgelegd met betrekking tot verwerkingen die zijn uitgevoerd door een verwerker, zij eraan herinnerd dat een „verwerker” volgens de definitie ervan in artikel 4, punt 8, AVG een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan is die/dat namens de verwerkingsverantwoordelijke persoonsgegevens verwerkt.

84 Aangezien een verwerkingsverantwoordelijke niet alleen verantwoordelijk is voor elke verwerking van persoonsgegevens die hij zelf uitvoert, maar ook voor de verwerking die namens hem wordt uitgevoerd, zoals in punt 36 van het onderhavige arrest is aangegeven, kan aan deze verwerkingsverantwoordelijke krachtens artikel 83 AVG een administratieve geldboete worden opgelegd in een situatie waarin persoonsgegevens onrechtmatig zijn verwerkt, en niet die verantwoordelijke, maar een door hem ingeschakelde verwerker deze verwerking namens hem heeft uitgevoerd.

85 De aansprakelijkheid van de verwerkingsverantwoordelijke voor het gedrag van een verwerker kan zich echter niet uitstrekken tot situaties waarin de verwerker persoonsgegevens voor eigen doeleinden heeft verwerkt of waarin de verwerker deze gegevens heeft verwerkt op een wijze die onverenigbaar is met het kader of de wijze van verwerking zoals die door de verwerkingsverantwoordelijke was bepaald of op zodanige wijze dat redelijkerwijs niet kan worden aangenomen dat de verwerkingsverantwoordelijke daarmee zou hebben ingestemd. Overeenkomstig artikel 28, lid 10, AVG moet de verwerker in een dergelijk geval namelijk worden beschouwd als verwerkingsverantwoordelijke met betrekking tot die verwerking.

86 Gelet op de voorgaande overwegingen moet op de zesde vraag worden geantwoord dat artikel 83 AVG aldus moet worden uitgelegd dat op grond van deze bepaling alleen een administratieve geldboete kan worden opgelegd indien vaststaat dat de verwerkingsverantwoordelijke opzettelijk of uit nalatigheid een in de leden 4 tot en met 6 van dat artikel bedoelde inbreuk heeft gepleegd, en dat die geldboete kan worden opgelegd aan een verwerkingsverantwoordelijke voor de verwerking van persoonsgegevens die door een verwerker namens hem wordt verricht, tenzij de verwerker in het kader van die verwerkingen de gegevens voor eigen doeleinden heeft verwerkt of op een wijze die onverenigbaar is met het kader of de wijze van verwerking zoals die door de verwerkingsverantwoordelijke waren bepaald of op zodanige wijze dat redelijkerwijs niet kan worden aangenomen dat de verwerkingsverantwoordelijke daarmee zou hebben ingestemd.

Kosten

87 Ten aanzien van de partijen in het hoofdgeding is de procedure als een aldaar gerezen incident te beschouwen, zodat de verwijzende rechter over de kosten heeft te beslissen. De door anderen wegens indiening van hun opmerkingen bij het Hof gemaakte kosten komen niet voor vergoeding in aanmerking.

Het Hof (Grote kamer) verklaart voor recht:

1) Artikel 4, punt 7, van verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG (algemene verordening gegevensbescherming)

moet aldus worden uitgelegd dat

een entiteit die een onderneming opdracht heeft gegeven om een mobiele IT-applicatie te ontwikkelen en in die context heeft deelgenomen aan de vaststelling van het doel van en de middelen voor de verwerking van persoonsgegevens via die applicatie, als verwerkingsverantwoordelijke in de zin van deze bepaling kan worden beschouwd hoewel deze entiteit de persoonsgegevens niet zelf heeft verwerkt, zij niet uitdrukkelijk heeft ingestemd met de uitvoering van de specifieke handelingen voor die verwerking of voor de beschikbaarstelling van die mobiele applicatie aan het publiek, en zij die mobiele applicatie niet heeft aangekocht, tenzij die entiteit zich vóór die beschikbaarstelling aan het publiek uitdrukkelijk heeft verzet tegen de beschikbaarstelling en de verwerking van persoonsgegevens als gevolg daarvan.

2) Artikel 4, punt 7, en artikel 26, lid 1, van verordening 2016/679

moeten aldus worden uitgelegd dat

het, om twee entiteiten als gezamenlijke verwerkingsverantwoordelijken te kunnen kwalificeren, niet nodig is dat er tussen deze entiteiten een regeling bestaat over de vaststelling van het doel van en de middelen voor de verwerking van de betrokken persoonsgegevens, of dat er een regeling bestaat waarin de voorwaarden voor de gezamenlijke verantwoordelijkheid voor de verwerking worden vastgesteld.

3) Artikel 4, punt 2, van verordening 2016/679

moet aldus worden uitgelegd dat

het gebruik van persoonsgegevens in het kader van IT-tests van een mobiele applicatie een „verwerking” in de zin van deze bepaling vormt, tenzij die gegevens zodanig anoniem zijn gemaakt dat de persoon waarop die gegevens betrekking hebben niet of niet meer identificeerbaar is of dat het gaat om fictieve gegevens die geen betrekking hebben op een bestaande natuurlijke persoon.

4) Artikel 83 van verordening 2016/679

moet aldus worden uitgelegd dat

op grond van deze bepaling alleen een administratieve geldboete kan worden opgelegd indien vaststaat dat de verwerkingsverantwoordelijke opzettelijk of uit nalatigheid een in de leden 4 tot en met 6 van dat artikel bedoelde inbreuk heeft gepleegd, en dat

die geldboete kan worden opgelegd aan een verwerkingsverantwoordelijke voor de verwerking van persoonsgegevens die door een verwerker namens hem wordt verricht, tenzij de verwerker in het kader van die verwerkingen de gegevens voor eigen doeleinden heeft verwerkt of op een wijze die onverenigbaar is met het kader of de wijze van verwerking zoals die door de verwerkingsverantwoordelijke waren bepaald of op zodanige wijze dat redelijkerwijs niet kan worden aangenomen dat de verwerkingsverantwoordelijke daarmee zou hebben ingestemd.

ondertekeningen

* Procestaal: Litouws.