Menu

Zoek op
rubriek
Data&Privacyweb
0

Is een app-bouwer verwerkingsverantwoordelijke en is opzet vereist voor een AVG-boete?

Gedurende de coronacrisis schoten de corona-apps als paddenstoelen uit de grond. Deze corona-apps maakten het mogelijk om gebruikers te informeren wanneer zij (mogelijk) in contact waren geweest met coronapatiënten. De corona-apps stuitten op veel (privacy) bezwaren. In Litouwen had het Ministerie van Volksgezondheid na een publieke aanbesteding een partij de opdracht gegeven voor haar een corona-app te ontwikkelen, maar uiteindelijk besloot het ministerie de applicatie niet te kopen. Toch kreeg zowel de app-bouwer als het ministerie een boete opgelegd door de Litouwse gegevensbeschermingsautoriteit wegens schending van meerdere artikelen uit de AVG. Het ministerie besluit de boete aan te vechten, mede omdat zij stelt dat zij geen verwerkingsverantwoordelijke was voor de gegevensverwerkingen in de applicatie. Om uitspraak te kunnen doen, legt de nationale rechter het Hof daarom een aantal prejudiciële vragen voor. Deze zien op de vraag wanneer een partij als verwerkingsverantwoordelijke kwalificeert, maar ook of een boete kan worden opgelegd wegens een AVG-schending zonder dat sprake is van een opzettelijke handeling of nalaten van een partij. In deze bijdrage bespreek ik de conclusie van de Advocaat-Generaal (C-683/21) die in deze zaak verscheen op 4 mei 2023.

19 mei 2023

Juridische artikelen

Juridische artikelen

Feiten

In maart 2020 besloot de Litouwse Minister van Volksgezondheid om het nationaal centrum voor volksgezondheid van het Ministerie van Volksgezondheid (hierna: “NVSC”) opdracht te geven voor de ontwikkeling en aankoop van de mobiele applicatie KARANTINAS. Dit was een zogenaamde corona-applicatie, waarmee personen werden geïnformeerd als zij in contact met of in de nabijheid van coronapatiënten waren geweest. Na een publieke aanbesteding werd het bedrijf IT sprendimai sėkmei UAB (hierna: “ITSS”) gekozen om de applicatie te ontwikkelen. KARANTINAS werd begin april beschikbaar gesteld in verschillende app stores. Door gebrek aan financiële middelen wordt de aankoopprocedure door NVSC gestaakt. KARANTINAS blijft echter wel beschikbaar in de app stores.

NVSC verzoekt ITSS om in KARANTINAS geen gegevens van het NVSC te vermelden en niet naar het NVSC te verwijzen. In de publiek beschikbare versie staat echter naast ITSS ook NVSC als verwerkingsverantwoordelijke genoemd. Ook in een eerdere geheimhoudingsovereenkomst tussen partijen zijn beide aangemerkt als verantwoordelijke.

De Litouwse privacytoezichthouder start in april een onderzoek naar ITSS en NVSC. De activiteiten van KARANTINAS worden opgeschort. Bijna een jaar na de start van het onderzoek krijgen ITSS en NVSC een administratieve boete opgelegd, voor meerdere inbreuken op de AVG. NVSC gaat in beroep tegen de administratieve boete.

Rechtsvragen (1)

De zaak komt voor de Litouwse rechter die uiteindelijk zes prejudiciële vragen voorlegt aan het Hof van Justitie (hierna: het Hof). De Advocaat-Generaal (hierna: de A-G) komt in zijn opinie door de bundeling van de verschillende vragen tot de behandeling van het volgende:

  • Wat is de reikwijdte van het begrip “verwerkingsverantwoordelijke”? Is het bij het vaststellen van de rol van NVSC relevant dat de aanbestedingsprocedure uiteindelijk is afgebroken, KARANTINAS nooit is aangekocht en NVSC nooit goedkeuring of toestemming heeft verleend voor het beschikbaar stellen van KARANTINAS? (vragen 1 t/m 3)

  • Wanneer is sprake van gezamenlijke verwerkingsverantwoordelijkheid? (vraag 5)

  • Kwalificeert het gebruik van persoonsgegevens gedurende de testfase van een mobiele applicatie als een gegevensverwerking (vraag 4)

  • Kan NVSC een administratieve geldboete worden opgelegd wanneer zij, noch opzettelijk, noch uit nalatigheid inbreuk heeft gemaakt op de AVG? (vraag 6)

Wanneer is sprake van verwerkingsverantwoordelijkheid?

De eerste drie vragen hebben betrekking op de definitie van verwerkingsverantwoordelijke onder de AVG. De A-G stelt allereerst vast dat een feitelijke analyse vereist is om te bepalen wie verwerkingsverantwoordelijke is. Dit is in lijn met eerdere rechtspraak van het Hof en richtlijnen van de European Data Protection Board (hierna: de EDPB) (2). Om vast te stellen of NVSC als verwerkingsverantwoordelijke voor KARANTINAS moet worden aangemerkt, moet worden gekeken naar de feitelijke invloed die NVSC heeft uitgeoefend over de gegevensverwerkingen in KARANTINAS. Daarbij moet een onderscheid worden gemaakt tussen de ontwikkelingsfase en de gebruiksfase. Er moet worden onderzocht of NVSC daadwerkelijk doel en middelen van de gegevensverwerkingen door KARANTINAS heeft vastgesteld. In dit geval is van belang of het besluit om KARANTINAS beschikbaar te stellen aan het publiek, feitelijk met de (uitdrukkelijke of stilzwijgende) toestemming van NVSC is genomen. Dat komt omdat het ter beschikking stellen van de applicatie aan het publiek gepaard gaat met het verwerken van persoonsgegevens. Of NVSC verwerkingsverantwoordelijke is voor KARANITAS hangt dus af van de vraag of zij daadwerkelijke invloed heeft uitgeoefend op de gegevensverwerkingen.

Volgens de A-G kan een entiteit, zoals NVSC, die het initiatief neemt tot de ontwikkeling van een applicatie, alleen als verwerkingsverantwoordelijke worden beschouwd wanneer er voldoende feitelijke elementen zijn waaruit wordt geconcludeerd dat die entiteit daadwerkelijk invloed heeft uitgeoefend op zowel “doel en middelen” in de ontwikkelfase, als op de daadwerkelijke verwerking van de persoonsgegevens, dus op de terbeschikkingstelling aan het publiek. Dit moet feitelijk door de verwijzende rechter worden getoetst.

Wanneer is sprake van gezamenlijke verwerkingsverantwoordelijkheid?

Ook gaat de A-G in op de vraag wanneer sprake is van gezamenlijke verwerkingsverantwoordelijkheid. Daarvoor gelden twee voorwaarden. Ten eerste, moeten beide gezamenlijke verwerkingsverantwoordelijke afzonderlijk kwalificeren als verwerkingsverantwoordelijke. Ten tweede moet de invloed van de verwerkingsverantwoordelijken op de verwerking gezamenlijk worden uitgeoefend. Dit kan, in lijn met de EDPB richtsnoeren, in verschillende vormen voorkomen en hoeft niet voort te vloeien uit een gezamenlijk besluit. Ook hier zijn de feiten dus leidend. Voor gezamenlijke verwerkingsverantwoordelijkheid is echter doorslaggevend de verwerking niet mogelijk zou zijn zonder de deelname van beide partijen. Ook dit moet door de nationale rechter worden beoordeeld.

Kwalificeren gegevensverwerkingen in een testfase van een applicatie als verwerking?

De vierde vraag wordt door de A-G (met recht) snel behandeld. Het maakt voor de toepassing van de AVG geen verschil of persoonsgegevens worden verwerkt in het kader van een voor het publiek beschikbare applicatie of voor de ontwikkeling daarvan. Wanneer in een testfase persoonsgegevens worden verwerkt, is de AVG daarop van toepassing. Ook het gebruik van (uitsluitend) gepseudonimiseerde gegevens maakt dit niet anders.

Is voor het opleggen van een administratieve boete bij een AVG-schending opzet of schuld vereist?

Het antwoord op de laatste vraag is wat mij betreft het interessantst. Namelijk of een administratieve geldboete kan worden opgelegd aan een rechtspersoon, die noch opzettelijk, noch uit nalatigheid inbreuk heeft gemaakt op de AVG?

Volgens de A-G moet de bevoegde toezichthouder na de vaststelling van een AVG-schending twee beoordelingen maken. Eerst moet worden bepaald op een geldboete moet worden opgelegd. In voorkomend geval moet daarna de boetehoogte worden vastgesteld. Daarbij moet rekening worden gehouden met het concrete geval en verschillende (verzwarende of verlichtende) omstandigheden.

De relevante voorvraag is of administratieve geldboetes opgelegd mogen worden voor een AVG-schending zonder dat sprake is van enige subjectieve opzet of schuld van de overtreder. De A-G is van mening dat subjectieve opzet of schuld daarvoor een noodzakelijke voorwaarde is. Dit baseert hij onder meer op bepalingen uit de AVG, zoals het feit dat ‘een ernstig’ nalaten als een verzwarende omstandigheid wordt aangemerkt die kan leiden tot een hogere boete terwijl het nemen van mitigerende maatregelen tegen (de risico’s en gevolgen van) de inbreuk een verlichtende omstandigheid is. Ook vindt hij het van belang dat de geldboete een punitief karakter heeft.

De A-G meent dat de voorwaarde van subjectieve opzet of schuld niet leidt tot uitholling van de AVG of de bescherming die daaronder wordt geboden. Hij benadrukt namelijk dat de drempel voor een inbreuk uit nalatigheid op de AVG in de praktijk zo laag is dat situaties waarin het onmogelijk is een geldboete op te leggen om de enkele reden dat nalatigheid niet is vervuld, moeilijk denkbaar zijn. De doelstelling om een doeltreffende handhaving van de AVG te waarborgen loopt daarmee dus geen gevaar. Hij adviseert het Hof dan ook aansluiting te zoeken bij de boeteoplegging in mededingingszaken, die ook alleen van toepassing is indien opzet of nalatigheid is aangetoond.

Volgens de A-G kunnen lidstaten hier geen andere toepassing aan geven. Dat wil zeggen, het staat de lidstaten niet vrij om te bepalen of schuld of opzet vereist is voor de oplegging van een administratieve boete. Dit verhoudt zich namelijk niet met de beoogde harmonisatie die de AVG tussen lidstaten moet bewerkstelligen. Lidstaten hebben in dit kader dus geen beoordelingsruimte. Wel kunnen (en mogen) zij op nationaal niveau procedurele voorwaarden stellen aan een boeteoplegging.

Ten slotte gaat de A-G in op de vraag of een geldboete kan worden opgelegd aan een verwerkingsverantwoordelijke in een context waarin de onrechtmatige verwerking van persoonsgegevens niet door de verwerkingsverantwoordelijke zelf, maar door een verwerker is verricht. Daarop is het antwoord logischerwijs ja. Een verwerker verwerkt persoonsgegevens immers (uitsluitend) in opdracht van de verwerkingsverantwoordelijke. Dat maakt dat de verwerkingsverantwoordelijke daarvoor aansprakelijk is. De logische uitzondering hierop is als de verwerker buiten de instructies van de verwerkingsverantwoordelijke treedt, maar ook in deze situatie is voorzien nu uit de AVG volgt dat de verwerker dan zelf als verantwoordelijke wordt aangemerkt.

Conclusie

Al met al is het een duidelijke en lezenswaardige conclusie. De beantwoording van de eerste vragen zijn geheel in lijn met eerdere jurisprudentie van het Hof en de richtsnoeren van de EDPB. Ondanks dat deze conclusie op dit punt niet tot nieuwe inzichten leidt, kan het wel als bevestiging en verduurzaming van de bestaande interpretatie en toepassing van de AVG worden beschouwd. Spannender wordt het daar waar de A-G ingaat op de aansprakelijkheidsvraag. Dit onderwerp is nog niet zo uitgebreid aan bod geweest in de jurisprudentie, maar wat mij betreft zijn ook deze antwoorden logisch en consistent in het licht van de AVG en haar doelstellingen. Nu is het Hof aan zet om hier haar eindoordeel over te vellen.

  1. Graag merken wij op dat we niet ingaan op vraag 4, deze vraag is minder relevant en bevat geen nieuwe inzichten.

  2. Overwegingen 27 en 28, zie o.a. HvJ EU 10 juli 2018, Jehovan todistajat (C‑25/17, EU:C:2018:551, punt 68), richtsnoeren 07/2020 over de begrippen verwerkingsverantwoordelijke en verwerker in de AVG van het EDPB, versie 2.0, vastgesteld op 7 juli 2021, p. 3 punten 21 en 25‑27 en Rücker, D., en Kugler, T., New European General Data Protection Regulation, A Practitioner’s Guide, C.H. Beck, Hart en Nomos, Oxford, 2018, blz. 27.

Artikel delen

Reacties

Laat een reactie achter

U moet ingelogd zijn om een reactie te plaatsen.

KENNISPARTNER

Sander van de Molen