Gepubliceerd op maandag 8 mei 2023
IT 4270
HvJ EU ||
4 mei 2023
HvJ EU 4 mei 2023, IT 4270; ECLI:EU:C:2023:376 (Ministerie Volksgezondheid tegen Staatstoezicht Gegevensbescherming), https://www.itenrecht.nl/artikelen/conclusie-ag-boete-bij-schending-avg-ondanks-afwezigheid-opzet

Conclusie AG: boete bij schending AVG ondanks afwezigheid opzet?

Conclusie AG HvJ EU 4 mei 2023, IEF 21404; Case C‑683/21 (Ministerie Volksgezondheid tegen Staatstoezicht Gegevensbescherming) Advocaat Generaal Nicholas Emiliou heeft zich uitgesproken over de interpretatie van bepaalde regels uit de Algemene verordening gegevensbescherming (AVG). Partijen in deze zaak zijn de 'National Public Health Centre under the Ministry of Health' (NVSC) van Litouwen en het Staatstoezicht op Gegevensbescherming (het Toezichtsorgaan).

Op 24 maart 2020 gaf de Minister van Volksgezondheid van de Republiek Litouwen opdracht aan de directeur van de NVSC om een mobiele app te ontwikkelen die bedoeld was om persoonlijke gegevens mensen te verzamelen die in contact waren geweest met COVID-19-geïnfecteerde patiënten. De NVSC heeft de app laten maken door een IT-bedrijf (ITSS). De app, genaamd KARANTINAS, werd gelanceerd in 2020 op 4 april via de Google PlayStore en op 6 april via de Apple Store. Op 18 mei in hetzelfde jaar startte het Toezichtsorgaan een onderzoek naar de NVSC voor het schenden van regels uit de AVG, waardoor de app op 26 mei werd opgeschort. Door de vermeende schending, legde het Toezichtsorgaan het jaar daarop administratieve boetes op aan de NVSC in hun hoedanigheid van 'verwerkingsverantwoordelijken'. 

Het besluit tot het opleggen van de boetes werd door het NVSC aangevochten voor de regionale bestuursrechtbank. De vraag die centraal stond in de zaak was hoe het begrip 'verwerkingsverantwoordelijke' uit de AVG moet worden uitgelegd. Als de NVSC onder deze definitie valt, zou het gerechtvaardigd zijn om boetes op te leggen. De rechtbank keert zich daarom tot het Hof met de vraag of het begrip 'verwerkingsverantwoordelijke' ruim moet worden opgevat, zodat het van toepassing is op elke natuurlijke persoon, rechtspersoon of organisatie die de doeleinden en middelen van de verwerking van persoonsgegevens bepaalt. De NVSC was namelijk niet de ontwikkeaar van de mobiele applicatie, maar wel verantwoordelijk voor het bepalen van de doelen en middelen van de verwerking van persoonsgegevens bij de verwerving van die mobiele applicatie via een aanbestedingsprocedure.

Emiliou stelt dat de organisatie die de onwikkeling van een mobiele app initieert (dus niet zelf ontwikkelt), alleen als 'verwerkingsverantwoordelijke' kan worden beschouwd als er voldoende elementen van een feitelijke aard zijn waaruit de nationale rechter kan concluderen dat deze entiteit daadwerkelijke invloed heeft uitgeoefend op zowel de doeleinden als de middelen van de verwerking van persoonsgegevens. De Advocaat Generaal heeft geconcludeerd dat de NVSC hieraan voldoet. Vervolgens heeft hij gekeken of het opleggen van administratieve boetes op basis van de desbetreffende bepaling in de AVG gerechtvaardigd was. Het artikel bepaalt dat boetes alleen kunnen worden opgelegd indien de verwerkingsverantwoordelijke 'opzettelijk of nalatig' de regels uit de AVG heeft geschonden. Ondanks dat de NVSC de app heeft laten ontwikkelen door een IT-bedrijf, oordeelt Emiliou dat de NVSC eindverantwoordelijk is. Het is hierbij van belang is dat de verwerker (ITSS in casu) bij het schenden van de regels van de AVG, handelt in opdracht van de verwerkingsverantwoordelijke. De verwerkingsverantwoordelijke kan dan beboet worden, zelfs als deze niet opzettelijk of nalatig de regels uit de AVG heeft geschonden. 

97. In the light of the foregoing, I propose that the Court answer the questions referred for a preliminary ruling by the Vilniaus apygardos administracinis teismas (Regional Administrative Court, Vilnius, Lithuania) as follows:

(1)      Article 4(7) of Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation)

must be interpreted as meaning that an entity which initiates the development of a mobile application can only be regarded as the ‘controller’, within the meaning of that provision, in a situation where there are enough elements of a factual, rather than formal, nature from which national courts can conclude that such an entity exercised actual influence as regards both the ‘purposes’ and the ‘means’ of that processing and it actually consented to the release to the public of the mobile application and, consequently, to the processing of the personal data.

(2)      That provision, read in conjunction with Article 26(1) of that regulation,

must be interpreted as meaning that, for two or more controllers to be regarded as ‘joint controllers’, two conditions must be satisfied: first, each joint controller must independently fulfil the criteria listed in the definition of ‘controller’ provided in Article 4(7) of that regulation, and, second, the controllers’ influence over the ‘purposes and means’ of the processing must be exercised jointly. Furthermore, the absence of any agreement or even coordination between the controllers cannot, in and of itself, exclude a finding that the controllers are ‘joint controllers’ within the meaning of those provisions.

(3)      Article 4(2) of that regulation

must be interpreted as meaning that the concept of ‘processing’ covers a situation where personal data are used during the test phase of a mobile application, unless such data have been rendered anonymous in such a manner that the data subject is not or no longer identifiable. Whether personal data are collected with a view to testing the IT systems embedded in a mobile application or for another purpose has, for its part, no bearing on the question of whether the operation in question qualifies as ‘processing’.

(4)      Article 83 of Regulation 2016/679

must be interpreted as meaning that a fine can only be imposed in order to sanction a breach of the rules of that regulation which has been committed ‘intentionally or negligently’. Furthermore, a controller may be fined in application of that provision even though the unlawful processing is carried out by a processor. That possibility is open for so long as it is established that the processor acts on the controller’s behalf. However, if the processor processes personal data outside of, or contrary to, the lawful instructions of the controller and uses the personal data received for its own purposes, and it is clear that the parties are not ‘joint controllers’, within the meaning of Article 4(7) and Article 21(6) of Regulation 2016/679, then the controller cannot be fined, in application of Article 83 of that regulation, in relation to the unlawful processing that took place.