Gepubliceerd op dinsdag 9 mei 2023
IT 4272
HvJ EU ||
4 mei 2023
HvJ EU 4 mei 2023, IT 4272; ECLI:EU:C:2023:373 (Prejudiciële verwijzing), https://www.itenrecht.nl/artikelen/hvj-eu-niet-nakoming-van-verplichtingen-avg-niet-altijd-onrechtmatig

HvJ EU: niet-nakoming van verplichtingen AVG niet altijd onrechtmatig

HvJ EU 4 mei 2023, IT 4272; Zaak C‑60/22 (Prejudiciële verwijzing) Het Hof van Justitie (hierna: het Hof) heeft drie prejudiciële vragen beantwoord over de interpretatie van enkele bepalingen van de Algemene Verordening Gegevensbescherming (AVG). De vragen zijn gesteld naar aanleiding van een zaak tussen 'UZ', een derdelander, en de Duitse federale dienst voor migratie en vluchtelingen (hierna: Bundesamt).

In 2019 heeft UZ een verzoek tot internationale bescherming ingediend bij de Bundesamt. De Bundesamt heeft dit verzoek afgewezen en baseerde dit besluit op het door hen opgemaakte elektronische dossier, genaamd 'MARIS'. Dit dossier bevatte de persoonsgegevens van UZ. UZ is tegen het afwijzingsbesluit in hoger beroep gegaan, waarna het elektronische dossier 'MARIS' aan de betreffende rechterlijke instantie is toegezonden via de gerechtelijke en bestuurlijke elektronische postbus. De verwijzende rechter betwijfelt of dit bijhouden en toezenden van het elektronische dossier strookt met de bepalingen uit de AVG en stelt daarom drie vragen aan het Hof. De vragen gaan over de interpretatie van art. 26 en 30 AVG, en in het bijzonder over de verantwoordingsplicht van de verwerkingsverantwoordelijke en de rechten van de betrokkenen.

Het Hof oordeelt dat niet-nakoming van de verplichtingen ex art. 26 en 30 AVG niet tot gevolg heeft dat de verwerking van persoonsgegevens onrechtmatig is. Omdat de verwerking niet onrechtmatig is, heeft de betrokkene (UZ in casu) niet het recht op het wissen van de persoonsgegevens, noch het recht op een beperking van de verwerking.

Het Hof (Vijfde kamer) verklaart voor recht:

1)      Artikel 17, lid 1, onder d), en artikel 18, lid 1, onder b), van verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG (algemene verordening gegevensbescherming),

moeten aldus worden uitgelegd dat

de niet-nakoming door een verwerkingsverantwoordelijke van de verplichtingen uit hoofde van de artikelen 26 en 30 van deze verordening om respectievelijk een regeling met betrekking tot hun gezamenlijke verantwoordelijkheid voor de verwerking vast te stellen en een register van de verwerkingsactiviteiten bij te houden, geen onrechtmatige verwerking vormt die de betrokkene een recht op gegevenswissing of op beperking van de verwerking verleent, aangezien een dergelijke niet-nakoming als zodanig niet impliceert dat de verwerkingsverantwoordelijke de „verantwoordingsplicht” van artikel 5, lid 2, gelezen in samenhang met artikel 5, lid 1, onder a), en artikel 6, lid 1, eerste alinea, van die verordening, niet naleeft.

2)      Het Unierecht moet aldus worden uitgelegd dat wanneer de verantwoordelijke voor de verwerking van persoonsgegevens de verplichtingen niet is nagekomen die krachtens artikel 26 of artikel 30 van verordening 2016/679 op hem rusten, de rechtmatigheid van de inaanmerkingneming van die gegevens door een nationale rechterlijke instantie niet afhangt van de voorwaarde dat de betrokkene daarmee instemt.