Prejudiciële vragen over verwerkingsverantwoordelijke van COVID-applicatie

HvJEU 5 december 2023, IT 4439; ECLI:EU:C:2023:949 (Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos tegen Valstybinė duomenų apsaugos inspekcija). Dit verzoek om een prejudiciële beslissing betreft de uitlegging van artikel 4, punten 2 en 7, artikel 26, lid 1, en artikel 83, lid 1, van de AVG. Tijdens de COVID-pandemie heeft de minister van Volksgezondheid van de Republiek Litouwen opdracht gegeven tot het aanschaffen van een computersysteem dat gegevens registreert en monitort van personen die aan het virus blootgesteld waren. Deze opdracht werd gegeven aan het NVSC. Bij e-mail heeft een persoon die beweerde het NVSC te vertegenwoordigen de vennootschap ITSS medegedeeld dat zij was uitgekozen om voor dat doel een mobiele applicatie te ontwikkelen. De applicatie die hieruit ontstond is van 4 april tot en met 26 mei 2020 online geweest en vroeg gegevens zoals identiteitsnummer, adresgegevens, naam en telefoonnummer. Omdat er geen officiële overheidsopdracht was voor de applicatie van ITSS is er een onderzoek gestart naar de verwerking van persoonsgegevens via de mobiele applicatie. Op basis hiervan is er aan het NVSC op grond van artikel 83 AVG een administratieve geldboete opgelegd. Ook ITSS kreeg, als gezamenlijke verwerkingsverantwoordelijke, een boete. Het NVSC is tegen het boetebesluit opgekomen en stelt dat ITSS moet worden beschouwd als enige verwerkingsverantwoordelijke in de zin van artikel 4 punt 7.

Een van de vragen die de verwijzende rechter stelt, is of het begrip 'verwerkingsverantwoordelijke' moet worden uitgelegd dat een persoon die voornemens is om een app te verwerven middels een overheidsopdracht ook als verwerkingsverantwoordelijke moet worden aangemerkt, ondanks dat er niet daadwerkelijk een overheidsopdracht is en dat de app niet is overgedragen. In het verlengde hiervan vraagt de rechter of een partij verwerkingsverantwoordelijke kan zijn als het niet de eigendomsrechten van de verwerkende dienst heeft, wanneer er wel verwijzingen naar deze persoon in de app zelf zijn. De overige vragen gaan tevens over de uitleg van het begrip verwerkingsverantwoordelijke. In de beantwoording van de prejudiciële vragen komt het Hof tot de essentie van artikel 4, punt 7, AVG en de vraag of deze zo moet worden uitgelegd dat een entiteit die een onderneming opdracht heeft gegeven om een mobiele IT-applicatie te ontwikkelen, als verwerkingsverantwoordelijke in de zin van deze bepaling kan worden beschouwd hoewel deze entiteit de persoonsgegevens niet zelf heeft verwerkt, zij niet uitdrukkelijk heeft ingestemd met de uitvoering van de specifieke handelingen voor die verwerking of voor de beschikbaarstelling van die mobiele applicatie aan het publiek, en zij die mobiele applicatie niet heeft aangekocht.

Om vast te stellen of een entiteit zoals het NVSC kan worden aangemerkt als verwerkingsverantwoordelijke kan worden aangemerkt, moet er volgens het Hof worden onderzocht of deze entiteit daadwerkelijk invloed heeft uitgeoefend op de vaststelling van het doel en van de middelen voor die verwerking. In dit geschil is duidelijk dat de app is ontwikkeld in opdracht van het NVSC waarbij het doel van het NVSC verwezenlijkt zou worden, namelijk de beheersing van de COVID-pandemie. Dit is de reden dat de persoonsgegevens werden verwerkt. Ook is gebleken dat het NVSC een actieve rol heeft gespeeld bij de vaststelling van de parameters van de app. Het Hof stelt dat uit deze omstandigheden blijkt dat het NVSC daadwerkelijk heeft deelgenomen aan het bepalen van het doel en de middelen voor verwerking, en daarmee als verwerkingsverantwoordelijke kan worden aangemerkt. Het maakt hierbij dus niet uit of de uitvoering bij een andere partij ligt. Ook het bestaan van een contractuele regeling is niet noodzakelijk om als verwerkingsverantwoordelijke aangemerkt te worden. 

32. In casu blijkt, onder voorbehoud van de door de verwijzende rechter te verrichten verificaties, uit het dossier waarover het Hof beschikt dat de applicatie is ontwikkeld in opdracht van het NVSC en dat daarmee werd beoogd het door het NVSC toegewezen doel te verwezenlijken, namelijk de beheersing van de COVID-19-pandemie door middel van een IT-instrument voor de registratie en de monitoring van de gegevens van personen die in contact zijn geweest met het COVID-19-virus. Dat doel indachtig was het NVSC voornemens de persoonsgegevens van gebruikers van de aan de orde zijnde mobiele applicatie te verwerken. Bovendien blijkt uit de verwijzingsbeslissing dat de parameters voor deze applicatie, zoals de gestelde vragen en de bewoordingen ervan, waren aangepast aan de behoeften van het NVSC en dat dit centrum een actieve rol heeft gespeeld bij de vaststelling ervan.

35. Verder sluiten de omstandigheden die de verwijzende rechter heeft aangehaald in de overwegingen ter ondersteuning van zijn eerste drie prejudiciële vragen – namelijk dat het NVSC zelf geen persoonsgegevens heeft verwerkt, dat er geen overeenkomst tussen het NVSC en ITSS bestond, dat het NVSC de betrokken mobiele applicatie niet heeft aangekocht of dat het NVSC geen toestemming heeft gegeven voor de verspreiding van deze applicatie via appstores – niet uit dat het NVSC kan worden aangemerkt als „verwerkingsverantwoordelijke” in de zin van artikel 4, punt 7, AVG

38. Gelet op de voorgaande overwegingen moet op de eerste tot en met de derde vraag worden geantwoord dat artikel 4, punt 7, AVG aldus moet worden uitgelegd dat een entiteit die een onderneming opdracht heeft gegeven om een mobiele IT-applicatie te ontwikkelen en in die context heeft deelgenomen aan de vaststelling van het doel van en de middelen voor de verwerking van persoonsgegevens via die applicatie, als verwerkingsverantwoordelijke in de zin van deze bepaling kan worden beschouwd hoewel deze entiteit de persoonsgegevens niet zelf heeft verwerkt, zij niet uitdrukkelijk heeft ingestemd met de uitvoering van de specifieke handelingen voor die verwerking of voor de beschikbaarstelling van die mobiele applicatie aan het publiek, en zij die mobiele applicatie niet heeft aangekocht, tenzij die entiteit zich vóór die beschikbaarstelling aan het publiek uitdrukkelijk heeft verzet tegen de beschikbaarstelling en de verwerking van persoonsgegevens als gevolg daarvan.