Europese rechtspraak

Laatste update: 28 februari 2023

Door:

Introductie

Deze zaak draait om een testdatabank van telecom-aanbieder Digi, waarin rechtmatig verzamelde persoonsgegevens werden opgeslagen zonder uitdrukkelijke toestemming van klanten. De Hongaarse rechter worstelde met de vraag of het uploaden van op doelgebonden wijze verzamelde gegevens in een andere databank verenigbaar is met de beginselen van doelbinding en opslagbeperking. Het Europese Hof van Justitie schept in deze zaak duidelijkheid over de uitleg van deze twee beginselen uit de AVG. Daarmee wordt voor decentrale overheden duidelijkheid gegeven hoe zij ervoor kunnen zorgen dat iedere verwerking van persoonsgegevens steeds rechtmatig gebeurt.

Zaak

HvJ EU 20 oktober 2022, C‑77/21, ECLI:EU:C:2022:805 (Digi)

Beleidsdossier en thematiek

Digitale Overheid

Feiten

Digi is een van de belangrijkste aanbieders van internet- en televisiediensten in Hongarije. In april 2018 heeft Digi een testdatabank opgezet, waarnaar de persoonsgegevens van ongeveer een derde van haar klanten zijn gekopieerd. Digi gaf aan dat dit werd gedaan om een eventuele technische storing te ondervangen.

Op 23 september 2019 werd duidelijk dat een ‘ethische hacker’ toegang had tot de persoonsgegevens van ongeveer 322.000 personen uit de testdatabank van Digi. De ethische hacker verkreeg op eigen initiatief toegang, maar heeft dit vervolgens zelf gemeld en bewezen aan Digi. Digi heeft het lek dat hierdoor was ontstaan gedicht, een geheimhoudingsovereenkomst met de hacker afgesloten en hem een beloning aangeboden. Daarnaast werd dit datalek op 25 september 2019 gemeld aan de Nemzeti Adatvédelmi és Információszabadság Hatóság, de Hongaarse Autoriteit op het gebied van persoonsgegevens (hierna: de Hongaarse Autoriteit), die een onderzoek instelde. De Hongaarse Autoriteit besloot vervolgens op 18 mei 2020 dat Digi in strijd met artikel 5 lid 1 onder b en e van de Algemene Verordening Gegevensbescherming (AVG) heeft gehandeld. De reden hiervoor was dat Digi de testdatabank na de uitvoering van de nodige tests en het oplossen van de problemen niet onmiddellijk had gewist. Daardoor was een groot aantal in deze testdatabank opgeslagen persoonsgegevens bijna anderhalf jaar lang zonder doel bewaard in een bestand. Bovendien was het mogelijk om de betrokkenen konden te identificeren met dat bestand. De Hongaarse Autoriteit heeft hiervoor een geldboete van ongeveer 248.000 euro opgelegd aan Digi.

Digi heeft dit besluit vervolgens aangevochten bij de Fővárosi Törvényszék (hierna: de verwijzende of nationale rechter). Volgens deze rechter is het duidelijk dat Digi destijds de naar de testdatabank gekopieerde persoonsgegevens heeft verzameld met het doel om abonnementsovereenkomsten af te sluiten en uit te voeren. De verwijzende rechter wil van het Hof weten of het doel van de (aanvankelijke) gegevensverzameling en -verwerking is gewijzigd wanneer de aanvankelijk verzamelde gegevens naar een andere databank worden gekopieerd. De nationale rechter vindt bovendien dat moet worden beoordeeld of het opzetten van een dergelijke testdatabank en het verwerken van klantgegevens in deze andere databank verenigbaar zijn met het doel van de aanvankelijke verzameling van deze gegevens. Hiervoor moet gekeken worden naar het beginsel van doelbinding, opgenomen in artikel 5 lid 1 sub b van de AVG. Daarnaast vraagt de verwijzende rechter zich af of er wordt voldaan aan het beginsel van opslagbeperking uit artikel 5 lid 1 sub e AVG. Dit is vooral vanwege het feit dat de verwerking van abonneegegevens in een andere databank kennelijk niet het herstellen van fouten maar het afsluiten van abonnementsovereenkomsten tot doel heeft. De nationale rechter vraagt verder aan het Hof of de benodigde bewaartermijn moet overeenkomen met de duur die vereist is om de fouten te herstellen, of met de duur die vereist is om de contractuele verplichtingen ter nakoming van de contracten waarvoor de klanten van Digi initieel hun gegevens hadden overlegd na te komen.

Rechtsvragen

De verwijzende rechter voor de agglomeratie Boedapest stelde de volgende vragen aan het Hof:

  1. Moet het begrip van doelbinding uit artikel 5 lid 1 sub b AVG zo worden uitgelegd dat de verwerkingsverantwoordelijke parallel in een andere databank persoonsgegevens kan bewaren die op rechtmatige en doelgebonden wijze zijn verzameld en opgeslagen, of is het bewaren van de gegevens in een parallelle databank niet meer verenigbaar met de rechtmatige doeleinden waarvoor de betrokken gegevens werden verzameld?
  2. Indien het antwoord op de eerste vraag luidt dat de parallelle opslag van gegevens als dusdanig niet verenigbaar is met het beginsel van doelbinding, is het dan verenigbaar met het beginsel van opslagbeperking uit artikel 5 lid 1 sub e AVG dat de verwerkingsverantwoordelijke parallel in een andere databank persoonsgegevens bewaart die op rechtmatige en doelgebonden wijze zijn verzameld en opgeslagen?

Uitspraak Hof

Beginsel van doelbinding

Het Hof verduidelijkt eerst hoe het beginsel van doelbinding uit artikel 5 lid 1 sub b AVG moet worden uitgelegd. In dit beginsel draait het om twee vereisten: 1) de doeleinden van de aanvankelijke verzameling van persoonsgegevens en 2) de verdere verwerking van die gegevens. Wat betreft het eerste vereiste blijkt uit eerdere rechtspraak van het Hof (C‑175/20) dat dit impliceert dat de doeleinden van de verwerking uiterlijk bij het verzamelen van de persoonsgegevens vaststaan, duidelijk zijn geformuleerd en een rechtmatige verwerking waarborgen. In de voorliggende zaak blijkt dat de verzamelde persoonsgegevens zijn verzameld voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden, namelijk het afsluiten en uitvoeren van abonnementsovereenkomsten.

Het tweede vereiste houdt in dat persoonsgegevens niet verder mogen worden verwerkt op een wijze die onverenigbaar is met die doeleinden. Wanneer er, zoals in het voorliggende geval, sprake is van een nieuw opgezette databank waarin persoonsgegevens worden vastgelegd en opgeslagen, gaat het om ‘verdere verwerking’ van gegevens die niet meer voldoet aan het oorspronkelijke doel van de verzameling. Hierbij is het van belang om te benoemen dat artikel 5 lid 1 sub b AVG niet vermeldt aan welke voorwaarden een verdere verwerking van persoonsgegevens moet voldoen om verenigbaar te zijn met het doel van de oorspronkelijke gegevensverzameling. Wanneer de doeleinden van die verdere verwerking niet dezelfde zijn als die van de aanvankelijke verzameling vindt het Hof dat dit alleen kan wanneer die verdere verwerking wel verenigbaar is met de oorspronkelijke doeleinden. Daarnaast geeft het Hof aan dat, om te bepalen of de verwerking voor een ander doel verenigbaar is met het doel waarvoor de persoonsgegevens aanvankelijk zijn verzameld, rekening moet worden gehouden met de volgende criteria:

  1. ieder verband tussen de doeleinden waarvoor de persoonsgegevens zijn verzameld, en de doeleinden van de voorgenomen verdere verwerking;
  2. het kader waarin de persoonsgegevens zijn verzameld, met name wat de verhouding tussen de betrokkenen en de verwerkingsverantwoordelijke betreft;
  3. de aard van de persoonsgegevens;
  4. de mogelijke gevolgen van de voorgenomen verdere verwerking voor de betrokkenen; en
  5. het bestaan van passende waarborgen, zowel bij de aanvankelijke verwerking als bij de beoogde verdere verwerking.

In deze zaak blijkt dat Digi als verwerkingsverantwoordelijke de persoonsgegevens van haar particuliere klanten aanvankelijk heeft verzameld om abonnementsovereenkomsten af te sluiten en uit te voeren. De partijen in deze zaak, Digi en de Hongaarse Autoriteit, zijn het er echter niet over eens met welk specifiek doel Digi de betrokken persoonsgegevens in de testdatabank heeft vastgelegd en bewaard. Digi is van mening dat het doel was om de toegang tot de gegevens van de abonnees te waarborgen totdat de fouten waren hersteld, waardoor dit doel gelijk is aan de doeleinden van de aanvankelijke gegevensverzameling. De Hongaarse Autoriteit beoogt juist dat het specifieke doel van de verdere verwerking verschilde van de oorspronkelijke doeleinden voor verzameling en verwerking. Het Hof reageert dat Digi de testdatabank heeft opgezet om tests te kunnen uitvoeren en fouten te kunnen herstellen.

Daardoor is de vraag of de verdere verwerking verenigbaar is met de doeleinden van de aanvankelijke verzameling, namelijk het afsluiten en uitvoeren van abonnementsovereenkomsten. Het Hof sluit zich hier aan bij de conclusie van de advocaat-generaal en geeft aan dat de verdere verwerking niet afwijkt van de legitieme verwachtingen van deze klanten wat het latere gebruik van hun persoonsgegevens betreft. Dat leidt ertoe dat het Hof oordeelt dat het beginsel van doelbinding zich er niet tegen verzet dat een verwerkingsverantwoordelijke persoonsgegevens vastlegt en opslaat in een tweede databank die eerder in een andere databank zijn verzameld en bewaard met het oog op het uitvoeren van tests en het herstellen van fouten. Deze verdere verwerking moet dan wel verenigbaar zijn met de specifieke doeleinden waarvoor de persoonsgegevens aanvankelijk zijn verzameld. Daarbij speelt de legitieme verwachting van de betrokkenen een rol.

Beginsel van opslagbeperking

De tweede vraag die het Hof beantwoordt is of er is voldaan aan het beginsel van opslagbeperking, zoals volgt uit artikel 5 lid 1 sub e AVG. De verwijzende rechter vraagt zich namelijk af of dit beginsel zo moet worden uitgelegd dat het zich ertegen verzet dat de verwerkingsverantwoordelijke de persoonsgegevens langer dan noodzakelijk bewaart. In deze zaak speelt het bovendien mee dat deze persoonsgegevens worden bewaard in een voor het uitvoeren van tests en herstellen van fouten opgezette databank. Deze persoonsgegevens zijn eerder in de andere databank zijn verzameld. Het beginsel van opslagbeperking brengt volgens de AVG namelijk met zich mee dat persoonsgegevens moeten worden bewaard in een vorm die het mogelijk maakt om de betrokkenen niet langer te identificeren dan voor de verwezenlijking van de doeleinden waarvoor de persoonsgegevens worden verwerkt noodzakelijk is.

Digi voerde daartegen aan dat de in de testdatabank opgeslagen persoonsgegevens van sommige van haar particuliere klanten na de uitvoering van de tests en het herstellen van de fouten niet zijn uitgewist als gevolg van onoplettendheid. Het Hof noemt dit argument irrelevant voor de beoordeling. Vervolgens oordeelt het Hof dat het beginsel van opslagbeperking zich ertegen verzet dat de persoonsgegevens in die testdatabank langer worden bewaard dan noodzakelijk is om die tests uit te voeren en die fouten te herstellen.

Decentrale relevantie

Deze uitspraak geeft een nadere uitleg van de beginselen van doelbinding en opslagbeperking uit de AVG. Voor een rechtmatige verwerking is het noodzakelijk dat verwerkingsverantwoordelijken zich aan de verwerkingsbeginselen uit de AVG houden. Decentrale overheden moeten ervoor zorgen dat ze de wet niet overtreden als ze persoonsgegevens verwerken en voor deze verwerking een wettelijke grondslag hebben. Dit betekent dat zij persoonsgegevens dus alleen mogen verwerken wanneer zij hier een uitdrukkelijk omschreven en gerechtvaardigd doeleinde aan verbinden en deze gegevens niet langer bewaren dan nodig voor het verwerkingsdoel. Door deze nieuwe verduidelijking van de beginselen geeft het Hof meer handvatten hoe om moet worden gegaan met de AVG. Een decentrale overheid die zich niet aan de regels van de AVG houdt, loopt immers het risico om een boete te krijgen van de Autoriteit Persoonsgegevens.