C-313/23 JT Inspektorat kam Visshia sadeben savet e.a.
Prejudiciële hofzaak
Zie bijlage voor de verwijzingsuitspraak, en klik hier voor het dossier van het Hof van Justitie (voor zover beschikbaar). Termijnen: Motivering departement: 27 juli 2023 Schriftelijke opmerkingen: 13 september 2023
Trefwoorden: gegevensbescherming
Onderwerp:
- Verdrag betreffende de Europese Unie: artikel 19, lid 1, tweede alinea;
- Handvest van de grondrechten van de Europese Unie: artikel 47;
- Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG: artikel 2, lid 2, onder a, artikel 4, lid 7, artikel 32, lid 1, onder b, artikel 33, lid 3, onder d, artikel 51, artikel 57, lid 1, onder a, en artikel 79, lid 1.
Feiten:
De verzoekende partij, de Bulgaarse toezichthoudende autoriteit bij de hoge raad voor de magistratuur (hierna: „IVSS”), controleert de vermogensverklaringen van rechters en openbare aanklagers en zoekt naar belangenconflicten. Volgens de kennisgeving van de Bulgaarse Commissie voor de bescherming van persoonsgegevens werden in 2019 twintig verklaringen van rechters en openbare aanklagers volledig gepubliceerd door het IVSS, terwijl diverse gegevens niet hadden mogen worden gepubliceerd. Hiervoor is destijds aan het IVSS een geldboete opgelegd, maar het is niet bekend of dit besluit was onderworpen aan een rechterlijke toetsing en of het definitief is geworden. Om te voldoen aan de verplichting een openbaar register bij te houden van de vermogensverklaringen van rechters en openbare aanklagers, verzoekt het IVSS de verwijzende rechter toegang tot onder het bankgeheim vallende gegevens betreffende de rekeningsaldi per 31 december 2022 van zes rechters/openbare aanklagers en vier van hun familieleden.
De feiten en de motivering in zaken C-316/23 en C-313/23 zijn dezelfde als in het verzoek om een prejudiciële beslissing in zaak C-332/23 en de prejudiciële vragen zijn in alle zaken identiek.
Overweging:
De verwijzende rechter betwijfelt of de uitlegging van het grondwettelijk hof verenigbaar is met het Unierecht en of het Unierecht geen strengere eisen stelt aan de waarborgen voor de onafhankelijkheid van staatsinstellingen die toezicht uitoefenen op de rechterlijke macht, dan die welke het Bulgaarse grondwettelijk hof heeft vastgesteld. In dit verband moet worden aangegeven of een dergelijke verlenging van de ambtstermijn (op grond van het Unierecht) de waarborgen in gevaar kan brengen met betrekking tot de onafhankelijkheid van het IVSS als een instelling die tuchtrechtelijke sancties kan vorderen voor rechters, en zo ja, welke criteria moeten worden gehanteerd om te beoordelen of en hoe lang een dergelijke verlenging van de ambtstermijn van dergelijke instellingen toelaatbaar is. Ook vraagt de verwijzende rechter om verduidelijking over of de rechter die de toegang verleent tot persoonsgegevens, kan worden beschouwd als een verantwoordelijke voor de verwerking van de persoonsgegevens samen met het IVSS.
Voor zover de activiteit in kwestie een publiekrechtelijke activiteit is die verband houdt met het bepalen van de status van rechters en openbare aanklagers en het waarborgen van de integriteit van rechters en openbare aanklagers, vraagt de verwijzende rechter zich tevens af of deze activiteit binnen de werkingssfeer van de AVG valt. Gezien de onduidelijke nationale regeling moet volgens de verwijzende rechter ook worden beantwoord of de gerechtelijke autoriteit die de voorwaarden bepaalt voor de toegang door een andere overheidsinstantie tot persoonsgegevens die onder het bankgeheim vallen, ook kan worden beschouwd als een toezichthoudende autoriteit die een deel van de bevoegdheden onder de AVG uitoefent, op het gebied van de controle op de toegang tot de gegevens.
Daarnaast vraagt de verwijzende rechter of de rechter die krachtens het nationale recht bevoegd is toegang te verlenen tot persoonsgegevens die onder het bankgeheim vallen, zelfs indien hij niet kan worden beschouwd als een verwerkingsverantwoordelijke voor de persoonsgegevens of als een toezichthoudende autoriteit, dergelijke toetsingen mag verrichten op grond van artikel 79 AVG teneinde een doeltreffende rechtsbescherming te waarborgen.
Prejudiciële vragen:
1. Moet artikel 19, lid 1, tweede alinea, [VEU], gelezen in samenhang met artikel 47, tweede alinea, van het Handvest van de grondrechten van de Europese Unie, aldus worden uitgelegd dat op zich, of in bepaalde omstandigheden, niet wordt voldaan aan de plicht van de lidstaten om te zorgen voor doeltreffende voorzieningen in rechte ten behoeve van een onafhankelijke rechterlijke toetsing, wanneer de functies van een autoriteit die tuchtrechtelijke sancties kan opleggen aan rechters en beschikt over bevoegdheden om gegevens te verzamelen met betrekking tot hun vermogen, voor onbepaalde tijd nog steeds vervuld worden nadat de ambtstermijn van die instantie zoals bepaald in de grondwet is verstreken? Als een dergelijke verlenging van deze bevoegdheden toelaatbaar is, onder welke voorwaarden?
2. Moet artikel 2, lid 2, onder a), van verordening (EU) 2016/679 [...] betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens [...] (algemene verordening gegevensbescherming, hierna: „AVG”) aldus worden uitgelegd dat de ontsluiting van informatie die onder het bankgeheim valt met het oog op de verificatie van het vermogen van rechters en openbare aanklagers en de daaropvolgende openbaarmaking ervan een activiteit is die niet binnen de werkingssfeer van het Unierecht valt? Is het antwoord anders als deze activiteit ook de verstrekking van gegevens van familieleden van rechters en openbare aanklagers omvat die zelf geen rechter of openbare aanklager zijn?
3. Indien het antwoord op de tweede vraag luidt dat het Unierecht van toepassing is, moet artikel 4, punt 7, van de algemene verordening gegevensbescherming dan aldus worden uitgelegd dat
een gerechtelijke autoriteit die een andere overheidsinstantie toegang verleent tot gegevens over het rekeningsaldo van rechters en openbare aanklagers en hun familieleden, beslist over het doel van of de middelen voor de verwerking van persoonsgegevens en dus de „verwerkingsverantwoordelijke” voor de persoonsgegevens is?
4. Indien het antwoord op de tweede vraag luidt dat het Unierecht van toepassing is en het antwoord op de derde vraag ontkennend luidt, moet artikel 51 van de algemene verordening gegevensbescherming dan aldus worden uitgelegd dat een gerechtelijke autoriteit die een andere overheidsinstantie toegang verleent tot gegevens over het rekeningsaldo van rechters en openbare aanklagers en hun familieleden, verantwoordelijk is voor het toezicht op [de toepassing van] die verordening en derhalve met betrekking tot die gegevens als „toezichthoudende autoriteit” moet worden aangemerkt?
5. Indien het antwoord op de tweede vraag luidt dat het Unierecht van toepassing is en het antwoord op ofwel de derde ofwel de vierde vraag bevestigend luidt, moet artikel 32, lid 1, onder b), van de algemene verordening gegevensbescherming of artikel 57, lid 1, onder a), van deze verordening dan aldus worden uitgelegd dat een gerechtelijke autoriteit die een andere overheidsinstantie toegang verleent tot gegevens over het rekeningsaldo van rechters en openbare aanklagers en hun familieleden, verplicht is om, wanneer er gegevens zijn over een inbreuk in verband met persoonsgegevens die in het verleden is gepleegd door de instantie waaraan deze toegang moet worden verleend, informatie in te winnen over de maatregelen die zijn genomen om de gegevens te beschermen en bij haar beslissing om toegang te verlenen rekening te houden met de toereikendheid van deze maatregelen?
6. Indien het antwoord op de tweede vraag luidt dat het Unierecht van toepassing is, en ongeacht het antwoord op de derde en de vierde vraag, moet artikel 79, lid 1, van de algemene verordening gegevensbescherming juncto artikel 47 van het Handvest van de grondrechten van de Europese Unie dan aldus worden uitgelegd dat wanneer volgens het nationale recht van een lidstaat bepaalde categorieën van gegevens slechts na toestemming van een rechterlijke instantie mogen worden verstrekt, de ter zake bevoegde rechterlijke instantie ambtshalve rechtsbescherming moet verlenen aan de personen wier gegevens worden verstrekt, door van de overheidsinstantie die om toegang tot de gegevens heeft verzocht en waarvan bekend is dat zij in het verleden inbreuken in verband met persoonsgegevens heeft gepleegd, te verlangen dat zij informatie verstrekt over de maatregelen die op grond van artikel 33, lid 3, onder d), van de algemene verordening gegevensbescherming zijn genomen en over de daadwerkelijke toepassing daarvan?
Aangehaalde (recente) jurisprudentie:
Inspecţia Judiciară (C-817/21), Latvijas Republikas Saeima (C-439/19), Jehovan todistajat (C-25/17).
Specifiek beleidsterrein: JenV