C-340/21 Natsionalna agentsia za prihodite
Prejudiciële hofzaak
Zie bijlage voor de verwijzingsuitspraak, en klik hier voor het dossier van het Hof van Justitie (voor zover beschikbaar). Termijnen: Motivering departement: 11 augustus 2021Schriftelijke opmerkingen: 28 september 2021
Trefwoorden : bescherming persoonsgegevens; ongeoorloofde toegang; passende maatregelen; bewijslast; immateriële schade
Onderwerp :
• Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrij verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (AVG)
Feiten:
In het kader van de uitoefening van de aan de Bulgaarse belastingdienst verleende openbare bevoegdheden worden persoonsgegevens verwerkt. De Bulgaarse belastingdienst is daarom een ‘verwerkingsverantwoordelijke’ in de zin van verordening 2016/679 (hierna: AVG). Op 15 juli 2019 hebben hackers ongeoorloofde toegang verkregen tot het systeem van de belastingdienst. De gegevens van particulieren uit verschillende databanken van de belastingdienst waren op het internet geplaatst. VB is één van de getroffenen en heeft op grond van artikel 82, lid 1, AVG een vordering tot schadevergoeding ingesteld tegen de belastingdienst. VB is van mening dat zij immateriële schade heeft geleden, omdat zij zich zorgen maakt dat in de toekomst misbruik zal worden gemaakt van de ‘gelekte’ persoonsgegevens. Zij is bijvoorbeeld bang dat ze zal worden gechanteerd of dat haar gegevens worden gebruikt voor identiteitsfraude. De belastingdienst heeft aangevoerd dat zij alle passende maatregelen heeft genomen om de ongeoorloofde toegang tot de persoonsgegevens te voorkomen (artikel 24, lid 1 en artikel 32 AVG) en dat zij eveneens onmiddellijk na het datalek maatregelen heeft getroffen. VB was echter van mening dat de belastingdienst geen effectieve maatregelen heeft genomen om de ongeoorloofde toegang tot de persoonsgegevens te voorkomen. De rechter in eerste aanleg heeft het beroep van VB ongegrond verklaard, omdat VB heeft nagelaten om aan te tonen welke maatregelen de belastingdienst had moeten treffen en dat VB geen immateriële schade heeft geleden die voor vergoeding in aanmerking komt. VB is tegen de uitspraak van de rechter in eerste aanleg opgekomen bij de verwijzende rechter.
Overweging:
De beslechting van het geschil is afhankelijk van de uitleg van een aantal bepalingen van de AVG. De verwijzende rechter wil van het EU-Hof weten of het enkele feit dat er sprake is van een ongeoorloofde toegang tot persoonsgegevens bewijst dat de door de verwerkingsverantwoordelijke getroffen maatregelen niet ‘passend’ waren om de persoonsgegevens te beschermen (artikel 24, lid 1, en artikel 32, AVG). Wanneer de vraag in de vorige zin ontkennend wordt beantwoord, wil de rechter weten hoe hij moet toetsen of de maatregelen van de belastingdienst passend waren in de zin van artikel 32 AVG en wat de omvang van die toetsing is. Vervolgens wil de rechter weten of de ‘verwerkingsverantwoordelijke’ (in casu: de belastingdienst) in plaats van de verzoekster moet bewijzen dat de genomen maatregelen ‘passend’ waren (omkering van de bewijslast) en of een door de rechter ingewonnen technisch deskundigenadvies als bewijsmiddel kan worden beschouwd om vast te stellen dat de genomen maatregelen passend waren om de persoonsgegevens te beschermen. Daarnaast wil de rechter van het EU-Hof weten of de belastingdienst (als verwerkingsverantwoordelijke) op grond van artikel 82, lid 2, AVG kan worden vrijgesteld van aansprakelijkheid, omdat de persoonsgegevens door middel van een hack zijn verkregen en niet door medewerkers van de belastingdienst zijn verstrekt. Tenslotte vraagt de verwijzende rechter aan het EU-Hof of de negatieve gevoelens van VB onder het begrip ‘immateriële schade’ kunnen vallen en er daarom een recht op schadevergoeding in de zin van artikel 82, lid 1, AVG bestaat. Die negatieve gevoelens hebben met name betrekking op het feit dat er in de toekomst misbruik zou kunnen worden gemaakt van de gelekte persoonsgegevens.
Prejudiciële vragen:
1. Moeten de artikelen 24 en 32 van verordening (EU) 2016/679 aldus worden uitgelegd dat het feit dat de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot persoonsgegevens in de zin van artikel 4, punt 12, van verordening (EU) 2016/679 heeft plaatsgevonden door personen die geen medewerkers van de verwerkingsverantwoordelijke zijn en niet onder zijn toezicht staan, volstaat om aan te nemen dat de getroffen technische en organisatorische maatregelen niet passend zijn?
2. Ingeval de eerste vraag ontkennend wordt beantwoord: waarop moet de rechterlijke toetsing van de rechtmatigheid bij het onderzoek van de vraag of de door de verwerkingsverantwoordelijke getroffen technische en organisatorische maatregelen passend zijn in de zin van artikel 32 van verordening (EU) 2016/679 betrekking hebben en welke omvang moet die toetsing hebben?
3. Ingeval de eerste vraag ontkennend wordt beantwoord: moet het beginsel van de verantwoordingsplicht op grond van artikel 5, lid 2, en artikel 24 juncto overweging 74 van verordening (EU) 2016/679 aldus worden uitgelegd dat in het kader van een beroep op grond van artikel 82, lid 1, van die verordening de bewijslast voor het feit dat de getroffen technische en organisatorische maatregelen passend zijn in de zin van artikel 32 van de verordening, op de verwerkingsverantwoordelijke rust? Kan een deskundigenrapport als een noodzakelijk en toereikend bewijsmiddel worden beschouwd om vast te stellen dat de door de verwerkingsverantwoordelijke getroffen technische en organisatorische maatregelen in een geval zoals het onderhavige passend waren, wanneer de ongeoorloofde toegang tot en de ongeoorloofde verstrekking van persoonsgegevens het gevolg zijn van een „hackaanval”?
4. Moet artikel 82, lid 3, van verordening (EU) 2016/679 aldus worden uitgelegd dat de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot persoonsgegevens in de zin van artikel 4, punt 12, van die verordening , in casu door middel van een „hackaanval” door personen die geen medewerkers van de
verwerkingsverantwoordelijke zijn en niet onder zijn toezicht staan, een feit is waarvoor de verwerkingsverantwoordelijke niet verantwoordelijk is en dat bijgevolg een vrijstelling van aansprakelijkheid rechtvaardigt?
5. Moeten artikel 82, leden 1 en 2, junctis de overwegingen 85 en 146 van verordening (EU) 2016/679 aldus worden uitgelegd dat wanneer er zoals in casu sprake is van een inbreuk op persoonsgegevens die bestaat in de ongeoorloofde toegang tot en de verspreiding van persoonsgegevens door middel van een
„hackaanval”, alleen al de bezorgdheid en ongerustheid van de betrokkene over en zijn vrees voor mogelijk misbruik van zijn persoonsgegevens in de toekomst, zonder dat een dergelijk misbruik is vastgesteld en/of de betrokkene verdere schade heeft geleden, onder het ruim uit te leggen begrip „immateriële schade” vallen en een recht op schadevergoeding doen ontstaan?
Aangehaalde (recente) jurisprudentie: (C-342/12)
Specifiek beleidsterrein: JenV, EZK