C-563/23 Natsionalna agentsia za prihodite
Prejudiciële hofzaak
Zie bijlage voor de verwijzingsuitspraak , en klik hier voor het dossier van het Hof van Justitie (voor zover beschikbaar). Termijnen: Motivering departement: 30 oktober 2023 Schriftelijke opmerkingen: 16 december 2023
Trefwoorden: bescherming persoonsgegevens, verwerkingsverantwoordelijke, rol van de rechter
Onderwerp:
• Verordening (EU) 2016/679 (algemene verordening gegevensbescherming; hierna: „AVG”): artikel 4, punt 7, artikel 32, lid 1, onder b), artikel 51, lid 1, artikel 57, lid 1, onder a), artikel 58, lid 2, onder d) en artikel 79, lid 1.
• Handvest van de grondrechten van de Europese Unie (hierna: „Handvest”): artikel 47.
Feiten:
De verzoekende partij, het nationaal agentschap voor overheidsinkomsten (hierna: “NAP”) heeft in het kader van een onderzoek naar ontduiking van inkomstenbelasting vastgesteld dat een Bulgaars staatsburger over 7 verschillende bankrekeningen bij verschillende financiële instellingen beschikte en heeft verzocht om gegevens beschikbaar te stellen inzake zijn rekeningsaldi. Bij verzuim hiervan heeft het NAP de verwijzende rechter verzocht toe te staan dat de onder het bankgeheim vallende rekeningsaldi worden verstrekt.
Bij het NAP zijn in 2019 de persoonsgegevens, waaronder belasting- en socialezekerheidsgegevens, van meer dan vijf miljoen personen uit de databank gelekt. De commissie voor de bescherming van persoonsgegevens (hierna: “KZLD”) heeft een boete opgelegd aan het NAP en 20 bindende instructies gegeven om ervoor te zorgen dat het NAP technische en organisatorische maatregelen neemt om toekomstige datalekken te voorkomen. Echter is niet bekend of de oorzaken van de onrechtmatige verstrekking van persoonsgegevens zijn verholpen en welke maatregelen het NAP heeft genomen om andere risico’s van deze aard te voorkomen.
Overweging:
De verwijzende rechter werpt de vraag op over de rol van de rechter als instantie die kan toestaan dat toegang wordt verleend tot de persoonsgegevens van de gecontroleerde persoon. Volgens de heersende opvatting oefenen de rechterlijke instanties een louter formele controle uit. Echter zou dit anders zijn als de rechter zou worden aangemerkt als de verantwoordelijke voor de verwerking van de persoonsgegevens waartoe hij toegang verleent, aangezien de verwerkingsverantwoordelijke een aantal verplichtingen heeft om de beveiliging van de gegevens te waarborgen, waaronder een minimumniveau van controles van de getroffen beveiligingsmaatregelen.
In de Bulgaarse wet is niet bepaald niet wie de verantwoordelijke voor de verwerking van de persoonsgegevens is. In die zin beslissen de rechterlijke instanties, hoewel zij geen rechtstreekse toegang hebben tot de persoonsgegevens waarvan om verstrekking wordt verzocht, tot op zekere hoogte wel over de doeleinden van de verwerking, door toegang tot persoonsgegevens die onder het bankgeheim vallen toe te staan of te verbieden. Het lijkt dus mogelijk om de rechter te beschouwen als een instantie die beslist over de doeleinden van de gegevensverwerking. Volgens de verwijzende rechter dient de rechter, indien hij de rol van verwerkingsverantwoordelijke of toezichthoudende autoriteit zou hebben, pas toegang tot onder het bankgeheim vallende gegevens te verlenen nadat hij informatie heeft ingewonnen over de toegepaste beveiligingsmaatregelen en ervan overtuigd is dat deze ten minste op het eerste gezicht bescherming bieden tegen een herhaling van een inbreuk op de beveiliging van persoonsgegevens. Bovendien moet de vraag worden beantwoord of de rechter die krachtens het nationale recht bevoegd is toegang te verlenen tot persoonsgegevens die onder het bankgeheim vallen, zelfs indien hij niet kan worden aangemerkt als een verwerkingsverantwoordelijke voor de persoonsgegevens of als een toezichthoudende autoriteit, dergelijke toetsingen mag verrichten op grond van de in artikel 79 AVG neergelegde plicht om een doeltreffende rechtsbescherming te waarborgen.
Prejudiciële vragen:
1) Moet artikel 4, punt 7, van verordening 2016/679 (hierna: „algemene verordening gegevensbescherming” of „AVG”) aldus worden uitgelegd dat een gerechtelijke autoriteit die een andere overheidsinstantie toegang verleent tot gegevens over de rekeningsaldi van belastingplichtigen, beslist over het doel van of de middelen voor de verwerking van persoonsgegevens en dus de „verwerkingsverantwoordelijke” voor de persoonsgegevens is?
2) Indien de eerste vraag ontkennend wordt beantwoord, moet artikel 51 van de algemene verordening gegevensbescherming dan aldus worden uitgelegd dat een gerechtelijke autoriteit die een andere overheidsinstantie toegang verleent tot gegevens over de rekeningsaldi van belastingplichtigen, verantwoordelijk is voor het toezicht op [de toepassing van] die verordening en dus met betrekking tot die gegevens als „toezichthoudende autoriteit” moet worden aangemerkt?
3) Indien een van de bovenstaande vragen bevestigend wordt beantwoord, moet artikel 32, lid 1, onder b), van de algemene verordening gegevensbescherming of artikel 57, lid 1, onder a), van deze verordening dan aldus worden uitgelegd dat een gerechtelijke autoriteit die een andere overheidsinstantie toegang verleent tot gegevens over de rekeningsaldi van belastingplichtigen, verplicht is om, wanneer er gegevens zijn over een inbreuk in verband met persoonsgegevens die in het verleden is begaan door de instantie waaraan die toegang moet worden verleend, informatie in te winnen over de ter bescherming van de gegevens genomen maatregelen en bij haar beslissing om toegang te verlenen de toereikendheid van deze maatregelen te beoordelen?
4) Moet, ongeacht de antwoorden op de [tweede] en de [derde] vraag, artikel 79, lid 1, van de algemene verordening gegevensbescherming juncto artikel 47 van het Handvest van de grondrechten van de Europese Unie aldus worden uitgelegd dat wanneer volgens het nationale recht van een lidstaat bepaalde categorieën van gegevens slechts na toestemming van een rechterlijke instantie mogen worden verstrekt, de daartoe bevoegde rechterlijke instantie ambtshalve rechtsbescherming moet verlenen aan de personen van wie de gegevens worden verstrekt, door van de overheidsinstantie die om toegang tot de gegevens heeft verzocht en waarvan bekend is dat zij na een inbreuk in verband met persoonsgegevens bindende instructies heeft ontvangen vanwege de in artikel 51, lid 1, van de algemene verordening gegevensbescherming bedoelde autoriteit, te verlangen dat zij informatie verstrekt over de uitvoering van de haar bij administratief besluit bevolen maatregelen op grond van artikel 58, lid 2, onder d), van die verordening?
Aangehaalde (recente) jurisprudentie: Jehovan todistajat, C-25/17
Specifiek beleidsterrein: JenV