C-683/21 Nacionalinis visuomenes sveikatos centras
Prejudiciële hofzaak
Zie bijlage voor de verwijzingsuitspraak, en klik hier voor het dossier van het Hof van Justitie (voor zover beschikbaar). Termijnen: Motivering departement: 4 januari 2022 Schriftelijke opmerkingen: 21 februari 2022
Trefwoorden : AVG, gegevensbescherming, verwerkingsverantwoordelijke
Onderwerp :
Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG (AVG)
Feiten:
Teneinde de situatie als gevolg van de verspreiding van COVID-19 doeltreffend te beheersen, heeft de minister van Volksgezondheid van Litouwen de directeur van het nationaal centrum voor volksgezondheid van het ministerie van Volksgezondheid (NVSC) opgedragen te zorgen voor de verwerving van een informatieplatform (mobiele applicatie KARANTINAS of applicatie) dat was bedoeld voor de registratie en controle van gegevens betreffende personen die in contact zijn geweest met dragers van COVID-19. Op 27-03-2020 heeft A. S., die beweerde het NVSC te vertegenwoordigen, het bedrijf „IT sprendmai sėkmei” UAB (bedrijf) per e-mail meegedeeld dat het NVSC dat bedrijf had uitgekozen als ontwikkelaar van de mobiele applicatie KARANTINAS. A. S. had geen arbeids- of enig andere overeenkomst met het NVSC. In de loop van de ontwikkelingsfase van de applicatie is een privacybeleid opgesteld waarin het bedrijf en het NVSC werden genoemd als verwerkingsverantwoordelijke. De mobiele applicatie KARANTINAS verzamelde verschillende inlichtingen over haar gebruikers: identiteitsnummers, geografische coördinaten, land, stad, gemeente, woonadres, voornaam, achternaam, persoonlijk identificatienummer, telefoonnummer, of de persoon in kwestie in zelfisolatie dient te gaan, of hij zich heeft geregistreerd, enzovoorts. Gegevens werden niet slechts in Litouwen, maar ook daarbuiten verzameld. De minister van Volksgezondheid heeft de directeur van het NVSC opgedragen om onverwijld te zorgen voor de verwerving van de mobiele applicatie. Het was de bedoeling om de applicatie van het bedrijf te verwerven middels een procedure van gunning door onderhandelingen zonder bekendmaking van een aankondiging van een opdracht. De aanbestedingsprocedures werden gestart, maar door gebrek aan de noodzakelijke financiële middelen heeft het NVSC de procedures beëindigd. Er werd geen overheidsopdracht voor aan- en verkoop gesloten. De toezichthouder voor gegevensbescherming heeft vastgesteld dat er persoonlijke gegevens waren verzameld met behulp van de mobiele applicatie en administratieve boeten opgelegd aan het NVSC en het bedrijf, in hun hoedanigheid als gezamenlijke verwerkingsverantwoordelijken. Het NVSC beroept zich in wezen op het argument dat de openbare aanbestedingsprocedure niet was voltooid door het sluiten van een overeenkomst voor aan- en verkoop. Bijgevolg heeft er geen overdracht van eigendom van de mobiele applicatie plaatsgevonden en kan het NVSC niet worden aangemerkt als verwerkingsverantwoordelijke voor de middels de applicatie verzamelde persoonsgegevens. Het bedrijf wijst erop dat het als verwerker technisch gezien toezicht hield op de werking van de applicatie, maar dat de persoonsgegevens in de applicatie uitsluitend werden verwerkt voor de doeleinden die waren bepaald door het NVSC en conform diens aanwijzingen.
Overweging:
Het geschil tussen de partijen draait hoofdzakelijk om de vraag of het begrip „verwerkingsverantwoordelijke” als bedoeld in de AVG ruim uitgelegd dient te worden, namelijk of een persoon die slechts de doelstellingen en de middelen van gegevensverwerking heeft vastgesteld beschouwd moet worden als verwerkingsverantwoordelijke van persoonsgegevens, dan wel of dat dit begrip strikter moet worden uitgelegd, waarbij rekening wordt gehouden met de procedure voor de organisatie van de overheidsopdracht en het resultaat daarvan. Tevens relevant in de onderhavige zaak zijn de wettelijke regeling inzake overheidsopdrachten en het feit dat een overheidsinstantie, die overeenkomstig het Unierecht onderworpen is aan een van de grondbeginselen van openbaar bestuur, namelijk het legaliteitsbeginsel, aansprakelijk is gesteld voor inbreuken op de AVG. Aangezien het NVSC erkend is als een medeverwerkingsverantwoordelijke van persoonsgegevens, rijzen er ook vragen over de uitlegging van artikel 4, lid 7, en artikel 26, lid 1, AVG ten aanzien van de gezamenlijke controle van gegevens. Tot slot wenst de verwijzende rechter tevens te vernemen hoe artikel 83, lid 1, AVG, dat bepaalt dat „administratieve boeten doeltreffend, evenredig en afschrikkend zijn”, moet worden opgevat wanneer een besluit wordt genomen over de aansprakelijkheid van verscheidene entiteiten.
Prejudiciële vragen:
1. Kan het begrip „verwerkingsverantwoordelijke” als bedoeld in artikel 4, lid 7, AVG, aldus worden uitgelegd dat een persoon die voornemens is een instrument voor gegevensverzameling (mobiele applicatie) te verwerven middels een overheidsopdracht, ook als een verwerkingsverantwoordelijke moet worden aangemerkt, ongeacht het feit dat er geen overheidsopdracht is geplaatst en dat het ontwikkelde product (mobiele applicatie), ter verwerving waarvan gebruik is gemaakt van een procedure voor het plaatsen van een overheidsopdracht, niet is overgedragen?
2. Kan het begrip „verwerkingsverantwoordelijke”, als bedoeld in artikel 4, lid 7, AVG, aldus worden uitgelegd dat een aanbestedende dienst ook dient te worden aangemerkt als verwerkingsverantwoordelijke in het geval deze dienst het eigendomsrecht van het ontwikkelde IT-product niet heeft verworven en niet in bezit heeft genomen, maar de eindversie van de ontwikkelde applicatie links of interfaces bevat naar dat openbaar lichaam en/of het privacybeleid, dat niet officieel door het betreffende openbaar lichaam is goedgekeurd of erkend, met dien verstande dat dat openbaar lichaam zelf een verwerkingsverantwoordelijke is?
3. Kan het begrip „verwerkingsverantwoordelijke” als bedoeld in artikel 4, lid 7, AVG, aldus worden uitgelegd dat een persoon die geen daadwerkelijke gegevensverwerkende handelingen, zoals omschreven in artikel 4, lid 2, AVG, heeft verricht en/of geen duidelijke toestemming/goedkeuring heeft verleend aan de uitvoering van dergelijke handelingen, ook dient te worden aangemerkt als verwerkingsverantwoordelijke? Is het voor de uitlegging van het begrip „verwerkingsverantwoordelijke” van belang dat het IT-product dat is gebruikt voor de verwerking van persoonsgegevens, is ontwikkeld in overeenstemming met de opdracht die door de aanbestedende dienst is opgesteld?
4. Indien de vaststelling van daadwerkelijke gegevensverwerkende handelingen van belang is voor de uitlegging van het begrip „verwerkingsverantwoordelijke”, dient het begrip „verwerking” als bedoeld in artikel 4, lid 2, AVG dan aldus te worden uitgelegd dat het alsmede gevallen behelst waarin kopieën van persoonlijke gegevens gebruikt zijn voor het testen van IT-systemen in de procedure voor de verwerving van een mobiele applicatie?
5. Kan de gezamenlijke verwerking van gegevens overeenkomstig artikel 4, lid 7, en artikel 26, lid 1, AVG uitsluitend aldus worden uitgelegd dat deze doelbewust gecoördineerde handelingen omvat wat betreft de bepaling van het doeleinde en de middelen van gegevensverwerking, of kan dat begrip ook in die zin worden uitgelegd dat gezamenlijke verwerking ook gevallen behelst waarin er geen duidelijke „regeling” bestaat met betrekking tot het doeleinde en de middelen van gegevensverwerking en/of handelingen tussen de entiteiten niet zijn gecoördineerd? Zijn de omstandigheden die betrekking hebben op de ontwikkelingsfase van het middel van verwerking van persoonsgegevens (IT applicatie) waarbij persoonsgegevens zijn verwerkt en het doel van de ontwikkeling van de applicatie juridisch van belang voor de uitlegging van het begrip van gezamenlijke controle van gegevens? Kan een „regeling” tussen de gezamenlijke verwerkingsverantwoordelijken uitsluitend worden uitgelegd als een duidelijk omschreven vaststelling van voorwaarden betreffende de gezamenlijke gegevensverwerking?
6. Dient het bepaalde in artikel 83, lid 1, AVG, op grond waarvan „administratieve boeten doeltreffend, evenredig en afschrikkend zijn”, aldus te worden uitgelegd dat het ook geldt voor gevallen waarin de aansprakelijkheid komt te liggen bij de „verwerkingsverantwoordelijke” wanneer de ontwikkelaar tijdens het proces ter ontwikkeling van een IT-product ook persoonsgegevensverwerkende handelingen verricht, en leiden de onrechtmatige persoonsgegevensverwerkende handelingen die door de verwerker worden verricht altijd automatisch tot juridische aansprakelijkheid van de kant van de „verwerkingsverantwoordelijke”? Dient die bepaling aldus uitgelegd te worden dat zij ook gevallen van risicoaansprakelijkheid van de kant van de verwerker omvat?
Aangehaalde (recente) jurisprudentie: Wirtschaftsakademie Schleswig-Holstein (C-210/16), Jehovan todistajat (C-25/17),
Specifiek beleidsterrein: JenV, VWS