C-768/21 Land Hessen  

Contentverzamelaar

C-768/21 Land Hessen  

Prejudiciële hofzaak

Zie bijlage voor de verwijzingsuitspraak, en klik hier voor het dossier van het Hof van Justitie (voor zover beschikbaar).

Termijnen: Motivering departement:    1 maart 2022
Schriftelijke opmerkingen:                    15 april 2022

Trefwoorden : AVG, gegevensbescherming, klachtrecht, sancties, beoordelingsruimte

Onderwerp :

•          Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (AVG);

•          Handvest van de grondrechten van de Europese Unie

Feiten:

TK vordert dat de toezichthoudende autoriteit in de Duitse deelstaat Hessen optreedt tegen de publiekrechtelijke gemeentelijke instelling Sparkasse. De klacht van TR was gebaseerd op het feit dat een medewerkster van de Sparkasse, die destijds een gespannen burenrelatie met TR had, zich meerdere malen, zonder toestemming toegang had verschaft tot diens persoonsgegevens. De toezichthoudende autoriteit had vastgesteld dat het niet waarschijnlijk is dat TR als gevolg van de inbreuk op zijn persoonsgegevens aan een hoog risico werd blootgesteld (artikel 34 AVG) en heeft geen corrigerende maatregelen opgelegd aan Sparkasse. TR betoogt bij de verwijzende rechter dat de toezichthoudende autoriteit de klacht niet of niet overeenkomstig de vereisten van de AVG heeft behandeld. Volgens TR kan hij van de toezichthoudende autoriteit verlangen dat wordt opgetreden tegen de inbreuk en dat de autoriteit (corrigerende) maatregelen had moeten opleggen. In het geval van een vastgestelde inbreuk heeft de toezichthoudende autoriteit volgens TR geen vrijheid om al dan niet van zijn bevoegdheid om maatregelen op te leggen gebruik te maken, maar hooguit een discretionaire bevoegdheid om te kiezen welke maatregelen moeten worden genomen.

Overweging:

Voor de beantwoording van het geschil verzoekt de verwijzende rechter om uitlegging van de artikelen 57, 58 en 77 van de AVG. De rechter wil weten of het klachtrecht (artikel 77 AVG) aldus moet worden uitgelegd dat de toezichthoudende autoriteit krachtens de AVG geen speelruimte heeft en dat de toezichthoudende autoriteit in het geval van inbreuken op de AVG, ongeacht de ernst ervan, altijd moet optreden en een (corrigerende) maatregel moet nemen krachtens de artikelen 57 en 58 AVG.

Prejudiciële vragen:

Moeten artikel 57, lid 1, onder a) en f), en artikel 58, lid 2, onder a) tot en met j), juncto artikel 77, lid 1, van verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG (algemene verordening gegevensbescherming) (PB 2016, L 119, blz. 1[, met rectificaties in PB 2018, L 127, blz. 2 en PB 2021, L 74, blz. 35]; hierna: „AVG”) aldus worden uitgelegd dat wanneer de toezichthoudende autoriteit vaststelt dat een gegevensverwerking inbreuk maakt op de rechten van de betrokkene, zij altijd verplicht is om op te treden overeenkomstig artikel 58, lid 2, AVG?

Aangehaalde (recente) jurisprudentie: C-552/21 (SCHUFA Holding); C-645/19 (Facebook Ireland);

Specifiek beleidsterrein: JenV