C-77/21 Digi
Prejudiciële hofzaak
Zie bijlage voor de verwijzingsuitspraak, en klik hier voor het dossier van het Hof van Justitie (voor zover beschikbaar). Termijnen: Motivering departement: 1 april 2021Schriftelijke opmerkingen: 18 mei 2021
Trefwoorden : AVG; gegevensbescherming
Onderwerp :
Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG (AVG);
Feiten:
Verzoekster is een van de belangrijkste aanbieders van internet en televisie in Hongarije. Verzoekster heeft in februari 2018 een testdatabank opgericht voor test- en probleemoplossingsdoeleinden waarin zij de persoonsgegevens van ongeveer een derde van haar particuliere klanten had gekopieerd. In een andere, aan de website digi.hu verbonden databank genaamd „digihu” bewaarde verzoekster voor marketingdoeleinden actuele gegevens van de abonnees van haar elektronische nieuwsbrief en gegevens van systeembeheerders. Op 23-09-2019 heeft een ethische hacker gemeld via de website digi.hu toegang te hebben verkregen tot de persoonsgegevens van in totaal ongeveer 322 000 betrokkenen. Verzoekster heeft de fout vervolgens hersteld, een geheimhoudingsovereenkomst afgesloten met de ethische hacker en hem een beloning aangeboden. Verzoekster heeft verweerster in kennis gesteld van de inbreuk. Daarop is verweerster een officiële controle gestart. Verweerster heeft vervolgens vastgesteld dat verzoekster in strijd met artikel 5(1)b)e) AVG had gehandeld door de testdatabank na de uitvoering van de nodige tests en het herstel van de fout niet te wissen, waardoor een groot aantal in de testdatabank opgeslagen klantgegevens gedurende de daaropvolgende periode van bijna anderhalf jaar zonder doel en op voor identificatie geschikte wijze was opgeslagen. Daarnaast heeft verweerster tevens vastgesteld dat verzoekster artikel 32(1,2) AVG had geschonden. Verweerster heeft verzoekster verplicht om al haar databanken met persoonsgegevens te controleren en heeft verzoekster een geldboete van 100 000 000 HUF opgelegd. Verzoekster is in beroep gegaan tegen het besluit van verweerster. Verzoekster heeft de verwijzende rechter onder meer verzocht om een prejudiciële procedure bij het Hof in te leiden over dit onderwerp.
Overweging:
De verwijzende rechter wenst uitlegging te verkrijgen van het beginsel van doelbinding en het beginsel van opslagbeperking. De verwijzende rechter wenst te vernemen of met het uploaden van op doelgebonden wijze verzamelde gegevens in een andere databank het doel van de gegevensverzameling en -verwerking verandert. Ook moet worden beoordeeld of het opzetten van een testdatabank en het op deze wijze verwerken van klantgegevens verenigbaar is met het doel van de gegevensverzameling. Zo niet, wenst de verwijzende rechter gelet op het beginsel van opslagbeperking tevens antwoord te verkrijgen op de vraag wat, indien het doel van de verwerking van klantgegevens in een andere databank niet foutherstel is, maar het afsluiten van contracten, bepalend is voor de benodigde bewaartermijn: het herstel van de fout of de nakoming van de contractuele verplichtingen.
Prejudiciële vragen:
1) Moet het begrip „doelbinding” als omschreven in artikel 5, lid 1, onder b), van verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG (algemene verordening gegevensbescherming; hierna: „AVG”) aldus worden uitgelegd dat de verwerkingsverantwoordelijke parallel in een andere databank persoonsgegevens kan bewaren die voor het overige op rechtmatige en doelgebonden wijze zijn verzameld en opgeslagen, of is er in het geval van de parallelle databank geen sprake meer van verzameling van gegevens op een rechtmatige en doelgebonden wijze?
2) Indien het antwoord op de eerste vraag luidt dat de parallelle opslag van gegevens op zichzelf niet verenigbaar is met het beginsel van doelbinding, is het dan verenigbaar met het beginsel van „opslagbeperking” als bedoeld in artikel 5, lid 1, onder e), van de AVG dat de verwerkingsverantwoordelijke parallel in een andere databank persoonsgegevens bewaart die voor het overige op rechtmatige en doelgebonden wijze zijn verzameld en opgeslagen?
Aangehaalde (recente) jurisprudentie: /
Specifiek beleidsterrein: JenV;