EU-Hof: toezichthoudende autoriteit bescherming persoonsgegevens niet in alle inbreukgevallen verplicht tot uitoefening corrigerende bevoegdheid en opleggen boete
Nieuwsbericht | 10-10-2024
Het gaat om het arrest van het EU-Hof van 26 september 2024 in zaak C-768/21 (Land Hessen; handelingsplicht van de gegevensbeschermings- autoriteit).
Achtergrond In Duitsland ontdekte een spaarbank dat een van haar medewerkers meerdere keren de persoonsgegevens van een klant had geraadpleegd zonder daartoe bevoegd te zijn. De spaarbank heeft de klant hiervan niet op de hoogte gesteld, omdat haar functionaris voor gegevensbescherming van mening was dat er geen groot risico voor de klant bestond. De medewerker van de spaarbank had schriftelijk bevestigd dat zij de gegevens niet had gekopieerd of bewaard, dat zij deze niet aan derden had doorgegeven en dat zij dit in de toekomst ook niet zou doen. Bovendien had de spaarbank disciplinaire maatregelen tegen haar genomen. Niettemin heeft de spaarbank de commissaris voor gegevensbescherming van de Duitse deelstaat Hessen van deze inbreuk op de hoogte gesteld.
Nadat de klant bij toeval kennis had genomen van deze inbreuk, diende hij een klacht in bij de commissaris voor gegevensbescherming. Na de spaarbank te hebben gehoord, heeft de commissaris voor gegevensbescherming de klant meegedeeld dat hij het niet nodig achtte om jegens de spaarbank corrigerende maatregelen te nemen.
Daarop heeft de klant een zaak aanhangig gemaakt bij een Duitse rechtbank, met het verzoek om de commissaris voor gegevensbescherming te gelasten op te treden tegen de spaarbank en haar in het bijzonder een boete op te leggen.
De Duitse rechter heeft het EU-Hof gevraagd om de Algemene Verordening Gegevensbescherming (AVG; Verordening (EU) 2016/679) in dit verband uit te leggen.
EU-Hof Het EU-Hof antwoordt dat wanneer een inbreuk op persoonsgegevens is vastgesteld, de toezichthoudende autoriteit (in dit geval de commissaris voor gegevensbescherming van de deelstaat Hessen) niet verplicht is om een corrigerende bevoegdheid (de toezichthoudende autoriteit kan onder andere de verwerkingsverantwoordelijke een berisping geven, gelasten aan de verzoeken van de betrokkene te voldoen en de verwerking in overeenstemming te brengen met de AVG of naast of in plaats van deze maatregelen een administratieve boete opleggen) uit te oefenen. Dit geldt met name voor de bevoegdheid om een administratieve boete op te leggen, wanneer dit niet nodig is om de geconstateerde tekortkoming te verhelpen en ervoor te zorgen dat de AVG volledig wordt gehandhaafd. Dit kan onder meer het geval zijn wanneer de voor de verwerking verantwoordelijke, zodra hij op de hoogte was van de inbreuk, de nodige maatregelen heeft genomen om ervoor te zorgen dat die inbreuk werd beƫindigd en zich niet meer voordeed.
De AVG laat de toezichthoudende autoriteit een discretionaire bevoegdheid met betrekking tot de wijze waarop zij de vastgestelde tekortkoming moet verhelpen. Die discretionaire bevoegdheid wordt beperkt door de noodzaak om een consistent en hoog niveau van bescherming van persoonsgegevens te waarborgen door middel van een strikte handhaving van de AVG.
Het is aan de Duitse rechter om na te gaan of de commissaris voor gegevensbescherming deze grenzen in acht heeft genomen.
Meer informatie: Persbericht Curia ECER-dossier: Privacy
