EU-Hof verduidelijkt de beginselen van doelbinding en opslagbeperking uit de AVG

Contentverzamelaar

EU-Hof verduidelijkt de beginselen van doelbinding en opslagbeperking uit de AVG

Het beginsel van doelbinding verzet zich er niet tegen dat een verwerkingsverantwoordelijke in een voor het uitvoeren van tests en herstellen van fouten opgezette testdatabank persoonsgegevens vastlegt en opslaat die eerder in een andere databank zijn verzameld en bewaard. Die ‘verdere verwerking’ van persoonsgegevens moet wel verenigbaar zijn met de specifieke doeleinden waarvoor de persoonsgegevens aanvankelijk zijn verzameld. Het beginsel van opslagbeperking verzet zich ertegen dat de persoonsgegevens in die testdatabank langer worden bewaard dan noodzakelijk is om die tests uit te voeren en die fouten te herstellen. Dat is het antwoord van het EU-Hof op vragen van een Hongaarse rechter.

Het gaat om het arrest van het EU-Hof van 20 oktober 2022 in de zaak C-77/21, Digi.

Achtergrond

Het gaat in deze zaak om een geschil tussen Digi, één van de belangrijkste aanbieders van internet- en televisiediensten in Hongarije, en de Hongaarse autoriteit voor gegevensbescherming en vrijheid van informatie (hierna: de Autoriteit) over een inbreuk in verband met persoonsgegevens in een (test)databank van Digi.

Het gaat om een testdatabank, die Digi naar aanleiding van een technische storing heeft opgezet. Digi had de persoonsgegevens van ongeveer een derde van haar particuliere klanten naar die testdatabank gekopieerd. Die persoonsgegevens werden bewaard in een andere aan de website digi.hu verbonden databank, genaamd ‘digihu’, met daarin de actuele gegevens van de abonnees van haar elektronische nieuwsbrief voor directmarketing-doeleinden en gegevens van de systeembeheerders die toegang verschaffen tot de interface van de website.

Op 23 september 2019 heeft Digi vernomen dat een ‘ethische hacker’ zich toegang had weten te verschaffen tot persoonsgegevens in de testdatabank. De ‘etnische hacker’ heeft deze toegang zelf aan Digi gemeld. Nadat Digi de testdatabank had gewist, heeft zij de inbreuk in verband met persoonsgegevens gemeld aan de Autoriteit. De Autoriteit heeft vastgesteld dat Digi in strijd met de Algemene Verordening Gegevensbescherming (AVG) had gehandeld doordat zij de testdatabank na de uitvoering van de nodige tests en de oplossing van de problemen niet onmiddellijk had gewist, waardoor een groot aantal in deze testdatabank opgeslagen persoonsgegevens bijna anderhalf jaar zonder doel was bewaard in een bestand waarmee de betrokkenen konden worden geïdentificeerd. De Autoriteit heeft een geldboete aan Digi opgelegd en haar gelast al haar databanken te onderzoeken.

Digi heeft de rechtmatigheid van het besluit van de Autoriteit aangevochten bij de verwijzende rechter. Die rechter heeft het EU-Hof verzocht om uitlegging van de in de AVG neergelegde beginselen van doelbinding en opslagbeperking (artikel 5, lid 1, onder b en e van de AVG).

EU-Hof

Beginsel van doelbinding

Het EU-Hof stelt vast dat persoonsgegevens volgens artikel 5, lid 1, onder b van de AVG, waarin het beginsel van doelbinding is vastgelegd, ten eerste voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden moeten worden verzameld, en ten tweede dat zij vervolgens niet verder op een met die doeleinden onverenigbare wijze mogen worden verwerkt. Het EU-Hof oordeelt dat Digi de onderhavige persoonsgegevens heeft verzameld om abonnementsovereenkomsten af te sluiten en uit te voeren. Vervolgens oordeelt het EU-Hof dat er sprake is van een ‘verdere verwerking’ wanneer de verwerkingsverantwoordelijke (Digi) in een nieuw opgezette databank persoonsgegevens vastlegt en opslaat die in een andere databank waren opgeslagen.

De vraag of de verdere verwerking van persoonsgegevens verenigbaar is met de doeleinden waarvoor deze gegevens aanvankelijk zijn verzameld, is volgens het EU-Hof alleen aan de orde wanneer de doeleinden van die verdere verwerking niet hetzelfde zijn als die van de aanvankelijke verzameling. Om te bepalen of de verwerking voor een ander doel verenigbaar is met het doel waarvoor de persoonsgegevens aanvankelijk zijn verzameld, moet onder meer rekening worden gehouden met de volgende criteria:

  • ieder verband tussen de doeleinden waarvoor de persoonsgegevens zijn verzameld, en de doeleinden van de voorgenomen verdere verwerking;
  • het kader waarin de persoonsgegevens zijn verzameld, met name wat de verhouding tussen de betrokkenen en de verwerkingsverantwoordelijke betreft;
  • de aard van de persoonsgegevens;
  • de mogelijke gevolgen van de voorgenomen verdere verwerking voor de betrokkenen; en,
  • het bestaan van passende waarborgen, zowel bij de aanvankelijke verwerking als bij de beoogde verdere verwerking.

Het staat volgens het EU-Hof aan de nationale rechter om, gelet op bovenstaande criteria en rekening houdend met alle omstandigheden van het geval, de doelstellingen van het aanvankelijke verzamelen van de persoonsgegevens als die van de verdere verwerking van die gegevens te bepalen en, indien de doeleinden van die verdere verwerking verschillen van de doeleinden van die verzameling, na te gaan of de verdere verwerking van die gegevens verenigbaar is met de doeleinden van die aanvankelijke verzameling.

Digi heeft de testdatabank opgezet om tests te kunnen uitvoeren en fouten te kunnen herstellen. Volgens het EU-Hof staat het aan de nationale rechter om in het licht van die doeleinden te beoordelen of de verdere verwerking verenigbaar is met de doeleinden van de aanvankelijke verzameling, namelijk het afsluiten en uitvoeren van abonnementsovereenkomsten

Beginsel van opslagbeperking

Het EU-Hof stelt vast dat persoonsgegevens volgens artikel 5, lid 1, onder e van de AVG, waarin het beginsel van opslagbeperking is vastgelegd, moeten worden bewaard in een vorm die het mogelijk maakt de betrokkenen niet langer te identificeren dan voor de verwezenlijking van de doeleinden waarvoor de persoonsgegevens worden verwerkt noodzakelijk is. Het EU-Hof oordeelt dat voornoemd beginsel zich ertegen verzet dat de verwerkingsverantwoordelijke (Digi) in een voor het uitvoeren van tests en herstellen van fouten opgezette databank persoonsgegevens die eerder in een andere databank zijn verzameld, langer bewaart dan noodzakelijk is om die tests uit te voeren en die fouten te herstellen.

Meer informatie: