Antwoorden op prejudiciële vragen: ‘verdere verwerking’ en ‘opslagbeperking’
7 december 2022 / in Nieuws / door Sippe van der Tas
Inleiding
Een Hongaarse rechter heeft in januari 2021 prejudiciële vragen gesteld aan het Hof van Justitie van de Europese Unie (hierna: HvJ).
Deze vragen werden gesteld in het kader van een geschil tussen één van de belangrijkste aanbieders van internet- en televisiediensten in Hongarije (hierna: Digi) en de Hongaarse toezichthouder op het gebied van de bescherming van persoonsgegevens (hierna: de Autoriteit).
Feiten
Na een technische storing in een server heeft Digi in april 2018 een derde van haar databank met abonnees (dus met persoonsgegevens) gekopieerd naar een testdatabank. Het doel daarvan was: het uitvoeren van tests en het herstellen van fouten.
In september 2019 werd Digi geconfronteerd met een ethische hacker die erin geslaagd was toegang te krijgen tot persoonsgegevens van ruim 300.000 abonnees in de testdatabank.
Na melding van dit datalek heeft de Autoriteit de kwestie onderzocht en in mei 2020 aan Digi een boete opgelegd omdat Digi, na de uitvoering van de tests en het herstellen van de fouten, de testdatabank niet meteen heeft gewist, waardoor de betreffende persoonsgegevens zonder doel bijna anderhalf jaar lang werden bewaard.
Digi was het met dit besluit niet eens en heeft daartegen beroep ingesteld bij de Hongaarse rechter.
De prejudiciële vragen van de Hongaarse rechter
De Hongaarse rechter heeft begin 2021 prejudiciële vragen gesteld aan het HvJ die, na herformulering door het HvJ, als volgt luiden:
1. Verzet het in artikel 5, eerste lid onder b van de AVG opgenomen beginsel van ‘doelbinding’ zich ertegen dat een verwerkingsverantwoordelijke in een voor het uitvoeren van tests en het herstellen van fouten opgezette (test)databank persoonsgegevens opslaat die eerder in een andere databank zijn opgeslagen?
2. Moet artikel 5, eerste lid onder e van de AVG zo worden uitgelegd dat het daar bedoelde beginsel van ‘opslagbeperking’ zich er tegen verzet dat een verwerkingsverantwoordelijke de persoonsgegevens die zijn opgeslagen in een (test)databank voor het uitvoeren van tests en het herstellen van fouten, terwijl die persoonsgegevens eerder in een andere databank zijn opgeslagen, langer bewaart dan noodzakelijk voor het uitvoeren van die tests en het herstellen van fouten?
Voor de goede orde citeer ik de relevante gedeelten van betreffende artikelleden van de AVG.
Persoonsgegevens moeten:
b) voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en mogen vervolgens niet verder op een met die doeleinden onverenigbare wijze worden verwerkt; … („doelbinding”);
e) worden bewaard in een vorm die het mogelijk maakt de betrokkenen niet langer te identificeren dan voor de doeleinden waarvoor de persoonsgegevens worden verwerkt noodzakelijk is; … („opslagbeperking”);
De antwoorden van het HvJ in zijn uitspraak van 20 oktober 2022
1. Met betrekking tot de eerste vraag:
Het vereiste van ‘doelbinding’ van een verwerking valt uiteen in twee onderdelen, nl.:
a. verzamelen voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden;
Het HvJ refereert aan zijn eerdere rechtspraak die inhoudt dat de doeleinden van de verwerking uiterlijk bij het verzamelen van de persoonsgegevens moeten vaststaan, dat de doeleinden duidelijk zijn geformuleerd en dat de doeleinden waarborgen dat de persoonsgegevens rechtmatig worden verwerkt.
Het HvJ constateert dat de Hongaarse rechter met betrekking tot de primaire databank met abonneegegevens al heeft vastgesteld dat aan dit vereiste is voldaan; dit bestand is immers bedoeld om abonnementsovereenkomsten te sluiten en uit te voeren.
en
b. niet verder verwerken op een met die doeleinden onverenigbare wijze.
Het HvJ merkt op dat er sprake is van ‘verdere verwerking’ wanneer de verwerkingsverantwoordelijke in een nieuw opgezette databank persoonsgegevens opslaat die in een andere databank waren opgeslagen en geeft aan dat dit ook overeenstemt met het begrip ‘verder’ zoals dit in de omgangstaal wordt gebruikt.
Voorts gaat het HvJ in op de term ‘verenigbaar’. Zij geeft aan dat het toetsen van dit begrip alleen aan de orde is als de doeleinden van de verdere verwerking niet dezelfde zijn als die van de aanvankelijke verwerking.
In dat verband geeft het HvJ aan dat, om te bepalen of een doel van een nieuwe verwerking verenigbaar’ is met het oorspronkelijke doel, het volgende moet worden gecheckt (artikel 6 lid 4 AVG):
- verband tussen doeleinden oorspronkelijke verwerking en verdere verwerking; op dit punt is het HvJ van mening dat er tussen de beide doeleinden voldoende verband zit, omdat fouten in het abonneebestand negatieve consequenties kunnen hebben voor de overeengekomen dienstverlening.
- kader (met name verhouding tussen betrokkene en verwerkingsverantwoordelijke) waarbinnen de persoonsgegevens zijn verzameld;
- aard van de persoonsgegevens;
- gevolgen van de verdere verwerking voor de betrokkenen;
- passende waarborgen bij beide verwerkingen.
Het antwoord van het HvJ op de eerste vraag luidt vervolgens dat ‘artikel 5, eerste lid onder e van de AVG zo moet worden uitgelegd dat het beginsel van doelbinding zich er niet tegen verzet dat de verwerkingsverantwoordelijke in een testdatabank gegevens opslaat die eerder in een andere databank zijn opgeslagen, wanneer die verdere verwerking verenigbaar is met de specifieke doeleinden waarvoor de persoonsgegevens aanvankelijk zijn opgeslagen, hetgeen moet worden beoordeeld aan de hand van de in artikel 6, vierde lid van de AVG en de omstandigheden van het geval’.
2. Met betrekking tot de tweede vraag:
Digi heeft aangevoerd dat de in de testdatabank opgeslagen persoonsgegevens door onoplettendheid niet zijn gewist nadat de tests waren uitgevoerd en de fouten waren hersteld.
Dat speelde echter (terecht) geen rol bij het antwoord op de vraag van het HvJ, luidende dat ‘artikel 5, eerste lid onder e van de AVG zo moet worden uitgelegd dat het beginsel van opslagbeperking zich ertegen verzet dat de verwerkingsverantwoordelijke in een voor het uitvoeren van tests en het herstellen van fouten opgezette databank persoonsgegevens die eerder in een andere databank zijn verzameld, langer bewaart dan noodzakelijk is om die tests uit te voeren en die fouten te herstellen’
Noot van de auteur:
De beantwoording van de prejudiciële vragen wekt geen verbazing, maar het HvJ zet de redenering wanneer er sprake is van een ‘verdere verwerking op een met de doeleinden van de oorspronkelijke verwerking verenigbare wijze’ (in welk geval voor een dergelijke ‘verdere verwerking’ geen afzonderlijke rechtsgrond als bedoeld in artikel 6, eerste lid van de AVG is vereist!) wel helder op een rij. Het stellen van prejudiciële vragen lag dus niet echt voor de hand. Ook op andere plekken in de uitspraak wordt duidelijk dat de Hongaarse rechter zich onvoldoende in de AVG heeft verdiept. Het HvJ herformuleert de gestelde vragen naar hun essentie en geeft in haar uitspraak hier en daar al een voorzetje aan de rechter voor zijn uiteindelijke vonnis.
Ik ben het met name eens met de praktische en logische overweging van het HvJ dat er voldoende verband bestaat tussen de verschillende doeleinden van beide verwerkingen om het testbestand een ‘verdere verwerking’ te laten zijn, nl. vanwege het punt dat fouten in het abonneebestand negatieve consequenties kunnen hebben voor de overeengekomen dienstverlening.
Bron: HvJ – ARREST – 20 oktober 2022 – zaak C-77/21 – Digi – Hongarije – ECLI:EU:C:2022:805