20 okt 2022
HvJ EU: beginsel van doelbinding en opslagbeperking
HvJ EU 20 oktober 2022, IT 4134; ECLI:EU:C:2022:805 (Digi tegen Nemzeti) Digi is een van de belangrijkste aanbieders van internet- en televisiediensten in Hongarije. In april 2018 heeft Digi een zogeheten „testdatabank” opgezet, waarnaar zij de persoonsgegevens van haar particuliere klanten heeft gekopieerd. Op 23 september 2019 heeft Digi vernomen dat een ethische hacker zich toegang had weten te verschaffen tot de persoonsgegevens van ongeveer 322 000 personen waarover Digi beschikt. De ethische hacker heeft deze toegang zelf aan Digi gemeld en haar als bewijs een regel van de testdatabank toegezonden. Digi heeft het lek dat deze toegang mogelijk maakte hersteld.De Nemzeti heeft Digi een geldboete opgelegd omdat Digi de testdatabank na oplossing van de problemen, niet onmiddelijk heeft gewist. De zaak komt bij de Fővárosi Törvényszék (rechter voor de agglomeratie Boedapest, Hongarije), die stelt het Hof een tweetal vragen. Met zijn eerste vraag wenst de verwijzende rechter te vernemen of het beginsel van doelbeperking aldus moet worden uitgelegd dat de verwerkingsverantwoordelijke parallel in een andere databank persoonsgegevens kan bewaren die voor het overige op rechtmatige en doelgebonden wijze zijn verzameld en opgeslagen, of is het bewaren van de gegevens in een parallelle databank niet meer verenigbaar met de rechtmatige doeleinden waarvoor de betrokken gegevens werden verzameld? Indien het antwoord op de eerste vraag luidt dat de parallelle opslag van gegevens als dusdanig niet verenigbaar is met het beginsel van doelbinding, is het dan verenigbaar met het beginsel van opslagbeperking dat de verwerkingsverantwoordelijke parallel in een andere databank persoonsgegevens bewaart die voor het overige op rechtmatige en doelgebonden wijze zijn verzameld en opgeslagen?
Het Hof oordeelt dat het beginsel van doelbeperking zich niet verzet tegen een situatie zoals die zich voordoet in het geschil, wanneer de verdere verwerking van persoonsgegvens verenigbaar is met de specifieke doeleinden waarvoor de persoonsgegevens aanvankelijk zijn verzameld, hetgeen moet worden bepaald aan de hand van de in artikel 6, lid 4, van die verordening genoemde criteria. Het Hof oordeelt verder dat het beginsel van opslagbeperking zich ertegen verzet dat de verwerkingsverantwoordelijke parallel in een andere databank persoonsgegevens bewaart die voor het overige op rechtmatige en doelgebonden wijze zijn verzameld en opgeslagen.
40. Ten eerste blijkt in casu uit de verwijzingsbeslissing dat Digi, in haar hoedanigheid van verwerkingsverantwoordelijke, de persoonsgegevens van haar particuliere klanten aanvankelijk heeft verzameld om abonnementsovereenkomsten af te sluiten en uit te voeren, zoals in punt 13 van het onderhavige arrest in herinnering is gebracht.
41. Ten tweede zijn partijen in het hoofdgeding het er niet over eens met welk specifiek doel Digi de betrokken persoonsgegevens in de testdatabank heeft vastgelegd en bewaard. Terwijl Digi aanvoert dat het opzetten van de testdatabank specifiek tot doel had de toegang tot de gegevens van de abonnees te waarborgen totdat de fouten waren hersteld, en dus dat dit doeleinde identiek is aan de doeleinden die met de aanvankelijke verzameling van die gegevens werden nagestreefd, betoogt de Autoriteit dat het specifieke doel van de verdere verwerking verschilde van die doeleinden, aangezien dit zou hebben bestaan in het uitvoeren van tests en het herstellen van fouten.
42. In zoverre zij eraan herinnerd dat uit de in punt 19 van dit arrest aangehaalde rechtspraak blijkt dat in het kader van de procedure van artikel 267 VWEU, die op een duidelijke afbakening van de taken van de nationale rechterlijke instanties en van het Hof berust, de nationale rechter bij uitsluiting bevoegd is om het nationale recht uit te leggen en toe te passen, terwijl het Hof uitsluitend bevoegd is om zich over de uitlegging of de rechtsgeldigheid van een rechtsvoorschrift van de Unie uit te spreken op basis van de door de nationale rechterlijke instantie omschreven feiten.
43. Uit de verwijzingsbeslissing blijkt dat Digi de testdatabank heeft opgezet om tests te kunnen uitvoeren en fouten te kunnen herstellen, zodat het aan de verwijzende rechter staat om in het licht van die doeleinden te beoordelen of de verdere verwerking verenigbaar is met de doeleinden van de aanvankelijke verzameling, namelijk het afsluiten en uitvoeren van abonnementsovereenkomsten.
44. Wat ten derde deze beoordeling betreft, moet worden opgemerkt dat het uitvoeren van tests en het herstellen van fouten in het abonneebestand concreet verband houden met de uitvoering van abonnementsovereenkomsten van particuliere klanten, aangezien dergelijke fouten negatieve gevolgen kunnen hebben ten aanzien van de contractueel overeengekomen dienst waarvoor de gegevens aanvankelijk zijn verzameld. Zoals de advocaat-generaal in punt 60 van zijn conclusie heeft opgemerkt, wijkt een dergelijke verwerking immers niet af van de legitieme verwachtingen van deze klanten wat het latere gebruik van hun persoonsgegevens betreft. Uit de verwijzingsbeslissing blijkt overigens niet dat deze gegevens of een deel daarvan gevoelig zouden zijn geweest of dat de aan de orde zijnde verdere verwerking ervan als zodanig schadelijke gevolgen voor de abonnees zou hebben gehad of niet gepaard ging met passende waarborgen. Het is hoe dan ook aan de verwijzende rechter om dit na te gaan.
45. Gelet op een en ander moet op de eerste vraag worden geantwoord dat artikel 5, lid 1, onder b), van verordening 2016/679 aldus moet worden uitgelegd dat het in die bepaling bedoelde beginsel van doelbinding zich er niet tegen verzet dat de verwerkingsverantwoordelijke in een voor het uitvoeren van tests en herstellen van fouten opgezette databank persoonsgegevens vastlegt en opslaat die eerder in een andere databank zijn verzameld en bewaard, wanneer die verdere verwerking verenigbaar is met de specifieke doeleinden waarvoor de persoonsgegevens aanvankelijk zijn verzameld, hetgeen moet worden bepaald aan de hand van de in artikel 6, lid 4, van die verordening genoemde criteria.
52 In de eerste plaats moet worden opgemerkt dat volgens artikel 5, lid 1, onder e), van verordening 2016/679 persoonsgegevens moeten worden bewaard in een vorm die het mogelijk maakt de betrokkenen niet langer te identificeren dan voor de verwezenlijking van de doeleinden waarvoor de persoonsgegevens worden verwerkt noodzakelijk is.
53 Uit de bewoordingen van dit artikel volgt dus ondubbelzinnig dat het beginsel van opslagbeperking vereist dat de verwerkingsverantwoordelijke in staat is om overeenkomstig de in punt 24 van het onderhavige arrest in herinnering gebrachte verantwoordingsplicht aan te tonen dat de persoonsgegevens niet langer worden bewaard dan voor de verwezenlijking van de doeleinden waarvoor zij zijn verzameld of nadien zijn verwerkt, noodzakelijk is.
54 Hieruit volgt dat zelfs een oorspronkelijk rechtmatige verwerking van gegevens na verloop van tijd onverenigbaar met verordening 2016/679 kan worden wanneer deze gegevens niet langer noodzakelijk zijn in het licht van dergelijke doeleinden [zie in die zin arrest van 24 september 2019, GC e.a. (Verwijdering van links naar gevoelige gegevens), C‑136/17, EU:C:2019:773, punt 74] en dat de gegevens moeten worden uitgewist wanneer deze doeleinden zijn bereikt (zie in die zin arrest van 7 mei 2009, Rijkeboer, C‑553/07, EU:C:2009:293, punt 33).
55. Deze uitlegging is in de tweede plaats in overeenstemming met de context van artikel 5, lid 1, onder e), van verordening 2016/679.
56. In dit verband is in punt 49 van het onderhavige arrest in herinnering gebracht dat elke verwerking van persoonsgegevens in overeenstemming moet zijn met de in artikel 5 van deze verordening vermelde beginselen inzake gegevensverwerking en moet beantwoorden aan een van de in artikel 6 van die verordening genoemde voorwaarden inzake de rechtmatigheid van de verwerking.
57. Zoals naar voren komt uit dat artikel 6, moet, wanneer de betrokkene niet overeenkomstig artikel 6, lid 1, onder a), van verordening 2016/679 toestemming heeft gegeven voor de verwerking van zijn persoonsgegevens voor een of meer specifieke doeleinden, de verwerking voldoen aan een noodzakelijkheidsvereiste, zoals blijkt uit de punten b) tot en met f) van dit lid.
58. Verder vloeit een dergelijk noodzakelijkheidsvereiste ook voort uit het in artikel 5, lid 1, onder c), van die verordening vastgelegde beginsel van „minimale gegevensverwerking”, volgens hetwelk de persoonsgegevens toereikend, ter zake dienend moeten zijn en beperkt moeten blijven tot hetgeen noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt.
59. In de derde plaats is een dergelijke uitlegging in overeenstemming met het doel van artikel 5, lid 1, onder e), van verordening 2016/679, dat, zoals in punt 48 van dit arrest in herinnering is gebracht, met name erin bestaat een hoog niveau van bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens te verzekeren.
60. In casu heeft Digi aangevoerd dat de in de testdatabank opgeslagen persoonsgegevens van sommige van haar particuliere klanten na de uitvoering van de tests en het herstellen van de fouten niet zijn uitgewist als gevolg van onoplettendheid.
61. In dit verband volstaat het op te merken dat dit argument irrelevant is voor de beoordeling of gegevens langer zijn bewaard dan nodig is voor de verwezenlijking van de doeleinden waarvoor zij vervolgens zijn verwerkt, hetgeen in strijd is met het in artikel 5, lid 1, onder e), van verordening 2016/679 neergelegde beginsel van opslagbeperking.
62. Gelet op een en ander moet op de tweede vraag worden geantwoord dat artikel 5, lid 1, onder e), van verordening 2016/679 aldus moet worden uitgelegd dat het in die bepaling bedoelde beginsel van opslagbeperking zich ertegen verzet dat de verwerkingsverantwoordelijke in een voor het uitvoeren van tests en herstellen van fouten opgezette databank persoonsgegevens die eerder in een andere databank zijn verzameld, langer bewaart dan noodzakelijk is om die tests uit te voeren en die fouten te herstellen.