Blog
Kan uw organisatie een boete opgelegd krijgen als uw werknemers (of verwerkers) de Algemene Verordening Gegevensbescherming (AVG) schenden zonder dat u als bestuurder daar iets van weet? En kunt u een boete opgelegd krijgen indien u de AVG onbewust overtreedt? Of als u een onduidelijk begrip uit de AVG op een verkeerde wijze interpreteert?
In december vorig jaar heeft het Hof van Justitie van de Europese Unie (HvJ EU) twee interessante arresten gewezen waarin duidelijkheid wordt gegeven over de hiervoor genoemde vragen: C-683/21 (Nacionalinis visuomenės sveikatos centras) en C-807/21 (Deutsche Wohnen). In deze uitspraken gaat het HvJ EU in op het begrip verwerkingsverantwoordelijkheid en de vraag of verwijtbaar handelen vereist is voordat een boete kan worden opgelegd vanwege schending van de AVG.
Risicoaansprakelijkheid voor de verwerkingsverantwoordelijke
C-683/21
In de zaak C-683/21 ging het om een Litouwse mobiele applicatie ten tijde van COVID-19 waarmee de gegevens van besmette personen werden geregistreerd en de verspreiding van het virus werd gemonitord. Deze applicatie werd ontwikkeld door ITSS, een IT-bedrijf, in overleg met het Nationaal Centrum voor Volksgezondheid van het Ministerie van Volksgezondheid (NVSC) van Litouwen. Later bleek echter nooit een officiële opdracht aan ITSS te zijn verleend, terwijl de applicatie wel is ontwikkeld en in meerdere appstores gedurende bijna twee maanden is aangeboden. In die periode hebben bijna 4.000 mensen de applicatie gebruikt. In de privacyverklaring behorende bij de app werden zowel het NVSC als ITSS als verwerkingsverantwoordelijke aangewezen.
De privacytoezichthouder van Litouwen heeft vastgesteld dat de gegevensverzameling via de applicatie inbreuk maakte op meerdere bepalingen van de AVG, waaronder de informatieplicht en de beveiliging van de verwerking. De privacytoezichthouder van Litouwen heeft daarom een boete van € 12.000 opgelegd aan het NVSC en een boete van € 3.000 aan ITSS, als zijnde gezamenlijk verwerkingsverantwoordelijken. Het NVSC is tegen dit besluit opgekomen.
De centrale vraag die in het arrest voorligt, is hoe het begrip verwerkingsverantwoordelijke moet worden geïnterpreteerd. Volgens het HvJ EU moet worden onderzocht of het NVSC daadwerkelijk invloed heeft uitgeoefend op het doel en de middelen van verwerking. Het HvJ EU concludeert dat het NVSC in dit geval heeft deelgenomen aan het bepalen van de doeleinden en middelen van verwerking via de applicatie. Er zijn diverse mails gestuurd door medewerkers van het NVSC en door iemand die beweerde de NVSC te vertegenwoordigen. Dat het NVSC de persoonsgegevens niet zelf heeft verwerkt, dat partijen geen overeenkomst hebben gesloten en dat het NVSC niet uitdrukkelijk heeft ingestemd met de verwerking of beschikbaarstelling aan het publiek, sluiten volgens het HvJ EU niet uit dat het NVSC verwerkingsverantwoordelijke is. Dit is enkel anders indien het NVSC zich uitdrukkelijk tegen de beschikbaarstelling aan het publiek zou hebben verzet. Ook maakt het niet uit dat het bestuursorgaan van het NVSC geen wetenschap had van de gedragingen.
Voorts benoemt het HvJ EU nog dat als de verwerker de AVG overtreedt, ook de verwerkingsverantwoordelijke daarvoor een boete kan worden opgelegd. Dit is enkel anders indien de verwerker, kort gezegd, handelt buiten de opdracht/instructies van de verwerkingsverantwoordelijke en de verwerkingsverantwoordelijke daarom geen verwijt kan worden gemaakt.
C-807/21
In de zaak C-807/21 (Deutsche Wohnen) gaat het om een vastgoedbedrijf, Deutsche Wohnen (DW), dat indirect via dochterondernemingen een groot aantal woningen en bedrijfspanden bezit. De dochterondernemingen verwerken persoonsgegevens van de huurders van de panden. Kort samengevat, bewaarden ze persoonsgegevens langer dan noodzakelijk. De privacy toezichthouder gaat in gesprek met DW en DW geeft aan een nieuw systeem te zullen invoeren. Twee jaar later controleert de toezichthouder DW en komt tot de conclusie dat DW nog steeds niet is overgestapt naar een nieuw systeem. De toezichthouder legt daarom een boete van € 14 miljoen op aan DW wegens het opzettelijk te lang bewaren van persoonsgegevens.
De Duitse wet stelt volgens de Duitse rechter dat een administratieve boete enkel aan een onderneming kan worden opgelegd indien een geïdentificeerd natuurlijk persoon zich schuldig heeft gemaakt aan bestuursrechtelijk te bestraffen gedrag. De Duitse rechter vraagt zich af of dit in lijn is met de AVG.
Het HvJ EU stelt, net als hiervoor bij de zaak C-683/21 uiteengezet, dat een rechtspersoon in het kader van de AVG ook een boete kan worden opgelegd voor handelen van een werknemer die niet vertegenwoordigingsbevoegd is, zolang die werknemer handelt namens en voor de rechtspersoon. Daarvoor is zelfs niet vereist dat de inbreuk kan worden toegerekend aan een concrete werknemer. De AVG regelt de materiële voorwaarden voor het opleggen van een boete exclusief en daarmee is de Duitse regeling dus niet verenigbaar.
Verwijtbaar handelen vereist voor AVG-boetes
Als laatste benoemt het HvJ EU in zowel C-683/21 als C-807/21 dat een privacytoezichthouder enkel een administratieve boete mag opleggen indien een verwerkingsverantwoordelijke verwijtbaar heeft gehandeld. De inbreuk moet opzettelijk of uit nalatigheid zijn begaan. Dit is het geval indien de verwerkingsverantwoordelijke zich niet onbewust kon zijn van de AVG-schending, ongeacht of de verwerkingsverantwoordelijke (of diens management) zich bewust was van de overtreding.
De Nederlandse rechter heeft in de zaak tussen de AP en DPG Media overigens al eens vergelijkbaar geoordeeld (ECLI:NL:RBAMS:2023:5074). DPG Media had beleid opgesteld om invulling te geven aan de plicht betrokkenen te identificeren als ze een verzoek indienen. DPG Media vroeg in bepaalde gevallen standaard een kopie van het identiteitsbewijs op. De AP mocht DPG Media hiervoor geen boete opleggen omdat DPG Media gelet op de omstandigheden naar oordeel van de rechter enkel een ‘onjuiste inschatting’ had gemaakt, waardoor geen sprake was van ernstig verwijtbaar handelen (wat overigens een zwaarder vereiste lijkt te zijn dan de door het HvJ EU vereiste verwijtbaarheid).
Een interessante vraag die opkomt is of er (volgens het HvJ EU) sprake is van verwijtbaarheid indien de verwerkingsverantwoordelijke een verkeerde afweging maakt of een verkeerde interpretatie hanteert van een nog onduidelijk begrip. Handelt de verwerkingsverantwoordelijke dan opzettelijk of nalatig? De AVG zit immers vol met grijze gebieden en bepalingen waar organisaties zelf afwegingen moeten maken. Dit blijkt nog niet met zoveel woorden uit deze uitspraken van het HvJ EU.
Analyse van de arresten
Samengevat blijkt uit de arresten dat een rechtspersoon verwerkingsverantwoordelijk is voor gegevensverwerkingen die worden verricht of geïnitieerd door werknemers van de rechtspersoon, zolang die werknemers handelen voor en namens de rechtspersoon. Dat het bestuur geen wetenschap heeft van de verwerking en dat de werknemers niet vertegenwoordigingsbevoegd zijn, doet daar in beginsel niet aan af. En de verwerkingsverantwoordelijke is doorgaans degene die een boete opgelegd krijgt indien de AVG is overtreden. Nu is wel vereist dat de rechtspersoon verwijtbaar heeft gehandeld, maar de rechtspersoon zal die verwijtbaarheid in beginsel niet kunnen aantasten door zich te beroepen op onwetendheid van de verwerkingsactiviteiten of een gebrek in de vertegenwoordigingsbevoegdheid van de werknemers die een verwerker hebben ingeschakeld. Anders zou het immers kinderlijk eenvoudig worden voor een rechtspersoon om boetes te omzeilen en in de praktijk is het ook niet ongebruikelijk dat rechtshandelingen worden verricht door onbevoegden of zonder dat het bestuur er wetenschap van heeft.
Het resultaat dat een rechtspersoon beboet kan worden voor verwerkingen waar het bestuur geen wetenschap van heeft en waar het bestuur wellicht ook niet achter staat klinkt voor Nederland ook niet heel gek. Dit sluit aan bij de in Nederland gangbare risicoaansprakelijkheid van de werkgever voor de handelingen van zijn werknemer (artikel 6:170 BW ), zij het dat het in deze zaken om een boete van de toezichthouder gaat.
Ook kijkend naar de door de HvJ EU gehanteerde beschermingsgedachte zijn de uitspraken niet verassend. De bescherming van betrokkenen moet effectief en van een hoog niveau zijn. Indien een rechtspersoon boetes zou kunnen ontlopen door het management onwetend te houden, zou dat slechte communicatie en gebrekkige interne verantwoording juist belonen. Dit gaat in tegen de gedachtes en de principes van de AVG en zou de effectiviteit van het toezicht op de AVG schaden.
De uitspraken tonen des te meer het belang aan van een goed privacybeleid, goede controls en een goede mate van bewustzijn in de organisatie op het gebied van privacy. Zo wordt de kans verkleind dat beslissingen over gegevensverwerkingen worden genomen door daartoe ongeschikte of onbevoegde personen en dat als dergelijke beslissingen worden genomen dat ze in strijd zijn met de AVG, met alle gevolgen van dien.
_w500.jpg)
