We gebruiken cookies om content en advertenties te personaliseren, om sociale mediafuncties aan te bieden en om ons verkeer te analyseren. We delen ook informatie over uw gebruik van onze site met onze sociale media-, advertentie- en analysepartners, die deze kunnen combineren met andere informatie die u aan hen heeft verstrekt of die zij hebben verzameld op basis van uw gebruik van hun diensten.
Onze privacyverklaring:
Hieronder kunt u kiezen voor welke doeleinden u cookies op de website van De Clercq wilt toestaan.
In de zaak die voor het CJEU speelde had het Litouwse ministerie van gezondheid aan een overheidsorganisatie (NVSC) de opdracht gegeven om een COVID-19 app te (laten) bouwen. Voor het bouwen van de app selecteerde NVSC een ICT-leverancier (ITSS). NVSC en ITTS kwamen een geheimhoudingsverklaring overeen waarin stond dat NVSC en ITTS beiden verwerkingsverantwoordelijke waren. De app werd gebouwd en door ITSS beschikbaar gesteld aan gebruikers via de appstore. In de privacyverklaring van de app stond dat NVSC en ITSS gezamenlijk verantwoordelijk waren voor de persoonsgegevens die via de app werden verwerkt.
De Litouwse privacytoezichthouder (VDAI) had een onderzoek ingesteld naar de app, concludeerde dat hiermee de Algemene Verordening Gegevensbescherming (AVG) was overtreden en legde boetes op aan zowel NVSC als ITTS als gezamenlijk verwerkingsverantwoordelijken. NVSC stelde dat zij geen verwerkingsverantwoordelijke was nu ITSS de app bouwde, geen officieel overheidscontract was gesloten en NVSC aan ITSS geen toestemming had gegeven voor publicatie van de app. ITTS stelde dat zij alleen verwerker was.
Volgens het CJEU is het begrip ‘verwerkingsverantwoordelijke’ breed. Om als verwerkingsverantwoordelijke te kunnen worden gekwalificeerd is het niet nodig dat dit contractueel is vastgelegd, dat deze partij schriftelijke instructies heeft gegeven of dat deze partij persoonsgegevens verwerkt. In deze zaak was NVSC volgens het CJEU verwerkingsverantwoordelijke nu ze de app had laten bouwen voor eigen doeleinden (COVID-19 management), had voorzien dat hiermee persoonsgegevens werden verwerkt en geen uitdrukkelijk bezwaar had gemaakt tegen publicatie van de app. Het feit dat NVSC de app niet officieel had gekocht, geen toestemming had gegeven voor publicatie in de appstore en dat ITTS als verwerkingsverantwoordelijke was genoemd in de privacyverklaring deed hieraan niet af.
Volgens het CJEU kan een verwerkingsverantwoordelijke alleen een boete krijgen voor een “opzettelijke of nalatige” inbreuk op de AVG.[1] Het is echter niet nodig dat de verwerkingsverantwoordelijke weet dat een inbreuk wordt gemaakt, aldus het CJEU. Op basis van overweging 74 AVG is een verwerkingsverantwoordelijke verantwoordelijk voor verwerkingen die namens haar worden uitgevoerd. Volgens het CJEU betekent dit dat een verwerkingsverantwoordelijke ook een boete opgelegd kan krijgen voor acties die door een verwerker zijn verricht.
De verantwoordelijkheid van de verwerkingsverantwoordelijke gaat volgens het CJEU echter weer niet zo ver dat de verwerkingsverantwoordelijke een boete opgelegd kan krijgen voor verwerkingen door de verwerker:
In deze situaties wordt de verwerker - volgens het CJEU - namelijk zelf de verwerkingsverantwoordelijke.
Op basis van deze zaak is het advies aan verwerkingsverantwoordelijken het volgende:
Mocht u ondersteuning behoeven in het vaststellen van de privacyrolverdeling, het overeenkomen van passende contracten of bij aansprakelijkheidsissues, neem dan contact op met Michelle Wijnant.
[1] Dit is ook een van de boetevoorwaarden die wordt genoemd in artikel 83 AVG.