Grondige en proactieve benadering van gegevensbescherming en privacy.

In zaak C‑807/21 heeft het Hof van Justitie van de Europese Unie (HvJEU) enkele belangrijke beslissingen genomen met betrekking tot het opleggen van boetes onder de Algemene Verordening Gegevensbescherming (AVG):

• Oplegging van Boetes Zonder Identificatie van een Fysiek Persoon: Het HvJEU oordeelde dat voor overtredingen van de AVG het niet nodig is om een fysiek persoon te identificeren die verantwoordelijk is voor de overtreding als de gegevensbeheerder een rechtspersoon is. Dit betekent dat rechtspersonen (zoals bedrijven) verantwoordelijk kunnen worden gehouden voor overtredingen van de AVG zonder een individu binnen de organisatie aan te wijzen.

• Basis voor het Berekenen van Boetes: Het HvJEU verduidelijkte dat hoewel alleen de gegevensbeheerder de geadresseerde van een boetebesluit kan zijn, het bedrag van de boete, inclusief het maximale percentage (2-4%), kan worden berekend op basis van de omzet van de gehele groep. Dit is in lijn met het concept van ‘onderneming’ in het mededingingsrecht en bevestigt de benadering die al door de meeste Gegevensbeschermingsautoriteiten (GBA’s) werd genomen.

• Vereiste van Opzettelijk of Nalatig Karakter voor Boetes: Voor het opleggen van een AVG-boete is vereist dat de inbreuk opzettelijk of nalatig is. Het HvJEU verwees naar het EU-mededingingsrecht om aan te geven dat de drempel voor het bewijzen van opzettelijk of nalatig gedrag vrij laag is. Het volstaat dat een entiteit zich niet onbewust kon zijn van de inbreukmakende aard van haar gedrag.

In zaak C‑683/21 heeft het HvJEU de volgende beslissingen genomen:

• Opzettelijk of Nalatig Karakter voor AVG-overtredingsboetes: Net als in zaak C‑807/21, oordeelde het HvJEU dat voor het opleggen van een boete voor een AVG-overtreding een opzettelijk of nalatig karakter van de overtreding vereist is.

• Betrokkenheid van de Gegevensverwerker: De betrokkenheid van een gegevensverwerker ontslaat een entiteit niet van boetes, tenzij de verwerker handelt in strijd met de overeenkomst met de gegevensbeheerder of op een manier die de beheerder redelijkerwijs niet zou hebben geaccepteerd.

• Brede Opvatting van ‘Persoonlijke Beheerder’: Het HvJEU definieerde ‘persoonlijke beheerder’ breed, waarbij gesteld werd dat het voldoende is voor een actor om deel te nemen aan het bepalen van de doeleinden en middelen van gegevensverwerking. Dit kan scenario’s omvatten waarbij een IT-bedrijf wordt belast met het ontwikkelen van een mobiele app, zelfs als het niet betrokken is bij de daadwerkelijke verwerking of vrijgave van de app, of niet heeft ingestemd met deze acties, of zelfs als het de app niet heeft verkregen, tenzij het uitdrukkelijk bezwaar heeft gemaakt tegen de vrijgave van de app en de verwerking.

• Brede Opvatting van ‘Verwerking’: Het concept van ‘verwerking’ wordt ook breed geïnterpreteerd en omvat persoonsgegevens die worden verwerkt in de context van IT-tests van mobiele apps.

• Brede Opvatting van ‘Gezamenlijke’ Beheerderschap: Het HvJEU bevestigde zijn eerdere jurisprudentie over de brede opvatting van ‘gezamenlijke’ beheerderschap. Dit vereist geen voorafgaande overeenkomst tussen de partijen, hoewel zo’n overeenkomst een gevolg zal zijn in geval van de kwalificatie van een situatie van ‘gezamenlijk’ beheerderschap.

Bron: Zaak C‑807/21 en Zaak C‑683/21

De uitspraken in de zaken C‑807/21 en C‑683/21 van het Hof van Justitie van de Europese Unie (HvJEU) hebben aanzienlijke implicaties voor de legal tech sector, vooral in het kader van de verwerking van persoonsgegevens en de naleving van de Algemene Verordening Gegevensbescherming (AVG). Deze uitspraken benadrukken de verantwoordelijkheid en aansprakelijkheid van organisaties bij de verwerking van persoonsgegevens en de mogelijke financiële consequenties bij niet-naleving. Hieronder volgt een analyse van de consequenties en de rol van een instrument zoals de Data Protection Impact Assessment (DPIA) in deze context:

• Verantwoordelijkheid van Rechtspersonen: Organisaties moeten erkennen dat zij als rechtspersonen verantwoordelijk kunnen worden gehouden voor AVG-overtredingen, zelfs zonder dat een specifieke fysieke persoon wordt geïdentificeerd als verantwoordelijk voor de overtreding. Dit verhoogt de noodzaak voor organisaties om interne processen en controles te versterken om naleving te waarborgen.

• Berekening van Boetes: De mogelijkheid om boetes te berekenen op basis van de omzet van de gehele groep benadrukt het belang van AVG-naleving op alle niveaus binnen een organisatie, inclusief dochterondernemingen en gelieerde bedrijven.

• Noodzaak van Opzettelijk of Nalatig Gedrag: De vereiste van opzettelijk of nalatig gedrag voor het opleggen van boetes betekent dat organisaties niet alleen hun nalevingsprocessen moeten versterken, maar ook moeten zorgen voor adequate training en bewustwording onder hun medewerkers.

• Rol van Gegevensverwerkers: De betrokkenheid van gegevensverwerkers vereist zorgvuldige selectie en monitoring, aangezien hun acties de gegevensbeheerder kunnen blootstellen aan risico’s en boetes.

• Brede Interpretatie van ‘Verwerking’ en ‘Beheerderschap’: De brede interpretatie van deze begrippen vereist dat organisaties alle aspecten van gegevensverwerking, inclusief ontwikkeling en testen van software, grondig beoordelen op AVG-compliance.

Rol van DPIA:

Een Data Protection Impact Assessment (DPIA) is een instrument dat organisaties helpt bij het identificeren, beoordelen en minimaliseren van de privacyrisico’s van nieuwe projecten of systemen. In het licht van de HvJEU-uitspraken kan een DPIA bijzonder nuttig zijn:

• Risicobeoordeling: Een DPIA helpt bij het systematisch beoordelen van de risico’s die verbonden zijn aan de verwerking van persoonsgegevens, met name in complexe of grootschalige projecten.

• Nalevingscontroles: Het voeren van een DPIA kan organisaties helpen bij het identificeren van gebieden waar hun gegevensverwerkingsactiviteiten mogelijk niet voldoen aan de AVG, waardoor proactieve maatregelen kunnen worden genomen om naleving te waarborgen.

• Bewustwording en Training: Het proces van het uitvoeren van een DPIA kan bijdragen aan een grotere bewustwording en begrip van AVG-verplichtingen onder medewerkers en management.

• Documentatie van Compliance: Een DPIA biedt documentatie die kan aantonen dat een organisatie de nodige stappen heeft ondernomen om de privacyrisico’s te beoordelen en te beperken, wat nuttig kan zijn bij het aantonen van naleving aan toezichthouders.

Samenvattend, de uitspraken van het HvJEU benadrukken het belang van een grondige en proactieve benadering van gegevensbescherming en privacy binnen de legal tech sector. Het gebruik van instrumenten zoals DPIA’s kan organisaties helpen bij het navigeren door de complexiteit van AVG-naleving en het verminderen van het risico op aanzienlijke boetes.

Gegevensbescherming.