Hoe ver gaat de boeteaansprakelijkheid van een verwerkingsverantwoordelijke?

In de zaak die voor het CJEU speelde had het Litouwse ministerie van gezondheid aan een overheidsorganisatie (NVSC) de opdracht gegeven om een COVID-19 app te (laten) bouwen. Voor het bouwen van de app selecteerde NVSC een ICT-leverancier (ITSS). NVSC en ITTS kwamen een geheimhoudingsverklaring overeen waarin stond dat NVSC en ITTS beiden verwerkingsverantwoordelijke waren. De app werd gebouwd en door ITSS beschikbaar gesteld aan gebruikers via de appstore. In de privacyverklaring van de app stond dat NVSC en ITSS gezamenlijk verantwoordelijk waren voor de persoonsgegevens die via de app werden verwerkt.

De Litouwse privacytoezichthouder (VDAI) had een onderzoek ingesteld naar de app, concludeerde dat hiermee de Algemene Verordening Gegevensbescherming (AVG) was overtreden en legde boetes op aan zowel NVSC als ITTS als gezamenlijk verwerkingsverantwoordelijken. NVSC stelde dat zij geen verwerkingsverantwoordelijke was nu ITSS de app bouwde, geen officieel overheidscontract was gesloten en NVSC aan ITSS geen toestemming had gegeven voor publicatie van de app. ITTS stelde dat zij alleen verwerker was.

Volgens het CJEU is het begrip ‘verwerkingsverantwoordelijke’ breed. Om als verwerkingsverantwoordelijke te kunnen worden gekwalificeerd is het niet nodig dat dit contractueel is vastgelegd, dat deze partij schriftelijke instructies heeft gegeven of dat deze partij persoonsgegevens verwerkt. In deze zaak was NVSC volgens het CJEU verwerkingsverantwoordelijke nu ze de app had laten bouwen voor eigen doeleinden (COVID-19 management), had voorzien dat hiermee persoonsgegevens werden verwerkt en geen uitdrukkelijk bezwaar had gemaakt tegen publicatie van de app. Het feit dat NVSC de app niet officieel had gekocht, geen toestemming had gegeven voor publicatie in de appstore en dat ITTS als verwerkingsverantwoordelijke was genoemd in de privacyverklaring deed hieraan niet af.

Volgens het CJEU kan een verwerkingsverantwoordelijke alleen een boete krijgen voor een “opzettelijke of nalatige” inbreuk op de AVG.[1] Het is echter niet nodig dat de verwerkingsverantwoordelijke weet dat een inbreuk wordt gemaakt, aldus het CJEU. Op basis van overweging 74 AVG is een verwerkingsverantwoordelijke verantwoordelijk voor verwerkingen die namens haar worden uitgevoerd. Volgens het CJEU betekent dit dat een verwerkingsverantwoordelijke ook een boete opgelegd kan krijgen voor acties die door een verwerker zijn verricht.

De verantwoordelijkheid van de verwerkingsverantwoordelijke gaat volgens het CJEU echter weer niet zo ver dat de verwerkingsverantwoordelijke een boete opgelegd kan krijgen voor verwerkingen door de verwerker:

• Voor eigen doeleinden;
• In strijd met contractuele afspraken; of
• Waarvan het aannemelijk is dat de verwerkingsverantwoordelijke het hier niet mee eens is.

In deze situaties wordt de verwerker – volgens het CJEU – namelijk zelf de verwerkingsverantwoordelijke.

Op basis van deze zaak is het advies aan verwerkingsverantwoordelijken het volgende:

1. Denk goed na over de (gewenste) privacy rolverdeling voorafgaand aan een samenwerking;
2. Ben kritisch in het selecteren van verwerkers;
3. Kom duidelijke, volledige en passende contracten overeen;
4. Houd overzicht op de acties die verwerkers verrichten en maak nadrukkelijk schriftelijk bezwaar als u het ergens niet mee eens bent;
5. Geef heldere schriftelijke instructies aan verwerkers;
6. Zorg dat privacyverklaringen kloppend, volledig en up-to-date zijn.

Mocht u ondersteuning behoeven in het vaststellen van de privacyrolverdeling, het overeenkomen van passende contracten of bij aansprakelijkheidsissues, neem dan contact op met Michelle Wijnant.

[1] Dit is ook een van de boetevoorwaarden die wordt genoemd in artikel 83 AVG.