AG HvJ EU: rechtmatig verzamelde en opgeslagen persoonsgegevens mogen onder voorwaarden tijdelijk in een extra interne databank worden bewaard
/Rechtmatig verzamelde en opgeslagen persoonsgegevens mogen in een extra interne databank worden bewaard, voor zover daarbij dezelfde gegevensverwerkingsdoeleinden worden nagestreefd als bij de oorspronkelijke gegevensverzameling. Dat is het advies van advocaat-generaal Pikamäe aan het HvJ EU naar aanleiding van vragen van een Hongaarse rechter.
Achtergrond
Het gaat in deze zaak om een geschil tussen een Hongaarse internet- en televisie aanbieder genaamd Digi, en de Hongaarse autoriteit voor gegevensbescherming (hierna: autoriteit).
Naar aanleiding van een technische storing heeft Digi een extra interne testdatabank opgericht waarin zij persoonsgegevens van haar klanten heeft gekopieerd. Digi was van mening dat deze verwerking tevens bijdroeg tot de verwezenlijking van het doel van de gegevensverzameling, namelijk levering van de contractueel overeengekomen dienst. In een andere, hieraan verbonden hoofddatabank bewaarde Digi actuele gegevens van de abonnees van haar elektronische nieuwsbrief. De televisieaanbieder heeft geen van haar abonnees op de hoogte gebracht van de extra interne databank. Vervolgens heeft een ethische hacker melding gemaakt van de toegangsmogelijkheid tot persoonsgegevens van 322.000 betrokkenen in de extra interne databank.
De autoriteit heeft vastgesteld dat Digi in strijd met artikel 5, lid 1 onder b en e van verordening 2016/679 (hierna: de Algemene Verordening Gegevensbescherming; AVG ) heeft gehandeld door de extra databank na de uitvoering en het herstel van de technische storing, nog steeds niet te wissen. Daardoor is een groot aantal klantgegevens anderhalf jaar zonder doel en zonder op voor identificatie geschikte wijze opgeslagen in de extra databank. Tevens heeft de autoriteit vastgesteld dat Digi artikel 32, lid 1 en 2 van de AVG heeft geschonden. Artikel 32 van de AVG ziet op de beveiliging van de verwerking van persoonsgegevens. De autoriteit heeft de televisieaanbieder verplicht om al haar databanken te controleren, en tevens een geldboete van 100.000.000 Hongaarse forint opgelegd. Digi is hiertegen in beroep gegaan bij de Hongaarse rechter, de verwijzende rechter in de onderhavige zaak bij het EU-Hof.
Tegen deze achtergrond heeft de verwijzende rechter vragen gesteld aan het EU-Hof. De rechter wil weten of het begrip ‘doelbinding’ zoals omschreven in artikel 5, lid 1, onder b van de AVG, aldus moet worden uitgelegd dat Digi in dit geval, parallel in een andere testdatabank, persoonsgegevens kan bewaren, of dat het bewaren van deze gegevens niet meer verenigbaar is met de rechtmatige doeleinden waarvoor de gegevens werden verzameld in de originele databank.
Indien dit niet het geval is wenst de verwijzende rechter ook te vernemen of deze manier van gegevensverwerking wel verenigbaar is met het beginsel van ‘opslagbeperking’ zoals bedoeld in artikel 5, lid 1, onder e van de AVG.
Advies
De A-G concludeert dat het begrip ‘doelbinding’ zoals omschreven in artikel 5, lid 1, onder b van de AVG aldus moet worden uitgelegd dat rechtmatig verzamelde en opgeslagen persoonsgegevens in een extra interne databank mogen worden bewaard, voor zover dezelfde doeleinden met die extra databank worden nagestreefd als die van de originele verzameling, of, indien dat niet het geval is, de verwerking in de extra interne databank verenigbaar is met de verzamelingsdoeleinden zoals bedoeld in artikel 5, lid 1, onder f van de AVG.
De A-G stelt vervolgens de vraag of deze extra interne databank, waarvan Digi zelf heeft toegegeven dat zij het bestaan van deze extra databank anderhalf jaar lang was vergeten, nog kan worden geacht een daadwerkelijk doel te dienen in de zin van artikel 5, lid 1, onder b van de AVG. Het antwoord van de A-G op deze vraag is ontkennend. Het langdurige bestaan van deze extra databank is volgens de A-G dan ook niet toegestaan.
In deze zaak heeft Digi geen van haar abonnees op de hoogte gesteld van het bestaan van een extra databank. De A-G stelt dat wanneer er door betrokkenen geen toestemming is gegeven voor de verwerking van de persoonsgegevens in het geval van de extra databank, de verenigbaarheid van de verwerking met de verzamelingsdoeleinden dient te worden vastgesteld aan de hand van artikel 6, lid 4 van de AVG.
Met betrekking tot het in artikel 5, lid 1, sub e van de AVG vastgelegde beginsel van ‘opslagbeperking’ geeft de A-G aan dat persoonsgegevens moeten worden bewaard in een vorm die het mogelijk maakt de betrokkenen niet langer te identificeren dan voor de doeleinden waarvoor de persoonsgegevens worden verwerkt noodzakelijk is. Persoonsgegevens mogen voor langere perioden worden opgeslagen voor zover de persoonsgegevens louter met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden worden verwerkt overeenkomstig artikel 89, lid 1, van de AVG, mits de bij die verordening vereiste passende technische en organisatorische maatregelen worden getroffen om de rechten en vrijheden van de betrokkene te beschermen.
Het beginsel van opslagbeperking geeft volgens de A-G uitdrukking aan het evenredigheidsbeginsel en aan het beginsel van „minimale gegevensverwerking”, dat inhoudt dat de persoonsgegevens toereikend en ter zake dienend moeten zijn alsook beperkt moeten blijven tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt. In het kader van het beginsel van opslagbeperking houdt de vraag of de verwerking noodzakelijk is, wat de tijdsduur betreft, verband met de vraag of deze nog wel haar doel dient. De A-G concludeert dat het opslagbeperkingsbeginsel eraan in de weg staat dat rechtmatig verzamelde en opgeslagen gegevens worden bewaard – in een vorm die het mogelijk maakt de betrokkenen te identificeren – in een extra interne databank waarmee wordt beoogd een technische storing te verhelpen en deze gegevens tijdelijk veilig te stellen, gedurende langere tijd dan noodzakelijk is voor de verwezenlijking van dat doel en dus na de oplossing van dit incident. Dit geldt ook wanneer dat rechtstreekse en primaire doel in verband kan worden gebracht met het indirecte en secundaire doel van uitvoering van de contractueel overeengekomen dienst.
De A-G concludeert dat het een verwerkingsverantwoordelijke is toegestaan om persoonsgegevens naar een extra interne databank te kopiëren, mits het oorspronkelijke doel van de verwerking rechtmatig is. Wanneer - zoals in het onderhavige geval - de extra interne databank langdurig heeft bestaan zonder daadwerkelijk doel, is volgens de A-G de extra databank echter niet toegestaan.
Lees hier de volledige conclusie.