Voorlopige editie
CONCLUSIE VAN ADVOCAAT-GENERAAL
P. PIKAMÄE
van 11 april 2024 (1)
Zaak C‑768/21
TR
tegen
Land Hessen
[verzoek van het Verwaltungsgericht Wiesbaden (bestuursrechter in eerste aanleg Wiesbaden, Duitsland) om een prejudiciële beslissing ]
„Prejudiciële verwijzing – Bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens – Verordening (EU) 2016/679 – Artikel 57, lid 1, onder a) en f) – Taken van de toezichthoudende autoriteit – Artikel 58, lid 2 – Bevoegdheden van de toezichthoudende autoriteit – Artikel 77, lid 1 – Recht om een klacht in te dienen – Inbreuk in verband met persoonsgegevens – Verplichting van de toezichthoudende autoriteit om maatregelen te nemen”
I. Inleiding
1. Het onderhavige verzoek om een prejudiciële beslissing van het Verwaltungsgericht Wiesbaden (bestuursrechter in eerste aanleg Wiesbaden, Duitsland) krachtens artikel 267 VWEU betreft de uitlegging van artikel 57, lid 1, onder a) en f), artikel 58, lid 2, en artikel 77, lid 1, van verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG (algemene verordening gegevensbescherming)(2) (hierna: „AVG”).
2. Dit verzoek is ingediend in het kader van een geding tussen TR en het Land Hessen (deelstaat Hessen, Duitsland), vertegenwoordigd door de Hessische Beauftragte für Datenschutz und Informationsfreiheit (toezichthouder voor gegevensbescherming en vrijheid van informatie, deelstaat Hessen, Duitsland; hierna: „HBDI”), over de weigering van de HBDI om tegen de Sparkasse op te treden wegens een inbreuk in verband met persoonsgegevens. De verwijzende rechter vraagt zich af of de toezichthoudende autoriteit, wanneer zij vaststelt dat er sprake is van een gegevensverwerking waarbij inbreuk wordt gemaakt op de rechten van de betrokkene, hoe dan ook verplicht is om in het kader van de haar bij artikel 58, lid 2, AVG verleende bevoegdheden op te treden, dan wel of zij in een specifiek geval – ofschoon er sprake is van een inbreuk – daarvan kan afzien.
3. De onderhavige zaak werpt een aantal nieuwe rechtsvragen op, die aanleiding geven tot een diepgaande beschouwing. Het Hof zal zich in wezen moeten uitspreken over de rol van het legaliteitsbeginsel en het opportuniteitsbeginsel in de administratieve praktijk van de toezichthoudende autoriteiten en in het bijzonder bij de uitoefening van hun taak om toe te zien op de toepassing en de naleving van de AVG. De richtsnoeren voor de uitlegging die uit de rechtspraak van het Hof zullen voortvloeien, zullen van invloed zijn op die administratieve praktijk en aldus bijdragen tot een consistente toepassing van deze verordening in de Unie.
II. Toepasselijke bepalingen
4. De overwegingen 129, 141, 148 en 150 van de AVG luiden:
„(129) Met het oog op een consequent toezicht en eenvormige handhaving van deze verordening in de gehele Unie dienen de toezichthoudende autoriteiten in alle lidstaten dezelfde taken en feitelijke bevoegdheden te hebben, waaronder de bevoegdheden om onderzoek te verrichten, corrigerende maatregelen te nemen en sancties op te leggen, machtiging te verlenen en adviezen te verstrekken, in het bijzonder bij klachten van natuurlijke personen, en om, onverminderd de bevoegdheden die aan de met vervolging belaste autoriteiten conform het lidstatelijke recht zijn toegekend, inbreuken op deze verordening ter kennis van de rechterlijke instanties te brengen en gerechtelijke procedures in te leiden. Tot die bevoegdheden dient ook de bevoegdheid te behoren om een tijdelijke of definitieve beperking van de verwerking, waaronder een verwerkingsverbod, voor de verwerking op te leggen. De lidstaten kunnen krachtens deze verordening andere aan de bescherming van persoonsgegevens verwante taken specificeren. De bevoegdheden van de toezichthoudende autoriteiten moeten overeenkomstig passende in het Unierecht en het lidstatelijke recht bepaalde procedurele waarborgen, onpartijdig, behoorlijk en binnen een redelijke termijn worden uitgeoefend. Elke maatregel dient met name passend, noodzakelijk en evenredig te zijn met het oog op naleving van deze verordening en rekening houdend met de omstandigheden van elk individueel geval, het recht van iedere persoon te eerbiedigen om vóór het nemen van enige individuele maatregel die voor hem nadelige gevolgen zou hebben te worden gehoord, en overbodige kosten en buitensporige ongemakken voor de personen in kwestie te vermijden. [...]
[...]
(141) Iedere betrokkene dient het recht te hebben om een klacht in te dienen bij één enkele toezichthoudende autoriteit, met name in de lidstaat waar hij gewoonlijk verblijft, en een doeltreffende voorziening in rechte in te stellen overeenkomstig artikel 47 van het [Handvest van de grondrechten van de Europese Unie; hierna: „Handvest”] indien hij meent dat inbreuk is gemaakt op zijn rechten uit hoofde van deze verordening of indien de toezichthoudende autoriteit niet optreedt naar aanleiding van een klacht, een klacht gedeeltelijk of geheel verwerpt of afwijst, of indien deze niet optreedt wanneer zulk optreden noodzakelijk is ter bescherming van de rechten van de betrokkene. Het onderzoek dat naar aanleiding van een klacht wordt uitgevoerd, gaat niet verder dan in het specifieke geval passend is en kan worden onderworpen aan rechterlijke toetsing. De toezichthoudende autoriteit dient de betrokkene binnen een redelijke termijn in kennis te stellen van de voortgang en het resultaat van de klacht. [...]
[...]
(148) Met het oog op een krachtiger handhaving van de regels van deze verordening dienen straffen, met inbegrip van administratieve geldboeten, te worden opgelegd voor elke inbreuk op de verordening, naast of in plaats van passende maatregelen die door de toezichthoudende autoriteiten ingevolge deze verordening worden opgelegd. Indien het gaat om een kleine inbreuk of indien de te verwachten geldboete een onevenredige last zou berokkenen aan een natuurlijk persoon, kan in plaats van een geldboete worden gekozen voor een berisping. Er dient evenwel rekening te worden gehouden met de aard, de ernst en de duur van de inbreuk, met het opzettelijke karakter van de inbreuk, met schadebeperkende maatregelen, met de mate van verantwoordelijkheid, of met eerdere relevante inbreuken, met de wijze waarop de inbreuk ter kennis van de toezichthoudende autoriteit is gekomen, met de naleving van de maatregelen die werden genomen tegen de verwerkingsverantwoordelijke of de verwerker, met de aansluiting bij een gedragscode en met alle andere verzwarende of verzachtende factoren. [...]
[...]
(150) Teneinde de administratieve straffen tegen inbreuken op deze verordening te versterken en te harmoniseren dient iedere toezichthoudende autoriteit bevoegd te zijn om administratieve geldboeten op te leggen. In deze verordening dienen inbreuken te worden benoemd, evenals maxima en criteria voor de vaststelling van de daaraan verbonden administratieve geldboeten, die per afzonderlijk geval dienen te worden bepaald door de bevoegde toezichthoudende autoriteit, rekening houdend met alle relevante omstandigheden van de specifieke situatie, met inachtneming van met name de aard, de ernst en de duur van de inbreuk en van de gevolgen ervan en de maatregelen die zijn genomen om naleving van de verplichtingen uit hoofde van deze verordening te waarborgen en de gevolgen van de inbreuk te voorkomen of te beperken. [...]”
5. Artikel 33, lid 1, van deze verordening bepaalt:
„Indien een inbreuk in verband met persoonsgegevens heeft plaatsgevonden, meldt de verwerkingsverantwoordelijke deze zonder onredelijke vertraging en, indien mogelijk, uiterlijk 72 uur nadat hij er kennis van heeft genomen, aan de overeenkomstig artikel 55 bevoegde toezichthoudende autoriteit, tenzij het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen. [...]”
6. Artikel 34, lid 1, van die verordening luidt:
„Wanneer de inbreuk in verband met persoonsgegevens waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen, deelt de verwerkingsverantwoordelijke de betrokkene de inbreuk in verband met persoonsgegevens onverwijld mee.”
7. Artikel 57, lid 1, van diezelfde verordening bepaalt:
„Onverminderd andere uit hoofde van deze verordening vastgestelde taken, verricht elke toezichthoudende autoriteit op haar grondgebied de volgende taken:
a) zij monitort en handhaaft de toepassing van deze verordening;
[...]
f) zij behandelt klachten van betrokkenen, of van organen, organisaties of verenigingen overeenkomstig artikel 80, onderzoekt de inhoud van de klacht in de mate waarin dat gepast is en stelt de klager binnen een redelijke termijn in kennis van de vooruitgang en het resultaat van het onderzoek, met name indien verder onderzoek of coördinatie met een andere toezichthoudende autoriteit noodzakelijk is;
[...]”
8. In artikel 58 AVG is bepaald:
„1. Elk toezichthoudende autoriteit heeft alle volgende onderzoeksbevoegdheden om:
a) de verwerkingsverantwoordelijke, de verwerker en, in voorkomend geval, de vertegenwoordiger van de verwerkingsverantwoordelijke of van verwerker te gelasten alle voor de uitvoering van haar taken vereiste informatie te verstrekken;
[...]
2. Elke toezichthoudende autoriteit heeft alle volgende bevoegdheden tot het nemen van corrigerende maatregelen:
a) de verwerkingsverantwoordelijke of de verwerker waarschuwen dat met de voorgenomen verwerkingen waarschijnlijk inbreuk op bepalingen van deze verordening wordt gemaakt;
b) de verwerkingsverantwoordelijke of de verwerker berispen wanneer met verwerkingen inbreuk op bepalingen van deze verordening is gemaakt;
c) de verwerkingsverantwoordelijke of de verwerker gelasten de verzoeken van de betrokkene tot uitoefening van zijn rechten uit hoofde van deze verordening in te willigen;
d) de verwerkingsverantwoordelijke of de verwerker gelasten, waar passend, op een nader bepaalde manier en binnen een nader bepaalde termijn, verwerkingen in overeenstemming te brengen met de bepalingen van deze verordening;
e) de verwerkingsverantwoordelijke gelasten een inbreuk in verband met persoonsgegevens aan de betrokkene mee te delen;
f) een tijdelijke of definitieve verwerkingsbeperking, waaronder een verwerkingsverbod, opleggen;
[...]
i) naargelang de omstandigheden van elke zaak, naast of in plaats van de in dit lid bedoelde maatregelen, een administratieve geldboete opleggen op grond van artikel 83;
[...]”
9. Artikel 77 van deze verordening luidt:
„1. Onverminderd andere mogelijkheden van administratief beroep of een voorziening in rechte, heeft iedere betrokkene het recht een klacht in te dienen bij een toezichthoudende autoriteit, met name in de lidstaat waar hij gewoonlijk verblijft, hij zijn werkplek heeft of waar de beweerde inbreuk is begaan, indien hij van mening is dat de verwerking van hem betreffende persoonsgegevens inbreuk maakt op deze verordening.
2. De toezichthoudende autoriteit waarbij de klacht is ingediend, stelt de klager in kennis van de voortgang en het resultaat van de klacht, alsmede van de mogelijke voorziening in rechte overeenkomstig artikel 78.”
10. Artikel 78, leden 1 en 2, van deze verordening bepaalt:
„1. Onverminderd andere mogelijkheden van administratief of buitengerechtelijk beroep, heeft iedere natuurlijke persoon of rechtspersoon het recht om tegen een hem betreffend juridisch bindend besluit van een toezichthoudende autoriteit een doeltreffende voorziening in rechte in te stellen.
2. Onverminderd andere mogelijkheden van administratief of buitengerechtelijk beroep heeft iedere betrokkene het recht om een doeltreffende voorziening in rechte in te stellen indien de overeenkomstig de artikelen 55 en 56 bevoegde toezichthoudende autoriteit een klacht niet behandelt of de betrokkene niet binnen drie maanden in kennis stelt van de voortgang of het resultaat van de uit hoofde van artikel 77 ingediende klacht.”
11. Artikel 83 AVG bepaalt in de leden 1 en 2:
„1. Elke toezichthoudende autoriteit zorgt ervoor dat de administratieve geldboeten die uit hoofde van dit artikel worden opgelegd voor de in de leden 4, 5 en 6 vermelde inbreuken op deze verordening in elke zaak doeltreffend, evenredig en afschrikkend zijn.
2. Administratieve geldboeten worden, naargelang de omstandigheden van het concrete geval, opgelegd naast of in plaats van de in artikel 58, lid 2, onder a) tot en met h) en onder j), bedoelde maatregelen. Bij het besluit over de vraag of een administratieve geldboete wordt opgelegd en over de hoogte daarvan wordt voor elk concreet geval naar behoren rekening gehouden met het volgende:
a) de aard, de ernst en de duur van de inbreuk, rekening houdend met de aard, de omvang of het doel van de verwerking in kwestie alsmede het aantal getroffen betrokkenen en de omvang van de door hen geleden schade;
b) de opzettelijke of nalatige aard van de inbreuk;
c) de door de verwerkingsverantwoordelijke of de verwerker genomen maatregelen om de door betrokkenen geleden schade te beperken;
d) de mate waarin de verwerkingsverantwoordelijke of de verwerker verantwoordelijk is gezien de technische en organisatorische maatregelen die hij heeft uitgevoerd overeenkomstig de artikelen 25 en 32;
e) eerdere relevante inbreuken door de verwerkingsverantwoordelijke of de verwerker;
f) de mate waarin er met de toezichthoudende autoriteit is samengewerkt om de inbreuk te verhelpen en de mogelijke negatieve gevolgen daarvan te beperken;
g) de categorieën van persoonsgegevens waarop de inbreuk betrekking heeft;
h) de wijze waarop de toezichthoudende autoriteit kennis heeft gekregen van de inbreuk, met name of, en zo ja in hoeverre, de verwerkingsverantwoordelijke of de verwerker de inbreuk heeft gemeld;
i) de naleving van de in artikel 58, lid 2, genoemde maatregelen, voor zover die eerder ten aanzien van de verwerkingsverantwoordelijke of de verwerker in kwestie met betrekking tot dezelfde aangelegenheid zijn genomen;
j) het aansluiten bij goedgekeurde gedragscodes overeenkomstig artikel 40 of van goedgekeurde certificeringsmechanismen overeenkomstig artikel 42; en
k) elke andere op de omstandigheden van de zaak toepasselijke verzwarende of verzachtende factor, zoals gemaakte financiële winsten, of vermeden verliezen, die al dan niet rechtstreeks uit de inbreuk voortvloeien.”
III. Aan het geding ten grondslag liggende feiten, hoofdgeding en prejudiciële vraag
12. De Sparkasse is een publiekrechtelijke gemeentelijke instelling die onder meer bank- en krediettransacties verricht. Op 15 november 2019 heeft zij bij de HBDI overeenkomstig artikel 33 AVG melding gemaakt van een inbreuk in verband met persoonsgegevens, aangezien een van haar werknemers meerdere malen de persoonsgegevens van TR, een van haar klanten, had geraadpleegd zonder daarvoor toestemming te hebben gekregen. Aangezien de Sparkasse van mening was dat het niet ging om een inbreuk in verband met persoonsgegevens die voor TR waarschijnlijk een hoog risico inhield, heeft zij er echter van afgezien om op grond van artikel 34 van deze verordening ook TR hiervan in kennis te stellen.
13. Nadat TR van deze gebeurtenis op de hoogte was geraakt, heeft hij zich bij brief van 27 juli 2020 tot de HBDI gewend, waarin hij stelde dat artikel 34 AVG was geschonden en waarin hij de korte bewaartermijn van drie maanden van het toegangsregister van de Sparkasse bekritiseerde en het feit dat elke medewerker uitgebreide toegangsrechten heeft.
14. In het kader van de procedure bij de HBDI heeft de Sparkasse opgemerkt dat haar functionaris voor gegevensbescherming van mening was dat er geen risico voor TR bestond, omdat er tuchtmaatregelen waren genomen tegen de betrokken medewerkster en deze schriftelijk had bevestigd dat zij de gegevens waarvan zij kennis had genomen niet had gekopieerd of opgeslagen, noch aan derden had doorgegeven, en had beloofd dit ook in de toekomst niet te doen. Daarnaast moest worden onderzocht of de bewaartermijn van de toegangsgegevens voldoende lang is.
15. Bij besluit van 3 september 2020 heeft de HBDI TR meegedeeld dat de Sparkasse in casu artikel 34 AVG niet had geschonden. Volgens deze autoriteit moest het op grond van deze bepaling te nemen besluit op basis van een prognose worden genomen. In het licht van het stelsel van toezicht op de gegevensbescherming moest worden onderzocht of dat besluit kennelijk onjuist was. De Sparkasse heeft verklaard dat de gegevens weliswaar waren geraadpleegd door de medewerkster, maar dat er geen aanwijzingen waren dat die medewerkster deze gegevens aan derden had doorgegeven of ten nadele van TR had gebruikt. Op die manier was er waarschijnlijk geen sprake van een hoog risico. Bovendien was de Sparkasse verzocht haar toegangsregister voortaan langer te bewaren. Een principiële controle van elke toegang was volgens de HBDI niet nodig, aangezien er in beginsel uitgebreide toegangsrechten mochten worden verleend indien het zeker was dat elke gebruiker op de hoogte was van de voorwaarden waaronder hij toegang tot de precieze gegevens kon krijgen.
16. TR heeft tegen het besluit van 3 september 2020 beroep ingesteld bij het Verwaltungsgericht Wiesbaden, de verwijzende rechter, met het verzoek om de HBDI te gelasten op te treden tegen de Sparkasse.
17. Ter ondersteuning van zijn beroep voert TR aan dat de HBDI zijn klacht niet heeft behandeld zoals de AVG vereist. Hij stelt dat hij er recht op heeft dat deze klacht wordt behandeld en dat hij in kennis wordt gesteld van het gevolg dat daaraan wordt gegeven. De HBDI had de feitelijke omstandigheden van de risicobeoordeling door de Sparkasse moeten onderzoeken zonder zich te beperken tot de uitdrukkelijk gevraagde maatregelen en had de Sparkasse geldboeten moeten opleggen. Volgens TR is het opportuniteitsbeginsel in geval van een bewezen inbreuk niet van toepassing, zodat het de HBDI niet vrijstond om al dan niet op te treden, maar het hem hooguit vrijstond om de maatregelen te kiezen die hij voornemens was te nemen.
18. De verwijzende rechter verduidelijkt dat de HBDI als toezichthoudende autoriteit in casu tot de slotsom is gekomen dat er weliswaar sprake was van een inbreuk op de bepalingen inzake gegevensbescherming, maar dat optreden overeenkomstig artikel 58, lid 2, AVG niet noodzakelijk was. Deze benadering zou echter enkel juist zijn indien een toezichthoudende autoriteit niet verplicht zou zijn om op te treden, zelfs niet wanneer een inbreuk op de gegevensbescherming is aangetoond. Indien het standpunt van TR zou worden gevolgd dat de toezichthoudende autoriteit geen beoordelingsbevoegdheid heeft, zou dit tot gevolg hebben dat er een recht op optreden en op corrigerende maatregelen bestaat wanneer een inbreuk wordt vastgesteld en dat de toezichthoudende autoriteit in alle gevallen een maatregel moet nemen. Indien de toezichthoudende autoriteit dit weigert, zou de rechter haar moeten verplichten een maatregel of een reeks maatregelen te nemen.
19. De verwijzende rechter zet uiteen dat dit argument, dat ook in een deel van de rechtsleer wordt verdedigd, gebaseerd is op het feit dat de bevoegdheden om corrigerende maatregelen te nemen op grond van artikel 58, lid 2, AVG tot doel hebben de rechtmatige toestand te herstellen wanneer een gegevensverwerking inbreuk maakt op de rechten van burgers. Deze bepaling moet bijgevolg worden opgevat als een verplichting op grond waarvan de burger aanspraak kan maken op handelen van een overheidsinstantie, indien een onderneming of een autoriteit persoonsgegevens van de burger onrechtmatig heeft verwerkt of anderszins inbreuk heeft gemaakt op zijn rechten. In het geval van vastgestelde inbreuken op de gegevensbescherming is de toezichthoudende autoriteit verplicht om corrigerende maatregelen te nemen. Haar enige beoordelingsbevoegdheid bestaat erin te kiezen welke van de mogelijke maatregelen zij neemt.
20. De verwijzende rechter heeft evenwel twijfels over deze uitlegging en vindt die te ruim. Hij neigt er veeleer toe te erkennen dat de toezichthoudende autoriteit een discretionaire bevoegdheid heeft op basis waarvan zij zelfs in geval van vastgestelde inbreuken ervan kan afzien sancties op te leggen. Artikel 57, lid 1, onder f), AVG bepaalt immers enkel dat de toezichthoudende autoriteit waarbij klachten zijn ingediend, de inhoud van de klacht onderzoekt in de mate waarin dat gepast is en de klager binnen een redelijke termijn in kennis stelt van de vooruitgang en het resultaat van het onderzoek. De toezichthoudende autoriteit is dan ook om die reden verplicht om de inhoud zorgvuldig te onderzoeken en elk afzonderlijk geval te onderzoeken, maar daaruit volgt niet dat zij altijd en zonder uitzondering moet optreden wanneer een inbreuk wordt vastgesteld.
21. In deze omstandigheden heeft het Verwaltungsgericht Wiesbaden de behandeling van de zaak geschorst en het Hof verzocht om een prejudiciële beslissing over de volgende vraag:
„Moeten artikel 57, lid 1, onder a) en f), artikel 58, lid 2, onder a) tot en met j), juncto artikel 77, lid 1, [AVG] aldus worden uitgelegd dat de toezichthoudende autoriteit altijd verplicht is om op te treden overeenkomstig artikel 58, lid 2, [van deze verordening] wanneer zij vaststelt dat een gegevensverwerking inbreuk maakt op de rechten van de betrokkene?”
IV. Procedure bij het Hof
22. De verwijzingsbeslissing van 10 december 2021 is op 14 december 2021 ingekomen ter griffie van het Hof.
23. Partijen in het hoofdgeding, de Oostenrijkse, de Portugese, de Roemeense en de Noorse regering alsook de Europese Commissie hebben schriftelijke opmerkingen ingediend binnen de in artikel 23 van het Statuut van het Hof van Justitie van de Europese Unie vastgestelde termijn.
24. Het Hof heeft tijdens de algemene vergadering van 16 januari 2024 besloten om geen pleitzitting te houden.
V. Juridische analyse
A. Opmerkingen vooraf
25. Sinds de inwerkingtreding van de AVG hebben veel instanties een reeks maatregelen moeten treffen om te voldoen aan de nieuwe regelgeving inzake de verwerking van persoonsgegevens. Wanneer instanties deze maatregelen niet naleven, kunnen zij worden onderworpen aan sancties waarvan de zwaarte verschilt naargelang van de ernst van de inbreuk. Administratieve geldboeten vormen de kern van de bij de AVG ingevoerde handhavingsregeling. Zij vormen een doeltreffend onderdeel van het instrumentarium waarover de toezichthoudende autoriteiten beschikken om de regelgeving te doen naleven, naast de andere corrigerende maatregelen waarin artikel 58, lid 2, AVG voorziet. Aangezien de toezichthoudende autoriteiten op basis van die verordening de bevoegdheid hebben om soms zeer hoge geldboeten op te leggen, lijkt het passend om in het belang van de rechtszekerheid te preciseren welke omstandigheden het gebruik van deze corrigerende maatregel rechtvaardigen. De onderhavige conclusie moet dan ook worden opgevat als een bijdrage aan die doelstelling.
26. De conclusie in de onderhavige zaak gaat als het ware daar verder waar mijn conclusie in de gevoegde zaken C‑26/22 en C‑64/22 (SCHUFA Holding) (hierna: „SCHUFA-zaken”)(3) stopte. In die SCHUFA-zaken heb ik uiteengezet welke verplichtingen er rusten op de toezichthoudende autoriteit in het kader van het onderzoek van een klacht die is ingediend op grond van artikel 77 AVG. In de onderhavige zaak zal ik vervolgens ingaan op de verplichtingen die op haar rusten wanneer er een inbreuk in verband met persoonsgegevens wordt geconstateerd, alsmede op haar bevoegdheid om corrigerende maatregelen te nemen, met name het opleggen van administratieve geldboeten. Ten slotte zal ik onderzoeken of de AVG de toezichthoudende autoriteit ertoe verplicht een dergelijke geldboete op te leggen in alle gevallen, althans wanneer de klager daar uitdrukkelijk om verzoekt. Op basis van een samenvatting van mijn analyse zal ik een antwoord geven op de vraag van de verwijzende rechter of de toezichthoudende autoriteit de mogelijkheid heeft om geen corrigerende maatregelen te nemen.
B. Ontvankelijkheid van de prejudiciële verwijzing
27. Alvorens al deze aspecten te onderzoeken, moet echter worden ingegaan op het argument van TR dat het verzoek om een prejudiciële beslissing niet-ontvankelijk is. Meer concreet voert TR aan dat een antwoord op de gestelde vraag niet noodzakelijk is voor de beslechting van het hoofdgeding. Zijn beroep strekt er enkel toe dat de verwijzende rechter de HBDI gelast zich uit te spreken over de grieven die zijn aangevoerd in de bij de HBDI ingediende klacht, en niet dat de HBDI wordt gelast gebruik te maken van de bij artikel 58, lid 2, AVG verleende bevoegdheden.
28. In dit verband zij eraan herinnerd dat het in het kader van de in artikel 267 VWEU geregelde samenwerking tussen het Hof en de nationale rechterlijke instanties uitsluitend een zaak is van de nationale rechter aan wie het geschil is voorgelegd en die de verantwoordelijkheid voor de te geven rechterlijke beslissing draagt, om gelet op de bijzonderheden van het geval zowel de noodzaak van een prejudiciële beslissing voor het wijzen van zijn vonnis als de relevantie van de door hem aan het Hof voorgelegde vragen te beoordelen. Wanneer de vragen betrekking hebben op de uitlegging van het Unierecht, is het Hof dan ook in beginsel verplicht daarop te antwoorden.(4)
29. Hieruit vloeit voort dat er een vermoeden van relevantie geldt voor de vragen over de uitlegging van het Unierecht die de nationale rechter heeft gesteld binnen het onder zijn eigen verantwoordelijkheid geschetste feitelijke en wettelijke kader, waarvan de juistheid niet ter beoordeling van het Hof staat. Het Hof kan een verzoek van een nationale rechter enkel afwijzen wanneer de gevraagde uitlegging van het Unierecht kennelijk op generlei wijze verband houdt met een reëel geschil of met het voorwerp van het hoofdgeding, wanneer het vraagstuk van hypothetische aard is of wanneer het Hof niet beschikt over de feitelijke en juridische gegevens die noodzakelijk zijn om een zinvol antwoord te geven op de gestelde vragen.(5)
30. In casu heeft de verwijzende rechter duidelijk uiteengezet waarom hij twijfelt over de uitlegging van de in zijn prejudiciële vraag genoemde Unierechtelijke bepalingen, en heeft hij verduidelijkt dat het antwoord op die vraag beslissend is voor de beslechting van het hoofdgeding, voor zover TR de HBDI heeft verzocht om op te treden tegen de Sparkasse. Zoals blijkt uit de motivering van het verzoek om een prejudiciële beslissing, heeft TR betoogd dat hij het „recht” had om een dergelijk optreden te eisen. Volgens TR had „de HBDI de Sparkasse met name geldboeten moeten opleggen”. In deze context verwijst de verwijzende rechter naar de berekeningen die TR heeft gemaakt om de hoogte van de op te leggen geldboeten te bepalen.
31. Al deze informatie, die door de verwijzende rechter zelf is verstrekt, is duidelijk in tegenspraak met het betoog van TR dat het verzoek om een prejudiciële beslissing niet-ontvankelijk is. Gelet op deze omstandigheden lijdt het mijns inziens geen twijfel dat het voor de beslechting van het geding noodzakelijk is om de door de verwijzende rechter gestelde vraag te beantwoorden. Het is namelijk van essentieel belang om de reikwijdte van de bevoegdheden van de toezichthoudende autoriteit vast te stellen, alsmede de verplichtingen die zij heeft jegens de klager. Derhalve moet worden geconcludeerd dat het verzoek om een prejudiciële beslissing ontvankelijk is.
C. Analyse van de prejudiciële vraag
32. De prejudiciële vraag strekt er inhoudelijk toe dat in wezen wordt vastgesteld wat de verplichtingen van de toezichthoudende autoriteit zijn wanneer een inbreuk in verband met persoonsgegevens is geconstateerd. Een dergelijk geval onderstelt in het algemeen dat de inbreuk in kwestie is vastgesteld in het kader van een onderzoek dat is ingesteld naar aanleiding van een klacht.
33. Uit de verklaringen van de verwijzende rechter komen enkele onnauwkeurigheden naar voren die betrekking hebben op de verplichtingen die krachtens de AVG op de toezichthoudende autoriteit rusten bij het onderzoek van een klacht, wat mijns inziens kan worden verklaard door het feit dat het verzoek om een prejudiciële beslissing is ingediend vóór de uitspraak van het arrest in de SCHUFA-zaken(6) (hierna: „arrest SCHUFA”), waarin het Hof een aantal belangrijke beginselen voor de klachtenprocedure heeft vastgesteld. Derhalve kan redelijkerwijs worden aangenomen dat de rechter niet heeft kunnen kennisnemen van deze rechtspraak.
34. Om een zo volledig mogelijk overzicht te bieden van het juridische kader van de bij de AVG ingevoerde toezichtregeling en om de verwijzende rechter een nuttig antwoord te geven, lijkt het mij noodzakelijk om eerst in herinnering te brengen welke beginselen er gelden voor de klachtenprocedure(7) en vervolgens uit te leggen hoe een toezichthoudende autoriteit moet optreden wanneer zij een inbreuk in verband met persoonsgegevens heeft vastgesteld(8).
1. Verplichtingen van de toezichthoudende autoriteit bij de behandeling van een klacht
35. Zoals het Hof in het arrest SCHUFA heeft opgemerkt, zijn de nationale toezichthoudende autoriteiten overeenkomstig artikel 8, lid 3, van het Handvest alsook artikel 51, lid 1, en artikel 57, lid 1, onder a), AVG belast met het toezicht op de naleving van de Unieregels inzake de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens.(9)
36. In het bijzonder is elke toezichthoudende autoriteit krachtens artikel 57, lid 1, onder f), AVG gehouden om op haar grondgebied de klachten te behandelen die eenieder overeenkomstig artikel 77, lid 1, van deze verordening kan indienen wanneer hij van oordeel is dat een verwerking van hem betreffende persoonsgegevens die verordening schendt, en om het voorwerp van die klachten voor zover nodig te onderzoeken.(10)
37. De toezichthoudende autoriteit moet een dergelijke klacht met de nodige voortvarendheid en zorgvuldigheid onderzoeken. Het Hof heeft eveneens opgemerkt dat artikel 58, lid 1, AVG elke toezichthoudende autoriteit ruime onderzoeksbevoegdheden verleent voor de behandeling van klachten.(11)
38. Dienaangaande zij opgemerkt dat het Hof zich heeft aangesloten bij mijn bepleite uitlegging in de conclusie in de SCHUFA-zaken, namelijk dat de klachtenprocedure, die niet te vergelijken valt met die van een petitie, is opgevat als een mechanisme waarmee de rechten en belangen van de betrokkenen doeltreffend kunnen worden beschermd.(12)
39. Voorts zij opgemerkt dat het Hof zich ook achter mijn uitlegging van artikel 78, lid 1, AVG heeft geschaard door te oordelen dat een besluit van een toezichthoudende autoriteit naar aanleiding van een klacht onderworpen is aan een volledige rechterlijke toetsing.(13)
2. Verplichtingen van de toezichthoudende autoriteit bij de vaststelling van een inbreuk in verband met persoonsgegevens
40. Wanneer de toezichthoudende autoriteit bij het onderzoek van een klacht een inbreuk in verband met persoonsgegevens vaststelt, rijst de vraag hoe zij te werk moet gaan. Zoals ik hierna zal uiteenzetten, houdt een dergelijke vaststelling om te beginnen in dat de toezichthoudende autoriteit verplicht is om op treden in het belang van het legaliteitsbeginsel. In het algemeen gaat het erom te bepalen welke corrigerende maatregel of maatregelen het meest passend is of zijn om de inbreuk te verhelpen.(14) Dit is mijns inziens een redelijke uitlegging, gelet op het feit dat artikel 57, lid 1, onder a), AVG de toezichthoudende autoriteit de taak toebedeelt om de „toepassing van de verordening te monitoren en te handhaven”. Het zou onverenigbaar zijn met deze taak dat de toezichthoudende autoriteit de mogelijkheid zou hebben om eenvoudigweg geen rekening te houden met de vastgestelde inbreuk.(15)
41. Bovendien zouden de onderzoeksbevoegdheden waarover de toezichthoudende autoriteit krachtens artikel 58, lid 1, AVG beschikt, niet veel te betekenen hebben indien de toezichthoudende autoriteit zich zou moeten beperken tot het instellen van een onderzoek hoewel er een inbreuk op de rechten inzake persoonsgegevens is geconstateerd. Het uitvoeren van Uniewetgeving over de bescherming van persoonsgegevens vormt namelijk een essentieel onderdeel van het begrip „toezicht” waarnaar in artikel 16, lid 2, VWEU, en in artikel 8, lid 3, van het Handvest wordt verwezen.(16) In dit verband mag niet uit het oog worden verloren dat de toezichthoudende autoriteit ook handelt in het belang van de persoon van wie of de entiteit waarvan de rechten zijn geschonden. Dienaangaande zij opgemerkt dat artikel 57, lid 1, onder f), en artikel 77, lid 2, AVG de toezichthoudende autoriteit bepaalde verplichtingen jegens de klager opleggen, namelijk dat zij hem „in kennis stelt van de vooruitgang en het resultaat van het onderzoek”.
42. Deze laatste zinsnede impliceert dat de toezichthoudende autoriteit ook moet aangeven welke maatregelen zijn genomen met betrekking tot de door haar vastgestelde inbreuk in verband met persoonsgegevens. Het is duidelijk dat de klachtenprocedure geen enkel nut zou hebben indien de toezichthoudende autoriteit passief mag blijven in een met het Unierecht strijdige rechtstoestand. Om de toezichthoudende autoriteit een doeltreffend middel ter beschikking te stellen om dit soort inbreuken aan te pakken, bevat artikel 58, lid 2, AVG een lijst van corrigerende maatregelen, die zijn gedifferentieerd naargelang van de intensiteit van het optreden. De verplichting om in alle gevallen op te treden, ongeacht de ernst van de inbreuk, houdt in dat de toezichthoudende autoriteit deze lijst van corrigerende maatregelen moet toepassen teneinde de toestand weer in overeenstemming te brengen met het Unierecht.(17)
3. Bevoegdheid van de toezichthoudende autoriteit om corrigerende maatregelen te nemen
43. Er dient evenwel op te worden gewezen dat de vraag of de autoriteit moet optreden in geval van een inbreuk in verband met persoonsgegevens duidelijk moet worden onderscheiden van de vraag hoe zij concreet moet handelen. Wat deze laatste vraag betreft, kan uit verschillende aanwijzingen worden afgeleid dat de toezichthoudende autoriteit over een discretionaire bevoegdheid beschikt, maar dat die in overeenstemming met de doelstellingen van de AVG en binnen de daarin gestelde grenzen moet worden uitgeoefend. In de SCHUFA-zaken(18) heb ik weliswaar reeds enkele argumenten ter ondersteuning van een dergelijke uitlegging aangevoerd, maar het lijkt noodzakelijk om in de onderhavige conclusie uitvoerig op deze vraag in te gaan.
44. Om te beginnen zij opgemerkt dat de toezichthoudende autoriteit overeenkomstig artikel 58, lid 2, AVG „bevoegdheden” heeft tot het nemen van de in die bepaling opgesomde corrigerende maatregelen, hetgeen betekent dat er een mogelijkheid bestaat, zoals de verwijzende rechter terecht opmerkt. Deze connotatie is overigens terug te vinden in alle taalversies die ik in het kader van mijn analyse heb onderzocht.(19)
45. Artikel 58, lid 2, AVG moet worden uitgelegd in het licht van overweging 129 van deze verordening, waaruit blijkt dat „elke maatregel passend, noodzakelijk en evenredig [moet] zijn met het oog op naleving van deze verordening en rekening houdend met de omstandigheden van elk individueel geval” (cursivering van mij). Met andere woorden, de aan de toezichthoudende autoriteit verleende „bevoegdheden” om gebruik te maken van de in die bepaling bedoelde lijst van corrigerende maatregelen, zijn afhankelijk van een aantal voorwaarden, met name dat de door die autoriteit genomen maatregel „passend” is. Ik leg dit niet nader bepaalde rechtsbegrip, waarbij aan de autoriteit een discretionaire bevoegdheid wordt toegekend, in die zin uit dat de gekozen maatregel op grond van zijn eigenschappen en zijn werking een toestand weer in overeenstemming moet kunnen brengen met het Unierecht.(20)
46. Deze uitlegging ligt in het verlengde van de rechtspraak waarin het Hof heeft geoordeeld dat wanneer een toezichthoudende autoriteit vaststelt dat een verwerking van persoonsgegevens de AVG schendt, zij „verplicht [is] om op gepaste wijze te reageren teneinde de vastgestelde ontoereikendheid te verhelpen”(21). Zoals de Commissie opmerkt, heeft de verplichting van de toezichthoudende autoriteit dus vooral betrekking op het te bereiken resultaat, namelijk het verhelpen van de vastgestelde inbreuk door de daartoe „passende” maatregel vast te stellen. Daarnaast zij opgemerkt dat het besluit over de te nemen maatregel afhangt van de concrete omstandigheden van het geval, zoals duidelijk naar voren komt uit voormelde overweging 129 AVG. Derhalve kunnen de besluiten die de toezichthoudende autoriteit in het kader van haar administratieve praktijk neemt, naargelang van de situatie en van geval tot geval aanzienlijk verschillen.
47. Aangezien artikel 58, lid 2, AVG enkel bepaalt dat elke toezichthoudende autoriteit „bevoegdheden” heeft tot het nemen van de in die bepaling opgesomde corrigerende maatregelen, beschikt de toezichthoudende autoriteit over een discretionaire bevoegdheid, in die zin dat zij in beginsel vrij is om te kiezen uit die corrigerende maatregelen teneinde de vastgestelde inbreuk te verhelpen. Zoals het Hof in het arrest in zaak C‑311/18 (Facebook Ireland en Schrems) heeft benadrukt, is „de keuze van het passende en noodzakelijke middel een zaak van de toezichthoudende autoriteit”, die bij het maken van deze keuze alle omstandigheden van het concrete geval in aanmerking moet nemen.(22)
48. De erkenning van een discretionaire bevoegdheid impliceert mijns inziens ook de bevoegdheid om geen van de in artikel 58, lid 2, AVG genoemde corrigerende maatregelen te nemen wanneer de specifieke omstandigheden van het concrete geval een dergelijke benadering rechtvaardigen. Aangezien aan het gebruik van de lijst van corrigerende maatregelen ook de voorwaarde is verbonden dat de betrokken maatregel „noodzakelijk” is met het oog op de naleving van die verordening, kan namelijk niet worden uitgesloten dat een concreet optreden van de toezichthoudende autoriteit niet aan deze voorwaarde voldoet, bijvoorbeeld wanneer het probleem inmiddels is opgelost of verholpen en de inbreuk niet langer bestaat. Het is duidelijk dat een optreden van de toezichthoudende autoriteit in dergelijke omstandigheden zinloos zou zijn.
49. Evenzo is het – zoals de Portugese regering terecht opmerkt – mogelijk dat het gebruik van corrigerende maatregelen niet langer gerechtvaardigd is wanneer de mate van laakbaarheid van de gedraging van de verwerkingsverantwoordelijke of de verwerker kennelijk gering is, of wanneer de omstandigheden van de zaak op zichzelf beschouwd verzachtende omstandigheden zijn, met name omdat er sprake is van een bepaalde gedeelde verantwoordelijkheid met de klager. Dit onderstelt dat de toezichthoudende autoriteit een drempel kan vaststellen waaronder een optreden niet „noodzakelijk” wordt geacht in de zin van de AVG.
50. In dit verband wil ik wijzen op overweging 141 AVG, waarin uitdrukkelijk wordt verwezen naar de mogelijkheid dat de toezichthoudende autoriteit besluit om niet op te treden in gevallen waarin zij van mening is dat optreden niet „noodzakelijk” is om de bescherming van de rechten van de betrokkene te waarborgen („indien deze niet optreedt wanneer zulk optreden noodzakelijk is”) (cursivering van mij). In deze overweging wordt verduidelijkt dat het besluit van de toezichthoudende autoriteit ook vatbaar is voor rechterlijke toetsing wanneer de klager het niet eens is met de beoordeling van de toezichthoudende autoriteit met betrekking tot de „noodzaak” om op te treden, naast de andere in die overweging opgesomde gevallen, namelijk indien er inbreuk wordt gemaakt op zijn rechten krachtens die verordening of indien de toezichthoudende autoriteit niet optreedt naar aanleiding van zijn klacht dan wel deze klacht gedeeltelijk of geheel verwerpt of afwijst.
51. De discretionaire bevoegdheid die aan de toezichthoudende autoriteit is toegekend krachtens artikel 58, lid 2, AVG, houdt in dat minder ernstige inbreuken ook door middel van andere door de verwerkingsverantwoordelijke zelf genomen maatregelen kunnen worden verholpen. Zoals uit de omstandigheden van de onderhavige zaak blijkt, kunnen de door de verantwoordelijke ondernemingen „zelfstandig” te nemen corrigerende maatregelen bestaan in het nemen van tuchtmaatregelen tegen de werknemers die inbreuken hebben gepleegd. In omstandigheden waarin de aansprakelijkheid voor de inbreuk is erkend en waarin is gewaarborgd dat er geen verdere inbreuk in verband met gegevens zal plaatsvinden, kan het onnodig lijken dat de toezichthoudende autoriteit aanvullende corrigerende maatregelen oplegt.
52. In bepaalde omstandigheden – wanneer de corrigerende maatregelen noch passend noch noodzakelijk zijn – kan het zelfs contraproductief blijken te zijn om gebruik te maken van de bevoegdheid om corrigerende maatregelen te treffen tegen een verwerkingsverantwoordelijke. Indien de toezichthoudende autoriteit verplicht zou zijn om, telkens wanneer er sprake is van een inbreuk, gebruik te maken van de bevoegdheden om corrigerende maatregelen te nemen als bedoeld in artikel 58, lid 2, AVG, zou dit ertoe leiden dat er minder middelen beschikbaar zijn voor de afhandeling van andere zaken en taken die vanuit het oogpunt van gegevensbescherming meer aandacht verdienen. Daarom ben ik van mening dat door het gebruik van „autonome” maatregelen die door de verwerkingsverantwoordelijke zelf worden genomen, de toezichthoudende autoriteit in staat wordt gesteld zich te richten op ernstige gevallen die prioriteit verdienen, en dat daardoor tegelijkertijd wordt gewaarborgd dat op voortdurende, maar gedecentraliseerde wijze inbreuken in verband met persoonsgegevens worden bestreden, namelijk doordat de taken van die autoriteit gedeeltelijk worden gedelegeerd.
53. Indien de toezichthoudende autoriteit ervoor kiest om de in artikel 58, lid 2, AVG genoemde corrigerende maatregelen niet toe te passen en er de voorkeur aan geeft dat de verwerkingsverantwoordelijke gebruikmaakt van „autonome” maatregelen, lijkt het mij evenwel van essentieel belang dat voldaan is aan bepaalde juridische vereisten. In de eerste plaats moet de toezichthoudende autoriteit uitdrukkelijk toestemming geven voor een dergelijke maatregel om te voorkomen dat de bij de AVG ingevoerde toezichtregeling wordt omzeild. In de tweede plaats moet deze toestemming worden voorafgegaan door een grondig onderzoek van de situatie in het licht van de voorwaarden die worden genoemd in overweging 129 AVG, teneinde de toezichthoudende autoriteit niet te ontslaan van haar verantwoordelijkheid om toe te zien op de naleving van deze verordening. In de derde plaats moet bij het verlenen van de toestemming aan de entiteit die de „autonome” maatregel moet uitvoeren, worden bepaald dat de toezichthoudende autoriteit het recht heeft om op te treden indien haar instructies niet worden opgevolgd. Indien het Hof deze uitlegging volgt en oordeelt dat dergelijke „autonome” maatregelen in beginsel in overeenstemming zijn met de AVG, dan ben ik van mening dat het Hof ook zou moeten benadrukken dat in het belang van de samenhang van de toezichtregeling aan bovengenoemde vereisten moet zijn voldaan.
54. Aangezien artikel 58, lid 2, AVG de toezichthoudende autoriteit een discretionaire bevoegdheid toekent met betrekking tot de keuze welke corrigerende maatregel „passend” is in het specifieke geval, is het logisch om elk recht van de klager om de vaststelling van een bepaalde maatregel te eisen, uit te sluiten. De klager beschikt namelijk in het kader van die procedure weliswaar over bepaalde rechten jegens de toezichthoudende autoriteit, met name het recht om binnen een redelijke termijn in kennis te worden gesteld van de vooruitgang en het resultaat van het onderzoek, maar het blijft een feit dat deze rechten zich niet uitstrekken tot het recht om de vaststelling van een specifieke maatregel te eisen.
55. Een dergelijk recht kan evenmin worden afgeleid uit het feit dat de klager krachtens artikel 78 AVG het recht heeft om een doeltreffende voorziening in rechte in te stellen tegen een toezichthoudende autoriteit, aangezien de voornaamste verplichting van deze autoriteit jegens hem in het kader van de klachtenprocedure bestaat in een voldoende nauwkeurige en gedetailleerde motivering van haar besluit om in casu al dan niet op te treden, rekening houdend met de bevindingen in het kader van het door de autoriteit gevoerde onderzoek.
56. Bovendien zij opgemerkt dat overeenkomstig artikel 78, lid 2, AVG beroep bij de rechter kan worden ingesteld op grond van het feit dat de bevoegde toezichthoudende autoriteit de klacht niet behandelt of de betrokkene niet binnen drie maanden in kennis stelt van de voortgang of het resultaat van de op grond van artikel 77 van deze verordening ingediende klacht. Vastgesteld moet worden dat geen van de genoemde gronden erop wijst dat de betrokkene over enig subjectief recht beschikt om in het kader van een beroep in rechte te verzoeken om een bepaalde maatregel vast te stellen.
57. Hetzelfde geldt voor de in overweging 141 AVG bedoelde mogelijkheid om door middel van een beroep in rechte op te komen tegen de door de toezichthoudende autoriteit verrichte beoordeling van de vraag of het optreden „noodzakelijk” is om de rechten van de betrokkene te beschermen. Zelfs indien de bevoegde rechter uiteindelijk moet vaststellen of het optreden in een specifiek geval „noodzakelijk” is, betekent dit niet noodzakelijk dat de toezichthoudende autoriteit een bepaalde maatregel moet nemen. Zij is veeleer verplicht om haar discretionaire bevoegdheid uit te oefenen door in voorkomend geval rekening te houden met het oordeel van die rechter.
58. Niettemin dient te worden gepreciseerd dat het ook denkbaar is dat de toezichthoudende autoriteit – als bestuursorgaan – verplicht is om een bepaalde maatregel vast te stellen wegens de bijzondere omstandigheden van het geval, met name wanneer er een ernstig risico bestaat dat inbreuk wordt gemaakt op de grondrechten van de betrokkene. Dit scenario heb ik specifiek vermeld in mijn conclusie in de SCHUFA-zaken.(23) Het onderhavige verzoek om een prejudiciële beslissing biedt de gelegenheid om dieper op dit onderwerp in te gaan.
59. In dit verband moet om te beginnen worden herinnerd aan het arrest in zaak C‑311/18 (Facebook Ireland en Schrems), waarin het Hof heeft opgemerkt dat een dergelijk geval zich daadwerkelijk kan voordoen. Meer concreet heeft het Hof geoordeeld dat de toezichthoudende autoriteit in voorkomend geval bepaalde in artikel 58, lid 2, AVG opgesomde maatregelen moet nemen, met name wanneer zij van oordeel is dat de door het Unierecht vereiste bescherming niet kan worden gewaarborgd met andere middelen. In zoverre is de discretionaire bevoegdheid van de toezichthoudende autoriteit dus beperkt tot bepaalde of – in voorkomend geval – een van de in die bepaling bedoelde maatregelen.(24)
60. Zoals de Oostenrijkse regering terecht opmerkt, kan er sprake zijn van een groot aantal soortgelijke gevallen die de vaststelling van een bepaalde corrigerende maatregel vereisen, zoals het geval waarin de toezichthoudende autoriteit in het kader van een klachtenprocedure vaststelt dat er een verplichting tot gegevenswissing bestaat en dat de verwerkingsverantwoordelijke de gegevens nog niet heeft gewist. In de beschreven situatie zal de toezichthoudende autoriteit krachtens artikel 58, lid 2, onder g), AVG hoe dan ook verplicht zijn de gegevenswissing te gelasten.
61. De in de voorgaande punten genoemde voorbeelden tonen aan dat niet kan worden uitgesloten dat naargelang van de specifieke omstandigheden van het concrete geval enkel door de vaststelling van een bepaalde corrigerende maatregel een toestand weer in overeenstemming met het Unierecht kan worden gebracht. Mijns inziens kan de discretionaire bevoegdheid van de toezichthoudende autoriteit in het bijzonder in omstandigheden waarin anders het gevaar bestaat dat er op ernstige wijze inbreuk wordt gemaakt op de rechten van de betrokkene, worden beperkt tot de vaststelling van de enige maatregel die passend is om de rechten van die persoon te beschermen.
62. Elke andere uitlegging zou volgens mij onverenigbaar zijn met de verplichting om de eerbiediging te waarborgen van de grondrechten van het Handvest, waartoe de autoriteiten van de lidstaten krachtens artikel 51, lid 1, van het Handvest gehouden zijn wanneer zij het Unierecht ten uitvoer brengen. Deze verplichting rust eveneens op de toezichthoudende autoriteiten, zoals volgt uit artikel 58, lid 4, AVG.(25) In dat licht bezien kan redelijkerwijs worden verdedigd dat het Unierecht de betrokkene een subjectief recht verleent om te eisen dat de autoriteit de maatregel in kwestie vaststelt. Ik wil evenwel benadrukken dat ik in de onderhavige zaak geen enkele aanwijzing zie dat aan de voorwaarden voor een dergelijke beperking van de discretionaire bevoegdheid van de toezichthoudende autoriteit is voldaan.
63. Samenvattend moet worden vastgesteld dat een toezichthoudende autoriteit waarbij op grond van artikel 77 AVG een klacht is ingediend, verplicht is om – wanneer zij vaststelt dat inbreuk wordt gemaakt op de rechten van de betrokkene – op passende wijze te reageren teneinde de vastgestelde en aanhoudende tekortkomingen te verhelpen en de bescherming van de rechten van de betrokkene te waarborgen. Wanneer de toezichthoudende autoriteit in dit verband optreedt, moet zij uit de in artikel 58, lid 2, van die verordening bedoelde bevoegdheden de maatregel kiezen die passend, noodzakelijk en evenredig is. Deze discretionaire bevoegdheid bij de keuze van de middelen is bijgevolg beperkt wanneer de vereiste bescherming enkel door het nemen van specifieke maatregelen kan worden gewaarborgd.
4. Geen verplichting voor de toezichthoudende autoriteit om in alle gevallen administratieve geldboeten op te leggen
64. Na deze algemene uiteenzetting over de bevoegdheid van de toezichthoudende autoriteit om corrigerende maatregelen te nemen, dient te worden onderzocht of de toezichthoudende autoriteit verplicht is om in alle gevallen administratieve geldboeten op te leggen. Hoewel bepaalde aspecten van deze vraag aan de hand van bovenstaande opmerkingen kunnen worden verduidelijkt, is enige nadere toelichting mijns inziens nodig. De Uniewetgever heeft de administratieve geldboeten immers weliswaar opgenomen onder de „corrigerende maatregelen” in de zin van artikel 58, lid 2, AVG, maar dit neemt niet weg dat zij enkele bijzondere kenmerken vertonen ten opzichte van de overige maatregelen. Daarom zal dit deel van de analyse zich toespitsen op de specifieke regelingen van artikel 58, lid 2, onder i), en artikel 83 van deze verordening.
65. Zoals het Hof onlangs in herinnering heeft gebracht, maakt de administratieve geldboete deel uit van het bij de AVG ingevoerde stelsel van sancties, dat verwerkingsverantwoordelijken en verwerkers ertoe aanzet om aan deze verordening te voldoen. Door hun afschrikkende werking dragen administratieve geldboeten bij tot de versterking van de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens, zodat zij een sleutelelement vormen om de eerbiediging van de rechten van die personen te waarborgen, overeenkomstig de met die verordening nagestreefde doelstelling om natuurlijke personen een hoog niveau van bescherming te bieden in verband met de verwerking van persoonsgegevens.(26)
66. Artikel 83 AVG voorziet in een stelsel op twee niveaus, waarin uitdrukkelijk wordt aangegeven dat bepaalde inbreuken ernstiger zijn dan andere. Het eerste niveau omvat de schending van de artikelen waarbij de verantwoordelijkheden van verschillende actoren zijn geregeld (verwerkingsverantwoordelijke, verwerker, certificeringsorganen enzovoort). Het tweede niveau omvat de schending van individuele rechten die door die verordening worden beschermd, zoals de grondrechten, de basisbeginselen inzake verwerking, de rechten van de betrokkenen op informatie, de regels inzake doorgifte, enzovoort. Op beide niveaus moeten twee beoordelingen worden verricht: de eerste beoordeling betreft het besluit over de vraag of een administratieve geldboete moet worden opgelegd, en de tweede beoordeling betreft het besluit over de hoogte van de administratieve geldboete. Bij beide beoordelingen moeten de toezichthoudende autoriteiten rekening houden met alle in artikel 83, lid 2, van die verordening opgesomde individuele factoren. De conclusies die bij de eerste beoordeling zijn getrokken, kunnen evenwel worden gebruikt bij de tweede beoordeling betreffende de hoogte van de geldboete, teneinde te voorkomen dat er een tweede beoordeling op basis van dezelfde criteria moet worden verricht.(27)
67. Na deze inleidende toelichtingen zal ik hierna ingaan op de vraag of er een verplichting bestaat om in alle gevallen administratieve geldboeten op te leggen. Dienaangaande zij om te beginnen opgemerkt dat artikel 58, lid 2, onder i), AVG bepaalt dat de toezichthoudende autoriteit een administratieve geldboete kan opleggen „naargelang de omstandigheden van elke zaak”. Deze bepaling moet worden gelezen in samenhang met artikel 83, lid 2, van die verordening, dat niet alleen in dezelfde beperking ten aanzien van de toepassing van een dergelijke corrigerende maatregel voorziet, maar ook suggereert dat de toezichthoudende autoriteit er zelfs van kan afzien („bij het besluit over de vraag of een administratieve geldboete wordt opgelegd”) (cursivering van mij) indien de omstandigheden een dergelijke benadering rechtvaardigen. Deze formulering is in min of meer gelijkluidende bewoordingen terug te vinden in andere taalversies.(28) Samenvattend blijkt uit de bewoordingen van artikel 83, lid 2, AVG zelf dat het opleggen van een administratieve geldboete niet in alle gevallen verplicht is.
68. Bovendien zij opgemerkt dat deze bepaling de toezichthoudende autoriteit verplicht om bij het besluit over de vraag of een administratieve geldboete moet worden opgelegd, in elk concreet geval rekening te houden met een aantal factoren. Het gaat in wezen om verzwarende en verzachtende omstandigheden die van invloed zijn op het besluit van de toezichthoudende autoriteit, zoals de aard, de ernst en de duur van de inbreuk, maar ook omstandigheden die verband houden met de gedraging van de verwerkingsverantwoordelijke, zoals het feit dat de inbreuk opzettelijk of uit nalatigheid is begaan.(29)
69. In deze context zijn de tweede en de derde volzin van overweging 148 AVG mijns inziens relevant voor de uitlegging van artikel 83, lid 2, van deze verordening, aangezien hierin aanwijzingen worden gegeven over de omstandigheden die bij de besluitvorming in aanmerking moeten worden genomen. In deze overweging wordt het begrip „kleine inbreuk” geïntroduceerd, dat belangrijke gevolgen heeft voor de administratieve praktijk van de toezichthoudende autoriteit.(30) Hierin staat onder andere dat „[i]ndien het gaat om een kleine inbreuk of indien de te verwachten geldboete een onevenredige last zou berokkenen aan een natuurlijk persoon, [...] in plaats van een geldboete [kan] worden gekozen voor een berisping” (cursivering van mij).
70. Mijns inziens kan uit deze aanwijzing worden afgeleid dat de Uniewetgever zich bewust was van het feit dat een administratieve geldboete een bijzonder strenge corrigerende maatregel is die niet in alle gevallen mag worden toegepast – omdat anders de doeltreffendheid ervan wordt ondermijnd – maar alleen moet worden toegepast wanneer de omstandigheden van een specifiek geval dit vereisen. In overweging 148 AVG wordt immers verwezen naar het evenredigheidsbeginsel dat de toezichthoudende autoriteiten in acht moeten nemen bij de toepassing van deze verordening in de specifieke context van sancties, waaronder administratieve geldboeten. Zoals ik reeds in mijn analyse heb opgemerkt, wordt dit beginsel weergegeven in overweging 129 van die verordening, die betrekking heeft op de vaststelling van corrigerende maatregelen in het algemeen.(31) De wetgever heeft dus in een flexibel en gedifferentieerd sanctiestelsel willen voorzien.(32)
71. Uit de uitlegging van artikel 83, lid 2, gelezen in het licht van overweging 148 AVG, vloeit voort dat, zelfs bij de vaststelling van een inbreuk, de toezichthoudende autoriteit op basis van de beoordeling van de in deze bepaling genoemde criteria bijvoorbeeld tot de beoordeling kan komen dat de inbreuk in de concrete omstandigheden van het geval geen aanzienlijk risico inhoudt voor de rechten van de betrokkenen, en dat de inbreuk de kern van de verplichting in kwestie niet aantast. In dergelijke gevallen wordt de geldboete soms – maar niet altijd – vervangen door een berisping.(33)
72. Het is evenwel van belang erop te wijzen dat overweging 148 de toezichthoudende autoriteit niet verplicht om de geldboete ambtshalve te vervangen door een berisping in het geval van een kleine inbreuk, maar haar de mogelijkheid daartoe biedt na een concrete beoordeling van alle omstandigheden van het geval. Ten slotte blijkt uit overweging 148 dat de toezichthoudende autoriteit ervan kan afzien een geldboete op te leggen indien die geldboete een onevenredige last vormt voor een natuurlijke persoon, ook al zou een dergelijke corrigerende maatregel a priori noodzakelijk zijn op basis van haar beoordeling.(34)
73. De omstandigheden van het concrete geval, waarnaar artikel 83, lid 2, AVG verwijst, bepalen uiteindelijk of een geldboete moet worden opgelegd, en zo ja, wat de hoogte daarvan is. Al deze aanwijzingen bevestigen mijn standpunt dat dit besluit uiteindelijk een discretionair besluit van de toezichthoudende autoriteit is.(35) Deze toezichthoudende autoriteit dient de haar verleende discretionaire bevoegdheid zorgvuldig uit te oefenen overeenkomstig de vereisten van de AVG. De beperkingen van deze discretionaire bevoegdheid vloeien voort uit de algemene beginselen van het Unierecht en het recht van de lidstaten, met name het gelijkheidsbeginsel. Hieruit volgt dat een administratieve praktijk voor het opleggen van geldboeten moet worden ontwikkeld die vergelijkbare gevallen op vergelijkbare wijze behandelt.
74. Tevens wil ik erop wijzen dat wanneer er gelijktijdig financiële sancties van strafrechtelijke aard worden opgelegd, er zelfs een risico bestaat dat het „ne-bis-in-idembeginsel” wordt geschonden zoals dit wordt uitgelegd door het Hof, hetgeen blijkt uit overweging 149 AVG. Dit beginsel vormt een grondrecht, dat wordt beschermd door artikel 50 van het Handvest, en kan enkel onder de in artikel 52 van het Handvest bedoelde strikte voorwaarden worden beperkt. Met andere woorden, ook juridische belemmeringen kunnen eraan in de weg staan dat administratieve geldboeten worden opgelegd.
5. Geen verplichting voor de toezichthoudende autoriteit om administratieve geldboeten op te leggen wanneer de klager daar uitdrukkelijk om verzoekt
75. Het laatste aspect dat moet worden onderzocht betreft de vraag of de toezichthoudende autoriteit verplicht is administratieve geldboeten op te leggen wanneer de klager daar uitdrukkelijk om verzoekt. Zoals ik bij het onderzoek van de ontvankelijkheid van het verzoek om een prejudiciële beslissing heb opgemerkt, blijkt uit het dossier dat TR de HBDI had verzocht om tegen de Sparkasse op te treden en om haar administratieve geldboeten op te leggen. Ter ondersteuning van zijn verzoek had TR berekeningen gemaakt om de hoogte van de op te leggen geldboete te bepalen.(36) Dit verzoek is kennelijk gebaseerd op het standpunt dat een klager een subjectief recht jegens de toezichthoudende autoriteit heeft om te verzoeken om de vaststelling van een specifieke maatregel. Zoals ik hierna zal uiteenzetten, ben ik evenwel van mening dat dit standpunt geen rechtsgrondslag heeft.
76. Ten eerste is uit mijn analyse gebleken dat de toezichthoudende autoriteit over een discretionaire bevoegdheid beschikt om in elk individueel geval de passende maatregel te kiezen. Behoudens bijzondere omstandigheden die tot een beperking van deze discretionaire bevoegdheid kunnen leiden, zoals de ernst of de voortdurende impact van een inbreuk in verband met persoonsgegevens – die mijns inziens in casu niet aanwezig zijn – behoudt de toezichthoudende autoriteit deze discretionaire bevoegdheid. Aangezien administratieve geldboeten behoren tot de corrigerende maatregelen die de toezichthoudende autoriteit op grond van artikel 58, lid 2, AVG kan nemen, is het logisch om daaruit af te leiden dat die discretionaire bevoegdheid ook de vaststelling van die geldboeten omvat. Hieruit volgt dat de toezichthoudende autoriteit niet verplicht is om in het belang van de klager op te treden door een bepaalde corrigerende maatregel vast te stellen.
77. Ten tweede kan, zelfs indien de omstandigheden van het onderhavige geval zodanig verschillend zouden zijn dat de vaststelling van een specifieke corrigerende maatregel gerechtvaardigd zou zijn, mijns inziens niet op goede gronden worden gesteld dat een administratieve geldboete moet worden opgelegd. Net zoals de Oostenrijkse regering ben ik van mening dat rekening moet worden gehouden met de doelstellingen van de verschillende corrigerende maatregelen die worden opgesomd in artikel 58, lid 2, AVG, en in het bijzonder de administratieve geldboete. Meer concreet verzet de juridische aard ervan zich mijns inziens tegen de erkenning dat de betrokkene een subjectief recht heeft in bovengenoemde zin, aangezien een van de doelstellingen van deze maatregel erin bestaat een gedraging te bestraffen die in strijd met het Unierecht wordt geacht. Ik ben van mening dat de administratieve geldboete wegens haar punitieve doel, althans in bepaalde situaties(37), en gelet op de mogelijke zwaarte ervan, strafrechtelijk van aard kan zijn.(38) In dit verband zij eraan herinnerd dat het recht om te straffen („jus puniendi”) uitsluitend toekomt aan de staat en zijn organen.
78. Dienaangaande zij opgemerkt dat artikel 83, lid 1, AVG onder meer vereist dat de geldboeten in elke zaak „doeltreffend, evenredig en afschrikkend” zijn. De beoordeling van de vraag of de voorgenomen geldboete in een bepaald geval aan deze voorwaarden voldoet, is een zaak van de toezichthoudende autoriteit, die op eigen verantwoordelijkheid handelt. Het staat aan haar om te beslissen of het instrument van de administratieve geldboete in een specifiek geval moet worden gebruikt. Daartoe verschaft de Uniewetgever haar een gedetailleerd juridisch kader. Zo worden in artikel 83 AVG de algemene voorwaarden voor het opleggen van dergelijke geldboeten vastgesteld, die worden aangevuld door de richtsnoeren voor de toepassing en vaststelling van administratieve geldboeten in de zin van de AVG, die de EDPB heeft opgesteld overeenkomstig artikel 70, lid 1, onder k), van die verordening. Dienaangaande zij opgemerkt dat uit geen van deze regels en richtsnoeren kan worden afgeleid dat de klager van wie de rechten zijn geschonden, een bijzondere juridische status geniet op grond waarvan hij de toezichthoudende autoriteit kan verzoeken om de overtreder een administratieve geldboete op te leggen.
79. Het is juist dat bepaalde in artikel 83, lid 2, AVG genoemde criteria – zoals de omvang van de geleden schade – erop wijzen dat de toezichthoudende autoriteit bij het nemen van een besluit ook rekening moet houden met de situatie van de betrokkene. Deze criteria vormen op zichzelf evenwel geen toereikende aanwijzing voor het bestaan van een subjectief recht om de oplegging van een geldboete te vorderen. Zoals blijkt uit de uitlegging van deze bepaling, gelezen in het licht van overweging 75 van die verordening, hebben die criteria tot doel de toezichthoudende autoriteit nuttige gegevens te verschaffen op basis waarvan zij de aard, de ernst en de duur van de inbreuk kan beoordelen en de corrigerende maatregel kan kiezen die passend is.(39) Derhalve kan de toezichthoudende autoriteit per geval verschillende corrigerende maatregelen – en niet alleen een administratieve geldboete – overwegen, zonder dat de betrokkene kan eisen dat er een bepaalde maatregel wordt vastgesteld. Het staat enkel aan de toezichthoudende autoriteit om te besluiten of een maatregel moet worden vastgesteld met het doel de naleving van de regels te herstellen of een onrechtmatige gedraging te bestraffen.
80. Ten derde kan evenmin een andere gevolgtrekking worden gemaakt uit het feit dat de Uniewetgever de rol van de toezichthoudende autoriteit in het door de AVG ingestelde beboetingssysteem heeft gedefinieerd op basis van de bevoegdheden die de Commissie heeft op het gebied van het mededingingsrecht.(40) In dit verband zij eraan herinnerd dat de bevoegdheid van deze instelling om geldboeten op te leggen aan ondernemingen die inbreuken plegen in de zin van de artikelen 101 en 102 VWEU, een van de middelen is die haar ter beschikking zijn gesteld om de haar door het Unierecht toevertrouwde toezichthoudende taak te kunnen uitoefenen.(41) Opgemerkt dient evenwel te worden dat de Commissie over een discretionaire bevoegdheid beschikt waarvan de uitoefening uitsluitend wordt beperkt door de eerbiediging van de algemene beginselen van het Unierecht, daaronder begrepen het evenredigheidsbeginsel en het gelijkheidsbeginsel.(42) Voorts zij erop gewezen dat geen enkele bepaling van verordening (EG) nr. 1/2003 betreffende de uitvoering van de mededingingsregels(43)voorschrijft dat klagers of derden van wie de belangen kunnen worden geraakt door een besluit dat is genomen in het kader van een door de Commissie ingeleide administratieve procedure(44), het recht hebben om op grond van artikel 23 van die verordening te vorderen dat geldboeten worden vastgesteld, aangezien de Commissie krachtens artikel 27 van die verordening enkel gehouden is eventuele verzoeken om te worden gehoord in te willigen die door hen zijn ingediend voordat een sanctie is vastgesteld.
81. Op basis van het bovenstaande is het mijns inziens niet mogelijk om bij de huidige stand van het Unierecht tot de slotsom te komen dat de klager van wie de rechten zijn geschonden, een subjectief recht heeft om de oplegging van een administratieve geldboete te vorderen. Dit doet geen afbreuk aan de mogelijkheid voor de klager om het gebruik van een dergelijke corrigerende maatregel voor te stellen door argumenten en bewijzen aan te dragen ter onderbouwing van zijn standpunt. Het definitieve besluit behoort evenwel tot de discretionaire bevoegdheid van de toezichthoudende autoriteit.
D. Samenvatting van de analyse van de prejudiciële vraag
82. Uit bovenstaande analyse volgt dat de toezichthoudende autoriteit verplicht is om op te treden wanneer zij in het kader van het onderzoek van een klacht een inbreuk in verband met persoonsgegevens vaststelt. Zij moet met name bepalen welke corrigerende maatregel of maatregelen het meest passend is of zijn om de inbreuk te verhelpen en de rechten van de betrokkene te handhaven. In dit verband vereist de AVG dat deze maatregelen passend, noodzakelijk en evenredig zijn en kent zij de toezichthoudende autoriteit enige discretionaire bevoegdheid toe. Onder bepaalde voorwaarden kan de toezichthoudende autoriteit afzien van de in artikel 58, lid 2, van die verordening genoemde maatregelen ten gunste van „autonome” maatregelen die door de verwerkingsverantwoordelijke zelf worden genomen. Hoe dan ook heeft de betrokkene niet het recht om te eisen dat er een bepaalde maatregel wordt vastgesteld. Deze beginselen gelden eveneens voor het stelsel van administratieve geldboeten.
VI. Conclusie
83. Gelet op een en ander geef ik het Hof in overweging om de prejudiciële vraag van het Verwaltungsgericht Wiesbaden te beantwoorden als volgt:
„Artikel 57, lid 1, onder a) en f), artikel 58, lid 2, onder a) tot en met j), en artikel 77, lid 1, van verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG (algemene verordening gegevensbescherming),
moeten, in onderlinge samenhang gelezen, aldus worden uitgelegd dat
wanneer de toezichthoudende autoriteit vaststelt dat een gegevensverwerking inbreuk maakt op de rechten van de betrokkene, zij verplicht is om op te treden overeenkomstig artikel 58, lid 2, van verordening 2016/679, voor zover dit noodzakelijk is om de volledige naleving van die verordening te waarborgen. In dit verband moet zij – rekening houdend met de concrete omstandigheden van elk geval – het middel kiezen dat passend, noodzakelijk en evenredig is, met name om de inbreuk te verhelpen en de rechten van de betrokkene te handhaven.”
1 Oorspronkelijke taal: Frans.
2 PB 2016, L 119, blz. 1, met rectificaties in PB 2018, L 127, blz. 2, en PB 2021, L 74, blz. 35.
3 Conclusie in de gevoegde zaken SCHUFA Holding (Kwijtschelding van restschuld) (C‑26/22 en C‑64/22, EU:C:2023:222).
4 Zie arrest van 10 december 2020, J & S Service (C‑620/19, EU:C:2020:1011, punt 31 en aldaar aangehaalde rechtspraak).
5 Zie arrest van 14 juli 2022, Sense Visuele Communicatie en Handel vof (C‑36/21, EU:C:2022:556, punt 22 en aldaar aangehaalde rechtspraak).
6 Arrest van 7 december 2023, SCHUFA Holding (Kwijtschelding van restschuld) (C‑26/22 en C‑64/22, EU:C:2023:958).
7 Zie punten 35-39 van deze conclusie.
8 Zie punten 40 e.v. van deze conclusie.
9 Arrest SCHUFA (punt 55).
10 Arrest SCHUFA (punt 56).
11 Arrest SCHUFA (punten 56 en 57).
12 Arrest SCHUFA (punt 58).
13 Arrest SCHUFA (punt 70).
14 Zie „Richtsnoeren voor de toepassing en vaststelling van administratieve geldboeten in de zin van de [AVG]” van de Artikel 29-werkgroep, vastgesteld op 3 oktober 2017, blz. 5 (hierna: „richtsnoeren voor de toepassing en vaststelling van administratieve geldboeten in de zin van de AVG”). Deze werkgroep is vervolgens vervangen door het Europees Comité voor gegevensbescherming (hierna: „EDPB”). De richtsnoeren blijven evenwel geldig.
15 Zie in die zin Chamberlain, J., en Reichel, J., „The Relationship Between Damages and Administrative Fines in the EU General Data Protection Regulation”, Mississippi Law Journal, 2020, deel 89(4), blz. 686, die zich baseren op voornoemde richtsnoeren.
16 Hijmans, H., „Article 57. Tasks”, Kuner, C., Bygrave, L. A., en Docksey, C., (ed.), The EU General Data Protection Regulation (GDPR), Oxford, 2020, blz. 934.
17 Zie in die zin Härting, N., Flisek, C., en Thiess, L., „DSGVO: Der Verwaltungsakt wird zum Normalfall – Das neue Beschwerderecht des Bürgers”, Computer und Recht, 5/2018, blz. 299.
18 Zie mijn conclusie in de SCHUFA-zaken, punten 41 e.v.
19 Zie de Spaanse („dispondrá de [...] los [...] poderes correctivos”), de Deense („har [...] korrigerende beføjelser”), de Duitse („verfügt über [...] Abhilfebefugnisse, die es ihr gestatten”), de Estse („on [...] parandusvolitused”), de Engelse („shall have [...] corrective powers”), de Italiaanse („ha [...] i poteri correttivi”), de Nederlandse („heeft [...] bevoegdheden tot het nemen van corrigerende maatregelen”), de Poolse („przysługują [...] uprawnienia naprawcze”), de Portugese („dispõe dos [...] poderes de correção”) en de Zweedse taalversie („ska ha [...] korrigerande befogenheter”).
20 Zie in die zin, Härting, N., Flisek, C., en Thiess, L., „DSGVO: Der Verwaltungsakt wird zum Normalfall – Das neue Beschwerderecht des Bürgers”, Computer und Recht, 5/2018, blz. 299.
21 Zie arrest SCHUFA (punt 57) en arrest van 16 juli 2020, Facebook Ireland en Schrems (C‑311/18, EU:C:2020:559, punt 111). Cursivering van mij
22 Arrest van 16 juli 2020, Facebook Ireland en Schrems (C‑311/18, EU:C:2020:559, punt 112). Cursivering van mij.
23 Zie punt 42 van die conclusie.
24 Arrest van 16 juli 2020, Facebook Ireland en Schrems (C‑311/18, EU:C:2020:559, punt 113). Het Hof heeft geoordeeld dat de toezichthoudende autoriteit krachtens artikel 58, lid 2, onder f) en j), AVG de doorgifte van persoonsgegevens naar een derde land moet opschorten of verbieden wanneer zij – gelet op alle omstandigheden van die doorgifte – van oordeel is dat de standaardbepalingen inzake gegevensbescherming in dat derde land niet worden of niet kunnen worden nageleefd en de door het Unierecht vereiste bescherming van de doorgegeven gegevens niet kan worden gewaarborgd met andere middelen, indien de in de Unie gevestigde verwerkingsverantwoordelijke of zijn in de Unie gevestigde verwerker niet zelf de doorgifte heeft opgeschort of beëindigd.
25 Zie in die zin Georgieva, L., en Schmidl, M., „Article 58. Powers”, in Kuner, C., Bygrave, L. A., en Docksey, C., (ed.), The EU General Data Protection Regulation (GDPR), Oxford, 2020, blz. 945.
26 Zie arrest van 5 december 2023, Nacionalinis visuomenės sveikatos centras (C‑683/21, EU:C:2023:949, punt 78).
27 Zie de richtsnoeren voor de toepassing en vaststelling van administratieve geldboeten in de zin van de AVG, blz. 9.
28 Zie de Spaanse („Al decidir la imposición”), de Deense („Når der træffes afgørelse om, hvorvidt der skal pålægges”), de Duitse („Bei der Entscheidung über die Verhängung”), de Estse („Otsustades igal konkreetsel juhul”), de Engelse („When deciding whether to impose”), de Italiaanse („Al momento di decidere se infliggere”), de Nederlandse („Bij het besluit over de vraag of [...] wordt opgelegd”), de Poolse („Decydując, czy nałożyć”), de Portugese („Ao decidir sobre a aplicação”) en de Zweedse taalversie („Vid beslut om huruvida [...] ska påföras”).
29 Zie in dit verband arrest van 5 december 2023, Deutsche Wohnen (C‑807/21, EU:C:2023:950, punten 61 e.v.).
30 Arrest van 5 december 2023, Nacionalinis visuomenės sveikatos centras (C‑683/21, EU:C:2023:949, punt 76).
31 Zie punt 45 van de onderhavige conclusie.
32 Zie de conclusie van advocaat-generaal Emiliou in de zaak Nacionalinis visuomenės sveikatos centras (C‑683/21, EU:C:2023:376, punt 78), waarin hij uiteenzet dat de Uniewetgever bij de vaststelling van de AVG niet heeft gewild dat elke inbreuk op de gegevensbeschermingsregels met een administratieve geldboete wordt bestraft.
33 Zie de richtsnoeren voor de toepassing en vaststelling van administratieve geldboeten in de zin van de AVG, blz. 9.
34 Zie de richtsnoeren voor de toepassing en vaststelling van administratieve geldboeten in de zin van de AVG, blz. 9.
35 Holländer, C., Beck’scher Online-Kommentar Datenschutzrecht (Wolff/Brink/Ungern-Sternberg), 46e editie, München 2017, artikel 83 AVG, punt 22; Frenzel, E., Datenschutz-Grundverordnung Kommentar (Paal/Pauly/Frenzel), 3e editie, München 2021, artikel 83 AVG, punten 8‑12, waarin wordt uitgelegd dat de toezichthoudende autoriteit over een discretionaire bevoegdheid beschikt en bijgevolg niet verplicht is om in alle gevallen een administratieve geldboete op te leggen.
36 Zie punt 30 van de onderhavige conclusie.
37 In de richtsnoeren voor de toepassing en vaststelling van administratieve geldboeten in de zin van de AVG (blz. 6) staat te lezen dat administratieve geldboeten „corrigerende maatregelen” zijn die tot doel kunnen hebben dat „de naleving van de regels wordt hersteld of dat een onrechtmatige gedraging wordt bestraft (of beide)”. Cursivering van mij.
38 Ik breng in herinnering dat drie criteria relevant zijn voor de beoordeling of sancties een strafrechtelijk karakter hebben. Het eerste criterium is de juridische kwalificatie van de inbreuk naar nationaal recht, het tweede de aard van de inbreuk en het derde de zwaarte van de sanctie die de betrokkene kan worden opgelegd [zie arresten van 5 juni 2012, Bonda (C‑489/10, EU:C:2012:319, punt 37), en 2 februari 2021, Consob (C‑481/19, EU:C:2021:84, punt 42)]. Zie ook het Europees Hof voor de Rechten van de Mens, 8 juni 1976, Engel e.a. tegen Nederland, CE:ECHR:1976:0608JUD000510071, § 82). Om een geldboete als strafrechtelijk te kunnen aanmerken, hoeft niet aan alle criteria te worden voldaan [zie in dit verband de conclusie van advocaat-generaal Bot in de zaak ThyssenKrupp Nirosta/Commissie (C‑352/09 P, EU:C:2010:635, punt 50 en aldaar aangehaalde rechtspraak)].
39 Zie de richtsnoeren voor de toepassing en vaststelling van administratieve geldboeten in de zin van de AVG (blz. 12), waaruit blijkt dat de omvang van de schade in aanmerking moet worden genomen „bij de keuze van de corrigerende maatregel”, hetgeen niet uitsluit dat andere corrigerende maatregelen dan een administratieve geldboete worden vastgesteld. Voorts staat daarin te lezen dat „het opleggen van een geldboete niet afhangt van het feit of de toezichthoudende autoriteit in staat is om een oorzakelijk verband vast te stellen tussen de inbreuk en de materiële schade”. Hieruit volgt dat het besluit om een administratieve geldboete op te leggen afhangt van elk individueel geval en niet alleen van het bestaan van schade.
40 Zie in dit verband de conclusie van advocaat-generaal Emiliou in de zaak Nacionalinis visuomenės sveikatos centras (C‑683/21, EU:C:2023:376, punt 84), waarin wordt gewezen op de overeenkomsten tussen de twee beboetingssystemen. Zie ook arrest van 5 december 2023, Deutsche Wohnen (C‑807/21, EU:C:2023:950, punten 55 e.v.).
41 Zie in die zin arrest van 11 juni 2009, X (C‑429/07, EU:C:2009:359, punt 35 en aldaar aangehaalde rechtspraak).
42 Conclusie van advocaat-generaal Kokott in de gevoegde zaken Alliance One International en Standard Commercial Tobacco/Commissie en Commissie/Alliance One International e.a. (C‑628/10 P en C‑14/11 P, EU:C:2012:11, punt 48 en aldaar aangehaalde rechtspraak).
43 Verordening van de Raad van 16 december 2002 betreffende de uitvoering van de mededingingsregels van de artikelen 81 en 82 van het Verdrag (PB 2003, L 1, blz. 1).
44 Zie in die zin Wils, W., „Procedural rights and obligations of third parties in antitrust investigation and proceedings by the European Commission”, Concurrence, nr. 2‑2022, blz. 50.