Handhaving: bevoegdheid of verplichting?
8 november 2024De verschillende toezichthouders in de EU krijgen jaarlijks vele meldingen binnen van overtredingen van de AVG. Zeker in Nederland, waar de Autoriteit Persoonsgegevens al jaren kampt met achterstanden en capaciteitsproblemen, moet de toezichthouder vervol-gens beslissen welke meldingen zij opvolgt. Maar heeft de toezichthouder daar wel een keuze in of moet de toezichthouder bij een overtreding handhavend optreden? Deze vraag heeft een Duitse rechter als prejudiciële vraag voorgelegd aan het Europees Hof van Jus-titie.
Handhaving in de AVG
Op grond van art. 57 lid 1 AVG moeten toezichthouders onder meer de toepassing van de AVG monitoren en handhaven (sub a) en klachten van betrokkenen en organisaties be-handelen (sub f). In dat verband zijn in art. 58 AVG diverse onderzoeksbevoegdheden (lid 1) en handhavingsbevoegdheden (lid 2) voor toezichthouders opgenomen. Denk bij de handhavingsbevoegdheden aan het geven van een waarschuwing of berisping, het ver-plichten om verzoeken van betrokkenen op te volgen of gegevensverwerkingen aan te passen of aan het opleggen van een boete (zoals nader uitgewerkt in art. 83 AVG) of van een (al dan niet tijdelijk) verwerkingsverbod.
De zaak in kwestie
Een gemeentelijke instantie in Duitsland, de Sparkasse, heeft bij de Duitse toezichthouder van de deelstaat Hessen (de ‘HBDI’) gemeld dat een van haar werknemers zonder toe-stemming persoonsgegevens van een klant heeft ingezien. De Sparkasse heeft die in-breuk niet aan de betreffende klant medegedeeld. Nadat de klant hier toevallig toch achter is gekomen, heeft hij een klacht ingediend bij de HDBI.
Daarop heeft de HDBI onderzoek ingesteld naar de Sparkasse. Naar aanleiding daarvan heeft de HDBI geoordeeld dat de overwegingen van de Sparkasse om de inbreuk niet aan de klant mede te delen niet kennelijk onjuist waren en dat de toezeggingen van Sparkasse om dergelijke inbreuken in de toekomst te voorkomen en beter op te pakken voldoende waren om niet tot handhavend optreden over te gaan. De klant heeft daartegen beroep ingesteld bij de Duitse rechter.
De klant stelt dat de HDBI gelet op de verschillende inbreuken een boete aan de Sparkas-se had moeten opleggen en dat de HDBI bij een dergelijke bewezen inbreuk er niet voor kon kiezen om niet handhavend op te treden, maar hooguit alleen de wijze van handha-ving mocht kiezen. Omdat hier in de rechtspraak verschillend over wordt gedacht, heeft de Duitse rechter daarover een prejudiciële vraag gesteld aan het Hof van Justitie.
Antwoord op de prejudiciële vraag
Het Hof stelt voorop dat de door de klant ingestelde klachtenprocedure is bedoeld om de rechten en belangen van betrokkenen doeltreffend te kunnen beschermen. Omdat alleen door strenge handhaving het beoogde hoge beschermingsniveau van de AVG wordt ge-waarborgd, is de beoordelingsmarge van toezichthouders om handhavend op te treden beperkt. Wel zijn de handhavingsmogelijkheden in de AVG zo ingestoken dat toezichthou-ders, afhankelijk van de omstandigheden van het geval, de meest passende en gerecht-vaardigde sancties mogen opleggen. Dit vloeit ook voort uit de doelstellingen die met deze handhavingsmaatregelen worden nagestreefd.
Daarom kan uit art. 58 lid 2 en/of 83 AVG geen verplichting worden afgeleid dat toezicht-houders in alle gevallen verplicht tot handhaving moeten overgaan. De klager kan dit handhavend optreden ook niet afdwingen. Wel moet een toezichthouder handhavend op-treden als een of meer van de handhavingsmaatregelen in art. 58 lid 2 AVG (rekening houdend met alle omstandigheden van het geval) passend, noodzakelijk en evenredig zijn om de betreffende inbreuk te verhelpen en naleving van de AVG te waarborgen.
Concreet in de zaak in kwestie merkt het Hof nog op dat niet kan worden uitgesloten dat de Duitse toezichthouder bij wijze van uitzondering mocht afzien van handhaving, zelfs als vaststaat dat sprake is van een inbreuk. Dat kan bijvoorbeeld zijn als de inbreuk is ge-staakt, omdat de Sparkasse passende en noodzakelijke (beveiligings)maatregelen heeft genomen die er ook op zien dat een nieuwe inbreuk zich niet voordoet.
Afsluitende opmerkingen
Het Hof van Justitie bevestigt dus dat toezichthouders een (beperkte) beoordelingsmarge hebben om al dan niet handhavend op te treden. Zij zullen hun beweegredenen dan wel duidelijk moeten motiveren. Vanuit de klager bezien geeft deze uitspraak ook handvatten om de toezichthouder aan te zetten tot handhaving, ook als eerder toegezegde corrige-rende maatregelen van de betreffende verwerkingsverantwoordelijke niet worden nage-komen of niet tot het beoogde resultaat hebben geleid.
Meer informatie of vragen?
Neemt u dan gerust contact op met onze privacy expert Xander Alders. Dat kan telefonisch via 088 627 22 87 of per e-mail via xander.alders@pellicaan.nl.
Bronvermelding
Xander Alders is auteur voor Sdu. Dit artikel is gepubliceerd in Sdu OpMaat algemeen, OpMaat privacyrecht basis en OpMaat Privacyrecht Plus.
