HvJ EU over de bevoegdheid van niet-leidende nationale toezichthoudende autoriteiten bij grensoverschrijdende gegevensverwerking
/HvJ EU 15 juni 2021, C-645/19 (Facebook Ireland, Facebook Belgium en Facebook Inc. tegen Gegevensbeschermingsautoriteit)
In het kader van grensoverschrijdende gegevensverwerking wordt één toezichthoudende nationale autoriteit aangewezen als ‘leidende toezichthoudende autoriteit’. De Algemene Verordening Gegevensbescherming (AVG) staat onder bepaalde omstandigheden toe dat een niet-leidende toezichthoudende autoriteit AVG-inbreuken voor de gerechten van zijn lidstaat brengt. Deze mogelijkheid bestaat voor de niet-leidende toezichthoudende autoriteit wanneer hij, op grond van de in de AVG opgenomen bevoegdheidsregels, ook bevoegd was geweest om een besluit te nemen ten aanzien van de conformiteit met de AVG van de grensoverschrijdende gegevensverwerking.
Achtergrond
De EU-wetgever heeft in de Algemene Verordening Gegevensbescherming (AVG) een speciale regeling voor grensoverschrijdende gegevensverwerkingen neergelegd.
In artikel 55, lid 1 van de AVG is de hoofdregel opgenomen. In dat artikel is vastgelegd dat iedere nationale toezichthoudende autoriteit de onder de AVG aan hem toegekende taken op het nationale grondgebied mag uitoefenen. Eén van deze onder de AVG toegekende taken is neergelegd in artikel 58, lid 5 van de AVG . Dit artikel bepaalt dat toezichthoudende autoriteiten de bevoegdheid hebben om inbreuken op de AVG ter kennis te brengen van de gerechtelijke autoriteiten en om in rechte op te treden tegen deze inbreuken.
Voor grensoverschrijdende gegevensverwerking geldt een uitzondering op de hoofdregel. Artikel 56, lid 1 van de AVG bepaalt dat de toezichthoudende autoriteit van de lidstaat van de hoofdvestiging of enige vestiging van de verwerkingsverantwoordelijke of verwerker, bevoegd is om op te treden als ‘leidende toezichthoudende autoriteit’ voor de grensoverschrijdende verwerking. Deze regel is ook bekend als het ‘één-loketmechanisme’.
Een nationale toezichthoudende autoriteit die wordt aangewezen als ‘leidende toezichthoudende autoriteit’ heeft een aantal verplichtingen. Het gaat onder meer om de plicht tot samenwerking met andere betrokken nationale toezichthoudende autoriteiten ten aanzien van de grensoverschrijdende gegevensbescherming ( artikel 60 van de AVG ). Ook kan bijvoorbeeld worden gedacht aan de plicht tot wederzijdse bijstand tussen de nationale toezichthoudende autoriteiten.
In deze zaak heeft de voorzitter van de Belgische privacycommissie in september 2015 een procedure ingesteld bij de Belgische rechter tegen Facebook Inc, Facebook Ireland Ltd. en Facebook Belgium (hierna tezamen: Facebook). Deze privacy-commissie is later de Belgische Gegevensbeschermingsautoriteit (GBA) geworden en de GBA kan worden aangemerkt als ‘toezichthoudende nationale instantie’ in de zin van de AVG. De procedure in deze zaak had betrekking op vermeende inbreuken op de wetgeving inzake gegevensbescherming door Facebook.
Nadat de Belgische rechter in eerste aanleg Facebook had gelast om bepaalde activiteiten ten aanzien van internetgebruikers op het Belgische grondgebied te staken, heeft Facebook hoger beroep ingesteld. Bij de rechter in hoger beroep zijn twijfels ontstaan over de vraag of de Belgische gegevensbeschermingsautoriteit (GBA) bevoegd was om vermeende AVG-inbreuken door Facebook Belgium voor de Belgische rechter te brengen. Facebook Ireland is namelijk verwerkingsverantwoordelijke voor de gegevens in kwestie. Daardoor zou de Ierse gegevensbeschermingsautoriteit ingevolge het één-loketmechanisme kwalificeren als de ‘leidende toezichthoudende autoriteit’. De Ierse gegevensbeschermingsautoriteit zou daarom als enige bevoegd zijn om een vordering in te stellen tot staking van de vermeende AVG–inbreuk door Facebook Belgium.
De Belgische rechter heeft zich tot het EU-Hof gewend met een aantal vragen. Ten eerste wil de rechter van het EU-Hof weten of de GBA zijn bevoegdheid om vermeende AVG-inbreuken van Facebook voor de Belgische rechter te brengen (art. 58 lid 5 AVG) kan uitoefenen, ondanks dat de GBA niet de ‘leidende toezichthoudende autoriteit voor de gegevensverwerking is.
Daarnaast stelt de Belgische rechter een aantal vragen aan het EU-Hof over de vereisten voor de uitoefening van de in artikel 58, lid 5 van de AVG neergelegde bevoegdheid van nationale toezichthoudende autoriteiten om vermeende AVG-inbreuken voor de rechter van die lidstaat te brengen, wanneer er sprake is van grensoverschrijdende gegevensverwerking. In dit kader wil hij weten of voor die bevoegdheidsuitoefening vereist is dat de verwerkingsverantwoordelijke over een hoofd –of andere vestiging beschikt op het grondgebied van de lidstaat van de nationale toezichthoudende autoriteit. Ook vraagt de rechter aan het EU-Hof of voor deze bevoegdheidsuitoefening vereist is dat de nationale toezichthoudende autoriteit de vordering richt tegen de hoofdvestiging van de verwerkingsverantwoordelijke of tegen de vestiging die zich in de lidstaat van de nationale toezichthoudende autoriteit bevindt. Tot slot vraagt de Belgische rechter aan het EU-Hof in hoeverre artikel 58, lid 5 van de AVG rechtstreekse werking heeft.
Oordeel HvJ EU
Het EU-Hof oordeelt dat het onder omstandigheden mogelijk is dat een ‘niet-leidende nationale toezichthoudende’ autoriteit bij grensoverschrijdende gegevensverwerking een inbreuk op de AVG ter kennis brengt van de rechterlijke instanties van die lidstaat. Deze mogelijkheid bestaat voor zover er sprake is van één van de bij de AVG voorziene situaties waarin die toezichthoudende autoriteit bevoegd zou zijn geweest om een besluit te nemen waarbij wordt vastgesteld dat een bepaalde grensoverschrijdende gegevensverwerking een inbreuk op de AVG oplevert.
Het EU-Hof komt tot dit oordeel op basis van de bevoegdheidsverdeling uit de AVG. Bij die bevoegdheidsverdeling is gekozen voor een éénloketmechanisme, wat in wezen inhoudt dat er een bevoegdheidsverdeling is gemaakt waarbij aan de leidende toezichthoudende autoriteit de bevoegdheid is toegekend om als enige op te treden ten aanzien van de grensoverschrijdende gegevensverwerking. Wel moeten daarvoor de voorschriften omtrent samenwerking tussen de leidende en andere betrokken toezichthoudende autoriteiten in acht worden genomen.
Deze bevoegdheidsverdeling maakt dat een niet-leidende toezichthoudende autoriteit de AVG-inbreuk alleen voor de gerechten van zijn lidstaat kan brengen wanneer de AVG in een uitzondering op deze bevoegdheidsverdeling voorziet die de autoriteit dat toestaat. Bij het benutten van deze uitzonderingen dienen de procedures voor samenwerking met de leidende toezichthoudende autoriteit in acht worden genomen. Een voorbeeld van een dergelijke uitzondering is artikel 56, lid 2 van de AVG. In dit artikel wordt bepaald dat een niet-leidende toezichthoudende autoriteit competent is ten aanzien van een grensoverschrijdende gegevensverwerking wanneer deze alleen verband houdt met een vestiging of betrokkenen in de lidstaat van die toezichthoudende autoriteit.
Vervolgens oordeelt het EU-Hof dat voor de bevoegdheidsuitoefening door een niet-leidende toezichthoudende autoriteit niet vereist is dat de verwerkingsverantwoordelijke of verwerker over een hoofdvestiging of andere vestiging in die lidstaat beschikt. Het EU-Hof oordeelt namelijk dat artikel 3, lid 1 van de AVG voor de toepasselijkheid van de AVG alleen de voorwaarde stelt dat de verwerkingsverantwoordelijke of verwerker - die gegevens grensoverschrijdend verwerkt - een vestiging in de EU heeft. Ook oordeelt het Hof dat de niet-leidende toezichthoudende autoriteit die op basis van de bevoegdheidsverdeling uit de AVG bevoegd is om bij een grensoverschrijdende gegevensverwerking een AVG-inbreuk voor de rechter van zijn lidstaat te brengen, die bevoegdheid mag uitoefenen ten aanzien van zowel een hoofdvestiging van die verwerkingsverantwoordelijke in de desbetreffende lidstaat, als ten aanzien van een andere vestiging.
Tot slot oordeelt het Hof dat wanneer een niet-leidende toezichthoudende autoriteit voor de inwerkingtreding van de AVG bij de nationale rechter een vordering heeft ingesteld, de richtlijn gegevensbescherming (niet meer van kracht) van toepassing is op voor de inwerkingtreding van de AVG begane inbreuken. Op na de inwerkingtreding van de AVG begane inbreuken is de AVG van toepassing en kan de niet-leidende toezichthoudende autoriteit vorderingen instellen voor zover hij daartoe op grond van de AVG bevoegd is.
Ook oordeelt het Hof dat artikel 58, lid 5 van de AVG - op basis waarvan nationale toezichthoudende autoriteiten bevoegd zijn AVG-inbreuken voor de rechter te brengen - rechtstreekse werking heeft.
Lees hier de volledige uitspraak.