Menu

Zoek op
rubriek
Data&Privacyweb
0

(Bijna) iedere niet-EU organisatie valt toch onder de AVG?

In december 2020 heeft de Autoriteit Persoonsgegevens (“AP”) LocateFamiliy.com (“LocateFamily”) een boete van ruim 5 ton opgelegd wegens het niet aanstellen van een vertegenwoordiger in de Europese Unie (“EU”). Het is de eerste keer dat een toezichthouder in de EU gehandhaafd heeft op deze verplichting. Op het eerste gezicht lijkt dat een goede zaak: met een vertegenwoordiger kunnen EU-burgers makkelijker een organisatie buiten de EU aanspreken (die hun gegevens verwerkt) en daarmee hun rechten onder de AVG tegenover deze organisatie uitoefenen. Er is al veel gediscussieerd over de gevolgen van dit boetebesluit en in hoeverre op deze verplichting tot het aanstellen van een Europese vertegenwoordiger gehandhaafd gaat worden door andere Europese toezichthouders. Echter, voordat deze verplichting bestaat, moet de AVG natuurlijk wel van toepassing zijn. Organisaties buiten de EU kunnen ook onder de AVG vallen op basis van art. 3 lid 2 AVG. De AP motiveert dat hier erg summier wat de vraag oproept: valt bijna ieder bedrijf buiten de EU onder de AVG? En wat is de beoordelingsvrijheid van de AP daarbij?

23 jun 2021


Boetebesluit Locatedfamily.com

LocateFamily biedt een platform via haar website aan voor iedereen die op zoek is naar bekenden die zij uit het oog zijn verloren. Zij publiceert contactgegevens van personen, zoals NAW-gegevens, naam, adres, woonplaats en soms ook een telefoonnummer op haar platform. De website is zowel binnen als buiten de EU gratis toegankelijk voor het publiek en men hoeft geen lid te worden of een account aan te maken. Het publiek is er over het algemeen niet van op de hoogte dat hun gegevens hier beschikbaar worden gesteld door LocateFamily. Wie even Googelt naar de website komt er al snel achter dat op verschillende fora zorgen worden geuit over de wijze waarop LocateFamily persoonsgegevens voor het grote publiek beschikbaar stelt. (1)

De AP heeft vanaf 28 mei 2018 tot 25 juli 2019 negentien klachten ontvangen uit Nederland over LocateFamily, vanwege het niet (adequaat) reageren op verwijderverzoeken van Nederlandersmet betrekking tot persoonsgegevens en het ontbreken van een vertegenwoordiger in de EU. Zij hebben LocateFamily daarom gevraagd waar zij gevestigd is en of zij een vertegenwoordiger heeft aangesteld. LocateFamily heeft volstaan met de mededeling dat zij niet is gevestigd in de EU en geen vertegenwoordiger heeft aangesteld, omdat zij geen zakelijke relaties in de EU heeft en daar ook geen goederen of diensten aanbiedt. Ook andere Europese toezichthouders hebben klachten ontvangen over de website van hun ingezetenen. Na technisch onderzoek van de AP bleek dat de webhost van de website zich in Canada bevond, waardoor de AP vermoedt dat zij daar gevestigd is. De AP heeft in dit opzicht niet stilgezeten: zij is een internationale samenwerking met Enforcement subgroup van European Data Protection Board (hierna: EDPB) aangegaan en heeft contact gehad met de Office of the Privacy Commissioner van Canada (de Canadese privacy toezichthouder). Intussen heeft LocateFamily het verzoek tot het verwijderen van persoonsgegevens deels gehonoreerd voor een aantal landen (Ierland, Frankrijk en Nederland), maar nog steeds geen vertegenwoordiger aangesteld. Toen LocateFamily niet reageerde op het voornemen op handhaving, heeft de AP haar de boete opgelegd. Deze bedroeg 525.000 euro, vanwege het feit dat LocateFamily van 25 mei 2018 t/m 10 december 2020 geen vertegenwoordiger in de EU aangewezen had en daarmee art. 27 lid 1 jo art. 3 lid 2 AVG had geschonden. Daarnaast legt zij een last onder dwangsom op: als er niet binnen 12 weken na dagtekening een vertegenwoordiger heeft aangesteld, dient zij 20.000 euro voor iedere 2 weken tot een max van 120.000 euro te betalen.

AVG van toepassing op organisaties buiten de EU

LocateFamily heeft dus aangegeven dat zij geen vertegenwoordiger heeft aangesteld, omdat zij geen goederen of diensten levert in de EU. Dit heeft haar een boete van ruim 5 ton opgeleverd. De AP heeft geoordeeld dat zij wel persoonsgegevens verwerkt onder de AVG. Maar is de AVG hier van toepassing?

Territoriaal toepassingsgebied AVG

In beginsel is de AVG alleen geldig in de Europese Unie. Doordat gegevensverwerkingen vaak internationaal plaatsvinden, kan de AVG ook van toepassing zijn als de verwerkingsverantwoordelijke of verwerker buiten de Europese Unie is gevestigd, maar zich richt op betrokkenen in de EU. (2)

Op grond van art. 3 lid 2 AVG is dit het geval als deze: a) goederen en diensten aanbiedt aan betrokkenen in de EU, ongeacht of hiervoor betaald moet worden of b) wanneer het gedrag van betrokkenen wordt gemonitord, voor zover dit in de EU plaatsvindt). Dit laatste is bijvoorbeeld het geval als mensen op het internet worden gevolgd door het opstellen van profielen. (3)

Deze vaststelling wordt door de EDPB ook wel de twee-staps-toets genoemd: eerst moet er gekeken worden of er sprake is van ‘gerichtheid’: de verwerking van persoonsgegevens moet zich richten op betrokkenen in de EU. (4) Daarna moet er geoordeeld worden of er sprake is van het aanbieden van goederen of diensten of het monitoren van betrokkenen.

Aanbieden van goederen en of diensten aan betrokkenen in de EU

Van het aanbieden van goederen aan betrokkenen in de EU is sprake als de verwerkingsverantwoordelijke of verwerker ‘klaarblijkelijk voornemens is geweest’ dit te doen. In overweging 23 van de AVG worden de volgende indicatoren genoemd: de toegankelijkheid van een website in de EU, de taal waarin gecommuniceerd wordt met de betrokkene, het hanteren van de euro als valuta in transacties en het vermelden van klanten in de EU. Dat de website van een verwerkingsverantwoordelijke toegankelijk is voor betrokkenen uit de EU of een taal die in het algemeen gebruikt wordt, is op zichzelf niet voldoende om dat voornemen vast te stellen.

Volgens het EDPB zijn bovenstaande elementen in overeenstemming met de jurisprudentie van het Hof van Justitie van de EU (5) bij het bepalen welke rechter bevoegd is in de EU bij consumentenzaken. (6) Om te bepalen of een ondernemer zijn commerciële activiteiten richt op een lidstaat waar de consument woont, moet deze hebben geuit dat hij commerciële betrekkingen wil aanknopen met deze consumenten. Daarnaast destilleert het EDPB nog negen andere omstandigheden, waaronder het noemen van ten minste één lidstaat van de EU, het betalen van een zoekmachine om EU-burgers makkelijke toegang te verlenen tot de website, het opstellen van marketing- en reclamecampagnes gericht tot een lidstaat of het gebruik van een andere taal of munteenheid dan die uit het land van de ondernemer. Met alle opgesomde factoren dient rekening te worden gehouden. Daarnaast moet het gaan om activiteiten die bewust – dus niet onbedoeld of incidenteel – zijn gericht op personen in de EU. (7)

Onderbouwing AP

Uit het boetebesluit blijkt dat de AP het volgende heeft meegenomen voor de toepassing van de AVG: dat “Locatefamily.com haar diensten heeft aangeboden zowel in Nederland als in acht andere EU-landen. Meerdere EU-toezichthouders hebben bevestigd dat er door betrokkenen uit de desbetreffende landen klachten zijn ingediend betreffende Locatefamily.com.” (8) Daarnaast stelt zij dat “met het registreren, digitaal opslaan en ter beschikking stellen van deze persoonsgegevens via haar website Locatefamily.com, is sprake van een geautomatiseerde verwerking van persoonsgegevens.” (9)

LocateFamily heeft zelf aangegeven dat zij niet in de EU gevestigd is én dat zij geen goederen of diensten aanbiedt aan burgers in de EU. De vraag is of de summiere onderbouwing van de AP die hierboven is gegeven voldoende is om dit verweer te weerleggen. De AP gaat er niet op in of LocateFamily ‘klaarblijkelijk voornemens’ is geweest om haar diensten in de EU aan te bieden. Het enkele feit dat EU burgers de website kunnen raadplegen, of dat EU burgers klachten ingediend hebben, is niet voldoende. Indicatoren die de AVG dus zelf noemt in de wettekst en de overweging, zijn hier niet aanwezig vanwege de dienst in kwestie, maar zijn door de AP ook niet genoemd. De website is gratis, dus aan de euro als gebruikte valuta kan niets worden afgeleid, de taal lijkt hier ondergeschikt (Engels), aangezien dat in Canada ook wordt gesproken. Daarnaast verwijst de AP ook niet naar de factoren die het EDPB heeft opgesomd en behandelt deze ook niet. Wanneer men nu de website zelf raadpleegt geeft de homepagina aan dat een personen uit een bepaald land op zoek is naar iemand, bijv. ‘Julia Janssen from the Netherlands is looking for Femke Schemkes’. Daarnaast zijn er ook een aantal andere omstandigheden zoals die het EDPB noemt, die wellicht de toepasselijkheid van de AVG zouden kunnen triggeren, zoals het noemen van een lidstaat. Echter, deze omstandigheden blijken niet uit het boetebesluit. De AP neemt hier vrij gemakkelijk aan dat LocateFamily onder de AVG valt.

Conclusie

De AP neemt in dit geval vrij gemakkelijk aan dat diensten worden aangeboden in de EU en dat daarmee de AVG van toepassing is. Het simpele feit dat een EU burger ‘bij’ een buitenlandse website kan betekent niet dat de AVG van toepassing is, evenals het feit dat de AP klachten van Nederlandse burgers krijgt. Het had meer richtlijnen voor de praktijk gegeven de AP in haar boetebesluit meer was ingegaan op wanneer de AVG van toepassing is op het leveren van gratis diensten door een organisatie buiten de EU. Zeker als de betrokken onderneming zelf stelt dat zij dat niet doet. Niet iedere organisatie buiten de EU valt onder de AVG. Het zou ondernemers meer richtlijnen geven met een sterkere onderbouwing, wanneer een gratis dienst die aangeboden wordt buiten de EU, valt onder de reikwijdte van de AVG.

Voetnoten

(1) locatefamily.com got my personal information without asking for permissions - advice : privacy (reddit.com), How can we protect our identity from locatefamily.com? This website is publishing the sensitive personal data without any consent. - Quora, LocateFamily.com - what is this? - On the web (whirlpool.net.au)

(2) Richtsnoeren 3/2018 over het territoriale toepassingsgebied van de AVG (artikel 3) Versie 2.0 12 november 2019, p. 15

(3) Ministerie van Justitie en Veiligheid, Handleiding Algemene verordening gegevensbescherming en Uitvoeringswet Algemene verordening gegevensbescherming, p. 30.

(4) Daarnaast gaat het enkel om de activiteiten waarmee de verwerking verband houdt. Dit kan betekenen dat sommige verwerkingsactiviteiten van ver verantwoordelijke of verwerker wel onder de AVG vallen, en andere niet.

(5) Richtsnoeren 3/2018 over het territoriale toepassingsgebied van de AVG (artikel 3) Versie 2.0 12 november 2019, p. 20. HvJEU, 7 december 201, Nr. C-585/08 en c-144/09, ECLI:EU:C:2010:740)

(6) Verordening (EG) nr. 44/2001 van de Raad betreffende de rechterlijke bevoegdheid, de erkenning en de tenuitvoerlegging van beslissingen in burgerlijke en handelszaken, in het bijzonder artikel 15, lid 1, onder c.

(7) Richtsnoeren 3/2018 over het territoriale toepassingsgebied van de AVG (artikel 3) Versie 2.0 12 november 2019 p. 19-21.

(8) Boetebesluit p.4 en report (Internal Market Information System) met het verzoek aan EU-toezichthouders en de reacties daarop, bijlagen 3 en 4 bij het onderzoeksrapport. Klachten andere EU-toezichthouders betreffende Locatefamily.com, bijlage 11 bij het onderzoeksrapport

(9) Boetebesluit p. 8.

BDO

Artikel delen

Reacties

Laat een reactie achter

U moet ingelogd zijn om een reactie te plaatsen.