Een nationale toezichthoudende autoriteit kan onder bepaalde voorwaarden haar bevoegdheid uitoefenen om elke vermeende inbreuk op de AVG ter kennis te brengen van de gerechtelijke autoriteiten van een lidstaat, ook al is zij niet de leidende autoriteit voor die verwerking.
Op 11 september 2015 heeft de voorzitter van de Belgische Commissie voor de bescherming van de persoonlijke levenssfeer (hierna: „Privacycommissie”) bij de Nederlandstalige rechtbank van eerste aanleg Brussel (België) een stakingsvordering ingesteld tegen Facebook Ireland, Facebook Inc. en Facebook Belgium, met als doel een einde te doen stellen aan de vermeende inbreuken door Facebook op de wettelijke regeling inzake gegevensbescherming. Deze inbreuken bestonden met name in het verzamelen en gebruiken van informatie over het surfgedrag van Belgische internetgebruikers, al dan niet houders van een Facebookaccount, door middel van verschillende technologieën, zoals cookies, social plug-ins (1) of pixels.
Op 16 februari 2018 heeft deze rechtbank zich bevoegd verklaard om uitspraak te doen over deze vordering, en ten gronde geoordeeld dat het sociale netwerk Facebook de Belgische internetgebruikers onvoldoende had geïnformeerd over de verzameling en het gebruik van de betrokken informatie. Bovendien werd de door internetgebruikers gegeven toestemming voor het verzamelen en verwerken van deze informatie als ongeldig beschouwd.
Op 2 maart 2018 hebben Facebook Ireland, Facebook Inc. en Facebook Belgium hoger beroep tegen dit vonnis ingesteld bij het hof van beroep Brussel (België), de verwijzende rechter in de onderhavige zaak. Voor deze rechterlijke instantie is de Belgische Gegevensbeschermingsautoriteit (hierna: „GBA”) opgetreden als rechtsopvolger van de voorzitter van de Privacycommissie. De verwijzende rechter heeft zich uitsluitend bevoegd verklaard om uitspraak te doen op het door Facebook Belgium ingestelde hoger beroep.
De verwijzende rechter vraagt zich af wat de invloed is van de toepassing van het „éénloketmechanisme” uit de AVG (2) op de bevoegdheden van de GBA, en vraagt zich meer in het bijzonder af of de GBA voor de feiten die dateren van na de inwerkingtreding van de AVG, te weten 25 mei 2018, kan optreden tegen Facebook Belgium, aangezien Facebook Ireland als verwerkingsverantwoordelijke voor de betrokken gegevens is geïdentificeerd. Sinds die datum is namelijk, met name op grond van het in de AVG neergelegde „éénloket-beginsel”, alleen de Ierse commissaris voor gegevensbescherming bevoegd om, onder toezicht van de Ierse rechterlijke instanties, een stakingsvordering in te stellen.
In zijn arrest, gewezen in Grote kamer, verduidelijkt het Hof de bevoegdheden van de nationale toezichthoudende autoriteiten in het kader van de AVG. Zo oordeelt het met name dat een toezichthoudende autoriteit van een lidstaat volgens deze verordening onder bepaalde voorwaarden haar bevoegdheid kan uitoefenen om elke vermeende inbreuk op de AVG voor een rechterlijke instantie van die lidstaat te brengen en in rechte op te treden met betrekking tot een grensoverschrijdende gegevensverwerking (3), ook indien zij niet de leidende autoriteit voor die verwerking is.
In de eerste plaats verduidelijkt het Hof de voorwaarden waaronder een nationale toezichthoudende autoriteit die niet de leidende autoriteit is met betrekking tot een grensoverschrijdende verwerking, haar bevoegdheid moet uitoefenen om elke vermeende inbreuk op de AVG voor een rechterlijke instantie van een lidstaat te brengen en, waar passend, in rechte op te treden teneinde de toepassing van die verordening te verzekeren. Zo moet de AVG die toezichthoudende autoriteit de bevoegdheid verlenen om een besluit te nemen waarbij wordt vastgesteld dat die verwerking in strijd is met de regels van die verordening, en deze bevoegdheid moet voorts worden uitgeoefend met inachtneming van de samenwerkingsprocedure en het coherentiemechanisme die in die verordening zijn vastgelegd (4).
Voor grensoverschrijdende verwerkingen voorziet de AVG namelijk in het „één-loketmechanisme” (5), dat is gebaseerd op een verdeling van bevoegdheden tussen een „leidende toezichthoudende autoriteit” en de andere betrokken nationale toezichthoudende autoriteiten. Dit mechanisme vereist een nauwe, loyale en doeltreffende samenwerking tussen deze autoriteiten om te zorgen voor een coherente en homogene bescherming van de regels inzake de bescherming van persoonsgegevens en aldus het nuttig effect ervan te vrijwaren. In dit verband ligt krachtens de AVG de competentie om een besluit te nemen waarbij wordt vastgesteld dat een grensoverschrijdende verwerking in strijd is met de in deze verordening vervatte regels in beginsel bij de leidende toezichthoudende autoriteit (6) , terwijl de competentie van de andere nationale toezichthoudende autoriteiten om – zelfs maar voorlopig – een dergelijk besluit te nemen de uitzondering vormt.(7) De leidende toezichthoudende autoriteit kan zich bij de uitoefening van haar bevoegdheden echter niet onttrekken aan een noodzakelijke dialoog en een loyale en doeltreffende samenwerking met de andere betrokken toezichthoudende autoriteiten. Daarom mag de leidende toezichthoudende autoriteit in het kader van deze samenwerking niet voorbijgaan aan de standpunten van de andere betrokken toezichthoudende autoriteiten en heeft elk relevant en gemotiveerd bezwaar van een van deze autoriteiten tot gevolg dat de vaststelling van het ontwerpbesluit van de leidende toezichthoudende autoriteit op zijn minst tijdelijk wordt geblokkeerd.
Het Hof verduidelijkt voorts dat de omstandigheid dat een toezichthoudende autoriteit van een lidstaat die niet de leidende toezichthoudende autoriteit is met betrekking tot een grensoverschrijdende gegevensverwerking, de bevoegdheid om elke vermeende inbreuk op de AVG voor een rechterlijke instantie van die staat te brengen en in rechte op te treden, alleen kan uitoefenen met inachtneming van de regels voor de verdeling van de beslissingsbevoegdheden tussen de leidende toezichthoudende autoriteit en de andere toezichthoudende autoriteiten (8), in overeenstemming is met de artikelen 7, 8 en 47 van het Handvest van de grondrechten van de Europese Unie, die de betrokken persoon respectievelijk bescherming van zijn persoonsgegevens en een doeltreffende voorziening in rechte waarborgen.
In de tweede plaats oordeelt het Hof dat, wanneer sprake is van grensoverschrijdende gegevensverwerking, voor de uitoefening van de bevoegdheid van een andere toezichthoudende autoriteit dan de leidende toezichthoudende autoriteit om een rechtsvordering in te stellen (9) niet vereist is dat de in rechte gedaagde verwerkingsverantwoordelijke of verwerker die de grensoverschrijdende verwerking van persoonsgegevens verricht, op het grondgebied van die lidstaat een hoofdvestiging of een andere vestiging heeft. De uitoefening van deze bevoegdheid moet wel binnen het territoriale toepassingsgebied van de AVG vallen (10), hetgeen veronderstelt dat de verwerkingsverantwoordelijke of de verwerker die de grensoverschrijdende verwerking verricht over een vestiging op het grondgebied van de Unie beschikt.
In de derde plaats verklaart het Hof voor recht dat de bevoegdheid van een andere toezichthoudende autoriteit van een lidstaat dan de leidende toezichthoudende autoriteit om elke vermeende inbreuk op de AVG voor een rechterlijke instantie van die lidstaat te brengen en, waar passend, een rechtsvordering in te stellen, in geval van grensoverschrijdende gegevensverwerking zowel kan worden uitgeoefend ten aanzien van de hoofdvestiging van de verwerkingsverantwoordelijke die zich in de lidstaat van die autoriteit bevindt, als ten aanzien van een andere vestiging van die verantwoordelijke, voor zover de rechtsvordering ziet op gegevensverwerking die plaatsvindt in het kader van de activiteiten van die vestiging en die autoriteit competent is om die bevoegdheid uit te oefenen.
Het Hof preciseert echter dat voor de uitoefening van deze bevoegdheid vereist is dat de AVG van toepassing is. In casu houden de activiteiten van de Belgische vestiging van de Facebook-groep onlosmakelijk verband met de verwerking van de persoonsgegevens die in het hoofdgeding aan de orde zijn, waarvoor Facebook Ireland voor het grondgebied van de Unie verantwoordelijk is, zodat deze verwerking wordt verricht „in het kader van de activiteiten van een vestiging van de verwerkingsverantwoordelijke” en dus wel degelijk binnen de werkingssfeer van de AVG valt.
In de vierde plaats oordeelt het Hof dat wanneer een toezichthoudende autoriteit van een lidstaat die niet de „leidende toezichthoudende autoriteit” is, vóór de inwerkingtreding van de AVG een rechtsvordering heeft ingesteld met betrekking tot een grensoverschrijdende verwerking van persoonsgegevens, die vordering krachtens het Unierecht kan worden gehandhaafd op grond van de bepalingen van de richtlijn gegevensbescherming (11), die van toepassing blijft met betrekking tot inbreuken op de daarin vastgestelde regels die zijn begaan tot de datum van intrekking van die richtlijn. Bovendien kan deze autoriteit deze vordering instellen voor inbreuken die zijn begaan na de datum van inwerkingtreding van de AVG, voor zover dit gebeurt in een van de situaties waarin die verordening diezelfde autoriteit bij wijze van uitzondering de bevoegdheid verleent om een besluit te nemen waarbij wordt vastgesteld dat de betrokken gegevensverwerking in strijd is met de regels van die verordening, en mits zij daarbij de samenwerkingsprocedures in acht neemt waarin deze verordening voorziet.
In de vijfde plaats erkent het Hof de rechtstreekse werking van de bepaling van de AVG op grond waarvan elke lidstaat bij wet bepaalt dat zijn toezichthoudende autoriteit bevoegd is om elke inbreuk op deze verordening ter kennis te brengen van de gerechtelijke autoriteiten en, waar passend, in rechte op te treden. Bijgevolg kan een dergelijke autoriteit zich op deze bepaling beroepen om een vordering tegen particulieren in te leiden of voort te zetten, ook al is zij niet specifiek omgezet in de wetgeving van de betrokken lidstaat.
(1) Bijvoorbeeld „Vind ik leuk” of „Delen”
(2) Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG (algemene verordening gegevensbescherming) (PB 2016, L 119, blz. 1, hierna: „AVG”). Zie met name artikel 56, lid 1, AVG: „Onverminderd artikel 55 is de toezichthoudende autoriteit van de hoofdvestiging of de enige vestiging van de verwerkingsverantwoordelijke of verwerker competent op te treden als leidende toezichthoudende autoriteit voor de grensoverschrijdende verwerking door die verwerkingsverantwoordelijke of verwerker overeenkomstig de procedure van artikel 60.”
(3) In de zin van artikel 4, punt 23, AVG.
(4) Die zijn opgenomen in artikel 56 en 60 AVG.
(5) Artikel 56, lid 1, AVG.
(6) Artikel 60, lid 7, AVG.
(7) Artikel 56, lid 2, en artikel 66 AVG voorzien in uitzonderingen op het beginsel van de beslissingsbevoegdheid van de leidende toezichthoudende autoriteit.
(8) Die zijn neergelegd in de artikelen 55 en 56, gelezen in samenhang met artikel 60 AVG.
(9) Op grond van artikel 58, lid 5, AVG.
(10) Artikel 3, lid 1 van deze verordening bepaalt dat zij van toepassing is op de verwerking van persoonsgegevens „in het kader van activiteiten van een vestiging van een verwerkingsverantwoordelijke of een verwerker in de Unie, ongeacht of de verwerking in de Unie al dan niet plaatsvindt”
(11) Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (PB 1995, L 281, blz. 31).
