Privacytoezichthouders mogen zelf onderzoek doen als andere EU-landen verzaken

Privacytoezichthouders in Europese landen mogen ook optreden tegen bedrijven als de zaak niet in hun land speelt. Door die uitspraak mag de Belgische GBA een onderzoek starten naar Facebook. Dit platform stelde dat alleen de Ierse autoriteit onderzoek naar het bedrijf mocht doen.

Dat is de uitspraak van het Europees Hof van Justitie. Dat concludeert dat de Belgische privacytoezichthouder, de Gegevensbeschermingsautoriteit, een onderzoek mag starten naar mogelijk datamisbruik door Facebook. De zaak speelt al sinds 2015, toen de GBA nog de Privacycommissie heette. Die wilde in dat jaar een onderzoek beginnen naar het techbedrijf. Facebook zou volgens de toezichthouder op meerdere manieren illegaal data verzamelen van zowel gebruikers als niet-gebruikers.

Facebook ging daar tegenin. Het bedrijf stelde tegenover het Hof van Beroep dat de GBA geen autoriteit had om op te treden, omdat Facebook zijn Ierse hoofdkantoor had aangemerkt als gegevensverantwoordelijke. Daarmee zou ook de Ierse privacytoezichthouder de primaire onderzoeker moeten zijn.

Dat laatste is het zogenoemde 'one-stop shop-mechanisme' onder de AVG. Dat stelt dat bij een onderzoek door meerdere toezichthouders één toezichthouder het voortouw moet nemen. Andere toezichthouders kunnen in zo'n geval wel meewerken, maar niet het onderzoek zelf uitvoeren. Dat mechanisme leverde in het verleden vaak frictie op bij nationale toezichthouders die onderzoek willen doen naar multinationals, zoals grote techbedrijven.

Zulke techbedrijven hebben vaak hoofdkantoren zitten in Ierland. Dat maakt de Ierse privacytoezichthouder belangrijk voor het one-stop shop-mechanisme, maar net als veel andere autoriteiten zucht ook die organisatie onder geld- en capaciteitsgebrek. Daardoor blijven veel onderzoeken liggen.

Het Europees Hof erkent dat onder de AVG één autoriteit het voortouw neemt in een privacyonderzoek. Maar, zegt het Hof, dat hoeft niet de standaard te zijn. Er zijn voorwaarden denkbaar waarop het one-stop shop-mechanisme niet hoeft te gelden. Dat kan volgens het Hof als de hoofdtoezichthouder 'essentiële dialoog mijdt' tussen andere toezichthouders die bij het onderzoek betrokken zijn. Ook mag een hoofdtoezichthouder de inzichten van andere toezichthouders niet negeren. Als dat toch gebeurt, is het mogelijk dat de zaak alsnog door een nationale toezichthouder voor de rechter kan worden gebracht in dat specifieke land.

Het Hof is verder wel vaag over wat er precies valt onder die voorwaarden. Daarover moeten mogelijk nog andere rechtszaken komen die daar precedent voor scheppen. Wel mag in ieder geval de Belgische Gegevensbeschermingsautoriteit nu door met het onderzoek naar Facebook in het eigen land. Dat onderzoekt is dan los van een onderzoek dat de Ierse toezichthouder zelf al is begonnen.

Door Tijs Hofmans

Nieuwscoördinator

15-06-2021 • 15:42

20

Reacties (20)

Sorteer op:

Weergave:

Het Europees Hof erkent dat onder de AVG één autoriteit het voortouw neemt in een privacyonderzoek. Maar, zegt het Hof, dat hoeft niet de standaard te zijn.
Het is letterlijk wèl de standaard. Volgens het Hof zijn slechts in uitzonderlijke omstandigheden lokale autoriteiten bevoegd. Die omstandigheden zijn genoemd in de wet. Het Hof legt dat uit in overwegingen 58, 59 en 63. Het Hof stelt dat:
de competentie van de leidende toezichthoudende autoriteit [...] , de regel is, terwijl de competentie van de andere betrokken toezichthoudende autoriteiten om – zelfs maar voorlopig – een dergelijk besluit vast te stellen, de uitzondering vormt.
Dat de Belgische toezichthouder in deze zaak specifiek een bevoegdheid heeft komt omdat het niet een kwestie onder de AVG betreft, maar eentje onder oudere wetgeving waarin nog geen "one stop shop" was. De Belgische GBA mag dan ook geen "onderzoek starten", het onderzoek is er al sinds 2015.

PS

Overigens was de Advocaat Generaal als adviseur van het Hof al redelijk verbaasd dat deze zaak zo gevoerd is door de GBA, omdat het in principe niet over de AVG gaat, maar over de Privacy Richtlijn en de ePrivacy Richtlijn

[Reactie gewijzigd door ikkuhqhp op 22 juli 2024 15:44]

Correct Ikkehqhp.
Kleine toevoeging. Die uitzonderingen zijn inderdaad vastgelegd in de AVG en betreffen:
- artikel 56(2): Als er een klacht is ingediend én als het onderwerp van de zaak alleen verband houdt met een vestiging in haar lidstaat of alleen voor betrokkenen in haar lidstaat wezenlijke gevolgen heeft
- Artikel 66: spoedeisende maatregelen.

Met andere woorden, de GBA zou onder de AVG nooit bevoegd zijn geweest, omdat deze verwerkingen natuurlijk alle vestigingen van Facebook raken en niet alleen de Belgische.

Vind het overigens geen goed artikel. Het Europese Hof heeft namelijk de macht van de niet leidende toezichthouders (in dit geval de GBA) juist aanzienlijk beknot. Het artikel laat het lijken alsof deze nu vrij spel heeft. Een mooie overwinning voor Facebook, Google enz aangezien zo vrijwel de volledige handhaving bij de Iers privacy waakhond terecht komt. Die is al overbelast en heeft maar een schamel budget, zeker vergeleken bij het budget dat alle multinationals hebben die de waakhond moet controleren.
Jammer dat de auteur van het artikel dus volledige foute informatie neerzet. Gelukkig staat in het eerste comment dan wel de correcte informatie.
Haha, nadat ik het artikel gelezen had, heb ik het arrest nogmaals gelezen om te kijken of ik mij niet vergist had. Overigens mogen de mensen bij de persvoorlichting van het Europese Hof wel een cursus "duidelijk communiceren" volgen. Het is ook bijzonder vaag geschreven, niet door heen te komen. Niet zo gek dat de schrijver de mist ingaat als hij hier niet dagelijks mee te maken heeft.

De uitzonderingen in artikelen 56(2) en 66 zijn vrij eng en zullen in de praktijk van weinig betekenis zijn. Immers, het komt niet vaak voor dat een bedrijf een bepaald proces inricht voor één specifiek ander land dan waar het hoofdkantoor ligt en dat proces vervolgens ook nog in strijd met de regels is. Bovendien moeten uitzonderingen altijd eng worden uitgelegd.

Voor (grote) bedrijven is deze uitspraak wel heel belangrijk omdat daarmee het one-stop-shop mechanisme stevig verankerd wordt. Als bijvoorbeeld een Amerikaanse webshop onder de Nederlandse toezichthouder valt, hoeft hij niet meer te vrezen dat de Franse CNIL met boetes gaat strooien (daar staan ze wel om bekend). Dat komt de rechtszekerheid en het vestigingsklimaat ten goede. Dat laatste is óók een van de doelen van de AVG.

* N.b. De Autoriteit in het land waar feitelijk de (grote) beslissingen over persoonsgegevens worden genomen is bevoegd (leidend). Dat is meestal op het hoofdkantoor, maar soms worden die beslissingen op een andere plek genomen.
Als de Ierse waakhond laks is (moedwillig, of door gebrek aan tijd en/of mankracht) vind ik het eigenlijk geen goede zaak voor de burger.
Dat klopt. Ik denk dat het niet zozeer onwil is, maar ze hebben in ieder geval te weinig budget. Ze moeten met enkele tientallen miljoenen aan budget toezicht houden op vrijwel alle grote internetbedrijven. Het budget moet ongeveer keer drie om de handhaving op een acceptabel niveau te krijgen (In Nederland geldt overigens hetzelfde). Het is ook de vraag of het realistisch is dat één van de kleinste landen van de EU zo'n groot gedeelte van het toezicht moet uitvoeren, daar is het systeem (ook de rechtbanken, opleidingen, geschikt personeel enz) niet op ingericht.

Het Europese Parlement heeft de Europese Commissie in ieder geval verzocht om vrijwel alle lidstaten aan te klagen bij het Europese Hof omdat er te weinig budget is voor de toezichthouders. Voordat daar uitspraak over is zijn wel wel een paar jaar verder.

De Ierse regering heeft er ondertussen alle belang bij om niet te veel budget toe te kennen aan de toezichthouder. Immers haar economie is gebaseerd op het gunstige vestigingsklimaat voor bedrijven (onder meer door zeer lage belastingen voor bedrijven te heffen). Een strenge toezichthouder past daar, vanzelfsprekend, niet bij. Ze zullen zich dus waarschijnlijk met hand en tand verzetten.
Vind dat wel apart? Alsof een andere toezichthouder de wet kent van waar het bedrijf is gevestigd? Of volgen ze hierbij de Europese wetgeving als een bedrijf zich op Europa richt. (Wat logischer zou zijn).
AuteurTijsZonderH Nieuwscoördinator @Bensimpel15 juni 2021 16:19
Dit gaat over de AVG dus we hebben het over een Europese wet.
De AVG is in sommige landen, Duitsland bv, strenger dan de Europese wetgeving/richtlijnen.
Klopt niet volledig. De AVG is in elk land hetzelfde, alleen laat de AVG hier en daar ruimte aan de lidstaten om zelf regels te bepalen, maar die mogen natuurlijk helemaal geen afbreuk doen aan de AVG. De AVG is een Europese verordening die per definitie voorrang heeft op nationale regels. Bovendien mogen lidstaten ook reguleren wat niet door de AVG wordt geregeld, maar dan gaat het niet op om te zeggen dat de AVG in sommige landen strenger is dan in andere.

[Reactie gewijzigd door Flying Hawkic op 22 juli 2024 15:44]

En in sommige landen op sommige punten wat losser. Zo staat de Nederlandse wet het makkelijker toe om archieven te behouden van gepubliceerd materiaal, zonder dat dit perse verwijderd hoeft te worden op verzoek. (Denk aan online fora, waar gebruikers dus niet zomaar kunnen eisen dat hun posts achteraf verwijderd worden; zeker niet als deze belangrijk zijn in een bepaalde discussie. Uiteraard is het anders als deze posts eerst prive waren (eg: afgeschermd board) en daarna opeens publiek gemaakt worden.)
AuteurTijsZonderH Nieuwscoördinator @batjes15 juni 2021 17:43
Maar dan wordt er ook getoetst aan die Duitse normen. De AVG is van toepassing op Duitse burgers als het land actief is in Duitsland, ongeacht waar het hoofdkantoor staat.
Is de Europese wet niet GDPR, en AVG de Nederlandse implementatie?
Nee. Dat is de vertaling van GDPR. Wel heeft de Nederland daarnaast de UAVG (uitvoeringswet AVG), waarin een aantal nationaal rechterlijke uitwerkingen staan, daar waar de AVG/GDPR die mogelijkheid biedt.

Een verordening heeft rechtstreekse werking in alle lidstaten. Dat is anders dan een richtlijn, waar een implementatie volgt in nationale wetgeving. Dat was zo met de voorloper van de AVG, de Wet bescherming persoonsgegevens die was geïmplementeerd nav een richtlijn.

[Reactie gewijzigd door WouterL op 22 juli 2024 15:44]

Als Facebook in België data van Belgische klanten verzamelt en daarbij over de schreef gaat, is het wel zo prettig dat de nationale toezichthouder onderzoek mag doen en stappen kan nemen. En dus niet hoeft te wachten op actie van het land waar Facebook zijn postbus heeft geregistreerd.

[Reactie gewijzigd door testaankoop op 22 juli 2024 15:44]

Er is niets apart, er is EU privacy basiswetgeving waar alle landen aan moeten voldoen. Dat wil dus zeggen dat al zit je in Ierland met je hoofdvestiging als google je gewoon aan de eu wetgeving moet voldoen die ook in België van toepassing is.
De Belgische, Nederlandse of Duitse toezichthouder kan dan als Ierland te laks, te druk is of andere reden niet snel of goed onderzoekt, zelf een onderzoek starten.

Ierland is natuurlijk geliefd vanwege belastingvoordeel en de privacy toezichthouder is daar ook niet al te groot en heeft dus ook niet genoeg capaciteit. Misschien was dat ook een reden om zich in Ierland te vestigen. Gelukkig komt er aan dit eventuele misbruik van kleine toezichthouders nu ook een einde.
Ben benieuwd hoe dit gaat werken als het een (semi)overheidsorgaan betreft van een ander land.
Even ter verduidelijking,
na 6 jaar kan Belgie een rechtszaak starten in eigen land.
Those infringements consisted, inter alia, of the collection and use of information on the browsing behaviour of Belgian internet users, whether or not they were Facebook account holders, by means of various technologies, such as cookies, social plug-ins 1 or pixels.
Dit was de klacht in 2015 en nu heeft men meer duidelijkheid welke rechtbank zeggenschap heeft…
Komt Facebook natuurlijk niet helemaal ongelegen uit dat ze dat al 6 jaar niet helemaal begrijpen dat men het ongewenst vind om zo gevolgd te worden ondanks een salaris+bonussen+aandelen van ruim 20mln dollar.

https://insights.dice.com...ten-by-company-engineers/
https://about.facebook.co...ecutives/sheryl-sandberg/
Cum Laude Harvard en nog een MBA ook… maar dan nog niet begrijpen dat het zo onwenselijk is.


Geld maakt je blijkbaar dommer.
Die one-shop one-stop regel is te belabberd voor woorden eigenlijk. Doordat de toezichthouder in Ierland bijna niks uit zichzelf onderneemt, worden een heleboel Europeanen slachtoffer van bedrijven die de mazen van de wet opzoeken of er vrolijk hard overheen gaan.

Het is misschien nuttig voor bedrijven, maar het levert wel een complete ramp op. Als je bv bij Facebook je eigen gegevens te pakken wilt krijgen als overzicht als je geen FaceBook maar wel WhatsApp hebt, dan wordt je telkens van het kastje naar de muur gestuurd... (Ja, daar heb ik ervaring mee :/)
Dit is een goede zaak maar wij moeten het orgaan daarvoor flink gaan versterken. Er wordt al langer geroepen dat er ontzettend veel werk ligt!

Op dit item kan niet meer gereageerd worden.