Privacytoezichthouders in Europese landen mogen ook optreden tegen bedrijven als de zaak niet in hun land speelt. Door die uitspraak mag de Belgische GBA een onderzoek starten naar Facebook. Dit platform stelde dat alleen de Ierse autoriteit onderzoek naar het bedrijf mocht doen.
Dat is de uitspraak van het Europees Hof van Justitie. Dat concludeert dat de Belgische privacytoezichthouder, de Gegevensbeschermingsautoriteit, een onderzoek mag starten naar mogelijk datamisbruik door Facebook. De zaak speelt al sinds 2015, toen de GBA nog de Privacycommissie heette. Die wilde in dat jaar een onderzoek beginnen naar het techbedrijf. Facebook zou volgens de toezichthouder op meerdere manieren illegaal data verzamelen van zowel gebruikers als niet-gebruikers.
Facebook ging daar tegenin. Het bedrijf stelde tegenover het Hof van Beroep dat de GBA geen autoriteit had om op te treden, omdat Facebook zijn Ierse hoofdkantoor had aangemerkt als gegevensverantwoordelijke. Daarmee zou ook de Ierse privacytoezichthouder de primaire onderzoeker moeten zijn.
Dat laatste is het zogenoemde 'one-stop shop-mechanisme' onder de AVG. Dat stelt dat bij een onderzoek door meerdere toezichthouders één toezichthouder het voortouw moet nemen. Andere toezichthouders kunnen in zo'n geval wel meewerken, maar niet het onderzoek zelf uitvoeren. Dat mechanisme leverde in het verleden vaak frictie op bij nationale toezichthouders die onderzoek willen doen naar multinationals, zoals grote techbedrijven.
Zulke techbedrijven hebben vaak hoofdkantoren zitten in Ierland. Dat maakt de Ierse privacytoezichthouder belangrijk voor het one-stop shop-mechanisme, maar net als veel andere autoriteiten zucht ook die organisatie onder geld- en capaciteitsgebrek. Daardoor blijven veel onderzoeken liggen.
Het Europees Hof erkent dat onder de AVG één autoriteit het voortouw neemt in een privacyonderzoek. Maar, zegt het Hof, dat hoeft niet de standaard te zijn. Er zijn voorwaarden denkbaar waarop het one-stop shop-mechanisme niet hoeft te gelden. Dat kan volgens het Hof als de hoofdtoezichthouder 'essentiële dialoog mijdt' tussen andere toezichthouders die bij het onderzoek betrokken zijn. Ook mag een hoofdtoezichthouder de inzichten van andere toezichthouders niet negeren. Als dat toch gebeurt, is het mogelijk dat de zaak alsnog door een nationale toezichthouder voor de rechter kan worden gebracht in dat specifieke land.
Het Hof is verder wel vaag over wat er precies valt onder die voorwaarden. Daarover moeten mogelijk nog andere rechtszaken komen die daar precedent voor scheppen. Wel mag in ieder geval de Belgische Gegevensbeschermingsautoriteit nu door met het onderzoek naar Facebook in het eigen land. Dat onderzoekt is dan los van een onderzoek dat de Ierse toezichthouder zelf al is begonnen.