Nationale toezichthouder ook bevoegd voor elders gevestigde gegevensverwerkers

Contentverzamelaar

Nationale toezichthouder ook bevoegd voor elders gevestigde gegevensverwerkers

Een toezichthouder voor gegevensbescherming is ook bevoegd voor het beoordelen van activiteiten van gegevensverwerkers die hoofdzakelijk in een andere lidstaat zijn gevestigd. Voor het opleggen van sancties buiten het eigen land moet de toezichthouder samenwerken met de toezichthouder van die andere lidstaat. Dat heeft het EU-Hof geantwoord op vragen van een Hongaarse rechter.

Het gaat om het arrest van het EU-Hof van 1 oktober 2015 in de zaak C-230/14, Weltimmo.

 

De aanleiding voor de vragen was een geschil tussen de Hongaarse gegevensbeschermingsautoriteit en een in Slowakije gevestigde onderneming. Deze onderneming beheert een vastgoedwebsite met advertenties voor onroerend goed in Hongarije. In dat verband verwerkt zij persoonsgegevens van adverteerders. Het plaatsen van een advertentie is de eerste maand gratis, daarna worden kosten in rekening gebracht. Veel adverteerders hebben na de eerste maand Weltimmo verzocht hun advertenties en gegevens van de site te verwijderen. Weltimmo ging vervolgens niet in op deze verzoeken tot verwijdering en bracht kosten in rekening voor haar dienst. Indien niet betaald werd, werden de persoonsgegevens van adverteerders verstrekt aan incassobureaus.

Weltimmo betoogt dat de Hongaarse autoriteit niet bevoegd is op te treden in de huidige zaak, omdat de onderneming in Slowakije gevestigd is.

De vragen van de rechter zijn voornamelijk gericht op artikel 4 en artikel 28 van EU-richtlijn  95/46/EG inzake de bescherming van persoonsgegevens. Deze artikelen hebben betrekking op het nationaal recht dat op de gegevensverwerking van toepassing is, respectievelijk welke toezichthoudende autoriteit bevoegd is.

 

Activiteiten van een vestiging

Ten aanzien van de vaststelling van het toepasselijk nationaal recht, oordeelt het Hof dat de zinsnede “in het kader van de activiteiten van een vestiging” (artikel 4, lid 1, onder a, van de richtlijn) niet restrictief moet worden uitgelegd. Dit volgt uit de doelstellingen van richtlijn 95/46/EG om een volledige bescherming te waarborgen van de fundamentele rechten en vrijheden van natuurlijke personen. Om dat te bereiken dient de verwerking van persoonsgegevens in de Europese Unie uitgevoerd te worden volgens de wetgeving van een van de lidstaten. De verwerking die wordt uitgevoerd onder een verantwoordelijke die in een lidstaat gevestigd is, dient door het recht van die staat te worden geregeld. Deze uitleg van artikel 4 lid 1, onder a), volgt uit overweging 18 van de richtlijn en stond ook centraal in de Google Spain-zaak (zaak C-131/12).

Het Hof benadrukt dat ook het begrip “vestiging” – om bovenstaande bescherming te waarborgen –flexibel moet worden uitgelegd en een formalistische zienswijze volgens welke een onderneming uitsluitend gevestigd zou zijn op de plaats waar zij is geregistreerd, uitsluit. In bepaalde omstandigheden kan het optreden van een enkele vertegenwoordiger in een land reeds voldoende zijn om duurzame vestiging vast te stellen. Verder heeft het begrip betrekking op iedere vorm van reële en daadwerkelijke activiteit, ongeacht de omvang, die via een duurzame vestiging wordt uitgeoefend. In deze zaak betekent dit volgens het Hof, na een feitelijke beoordeling van de omstandigheden (websites voor Hongaars vastgoed in de Hongaarse taal, een in Hongarije ingeschreven vertegenwoordiger), dat Weltimmo vestiging heeft in Hongarije en zich toelegt op de uitvoering van reële en daadwerkelijke activiteiten.

Vervolgens stelt het Hof – opnieuw verwijzend naar haar uitspraak in de Google Spain-zaak – dat artikel 4 lid 1, onder a), van richtlijn 95/46/EG vereist dat de verwerking van persoonsgegevens wordt verricht “in het kader van de activiteiten” van de vestiging. Niet vereist is dat het “door” de betrokken vestiging zelf wordt verricht. Het Hof beoordeelt dat ook aan dit vereiste is voldaan. Dat de eigenaren van het onroerend goed waarvoor Weltimmo adverteert de Hongaarse nationaliteit hebben, is niet van belang voor het vaststellen van het toepasselijk nationaal recht. Het gaat enkel om de beoordeling van activiteiten van de verwerker van persoonsgegevens.

 

Samenwerking met andere toezichthouders

Elke toezichthoudende autoriteit oefent alle bevoegdheden uit die haar op het grondgebied van de lidstaat waartoe zij behoort zijn toegekend, die nodig zijn om de gegevensbescherming te waarborgen. Dit volgt uit artikel 28, leden 1 en 3, van de richtlijn. Het zesde lid van dat artikel bepaalt dat de toezichthoudende autoriteit dit dient te doen, ongeacht welk nationaal recht van toepassing is. In dat lid wordt ook de mogelijkheid tot samenwerking tussen autoriteiten beschreven. Op het moment dat een toezichthoudende autoriteit echter optreedt terwijl het recht van een andere lidstaat van toepassing is, dienen de territoriale soevereiniteit, het legaliteitsbeginsel en de rechtsstatelijke beginselen te worden gerespecteerd. Wanneer de autoriteit het recht van een andere lidstaat toepast, kan hij geen sancties opleggen buiten het grondgebied van haar eigen lidstaat. Samenwerking met de andere autoriteit is dan noodzakelijk. In de huidige zaak betekent dit dat, indien een ander nationaal recht dan het Hongaarse recht van toepassing is, de Hongaarse autoriteit niet de sanctiebevoegdheden kan uitoefenen die hij naar Hongaars recht heeft.