C-645/19 Facebook Ireland e.a.

Prejudiciële hofzaak   

Zie bijlage voor de verwijzingsuitspraak, en klik hier voor het dossier van het Hof van Justitie (voor zover beschikbaar).

Termijnen: Motivering departement:     13 november 2019
Schriftelijke opmerkingen:                     30 december 2019

Trefwoorden : Gegevensverwerking, one-stop-shop principe

Onderwerp :

•          Verordening 2016/679 van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (de AVG)

•          het Handvest van de grondrechten van de Europese Unie

 

Feiten:

De Belgische Privacycommissie (voorloper van de Gegevensbeschermingsautoriteit, GBA) heeft naar aanleiding van het nieuwe gegevens-en cookiebeleid van Facebook  onderzoek uitgevoerd en een schending vastgesteld van de Belgische privacywetgeving. Bij brief van 18.05.2015 maande de Privacycommissie Facebook aan om deze schending  betreffende social plug-ins en cookies stop te zetten. De rechter in de eerste aanleg heeft de vordering van de Privacycommissie ontvankelijk en gegrond verklaard. Facebook heeft hiertegen beroep ingesteld bij het Belgische hof van Beroep. Facebook voert  aan dat verweerders niet bevoegd zijn onderzoek te voeren naar en beslissingen te nemen aangaande de verwerkingsactiviteiten. Dit komt omdat de AVG voorziet in een "one-stop-shop"-mechanisme welke aangeeft dat alleen de leidende autoriteit bevoegd is onderzoek te doen. Aangezien Facebook Ireland de hoofdvestiging is van de verwerkingsverantwoordelijke in de EU en haar hoofdkwartier in Dublin heeft, is alleen de Ierse autoriteit “leidend” op grond van de AVG om de handelingen van Facebook Ireland te onderzoeken. Vorderingen gebaseerd op feiten na de inwerkingtreding van de AVG zijn daarom onontvankelijk, minstens ontoelaatbaar, en dienen via een geheel andere juridische weg te worden behandeld die is bepaald en vastgelegd in de artikelen 56 en 60 van de AVG. Verweerders, waaronder de GBA, stellen dat het one-stop-shop-mechanisme zoals vastgelegd in artikel 56.1 AVG, een uitzonderingsregel is. De basisregel blijft dat elke toezichthoudende autoriteit competent is op haar grondgebied voor de bevoegdheden die de AVG haar toekent, zoals artikel 55.1 AVG uitdrukkelijk stelt. De GBA verwijst naar het arrest van 5-06-2018 in zaak C-210/16 (Wirtschaftsakademie Schleswig-Holstein) waarin het Hof van Justitie heeft geoordeeld dat wanneer een buiten de Europese Unie gevestigde onderneming meerdere vestigingen in verschillende lidstaten heeft, de toezichthoudende autoriteit van een lidstaat bevoegd is tot uitoefening van haar bevoegdheden uit hoofde van artikel 28, lid 3 van Richtlijn 95/46 ten aanzien van een vestiging van deze onderneming op het grondgebied van die lidstaat, ook al berust de exclusieve verantwoordelijkheid voor de verkrijging en de verwerking van persoonsgegevens, voor het gehele grondgebied van de Europese Unie, bij een vestiging in een andere lidstaat.

 

Overweging:

Het Hof van beroep Brussel vraagt zich af of de algemene regel van het "one-stop-shop" enkel de rechtsvordering voor de rechter van de plaats waar de gegevensverwerking plaatsvindt voorziet en of de interpretatie die het Hof van Justitie heeft gegeven in het arrest van 5-06-2018 nog geldig is ten aanzien van de thans van kracht zijnde AVG. De vraag is of artikel 58.5 van de AVG vereist dat de lidstaten via een expliciete bepaling implementeren in welke concrete omstandigheden de lokale autoriteit van de lidstaat een rechtsvordering kan instellen voor de eigen hoven en rechtbanken van de lidstaat zelf en dit "bovenop" de principes van het "one-stop-shop" principe zoals dat bepaald is in de artikelen 55 en 56 van de AVG. Het komt het hof voor dat elke toezichthoudende autoriteit (andere dan de toezichthoudende autoriteit van de hoofdvestiging of de enige vestiging van de verwerkingsverantwoordelijke) slechts dan competent is, om een bij haar ingediende klacht of een eventuele inbreuk op deze verordening te behandelen indien het onderwerp van die zaak alleen verband houdt met een vestiging in haar lidstaat of alleen voor betrokkenen in haar lidstaat wezenlijke gevolgen heeft.

 

Prejudiciële vragen:

1) Moeten de artikelen 55.1, 56-58 en 60-66 van verordening 2016/679 van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG, gelezen in samenhang met de artikelen 7, 8 en 47 van het Handvest van de grondrechten van de Europese Unie, in die zin uitgelegd worden dat een toezichthoudende autoriteit die krachtens in uitvoering van artikel 58.5 van deze verordening aangenomen nationale wetgeving de bevoegdheid heeft om tegen inbreuken op deze verordening een rechtsvordering in te stellen bij een rechtbank van haar lidstaat, die bevoegdheid niet kan uitoefenen in verband met een grensoverschrijdende verwerking als zij niet de leidende toezichthoudende autoriteit inzake die grensoverschrijdende verwerking is ?

2) Maakt het daarbij een verschil uit als de verwerkingsverantwoordelijke van die grensoverschrijdende verwerking niet in die lidstaat haar hoofdvestiging heeft maar er wel een andere vestiging heeft?

3) Maakt het daarbij een verschil uit of de nationale toezichthoudende autoriteit de rechtsvordering instelt tegen de hoofdvestiging van de verwerkingsverantwoordelijke dan wel tegen de vestiging in haar eigen lidstaat ?

4) Maakt het daarbij een verschil uit als de nationale toezichthoudende autoriteit de rechtsvordering reeds ingesteld heeft vóór de datum waarop deze verordening van toepassing geworden is (25 mei 2018)?

5) Ingeval het antwoord op de eerste vraag positief zou zijn, heeft artikel 58, lid 5, van de AVG rechtstreekse werking, zodat een nationale toezichthoudende autoriteit zich op voormeld artikel kan steunen om een gerechtelijke procedure tegen particuliere partijen in te leiden of voort te zetten, zelfs indien artikel 58, lid 5 van de AVG niet specifiek is omgezet in de wetgeving van de Lidstaten, niettegenstaande zulks vereist is?

6) Indien het antwoord op de vorige vragen positief zou zijn, zou het resultaat van dergelijke procedures in de weg kunnen staan van een tegengestelde bevinding van de leidende toezichthoudende autoriteit in het geval dat de leidende toezichthoudende autoriteit dezelfde of soortgelijke grensoverschrijdende verwerkingsactiviteiten onderzoekt overeenkomstig het mechanisme vervat in de artikelen 56 en 60 van de AVG?"

 

Aangehaalde (recente) jurisprudentie: Wirtschaftsakademie Schleswig-Holstein (C-210/16)

Specifiek beleidsterrein: JenV, BZK