Leading data authorities

Advocaat-generaal Bobek van het HvJEU is van mening dat in het geval van grensoverschrijdende conflicten onder de AVG niet alleen de ‘leidende’ gegevensbeschermingautoriteit competent is.

Delen:

Share on linkedin
Share on twitter
Share on facebook
Share on whatsapp
Share on email

Op 13 januari 2021 verscheen de Opinion van de advocaat-generaal (AG), die het Hof adviseert in een zaak tussen Facebook en de Belgische Gegevensbeschermingsautoriteit (hierna: de Autoriteit). Onderwerp van het geschil was een verzoek van de Autoriteit aan het adres van Facebook om het verzamelen van persoonsgegevens zonder toestemming van Belgische inwoners te staken.

Competentie

Volgens de privacy-waakhond plaatste Facebook cookies op toestellen van gebruikers die websites in het Facebook-domein bezochten en vergaarde op die manier persoonsgegevens zonder de vereiste toestemming te verkrijgen. Daarnaast zou Facebook plug-ins op websites van derden gebruiken die eveneens zonder toestemming persoonsgegevens van internetgebruikers vergaren. Facebook beweerde echter dat de Belgische Autoriteit niet competent was. Het zou namelijk aan de zogeheten lead data authority zijn om juridische stappen te ondernemen tegen gegevensverwerkers. Dit zou betekenen dat alleen de Ierse Data Protection Commission die competentie bezit. En het toeval wil dat de Ieren notoir zijn in het beschermen van de belangen van de vele big-tech-bedrijven die aldaar zijn gevestigd.

One-stop shop

Het Hof van Beroep te Brussel stelt hieromtrent prejudiciële vragen aan het HvJEU. Sluit de AVG de competentie van gegevensbeschermingsautoriteiten anders dan de lead data authority uit? Zoals reeds gezegd gaat aan het oordeel van het Europese Hof nog een Opinion van de AG vooraf. In dit stuk advies heeft AG Michal Bobek beargumenteerd dat behalve de lead data authority ook andere autoriteiten competent zijn om te procederen tegen gegevensverwerkers. Hij wijst erop dat de lead data authority in het algemeen competent is en dat andere autoriteiten slechts een beperkte competentie genieten.

Die beperkte competentie ziet op gevallen van grensoverschrijdende dataverwerking, een vrij ruim criterium dus. Reden hiervoor is het one-stop-shop-mechanisme. Het idee is dat gegevensverwerkers en datasubjecten één duidelijk punt hebben, tot wie zij zich gemakkelijk kunnen richten. Wanneer datasubjecten moeten aankloppen bij autoriteiten in andere lidstaten voor een vermeende schending van hun rechten uit de AVG, terwijl die schending plaatsvindt in de lidstaat van het datasubject, wordt gehandeld tegen het doel van het one-stop-shop-principe. De competentie van de lead data authority is dan ook niet absoluut en in casu zou de Belgische Autoriteit competent zijn, ongeacht de vestigingsplaats van Facebook.

Nog niet bindend

Een Opinion van een AG is nog geen juridisch bindende uitspraak. Die vindt plaats bij monde van het Hof. Het is in feite een advies dat het Hof ook naast zich neer kan leggen. De praktijk wijst echter uit dat er aan de woorden van de AG zwaar wordt getild. Het is dus wachten op de uiteindelijke uitspraak, die ongetwijfeld van belang zal zijn voor de ontwikkeling van de tamelijk jonge AVG.

Delen:

Share on linkedin
Share on twitter
Share on facebook
Share on whatsapp
Share on email

Het belangrijkste nieuws wekelijks in uw inbox?

Abonneer u op de Mr. nieuwsbrief: elke dinsdag rond de lunch een update van het nieuws van de afgelopen week, de laatste loopbaanwijzigingen en de recentste vacatures. Meld u direct aan en ontvang elke dinsdag de Mr. nieuwsbrief.

Over Mr.

Mr. is hét platform voor juristen. Mr. bericht over actuele zaken in de juridische wereld en belicht en becommentarieert deze vanuit een onafhankelijke positie. Mr. richt zich op alle in Nederland actieve juristen en WO-rechtenstudenten..

Volg MR. op social media

Service menu

Contactgegevens

Uitgeverij Mr. bv
Paul Krugerkade 45
2021 BN Haarlem
Uitgever: Charley Beerman
E-mail: beerman@mr-magazine.nl

Scroll naar top