Op 13 januari 2021 verscheen de Opinion van de advocaat-generaal (AG), die het Hof adviseert in een zaak tussen Facebook en de Belgische Gegevensbeschermingsautoriteit (hierna: de Autoriteit). Onderwerp van het geschil was een verzoek van de Autoriteit aan het adres van Facebook om het verzamelen van persoonsgegevens zonder toestemming van Belgische inwoners te staken.
Competentie
Volgens de privacy-waakhond plaatste Facebook cookies op toestellen van gebruikers die websites in het Facebook-domein bezochten en vergaarde op die manier persoonsgegevens zonder de vereiste toestemming te verkrijgen. Daarnaast zou Facebook plug-ins op websites van derden gebruiken die eveneens zonder toestemming persoonsgegevens van internetgebruikers vergaren. Facebook beweerde echter dat de Belgische Autoriteit niet competent was. Het zou namelijk aan de zogeheten lead data authority zijn om juridische stappen te ondernemen tegen gegevensverwerkers. Dit zou betekenen dat alleen de Ierse Data Protection Commission die competentie bezit. En het toeval wil dat de Ieren notoir zijn in het beschermen van de belangen van de vele big-tech-bedrijven die aldaar zijn gevestigd.
One-stop shop
Het Hof van Beroep te Brussel stelt hieromtrent prejudiciële vragen aan het HvJEU. Sluit de AVG de competentie van gegevensbeschermingsautoriteiten anders dan de lead data authority uit? Zoals reeds gezegd gaat aan het oordeel van het Europese Hof nog een Opinion van de AG vooraf. In dit stuk advies heeft AG Michal Bobek beargumenteerd dat behalve de lead data authority ook andere autoriteiten competent zijn om te procederen tegen gegevensverwerkers. Hij wijst erop dat de lead data authority in het algemeen competent is en dat andere autoriteiten slechts een beperkte competentie genieten.
Die beperkte competentie ziet op gevallen van grensoverschrijdende dataverwerking, een vrij ruim criterium dus. Reden hiervoor is het one-stop-shop-mechanisme. Het idee is dat gegevensverwerkers en datasubjecten één duidelijk punt hebben, tot wie zij zich gemakkelijk kunnen richten. Wanneer datasubjecten moeten aankloppen bij autoriteiten in andere lidstaten voor een vermeende schending van hun rechten uit de AVG, terwijl die schending plaatsvindt in de lidstaat van het datasubject, wordt gehandeld tegen het doel van het one-stop-shop-principe. De competentie van de lead data authority is dan ook niet absoluut en in casu zou de Belgische Autoriteit competent zijn, ongeacht de vestigingsplaats van Facebook.
Nog niet bindend
Een Opinion van een AG is nog geen juridisch bindende uitspraak. Die vindt plaats bij monde van het Hof. Het is in feite een advies dat het Hof ook naast zich neer kan leggen. De praktijk wijst echter uit dat er aan de woorden van de AG zwaar wordt getild. Het is dus wachten op de uiteindelijke uitspraak, die ongetwijfeld van belang zal zijn voor de ontwikkeling van de tamelijk jonge AVG.
