Ja, wij hebben een webshop 😉.

Ben je op zoek naar juridisch advies of het betere maatwerk voor je contracten of policies? Check ons aanbod!

27/01/2021

Welke bevoegde privacy autoriteit kan jou voor de rechter slepen?

Leesduur: 4 minuten
bevoegde_privacy_authoriteit

Een komend arrest van het Hof van Justitie kan mogelijks interessante gevolgen hebben voor bedrijven die in een grensoverschrijdende context werken. De Advocaat-Generaal van het Hof van Justitie schreef in een recente opinie over de zaak van de Belgische Gegevensbeschermingsautoriteit (GBA) tegen Facebook dat ‘de GBA van het land waar de hoofdvestiging van een bedrijf is gevestigd een algemene bevoegdheid heeft om juridische procedures te starten tegen dat bedrijf. De andere GBA’s hebben deze bevoegdheid ook, maar slechts in een beperkt aantal gevallen.

 

Lokale en leidende autoriteiten

Een Gegevensbeschermingsautoriteit (GBA) of Data Protection Authority (DPA) is een onafhankelijke overheidsinstantie die onder andere waakt over ons recht op een privéleven. Elk Europees land heeft minstens één zo’n autoriteit die binnen haar grondgebied haar bevoegdheden uitoefent. Soms zijn meerdere GBA’s bevoegd, want problemen doen zich steeds meer over de grenzen heen voor. In dat geval is er een leidende GBA. Dat is de GBA van het land waar de hoofdvestiging zich bevindt van de verwerker of verwerkingsverantwoordelijke die de inbreuk pleegt. 

 

België v. Facebook

De zaak begon een vijftal jaar geleden al toen de voorloper van de Belgische GBA Facebook voor de rechter sleepte. De reden hiervoor zat hem onder meer in het gebruik van tracking cookies. Dat zijn cookies om internetgebruikers te volgen over verschillende websites heen. De voorloper van de Belgische GBA kreeg eerst haar gelijk, maar Facebook ging tegen deze beslissing in beroep. Facebook beweert dat de Belgische GBA niet bevoegd is om een juridische procedure tegen haar te beginnen. Zij is van mening dat enkel de GBA van de plaats van haar hoofdvestiging bevoegd is om gerechtelijke procedures te starten. In dit geval zou dat dan de GBA van Ierland zijn. 

Vervolgens heeft het Hof van Beroep in Brussel de vraag gesteld aan het Hof van Justitie in Luxemburg wie er bevoegd is om gerechtelijke zaken aan te spannen tegen een bedrijf in geval van grensoverschrijdende inbreuken. Is dat enkel de leidinggevende GBA of kan iedere nationale GBA dit doen?

 

One DPA to rule them all

Het is nog even wachten op een arrest van het Hof van Justitie, maar de Advocaat-Generaal Michal Bobek heeft zijn advies reeds gedeeld. Deze opinies worden bijna altijd ook gevolgd door het Hof van Justitie. Hij verduidelijkt in zijn opinie dat GBA’s inderdaad de bevoegdheid hebben om inbreukplegers voor de rechtbank te slepen, maar in geval van grensoverschrijdende geschillen wordt deze bevoegdheid ingeperkt. Dan mag enkel de leidende GBA in eerste instantie een procedure starten in samenspraak met de andere bevoegde autoriteiten. 

Dit is het principe van het één-loketmechanisme. Dat betekent dus dat een bedrijf in eerste instantie slechts door de GBA van zijn hoofdvestiging voor de rechter kan gebracht worden. In de Facebook zaak betekent dit dus dat de Ierse GBA in eerste instantie de bevoegdheid heeft om een procedure te starten. Zij dient dit wel steeds te doen in nauwe samenwerking met de andere GBA’s. Let wel, de slachtoffers van een inbreuk kunnen nog steeds procedures starten in hun eigen land tegen de bedrijven met een hoofdvestiging in een ander land. 

De Advocaat-Generaal benadrukt dat de nationale GBA’s in vijf gevallen gerechtelijke procedures kunnen starten wanneer zij niet de leidende GBA zijn:

  • Bij inbreuken buiten het kader van de GDPR. Zo heeft de Franse GBA (CNIL) in dit kader al boetes opgelegd voor inbreuken tegen de cookie regels in de ePrivacy richtlijn.
  • Bij grensoverschrijdende verwerkingen die worden uitgevoerd door overheidsinstanties in het algemeen belang of tijdens de uitoefening van hun openbaar gezag of door niet in de Unie gevestigde verwerkingsverantwoordelijken.
  • Wanneer de verwerkingsverantwoordelijke geen enkele vestiging in de Europese Economische Ruimte heeft.
  • Voor dringende maatregelen.
  • Nadat de leidende DPA heeft besloten om een zaak niet te behandelen.

Het zal nu nog enkele maanden duren voordat het Hof van Justitie een definitief arrest velt in deze zaak. Daarna zal het Brusselse Hof van Beroep zich uitspreken over de zaak, rekening houdende met de antwoorden van het Hof van Justitie. 

 

Gevolgen

Een mogelijk gevolg van deze situatie is dat sommige bedrijven hun hoofdzetel zullen verplaatsen naar het land met de minst strenge GBA. Sommige GBA’s zijn namelijk meer toegeeflijk op sommige punten dan andere GBA’s. Wil je graag meer weten over welke GBA’s er bevoegd zijn voor jouw verwerkingsactiviteiten of privacy en GDPR in het algemeen? Je mag ons altijd vrijblijvend contacteren via bart@siriuslegal.be.

Dit artikel werd geschreven door Matthias Vandamme die intussen Sirius Legal heeft verlaten. 

Over de auteur

Bart
Van den Brande

Ik ben de oprichter en Managing Partner van Sirius Legal.  In 2010 besloot ik de Brusselse advocatenwereld achter me te laten om op een and...


Cookies

Datacollectie op je website waarmee je juridisch volledig voldoet aan alle vereisten. Niet omdat het moet, maar ook uit respect voor de privacy van je klanten, toch?


e-Privacy

Correct omgaan met persoonsgegevens is meer dan voldoen aan de GDPR wetgeving. Daarnaast is er nog specifieke wetgeving zoals de cookiewet, het bel-me-niet-meer register, de Robinsonlijst etc. 


Internationale datatransfers

Data export is élke uitwisseling van gegevens met een partner buiten de EU. GDPR staat data export buiten de EU enkel toe als de ontvanger een gepast beschermingsniveau garandeert. 


GDPR compliance

GDPR compliance is een grote milestone in de privacywetgeving. Laat je niet afschrikken, wij staan je graag bij met to-the-point advies dat helemaal niet duur moet zijn.