Strikte voorwaarden rondom bevoegdheden van niet leidende nationale toezichthouders in het kader van het ‘one stop shop’ mechanisme

18/06/'21 - Het Hof van Justitie van de Europese Unie (hierna het ‘Hof’) heeft op 15 juni uitspraak gedaan in de lang lopende zaak tussen Facebook en de Belgische toezichthouder, de Gegevensbeschermingsautoriteit. De uitspraak gaat in op het ‘een-loketmechanisme’ zoals opgenomen in de Algemene Verordening Gegevensbescherming (AVG), ook wel het ‘one-stop-shop’ mechanisme genoemd. Dit mechanisme houdt in dat organisaties die grensoverschrijdende gegevensverwerkingen uitvoeren, alléén te maken hebben met de toezichthouder van de lidstaat waar hun hoofdvestiging zit. Het Hof brengt in deze uitspraak de uitzonderlijke gevallen in herinnering waaronder een niet leidende nationale toezichthouder die haar bevoegdheden kan uitoefenen in het kader van grensoverschrijdende verwerkingen. Wat betekent deze uitspraak concreet voor het zogenoemde ‘one-stop-shop mechanisme’?

Facebook - Belgische Gegevensbeschermingsautoriteit

De zaak kwam voor het Hof nadat Facebook de bevoegdheid van de Belgische Gegevensbeschermingsautoriteit (GBA) had aangevochten. De GBA wilde optreden tegen Facebook, om een volgens de GBA ernstige inbreuk op het privéleven van Belgische burgers te voorkomen: namelijk het door Facebook verzamelen van informatie over de surfgewoontes van internetgebruikers in België door cookies via sociale plug-ins, ongeacht of iemand een Facebookaccount heeft of niet.

Facebook was echter van mening dat alleen de Ierse Data Protection Commission (DPC) bevoegd is toezicht te houden op het bedrijf. De Ierse DPC is namelijk, als leidende toezichthouder, primair aangewezen om Facebook te controleren met betrekking tot haar grensoverschrijdende verwerkingen. Dit vanwege het feit dat Facebook in Ierland haar Europese hoofdvestiging heeft en vanuit daar, volgens Facebook, besluiten genomen worden over de verwerking van persoonsgegevens door het bedrijf. 

In de uitspraak van 15 juni jl. brengt het Hof echter in herinnering dat niet leidende toezichthouders bij grensoverschrijdende verwerkingen in uitzonderlijke gevallen gebruik kunnen maken van hun bevoegdheden om een vermeende inbreuk op de AVG voor een rechterlijke instantie van een lidstaat te brengen. Hierbij dient wel de nadruk gelegd te worden op het woord ‘uitzonderlijk’. Zo stelt het Hof dat: “op het gebied van grensoverschrijdende verwerking van persoonsgegevens, de competentie van de leidende toezichthoudende autoriteit om een besluit te nemen waarbij wordt vastgesteld dat een verwerking in strijd is met de AVG, de regel is, terwijl de competentie van de andere betrokken toezichthoudende autoriteiten om – zelfs maar voorlopig – een dergelijk besluit vast te stellen, de uitzondering vormt.”

Wat zijn deze uitzonderlijke gevallen?

Iedere toezichthouder is competent een bij haar ingediende klacht of een eventuele inbreuk op de AVG te behandelen indien het onderwerp van die zaak alleen verband houdt met een vestiging in haar lidstaat of alleen voor betrokkenen in haar lidstaat wezenlijke gevolgen heeft. Ook kunnen betrokken nationale toezichthouders, wanneer zij van mening zijn dat er dringend moet worden opgetreden om de rechten en vrijheden van betrokkenen te beschermen, onverwijld voorlopige maatregelen nemen (onder een zogenoemde “spoedprocedure”).

Het Hof legt in de uitspraak eveneens de nadruk op het feit dat leidende toezichthouders en betrokken nationale toezichthouders, in lijn met de regels onder de AVG rondom samenwerking en coherentie, loyaal en doeltreffend dienen samen te werken. Een leidende toezichthouder mag hierbij niet voorbijgaan aan de standpunten of bezwaren van andere betrokken toezichthouders.

Zo stelt het Hof dat in uitzonderlijke gevallen waar een leidende toezichthouder zich niet houdt aan het samenwerkingsmechanisme, nationale toezichthouders, waar van toepassing en na advies van het Europees Comité, bevoegd zijn om zelf direct stappen te ondernemen tegen bedrijven. Het Hof geeft hierbij een ruime interpretatie door te stellen dat voor die uitoefening van hun bevoegdheid er geen vestiging van het bedrijf in de eigen lidstaat van de toezichthouder hoeft te zijn.

Wat betekent dit voor het 'one stop shop' mechanisme? 

Alleen bij uitzondering kunnen niet leidende nationale toezichthouders zich dus afzonderlijk buigen over vermeende inbreuken op de AVG. Het ‘one stop shop’ mechanisme blijft in de meeste gevallen leidend en de uitspraak van het Hof doet hier niet aan af.

Het is van belang om de ontwikkelingen goed te blijven monitoren omtrent de gevallen waar een leidende toezichthouder zich niet houdt aan het samenwerkingsmechanisme en waar nationale toezichthouders buiten het ‘one stop shop’ mechanisme stappen ondernemen. Organisaties met grensoverschrijdende verwerking van persoonsgegevens dienen zich bewust te zijn van de verschillende uitzonderingen die het Hof in het arrest heeft herhaald. In sommige gevallen kunnen zij namelijk te maken krijgen met nationale toezichthouders, buiten hun bekende leidende toezichthouder om.