CONCLUSIE VAN ADVOCAAT-GENERAAL
M. BOBEK
van 13 januari 2021 (1)
Zaak C‑645/19
Facebook Ireland Limited,
Facebook Inc.,
Facebook Belgium BVBA
tegen
Gegevensbeschermingsautoriteit
[verzoek van het hof van beroep Brussel (België) om een prejudiciële beslissing]
„Prejudiciële verwijzing – Bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens – Handvest van de grondrechten van de Europese Unie – Artikelen 7, 8 en 47 – Verordening (EU) 2016/679 – Artikelen 55, 56, 58, 60, 61 en 66 – Toezichthoudende autoriteiten – Grensoverschrijdende gegevensverwerking – Eén loket – Leidende toezichthoudende autoriteit – Betrokken toezichthoudende autoriteit – Competentie – Bevoegdheden – Bevoegdheid om een gerechtelijke procedure in te stellen”
I. Inleiding
1. Staat de algemene verordening gegevensbescherming(2) (hierna: „AVG”) een toezichthoudende autoriteit van een lidstaat toe om bij een rechterlijke instantie van die lidstaat ter zake van een vermeende schending van die verordening in verband met een grensoverschrijdende gegevensverwerking een vordering in te stellen wanneer die autoriteit niet de leidende toezichthoudende autoriteit is met betrekking tot die verwerking?
2. Of staat het nieuwe „één-loketmechanisme”, dat als een van de grote vernieuwingen van de AVG werd aangekondigd, daaraan in de weg? Indien een verwerkingsverantwoordelijke zich zou moeten verdedigen tegen een rechtsvordering betreffende een grensoverschrijdende gegevensverwerking die door een toezichthoudende autoriteit aanhangig is gemaakt bij een andere rechterlijke instantie dan die van de plaats waar de hoofdvestiging van de verwerkingsverantwoordelijke gelegen is, zou dat dan neerkomen op „één loket te veel” en dus onverenigbaar zijn met het nieuwe AVG-mechanisme?
II. Toepasselijke bepalingen
A. Unierecht
3. In de considerans van de AVG staat onder meer het volgende te lezen: „[d]e doelstellingen en beginselen van richtlijn 95/46/EG blijven overeind, maar de richtlijn heeft niet kunnen voorkomen dat gegevens in de Unie op gefragmenteerde wijze worden beschermd [en] dat er rechtsonzekerheid heerst” (overweging 9); er moet worden gezorgd voor een in de gehele Unie coherente en homogene toepassing van de regels inzake gegevensbescherming (overweging 10); de toezichthoudende autoriteiten dienen toezicht te houden op de toepassing van de regels en bij te dragen tot de consequente toepassing daarvan, teneinde natuurlijke personen te beschermen en het vrije verkeer van persoonsgegevens binnen de interne markt te vergemakkelijken (overweging 123); in situaties van grensoverschrijdende verwerking „dient de toezichthoudende autoriteit van de hoofdvestiging van de verwerkingsverantwoordelijke of verwerker of van de ene vestiging van de verwerkingsverantwoordelijke of verwerker als de leidende toezichthoudende autoriteit op te treden” en dient deze autoriteit „met de andere betrokken toezichthoudende autoriteiten samen te werken” (overweging 124).
4. Artikel 51, lid 1, AVG luidt: „Elke lidstaat bepaalt dat één of meer onafhankelijke overheidsinstanties verantwoordelijk zijn voor het toezicht op de toepassing van deze verordening, teneinde de grondrechten en fundamentele vrijheden van natuurlijke personen in verband met de verwerking van hun persoonsgegevens te beschermen en het vrije verkeer van persoonsgegevens binnen de Unie te vergemakkelijken (‚toezichthoudende autoriteit’).”
5. Krachtens artikel 55, lid 1, AVG heeft „[e]lke toezichthoudende autoriteit [...] de competentie op het grondgebied van haar lidstaat de taken uit te voeren die haar overeenkomstig deze verordening zijn opgedragen en de bevoegdheden uit te oefenen die haar overeenkomstig deze verordening zijn toegekend”.
6. Artikel 56 AVG ziet op de competentie van de leidende toezichthoudende autoriteit. Het eerste lid van dat artikel bepaalt:
„Onverminderd artikel 55 is de toezichthoudende autoriteit van de hoofdvestiging of de enige vestiging van de verwerkingsverantwoordelijke of verwerker competent op te treden als leidende toezichthoudende autoriteit voor de grensoverschrijdende verwerking door die verwerkingsverantwoordelijke of verwerker overeenkomstig de procedure van artikel 60.”
7. Artikel 56, leden 2 tot en met 5, bepaalt dat in afwijking van lid 1 „elke toezichthoudende autoriteit competent [is] een bij haar ingediende klacht of een eventuele inbreuk op deze verordening te behandelen indien het onderwerp van die zaak alleen verband houdt met een vestiging in haar lidstaat of alleen voor betrokkenen in haar lidstaat wezenlijke gevolgen heeft”, alsmede dat deze zaken kunnen worden behandeld door de leidende toezichthoudende autoriteiten volgens de procedure van artikel 60 AVG of – „[i]ndien de leidende toezichthoudende autoriteit besluit de zaak niet te behandelen” – door de lokale toezichthoudende autoriteit overeenkomstig de artikelen 61 en 62 AVG.
8. Volgens artikel 56, lid 6, AVG is „[d]e leidende toezichthoudende autoriteit [...] voor de verwerkingsverantwoordelijke of de verwerker de enige gesprekspartner bij grensoverschrijdende verwerking door die verwerkingsverantwoordelijke of verwerker”.
9. Artikel 58, lid 5, AVG, dat betrekking heeft op de bevoegdheden van de toezichthoudende autoriteiten, luidt:
„Elke lidstaat bepaalt bij wet dat zijn toezichthoudende autoriteit bevoegd is inbreuken op deze verordening ter kennis te brengen van de gerechtelijke autoriteiten en, waar passend, daartegen een rechtsvordering in te stellen of anderszins in rechte op te treden, teneinde de bepalingen van deze verordening te doen naleven.”
10. Hoofdstuk VII van de AVG, met als opschrift „Samenwerking en coherentie”, omvat de artikelen 60 tot en met 76. In artikel 60, dat voorzien is van het opschrift „Samenwerking tussen de leidende toezichthoudende autoriteit en de andere betrokken toezichthoudende autoriteiten”, wordt de gedetailleerde procedure vastgesteld die de leidende toezichthoudende autoriteiten moeten volgen wanneer zij een zaak betreffende grensoverschrijdende gegevensverwerking behandelen.
11. Artikel 61, lid 2, AVG, dat betrekking heeft op wederzijdse bijstand, vereist op zijn beurt dat elke toezichthoudende autoriteit „alle passende maatregelen [neemt] die nodig zijn om een verzoek van een andere toezichthoudende autoriteit onverwijld en uiterlijk binnen één maand na ontvangst daarvan te beantwoorden”. Artikel 61, lid 8, AVG bepaalt dat wanneer een toezichthoudende autoriteit de gevraagde informatie niet verstrekt, de verzoekende toezichthoudende autoriteit op het grondgebied van haar lidstaat een voorlopige maatregel kan nemen, waarbij wordt aangenomen dat er overeenkomstig artikel 66, lid 1, dringend moet worden opgetreden.
12. Artikel 65 AVG („Geschillenbeslechting door het Comité”) bepaalt in lid 1, onder a), dat het Europees Comité voor gegevensbescherming (hierna: „Comité”) met het oog op de correcte en consequente toepassing van de verordening in individuele gevallen een bindend besluit moet vaststellen in onder meer de gevallen waarin een betrokken toezichthoudende autoriteit een relevant en gemotiveerd bezwaar heeft ingediend tegen een ontwerpbesluit van de leidende toezichthoudende autoriteit en de leidende toezichthoudende autoriteit dat bezwaar heeft afgewezen omdat het volgens haar irrelevant of ongemotiveerd is.
13. Artikel 66, lid 1, dat ziet op de spoedprocedure, bepaalt dat een betrokken toezichthoudende autoriteit in buitengewone omstandigheden, wanneer zij van mening is dat er dringend moet worden opgetreden om de rechten en vrijheden van betrokkenen te beschermen, in afwijking van de samenwerkings- en coherentiemechanismen, „onverwijld voorlopige maatregelen met een bepaalde geldigheidsduur van ten hoogste drie maanden [kan] nemen die beogen rechtsgevolgen in het leven te roepen op het eigen grondgebied”.
14. Hoofdstuk VIII van de AVG, met als opschrift „Beroep, aansprakelijkheid en sancties”, omvat de artikelen 77 tot en met 84. Krachtens artikel 77, lid 1, AVG heeft iedere betrokkene het recht om een klacht over mogelijke inbreuken op de verordening met betrekking tot de verwerking van hem betreffende persoonsgegevens in te dienen bij een toezichthoudende autoriteit, „met name in de lidstaat waar hij gewoonlijk verblijft, hij zijn werkplek heeft of waar de beweerde inbreuk is begaan”. Bij artikel 78, leden 1 en 2, AVG wordt aan iedere natuurlijke of rechtspersoon het recht toegekend om een doeltreffende voorziening in rechte in te stellen tegen, onder meer, een hem betreffend juridisch bindend besluit van een toezichthoudende autoriteit en tegen een toezichthoudende autoriteit die een klacht niet behandelt.
B. Nationaal recht
15. Bij de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (hierna: „WVP”), zoals gewijzigd, is richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens(3) omgezet in Belgisch recht. Bij die wet werd onder meer de Commissie voor de bescherming van de persoonlijke levenssfeer (hierna: „Privacycommissie”) opgericht. Artikel 32, § 3, WVP luidde: „Onverminderd de bevoegdheid van de gewone hoven en rechtbanken met het oog op de toepassing van de algemene beginselen inzake bescherming van de persoonlijke levenssfeer, kan de voorzitter van de [Privacycommissie] ieder geschil aangaande de toepassing van deze wet en haar uitvoeringsmaatregelen aan de rechtbank van eerste aanleg voorleggen.”
16. Bij artikel 3 van de op 25 mei 2018 in werking getreden wet van 3 december 2017 tot oprichting van de Gegevensbeschermingsautoriteit (hierna: „GBA-wet”) is de Gegevensbeschermingsautoriteit (hierna: „GBA”) opgericht als opvolger van de Privacycommissie. Volgens artikel 6 van de GBA-wet is de GBA „bevoegd inbreuken op de grondbeginselen van de bescherming van de persoonsgegevens, in het kader van deze wet en van de wetten die bepalingen bevatten inzake de bescherming van de verwerking van persoonsgegevens ter kennis te brengen van de gerechtelijke autoriteiten en, waar passend, een rechtsvordering in te stellen teneinde deze grondbeginselen te doen naleven”.
17. In de GBA-wet is geen specifieke bepaling opgenomen met betrekking tot rechtsvorderingen die op grond van artikel 32, § 3, WVP zijn ingeleid en die op 25 mei 2018 nog steeds aanhangig waren.
18. De WVP is ingetrokken bij de wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens. Die wet geeft uitvoering aan de bepalingen van de AVG op grond waarvan de lidstaten regels moeten of mogen vaststellen die verder gaan dan de gemeenschappelijke regels.
III. Feiten, nationale procedure en prejudiciële vragen
19. Op 11 september 2015 heeft de voorzitter van de Belgische Privacycommissie, die later de GBA is geworden, een procedure tegen Facebook Inc., Facebook Ireland Ltd en Facebook Belgium BVBA (hierna gezamenlijk: „Facebook”) ingesteld bij de Nederlandstalige rechtbank van eerste aanleg Brussel (België). Deze procedure betreft vermeende inbreuken op de wetgeving inzake gegevensbescherming door Facebook, die onder meer inhouden dat op onrechtmatige wijze informatie over het private surfgedrag van internetgebruikers in België wordt verzameld en gebruikt door middel van technologieën als „cookies”, „social plug-ins” („sociale invoegtoepassingen”) en „pixels”.
20. In wezen voert de GBA aan dat Facebook verschillende technologieën gebruikt om individuen te volgen en te traceren wanneer zij van de ene website naar de andere surfen, en de verzamelde informatie vervolgens gebruikt om hun surfgedrag te profileren en hun op basis daarvan gerichte reclame te tonen, zonder de betrokkenen naar behoren te informeren of hun geldige toestemming te verkrijgen. Volgens de GBA past Facebook deze praktijken toe ongeacht of de betrokken persoon zich al dan niet heeft aangesloten bij het sociale netwerk van Facebook.
21. De GBA heeft verzocht Facebook te veroordelen tot de staking, ten aanzien van alle internetgebruikers op het Belgische grondgebied, van het zonder hun toestemming plaatsen van cookies die gedurende twee jaar actief blijven op de apparatuur die zij gebruiken wanneer zij op een webpagina van het Facebook.com-domein of op de website van een derde surfen, alsmede tot de staking van het op een buitensporige wijze verzamelen van gegevens via social plug-ins en pixels op websites van derden. Bovendien heeft de GBA verzocht om vernietiging van alle persoonsgegevens van iedere internetgebruiker op het Belgische grondgebied die zijn verkregen door middel van cookies en social plug-ins.
22. Bij beschikking in kortgeding van 9 november 2015 heeft de voorzitter van de Nederlandstalige rechtbank van eerste aanleg Brussel geoordeeld dat hij bevoegd was om van de zaak kennis te nemen en dat de vordering ontvankelijk was ten aanzien van elk van de drie verweersters. Tevens heeft deze rechtbank verweersters voorlopig gelast bepaalde activiteiten ten aanzien van de internetgebruikers op het Belgische grondgebied te staken.
23. Op 2 maart 2016 heeft Facebook een verzoekschrift tot hoger beroep tegen die beschikking ingediend bij het hof van beroep Brussel (hierna ook: „verwijzende rechter”). Bij arrest van 29 juni 2016 heeft de verwijzende rechter de beschikking in eerste aanleg gewijzigd. Met name heeft hij geoordeeld dat hij geen rechtsmacht heeft ter zake van de vorderingen tegen Facebook Inc. en Facebook Ireland Ltd, maar dat hij wel rechtsmacht heeft ten aanzien van de vordering tegen Facebook Belgium BVBA. Het hoofdgeding is dus beperkt tot de vorderingen tegen Facebook Belgium. De verwijzende rechter heeft ook verklaard dat er geen sprake was van urgentie.
24. Naar ik begrijp, heeft de bij de verwijzende rechter aanhangige zaak thans betrekking op het beroep tegen een latere beslissing ten gronde die is gewezen door de rechtbank van eerste aanleg. In de beroepsprocedure stelt Facebook Belgium onder meer dat de GBA, sinds het nieuwe „één-loketmechanisme” van de AVG operationeel is geworden, niet langer competent is om het hoofdgeding voort te zetten omdat zij niet de leidende toezichthoudende autoriteit is. Voor de aan de orde zijnde grensoverschrijdende verwerking zou de Ierse Data Protection Commission (commissie voor gegevensbescherming) de leidende toezichthoudende autoriteit zijn. De hoofdvestiging van de verwerkingsverantwoordelijke in de Europese Unie bevindt zich namelijk in Ierland (Facebook Ireland Ltd).
25. Tegen deze achtergrond heeft het hof van beroep Brussel de behandeling van de zaak geschorst en het Hof verzocht om een prejudiciële beslissing over de volgende vragen:
„1) Moeten de artikelen 55.1, 56-58 en 60-66 [AVG], gelezen in samenhang met de artikelen 7, 8 en 47 van het Handvest van de grondrechten van de Europese Unie, in die zin uitgelegd worden dat een toezichthoudende autoriteit die krachtens in uitvoering van artikel 58.5 [AVG] aangenomen nationale wetgeving de bevoegdheid heeft om tegen inbreuken op [de AVG] een rechtsvordering in te stellen bij een rechtbank van haar lidstaat, die bevoegdheid niet kan uitoefenen in verband met een grensoverschrijdende verwerking als zij niet de leidende toezichthoudende autoriteit inzake die grensoverschrijdende verwerking is?
2) Maakt het daarbij een verschil uit als de verwerkingsverantwoordelijke van die grensoverschrijdende verwerking niet in die lidstaat haar hoofdvestiging heeft maar er wel een andere vestiging heeft?
3) Maakt het daarbij een verschil uit of de nationale toezichthoudende autoriteit de rechtsvordering instelt tegen de hoofdvestiging van de verwerkingsverantwoordelijke dan wel tegen de vestiging in haar eigen lidstaat?
4) Maakt het daarbij een verschil uit als de nationale toezichthoudende autoriteit de rechtsvordering reeds ingesteld heeft vóór de datum waarop [de AVG] van toepassing geworden is (25 mei 2018)?
5) Ingeval het antwoord op de eerste vraag positief zou zijn, heeft artikel 58, lid 5, van de AVG rechtstreekse werking, zodat een nationale toezichthoudende autoriteit zich op voormeld artikel kan steunen om een gerechtelijke procedure tegen particuliere partijen in te leiden of voort te zetten, zelfs indien artikel 58, lid 5, van de AVG niet specifiek is omgezet in de wetgeving van de lidstaten, niettegenstaande zulks vereist is?
6) Indien het antwoord op de vorige vragen positief zou zijn, zou het resultaat van dergelijke procedures in de weg kunnen staan van een tegengestelde bevinding van de leidende toezichthoudende autoriteit in het geval dat de leidende toezichthoudende autoriteit dezelfde of soortgelijke grensoverschrijdende verwerkingsactiviteiten onderzoekt overeenkomstig het mechanisme vervat in de artikelen 56 en 60 van de AVG?”
26. Schriftelijke opmerkingen zijn ingediend door Facebook, de GBA, de Belgische, de Tsjechische, de Italiaanse, de Poolse, de Portugese en de Finse regering alsook door de Europese Commissie. Facebook, de GBA en de Commissie hebben tevens pleidooi gehouden ter terechtzitting van 5 oktober 2020.
IV. Analyse
27. Kort samengevat is de kernvraag in het hoofdgeding of de GBA de gerechtelijke procedure tegen Facebook Belgium nog wel kan voortzetten met betrekking tot de grensoverschrijdende verwerking van persoonsgegevens die heeft plaatsgevonden nadat de AVG van toepassing is geworden, gelet op het feit dat Facebook Ireland de gegevensverwerkende entiteit is.
28. Om deze vraag te beantwoorden, moet worden beoordeeld wat de reikwijdte en werking zijn van wat in de AVG zelf, meer bepaald in overweging 127 ervan, het „één-loketmechanisme” wordt genoemd. Dit mechanisme wordt gevormd door een aantal regels waarbij voor grensoverschrijdende gegevensverwerkingen een centraal handhavingspunt wordt aangewezen in de vorm van een leidende toezichthoudende autoriteit (hierna: „LTA”), die samen met de betrokken toezichthoudende autoriteiten (hierna: „BTA’s”) deel uitmaakt van het stelsel van procedures voor samenwerking en coherentie, dat de betrokkenheid van alle belanghebbende toezichthoudende autoriteiten moet waarborgen.
29. Op grond van artikel 56, lid 1, AVG treedt een toezichthoudende autoriteit op als de LTA voor grensoverschrijdende verwerkingen door verwerkingsverantwoordelijken en verwerkers die hun hoofdvestiging of enige vestiging op het grondgebied van de LTA hebben. In artikel 4, punt 22, AVG is bepaald dat een toezichthoudende autoriteit optreedt als BTA indien voldaan is aan een van de volgende alternatieve voorwaarden: „a) de verwerkingsverantwoordelijke of de verwerker [is] op het grondgebied van de lidstaat van die toezichthoudende autoriteit [...] gevestigd; b) de betrokkenen die in de lidstaat van die toezichthoudende autoriteit verblijven, [zullen] door de verwerking wezenlijke gevolgen ondervinden of waarschijnlijk [...] ondervinden; of c) bij die toezichthoudende autoriteit [is] een klacht [...] ingediend”.
30. Alvorens de prejudiciële vragen ten gronde te behandelen, dienen enkele inleidende opmerkingen te worden gemaakt (A). Vervolgens zal ik de door de verwijzende rechter aan de orde gestelde rechtsvragen onderzoeken. Daarbij zal ik mij met name richten op de eerste prejudiciële vraag, aangezien die vraag de kern van het geding voor de verwijzende rechter vormt (B). Daarna zal ik slechts kort ingaan op de andere prejudiciële vragen, aangezien het antwoord op die vragen ofwel overbodig ofwel vrij duidelijk wordt indien de eerste vraag wordt beantwoord zoals ik in deze conclusie in overweging geef (C).
A. Inleidende opmerkingen
31. Vooraf wijs ik erop dat ik bepaalde elementen van het hoofdgeding niet helemaal begrijp.
32. In de eerste plaats moet ik toegeven dat de relevantie van de in het hoofdgeding gestelde vragen mij enigszins ontgaat omdat van de partijen waartegen de GBA is opgetreden, kennelijk alleen nog Facebook Belgium overblijft als verweerster in het hoofdgeding.(4) Uit het dossier waarover het Hof beschikt, blijkt dat deze vennootschap niet de „hoofdvestiging” van de verwerkingsverantwoordelijke is in de zin van artikel 4, punt 16, AVG en, aangezien zij een vestiging van dezelfde onderneming blijkt te zijn, ook geen „gezamenlijke verwerkingsverantwoordelijke” in de zin van artikel 26 AVG kan zijn.(5)
33. Voor prejudiciële vragen geldt evenwel een vermoeden van relevantie. Het Hof weigert dan ook slechts in een beperkt aantal gevallen om uitspraak te doen, met name wanneer niet is voldaan aan de in artikel 94 van het Reglement voor de procesvoering van het Hof van Justitie neergelegde vereisten, wanneer de uitlegging van het Unierecht klaarblijkelijk geen verband houdt met het geschil, of wanneer de vragen (volstrekt) hypothetisch zijn.(6) De onderhavige zaak is naar mijn mening niet een dergelijk geval. De vragen „wie is wie?” en „wie kan waarvoor precies worden vervolgd?” houden niet alleen een feitelijke beoordeling in die uiteindelijk aan de nationale rechter staat, maar vormen in zekere zin ook een van de aspecten van de aan het Hof voorgelegde vragen.
34. In de tweede plaats is ook het temporele aspect van het hoofdgeding niet gemakkelijk te vatten. De vordering is ingesteld toen richtlijn 95/46 van kracht was en is vervolgens voortgezet toen de AVG in werking trad. De procedure heeft nu echter kennelijk alleen betrekking op gedragingen die hebben plaatsgevonden nadat het nieuwe juridische kader van toepassing is geworden. In feite rijst de vraag of de voortzetting van de procedure door de GBA strookt met de bepalingen van de AVG, hetgeen in de vierde prejudiciële vraag aan de orde wordt gesteld. Deze vragen zouden in het hoofdgeding echter alleen relevant zijn indien een nationale autoriteit de lopende procedure tot het einde zou willen voortzetten met betrekking tot vermeende inbreuken die zijn begaan voordat het nieuwe juridische kader van toepassing is geworden. Indien de lopende procedure in dit stadium evenwel alleen betrekking zou hebben op iets wat onrechtmatig zou zijn geworden nadat de AVG van toepassing is geworden, waarbij mogelijk ook een (noodzakelijkerwijs toekomstig) rechterlijk verbod op dergelijke praktijken wordt gevorderd, valt moeilijk te begrijpen waarom de GBA – voor zover zij zich competent acht om tussen te komen – de lopende procedure niet heeft beëindigd en niet is opgetreden overeenkomstig de relevante bepalingen van de AVG.
35. In de derde plaats heeft de GBA ter terechtzitting verwezen naar een uitwisseling met de Ierse toezichthoudende autoriteit en het Comité over een van de technologieën die Facebook gebruikt om gegevens te verzamelen (cookies). Gesteld wordt dat de twee toezichthoudende autoriteiten het niet eens waren over de vraag of die technologie daadwerkelijk binnen de materiële werkingssfeer van de AVG valt.
36. In dit verband kan het, voor zover het de onderhavige zaak betreft, nuttig zijn om erop te wijzen dat bepaalde gegevensverwerkingsactiviteiten in feite binnen de materiële werkingssfeer van meer dan één wetgevingsinstrument van de Unie kunnen vallen. In dat geval zijn al deze instrumenten – behoudens andersluidende bepalingen – tegelijkertijd van toepassing.(7) In andere gevallen evenwel, bijvoorbeeld wanneer de verwerkingsactiviteiten geen betrekking hebben op persoonsgegevens in de zin van artikel 4, punt 1, AVG, is deze verordening uiteraard niet van toepassing.
37. Wanneer de vermeende onrechtmatigheid van bepaalde soorten gegevensverwerking voortvloeit uit andere bepalingen van (Unie- of nationaal) recht, zijn de procedures en mechanismen van de AVG dan ook niet van toepassing. De AVG kan niet worden gebruikt als poort om het „één-loketmechanisme” te verruimen tot gedragsvormen die weliswaar betrekking hebben op bepaalde gegevensstromen of zelfs gegevensverwerkingen, maar niet in strijd zijn met de verplichtingen die in de AVG zijn neergelegd.
38. Om te beslissen of een geval al dan niet binnen de materiële werkingssfeer van de AVG valt, behoort een nationale rechter – daaronder begrepen een verwijzende rechter – te onderzoeken wat de precieze grondslag van de juridische verplichting is die op een marktdeelnemer rust en die door deze marktdeelnemer zou zijn geschonden. Indien de grondslag van die verplichting niet de AVG is, zijn logischerwijs ook de in dat instrument vastgestelde procedures, die verband houden met de materiële werkingssfeer van dat instrument, niet van toepassing.
B. Eerste prejudiciële vraag
39. Met zijn eerste vraag wenst de verwijzende rechter in wezen te vernemen of de bepalingen van de AVG, gelezen in het licht van de artikelen 7, 8 en 47 van het Handvest van de grondrechten van de Europese Unie (hierna: „Handvest”), de toezichthoudende autoriteit van een lidstaat toestaan om bij een rechterlijke instantie van die staat ter zake van een vermeende schending van die verordening in verband met een grensoverschrijdende gegevensverwerking een vordering in te stellen, zelfs indien die autoriteit niet de „leidende toezichthoudende autoriteit” is.
40. In dit verband opperen de GBA en de Belgische, de Italiaanse, de Poolse en de Portugese regering dat het Hof bevestigend antwoordt, terwijl Facebook, de Tsjechische en de Finse regering en de Commissie zich op het tegenovergestelde standpunt stellen.
41. Hieronder zal ik uiteenzetten waarom ik de door de GBA en de Belgische, de Italiaanse, de Poolse en de Portugese regering voorgestelde uitlegging van de AVG niet overtuigend vind: zowel een letterlijke en systematische (1), als een teleologische en historische (2) uitlegging van de AVG gaan duidelijk in tegen hun zienswijze. Bovendien kunnen noch een op het Handvest gerichte uitlegging van de verordening (3), noch de vermeende risico’s van een mogelijke ontoereikende handhaving van de AVG (4) afdoen aan wat, mijns inziens de juiste uitlegging van de AVG is, zeker niet bij de huidige stand van zaken.
42. De gevolgen van die specifieke lezing van de verordening zijn naar mijn mening evenwel niet zo verreikend als Facebook, de Tsjechische en de Finse regering en de Commissie voorstellen. Derhalve zal ik uiteenzetten waarom het antwoord dat aan de verwijzende rechter dient te worden gegeven, het midden behoort te houden tussen de twee standpunten die in deze procedure naar voren zijn gebracht: de toezichthoudende autoriteit van een lidstaat heeft het recht om bij een rechterlijke instantie van die staat ter zake van een vermeende schending van de AVG in verband met een grensoverschrijdende gegevensverwerking een vordering in te stellen, zelfs indien zij niet de LTA is, mits zij dit doet in de situaties die zijn genoemd en volgens de procedures die zijn vastgesteld in de AVG (5).
1. Letterlijke en systematische uitlegging van de AVG
43. Om te beginnen komt het mij voor dat de bewoordingen van de relevante bepalingen, vooral wanneer zij in hun context worden gelezen, steun bieden aan de uitlegging van de AVG volgens welke de LTA een algemene competentie heeft voor grensoverschrijdende verwerkingen, hetgeen impliceert dat de BTA’s slechts een beperkte bevoegdheid hebben om op dit gebied op te treden.
44. Artikel 56, lid 1, AVG bepaalt dat „de toezichthoudende autoriteit van de hoofdvestiging of de enige vestiging van de verwerkingsverantwoordelijke of verwerker competent [is] op te treden als leidende toezichthoudende autoriteit voor de grensoverschrijdende verwerking door die verwerkingsverantwoordelijke of verwerker overeenkomstig de procedure van artikel 60”.(8) Volgens artikel 56, lid 6, AVG is „[d]e leidende toezichthoudende autoriteit [...] voor de verwerkingsverantwoordelijke of de verwerker de enige gesprekspartner bij grensoverschrijdende verwerking door die verwerkingsverantwoordelijke of verwerker”.(9) Deze bepalingen weerklinken in overweging 124, waar in wezen staat te lezen dat in het geval van grensoverschrijdende verwerking „de toezichthoudende autoriteit van de hoofdvestiging van de verwerkingsverantwoordelijke of verwerker of van de ene vestiging van de verwerkingsverantwoordelijke of verwerker als de leidende toezichthoudende autoriteit [dient] op te treden”.(10)
45. De algemene competentie van de LTA’s voor grensoverschrijdende gegevensverwerkingen wordt voorts bevestigd door het feit dat de situaties waarin de competentie met betrekking tot grensoverschrijdende verwerkingen aan andere toezichthoudende autoriteiten wordt verleend, worden omschreven als uitzonderingen op de algemene regel. Met name sluit artikel 55, lid 2, AVG de competentie van de LTA uit voor bepaalde gegevensverwerkingen „door overheidsinstanties”. Daarnaast bepaalt artikel 56, lid 2, AVG dat, in afwijking van het beginsel dat de competentie aan de LTA toekomt, „elke toezichthoudende autoriteit competent [is] een bij haar ingediende klacht of een eventuele inbreuk op deze verordening te behandelen indien het onderwerp van die zaak alleen verband houdt met een vestiging in haar lidstaat of alleen voor betrokkenen in haar lidstaat wezenlijke gevolgen heeft”.
46. Bovendien wordt bij artikel 66 AVG, dat betrekking heeft op de „spoedprocedure”, aan elke BTA de bevoegdheid toegekend om „in buitengewone omstandigheden”, wanneer er dringend moet worden opgetreden om de rechten en vrijheden van betrokkenen te beschermen, onverwijld voorlopige maatregelen met een bepaalde geldigheidsduur van ten hoogste drie maanden te nemen die beogen rechtsgevolgen in het leven te roepen op het eigen grondgebied, „in afwijking van” de in de artikelen 60, 63, 64 en 65 AVG bedoelde samenwerkings- en coherentiemechanismen.
47. Derhalve vloeit mijns inziens vrij duidelijk uit de tekst van de AVG voort dat met betrekking tot grensoverschrijdende verwerkingen de regel is dat de LTA competent is, en de uitzondering dat andere toezichthoudende autoriteiten competent zijn.(11)
48. De GBA en bepaalde regeringen betwisten echter die lezing van de AVG. Naar hun mening kan uit de tekst van de relevante bepalingen worden afgeleid dat elke toezichthoudende autoriteit een (nagenoeg ongebreideld) recht heeft om een rechtsvordering in te stellen ter zake van mogelijke inbreuken die hun grondgebied betreffen, ongeacht of de verwerking grensoverschrijdend van aard is. Zij voeren hiervoor hoofdzakelijk twee argumenten aan.
49. In de eerste plaats stellen zij dat de woorden „[o]nverminderd artikel 55” aan het begin van artikel 56, lid 1, AVG betekenen dat de bij laatstgenoemde bepaling aan de LTA verleende competentie de bij eerstgenoemde bepaling aan elke toezichthoudende autoriteit toegekende bevoegdheden, waaronder de bevoegdheid om een rechtsvordering in te stellen, niet mag aantasten of beperken.
50. Dit argument kan mij niet overtuigen.
51. In artikel 55, lid 1, is het beginsel neergelegd dat elke toezichthoudende autoriteit „de competentie [heeft] op het grondgebied van haar lidstaat de taken uit te voeren die haar overeenkomstig deze verordening zijn opgedragen en de bevoegdheden uit te oefenen die haar overeenkomstig deze verordening zijn toegekend”. Die taken worden vervolgens opgesomd in artikel 57 AVG. De bevoegdheden worden opgesomd in artikel 58 AVG. Een van de opgedragen taken is met name het monitoren en handhaven van de toepassing van de AVG [artikel 57, lid 1, onder a)]. Krachtens artikel 58 hebben de toezichthoudende autoriteiten verschillende onderzoeksbevoegdheden (lid 1), bevoegdheden tot het nemen van corrigerende maatregelen (lid 2) en autorisatie- en adviesbevoegdheden (lid 3), alsmede de bevoegdheid om in rechte op te treden (lid 5).
52. Deze bepalingen – waarnaar artikel 55 impliciet verwijst – omvatten in wezen alle taken en bevoegdheden die toezichthoudende autoriteiten aan de AVG ontlenen. Indien de door de GBA en bepaalde regeringen voorgestelde uitlegging werd gevolgd, zou er vrijwel niets overblijven van de algemene competentie van de LTA, waardoor artikel 56 elke betekenis zou worden ontnomen. De LTA zou niet de „enige” gesprekspartner zijn en evenmin zou zij de overige toezichthoudende autoriteiten op enigerlei wijze „leiden”. Haar rol zou dan waarschijnlijk worden gereduceerd tot die van een „informatiepunt” zonder een duidelijk omschreven opdracht.
53. Het belang van de aan de LTA toebedeelde rol, en impliciet van het één-loketmechanisme, wordt nog duidelijker wanneer die bepalingen in hun geheel en in hun context worden gelezen.
54. Het feit dat artikel 56 een prominente plaats inneemt in het stelsel van de AVG is daarvoor een eerste aanwijzing. Artikel 56 is de tweede bepaling in de betreffende afdeling van de AVG (hoofdstuk VI, „Onafhankelijke toezichthoudende autoriteiten”, afdeling 2, „Competentie, taken en bevoegdheden”), volgt onmiddellijk op de algemene bepaling inzake „competentie” en gaat vooraf aan de overige algemene bepalingen inzake „taken” en „bevoegdheden”. De Uniewetgever heeft dus besloten het centrale karakter van de competentie van de LTA te benadrukken, nog voordat de specifieke taken en bevoegdheden van alle toezichthoudende autoriteiten worden uiteengezet.
55. Belangrijker nog is dat de betekenis van de rol van de LTA’s ook wordt bevestigd door de bepalingen van hoofdstuk VII van de AVG (met als opschrift „Samenwerking en coherentie”), waarin de verschillende procedures en mechanismen worden vastgesteld die toezichthoudende autoriteiten moeten volgen om de consequente toepassing van de AVG te waarborgen. Met name wordt in artikel 60, waarmee het hoofdstuk begint en waarnaar in artikel 56, lid 1, wordt verwezen, de procedure voor „[s]amenwerking tussen de leidende toezichthoudende autoriteit en de andere betrokken toezichthoudende autoriteiten” vastgesteld.
56. Het is duidelijk dat dit de procedure is die moet worden gevolgd wanneer handhavend moet worden opgetreden tegen een grensoverschrijdende verwerking. Die procedure is net zomin als de andere procedures waarin hoofdstuk VII van de AVG voorziet, facultatief. Uit de dwingende bewoordingen van met name artikel 51, lid 2, en artikel 63 AVG komt ondubbelzinnig naar voren dat de toezichthoudende autoriteiten moeten samenwerken door middel van het (verplichte) gebruik van de daartoe vastgestelde procedures en mechanismen.
57. De in artikel 56, lid 1, gebezigde uitdrukking „onverminderd artikel 55” heeft bijgevolg een andere betekenis dan de GBA oppert. Naar mijn mening betekent deze zinswending, in de context waarvan zij deel uitmaakt, eenvoudigweg dat zelfs indien de LTA in een individueel geval overeenkomstig artikel 56 AVG competent is voor dat geval waarbij er sprake is van grensoverschrijdende verwerking, alle toezichthoudende autoriteiten hoe dan ook de algemene bevoegdheden behouden die hun bij artikel 55 (en artikel 58) AVG zijn toegekend.
58. Krachtens artikel 55, lid 1, AVG moeten de lidstaten de toezichthoudende autoriteit in staat stellen om de taken uit te voeren en de bevoegdheden uit te oefenen waarin die verordening voorziet. Deze bepaling kent dus aan elke toezichthoudende autoriteit een algemene bevoegdheid (of competentie) toe om op te treden met betrekking tot haar grondgebied, ongeacht („onverminderd”) of de verwerking grensoverschrijdend van aard is. Indien dat het geval is, treedt de autoriteit in kwestie op als de LTA of de BTA.(12) In artikel 55 AVG is echter niet bepaald in welke situaties en op welke wijze die bevoegdheid om op te treden moet worden uitgeoefend in een individueel geval. Deze aspecten worden immers geregeld door andere bepalingen van de AVG, met name die van hoofdstuk VII. Volgens die bepalingen is voor het antwoord op de vraag of en hoe een toezichthoudende autoriteit de algemene bevoegdheid om op te treden kan uitoefenen, onder meer beslissend of die autoriteit ten aanzien van een bepaalde verwerkingsverantwoordelijke of verwerker de LTA of de BTA is.(13)
59. In dit verband deel ik dan ook, wat het resultaat betreft, het standpunt van het Comité, dat artikel 56, lid 1, AVG in een recent advies een „bepaling van hogere rang” en een „lex specialis” heeft genoemd: deze bepaling heeft „voorrang [op de algemene regel van artikel 55 AVG] wanneer zich een verwerkingssituatie voordoet die aan de in die bepaling gespecificeerde voorwaarden voldoet”.(14)
60. Derhalve ben ik van mening dat de GBA en bepaalde regeringen artikel 55 en artikel 56, lid 1, AVG onjuist uitleggen. Deze interveniënten halen het eerste deel van de volzin van artikel 56, lid 1, uit zijn context om de verhouding tussen de regel en de uitzondering om te keren. Aldus wordt de normatieve inhoud van verschillende bepalingen van de AVG afgezwakt en wordt afbreuk gedaan aan de onder meer in overweging 10 benadrukte doelstelling van de AVG om een meer coherente en homogene toepassing van de regels inzake gegevensbescherming te waarborgen. Dit zou in wezen neerkomen op een terugkeer naar de vroegere regeling van richtlijn 95/46.
61. In de tweede plaats stellen de GBA en bepaalde regeringen dat uit de bewoordingen van artikel 58, lid 5, AVG zelf volgt dat alle toezichthoudende autoriteiten een rechtsvordering moeten kunnen instellen ter zake van elke mogelijke schending van de regels inzake gegevensbescherming die hun grondgebied betreft, ongeacht de (lokale of grensoverschrijdende) aard van de verwerking. Het gevolg daarvan is – volgens hen – dat zelfs indien het één-loketmechanisme zou worden opgevat als een beperking van de bevoegdheden van andere toezichthoudende autoriteiten met betrekking tot grensoverschrijdende verwerkingen, deze beperking alleen betrekking kan hebben op een administratief optreden en niet op een optreden in rechte.
62. Ook dit tweede argument snijdt volgens mij geen hout, omdat daarbij dezelfde „zonde” wordt begaan als bij het vorige argument: een specifieke bepaling van de AVG wordt in „klinische afzondering” van de rest van de verordening gelezen, terwijl er tegelijkertijd te veel uit wordt afgeleid.
63. Artikel 58, lid 5, AVG luidt: „Elke lidstaat bepaalt bij wet dat zijn toezichthoudende autoriteit bevoegd is inbreuken op deze verordening ter kennis te brengen van de gerechtelijke autoriteiten en, waar passend, daartegen een rechtsvordering in te stellen of anderszins in rechte op te treden, teneinde de bepalingen van deze verordening te doen naleven.”
64. Krachtens deze bepaling moeten de lidstaten de toezichthoudende autoriteiten toestaan om nauwe banden te onderhouden met de gerechtelijke autoriteiten (waaronder mogelijk ook strafrechtelijke autoriteiten) en moeten zij de toezichthoudende autoriteiten tevens (niet alleen passieve maar ook actieve) procesbevoegdheid verlenen om vorderingen in te stellen bij hun nationale rechterlijke instanties. Met andere woorden, de toezichthoudende autoriteiten moeten in beginsel contacten kunnen leggen met gerechtelijke autoriteiten en, indien nodig, een rechtsvordering kunnen instellen. Naar ik begrijp, achtte de Uniewetgever een dergelijke uitdrukkelijke bepaling noodzakelijk omdat er niettegenstaande de bewoordingen van artikel 28, lid 3, van richtlijn 95/46(15) aanzienlijke verschillen tussen de wetgevingen van de lidstaten op dit gebied bestonden die op hun beurt leidden tot problemen van ontoereikende handhaving.(16) De onderhavige zaak, die werd ingeleid toen die richtlijn nog van kracht was, is daarvan een goed voorbeeld: de zaak heeft naar nationaal recht aanleiding gegeven tot vragen betreffende de procesbevoegdheid van de Privacycommissie en de juistheid van de rechtsgrondslag voor de vordering die is ingesteld door de voorzitter van die commissie.
65. In overeenstemming met wat hierboven reeds is uiteengezet(17), zijn in artikel 58, lid 5, AVG echter bevoegdheden vastgesteld die in dat stadium zonder uitzondering aan alle toezichthoudende autoriteiten moeten worden toegekend, ongeacht (of vóór) de vaststelling in een individueel geval of die autoriteit de competente LTA of de BTA is dan wel mogelijk in het geheel niet betrokken is. In artikel 58, lid 5, AVG wordt niet bepaald in welke situaties en op welke wijze de bevoegdheid om een vordering in te stellen moet worden uitgeoefend. Dit is vermoedelijk ook de reden waarom die bepaling de uitdrukking „waar passend” bevat. Daarover gaan andere bepalingen van de AVG.
66. Bovendien blijkt noch uit de bewoordingen, noch uit de structuur van artikel 58 AVG dat – zoals de GBA betoogt – een onderscheid kan worden gemaakt tussen enerzijds de administratieve bevoegdheden van de autoriteiten (die onderworpen zouden zijn aan de uit het één-loketmechanisme voortvloeiende beperkingen) en anderzijds de bevoegdheid om een rechtsvordering in te stellen (die niet aan die beperkingen onderworpen zou zijn). In die bepaling worden lid na lid de verschillende bevoegdheden opgesomd die aan de toezichthoudende autoriteiten moeten worden toegekend, waarbij deze bevoegdheden worden gegroepeerd volgens het doel ervan (onderzoek, correctie, advies enz.). De formulering van die leden is in grote lijnen identiek en behelst in wezen dat elke toezichthoudende autoriteit beschikt over de daarin vermelde bevoegdheden.
67. Daarom zie ik geen reden om artikel 58, lid 5, anders uit te leggen dan de leden 1 tot en met 3 van hetzelfde artikel. Van twee dingen één: ofwel bezit elke toezichthoudende autoriteit al die bevoegdheden zonder dat zij door het één-loketmechanisme worden beperkt, ofwel moeten al die bevoegdheden worden uitgeoefend volgens de procedures en binnen de grenzen die in de verordening zijn vastgesteld.
68. Om de in de punten 51 en 52 hierboven uiteengezette redenen kan de eerste hypothese niet worden gehandhaafd. Wanneer artikel 58 AVG in zijn context wordt gelezen, wordt het zelfs duidelijk dat in feite het tegenovergestelde waar is van wat de GBA en bepaalde regeringen stellen.
69. Elke toezichthoudende autoriteit moet namelijk bijdragen tot de correcte en consequente toepassing van de verordening. Daartoe moet elke toezichthoudende autoriteit bijvoorbeeld – ongeacht haar rol als de LTA of als de BTA in een specifiek geval – met de nodige zorgvuldigheid de bij haar ingediende klachten onderzoeken.(18) Zelfs indien de vermeende inbreuken betrekking hebben op grensoverschrijdende verwerkingen en een autoriteit niet de LTA is, moeten andere toezichthoudende autoriteiten de zaak namelijk kunnen onderzoeken om een zinvolle bijdrage te leveren wanneer zij een verzoek daartoe ontvangen in het kader van de samenwerkings- en coherentiemechanismen(19), of moeten zij dringende maatregelen kunnen nemen. Het is dan echter aan de LTA om, in het algemeen, bindende besluiten te nemen teneinde de naleving van de AVG ten aanzien van de verwerker of de verwerkingsverantwoordelijke af te dwingen.(20) Zoals blijkt uit het recente arrest in de zaak Facebook Ireland en Schrems, is het met name de taak van de „bevoegde nationale toezichthoudende autoriteit [om] in voorkomend geval, beroep [in te stellen] bij de nationale rechterlijke instanties”.(21) De voorstelling van zaken als zouden de toezichthoudende autoriteiten de coherentie- en samenwerkingsmechanismen kunnen negeren wanneer zij een vordering willen instellen, is dan ook niet verenigbaar met de tekst van de AVG en met de rechtspraak van het Hof.
70. Bovendien zou het vanuit een meer praktisch oogpunt onlogisch zijn dat een autoriteit geen administratieve procedure mag inleiden om de veronderstelde schending van de gegevensbeschermingsregels te bespreken met de betrokken marktdeelnemers, maar wel onmiddellijk bij een rechterlijke instantie een rechtsvordering mag instellen met betrekking tot dezelfde kwestie. Een rechtszaak is vaak een ultimum remedium waarvan een autoriteit waarschijnlijk zal gebruikmaken wanneer een kwestie niet doeltreffend kan worden opgelost via (formele of informele) discussies en besluitvorming op administratief niveau.
71. Het door de GBA voorgestelde onderscheid, waarbij het een toezichthoudende autoriteit niet wordt toegestaan om (langs administratieve weg) een onderzoek in te stellen, voorbereidingen te treffen, de zaak te behandelen en een besluit te nemen, maar wel om onmiddellijk een rechtsvordering in te stellen bij een rechterlijke instantie, brengt een reëel gevaar met zich mee dat administratieve autoriteiten verworden tot ongure types uit een western die eerst schieten en (misschien) pas later praten („Als je wilt schieten, moet je niet praten”(22)). Ik betwijfel of dit voor administratieve autoriteiten een redelijke of passende manier zou zijn om veronderstelde schendingen van de regels inzake gegevensbescherming aan te pakken.
72. Bovendien, en wat belangrijker is, zou de mogelijkheid voor toezichthoudende autoriteiten om zich vrijelijk tot de nationale rechterlijke instanties te wenden wanneer zij hun administratieve bevoegdheden niet kunnen uitoefenen zonder de in de verordening vaststelde samenwerkings- en coherentiemechanismen toe te passen, het pad effenen voor een gemakkelijke omzeiling van die mechanismen. Met name zouden zowel de LTA als (elk van) de BTA’s in geval van onenigheid over een ontwerpbesluit „eigenmachtig kunnen optreden” en procedures voor de nationale rechterlijke instanties kunnen inleiden, waardoor de procedure van artikel 60, lid 4, en artikel 65 AVG wordt ontweken.
73. Dat zou op zijn beurt ook elke betekenis ontnemen aan een van de belangrijkste functies van het Comité, een bij de AVG ingesteld orgaan dat bestaat uit de voorzitter van één toezichthoudende autoriteit per lidstaat en de Europese Toezichthouder voor gegevensbescherming.(23) Een van de taken van het Comité bestaat juist in het toezien op en zorgen voor de juiste toepassing van de AVG in geval van onenigheid tussen verschillende toezichthoudende autoriteiten.(24) In die gevallen treedt het Comité op als forum voor geschillenbeslechting en als besluitvormingsorgaan. Indien de door de GBA en bepaalde regeringen verdedigde uitlegging werd gevolgd, zou het mechanisme van artikel 65 AVG volledig terzijde kunnen worden geschoven: elke autoriteit zou haar eigen weg kunnen gaan en het Comité kunnen ontwijken.
74. De daaruit voortvloeiende situatie lijkt het tegenovergestelde te zijn van wat de Uniewetgever met het nieuwe stelsel wilde bereiken, zoals in het volgende deel zal worden uiteengezet.
2. Teleologische en historische uitlegging van de AVG
75. Zoals uit overweging 9 van de AVG blijkt, was de Uniewetgever van mening dat ofschoon „[d]e doelstellingen en beginselen van richtlijn 95/46/EG [...] overeind [blijven]”, dit instrument „niet [heeft] kunnen voorkomen dat gegevens in de Unie op gefragmenteerde wijze worden beschermd, dat er rechtsonzekerheid heerst of dat in brede lagen van de bevolking het beeld bestaat dat [er] aanzienlijke risico’s voor de bescherming van natuurlijke personen [zijn]”.
76. Voor het rechtsinstrument dat richtlijn 95/46 moest vervangen, was het dus vooral zaak om te zorgen voor coherentie. Deze doelstelling werd vanuit twee perspectieven belangrijk geacht: aan de ene kant om natuurlijke personen een homogeen en hoog beschermingsniveau te bieden, en aan de andere kant om marktdeelnemers rechtszekerheid en transparantie te bieden door de belemmeringen voor het verkeer van persoonsgegevens binnen de Unie weg te nemen.(25)
77. Dit laatste aspect moet worden benadrukt. Krachtens richtlijn 95/46 waren marktdeelnemers die in de hele Europese Unie actief waren, verplicht om de verschillende nationale regels ter uitvoering van de richtlijn na te leven en tegelijkertijd contacten te onderhouden met alle nationale gegevensbeschermingsautoriteiten. Die situatie was niet alleen duur, belastend en tijdrovend voor de marktdeelnemers, maar was tevens een onvermijdelijke bron van onzekerheid en conflicten voor die marktdeelnemers en hun klanten.(26)
78. De grenzen van het bij richtlijn 95/46 ingevoerde stelsel zijn ook duidelijk aan het licht gekomen in een aantal arresten van het Hof. In het arrest Weltimmo heeft het Hof geoordeeld dat de bevoegdheden van de gegevensbeschermingsautoriteiten strikt werden beperkt door het territorialiteitsbeginsel: deze autoriteiten konden alleen optreden tegen inbreuken die op hun eigen grondgebied hadden plaatsgevonden, zodat zij in alle andere gevallen de autoriteiten van de andere lidstaten moesten verzoeken om in te grijpen.(27) In het arrest Wirtschaftsakademie Schleswig-Holstein heeft het Hof geoordeeld dat bij grensoverschrijdende verwerkingen elke gegevensbeschermingsautoriteit haar bevoegdheden ten aanzien van een op haar grondgebied gevestigd lichaam kon uitoefenen, onafhankelijk van de standpunten en het optreden van de gegevensbeschermingsautoriteit van de lidstaat waar het voor die verwerking verantwoordelijke lichaam zijn zetel heeft.(28)
79. In de virtuele wereld van gegevensverwerking is het echter vaak problematisch om de competentie van de verschillende autoriteiten langs territoriale lijnen te splitsen.(29) Bovendien was het gebrek aan duidelijke coördinatiemechanismen tussen de nationale autoriteiten een bron van inconsistenties en onzekerheid.
80. De invoering van het één-loketmechanisme, met de belangrijke rol die aan de LTA is toebedeeld en de samenwerkingsmechanismen die zijn opgezet om andere toezichthoudende autoriteiten bij het proces te betrekken, had dus tot doel net die problemen aan te pakken.(30) In het arrest Google (Territoriale werkingssfeer van de verwijdering van links) heeft het Hof de nadruk gelegd op het belang van de samenwerkings- en coherentiemechanismen voor de correcte en coherente toepassing van de AVG, alsmede op het verplichte karakter van die mechanismen.(31) Meer recentelijk heeft advocaat-generaal Saugmandsgaard Øe in de zaak Facebook Ireland en Schrems evenzeer beklemtoond dat de samenwerkings- en coherentiemechanismen waarin hoofdstuk VII van de AVG voorziet, tot doel hebben het risico te voorkomen dat verschillende toezichthoudende autoriteiten verschillende benaderingen volgen met betrekking tot grensoverschrijdende verwerkingen.(32)
81. Het is waar dat – zoals de GBA opmerkt – zowel de Raad als het Parlement tijdens het wetgevingsproces heeft getracht om de oorspronkelijk door de Commissie voorgestelde competentie van de LTA te beperken. De wijzigingen die uiteindelijk in de definitieve tekst van de AVG zijn aangebracht, doen echter geen twijfels rijzen over de uitlegging van de hierboven uiteengezette regeling, maar bevestigen deze juist.
82. Volgens het oorspronkelijke voorstel van de Commissie hield het één-loketmechanisme in dat met betrekking tot grensoverschrijdende verwerkingen één toezichthoudende autoriteit (de LTA) verantwoordelijk moest zijn voor de uitoefening van het toezicht op de activiteiten van de verwerkingsverantwoordelijke of de verwerker in de gehele Europese Unie en voor het nemen van de daarmee samenhangende besluiten.(33) Dat voorstel heeft echter aanleiding gegeven tot discussies binnen de Raad en het Parlement.
83. De Raad heeft uiteindelijk overeenstemming bereikt over een tekst op basis van een voorstel van het voorzitterschap.(34) Dit voorstel heeft geenszins afbreuk gedaan aan het één-loketmechanisme als zodanig, dat de Raad heeft aangemerkt als „een van de centrale onderdelen” van het nieuwe juridische kader.(35) Het voorstel van het voorzitterschap heeft uiteindelijk geleid tot twee reeksen vrij specifieke wijzigingen.
84. Ten eerste wilde de Raad bepaalde uitzonderingen op de algemene competentie van de LTA invoeren: met betrekking tot de verwerking door overheidsinstanties en met betrekking tot lokale situaties. De Raad heeft dan ook voorgesteld om twee bepalingen in te voeren die niet voorkwamen in het voorstel van de Commissie.(36) Die bepalingen zijn thans artikel 55, lid 2, en artikel 56, lid 2, AVG.(37)
85. Ten tweede wilde de Raad de rol en de competentie van de LTA afzwakken door de procedure inclusiever te maken. De tekst van het voorstel van de Commissie werd geacht op dit punt enigszins dubbelzinnig te zijn en mogelijkerwijs aanleiding te geven tot een exclusieve competentie van de LTA inzake grensoverschrijdende gegevensverwerkingen. In de tekst werd een aantal correcties aangebracht om de „nabijheid” tussen de betrokkenen en de toezichthoudende autoriteiten te vergroten.(38) Onder meer werd de betrokkenheid van andere toezichthoudende autoriteiten bij het besluitvormingsproces aanzienlijk vergroot.
86. Ook het Europees Parlement was voorstander van de totstandbrenging van het één-loketmechanisme, met een grotere rol voor de LTA, maar had voorgesteld om het stelsel van samenwerking tussen de toezichthoudende autoriteiten te versterken. Zowel de toelichting bij het ontwerpverslag van het Parlement(39) als de wetgevingsresolutie van het Europees Parlement van 12 maart 2014(40) is in dat opzicht vrij duidelijk.
87. Door de tussenkomst van de Raad en het Parlement is het één-loketmechanisme, dat voorheen sterk op de LTA was gericht, in wezen omgevormd tot een evenwichtiger mechanisme met twee pijlers: de leidende rol van de LTA met betrekking tot grensoverschrijdende verwerkingen is behouden, maar gaat thans gepaard met een grotere rol voor de andere toezichthoudende autoriteiten die actief aan het proces deelnemen via de samenwerkings- en coherentiemechanismen, waarbij het Comité de rol van scheidsrechter en gids vervult in geval van onenigheid.
88. De teleologische en historische uitlegging van de AVG bevestigt dus het belang van het één-loketmechanisme en, als gevolg daarvan, de algemene competentie van de LTA met betrekking tot grensoverschrijdende gegevensverwerkingen. De door de GBA en bepaalde regeringen voorgestelde uitlegging van de bepalingen van de AVG is niet verenigbaar met de intentie van de Uniewetgever, zoals deze kan worden afgeleid uit de considerans en de bepalingen van de verordening alsook uit de totstandkomingsgeschiedenis.
89. Derhalve concludeer ik dat een tekstuele, een contextuele, een teleologische en een historische benadering van de uitlegging van de relevante bepalingen van de AVG bevestigen dat de toezichthoudende autoriteiten gehouden zijn om de in de verordening neergelegde regels inzake competentie en inzake de mechanismen en procedures voor samenwerking en coherentie in acht te nemen. Wanneer deze autoriteiten met een grensoverschrijdende verwerking te maken krijgen, moeten zij optreden binnen het bij de AVG vastgestelde kader.
90. De GBA en bepaalde regeringen hebben echter twee aanvullende reeksen argumenten naar voren gebracht die volgens hen pleiten voor een versterking van de bevoegdheden van alle toezichthoudende autoriteiten om eenzijdig op te treden, zelfs als het gaat om grensoverschrijdende verwerkingen. Hierna zal ik uiteenzetten waarom die argumenten niet afdoen aan de uitlegging van de AVG die ik hierboven heb voorgesteld, zeker niet op dit ogenblik.
3. Op het Handvest gerichte uitlegging van de AVG
91. De GBA betoogt dat een onbeperkte bevoegdheid van de toezichthoudende autoriteiten om een vordering in te stellen tegen verwerkers en verwerkingsverantwoordelijken, ook wanneer de verwerking grensoverschrijdend van aard is, noodzakelijk is om de naleving van de artikelen 7, 8 en 47 van het Handvest te waarborgen. Het betoog van de GBA op dit punt lijkt voornamelijk te worden geschraagd door twee bezwaren, hoewel geen daarvan volledig is uiteengezet in haar opmerkingen.(41)
92. Het eerste bezwaar van de GBA lijkt betrekking te hebben op de afname van het aantal autoriteiten dat kan optreden tegen bepaald gedrag. Daarin lijkt een onuitgesproken aanname besloten te liggen, namelijk dat een hoog beschermingsniveau een veelheid aan autoriteiten vereist die de naleving van de AVG kunnen afdwingen, zelfs door naast elkaar op te treden. Eenvoudig uitgedrukt: hoe meer autoriteiten optreden, hoe hoger het beschermingsniveau.
93. Volgens mij hoeft dit niet noodzakelijk het geval te zijn, althans niet wat het beschermingsniveau betreft.
94. Het klopt dat – zoals het Hof heeft opgemerkt – de Uniewetgeving inzake gegevensbescherming, gelezen in het licht van de artikelen 7 en 8 van het Handvest, een hoog niveau van bescherming van onder meer het grondrecht op eerbiediging van het privéleven bij de verwerking van persoonsgegevens beoogt te waarborgen.(42)
95. Niettemin heeft de Uniewetgever het standpunt ingenomen dat een „krachtig en coherenter kader voor gegevensbescherming” nodig is om „natuurlijke personen een consistent en hoog beschermingsniveau te bieden”.(43) Het bij de AVG vastgestelde kader heeft dan ook tot doel de coherentie op alle niveaus te waarborgen: voor natuurlijke personen, voor marktdeelnemers, voor verwerkingsverantwoordelijken en verwerkers, en voor de toezichthoudende autoriteiten.(44) Met betrekking tot de toezichthoudende autoriteiten wordt met de AVG beoogd om, zoals in overweging 116 ervan wordt bevestigd, een „nauwere samenwerking” tussen die autoriteiten te bevorderen.(45)
96. Anders dan de GBA heeft betoogd, is het streven naar een hoog niveau van bescherming van de rechten en vrijheden van de betrokkenen – in de ogen van de Uniewetgever – dus volkomen in overeenstemming met de werking van het hierboven uiteengezette één-loketmechanisme. Door een coherentere, doeltreffendere en transparantere aanpak op dit gebied mogelijk te maken, moeten de in de AVG vastgestelde samenwerkings- en coherentiemechanismen bijdragen tot een sterkere nadruk op de bevordering en bescherming van de rechten die onder meer zijn neergelegd in de artikelen 7 en 8 van het Handvest.
97. Anders gezegd, een coherent en uniform beschermingsniveau sluit zeker niet uit dat die bescherming van een hoog niveau is. Het is eenvoudigweg de vraag waar die uniforme maatstaf moet worden gelegd. Het valt namelijk te betwijfelen of het feit dat toezichthoudende autoriteiten gelijktijdig kunnen optreden op een wijze die onsamenhangend en mogelijkerwijs tegenstrijdig is, werkelijk bevorderlijk is voor het doel een hoog niveau van bescherming van de rechten van natuurlijke personen te waarborgen. Dit doel wordt wellicht beter gediend door consistentie en duidelijkheid, die worden gewaarborgd doordat de toezichthoudende autoriteiten hun optreden onderling op elkaar afstemmen.
98. Het tweede bezwaar van de GBA doet vragen rijzen over de nabijheid tussen enerzijds de natuurlijke personen die een klacht indienen en anderzijds de autoriteiten die uiteindelijk zullen optreden naar aanleiding van die klacht. De vraag is in wezen of natuurlijke personen daadwerkelijk een vordering kunnen instellen tegen het optreden of het stilzitten van de toezichthoudende autoriteiten met betrekking tot hun klachten.
99. Artikel 78 AVG bevestigt het recht van natuurlijke of rechtspersonen om een doeltreffende voorziening in rechte in te stellen tegen een toezichthoudende autoriteit. Teneinde in overeenstemming te zijn met artikel 47 van het Handvest, mogen de rechtsmiddelen waarin de AVG voorziet bovendien niet van de betrokkenen verlangen dat zij gedetailleerde regels in acht nemen die – gelet op hun status van natuurlijke persoon – op onevenredige wijze inbreuk kunnen maken op hun recht op een voorziening in rechte (bijvoorbeeld door het verhogen van de kosten of het vertragen van de instelling van beroep).(46)
100. Geen van de (nogal vage) argumenten die elke partij op dit punt heeft aangevoerd, biedt evenwel een duidelijke verklaring waarom de door Facebook, de Tsjechische en de Finse regering alsook de Commissie voorgestelde uitlegging van de AVG in strijd zou zijn met artikel 47 van het Handvest.
101. Om te beginnen wordt bij de AVG aan de betrokkenen uitdrukkelijk het recht toegekend om zowel tegen de verwerkingsverantwoordelijken en verwerkers als tegen de toezichthoudende autoriteiten een vordering in te stellen. Structureel gezien is het dan ook niet duidelijk waarom de AVG niet in overeenstemming zou zijn met artikel 47 van het Handvest.
102. Wat betreft het recht van de betrokkenen om een vordering in te stellen tegen de verwerkingsverantwoordelijken en verwerkers, hebben zij de keuze om een vordering in te stellen bij de rechterlijke instanties van de lidstaat waar de verwerkingsverantwoordelijke of de verwerker een vestiging heeft dan wel bij de rechterlijke instanties van de lidstaat waar de betrokkenen verblijven.(47) Deze regel lijkt vrij gunstig of in elk geval onproblematisch te zijn voor de betrokkenen.(48)
103. De situatie is complexer als het gaat om het recht van de betrokkenen om een vordering tegen de toezichthoudende autoriteiten in te stellen. Om te beginnen hebben de betrokkenen het recht om zowel tegen het optreden als tegen het stilzitten van de toezichthoudende autoriteiten op te komen. Met name kunnen zij opkomen tegen elke toezichthoudende autoriteit die „niet optreedt naar aanleiding van een klacht, een klacht gedeeltelijk of geheel verwerpt of afwijst, of […] niet optreedt wanneer zulk optreden noodzakelijk is ter bescherming van de rechten van de betrokkene”.(49)
104. Anders dan vorderingen tegen verwerkingsverantwoordelijken en verwerkers moeten vorderingen tegen toezichthoudende autoriteiten echter worden ingesteld bij de rechterlijke instanties van de lidstaat waar de toezichthoudende autoriteit gevestigd is.(50) Hoewel deze regel minder gunstig kan lijken voor natuurlijke personen, dient te worden bedacht dat de gehele of gedeeltelijke afwijzing of verwerping van een door een betrokkene ingediende klacht – op grond van artikel 60, leden 8 en 9, AVG – tot gevolg heeft dat het betreffende besluit wordt vastgesteld en aan de betrokkene ter kennis wordt gebracht door de toezichthoudende autoriteit waarbij de betrokkene de klacht heeft ingediend. Dat geldt ongeacht of die autoriteit de LTA is, waardoor de betrokkene (in voorkomend geval) de mogelijkheid heeft om in zijn eigen lidstaat een vordering in te stellen.
105. Deze mechanismen waarbij de competentie om besluiten vast te stellen verschuift, en waarbij indien nodig besluiten op twee niveaus kunnen worden vastgesteld (de LTA ten overstaan van de verwerkingsverantwoordelijke of de verwerker, en de lokale autoriteit ten overstaan van de klager), lijken er specifiek toe te strekken om te voorkomen dat de betrokkenen de rechtszalen van de Europese Unie moeten „aflopen” om een vordering in te stellen tegen stilzittende toezichthoudende autoriteiten.
106. Niettemin erken ik dat een dergelijke oplossing tot een aantal praktische vragen kan leiden. Wat zal de exacte inhoud van elk van die besluiten zijn? Zou die inhoud identiek(51) of verschillend zijn? Zou een betrokkene alle kwesties aan de orde kunnen stellen die volgens hem betrekking hebben op zijn zaak, zelfs die welke daadwerkelijk deel uitmaken van het besluit van de LTA? Of zou het besluit van de toezichthoudende autoriteit waarbij de betrokkene een klacht heeft ingediend, grotendeels een lege huls zijn, waarin de individuele klacht louter formeel wordt behandeld terwijl de eigenlijke inhoud is vervat in het besluit van de LTA? Zou de betrokkene in dat geval slechts toegang hebben tot een daadwerkelijk „doeltreffende voorziening in rechte” in de zin van artikel 78 AVG en artikel 47 van het Handvest indien hij hoe dan ook een rechtsvordering instelt bij de rechterlijke instanties van de lidstaat waar de LTA gevestigd is? Hoe zouden de regels voor toegang tot een doeltreffende voorziening in rechte functioneren met betrekking tot de toetsing van eventuele onderliggende besluiten, of het nu op horizontaal niveau (tussen de gezamenlijk optredende toezichthoudende autoriteiten) is dan wel op verticaal niveau (met betrekking tot de toetsing van een advies of besluit van het Comité in het kader van het coherentiemechanisme dat voorafgaat aan en daadwerkelijk bepalend kan zijn voor het eindbesluit van een toezichthoudende autoriteit)?(52)
107. Aan mogelijkerwijs netelige kwesties ontbreekt het niet. De praktijkervaring zou op een dag echte problemen aan het licht kunnen brengen die verband houden met de kwaliteit of zelfs het niveau van rechtsbescherming en die inherent zijn aan het nieuwe stelsel. Op dit ogenblik blijft het echter gissen wat voor kwesties dit zouden zijn. In dit stadium, en zeker in de onderhavige procedure, zijn er aan het Hof geen gegevens verstrekt die wijzen op concrete problemen op dit gebied.
4. Mogelijke ontoereikende handhaving van de AVG
108. De GBA stelt in wezen dat de handhaving van de AVG in grensoverschrijdende situaties niet bijna uitsluitend kan worden overgelaten aan de LTA en aan de betrokkenen die mogelijkerwijs door de verwerking worden geraakt. Het is immers de taak van elke toezichthoudende autoriteit om op te treden ter bescherming van de rechten van natuurlijke personen die mogelijkerwijs door gegevensverwerking worden geraakt. Met name kan een toezichthoudende autoriteit haar taak niet naar behoren vervullen wanneer het besluit om op te treden tegen een veronderstelde inbreuk en de wijze waarop dit moet gebeuren, per geval aan het oordeel van een andere autoriteit worden overgelaten.
109. Naar mijn mening wordt met dit argument in wezen rechtstreeks het bij de AVG ingevoerde nieuwe samenwerkingsmechanisme ter discussie gesteld. Mijn antwoord daarop is in twee lagen geformuleerd. Wat aan de ene kant de laag van het bestaande recht betreft, zou men kunnen zeggen dat de AVG mechanismen bevat die erop gericht zijn dergelijke scenario’s te vermijden. Wat aan de andere kant de daadwerkelijke werking en gevolgen van de nieuwe stelsels betreft, is de vrees in dit stadium voorbarig en hypothetisch.
110. In de eerste plaats moet meteen worden verduidelijkt dat het feit dat een toezichthoudende autoriteit niet de LTA is ten aanzien van een bepaalde verwerkingsverantwoordelijke of verwerker, geenszins impliceert dat – zoals de GBA heeft aangevoerd – schendingen van de AVG die aanleiding geven tot een strafbaar feit, niet op passende wijze kunnen worden vervolgd. De in artikel 58, lid 5, AVG bedoelde bevoegdheid om „inbreuken op deze verordening ter kennis te brengen van de gerechtelijke autoriteiten”, omvat duidelijk de bevoegdheid om in contact te treden met strafrechtelijke autoriteiten zoals het openbaar ministerie. Deze bevoegdheid is in overeenstemming met de taak van de toezichthoudende autoriteiten om de toepassing van de AVG op hun grondgebied te monitoren en te handhaven en doet geen afbreuk aan de doeltreffende werking van de bij hoofdstuk VII van de AVG vastgestelde samenwerkings- en coherentiemechanismen. In dit verband hoeft er nauwelijks op te worden gewezen dat deze mechanismen weliswaar verplicht zijn voor de toezichthoudende autoriteiten, maar niet van toepassing zijn op andere autoriteiten van de lidstaten, met name die welke belast zijn met de vervolging van strafbare feiten.
111. In de tweede plaats – en belangrijker – is het, wanneer het bij de AVG opgezette stelsel in zijn geheel in ogenschouw wordt genomen, vrij duidelijk dat de LTA niet de enige handhaver van de AVG is in grensoverschrijdende situaties. De LTA is veeleer een primus inter pares. Over het algemeen zal een LTA alleen met toestemming van de BTA’s (administratief of gerechtelijk) kunnen optreden. In het kader van de procedure van artikel 60 AVG moet de LTA tot een consensus proberen te komen.(53) Zij kan de standpunten van de BTA’s niet negeren. Niet alleen is de LTA verplicht om „naar behoren rekening [te houden]” met deze standpunten, maar elk formeel bezwaar van een BTA heeft bovendien tot gevolg dat de vaststelling van het ontwerpbesluit van de LTA tijdelijk wordt geblokkeerd. Uiteindelijk wordt elk aanhoudend meningsverschil tussen de autoriteiten geregeld door een specifiek orgaan (het Comité), dat is samengesteld uit de vertegenwoordigers van alle toezichthoudende autoriteiten van de Europese Unie. In dit opzicht weegt het standpunt van de LTA dan ook niet zwaarder dan dat van enige andere autoriteit.(54)
112. Zoals de voormalige Europese Toezichthouder voor gegevensbescherming P. Hustinx heeft opgemerkt, mag de rol van een LTA binnen de AVG „niet worden beschouwd als een exclusieve competentie, maar als een gestructureerde manier om samen te werken met andere lokaal competente toezichthoudende autoriteiten”.(55) De AVG voorziet in een gedeelde verantwoordelijkheid om de toepassing van de AVG te monitoren en te zorgen voor een consequente toepassing ervan. Daartoe zijn aan de toezichthoudende autoriteiten taken opgedragen en bepaalde bevoegdheden toegekend. Zij krijgen bepaalde rechten verleend, maar ook verplichtingen opgelegd. Een van die verplichtingen bestaat er met name in om bepaalde procedures en mechanismen toe te passen die bedoeld zijn om de consistentie te waarborgen. De wens van een autoriteit om met betrekking tot de (gerechtelijke) handhaving van de AVG „in haar eentje” op te treden(56), zonder samen te werken met de andere autoriteiten, is niet te verenigen met de letter of de geest van die verordening.
113. Zoals vermeld in de punten 76 en 77 hierboven, berust de AVG op een delicaat evenwicht tussen de noodzaak om natuurlijke personen een hoog beschermingsniveau te bieden en de noodzaak om de belemmeringen voor het verkeer van persoonsgegevens binnen de Unie op te heffen. Deze twee doelstellingen zijn onlosmakelijk met elkaar verbonden, zoals met name blijkt uit overweging 10 en artikel 1, lid 1, AVG. De nationale toezichthoudende autoriteiten moeten daarom zorgen voor een juist evenwicht tussen beide, zoals het Hof vanaf zijn eerste arresten op het gebied van gegevensbescherming steeds heeft benadrukt.(57) Artikel 51, lid 1, AVG weerspiegelt deze benadering bij de omschrijving van de opdracht van de toezichthoudende autoriteiten.(58)
114. In de derde plaats voorziet de AVG niet alleen in mechanismen om verschillen op te lossen die verband houden met de wijze waarop de handhaving moet worden uitgevoerd, dat wil zeggen bemiddeling met betrekking tot conflicterende standpunten en meningen die de toezichthoudende autoriteiten tot uitdrukking hebben gebracht. De AVG voorziet ook in mechanismen om situaties van administratieve inertie aan te pakken. Dit zijn met name de situaties waarin een LTA – wegens gebrek aan expertise en/of personeel, of om welke andere reden dan ook – geen zinvolle actie onderneemt om mogelijke schendingen van de AVG te onderzoeken en, indien nodig, de regels ervan te handhaven.
115. In beginsel vereist de AVG dat de LTA in gevallen van grensoverschrijdende verwerking onmiddellijk optreedt. Met name moet een LTA krachtens artikel 60, lid 3, AVG „onverwijld alle relevante informatie over de aangelegenheid [meedelen] aan de andere betrokken toezichthoudende autoriteiten [alsook] onverwijld te hunner beoordeling een ontwerpbesluit [voorleggen] en [...] naar behoren rekening [houden] met hun standpunten”.(59)
116. Indien een LTA deze verplichting niet nakomt of meer in het algemeen niet optreedt wanneer dat vereist is, rijst de vraag of er een rechtsmiddel ter beschikking staat van de BTA’s die bereid zijn om een onderzoek in te stellen en eventueel handhavend op te treden.(60) Volgens mij kunnen deze autoriteiten op zijn minst twee verschillende wegen bewandelen, waarbij deze wegen elkaar niet wederzijds uitsluiten.
117. Ten eerste kan een toezichthoudende autoriteit op grond van artikel 61, leden 1 en 2, AVG een andere toezichthoudende autoriteit verzoeken om de verstrekking van „informatie en wederzijdse bijstand om [de AVG] op een consequente manier ten uitvoer te leggen en toe te passen”.(61) Dit verzoek kan de vorm aannemen van een verzoek om informatie, waaronder informatie „over de uitvoering van een onderzoek”, of om andere bijstandsmaatregelen (zoals het uitvoeren van inspecties en onderzoeken of het nemen van maatregelen voor een doeltreffende samenwerking). Elk daartoe strekkend verzoek moet door de aangezochte autoriteit „onverwijld en uiterlijk binnen één maand na ontvangst daarvan [worden beantwoord]”.
118. Volgens artikel 61, leden 5 en 8, AVG kan de verzoekende autoriteit „overeenkomstig artikel 55, lid 1, op het grondgebied van haar lidstaat een voorlopige maatregel nemen” wanneer een antwoord uitblijft of wanneer wordt geweigerd om gevolg te geven aan het verzoek. In dergelijke gevallen „wordt geacht dat er overeenkomstig artikel 66, lid 1, dringend moet worden opgetreden en dat dit een dringend bindend besluit van het Comité vereist overeenkomstig artikel 66, lid 2”.(62)
119. Het komt mij voor dat dit mechanisme ook kan worden toegepast – en waarschijnlijk is dat ook de bedoeling(63) – door een BTA ten aanzien van een LTA. Indien de LTA in een specifiek geval van grensoverschrijdende verwerking niet optreedt ofschoon een BTA aan haar daartoe een verzoek heeft gericht, kan de BTA dan ook de dringende maatregelen nemen die noodzakelijk worden geacht om de belangen van de betrokkenen te beschermen. Uitzonderlijke omstandigheden die rechtvaardigen dat dringend wordt opgetreden, worden immers geacht te bestaan en hoeven niet te worden bewezen.
120. Ten tweede kan een toezichthoudende autoriteit (dan wel de voorzitter van het Comité of de Commissie) op grond van artikel 64, lid 2, AVG „verzoeken dat aangelegenheden van algemene strekking of met rechtsgevolgen in meer dan één lidstaat worden onderzocht door het Comité teneinde advies te verkrijgen, met name wanneer een bevoegde toezichthoudende autoriteit haar verplichtingen tot wederzijdse bijstand overeenkomstig artikel 61 [...] niet nakomt”.(64)
121. Het is niet geheel duidelijk of het besluit van het Comité juridisch bindend is voor de LTA in kwestie.(65) Wanneer een bevoegde toezichthoudende autoriteit het krachtens artikel 64 AVG uitgebrachte advies van het Comité niet volgt, kan elke BTA (of de Commissie) de aangelegenheid evenwel op grond van artikel 65, lid 1, onder c), AVG meedelen aan het Comité en aldus de daartoe bestemde geschillenbeslechtingsprocedure inleiden. Deze procedure zou uiteindelijk tot een bindend besluit leiden.(66)
122. Niettemin moet worden erkend dat de twee hierboven toegelichte mechanismen (de artikelen 61 en 66 AVG enerzijds en de artikelen 64 en 65 AVG anderzijds) enigszins omslachtig zijn. Hun reële werking is niet altijd glashelder. Ook al lijken de genoemde bepalingen op papier geschikt om die problemen te vermijden, enkel de toekomstige toepassing ervan zal uitwijzen of zij in de praktijk „papieren tijgers” blijken te zijn.
123. Dit brengt mij bij de tweede laag van het argument dat is aangevoerd in verband met ontoereikende handhaving, en bij het veeleer hypothetische en ongefundeerde karakter ervan, zeker op dit ogenblik. Ik moet erkennen dat indien de gevaren voor een ontoereikende handhaving van de AVG die volgens de GBA en een aantal andere interveniënten bestaan, werkelijkheid zouden worden, het gehele stelsel volgens mij aan een ingrijpende herziening toe zou zijn.
124. Vanuit een structureel oogpunt zou dat namelijk het geval kunnen zijn indien de nieuwe structuur zou leiden tot regelgevende „nesten” voor bepaalde marktdeelnemers die – nadat zij in feite zelf hun nationale toezichthouder hebben gekozen door hun hoofdvestiging in de Unie op een welbepaalde plaats te lokaliseren – niet zouden worden gecontroleerd, maar veeleer door een specifieke LTA zouden worden afgeschermd tegen andere toezichthouders. Weinigen zullen het er niet mee eens zijn dat concurrentie op het gebied van toezicht, in de vorm van een race to the bottom tussen de lidstaten, even ongezond en gevaarlijk zou zijn als inconsistentie op het gebied van toezicht, het soort gebrek aan coördinatie en consistentie dat kenmerkend was voor de vorige opzet. Toezichtsregelingen in de vorm van een netwerk zouden inconsistentie en divergentie kunnen voorkomen door consensus en samenwerking te bevorderen. De prijs die voor een consensus wordt betaald, houdt evenwel vaak in dat de actieve autoriteiten worden geblokkeerd, vooral in een stelsel waar meer overleg nodig is om tot een besluit te komen. In dergelijke stelsels kan collectieve verantwoordelijkheid leiden tot collectieve onverantwoordelijkheid en uiteindelijk inertie.
125. Wat dergelijke gevaren betreft, staat het bij de AVG tot stand gebrachte juridische kader echter nog in de kinderschoenen. Het is niet eenvoudig te voorspellen – met name voor een rechterlijke instantie in de context van één enkele, maar bijzondere procedure – hoe de bij die verordening ingestelde mechanismen in de praktijk zullen werken en hoe doeltreffend zij zullen zijn. Binnen een dergelijk kader is voorzichtigheid geboden, net zoals het geval is ten aanzien van de mogelijke problemen die verband houden met de bescherming van grondrechten en met de op het Handvest gerichte uitlegging(67).
126. Naar mijn mening zou het een slecht idee zijn indien het Hof dat kader – dat het (delicate en zorgvuldig uitgewerkte) product is van een langdurig en intensief wetgevingsproces – ingrijpend zou wijzigen aan de hand van een uitlegging van uit hun context gerukte afzonderlijke zinnen die in zoverre zou berusten op veronderstellingen en speculatie. Dat geldt des te meer indien de door bepaalde partijen voorgestelde uitlegging er eenvoudigweg op neerkomt dat in wezen een aantal belangrijke onderdelen van de verordening buiten beschouwing wordt gelaten, waardoor de facto wordt teruggekeerd naar het oude stelsel van richtlijn 95/46, waarvan de institutionele dimensie uitdrukkelijk en onmiskenbaar door de Uniewetgever van de hand was gewezen.
127. Die overduidelijke wetgevingsopzet – die, zoals uit de voorgaande delen van deze conclusie volgt, naar voren komt uit zowel de bewoordingen en de structuur van de AVG als de gedocumenteerde intentie van de wetgever – biedt ook een antwoord op andere mogelijke structurele problemen, zoals die welke verband houden met het juiste evenwicht tussen de publiekrechtelijke en privaatrechtelijke handhaving van de regels inzake gegevensbescherming en de AVG. Heeft het zin de publiekrechtelijke handhaving te beperken tot één autoriteit en dus tot één lidstaat, waardoor de handhaving pas na een langdurige en omslachtige administratieve procedure haar beslag krijgt, terwijl de privaatrechtelijke handhaving van dezelfde regels in de praktijk en voor de (civiele) rechterlijke instanties van alle lidstaten waarschijnlijk sneller zal verlopen? Moeten nationale toezichthoudende autoriteiten minder toegang tot de rechter hebben dan een individuele particuliere consument? Zullen de meeste zaken op het gebied van gegevensbescherming niet rechtstreeks door particuliere procespartijen aanhangig worden gemaakt en bij nationale rechterlijke instanties terechtkomen (en mogelijkerwijs bij het Hof via een prejudiciële verwijzing), zodat de daartoe opgerichte nationale toezichthouders volledig worden ontweken omdat zij nog steeds bezig zijn samen te werken en hun standpunten af te stemmen? Bestaat binnen een dergelijke regeling niet het gevaar dat privaatrechtelijke handhaving volledig in de plaats zal komen van publiekrechtelijke handhaving?
128. Hoe dan ook heeft de Uniewetgever een duidelijke institutionele en structurele keuze gemaakt en in mijn ogen lijdt het geen twijfel wat hij wilde bereiken. In dergelijke omstandigheden zou men – metaforisch gesproken – het kind het voordeel van de twijfel moeten geven, althans voorlopig. Mocht dat kind echter stout blijken te zijn, hetgeen zou moeten blijken uit feiten en steekhoudende argumenten, dan denk ik niet dat het Hof een oogje zou dichtknijpen voor eventuele leemten die daardoor zouden ontstaan in de bescherming van de door het Handvest gewaarborgde grondrechten en de daadwerkelijke handhaving daarvan door de bevoegde toezichthouders. Of dat dan nog steeds een kwestie is die moet worden onderzocht aan de hand van een op het Handvest gerichte uitlegging van bepalingen van afgeleid recht, dan wel een kwestie van geldigheid van de relevante bepalingen, of zelfs delen van een instrument van afgeleid recht, is een vraag voor een andere zaak.
5. Tussenconclusie
129. Alle weergegeven uitleggingsgegevens leiden dus tot een en hetzelfde resultaat: de LTA heeft een algemene competentie voor grensoverschrijdende verwerkingen. Alle toezichthoudende autoriteiten (ongeacht of zij als LTA dan wel als BTA fungeren) dienen – met name in het geval van grensoverschrijdende verwerkingen – op te treden overeenkomstig de in de AVG vastgestelde procedures en mechanismen.
130. Volgt hieruit echter dat het een toezichthoudende autoriteit die niet de LTA is, in beginsel altijd verboden is om voor de nationale rechterlijke instanties op te treden tegen een verwerkingsverantwoordelijke of verwerker wanneer de verwerking grensoverschrijdend van aard is?
131. Dat is niet het geval.
132. In de eerste plaats kunnen toezichthoudende autoriteiten zich uiteraard tot een nationale rechterlijke instantie wenden wanneer zij buiten de materiële werkingssfeer van de AVG optreden, mits het nationale recht dit toestaat en het Unierecht zich er niet tegen verzet, bijvoorbeeld omdat de verwerking geen persoonsgegevens betreft of omdat persoonsgegevens worden verwerkt in verband met de in artikel 2, lid 2, AVG bedoelde activiteiten.(68)
133. In de tweede plaats blijft de competentie om toezicht te houden – ondanks de grensoverschrijdende aard van de verwerking – in situaties als bedoeld in artikel 55, lid 2, AVG (verwerking door overheidsinstanties, maar ook elke verwerking in het algemeen belang of in het kader van de uitoefening van het openbaar gezag) bij de lokale toezichthoudende autoriteit berusten, hetgeen uiteraard ook de mogelijkheid inhoudt om indien nodig een rechtsvordering in te stellen.
134. In de derde plaats zijn er gevallen waarin geen enkele toezichthoudende autoriteit als LTA mag optreden, ook al is er sprake van een grensoverschrijdende verwerking van persoonsgegevens die binnen de werkingssfeer van de AVG valt. Aangezien het samenwerkings- en coherentiemechanisme van de AVG alleen van toepassing is op verwerkingsverantwoordelijken met een of meer vestigingen in de Europese Unie, is er geen LTA voor grensoverschrijdende verwerkingen door verwerkingsverantwoordelijken die geen vestiging in de Europese Unie hebben. Dit betekent dat verwerkingsverantwoordelijken zonder vestiging in de Unie te maken zullen krijgen met de plaatselijke toezichthoudende autoriteiten in elke lidstaat waar zij actief zijn.(69)
135. In de vierde plaats kan elke toezichthoudende autoriteit dringende maatregelen nemen wanneer aan de toepasselijke voorwaarden is voldaan. Bovendien zijn er situaties waarin wordt verondersteld dat er dringend maatregelen moeten worden genomen. Dat kan bijvoorbeeld het geval zijn wanneer een BTA te maken krijgt met aanhoudend stilzitten van de verantwoordelijke LTA. Aangezien artikel 66, lid 1, AVG toestaat dat het coherentiemechanisme geheel ter zijde wordt geschoven, mag er gerust van worden uitgegaan dat in een dergelijke uitzonderlijke situatie alle bevoegdheden van een toezichthoudende autoriteit (die in normale omstandigheden niet mogen worden uitgeoefend omdat zij worden geblokkeerd door de bijzondere regels inzake de competentie van een LTA voor grensoverschrijdende verwerkingen) herleven en tijdelijk kunnen worden uitgeoefend. Dit houdt dus uiteraard ook de bevoegdheid in om overeenkomstig artikel 58, lid 5, AVG een rechtsvordering in te stellen.
136. Ten slotte kan in de vijfde plaats volledigheidshalve worden gewezen op het feit dat het tevens mogelijk is dat ook een toezichthoudende autoriteit die de LTA in kennis heeft gesteld, de bevoegdheid krijgt (of veeleer behoudt) om zich tot de rechter te wenden in een zaak waarin de LTA overeenkomstig artikel 56, lid 5, AVG „besluit de zaak niet te behandelen”. Op het eerste gezicht zou laatstgenoemde bepaling eveneens ruimte kunnen bieden voor een daadwerkelijke overeenkomst tussen beide toezichthoudende autoriteiten over de vraag welke van deze autoriteiten het best in staat is om een zaak te behandelen.
137. Kortom, de bepalingen van de AVG bevatten geen algemeen verbod voor andere toezichthoudende autoriteiten, met name BTA’s, om een vordering in te stellen ter zake van mogelijke schendingen van de regels inzake gegevensbescherming. Integendeel, verschillende situaties waarin zij daartoe bevoegd zijn, worden uitdrukkelijk in de AVG vermeld of vloeien er impliciet uit voort.(70)
138. In het algemeen is het echter van het grootste belang dat wanneer de procedures en mechanismen van de AVG (met name die van de hoofdstukken VI en VII) van toepassing zijn, zowel de LTA als de BTA’s zich daar naar behoren aan houden. De regels van de AVG behelzen zeer duidelijk dat geen van die autoriteiten buiten, of in strijd met, dat juridische kader mag optreden.
139. Het staat evenwel aan de verwijzende rechter om na te gaan of de GBA zich in de onderhavige zaak al dan niet aan die procedures en mechanismen heeft gehouden. Dit is een kwestie die ter terechtzitting heeft geleid tot enige discussie, maar die gezien de bijzondere procedurele achtergrond van de onderhavige zaak enigszins wazig blijft.(71)
140. Derhalve moet de eerste prejudiciële vraag aldus worden beantwoord dat de bepalingen van de AVG de toezichthoudende autoriteit van een lidstaat toestaan om bij een rechterlijke instantie van die staat ter zake van een vermeende schending van de AVG in verband met een grensoverschrijdende gegevensverwerking een vordering in te stellen, ook al is die autoriteit niet de LTA, mits zij dit doet in de in de AVG genoemde situaties en overeenkomstig de in deze verordening vastgestelde procedures.
C. Overige prejudiciële vragen
1. Tweede prejudiciële vraag
141. Met zijn tweede vraag wenst de verwijzende rechter te vernemen of het antwoord op de eerste vraag anders zou luiden indien de verwerkingsverantwoordelijke voor die grensoverschrijdende verwerking niet zijn hoofdvestiging maar wel een andere vestiging in die lidstaat heeft.
142. In het licht van het in overweging gegeven antwoord op de eerste vraag is het antwoord op de tweede vraag vrij duidelijk: in beginsel niet, mits de „hoofdvestiging” in de zin van artikel 4, punt 16, AVG zich inderdaad in een andere lidstaat bevindt.
143. Dat een verwerkingsverantwoordelijke een nevenvestiging in een lidstaat heeft, doet in beginsel geen afbreuk aan de bevoegdheid van de lokale toezichthoudende autoriteit om overeenkomstig artikel 58, lid 5, AVG een rechtsvordering in te stellen met betrekking tot een bepaalde situatie waarin er sprake is van grensoverschrijdende verwerking. Met andere woorden, in het geval van grensoverschrijdende gegevensverwerkingen hangen de reikwijdte van de aan een toezichthoudende autoriteit toegekende bevoegdheden en de wijze waarop deze bevoegdheden moeten worden uitgeoefend, in het algemeen niet af van het antwoord op de vraag of de verwerkingsverantwoordelijke dan wel de verwerker, die zijn hoofdvestiging in een andere lidstaat heeft, ook een vestiging heeft in de lidstaat van die autoriteit.
144. Zoals hierboven reeds is opgemerkt(72), dient de nationale rechter evenwel eerst na te gaan welke vestiging in feite de hoofdvestiging is voor een bepaalde verwerking. In dit verband berust artikel 4, punt 16, onder a), AVG op een dynamische opvatting(73) van wat wordt beschouwd als de hoofdvestiging, die niet noodzakelijk hoeft samen te vallen met de statische bedrijfsstructuur van een onderneming.
145. Bovendien betekent het feit dat de verwerkingsverantwoordelijke of de verwerker een (neven)vestiging heeft op het grondgebied van de toezichthoudende autoriteit, dat deze autoriteit een BTA is in de zin van artikel 4, punt 22, AVG. Aan de BTA’s zijn aanzienlijke bevoegdheden toegekend in het kader van de in hoofdstuk VII van de AVG vastgestelde procedures.(74)
146. Daarbij komt dat artikel 56, lid 2, AVG voorziet in een uitzondering op de algemene competentie van de LTA met betrekking tot grensoverschrijdende verwerkingen: „[E]lke toezichthoudende autoriteit [is] competent een bij haar ingediende klacht of een eventuele inbreuk op [de AVG] te behandelen indien het onderwerp van die zaak alleen verband houdt met een vestiging in haar lidstaat of alleen voor betrokkenen in haar lidstaat wezenlijke gevolgen heeft.” Deze competentie moet op haar beurt worden uitgeoefend overeenkomstig de procedure van de leden 3 tot en met 5 van datzelfde artikel.(75)
2. Derde prejudiciële vraag
147. Met zijn derde vraag wenst de verwijzende rechter te vernemen of het antwoord op de eerste vraag anders zou luiden naargelang de nationale toezichthoudende autoriteit de rechtsvordering instelt tegen de hoofdvestiging van de verwerkingsverantwoordelijke dan wel tegen de vestiging in haar eigen lidstaat.
148. In het licht van het voorgestelde antwoord op de eerste vraag, en voor zover er in feite geen sprake is van overlapping tussen de derde en de tweede vraag, moet ook de derde vraag ontkennend worden beantwoord.
149. Ook hier geldt dat, mits op grond van de feiten van een zaak daadwerkelijk is komen vast te staan dat de hoofdvestiging voor een bepaalde verwerkingshandeling in de zin van artikel 4, punt 16, AVG in feite gelegen is in een andere lidstaat, de nationale toezichthoudende autoriteit van de lidstaat waar een vestiging van de verwerkingsverantwoordelijke zich bevindt, niet de LTA is maar wel een BTA kan worden. In het kader van deze beoordeling hangt de competentie van de toezichthoudende autoriteit om op te treden evenwel niet af van het antwoord op de vraag of de rechtsvordering wordt ingesteld tegen de hoofdvestiging van de verwerkingsverantwoordelijke dan wel tegen de vestiging in haar eigen lidstaat.(76)
150. Volledigheidshalve kan hieraan worden toegevoegd dat artikel 58, lid 5, AVG ruim is geformuleerd en niet specificeert tegen welke entiteiten de toezichthoudende autoriteiten moeten of zouden kunnen optreden. Dat heeft geleid tot een boeiende discussie in de opmerkingen van een aantal partijen over een kwestie die volgens mij weliswaar niet onbelangrijk is, maar in de onderhavige zaak niet door het Hof hoeft te worden behandeld. Deze kwestie luidt als volgt: kunnen toezichthoudende autoriteiten, mits zij daartoe daadwerkelijk bevoegd zijn krachtens de regels van de AVG, uitsluitend optreden tegen de op hun grondgebied gelegen vestiging(en) van de verwerkingsverantwoordelijke of verwerker, of kunnen zij ook optreden tegen in het buitenland gelegen vestigingen?
151. Enerzijds benadrukken de Belgische, de Italiaanse en de Poolse regering dat artikel 55, lid 1, AVG de territoriale competentie van elke toezichthoudende autoriteit beperkt tot haar grondgebied. Daaruit leiden zij af dat de toezichthoudende autoriteiten uitsluitend kunnen optreden tegen lokale vestigingen.
152. De tekst is naar mijn mening echter niet zo duidelijk: er wordt verwezen naar de uitoefening van de overeenkomstig de verordening toegekende bevoegdheden „op het grondgebied van haar lidstaat”. Zoals ik de bepaling in kwestie lees, staat zij er niet noodzakelijk aan in de weg dat wordt opgetreden tegen een in een andere lidstaat gelegen vestiging. Het in artikel 55, lid 1, AVG opgenomen territoriale element, bezien in het licht van de in artikel 1, lid 1, en artikel 3 omschreven algemene werkingssfeer van de AVG, dat de competentie van een toezichthoudende autoriteit in een bepaalde zaak doet ontstaan, houdt verband met de gevolgen van de gegevensverwerking op het grondgebied van een lidstaat. Dat element fungeert niet als een beperking ten aanzien van het optreden tegen buiten de landsgrenzen gevestigde verwerkingsverantwoordelijken of verwerkers.
153. Anderzijds voert de GBA aan dat elke autoriteit bevoegd is om op te treden tegen alle schendingen van de AVG die op haar grondgebied plaatsvinden, ongeacht of de verwerkingsverantwoordelijke dan wel de verwerker een vestiging op haar grondgebied heeft. Dat betekent dat een autoriteit ook een vordering moet kunnen instellen tegen vestigingen in het buitenland. In dit verband verwijst de GBA naar het arrest van het Hof in de zaak Wirtschaftsakademie Schleswig-Holstein(77). In die beslissing heeft het Hof geoordeeld dat het de toezichthoudende autoriteit van een lidstaat op grond van de artikelen 4 en 28 van richtlijn 95/46 was toegestaan de bevoegdheid om in rechte op te treden uit te oefenen ten aanzien van een vestiging van die onderneming op het grondgebied van de betrokken lidstaat. Dat was zelfs het geval wanneer deze vestiging uitsluitend was belast met de verkoop van advertentieruimte en andere marketingactiviteiten op het grondgebied van die lidstaat, terwijl de exclusieve verantwoordelijkheid voor de verkrijging en verwerking van persoonsgegevens, voor het gehele grondgebied van de Unie, bij een vestiging in een andere lidstaat berustte.
154. De GBA stelt terecht dat de door het Hof in de zaak Wirtschaftsakademie Schleswig-Holstein geformuleerde beginselen mutatis mutandis ook voor de AVG behoren te gelden voor zover deze verordening op dit punt bepalingen bevat die vergelijkbaar zijn met die van richtlijn 95/46.(78) In dat arrest is evenwel alleen verduidelijkt wanneer de autoriteit in rechte kan optreden tegen een lokale vestiging hoewel (het leeuwendeel van) de verwerking wordt uitgevoerd door een elders in de Europese Unie gelegen vestiging. In datzelfde arrest is bevestigd noch uitgesloten – althans niet uitdrukkelijk – dat de toezichthoudende autoriteit ook tegen laatstgenoemde vestiging kan optreden.
155. Niettemin komt het mij voor dat het nieuwe één-loketmechanisme, doordat een centraal handhavingspunt wordt gecreëerd, noodzakelijkerwijs inhoudt dat een toezichthoudende autoriteit ook kan optreden tegen vestigingen in het buitenland. Ik betwijfel of het nieuwe stelsel naar behoren zou kunnen functioneren als het eraan in de weg stond dat de autoriteiten, en met name de LTA, optreden tegen elders gelegen vestigingen.(79)
3. Vierde prejudiciële vraag
156. Met zijn vierde vraag wenst de verwijzende rechter te vernemen of het antwoord op de eerste vraag anders zou luiden indien de nationale toezichthoudende autoriteit de rechtsvordering reeds had ingesteld vóór de datum waarop de AVG in werking trad.
157. Vooraf zij erop gewezen dat de AVG geen overgangsregels of andere regels bevat die de status regelen van gerechtelijke procedures die aanhangig waren op het tijdstip waarop het nieuwe kader van kracht werd.
158. In het licht van het voorgaande zou het antwoord op de vraag volgens mij moeten luiden: „het hangt ervan af”.
159. Met betrekking tot gevallen waarin verwerkingsverantwoordelijken of verwerkers de regels inzake gegevensbescherming hebben geschonden vóór de datum waarop de AVG van toepassing is geworden, ben ik van mening dat de betreffende procedures kunnen worden voortgezet. Mijns inziens is er geen geldige reden om de autoriteiten te dwingen tot het beëindigen van handhavingsmaatregelen die betrekking hebben op gedragingen in het verleden die (vermeend) onrechtmatig waren toen zij werden begaan en waarvoor die autoriteiten (destijds) competent waren om ertegen op te treden. Een andere oplossing zou leiden tot een soort amnestie voor bepaalde schendingen van de wetgeving inzake gegevensbescherming.
160. Een andere situatie doet zich evenwel voor met betrekking tot maatregelen die zijn getroffen tegen schendingen die nog niet hebben plaatsgevonden, aangezien deze schendingen dateren van na de datum waarop de AVG van toepassing is geworden.(80) In dat opzicht zullen de nieuwe materiële regels, net zoals in elke andere situatie waarin nieuwe regels van toepassing zijn op situaties die zich voordoen in het kader van de nieuwe juridische regeling, enkel van toepassing zijn op feiten die zich voordoen nadat het nieuwe instrument van toepassing is geworden.(81)
161. Het staat aan de verwijzende rechter om na te gaan welke van de twee scenario’s feitelijk overeenkomt met de huidige stand van het hoofdgeding.(82) Indien dat het eerste scenario is, kan de lopende procedure mijns inziens worden voortgezet, zeker vanuit het oogpunt van het Unierecht, op voorwaarde dat die procedure beperkt is tot een mogelijke vaststelling van inbreuken uit het verleden. Indien dat het tweede scenario is, moet de nationale procedure worden stopgezet. Het nieuwe kader voorziet namelijk in een ander stelsel van competenties en bevoegdheden, zodat een BTA enkel tegen uit grensoverschrijdende verwerkingen voortvloeiende inbreuken kan optreden in bepaalde specifieke situaties en met inachtneming van de daartoe bestemde procedures en mechanismen.
162. De tegenovergestelde oplossing zou neerkomen op een feitelijke verlenging van het bij richtlijn 95/46 ingevoerde stelsel, ofschoon zowel het Unierecht als het nationale recht dit stelsel uitdrukkelijk heeft ingetrokken en het heeft vervangen door een nieuw stelsel. Immers, indien de GBA daadwerkelijk een rechterlijk bevel zou verkrijgen waardoor het Facebook wordt verboden om in de toekomst (en hoelang trouwens?) de in het hoofdgeding aan de orde zijnde praktijken te hanteren, zou dat dan niet in strijd komen met de competentie voor (dezelfde) gedragingen die de AVG met ingang van 25 mei 2018 aan de LTA en de BTA’s heeft toegekend, hetgeen mogelijkerwijs gepaard gaat met tegenstrijdige besluiten (of gerechtelijke uitspraken) uit verschillende lidstaten?
4. Vijfde prejudiciële vraag
163. Met zijn vijfde vraag – gesteld voor het geval dat de eerste vraag bevestigend wordt beantwoord – wenst de verwijzende rechter te vernemen of artikel 58, lid 5, AVG rechtstreekse werking heeft, zodat een nationale toezichthoudende autoriteit zich daarop kan beroepen om een gerechtelijke procedure tegen particulieren in te stellen of voort te zetten, ook al is deze bepaling niet specifiek omgezet in het nationale recht.
164. Ter herinnering, artikel 58, lid 5, luidt: „Elke lidstaat bepaalt bij wet dat zijn toezichthoudende autoriteit bevoegd is inbreuken op deze verordening ter kennis te brengen van de gerechtelijke autoriteiten en, waar passend, daartegen een rechtsvordering in te stellen of anderszins in rechte op te treden, teneinde de bepalingen van deze verordening te doen naleven.”
165. Facebook alsook de Tsjechische en de Portugese regering wijzen erop dat die bepaling de lidstaten duidelijk verplicht om iets te ondernemen: zij moeten bepalingen invoeren die de autoriteiten in staat stellen om een vordering in te stellen. Mogelijkerwijs heeft de bevoegdheid om een vordering in te stellen slechts volledige werking wanneer tevens een aantal nationale regels wordt vastgesteld waarin onder meer wordt bepaald welke rechtbanken bevoegd zijn, onder welke voorwaarden een vordering kan worden ingesteld en welke procedures moeten worden gevolgd.
166. In het licht van het door mij voorgestelde antwoord op de eerste prejudiciële vraag behoeft de vijfde vraag geen beantwoording. Volledigheidshalve heb ik er evenwel geen probleem mee om mij aan te sluiten bij de stelling van de GBA dat de normatieve inhoud van die specifieke Unierechtelijke bepaling vrij ondubbelzinnig is en rechtstreekse werking heeft. In dit verband dient voor ogen te worden gehouden dat, in het algemeen, een Unierechtelijke bepaling rechtstreekse werking heeft zodra deze inhoudelijk gezien voldoende duidelijk, nauwkeurig en onvoorwaardelijk is om te kunnen worden aangevoerd tegenover een strijdig nationaal voorschrift, of voor zover in die bepaling rechten worden omschreven die particulieren kunnen doen gelden tegenover de staat.(83)
167. Afgezien van het feit dat artikel 58, lid 5, AVG is opgenomen in een verordening (een instrument dat volgens artikel 288 VWEU „verbindend [is] in al [zijn] onderdelen en [...] rechtstreeks toepasselijk [is] in elke lidstaat”(84)), komt het mij voor dat er inderdaad een specifieke en onmiddellijk toepasselijke regel kan worden afgeleid uit die bepaling. Deze regel is zeer eenvoudig: toezichthoudende autoriteiten moeten procesbevoegdheid hebben voor de nationale rechter; zij zijn bevoegd om naar nationaal recht een gerechtelijke procedure in te leiden. De bij een nationale rechter ingestelde vordering kan niet wegens gebrek aan rechtspersoonlijkheid niet-ontvankelijk worden verklaard.
168. Hoewel ik het met Facebook en de Tsjechische en de Portugese regering eens ben dat de lidstaten kunnen voorzien in meer bijzondere regels, voorwaarden of rechtsmacht voor vorderingen die worden ingesteld door toezichthoudende autoriteiten, zijn dergelijke regels geenszins noodzakelijk voor het functioneren van de in artikel 58, lid 5, AVG vastgestelde regel met rechtstreekse werking. Bij gebreke van ad-hocregels die door de nationale wetgever zijn vastgesteld, zullen de standaardregels in de relevante nationale wetboeken van rechtsvordering (of het nu gaat om een wetboek van bestuursprocesrecht of zelfs om gewone wetboeken van burgerlijke rechtsvordering) uiteraard van toepassing zijn op alle door de toezichthoudende autoriteiten ingestelde vorderingen. Indien er geen specifieke uitvoeringsbepalingen inzake rechtsmacht bestaan, mag dus bijvoorbeeld geredelijk worden aangenomen dat behoudens andersluidende bepalingen de algemene standaardregel geldt die waarschijnlijk in elk wetboek van (burgerlijke) rechtsvordering voorkomt, te weten dat de rechter van de plaats van vestiging van de verweerder de algemeen bevoegde rechter is.
5. Zesde prejudiciële vraag
169. Met zijn zesde en laatste vraag wenst de verwijzende rechter te vernemen of, ingeval de nationale toezichthoudende autoriteit bevoegd is om op te treden, het resultaat van een dergelijke procedure eraan in de weg zou kunnen staan dat de leidende toezichthoudende autoriteit tot een tegenovergestelde conclusie komt indien laatstgenoemde autoriteit dezelfde of soortgelijke grensoverschrijdende verwerkingsactiviteiten onderzoekt overeenkomstig het mechanisme waarin de artikelen 56 en 60 AVG voorzien.
170. Gezien het door mij voorgestelde antwoord op de eerste prejudiciële vraag, hoeft deze zesde vraag niet te worden beantwoord.
171. Uit de kwestie die met de zesde prejudiciële vraag aan de orde wordt gesteld, blijkt echter opnieuw waarom de eerste vraag op de hierboven voorgestelde wijze moet worden beantwoord. Hadden de in de AVG opgenomen coherentie- en samenwerkingsmechanismen niet langer een verplicht karakter, waardoor het één-loketmechanisme „facultatief” of in werkelijkheid veeleer onbestaand zou worden, dan zou in ernstige mate afbreuk worden gedaan aan de coherentie van het gehele stelsel. De thans in de AVG vervatte competentieregels zouden in wezen worden vervangen door een parallelle „race naar de eerste uitspraak” door alle toezichthoudende autoriteiten. Uiteindelijk zou degene die „als eerste over de streep komt” met een definitieve uitspraak binnen zijn rechtsgebied, dan de eigenlijke LTA voor de rest van de Europese Unie worden, zoals de zesde vraag impliceert.
V. Conclusie
172. Ik geef het Hof in overweging de prejudiciële vragen van het hof van beroep Brussel te beantwoorden als volgt:
„– De bepalingen van verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG (algemene verordening gegevensbescherming) staan de toezichthoudende autoriteit van een lidstaat toe om bij een rechterlijke instantie van die staat ter zake van een vermeende schending van deze verordening in verband met een grensoverschrijdende gegevensverwerking een vordering in te stellen, ook al is die autoriteit niet de leidende toezichthoudende autoriteit, mits zij dit doet in de in die verordening genoemde situaties en overeenkomstig de in die verordening vastgestelde procedures.
– De algemene verordening gegevensbescherming verzet zich ertegen dat een toezichthoudende autoriteit een gerechtelijke procedure voortzet die is ingesteld voordat die verordening van toepassing is geworden, maar betrekking heeft op na die datum verrichte gedragingen.
– Artikel 58, lid 5, van de algemene verordening gegevensbescherming heeft in zoverre rechtstreekse werking dat een nationale toezichthoudende autoriteit zich op deze bepaling kan beroepen om een gerechtelijke procedure bij de nationale rechterlijke instanties in te stellen of voort te zetten, zelfs indien die bepaling niet specifiek in het nationale recht is omgezet.”