CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2015:426

CONCLUSIE VAN ADVOCAAT-GENERAAL

P. CRUZ VILLALÓN

van 25 juni 2015 (1)

Zaak C‑230/14

Weltimmo s.r.o.

tegen

Nemzeti Adatvédelmi és Információszabadság Hatóság

[verzoek van de Kúria (Hongarije) om een prejudiciële beslissing]

„Bescherming van persoonsgegevens – Richtlijn 95/46/EG – Artikel 4, lid 1, en artikel 28, leden 1, 3 en 6 – Voor de gegevensverwerking verantwoordelijke, gevestigd op het grondgebied van een andere lidstaat – Bepaling van het toepasselijke recht en de bevoegde toezichthoudende autoriteit – Bevoegdheden van de toezichthoudende autoriteit – Sanctiebevoegdheid – Begrip ‚gegevensverwerking’”

1. De door de Kúria (hoogste rechter van Hongarije) gestelde prejudiciële vragen vinden hun oorsprong in een geschil tussen de Magyar Adatvédelmi és Információszabadság Hatóság (hierna: „Hongaarse gegevensbeschermingsautoriteit”) en een in Slowakije gevestigde onderneming die een vastgoedwebsite beheert met advertenties voor onroerend goed in Hongarije.

2. Zo geeft deze zaak het Hof opnieuw de gelegenheid zich uit te spreken over de bepaling van het op de gegevensverwerking toepasselijke recht conform artikel 4, lid 1, onder a), van richtlijn 95/46/EG betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens(2), reeds behandeld in het arrest Google Spain en Google.(3) Daarbij worden in deze zaak nieuwe vragen gesteld over de bepaling welke toezichthoudende autoriteit bevoegd is, welk nationaal recht door die autoriteit moet worden toegepast en wat haar bevoegdheden zijn om op te treden, in het bijzonder de bevoegdheid om sancties op te leggen.

I – Toepasselijke bepalingen

A – Unierecht

3. Richtlijn 95/46 hanteert verschillende criteria voor de bepaling welk recht van toepassing is op de verwerking van persoonsgegevens. Punt 18 van de considerans verklaart dat „[...] om te voorkomen dat een persoon wordt uitgesloten van de bescherming waarop hij krachtens deze richtlijn recht heeft, alle verwerkingen van persoonsgegevens in de Gemeenschap moeten worden uitgevoerd overeenkomstig de wetgeving van een van de lidstaten; dat in dit verband de verwerking die wordt uitgevoerd door een persoon namens een voor de verwerking verantwoordelijke die in een lidstaat is gevestigd, door het recht van die Staat dient te worden geregeld”.

4. Voorts wordt er in punt 19 van de considerans van richtlijn 95/46 op gewezen dat „de vestiging op het grondgebied van een lidstaat het effectief en daadwerkelijk uitoefenen van activiteiten door een vaste vestiging veronderstelt; dat de rechtsvorm van een dergelijke vestiging, of het nu gaat om een bijkantoor of om een dochteronderneming met rechtspersoonlijkheid, hier niet doorslaggevend is”. Hetzelfde punt geeft aan „dat, wanneer een en dezelfde voor de verwerking verantwoordelijke gevestigd is op het grondgebied van verscheidene lidstaten, met name door middel van een dochteronderneming, hij dient te waarborgen, in het bijzonder om elke vorm van wetsontduiking te voorkomen, dat elk van de vestigingen voldoet aan de verplichtingen die het nationale recht aan de activiteiten stelt”.

5. Artikel 4, lid 1, onder a), van richtlijn 95/46 is op dit geding van toepassing. Deze bepaling heeft betrekking op het recht dat op de gegevensverwerking van toepassing is. De bepaling luidt:

„1. Elke lidstaat past zijn nationale, ter uitvoering van deze richtlijn vastgestelde bepalingen toe op de verwerking van persoonsgegevens indien:

a) die wordt verricht in het kader van de activiteiten van een vestiging op het grondgebied van de lidstaat van de voor de verwerking verantwoordelijke; wanneer dezelfde verantwoordelijke een vestiging heeft op het grondgebied van verscheidene lidstaten, dient hij de nodige maatregelen te treffen om ervoor te zorgen dat elk van die vestigingen voldoet aan de verplichtingen die worden opgelegd door de toepasselijke nationale wetgeving;

[...].”

6. Artikel 28, dat betrekking heeft op de toezichthoudende autoriteit inzake gegevensbescherming, bepaalt in de leden 1, 3, 4 en 6 het volgende:

„1. Elke lidstaat bepaalt dat een of meer autoriteiten worden belast met het toezicht op de toepassing op zijn grondgebied van de ter uitvoering van deze richtlijn door de lidstaten vastgestelde bepalingen.

Deze autoriteiten vervullen de hun opgedragen taken in volledige onafhankelijkheid.

[...]

3. Elke toezichthoudende autoriteit beschikt met name over:

– onderzoeksbevoegdheden, zoals het recht van toegang tot gegevens die het voorwerp vormen van een verwerking en het recht alle inlichtingen in te winnen die voor de uitoefening van haar toezichtstaak noodzakelijk zijn;

– effectieve bevoegdheden om in te grijpen, zoals bijvoorbeeld de bevoegdheid om voorafgaand aan de uitvoering van de verwerking advies uit te brengen, overeenkomstig artikel 20, en te zorgen voor een passende bekendmaking van deze adviezen of de bevoegdheid om afscherming, uitwissing of vernietiging van gegevens te gelasten, dan wel een verwerking voorlopig of definitief te verbieden of de bevoegdheid tot de voor de verwerking verantwoordelijke een waarschuwing of berisping te richten of de bevoegdheid de nationale parlementen of andere politieke instellingen in te schakelen;

– de bevoegdheid om in rechte op te treden in geval van inbreuken op ter uitvoering van deze richtlijn vastgestelde nationale bepalingen, of om die inbreuken onder de aandacht van het gerecht te brengen.

Tegen beslissingen van de toezichthoudende autoriteit kan beroep bij de rechter worden aangetekend.

4. Eenieder kan in eigen persoon of door middel van een vereniging die als zijn vertegenwoordiger optreedt bij elke toezichthoudende autoriteit een verzoek indienen met betrekking tot de bescherming van zijn rechten en vrijheden in verband met de verwerking van persoonsgegevens. Hij wordt van het gevolg dat daaraan wordt gegeven in kennis gesteld.

Eenieder kan meer bepaald bij elke autoriteit een verzoek indienen om de rechtmatigheid van een verwerking te verifiëren, wanneer de krachtens artikel 13 van deze richtlijn vastgestelde nationale bepalingen van toepassing zijn. Hij wordt in ieder geval in kennis gesteld van het feit dat een verificatie heeft plaatsgevonden.

[...]

6. Elke toezichthoudende autoriteit is bevoegd, ongeacht welk nationaal recht op de betrokken verwerking van toepassing is, op het grondgebied van haar eigen lidstaat de haar overeenkomstig lid 3 verleende bevoegdheden uit te oefenen. Elke autoriteit kan door een autoriteit van een andere lidstaat worden verzocht haar bevoegdheden uit te oefenen.

De toezichthoudende autoriteiten werken onderling samen voor zover zulks noodzakelijk is voor de uitvoering van hun taken, met name door de uitwisseling van alle nuttige inlichtingen.

[...].”

B – Hongaars recht

7. Wet nr. CXII van 2011 betreffende het recht op informationele zelfbeschikking en de vrijheid van informatie (2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról szóló 2011; hierna: „informatiewet”), is de nationale wet waarin richtlijn 95/46 is omgezet.

8. § 2 van de informatiewet luidt als volgt:

„(1) Onder deze wet valt iedere vorm van verwerking en technische bewerking van gegevens die op Hongaars grondgebied plaatsvindt en die betrekking heeft op gegevens van natuurlijke personen, gegevens van openbaar belang of gegevens die openbaar zijn om redenen van algemeen belang.

(2) Deze wet geldt zowel voor geheel of gedeeltelijk geautomatiseerde verwerking en technische bewerking van gegevens als voor manuele verwerking en technische bewerking ervan.

(3) Deze wet moet worden toegepast wanneer de voor de gegevensverwerking verantwoordelijke die persoonsgegevens verwerkt buiten de Europese Unie, een technisch bewerker die een statutaire zetel of een vestiging, een bijkantoor, een woon- of verblijfplaats op Hongaars grondgebied heeft, belast met de technische bewerking van de gegevens, of wanneer hij gebruikmaakt van middelen die zich op Hongaars grondgebied bevinden, behalve indien deze middelen op het grondgebied van de Europese Unie slechts voor doorvoer worden gebruikt. In die omstandigheden moet de voor de gegevensverwerking verantwoordelijke een op Hongaars grondgebied gevestigde vertegenwoordiger aanwijzen.”

9. § 3 van de informatiewet bepaalt dat zal worden verstaan onder:

„(9) voor de gegevensverwerking verantwoordelijke (‚adatkezelő’): een natuurlijke of rechtspersoon of een instelling zonder rechtspersoonlijkheid die, alleen of samen met anderen, het doel van de gegevensverwerking bepaalt, de beslissingen daaromtrent neemt (waaronder beslissingen over de middelen voor de verwerking) en deze zelf uitvoert dan wel laat uitvoeren door een technisch bewerker van gegevens (‚adatfeldolgozó’);

(10) verwerking van gegevens (‚adatkezelés’): elke bewerking of elk geheel van bewerkingen met betrekking tot gegevens, ongeacht het daarbij gebruikte procedé, meer bepaald het verzamelen, vastleggen, ordenen, bewaren, wijzigen, gebruiken, opvragen, doorzenden, verspreiden, samenbrengen of met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens, alsook het verhinderen van verder gebruik van de gegevens, het nemen van foto’s, het registreren van klanken of beelden, of het vastleggen van fysieke trekken voor identificatiedoeleinden (bijvoorbeeld vinger- of handafdrukken, DNA-stalen of foto’s van de iris);

(11) gegevenstransmissie: het ter beschikking stellen van gegevens aan een derde;

[...]

(17) technische bewerking van gegevens (‚adatfeldolgozás’): het verrichten van technische taken in het kader van de gegevensverwerking, ongeacht het procedé en de middelen die daarvoor worden gebruikt en los van de plaats waar die taken worden verricht, voor zover de technische taken betrekking hebben op de gegevens;

(18) technisch bewerker van gegevens (‚adatfeldolgozó’): een natuurlijke of rechtspersoon of een instelling zonder rechtspersoonlijkheid die uit hoofde van een overeenkomst – waaronder ook van rechtswege tot stand gekomen overeenkomsten – gegevens technisch bewerkt;

[...].”

II – Feiten en procedure ten gronde

10. De onderhavige prejudiciële vragen worden gesteld in het kader van een beroep in hogere voorziening bij de Kúria tegen het arrest van het Fővárosi Közigazgatási és Munkaügyi Bíróság (bestuurs- en arbeidsgerecht Boedapest) in de administratieve procedure inzake gegevensbescherming tussen de onderneming Weltimmo s.r.o. (hierna: „Weltimmo”) en de Hongaarse gegevensbeschermingsautoriteit.

11. Weltimmo is een onderneming met statutaire zetel in Slowakije, die een vastgoedsite beheert. Haar activiteiten betreffen het beheer van genoemde website waarop zij advertenties voor in Hongarije gelegen onroerend goed publiceert. Het plaatsen van de advertentie is voor de adverteerder kosteloos gedurende de eerste maand, daarna moet ervoor worden betaald. Na afloop van de eerste maand verzochten veel adverteerders Weltimmo per e-mail hun advertenties en hun persoonsgegevens van de site te halen, omdat zij niet geïnteresseerd waren in de betaaldienst. Weltimmo voldeed echter niet aan die verzoeken en bracht de diensten vervolgens in rekening. Wanneer betaling van de factuur uitbleef, verstrekte zij de persoonsgegevens van de betrokken adverteerders aan incassobureaus.

12. In antwoord op de klachten van de adverteerders heeft de Hongaarse gegevensbeschermingsautoriteit zich bevoegd verklaard en tevens (omdat het verzamelen van gegevens conform § 3, lid 10, van de informatiewet, onder verwerking van gegevens valt) verklaard dat het nationale recht van toepassing was. De autoriteit legde een boete op van tien miljoen Hongaarse forint (HUF). Dit besluit werd door Weltimmo aangevochten bij het bestuurs- en arbeidsgerecht Boedapest. Dat gerecht trok niet de bevoegdheid van de gegevensbeschermingsautoriteit in twijfel, noch het toepasselijke recht, maar verklaarde het bestuursbesluit nietig omdat bepaalde feiten niet voldoende duidelijk waren.

13. Met haar beroep in hogere voorziening verzoekt Weltimmo onder meer vast te stellen dat de feiten niet nader hoeven te worden verduidelijkt, aangezien de gegevensbeschermingsautoriteit ingevolge artikel 4, lid 1, onder a), van richtlijn 95/46 niet bevoegd is tot optreden en tot toepassing van het Hongaarse recht op een in een andere lidstaat gevestigde dienstverrichter. Volgens verzoekster had die autoriteit overeenkomstig artikel 28, lid 6, van richtlijn 95/46 haar Slowaakse tegenhanger moeten verzoeken om tegen verzoekster actie te ondernemen.

14. De Hongaarse gegevensbeschermingsautoriteit heeft in het hoofdgeding, ter ondersteuning van haar bevoegdheid en de toepasselijkheid van de Hongaarse wet, betoogd dat Weltimmo over een „Hongaarse contactpersoon” beschikt – een van haar eigenaren, die de Hongaarse nationaliteit bezit – die Weltimmo zowel in de administratieve procedure als voor de nationale rechter heeft vertegenwoordigd. Zij wijst erop dat de eigenaren van Weltimmo in Hongarije wonen. De gegevensbeschermingsautoriteit stelt dat artikel 28, lid 6, van richtlijn 95/46 in elk geval bepaalt dat zij bevoegd is, ongeacht welk recht van toepassing is.

III – Prejudiciële vragen en procesverloop voor het Hof

15. De Kúria heeft in dit kader, vanuit de mening dat de relevante bepalingen van richtlijn 95/46 onvoldoende duidelijk zijn, in haar beslissing van 22 april 2014 die op 12 mei 2014 bij het Hof is ingekomen, de volgende prejudiciële vragen gesteld:

„1) Moet artikel 28, lid 1, van richtlijn 95/46 [...] aldus worden uitgelegd dat de nationale regeling van een lidstaat op diens grondgebied van toepassing is op een voor de gegevensverwerking verantwoordelijke die uitsluitend in een andere lidstaat is gevestigd en een vastgoedsite beheert waarop hij ook advertenties plaatst voor in de eerstbedoelde lidstaat gelegen onroerend goed, waarvan de eigenaars hun persoonsgegevens naar een middel (server) voor opslag en technische bewerking van gegevens sturen dat aan de sitebeheerder toebehoort en in een andere lidstaat staat?

2) Moet artikel 4, lid 1, onder a), van de richtlijn gegevensbescherming, junctis de punten 18 tot en met 20 van de considerans en de artikelen 1, lid 2, en 28, lid 1, ervan, aldus worden uitgelegd dat de Hongaarse gegevensbeschermingsautoriteit de Hongaarse wet inzake gegevensbescherming als nationaal recht niet kan toepassen op een uitsluitend in een andere lidstaat gevestigde beheerder van een vastgoedsite, ook al publiceert hij daarop ook advertenties voor in Hongarije gelegen onroerend goed, waarvan de eigenaars de desbetreffende gegevens waarschijnlijk vanuit Hongarije naar een middel (server) voor opslag en technische bewerking van gegevens sturen dat aan de sitebeheerder toebehoort en in een andere lidstaat staat?

3) Is het voor uitleggingsdoeleinden relevant dat de dienst die wordt verricht door de voor de gegevensverwerking verantwoordelijke, die de website beheert, is gericht op het grondgebied van een andere lidstaat?

4) Is het voor uitleggingsdoeleinden relevant dat de gegevens betreffende in de andere lidstaat gelegen onroerend goed en de persoonsgegevens van de eigenaars ervan daadwerkelijk zijn ingevoerd vanop het grondgebied van die andere lidstaat?

5) Is het voor uitleggingsdoeleinden relevant dat de met dat onroerend goed verband houdende persoonsgegevens burgers van een andere lidstaat betreffen?

6) Is het voor uitleggingsdoeleinden relevant dat de eigenaars van de in Slowakije gevestigde onderneming een woonplaats hebben in Hongarije?

7) Indien uit het antwoord op de vorige vragen volgt dat de Hongaarse autoriteit voor gegevensbescherming kan optreden, maar daarbij niet het nationale recht, doch het recht van de lidstaat van vestiging moet toepassen, moet artikel 28, lid 6, van de richtlijn gegevensbescherming dan aldus worden uitgelegd dat de Hongaarse autoriteit voor gegevensbescherming de haar overeenkomstig artikel 28, lid 3, daarvan verleende bevoegdheden enkel mag uitoefenen in overeenstemming met de regeling van de lidstaat van vestiging, en dus niet bevoegd is om een geldboete op te leggen?

8) Mag ervan worden uitgegaan dat het begrip ‚adatfeldolgozás’ [technische bewerking van gegevens] dat zowel in artikel 4, lid 1, onder a), als in artikel 28, lid 6, van de [Hongaarse taalversie van] de richtlijn gegevensbescherming wordt gebruikt, in de terminologie van deze richtlijn overeenkomt met het begrip ‚adatkezelés’ [gegevensverwerking]?”

16. De Hongaarse, de Slowaakse en de Britse regering, de Hongaarse gegevensbeschermingsautoriteit en de Europese Commissie hebben schriftelijke opmerkingen ingediend. De Hongaarse, de Slowaakse en de Poolse regering, de Hongaarse gegevensbeschermingsautoriteit en de Europese Commissie hebben deelgenomen aan de mondelinge behandeling ter terechtzitting van 12 maart 2015.

IV – Analyse

17. De prejudiciële vragen van de Kúria gaan over twee vraagstukken die, hoewel ze als onderling gerelateerd worden gepresenteerd, toch een verschillende benadering behoeven. Dat blijkt ook uit de schriftelijke en mondelinge opmerkingen die tijdens de procedure voor het Hof zijn gemaakt. Die vraagstukken betreffen de bepaling welk recht op de gegevensverwerking van toepassing is en welke toezichthoudende autoriteit bevoegd is. Daarom zal ik mijn analyse in wezen in twee gedeelten opdelen. In de eerste plaats behandel ik de vraag welk recht op de gegevensverwerking van toepassing is en uiteindelijk de vraag betreffende de „vestiging”, waarbij ik de eerste tot en met zesde vraag gezamenlijk in ogenschouw neem. In de tweede plaats behandel ik de bepaling van de bevoegde toezichthoudende autoriteit en van haar bevoegdheden, waarbij ook de mogelijke scheiding tussen de bevoegde autoriteit en het toepasselijke recht aan de orde komt (zevende vraag). Ten slotte houd ik mij bezig met de terminologische kwestie die in de achtste prejudiciële vraag aan de orde wordt gesteld.

A – Het op gegevensverwerking toepasselijke recht en het begrip vestiging (eerste tot en met zesde prejudiciële vraag)

18. Met haar eerste tot en met zesde vraag, die gezamenlijk dienen te worden behandeld, wenst de Kúria in wezen te vernemen of de artikelen 4, lid 1, onder a), en 28, lid 1, van richtlijn 95/46 aldus kunnen worden uitgelegd dat zij, onder omstandigheden als die van het hoofdgeding, voorzien in de mogelijkheid dat de Hongaarse wet inzake gegevensbescherming wordt toegepast en dat de Hongaarse gegevensbeschermingsautoriteit deze wet toepast op een beheerder van een website die uitsluitend in een andere lidstaat is gevestigd. De Kúria vraagt bovendien naar de relevantie van een reeks specifieke factoren, zoals het feit dat de diensten van die onderneming op het grondgebied van een andere lidstaat zijn gericht, de plaats waarvan de vastgoedgegevens zijn verzonden, de nationaliteit van de betrokken adverteerders of het feit dat de eigenaren van de onderneming een woonplaats hebben in Hongarije.

19. De Kúria heeft in haar eerste twee vragen zowel gerefereerd aan artikel 28, lid 1, als aan artikel 4, lid 1, onder a), van de richtlijn. Ik ben echter van mening dat voor het antwoord op die vragen het toepassingsgebied van de eerstgenoemde bepaling zonder problemen buiten beschouwing kan worden gelaten. Artikel 28, lid 1, stelt namelijk slechts dat „elke lidstaat bepaalt dat een of meer autoriteiten worden belast met het toezicht op de toepassing op zijn grondgebied van de ter uitvoering van deze richtlijn door de lidstaten vastgestelde bepalingen”. Ik meen dat deze bepaling niet relevant is voor de vaststelling van het toepasselijke recht. In de eerste plaats, uit een oogpunt van wetssystematiek, staat artikel 28 in hoofdstuk VI van de richtlijn. Dat hoofdstuk behelst de regeling van de toezichthoudende autoriteit en de groep voor de bescherming van personen in verband met de verwerking van persoonsgegevens, en niet de vraag welke recht van toepassing is. In de tweede plaats bevat de letterlijke tekst van artikel 28, lid 1, van de richtlijn geen aanvullend criterium voor de bepaling van het recht dat op de gegevensverwerking van toepassing is. Samenvattend kan worden gesteld dat deze bepaling geen element bevat dat, op de vraag welk recht van toepassing is, zou kunnen leiden tot een ander antwoord dan hetgeen volgt uit de criteria van artikel 4 van de richtlijn, het artikel dat specifiek de kwestie van het toepasselijke recht regelt.

20. Als wij ons nu concentreren op artikel 4, lid 1, onder a), van de richtlijn, is het goed om eerst aan te geven dat zowel in de opmerkingen ter terechtzitting als in de schriftelijke opmerkingen wordt gewezen op het belang van deze bepaling voor het antwoord op de vragen inzake het toepasselijke recht, en op het bijzondere belang van de vaststelling van de vestigingsplaats van Weltimmo.

21. Wat het toepasselijke recht is in grensoverschrijdende situaties inzake gegevensverwerking, is al tientallen jaren onderwerp van internationaal debat.(4) Artikel 4 van de richtlijn, bedoeld voor de bepaling van het toepasselijke nationale recht, was de eerste bepaling waarin een regel voor de bepaling van het toepasselijke recht kon worden vastgesteld.(5) Deze bepaling noemt verschillende criteria om vast te stellen of het nationale recht waarin de richtlijn is omgezet, van toepassing is. Zij bepaalt aldus indirect (namelijk door die nationale regels van toepassing te verklaren) de territoriale werkingssfeer van de richtlijn.

22. Voor de situaties waarin de vraag speelt welk recht binnen de lidstaten van de Unie van toepassing is, is dus artikel 4, lid 1, onder a), van richtlijn 95/46 van bijzondere betekenis. Deze bepaling(6) luidt: „Elke lidstaat past zijn nationale, ter uitvoering van deze richtlijn vastgestelde bepalingen toe op de verwerking van persoonsgegevens indien: a) die wordt verricht in het kader van de activiteiten van een vestiging op het grondgebied van de lidstaat van de voor de verwerking verantwoordelijke.”

23. Artikel 4, lid 1, onder a), heeft aldus een dubbele functie. Enerzijds maakt het, via het recht van een van de lidstaten, de toepassing van het Unierecht mogelijk indien de verwerking van persoonsgegevens uitsluitend plaatsvindt „in het kader” van de activiteiten van een vestiging op het grondgebied van de lidstaat, terwijl de „werkelijke” gegevensverwerking zich in een derde staat afspeelt (zoals het geval was in de zaak Google Spain en Google(7)). Anderzijds regelt deze bepaling welk recht binnen de lidstaten van toepassing is (de vraag die hier aan de orde is). In deze laatstgenoemde situatie bepaalt artikel 4, lid 1, onder a), van de richtlijn, als verwijzingsregel tussen de wetgevingen van de verschillende lidstaten, het toepasselijke recht.

24. Ten aanzien hiervan wil ik opmerken dat de nationale rechter zijn vragen formuleert in verband met een beheerder van een website voor vastgoedadvertenties die uitsluitend in een andere lidstaat is gevestigd. Deze bewering wordt overigens bestreden door de Hongaarse toezichthoudende autoriteit. Het Verenigd Koninkrijk acht het evident dat het in deze zaak toepasselijke recht dat van de lidstaat van vestiging, in casu Slowakije, moet zijn en dat de Hongaarse autoriteit niet de eigen nationale rechtsregels kan toepassen. In dezelfde lijn onderstreept de Commissie dat, los van de vraag of zou kunnen worden aanvaard dat het Hongaarse recht wordt toegepast indien wordt geoordeeld dat verzoekster tevens op Hongaars grondgebied is gevestigd, de Kúria heeft aangegeven dat in deze zaak de onderneming uitsluitend in een andere lidstaat is gevestigd.

25. Los van de feitelijke inschatting met betrekking tot de werkelijke vestigingsplaats zoals die blijkt uit de tekst van de prejudiciële vragen, verraden de derde tot en met zesde vraag van de Kúria een bepaalde onzekerheid of het begrip vestiging in de zin van de richtlijn misschien zou moeten worden gezien als een niet enkel formeel begrip. Daarom meen ik dat voor een nuttig antwoord op de eerste tot en met zesde vraag de criteria moeten worden bepaald op grond waarvan kan worden vastgesteld of er sprake is van gegevensverwerking die is verricht „in het kader van de activiteiten van een vestiging [...] van de voor de verwerking verantwoordelijke” op het Hongaarse grondgebied, in de zin van artikel 4, lid 1, onder a), van de richtlijn.

26. Om dus in deze zaak te bepalen of het toepasselijke recht dat van Hongarije of dat van Slowakije is, is een onderzoek nodig in twee etappes, volgens de methode die gehanteerd is in het arrest Google Spain en Google.(8) In de eerste plaats moet duidelijk worden gemaakt of Weltimmo beschikte over een vestiging op het grondgebied van Hongarije en in de tweede plaats of de gegevensverwerking is verricht in het kader van de activiteiten van die vestiging. Ik wil er echter op wijzen dat, in tegenstelling tot de omstandigheden van de zaak Google Spain en Google, de vraag of de gegevensverwerking is verricht „in het kader van de activiteiten van een vestiging” in de onderhavige zaak niet omstreden is. De essentiële vraag is hier dus of er sprake is van een vestiging in Hongarije en/of in Slowakije. Daarom zal mijn analyse zich dus in essentie concentreren op de eerste etappe van het onderzoek.

27. Over deze vraag heeft de Hongaarse regering in haar schriftelijke opmerkingen aangegeven dat de verschillende taalversies van deze bepaling een uitlegging van het begrip vestiging ondersteunen die wellicht verder gaat dan enkel die in de zin van het vennootschapsrecht. De Slowaakse regering, die eveneens in de richting gaat van een niet-formalistisch begrip vestiging, wijst in deze context op de rechtspraak van het Hof inzake de vrijheid van vestiging. Ook de Hongaarse gegevensbeschermingsautoriteit pleit voor een opvatting van het begrip vestiging waarin niet de rechtsvorm bepalend is en geeft aan dat de vestiging kan bestaan uit de rechtsvertegenwoordiger van Weltimmo in Hongarije, de heer Benkö, in het geding. Deze persoon heeft deze onderneming inderdaad in eerste aanleg vertegenwoordigd in de administratieve procedure, heeft in contact gestaan met de betrokkenen die klachten hebben ingediend en staat als directeur Hongarije ingeschreven in het Slowaakse vennootschapsregister. Bovendien heeft de autoriteit er ter terechtzitting op gewezen dat Weltimmo beschikt over een postbus in Hongarije voor het beheer van haar lopende zaken, en dat de Slowaakse gegevensbeschermingsautoriteit haar in een informeel overleg had bevestigd dat de onderneming geen activiteiten in Slowakije verrichtte. Enkel de Poolse regering heeft in haar opmerkingen ter terechtzitting benadrukt dat uitsluitend rekening moet worden gehouden met in welke lidstaat een vennootschap is geregistreerd, omdat dit het enige objectieve en verifieerbare element is.

28. Voorts moet worden gewezen op punt 19 van de considerans van richtlijn 95/46, dat een essentieel element is voor de uitlegging van het begrip vestiging in de zin van diezelfde richtlijn. Dat punt wijst op een flexibele uitlegging van het begrip en verwerpt een formalistische zienswijze waarin een onderneming uitsluitend gevestigd zou zijn op de plaats waar zij geregistreerd staat. In de eerste plaats hanteert dit punt een criterium van effectiviteit en een element van duurzaamheid, door te overwegen dat „de vestiging op het grondgebied van een lidstaat het effectief en daadwerkelijk uitoefenen van activiteiten door een vaste vestiging veronderstelt [...]”. In de tweede plaats biedt het punt aanzienlijke flexibiliteit door de zinsnede dat „de rechtsvorm van een dergelijke vestiging, of het nu gaat om een bijkantoor of om een dochteronderneming met rechtspersoonlijkheid, hier niet doorslaggevend is”.

29. Deze opvatting van het begrip vestiging is in lijn met de uitlegging van het Hof op andere gebieden van het Unierecht. In het bijzonder impliceert volgens vaste rechtspraak „het begrip vestiging in de zin van de verdragsbepalingen inzake de vrijheid van vestiging, de daadwerkelijke uitoefening van een economische activiteit voor onbepaalde tijd door middel van een duurzame vestiging in deze lidstaat”(9), hetgeen „veronderstelt dat de betrokken vennootschap werkelijk gevestigd is in de lidstaat van ontvangst en daar daadwerkelijk een economische activiteit uitoefent”.(10)

30. Daarnaast wordt in het advies 8/2010 van de Groep gegevensbescherming artikel 29 (hierna: „artikel 29-groep”)(11) verwezen naar de uitlegging van het begrip vestiging als criterium om te bepalen in welk land btw moet worden betaald.(12) De rechtspraak van het Hof op dit gebied is bijzonder interessant – omdat het begrip vestiging functioneert als aanknopingspunt om te bepalen aan welke nationale fiscale wet de dienst onderworpen is – en gaat dieper in op het begrip vaste vestiging, die „moet worden gekenmerkt door een voldoende mate van duurzaamheid en een – wat personeel en technische middelen betreft – geschikte structuur om de voor haar eigen behoeften verrichte diensten te kunnen afnemen en ter plaatse te gebruiken”.(13) Ook het begrip vestiging uit het Verdrag van Rome(14) en het Verdrag van Brussel(15) pleit voor een niet-formalistische opvatting.(16)

31. Ongeacht het duidelijke verschil in context en doelstelling tussen enerzijds de gebieden waarop het Hof zich over de hierboven genoemde onderwerpen heeft uitgesproken en anderzijds de onderhavige zaak, is het in elk geval veelzeggend dat het Unierecht op verschillende gebieden de nadruk legt op een opvatting van het begrip vestiging die gebaseerd is op het daadwerkelijk uitoefenen van economische activiteiten en op een zekere mate van duurzaamheid, hetgeen overeenkomt met de aanwijzingen die voorkomen in punt 19 van de considerans van richtlijn 95/46.

32. Met het oog op het specifieke doel van richtlijn 95/46, zoals dat wordt verwoord in artikel 1, lid 1, van die richtlijn, namelijk het „waarborgen in verband met de verwerking van persoonsgegevens, overeenkomstig de bepalingen van deze richtlijn, [van] de bescherming van de fundamentele rechten en vrijheden van natuurlijke personen, inzonderheid van het recht op persoonlijke levenssfeer”, ben ik echter van mening dat zowel de mate van duurzaamheid van de vestiging als het daadwerkelijk uitoefenen van de activiteiten dient te worden bezien vanuit de specifieke aard van de bedrijfsuitoefening en de betrokken dienstverlening.

33. Zoals de Hongaarse gegevensbeschermingsautoriteit en de Slowaakse regering opmerken, en tevens conform de criteria van de artikel 29-Groep(17), zou één enkele agent al genoeg zijn om te kunnen spreken van een vaste vestiging, als diegene optreedt met een voldoende mate van duurzaamheid en via de inzet van de nodige middelen voor de verlening van de betrokken concrete diensten in de desbetreffende lidstaat.

34. Advocaat-generaal Jääskinen heeft in zijn conclusie bij de zaak Google Spain en Google opgemerkt dat bij de beoordeling van de voorwaarden van artikel 4 van richtlijn 95/46 het bedrijfsmodel van de betrokken aanbieder in aanmerking moet worden genomen.(18) Daarom moet het Hof het specifieke karakter meewegen van ondernemingen die enkel via internet opereren, met een bedrijfsmodel dat het begrip vaste vestiging relatief maakt en dat ook minder personele en materiële middelen nodig heeft. In bepaalde situaties kan zelfs één agent die permanent aanwezig is, uitgerust met weinig meer dan een laptop, een voldoende structuur betekenen om effectief en daadwerkelijk en met een voldoende mate van duurzaamheid activiteiten te kunnen uitoefenen. Op grond van deze overwegingen moet, bij het onderzoek van die personele en technische middelen, het specifieke karakter van de ondernemingen die via internet diensten aanbieden zorgvuldig in aanmerking worden genomen en moet rekening worden gehouden met de bijzonderheden van elke concrete situatie.

35. Het bijzondere karakter van economische activiteiten via internet is al in aanmerking genomen bij de bepaling van de inhoud van het begrip vestiging in andere instrumenten van Unierecht. Zo overweegt punt 19 van de considerans van de richtlijn inzake de elektronische handel(19): „[...] De plaats van vestiging van een bedrijf dat via een Internetsite diensten aanbiedt, is niet de plaats waar zich de technologie ter ondersteuning van de site bevindt of waar de site toegankelijk is, maar de plaats waar de economische activiteit wordt uitgeoefend.” Deze definitie is door de artikel 29-Groep relevant bevonden voor de uitlegging van artikel 4 van richtlijn 95/46.(20)

36. Naar aanleiding van deze overwegingen kan worden geconcludeerd dat niet wordt bestreden dat Weltimmo formeel in Slowakije is geregistreerd, maar dat toch niet valt uit te sluiten dat deze onderneming haar activiteiten effectief en daadwerkelijk uitoefent op het grondgebied van een andere lidstaat, in de onderhavige zaak Hongarije, middels een vaste vestiging, die mogelijk slechts bestaat uit één agent. Als dat het geval is, dan zou Weltimmo beschikken over een vestiging in Hongarije in de zin van artikel 4, lid 1, onder a), van richtlijn 95/46.

37. De verschillende door de Kúria in zijn prejudiciële vragen genoemde aanvullende factoren – de plaats vanwaar de gegevens zijn ingevoerd, de lidstaat waarop de diensten zijn gericht, de nationaliteit van de betrokken adverteerders, of de verblijfplaats van de eigenaren van de onderneming – hebben in dit verband geen rechtstreekse en bepalende rol bij de vaststelling van het toepasselijke recht.(21) Deze elementen komen namelijk niet in de richtlijn voor als relevante criteria die een uitzondering mogelijk zouden maken op de regel van artikel 4, lid 1, onder a).(22)

38. Niettemin kunnen verschillende van die factoren onder bepaalde omstandigheden aanwijzingen vormen voor het daadwerkelijke en effectieve karakter van de activiteiten – om de plaats van vestiging vast te stellen – en in het bijzonder om te bepalen of de verwerking van de gegevens heeft plaatsgevonden in het kader van de activiteiten van een vestiging van de verantwoordelijke voor de gegevensverwerking.

39. In het bijzonder met betrekking tot het tweede element – dat de gegevensverwerking wordt verricht in het kader van de activiteiten van een vestiging in een lidstaat – dient te worden verwezen naar de uitlegging die is gegeven in het arrest Google Spain en Google.(23) Volgens dit arrest „vereist artikel 4, lid 1, onder a), van richtlijn 95/46 [...] niet dat de betrokken verwerking van persoonsgegevens wordt verricht „door” de betrokken vestiging zelf, maar enkel dat die wordt verricht „in het kader van de activiteiten” van deze vestiging.”(24) Bovendien – zo vervolgt het Hof – mag, gelet op de doelstelling van de richtlijn „laatstgenoemde zinsnede niet restrictief worden uitgelegd”.(25)

40. De toepassing van dit tweede criterium is van bijzonder belang ingeval de verwijzende rechter oordeelt – op grond van de bovengenoemde criteria – dat Weltimmo in beide betrokken lidstaten is gevestigd. In dat geval moet, zoals de Slowaakse regering en de Commissie in hun schriftelijke opmerkingen hebben benadrukt, precies worden onderzocht wat de activiteiten inhouden in het kader waarvan de verwerking is verricht en wat de mate van aanknoping is met een bepaalde vestiging.(26) Ook andere bepalende elementen zijn door de artikel 29-groep genoemd in verband met zoekmachines. Die elementen kunnen van nut zijn om te bepalen of de activiteiten vallen binnen de context van de vestiging, zoals het feit dat de vestiging verantwoordelijk is voor de relatie met de gebruikers, dat zij betrokken is bij het verkopen van advertenties gericht op de inwoners van het betreffende land, of dat zij gehoor geeft aan rechtshandhavingsverzoeken van de bevoegde autoriteiten van een lidstaat met betrekking tot de gebruikersgegevens.(27)

41. Kortom, teneinde in de onderhavige zaak te bepalen of het Hongaarse recht op de activiteiten van Weltimmo in Hongarije van toepassing kan zijn, dient te worden vastgesteld of Weltimmo in die lidstaat beschikt over een vestiging waar de bestreden gegevensverwerking in het kader van haar activiteiten is verricht. Daarvoor dient te worden vastgesteld of de in de verwijzingsbeschikking genoemde agent beschikt over een vaste vestiging, onafhankelijk van de rechtsvorm, door middel waarvan effectief en daadwerkelijk activiteiten worden uitgeoefend in het kader waarvan de bestreden gegevensverwerking is verricht.

42. Concluderend ben ik van mening dat op de eerste tot en met zesde vraag van de Kúria dient te worden geantwoord dat artikel 4, lid 1, onder a), van richtlijn 95/46 zich ertegen verzet dat de Hongaarse gegevensbeschermingsautoriteit de Hongaarse wet toepast op een voor de verwerking verantwoordelijke die uitsluitend in een andere lidstaat is gevestigd. Hiervoor dient het begrip vestiging aldus te worden uitgelegd dat het het bestaan van een vaste inrichting veronderstelt, onafhankelijk van de rechtsvorm daarvan, door middel waarvan effectief en daadwerkelijk activiteiten worden uitgeoefend. Eén agent kan al worden beschouwd als vaste inrichting, wanneer deze een voldoende mate van duurzaamheid biedt met behulp van de personele en technische middelen die voor het verlenen van de betrokken concrete diensten nodig zijn.

Andere elementen, zoals de plaats vanwaar de gegevens zijn verzonden, de nationaliteit van de betrokken adverteerders, de woonplaats van de eigenaren van de voor de gegevensverwerking verantwoordelijke onderneming, of het feit dat de door die verantwoordelijke geleverde dienst gericht is op het grondgebied van een andere lidstaat, spelen geen rechtstreekse en bepalende rol bij de vaststelling van het toepasselijke recht, maar kunnen wel een aanwijzing vormen voor het effectieve en daadwerkelijke karakter van de activiteiten – om de plaats van vestiging vast te stellen – en in het bijzonder om te bepalen of de gegevensverwerking is verricht in het kader van de activiteiten van die vestiging.

B – De bevoegde toezichthoudende autoriteit en de mogelijke scheiding tussen het toepasselijke recht en de bevoegde autoriteit (zevende prejudiciële vraag)

43. Met zijn zevende prejudiciële vraag wenst de Kúria van het Hof te vernemen of „indien uit het antwoord op de vorige vragen volgt dat de Hongaarse autoriteit voor gegevensbescherming kan optreden, maar daarbij niet het nationale recht doch het recht van de lidstaat van vestiging moet toepassen, artikel 28, lid 6, van de richtlijn gegevensbescherming dan aldus [moet] worden uitgelegd dat de Hongaarse autoriteit voor gegevensbescherming de haar overeenkomstig artikel 28, lid 3, daarvan verleende bevoegdheden enkel mag uitoefenen in overeenstemming met de regeling van de lidstaat van vestiging, en dus niet bevoegd is om een geldboete op te leggen?”

44. Zoals te zien, is deze prejudiciële vraag slechts dan relevant indien de verwijzende rechter op grond van de bovengenoemde criteria meent dat Weltimmo geen vestiging bezit in Hongarije, maar uitsluitend in Slowakije is gevestigd. Om op deze prejudiciële vraag een nuttig antwoord te geven, moet dus eerst worden onderzocht – omdat dit niet uitdrukkelijk voortvloeit uit het antwoord op de vorige vragen – of een toezichthoudende autoriteit van een lidstaat ook kan optreden wanneer, op grond van de criteria van artikel 4, lid 1, onder a), van de richtlijn, het recht van een andere lidstaat van toepassing is. Als die vraag bevestigend wordt beantwoord, dient vervolgens te worden bepaald wat de reikwijdte en de inhoud is van de bevoegdheden van die autoriteit.

45. Allereerst wordt dus de vraag gesteld of artikel 4 inzake het toepasselijke recht, naast een bepaling ter vaststelling van het toepasselijke recht, ook een bevoegdheidsbepaling is, en wat dan de waarde is van de specificaties die in artikel 28 worden gegeven met betrekking tot de bevoegdheden van de overheid. Dit alles tegen de achtergrond van een belangrijke herziening van het Unierecht op het gebied van gegevensbescherming.(28)

46. De bij het Hof ingediende opmerkingen geven blijk van verschillende opvattingen over de leden 1, 3 en 6 van artikel 28 van de richtlijn. De Hongaarse gegevensbeschermingsautoriteit stelt dat zij bevoegd is om een boete op te leggen, zelfs wanneer het recht van een andere lidstaat van toepassing zou zijn. Ook de Hongaarse regering heeft zich in die zin uitgesproken. Zij acht het evident dat de verschillende bepalingen van de regeling en van de procedure voor de uitoefening van de in artikel 28, lid 3, van de richtlijn genoemde bevoegdheden van de toezichthoudende autoriteiten, worden beheerst door het nationale recht van de staat waar die autoriteit is gezeteld, met als consequentie dat het opleggen van sancties moet geschieden conform haar eigen nationale recht.

47. De Commissie van haar kant meent dat de toezichthoudende autoriteiten van een lidstaat het recht hebben om de in artikel 28, lid 3, genoemde bevoegdheden uit te oefenen voor zover zij deze kunnen uitoefenen op hun eigen grondgebied, conform artikel 28, leden 1 en 6. Als echter een bevoegdheid uitsluitend kan worden uitgeoefend op het grondgebied van een andere lidstaat, dan heeft deze autoriteit geen andere keuze dan om de administratieve samenwerking te verzoeken van de toezichthoudende autoriteit van die andere lidstaat. De toezichthoudende autoriteit van eerstbedoelde lidstaat kan geen sanctie opleggen aan een voor de verwerking verantwoordelijke die uitsluitend in een andere lidstaat is gevestigd. In dezelfde zin is de Slowaakse regering van mening dat als het Slowaakse recht van toepassing is, de Hongaarse gegevensbeschermingsautoriteit de bevoegdheid heeft om conform artikel 28, leden 3 en 6, een onderzoek te verrichten en de bij haar ingediende klachten te onderzoeken volgens haar eigen procedurevoorschriften, maar een verzoek om samenwerking moet richten aan de autoriteit van de lidstaat waarvan het recht van toepassing is, omdat die toezichthoudende autoriteit zich zou moeten uitspreken over het eventuele opleggen van een boete. Polen onderstreept dat de richtlijn niet in de mogelijkheid voorziet dat het materiële recht van een lidstaat door de autoriteiten van een andere lidstaat wordt toegepast, en betoogt dat als de wetgever die vergaande mogelijkheid had willen verschaffen, de richtlijn gedetailleerde bepalingen zou bevatten om het toepassingsgebied af te bakenen. Ten slotte meent de Britse regering dat het Slowaakse recht van toepassing is en dat daarom de Hongaarse gegevensbeschermingsautoriteit niet bevoegd is.

48. Gezien het voorgaande valt op hoe verdeeld de standpunten zijn in de ingediende opmerkingen. Daarin lijken enkel het Verenigd Koninkrijk en Polen een absolute coherentie te eisen tussen het toepasselijke recht en de bevoegdheid van de toezichthoudende autoriteit, hetgeen inhoudt dat de bepaling van het conform artikel 4, lid 1, onder b), van de richtlijn toepasselijke recht ook de bevoegde toezichthoudende autoriteit bepaalt.(29)

49. Zoals ik hierna zal betogen, ben ik van mening dat de complexe kwestie die voor ons ligt moet worden beslist door te trachten de bijzondere doelstellingen van de richtlijn te combineren met de beginselen die het optreden van de toezichthoudende administratieve autoriteiten beheersen.

50. Aan de kwestie die met deze prejudiciële vraag wordt aangesneden, ligt een belangrijke prealabele vraag ten grondslag, namelijk of de richtlijn de geldigheid van de regel dat de administratieve autoriteiten van een land in beginsel conform hun eigen nationale recht optreden en dat nationale recht toepassen, mag verzwakken, of zelfs buiten werking stellen. Daarom moet met betrekking tot de bevoegdheid van de overheden – omdat het de uitoefening betreft van publiekrechtelijke bevoegdheden, in het bijzonder het ius puniendi – worden uitgegaan van de eisen die voortvloeien uit de territoriale soevereiniteit van de staat(30), het legaliteitsbeginsel en ten slotte de definitie van het begrip rechtsstaat.(31) Die eisen zouden het noodzakelijk maken dat de bevoegdheid van de toezichthoudende autoriteit samenvalt met het toepasselijke recht.(32) In die zin kan de uitoefening van de sanctiebevoegdheid – de bevoegdheid die specifiek in de onderhavige zaak aan de orde is – in beginsel niet worden uitgeoefend buiten de wettelijke grenzen waarbinnen een administratieve autoriteit gemachtigd is om, onderworpen aan haar nationale recht, op te treden.(33) Voor een afwijking van die regel lijkt toch ten minste een specifieke wettelijke grondslag nodig te zijn die de toepassing van het publiekrecht van een andere lidstaat toestaat en afbakent en die bovendien, gedetailleerd en duidelijk, mogelijk maakt dat de rechtssubjecten kunnen verwachten aan welke recht hun gedragingen onderworpen zijn, en wat de consequenties daarvan zijn.(34)

51. Overeenkomstig hetgeen hierboven is opgemerkt, meen ik niet dat de eerste zinsnede van artikel 28, lid 6, die luidt dat „elke toezichthoudende autoriteit [...] bevoegd [is], ongeacht welk nationaal recht op de betrokken verwerking van toepassing is, om op het grondgebied van haar eigen lidstaat de haar overeenkomstig lid 3 verleende bevoegdheden uit te oefenen”(35), een voldoende specifieke bepaling is voor een zo belangrijke gevolgtrekking. Die bepaling stelt geen specificatie vast omtrent het toepassingsgebied, de werkingssfeer en de waarborgen die nodig zijn voor een mogelijke toepassing door de administratieve autoriteiten van de ene lidstaat van bepalingen – in het bijzonder boetebepalingen – van de andere.

52. Ook artikel 28, lid 1, van de richtlijn vormt naar mijn mening een ontoereikende wettelijke grondslag voor deze opvatting op de enkele grond van de door de Hongaarse regering en de Hongaarse gegevensbeschermingsautoriteit aangevoerde omstandigheid dat deze bepaling het meervoud gebruikt: „Elke lidstaat bepaalt dat een of meer autoriteiten worden belast met het toezicht op de toepassing op zijn grondgebied van de ter uitvoering van deze richtlijn door de lidstaten vastgestelde bepalingen”.(36)

53. Desalniettemin wijzen deze bepalingen op de mogelijkheid dat er een bepaalde scheiding plaatsvindt tussen de bevoegde autoriteit en het toepasselijke recht. In elk geval laten zij toe dat de autoriteit van een lidstaat toezicht houdt op de activiteiten die op haar grondgebied worden uitgeoefend, zelfs wanneer het recht van een andere lidstaat van toepassing is.

54. Op grond hiervan acht ik het mogelijk artikel 28, leden 1, 3 en 6, uit te leggen op een wijze die rijmt met de basisbeginselen van de uitoefening van de administratieve bevoegdheid om sancties op te leggen. Dit kan geschieden door de eerste zin van de eerste alinea van lid 6 van artikel 28 samen te zien met de tweede zin van diezelfde alinea – die luidt dat de autoriteit die de bevoegdheden op het grondgebied van haar eigen lidstaat uitoefent „[...] door een autoriteit van een andere lidstaat [kan] worden verzocht haar bevoegdheden uit te oefenen” – en met de tweede alinea van lid 6, die bepaalt dat „de toezichthoudende autoriteiten onderling samenwerken voor zover zulks noodzakelijk is voor de uitvoering van hun taken [...]”.

55. De in artikel 28, lid 6, aan de toezichthoudende autoriteiten geboden mogelijkheid tot optreden, zelfs wanneer het recht van haar eigen lidstaat niet van toepassing is, moet systematisch worden uitgelegd, waarbij zowel rekening wordt gehouden met een duidelijke opdracht tot samenwerking tussen administratieve autoriteiten, als met het feit dat de ene autoriteit door de andere kan worden verzocht om haar bevoegdheden uit te oefenen. Een beoordeling van deze bepaling als geheel wijst op een taakverdeling tussen de verschillende toezichthoudende autoriteiten, in het kader van samenwerking en wederzijdse assistentie.

56. Het feit dat het toepasselijke recht dat van een andere lidstaat blijkt te zijn, berooft de toezichthoudende autoriteiten van andere lidstaten niet van hun mogelijkheden om op te treden. Daarbij moet in het bijzonder rekening worden gehouden met het feit dat er in bepaalde situaties – hoewel op grond van artikel 4, lid 1, onder a), van de richtlijn het recht van een andere lidstaat van toepassing is – vele andere aanknopingspunten met het grondgebied kunnen bestaan, zoals de technische middelen of, in het bijzonder, de personen die door de gegevensverwerking zijn getroffen. Voor een effectieve toepassing van de richtlijn is het daarom noodzakelijk dat de lokale autoriteit onderzoek kan verrichten en bepaalde maatregelen kan nemen, zelfs nog voordat kon worden bepaald welk recht van toepassing is.

57. Meer concreet geformuleerd: een toezichthoudende autoriteit aan wie, bij wege van een bij haar ingediende aanvraag of een individueel verzoek, is gevraagd op te treden, moet haar bevoegdheden tot onderzoek op haar eigen grondgebied kunnen uitoefenen. Dit blijkt duidelijk uit artikel 28, lid 4, van de richtlijn, waarin de verplichting van de toezichthoudende autoriteiten wordt vastgesteld om kennis te nemen van de verzoeken die eenieder bij haar indient met betrekking tot de bescherming van zijn rechten en vrijheden in verband met de verwerking van persoonsgegevens. Deze opvatting rijmt met het Verdrag nr. 108 van de Raad van Europa van 1981 met betrekking tot de geautomatiseerde verwerking van persoonsgegevens(37), waarvan artikel 14 bepaalt dat, indien een persoon op het grondgebied van een andere verdragsluitende partij verblijft „deze de bevoegdheid moet hebben om zijn vordering in te dienen bij de autoriteit die daarvoor door deze Partij is aangewezen”.

58. Deze procedure kan al voldoende geruststelling bieden voor de bezorgdheid die door de Hongaarse regering ter terechtzitting is geuit, dat, indien de Hongaarse gegevensbeschermingsautoriteit niet bevoegd is, de effectiviteit van de door de richtlijn vastgestelde maatregelen zou worden ondergraven als de belanghebbenden zich tot buitenlandse autoriteiten zouden moeten richten in talen die zij niet beheersen.

59. Kortom, de toezichthoudende autoriteiten beschikken, ongeacht het materiële recht dat in casu van toepassing is, over de in lid 3 van artikel 28 van de richtlijn genoemde bevoegdheden om onderzoek te verrichten en in te grijpen, maar enkel over die bevoegdheden die hun door hun nationale recht zijn toegekend, op hun eigen grondgebied(38), en met inachtneming van de beginselen die in punt 50 van deze conclusie zijn genoemd.

60. Het is duidelijk dat de handelingsbevoegdheid van een toezichthoudende autoriteit van een lidstaat niet onbeperkt is wanneer het materiële recht van een andere lidstaat van toepassing is. Op dit punt wil ik opmerken dat het beginsel blijft gelden dat de toezichthoudende autoriteit, in de uitoefening van haar bevoegdheden, gebonden is aan de grenzen die haar worden gesteld in haar hoedanigheid van publiekrechtelijk rechtssubject dat onderworpen is aan het recht van de eigen lidstaat, en dat zij haar bevoegdheden enkel op haar eigen grondgebied kan uitoefenen. Met name als er sprake blijkt te zijn van een onrechtmatigheidsverklaring en van oplegging van sancties wegens de inbreuken die voortvloeien uit de onrechtmatigheid van de gegevensverwerking, is dat onvermijdelijk de taak van de autoriteit van de lidstaat wiens materiële recht op de gegevensverwerking van toepassing is, volgens het criterium van artikel 4, lid 1, onder a), van de richtlijn.

61. Hoewel er dus niets op tegen is om de bevoegdheid om sancties op te leggen te beschouwen als een van de bevoegdheden die in artikel 28, lid 3, van de richtlijn worden genoemd (in welk lid na het derde gedachtestreepje de „bevoegdheid [van de toezichthoudende autoriteiten] om in rechte op te treden in geval van inbreuken” wordt vermeld), moet – op grond van de in artikel 28, lid 6, van de richtlijn vastgestelde verplichting tot samenwerking – aan de autoriteit van de lidstaat wiens recht op de gegevensverwerking van toepassing is, worden verzocht om eventueel over te gaan tot een verklaring van inbreuk conform het toepasselijke recht en tot het opleggen van sancties, op basis van de informatie die is verzameld, in voorkomend geval doorgegeven, door de autoriteit van de eerstgenoemde lidstaat.

62. Deze uitlegging is niet in tegenspraak met het standpunt dat de artikel 29‑groep in verschillende documenten heeft uitgesproken. In de eerste plaats – zoals wordt benadrukt in advies 8/2010 over het toepasselijke recht – is de doelstelling van artikel 28, lid 6, „het eventuele gat te dichten tussen het toepasselijke recht en de toezichthoudende bevoegdheid, dat binnen de interne markt zou kunnen ontstaan op het gebied van gegevensbescherming”.(39) Weliswaar stelt dit advies uitdrukkelijk: „Ook als het gegevensbeschermingsrecht van een andere lidstaat van toepassing is, mag de toezichthoudende autoriteit op haar grondgebied alle bevoegdheden uitoefenen die haar door het nationale rechtsstelsel zijn verleend”, maar het uit tevens belangrijke twijfel omtrent de omvang van de bevoegdheden van de toezichthoudende autoriteiten op dit gebied.(40) Op basis van de latere overwegingen van de artikel 29-groep heeft deze groep, op verzoek van de Commissie, in zijn aanbevelingen inzake de praktische implementatie van artikel 28, lid 6, zijn standpunt uitgewerkt met betrekking tot de kwestie van de scheiding tussen het toepasselijke recht en de bevoegde autoriteit.(41) De groep concludeert dat in een situatie van feitelijke scheiding, de autoriteit de procedurele en administratieve bepalingen van haar eigen rechtssysteem moet toepassen, terwijl de inhoudelijke aspecten van de gegevensbescherming de taak zijn van de lidstaat wiens recht van toepassing is.(42)

63. De bovenstaande overwegingen vallen binnen een bijzondere juridische context waarin het interventie-instrument van de Unie een richtlijn is, hetgeen de lidstaten een aanzienlijke vrijheid heeft gelaten in hun wetgevingen, in het bijzonder wat betreft de regeling en de mogelijkheden van de toezichthoudende autoriteiten tot het opleggen van sancties.(43) Het zou moeilijk verenigbaar zijn met de beginselen van territoriale soevereiniteit en legaliteit wanneer, bij gebrek aan een duidelijke wettelijke grondslag met waarborgen voor een nauwe samenwerking bij de interpretatie van inbreuken en voor een gelijkwaardigheid van de sancties, de scheiding tussen de bevoegde autoriteit en het toepasselijke recht zou leiden tot het opleggen van sancties conform het recht van de lidstaat van de lokale toezichthoudende autoriteit – die wellicht niet zijn voorzien in het rechtsstelsel van de lidstaat wiens recht op de gegevensverwerking van toepassing is – of tot de toepassing door een lokale autoriteit van sanctieregels van een andere lidstaat.(44)

64. Tot slot leidt het beroep op een analoge toepassing van het arrest van het Hof in de zaak UPC DTH(45), waar door de Hongaarse regering en de Hongaarse toezichthoudende autoriteit naar wordt verwezen teneinde de bevoegdheid van die laatste om in de onderhavige zaak sancties op te leggen te onderbouwen, niet tot een andere conclusie. In dat arrest betreffende de uitlegging van bepaalde instrumenten van het rechtskader inzake elektronische communicatie(46) heeft het Hof verklaard dat „procedures van toezicht op elektronische-communicatiediensten [...] vallen onder de bevoegdheid van de autoriteiten van de lidstaat waar de afnemers van die diensten wonen”.(47)

65. In antwoord op dat betoog wil ik er enkel op wijzen dat, naast het feit dat deze uitlegging een situatie van vrijheid van dienstverrichting betrof en viel binnen een rechtskader waarvan de doelstellingen en structuur duidelijk verschilden van die van de onderhavige zaak, deze uitspraak – en dat is belangrijker – werd gedaan in een situatie waarin geen sprake was van discussie over het toepasselijke recht.(48)

66. Op grond van al deze redenen ben ik, tegen de achtergrond van de huidige staat van het Unierecht, van mening dat de zevende prejudiciële vraag van de Kúria als volgt dient te worden beantwoord:

Ingeval de nationale rechter, op grond van het criterium van artikel 4, lid 1, onder a), van richtlijn 95/46 bepaalt dat zijn nationale recht niet van toepassing is, moet artikel 28, lid 6, van die richtlijn aldus worden uitgelegd dat het opleggen van sancties wegens inbreuken in verband met gegevensverwerking valt onder de bevoegdheid van de toezichthoudende autoriteit van de lidstaat wiens recht van toepassing is, ongeacht welke lokale toezichthoudende autoriteit het geheel van de in artikel 28, lid 3, genoemde bevoegdheden op haar eigen grondgebied kan uitoefenen, overeenkomstig haar nationale recht.

C – Het begrip „verwerking” van gegevens (achtste prejudiciële vraag)

67. Met zijn achtste prejudiciële vraag wenst de verwijzende rechter van het Hof het volgende te vernemen: „Mag ervan worden uitgegaan dat het begrip ‚adatfeldolgozás’, dat zowel in artikel 4, lid 1, onder a), als in artikel 28, lid 6, van [de Hongaarse taalversie van] de richtlijn gegevensbescherming voorkomt, in de terminologie van deze richtlijn overeenkomt met het begrip ‚adatkezelés’?”

68. Alle bij het Hof ingediende opmerkingen concluderen dat het verschil in terminologie waarop in de verwijzingsbeslissing is gewezen, onbelangrijk is.

69. Richtlijn 95/46 hanteert in haar bepalingen consequent enkel de term „[adat]feldolgozás” voor het begrip gegevensverwerking, zoals dat in artikel 2, onder b), van de richtlijn is gedefinieerd. Pas in de Hongaarse informatiewet wordt een verschil gemaakt tussen de begrippen „adatkezelés” en „adatfeldolgozás”(49), waarbij dat laatste begrip wordt gedefinieerd als „het verrichten van technische taken in het kader van de gegevensverwerking [...]”.(50)

70. De definitie van het begrip „[adat]feldolgozás” van artikel 2, onder b), van de richtlijn, dat tevens wordt gebruikt in artikel 4, lid 1, onder a), en in artikel 28, lid 6, is heel ruim en omvat elke bewerking met betrekking tot persoonsgegevens, al dan niet uitgevoerd met behulp van geautomatiseerde procedés. Daaruit volgt dat het ruime begrip „verwerking” het beperktere begrip verrichten van technische taken „in het kader van de gegevensverwerking” omvat.

71. Daarom geef ik het Hof in overweging de achtste prejudiciële vraag van de Kúria als volgt te beantwoorden:

Het begrip „adatfeldolgozás”, gebruikt in artikel 4, lid 1, onder a), en artikel 28, lid 6, van de Hongaarse versie van de richtlijn, moet aldus worden uitgelegd dat het zowel de gegevensverwerking in ruime zin, als het verrichten van technische taken in het kader van de gegevensverwerking omvat.

V – Conclusie

72. Gelet op een en ander geef ik het Hof in overweging de door de Kúria gestelde prejudiciële vragen als volgt te beantwoorden:

„1) Artikel 4, lid 1, onder a), van richtlijn 95/46 verzet zich ertegen dat de Hongaarse gegevensbeschermingsautoriteit de Hongaarse wet toepast op een voor de verwerking verantwoordelijke die uitsluitend in een andere lidstaat is gevestigd. Hiervoor dient het begrip vestiging aldus te worden uitgelegd dat het het bestaan van een vaste inrichting veronderstelt, onafhankelijk van de rechtsvorm daarvan, door middel waarvan effectief en daadwerkelijk activiteiten worden uitgeoefend. Eén agent kan al worden beschouwd als vaste inrichting, wanneer deze een voldoende mate van duurzaamheid biedt met behulp van de personele en technische middelen die voor het verlenen van de betrokken concrete diensten nodig zijn.

Andere elementen, zoals de plaats vanwaar de gegevens zijn verzonden, de nationaliteit van de betrokken adverteerders, de woonplaats van de eigenaren van de voor de gegevensverwerking verantwoordelijke onderneming, of het feit dat de door die verantwoordelijke geleverde dienst gericht is op het grondgebied van een andere lidstaat, spelen geen rechtstreekse en bepalende rol bij de vaststelling van het toepasselijke recht, maar kunnen wel een aanwijzing vormen voor het effectieve en daadwerkelijke karakter van de activiteiten – waardoor de plaats van vestiging kan worden bepaald – en in het bijzonder voor de vaststelling of de gegevensverwerking is verricht in het kader van de activiteiten van die vestiging.

2) Ingeval de nationale rechter, op grond van het criterium van artikel 4, lid 1, onder a), van richtlijn 95/46, bepaalt dat zijn nationale recht niet van toepassing is, moet artikel 28, lid 6, van bedoelde richtlijn aldus worden uitgelegd dat het opleggen van sancties wegens inbreuken in verband met gegevensverwerking valt onder de bevoegdheid van de toezichthoudende autoriteit van de lidstaat wiens recht van toepassing is, ongeacht welke lokale toezichthoudende autoriteit het geheel van de in artikel 28, lid 3, genoemde bevoegdheden op haar eigen grondgebied kan uitoefenen, overeenkomstig de bepalingen van haar nationale recht.

3) Het begrip ‚adatfeldolgozás’, gebruikt in artikel 4, lid 1, onder a), en artikel 28, lid 6, van de Hongaarse versie van richtlijn 95/46, moet aldus worden uitgelegd dat het zowel de gegevensverwerking in ruime zin, als het verrichten van technische taken in het kader van de gegevensverwerking omvat.”

1 – Oorspronkelijke taal: Spaans.

2 – Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 (PB L 281, blz. 31).

3 – Arrest in zaak C‑131/12, EU:C:2014:317.

4 – Zie vooral Rigaux, F., „La loi applicable à la protection des individus à l’égard du traitement automatisé des données à caractère personnel”, Revue critique de droit international privé, 1980, blz. 443‑478.

5 – Bygrave, L., „Determining applicable law pursuant to European Data Protection Legislation”, Computer Law and Security Report, nr. 16, 2000, blz. 252.

6 – [Voetnoot in de Spaanse versie niet van toepassing in de Nederlandse versie.]

7 – Arrest in zaak C‑131/12, EU:C:2014:317.

8 – C‑131/12, EU:C:2014:317, punten 48‑50.

9 – Zie de arresten Factortame e.a., C‑221/89, EU:C:1991:320, punt 20, en Commissie/Verenigd Koninkrijk, C‑246/89, EU:C:1991:375, punt 21.

10 – Arrest Cadbury Schweppes en Cadbury Schweppes Overseas, C‑196/04, EU:C:2006:544, punt 54.

11 – Advies over het toepasselijke recht, goedgekeurd op 16 december 2010, 0836‑02/10/NL, WP 179.

12 – Dit advies heeft betrekking op de arresten Berkholz, 168/84, EU:C:1985:299, punt 18, en Lease Plan, C‑390/96, EU:C:1998:206, die de uitlegging betroffen van artikel 9, lid 1, van richtlijn 77/388/EEG van de Raad van 17 mei 1977, Zesde richtlijn betreffende de harmonisatie van de wetgevingen der lidstaten inzake omzetbelasting – Gemeenschappelijk stelsel van belasting over de toegevoegde waarde (PB L 145, blz. 1).

13 – Arrest Welmory, C‑605/12, EU:C:2014:2298, punt 58, inzake de uitlegging van artikel 44 van richtlijn 2006/112/EG van de Raad van 28 november 2006 betreffende het gemeenschappelijke stelsel van belasting over de toegevoegde waarde (PB L 347, blz. 1), zoals gewijzigd bij richtlijn 2008/8/EG van de Raad van 12 februari 2008 (PB L 44, blz. 11). Zie ook het arrest Planzer Luxembourg, C‑73/06, EU:C:2007:397, punt 54 en aldaar aangehaalde rechtspraak.

14 – Verdrag inzake het recht dat van toepassing is op verbintenissen uit overeenkomst, ter ondertekening opengesteld te Rome op 19 juni 1980 (PB L 266, blz. 1).

15 – Verdrag van Brussel van 27 september 1968 betreffende de rechterlijke bevoegdheid en de tenuitvoerlegging van beslissingen in burgerlijke en handelszaken (PB L 299 van 31 december 1972, blz. 32, geconsolideerde tekst in PB 1998, C 27, blz. 1).

16 – Het Hof overweegt dat „het begrip filiaal, agentschap of enige andere vestiging [...] een centrum van werkzaamheid [impliceert], dat zich naar buiten duurzaam manifesteert als het verlengstuk van een moederbedrijf, met een eigen directie en materiële uitrusting, zodat het zaken met derden kan doen [...]” (arresten Somafer, 33/78, EU:C:1978:205, punt 12, en Blanckaert & Willems, 139/80, EU:C:1981:70, punt 11). In het arrest Voogsgeerd benadrukt het Hof dat „de term ‚vestiging’ doelt op elke vaste vestiging van een onderneming. Bijgevolg kunnen niet alleen dochterondernemingen en agentschappen, maar ook andere eenheden, zoals kantoren van een onderneming, vestigingen in de zin van artikel 6, lid 2, onder b), van het Verdrag van Rome vormen, zelfs wanneer zij geen rechtspersoonlijkheid bezitten” (arrest Voogsgeerd, C‑384/10, EU:C:2011:842, punt 54).

17 – Advies 8/2010, blz. 14.

18 – C‑131/12, EU:C:2013:424, punt 65.

19 – Richtlijn 2000/31/EG van het Europees Parlement en de Raad van 8 juni 2000 betreffende bepaalde juridische aspecten van de diensten van de informatiemaatschappij, met name de elektronische handel, in de interne markt (PB L 178 van 17 juli 2000, blz. 1).

20 – Zie het werkdocument betreffende de internationale toepassing van de gegevensbeschermingswetgeving van de EU op de verwerking van persoonsgegevens op internet door websites van buiten de EU, WP 56, 5035/01/NL/def., 30 mei 2002, blz. 8.

21 – De opmerkingen die bij het Hof zijn ingediend laten ten aanzien van die factoren verschillende standpunten zien. Terwijl de Hongaarse gegevensbeschermingsautoriteit meent dat die elementen relevant zijn, is het Verenigd Koninkrijk van mening dat geen van de genoemde factoren relevant is, omdat artikel 4, lid 1, onder a), van de richtlijn ze niet noemt. In vergelijkbare zin heeft de Europese Commissie zich uitgesproken. Volgens de Hongaarse regering zouden alleen het feit dat de diensten zijn gericht op het grondgebied van een lidstaat en de plaats vanwaar de gegevens op de site zijn gezet, relevant zijn. De Slowaakse regering meent dat noch de plaats vanwaar de gegevens zijn verstuurd, noch de nationaliteit van de betrokken adverteerders, noch de woonplaats van de eigenaren van de onderneming relevant is voor de bepaling van het toepasselijke nationale recht.

22 – In deze zin heeft ook de artikel 29-groep zich uitgesproken: „Dit betekent dat noch de nationaliteit of de gebruikelijke verblijfplaats van de betrokkenen, noch de fysieke locatie van de persoonsgegevens voor dit doeleinde bepalend zijn [voor de vaststelling van het toepasselijke recht]” (Advies 8/2010, blz. 10). Zie ook de punten 55‑58 van de conclusie van advocaat-generaal Jääskinen in de zaak Google Spain en Google, C‑131/12, EU:C:2013:424.

23 – C‑131/12, EU:C:2014:317, punten 48‑50.

24 – Ibidem, punt 52.

25 – Ibidem, punt 53.

26 – Zie hierover ook het advies 8/2010 van de artikel 29-groep.

27 – Advies 1/2008 over gegevensbescherming en zoekmachines, goedgekeurd op 4 april 2008, WP 148, 00737/NL.

28 – Voorstel voor een verordening van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, COM(2012) 11 final.

29 – De rechtsleer is hieromtrent overigens ook verdeeld. Sommige schrijvers beschouwen artikel 4 van de richtlijn als regel die ook de bevoegde autoriteit bepaalt (bijvoorbeeld Bing, J., „Data Protection, Jurisdiction and the Choice of Law”, Privacy Law & Policy Reporter, 1999), terwijl andere de tegengestelde mening zijn toegedaan. Zie bijvoorbeeld Swire, P. P., „Of Elephants, Mice and Privacy: International Choice of Law and the Internet”, The International Lawyer, 1998, blz. 991. Over deze discussie zie ook Kuner, C., „Data Protection Law and International Jurisdiction on the Internet (Part 1)”, International Journal of Law and Information Technology, nr. 18, 2010, blz. 176.

30 – Punt 21 van de considerans van de richtlijn vermeldt uitdrukkelijk dat „deze richtlijn de territorialiteitsregels inzake strafrecht onverlet laat”. Ik ben van mening dat dit ook geldt voor administratieve sancties.

31 – De kern van de rechtsstaat kan worden gedefinieerd in de zin dat alle overheden, op alle niveaus „must exercise the powers conferred on them reasonably, in good faith, for the purpose for which the powers were conferred and without exceeding the limits of such powers”, Lord Bingham, „The Rule of Law”, The Cambridge Law Journal, nr. 66, 2007, blz. 78.

32 – Zie De Miguel Asensio: „als consequentie van het in wezen bestuursrechtelijke of publiekrechtelijke karakter van het toezichtstelsel, bestaat er een nauwe band tussen het toepasselijke recht en de autoriteit die bevoegd is tot het opleggen van sancties voor eventuele inbreuken”, De Miguel Asensio, P. A., Derecho Privado de Internet, 4e druk, Madrid, 2011, blz. 333. In vergelijkbare zin heeft de rechtsleer zich uitgesproken met betrekking tot de bevoegdheden van de toezichthoudende autoriteiten op het gebied van mededinging, en daarbij aangegeven dat binnen het overheidsoptreden, de toepasselijkheid van het recht de bevoegdheid bepaalt van de autoriteit die dat recht moet toepassen. Zie bijvoorbeeld Basedow, J., „Antitrust or Competition Law, International”, in Wolfrum, R. (ed.), Max Planck Encyclopedia of Public International Law, 2009.

33 – Zie in die zin Rigaux: „On ne conçoit guère que les autorités administratives, les commissions de contrôle [...] les organes de surveillance soumettent les fichiers du secteur privé à d’autres normes de conduite et qu’ils obéissent eux-mêmes à d’autres règles de fonctionnement qu’à celles qui sont contenues dans la lex fori”, op. cit., blz. 469.

34 – Ohler, C., Die Kollisionsordnung des allgemeinen Verwaltungsrechts, Mohr Siebeck, 2005, blz. 109 en 314.

35 – Cursivering van mij.

36 – Cursivering van mij. Zie over deze discussie Damman, U., en Simitis, S., EG-Datenschutzrichtlinie, Nomos Verlagsgesellschaft, Baden-Baden, 1997, blz. 306.

37 – (ETS 108), waarbij alle lidstaten partij zijn. Volgens punt 11 van de considerans van de richtlijn detailleert en verruimt de richtlijn de bescherming die door dat Verdrag wordt geboden.

38 – Zie over deze kwestie Damman, U., en Simitis, S., op. cit., blz. 313.

39 – Advies 8/2010 over het toepasselijke recht, blz. 29.

40 – Enerzijds benadrukt het advies 8/2010 van de artikel 29-groep namelijk dat de inhoud van de samenwerking tussen toezichthoudende autoriteiten niet alleen de uitwisseling van informatie betreft, maar ook „het afhandelen van grensoverschrijdende klachten, het verzamelen van bewijsmateriaal voor andere gegevensbeschermingsautoriteiten of het opleggen van sancties” (blz. 31). Anderzijds worden in het advies ook twijfels geuit over de reikwijdte van de bevoegdheden die elke gegevensbeschermingsautoriteit mag uitoefenen: „In het bijzonder: in hoeverre oefent de plaatselijk bevoegde gegevensbeschermingsautoriteit haar bevoegdheden uit met betrekking tot de toepassing van de materiële beginselen en de sancties? Moet zij het gebruik van haar bevoegdheden dan beperken tot het controleren van feiten, kan zij voorlopige of zelfs definitieve handhavingsmaatregelen treffen? Kan zij haar eigen uitleg geven aan de bepalingen van het toepasselijke recht, of is dat voorbehouden aan de gegevensbeschermingsautoriteit van de lidstaat wiens recht van toepassing is? [...]” (blz. 30).

41 – Advice paper on the practical implementation of the Article 28(6) of the Directive 95/46/EC, Ref. Ares (2011)444105, van 20 april 2011.

42 – Ibidem, blz. 31. Hiertoe is voorbeeld 10 uit het advies bijzonder verhelderend. Het gaat om een hypothetisch geval waarin het Duitse recht van toepassing is op gegevensverwerking die in het Verenigd Koninkrijk is verricht. Het voorbeeld geeft aan dat „de Britse gegevensbeschermingsautoriteit moet beschikken over de bevoegdheid de bedrijfslocaties in het Verenigd Koninkrijk te inspecteren en bevindingen vast te leggen, die vervolgens worden overgedragen aan de Duitse gegevensbeschermingsautoriteit; de Duitse gegevensbeschermingsautoriteit moet een sanctie kunnen opleggen aan de in Duitsland gevestigde voor de verwerking verantwoordelijke op basis van de bevindingen van de Britse gegevensbeschermingsautoriteit”.

43 – Ook in punt 9 van de considerans van de richtlijn wordt die vrijheid erkend. Zie hierover ook het document van het Bureau van de Europese Unie voor de grondrechten, Data Protection in the European Union: the role of National Data Protection Authorities, 2010, waarin wordt gewezen op de verschillen binnen de lidstaten tussen de bevoegdheden van de toezichthoudende autoriteiten.

44 – In dit verband lijdt het geen twijfel hoe belangrijk en vernieuwend het Unierecht is op het gebied van gegevensbescherming binnen de Europese administratieve ruimte. Het voorstel voor een toekomstige algemene verordening betreffende gegevensbescherming zal, als die verordening wordt aangenomen, een enorme transformatie op dat gebied betekenen, in het bijzonder wat betreft de inwerkingstelling van een complex en gedetailleerd systeem van samenwerking, coherentie en verdeling van verantwoordelijkheden tussen de verschillende toezichthoudende autoriteiten.

45 – C‑475/12, EU:C:2014:285.

46 – In het bijzonder richtlijn 2002/20/EG van het Europees Parlement en de Raad van 7 maart 2002 betreffende de machtiging voor elektronische-communicatienetwerken en -diensten (PB L 108, blz. 21), zoals gewijzigd bij richtlijn 2009/140/EG van het Europees Parlement en de Raad van 25 november 2009 („machtigingsrichtlijn”) (PB L 337, blz. 37), en richtlijn 2002/21/EG van het Europees Parlement en de Raad van 7 maart 2002 inzake een gemeenschappelijk regelgevingskader voor de elektronische-communicatienetwerken en -diensten (PB L 108, blz. 33), zoals gewijzigd bij richtlijn 2009/140/EG.

47 – Arrest UPC DTH, C‑475/12, EU:C:2014:285, punt 88.

48 – De in die zaak opgelegde sanctie vond namelijk haar oorzaak in de weigering van de betrokken vennootschap om informatie aan de nationale communicatieautoriteit te verstrekken. Het Hof overwoog dat „de nationale instanties op grond van artikel 11, lid 1, onder b), van de machtigingsrichtlijn [...] de ondernemingen mogen verzoeken om informatie die passend en objectief gerechtvaardigd is voor controle op de naleving van de voorwaarden inzake consumentenbescherming wanneer een klacht is ontvangen of zij op eigen initiatief een onderzoek verrichten” (ibidem, punt 85).

49 – In de richtlijn wordt alleen een afleiding van de term „adatkezelés” gebruikt voor de „voor de gegevensverwerking verantwoordelijke”.

50 – Zie § 3, lid 17, van de informatiewet. Lid 10 van § 3 van de informatiewet definieert het begrip „adatkezelés” zo ruim, dat het in wezen overeenkomt met het begrip gegevensverwerking zoals dat in artikel 2, onder b), van de richtlijn wordt gedefinieerd.