EU-hof: Facebook mag privacyklachten niet via Ierland ontwijken
Facebook kan zich niet via Ierland onttrekken aan handhaving door de Belgische privacywaakhond. Dat heeft het het Hof van Justitie van de Europese Unie besloten, na vragen om opheldering van de Belgische toezichthouder.
Het Europese hoofdkantoor van Facebook staat in Ierland en daarom worden Europese privacyklachten rond Facebook normaal gesproken opgepakt door de Ierse handhaver. De Ierse Data Protection Commission geldt als 'primaire toezichthouder' als het gaat om Europese handhaving van onder meer Facebook.
Facebook wilde zich achter die constructie verschuilen toen de Belgische privacywaakhond wilde optreden tegen onder andere de volgcookies van Facebook. Maar de Belgen mogen ook zelf tegen Facebook optreden, oordeelt het Hof van Justitie van de Europese Unie dinsdag.
Uitzondering op de regel
Volgens het Hof kan elke Europese privacywaakhond zijn autoriteit "onder bepaalde voorwaarden" uitoefenen om vermeende inbreuken op de EU-privacywet AVG aan te kaarten, "ook al is zij niet de leidende autoriteit voor die verwerking".
Wel blijft de autoriteit in het vestigingsland van een bedrijf leidend, het zogenoemde 'één-loketmechanisme'. Dat moet de handhaving over het algemeen makkelijker maken: toezichthouders uit andere lidstaten leggen hun bezwaren bij de handhaver in het vestigingsland neer, in dit geval dus in Ierland.
Nauwe samenwerking noodzakelijk
Voor dat één-loketmechanisme is wel "nauwe, loyale en doeltreffende samenwerking" nodig tussen de verschillende handhavers, stelt het Hof. De leidende handhaver kan zich niet aan die samenwerking ontdekken.
"Daarom mag de leidende toezichthoudende autoriteit in het kader van deze samenwerking niet voorbijgaan aan de standpunten van de andere betrokken toezichthoudende autoriteiten", aldus het Hof. Met andere woorden: bij geen gehoor van de leidende autoriteit, mag de toezichthouder uit een ander EU-land zelf de AVG-regels handhaven.
Een andere reden waarom de Belgen hun aanklacht tegen Facebook toch zelf mogen doorzetten, is dat de klacht stamt uit 2015: voor de invoering van de Europese privacywet AVG in 2018. Wel is belangrijk dat die AVG op de aanklacht van toepassing is.
Mogelijke gevolgen voor andere waakhonden
De bepaling van het Hof kan gevolgen hebben voor andere privacyhandhavers in de EU. Die kunnen nu mogelijk ook zelf gaan optreden tegen bedrijven die in een ander EU-land gevestigd zijn, onder de voorwaarden die het Hof stelt.
"De meeste Big Tech-bedrijven zijn gevestigd in Ierland, en het zou niet alleen aan de handhaver van dat land moeten zijn om om 500 miljoen consumenten in de EU te beschermen, zeker als het die uitdaging niet aankan", aldus Monique Goyens van de Belgische Gegevensbeschermingsautoriteit.
Kritiek op de Ieren
Goyens haalt uit naar haar Ierse collega's, die al langer kritiek krijgen op hun langzame aanpak van de grote techbedrijven, terwijl andere handhavers moeten toekijken.
Eerder dit jaar wees het hoofd van de Ierse handhaver Helen Dixon die kritiek overigens van de hand als "belachelijk". Dixon wees er toen op dat de Ieren nu 27 grote onderzoeken hebben lopen naar onder andere Apple, Google en 9 zaken naar Facebook. Daar komen binnenkort nog zaken rond Instagram en WhatsApp bij.
Facebook niet ontevreden
Facebook is niet ontevreden over de opheldering van het Hof. "We zijn verheugd dat het Hof van Justitie van de Europese Unie de waarden en principes van het één-loketmechanisme overeind handhaaft, en het belang onderstreept van efficiënte toepassing van de AVG in de EU", zei Facebook-jurist Jack Gilbert.