270. Het doel van deze masterproef is het formuleren van een antwoord op de volgende centrale onderzoeksvraag: “Draagt het One-Stop-Shop-mechanisme bij tot een effectieve handhaving van de grensoverschrijdende verwerking van persoonsgegevens vervat in de AVG?”
271. Vooraleer de centrale onderzoeksvraag beantwoord kan worden dienen eerst de deelvragen behandeld te worden. Deze zullen hieronder één voor één aan bod komen.
1. Van hoeveel finale OSS-beslissingen is reeds sprake?
272. De cijfers van het EDPB tonen aan dat het OSS-mechanisme volop wordt geïnitieerd. Reeds 1346 procedures werden geïnitieerd inzake de identificatie van de leidende en betrokken autoriteiten. Elke autoriteit werd hierbij op zijn minst een keer geïdentificeerd als leidende autoriteit waarbij Ierland de kroont spant. Het IMI-systeem registreerde voor de periode van 18 mei 2018 tot en met 31 december 2019 tot 807 grensoverschrijdende zaken. Dit cijfer betreft echter niet enkel OSS-zaken en eveneens ligt het cijfers waarschijnlijk hoger gezien niet alle zaken reeds in het IMI-systeem werden geregistreerd. Bovendien worden de zaken gebundeld.
273. Er was voor wat betreft bovenstaande periode sprake van 141 ontwerpbesluiten die zijn uitgemond in 79 finale beslissingen. Het cijfer van het aantal OSS-zaken die zich nog in de informele fase bevinden is niet duidelijk. Gezien het hoge aantal identificaties van de autoriteiten als leidende en betrokken autoriteit bevinden verschillende OSS-zaken zich waarschijnlijk nog in de informele fase.
274. Wat vooral opvalt is dat Ierland na een periode van meer dan twee jaar nog maar een ontwerpbesluit heeft uitgevaardigd, terwijl het een centrale rol speelt in de handhaving van verschillende multinationals en een pak onderzoeken heeft lopen.
2. Gaan er moeilijkheden gepaard inzake de identificatie van de leidende autoriteit? 275. Het identificeren van de leidende autoriteit lijkt over het algemeen tot nu relatief vlot
te verlopen en kan in mindere mate beschouwd worden als een obstakel voor het verloop van de verdere OSS-procedure. Het grootste bewijs hiervoor is de aanwezigheid van enig dispuut hieromtrent bij de EDPB. De OSS-procedure heeft duidelijkheid gebracht omtrent de bevoegdheid van de autoriteiten wat bijdraagt tot rechtszekerheid voor zowel de verwerkingsverantwoordelijke als het datasubject. Desalniettemin vormen de complexe structuren van bepaalde bedrijven soms een uitdaging en wordt hiervan gebruikt gemaakt door Google en Facebook. Op die manier worden procedures toch vertraagd.
91 3. Wordt voldaan aan de doelstelling inzake snelheid en efficiëntie?
276. De wetgever heeft met artikel 60 AVG gezorgd voor een uitgebreid uiteengezette OSS- procedure. Echter, een aantal belangrijke details in artikel 60 AVG ontbreken en werden niet geharmoniseerd en zoals Dhr. Hijmans mooi verwoordt: “The devil is in the details.”417
De afwezigheid van een aantal belangrijke details situeert zich in de fase alvorens een ontwerpbesluit wordt neergelegd. Dit resulteert in de toepassing van verschillende nationale administratieve procedures door de autoriteiten bij de aanpak van OSS-zaken. Zo is in bepaalde gevallen sprake van mogelijks tegenstrijdige ontvankelijkheidsvoorwaarden, passen sommige lidstaten in de onderzoeksfase een quasi-gerechtelijke procedure toe, maar andere niet en is er geen sprake van een harmoniserend tijdskader waarbinnen een ontwerpbesluit dient uitgevaardigd te worden. Ook een aantal niet verder uiteengezette begrippen van de procedure zoals “onverwijld”, “relevante informatie” en “ontwerpbesluit” leiden in de praktijk tot een verschillende invulling door de autoriteiten. Er is aldus geen sprake van een gestandaardiseerde aanpak. Het stroomlijnen van dergelijke procedures lijkt echter noodzakelijk, ook gezien de mogelijkse verdere procedures voor de nationale rechtbanken waarbij tegenstrijdigheden vermeden moeten worden.
277. Verschillende autoriteiten halen aan dat OSS-zaken over het algemeen meer tijd innemen. Dit is ook logisch gezien het een nieuwe procedure betreft die de autoriteiten zich nog eigen moeten maken, men tot een consensus moet komen met meerdere autoriteiten en hiernaast met de nodige uitdagingen hebben te kampen. Het gebrek aan een dwingende gestandaardiseerde aanpak inzake de informele OSS-fase speelt hierbij een rol maar ook het gebrek aan middelen waarmee de meeste autoriteiten stellen te kampen heeft een invloed op de mogelijkheid om dergelijke zaken vlot te behandelen. Het gebrek aan middelen heeft op zijn beurt ook weer een impact op de mogelijkheid om alle vormen van samenwerking in de OSS-procedure optimaal te benutten zoals wederzijdse bijstand en gezamenlijk operaties. Ook worden dergelijke OSS-zaken niet altijd geprioriteerd door de leidende autoriteit wegens nationale beleidsredenen waardoor zaken dreigen langer aan te slepen. Dit kan ook te maken hebben met een tekort een middelen. De Commissie zou hierin kunnen tussenkomen in de vorm van een inbreukprocedure.
278. De hierboven aangehaalde klachten die worden behandeld door de Ierse DPC zijn voorbeelden van langdurige OSS-procedures. Na twee jaar bevindt slechts een van de onderzoeken zich in de tweede fase van de procedure. Dit in tegenstelling tot de vierde klacht die nationaal werd behandeld door CNIL. De DPC heeft net als de andere autoriteiten te kampen met dezelfde uitdagingen, maar daarbovenop zorgt de centralisatie van een enorm aandeel in belangrijke zaken tot een hoge werklast wat opnieuw niet bijdraagt tot een snelle afhandeling. Echter, wanneer de lange duur van dergelijke zaken zich zou doortrekken op lange termijn tast dit mijns inziens de effectiviteit van het mechanisme aan.
92 Zeker omdat eventuele inbreuken ondertussen verder plaatsvinden en technologieën enorm snel veranderen. Gezien de bestaande reputatie van de Ierse DPC inzake de bedrijfsvriendelijke aanpak en Ierland die wordt beschouwd als een belastingparadijs voor bedrijven, kan bijkomend de vraag gesteld worden of er ook andere economische en politieke redenen spelen waarom dergelijke procedures zo lang aanslepen. De vraag rijst eveneens of Ierland zijn gekende, eerder lakse aanpak zal verderzetten. Op dit moment is het in deze zaken nog wachten op een ontwerpbesluit en zal de toekomst het uitwijzen. Toch is het opmerkelijk dat dergelijke techbedrijven tot nu toe enkel nog maar in nationale zaken op de vingers werden getikt.
4. Kunnen de privacyregels vervat in de AVG in het kader van het One-Stop-Shop- mechanisme voldoende afgedwongen worden door de betrokken autoriteiten? 279. De autoriteiten spelen de centrale rol inzake de handhaving van de AVG. Hun positie
werd door de AVG versterkt en de bevoegdheden werden geharmoniseerd. In de OSS-zaken is het aldus de bedoeling dat de leidende autoriteit samenwerkt met de betrokken autoriteiten in de zin van uitwisselen van relevante informatie, wederzijdse bijstand of een gezamenlijke operatie om zo tot een consensus te komen.
280. Er is tot nu toe geen sprake van een gemeenschappelijke en coherente aanpak inzake de effectieve start van de samenwerking. Ook niet inzake het meedelen van relevante informatie en de mate van betrokkenheid. In bepaalde zaken wordt niet altijd informatie meegedeeld aan de betrokken autoriteiten of blijft het eerder op een algemeen niveau. Dit is het geval voor wat betreft de Instagram-zaak tussen de Ierse DPC en de GBA. Wanner dit het geval is kan niet gesproken worden van een proactieve samenwerking waardoor betrokken autoriteiten mogelijks pas op het moment van het ontwerpbesluit een effectieve inbreng hebben. De voorziene periode van vier weken is naar mijn mening echter te kort om op het moment van het ontwerpbesluit inzicht te krijgen in een grote zaak die al jaren aansleept waarbij men maar op een vrij algemeen niveau betrokken werd. Wanneer de zaak op het niveau van de EDPB belandt dan beschikken ook zij volgens mij over een te korte periode. De procedure vervat in artikel 65 AVG werd in de praktijk echter nog niet toegepast. In de Instagram-zaak werd bepaalde informatie eveneens niet meegedeeld aan de GBA wegens vertrouwelijkheid. Indien men niet beschikt over alle informatie en de inhoud van het ontwerpbesluit mogelijks relatief beperkt is, lijkt het een moeilijke opdracht te zijn om een weloverwogen beslissing te nemen om al dan niet bezwaar aan te tekenen. 281. In het geval dat het onderzoek lang aansleept en er geen tot weinig interactie is of de
zaak door de leidende autoriteit niet behandeld wordt, dan beschikken de betrokken autoriteiten niet over de mogelijkheid om hun betrokkenheid af te dwingen of hebben ze geen macht om, indien bijvoorbeeld een meerderheid van de betrokken autoriteiten hiermee akkoord is, het dossier aan de leidende autoriteit te onttrekken en over te maken
93 aan de EDPB. In zo’n geval zou eventueel artikel 66 lid 3 AVG inzake de spoedprocedure geactiveerd kunnen worden waardoor de zaak in de handen kan belanden van de EDPB. Dit is tot nu toe nog niet gebeurd.
282. Op die manier kan geconcludeerd worden dat de privacyregels niet in alle gevallen voldoende door de betrokken autoriteiten kunnen worden afgedwongen.
5. Kunnen de privacyregels vervat in de AVG in het kader van het One-Stop- shopmechanisme voldoende afgedwongen worden door het datasubject?
283. Ook de datasubjecten spelen een belangrijke rol in de handhaving. De positie van het datasubject wordt door de AVG eveneens duidelijk versterkt. Dit door de uitwerking van het principe van nabijheid maar ook door de mogelijkheid om zich te laten vertegenwoordigen door organisaties zoals NOYB en BEUC die kennis van zaken hebben. 284. Omtrent de positie van het datasubject in de OSS-procedure dienen toch een aantal
kanttekeningen gemaakt te worden. Ten eerste verschilt de betrokkenheid en aldus de rechten die men krijgt toegekend in de behandeling van de zaak van lidstaat tot lidstaat wegens het gebrek aan harmonisatie. Ten tweede dient rekening gehouden te worden met het feit dat het op dit moment mogelijk is dat het enige tijd kan duren alvorens er sprake is van een definitieve eindbeslissing. Dit is alleszins het geval voor wat betreft de klagers in de hierboven aangehaalde procedure bij de Ierse DPC. Ook is er in geen enkele zaak aanhangig bij de Ierse DPC reeds sprake van een definitief besluit.
285. De betrokken autoriteiten zijn eveneens niet altijd in staat om te voldoen aan de verplichting inzake het informeren van de klager over de stand van zaken. Dit is deels een weerspiegeling van de mate waarin de betrokken autoriteit zelf betrokken wordt in het onderzoek door de leidende autoriteit. Ten derde zijn de klagers hoogstwaarschijnlijk minder vertrouwd met de procedure die wordt toegepast door de leidende autoriteit. Ook in de verdere mogelijke beroepsprocedures wanneer de verwerkingsverantwoordelijke de beslissing aanvecht in de eigen lidstaat krijgt men te maken met een vreemde procedure in een ander land waarbij men dient te beschikken over voldoende financiële middelen. 286. Het is dus mogelijk dat het afdwingen van de privacyregels via deze weg voor het
94 287. Tot slot kan bijgevolg geconcludeerd worden dat de OSS-procedure volop wordt toegepast waarbij er reeds tot finale beslissingen werd gekomen. Er werden echter een aantal knelpunten geïdentificeerd die een volledig effectieve en efficiënte handhaving van dergelijke grensoverschrijdende zaken vooralsnog in de weg staat. Vooral het gebrek aan finale beslissingen inzake de grote techbedrijven valt op. Er is nog geen grote zaak met betrekking tot dergelijke bedrijven door de procedure geraakt. Het feit dat een groot aantal belangrijke zaken op dit moment geconcentreerd zijn bij één autoriteit tast gezien de duurtijd naar mijn mening de effectiviteit van het mechanisme aan. Enkel in nationale zaken werden deze multinationals gewezen op hun fouten. Het kan niet de bedoeling zijn om enkel de kleinere bedrijven nationaal of via het OSS-mechanisme te sanctioneren en de multinationals die een enorme invloed hebben, verantwoordelijk zijn voor een aanzienlijk aandeel in gegevensverwerking niet op een vlotte wijze aan te pakken voor soortgelijke inbreuken. Het brengt bovendien mogelijks de beoogde doelstelling inzake het level playing field in gevaar. De toekomst zal echter verder moeten uitwijzen of dit ook effectief het geval zal zijn.
95
10.
Kritische blik: naar een wijziging van de AVG?
288. Een gemeenschappelijke aanpak inzake de behandeling van OSS-zaken lijkt noodzakelijk voor wat betreft de duur, de efficiëntie van de procedure en een gelijke positie van het datasubject. Het lijkt sterk aangewezen te zijn dat bepaalde basisstappen inzake de samenwerking en behandeling van dergelijke zaken worden vastgelegd en geharmoniseerd. De EDPB geeft aan hiermee bezig te zijn, alsook met een analyse van de verschillende administratieve procedures en een eenduidige interpretatie van een aantal kernbegrippen. Ook de verschillende maandelijkse bijeenkomsten zullen in de praktijk hiertoe bijdragen. 289. De richtlijnen en adviezen van de EDPB blijven echter aanbevelingen. Wanneer de
procedures reeds vastliggen in nationale wetten lijkt het voor de autoriteiten onmogelijk te zijn om de eigen procedure zomaar naast zich neer te leggen. Wanneer er tegenstrijdigheden zijn zullen deze dan ook blijven bestaan en de positie van de klager blijft op die manier in elk land verschillend.
290. De vraag rijst dan ook of het wenselijk is dat de AVG een aantal ingrepen ondergaat waarin bovenstaande procedurele details worden ingevoegd zodanig dat de aanpak wordt geharmoniseerd en de efficiëntie wordt verhoogd.
291. Hiernaast lijk naar mijn mening een versterking van de positie van de EDPB wenselijk te zijn. Ik sluit mij aan bij het standpunt van de Dhr. Debeuckelaere. Een Europeese zaak, waarbij veel of alle autoriteiten betrokken zijn, vereist een Europese aanpak door de EDPB volgens een uniforme procedure en met de nodige capaciteit. Op die manier ligt de monopolie niet in één lidstaat. Om het in de woorden van Dhr. Debeuckelaere te stellen: “Er is sprake van een Europese eenmaking van de wet, maar niet op vlak van handhaving.”418
Er zou op zijn minst een mogelijkheid moeten zijn voor de EDPB om bepaalde zaken te evoceren, bijvoorbeeld vanaf een bepaald aantal betrokken autoriteiten.419
292. Het valt echter te betwijfelen of de tijd nu al rijp is voor een wijziging van de AVG en misschien is het hiervoor ook nog te vroeg. De toekomst zal het verder moeten uitwijzen.
418 Bijlage 2 – Interview Dhr. Deubeuckelaere, p. 115.
96
11.
Bibliografie
Wetgeving en wetsvoorstellen
Algemene Verordening Gegevensbescherming (AVG): Verordening 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van de Richtlijn 95/46/EG.
European Commission, “Proposal for a regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation)”, 2012.
Handvest van de grondrechten van de Europese Unie Irish Data Protection Act
Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens.
Verdrag betreffende de Werking van de Europese Unie
Wet van 3 december tot oprichting van de Gegevensbeschermingsautoriteit Rechtspraak
CJEU 27 juni 2013, nr. C-93/12, EU:C:2013:432, Agrokonsulting.
Conseil d’Etat, Sanction infiligée à Google par la CNIL 19 juin 2020, 19 juni 2020,
https://www.conseil-etat.fr/ressources/decisions-contentieuses/dernieres-decisions- importantes/conseil-d-etat-19-juin-2020-sanction-infligee-a-google-par-la-cnil. CJEU 15 juli 1964, nr. 6/64, ECLI:EU:C:1964:66, Costa t. ENEL.
CJEU 13 mei 2014, nr. C-131/12, ECLI:EU:C:2014:317, Google Spain.
CJEU 17 december, nr.11/70 1970, ECLI:EU:C:1970:114, Internationale Handelsgesellschaft. CJEU 5 oktober 2016, nr. C 362/14, ECLI:EU:C:2015:650, Schrems.
97 Richtlijnen en adviezen
ARTICLE 29 DATA PROTECTION WORKING PARTY, Opinion 01/2012 on the data protection reform proposals, 2012, https://ec.europa.eu/justice/article-29/documentation/opinion- recommendation/files/2012/wp191_en.pdf.
ARTICLE 29 DATA PROTECTION WORKING PARTY, Guidelines for identifying a controller or processor’s lead supervisory authority, as last Revised and Adopted on 5 April 2017. EDPB, Opinion 8/2019 on the competence of a supervisory authority in case of a change in circumstances relating to the main or single establishment adopted on 9 July 2019,
https://edpb.europa.eu/our-work-tools/our-documents/parere-del-comitato-articolo- 64/opinion-82019-competence-supervisory_en.
EUROPEAN UNION AGENCY FOR FUNDAMENTAL RIGHTS, “Data Protection in the European Union, the role of National Data Protection Authorities
2010,https://fra.europa.eu/sites/default/files/fra_uploads/815-Data-protection_en.pdf. GROEP GEGEVENSBESCHERMING ARTIKEL 29, Richtsnoeren inzake toestemming
overeenkomstig Verordening 2016/679, 28 november 2017,
https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/wp259_rev_0.1_nl.pdf. Opinion of the European Data Protection Supervisor on the data protection reform package of 7 march 2012, point 217, p. 39, https://edps.europa.eu/sites/edp/files/publication/12-03- 07_edps_reform_package_summary_en.pdf.
Rechtsleer
Boeken
HARDYNS W., “Onderzoeksmethoden”, Institute for International Research on Criminal Policy, Ugent, Gent.
HAWKES B., “The Irish DPA and Its Approach to Data Protection”, in WRIGHT D. en DE HERT P. (eds.), Enforcing Privacy Regulatory, Legal and Technological Approaches, Zwitserland,
Springer, 2016, 441-454.
HOGAN G. en MORGAN D.G, “Administrative law in Ireland”, London, Sweet and Maxwell, 1991.
KUNER C., et al., “The EU General Data Protection Regulation (GDPR): a Commentary.” Oxford, Oxford University Press, 2020.
ROBERT R., “Le Comité Européen de la protection des données: le garant d’un nouvel ordre?”, in (ed.) O. TAMBOU, Manual de droit Européen de la protection des données à caractère personnel,Olivia Tambou, Bruylant, 2020.
98 ROTENBERG M., JACOBS D., “Enforcing Privacy Rights: Class Action Litigation and the
challenge of cy pres”, in D. WRIGHT en P. DE HERT (ed.), Enforcing Privacy. Regulatory, Legal and Technological Approaches, Springer, 2016, p.309-312.
VON DEM BUSSCHE A.,VOIGT P., “The EU General Data Protection Regulation (GDPR): A Practical Guide, Springer, 2017.
Tijdschriften
ALBRECHT, J.P, How the GDPR will change the world, EDPL, afl. 3, 2016, 287-290.
BARNARD-WILLS D., PAUNER CHULVI C., DE HERT P.,“Data Protection authority perspectives on the impact of the data protection reform on cooperation in the EU”, Computer Law and Security Review, 2016, afl.4, 587-598.
BALBONI P., SCUDIERO L., “Rethinking the one-stop shop mechanism: legal certainty and legitimate expectation”, Computer Law & Security Review, 2014, 392-402.
DEBEUCKELAERE W., “Eén jaar GDPR: kroniek van niet ingeloste verwachtingen? Een Copernicaanse revolutie of een opsmuk van het bestaande?”, Tijdschrift voor mensenrechten, 2019, 9-12.
GIURGIU A., BOULET G., DE HERT P., “EU’s One-Stop-Shop Mechanism: Thinking transnational”, PL&B International, 2015, 16-18.
HIJMANS, H., “How to enforce the GDPR in a Strategic, Consistent and Ethical Manner? A Reaction to Christopher Hodges”, EDPL, afl. 1, 2018, 1-5.
HIJMANS H., “The DPAs and Their Cooperation: How far are we in making enforcement of Data Protection Law more European?”, EDPL, 2016, afl. 3, 362-372.
HOUSER K.A,VOSS W.G, “GDPR:The End of Google and Facebook or a new paradigm in Data Privacy?”, SSRN, 2018, 5.
MALATRAS A. ET AL., “Pan-European personal data breaches: mapping of current practices and recommendations to facilitate cooperation among Data Protection Authorities”, Computer Law & Security Review, afl.4, 458-469.
MCLAUGHLIN S., “Ireland – independence of Data Protection Commissioner Challenged by Digital Rights Ireland”, EDPL, 2016, 114-116.
WOLTERS, P.T.J, “De handhaving door de betrokkene onder de AVG”, Tijdschrift voor Consumentenrechten en handelspraktijken, 2019, afl. 1, 14-24.
O’REILLY P., “The doctrine of Curial Deference in Ireland.”, Judicial Studies Institute Journal, 2007, afl.2, 197-210.
99 WAGNER J., BENECKE A., “National Legislation within the Framework of the GDPR”, EDPL, 2016, afl. 3, p. 353-361.
Press releases
European Commission, “IMI helps enforce GDPR”, https://ec.europa.eu/internal_market/imi- net/news/2018/07/index_en.htm.
Nieuwsbericht Data Protection Commission, “Irish DPC submits Article 60 draft decision on inquiry into Twitter International Company’s compliance with Articles 33(1) and 33(5) of the GDPR”,https://dataprotection.ie/en/irish-dpc-submits-article-60-draft-decision-inquiry-