7.2 Inleiding
100. Alvorens dieper in te gaan op de specifieke klachten van NOYB zal eerst op een algemeen niveau worden gekeken naar de eerste ervaringen en moeilijkheden die gepaard gaan met het bepalen van de leidende en betrokken autoriteiten en de OSS-procedure zelf. De graad van interacties in het IMI-systeem duidt aan dat de samenwerking een realiteit is. Desalniettemin kampt het mechanisme met een aantal uitdagingen. Hieromtrent bestaat een brede consensus vanuit verschillende hoeken.154 De Europese Commissie heeft de
verplichting op grond van artikel 97 AVG om op 25 mei 2020 en om de vier jaar daarna een evaluatieverslag van deze verordening op te stellen en in te dienen bij het Europees Parlement en de Raad. Op 24 juni 2020 werd dit verslag gepubliceerd.155 Op basis hiervan,
maar ook op basis van de bijdrage van de EDPB tot dit evaluatieverslag156 en
semigestructureerde interviews met experts uit het veld zullen de eerste belangrijkste uitdagingen en moeilijkheden uiteengezet worden.
7.3 One-Stop-Shop: wat vertellen de cijfers?
7.3.1 Aantal klachten
101. Alle autoriteiten hebben sinds de inwerkingtreding van de AVG een enorme stijging waargenomen van het aantal klachten. Tussen 25 mei 2018 en 30 november 2019 werden in totaal 275.557 klachten neergelegd bij de Europese Gegevensbeschermingsautoriteiten. De Duitse autoriteit spant de kroon met 66.965 klachten. De GBA heeft er voor wat betreft deze periode 541 ontvangen. Ierland ontving zo’n 12.000 klachten.157 Hierbij dient echter
opgemerkt te worden dat het begrip “klacht” door elke autoriteit een verschillende invulling kent. Deze cijfers moeten aldus worden geïnterpreteerd in het licht van de mogelijks verschillende invullingen.158 Grensoverschrijdende klachten die de OSS-
procedure in gang zetten maken aldus slechts een deel uit van het totaal aantal klachten
154 European Commission, “Communication from the Commission to the European Parliament and the Council - Data
protection as a pillar of citizens’ empowerment and the EU’s approach to the digital transition - Two years of application of the General Data Protection Regulation”, 24 juni 2020, https://ec.europa.eu/info/sites/info/files/1_en_swd_part1_v6.pdf.
155 Ibid.
156 EDPB, “Contribution of the EDPB to the evaluation of the GDPR under Article 9, adopted on 18 February 2020”, p.3,
https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_contributiongdprevaluation_20200218.pdf.
157 EDPB, “Contribution of the EDPB to the evaluation of the GDPR under Article 9, adopted on 18 February 2020”, p.31,
https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_contributiongdprevaluation_20200218.pdf.
158 EDPB, “Contribution of the EDPB to the evaluation of the GDPR under Article 9, adopted on 18 February 2020”, p.32,
35 en andere dossiers. Desalniettemin halen verschillende autoriteiten aan dat de OSS- procedures tijdrovend is.159
De Belgische GBA stelt dat ze meer tijd in beslag nemen dan de nationale zaken160 en ook
de Ierse DPC haalt aan dat veel tijd en middelen uitgaat naar dergelijke OSS-zaken.161
7.3.2 Grensoverschrijdende zaken en de OSS-procedures
102. In het evaluatieverslag van de EDPB werden verschillende cijfers opgenomen.162 Alle
cijfers die volgen, gelden voor de periode tussen 25 mei 2018 en 31 december 2019 en zijn afkomstig uit de IMI-statistieken. Niet alle zaken werden reeds geregistreerd in het IMI- systeem waardoor de cijfers niet helemaal overeenstemmen met de werkelijkheid.163 Ook
haalt de Ierse DPC aan dat individuele zaken gebundeld worden in registers waarbij elk register meerdere individuele gevallen bevat.164 Op die manier zullen de cijfers in
werkelijkheid wellicht hoger liggen.
103. Alvorens de formele OSS-procedure wordt gestart dienen eerst en vooral de leidende en betrokken autoriteiten geïdentificeerd te worden. In het IMI-systeem werden voor wat betreft die periode 1346 procedures geïnitieerd inzake deze identificatie. Wat hierbij dient te worden opgemerkt is dat alle DPA’s reeds minstens een keer zijn geïdentificeerd als leidende of betrokken autoriteit sinds de inwerkingtreding van de AVG. Ierland spant de kroon en heeft voor 127 zaken de rol van leidende autoriteit aangenomen. Ierland wordt gevolgd door de Duitse autoriteiten, die voor 92 zaken als leidende autoriteit werden aangewezen. De Luxemburgse autoriteit bevindt zich op de derde plaats met 87 zaken waarin zij optreden als leidende autoriteit. Deze cijfers zijn niet verrassend gezien verschillende multinationale techreuzen in Ierland en Luxemburg zijn gevestigd. Luxemburg wordt op zijn beurt dan weer gevolgd door Frankrijk met een aantal van 64 keer als leidende autoriteit en Nederland die reeds 45 keer als leidende autoriteit werd geïdentificeerd. De Belgische GBA werd voor wat betreft deze periode 24 keer geïdentificeerd als leidende
159 EDPB, “Evaluation of the GDPR under Article 97 – Questions to Data Protection Authorities/European Data Protection
Board – Answers from the French Supervisory Authority”, p.4,
https://edpb.europa.eu/sites/edpb/files/fr_sa_gdpr_art_97questionnaire.pdf; EDPB, “Evaluation of the GDPR under Article 97 – Questions to Data Protection Authorities/European Data Protection Board – Answers from the German Supervisory Authorities”, p.3, https://edpb.europa.eu/sites/edpb/files/de_sas_gdpr_art_97questionnaire.pdf.
160 EDPB, “Evaluation of the GDPR under Article 97 – Questions to Data Protection Authorities/European Data Protection
Board – Answers from the Belgian Supervisory Authority”, p.3,
https://edpb.europa.eu/sites/edpb/files/be_sa_gdpr_art_97questionnaire.pdf.
161 Data Protection Commission (DPC), “Annual Report 25 May – 31 December 2018”, p. 49,
https://www.dataprotection.ie/sites/default/files/uploads/2019-03/DPC%20Annual%20Report%2025%20May%20- %2031%20December%202018.pdf.
162 EDPB, “Contribution of the EDPB to the evaluation of the GDPR under Article 9, adopted on 18 February 2020”, p.7-10,
https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_contributiongdprevaluation_20200218.pdf.
163 EDPB, “Contribution of the EDPB to the evaluation of the GDPR under Article 9, adopted on 18 February 2020”, p.8,
https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_contributiongdprevaluation_20200218.pdf.
164 EDPB, “Evaluation of the GDPR under Article 97 – Questions to Data Protection Authorities/European Data Protection
Board – Answers from the Irish Supervisory Authority”, p.2-3,
36 autoriteit.165 Deze cijfers tonen alvast aan dat het initiëren dergelijke vorm van
samenwerking een dagelijkse praktijk is geworden voor de autoriteiten.
104. Wanneer we kijken naar de cijfers inzake de rol van betrokken autoriteit heeft Duitsland reeds het hoogst aantal keren de rol van betrokken autoriteit aangenomen, namelijk in 435 zaken, gevolgd door Spanje in 337 zaken, Denemarken in 327 zaken en Frankrijk in 332 zaken. Ierland werd betrokken autoriteit in 164 zaken en België in 157 zaken.166
105. Pas wanneer er sprake is van een ontwerpbesluit spreekt men van de formele OSS- procedure. Tot nu toe werden 141 ontwerpbesluiten uitgevaardigd door de leidende autoriteiten. De Ierse DPC had op het moment van de evaluatie door de EDPB nog geen ontwerpbesluiten uitgevaardigd desondanks het grote aantal keren dat ze wordt geïdentificeerd als leidende autoriteit. Op 22 mei 2020 heeft de DPC echter verkondigd een ontwerpbesluit te hebben uitgevaardigd in het kader van een eigen onderzoek, los van een klacht in het kader van een onderzoek naar Twitter.167 De Duitse autoriteiten hebben de
meeste ontwerpbesluiten uitgevaardigd, namelijk 25. De Luxemburgse autoriteit heeft vier ontwerpbesluiten genomen en de Belgische DPA vijf.168
106. Het totaal van 141 ontwerpbesluiten resulteerde in 79 finale beslissingen in de zin van artikel 60, lid 6 AVG.169 Het is niet helemaal duidelijk hoeveel zaken zich nog in de informele
fase van de OSS-procedure bevinden. Gezien de hoge cijfers van het aantal keer dat autoriteiten werden geïdentificeerd als leidende en betrokken autoriteit zullen er zich nog verschillende OSS-zaken bevinden in de informele fase.
107. Op 26 juni 2020 werd door de EDPB een voor het publiek toegankelijk register gepubliceerd van finale beslissingen in het kader van de OSS-procedure.170 Wegens
nationale wettelijke beperkingen werden niet alle beslissingen bekendgemaakt. Geen of slechts enkele besluiten van de autoriteiten in drie Duitse staten, Litouwen, Nederland en Spanje zijn beschikbaar in het register.171 In totaal werden 68 finale OSS-beslissingen
gepubliceerd. Desalniettemin biedt het interessante informatie omtrent op welke wijze de autoriteiten mogelijke inbreuken aanpakken en welke juridische kwesties het meest betrokken zijn bij voltooide OSS-zaken. Dergelijke zaken hebben vooral betrekking op de
165 EDPB, “Contribution of the EDPB to the evaluation of the GDPR under Article 9, adopted on 18 February 2020”, p.8,
https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_contributiongdprevaluation_20200218.pdf.
166 Ibid.
167 Nieuwsbericht Data Protection Commission, “Irish DPC submits Article 60 draft decision on inquiry into Twitter
International Company’s compliance with Articles 33(1) and 33(5) of the GDPR”, https://dataprotection.ie/en/irish-dpc- submits-article-60-draft-decision-inquiry-twitter-international-companys-compliance (geraadpleegd op 1 juni 2020).
168 EDPB, “Contribution of the EDPB to the evaluation of the GDPR under Article 9, adopted on 18 February 2020”, p.8,
https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_contributiongdprevaluation_20200218.pdf.
169 EDPB, “Contribution of the EDPB to the evaluation of the GDPR under Article 9, adopted on 18 February 2020”, p.9,
https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_contributiongdprevaluation_20200218.pdf.
170 EDPB, Register of Art. 60 Final Decisions,25 juni 2020, https://edpb.europa.eu/our-work-tools/consistency-
findings/register-for-article-60-final-decisions_en (ten laatste geraadpleegd op 21 juli 2020).
37 rechten van datasubjecten en dan voornamelijk het recht op gegevenswissing, het recht op transparante informatie, communicatie inzake de uitoefening van de rechten van de betrokkene en het recht van inzage. Wanneer we kijken naar het resultaat van deze zaken, zien we dat voornamelijk beslist wordt dat er geen sprake is van een inbreuk. Dit was namelijk het geval in 32 zaken. In 13 zaken werd een berisping gegeven, in 12 zaken een bevel tot naleving, en in 7 zaken werd besloten dat een sanctie niet aan de orde was, ook als was er sprake van een inbreuk. Een administratieve boete werd slechts in drie gevallen opgelegd. Wat opvalt bij de gepubliceerde finale beslissingen is dat het niet enkel zaken betreft met weinig betrokken autoriteiten. In een 8 zaken waren zelfs alle autoriteiten betrokken. 172
108. In het IMI-systeem werden tot nu toe in totaal 807 grensoverschrijdende zaken geregistreerd. Dit cijfer ligt in werkelijkheid hoger aangezien niet alle zaken van deze periode werden geüpload in het IMI-register. Deze zaken betreffen niet allemaal OSS- procedures. Ze kunnen ook betrekking hebben op de consistentieprocedures, wederzijdse bijstand, gezamenlijke operaties of het doorgeven van klachten die niet leiden tot de toepassing van artikel 60 AVG.173
7.3.3 Cijfers in verband met de beschikbare middelen voor een effectieve samenwerking
109. De effectiviteit van het OSS-mechanisme is sterk afhankelijk van de beschikbare middelen van elke autoriteit. Dit slaat zowel op financiële en technologische middelen als voldoende mankrachten met de juiste expertise. Reeds voor de inwerkingtreding van de AVG werden verschillende autoriteiten bevraagd waarbij het overgrote deel reeds verwacht dat de inwerkingtreding van het nieuwe samenwerkingsmechanisme een stijging van de werklast met zich ging meebrengen en mogelijks kon leiden tot capaciteitsproblemen.174
110. Dit is in de praktijk ook gebleken. Het overgrote deel van de autoriteiten alsook het Secretariaat van de EDPB geeft in de evaluatie aan dat men kampt met een gebrek aan middelen om te kunnen voldoen aan de taken die hen worden opgelegd in het kader van de AVG. Dit geldt ook meer specifiek voor hun taken in het kader van het samenwerkings- en consistentiemechanisme.175
111. Voor wat betreft het aantal werknemers van de autoriteiten kan in elke lidstaat gesproken worden van een stijging sinds 2016. Van een algemene grote stijging is echter
172 Ibid.
173 EDPB, “Contribution of the EDPB to the evaluation of the GDPR under Article 9, adopted on 18 February 2020”, p.7-8,
https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_contributiongdprevaluation_20200218.pdf.
174 D. BARNARD-WILLS, C. PAUNER CHULVI, P. DE HERT, “Data Protection authority perspectives on the impact of the data
protection reform on cooperation in the EU”, Computer Law and Security Review, 2016, afl.4, 587-598.
175 EDPB, “Contribution of the EDPB to the evaluation of the GDPR under Article 9, adopted on 18 February 2020”, p.26-30,
38 geen sprake. Wat opvalt is dat Ierland sinds 2016 wel een significante stijging kent van 52 naar 176 werknemers. Dit om te kunnen voldoen aan de centrale rol die het krijgt toegekend op het vlak van de OSS-zaken. Ook de budgetten van de autoriteiten zijn over het algemeen sinds 2016 gestegen, maar blijven volgens de meeste autoriteiten onvoldoende. De helft van de autoriteiten beschikt over een bedrag van minder dan 4,5 miljoen euro op jaarbasis. Slechts twee autoriteiten, Duitsland en Italië, beschikken over een budget van meer dan 25 miljoen euro waarbij Duitsland beschikt over het grootste budget in vergelijking met alle autoriteiten.176
112. De Nederlandse autoriteit spreekt van een spanningsveld tussen de daadwerkelijke werklast en het gebrek aan middelen die worden toegewezen.177 Dit geldt eveneens voor
België. Men spreekt van een stijgende werkdruk die gepaard zou moeten gaan met een stijging van zowel financiële middelen als personeel. Dit is echter niet voldoende het geval. Sinds 2016 is het aantal werknemers slechts gegroeid van 54 tot 65 werknemers. Voor wat betreft het financiële budget zou de GBA beschikken over circa 8.962.200 euro voor het jaar 2020. Het bedrag dient echter nog goedgekeurd te worden door het Belgische Parlement.178 Dit betekent slechts een lichte stijging ten opzichte van de vorige jaren terwijl
er wel sprake is van een forse stijging van het aantal dossiers sinds de inwerkingtreding van de AVG.179 De GBA heeft geen team dat exclusief belast is met het samenwerkings- en
consistentiemechanisme en geeft aan dat ze niet over voldoende middelen beschikken om desbetreffende mechanisme systematisch op te volgen.180
113. Ierland staat met een jaarlijkse begroting van 16,9 miljoen op de zesde plaats in de Europese lijst en stelt dan weer op zijn beurt te beschikken over een team dat zich expliciet focust op het samenwerkings- en consistentiemechanisme.181
114. De AVG vermeldt expliciet dat het aan de bevoegde organen van de lidstaten is om ervoor te zorgen dat de toezichthoudende autoriteiten beschikken over voldoende personele, technische en financiële middelen die nodig zijn voor het effectief uitvoeren van
176 Ibid.
177 EDPB, “Evaluation of the GDPR under Article 97 – Questions to Data Protection Authorities/European Data Protection
Board – Answers from the Dutch Supervisory Authority”, p.8,
https://edpb.europa.eu/sites/edpb/files/nl_sa_gdpr_art_97questionnaire.pdf.
178 EDPB, “Evaluation of the GDPR under Article 97 – Questions to Data Protection Authorities/European Data Protection
Board – Answers from the Belgian Supervisory Authority”, p.8-9,
https://edpb.europa.eu/sites/edpb/files/be_sa_gdpr_art_97questionnaire.pdf.
179 Persbericht GBA “De autoriteit publiceert haar jaarverslag 2018”,
https://www.gegevensbeschermingsautoriteit.be/burger/de-autoriteit-publiceert-haar-jaarverslag-2018 (geraadpleegd op 5 juni 2020)
180 EDPB, “Evaluation of the GDPR under Article 97 – Questions to Data Protection Authorities/European Data Protection
Board – Answers from the Belgian Supervisory Authority”, p.8-9,
https://edpb.europa.eu/sites/edpb/files/be_sa_gdpr_art_97questionnaire.pdf.
181 EDPB, “Contribution of the EDPB to the evaluation of the GDPR under Article 9, adopted on 18 February 2020”, p.26-30,
https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_contributiongdprevaluation_20200218.pdf; EDPB, “Evaluation of the GDPR under Article 97 – Questions to Data Protection Authorities/European Data Protection Board – Answers from the Irish Supervisory Authority”, p.6, https://edpb.europa.eu/sites/edpb/files/ie_sa_gdpr_art_97questionnaire.pdf.
39 de taken.182 Dit blijkt aldus tot nu toe voor het overgrote deel van de autoriteiten niet het
geval te zijn. In dit geval zou door de Commissie een eventuele inbreukprocedure kunnen ingeleid worden na een klacht of eigen vaststelling van de niet-naleving van de verplichtingen vastgelegd in EU-wetgeving.183 Het beschikken over voldoende middelen
lijkt een minimum te zijn om te kunnen voldoen aan de taken die worden opgelegd door de AVG.
7.4 Het bepalen van de leidende autoriteit
115. De bedrijven bepalen aldus zelf waar hun hoofdvestiging is gelegen op basis van de eerder uiteengezette definitie.184 Dit kan worden gecontroleerd door de toezichthoudende
autoriteiten waarbij de effectieve beslissingsmacht inzake de verwerkingsactiviteiten doorslaggevend is.185 De bedrijven zelf spelen dus een cruciale rol inzake het bepalen van
de leidende autoriteit. Er is geen sprake van een centraal, Europees register waarbij bedrijven op formele en automatische wijze dienen door te geven waar hun hoofdvestiging is gelegen. Hierover werd initieel gediscussieerd, maar werd beschouwd als een te moeilijke kwestie gezien de hoofdvestiging van bedrijven op regelmatige basis kan veranderen ten gevolge van bijvoorbeeld een fusie. De informatie in dergelijk register zou aldus niet accuraat blijven. 186
116. Op dit punt zou het volgens Dhr. Hijmans, voorzitter van de geschillenkamer van de Belgische gegevensbescherming, relatief vlot verlopen.187 Tot nu toe is de EDPB ook nog
niet moeten tussenkomen in het kader van artikel 65 AVG inzake enige discussie omtrent het bepalen van de betrokken en leidende autoriteiten.188
117. Dit neemt niet weg dat er ook moeilijkheden gepaard gaan met de aanduiding van de leidende autoriteit. Er zijn organisaties, zoals telecombedrijven, die aangeven dat hun bedrijfsstructuur hen moeilijk toelaat te kunnen genieten van het OSS-principe gezien er vaak meer dan een vestiging is met beslissingsmacht. Hiernaast haalt de European Consumer Organisation (verder: BEUC) aan dat het inzake hun gecoördineerde klachten tegen Google in verband met lokalisering acht maanden geduurd heeft alvorens de aanduiding van DPC als leidende autoriteit werd bevestigd.189
182 Artikel 52, lid 4 AVG. 183 Artikel 258 ev. VWEU. 184 Artikel 4, 16) AVG.
185 ARTICLE 29 DATA PROTECTION WORKING PARTY, Guidelines for identifying a controller or processor’s lead supervisory
authority, as last Revised and Adopted on 5 April 2017.
186 Bijlage 5 – Interview EDPB, p.126.
187 Bijlage 2 – Interview Dhr. Hijmans, p. 105. Opmerking: Er dient rekening gehouden te worden met het feit dat het
interview werd afgenomen in december 2019.
188 EDPB, “Contribution of the EDPB to the evaluation of the GDPR under Article 9, adopted on 18 February 2020”, p.17,
https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_contributiongdprevaluation_20200218.pdf;
189 Multistakeholder Expert Group, “Contribution form the Multistakeholder Expert Group to the Commission 2020
Evaluation of the General Data Protection Regulation (GDPR)”, 17 juni 2020, p.18-19,
40 118. Ook de Duitse gegevensbeschermingsautoriteiten identificeerden een aantal moeilijkheden inzake het aanduiden van de leidende autoriteit. Ook zij stellen dat indien een verwerkingsverantwoordelijke meerdere vestigingen heeft in de EU, het niet altijd mogelijk is de hoofdvestigingen te bepalen. Tevens haalden de Duitse autoriteiten in kwestie aan dat in het kader van artikel 56 AVG via het IMI-systeem sommige veronderstelde leidende autoriteiten niet reageren waardoor vervolgprocedures niet mogelijk zijn.190
119. Eveneens ondervindt men dat sommige autoriteiten de rol van leidende autoriteit aanvaarden maar niets ondernemen. Dit bijvoorbeeld omwille van interne beleidsredenen. Dit probleem werd aangehaald door meerdere autoriteiten191 en kadert binnen de
onafhankelijkheid van de autoriteiten. Er is geen sprake van een gemeenschappelijk beleid.192
120. Het dient opgemerkt te worden dat met het oog op het bepalen van de leidende autoriteit de initiërende autoriteit, bijvoorbeeld de autoriteit die een klacht ontvangt, beschikt over een ruime discretionaire bevoegdheid. Deze dient na te gaan of er al dan niet sprake is van grensoverschrijdende elementen en of de zaak eventueel via het OSS-principe dient behandeld te worden.193 Sommige bedrijven halen aan dat de nationale autoriteiten
de zaak niet altijd doorverwijzen naar de leidende autoriteit, maar deze behandelen als een lokale zaak.194 De EDPB stelt echter op zijn beurt vast dat het omgekeerde plaatsvindt.
Sommige zaken worden afgehandeld via de OSS-procedure terwijl de zaak eigenlijk niet viel