Een effectief samenwerkingsmechanisme in grensoverschrijdende zaken omtrent gegevensbescherming: een verre droom of realiteit?

Een effectief samenwerkingsmechanisme in

grensoverschrijdende

zaken

omtrent

gegevensbescherming: een verre droom of

realiteit?

Aantal woorden: 40.091

Manon Van Hoe

Promotor: Prof. dr. Gert Vermeulen

Commissaris: Mevr. Stéphanie De Coensel

Masterproef voorgelegd voor het behalen van de graad Master in de Rechten

III

Woord vooraf

Deze masterproef vormt het sluitstuk van de opleiding Rechten aan de Universiteit van Gent. Dit voorwoord is de ideale gelegenheid om een aantal mensen te bedanken.

In eerste instantie wens ik mijn promotor, Prof. dr. Gert Vermeulen, te bedanken om mij dit interessante onderwerp aan te reiken, mij in de juiste richting te sturen en voor de verdere ondersteuning.

Vervolgens wens ik ook uitdrukkelijk en oprecht alle mensen te bedanken die tijd hebben gemaakt om met mij in gesprek te gaan of waarbij ik een interview heb mogen afnemen. Dit heeft mij onwaarschijnlijk veel geholpen om een verder inzicht te verkrijgen in dit onderwerp. Tot slot mogen ook mijn ouders, Michiel en vriendinnen in dit dankwoord niet ontbreken. Bedankt voor de onvoorwaardelijke steun.

IV

Lijst met gebruikte afkortingen

AVG of GDPR Algemene Verordening Gegevensbescherming Of General Data Protection Regulation

BEUC The European Consumer Organisation

CNIL Commission Nationale de l’informatique et des libertés DPA Data Protection Authority (toezichthoudende autoriteit)

DPC Data Protection Commission

DRI Digital Rights Ireland

EDPB European Data Protection Board

NOYB None of Your Business (non-profit organisatie)

OSS One-Stop-Shop

V

Samenvatting

De inwerkingtreding van de AVG (of GDPR) is niemand ontgaan. Een van de grootste veranderingen bedraag het nieuwe One-Stop-Shop-mechanisme in grensoverschrijdende zaken. Inbreuken op de AVG overstijgen namelijk moeiteloos de grenzen aangezien veel techbedrijven vestigingen hebben in meerdere lidstaten of op zijn minst toch een impact hebben op gebruikers over de hele EU. In deze thesis wordt getracht een antwoord te bieden op de vraag of het mechanisme bijdraagt tot een effectieve handhaving van de privacyregels vervat in de AVG. Er wordt nagegaan hoe de procedure zich omzet in de praktijk en wat de eerste uitdagingen zijn waarmee het mechanisme kampt sinds ze een dikke twee jaar geleden in werking is getreden. Dit zowel vanuit het standpunt van de autoriteiten zelf als het datasubject. Hiernaast wordt in deze thesis, gezien de belangrijke rol van Ierland in het One-Stop-Shop-verhaal, ingezoomd op een aantal klachten die zijn beland bij de Ierse gegevensbeschermingsautoriteit (DPC) om na te gaan hoe deze verlopen.

1

1. Inleiding

1.1 Situering

1. In de hedendaagse geglobaliseerde en gedigitaliseerde wereld is grensoverschrijdende verwerking van persoonsgegevens wegens de wildgroei aan online aangeboden, al dan niet gratis, diensten een onmiskenbaar fenomeen.1 _{Techbedrijven verzamelen een massa aan}

informatie van de gebruiker en dit met verschillende doeleinden. Te denken valt aan lokalisatiegegevens, zoekopdrachten, online-gedrag waaruit de voorkeuren van de gebruiker worden afgeleid,... Meer en meer stoelen dergelijke bedrijven op een data-driven business model waarbij het vergaren van dergelijke informatie centraal staat.2 _{Het gebruik}

van onlinediensten zijn in onze dagdagelijkse routines niet meer weg te denken. De waaier aan deze diensten bieden tal van voordelen, maar gaan terzelfdertijd gepaard met uitdagingen inzake privacy en daaraan gekoppelde incidenten met betrekking tot inbreuken op onze persoonsgegevens. De centrale vraag in dit debat luidt als volgt: “waar ligt de grens?” Schandalen zoals het Snowden-verhaal en het Cambridge Analytica-schandaal3

tonen aan dat de grenzen klaarblijkelijk vervagen. Of zijn die er überhaupt ooit geweest? 2. Eenieder heeft het recht op de bescherming van zijn persoonsgegevens. Dit recht is

verankerd in het Handvest van de Grondrechten van de Europese Unie en het Verdrag betreffende de werking van de Europese Unie. Tevens eisen deze rechtsbronnen dat onafhankelijke toezichthoudende autoriteiten erop dienen toe te zien dat deze regels omtrent gegevensbescherming nageleefd worden.4

3. Het afdwingen van dergelijke rechten vraagt om een geïntegreerde, Europese wetgevende aanpak gezien de versnelde en geglobaliseerde evolutie van technologieën waardoor inbreuken moeiteloos de grenzen van de lidstaten overstijgen. Lokaal gebaseerde wetgeving inzake gegevensbescherming beperkt door de toepassing van een jurisdictiebenadering zou niet in overeenstemming zijn met de technologische ontwikkelingen en globalisering die de dag van vandaag de wereld kenmerkt. Een effectieve en vlotte handhaving door middel van samenwerking tussen de verschillende

1 _{Overweging 5 AVG.}

2 _{J. BRONLOW, M. ZAKI, A. NEELY, F. URMETZE, “Data and Analytics, Data-driven business models”, University of Cambridge,}

https://www.semanticscholar.org/paper/Data-and-Analytics-Data-Driven-Business-Models%3A-A-Brownlow-Zaki/e9ec78c1d35db94e53bf4ee0b98dac90a22ee149?p2df.

3 _{C.CADWALLADR en E. GRAHAM-HARRISION, “Revealed: 50 milion Facebook profiles harvested for Cambridge Analytica in}

Major data breach. Whistleblower describes how firm linked to former Trump advisor Steve Bannon compiled user data to target American voters.”, The Guardian, 17 maart 2018, http://freestudio21.com/wp-content/uploads/2018/04/50-million-fb-profiles-harvested-by-cambridge-analitica.pdf: In het Cambridge Analytica-schandaal werden de persoonlijke gegevens van tal van Facebookgebruikers zonder hun medeweten gebruikt voor politieke advertising bij de Amerikaanse

presidentsverkiezingen van 2016.

2 toezichthoudende autoriteiten is hier als dusdanig onmisbaar.5 _{Het recht hobbelt altijd wat}

achter de technologische realiteit aan maar met de inwerkingtreding van de Algemene Verordening Gegevensbescherming (verder: AVG) wil men hieraan tegemoetkomen. 4. Deze masterproef zal bestaan uit verschillende hoofdstukken. Na een uiteenzetting van de

onderzoeksvragen en toegepaste methodologie volgt een bespreking van de versterkte posities van zowel het datasubject als de gegevensbeschermingsautoriteiten door de inwerkingtreding van de AVG. Daarna wordt het nieuwe One-Stop-Shop-mechanisme (verder: OSS-procedure/mechanisme) besproken en wordt ook het nieuwe coherentiemechanisme aangehaald gezien beide gelinkt zijn aan elkaar. Vervolgens volgt een hoofdstuk inzake de eerste uitdagingen, bedenkingen en bijwerkingen van het mechanisme dat nu reeds twee jaar in werking is. Hierna volgt een eerste tussenconclusie. 5. Het daaropvolgende hoofdstuk bestaat uit het dieper ingaan op een aantal klachten van de

organisatie None of Your Business (verder: NOYB), een non-profit organisatie die optreedt voor gebruikers inzake het afdwingen van hun rechten op grond van de AVG. Deze klachten werden ingediend net na de inwerkingtreding van de AVG tegen Google, Facebook en de dochterbedrijven Whatsapp en Instagram. Er werd gekozen om dergelijke klachten te onderzoeken om verschillende redenen. Vooreerst zijn dergelijke bedrijven verantwoordelijk voor een groot aandeel inzake gegevensverwerking. Ten tweede zijn enorm veel grote techbedrijven gevestigd in Ierland. Dit voornamelijk omwille van het gunstige belastingklimaat.6 _{Ierland speelt aldus een belangrijke rol inzake het nieuwe}

OSS-mechanisme (zie verder) waardoor het interessant is in te zoomen op deze rol in de praktijk. Vooraleer in deze masterproef wordt afgesloten met een algemene conclusie wordt eerst tot een besluit gekomen inzake de behandeling van deze klachten.

1.2 Probleemstelling

6. De oude richtlijn 95/46/EG inzake Gegevensbescherming toonde verschillende tekortkomingen. Gezien het om een richtlijn ging, was er geen sprake van een directe werking. Dit resulteerde in een gedifferentieerde implementatie van de richtlijn in de nationale wetgeving van de verschillende EU-lidstaten. Dit mondde op zijn beurt uit in een gefragmenteerde, nationale aanpak van inbreuken door de verschillende autoriteiten. Dit bracht rechtsonzekerheid met zich mee. Dergelijke aanpak is gezien de vele globale en

5 _{V. PAPAKONSTANTINOU, C.PAUNER CHULVI, A.CUELLA, D.BARNARD-WILLS,“European and national legal challenges when}

applying the new General Data Protection Regulation provisions on co-operation”, Phaedra II-project, p.24, 2016,

http://www.phaedra-project.eu/wp-content/uploads/PHAEDRA2_D31_final_15092016.pdf; W.DEBEUCKELAERE, “Eén jaar GDPR: kroniek van niet ingeloste verwachtingen? Een Copernicaanse revolutie of een opsmuk van het bestaande?”, Tijdschrift voor mensenrechten, 2019, 9-12.

6 _{N. VINOCUR, “How one country blocks the world in data privacy”, Politico, 10 juni 2020,}

https://www.politico.com/story/2019/04/24/ireland-data-privacy-1270123; B. HAWKES, “The Irish DPA and Its Approach to Data Protection”, in WRIGHT D. en DE HERT P. (eds.), Enforcing Privacy Regulatory, Legal and Technological Approaches, Zwitserland, Springer, 2016, 441-454.

3 snelle technologische vernieuwingen niet meer aangepast aan het huidige klimaat. Bedrijven met vestigingen in meerdere EU-lidstaten werden geconfronteerd met handhavende beslissingen van verschillende autoriteiten en datasubjecten dienden hun klacht in te dienen in de lidstaat waar het bedrijf zijn vestiging had.7

7. Ook was er sprake van een verschil in handhavingsbevoegdheden tussen de verschillende autoriteiten wat eveneens bijdroeg aan de ongelijke aanpak van inbreuken. Op die manier kon een bedrijf ervoor opteren om zich te vestigen in een lidstaat met een vermeende zwakke handhaving door de bevoegde DPA. Dit fenomeen wordt forum shopping genoemd.8

8. Eén van de hoofddoelstellingen van de AVG is dan ook het realiseren van een geharmoniseerd wetgevend privacy-kader én tevens een consistente handhaving van deze privacyregels.9 _{Op die manier heeft de Europese Commissie als doel het creëren van een}

level playing field. Voor elk bedrijf geldt dezelfde set regels zodanig dat er sprake is van een eerlijke kans op succes.10 _{Om een gelijkwaardig beschermingsniveau in alle EU-lidstaten}11

te willen bereiken lijkt de overgang van een richtlijn naar een verordening een logische stap. Een verordening is namelijk rechtstreeks van toepassing in alle lidstaten en vereist geen omzetting in de nationale wetgeving.

9. Hiernaast legden verschillende projecten zoals “The Pan-European Personal Data Breaches Exercise”, een gesimuleerde cyberoefening die plaatsvond in 2015, en het PHAEDRA-project II meerdere obstakels bloot inzake het samenwerkings- en beslissingsproces betreffende grensoverschrijdende inbreuken en/of verwerking ten tijde van richtlijn 95/46/EG. Een van de knelpunten betrof het tekort aan efficiëntie en snelheid om grensoverschrijdende gegevensbeschermingsinbreuken aan te pakken.12

10. Met de AVG werd niet geopteerd voor een Europees systeem van toezicht. Dit ook niet voor grote internetbedrijven die opereren op Europees en mondiaal niveau, meerdere

7 _{V. PAPAKONSTANTINOU, C.PAUNER CHULVI, A.CUELLA, D.BARNARD-WILLS, “European and national legal challenges when}

applying the new General Data Protection Regulation provisions on co-operation”, Phaedra II-project, 2016, p.24,

http://www.phaedra-project.eu/wp-content/uploads/PHAEDRA2_D31_final_15092016.pdf; H.HIJMANS, “The DPAs and Their Cooperation: How far are we in making enforcement of Data Protection Law more European?”, EDPL, 2016, afl. 3, 363 en 368..

8 _{H.HIJMANS, The DPAs and Their Cooperation: How far are we in making enforcement of Data Protection Law more}

European?, EDPL, 2016, afl. 3, 363.

9 _{Overweging 11 AVG}

10 _{H.HIJMANS, The DPAs and Their Cooperation: How far are we in making enforcement of Data Protection Law more}

European?, EDPL, 2016, afl. 3, 362-372; K.A HOUSER, W.G VOSS, “GDPR: The End of Google and Facebook or a new paradigm in Data Privacy?”, SSRN 2018, 5.

11 _{Overweging 10 AVG}

12 _{V. PAPAKONSTANTINOU, C.PAUNER CHULVI, A.CUELLA, “European and national legal challenges when applying the new}

General Data Protection Regulation provisions on co-operation, Phaedra II-project, 2016,

http://www.phaedra-project.eu/wp-content/uploads/PHAEDRA2_D31_final_15092016.pdf; A.MALATRAS ET AL., “Pan-European personal data breaches: mapping of current practices and recommendations to facilitate cooperation among Data Protection Authorities”, Computer Law & Security Review, afl.4, 458-469.

4 vestigingen hebben binnen de EU en waarvan aldus de gegevensverwerking de nationale grenzen overstijgen.13 _{Daarentegen werd voor dergelijke grensoverschrijdende zaken het}

One-Stop-Shop-mechanisme ingevoerd. Samenvattend gesteld worden bedrijven vanaf nu geconfronteerd met één autoriteit, namelijk deze van het land waarin de hoofdvestiging is gelegen. Samenwerking met de andere betrokken autoriteiten is in dergelijke zaken een verplichting, een besluit in overeenkomst met de andere betrokken autoriteiten is het einddoel. Op die manier wil men komaf maken met de nationale, ongecoördineerde aanpak van voorheen en de onduidelijkheid omtrent bevoegdheid van autoriteiten om op te treden.14

11. De volgende te bereiken doelstellingen van het nieuwe mechanisme staan voorop: (1) Het creëren van meer rechtszekerheid;

(2) Administratieve vereenvoudiging;

(3) Een consistente toepassing van de privacyregels vervat in de AVG en (4) Een vlotte en effectieve handhaving in grensoverschrijdende zaken.15

12. Het mechanisme staat nog in zijn kinderschoenen, maar het begint stilletjes aan duidelijk te worden welke uitdagingen het met zich meebrengt. Zijn er reeds obstakels te identificeren? Hoe zet de theorie van deze nieuwe samenwerkingsprocedure zich om in de praktijk?

1.3 Centrale onderzoeksvraag en deelvragen

1.3.1 Centrale onderzoeksvraag

13. De bedoeling van het onderzoek is om de recente regelgeving inzake de AVG met betrekking tot het One-Stop-Shop-mechanisme inzake grensoverschrijdende gegevensverwerking te benaderen vanuit een evaluerend oogpunt.

De centrale onderzoeksvraag kan dan ook als volgt worden geformuleerd:

“Draagt het One-Stop-Shop-mechanisme bij tot een effectieve handhaving van de grensoverschrijdende verwerking van persoonsgegevens vervat in de AVG?”

13 _{H.HIJMANS, “The DPAs and Their Cooperation: How far are we in making enforcement of Data Protection Law more}

European?”, EDPL, 2016, afl. 3, 362.

14 _{P. BALBONI, L., SCUDIERO, “Rethinking the one-stop shop mechanism: legal certainty and legitimate expectation”,}

Computer Law & Security Review, 2014, 392-402.

15 _{European Commission, “Proposal for a regulation of the European Parliament and of the Council on the protection of}

individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation)”, 2012, recital 97; Press release Council of the European Union, “Data protection: Council supports “one-stop-shop”principle”, 7 October 2013, p. 1,

https://www.consilium.europa.eu/uedocs/cms_data/docs/pressdata/en/jha/138924.pdf; P. BALBONI, L., SCUDIERO, “Rethinking the one-stop shop mechanism: legal certainty and legitimate expectation”, Computer Law & Security Review, 2014, 392 en 395.

5

1.3.2 Deelonderzoeksvragen

14. Om tot een antwoord te komen op de centrale onderzoeksvraag, wordt in dit onderzoek gebruik gemaakt van verschillende deelvragen.

Deelvraag 1: Gaan er moeilijkheden gepaard met de identificatie van de leidende autoriteit?

Deelvraag 2: Wordt voldaan aan de doelstelling inzake snelheid en efficiëntie? Deelvraag 3: Kunnen de privacyregels vervat in de AVG binnen het kader van het One-Stop-Shop-mechanisme voldoende afgedwongen worden door de betrokken autoriteiten? Deelvraag 4: Kunnen de privacyregels vervat in de AVG binnen het kader van het One-Stop-Shop-mechanisme voldoende afgedwongen worden door het datasubject? 1.4 Methodologische uitwerking

1.4.1 Methodologie centrale onderzoeksvraag

15. De centrale onderzoeksvraag is evaluerend van aard en praktijkgericht. Er werden een reeks deelvragen uitgewerkt teneinde tot een antwoord te kunnen komen op de centrale onderzoeksvraag.

1.4.2 Methodologie deelonderzoeksvragen

16. De deelvragen zullen beantwoord worden aan de hand van een bureauonderzoek in combinatie met semigestructureerde interviews met relevante instellingen en actoren werkzaam in het domein inzake gegevensbescherming. Voor wat betreft het bureauonderzoek wordt de focus in deze masterproef gelegd op het grondig bestuderen van de bestaande wetgeving, rechtspraak, adviezen en opinies van de EDPB en juridische literatuur. Hiervoor werden tal van online-bronnen geraadpleegd zoals de website van de EDPB, tijdschriften zoals de European Data Protection Law Review en Computer Law and Security Review en natuurlijk de AVG zelf. Gezien de AVG een zeer actueel thema is en ze nog niet lang geleden in werking is getreden, zijn literaire werken van recente datum er nog niet in overvloed. Het was bijgevolg raadzaam en vooral interessant om een aantal actoren die werkzaam zijn in het domein te bevragen om zo een beter zicht te krijgen over hoe het mechanisme zich precies omzet in de praktijk. Bijgevolg wordt het bureauonderzoek aangevuld met semigestructureerde interviews met experts om zo de eerste knelpunten in kaart te kunnen brengen. Er werd een interview afgenomen met de EDPB waar algemene vragen werden gesteld over het OSS-mechanisme, los van de klachten zelf die verder in deze masterproef worden behandeld. Hiernaast werd ook de Belgische

6 gegevensbeschermingsautoriteit bevraagd (verder: GBA). Dit waren zowel algemene vragen als vragen die specifiek betrekking hadden op de klacht van NOYB tegen Instagram, neergelegd bij de GBA. Ook de non-profit organisatie None Of Your Business (verder: NOYB) werd bevraagd waarbij de focus vooral lag op vragen in verband met de klachten en hun eerste ervaring met het mechanisme vanuit het standpunt van het datasubject zelf. 17. Om een meer diepgaand beeld te krijgen van het mechanisme met betrekking tot

belangrijke bedrijven en Ierland als belangrijke actor inzake het mechanisme, wordt in deze masterproef aldus ook de focus gelegd op meerdere klachten inzake gedwongen toestemming van NOYB. De klachten zullen onderzocht worden vanuit het perspectief van alle betrokken actoren door ook hier semigestructureerde interviews af te nemen met NOYB en de Belgische gegevensbeschermingsautoriteit (verder: GBA) in combinatie met een grondige documentenanalyse. Hierbij dient echter wel opgemerkt te worden dat de klachten nog in volle behandeling zijn.

1.5 Beperkingen van het onderzoek

18. Eerst en vooral is het belangrijk om een masterproef goed af te bakenen. Daarom zal het onderzoeksveld beperkt worden tot een bepaald aspect van de AVG, namelijk het One-Stop-Shop-mechanisme.

19. Tevens zal er gebruik gemaakt worden van semigestructureerde interviews. Deze methode kampt ook met beperkingen. Het is belangrijk om op te merken dat deze methode afhankelijk is van de bereidwilligheid en beschikbaarheid van de respondenten.16 _Wanneer

een interview wordt afgenomen inzake een lopende procedure dan moet eveneens rekening worden gehouden met het feit dat de informatie die wordt gegeven niet definitief is en bijgevolg nog kan wijzigen, alsook met het feit dat niet alle informatie kan worden meegedeeld.

20. Tot slot dient ook vermeld te worden dat de AVG van recente datum is. Het mikpunt van dit onderzoek is om na te gaan in hoeverre het nieuwe One-Stop-Shop-mechanisme bijdraagt tot een effectieve handhaving van de AVG inzake grensoverschrijdende zaken. Hierbij dient echter rekening te worden gehouden met de prille beginfase van de AVG, het feit dat de cases nog in volle ontwikkeling zijn en het OSS-mechanisme nog maar reeds twee jaar in volle werking is getreden.

7

2. De AVG en handhaving in een notendop

2.1 Handhaving door de gegevensbeschermingsautoriteiten

21. De centrale rol inzake de handhaving van de regelgeving voorzien in de AVG is weggelegd voor de toezichthoudende gegevensbeschermingsautoriteiten (verder: DPAs). Deze dienen de AVG af te dwingen sinds twee jaar na de inwerkingtreding van de AVG op 24 mei 2016. Meer specifiek stelt artikel 51, lid 1 AVG dat de toezichthoudende autoriteiten in elke EU-lidstaat verantwoordelijk zijn voor de toepassing van deze verordening, teneinde de grondrechten en fundamentele vrijheden van natuurlijke personen in verband met de verwerking van hun persoonsgegevens te beschermen en het vrije verkeer van persoonsgegevens binnen de Unie te vergemakkelijken. Elke toezichthoudende autoriteit treedt volledig onafhankelijk op bij de uitoefening van de bevoegdheden en taken.17

22. De nationale DPAs hebben een hybride positie gezien ze zowel over een nationaal als een Europees component beschikken. Het zijn nationale instanties, opgericht volgens het eigen nationaal recht en eveneens opereren ze volgens de eigen nationale procedures. Desalniettemin oefenen ze wel taken uit die hen worden toegekend door het Europees recht.18

23. Met de komst van de AVG lag de focus onder andere op de versterking en harmonisering van de bevoegdheden en het handhavend optreden van de gegevensbeschermingsautoriteiten. Het takenpakket en de bevoegdheden werden uitgebreid, duidelijk omschreven en geharmoniseerd. Dit is nodig om tegemoet te kunnen komen aan de vereiste inzake een consistente handhaving binnen de EU.19 _{Er is echter geen}

sprake van een volledige harmonisatie.20

24. Ten eerste stellen artikel 58, lid 6 AVG en overweging 129 AVG dat de lidstaten de autoriteiten mogen voorzien van bijkomende bevoegdheden en taken.

Ten tweede wordt er in de AVG geen melding gemaakt van een gemeenschappelijk, strategisch handhavingsbeleid tussen de DPAs.21 _{Dit is een logisch gevolg van artikel 8, lid 3}

van het Handvest inzake de Grondrechten van de Europese Unie, uit artikel 16 van het verdrag betreffende de werking van de EU, maar ook uit vaste rechtspraak van het Hof van

17 _{Artikel 52, lid 1 AVG.}

18 _{H.HIJMANS, “The DPAs and Their Cooperation: How far are we in making enforcement of Data Protection Law more}

European?”, EDPL, 2016, afl. 3, 364.

19 _{P.T.J, WOLTERS, “De handhaving door de betrokkene onder de AVG”, Tijdschrift voor Consumentenrechten en}

handelspraktijken, 2019,afl. 1, 14-24; overweging 129 AVG.

20 _{H.HIJMANS, “The DPAs and Their Cooperation: How far are we in making enforcement of Data Protection Law more}

European?”, EDPL, 2016, afl. 3, 365.

21 _{H.Hijmans, “How to enforce the GDPR in a strategic, consistent and Ethical manner? A reaction to Christopher Hodges”,}

8 Justitie die de onafhankelijkheid van de autoriteiten benadrukken.22 _{Elke autoriteit bepaalt}

zijn intern beleid en prioriteiten die mogelijks kunnen botsen met de taken opgelegd door de AVG.23

Ten derde stelde de Werkgroep Artikel 29 voor om te voorzien in een Europees geregeld minimum aan middelen voor elke toezichthoudende autoriteit gebaseerd op de grootte van de populatie van elke lidstaat.24 _{Een onderzoek van de Fundamental Rights Agency}

concludeerde namelijk dat er bij DPAs sprake is van een gebrek aan financiële middelen en onderbemanning waardoor ze niet alle taken naar behoren kunnen uitoefen.25 _{Het voorstel}

van de Werkgroep Artikel 29 werd echter niet doorgevoerd. Iedere lidstaat wijst zijn eigen toezichthoudende autoriteit aan en dient ze te voorzien van voldoende personele, technische en financiële middelen die nodig zijn voor de effectieve uitoefening van haar taken en bevoegdheden.26 _{Hieromtrent wordt door de AVG geen verdere toelichting}

gegeven.

25. Met de inwerkingtreding van de AVG werd ook het toepassingsgebied uitgebreid. De privacyregels zijn ook van toepassing op bedrijven gevestigd buiten de EU indien zij goederen en/of diensten aanbieden in de Unie of gedrag monitort, voor zover dit gedrag in de Unie plaatsvindt.27

26. Om als waakhond van de privacyregels ze ook effectief te kunnen afdwingen dienen de autoriteiten te beschikken over de bevoegdheid om corrigerend op te treden. Deze bevoegdheden worden uiteengezet in artikel 58, lid 2 van de AVG. Dit kan gaan van een loutere waarschuwing of berisping tot een meer ingrijpende maatregel zoals het opleggen van een tijdelijke of definitieve verwerkingsbeperking, waaronder een verwerkingsverbod.28 _{Er wordt eveneens voorzien in de mogelijkheid voor de DPAs om}

administratieve geldboeten op te leggen in de plaats van of naast eventuele corrigerende maatregelen.29 _{Voor de inwerkingtreding van de AVG beschikten niet alle autoriteiten, zoals}

de Ierse autoriteit, over deze bevoegdheid.30 _{De bedragen zijn afhankelijk van zaak tot zaak,}

maar kunnen oplopen tot €20.000.000 of 4% van de totale wereldwijde jaaromzet.31 _{Bij het}

22 _{HIJMANS H., “How to enforce the GDPR in a Strategic, Consistent and Ethical Manner? A Reaction to Christopher Hodge”,}

EDPL, 2018, afl.1, p.1; CJEU 9 maart 2010, nr.C-518/07, 2010, EU:C:2010:125, Commission v. Germany.

23 _{H.HIJMANS, “The DPAs and Their Cooperation: How far are we in making enforcement of Data Protection Law more}

European?”, EDPL, 2016, afl. 3, 366.

24 _{ARTICLE 29 DATA PROTECTION WORKING PARTY, Opinion 01/2012 on the data protection reform proposals, 2012,}

https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2012/wp191_en.pdf.

25 _{EUROPEAN UNION AGENCY FOR FUNDAMENTAL RIGHTS, “Data Protection in the European Union, the role of National}

Data Protection Authorities 2010,https://fra.europa.eu/sites/default/files/fra_uploads/815-Data-protection_en.pdf.

26 _{Artikel 52, lid 4 AVG.} 27 _{Artikel 3, lid 1 en lid 2 AVG.} 28 _{Artikel 58, lid 2, a), b) en f) AVG.} 29 _{Artikel 58, lid 2, i) AVG.}

30 _{M.SCOTT, “EU privacy enforcer hits make-or-break moment”, Politico,}

https://www.politico.eu/article/data-protection-privacy-ireland-helen-dixon-gdpr.

9 bepalen van de hoogte van de boete wordt onder andere rekening gehouden met de aard, de ernst en de duur van de inbreuk, de omvang van de schade en het al dan niet opzettelijk karakter van de inbreuk.32

2.2 Versterking van de rol van het datasubject

27. De bescherming en afdwinging van de privacyregels is aldus vooral een overheidstaak. DPAs voeren op eigen initiatief onderzoek naar mogelijke inbreuken en staan in voor de naleving van de privacyregels. Desalniettemin wordt de positie van het datasubject door de AVG duidelijk versterkt. De AVG legt namelijk ook de focus op de versteviging van de rechten van het datasubject alsmede de versterking van het recht om dergelijke rechten af te dwingen door het recht op het indienen van een klacht. 33

28. Ten eerste heeft iedere betrokkene het recht een klacht in te dienen bij een toezichthoudende autoriteit in de lidstaat waar hij gewoonlijk verblijft of zijn werkplek heeft, of waar de beweerde inbreuk is begaan.34 _{Deze bepaling implementeert het principe}

van nabijheid vervat in artikel 1, lid 2 VEU dat vereist dat beslissingen zo dicht mogelijk bij de burger moeten worden genomen. Op die manier moeten gebruikers zich niet langer wenden tot de DPA van een lidstaat waar een verwerkingsverantwoordelijke een vestiging heeft binnen de EU. Dit was het geval onder de vorige Gegevensbeschermingsrichtlijn.35

29. De toezichthoudende autoriteit dient de indiening van klachten te faciliteren, zoals door het ter beschikking stellen van een elektronisch klachtenformulier.36 _{Op grond van artikel}

57, lid 3 AVG dienen de klachten kosteloos te worden behandeld tenzij de verzoeken kennelijk ongegrond of buitensporig zijn. In dat geval kan de toezichthoudende autoriteit een redelijke vergoeding aanrekenen of weigeren aan het verzoek gevolg te geven. 37 _Het

indienen van een klacht werd aldus laagdrempelig gehouden.

30. Op de toezichthoudende autoriteit waarbij de klacht is ingediend rust de verplichting om de klager in kennis te stellen van de voortgang van het onderzoek en het resultaat van de klacht binnen een termijn van drie maanden.38 _{Het Hof van Justitie van de Europese Unie}

benadrukt in het arrest Schrems dat klachten van individuen zorgvuldig door de toezichthoudende autoriteiten moeten worden onderzocht.39

32 _{Artikel 83, lid 2 AVG}

33_{P.T.J, WOLTERS, “De handhaving door de betrokkene onder de AVG”, Tijdschrift voor Consumentenrechten en}

handelspraktijken, 2019, afl. 1, p.1.

34 _{Artikel 77, lid 1 AVG.}

35 _{H.HIJMANS, “The DPAs and Their Cooperation: How far are we in making enforcement of Data Protection Law more}

European?”, EDPL, 2016, afl. 3, 362-372.

36 _{Artikel 57, lid 2 AVG.} 37 _{Artikel 57, lid 4 AVG.}

38 _{Artikel 77, lid 2 AVG; Artikel 78, lid 2 AVG; Artikel 57, lid 1, (f) AVG.} 39 _{CJEU 5 oktober 2016, nr. C 362/14, ECLI:EU:C:2015:650, Schrems.}

10 31. Ten tweede heeft een betrokkene op grond van artikel 80, lid 1 AVG het recht om een orgaan, organisatie of vereniging zonder winstoogmerk de opdracht te geven om namens hem een klacht in te dienen en namens hem zijn rechten vervat in artikel 77, 78 en 79 AVG uit te oefenen. Indien het nationale recht erin voorziet kan de betrokkene bovenstaande organisaties ook machtigen om namens hem het in artikel 82 AVG bedoelde recht op schadevergoeding uit te oefenen.

Dit is een manier van collectief optreden. Het creëert schaalvoordelen, zorgt voor het drukken van de kosten per betrokkene en vergroot de toegang tot deskundige bijstand.40

NOYB en The European Consumer Organisation (verder: BEUC) zijn voorbeelden van organisaties die optreden voor datasubjecten en klachten bundelen.

32. Hiernaast stelt artikel 80, lid 2 AVG ook dat deze organisaties, indien het nationale recht dit voorziet, over het recht kunnen beschikken om, onafhankelijk van een opdracht van de betrokkene, klacht in te dienen bij de overeenkomstig artikel 77 bevoegde autoriteit en het recht uit te oefenen om een doeltreffende voorziening in te stellen tegen een toezichthoudende autoriteit of een verwerkingsverantwoordelijke of verwerker. Dit indien men van mening is dat de rechten van een betrokkene uit hoofde van deze verordening zijn geschonden ten gevolge van de verwerking.41 _{Zoals het artikel aangeeft, is dit enkel}

mogelijk indien deze mogelijkheid wordt voorzien in het nationale recht van de lidstaten. Dit is het gevolg van het feit dat de AVG bepaalde aspecten niet harmoniseert en aldus de lidstaten enige ruimte laat om zelf nationale wetgeving uit te vaardigen.42

33. Tot slot heeft het datasubject ook het recht om een doeltreffende voorziening in rechte in te stellen tegen de verwerkingsverantwoordelijke of verwerker zelf. Hij kan er bijgevolg ook voor opteren om zijn rechten af te dwingen buiten de toezichthoudende autoriteiten om.43

Deze procedure kan zowel worden ingesteld bij de gerechten van de lidstaat waar de verwerkingsverantwoordelijke of verwerker een vestiging heeft als de gerechten van de lidstaat waar de betrokkene gewoonlijk verblijft. Een Belgische betrokkene heeft dus de mogelijkheid om de procedure in te stellen bij een Belgische rechter. Dit is echter niet mogelijk indien de verwerkingsverantwoordelijke of de verwerker een overheidsinstantie van een lidstaat is die optreedt in de uitoefening van het overheidsgezag.44

34. Aangezien een verwerkingsverantwoordelijke of verwerker de persoonsgegevens van betrokkenen in verschillende landen op dezelfde wijze kan verwerken is het mogelijk dat er

40 _{M. ROTENBERG, D. JACOBS, “Enforcing Privacy Rights: Class Action Litigation and the challenge of cy pres”, in D. WRIGHT}

en P. DE HERT (ed.), Enforcing Privacy. Regulatory, Legal and Technological Approaches, Springer, 2016, p.309-312.

41 _{Artikel 80, lid 2 AVG.}

42 _{J. WAGNER, A. BENECKE, “National Legislation within the Framework of the GDPR”, EDPL, 2016, afl. 3, p. 356.}

43 _{Artikel 79 AVG; P.T.J, WOLTERS, “De handhaving door de betrokkene onder de AVG”, Tijdschrift voor Consumentenrechten}

en handelspraktijken, 2019, afl. 1, 18-19.

11 in verschillende lidstaten gelijkaardige procedures hangende zijn.45 _{Indien dit het geval is}

kan het gerecht dat niet als eerste werd aangezocht, beslissen de procedure te schorsen.46

Eveneens kan diezelfde rechter op verzoek van de partijen tot verwijzing overgaan mits het eerst aangezochte gerecht bevoegd is om van beide procedures kennis te nemen en zijn wetgeving het toestaat.47 _{Op die manier kan een betrokkene toch nog terechtkomen bij}

een rechter van een andere lidstaat.48

45 _{P.T.J, WOLTERS, “De handhaving door de betrokkene onder de AVG”, Tijdschrift voor Consumentenrechten en}

handelspraktijken, 2019, afl. 1, 18-19.

46_{Artikel 81, lid 2 AVG.} 47 _{Artikel 81, lid 3 AVG.}

48 _{P.T.J, WOLTERS, “De handhaving door de betrokkene onder de AVG”, Tijdschrift voor Consumentenrechten en}

12

3. Het One-stop-shop-mechanisme: Cooperation is key

3.1 Rationale

35. Voorafgaand aan de inwerkingtreding van de AVG bepaalde artikel 28, lid 6 van de Gegevensbeschermingsrichtlijn dat elke gegevensbeschermingsautoriteit bevoegd is om zijn bevoegdheden uit te oefenen op het grondgebied van zijn eigen lidstaat. Het toepasselijke recht was het recht van de lidstaat waar de vestiging van de verwerkingsverantwoordelijke is gelegen.49 _{Om in aanmerking te komen als vestiging stelde}

overweging 19 van de Richtlijn dat er sprake diende te zijn van het effectief en daadwerkelijk uitoefenen van activiteiten door een vaste, stabiele vestiging. De virtuele aanwezigheid in een lidstaat was aldus niet voldoende.50 _{Organisaties met vestigingen in}

meerdere Europese lidstaten werden bijgevolg onderworpen aan verschillende gegevensbeschermingsregels en werden geconfronteerd met diverse handhavingsmaatregelen en procedures van verschillende autoriteiten.51

36. Met het OSS-mechanisme beoogt de Europese wetgever komaf te maken met deze lokale aanpak en wil men hiermee bijdragen tot een eengemaakte digitale markt.52 _Dergelijke

techbedrijven met vestigingen in verschillende lidstaten zullen geconfronteerd worden met één gegevensbeschermingsautoriteit als gesprekspartner. Deze wordt bepaald volgens de plaats van de hoofdvestiging van het bedrijf in kwestie.53 _{Samenwerking tussen deze}

“leidende” autoriteit en verschillende “betrokken” toezichthoudende autoriteiten is het hoofdingrediënt om te komen tot een eensgezinde beslissing inzake grensoverschrijdende verwerkingsactiviteiten.54

3.2 Toepassingsvoorwaarde: Grensoverschrijdende verwerking

37. Het mechanisme is enkel van toepassing wanneer er sprake is van een grensoverschrijdende verwerking van persoonsgegevens.

Er is volgens de AVG sprake van grensoverschrijdende verwerking in de volgende twee scenario’s:

49 _{Artikel 4, lid 1 (a) Richtlijn 95/468.}

50 _{H.HIJMANS, The DPAs and Their Cooperation: How far are we in making enforcement of Data Protection Law more}

European?, EDPL, 2016, afl. 3, 362-372.

51 _{A. GIURGIU, G. BOULET, P. DE HERT, “EU’s One-Stop-Shop Mechanism: Thinking transnational”, PL&B International,}

2015,16-18.

52 _{European Commission, Proposal for a regulation of the European Parliament and of the Council on the protection of}

individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation), 2012.

53 _{Artikel 56 AVG.} 54 _{Artikel 60 AVG.}

13 (1) Wanneer een verwerkingsverantwoordelijke of verwerker vestigingen heeft in meer dan één EU-lidstaat en in het kader van hun activiteiten persoonsgegevens verwerkt of; (2) Wanneer een verwerkingsverantwoordelijke of verwerker slechts één vestiging heeft in de EU en in het kader van hun activiteiten persoonsgegevens verwerkt waardoor in meer dan één lidstaat betrokkenen wezenlijke gevolgen ondervinden of waarschijnlijk zullen ondervinden.55

38. De AVG voorziet niet in een definitie voor het begrip “wezenlijke gevolgen.” De werkgroep artikel 29 biedt aldus een verdere toelichting. Men wil met deze woordkeuze verzekeren dat niet alle verwerkingsactiviteiten onder het toepassingsgebied vallen. Samenvattend kan worden gesteld dat er pas sprake is van wezenlijke gevolgen indien de activiteit inzake gegevensverwerking een zekere impact heeft op de betrokkene. Er dient echter niet noodzakelijk sprake te zijn van daadwerkelijk wezenlijke gevolgen. Indien er naar alle waarschijnlijkheid sprake is van een wezenlijk gevolg dan kan de verwerking ook onder het toepassingsgebied van de definitie vallen. Het wezenlijk gevolg moet zich echter eerder wel voordoen dan niet. Een kleine kans op een wezenlijk gevolg is niet voldoende. De toezichthoudende autoriteiten interpreteren de term geval per geval rekening houdend met de context van de verwerking, het type gegevens, het doel van de verwerking en andere factoren zoals onder andere het feit of de verwerking schade toebrengt of kan toebrengen aan individuen.56

3.3 Het bepalen van de leidende en betrokken autoriteiten

3.3.1 De leidende autoriteit

39. Alvorens de OSS-procedure wordt toegepast, dienen zowel de leidende autoriteit als de betrokken autoriteiten te worden geïdentificeerd. De leidende autoriteit fungeert als de enige gesprekspartner van de verwerkingsverantwoordelijke of verwerker en is hoofdverantwoordelijke voor de coördinatie van enig onderzoek inzake een grensoverschrijdende verwerkingsactiviteit. Er is echter geen sprake van een exclusieve bevoegdheid. De leidende autoriteit is verplicht om samen te werken met de betrokken autoriteit(en) om samen tot een consensus te komen (zie verder).57

40. In het oorspronkelijk voorstel van de Commissie werd eerst een andere aanpak vooropgesteld. In het kader van grensoverschrijdende zaken sprak men over een exclusieve

55 _{Artikel 4, lid 23 AVG.}

56 _{ARTICLE 29 DATA PROTECTION WORKING PARTY, Guidelines for identifying a controller or processor’s lead supervisory}

authority, as last Revised and Adopted on 5 April 2017, p.3-4.

57 _{ARTICLE 29 DATA PROTECTION WORKING PARTY, guidelines for identifying a controller or processor’s lead supervisory}

14 bevoegdheid in hoofde van de leidende autoriteit. Dit werd echter fel bekritiseerd gezien het haaks stond op het samenwerkingsprincipe. Deze weg werd dan ook verlaten. 58

41. Welke autoriteit al dan niet zal aangewezen worden als leidende autoriteit is, volgens artikel 56, lid 1 AVG, afhankelijk van de locatie van de hoofdvestiging of de enige vestiging van de verwerkingsverantwoordelijke in de EU. Het zijn de bedrijven zelf die bepalen waar hun hoofdvestiging gelegen is en bijgevolg welke autoriteit bevoegd is om als leidende autoriteit op te treden. Dergelijke keuzes kunnen echter gecontroleerd worden en in vraag gesteld worden door de toezichthoudende autoriteiten.59

3.3.1.1 Het bepalen van de leidende autoriteit op basis van de hoofdvestiging

42. Welke autoriteit als “leidend” dient te worden aangeduid, is afhankelijk van de hoofdvestiging van de verwerkingsverantwoordelijke of verwerker in kwestie. Artikel 4, lid 16 AVG bepaalt wat onder het begrip “hoofdvestiging” dient te worden verstaan:

(1) Met betrekking tot een verwerkingsverantwoordelijke die vestigingen heeft in meer dan één lidstaat, is de hoofdvestiging de plaats waar de centrale administratie is gelegen tenzij de beslissingen over de doelstellingen van en de middelen voor de verwerking van persoonsgegevens worden genomen in een andere vestiging die zich tevens in de Unie bevindt en die tevens gemachtigd is die beslissingen uit te voeren, in welk geval de vestiging waar die beslissingen worden genomen als de hoofdvestiging wordt beschouwd;

(2) Met betrekking tot de verwerker die vestigingen heeft in meer dan één lidstaat betreft de hoofdvestiging de plaats waar zijn centrale administratie is gelegen of, wanneer de verwerker geen centrale administratie in de Unie heeft, de vestiging van de verwerker in de Unie waar de voornaamste verwerkingsactiviteiten in het kader van de activiteiten van een vestiging van de verwerker plaatsvinden, voor zover op de verwerker krachtens deze verordening specifieke verplichtingen rusten.

43. De AVG voorziet niet in een definitie voor de term “vestiging”, maar overweging 22 biedt wel meer duidelijkheid. Een vestiging veronderstelt het effectief en daadwerkelijk uitoefenen van activiteiten via bestendige verhoudingen. De rechtsvorm van dergelijke

58 _{C. KUNER, et al., “The EU General Data Protection Regulation (GDPR): a Commentary.” Oxford, Oxford University Press,}

2020, p.913-927; P. BALBONI, L., SCUDIERO, “Rethinking the one-stop-shop mechanism: legal certainty and legitimate expectation”, Computer Law & Security Review, 2014, 394; W.DEBEUCKELAERE,“Eén jaar GDPR: kroniek van niet ingeloste verwachtingen? Een Copernicaanse revolutie of een opsmuk van het bestaande?”, Tijdschrift voor mensenrechten, 2019, 9-12.

59 _{ARTICLE 29 DATA PROTECTION WORKING PARTY, Guidelines for identifying a controller or processor’s lead supervisory}

15 verhoudingen, of het nu gaat om een bijkantoor of om een dochteronderneming met rechtspersoonlijkheid, is daarbij niet doorslaggevend.60

3.3.1.1.1 Centrale administratie

44. De hoofdvestiging en de centrale administratie zijn volgens de voorgaande definitie aldus gelinkt aan elkaar aangezien de hoofdvestiging in de eerste plaats wordt gelijkgesteld met de centrale administratie. De centrale administratie verwijst naar de plaats waar beslissingen worden genomen over de doelstelling van en de middelen voor de verwerking van persoonsgegevens en die tevens gemachtigd is om dergelijke beslissingen te laten uitvoeren.61

45. Een internationaal bedrijf kan meerdere vestigingen hebben in verschillende lidstaten. Hierbij dient opgemerkt te worden dat het ook kan voorvallen dat een andere vestiging in een andere lidstaat dan de centrale administratie de beslissingsbevoegdheid heeft over de doeleinden en middelen inzake een specifieke verwerkingsactiviteit. In dit geval zal er sprake zijn van meer dan één leidende autoriteit met betrekking tot verschillende verwerkingsactiviteiten voor eenzelfde bedrijf.62

3.3.1.1.2 Het bepalen van de hoofdvestiging wanneer deze niet kan gelijkgesteld worden met de centrale administratie

46. Wanneer het echter niet de centrale administratie is die bevoegd is om dergelijke beslissingen te nemen en uit te voeren dan dient men na te gaan welke vestiging wel effectief deze beslissingsmacht heeft. 63

47. De richtlijnen van de werkgroep artikel 29 en overweging 36 van de AVG geven aan met welke factoren er al dan niet rekening kan worden gehouden om de hoofdvestiging te bepalen wanneer dit niet de locatie is van de centrale administratie. Overweging 36 van de AVG stelt namelijk dat de hoofdvestiging dient bepaald te worden op basis van objectieve criteria zoals het effectief en daadwerkelijk uitvoeren van beheersactiviteiten, met het oog op het nemen van de kernbesluiten over de doelstellingen van en de middelen voor de verwerking via bestendige verhoudingen. Dit criterium mag niet afhangen van het feit of de verwerking van de persoonsgegevens ook effectief op die locatie plaatsvindt. De aanwezigheid en het gebruik van technische middelen en technologieën voor de verwerking van persoonsgegevens of verwerkingsactiviteiten zijn geen doorslaggevende

60 _{Overweging 22, AVG.}

61 _{ARTICLE 29 DATA PROTECTION WORKING PARTY, Guidelines for identifying a controller or processor’s lead supervisory}

authority, as last Revised and Adopted on 5 April 2017, p.5.

62 _{ARTICLE 29 DATA PROTECTION WORKING PARTY, Guidelines for identifying a controller or processor’s lead supervisory}

authority, as last Revised and Adopted on 5 April 2017, p.6.

16 criteria om te bepalen of het om de hoofdvestiging gaat. Het is de plaats waar effectieve managementactiviteiten worden uitgeoefend. Men dient aldus na te gaan waar de effectieve en reële managementactiviteiten worden uitgeoefend inzake beslissingen omtrent gegevensverwerking.

48. Volgens de richtsnoeren van de Werkgroep Artikel 29 kan er bijvoorbeeld rekening gehouden worden met waar beslissingen in verband met de doelstellingen van en de middelen voor de verwerking definitief worden goedgekeurd of waar de feitelijke bevoegdheid ligt om te beslissingen te implementeren.64

49. Het is duidelijk dat men geopteerd heeft voor een niet-formalistische, feitelijke aanpak. Dit is in lijn met de feitelijke benadering die wordt gehanteerd doorheen de gehele AVG en draagt bij tot het tegengaan van forumshopping.65

3.3.1.2 Bedrijven zonder vestiging in de EU

50. Het is belangrijk om op te merken dat een bedrijf niet kan genieten van het samenwerkingsmechanisme als het geen vestiging heeft voor een specifieke verwerkingsactiviteit binnen de EU. Wanneer dit het geval is dan wordt het bedrijf geconfronteerd met elke toezichthoudende autoriteit waar het bedrijf actief is.66 _De

toezichthoudende autoriteiten in kwestie ontlenen deze bevoegdheid dan op grond van artikel 55 lid 1 AVG die stelt dat elke toezichthoudende autoriteit de competentie heeft op het grondgebied van haar lidstaat de taken en bevoegdheden uit te voeren die haar overeenkomstig deze verordening zijn opgedragen.

51. Dergelijke bedrijven dienen wel een vertegenwoordiger aan te duiden binnen de EU die optreedt ten behoeve van de verwerkingsverantwoordelijke of verwerker. 67 _{Dit impliceert}

echter niet dat het bedrijf in kwestie kan genieten van het mechanisme. Het mechanisme is aldus een inter-EU administratief instrument.68

64 _{ARTICLE 29 DATA PROTECTION WORKING PARTY, Guidelines for identifying a controller or processor’s lead supervisory}

authority, as last Revised and Adopted on 5 April 2017, p.7.

65 _{P. BALBONI, L., SCUDIERO, “Rethinking the one-stop-shop mechanism: legal certainty and legitimate expectation”,}

Computer Law & Security Review, 2014, 399-400.

66 _{ARTICLE 29 DATA PROTECTION WORKING PARTY, Guidelines for identifying a controller or processor’s lead supervisory}

authority, as last Revised and Adopted on 5 April 2017, p.10.

67 _{Artikel 27 AVG; overweging 80 AVG.}

68 _{ARTICLE 29 DATA PROTECTION WORKING PARTY, Guidelines for identifying a controller or processor’s lead supervisory}

17

3.3.1.3 Het wijzigen van de hoofdvestiging

52. Welke vestiging wordt beschouwd als hoofdvestiging voor welke gegevensverwerkingsactiviteit kan wijzigen doorheen de tijd. Denk hierbij bijvoorbeeld aan mogelijke fusies. Door de autoriteiten werd meerdere malen de vraag gesteld naar wanneer de bevoegdheid van een autoriteit als definitief dient te worden beschouwd waardoor elke wijziging met betrekking tot de omstandigheden van de hoofdvestiging of de enkele vestiging geen gevolgen heeft voor de reeds lopende samenwerkingsprocedure.69 _{De AVG}

biedt voor deze kwestie namelijk geen helderheid.

53. De EPDB heeft zich bevoegd geacht om op grond van artikel 64, lid 2 AVG omtrent deze kwestie een opinie uit te vaardigen gezien het belang van een consistente toepassing van de samenwerkingsprocedure vervat in artikel 60 AVG. Men vertrekt vanuit de benadrukking van de nood aan effectieve samenwerking en wederzijds vertrouwen tussen de verschillende autoriteiten. De EDPB stelt dat er een objectief criterium dient ontwikkeld te worden om deze vraag het hoofd te bieden. Dit criterium dient te voldoen aan de doelstelling inzake rechtszekerheid voor zowel het datasubject als de verwerkingsverantwoordelijke, aan de overwegingen met betrekking tot behoorlijk bestuur, de doelstelling inzake het vermijden van forum-shoppen en om het risico van gelijktijdige bevoegdheid van meerdere autoriteiten ten koste wat kost te vermijden.70

54. Samenvattend stelt de EDPB dat de bevoegdheid om op te treden als leidende autoriteit kan overgaan op een andere autoriteit indien de hoofdvestiging of enige vestiging van een verwerkingsverantwoordelijke of verwerker verandert. Dit tot het moment dat een definitieve beslissing wordt genomen door de oorspronkelijk leidende autoriteit. De EDPB beschouwt een definitieve beslissing aldus als het objectief criterium vanaf wanneer een wijziging inzake de hoofdvestiging geen invloed meer kan hebben op de bevoegdheid van de oorspronkelijk leidende autoriteit.71

55. Drie scenario’s zijn hierbij mogelijk:

1. Ofwel verplaatst de hoofdvestiging of enige vestiging zich van de ene EU-lidstaat naar de andere.72

69 _{EDPB, Opinion 8/2019 on the competence of a supervisory authority in case of a change in circumstances relating to the}

main or single establishment adopted on 9 July 2019, p.3 en 4, https://edpb.europa.eu/our-work-tools/our-documents/parere-del-comitato-articolo-64/opinion-82019-competence-supervisory_en.

70 _{EDPB, Opinion 8/2019 on the competence of a supervisory authority in case of a change in circumstances relating to the}

main or single establishment adopted on 9 July 2019, p.4 en p.6, https://edpb.europa.eu/our-work-tools/our-documents/parere-del-comitato-articolo-64/opinion-82019-competence-supervisory_en.

71 _{EDPB, Opinion 8/2019 on the competence of a supervisory authority in case of a change in circumstances relating to the}

main or single establishment adopted on 9 July 2019, p.10, https://edpb.europa.eu/our-work-tools/our-documents/parere-del-comitato-articolo-64/opinion-82019-competence-supervisory_en.

72 _{EDPB, Opinion 8/2019 on the competence of a supervisory authority in case of a change in circumstances relating to the}

main or single establishment adopted on 9 July 2019, p.8, https://edpb.europa.eu/our-work-tools/our-documents/parere-del-comitato-articolo-64/opinion-82019-competence-supervisory_en.

18 Wanneer dit scenario plaatsvindt te midden van de samenwerkingsprocedure dan heeft de verwerkingsverantwoordelijke of verwerker op grond van artikel 56, lid 1 AVG en artikel 56 lid 2 AVG het recht op een nieuwe leidende autoriteit op basis van de nieuwe hoofd- of enige vestiging. Deze verplaatsing dient echter wel aangetoond te worden door het bedrijf in kwestie. Op die manier wordt forum-shopping vermeden. De informatie en het bewijs die reeds werden verzameld door de voormalige leidende autoriteit gaat niet verloren en kan opnieuw gebruikt worden voor het verdere onderzoek door de nieuwe leidende autoriteit. Deze verrichtingen verliezen dus niet hun rechtsgrondslag. Het onderzoek wordt dan verdergezet door de nieuwe leidende autoriteit volgens artikel 60 AVG waarbij deze verplicht is samen te werken met de voormalige leidende autoriteit en de andere betrokken autoriteiten. Op deze manier wordt risico op gelijktijdige competentie van meerdere autoriteiten of de afwezigheid van enige bevoegde autoriteit vermeden.73

2. Ofwel wordt een hoofdvestiging of enige vestiging opgericht op het grondgebied van een EU-lidstaat of verhuist een hoofdvestiging van een derde land naar een EU-lidstaat. Als gevolg van het uitgangspunt dat de EDPB hanteert, namelijk dat de leidende bevoegdheid van de ene autoriteit kan overgaan op een andere totdat een definitief besluit werd genomen, zal de oprichting van een hoofdvestiging of enige vestiging of de verplaatsing van een derde-land naar de EU met zich meebrengen dat de verwerkingsverantwoordelijke kan genieten van het One-Stop-Shopmechanisme. Elke reeds lopende procedure zal vervolgens worden overgedragen aan de bevoegde leidende autoriteit, namelijk de autoriteit van de lidstaat waar zich de hoofdvestiging bevindt. Wanneer deze verandering effectief kan aangetoond worden, dan wordt de bevoegdheid van de eerste autoriteit, bijvoorbeeld op basis van het indienen van een klacht, ontnomen en is vanaf dat moment eveneens de samenwerkingsprocedure van toepassing. De nieuwe leidende autoriteit is dan verplicht om samen te werken met de voormalige leidende autoriteiten en alle overige betrokken autoriteiten.74

3. Ofwel houdt een hoofdvestiging of enkele vestiging op met bestaan.

Wanneer de hoofdvestiging in de EU ophoudt te bestaan, omdat het verhuist buiten het grondgebied van de EU, dan zal de verwerkingsverantwoordelijke niet langer kunnen profiteren van het One-Stop-Shopmechanisme. De verwerking kan dan niet langer als

73 _ibid.

74 _{EDPB, Opinion 8/2019 on the competence of a supervisory authority in case of a change in circumstances relating to the}

main or single establishment adopted on 9 July 2019, p.8 en 9, https://edpb.europa.eu/our-work-tools/our-documents/parere-del-comitato-articolo-64/opinion-82019-competence-supervisory_en.

19 grensoverschrijdend worden beschouwd waardoor het samenwerkingsprincipe niet langer van toepassing is.75

3.3.2 Forum shopping

56. Eén van de doelstellingen van de AVG is het verbieden van forum shopping. In de context van de AVG is dit het kiezen van een hoofdvestiging in een bepaalde lidstaat omdat men ervan uitgaat dat de leidende autoriteit van de lidstaat in kwestie minder streng zal optreden. Voor de inwerkingtreding van de AVG hanteerde elke lidstaat een verschillende privacywetgeving. De een had een al wat meer toegefelijkere wetgeving of aanpak dan de ander en de autoriteiten hadden tevens verschillende bevoegdheden om handhavend op te treden. Dit landschap maakte het mogelijk voor bedrijven om aan forum shopping te doen.76 _{Hiermee tracht de AVG komaf te maken. Het privacyrecht werd met de AVG}

geharmoniseerd waardoor elke lidstaat dezelfde privacyregels toepast. Wanneer een bedrijf pretendeert dat zijn hoofdvestiging zich bevindt in een bepaalde lidstaat, maar er geen sprake is van enige beslissingsmacht omtrent de verwerking van persoonsgegevens, kan deze keuze in vraag gesteld worden door de toezichthoudende autoriteiten en bij onenigheid uiteindelijk door het Comité.77 _{De uiteindelijke bewijslast ligt bij de}

verwerkingsverantwoordelijken en verwerkers.78

3.3.3 Betrokken autoriteit

57. De leidende autoriteit is de hoofdverantwoordelijke van het onderzoek, maar dit impliceert, zoals reeds werd aangehaald, geen exclusieve bevoegdheid.79 _{Eens als dusdanig}

geïdentificeerd, is de leidende autoriteit verplicht om samen te werken met betrokken autoriteiten.80 _{In de volgende drie gevallen wordt een toezichthoudende autoriteit}

beschouwd als een betrokken autoriteit:

(1) Wanneer de verwerkingsverantwoordelijke of de verwerker is gevestigd op het grondgebied van de lidstaat van die toezichthoudende autoriteit;

75 _{EDPB, Opinion 8/2019 on the competence of a supervisory authority in case of a change in circumstances relating to the}

main or single establishment adopted on 9 July 2019, p.9, https://edpb.europa.eu/our-work-tools/our-documents/parere-del-comitato-articolo-64/opinion-82019-competence-supervisory_en.

76 _{P. BALBONI, L., SCUDIERO, “Rethinking the one-stop-shop mechanism: legal certainty and legitimate expectation”,}

Computer Law & Security Review, 2014, 392-402.

77_{ARTICLE 29 DATA PROTECTION WORKING PARTY, guidelines for identifying a controller or processor’s lead supervisory}

authority, as last Revised and Adopted on 5 April 2017; Artikel 65, lid 1, b), AVG.

78 _{ARTICLE 29 DATA PROTECTION WORKING PARTY, guidelines for identifying a controller or processor’s lead supervisory}

authority, as last Revised and Adopted on 5 April 2017, p.8.

79 _{Opinion of the European Data Protection Supervisor on the data protection reform package of 7 march 2012, point 217, p.}

39, https://edps.europa.eu/sites/edp/files/publication/12-03-07_edps_reform_package_summary_en.pdf.

20 (2) Wanneer de betrokkenen die in de lidstaat van die toezichthoudende autoriteit verblijven, door de verwerking wezenlijke gevolgen ondervinden of waarschijnlijk zullen ondervinden;

(3) Wanneer bij die toezichthoudende autoriteit een klacht is ingediend.

58. De autoriteiten die betrokken worden omwille van het feit dat bij die autoriteit een klacht werd ingediend heeft onder andere als taak in deze procedure de klager in kennis te stellen binnen een redelijke termijn van de vooruitgang en het resultaat van het onderzoek, alsook van de mogelijkheid tot het instellen van een voorziening in rechte.81

59. Voor wat betreft punt (2) stellen de richtlijnen van de EDPB dat de betrokkene in kwestie geen burgerschap dient te hebben van die lidstaat. Het volstaat dat de burger in die lidstaat verblijft.82

60. Het hoofddoel van het mechanisme is te verzekeren dat een kwestie wordt onderzocht en opgelost op een wijze waarmee alle autoriteiten akkoord gaan en zo tot een consensus wordt gekomen.83

3.4 Het One-Stop-Shop-mechanisme: artikel 60 AVG

61. Artikel 60 AVG omvat de effectieve OSS-procedure. Samenwerking is het sleutelwoord van dit mechanisme en wordt aldus verplicht. Eens de rollen van de autoriteiten zijn bepaald, is artikel 60 AVG van toepassing met als einddoel het bereiken van een eensgezinde beslissing inzake het handhavend optreden.84

3.4.1 De voorbereidende fase

62. Alvorens er sprake is van een ontwerpbesluit spreken we van de voorbereidende fase waarin onderzoek wordt gevoerd om te komen tot een ontwerpbesluit. Volgens artikel 60, lid 1 AVG dient de leidende autoriteit samen te werken met de betrokken autoriteit om aldus tot een consensus te komen, met andere woorden een ontwerpbesluit. Ze dienen hierbij alle relevante informatie met elkaar uit te wisselen.85 _{De samenwerking in deze fase}

tussen de verschillende autoriteiten werkt aldus in twee richtingen. De leidende autoriteit kan de betrokken autoriteiten te allen tijde verzoeken tot wederzijdse bijstand en

81 _{Artikel 57 lid 1, (f), AVG; Artikel 77, lid 2 AVG.}

82 _{ARTICLE 29 DATA PROTECTION WORKING PARTY, Guidelines for identifying a controller or processor’s lead supervisory}

authority, as last Revised and Adopted on 5 April 2017,p.9.

83 _{ARTICLE 29 DATA PROTECTION WORKING PARTY, Guidelines for identifying a controller or processor’s lead supervisory}

authority, as last Revised and Adopted on 5 April 2017, p.10.

84 _{Overweging 126 AVG.} 85 _{Artikel 60, lid 1 AVG.}

21 gezamenlijke werkzaamheden (zie verder).86 _{De leidende autoriteit dient op zijn beurt}

onverwijld alle relevante informatie inzake de aangelegenheid mee te delen aan de betrokken autoriteiten.87 _{In de AVG is er geen sprake van termijnen waarbinnen de leidende}

toezichthouder aan deze verplichting dient te voldoen en waarbinnen een ontwerpbesluit dient te worden voorgelegd om deze fase af te ronden.

3.4.2 De formele fase

63. Eens het onderzoek is afgerond, wordt door de leidende autoriteit een ontwerpbesluit voorgelegd aan de betrokken autoriteiten waarbij rekening wordt gehouden met de standpunten van deze laatste.88 _{Vanaf dan spreken we van de formele fase. Artikel 60, lid 4}

AVG stelt dat de betrokken autoriteiten vier weken de tijd hebben om een relevant en gemotiveerd bezwaar te uiten tegen het ontwerpbesluit in kwestie.

64. De termen “relevant” en “gemotiveerd bezwaar” werden uitdrukkelijk gedefinieerd in de AVG. Artikel 4, lid 24 AVG vereist ten eerste dat een bezwaar betrekking dient te hebben op het bestaan van een inbreuk op de AVG of over de vraag of de voorgenomen maatregel met betrekking tot de verwerkingsverantwoordelijke of de verwerker strookt met deze verordening. Ten tweede dient dergelijk bezwaar voldoende precies te zijn. Hierbij dient duidelijk de omvang aangetoond te worden van de risico’s die het ontwerpbesluit inhoudt voor de grondrechten en de fundamentele vrijheden van betrokkenen en indien van toepassing, voor het vrije verkeer van persoonsgegevens binnen de Unie. De intentie van de Europese wetgever is om bezwaren gebaseerd op zwakke argumenten die zorgen voor extra kosten en vertraging zoveel mogelijk te vermijden.89 _{Hierbij dient opgemerkt te}

worden dat de mogelijkheid tot het indienen van een bezwaar door de betrokken autoriteiten niet werd voorzien in het oorspronkelijke voorstel van de Commissie. Hierover werd lang gediscussieerd in de Raad en het Parlement.90

65. De leidende autoriteit heeft twee opties. Ze kan beslissen deze bezwaren te volgen. Dan dient men te voorzien in een nieuw ontwerpbesluit die eveneens wordt voorgelegd aan de betrokken autoriteiten. Er wordt opnieuw niet voorzien in een termijn waarbinnen een nieuw ontwerpbesluit dient te worden afgerond. Wanneer het aangepaste ontwerpbesluit wordt meegedeeld aan de betrokken autoriteiten dan krijgen deze laatste twee weken om een respons te voorzien.91

86 _{Artikel 60, lid 2 AVG.} 87 _{Artikel 60, lid 3 AVG.} 88 _{Artikel 60, lid 3 AVG.}

89 _{C. KUNER, et al., “The EU General Data Protection Regulation (GDPR): a Commentary.” Oxford, Oxford University Press,}

2020.

90 _{W.DEBEUCKELAERE,“Eén jaar GDPR: kroniek van niet ingeloste verwachtingen? Een Copernicaanse revolutie of een}

opsmuk van het bestaande?”, Tijdschrift voor mensenrechten, 2019, 9-12.

22 66. Echter is het ook mogelijk dat de leidende autoriteit het bezwaar uitgaande van de betrokken toezichthoudende autoriteit(en) niet als relevant en gemotiveerd beschouwd of simpelweg het bezwaar afwijst. In dit geval dient de zaak verwezen te worden naar de EDPB die zal voorzien in een bindende beslissing (zie later).92

Wanneer geen enkele betrokken autoriteit binnen de voorschreven termijn een relevant en gemotiveerd bezwaar aantekent, dan wordt het ontwerpbesluit bindend aangezien er dan vanuit wordt gegaan dat alle partijen akkoord zijn.93

67. Eens er sprake is van een definitieve beslissing worden de taken verdeeld. Er zijn drie mogelijke beslissingsvormen in verband met een klacht. Ofwel wordt de klacht aanvaard of afgewezen dan wel wordt de klacht deels wel en deels niet aanvaard.94 _{Wanneer de klacht}

wordt afgewezen zijn het de autoriteiten waarbij de klacht werd ingediend die het besluit vaststellen, meedelen aan de klager en de verwerkingsverantwoordelijke hiervan in kennis stellen.95 _{Wanneer de klacht wordt aanvaard stelt de leidende autoriteit het besluit vast en}

deelt deze laatste de handhavende beslissing mee aan de hoofdvestiging of enige vestiging van de verwerkingsverantwoordelijke of verwerker. De autoriteit waar de klacht werd neergelegd deelt dan op zijn beurt de beslissing mee aan de klager.96 _{Ook een “gesplitste”}

beslissing is mogelijk waarbij een klacht slechts gedeeltelijk wordt aanvaard. In dit geval stelt artikel 60, lid 9 AVG dat de leidende autoriteit het besluit inzake het gedeelte van de klacht die niet wordt afgewezen, vaststelt en de handhavende maatregelen dient mee te delen aan de hoofdvestiging of enige vestiging van de verwerkingsverantwoordelijke of verwerker op hun grondgebied. De klager wordt hiervan ook door de leidende autoriteit in kennis gesteld. Voor het deel van de klacht dat werd afgewezen of verworpen, wordt het besluit door de toezichthoudende autoriteit waar de klacht werd neergelegd aan de klager meegedeeld en wordt de verwerkingsverantwoordelijke of verwerker daarvan in kennis gesteld.

68. Nadat de verwerkingsverantwoordelijke of verwerker in kwestie op de hoogte werd gebracht van het besluit is het alleen maar logisch dat deze de nodige maatregelen dient te treffen om het besluit na te leven. Deze is dan ook verplicht de maatregelen die worden getroffen mee te delen aan de leidende autoriteit die op zijn beurt de betrokken autoriteiten op de hoogte brengt.97

92 _{Artikel 60 lid 4 AVG.} 93 _{Artikel 60, lid 4 en lid 6 AVG.}

94 _{V. PAPAKONSTANTINOU, C.PAUNER CHULVI, A.CUELLA, “European and national legal challenges when applying the new}

General Data Protection Regulation provisions on co-operation, Phaedra II-project, 2016, 30-31, http://www.phaedra-project.eu/wp-content/uploads/PHAEDRA2_D31_final_15092016.pdf

95 _{Artikel 60, lid 8 AVG.} 96 _{Artikel 60, lid 7 AVG.}

97 _{Artikel 60, lid 10 AVG; C. KUNER, et al., “The EU General Data Protection Regulation (GDPR): a Commentary.” Oxford,}

23 69. In principe is de beslissing enkel gericht naar de hoofdvestiging van de verwerkingsverantwoordelijke of verwerker. Wanneer deze laatste meerdere vestigingen heeft in verschillende EU-lidstaten dan is het aan de hoofdvestiging om te garanderen dat deze beslissing via de interne regels ook wordt geïmplementeerd in al zijn vestigingen binnen de EU. 98

3.5 Beroepsmogelijkheden door de betrokken partijen

70. Op grond van artikel 78, lid 1 AVG heeft iedere natuurlijke persoon of rechtspersoon het recht om tegen een hem betreffend juridisch bindend besluit van een toezichthoudende autoriteit, een doeltreffende voorziening in rechte in te stellen. Dit geldt aldus zowel voor de verwerkingsverantwoordelijke of verwerker als de klager. Dit recht geldt niet voor de door de autoriteiten getroffen maatregelen die niet bindend zijn zoals adviezen.99 _Ook

heeft men dit recht indien de bevoegde toezichthoudende autoriteit een klacht niet behandelt of de betrokkene niet binnen drie maanden in kennis stelt van de voortgang of het resultaat van de ingediende klacht.100

Het beroep dient bij de gerechten van de lidstaat, waar de toezichthoudende autoriteit is gevestigd, worden ingesteld en dient in overeenstemming te zijn met het procesrecht van die lidstaat.101

3.6 Twee uitzonderingen op het OSS-principe

3.6.1 De lokale bevoegdheid: Artikel 56, lid 2 AVG

71. Artikel 56, lid 2 AVG vormt een uitzondering op de bevoegdheid van de leidende autoriteit en stelt dat elke toezichthoudende autoriteit competent is een bij haar ingediende klacht of eventuele inbreuk op de AVG te behandelen, indien het onderwerp alleen betrekking heeft op een vestiging in haar lidstaat of alleen wezenlijke gevolgen heeft voor betrokkenen in haar lidstaat. Dit is bijvoorbeeld het geval wanneer het de verwerking van persoonsgegevens van werknemers in de specifieke arbeidsmarktcontext van een lidstaat betreft.102 _{Er wordt aldus nagegaan of een bepaalde verwerkingsactiviteit een louter lokale}

impact heeft. De zaak in kwestie dient wel eerst aan de leidende autoriteit te worden meegedeeld. Deze laatste zal beslissen binnen een termijn van drie weken of deze de zaak al dan niet zal behandelen. Wanneer deze beslist de zaak te behandelen is artikel 60 AVG van toepassing en dient de toezichthoudende autoriteit die de leidende autoriteit in kennis heeft gesteld de mogelijkheid te hebben een ontwerp van besluit in te dienen.103 _De

98 _Ibid.

99 _{Overweging 143 AVG.} 100 _{Artikel 78, lid 2 AVG.}

101 _{Artikel 78, lid 3 AVG; Overweging 143 AVG.} 102 _{Overweging 127, AVG.}