ARREST VAN HET HOF (Grote kamer)
15 juni 2021 ( *1 )
„Prejudiciële verwijzing – Bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens – Handvest van de grondrechten van de Europese Unie – Artikelen 7, 8 en 47 – Verordening (EU) 2016/679 – Grensoverschrijdende verwerking van persoonsgegevens – ‚Eén-loketmechanisme’ – Loyale en doeltreffende samenwerking tussen de toezichthoudende autoriteiten – Competentie en bevoegdheden – Bevoegdheid om in rechte op te treden”
In zaak C‑645/19,
betreffende een verzoek om een prejudiciële beslissing krachtens artikel 267 VWEU, ingediend door het hof van beroep Brussel (België) bij beslissing van 8 mei 2019, ingekomen bij het Hof op 30 augustus 2019, in de procedure
Facebook Ireland Ltd,
Facebook Inc.,
Facebook Belgium BVBA
tegen
Gegevensbeschermingsautoriteit,
wijst
HET HOF (Grote kamer),
samengesteld als volgt: K. Lenaerts, president, R. Silva de Lapuerta, vicepresident, A. Arabadjiev, A. Prechal, M. Vilaras, M. Ilešič en N. Wahl, kamerpresidenten, E. Juhász, D. Šváby, S. Rodin, F. Biltgen, K. Jürimäe, C. Lycourgos, P. G. Xuereb en L. S. Rossi (rapporteur), rechters,
advocaat-generaal: M. Bobek,
griffier: M. Ferreira, hoofdadministrateur,
gezien de stukken en na de terechtzitting op 5 oktober 2020,
gelet op de opmerkingen van:
– |
Facebook Ireland Ltd, Facebook Inc. en Facebook Belgium BVBA, vertegenwoordigd door S. Raes, P. Lefebvre en D. Van Liedekerke, advocaten, |
– |
de Gegevensbeschermingsautoriteit, vertegenwoordigd door F. Debusseré en R. Roex, advocaten, |
– |
de Belgische regering, vertegenwoordigd door J.‑C. Halleux, P. Cottin en C. Pochet als gemachtigden, bijgestaan door P. Paepe, advocaat, |
– |
de Tsjechische regering, vertegenwoordigd door M. Smolek, O. Serdula en J. Vláčil als gemachtigden, |
– |
de Italiaanse regering, vertegenwoordigd door G. Palmieri als gemachtigde, bijgestaan door G. Natale, avvocato dello Stato, |
– |
de Poolse regering, vertegenwoordigd door B. Majczyna als gemachtigde, |
– |
de Portugese regering, vertegenwoordigd door L. Inez Fernandes, A. C. Guerra, P. Barros da Costa en L. Medeiros als gemachtigden, |
– |
de Finse regering, vertegenwoordigd door A. Laine en M. Pere als gemachtigden, |
– |
de Europese Commissie, vertegenwoordigd door H. Kranenborg, D. Nardi en P. J. O. Van Nuffel als gemachtigden, |
gehoord de conclusie van de advocaat-generaal ter terechtzitting van 13 januari 2021,
het navolgende
Arrest
1 |
Het verzoek om een prejudiciële beslissing betreft de uitlegging van artikel 55, lid 1, en de artikelen 56 tot en met 58 en 60 tot en met 66 van verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG (algemene verordening gegevensbescherming) (PB 2016, L 119, blz. 1, met rectificaties in PB 2018, L 127, blz. 2, en PB 2021, L 74, blz. 35), gelezen in samenhang met de artikelen 7, 8 en 47 van het Handvest van de grondrechten van de Europese Unie (hierna: „Handvest”). |
2 |
Dit verzoek is ingediend in het kader van een geding tussen enerzijds Facebook Ireland Ltd, Facebook Inc. en Facebook Belgium BVBA, en anderzijds de Gegevensbeschermingsautoriteit (België) (hierna: „GBA”), die in de plaats is gekomen van de Commissie voor de bescherming van de persoonlijke levenssfeer (België) (hierna: „Privacycommissie”), ter zake van een vordering tot staking die was ingesteld door de voorzitter van de Privacycommissie en die strekte tot het doen staken van de verwerking van persoonsgegevens van internetgebruikers op het Belgisch grondgebied door het online sociale netwerk Facebook door middel van cookies, social plug-ins en pixels. |
Toepasselijke bepalingen
Unierecht
3 |
De overwegingen 1, 4, 10, 11, 13, 22, 123, 141 en 145 van verordening 2016/679 luiden als volgt:
[...]
[...]
[...]
[...]
[...]
[...]
[...]
|
4 |
Artikel 3 van deze verordening, met als opschrift „Territoriaal toepassingsgebied”, bepaalt in lid 1: „Deze verordening is van toepassing op de verwerking van persoonsgegevens in het kader van de activiteiten van een vestiging van een verwerkingsverantwoordelijke of een verwerker in de Unie, ongeacht of de verwerking in de Unie plaatsvindt.” |
5 |
Artikel 4 van deze verordening definieert in punt 16 het begrip „hoofdvestiging” en in punt 23 het begrip „grensoverschrijdende verwerking” als volgt: „16) ‚hoofdvestiging’:
[...] 23) ‚grensoverschrijdende verwerking’:
|
6 |
Artikel 51 van deze verordening, met als opschrift „Toezichthoudende autoriteit”, bepaalt: „1. Elke lidstaat bepaalt dat een of meer onafhankelijke overheidsinstanties verantwoordelijk zijn voor het toezicht op de toepassing van deze verordening, teneinde de grondrechten en fundamentele vrijheden van natuurlijke personen in verband met de verwerking van hun persoonsgegevens te beschermen en het vrije verkeer van persoonsgegevens binnen de Unie te vergemakkelijken [...]. 2. Elke toezichthoudende autoriteit draagt bij tot de consequente toepassing van deze verordening in de hele Unie. Daartoe werken de toezichthoudende autoriteiten onderling en met de Commissie samen overeenkomstig hoofdstuk VII. [...]” |
7 |
Artikel 55 van verordening 2016/679, met als opschrift „Competentie”, maakt deel uit van hoofdstuk VI („Onafhankelijke toezichthoudende autoriteiten”) en bepaalt: „1. Elke toezichthoudende autoriteit heeft de competentie op het grondgebied van haar lidstaat de taken uit te voeren die haar overeenkomstig deze verordening zijn opgedragen en de bevoegdheden uit te oefenen die haar overeenkomstig deze verordening zijn toegekend. 2. In het geval van verwerking door overheidsinstanties of door particuliere organen die handelen op grond van artikel 6, lid 1, onder c) of e), is de toezichthoudende autoriteit van de lidstaat in kwestie competent. In dergelijke gevallen is artikel 56 niet van toepassing.” |
8 |
Artikel 56 van die verordening, met als opschrift „Competentie van de leidende toezichthoudende autoriteit”, luidt: „1. Onverminderd artikel 55 is de toezichthoudende autoriteit van de hoofdvestiging of de enige vestiging van de verwerkingsverantwoordelijke of verwerker competent op te treden als leidende toezichthoudende autoriteit voor de grensoverschrijdende verwerking door die verwerkingsverantwoordelijke of verwerker overeenkomstig de procedure van artikel 60. 2. In afwijking van lid 1 is elke toezichthoudende autoriteit competent een bij haar ingediende klacht of een eventuele inbreuk op deze verordening te behandelen indien het onderwerp van die zaak alleen verband houdt met een vestiging in haar lidstaat of alleen voor betrokkenen in haar lidstaat wezenlijke gevolgen heeft. 3. In de in lid 2 van dit artikel bedoelde gevallen stelt de toezichthoudende autoriteit de leidende toezichthoudende autoriteit onverwijld in kennis van de zaak. Binnen drie weken nadat zij in kennis is gesteld, besluit de leidende toezichthoudende autoriteit of zij de zaak al dan niet zal behandelen, overeenkomstig de in artikel 60 vastgelegde procedure; zij houdt daarbij rekening met het al dan niet bestaan van een vestiging van de verwerkingsverantwoordelijke of de verwerker in de lidstaat van de toezichthoudende autoriteit die haar in kennis heeft gesteld. 4. Wanneer de leidende toezichthoudende autoriteit besluit de zaak te behandelen, is de procedure van artikel 60 van toepassing. De toezichthoudende autoriteit die de leidende toezichthoudende autoriteit in kennis heeft gesteld, kan bij deze laatste een ontwerpbesluit indienen. De leidende toezichthoudende autoriteit houdt zoveel mogelijk rekening met dat ontwerp wanneer zij het in artikel 60, lid 3, bedoelde ontwerpbesluit opstelt. 5. Indien de leidende toezichthoudende autoriteit besluit de zaak niet te behandelen, wordt deze overeenkomstig de artikelen 61 en 62 behandeld door de toezichthoudende autoriteit die de leidende toezichthoudende autoriteit in kennis heeft gesteld. 6. De leidende toezichthoudende autoriteit is voor de verwerkingsverantwoordelijke of de verwerker de enige gesprekspartner bij grensoverschrijdende verwerking door die verwerkingsverantwoordelijke of verwerker.” |
9 |
Artikel 57 van verordening 2016/679, met als opschrift „Taken”, bepaalt in lid 1: „Onverminderd andere uit hoofde van deze verordening vastgestelde taken, verricht elke toezichthoudende autoriteit op haar grondgebied de volgende taken:
[...]
[...]” |
10 |
Artikel 58 van diezelfde verordening, met als opschrift „Bevoegdheden”, bepaalt in de leden 1, 4 en 5: „1. Elke toezichthoudende autoriteit heeft alle volgende onderzoeksbevoegdheden om:
[...]
[...] 4. Op de uitoefening van de bevoegdheden die uit hoofde van dit artikel aan de toezichthoudende autoriteit worden verleend, zijn passende waarborgen van toepassing, daaronder begrepen een doeltreffende voorziening in rechte en een eerlijke rechtsbedeling, zoals overeenkomstig het Handvest vastgelegd in het Unierecht en het lidstatelijke recht. 5. Elke lidstaat bepaalt bij wet dat zijn toezichthoudende autoriteit bevoegd is inbreuken op deze verordening ter kennis te brengen van de gerechtelijke autoriteiten en, waar passend, daartegen een rechtsvordering in te stellen of anderszins in rechte op te treden, teneinde de bepalingen van deze verordening te doen naleven.” |
11 |
Hoofdstuk VII („Samenwerking en coherentie”) van verordening 2016/679 bevat afdeling 1 („Samenwerking”), waarvan de artikelen 60 tot en met 62 deel uitmaken. Artikel 60, met als opschrift „Samenwerking tussen de leidende toezichthoudende autoriteit en de andere betrokken toezichthoudende autoriteiten”, bepaalt: „1. De leidende toezichthoudende autoriteit werkt overeenkomstig dit artikel samen met de andere betrokken toezichthoudende autoriteiten teneinde tot een consensus proberen te komen. De leidende toezichthoudende autoriteit en de betrokken toezichthoudende autoriteiten wisselen alle relevante informatie met elkaar uit. 2. De leidende toezichthoudende autoriteit kan te allen tijde andere betrokken toezichthoudende autoriteiten verzoeken wederzijdse bijstand overeenkomstig artikel 61 te verlenen, en kan gezamenlijke werkzaamheden ondernemen overeenkomstig artikel 62, in het bijzonder voor het uitvoeren van onderzoeken of voor het toezicht op de uitvoering van een maatregel betreffende een in een andere lidstaat gevestigde verwerkingsverantwoordelijke of verwerker. 3. De leidende toezichthoudende autoriteit deelt onverwijld alle relevante informatie over de aangelegenheid mee aan de andere betrokken toezichthoudende autoriteiten. Zij legt de andere betrokken toezichthoudende autoriteiten onverwijld te hunner beoordeling een ontwerpbesluit voor en houdt naar behoren rekening met hun standpunten. 4. Indien een van de andere betrokken toezichthoudende autoriteiten binnen een termijn van vier weken na te zijn geraadpleegd overeenkomstig lid 3 van dit artikel een relevant en gemotiveerd bezwaar tegen het ontwerpbesluit indient, onderwerpt de leidende toezichthoudende autoriteit, indien zij het relevante en gemotiveerde bezwaar afwijst of het niet relevant of niet gemotiveerd acht, de aangelegenheid aan het in artikel 63 bedoelde coherentiemechanisme. 5. Indien de leidende toezichthoudende autoriteit voornemens is het ingediende relevante en gemotiveerde bezwaar te honoreren, legt zij de overige betrokken toezichthoudende autoriteiten te hunner beoordeling een herzien ontwerpbesluit voor. Dat herziene ontwerpbesluit wordt binnen een termijn van twee weken aan de in lid 4 bedoelde procedure onderworpen. 6. Indien geen enkele andere betrokken toezichthoudende autoriteit binnen de in de leden 4 en 5 bedoelde termijn bezwaar heeft gemaakt tegen het door de leidende toezichthoudende autoriteit voorgelegde ontwerpbesluit, worden de leidende toezichthoudende autoriteit en de betrokken toezichthoudende autoriteiten geacht met dat ontwerpbesluit in te stemmen en zijn zij daaraan gebonden. 7. De leidende toezichthoudende autoriteit stelt het besluit vast en deelt het mee aan de hoofdvestiging of de enige vestiging van de verwerkingsverantwoordelijke of de verwerker, naargelang het geval, en stelt de andere betrokken toezichthoudende autoriteiten, alsmede het [Europees Comité voor gegevensbescherming] in kennis van het besluit in kwestie, voorzien van een samenvatting van de relevante feiten en gronden. De toezichthoudende autoriteit waarbij de klacht is ingediend, stelt de klager in kennis van het besluit. 8. Ingeval een klacht is afgewezen of verworpen, stelt de toezichthoudende autoriteit waarbij de klacht is ingediend, in afwijking van lid 7, het besluit vast en deelt zij het mee aan de klager en stelt zij de verwerkingsverantwoordelijke ervan in kennis. 9. Indien de leidende toezichthoudende autoriteit en de betrokken toezichthoudende autoriteiten het erover eens zijn delen van een klacht af te wijzen of te verwerpen en voor andere delen van die klacht op te treden, wordt voor elk van die laatstgenoemde delen een afzonderlijk besluit vastgesteld. [...] 10. De verwerkingsverantwoordelijke of de verwerker treft, na in kennis te zijn gesteld van het besluit van de leidende toezichthoudende autoriteit overeenkomstig de leden 7 en 9, de nodige maatregelen teneinde het besluit wat betreft de verwerkingsactiviteiten binnen al zijn vestigingen binnen de Unie te doen naleven. De verwerkingsverantwoordelijke of de verwerker deelt de door hem met het oog op de naleving van het besluit getroffen maatregelen mee aan de leidende toezichthoudende autoriteit, die de andere betrokken toezichthoudende autoriteiten ervan in kennis stelt. 11. Indien, in buitengewone omstandigheden, een betrokken toezichthoudende autoriteit het met reden dringend noodzakelijk acht dat in het belang van bescherming van de belangen van betrokkenen wordt opgetreden, is de in artikel 66 bedoelde spoedprocedure van toepassing. [...]” |
12 |
Artikel 61 van die verordening, met als opschrift „Wederzijdse bijstand”, bepaalt in lid 1: „De toezichthoudende autoriteiten verstrekken elkaar relevante informatie en wederzijdse bijstand om deze verordening op een consequente manier ten uitvoer te leggen en toe te passen, en nemen maatregelen om doeltreffend met elkaar samen te werken. De wederzijdse bijstand bestrijkt met name informatieverzoeken en toezichtsmaatregelen, zoals verzoeken om voorafgaande toestemming en raadpleging, inspecties en onderzoeken.” |
13 |
Artikel 62 van diezelfde verordening, met als opschrift „Gezamenlijke werkzaamheden van toezichthoudende autoriteiten”, bepaalt: „1. In voorkomend geval voeren de toezichthoudende autoriteiten gezamenlijke werkzaamheden uit, waaronder gezamenlijke onderzoeken en gezamenlijke handhavingsmaatregelen, waarbij leden of personeelsleden van de toezichthoudende autoriteiten van andere lidstaten worden betrokken. 2. Indien de verwerkingsverantwoordelijke of de verwerker vestigingen heeft in meerdere lidstaten, of indien een significant aantal betrokkenen in meer dan één lidstaat waarschijnlijk wezenlijke gevolgen ondervindt van de verwerkingsactiviteiten, heeft van elk van die lidstaten één toezichthoudende autoriteit het recht om aan de gezamenlijke werkzaamheden deel te nemen. [...] [...]” |
14 |
Afdeling 2 („Coherentie”) van hoofdstuk VII van verordening 2016/679 bevat de artikelen 63 tot en met 67. Artikel 63, met als opschrift „Coherentiemechanisme”, luidt als volgt: „Teneinde bij te dragen aan de consequente toepassing van deze verordening in de gehele Unie werken de toezichthoudende autoriteiten met elkaar [samen] en waar passend […] met de Commissie in het kader van het in deze afdeling uiteengezette coherentiemechanisme.” |
15 |
Artikel 64, lid 2, van die verordening luidt: „Een toezichthoudende autoriteit, de voorzitter van het [Europees Comité voor gegevensbescherming] of de Commissie kunnen elk verzoeken dat aangelegenheden van algemene strekking of met rechtsgevolgen in meer dan één lidstaat worden onderzocht door het [Europees Comité voor gegevensbescherming] teneinde advies te verkrijgen, met name wanneer een bevoegde toezichthoudende autoriteit haar verplichtingen tot wederzijdse bijstand overeenkomstig artikel 61, of tot gezamenlijke werkzaamheden overeenkomstig artikel 62, niet nakomt.” |
16 |
Artikel 65 van die verordening, met als opschrift „Geschillenbeslechting door het Comité”, bepaalt in lid 1: „Om te zorgen voor de correcte en consequente toepassing van deze verordening in individuele gevallen, stelt het [Europees Comité voor gegevensbescherming] een bindend besluit vast in de volgende gevallen:
[...]” |
17 |
Artikel 66 van verordening 2016/679, met als opschrift „Spoedprocedure”, bepaalt in de leden 1 en 2: „1. In buitengewone omstandigheden kan een betrokken toezichthoudende autoriteit, wanneer zij van mening is dat er dringend moet worden opgetreden om de rechten en vrijheden van betrokkenen te beschermen, in afwijking van het in de artikelen 63, 64 en 65 bedoelde coherentiemechanisme of van de in artikel 60 bedoelde procedure, onverwijld voorlopige maatregelen met een bepaalde geldigheidsduur van ten hoogste drie maanden nemen die beogen rechtsgevolgen in het leven te roepen op het eigen grondgebied. De toezichthoudende autoriteit deelt die maatregelen met opgave van de redenen onverwijld mee aan de andere betrokken toezichthoudende autoriteiten, het [Europees Comité voor gegevensbescherming] en de Commissie. 2. Wanneer een toezichthoudende autoriteit overeenkomstig lid 1 een maatregel heeft genomen en van mening is dat er dringend definitieve maatregelen moeten worden genomen, kan zij het [Europees Comité voor gegevensbescherming] met opgave van redenen om een dringend advies of een dringend bindend besluit verzoeken.” |
18 |
Artikel 77 van deze verordening, met als opschrift „Recht om een klacht in te dienen bij een toezichthoudende autoriteit”, bepaalt: „1. Onverminderd andere mogelijkheden van administratief beroep of een voorziening in rechte, heeft iedere betrokkene het recht een klacht in te dienen bij een toezichthoudende autoriteit, met name in de lidstaat waar hij gewoonlijk verblijft, hij zijn werkplek heeft of waar de beweerde inbreuk is begaan, indien hij van mening is dat de verwerking van hem betreffende persoonsgegevens inbreuk maakt op deze verordening. 2. De toezichthoudende autoriteit waarbij de klacht is ingediend, stelt de klager in kennis van de voortgang en het resultaat van de klacht, alsmede van de mogelijke voorziening in rechte overeenkomstig artikel 78.” |
19 |
Artikel 78 van die verordening, met als opschrift „Recht om een doeltreffende voorziening in rechte in te stellen tegen een toezichthoudende autoriteit”, bepaalt: „1. Onverminderd andere mogelijkheden van administratief of buitengerechtelijk beroep, heeft iedere natuurlijke persoon of rechtspersoon het recht om tegen een hem betreffend juridisch bindend besluit van een toezichthoudende autoriteit een doeltreffende voorziening in rechte in te stellen. 2. Onverminderd andere mogelijkheden van administratief of buitengerechtelijk beroep heeft iedere betrokkene het recht om een doeltreffende voorziening in rechte in te stellen indien de overeenkomstig de artikelen 55 en 56 bevoegde toezichthoudende autoriteit een klacht niet behandelt of de betrokkene niet binnen drie maanden in kennis stelt van de voortgang of het resultaat van de uit hoofde van artikel 77 ingediende klacht. 3. Een procedure tegen een toezichthoudende autoriteit wordt ingesteld bij de gerechten van de lidstaat waar de toezichthoudende autoriteit is gevestigd. 4. Wanneer een procedure wordt ingesteld tegen een besluit van een toezichthoudende autoriteit waaraan een advies of een besluit van het [Europees Comité voor gegevensbescherming] in het kader van het coherentiemechanisme is voorafgegaan, doet de toezichthoudende autoriteit dat advies of besluit aan de gerechten toekomen.” |
20 |
Artikel 79 van deze verordening, met als opschrift „Recht om een doeltreffende voorziening in rechte in te stellen tegen een verwerkingsverantwoordelijke of een verwerker”, bepaalt: „1. Onverminderd andere mogelijkheden van administratief of buitengerechtelijk beroep, waaronder het recht uit hoofde van artikel 77 een klacht in te dienen bij een toezichthoudende autoriteit, heeft elke betrokkene het recht een doeltreffende voorziening in rechte in te stellen indien hij van mening is dat zijn rechten uit hoofde van deze verordening geschonden zijn ten gevolge van een verwerking van zijn persoonsgegevens die niet aan deze verordening voldoet. 2. Een procedure tegen een verwerkingsverantwoordelijke of een verwerker wordt ingesteld bij de gerechten van de lidstaat waar de verwerkingsverantwoordelijke of de verwerker een vestiging heeft. Een dergelijke procedure kan ook worden ingesteld bij de gerechten van de lidstaat waar de betrokkene gewoonlijk verblijft, tenzij de verwerkingsverantwoordelijke of de verwerker een overheidsinstantie van een lidstaat is die optreedt in de uitoefening van het overheidsgezag.” |
Belgisch recht
21 |
Bij de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (Belgisch Staatsblad, 18 maart 1993, blz. 5801), zoals gewijzigd bij de wet van 11 december 1998 (Belgisch Staatsblad, 3 februari 1999, blz. 3049) (hierna: „wet van 8 december 1992”), is richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (PB 1995, L 281, blz. 31) omgezet in Belgisch recht. |
22 |
Bij de wet van 8 december 1992 is de Privacycommissie opgericht, een onafhankelijke instantie die tot taak heeft ervoor te zorgen dat de persoonsgegevens met inachtneming van deze wet worden verwerkt, teneinde het privéleven van de burgers te beschermen. |
23 |
In artikel 32, § 3, van de wet van 8 december 1992 werd het volgende bepaald: „Onverminderd de bevoegdheid van de gewone hoven en rechtbanken met het oog op de toepassing van de algemene beginselen inzake bescherming van de persoonlijke levenssfeer, kan de voorzitter van de [Privacycommissie] ieder geschil aangaande de toepassing van deze wet en haar uitvoeringsmaatregelen aan de rechtbank van eerste aanleg voorleggen.” |
24 |
Bij de wet van 3 december 2017 tot oprichting van de Gegevensbeschermingsautoriteit (Belgisch Staatsblad, 10 januari 2018, blz. 989; hierna: „wet van 3 december 2017”), die op 25 mei 2018 in werking is getreden, is de GBA opgericht als toezichthoudende autoriteit in de zin van verordening 2016/679. |
25 |
Artikel 3 van de wet van 3 december 2017 bepaalt: „Bij de Kamer van volksvertegenwoordigers wordt een ‚Gegevensbeschermingsautoriteit’ opgericht. Zij is de opvolger van de [Privacycommissie].” |
26 |
Artikel 6 van de wet van 3 december 2017 bepaalt: „De [GBA] is bevoegd inbreuken op de grondbeginselen van de bescherming van de persoonsgegevens, in het kader van deze wet en van de wetten die bepalingen bevatten inzake de bescherming van de verwerking van persoonsgegevens ter kennis te brengen van de gerechtelijke autoriteiten en, waar passend, een rechtsvordering in te stellen teneinde deze grondbeginselen te doen naleven.” |
27 |
Er is geen specifieke bepaling opgenomen voor gerechtelijke procedures die op 25 mei 2018 reeds door de voorzitter van de Privacycommissie waren ingeleid op grond van artikel 32, § 3, van de wet van 8 december 1992. Wat enkel de bij de GBA zelf ingediende klachten of verzoeken betreft, bepaalt artikel 112 van de wet van 3 december 2017: „Hoofdstuk VI is niet van toepassing op klachten of verzoeken die nog hangend zijn bij de [GBA] op het ogenblik van de inwerkingtreding van deze wet. De in het eerste lid bedoelde klachten of verzoeken worden door de [GBA], als rechtsopvolger van de [Privacycommissie], verder afgehandeld volgens de procedure van toepassing voor de inwerkingtreding van deze wet.” |
28 |
De wet van 8 december 1992 is ingetrokken bij de wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens (Belgisch Staatsblad, 5 september 2018, blz. 68616). Laatstgenoemde wet beoogt in het Belgisch recht uitvoering te geven aan de bepalingen van verordening 2016/679 volgens welke de lidstaten ter aanvulling van deze verordening nadere regels moeten of mogen vaststellen. |
Hoofdgeding en prejudiciële vragen
29 |
Op 11 september 2015 heeft de voorzitter van de Privacycommissie bij de Nederlandstalige rechtbank van eerste aanleg Brussel (België) een stakingsvordering tegen Facebook Ireland, Facebook Inc. en Facebook Belgium ingesteld. Aangezien de Privacycommissie geen rechtspersoonlijkheid had, diende de voorzitter ervan vorderingen in te stellen teneinde de naleving van de wettelijke regeling inzake de bescherming van persoonsgegevens te waarborgen. De Privacycommissie zelf heeft evenwel verzocht om vrijwillige tussenkomst in de door haar voorzitter ingeleide procedure. |
30 |
Deze stakingsvordering had tot doel een einde te maken aan wat de Privacycommissie met name omschrijft als een „ernstige en grootschalige schending door Facebook van de wetgeving op het gebied van de bescherming van de persoonlijke levenssfeer”, bestaande in het verzamelen door dit online sociale netwerk van informatie over het surfgedrag van zowel houders van een Facebookaccount als niet-gebruikers van de diensten van Facebook via verschillende technologieën, zoals cookies, social plug-ins (sociale invoegtoepassingen) (bijvoorbeeld „Vind ik leuk” of „Delen”) of pixels. Die stellen het betrokken sociale netwerk in staat om bepaalde gegevens te verkrijgen van een internetgebruiker die een pagina raadpleegt van een website die deze bevat, zoals het adres van deze pagina, het „IP-adres” van de bezoeker van die pagina en de datum en het uur van de betrokken raadpleging. |
31 |
Bij vonnis van 16 februari 2018 heeft de Nederlandstalige rechtbank van eerste aanleg Brussel zich bevoegd verklaard om uitspraak te doen over deze stakingsvordering, voor zover deze betrekking had op Facebook Ireland, Facebook Inc. en Facebook Belgium, en heeft zij het door de Privacycommissie ingediende verzoek tot vrijwillige tussenkomst niet-ontvankelijk verklaard. |
32 |
Ten gronde heeft deze rechter geoordeeld dat het betrokken sociale netwerk de Belgische internetgebruikers onvoldoende informeerde over het feit dat het de betrokken informatie verzamelde en over het gebruik van die informatie. Bovendien heeft hij de door internetgebruikers gegeven toestemming voor het verzamelen en verwerken van deze informatie als ongeldig beschouwd. Bijgevolg heeft hij Facebook Ireland, Facebook Inc. en Facebook Belgium ten eerste gelast om ten aanzien van elke internetgebruiker die op het Belgische grondgebied is gevestigd, te staken met het zonder diens toestemming plaatsen van cookies die gedurende twee jaar actief blijven op het apparaat dat hij gebruikt wanneer hij op een webpagina van het Facebook.com-domein surft of terechtkomt op de website van een derde, alsmede te staken met het plaatsen van cookies en het verzamelen van gegevens met behulp van social plug-ins, pixels of soortgelijke technologische middelen op websites van derden, op een wijze die buitensporig is gelet op de doelstellingen die het sociale netwerk Facebook nastreeft; ten tweede om te staken met het verstrekken van informatie die betrokkenen redelijkerwijs zou kunnen misleiden over de werkelijke draagwijdte van de door dit sociale netwerk ter beschikking gestelde mechanismen voor het gebruik van cookies, en ten derde om alle persoonsgegevens te vernietigen die zijn verkregen door middel van cookies en social plug-ins. |
33 |
Op 2 maart 2018 hebben Facebook Ireland, Facebook Inc. en Facebook Belgium hoger beroep ingesteld bij het hof van beroep Brussel (België). Voor deze rechterlijke instantie treedt de GBA op als rechtsopvolger zowel van de voorzitter van de Privacycommissie, die de vordering tot staking had ingesteld, als van de Privacycommissie zelf. |
34 |
De verwijzende rechter heeft zich uitsluitend bevoegd verklaard om uitspraak te doen op het hoger beroep dat is ingesteld voor zover dit Facebook Belgium betreft. Hij heeft zich daarentegen onbevoegd verklaard om kennis te nemen van dit hoger beroep wat Facebook Ireland en Facebook Inc. betreft. |
35 |
Alvorens de zaak ten gronde af te doen, vraagt de verwijzende rechter zich af of de GBA de vereiste procesbevoegdheid en het vereiste procesbelang heeft. Volgens Facebook Belgium is de ingestelde stakingsvordering niet-ontvankelijk wat betreft de feiten die dateren van vóór 25 mei 2018, aangezien artikel 32, § 3, van de wet van 8 december 1992, dat de rechtsgrondslag vormt voor het instellen van een dergelijke vordering, na de inwerkingtreding van de wet van 3 december 2017 en van verordening 2016/679 is ingetrokken. Wat de feiten betreft die dateren van na 25 mei 2018, voert Facebook Belgium aan dat de GBA niet bevoegd is en niet het recht heeft om deze vordering in te stellen, gelet op het „één-loketmechanisme” dat thans op grond van het bepaalde in verordening 2016/679 is ingevoerd. Op grond van deze bepalingen is immers alleen de Data Protection Commissioner (commissaris voor gegevensbescherming, Ierland) bevoegd om een stakingsvordering in te stellen tegen Facebook Ireland, die als enige verantwoordelijk is voor de verwerking van persoonsgegevens van de gebruikers van het betrokken sociale netwerk in de Unie. |
36 |
De verwijzende rechter heeft geoordeeld dat de GBA niet het vereiste procesbelang had om deze stakingsvordering in te stellen, aangezien deze betrekking had op feiten die dateren van vóór 25 mei 2018. Wat de feiten betreft die zich na die datum hebben voorgedaan, heeft de verwijzende rechter niettemin twijfels over de gevolgen van de inwerkingtreding van verordening 2016/679 – met name wat de toepassing van het „één-loketmechanisme” betreft waarin deze verordening voorziet – voor de bevoegdheden van de GBA en voor de bevoegdheid van deze laatste om een dergelijke stakingsvordering in te stellen. |
37 |
Volgens de verwijzende rechter rijst thans in het bijzonder de vraag of de GBA voor de feiten die zich na 25 mei 2018 hebben voorgedaan, kan optreden tegen Facebook Belgium, aangezien Facebook Ireland is geïdentificeerd als verwerkingsverantwoordelijke voor de betrokken gegevens. Sinds die datum en op grond van het „één-loketbeginsel” lijkt volgens artikel 56 van verordening 2016/679 alleen de commissaris voor gegevensbescherming bevoegd te zijn, onder toezicht van uitsluitend de Ierse rechterlijke instanties. |
38 |
De verwijzende rechter herinnert eraan dat het Hof in het arrest van 5 juni 2018, Wirtschaftsakademie Schleswig-Holstein (C‑210/16, EU:C:2018:388), heeft geoordeeld dat de „Duitse toezichthoudende autoriteit” bevoegd was om uitspraak te doen over een geschil inzake de bescherming van persoonsgegevens, terwijl de verwerkingsverantwoordelijke van de betrokken gegevens zijn zetel in Ierland had en zijn in Duitsland gezetelde dochteronderneming, Facebook Germany GmbH, zich enkel bezighield met de verkoop van advertentieruimte en andere marketingactiviteiten op het Duitse grondgebied. |
39 |
In de zaak die tot dat arrest heeft geleid, was het Hof echter verzocht om een prejudiciële beslissing over de uitlegging van de bepalingen van richtlijn 95/46, die bij verordening 2016/679 is ingetrokken. De verwijzende rechter vraagt zich af in hoeverre de uitlegging die het Hof in het voornoemde arrest heeft gegeven, nog relevant is voor de toepassing van verordening 2016/679. |
40 |
De verwijzende rechter wijst ook op een recenter besluit van het Bundeskartellamt (federale mededingingsautoriteit, Duitsland) van 6 februari 2019 (het zogenoemde „Facebookbesluit”), waarin die mededingingsautoriteit in wezen heeft geoordeeld dat de betrokken onderneming haar machtspositie misbruikte door het samenvoegen van gegevens van verschillende bronnen. Dat is thans alleen nog toegestaan wanneer gebruikers hun uitdrukkelijke toestemming daartoe hebben gegeven, met dien verstande dat de gebruiker die zijn toestemming niet geeft, niet mag worden uitgesloten van de diensten van Facebook. De verwijzende rechter merkt op dat deze mededingingsautoriteit zich kennelijk bevoegd heeft geacht, ondanks het „één-loketmechanisme”. |
41 |
Bovendien is de verwijzende rechter van oordeel dat artikel 6 van de wet van 3 december 2017, op grond waarvan de GBA in beginsel in voorkomend geval in rechte mag optreden, niet impliceert dat de vordering van de GBA in alle omstandigheden bij de Belgische rechterlijke instanties kan worden ingesteld, aangezien het „één-loketmechanisme” lijkt te vereisen dat een dergelijke vordering wordt ingesteld bij de rechter van de plaats waar de gegevensverwerking plaatsvindt. |
42 |
Tegen deze achtergrond heeft het hof van beroep Brussel de behandeling van de zaak geschorst en het Hof verzocht om een prejudiciële beslissing over de volgende vragen:
|
Beantwoording van de prejudiciële vragen
Eerste vraag
43 |
Met zijn eerste vraag wenst de verwijzende rechter in wezen te vernemen of artikel 55, lid 1, en de artikelen 56 tot en met 58 en 60 tot en met 66 van verordening 2016/679, gelezen in samenhang met de artikelen 7, 8 en 47 van het Handvest, aldus moeten worden uitgelegd dat een toezichthoudende autoriteit van een lidstaat die krachtens de ter uitvoering van artikel 58, lid 5, van die verordening vastgestelde nationale wettelijke regeling bevoegd is om elke vermeende inbreuk op die verordening ter kennis te brengen van een rechterlijke instantie van die lidstaat en, waar passend, in rechte op te treden, die bevoegdheid kan uitoefenen met betrekking tot een grensoverschrijdende gegevensverwerking, ook al is zij ten aanzien van die gegevensverwerking niet de „leidende toezichthoudende autoriteit” in de zin van artikel 56, lid 1, van die verordening. |
44 |
In dit verband zij er om te beginnen aan herinnerd dat, anders dan richtlijn 95/46, die was vastgesteld op de grondslag van artikel 100 A EG-Verdrag betreffende de harmonisatie van de gemeenschappelijke markt, de rechtsgrondslag van verordening 2016/679 artikel 16 VWEU is, waarin het recht van eenieder op bescherming van persoonsgegevens is neergelegd en volgens hetwelk het Europees Parlement en de Raad van de Europese Unie bevoegd zijn om de voorschriften vast te stellen betreffende de bescherming van natuurlijke personen ten aanzien van de verwerking van die gegevens door de instellingen, organen en instanties van de Unie, alsook door de lidstaten, bij de uitoefening van activiteiten die binnen het toepassingsgebied van het recht van de Unie vallen, alsmede de voorschriften betreffende het vrije verkeer van die gegevens. Voorts wordt in overweging 1 van deze verordening verklaard dat „[d]e bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens [...] een grondrecht [is]” en wordt eraan herinnerd dat ingevolge artikel 8, lid 1, van het Handvest en artikel 16, lid 1, VWEU eenieder recht heeft op bescherming van zijn persoonsgegevens. |
45 |
Zoals blijkt uit artikel 1, lid 2, van verordening 2016/679, gelezen in samenhang met de overwegingen 10, 11 en 13 ervan, legt deze verordening de instellingen, organen en instanties van de Unie en de bevoegde autoriteiten van de lidstaten bijgevolg de verplichting op om een hoog niveau van bescherming van de door artikel 16 VWEU en artikel 8 van het Handvest gewaarborgde rechten te waarborgen. |
46 |
Zoals in overweging 4 van deze verordening staat te lezen, eerbiedigt deze verordening bovendien alle grondrechten alsook de vrijheden en beginselen die zijn erkend in het Handvest. |
47 |
Tegen deze achtergrond voorziet artikel 55, lid 1, van verordening 2016/679 in beginsel in de competentie van elke toezichthoudende autoriteit om op het grondgebied van haar lidstaat de taken en bevoegdheden uit te oefenen die haar overeenkomstig deze verordening zijn toegekend (zie in die zin arrest van 16 juli 2020, Facebook Ireland en Schrems, C‑311/18, EU:C:2020:559, punt 147). |
48 |
Tot de taken waarmee deze toezichthoudende autoriteiten zijn belast, behoren met name de in artikel 57, lid 1, onder a), van verordening 2016/679 bedoelde taak om toezicht te houden op de toepassing van die verordening en erop toe te zien dat zij wordt nageleefd, alsook de in artikel 57, lid 1, onder g), bedoelde taak om met andere toezichthoudende autoriteiten samen te werken, onder meer door informatie te delen en wederzijdse bijstand te bieden, teneinde de samenhang in de toepassing en de handhaving van deze verordening te waarborgen. Tot de bevoegdheden die deze toezichthoudende autoriteiten met het oog op de uitvoering van die taken zijn verleend, behoren verschillende onderzoeksbevoegdheden als bedoeld in artikel 58, lid 1, van verordening 2016/679, alsmede de in artikel 58, lid 5, van de verordening neergelegde bevoegdheid om elke inbreuk op deze verordening ter kennis te brengen van de gerechtelijke autoriteiten en, waar passend, in rechte op te treden teneinde de bepalingen van die verordening te doen naleven. |
49 |
De uitoefening van deze taken en bevoegdheden veronderstelt echter dat een toezichthoudende autoriteit een competentie heeft met betrekking tot een bepaalde gegevensverwerking. |
50 |
Onverminderd de competentieregel van artikel 55, lid 1, van verordening 2016/679, voorziet artikel 56, lid 1, van deze verordening in dat opzicht voor „grensoverschrijdende verwerkingen” in de zin van artikel 4, punt 23, van die verordening in het „één-loketmechanisme”, dat is gebaseerd op een competentieverdeling tussen een „leidende toezichthoudende autoriteit” en de andere betrokken toezichthoudende autoriteiten. Op grond van dit mechanisme is de toezichthoudende autoriteit van de hoofdvestiging of de enige vestiging van de verwerkingsverantwoordelijke of verwerker competent op te treden als leidende toezichthoudende autoriteit voor de grensoverschrijdende verwerking door die verwerkingsverantwoordelijke of verwerker overeenkomstig de procedure van artikel 60. |
51 |
Dat laatste artikel regelt de procedure van samenwerking tussen de leidende toezichthoudende autoriteit en de andere betrokken toezichthoudende autoriteiten. In het kader van deze procedure moet de leidende toezichthoudende autoriteit met name proberen tot een consensus te komen. Daartoe legt zij overeenkomstig artikel 60, lid 3, van de verordening de andere betrokken toezichthoudende autoriteiten onverwijld te hunner beoordeling een ontwerpbesluit voor en houdt zij naar behoren rekening met hun standpunten. |
52 |
In het bijzonder volgt uit de artikelen 56 en 60 van verordening 2016/679 dat de verschillende betrokken nationale toezichthoudende autoriteiten bij „grensoverschrijdende verwerkingen” in de zin van artikel 4, punt 23, van die verordening – en onder voorbehoud van artikel 56, lid 2, ervan – volgens de in die bepalingen vastgestelde procedure moeten samenwerken teneinde een consensus te bereiken en tot één besluit te komen dat al die autoriteiten bindt en waarvan de verwerkingsverantwoordelijke de naleving wat betreft de verwerkingsactiviteiten binnen al zijn vestigingen binnen de Unie moet waarborgen. Voorts wordt de toezichthoudende autoriteiten bij artikel 61, lid 1, van verordening 2016/679 met name de verplichting opgelegd om elkaar relevante informatie te verstrekken en wederzijdse bijstand te verlenen om deze verordening op een consequente manier ten uitvoer te leggen en toe te passen in de gehele Unie. Artikel 63 van verordening 2016/679 preciseert dat met het oog daarop is voorzien in het coherentiemechanisme dat is neergelegd in de artikelen 64 en 65 ervan [arrest van 24 september 2019, Google (Territoriale werkingssfeer van de verwijdering van links), C‑507/17, EU:C:2019:772, punt 68]. |
53 |
De toepassing van het „één-loketmechanisme” vereist dus, zoals overweging 13 van verordening 2016/679 bevestigt, een loyale en doeltreffende samenwerking tussen de leidende toezichthoudende autoriteit en de andere betrokken toezichthoudende autoriteiten. Zoals de advocaat-generaal in punt 111 van zijn conclusie heeft opgemerkt, kan de leidende toezichthoudende autoriteit de standpunten van de andere betrokken toezichthoudende autoriteiten niet negeren en heeft elk relevant en gemotiveerd bezwaar van een van deze autoriteiten tot gevolg dat de vaststelling van het ontwerpbesluit van de leidende toezichthoudende autoriteit op zijn minst tijdelijk wordt geblokkeerd. |
54 |
Indien een van de andere betrokken toezichthoudende autoriteiten binnen vier weken na te zijn geraadpleegd een dergelijk relevant en gemotiveerd bezwaar tegen het ontwerpbesluit indient, onderwerpt de leidende toezichthoudende autoriteit indien zij het relevante en gemotiveerde bezwaar afwijst of het niet relevant of niet gemotiveerd acht, de aangelegenheid dus overeenkomstig artikel 60, lid 4, van verordening 2016/679 aan het in artikel 63 van deze verordening bedoelde coherentiemechanisme, teneinde van het Europees Comité voor gegevensbescherming een krachtens artikel 65, lid 1, onder a), van die verordening vastgesteld bindend besluit te verkrijgen. |
55 |
Krachtens artikel 60, lid 5, van verordening 2016/679 legt de leidende toezichthoudende autoriteit, indien zij daarentegen voornemens is het ingediende relevante en gemotiveerde bezwaar te honoreren, de overige betrokken toezichthoudende autoriteiten te hunner beoordeling een herzien ontwerpbesluit voor. Dat herziene ontwerpbesluit wordt binnen een termijn van twee weken aan de in artikel 60, lid 4, van die verordening bedoelde procedure onderworpen. |
56 |
Overeenkomstig artikel 60, lid 7, van die verordening staat het in beginsel aan de leidende toezichthoudende autoriteit om over de betrokken grensoverschrijdende verwerking een besluit vast te stellen, om dit besluit mede te delen aan de hoofdvestiging of de enige vestiging van de verwerkingsverantwoordelijke of de verwerker, naargelang het geval, en om de andere betrokken toezichthoudende autoriteiten, alsmede het Europees Comité voor gegevensbescherming in kennis te stellen van het besluit in kwestie, voorzien van een samenvatting van de relevante feiten en gronden. |
57 |
Afgezien daarvan moet worden benadrukt dat verordening 2016/679 voorziet in uitzonderingen op het beginsel van de beslissingscompetentie van de leidende toezichthoudende autoriteit in het kader van het „één-loketmechanisme” van artikel 56, lid 1, van die verordening. |
58 |
Tot die uitzonderingen behoort in de eerste plaats artikel 56, lid 2, van verordening 2016/679, dat bepaalt dat een toezichthoudende autoriteit die niet de leidende toezichthoudende autoriteit is, competent is om een bij haar ingediende klacht die betrekking heeft op een grensoverschrijdende verwerking van persoonsgegevens of een eventuele inbreuk op die verordening te behandelen indien het onderwerp van die zaak alleen verband houdt met een vestiging in haar lidstaat of alleen voor betrokkenen in haar lidstaat wezenlijke gevolgen heeft. |
59 |
In de tweede plaats voorziet artikel 66 van verordening 2016/679, in afwijking van de in de artikelen 60 en 63 tot en met 65 van deze verordening bedoelde coherentiemechanismen, in een spoedprocedure. Deze spoedprocedure maakt het in buitengewone omstandigheden mogelijk om, wanneer de betrokken toezichthoudende autoriteit van mening is dat er dringend moet worden opgetreden om de rechten en vrijheden van betrokkenen te beschermen, onverwijld voorlopige maatregelen te nemen met een bepaalde geldigheidsduur van ten hoogste drie maanden die beogen rechtsgevolgen in het leven te roepen op het eigen grondgebied, waarbij artikel 66, lid 2, van verordening 2016/679 bovendien bepaalt dat wanneer een toezichthoudende autoriteit overeenkomstig lid 1 een maatregel heeft genomen en van mening is dat er dringend definitieve maatregelen moeten worden genomen, zij het Europees Comité voor gegevensbescherming met opgave van redenen om een dringend advies of een dringend bindend besluit kan verzoeken. |
60 |
Deze competentie van de toezichthoudende autoriteiten moet echter worden uitgeoefend met inachtneming van een loyale en doeltreffende samenwerking met de leidende toezichthoudende autoriteit overeenkomstig de procedure van artikel 56, leden 3 tot en met 5, van verordening 2016/679. In dat geval moet de betrokken toezichthoudende autoriteit immers krachtens artikel 56, lid 3, van die verordening de leidende toezichthoudende autoriteit onverwijld in kennis stellen van de zaak, en besluit deze laatste binnen drie weken nadat zij in kennis is gesteld of zij de zaak al dan niet zal behandelen. |
61 |
Artikel 56, lid 4, van verordening 2016/679 bepaalt dat wanneer de leidende toezichthoudende autoriteit besluit de zaak te behandelen, de in artikel 60 van deze verordening bedoelde samenwerkingsprocedure van toepassing is. In deze context kan de toezichthoudende autoriteit die de leidende toezichthoudende autoriteit in kennis heeft gesteld, bij haar een ontwerpbesluit indienen, en deze laatste moet bij de opstelling van het in artikel 60, lid 3, van die verordening bedoelde ontwerpbesluit zoveel mogelijk rekening houden met dat ontwerp. |
62 |
Daarentegen bepaalt artikel 56, lid 5, van verordening 2016/679 dat indien de leidende toezichthoudende autoriteit besluit de zaak niet te behandelen, deze door de toezichthoudende autoriteit die haar in kennis heeft gesteld wordt behandeld overeenkomstig de artikelen 61 en 62 van deze verordening, op grond waarvan de toezichthoudende autoriteiten de regels inzake wederzijdse bijstand en samenwerking in het kader van gezamenlijke werkzaamheden moeten naleven teneinde een doeltreffende samenwerking tussen de betrokken autoriteiten te waarborgen. |
63 |
Uit het voorgaande volgt dat, op het gebied van grensoverschrijdende verwerking van persoonsgegevens, de competentie van de leidende toezichthoudende autoriteit om een besluit te nemen waarbij wordt vastgesteld dat een dergelijke verwerking in strijd is met de in verordening 2016/679 vervatte regels inzake de bescherming van de rechten van natuurlijke personen in verband met de verwerking van persoonsgegevens, de regel is, terwijl de competentie van de andere betrokken toezichthoudende autoriteiten om – zelfs maar voorlopig – een dergelijk besluit vast te stellen, de uitzondering vormt. Hoewel het beginsel van de competentie van de leidende toezichthoudende autoriteit wordt bevestigd door artikel 56, lid 6, van verordening 2016/679, volgens hetwelk de leidende toezichthoudende autoriteit de „enige gesprekspartner” is van de verwerkingsverantwoordelijke of de verwerker voor de grensoverschrijdende verwerking door deze verwerkingsverantwoordelijke of verwerker, moet die autoriteit die competentie wel uitoefenen in het kader van een nauwe samenwerking met de andere betrokken toezichthoudende autoriteiten. In het bijzonder kan de leidende toezichthoudende autoriteit zich bij de uitoefening van haar bevoegdheden, zoals in punt 53 van het onderhavige arrest is opgemerkt, niet onttrekken aan een noodzakelijke dialoog en aan een loyale en doeltreffende samenwerking met de andere betrokken toezichthoudende autoriteiten. |
64 |
In dit verband blijkt uit overweging 10 van verordening 2016/679 dat deze verordening met name tot doel heeft te zorgen voor een in de gehele Unie coherente en homogene toepassing van de regels inzake bescherming van de grondrechten en de fundamentele vrijheden van natuurlijke personen in verband met de verwerking van persoonsgegevens, en de belemmeringen voor het verkeer van persoonsgegevens binnen de Unie op te heffen. |
65 |
Een dergelijke doelstelling en het nuttige effect van het „één-loketmechanisme” zouden in gevaar kunnen komen indien een toezichthoudende autoriteit die in het geval van een grensoverschrijdende gegevensverwerking niet de leidende toezichthoudende autoriteit is, de in artikel 58, lid 5, van verordening 2016/679 bedoelde bevoegdheid kon uitoefenen buiten de gevallen waarin zij competent is om een besluit als bedoeld in punt 63 van het onderhavige arrest vast te stellen. Met de uitoefening van een dergelijke bevoegdheid wordt immers beoogd te komen tot een bindende rechterlijke beslissing, die evenzeer afbreuk kan doen aan dat doel en aan dat mechanisme als een besluit van een toezichthoudende autoriteit die niet de leidende toezichthoudende autoriteit is. |
66 |
Anders dan de GBA stelt, is de omstandigheid dat een toezichthoudende autoriteit van een lidstaat die niet de leidende toezichthoudende autoriteit is, de in artikel 58, lid 5, van verordening 2016/679 bedoelde bevoegdheid slechts kan uitoefenen met inachtneming van de regels voor de verdeling van de beslissingscompetenties die in het bijzonder zijn neergelegd in de artikelen 55 en 56 van deze verordening, gelezen in samenhang met artikel 60 ervan, in overeenstemming met de artikelen 7, 8 en 47 van het Handvest. |
67 |
Wat ten eerste het betoog inzake de vermeende schending van de artikelen 7 en 8 van het Handvest betreft, zij eraan herinnerd dat artikel 7 eenieder het recht waarborgt op eerbiediging van zijn privéleven, zijn familie- en gezinsleven, zijn woning en zijn communicatie, terwijl artikel 8, lid 1, van het Handvest, net als artikel 16, lid 1, VWEU, uitdrukkelijk aan eenieder het recht toekent op bescherming van zijn persoonsgegevens. Meer bepaald uit artikel 51, lid 1, van verordening 2016/679 volgt dat de toezichthoudende autoriteiten belast zijn met het toezicht op de toepassing van deze verordening, met name teneinde de grondrechten van natuurlijke personen in verband met de verwerking van hun persoonsgegevens te beschermen. Hieruit volgt dat, overeenkomstig hetgeen in punt 45 van het onderhavige arrest is uiteengezet, de in deze verordening neergelegde regels voor de verdeling van de beslissingscompetenties tussen de leidende toezichthoudende autoriteit en de andere toezichthoudende autoriteiten geen afbreuk doen aan de verantwoordelijkheid van elk van deze autoriteiten om bij te dragen tot een hoog niveau van bescherming van die rechten, met inachtneming van deze regels en de in punt 52 van het onderhavige arrest genoemde vereisten van samenwerking en wederzijdse bijstand. |
68 |
Dit betekent in het bijzonder dat het „één-loketmechanisme” er in geen geval toe mag leiden dat een nationale toezichthoudende autoriteit, meer bepaald de leidende toezichthoudende autoriteit, niet de krachtens verordening 2016/679 op haar rustende verantwoordelijkheid opneemt om bij te dragen tot een doeltreffende bescherming van natuurlijke personen tegen inbreuken op hun in het vorige punt van het onderhavige arrest in herinnering gebrachte grondrechten, omdat anders, met name wat de verwerkingsverantwoordelijken betreft, de praktijk van forum shopping wordt aangemoedigd, die erop is gericht deze grondrechten en de daadwerkelijke toepassing van de bepalingen van deze verordening waarin aan die grondrechten uitvoering wordt gegeven, te omzeilen. |
69 |
Ten tweede kan het betoog inzake een vermeende schending van het door artikel 47 van het Handvest gewaarborgde recht op een doeltreffende voorziening in rechte evenmin worden aanvaard. De in de punten 64 en 65 van het onderhavige arrest uiteengezette afbakening van de mogelijkheid voor een andere toezichthoudende autoriteit dan de leidende toezichthoudende autoriteit om de in artikel 58, lid 5, van verordening 2016/679 bedoelde bevoegdheid uit te oefenen met betrekking tot een grensoverschrijdende verwerking van persoonsgegevens, doet immers niet af aan het door artikel 78, leden 1 en 2, van deze verordening aan eenieder toegekende recht om een doeltreffende voorziening in rechte in te stellen, met name tegen een hem of haar betreffend juridisch bindend besluit van een toezichthoudende autoriteit of tegen de niet-behandeling van een door hem of haar ingediende klacht door de toezichthoudende autoriteit die competent is krachtens de artikelen 55 en 56 van die verordening, gelezen in samenhang met artikel 60 ervan. |
70 |
Hiervan is met name sprake in het geval dat is genoemd in artikel 56, lid 5, van verordening 2016/679, waarin, zoals in punt 62 van het onderhavige arrest is opgemerkt, de toezichthoudende autoriteit die de leidende toezichthoudende autoriteit op grond van artikel 56, lid 3, van deze verordening van de zaak in kennis heeft gesteld, deze overeenkomstig de artikelen 61 en 62 van die verordening kan behandelen indien de leidende toezichthoudende autoriteit, na daarvan in kennis te zijn gesteld, besluit dat zij deze niet zelf zal behandelen. In het kader van een dergelijke behandeling kan overigens niet worden uitgesloten dat de betrokken toezichthoudende autoriteit in voorkomend geval kan besluiten om de haar bij artikel 58, lid 5, van verordening 2016/679 verleende bevoegdheid uit te oefenen. |
71 |
Nu dit is gepreciseerd, moet worden benadrukt dat de uitoefening van de bevoegdheid van een toezichthoudende autoriteit van een lidstaat om zich tot de rechterlijke instanties van haar lidstaat te wenden, niet kan worden uitgesloten wanneer de leidende toezichthoudende autoriteit, na krachtens artikel 61 van verordening 2016/679 om de wederzijdse bijstand te zijn verzocht, haar niet de gevraagde informatie verstrekt. In dat geval kan de betrokken toezichthoudende autoriteit krachtens artikel 61, lid 8, van die verordening een voorlopige maatregel nemen op het grondgebied van haar lidstaat en kan zij, indien zij van mening is dat er dringend definitieve maatregelen moeten worden genomen, overeenkomstig artikel 66, lid 2, van die verordening het Europees Comité voor gegevensbescherming verzoeken om een dringend advies of een dringend bindend besluit. Bovendien kan een toezichthoudende autoriteit krachtens artikel 64, lid 2, van deze verordening verzoeken dat aangelegenheden van algemene strekking of met rechtsgevolgen in meer dan één lidstaat worden onderzocht door het Europees Comité voor gegevensbescherming teneinde advies te verkrijgen, met name wanneer een bevoegde toezichthoudende autoriteit haar verplichtingen tot wederzijdse bijstand overeenkomstig artikel 61 niet nakomt. Na de vaststelling van een dergelijk advies of een dergelijk besluit moet de betrokken toezichthoudende autoriteit, voor zover het Europees Comité voor gegevensbescherming daar na rekening te hebben gehouden met alle relevante omstandigheden voorstander van is, de maatregelen kunnen nemen die noodzakelijk zijn om de naleving te verzekeren van de in verordening 2016/679 vervatte regels inzake de bescherming van de rechten van natuurlijke personen in verband met de verwerking van persoonsgegevens, en uit dien hoofde de haar bij artikel 58, lid 5, van die verordening verleende bevoegdheid kunnen uitoefenen. |
72 |
De verdeling van competenties en verantwoordelijkheden tussen de toezichthoudende autoriteiten berust immers noodzakelijkerwijs op de premisse van loyale en doeltreffende samenwerking tussen deze autoriteiten onderling en met de Commissie teneinde de juiste en coherente toepassing van deze verordening te verzekeren, zoals wordt bevestigd door artikel 51, lid 2. |
73 |
In casu staat het aan de verwijzende rechter om te bepalen of de in verordening 2016/679 neergelegde regels inzake de verdeling van de competenties en de relevante procedures en mechanismen in het kader van het hoofdgeding correct zijn toegepast. In het bijzonder zal hij dienen na te gaan of, hoewel de GBA in die zaak niet de leidende toezichthoudende autoriteit is, de betrokken verwerking, voor zover deze betrekking heeft op gedragingen van het online sociale netwerk Facebook na 25 mei 2018, met name onder de in punt 71 van het onderhavige arrest bedoelde situatie valt. |
74 |
In dit verband merkt het Hof op dat het Europees Comité voor gegevensbescherming in zijn advies 5/2019 van 12 maart 2019 over de wisselwerking tussen de [richtlijn betreffende privacy en elektronische communicatie] en de algemene verordening gegevensbescherming, met name wat betreft de taken en bevoegdheden van gegevensbeschermingsautoriteiten, heeft verklaard dat de registratie en lezing van persoonsgegevens door middel van cookies binnen de werkingssfeer van richtlijn 2002/58/EG van het Europees Parlement en de Raad van 12 juli 2002 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie (richtlijn betreffende privacy en elektronische communicatie) (PB 2002, L 201, blz. 37) en niet binnen die van het „één-loketmechanisme” viel. Daarentegen vallen alle eerdere handelingen en de latere activiteiten op het gebied van de verwerking van die persoonsgegevens door middel van andere technologieën wel degelijk binnen de werkingssfeer van verordening 2016/679, en dus onder het „één-loketmechanisme”. Aangezien haar verzoek om wederzijdse bijstand betrekking had op die latere activiteiten op het gebied van verwerking van persoonsgegevens, heeft de GBA de commissaris voor gegevensbescherming in april 2019 verzocht om zo spoedig mogelijk gevolg te geven aan haar verzoek, welk verzoek onbeantwoord is gebleven. |
75 |
Gelet op een en ander moet op de eerste vraag worden geantwoord dat artikel 55, lid 1, en de artikelen 56 tot en met 58 en 60 tot en met 66 van verordening 2016/679, gelezen in samenhang met de artikelen 7, 8 en 47 van het Handvest, aldus moeten worden uitgelegd dat een toezichthoudende autoriteit van een lidstaat die krachtens de ter uitvoering van artikel 58, lid 5, van die verordening vastgestelde nationale wettelijke regeling bevoegd is om elke vermeende inbreuk op die verordening ter kennis te brengen van een rechterlijke instantie van die lidstaat en, waar passend, in rechte op te treden, die bevoegdheid kan uitoefenen met betrekking tot een grensoverschrijdende gegevensverwerking, ook al is zij ten aanzien van die gegevensverwerking niet de „leidende toezichthoudende autoriteit” in de zin van artikel 56, lid 1, van die verordening, voor zover er sprake is van een van de situaties waarin verordening 2016/679 aan die toezichthoudende autoriteit de competentie toekent om een besluit te nemen waarbij wordt vastgesteld dat de betreffende verwerking inbreuk maakt op de in de verordening vervatte regels, en de in die verordening vastgelegde samenwerkingsprocedure en het coherentiemechanisme in acht worden genomen. |
Tweede vraag
76 |
Met zijn tweede vraag wenst de verwijzende rechter in wezen te vernemen of artikel 58, lid 5, van verordening 2016/679 aldus moet worden uitgelegd dat in geval van grensoverschrijdende verwerking van gegevens, de uitoefening van de bevoegdheid van een toezichthoudende autoriteit van een lidstaat die niet de leidende toezichthoudende autoriteit is om een rechtsvordering in de zin van die bepaling in te stellen, vereist dat de verantwoordelijke voor de grensoverschrijdende verwerking van persoonsgegevens tegen wie die vordering wordt ingesteld, over een „hoofdvestiging” in de zin van artikel 4, punt 16, van verordening 2016/679 beschikt op het grondgebied van deze lidstaat of over een andere vestiging op dit grondgebied. |
77 |
In dit verband zij eraan herinnerd dat, volgens artikel 55, lid 1, van verordening 2016/679, elke toezichthoudende autoriteit de competentie heeft om op het grondgebied van haar lidstaat de taken uit te voeren die haar overeenkomstig deze verordening zijn opgedragen en de bevoegdheden uit te oefenen die haar overeenkomstig deze verordening zijn toegekend. |
78 |
Artikel 58, lid 5, van verordening 2016/679 bepaalt bovendien dat elke toezichthoudende autoriteit bevoegd is vermeende inbreuken op deze verordening ter kennis te brengen van een rechterlijke instantie van haar lidstaat en, waar passend, daartegen een rechtsvordering in te stellen, teneinde de bepalingen van die verordening te doen naleven. |
79 |
Opgemerkt zij dat artikel 58, lid 5, van verordening 2016/679 in algemene bewoordingen is geformuleerd en dat de Uniewetgever de uitoefening van deze bevoegdheid door een toezichthoudende autoriteit van een lidstaat niet afhankelijk heeft gesteld van de voorwaarde dat de vordering van deze autoriteit wordt ingesteld tegen een verwerkingsverantwoordelijke met een „hoofdvestiging” in de zin van artikel 4, punt 16, van deze verordening of een andere vestiging op het grondgebied van die lidstaat. |
80 |
Een toezichthoudende autoriteit van een lidstaat kan de haar bij artikel 58, lid 5, van verordening 2016/679 verleende bevoegdheid echter slechts uitoefenen indien vaststaat dat deze bevoegdheid binnen het territoriale toepassingsgebied van deze verordening valt. |
81 |
Artikel 3 van verordening 2016/679, dat het territoriale toepassingsgebied van deze verordening regelt, bepaalt in dit verband in lid 1 dat deze verordening van toepassing is op de verwerking van persoonsgegevens in het kader van de activiteiten van een vestiging van een verwerkingsverantwoordelijke of een verwerker in de Unie, ongeacht of de verwerking in de Unie plaatsvindt. |
82 |
Dienaangaande preciseert overweging 22 van verordening 2016/679 dat een dergelijke vestiging het effectief en daadwerkelijk uitoefenen van activiteiten via bestendige verhoudingen veronderstelt en dat de rechtsvorm van dergelijke verhoudingen, of het nu gaat om een bijkantoor of om een dochteronderneming met rechtspersoonlijkheid, daarbij niet doorslaggevend is. |
83 |
Hieruit volgt dat, overeenkomstig artikel 3, lid 1, van verordening 2016/679, het territoriale toepassingsgebied van deze verordening, onder voorbehoud van de in de leden 2 en 3 van dat artikel bedoelde gevallen, wordt bepaald aan de hand van de voorwaarde dat de verwerkingsverantwoordelijke of de verwerker die de grensoverschrijdende verwerking verricht, over een vestiging op het grondgebied van de Unie beschikt. |
84 |
Derhalve moet op de tweede vraag worden geantwoord dat artikel 58, lid 5, van verordening 2016/679 aldus moet worden uitgelegd dat in geval van grensoverschrijdende verwerking van gegevens, de uitoefening van de bevoegdheid van een toezichthoudende autoriteit van een lidstaat die niet de leidende toezichthoudende autoriteit is om een rechtsvordering in de zin van die bepaling in te stellen, niet vereist dat de in rechte gedaagde verwerkingsverantwoordelijke of de verwerker die de grensoverschrijdende verwerking van persoonsgegevens verricht, over een hoofdvestiging of een andere vestiging op het grondgebied van die lidstaat beschikt. |
Derde vraag
85 |
Met zijn derde vraag wenst de verwijzende rechter in wezen te vernemen of artikel 58, lid 5, van verordening 2016/679 aldus moet worden uitgelegd dat in geval van grensoverschrijdende verwerking van gegevens, de uitoefening van de bevoegdheid van een toezichthoudende autoriteit van een lidstaat die niet de leidende toezichthoudende autoriteit is om elke vermeende inbreuk op deze verordening ter kennis te brengen van een rechterlijke instantie van die staat en, waar passend, in rechte op te treden in de zin van die bepaling, vereist dat de betrokken toezichthoudende autoriteit haar rechtsvordering richt tegen de hoofdvestiging van de verwerkingsverantwoordelijke of tegen de vestiging die zich in haar eigen lidstaat bevindt. |
86 |
Uit de verwijzingsbeslissing blijkt dat deze vraag wordt opgeworpen in het kader van een debat tussen partijen over de vraag of de verwijzende rechter bevoegd is om de stakingsvordering te onderzoeken voor zover deze is ingesteld tegen Facebook Belgium, gelet op het feit dat, ten eerste, de maatschappelijke zetel van de Facebookgroep binnen de Unie in Ierland is gevestigd en Facebook Ireland als enige verantwoordelijk is voor het verzamelen en verwerken van persoonsgegevens voor het gehele grondgebied van de Unie, en, ten tweede, de vestiging in België uit hoofde van een indeling binnen de groep voornamelijk is opgericht om de groep in staat te stellen betrekkingen te onderhouden met de instellingen van de Unie en daarnaast om de reclame- en marketingactiviteiten van de Facebookgroep die bestemd zijn voor in België wonende personen te bevorderen. |
87 |
Zoals in punt 47 van het onderhavige arrest is opgemerkt, verleent artikel 55, lid 1, van verordening 2016/679 elke toezichthoudende autoriteit in beginsel de competentie om op het grondgebied van haar lidstaat de taken uit te oefenen die haar overeenkomstig deze verordening zijn opgedragen en de bevoegdheden uit te oefenen die haar overeenkomstig deze verordening zijn toegekend. |
88 |
Wat de bevoegdheid van een toezichthoudende autoriteit van een lidstaat betreft om een rechtsvordering in te stellen in de zin van artikel 58, lid 5, van verordening 2016/679, zij eraan herinnerd dat deze bepaling, zoals de advocaat-generaal in punt 150 van zijn conclusie heeft opgemerkt, ruim is geformuleerd en niet specificeert tegen welke entiteiten de toezichthoudende autoriteiten een rechtsvordering zouden moeten of kunnen instellen wegens een inbreuk op deze verordening. |
89 |
Bijgevolg beperkt deze bepaling de uitoefening van de bevoegdheid om een rechtsvordering in te stellen niet in die zin dat een dergelijke vordering enkel kan worden ingesteld tegen een „hoofdvestiging” of tegen een andere „vestiging” van de verwerkingsverantwoordelijke. Integendeel, krachtens diezelfde bepaling kan de toezichthoudende autoriteit van een lidstaat, wanneer zij overeenkomstig de artikelen 55 en 56 van verordening 2016/679 over de daartoe noodzakelijke competentie beschikt, de haar bij die verordening verleende bevoegdheden uitoefenen op haar nationale grondgebied, ongeacht de lidstaat waar de verwerkingsverantwoordelijke of zijn verwerker is gevestigd. |
90 |
De uitoefening van de bij artikel 58, lid 5, van verordening 2016/679 aan elke toezichthoudende autoriteit verleende bevoegdheid veronderstelt echter dat deze verordening van toepassing is. Zoals in punt 81 van het onderhavige arrest is benadrukt, bepaalt artikel 3, lid 1, van die verordening dat deze van toepassing is op de verwerking van persoonsgegevens „in het kader van de activiteiten van een vestiging van een verwerkingsverantwoordelijke of een verwerker in de Unie, ongeacht of de verwerking in de Unie plaatsvindt”. |
91 |
Gelet op het doel van verordening 2016/679 om te zorgen voor een doeltreffende bescherming van de grondrechten en fundamentele vrijheden van natuurlijke personen, met name hun recht op eerbiediging van de persoonlijke levenssfeer en op bescherming van persoonsgegevens, mag de voorwaarde dat de verwerking van persoonsgegevens moet plaatsvinden „in het kader van de activiteiten” van de betrokken vestiging, niet restrictief worden uitgelegd (zie naar analogie arrest van 5 juni 2018, Wirtschaftsakademie Schleswig-Holstein, C‑210/16, EU:C:2018:388, punt 56 en aldaar aangehaalde rechtspraak). |
92 |
In casu blijkt uit de verwijzingsbeslissing en de door Facebook Belgium ingediende schriftelijke opmerkingen dat deze laatste voornamelijk is belast met het onderhouden van betrekkingen met de instellingen van de Unie en daarnaast met het bevorderen van de reclame- en marketingactiviteiten van de Facebookgroep die bestemd zijn voor in België wonende personen. |
93 |
De verwerking van persoonsgegevens die in het hoofdgeding aan de orde is en die op het grondgebied van de Unie uitsluitend door Facebook Ireland wordt verricht en bestaat in het verzamelen van informatie over het surfgedrag van zowel houders van een Facebookaccount als niet-gebruikers van de Facebookdiensten door middel van verschillende technologieën, zoals met name social plug-ins en pixels, heeft juist tot doel het betrokken sociale netwerk in staat te stellen zijn advertentiesysteem performanter te maken door doelgericht te communiceren. |
94 |
Opgemerkt moet worden dat een sociaal netwerk als Facebook een aanzienlijk deel van zijn inkomsten genereert dankzij met name de via dat netwerk verspreide advertenties en dat de activiteit van de vestiging in België is bedoeld om in die lidstaat, zij het slechts als nevenactiviteit, de promotie en de verkoop van advertentieruimte – die ertoe strekken de diensten van Facebook te laten renderen – te verzekeren. Voorts beoogt Facebook Belgium met haar hoofdactiviteit, die erin bestaat betrekkingen met de instellingen van de Unie te onderhouden en een contactpunt te vormen voor deze instellingen, met name het beleid inzake de verwerking van persoonsgegevens door Facebook Ireland te bepalen. |
95 |
In die omstandigheden moeten de activiteiten van de Belgische vestiging van de Facebookgroep worden geacht onlosmakelijk verbonden te zijn met de verwerking van de in het hoofdgeding aan de orde zijnde persoonsgegevens, waarvoor Facebook Ireland voor wat betreft het grondgebied van de Unie verantwoordelijk is. Bijgevolg moet een dergelijke verwerking worden geacht te zijn verricht „in het kader van de activiteiten van een vestiging van een verwerkingsverantwoordelijke” in de zin van artikel 3, lid 1, van verordening 2016/679. |
96 |
Gelet op een en ander dient op de derde vraag te worden geantwoord dat artikel 58, lid 5, van verordening 2016/679 aldus moet worden uitgelegd dat de bevoegdheid van een toezichthoudende autoriteit van een lidstaat die niet de leidende toezichthoudende autoriteit is om elke vermeende inbreuk op deze verordening ter kennis te brengen van een rechterlijke instantie van die staat en, waar passend, in rechte op te treden in de zin van die bepaling, zowel kan worden uitgeoefend ten aanzien van de hoofdvestiging van de verwerkingsverantwoordelijke in de lidstaat van deze autoriteit, als ten aanzien van een andere vestiging van die verantwoordelijke, mits de rechtsvordering betrekking heeft op gegevensverwerking die plaatsvindt in het kader van de activiteiten van die vestiging en die autoriteit competent is om die bevoegdheid uit te oefenen, overeenkomstig hetgeen in antwoord op de eerste vraag is uiteengezet. |
Vierde vraag
97 |
Met zijn vierde vraag wenst de verwijzende rechter in wezen te vernemen of artikel 58, lid 5, van verordening 2016/679 aldus moet worden uitgelegd dat wanneer een toezichthoudende autoriteit van een lidstaat die niet de „leidende toezichthoudende autoriteit” in de zin van artikel 56, lid 1, van deze verordening is, vóór 25 mei 2018 een rechtsvordering heeft ingesteld met betrekking tot een grensoverschrijdende verwerking van persoonsgegevens, dat wil zeggen vóór de datum waarop deze verordening van toepassing is geworden, deze omstandigheid van invloed kan zijn op de voorwaarden waaronder die toezichthoudende autoriteit van een lidstaat de haar bij dat artikel 58, lid 5, toegekende bevoegdheid om een rechtsvordering in te stellen kan uitoefenen. |
98 |
Voor de verwijzende rechter voeren Facebook Ireland, Facebook Inc. en Facebook Belgium namelijk aan dat de toepassing van verordening 2016/679 vanaf 25 mei 2018 tot gevolg zou hebben dat een voor die datum ingestelde vordering bij voortzetting ervan niet-ontvankelijk of zelfs ongegrond is. |
99 |
Om te beginnen moet worden opgemerkt dat artikel 99, lid 1, van verordening 2016/679 bepaalt dat deze in werking treedt op de twintigste dag volgende op die van haar bekendmaking in het Publicatieblad van de Europese Unie. Aangezien deze verordening op 4 mei 2016 in dat Publicatieblad is bekendgemaakt, is zij dus op 25 mei daaropvolgend in werking getreden. Bovendien bepaalt artikel 99, lid 2, van deze verordening dat deze van toepassing is met ingang van 25 mei 2018. |
100 |
In dit verband zij eraan herinnerd dat een nieuwe rechtsregel van toepassing is vanaf de inwerkingtreding van de handeling waarbij hij wordt ingevoerd, en dat een dergelijke regel weliswaar niet van toepassing is op rechtssituaties die zijn ontstaan en definitief zijn geworden onder het oude recht, maar wel op de toekomstige gevolgen daarvan en op nieuwe rechtssituaties. Dit ligt – onder voorbehoud van het beginsel dat rechtshandelingen geen terugwerkende kracht hebben – enkel anders wanneer de nieuwe regel gepaard gaat met bijzondere bepalingen die de voorwaarden voor toepassing ratione temporis ervan specifiek vastleggen. In het bijzonder worden procedureregels in het algemeen geacht te gelden vanaf de datum waarop zij in werking treden, in tegenstelling tot materiële regels, die doorgaans aldus worden uitgelegd dat zij op situaties die vóór de inwerkingtreding ervan definitief zijn geworden, slechts van toepassing zijn voor zover uit de bewoordingen, de doelstelling of de opzet ervan blijkt dat er een dergelijke werking aan dient te worden toegekend [arrest van 25 februari 2021, Caisse pour l’avenir des enfants (Tewerkstelling bij de geboorte), C‑129/20, EU:C:2021:140, punt 31 en aldaar aangehaalde rechtspraak]. |
101 |
Verordening 2016/679 bevat geen enkele overgangsbepaling noch enige andere regel met betrekking tot de status van gerechtelijke procedures die zijn ingeleid voordat zij van toepassing was en die nog aanhangig waren op de datum waarop zij van toepassing is geworden. In het bijzonder bevat deze verordening geen enkele bepaling op grond waarvan deze tot gevolg heeft dat alle op 25 mei 2018 aanhangige gerechtelijke procedures betreffende vermeende inbreuken op de in richtlijn 95/46 neergelegde regels voor de verwerking van persoonsgegevens worden beëindigd, ook al blijven de gedragingen die dergelijke vermeende inbreuken opleveren na die datum voortduren. |
102 |
In casu bevat artikel 58, lid 5, van verordening 2016/679 regels betreffende de bevoegdheid van een toezichthoudende autoriteit om inbreuken op deze verordening ter kennis te brengen van de gerechtelijke autoriteiten en, waar passend, daartegen een rechtsvordering in te stellen of anderszins in rechte op te treden teneinde de bepalingen van die verordening te doen naleven. |
103 |
In die omstandigheden moet een onderscheid worden gemaakt tussen de vorderingen van een toezichthoudende autoriteit van een lidstaat die zijn ingesteld wegens inbreuken op de regels inzake de bescherming van persoonsgegevens die door verwerkingsverantwoordelijken of verwerkers zijn gepleegd vóór de datum waarop verordening 2016/679 van toepassing is geworden, en vorderingen die zijn ingesteld wegens na die datum begane inbreuken. |
104 |
In het eerste geval kan een rechtsvordering als in het hoofdgeding vanuit het oogpunt van het Unierecht worden voortgezet op grond van het bepaalde in richtlijn 95/46, die van toepassing blijft op inbreuken die zijn begaan tot de datum van intrekking ervan, te weten 25 mei 2018. In het tweede geval kan een dergelijke vordering krachtens artikel 58, lid 5, van verordening 2016/679 uitsluitend worden ingesteld op voorwaarde dat, zoals in het kader van het antwoord op de eerste vraag is benadrukt, deze vordering een situatie betreft waarin deze verordening, bij wijze van uitzondering, een toezichthoudende autoriteit van een lidstaat die niet de „leidende toezichthoudende autoriteit” is, de competentie verleent om een besluit te nemen waarbij wordt vastgesteld dat de betrokken gegevensverwerking in strijd is met de regels van deze verordening inzake de bescherming van de rechten van natuurlijke personen in verband met de verwerking van persoonsgegevens, en de in die verordening neergelegde procedures worden gevolgd. |
105 |
Gelet op een en ander dient op de vierde vraag te worden geantwoord dat artikel 58, lid 5, van verordening 2016/679 aldus moet worden uitgelegd dat wanneer een toezichthoudende autoriteit van een lidstaat die niet de „leidende toezichthoudende autoriteit” in de zin van artikel 56, lid 1, van deze verordening is, vóór 25 mei 2018 een rechtsvordering heeft ingesteld met betrekking tot een grensoverschrijdende verwerking van persoonsgegevens, dat wil zeggen tot de datum waarop deze verordening van toepassing is geworden, deze vordering vanuit het oogpunt van het Unierecht kan worden voortgezet op grond van het bepaalde in richtlijn 95/46, die van toepassing blijft op inbreuken op de in die richtlijn vervatte regels die zijn begaan tot de datum waarop die richtlijn is ingetrokken. Deze vordering kan bovendien door die autoriteit worden ingesteld voor inbreuken die na diezelfde datum zijn begaan, op grond van artikel 58, lid 5, van verordening 2016/679, voor zover er sprake is van een van de situaties waarin die verordening aan een toezichthoudende autoriteit van een lidstaat die niet de „leidende toezichthoudende autoriteit” is, bij wijze van uitzondering de competentie verleent om een besluit te nemen waarbij wordt vastgesteld dat de betrokken gegevensverwerking in strijd is met de regels van die verordening inzake de bescherming van de rechten van natuurlijke personen in verband met de verwerking van persoonsgegevens, en de in die verordening vastgelegde samenwerkingsprocedure en het coherentiemechanisme in acht worden genomen, hetgeen aan de verwijzende rechter staat om na te gaan. |
Vijfde vraag
106 |
Met zijn vijfde vraag wenst de verwijzende rechter in wezen te vernemen of, indien de eerste vraag bevestigend wordt beantwoord, artikel 58, lid 5, van verordening 2016/679 aldus moet worden uitgelegd dat deze bepaling rechtstreekse werking heeft, zodat een nationale toezichthoudende autoriteit zich op die bepaling kan beroepen om een vordering tegen particulieren in te stellen of voort te zetten, ook al is deze bepaling niet specifiek omgezet in de wetgeving van de betrokken lidstaat. |
107 |
Volgens artikel 58, lid 5, van verordening 2016/679 „[bepaalt elke] lidstaat [...] bij wet dat zijn toezichthoudende autoriteit bevoegd is inbreuken op deze verordening ter kennis te brengen van de gerechtelijke autoriteiten en, waar passend, daartegen een rechtsvordering in te stellen of anderszins in rechte op te treden, teneinde de bepalingen van deze verordening te doen naleven”. |
108 |
Om te beginnen moet worden opgemerkt dat, zoals de Belgische regering betoogt, artikel 58, lid 5, van verordening 2016/679 in de Belgische rechtsorde is omgezet bij artikel 6 van de wet van 3 december 2017. Volgens dit artikel 6, dat een formulering bevat die in wezen identiek is aan die van artikel 58, lid 5, van verordening 2016/679, is de GBA namelijk bevoegd inbreuken op de grondbeginselen van de bescherming van persoonsgegevens, in het kader van deze wet en van de wetten die bepalingen bevatten inzake de bescherming van de verwerking van persoonsgegevens ter kennis te brengen van de gerechtelijke autoriteiten en, waar passend, een rechtsvordering in te stellen teneinde deze grondbeginselen te doen naleven. Bijgevolg moet worden geoordeeld dat de GBA zich om in rechte op te treden teneinde verordening 2016/679 te doen naleven, kan baseren op een bepaling van nationaal recht, zoals artikel 6 van de wet van 3 december 2017, waarbij artikel 58, lid 5, van deze verordening in Belgisch recht is omgezet. |
109 |
Volledigheidshalve zij bovendien opgemerkt dat een verordening krachtens artikel 288, tweede alinea, VWEU verbindend is in al haar onderdelen en rechtstreeks toepasselijk is in elke lidstaat, zodat de bepalingen ervan in beginsel geen uitvoeringsmaatregelen van de lidstaten behoeven. |
110 |
In dat verband zij in herinnering gebracht dat volgens vaste rechtspraak van het Hof bepalingen van verordeningen krachtens artikel 288 VWEU en wegens hun aard en hun functie in het systeem van de bronnen van het Unierecht in het algemeen rechtstreekse werking hebben in de nationale rechtsorden, zonder dat de nationale autoriteiten uitvoeringsmaatregelen hoeven vast te stellen. Voor sommige bepalingen kan het evenwel noodzakelijk zijn dat door de lidstaten nationale maatregelen ter uitvoering ervan worden vastgesteld (arrest van 15 maart 2017, Al Chodor, C‑528/15, EU:C:2017:213, punt 27 en aldaar aangehaalde rechtspraak). |
111 |
Zoals de advocaat-generaal in punt 167 van zijn conclusie in wezen heeft opgemerkt, bevat artikel 58, lid 5, van verordening 2016/679 een specifieke en rechtstreeks toepasselijke regel op grond waarvan de toezichthoudende autoriteiten procesbevoegdheid moeten hebben voor de nationale rechter en naar nationaal recht bevoegd moeten zijn om een rechtsvordering in te stellen. |
112 |
Uit artikel 58, lid 5, van verordening 2016/679 blijkt niet dat de lidstaten bij een uitdrukkelijk voorschrift moeten bepalen onder welke omstandigheden de nationale toezichthoudende autoriteiten een rechtsvordering kunnen instellen in de zin van die bepaling. Het volstaat dat de toezichthoudende autoriteit overeenkomstig het nationale recht de mogelijkheid heeft om inbreuken op deze verordening ter kennis te brengen van de gerechtelijke autoriteiten en, waar passend, een rechtsvordering in te stellen of anderszins in rechte op te treden teneinde de bepalingen van die verordening te doen naleven. |
113 |
Gelet op een en ander moet op de vijfde vraag worden geantwoord dat artikel 58, lid 5, van verordening 2016/679 aldus moet worden uitgelegd dat deze bepaling rechtstreekse werking heeft, zodat een nationale toezichthoudende autoriteit zich op die bepaling kan beroepen om een vordering tegen particulieren in te stellen of voort te zetten, ook al is deze bepaling niet specifiek omgezet in de wetgeving van de betrokken lidstaat. |
Zesde vraag
114 |
Met zijn zesde vraag wenst de verwijzende rechter in wezen te vernemen of, indien de eerste tot en met de vijfde vraag bevestigend worden beantwoord, het resultaat van een gerechtelijke procedure die is ingeleid door een toezichthoudende autoriteit van een lidstaat inzake een grensoverschrijdende verwerking van persoonsgegevens, eraan in de weg kan staan dat de leidende toezichthoudende autoriteit een besluit vaststelt waarin zij tot een tegengestelde bevinding komt in het geval dat zij dezelfde of soortgelijke activiteiten van grensoverschrijdende verwerking onderzoekt overeenkomstig het mechanisme vervat in de artikelen 56 en 60 van verordening 2016/679. |
115 |
Dienaangaande zij eraan herinnerd dat er volgens vaste rechtspraak een vermoeden van relevantie rust op de vragen betreffende de uitlegging van het Unierecht. Het Hof kan slechts weigeren op een door een nationale rechterlijke instantie gestelde prejudiciële vraag te antwoorden, wanneer duidelijk blijkt dat de gevraagde uitlegging van een regel van het Unierecht kennelijk geen verband houdt met een reëel geschil of met het voorwerp van het hoofdgeding, wanneer het vraagstuk van hypothetische aard is of wanneer het Hof niet beschikt over de feitelijke en juridische gegevens die noodzakelijk zijn om een zinvol antwoord te geven op de gestelde vragen (arresten van 16 juni 2015, Gauweiler e.a., C‑62/14, EU:C:2015:400, punt 25, en 7 februari 2018, American Express, C‑304/16, EU:C:2018:66, punt 32). |
116 |
Eveneens volgens vaste rechtspraak is de reden voor de prejudiciële verwijzing bovendien niet het formuleren van rechtsgeleerde adviezen over algemene of hypothetische vraagstukken, maar de behoefte aan werkelijke beslechting van een geschil (arrest van 10 december 2018, Wightman e.a., C‑621/18, EU:C:2018:999, punt 28 en aldaar aangehaalde rechtspraak). |
117 |
In casu moet worden benadrukt dat, zoals de Belgische regering opmerkt, de zesde vraag berust op omstandigheden waarvan geenszins is aangetoond dat zij zich in het kader van het hoofdgeding voordoen, namelijk dat er voor de grensoverschrijdende verwerking waarop dit geding betrekking heeft, sprake is van een leidende toezichthoudende autoriteit die niet alleen dezelfde of soortgelijke activiteiten van grensoverschrijdende verwerking van persoonsgegevens onderzoekt als die welke het voorwerp uitmaken van de gerechtelijke procedure die door de toezichthoudende autoriteit van de betrokken lidstaat is ingeleid, maar die bovendien zou overwegen een besluit vast te stellen waarbij zij tot een tegengestelde bevinding komt. |
118 |
In die omstandigheden moet worden opgemerkt dat de zesde vraag geen verband houdt met een reëel geschil of met het voorwerp van het hoofdgeding en betrekking heeft op een hypothetisch vraagstuk. Deze vraag moet dus niet-ontvankelijk worden verklaard. |
Kosten
119 |
Ten aanzien van de partijen in het hoofdgeding is de procedure als een aldaar gerezen incident te beschouwen, zodat de verwijzende rechterlijke instantie over de kosten heeft te beslissen. De door anderen wegens indiening van hun opmerkingen bij het Hof gemaakte kosten komen niet voor vergoeding in aanmerking. |
Het Hof (Grote kamer) verklaart voor recht: |
|
|
|
|
|
Lenaerts Silva de Lapuerta Arabadjiev Prechal Vilaras Ilešič Wahl Juhász Šváby Rodin Biltgen Jürimäe Lycourgos Xuereb Rossi Uitgesproken ter openbare terechtzitting te Luxemburg op 15 juni 2021. De griffier A. Calot Escobar De president K. Lenaerts |
( *1 ) Procestaal: Nederlands.