HvJ EU: Facebook Ierland e.a.

HvJ EU 15 juni 2021, IEF 20023, IT 3546, IEFbe 3234; ECLI:EU:C:2021:483 (Facebook Ierland e.a.) Beantwoording van prejudiciële vragen ingediend door het Hof van Beroep van Brussel. Algemene verordening gegevensbescherming (AVG): het Hof verduidelijkt de voorwaarden waaronder de nationale toezichthoudende autoriteiten hun bevoegdheden inzake grensoverschrijdende gegevensverwerking kunnen uitoefenen. Een nationale toezichthoudende autoriteit kan onder bepaalde voorwaarden haar bevoegdheid uitoefenen om elke vermeende inbreuk op de AVG ter kennis te brengen van de gerechtelijke autoriteiten van een lidstaat, ook al is zij niet de leidende autoriteit voor die verwerking. Zie ook het persbericht van het HvJ EU.

Beantwoording van de prejudiciële vragen:

Het Hof (Grote kamer) verklaart voor recht:

1)      Artikel 55, lid 1, en de artikelen 56 tot en met 58 en 60 tot en met 66 van verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG (algemene verordening gegevensbescherming), gelezen in samenhang met de artikelen 7, 8 en 47 van het Handvest van de grondrechten van de Europese Unie, moeten aldus worden uitgelegd dat een toezichthoudende autoriteit van een lidstaat die krachtens de ter uitvoering van artikel 58, lid 5, van die verordening vastgestelde nationale wettelijke regeling bevoegd is om elke vermeende inbreuk op die verordening ter kennis te brengen van een rechterlijke instantie van die lidstaat en, waar passend, in rechte op te treden, die bevoegdheid kan uitoefenen met betrekking tot een grensoverschrijdende gegevensverwerking, ook al is zij ten aanzien van die gegevensverwerking niet de „leidende toezichthoudende autoriteit” in de zin van artikel 56, lid 1, van die verordening, voor zover er sprake is van een van de situaties waarin verordening 2016/679 aan die toezichthoudende autoriteit de competentie toekent om een besluit te nemen waarbij wordt vastgesteld dat de betreffende verwerking inbreuk maakt op de in de verordening vervatte regels, en de in die verordening vastgelegde samenwerkingsprocedure en het coherentiemechanisme in acht worden genomen.

2)      Artikel 58, lid 5, van verordening 2016/679 moet aldus worden uitgelegd dat in geval van grensoverschrijdende verwerking van gegevens, de uitoefening van de bevoegdheid van een toezichthoudende autoriteit van een lidstaat die niet de leidende toezichthoudende autoriteit is om een rechtsvordering in de zin van die bepaling in te stellen, niet vereist dat de in rechte gedaagde verwerkingsverantwoordelijke of de verwerker die de grensoverschrijdende verwerking van persoonsgegevens verricht, over een hoofdvestiging of een andere vestiging op het grondgebied van die lidstaat beschikt.

3)      Artikel 58, lid 5, van verordening 2016/679 moet aldus worden uitgelegd dat de bevoegdheid van een toezichthoudende autoriteit van een lidstaat die niet de leidende toezichthoudende autoriteit is om elke vermeende inbreuk op deze verordening ter kennis te brengen van een rechterlijke instantie van die staat en, waar passend, in rechte op te treden in de zin van die bepaling, zowel kan worden uitgeoefend ten aanzien van de hoofdvestiging van de verwerkingsverantwoordelijke in de lidstaat van deze autoriteit, als ten aanzien van een andere vestiging van die verantwoordelijke, mits de rechtsvordering betrekking heeft op gegevensverwerking die plaatsvindt in het kader van de activiteiten van die vestiging en die autoriteit competent is om die bevoegdheid uit te oefenen, overeenkomstig hetgeen in antwoord op de eerste prejudiciële vraag is uiteengezet.

4)      Artikel 58, lid 5, van verordening 2016/679 moet aldus worden uitgelegd dat wanneer een toezichthoudende autoriteit van een lidstaat die niet de „leidende toezichthoudende autoriteit” in de zin van artikel 56, lid 1, van deze verordening is, vóór 25 mei 2018 een rechtsvordering heeft ingesteld met betrekking tot een grensoverschrijdende verwerking van persoonsgegevens, dat wil zeggen vóór de datum waarop deze verordening van toepassing is geworden, deze vordering vanuit het oogpunt van het Unierecht kan worden voortgezet op grond van het bepaalde in richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, die van toepassing blijft op inbreuken op de in die richtlijn vervatte regels die zijn begaan tot de datum waarop die richtlijn is ingetrokken. Deze vordering kan bovendien door die autoriteit worden ingesteld voor inbreuken die na diezelfde datum zijn begaan, op grond van artikel 58, lid 5, van verordening 2016/679, voor zover er sprake is van een van de situaties waarin die verordening aan een toezichthoudende autoriteit van een lidstaat die niet de „leidende toezichthoudende autoriteit” is, bij wijze van uitzondering de competentie verleent om een besluit te nemen waarbij wordt vastgesteld dat de betrokken gegevensverwerking in strijd is met de regels van die verordening inzake de bescherming van de rechten van natuurlijke personen in verband met de verwerking van persoonsgegevens, en de in die verordening vastgelegde samenwerkingsprocedure en het coherentiemechanisme in acht worden genomen, hetgeen aan de verwijzende rechter staat om na te gaan.

5)      Artikel 58, lid 5, van verordening 2016/679 moet aldus worden uitgelegd dat deze bepaling rechtstreekse werking heeft, zodat een nationale toezichthoudende autoriteit zich op die bepaling kan beroepen om een vordering tegen particulieren in te stellen of voort te zetten, ook al is deze bepaling niet specifiek omgezet in de wetgeving van de betrokken lidstaat.