Privacyrecht: one-stop-shop of 28 loketten in Europa?

Jan Baas
Jan Baas Advocaat / partner

In al het geweld rond het Schrems-arrest lijkt een andere belangrijke uitspraak van het Hof van Justitie, Weltimmo, min of meer onopgemerkt te blijven. Voor de rechtsontwikkeling en de praktijk is Weltimmo evenzeer van groot belang. Het arrest vergroot het aantal gevallen waarin ondernemingen met activiteiten in meerdere lidstaten van de Europese Unie, rekening moeten houden met het gegevensbeschermingsrecht van al deze landen.

Multinationale ondernemingen worstelen met de vraag welk gegevensbeschermingsrecht van toepassing is op hun activiteiten in Europa. Het liefst zouden zij binnen Europa zoveel mogelijk met één nationale wet, en één nationale toezichthouder te maken hebben: een “one-stop-shop”.

Of het recht van een lidstaat van de Unie van toepassing is op een verwerking van persoonsgegevens hangt af van de vraag of deze plaatsvindt ‘in het kader van de activiteiten van een vestiging’ van de verantwoordelijke in de betreffende lidstaat. In Google Spain, ook bekend als de uitspraak over het ‘right to be forgotten’, heeft het Hof een ruime uitleg gegeven aan dit criterium. Het Hof wilde daarmee voorkomen dat de belangrijke zoekmachineactiviteiten van Google, die volgens Google de exclusieve verantwoordelijkheid waren van Google Inc. in Amerika, buiten het bereik van het Europese gegevensbeschermingsrecht zouden blijven. De vraag was of deze ruime uitleg ook van toepassing zou zijn op multinationale ondernemingen die, anders dan Google voor haar zoekmachine, wel een verantwoordelijke binnen de Europese Unie hadden aangewezen.

Weltimmo: casus en uitspraak

In Weltimmo beheerde een formeel in Slowakije gevestigde onderneming een advertentiewebsite, gericht op de Hongaarse markt. De eerste maand was dat gratis, na deze maand moest er betaald worden. Weltimmo reageerde niet op verzoeken om advertenties te verwijderen maar probeerde wel advertentiegelden te incasseren. De Hongaarse tegenhanger van het College voor Bescherming van Persoonsgegevens legde daarom een boete op van (omgerekend) € 32.000 wegens overtreding van de Hongaarse informatiewet. Volgens Weltimmo kon dat niet omdat de Hongaarse wet niet op haar van toepassing is: zij zou gevestigd zijn in Slowakije en geen vestiging hebben in Hongarije.

Onder verwijzing naar het grondrecht op bescherming van persoonsgegevens maakt het Hof van Justitie korte metten met dit verweer. Het begrip ‘vestiging’ is volgens het Hof van toepassing op iedere vorm van duurzame activiteit, ook indien de activiteit slechts gering is. Dat is temeer het geval bij ondernemingen die hun diensten exclusief via het internet aanbieden, waarbij de activiteiten nauwelijks aan een fysieke locatie zijn gebonden.

Nu de website volledig was gericht op Hongarije, in het Hongaars was geschreven, Weltimmo een bankrekening en een brievenbus had in Hongarije, de aandeelhouders in Hongarije woonden en één van hen vorderingen van Weltimmo probeerde te innen in Hongarije, klachten behandelde en Weltimmo in procedures vertegenwoordigde, was er voldoende grond om aan te nemen dat Weltimmo een vestiging in Hongarije had en de website werd geëxploiteerd in het kader van de activiteiten van die vestiging.

Gevolgen voor de praktijk

Ondernemingen die activiteiten uitoefenen in meer lidstaten van de Europese Unie moeten als gevolg van deze uitspraak rekening houden met de toepasselijkheid van het gegevensbeschermingsrecht van al deze verschillende lidstaten, ook indien zij slechts beperkte (fysieke) activiteiten ter plaatse ondernemen en ook indien de betreffende verwerkingen strikt gezien niet plaats lijken te vinden in het kader van hun vestigingen in deze lidstaten.

Veel grote internetondernemingen zijn gevestigd in Ierland en vertrouwen erop dat zij alleen aan het Ierse gegevensbeschermingsrecht hoeven te voldoen. Dat vertrouwen is in het licht van Weltimmo mogelijk op drijfzand gebaseerd.

Indien uw onderneming activiteiten ontplooit in meer Europese landen is het van belang om na te gaan in hoeverre de privacywetten van deze landen van toepassing zijn en of aan deze wetten wordt voldaan.

Toekomst

De Europese unie is bezig met de voorbereiding van een Verordening Gegevensbescherming. Invoering van deze verordening zal  leiden tot één toepasselijk recht. Daarnaast zal het toezicht onder de verordening wel meer een one-stop-shop karakter krijgen, zij het dat de uitwerking hiervan nog onderwerp van discussie is.