GROEP GEGEVENSBESCHERMING ARTIKEL 29

Transcriptie

1 GROEP GEGEVENSBESCHERMING ARTIKEL /10/NL WP 179 Advies 8/2010 over toepasselijk recht Goedgekeurd op 16 december 2010 Deze groep is opgericht op grond van artikel 29 van Richtlijn 95/46/EG. Het is een onafhankelijk Europees adviesorgaan inzake gegevensbescherming en de persoonlijke levenssfeer, waarvan de taken zijn omschreven in artikel 30 van Richtlijn 95/46/EG en in artikel 15 van Richtlijn 2002/58/EG. Het secretariaat wordt verzorgd door directoraat C (Grondrechten en burgerschap van de Unie) van het directoraatgeneraal Justitie, vrijheid en veiligheid van de Europese Commissie, 1049 Brussel, België, bureau MO59 06/036. Website:

2 Samenvatting In dit advies wordt de werkingssfeer van Richtlijn 95/46/EG, en in het bijzonder van artikel 4 van de richtlijn, verduidelijkt. Artikel 4 bepaalt welke nationale gegevensbeschermingswetgeving die uit hoofde van de richtlijn is vastgesteld, van toepassing kan zijn op de verwerking van persoonsgegevens. In het advies worden ook punten benadrukt die vatbaar zijn voor verdere verbetering. Het bepalen of het EU-recht op de verwerking van persoonsgegevens van toepassing is heeft tot doel de werkingssfeer van het EU-gegevensbeschermingsrecht te verduidelijken, zowel binnen de EU/EER als in een breder internationaal kader. Een goed begrip van het toepasselijke recht zal ertoe bijdragen dat de rechtszekerheid voor de voor de verwerking verantwoordelijken wordt gewaarborgd en dat er een duidelijk kader wordt gecreëerd voor betrokkenen en andere belanghebbenden. Bovendien moet een goed begrip van de bepalingen over het toepasselijke recht ervoor zorgen dat er geen leemten of mazen ontstaan waardoor het hoge beschermingsniveau voor persoonsgegevens dat Richtlijn 95/46 biedt, wordt aangetast. Met betrekking tot artikel 4, lid 1, onder a), betekent de verwijzing naar een vestiging dat de aanwezigheid van een vestiging van de voor de verwerking verantwoordelijke in een lidstaat tot gevolg heeft dat het recht van die lidstaat van toepassing is, en dat de aanwezigheid van andere vestigingen van die voor de verwerking verantwoordelijke in andere lidstaten tot gevolg kan hebben dat het recht van die andere lidstaten van toepassing is. Voor de toepassing van nationaal recht is het begrip kader van de activiteiten van de vestiging doorslaggevend. Het houdt in dat de vestiging van de voor de verwerking verantwoordelijke betrokken is bij activiteiten die verband houden met de verwerking van persoonsgegevens, waarbij rekening wordt gehouden met de mate waarin de vestiging betrokken is bij de verwerkingsactiviteiten, de aard van de activiteiten en de noodzaak om doeltreffende gegevensbescherming te waarborgen. Met betrekking tot het begrip gebruikmaken van middelen in artikel 4, lid 1, onder c), waardoor de richtlijn van toepassing kan zijn op voor de verwerking verantwoordelijken die niet op het grondgebied van de EU/EER gevestigd zijn, wordt in het advies verduidelijkt dat deze bepaling van toepassing moet zijn in die gevallen waarin er geen sprake is van een vestiging in de EU/EER die leidt tot toepassing van artikel 4, lid 1, onder a), of waarin de verwerking niet wordt verricht in het kader van de activiteiten van een dergelijke vestiging. In het advies wordt verder opgemerkt dat een ruime uitleg van het begrip equipment ( apparatuur ) in de Engelse versie gerechtvaardigd door het gebruik van het woord middelen in andere EU-talen er in bepaalde gevallen toe kan leiden dat het EU-gegevensbeschermingsrecht van toepassing is in gevallen waarin er geen echte band is met de EU/EER. Het advies omvat ook richtsnoeren en voorbeelden met betrekking tot: de andere onderdelen van artikel 4; de beveiligingseisen die voortvloeien uit het toepasselijke recht krachtens artikel 17, lid 3; en de mogelijkheid voor gegevensbeschermingsautoriteiten om hun bevoegdheden te gebruiken teneinde een verwerking die plaatsvindt op hun grondgebied te controleren en daarin te interveniëren, ook als daarop het recht van een andere lidstaat van toepassing is (artikel 28, lid 6). Daarnaast wordt in het advies de suggestie gedaan dat de formuleringen die in de richtlijn worden gebruikt en de samenhang tussen de verschillende onderdelen van artikel 4 baat zouden hebben bij verdere verduidelijking als onderdeel van de herziening van het algemene kader voor gegevensbescherming

3 In dit opzicht zou de vereenvoudiging van de regels om het toepasselijke recht te bepalen, bestaan in een terugkeer naar het oorsprongslandbeginsel: alle vestigingen van een voor de verwerking verantwoordelijke binnen de EU passen in dat geval hetzelfde recht toe, namelijk dat van de hoofdvestiging, ongeacht het grondgebied waarop zij zich bevinden. Dit is alleen aanvaardbaar als er een allesomvattende harmonisatie van nationale wetgeving wordt gerealiseerd, met inbegrip van harmonisatie van de beveiligingsverplichtingen. Er zouden aanvullende criteria kunnen gelden als de voor de verwerking verantwoordelijke buiten de EU is gevestigd, om ervoor te zorgen dat er een toereikende band bestaat met het grondgebied van de EU, en om te voorkomen dat in derde landen gevestigde voor de verwerking verantwoordelijken het grondgebied van de EU gebruiken om illegale gegevensverwerkingsactiviteiten te verrichten. Daarvoor kunnen de volgende criteria worden ontwikkeld: het gericht benaderen van personen, waardoor het EUgegevensbeschermingsrecht van toepassing is indien de activiteit in het kader waarvan de verwerking van persoonsgegevens wordt verricht, gericht is op personen in de EU; de toepassing van het apparatuur/middelen-criterium als restbepaling en in beperkte mate, bedoeld voor grensgevallen (gegevens over betrokkenen van buiten de EU, voor de verwerking verantwoordelijken die geen band hebben met de EU) waarin zich relevante gegevensverwerkingsinfrastructuur in de EU bevindt

4 De Groep voor de bescherming van personen in verband met de verwerking van persoonsgegevens Opgericht bij Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 (PB L 281 van , blz. 31), Gezien artikel 29 en artikel 30, lid 1, onder a), en lid 3, van die richtlijn, Gezien het reglement van orde van de Groep, Heeft het volgende advies goedgekeurd: - 4 -

5 I. Inleiding... 6 II. Algemene opmerkingen en beleidspunten... 8 II.1. Korte geschiedenis: van Verdrag 108 naar Richtlijn 95/46/EG... 8 II.2. Rol van begrippen... 9 II.2.a) Kader en strategisch belang... 9 II.2.b) Werkingssfeer van het EU-recht en het nationaal recht binnen de EU/EER 9 II.2.c) Voorkomen van leemten en onnodige overlap II.2.d) Toepasselijk recht en rechterlijke bevoegdheid in het kader van de richtlijn 11 III. Analyse van bepalingen III.1. De voor de verwerking verantwoordelijke is gevestigd in één of meer lidstaten (artikel 4, lid 1, onder a)) a) een vestiging op het grondgebied van de lidstaat van de voor de verwerking verantwoordelijke b) die verwerking wordt verricht in het kader van de activiteiten III.2. De voor de verwerking verantwoordelijke is gevestigd in een plaats waar de nationale wet uit hoofde van het internationale publiekrecht van toepassing is (artikel 4, lid 1, onder b) III.2.a) de voor de verwerking verantwoordelijke niet gevestigd is op het grondgebied van de lidstaat III.2.b), maar in een plaats waar de nationale wet uit hoofde van het internationale publiekrecht van toepassing is III.3. De voor de verwerking verantwoordelijke is niet gevestigd op het grondgebied van de Gemeenschap maar verwerkt gegevens met middelen die zich in een lidstaat bevinden (artikel 4, lid 1, onder c) a) de voor de verwerking verantwoordelijke persoon niet gevestigd is op het grondgebied van de Gemeenschap b) en voor de verwerking van persoonsgegevens gebruikmaakt van al dan niet geautomatiseerde middelen die zich op het grondgebied van genoemde lidstaat bevinden c) behalve indien deze middelen op het grondgebied van de Europese Gemeenschap slechts voor doorvoer worden gebruikt d) moet de voor de verwerking verantwoordelijke een op het grondgebied van de betrokken lidstaat gevestigde vertegenwoordiger aanwijzen (artikel 4, lid 2) III.4. Overwegingen betreffende de praktische gevolgen van de toepassing van artikel 4, lid 1, onder c) III.5. Recht dat van toepassing is op beveiligingsmaatregelen (artikel 17, lid 3). 29 III.6. Bevoegdheid van en samenwerking tussen toezichthoudende autoriteiten (artikel 28, lid 6) III.6.a) toezichthoudende autoriteit is bevoegd, ongeacht welk nationaal recht [ ] van toepassing is III.6.b) op het grondgebied van haar eigen lidstaat de haar [ ] verleende bevoegdheden uit te oefenen III.6.c) werken onderling samen voor zover zulks noodzakelijk is voor de uitvoering van hun taken IV. Conclusies IV.1. Verduidelijking van bestaande bepalingen IV.2. Verbetering van bestaande bepalingen BIJLAGE

6 I. Inleiding Vaststellen welk recht van toepassing is op de verwerking van persoonsgegevens krachtens Richtlijn 95/46/EG ( de richtlijn of Richtlijn 95/46 ) is om diverse redenen een belangrijk onderwerp. Bepalingen over toepasselijk recht zijn van cruciaal belang om de externe werkingssfeer van het gegevensbeschermingsrecht van de EU vast te stellen, met andere woorden, om te bepalen in hoeverre het gegevensbeschermingsrecht van de EU van toepassing is op een verwerking van persoonsgegevens die geheel of gedeeltelijk wordt verricht buiten de EU/EER, terwijl er toch een relevante band is met het grondgebied van de EU/EER. Regels over toepasselijk recht bepalen echter ook de werkingssfeer van het gegevensbeschermingsrecht binnen de EU/EER, omdat zij tot doel hebben te voorkomen dat de nationale wetten die de EU/EER-lidstaten hebben vastgesteld om uitvoering te geven aan de richtlijn, tegenstrijdig zijn of elkaar overlappen 1. Bovendien moet een goed begrip van de bepalingen over het toepasselijke recht ervoor zorgen dat er geen leemten of mazen ontstaan waardoor het hoge beschermingsniveau voor persoonsgegevens dat Richtlijn 95/46 biedt, wordt aangetast. De richtlijn bevat een aantal bepalingen die betrekking hebben op het toepasselijke recht, in het bijzonder de artikelen 4, 17 en 28. Deze artikelen bepalen welk nationaal gegevensbeschermingsrecht krachtens de richtlijn van toepassing is, alsmede welke autoriteit verantwoordelijk is voor de handhaving van dat recht. Het is belangrijk te beseffen dat er een wisselwerking bestaat tussen materieel recht en deze bevoegdheid. Hieronder wordt daarop nader ingegaan. Er is wel gesuggereerd dat de tenuitvoerlegging en uitleg van de richtlijnbepalingen over toepasselijk recht binnen de Europese Unie verre van eenduidig is. In het Eerste verslag over de toepassing van de Richtlijn gegevensbescherming van de Commissie werd benadrukt dat de tenuitvoerlegging van artikel 4 van de Richtlijn in diverse gevallen gebrekkig [was] met als resultaat dat het soort wetsconflicten die dit artikel tracht te vermijden, kan ontstaan 2. In de technische bijlage bij het verslag, waarin een gedetailleerde analyse wordt gegeven van diverse nationale bepalingen, wordt gesteld dat een dergelijke gebrekkige omzetting gedeeltelijk kan worden verklaard door de complexiteit van de bepaling. Ook in een met steun van de Europese Commissie tot stand gekomen studie 3 wordt de dubbelzinnigheid en de uiteenlopende tenuitvoerlegging van de regels in de richtlijn over het toepasselijke recht benadrukt. De studie bevat de volgende aanbeveling: betere, duidelijkere en ondubbelzinnige regels over toepasselijk recht zijn hard nodig. Recentelijk nog werd in de mededeling van de Commissie Een integrale aanpak van de bescherming van persoonsgegevens in de Europese Unie 4 opgemerkt: De Commissie Richtlijn 95/46/EG is ook van toepassing op de EVA-landen Noorwegen, IJsland en Liechtenstein op grond van de EER-Overeenkomst (vgl. Besluit van het Gemengd Comité van de EER nr. 83/1999 van 25 juni 1999 tot wijziging van Protocol nr. 37 en bijlage XI (Telecommunicatiediensten) bij de EER- Overeenkomst; PB L 296 van , blz. 41). Eerste verslag over de toepassing van de Richtlijn gegevensbescherming (95/46/EG), mei 2003, blz. 19. Het verslag is beschikbaar via Comparative study on different approaches to new privacy challenges, in particular in the light of technological developments, januari 2010, beschikbaar op COM (2010) 609 definitief van

7 zal onderzoeken hoe te komen tot een herziening en verduidelijking van de bestaande regels betreffende het toepasselijke recht, inclusief de aanknopingspunten, om zo de rechtszekerheid te vergroten, de verantwoordelijkheid van de lidstaten voor de toepassing van de regels inzake gegevensbescherming duidelijker te omschrijven en uiteindelijk EU-betrokkenen eenzelfde beschermingsniveau te bieden ongeacht waar de voor de gegevensverwerking verantwoordelijke zich bevindt. Kwesties op het terrein van het toepasselijke recht worden ook ingewikkelder door de toegenomen globalisering en de ontwikkeling van nieuwe technologieën: bedrijven zijn steeds vaker actief in verschillende rechtsgebieden, doordat zij non-stop diensten verlenen en ondersteuning bieden; het internet maakt het veel eenvoudiger om diensten op afstand te verlenen en in een virtuele omgeving persoonsgegevens te verzamelen en te delen; cloud computing maakt het moeilijk te bepalen waar persoonsgegevens en de apparatuur die wordt gebruikt zich op een gegeven moment bevinden. Het is dan ook van cruciaal belang dat de exacte betekenis van de richtlijnbepalingen over het toepasselijke recht voldoende duidelijk is voor iedereen die, zowel in de publieke als de private sector, een rol speelt bij de tenuitvoerlegging van de richtlijn of bij de dagelijkse toepassing van nationale wetgeving betreffende gegevensbescherming. Daarom heeft de Groep besloten een bijdrage te leveren aan de verduidelijking van enkele belangrijke bepalingen uit de richtlijn en een advies op te stellen over het begrip toepasselijk recht, net zoals zij dat eerder heeft gedaan met betrekking tot het begrip persoonsgegeven en de begrippen voor de verwerking verantwoordelijke en verwerker 5. In dit advies zal de Groep tevens verwijzen naar de andere adviezen waarin het onderwerp toepasselijk recht is behandeld, namelijk waar dit onderwerp aan de orde is gekomen in verband met de specifieke onderwerpen van die adviezen 6. Het uiteindelijke doel van de Groep is rechtszekerheid te bieden bij de toepassing van het gegevensbeschermingsrecht van de EU. Dit houdt enerzijds in dat betrokkenen bekend zijn met de regels die zijn vastgesteld om hun persoonsgegevens te beschermen, en anderzijds dat bedrijven en andere private en publieke instellingen weten welke beschermingsregels er van toepassing zijn op de gegevensverwerkingen die zij verrichten. Het is van groot belang het begrip toepasselijk recht te verduidelijken, ongeacht eventuele wijzigingen van de bestaande richtlijnbepalingen in de toekomst. De bestaande bepalingen zullen immers blijven gelden totdat zij zijn gewijzigd, en voor zover zij niet worden gewijzigd. Verduidelijking van de bepalingen over toepasselijk recht zal derhalve bijdragen tot een betere naleving van de richtlijn in afwachting van een eventuele wijziging van de wetgeving. Daarnaast heeft de Groep bij het opstellen van dit advies gebruik kunnen maken van de ervaring met de toepassing van de bestaande bepalingen teneinde de wetgever te adviseren over en te ondersteunen bij een eventuele toekomstige herziening van de richtlijn. 5 6 Advies 4/2007 over het begrip persoonsgegeven (WP 136); Advies 1/2010 over de begrippen voor de verwerking verantwoordelijke en verwerker (WP 169). Alle adviezen zijn beschikbaar via: Met name het Werkdocument betreffende de internationale toepassing van de gegevensbeschermingswetgeving van de EU op de verwerking van persoonsgegevens op internet door websites van buiten de EU (WP 56), Advies 10/2006 over de verwerking van persoonsgegevens door de Society for Worldwide Interbank Financial Telecommunication (SWIFT) (WP 128) en Advies 1/2008 over gegevensbescherming en zoekmachines (WP 148)

8 Tot slot zijn de bepalingen over de vaststelling van het toepasselijke recht met betrekking tot gegevensbescherming ontworpen om de toepassing van de richtlijn te regelen binnen de eigen werkingssfeer, zoals die is gedefinieerd in artikel 3. Er zal daardoor vaak sprake zijn van een wisselwerking met andere rechtsgebieden zonder dat die buiten de werkingssfeer van de richtlijn worden beïnvloed. 7 II. II.1. Algemene opmerkingen en beleidspunten Korte geschiedenis: van Verdrag 108 naar Richtlijn 95/46/EG In 1981 hebben de auteurs van het onder auspiciën van de Raad van Europa opgestelde Verdrag 108 de risico s in kaart gebracht die kunnen voortvloeien uit wetsconflicten, oftewel de juridische leemten die het gevolg kunnen zijn van de toepassing van verschillende nationale wetten. Dat verdrag kende echter geen specifieke bepalingen om deze problemen aan te pakken: het feit dat het verdrag zou voorzien in een gemeenschappelijke kern van materieel recht werd beschouwd als de voornaamste garantie dat de toe te passen beginselen uiteindelijk hetzelfde zouden zijn, ook al zouden er verschillende nationale wetten blijven bestaan. Verschillen in beschermingsniveau zouden op deze manier worden voorkomen. De Europese Commissie heeft de behoefte aan criteria om het toepasselijke recht te kunnen bepalen aan de orde gesteld bij het opstellen van de Richtlijn gegevensbescherming. In haar oorspronkelijke voorstel 8 had de Commissie bepaald dat de plaats waar het gegevensbestand zich bevindt het eerste aanknopingspunt zou zijn, en de verblijfplaats van de voor de verwerking verantwoordelijke het tweede aanknopingspunt, voor het geval het gegevensbestand zich in een derde land zou bevinden. In de loop van de besprekingen in het Europees Parlement en de Raad van de EU heeft er een verschuiving plaatsgevonden van het criterium van de plaats van het gegevensbestand naar het criterium van de vestiging van de voor de verwerking verantwoordelijke. De plaats van de middelen werd vastgesteld als het tweede criterium, voor het geval de voor de verwerking verantwoordelijke niet in de EU is gevestigd. De Raad heeft deze criteria aangevuld en verdere aanwijzingen gegeven met betrekking tot het begrip vestiging. In het gewijzigde voorstel van de Commissie 9 werd gespecificeerd dat de verwerking moet worden verricht in het kader van de Hoewel de richtlijn bepalingen bevat over aansprakelijkheid (artikel 23) en sancties (artikel 24), laat dit de algemene beginselen van het burgerlijk of strafrecht in beginsel onverlet, zoals bepaald in overweging 21 van de richtlijn. Deze beginselen zouden slechts beïnvloed kunnen worden voor zover dat noodzakelijk is om te voorzien in sancties in geval van schending van beginselen voor gegevensbescherming. In de praktijk heeft de tenuitvoerlegging van de richtlijn op nationaal niveau geleid tot verschillende scenario s, al dan niet met strafrechtelijke sancties. Een ander voorbeeld is dat, hoewel de richtlijn bepalingen bevat over de noodzaak toestemming te verkrijgen zie de artikelen 2, onder h), 7, onder a), en 8, lid 2, onder a) en het belang van contractuele verplichtingen zie artikel 7, onder b) deze niet ingaat op het contractenrecht (bv. de voorwaarden voor het sluiten van een overeenkomst, het recht dat op een overeenkomst van toepassing is) of andere aspecten van het burgerlijk recht die buiten de werkingssfeer van de eigen bepalingen liggen. COM (1990) van , Voorstel voor een Richtlijn van het Europees Parlement en de Raad betreffende de bescherming van personen in verband met de behandeling van persoonsgegevens. COM (1992) 422 definitief van

9 activiteiten van een vestiging van de voor de verwerking verantwoordelijke, en werd rekening gehouden met de mogelijkheid dat de voor de verwerking verantwoordelijke diverse vestigingen kan hebben in verschillende lidstaten. Een belangrijke verandering was dat het voornaamste criterium om te bepalen welk recht van toepassing is niet langer de plaats was waar de voor de verwerking verantwoordelijke zijn hoofdvestiging heeft, maar de plaats waar zich een vestiging van de voor de verwerking verantwoordelijke bevindt. Hieronder zal worden ingegaan op de gevolgen van deze wijzigingen met betrekking tot een distributieve in plaats van uniforme toepassing van het nationaal recht indien er sprake is van meerdere vestigingen. II.2. Rol van begrippen II.2.a) Kader en strategisch belang Het bepalen of het EU-recht op de verwerking van persoonsgegevens van toepassing is heeft, zoals gezegd, tot doel de werkingssfeer van het EUgegevensbeschermingsrecht te verduidelijken, zowel binnen de EU/EER als binnen een breder internationaal kader. Een goed begrip van het toepasselijke recht zal ertoe bijdragen dat de rechtszekerheid voor de voor de verwerking verantwoordelijken wordt gewaarborgd en dat er een duidelijk kader wordt gecreëerd voor betrokkenen en andere belanghebbenden. Vaststellen welk recht van toepassing is, hangt nauw samen met het bepalen wie de voor de verwerking verantwoordelijke 10 is en wat zijn vestiging(en) zijn: het belangrijkste gevolg van deze samenhang is dat de verplichtingen van de voor de verwerking verantwoordelijke, en van zijn vertegenwoordiger indien de voor de verwerking verantwoordelijke in een derde land is gevestigd, worden herbevestigd. Zoals hieronder wordt uitgelegd, betekent dit niet dat er altijd één nationaal recht van toepassing zal zijn, met name als de voor de verwerking verantwoordelijke diverse vestigingen heeft: ook de plaats van die vestigingen en de aard van de activiteiten die er worden verricht, zijn bepalend. Wel kan de duidelijke samenhang tussen het toepasselijke recht en de voor de verwerking verantwoordelijke de doeltreffendheid en de handhaving garanderen, vooral in een situatie waarin het moeilijk, of wellicht zelfs onmogelijk, kan zijn, een gegevensbestand te traceren (zoals bij cloud computing). Duidelijke richtsnoeren betreffende de regels over toepasselijk recht moeten helpen bij het omgaan met nieuwe ontwikkelingen, zowel op technologisch gebied (internet; netwerkgebaseerde bestanden/cloud computing) als op commercieel gebied (multinationals). II.2.b) Werkingssfeer van het EU-recht en het nationaal recht binnen de EU/EER De voornaamste criteria om te bepalen welk recht van toepassing is, zijn de plaats van de vestiging van de voor de verwerking verantwoordelijke, en, indien de voor de verwerking verantwoordelijke gevestigd is buiten de EER, de plaats van de gebruikte middelen of apparatuur 11. Dit betekent dat noch de nationaliteit of de Zie Advies 1/2010 over de begrippen voor de verwerking verantwoordelijke en verwerker (WP 169). Zoals in paragraaf III.2.b zal worden uitgelegd, wordt voor het begrip equipment ( apparatuur ) in de Engelse versie, in andere EU-talen het woord middelen gebruikt. Dit is ook een argument vóór - 9 -

10 gebruikelijke verblijfplaats van de betrokkenen, noch de fysieke locatie van de persoonsgegevens voor dit doeleinde bepalend zijn 12. Dit leidt tot een ruime werkingssfeer met juridische consequenties die zich uitstrekken tot buiten het grondgebied van de EER: de richtlijn en de nationale wetgeving waarin deze is omgezet is van toepassing op de verwerking van persoonsgegevens buiten de EER (indien deze wordt verricht in het kader van de activiteiten van een vestiging van de voor de verwerking verantwoordelijke in de EER), alsmede op voor de verwerking verantwoordelijken die gevestigd zijn buiten de EER (indien zij gebruikmaken van apparatuur in de EER). Dit heeft tot gevolg dat de bepalingen van de richtlijn van toepassing kunnen zijn op diensten met een internationale dimensie, zoals zoekmachines, sociale netwerken en cloud computing. Deze voorbeelden worden hieronder uitgewerkt. Indien persoonsgegevens worden verwerkt door een voor de verwerking verantwoordelijke (X) die slechts één vestiging heeft, welke zich bevindt in lidstaat A, dan is het nationaal recht van lidstaat A van toepassing op de verwerking, ongeacht waar de verwerking wordt verricht. Indien X ook een vestiging (Y) heeft in lidstaat B, dan is het nationaal recht van lidstaat B van toepassing op de verwerking door Y, mits de verwerking wordt verricht in het kader van de activiteiten van Y. Indien de verwerking door Y wordt verricht in het kader van de activiteiten van de vestiging van X in lidstaat A, dan is het nationaal recht van lidstaat A van toepassing op de verwerking. Indien persoonsgegevens worden verwerkt door een voor de verwerking verantwoordelijke die in geen enkele lidstaat is gevestigd, dan valt de verwerking binnen de werkingssfeer van het nationaal recht van die lidstaat waar de apparatuur (of de middelen) waarvan de voor de verwerking verantwoordelijke gebruikmaakt voor het verwerken van de gegevens, zich bevindt (bevinden). Voorbeelden van deze verschillende scenario s zullen in dit advies worden uitgewerkt. Deze brede werkingssfeer heeft hoofdzakelijk tot doel ervoor te zorgen dat de bescherming waarop personen op grond van de richtlijn recht hebben, hun niet wordt ontzegd, en, tegelijkertijd, te voorkomen dat de wet wordt omzeild. De richtlijn bevat criteria om: (i) te bepalen of het Europees recht al dan niet in combinatie met het recht van een derde land van toepassing is op een bepaalde activiteit inzake de verwerking van persoonsgegevens; en (ii) indien het Europees recht van toepassing is op de verwerking, te bepalen welk nationaal recht van toepassing is op de verwerking. 12 een ruime uitleg van het begrip apparatuur en verklaart waarom beide begrippen in dit document worden gebruikt. Zie in overeenkomstige zin Richtlijn 2000/31/EG betreffende bepaalde juridische aspecten van de diensten van de informatiemaatschappij, met name de elektronische handel, in de interne markt. Een andere relevante factor is de locatie van de verwerker met betrekking tot het recht dat van toepassing is op beveiligingsmaatregelen (artikel 17). Dit criterium is op zichzelf echter niet doorslaggevend en moet worden toegepast in samenhang met het voornaamste criterium, namelijk de vestiging van de voor de verwerking verantwoordelijke

11 Verder moet worden opgemerkt dat sommige verwerkingsactiviteiten binnen de EU buiten de werkingssfeer van de richtlijn vallen, maar wel tot toepassing van andere EUwetgevingsinstrumenten kunnen leiden, zoals Kaderbesluit 2008/977/JBZ over de bescherming van persoonsgegevens die worden verwerkt in het kader van de politiële en justitiële samenwerking in strafzaken 13 of Verordening 45/2001 betreffende de verwerking van persoonsgegevens door de communautaire instellingen en organen 14 of andere instrumenten betreffende specifieke EU-organen of informatiesystemen (bv. Europol, Eurojust, SIS, CIS, enz.) 15. II.2.c) Voorkomen van leemten en onnodige overlap Het doel van duidelijke criteria om te bepalen welk nationaal recht van toepassing is, is te voorkomen dat de nationale regels van de lidstaten worden omzeild en dat die regels elkaar overlappen. Of het nationaal recht van één of meer lidstaten van toepassing is op de verwerking hangt af van het aantal vestigingen van de voor de verwerking verantwoordelijke en van zijn activiteiten: o o Indien de voor de verwerking verantwoordelijke één vestiging heeft, is er binnen de gehele EU/EER één nationaal recht van toepassing, afhankelijk van de plaats van deze vestiging. 16 Indien er meer vestigingen zijn, geschiedt de toepassing van nationale wetgeving distributief op grond van de activiteiten van elke vestiging. De criteria hebben tot doel te voorkomen dat op dezelfde verwerkingsactiviteit tegelijkertijd meer dan één nationaal recht van toepassing is. II.2.d) Toepasselijk recht en rechterlijke bevoegdheid in het kader van de richtlijn Op het terrein van gegevensbescherming is het bijzonder belangrijk om een onderscheid te maken tussen het begrip toepasselijk recht (dat bepaalt welk rechtsregime op een bepaalde kwestie van toepassing is) en het begrip rechterlijke bevoegdheid (dat doorgaans bepaalt of een nationale rechter een zaak kan behandelen of een uitspraak of bevel ten uitvoer kan brengen). Het toepasselijke recht en de rechtsbevoegdheid voor een bepaalde verwerking vallen niet altijd samen. De externe werkingssfeer van het EU-recht vloeit voort uit het vermogen van dat recht om regels vast te stellen ter bescherming van de fundamentele belangen binnen het rechtsgebied van de EU. De bepalingen van de richtlijn bepalen ook de werkingssfeer van het nationaal recht van de lidstaten, maar zij laten de rechterlijke bevoegdheid van nationale rechters om relevante aan hen voorgelegde zaken te behandelen onverlet. In de bepalingen van de richtlijn wordt echter wel verwezen naar de territoriale bevoegdheid Kaderbesluit 2008/977/JBZ van de Raad van over de bescherming van persoonsgegevens die worden verwerkt in het kader van de politiële en justitiële samenwerking in strafzaken (PB L 350 van , blz. 60). Verordening (EG) nr. 45/2001 van het Europees Parlement en de Raad van 18 december 2000 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de communautaire instellingen en organen en betreffende het vrije verkeer van die gegevens (PB L 8 van , blz. 1). Europol: Besluit 2009/371/JBZ van de Raad, PB L 121 van , blz. 37); Eurojust: Besluit 2002/187/JBZ van de Raad, PB L 63 van , blz. 1, als gewijzigd bij Besluit 2009/426/JBZ van de Raad, PB L 138 van , blz. 14. Behalve met betrekking tot beveiligingsmaatregelen, die afhankelijk zullen zijn van de locatie van een mogelijke verwerker, zoals is bepaald in artikel 17, lid 3, van de richtlijn

12 van de toezichthoudende autoriteiten die het toepasselijke recht kunnen toepassen en handhaven. Hoewel de twee begrippen toepasselijk recht en bevoegdheid van de toezichthoudende autoriteiten in de meeste gevallen zullen samenvallen, zodat doorgaans het recht van lidstaat A ook wordt toegepast door de autoriteiten van lidstaat A, voorziet de richtlijn uitdrukkelijk in de mogelijkheid dat hiervan wordt afgeweken. Artikel 28, lid 6, houdt in dat de nationale gegevensbeschermingsautoriteiten hun bevoegdheden moeten kunnen uitoefenen indien de gegevensbeschermingswetgeving van een andere lidstaat van toepassing is op een verwerking van persoonsgegevens die onder hun bevoegdheid wordt verricht. De praktische gevolgen hiervan zullen nader worden onderzocht in een toekomstig advies van de Groep. Dergelijke situaties leiden ertoe dat er grensoverschrijdende zaken moeten worden afgehandeld en benadrukken de noodzaak voor gegevensbeschermingsautoriteiten om met elkaar samen te werken, waarbij rekening moet worden gehouden met de handhavingsbevoegdheid van alle betrokken gegevensbeschermingsautoriteiten. Hieruit blijkt ook dat het noodzakelijk is dat de relevante bepalingen van de richtlijn op correcte wijze worden omgezet in nationale wetgeving, aangezien dit van doorslaggevend belang kan zijn voor doeltreffende grensoverschrijdende samenwerking en handhaving. III. Analyse van bepalingen De belangrijkste bepaling over het toepasselijke recht is artikel 4. Artikel 4 bepaalt welke nationale gegevensbeschermingswetgeving, die uit hoofde van de richtlijn is vastgesteld, van toepassing kan zijn op de verwerking van persoonsgegevens. III.1. De voor de verwerking verantwoordelijke is gevestigd in één of meer lidstaten (artikel 4, lid 1, onder a)) De eerste situatie die in artikel 4, lid 1, aan de orde komt is die waarin de voor de verwerking verantwoordelijke één of meer vestigingen heeft binnen het grondgebied van de EU. In dit geval bepaalt artikel 4, lid 1, onder a), dat een lidstaat zijn nationale recht inzake gegevensbescherming toepast indien de verwerking [ ] wordt verricht in het kader van de activiteiten van een vestiging op het grondgebied van de lidstaat van de voor de verwerking verantwoordelijke; wanneer dezelfde verantwoordelijke een vestiging heeft op het grondgebied van verscheidene lidstaten, dient hij de nodige maatregelen te treffen om ervoor te zorgen dat elk van die vestigingen voldoet aan de verplichtingen die worden opgelegd door de toepasselijke nationale wetgeving. Het is nuttig in herinnering te roepen dat het begrip voor de verwerking verantwoordelijke is gedefinieerd in artikel 2, onder d), van de richtlijn. Deze definitie wordt in dit advies niet geanalyseerd, omdat de Groep gegevensbescherming artikel 29 dit begrip reeds heeft toegelicht in haar advies over de begrippen voor de verwerking verantwoordelijke en verwerker 17. Daarnaast is het belangrijk om te benadrukken dat een vestiging geen rechtspersoonlijkheid hoeft te bezitten, en ook dat het begrip vestiging een flexibele samenhang vertoont met het begrip verantwoordelijkheid. Een voor de verwerking verantwoordelijke kan diverse vestigingen hebben, gezamenlijk voor de verwerking verantwoordelijken kunnen activiteiten binnen één vestiging concentreren of binnen 17 Advies 1/2010 over de begrippen voor de verwerking verantwoordelijke en verwerker (WP 169)

13 verschillende vestigingen. Het doorslaggevende element om een vestiging aan te merken als een vestiging in de zin van de richtlijn is de effectieve en daadwerkelijke uitoefening van activiteiten in het kader waarvan persoonsgegevens worden verwerkt. a) een vestiging op het grondgebied van de lidstaat van de voor de verwerking verantwoordelijke De richtlijn bevat geen definitie van het begrip vestiging. In de preambule van de richtlijn staat echter dat de vestiging op het grondgebied van een lidstaat het effectief en daadwerkelijk uitoefenen van activiteiten door een vaste vestiging veronderstelt (en dat) de rechtsvorm van een ( ) vestiging, of het nu gaat om een bijkantoor of om een dochteronderneming met rechtspersoonlijkheid, hier niet doorslaggevend is (overweging 19). In het kader van de vrijheid van vestiging krachtens artikel 50 VWEU (ex artikel 43 EG) heeft het Europees Hof van Justitie bepaald dat een inrichting als vaste vestiging wordt aangemerkt wanneer deze duurzaam over het personeel en de technische middelen beschikt die voor bepaalde diensten noodzakelijk zijn. 18 De sterke nadruk die er in de preambule van de Richtlijn wordt gelegd op het effectief en daadwerkelijk uitoefenen van activiteiten door een vaste vestiging is duidelijk afgeleid van de vaste inrichting waarnaar het Hof verwees ten tijde van de vaststelling van de richtlijn. Hoewel niet duidelijk is of deze uitleg en latere interpretaties van het Hof in het kader van de vrijheid van vestiging krachtens artikel 50 VWEU volledig kunnen worden toegepast op de situaties die onder artikel 4 van de Richtlijn gegevensbescherming vallen, kan de uitleg van het Hof in dergelijke zaken een bruikbaar richtsnoer zijn voor het analyseren van de formuleringen in de richtlijn. Deze uitleg wordt gehanteerd in de onderstaande voorbeelden: Indien er effectief en daadwerkelijk activiteiten worden verricht, bijvoorbeeld op een advocatenkantoor met een vaste vestiging, kan het kantoor worden aangemerkt als een vestiging. Het is onwaarschijnlijk dat servers of computers als vestiging worden aangemerkt omdat dit slechts technische faciliteiten of instrumenten zijn voor de verwerking van informatie 19. Een eenmansonderneming kan als vestiging worden aangemerkt voor zover deze onderneming niet slechts optreedt als vertegenwoordiger van een elders gevestigde voor de verwerking verantwoordelijke, en zij een actieve rol speelt bij de activiteiten in het kader waarvan de verwerking van de persoonsgegevens wordt verricht Arrest van het Hof van 4 juli 1985, Bergholz, (Zaak 168/84, Jurisprudentie 1985 blz. 2251, punt 14) en arrest van het Hof van 7 mei 1998, Lease Plan Luxembourg / Belgische Staat (Zaak C-390/96, Jurisprudentie 1998 blz. I-2553). In de tweede zaak moest worden bepaald of de server van een bedrijf, die zich bevindt een ander land dan het land van de dienstverlener, als vaste inrichting kon worden beschouwd. Dit had tot doel vast te stellen in welk land er btw moest worden betaald. Het Hof weigerde geautomatiseerde middelen te beschouwen als een virtuele vestiging (waarmee het Hof terugkeerde naar een meer klassieke uitleg van het begrip vestiging, die verschilt van de uitleg die werd gehanteerd in het eerdere arrest van 17 juli 1997, ARO Lease / Inspecteur der Belastingdienst Grote Ondernemingen te Amsterdam (C-190/95, Jurisprudentie 1997 blz. I-4383). Of zij als iets anders moeten worden aangemerkt, bijvoorbeeld als apparatuur, wordt hieronder besproken

14 In elk geval is de rechtsvorm van het kantoor niet doorslaggevend: zelfs een eenvoudige agent kan als een relevante vestiging worden beschouwd mits zijn aanwezigheid in de lidstaat voldoende duurzaam is. Voorbeeld 1: Publicatie voor reizigers Een bedrijf dat gevestigd is in lidstaat A verzamelt gegevens over de diensten die tankstations in lidstaat B aanbieden om een publicatie voor reizigers te verzorgen. De gegevens worden verzameld door een medewerker die door B reist en foto s en commentaar verstuurt naar zijn werkgever in A. In dit geval worden er gegevens verzameld in B (zonder dat zich daar een vestiging bevindt) die worden verwerkt in het kader van de activiteiten van de vestiging in A: het recht van lidstaat A is van toepassing. Artikel 4, lid 1, onder a), waarin sprake is van een vestiging van de voor de verwerking verantwoordelijke op het grondgebied van de lidstaat, vraagt ook om verduidelijking op andere punten dan in verband met het begrip vestiging. Allereerst betekent de verwijzing naar een vestiging dat de aanwezigheid van een vestiging van de voor de verwerking verantwoordelijke in een lidstaat tot gevolg heeft dat het recht van die lidstaat van toepassing is, en dat de aanwezigheid van andere vestigingen van die voor de verwerking verantwoordelijke in andere lidstaten tot gevolg kan hebben dat het recht van die andere lidstaten van toepassing is. Zelfs als de voor de verwerking verantwoordelijke zijn hoofdvestiging in een derde land heeft, kan het feit dat een van zijn vestigingen zich bevindt in een lidstaat ertoe leiden dat het recht van die lidstaat van toepassing is, mits is voldaan aan de overige voorwaarden van artikel 4, lid 1, onder a) (zie hieronder onder b)). Dit wordt ook bevestigd door het tweede deel van de bepaling, waarin expliciet is vastgelegd dat wanneer dezelfde verantwoordelijke een vestiging heeft op het grondgebied van verscheidene lidstaten, hij ervoor dient te zorgen dat elk van die vestigingen voldoet aan de toepasselijke wetgeving. b) die verwerking wordt verricht in het kader van de activiteiten De richtlijn koppelt de toepassing van het gegevensbeschermingsrecht van een lidstaat aan een verwerking van persoonsgegevens. De Groep heeft het begrip verwerking incidenteel al behandeld in andere adviezen, waarin werd benadrukt dat verschillende bewerkingen of gehelen van bewerkingen op persoonsgegevens gelijktijdig of in verschillende fasen kunnen plaatsvinden. 20 Voor de bepaling van het toepasselijke recht kan dit ook betekenen dat in verschillende fasen van de verwerking van persoonsgegevens het recht van diverse lidstaten van toepassing kan zijn. Hoewel de vermenigvuldiging van het aantal toepasselijke nationale wetten derhalve een reëel gevaar is, moet worden bedacht dat de kans bestaat dat verbanden tussen de verschillende verwerkingsactiviteiten op macroniveau toch weer tot de toepassing van het nationaal recht van één land kunnen leiden. Om vast te stellen of op de verschillende fasen van de verwerking het recht van één of meer lidstaten van toepassing is, is het belangrijk een algemeen beeld van de verwerkingsactiviteiten voor ogen te houden: het feit dat een geheel van bewerkingen in een aantal verschillende lidstaten wordt verricht 20 Zie bv. Advies 1/2010 over de begrippen voor de verwerking verantwoordelijke en verwerker (WP 169)

15 maar toch slechts één doel dient, zou ertoe kunnen leiden dat het nationaal recht van één lidstaat van toepassing is. In dergelijke omstandigheden is het begrip kader van de activiteiten en niet de plaats van de gegevens een doorslaggevende factor bij het vaststellen van het toepasselijke recht. Het begrip kader van de activiteiten houdt in dat het toepasselijke recht niet het recht is van de lidstaat waar de voor de verwerking verantwoordelijke is gevestigd, maar dat van de lidstaat waar een vestiging van de voor de verwerking verantwoordelijke betrokken is bij activiteiten die verband houden met de verwerking van gegevens. De behandeling van verschillende scenario s kan helpen verduidelijken wat er wordt bedoeld met het begrip kader van de activiteiten en hoe dit element de vaststelling beïnvloedt van het recht dat van toepassing is op verschillende verwerkingsactiviteiten in een aantal verschillende landen. a. Indien een voor de verwerking verantwoordelijke een vestiging heeft in Oostenrijk en persoonsgegevens verwerkt in Oostenrijk in het kader van de activiteiten van die vestiging, is het toepasselijke recht uiteraard dat van Oostenrijk oftewel het recht van het land waar de vestiging zich bevindt. b. In het tweede scenario heeft de voor de verwerking verantwoordelijke een vestiging in Oostenrijk in het kader van activiteiten waarvoor hij persoonsgegevens verwerkt die via zijn website worden verzameld. De website is toegankelijk voor gebruikers uit diverse landen. Het toepasselijke gegevensbeschermingsrecht is dan nog steeds dat van Oostenrijk oftewel het recht van het land waar de vestiging zich bevindt ongeacht de plaats waar de gebruikers en de gegevens zich bevinden. c. In het derde scenario is de voor de verwerking verantwoordelijke gevestigd in Oostenrijk, maar besteedt hij de verwerking uit aan een verwerker in Duitsland. De verwerking in Duitsland wordt verricht in het kader van de activiteiten van de voor de verwerking verantwoordelijke in Oostenrijk. Dit betekent dat de verwerking wordt verricht voor de commerciële doeleinden en op aanwijzing van de Oostenrijkse vestiging. Het Oostenrijkse recht is nu van toepassing op de verwerking die door de verwerker in Duitsland wordt verricht. Daarnaast moet de verwerker voldoen aan de in het Duitse recht vastgelegde vereisten ten aanzien van de beveiligingsmaatregelen die hij verplicht is te treffen in verband met de verwerking 21. Dergelijke constructies maken gecoördineerd toezicht door de Duitse en Oostenrijkse gegevensbeschermingsautoriteiten noodzakelijk. d. In het vierde scenario opent de in Oostenrijk gevestigde voor de verwerking verantwoordelijke een filiaal in Italië, dat verantwoordelijk is voor alle Italiaanse 21 Op grond van artikel 17, lid 3, van Richtlijn 95/46/EG is de verwerker gehouden met betrekking tot beveiligingsmaatregelen de verplichtingen na te leven die op hem rusten krachtens de wetgeving van de lidstaat waar de verwerker is gevestigd. In geval van tegenstrijdigheden tussen de materiële beveiligingsverplichtingen op basis van het recht van de verwerker en het recht van de voor de verwerking verantwoordelijke, heeft de lex loci (het recht van de verwerker) voorrang. Hoewel de uiteindelijke aansprakelijkheid op de voor de verwerking verantwoordelijke rust, moet de verwerker aantonen dat hij alle noodzakelijke maatregelen heeft getroffen overeenkomstig zijn overeenkomst met de voor de verwerking verantwoordelijke alsmede overeenkomstig de beveiligingsverplichtingen zoals gedefinieerd door de wetgeving van de lidstaat waar de verwerker is gevestigd (zie verder paragraaf III.5)

16 inhoud van de website en dat de verzoeken van Italiaanse gebruikers afhandelt. De gegevensverwerkingsactiviteiten die door het Italiaanse filiaal worden verricht, vinden plaats in het kader van de activiteiten van de Italiaanse vestiging, dus op die activiteiten is het Italiaanse recht van toepassing. Conclusies over het toepasselijke recht kunnen derhalve alleen getrokken worden op basis van een juist begrip van de uitdrukking in het kader van de activiteiten. Bij de analyse van dit begrip moet rekening worden gehouden met de volgende overwegingen: De mate van betrokkenheid van de vestiging(en) bij de activiteiten in het kader waarvan persoonsgegevens worden verwerkt, is van cruciaal belang. Het gaat er hierbij om te achterhalen wie wat doet, d.w.z. welke activiteiten worden verricht door welke vestiging. Dit is noodzakelijk om te kunnen bepalen of de vestiging relevant genoeg is om tot toepassing van het nationale gegevensbeschermingsrecht te leiden. Indien een vestiging persoonsgegevens verwerkt in het kader van haar eigen activiteiten, is het toepasselijke recht het recht van de lidstaat waar die vestiging zich bevindt. Indien de vestiging persoonsgegevens verwerkt in het kader van de activiteiten van een andere vestiging, dan is het toepasselijke recht dat van de lidstaat waar de andere vestiging zich bevindt. De aard van de activiteiten van de vestiging is een secundair element, maar kan wel helpen bij het bepalen van het recht dat van toepassing is op een bepaalde vestiging: de vraag of een activiteit gepaard gaat met gegevensverwerking of niet, en welke verwerking plaatsvindt in het kader van welke activiteit, hangt in hoge mate af van de aard van de betreffende activiteiten. Andersom zal het feit dat verschillende vestigingen betrokken kunnen zijn bij totaal verschillende activiteiten, in het kader waarvan persoonsgegevens worden verwerkt, van invloed zijn op het toepasselijke recht. In voorbeeld 4 worden deze overwegingen verder uitgewerkt. Ook de algemene doelstelling van de richtlijn moet in aanmerking worden genomen. Met de richtlijn wordt immers beoogd personen een doeltreffende bescherming te bieden op een eenvoudige, werkbare en voorspelbare wijze. Voorbeeld 2: De doorgifte van persoonsgegevens in verband met facturering Een Italiaans nutsbedrijf geeft informatie betreffende zijn debiteuren door aan een Franse investeringsbank met het oog op facturering van de schulden. De schulden zijn ontstaan doordat klanten hun elektriciteitsrekeningen niet hebben betaald. Deze doorgifte van informatie over de schulden gaat gepaard met de doorgifte van de persoonsgegevens van klanten aan de Franse investeringsbank, in het bijzonder aan het bijkantoor in Italië (d.w.z. de vestiging van de Franse bank in Italië). De Franse investeringsbank is een voor de verwerking verantwoordelijke met betrekking tot de verwerkingen die tezamen de overdracht vormen en zijn Italiaanse bijkantoor zorgt er namens hem voor dat de schulden worden beheerd en geïnd. De gegevens zijn door de voor de verwerking verantwoordelijke zowel in Frankrijk als op het Italiaanse bijkantoor verwerkt. De Franse voor de verwerking verantwoordelijke stelt alle Italiaanse klanten van bovenstaande verwerking op de hoogte via het Italiaanse bijkantoor

17 Het Italiaanse bijkantoor is een vestiging in de zin van de richtlijn, en zijn activiteiten, die bestaan in de verwerking van persoonsgegevens om klanten te informeren over de gemaakt afspraken, moeten voldoen aan de Italiaanse gegevensbeschermingswetgeving. Ook de beveiligingsmaatregelen binnen het Italiaanse bijkantoor moeten voldoen aan de voorwaarden die de Italiaanse gegevensbeschermingswetgeving hieraan stelt. Evenzo moet de Franse voor de verwerking verantwoordelijke voldoen aan de Franse beveiligingsverplichtingen voor gegevens die binnen zijn vestiging in Frankrijk worden verwerkt. Betrokkenen, oftewel de debiteuren, kunnen zich tot het Italiaanse bijkantoor wenden om hun rechten inzake gegevensbescherming op grond van het Italiaanse recht uit te oefenen, zoals met betrekking tot de toegang, correctie en uitwissing van hun gegevens. Er moet bij de analyse van deze criteria een functionele benadering worden gehanteerd: de doorslaggevende factoren zijn niet zozeer de theoretische inschatting die de partijen maken van het toepasselijke recht, maar hun feitelijke gedragingen en interactie: wat is nu de echte rol van de betreffende vestiging, en welke activiteit wordt verricht in het kader van de activiteiten van welke vestiging? Er moet in verband met de activiteiten in het kader waarvan persoonsgegevens worden verwerkt worden gelet op de mate van betrokkenheid van elke vestiging. Een goed begrip van het begrip in het kader van komt dan ook van pas in ingewikkelde zaken waarin de verschillende activiteiten die door verschillende EU-vestigingen van hetzelfde bedrijf worden verricht, moeten worden uitgesplitst. Voorbeeld 3: Verzameling van klantgegevens in winkels Een keten van kledingwinkels heeft zijn hoofdkantoor in Spanje en winkels verspreid over de EU. In alle winkels worden klantgegevens verzameld, maar die gegevens worden vervolgens doorgegeven aan het Spaanse hoofdkantoor waar bepaalde activiteiten in verband met de verwerking van gegevens worden verricht (analyse van klantprofielen, klantenservice, gerichte reclame). Activiteiten als direct marketing aan klanten in heel Europa worden uitsluitend aangestuurd door het hoofdkantoor in Spanje. Dergelijke activiteiten kunnen worden aangemerkt als activiteiten die worden verricht in het kader van de activiteiten van de Spaanse vestiging. Daarom is het Spaanse recht van toepassing op deze verwerkingsactiviteiten. Desondanks blijven de afzonderlijke winkels verantwoordelijk voor die aspecten van de verwerking van de persoonsgegevens van hun klanten die worden verricht in het kader van de activiteiten van de winkel (bv. het verzamelen van de persoonsgegevens van klanten). Voor zover die verwerking wordt verricht in het kader van de activiteiten van elke afzonderlijke winkel, is op een dergelijke verwerking het recht van toepassing van het land waar de betreffende winkel is gevestigd. Een direct praktisch gevolg van deze analyse is dat elke winkel de noodzakelijke maatregelen moet nemen om klanten te informeren over de voorwaarden waaraan de verzameling en verdere verwerking van hun gegevens dient te voldoen op grond van de eigen nationale wetgeving

18 Klanten kunnen zich bij klachten rechtstreeks wenden tot de gegevensbeschermingsautoriteit in hun eigen land. Indien de klacht verband houdt met een directmarketingactie die is uitgevoerd in het kader van de activiteiten van het Spaanse hoofdkantoor, moet de nationale gegevensbeschermingsautoriteit de zaak doorverwijzen naar de Spaanse gegevensbeschermingsautoriteit. Het is dus mogelijk dat één vestiging betrokken is bij een aantal verschillende soorten activiteiten, en dat op de verwerking van gegevens in het kader van deze verschillende activiteiten het nationaal recht van verschillende landen van toepassing kan zijn. Om de voorspelbaarheid en werkbaarheid te waarborgen wanneer de mogelijkheid bestaat dat op de verschillende activiteiten van één vestiging het nationaal recht van meer dan één land van toepassing is, moet een functionele benadering worden gehanteerd, waarbij ook de juridische context in bredere zin in aanmerking moet worden genomen. Voorbeeld 4: Centrale database voor personeelsadministratie Situaties waarin verschillend recht van toepassing kan zijn op dezelfde database doen zich in de praktijk steeds vaker voor. Dit is vaak het geval op het gebied van personeelsadministratie wanneer dochterondernemingen/vestigingen in verschillende landen de gegevens van werknemers opslaan in één centrale database. Hoewel dit traditioneel gebeurt om te profiteren van schaalvoordelen, mag dit niet van invloed zijn op de verplichtingen van elke vestiging op grond van het nationale recht. Dit geldt niet alleen met betrekking tot gegevensbescherming, maar ook als het gaat om arbeidsrecht en bepalingen van openbare orde. Indien de gegevens van de werknemers van een Ierse dochteronderneming (die een vestiging is in de zin van de richtlijn) bijvoorbeeld zijn overgedragen aan een centrale database in het Verenigd Koninkrijk, waar ook de gegevens van de werknemers van de Britse dochteronderneming/vestiging zijn opgeslagen, is het gegevensbeschermingsrecht van twee lidstaten (Ierland en het Verenigd Koninkrijk) van toepassing. De toepassing van het nationaal recht van twee verschillende lidstaten is niet slechts het gevolg van het feit dat de gegevens afkomstig zijn uit twee verschillende lidstaten, maar vloeit veeleer voort uit het feit dat de verwerking van de Ierse werknemersgegevens door de Britse vestiging wordt verricht in het kader van de activiteiten van de Ierse vestiging in haar hoedanigheid van werkgever. Dit voorbeeld laat zien dat het nationaal recht dat van toepassing is niet wordt bepaald door de plaats waar de gegevens naartoe worden verzonden of waar zij zich bevinden. De doorslaggevende factoren zijn de aard en plaats van de gewone activiteiten die worden verricht en die het kader vormen waarin de verwerking wordt verricht: op gegevens van werknemers of klanten is normaal gesproken dan ook het gegevensbeschermingsrecht van toepassing van het land waar de activiteit in het kader waarvan de gegevens worden verwerkt wordt verricht. Het voorbeeld bevestigt ook dat er geen rechtstreeks verband is tussen het toepasselijke recht en de rechtsbevoegdheid, aangezien het nationaal recht van toepassing kan zijn buiten het nationale rechtsgebied. Kortom, de criteria die worden gehanteerd om het toepasselijke recht te bepalen, hebben gevolgen op verschillende niveaus: o Ten eerste helpen zij bepalen of het EU-gegevensbeschermingsrecht überhaupt van toepassing is op de verwerking;

19 o o Ten tweede kan, indien het EU-gegevensbeschermingsrecht van toepassing is, aan de hand van de criteria worden bepaald (a) welk nationale gegevensbeschermingsrecht van toepassing is, en (b) indien er diverse vestigingen zijn in verschillende lidstaten, op welke verwerkingsactiviteit het gegevensbeschermingsrecht van welke lidstaat van toepassing is; Ten derde komen de criteria van pas als er niet-europese aspecten spelen bij de verwerkingsactiviteiten zoals in het volgende voorbeeld, waarin de voor de verwerking verantwoordelijke gevestigd is buiten de EER. Voorbeeld 5: Internetprovider Een internetprovider (de voor de verwerking verantwoordelijke) heeft zijn hoofdkantoor buiten de EU, bv. in Japan. Hij heeft verkoopkantoren in het merendeel van de EUlidstaten, en een kantoor in Ierland dat zich bezighoudt met zaken die verband houden met de verwerking van persoonsgegevens, waaronder met name IT-ondersteuning. De voor de verwerking verantwoordelijke zet een datacentrum op in Hongarije, met werknemers en servers die zich richten op de verwerking en opslag van gegevens over de gebruikers van zijn diensten. De voor de verwerking verantwoordelijke in Japan heeft ook andere vestigingen in diverse lidstaten van de EU, waar verschillende activiteiten worden verricht: het datacentrum in Hongarije houdt zich uitsluitend bezig met technisch onderhoud; de verkoopkantoren van de internetprovider organiseren algemene reclamecampagnes; het kantoor in Ierland is de enige vestiging binnen de EU waar activiteiten worden verricht in het kader waarvan daadwerkelijk persoonsgegevens worden verwerkt (ongeacht de input vanuit het hoofdkantoor in Japan). De activiteiten van het Ierse kantoor leiden ertoe dat het EU-gegevensbeschermingsrecht van toepassing is: de persoonsgegevens worden verwerkt in het kader van de activiteiten van het Ierse kantoor en daarom is op deze verwerking het EUgegevensbeschermingsrecht van toepassing. Het recht dat van toepassing is op een verwerking die wordt verricht in het kader van de activiteiten van het Ierse kantoor is de Ierse gegevensbeschermingswetgeving, ongeacht of de verwerking wordt verricht in Portugal, Italië of een andere lidstaat. Dit betekent dat, in de bovenstaande hypothetische situatie, het datacentrum in Hongarije moet voldoen aan het Ierse gegevensbeschermingsrecht met betrekking tot de verwerking van de persoonsgegevens van de gebruikers van de internetprovider. Dit laat echter onverlet dat het Hongaarse recht van toepassing zou kunnen zijn op een aparte verwerking van persoonsgegevens door het Hongaarse datacentrum in verband met zijn eigen activiteiten bijvoorbeeld de verwerking van persoonsgegevens van de werknemers van het datacentrum

20 Voor de verkoopkantoren die in andere lidstaten zijn gevestigd geldt dat het nationaal gegevensbeschermingsrecht van de EU-lidstaten niet van toepassing is, mits hun activiteit beperkt blijft tot de organisatie van algemene, niet-klantgerichte reclamecampagnes waarvoor geen persoonsgegevens van gebruikers worden verwerkt. Mochten zij echter besluiten in het kader van hun activiteiten een verwerking te verrichten waarvoor de persoonsgegevens verwerkt moeten worden van mensen die wonen in het land waar zij zijn gevestigd (zoals de verzending van gerichte reclame aan gebruikers en eventuele toekomstige gebruikers voor hun eigen commerciële doeleinden), dan dienen zij te voldoen aan het nationale gegevensbeschermingsrecht. Indien er geen verband kan worden gelegd tussen de verwerking van gegevens en de Ierse vestiging (de IT-ondersteuning is zeer beperkt en de vestiging is niet betrokken bij de verwerking van persoonsgegevens), kunnen andere bepalingen van de richtlijn nog altijd leiden tot toepassing van de beginselen voor gegevensbescherming, bijvoorbeeld als de voor de verwerking verantwoordelijke gebruikmaakt van apparatuur die zich in de EU bevindt. Dit komt aan de orde in paragraaf III.3. III.2. De voor de verwerking verantwoordelijke is gevestigd in een plaats waar de nationale wet uit hoofde van het internationale publiekrecht van toepassing is (artikel 4, lid 1, onder b) In artikel 4, lid 1, onder b), komt het minder gebruikelijke geval aan de orde dat het gegevensbeschermingsrecht van een lidstaat van toepassing is indien de voor de verwerking verantwoordelijke niet gevestigd is op het grondgebied van de lidstaat, maar in een plaats waar de nationale wet uit hoofde van het internationale publiekrecht van toepassing is. III.2.a) de voor de verwerking verantwoordelijke niet gevestigd is op het grondgebied van de lidstaat De eerste voorwaarde moet, omwille van de interne consistentie van artikel 4, lid 1, zo worden uitgelegd dat de voor de verwerking verantwoordelijke op het grondgebied van de lidstaat geen vestiging heeft die tot toepassing leidt van artikel 4, lid 1, onder a), (zie ook paragraaf III.3.a). Met andere woorden, omdat zich in de EU geen relevante vestiging bevindt, kan er geen toepasselijk nationaal gegevensbeschermingsrecht worden vastgesteld aan de hand van artikel 4, lid 1, onder a). III.2.b), maar in een plaats waar de nationale wet uit hoofde van het internationale publiekrecht van toepassing is Er zijn echter externe criteria, die afkomstig zijn uit het internationale publiekrecht, die in specifieke situaties kunnen bepalen dat nationaal gegevensbeschermingsrecht moet worden toegepast buiten de nationale grenzen. Hiervan kan sprake zijn indien in het internationale publiekrecht of in internationale overeenkomsten is vastgelegd welk recht van toepassing is op een ambassade of consulaat, of welk recht van toepassing is op een schip of vliegtuig. In die gevallen waarin de voor de verwerking verantwoordelijke gevestigd is in een dergelijke specifieke plaats, wordt het toepasselijke nationale gegevensbeschermingsrecht bepaald aan de hand van het internationale recht. Anderzijds is het belangrijk om te benadrukken dat het nationale gegevensbeschermingsrecht niet mag worden toegepast op buitenlandse missies of internationale organisaties op het grondgebied van de EU voor zover zij krachtens internationaal recht over een bijzondere status beschikken, hetzij in algemene zin, hetzij