IT 2383

Conclusie AG HvJ EU: Beheerder fanpagina op sociaal netwerk is verantwoordelijk voor verwerking persoonsgegevens

Conclusie AG HvJ EU 24 oktober 2017, IT&R 2383; IEFbe2390; ECLI:EU:C:2017:796 (ULD tegen Wirtschaftsakademie). Privacy. Verwerking persoongegevens. ULD, de regionale gegevensbeschermingsautoriteit van Schleswig-Holstein, heeft de Wirtschaftsakademie, een privaatrechtelijke onderneming gespecialiseerd op het gebied van onderwijs bevolen een fanpage op Facebook te deactiveren. De Wirtschaftsakademie betwist de rechtmatigheid van dit bevel. Wirtschaftsakademie gebruikte deze fanpage om kennelijke interesses van internetgebruikers te identificeren door het observeren van hun surfgedrag. Meerdere toezichthoudende autoriteiten hebben Facebook boeten opgelegd vanwege schending van de regels inzake gegevensbescherming van haar gebruikers. Vragen met betrekking tot wie de verantwoordelijke entiteit is van de verwerking persoonsgegevens op Facebook en omtrent bevoegdheden van de toezichthoudende autoriteit.

Conclusie AG:

„1)      Artikel 2, onder d), van richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, zoals gewijzigd bij verordening (EG) nr. 1882/2003 van het Europees Parlement en de Raad van 29 september 2003, moet aldus worden uitgelegd dat een beheerder van een fanpagina op een sociaal netwerk als Facebook een voor de verwerking verantwoordelijke in de zin van deze bepaling is met betrekking tot de fase van de verwerking van persoonsgegevens die bestaat in de verzameling door dit sociale netwerk van gegevens betreffende de personen die deze pagina raadplegen, om gebruikersstatistieken met betrekking tot deze pagina op te stellen.

2)      Artikel 4, lid 1, onder a), van richtlijn 95/46, zoals gewijzigd bij verordening nr. 1882/2003, moet aldus worden uitgelegd dat een verwerking van persoonsgegevens als in het hoofdgeding wordt verricht in het kader van de activiteiten van een vestiging van de voor deze verwerking verantwoordelijke op het grondgebied van een lidstaat, in de zin van deze bepaling, wanneer een onderneming die een sociaal netwerk exploiteert in deze lidstaat een dochteronderneming opricht om de promotie en de verkoop van de door deze onderneming aangeboden advertentieruimte te verzekeren, wier activiteit op de inwoners van deze lidstaat is gericht.

3)      In een situatie als in het hoofdgeding, waarin het op de betrokken verwerking van persoonsgegevens toepasselijke nationale recht datgene is van de lidstaat waartoe een toezichthoudende autoriteit behoort, moet artikel 28, leden 1, 3 en 6, van richtlijn 95/46, zoals gewijzigd bij verordening nr. 1882/2003, aldus worden uitgelegd dat deze toezichthoudende autoriteit alle door artikel 28, lid 3, van deze overeenkomst aan haar toegekende effectieve bevoegdheden om in te grijpen kan uitoefenen jegens de voor de verwerking verantwoordelijke, ook als die verantwoordelijke in een andere lidstaat of in een derde staat is gevestigd.

4)      Artikel 28, leden 1, 3 en 6, van richtlijn 95/46, zoals gewijzigd bij verordening nr. 1882/2003, moet aldus worden uitgelegd dat, in omstandigheden als die in het hoofdgeding, de toezichthoudende autoriteit van de lidstaat waarin de vestiging van de voor de verwerking verantwoordelijke zich bevindt, haar bevoegdheden om in te grijpen autonoom jegens deze verantwoordelijke mag uitoefenen zonder eerst de toezichthoudende autoriteit van de lidstaat waarin deze voor de verwerking verantwoordelijke zich bevindt, te hoeven verzoeken haar bevoegdheden uit te oefenen.”

Gestelde prejudiciele vragen [IT&R 2073]:

„1)      Moet artikel 2, onder d), van richtlijn 95/46 aldus worden uitgelegd dat het de aansprakelijkheid en verantwoordelijkheid voor inbreuken op de bescherming van gegevens definitief en uitputtend regelt, of blijft er in het kader van de ‚passende maatregelen’ als bedoeld in artikel 24 van [deze richtlijn] en de ‚effectieve bevoegdheden om in te grijpen’ als bedoeld in artikel 28, lid 3, tweede streepje, [ervan] in meervoudige verhoudingen van informatieaanbieders ruimte voor verantwoordelijkheid van een lichaam dat niet de voor verwerking verantwoordelijke in de zin van artikel 2, onder d), van [genoemde richtlijn] is, op grond van de keuze van een beheerder voor zijn informatieaanbod?

2)      Volgt, a contrario, uit de uit artikel 17, lid 2, van richtlijn 95/46 voortvloeiende verplichting van de lidstaten om bij de gegevensverwerking in opdracht te verlangen dat de voor de verwerking verantwoordelijke ‚een verwerker [kiest] die voldoende waarborgen biedt ten aanzien van de technische en organisatorische beveiligingsmaatregelen met betrekking tot de te verrichten verwerking’, dat er, in het kader van ander gebruik dat geen gegevensverwerking ten behoeve van de voor de verwerker verantwoordelijke in de zin van artikel 2, onder e), van [deze richtlijn] impliceert, geen enkele verplichting bestaat om een zorgvuldige keuze te maken en dat deze ook niet kan worden gebaseerd op het nationale recht?

3)      Wanneer een buiten de Unie gevestigde moederonderneming in verscheidene lidstaten over juridisch zelfstandige vestigingen (dochterondernemingen) beschikt, mag dan de toezichthoudende autoriteit van een lidstaat (in casu Duitsland) ook dan krachtens artikel 4 en artikel 28, lid 6, van richtlijn 95/46 de haar door artikel 28, lid 3, van [deze richtlijn] verleende bevoegdheden uitoefenen jegens de op het grondgebied van deze lidstaat gelegen vestiging die alleen de promotie en de verkoop verzekert van advertentieruimte en andere op de inwoners van deze lidstaat gerichte marketingactiviteiten, terwijl de zelfstandige vestiging (dochteronderneming) in een andere lidstaat (in casu Ierland) volgens de taakverdeling binnen de groep exclusief verantwoordelijk is voor de verzameling en de verwerking van persoonsgegevens op het gehele grondgebied van de Unie en dus ook in de andere lidstaat (in casu Duitsland), indien de beslissing betreffende de gegevensverwerking in feite door de moederonderneming wordt genomen?

4)      Moeten artikel 4, lid 1, onder a), en artikel 28, lid 3, van richtlijn 95/46 aldus worden uitgelegd dat, wanneer de voor de verwerking verantwoordelijke een vestiging op het grondgebied van een lidstaat (in casu Ierland) bezit en er op het grondgebied van een andere lidstaat (in casu Duitsland) een andere, juridisch zelfstandige vestiging is die onder meer is belast met de verkoop van advertentieruimte en waarvan de activiteit op de inwoners van deze staat is gericht, de bevoegde toezichthoudende autoriteit in deze andere lidstaat (in casu Duitsland) ook maatregelen en bevelen tot handhaving van het op de gegevensbescherming toepasselijke recht kan richten tot de andere vestiging (in casu in Duitsland) die volgens de taak- en verantwoordelijkheidsverdeling binnen de groep niet voor de gegevensverwerking verantwoordelijk is, of kunnen maatregelen en bevelen dan slechts worden genomen of uitgevaardigd door de toezichthoudende autoriteit van de lidstaat (in casu Ierland) op wiens grondgebied het binnen de groep verantwoordelijke lichaam zijn zetel heeft?

5)      Moeten artikel 4, lid 1, onder a), en artikel 28, leden 3 en 6, van richtlijn 95/46 aldus worden uitgelegd dat, wanneer de toezichthoudende autoriteit van een lidstaat (in casu Duitsland) als gevolg van de onzorgvuldige keuze van een bij het gegevensverwerkingsproces betrokken derde (in casu Facebook) krachtens artikel 28, lid 3, van [deze richtlijn] optreedt tegen een persoon die of lichaam dat zijn activiteiten uitoefent op het grondgebied van deze lidstaat omdat deze derde het op de gegevensbescherming toepasselijke recht heeft geschonden, de ingrijpende toezichthoudende autoriteit (in casu van Duitsland) is gebonden aan de beoordeling in het licht van het op de gegevensbescherming toepasselijke recht door de toezichthoudende autoriteit van de andere lidstaat (in casu Ierland) waar de voor de gegevensverwerking verantwoordelijke derde is gevestigd, in die zin dat zij geen hiervan afwijkend juridisch oordeel mag formuleren, of mag de ingrijpende toezichthoudende autoriteit (in casu van Duitsland) de rechtmatigheid van de gegevensverwerking door de in een andere lidstaat (in casu Ierland) gevestigde derde voorafgaand autonoom toetsen?

6)      Indien de ingrijpende toezichthoudende autoriteit (in casu van Duitsland) een autonome toetsing mag uitvoeren: moet artikel 28, lid 6, tweede zin, van richtlijn 95/46 dan aldus worden uitgelegd dat deze toezichthoudende autoriteit de effectieve bevoegdheden om in te grijpen waarover zij krachtens artikel 28, lid 3, van [deze richtlijn] beschikt alleen mag uitoefenen jegens op een haar grondgebied gevestigd persoon of lichaam wegens medeverantwoordelijkheid voor de inbreuken op de bescherming van gegevens die de in een andere lidstaat gevestigde derde heeft begaan wanneer zij vooraf de toezichthoudende autoriteit van deze andere lidstaat (in casu Ierland) heeft verzocht haar bevoegdheden uit te oefenen?”