IT 3377

Conclusie A-G in zaak Facebook Ireland and Others

HvJ EU Conclusie A-G 13 januari 2021, IEF 1970g, IT 3377, IEFbe 3170; ECLI:EU:C:2021:5 (Facebook Ireland tegen Gegevensbeschermingsautoriteit) Op 11 september 2015 heeft de gegevensbeschermingsautoriteit van België een procedure ingesteld tegen Facebook Ltd bij de rechtbank Brussel. De procedure betreft vermeende inbreuken op de wetgeving inzake gegevensbescherming door Facebook, die onder andere inhouden dat op onrechtmatige wijze informatie over het surfgedrag van internetgebruikers in België wordt verzameld en gebruikt. De gegevensbeschermingsautoriteit heeft verzocht Facebook te veroordelen tot staking van het zonder hun toestemming plaatsen van cookies die gedurende twee jaar actief blijven op de apparatuur die zij gebruiken wanneer zij op een webpagina van het Facebook.com-domein of op de website van een derde surfen.

Facebook betoogt dat de gegevensbeschermingsautoriteit geen bevoegdheid heeft om de gerechtelijke procedure voort te zetten sinds de AVG van toepassing is geworden, omdat volgens deze wet enkel de gegevensbeschermingsautoriteit van de staat waar Facebook haar hoofdvestiging in de Europese Unie heeft, bevoegd is om tegen Facebook gerechtelijke procedures aan te spannen. Het hof van beroep te Brussel heeft het Hof van Jusititie prejudiciële vragen gesteld hierover. Advocaat-generaal Bebok is van mening dat bij grensoverschrijdende gegevensverwerking de gegevensbeschermingsautoriteit van een lidstaat bevoegd is om dergelijke procedures in te stellen. Zij dient dat wel te doen in de situaties waarin haar daartoe door de AVG deze bevoegdheden worden toegekend.

V.      Conclusie 

172. Ik geef het Hof in overweging de prejudiciële vragen van het hof van beroep Brussel te beantwoorden als volgt:

„–      De bepalingen van verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG (algemene verordening gegevensbescherming) staan de toezichthoudende autoriteit van een lidstaat toe om bij een rechterlijke instantie van die staat ter zake van een vermeende schending van deze verordening in verband met een grensoverschrijdende gegevensverwerking een vordering in te stellen, ook al is die autoriteit niet de leidende toezichthoudende autoriteit, mits zij dit doet in de in die verordening genoemde situaties en overeenkomstig de in die verordening vastgestelde procedures.

–      De algemene verordening gegevensbescherming verzet zich ertegen dat een toezichthoudende autoriteit een gerechtelijke procedure voortzet die is ingesteld voordat die verordening van toepassing is geworden, maar betrekking heeft op na die datum verrichte gedragingen.

–      Artikel 58, lid 5, van de algemene verordening gegevensbescherming heeft in zoverre rechtstreekse werking dat een nationale toezichthoudende autoriteit zich op deze bepaling kan beroepen om een gerechtelijke procedure bij de nationale rechterlijke instanties in te stellen of voort te zetten, zelfs indien die bepaling niet specifiek in het nationale recht is omgezet.