Mensen over de hele wereld gebruiken dagelijks netwerksites zoals Facebook, MySpace, Twitter, Dailymotion, enz. Die sites zijn ook nuttig voor bedrijven die er hun producten kunnen op promoten, zoals het geval is bij Facebook en de dienst Ads waarmee je gerichte reclameboodschappen kan versturen via het sociale netwerk. Verschillende van die sociale netwerksites, waaronder Facebook, worden aangeboden door Amerikaanse ondernemingen die in Californië gevestigd zijn. Vanuit juridisch oogpunt is dat niet zonder betekenis voor het toepasselijke recht en meer concreet voor de ‘state of mind’ van de leveranciers van die netwerken, die vertrouwd zijn met een juridische cultuur die soms radicaal verschilt van de onze (bv. wat de gegevensbescherming betreft).

Facebook is een interessante casestudy om gegevensbescherming te bestuderen in een internationale context : Richtlijn 95/46 in het communautaire recht, wet op de bescherming van de persoonlijke levenssfeer in België. Op Facebook worden immers voortdurend en massaal gegevens verwerkt met een persoonlijk karakter. De vraag welk recht er in deze materie van toepassing is op de onderneming Facebook is dus zeker actueel. Aangezien de gebruikers van het netwerk spontaan hun persoonlijke gegevens meedelen, lijkt Facebook onderworpen aan het stelsel van grensoverschrijdende gegevensstromen met persoonlijk karakter. De onderneming is trouwens vrijwillig toegetreden tot de Safe Harbor Principles – Amerikaans recht – en draagt het label van TrustE, een privéorganisme dat controleert of Facebook zijn verbintenissen op het vlak van privacy respecteert. Facebook beschouwt zichzelf dus als onderworpen aan het Amerikaanse recht.

Volgens artikel 4 van Richtlijn 95/46 moet je je echter afvragen in welke mate voor de Europese kantoren van Facebook niet de integrale toepasbaarheid (1) van het nationale recht van sommige lidstaten van toepassing is, met name voor sommige verwerkingen van gegevens met persoonlijk karakter waarvoor Facebook verantwoordelijk is. De Richtlijn verplicht een lidstaat immers zijn nationale recht toe te passen op de bescherming van gegevens wanneer de verwerking plaats heeft in de context van activiteiten ondernomen door een ‘vestiging’ van de verantwoordelijke voor de genoemde verwerking gelegen op het grondgebied van een lidstaat. Dit concept van vestiging vereist het samenbrengen van (menselijke en technische) middelen en de effectieve uitoefening van een economische activiteit door middel van een stabiele inplanting voor onbepaalde duur. De juridische vorm daarentegen heeft geen belang, een eenvoudig kantoor beheerd door het eigen personeel van de verwerkingsverantwoordelijke volstaat. Het blijkt echter dat de kantoren van Facebook in Parijs, Londen, Zweden en Italië de reclameactiviteiten van de site ondersteunen terwijl de vestiging in Dublin meer betrokken lijkt bij de technische werking van het sociale netwerk. Hoe dan ook lijkt niets hun kwalificatie als ‘vestiging’ van Facebook Inc. in de weg te staan.

Ten aanzien van een gegevensverwerking waarvoor Facebook verantwoordelijk is – denk aan de verwerkingen die een gerichte reclame tot doel hebben – moeten we dus nagaan in welke mate deze verwerking zou kunnen plaatsvinden in de context van de activiteiten van een van de voornoemde kantoren om te bepalen of de wetgeving van een lidstaat erop van toepassing is. Hiervoor zouden we eventueel – niet zonder moeilijkheden – een onderscheid moeten maken tussen de activiteiten van de genoemde vestigingen en die van de onderneming Facebook Inc. De verwerking van gegevens uitgevoerd in het kader van de activiteiten van het Londense kantoor – gegevens van klanten die zich tot dit kantoor richten, van het personeel, enz. – zal bijvoorbeeld onderworpen zijn aan de Engelse reglementering waarin Richtlijn 95/46 is omgezet.

Een gelijkaardig probleem rijst met betrekking tot de ‘middelen’ (servers, …) die op het grondgebied van de EU gebruikt worden voor de verwerking van gegevens, waarop de betrokken lidstaat zijn reglementering moet toepassen. De Facebook-vestigingen zouden beschouwd kunnen worden als dergelijke ‘middelen’. Maar nogmaals, hun betrokkenheid bij de verwerking van de gegevens in kwestie zou moeten worden vastgesteld. De verwerkingen die gebeuren via bepaalde cookies zouden eveneens kunnen worden onderworpen aan de integraliteit van het recht van een lidstaat. We merken op dat in geval van toepassing van deze bepaling Facebook een vertegenwoordiger zou moeten aanstellen die gevestigd is op het grondgebied van de betrokken lidstaat.

(1) D.w.z. inzake de bescherming van gegevens en afgezien van het stelsel van grensoverschrijdende gegevensstromen.

JEAN-PHILIPPE MOINY, is aspirant van het F.R.S. – FNRS, CRID, FUNDP.

Dit standpunt is een licht gevulgariseerde versie van een juridisch artikel dat in 2010 zal verschijnen in de Revue Européenne de Droit de la Consommation (R.E.D.C.).

JEAN-PHILIPPE MOINY

Volgens artikel 4 van Richtlijn 95/46 moet je je afvragen in welke mate voor de Europese kantoren van Facebook niet de integrale toepasbaarheid van het nationale recht van sommige lidstaten van toepassing is

Fout opgemerkt of meer nieuws? Meld het hier

Partner Content