Moet Facebook zich binnenkort aan de Belgische privacyregels houden?
Volgens een advies van de Advocaat-generaal aan het Europees Hof van Justitie, mag Facebook binnenkort verantwoording afleggen aan de privacyregulatoren van de verschillende Europese lidstaten. Voor de Belgische Privacycommissie is het alvast een opsteker.
In een niet-bindend advies geeft de Advocaat-generaal van het Hof van Justitie voor Europa aan dat het sociale netwerk wel degelijk de privacyregels van de verschillende Europese lidstaten zou moeten volgen, toch als het gegevens verzamelt en verwerkt van gebruikers in dat land en als het daar een fysieke poot, zoals een saleskantoor, heeft. Daarmee gaat de Advocaat-generaal in tegen Facebooks argument dat het alleen de regels van Ierland moet volgen, de plek waar de techgigant zijn Europese hoofdkantoor heeft.
Waarover gaat het?
Aan de grond van alles ligt een rechtszaak rond de Duitse Wirtshaftsakademie. Dat opleidingsprogramma heeft een fanpagina op Facebook en het kreeg in 2011 van de Duitse privacycommissie het bevel om die pagina weg te halen. Oorzaak : de Wirtshaftsakademie, en ook Facebook, had nagelaten te vermelden dat persoonlijke data van gebruikers werd verzameld. Na een hoop heen-en-weer is de zaak nu bij het Europese Hof van Justitie terechtgekomen. Die beslist over enkele maanden of Facebook zich aan de privacyregels van de individuele lidstaten moet houden.
De uitkomst van die zaak kan dan ook belangrijk zijn voor de financiën van Facebook (en bij uitbreiding een hoop andere techreuzen). Onder meer de Belgische en Nederlandse privacyregulatoren hebben Facebook de voorbije jaren boetes opgelegd voor het overtreden van de privacyregels. Het sociale netwerkbedrijf is daar altijd tegenin gegaan met het standaard argument dat het alleen verantwoording moet afleggen tegenover de privacycommissie van Ierland, waar zijn hoofdkwartier ligt.
“Nu toezichthoudende autoriteiten van verscheidene lidstaten in de afgelopen maanden hebben besloten geldboetes op te leggen aan Facebook wegens schending van de regels inzake de bescherming van de gegevens van haar gebruikers, biedt de ter onderzoek voorliggende zaak het Hof de gelegenheid de omvang te preciseren van de bevoegdheden om in te grijpen van een toezichthoudende autoriteit,” schrijft de Advocaat-generaal. Daarbij is het belangrijk om weten dat de verschillende EU lidstaten er nogal verschillende regels op nahouden over de privacy van gebruikers. Die van Ierland zijn, niet toevallig, lang niet de strengste.
In zijn advies schrijft de Advocaat-generaal alvast dat lidstaten wel degelijk hun eigen privacyregels mogen toepassen op Facebook, ten minste zolang er ‘activiteiten’ op hun eigen territorium worden uitgevoerd.
Interessant is hier ook dat de Advocaat-generaal in zijn advies schrijft over een gedeelde verantwoordelijkheid tussen de admin van de fanpagina (de Wirkshaftsakademie dus) en het netwerk zelf. Van de uitbater van de fanpagina wordt verwacht dat hij of zij met enige zorg een ‘host’ uitkiest. Van Facebook wordt dan weer verwacht dat het als netwerk ook zelf verplichtingen heeft, omdat het duidelijk is dat het sociale medium de gegevens ook voor eigen doelen gebruikt.
Het advies van de Advocaat-generaal is niet bindend, maar er wordt traditioneel bij het Europees Hof wel rekening mee gehouden.
In België
Voor de Belgische privacycommissie is dit alvast een opsteker. De Commissie startte in 2015 een rechtszaak tegen Facebook rond de schending van de Belgische privacywet. Dat ging in eerste instantie over het verwerken van gegevens van niet-gebruikers van Facebook. Data van mensen die geen profiel hebben op de site komen via ‘datr’-cookies op andere websites toch bij het sociale netwerk terecht. Later werd de zaak uitgebreid naar het verwerken en verzamelen van persoonsgegevens van zowel gebruikers als niet-gebruikers van Facebook.
Die rechtszaak is al een paar keer over en weer gegaan, en ligt nu als procedure ten gronde voor de Rechtbank van Eerste Aanleg in Brussel. Daar moet de rechter zich uitspreken over de vraag of deze rechtbank de bevoegdheid heeft om een beslissing over de zaak te nemen. Met het advies van de Europese Advocaat-generaal op zak dat alle autoriteiten bevoegd zijn als er werken op hun territorium plaatsvinden, ziet de Privacycommissie die uitspraak alvast positief tegemoet. “Dit advies van de Advocaat-generaal is niet bindend, maar we hopen wel dat de Belgische rechtbank daar nu rekening mee houdt,” zegt Sarah Boulerhcha, communicatieverantwoordelijke van de Privacycommissie aan Data News.
GDPR
Tot zover het advies in de huidige situatie, want in mei 2018 verandert dat alles nog eens met de invoering van de nieuwe privacyregeling GDPR. En die lijkt Facebook dan weer gelijk te geven. De GDPR voert namelijk een ‘éénloketsysteem’ in, een soort hoofdcontroleur die de eindbeslissing heeft over de privacyregels waaraan een bedrijf zich moet houden. En die eindcontroleur is meestal het land waar een bedrijf zijn hoofdkwartier heeft. In dit geval zou dat dus toch Ierland zijn.
Terug naar af? De Advocaat-generaal verwijst ernaar in zijn advies, al schrijft hij erbij dat het hier niet gaat om alleen de mening van die hoofdcontroleur. “Aangezien Facebook ervoor heeft gekozen haar hoofdzetel in de Unie in Ierland te vestigen, moet de toezichthoudende autoriteit van deze lidstaat weliswaar een belangrijke rol spelen bij het toezicht op de naleving door Facebook van de regels van richtlijn 95/46, maar dit betekent, zoals deze autoriteit zelf erkent, niet dat zij, in het kader van het huidige op deze richtlijn gegronde systeem, over een exclusieve bevoegdheid beschikt met betrekking tot de activiteiten van Facebook binnen de Unie.”
Vertaald naar het Nederlands betekent dat dat Ierland hier waarschijnlijk het enkele loket voor Facebook wordt, maar dat het idealiter met de meningen van pakweg de Nederlandse, Duitse en Belgische privacycommissies rekening moet houden. In de praktijk betekent dit dat Ierland, als het volgend jaar een vraag van een andere lidstaat krijgt over gegevensverwerkingen door Facebook, zelf kan kiezen of het daar rekening mee houdt. Doet het land dat niet, dan heeft de lidstaat in kwestie de mogelijkheid om een en ander te escaleren naar de European Data Protection Board.
Fout opgemerkt of meer nieuws? Meld het hier