Een recente uitspraak van het Europese Hof van Justitie bevestigt dat de AP als nationale toezichthoudende autoriteit onder bepaalde voorwaarden haar bevoegdheid kan uitoefenen om een vermeende inbreuk op de privacywetgeving voor een rechterlijke instantie van een lidstaat te brengen. De rechter bevestigt daarmee wat in de AVG staat en volgt dezelfde lijn als de AP al doet in haar toezicht.  Voor lopende zaken van de AP heeft het vonnis dus geen gevolgen.
Voor Silicon Valley-bedrijven, zoals Facebook, is de uitspraak wél een tegenvaller. Een Belgische rechtbank had het Hof advies gevraagd over een zaak tegen Facebook. De techgigant stelde dat de Belgische toezichthouder niet langer bevoegd is om na het van toepassing worden van de AVG een kwestie over het volgen van gebruikers in België via cookies, ongeacht of ze een account bezitten of niet, voor de rechter te brengen. Facebook vindt dat ze alleen aan de Ierse toezichthouder verantwoording hoeft af te leggen omdat het Europese hoofdkantoor in Dublin staat.

Toezichthouder

Volgens een woordvoerder van de AP bevestigt de uitspraak van het Europese Hof wat er in de AVG staat over de bevoegdheid van privacytoezichthouders. De AVG koppelt in principe altijd één toezichthouder aan een internationaal bedrijf: de toezichthouder in welk land dat bedrijf zijn Europese hoofdvestiging heeft. Die is dan ‘leidende toezichthouder’.

Wat betreft Facebook en Google is de Ierse toezichthouder leidend: in principe is alleen die toezichthouder bevoegd om een onderzoek naar die bedrijven te starten. Maar daar is dus van af te wijken als het een lokale zaak is of een spoedsituatie betreft. Dan kan een niet-leidende toezichthouder toch ingrijpen, bijvoorbeeld door een verwerkingsverbod op te leggen.

Een beroep

Overigens benadrukt de rechter dat een toezichthouder niet zomaar een beroep mag doen op zo’n uitzondering. Hij moet altijd eerst met de leidende toezichthouder overleggen en vragen of die de zaak wil onderzoeken. Als die besluit dit niet te doen, kan de niet-leidende toezichthouder de zaak zelf doorzetten. Als een toezichthouder zich wil beroepen op een spoedsituatie, moet deze dit zo snel mogelijk voorleggen aan de rest van de Europese toezichthouders, verenigd in de European Data Protection Board (EDPB).

De AP stelt dat bij bedrijven als Google en Facebook de Ierse toezichthouder ook na deze uitspraak leidend blijft. In principe is alleen die toezichthouder bevoegd een onderzoek naar die bedrijven te starten. In zulke gevallen houdt de AP wel de vinger aan de pols. Die houdt de AP op de hoogte van vorderingen in het onderzoek. De AP heeft ook invloed op de conclusies die de Ierse toezichthouder uiteindelijk trekt: bij internationale zaken kijken alle betrokken toezichthouders mee.