Online profielgericht adverteren
De zaak gaat in de kern over een bedrijf dat online advertenties verhandelt middels behavorial targeting. YD advertising bouwt van allerlei internetters middels o.m. cookies een profiel op en presenteert vervolgens op basis van dat profiel bijpassende advertenties. Volgens de AP dient YD voor die profielopbouw toestemming te vragen. Over die handhavingsactie hebben we eerder bericht. Na die actie is ook een dwangsom gevolgd.
Verhuizing naar Engeland
Kennelijk had YD geen zin de discussie met de AP te zoeken over de toepasselijkheid en uitleg van de privacywetgeving. Op de handhaving van de AP is immers best wat af te dingen (bijv. op de aanname dat een dergelijk profiel bestaat uit "persoonsgegevens'). YD heeft, zo valt ook uit een nieuwsbericht bij Tweakers af te leiden, gekozen voor de schijnbaar eenvoudige route: verhuizen naar Engeland. Daar is, zo is de gedachte, de AP niet bevoegd.
Weltimmo-arrest
De zaak doet heel sterk denken aan een recent arrest van het Hof van Justitie over het bedrijf Weltimmo. Dit arrest ging over een onderneming die formeel in Slowakije was gevestigd, maar vooral in Hongarije actief was. Weltimmo exploiteerde daar een advertentiewebsite. De Hongaarse privacytoezichthouder greep op een bepaald moment in, omdat Weltimmo niet reageerde op verwijderverzoeken. Weltimmo stelde dat de Hongaarse toezichthouder helemaal niet bevoegd is. Deze kwestie komt uiteindelijk bij het Hof van Justitie terecht.
Hof van Justitie: toepasselijk recht blijft het recht van feitelijke activiteiten
Om te bepalen welk recht van toepassing is op een bepaalde gegevensverwerking, is bepalend of sprake is van een "vestiging" in een bepaalde lidstaat. Het Hof van Justitie oordeelt in het Weltimmo-arrest dat dit begrip "flexibel" moet worden uitgelegd. Het gaat niet (alleen) om de formele vestiging. Er moet juist worden gekeken naar "de mate van duurzaamheid van de vestiging als het daadwerkelijk uitoefenen van de activiteiten in die andere staat te worden beoordeeld, waarbij rekening wordt gehouden met de specifieke aard van de bedrijfsuitoefening en de betrokken dienstverlening. Dit geldt heel in het bijzonder voor ondernemingen die hun diensten uitsluitend via internet aanbieden".
Het Hof overweegt zelfs uitdrukkelijk dat als er slechts één vertegenwoordiger in een lidstaat actief is, er al sprake kan zijn van een vestiging in die lidstaat. Bepalend is vooral of "diegene optreedt met een voldoende mate van duurzaamheid en met behulp van de nodige middelen voor de verlening van de betrokken concrete diensten in de desbetreffende lidstaat".
Met andere woorden: je bedrijf formeel verplaatsen naar het buitenland, terwijl je wel actief blijft in Nederland, betekent vermoedelijk dat het Nederlandse privacyrecht gewoon van toepassing blijft.
Hof van Justitie: geen grensoverschrijdende bevoegdheid toezichthouders
Daarmee zijn we er echter nog niet. De vraag is immers of de privacytoezichthouders ook grensoverschrijdend bevoegd zijn. En die vraag beantwoordt het Hof ontkennend.
Het Hof stelt namelijk vast dat de bevoegdheden die aan de toezichthouders slechts "territoriaal" zijn toegekend. De richtlijn gaat uit van nationale toezichthouders met nationale sancties. Van grensoverschrijdende bevoegdheid is geen sprake. Een nationale autoriteit kan, in de woorden van het Hof "geen sancties opleggen buiten het grondgebied van de lidstaat waartoe zij behoort".
In een dergelijk geval zal de kwestie moeten worden verwezen naar de nationale toezichthouder van het land waarin de partij formeel is gevestigd. De toezichthouder die de overtreding constateert zal dan, in de woorden van het Hof "aan de toezichthoudende autoriteit van die andere lidstaat [moeten] vragen om een mogelijke schending van dat recht vast te stellen en indien dat recht dat toestaat sancties op te leggen".
Resumerend: buitenlands recht maar nationale toezichthouder
Kort en goed zegt het Hof dus:
- op activiteiten die ondernomen worden in een lidstaat is het lokale privacyrecht van toepassing;
- als die activiteiten door een formeel buitenlandse partij worden verricht, is alleen de privacytoezichthouder van het land van vestiging bevoegd handhavend op te treden.
Naar mijn inschatting leidt dit er, behoudens hele evidente gevallen, toe dat het privacyrecht inderdaad praktisch gezien ontdoken kan worden middels een vestiging in het buitenland. De buitenlandse toezichthouder heeft immers vermoedelijk wel iets beters te doen dan zijn vingers te branden aan de interpretatie en toepassing van buitenlands privacyrecht. Dat geldt eens te meer nu het Europese privacyrecht, hoewel afkomstig uit één en dezelfde richtlijn, binnen de EU nog wel wat anders (ruimer/enger) wordt geïnterpreteerd.
Overigens valt dit het Hof verder niet te verwijten. De privacyrichtlijn uit 1995 ziet nu eenmaal niet op grensoverschrijdende bevoegdheden.
Toepassing op YD-casus
De Weltimmo-kwestie toepassend op de YD Advertising casus, is het dus aan de Engelse toezichthouder te beslissen of zij handhavend op zal treden. Als de Engelse toezichthouder daartoe besluit, moet daarbij Nederlands privacyrecht worden toegepast.
Dat wordt op zijn minst een hele interessante exercitie, nu de Nederlandse toezichthouder wel enigszins bekend staat als één van de toezichthouders die het (Europese) privacyrecht ruim interpreteert, terwijl de Engelse toezichthouder een reputatie heeft een engere visie er op na te houden. Het lijkt mij vrij onwaarschijnlijk dat, gegeven die achtergrond, de Engelse toezichthouder handhavend zal optreden. Mission accomplished voor YD, zo is mijn verwachting.
De vraag is wel of deze oplossing met de privacyverordening in aantocht ook stand houdt. Dat is voor YD vermoedelijk van later zorg.