Huidige situatie: 28 nationale privacywetten
Op dit moment heeft iedere lidstaat van de EU eigen privacywetgeving. Die privacywetgeving moet wel allemaal voldoen aan de kaders van de privacyrichtlijn. Het Hof van Justitie heeft in diverse uitspraken benadrukt dat dit voor de onderdelen waar de privacyrichtlijn verder geen ruimte aan de lidstaten laat, betekent dat er in principe uniform Europees privacyrecht is.
Huidige situatie: consument altijd eigen privacyrecht
Het Hof van Justitie heeft ook geoordeeld dat indien een bedrijf zich (enigszins) duurzaam richt op consumenten in een bepaalde EU-lidstaat, dat op de verwerkingen van persoonsgegevens die daaruit voortvloeien altijd het lokale privacyrecht van de consument van toepassing is. Een Nederlands bedrijf dat zich op Duitse consumenten richt heeft dus (onder huidig recht) met Duitse privacyrecht te maken (bijvoorbeeld).
Wetsvoorstel: Nederlands recht van toepassing bij vestiging in Nederland
Dit stelsel zou wel eens kunnen wijzigen. In het voorstel voor de uitvoeringswet bij de algemene verordening gegevensbescherming (UAVG) staat het volgende:
Artikel 3
1. Deze wet is van toepassing op verwerking van persoonsgegevens in het kader van activiteiten van een vestiging van een verwerkingsverantwoordelijke en verwerking van persoonsgegevens in het kader van activiteiten van een vestiging van een verwerker in Nederland.
Deze tekst is nagenoeg woordelijk gelijk aan het huidige artikel 4 van de Wet bescherming persoonsgegevens. Toch is er een groot verschil: artikel 4 Wbp vloeit voort uit de privacyrichtlijn (en wordt dus geïnterpreteerd door het Hof van Justitie), artikel 3 UAVG is een Nederlands product (waar het Hof niet direct iets over te zeggen heeft).
Wetsvoorstel afwijking bestaande lijn?
Er is nog een belangrijker verschil. De regering lijkt ook van oordeel te zijn dat het wetsartikel anders geïnterpreteerd moet worden. Onder de privacyrichtlijn heeft het Hof nog geoordeeld dat het begrip vestiging "flexibel" moet worden uitgelegd en dat vooral de lidstaat waarop de activiteiten zijn gericht bepalend is.
In de toelichting bij het wetsvoorstel is echter het volgende te lezen, dat wijst op de fysieke vestigingsplaats (en niet de activiteiten) als aanknopingspunt:
De huidige Wbp kent alleen de vestigingsplaats van de verwerkingsverantwoordelijke en de verwerker als aanknopingspunt voor territoriale toepassing. Het ligt voor de hand om dit te continueren voor de uitvoeringswet. Dit sluit ook aan bij de hoofdregel inzake de competentie van de toezichthoudende autoriteit in artikel 55. De hoofdregel in deze is dat de toezichthoudende autoriteit competentie heeft op het grondgebied van haar lidstaat. In de onderstaande tabel wordt het territoriale toepassingsbereik overzichtelijk weergegeven voor de verschillende casusposities.
In de tabel op pagina 74 uit de toelichting komt zelfs letterlijk naar voren dat indien een in Nederland gevestigd bedrijf zich op consumenten buiten Nederland richt, dat dan het Nederlandse recht van toepassing is (laatste rij uit die overzichtstabel). Kennelijk is dus - ondanks de nagenoeg gelijke tekst van het wetsartikel - inderdaad bedoeld af te wijken van de huidige systematiek.
Systematiek sluit aan bij systematiek verordening
Op zichzelf sluit de systematiek in de basis aan bij de systematiek van de privacyverordening. Uitgangspunt daarin is immers dat de autoriteiten alleen bevoegd zijn op het eigen grondgebied (artikel 55 lid 1).
De verordening bepaalt echter ook in artikel 56 lid 2 dat een toezichthouder bevoegd is indien een kwestie alleen voor burgers in haar lidstaat gevolgen heeft. Zie de tekst van het artikel:
2.In afwijking van lid 1 is elke toezichthoudende autoriteit competent een bij haar ingediende klacht of een eventuele inbreuk op deze verordening te behandelen indien het onderwerp van die zaak alleen verband houdt met een vestiging in haar lidstaat of alleen voor betrokkenen in haar lidstaat wezenlijke gevolgen heeft.
Dat lijkt toch weer sterk op de flexibele uitleg van het begrip vestiging die het Hof van Justitie heeft ontwikkeld en waarbij de consument altijd te maken heeft met zijn eigen lokale toezichthouder.
Nieuwe systematiek levert nieuwe puzzels op
Het voorgaande in ogenschouw nemend ontstaan potentieel lastige puzzels, zowel vanuit het perspectief van Nederland als het buitenlandse perspectief.
Vanuit Nederlands perspectief bezien kan de bescherming van de privacy onder druk komen te staan. Een (internet)ondernemer die zich op Nederlandse consumenten richt kan zich immers in een ander EU-land vestigen. Dankzij de vrijheid van diensten - een kernbeginsel van de EU - zou dat zonder al te veel hobbels moeten kunnen. Het enkele feit dat lidstaten (in de kern) zelf bepalen wat de regels zijn voor de verwerking van bijzondere persoonsgegevens (*), betekent logischerwijs dat er verschillen in privacybescherming zullen zijn en blijven binnen de EU. Daarbij kan (dus) een EU-land worden gezocht dat het meest milde regime kent ten aanzien van verwerking van (bijzondere) persoonsgegevens. Zo kunnen de aanvullende (strenge) Nederlandse privacyregels worden ontdoken. De Autoriteit Persoonsgegevens is vervolgens wel bevoegd op te treden, maar aangezien - in dit voorbeeld - aan het buitenlandse recht wordt voldaan kan er geen sanctie worden opgelegd. De bescherming van de privacy van de Nederlandse consument gaat er zo potentieel onder de verordening op achteruit in plaats van vooruit.
(*) Tenzij het Hof van Justitie ingrijpt en stelt dat de nationale wetgeving die de ruime verwerking mogelijk maakt niet voldoet aan de criteria uit artikel 9 lid 1 sub g AVG en/of artikel 8 Handvest. Dat gaat echter, juist vanwege de eigen beleidsvrijheid van lidstaten op dit punt, wel ver.
Vanuit buitenlands perspectief bezien levert de constructie ook lastige puzzels op. Een buitenlandse (internet)ondernemer die zich in Nederland vestigt - bijvoorbeeld vanwege de gunstige internetinfrastructuur - maar zich verder volledig op consumenten in een andere lidstaat richt, heeft immers toch te maken met Nederlands privacyrecht. En ook met de Nederlandse toezichthouder. Dat is met name ongunstig voor ondernemers die afkomstig zijn uit landen waar men het privacyrecht wat minder streng interpreteert. Kiezen voor de snelle Nederlandse internetverbindingen kan zo in feite uitpakken als een concurrentienadeel ten opzichte van de bedrijven die in de eigen lidstaat gevestigd blijven. Nederland wordt zo minder aantrekkelijk als vestigingsland. Dat lijkt me een potentieel onbedoeld en ongewenst neveneffect van de privacyverordening (of beter gezegd: de UAVG). Het oude level playing field lijkt zo verlaten (alle ondernemers die zich richten op consumenten in land X hebben te maken met hetzelfde recht).
De puzzel wordt nog groter als in andere lidstaten een ander regime voor toepasselijkheid van de uitvoeringswetten wordt gekozen. In hoeverre daar sprake van is, is me niet bekend.
Alternatieve route
Kan het ook anders? Naar mijn idee zou het best haalbaar moeten zijn om het bestaande regime te handhaven (met het onderscheid tussen materieel recht van de lidstaat waarop de activiteiten gericht zijn en formeel recht van de lidstaat van vestiging). Dat vergt dan wel dat alle lidstaten in hun betreffende uitvoeringswet datzelfde regime gaan hanteren, anders ontstaat immers her en der "gaten" in de bescherming c.q. de uitvoerbaarheid.
Ten slotte
Wellicht wijzigt de UAVG nog wel in het wordingsproces. Of wellicht heeft de regering voornoemde puzzel niet voorzien, of niet eens bedoeld (en berust deze hele blog op een typefoutje in de toelichting van de UAVG). Ik denk echter dat het voor de praktijk goed zou zijn als de puzzel zo simpel mogelijk gehouden wordt. Privacyrecht is voor menig bedrijf en instelling al moeilijk genoeg. De huidige opzet maakt het er niet makkelijker op.
Heeft u vragen over privacyrecht, zoals over de komende privacyverordening? Neem dan contact mij op. U vindt mijn gegevens op mijn profielpagina.
Mark Jansen
advocaat IT- en privacyrecht
