Het ‘one-stop-shop’-mechanisme uit de AVG: verschuilen toezichthoudende autoriteiten zich achter elkaar?

Share
Share on linkedin
Share on facebook
Share on google
Share on twitter
One-stop-shop-mechanisme-avg-toezichthoudende-authoriteiten

Vaak komt het voor dat een organisatie binnen de Europese Unie persoonsgegevens verwerkt in meer dan één lidstaat of dat burgers uit meerdere lidstaten gevolgen ondervinden van één vestiging van een organisatie. In het geval van dergelijke grensoverschrijdende verwerking geldt het ‘one-stop-shop’-mechanisme: bij een overtreding van de AVG hoeft de organisatie of de betrokkene zich slechts te wenden tot één toezichthoudende autoriteit (artikel 56). Maar hoe verloopt dit mechanisme in de praktijk? Dit zal worden uiteengezet aan de hand van twee actualiteiten uit november 2020 aangaande organisaties als Google, Twitter & de Consumentenbond.

Leidende en betrokken toezichthouder(s)

Bij een grensoverschrijdende verwerking is er altijd een ‘leidende toezichthouder’. De toezichthoudende autoriteiten van de andere landen waar de grensoverschrijdende verwerking plaatsvindt worden de ‘betrokken toezichthouders’ genoemd. Welke toezichthoudende autoriteit geldt als de leidende toezichthouder is afhankelijk van de locatie van de hoofdvestiging óf de enige vestiging van de organisatie. Ter illustratie: de verwerking van persoonsgegevens door Google is grensoverschrijdend en de hoofdvestiging van Google Ireland Limited ligt in Ierland. De Ierse toezichthoudende autoriteit, The Data Protection Commission, zou derhalve de leidende toezichthouder zijn.

De leidende toezichthouder draagt vervolgens de primaire verantwoordelijkheid voor de regeling van een grensoverschrijdende verwerking. Toch heeft de Consumentenbond op 30 november 2020 een rechtszaak aangespannen tegen de Autoriteit Persoonsgegevens (AP) omdat een besluit van de AP over de klacht die de Consumentenbond indiende tegen Google uitbleef. De AP zou zich ‘verschuilen’ achter de Ierse toezichthouder, maar is het wel mogelijk voor de AP om een besluit te nemen als betrokken toezichthouder? De uitspraak van de rechter zal in ieder geval zeer interessant worden in het kader van de werking van het ‘one-stop-shop’-mechanisme!

Geschillenbeslechting

De leidende toezichthouder is verplicht om met de andere betrokken toezichthouder(s) samen te werken om consensus te bereiken (artikel 60). Daarvoor is het nodig dat zij met elkaar relevante informatie uitwisselen en ‘wederzijdse bijstand’ bieden (artikel 61). Is een betrokken toezichthouder het bijvoorbeeld niet eens met een ontwerpbesluit van de leidende toezichthouder, dan kan een (relevant en gemotiveerd) bezwaar worden ingediend.

Soms kan echter een geschil ontstaan tussen de leidende toezichthouder en de betrokken toezichthouders. Het Europees Comité voor gegevensbescherming (EDPB) kan het geschil dan beslechten met een bindend besluit (artikel 65). De geschillenbeslechting door de EDPB wordt een coherentiemechanisme genoemd. Een ander coherentiemechanisme is advisering door de EDPB (artikel 64). Deze mechanismen zijn bedoeld om samenwerking tussen de toezichthoudende autoriteiten te stimuleren en daarmee een consequente toepassing van de AVG binnen de gehele Europese Unie.

Op 9 november 2020 heeft de EDPB voor de eerste keer sinds de inwerkingtreding van de AVG een bindend besluit genomen naar aanleiding van een geschil tussen de Ierse toezichthoudende autoriteit als leidende toezichthouder en betrokken toezichthouders. Het geschil ontstond nadat bij Twitter in 2019 een datalek plaatsvond, hetgeen voor de Ierse toezichthoudende autoriteit reden was om een aantal (ontwerp)besluiten te nemen. De ontwerpbesluiten zijn met de betrokken toezichthouders gedeeld, maar stuitten op een aantal bezwaren ten aanzien van de betreffende overtreding van de AVG, de rol van Twitter als (enige) verwerkingsverantwoordelijke en de hoogte van de voorgestelde boete. De leidende toezichthouder wees deze bezwaren af en vond ze niet voldoende relevant en gemotiveerd, waarna een geschillenbeslechting door de EDPB werd gestart. Op basis van het bindende besluit van de EDPB zal de Ierse toezichthoudende autoriteit een definitief besluit moeten nemen ten aanzien van het datalek bij Twitter. Wanneer Twitter eenmaal op de hoogte is gebracht van het definitieve besluit, zal de EDPB haar eigen bindend besluit op deze pagina publiceren.

Robin Creuels

Robin Creuels

Robin Creuels is werkzaam als AVG & Cybersecurity jurist bij The Privacy Factory. Zij is in het bezit van een master ICT- en Privacyrecht.

Volg onze publicaties

cookie

Wij gebruiken alleen functionele en analytische cookies om u een optimale gebruikerservaring te bieden op onze website. Onze cookies verzamelen geen persoonsgegevens. Meer informatie.