Management

Juridische zaken
AVG voor niet-EU-organisaties

AVG voor niet-EU-organisaties

Wanneer valt een niet-EU-organisatie toch onder de AVG?

© Pixabay License
21 juni 2021

In december 2020 heeft de Autoriteit Persoonsgegevens (AP) LocateFamiliy.com een boete van ruim 5.000.000 euro opgelegd wegens het niet aanstellen van een vertegenwoordiger in de Europese Unie (EU)1. Het is de eerste keer dat een toezichthouder in de EU gehandhaafd heeft op deze verplichting.

Op het eerste gezicht lijkt dat een goede zaak: met een vertegenwoordiger kunnen EU-burgers makkelijker een organisatie buiten de EU aanspreken (die hun gegevens verwerkt) en daarmee hun rechten onder de AVG tegenover deze organisatie uitoefenen. Voordat deze verplichting bestaat, moet de AVG natuurlijk wel van toepassing zijn. Organisaties buiten de EU kunnen ook onder de AVG vallen op basis van art. 3 lid 2 AVG. De AP motiveert die vraag in het boetebesluit erg summier. Dat roept de vraag op of bijna ieder bedrijf buiten de EU onder de AVG valt. En als dat het geval is, wat is de beoordelingsvrijheid is van de AP daarbij?  

Boetebesluit Locatedfamily.com

LocateFamily biedt een platform via haar website aan voor iedereen die op zoek is naar bekenden die zij uit het oog zijn verloren. Zij publiceert contactgegevens van personen, zoals NAW-gegevens, naam, adres, woonplaats en soms ook een telefoonnummer op haar platform. De website is zowel binnen als buiten de EU gratis toegankelijk voor het publiek en men hoeft geen lid te worden of een account aan te maken. Het publiek is er over het algemeen niet van op de hoogte dat hun gegevens hier beschikbaar worden gesteld door LocateFamily.2

De AP ontving vanaf 28 mei 2018 tot 25 juli 2019 19 klachten uit Nederland over LocateFamily, vanwege het niet (adequaat) reageren op verwijderverzoeken van Nederlanders met betrekking tot persoonsgegevens en het ontbreken van een vertegenwoordiger in de EU. Ook andere Europese toezichthouders hebben klachten ontvangen over de website van hun ingezetenen.

Op vragen van de AP antwoordde LocateFamily dat zij niet is gevestigd in de EU en geen vertegenwoordiger heeft aangesteld, omdat zij geen zakelijke relaties in de EU heeft en daar ook geen goederen of diensten aanbiedt.

Op basis van het technisch onderzoek van de AP, waaruit bleek dat de webhost van de website zich in Canada bevond, vermoedt de AP dat LocateFamiliy daar gevestigd is. De AP is daarop een internationale samenwerking met Enforcement subgroup van European Data Protection Board (hierna: EDPB) aangegaan en heeft contact gehad met de Office of the Privacy Commissioner van Canada (de Canadese privacy toezichthouder). Intussen heeft LocateFamily het verzoek tot het verwijderen van persoonsgegevens deels gehonoreerd voor een aantal landen (Ierland, Frankrijk en Nederland), maar nog steeds geen vertegenwoordiger aangesteld.

Toen LocateFamily niet reageerde op het voornemen op handhaving, heeft de AP haar de boete opgelegd van 525.000 euro, vanwege het ontbreken van een vertegenwoordiger in de EU van 25 mei 2018 t/m 10 december 2020. Daarnaast legt zij een dwangsom op: als niet binnen 12 weken na dagtekening een vertegenwoordiger aanstelt, dient zij 20.000 euro voor iedere 2 weken tot een max van 120.000 euro te betalen.

AVG van toepassing op organisaties buiten de EU

Volgens de AP verwerkt LocateFamily persoonsgegevens onder de AVG. Is de AVG hier van toepassing?

Territoriaal toepassingsgebied AVG

In beginsel is de AVG alleen geldig in de Europese Unie. Doordat gegevensverwerkingen vaak internationaal plaatsvinden, kan de AVG ook van toepassing zijn als de verwerkingsverantwoordelijke of verwerker buiten de Europese Unie is gevestigd, maar zich richt op betrokkenen in de EU.3

Op grond van art. 3 lid 2 AVG is dit het geval als deze: a) goederen en diensten aanbiedt aan betrokkenen in de EU, ongeacht of hiervoor betaald moet worden of b) wanneer het gedrag van betrokkenen wordt gemonitord, voor zover dit in de EU plaatsvindt). Dit laatste is bijvoorbeeld het geval als mensen op het internet worden gevolgd door het opstellen van profielen.4

Deze vaststelling wordt door de EDPB ook wel de twee-staps-toets genoemd: eerst moet er gekeken worden of er sprake is van ‘gerichtheid’: de verwerking van persoonsgegevens moet zich richten op betrokkenen in de EU.5 Daarna moet er geoordeeld worden of er sprake is van het aanbieden van goederen of diensten of het monitoren van betrokkenen.

Aanbieden van goederen en of diensten aan betrokkenen in de EU

Van het aanbieden van goederen aan betrokkenen in de EU is sprake als de verwerkingsverantwoordelijke of verwerker ‘klaarblijkelijk voornemens is geweest’ dit te doen. Daarvoor worden volgens de AVG 6 de volgende indicatoren genoemd: de toegankelijkheid van een website in de EU, de taal waarin gecommuniceerd wordt met de betrokkene, het hanteren van de euro als valuta in transacties en het vermelden van klanten in de EU. Dat de website van een verwerkingsverantwoordelijke toegankelijk is voor betrokkenen uit de EU of een taal die in het algemeen gebruikt wordt, is op zichzelf niet voldoende om dat voornemen vast te stellen.

Volgens het EDPB zijn bovenstaande elementen in overeenstemming met de jurisprudentie van het Hof van Justitie van de EU 7 bij het bepalen welke rechter bevoegd is in de EU bij consumentenzaken.8 Om te bepalen of een ondernemer zijn commerciële activiteiten richt op een lidstaat waar de consument woont, moet deze hebben geuit dat hij commerciële betrekkingen wil aanknopen met deze consumenten. Daarnaast destilleert het EDPB nog negen andere omstandigheden, waaronder het noemen van ten minste één lidstaat van de EU, het betalen van een zoekmachine om EU-burgers makkelijke toegang te verlenen tot de website, het opstellen van marketing- en reclamecampagnes gericht tot een lidstaat of het gebruik van een andere taal of munteenheid dan die uit het land van de ondernemer. Met alle opgesomde factoren dient rekening te worden gehouden. Daarnaast moet het gaan om activiteiten die bewust – dus niet onbedoeld of incidenteel – zijn gericht op personen in de EU.9

Onderbouwing AP

De AP oordeelt  dat LocateFamiliy persoonsgegevens verwerkt,9 omdat  Locatefamily haar diensten heeft aangeboden zowel in Nederland als in acht andere EU-landen en omdat er bij meerdere EU-toezichthouders klachten zijn binnengekomen.10

Omdat LocateFamily zelf aangeeft niet in de EU gevestigd te zijn én dat geen goederen of diensten aan te bieden aan burgers in de EU, is de vraag of de summiere onderbouwing van de AP die hierboven voldoende is om dit verweer te weerleggen.

Makkelijk

De AP neemt in dit geval vrij gemakkelijk aan dat diensten worden aangeboden in de EU en dat daarmee de AVG van toepassing is. Het simpele feit dat een EU burger ‘bij’ een buitenlandse website kan betekent niet dat de AVG van toepassing is, evenals het feit dat de AP klachten van Nederlandse burgers krijgt. Het had meer richtlijnen voor de praktijk gegeven  de AP in haar boetebesluit meer was ingegaan op wanneer de AVG van toepassing is op het leveren van gratis diensten door een organisatie buiten de EU. Zeker  als de betrokken onderneming zelf stelt dat zij dat niet doet. Niet iedere organisatie buiten de EU valt onder de AVG. Het zou ondernemers meer richtlijnen geven met een sterkere onderbouwing, wanneer een gratis dienst die aangeboden wordt buiten de EU, valt onder de reikwijdte van de AVG.

  1. Boetebesluit 10 december 2020, Locatefamily.com: 20210512_boetebesluit_ap_locatefamily.pdf (autoriteitpersoonsgegevens.nl)
  2. locatefamily.com got my personal information without asking for permissions - advice : privacy (reddit.com), How can we protect our identity from locatefamily.com? This website is publishing the sensitive personal data without any consent. - Quora, LocateFamily.com - what is this? - On the web (whirlpool.net.au)
  3. Richtsnoeren 3/2018 over het territoriale toepassingsgebied van de AVG (artikel 3) Versie 2.0 12 november 2019, p. 15
  4. Ministerie van Justitie en Veiligheid, Handleiding Algemene verordening gegevensbescherming en Uitvoeringswet Algemene verordening gegevensbescherming, p. 30.
  5. Daarnaast gaat het enkel om de activiteiten waarmee de verwerking verband houdt. Dit kan betekenen dat sommige verwerkingsactiviteiten van ver verantwoordelijke of verwerker wel onder de AVG vallen, en andere niet.
  6. Overweging 23 AVG.
  7. Richtsnoeren 3/2018 over het territoriale toepassingsgebied van de AVG (artikel 3) Versie 2.0 12 november 2019, p. 20. HvJEU, 7 december 201, Nr. C-585/08 en c-144/09, ECLI:EU:C:2010:740)
  8. Verordening (EG) nr. 44/2001 van de Raad betreffende de rechterlijke bevoegdheid, de erkenning en de tenuitvoerlegging van beslissingen in burgerlijke en handelszaken, in het bijzonder artikel 15, lid 1, onder c.
  9. Richtsnoeren 3/2018 over het territoriale toepassingsgebied van de AVG (artikel 3) Versie 2.0 12 november 2019 p. 19-21.
  10. Boetebesluit p. 8.
  11. Boetebesluit p.4 en report (Internal Market Information System) met het verzoek aan EU-toezichthouders en de reacties daarop, bijlagen 3 en 4 bij het onderzoeksrapport. Klachten andere EU-toezichthouders betreffende Locatefamily.com, bijlage 11 bij het onderzoeksrapport
Reactie toevoegen