HvJ EU, 01-10-2015, nr. C-230/14

Richtlijn 95/46 hanteert verschillende criteria voor de bepaling welk recht van toepassing is op de verwerking van persoonsgegevens. Punt 18 van de considerans verklaart dat ‘[…] om te voorkomen dat een persoon wordt uitgesloten van de bescherming waarop hij krachtens deze richtlijn recht heeft, alle verwerkingen van persoonsgegevens in de Gemeenschap moeten worden uitgevoerd overeenkomstig de wetgeving van een van de lidstaten; dat in dit verband de verwerking die wordt uitgevoerd door een persoon namens een voor de verwerking verantwoordelijke die in een lidstaat is gevestigd, door het recht van die Staat dient te worden geregeld.’

Voorts wordt er in punt 19 van de considerans van richtlijn 95/46 op gewezen dat ‘de vestiging op het grondgebied van een lidstaat het effectief en daadwerkelijk uitoefenen van activiteiten door een vaste vestiging veronderstelt; dat de rechtsvorm van een dergelijke vestiging, of het nu gaat om een bijkantoor of om een dochteronderneming met rechtspersoonlijkheid, hier niet doorslaggevend is.’ Hetzelfde punt geeft aan ‘dat, wanneer een en dezelfde voor de verwerking verantwoordelijke gevestigd is op het grondgebied van verscheidene lidstaten, met name door middel van een dochteronderneming, hij dient te waarborgen, in het bijzonder om elke vorm van wetsontduiking te voorkomen, dat elk van de vestigingen voldoet aan de verplichtingen die het nationale recht aan de activiteiten stelt.’

Artikel 4, lid 1, onder a), van richtlijn 95/46 is op dit geding van toepassing. Deze bepaling heeft betrekking op het recht dat op de gegevensverwerking van toepassing is. De bepaling luidt:

Artikel 28, dat betrekking heeft op de toezichthoudende autoriteit inzake gegevensbescherming, bepaalt in de leden 1, 3, 4 en 6 het volgende:

Wet nr. CXII van 2011 betreffende het recht op informationele zelfbeschikking en de vrijheid van informatie (2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról szóló 2011, hierna: ‘informatiewet’), is de nationale wet waarin richtlijn 95/46 is omgezet.

§ 2 van de informatiewet luidt als volgt:

§ 3 van de informatiewet bepaalt dat zal worden verstaan onder:

Met haar eerste tot en met zesde vraag, die gezamenlijk dienen te worden behandeld, wenst de Kúria in wezen te vernemen of de artikelen 4, lid 1, onder a), en 28, lid 1, van richtlijn 95/46 aldus kunnen worden uitgelegd dat zij, onder omstandigheden als die van het hoofdgeding, voorzien in de mogelijkheid dat de Hongaarse wet inzake gegevensbescherming wordt toegepast en dat de Hongaarse gegevensbeschermingsautoriteit deze wet toepast op een beheerder van een website die uitsluitend in een andere lidstaat is gevestigd. De Kúria vraagt bovendien naar de relevantie van een reeks specifieke factoren, zoals het feit dat de diensten van die onderneming op het grondgebied van een andere lidstaat zijn gericht, de plaats waarvan de vastgoedgegevens zijn verzonden, de nationaliteit van de betrokken adverteerders of het feit dat de eigenaren van de onderneming een woonplaats hebben in Hongarije.

De Kúria heeft in haar eerste twee vragen zowel gerefereerd aan artikel 28, lid 1, als aan artikel 4, lid 1, onder a), van de richtlijn. Ik ben echter van mening dat voor het antwoord op die vragen het toepassingsgebied van de eerstgenoemde bepaling zonder problemen buiten beschouwing kan worden gelaten. Artikel 28, lid 1, stelt namelijk slechts dat ‘elke lidstaat bepaalt dat een of meer autoriteiten worden belast met het toezicht op de toepassing op zijn grondgebied van de ter uitvoering van deze richtlijn door de lidstaten vastgestelde bepalingen.’ Ik meen dat deze bepaling niet relevant is voor de vaststelling van het toepasselijke recht. In de eerste plaats, uit een oogpunt van wetssystematiek, staat artikel 28 in hoofdstuk VI van de richtlijn. Dat hoofdstuk behelst de regeling van de toezichthoudende autoriteit en de groep voor de bescherming van personen in verband met de verwerking van persoonsgegevens, en niet de vraag welke recht van toepassing is. In de tweede plaats bevat de letterlijke tekst van artikel 28, lid 1, van de richtlijn geen aanvullend criterium voor de bepaling van het recht dat op de gegevensverwerking van toepassing is. Samenvattend kan worden gesteld dat deze bepaling geen element bevat dat, op de vraag welk recht van toepassing is, zou kunnen leiden tot een ander antwoord dan hetgeen volgt uit de criteria van artikel 4 van de richtlijn, het artikel dat specifiek de kwestie van het toepasselijke recht regelt.

Als wij ons nu concentreren op artikel 4, lid 1, onder a), van de richtlijn, is het goed om eerst aan te geven dat zowel in de opmerkingen ter terechtzitting als in de schriftelijke opmerkingen wordt gewezen op het belang van deze bepaling voor het antwoord op de vragen inzake het toepasselijke recht, en op het bijzondere belang van de vaststelling van de vestigingsplaats van Weltimmo.

Wat het toepasselijke recht is in grensoverschrijdende situaties inzake gegevensverwerking, is al tientallen jaren onderwerp van internationaal debat. 4. Artikel 4 van de richtlijn, bedoeld voor de bepaling van het toepasselijke nationale recht, was de eerste bepaling waarin een regel voor de bepaling van het toepasselijke recht kon worden vastgesteld. 5. Deze bepaling noemt verschillende criteria om vast te stellen of het nationale recht waarin de richtlijn is omgezet, van toepassing is. Zij bepaalt aldus indirect (namelijk door die nationale regels van toepassing te verklaren) de territoriale werkingssfeer van de richtlijn.

Voor de situaties waarin de vraag speelt welk recht binnen de lidstaten van de Unie van toepassing is, is dus artikel 4, lid 1, onder a), van richtlijn 95/46 van bijzondere betekenis. Deze bepaling6. luidt: ‘Elke lidstaat past zijn nationale, ter uitvoering van deze richtlijn vastgestelde bepalingen toe op de verwerking van persoonsgegevens indien: a) die wordt verricht in het kader van de activiteiten van een vestiging op het grondgebied van de lidstaat van de voor de verwerking verantwoordelijke.’

Artikel 4, lid 1, onder a), heeft aldus een dubbele functie. Enerzijds maakt het, via het recht van een van de lidstaten, de toepassing van het Unierecht mogelijk indien de verwerking van persoonsgegevens uitsluitend plaatsvindt ‘in het kader’ van de activiteiten van een vestiging op het grondgebied van de lidstaat, terwijl de ‘werkelijke’ gegevensverwerking zich in een derde staat afspeelt (zoals het geval was in de zaak Google Spain en Google7.). Anderzijds regelt deze bepaling welk recht binnen de lidstaten van toepassing is (de vraag die hier aan de orde is). In deze laatstgenoemde situatie bepaalt artikel 4, lid 1, onder a), van de richtlijn, als verwijzingsregel tussen de wetgevingen van de verschillende lidstaten, het toepasselijke recht.

Ten aanzien hiervan wil ik opmerken dat de nationale rechter zijn vragen formuleert in verband met een beheerder van een website voor vastgoedadvertenties die uitsluitend in een andere lidstaat is gevestigd. Deze bewering wordt overigens bestreden door de Hongaarse toezichthoudende autoriteit. Het Verenigd Koninkrijk acht het evident dat het in deze zaak toepasselijke recht dat van de lidstaat van vestiging, in casu Slowakije, moet zijn en dat de Hongaarse autoriteit niet de eigen nationale rechtsregels kan toepassen. In dezelfde lijn onderstreept de Commissie dat, los van de vraag of zou kunnen worden aanvaard dat het Hongaarse recht wordt toegepast indien wordt geoordeeld dat verzoekster tevens op Hongaars grondgebied is gevestigd, de Kúria heeft aangegeven dat in deze zaak de onderneming uitsluitend in een andere lidstaat is gevestigd.

Los van de feitelijke inschatting met betrekking tot de werkelijke vestigingsplaats zoals die blijkt uit de tekst van de prejudiciële vragen, verraden de derde tot en met zesde vraag van de Kúria een bepaalde onzekerheid of het begrip vestiging in de zin van de richtlijn misschien zou moeten worden gezien als een niet enkel formeel begrip. Daarom meen ik dat voor een nuttig antwoord op de eerste tot en met zesde vraag de criteria moeten worden bepaald op grond waarvan kan worden vastgesteld of er sprake is van gegevensverwerking die is verricht ‘in het kader van de activiteiten van een vestiging […] van de voor de verwerking verantwoordelijke’ op het Hongaarse grondgebied, in de zin van artikel 4, lid 1, onder a), van de richtlijn.

Om dus in deze zaak te bepalen of het toepasselijke recht dat van Hongarije of dat van Slowakije is, is een onderzoek nodig in twee etappes, volgens de methode die gehanteerd is in het arrest Google Spain en Google.8. In de eerste plaats moet duidelijk worden gemaakt of Weltimmo beschikte over een vestiging op het grondgebied van Hongarije en in de tweede plaats of de gegevensverwerking is verricht in het kader van de activiteiten van die vestiging. Ik wil er echter op wijzen dat, in tegenstelling tot de omstandigheden van de zaak Google Spain en Google, de vraag of de gegevensverwerking is verricht ‘in het kader van de activiteiten van een vestiging’ in de onderhavige zaak niet omstreden is. De essentiële vraag is hier dus of er sprake is van een vestiging in Hongarije en/of in Slowakije. Daarom zal mijn analyse zich dus in essentie concentreren op de eerste etappe van het onderzoek.

Over deze vraag heeft de Hongaarse regering in haar schriftelijke opmerkingen aangegeven dat de verschillende taalversies van deze bepaling een uitlegging van het begrip vestiging ondersteunen die wellicht verder gaat dan enkel die in de zin van het vennootschapsrecht. De Slowaakse regering, die eveneens in de richting gaat van een niet-formalistisch begrip vestiging, wijst in deze context op de rechtspraak van het Hof inzake de vrijheid van vestiging. Ook de Hongaarse gegevensbeschermingsautoriteit pleit voor een opvatting van het begrip vestiging waarin niet de rechtsvorm bepalend is en geeft aan dat de vestiging kan bestaan uit de rechtsvertegenwoordiger van Weltimmo in Hongarije, de heer Benkö, in het geding. Deze persoon heeft deze onderneming inderdaad in eerste aanleg vertegenwoordigd in de administratieve procedure, heeft in contact gestaan met de betrokkenen die klachten hebben ingediend en staat als directeur Hongarije ingeschreven in het Slowaakse vennootschapsregister. Bovendien heeft de autoriteit er ter terechtzitting op gewezen dat Weltimmo beschikt over een postbus in Hongarije voor het beheer van haar lopende zaken, en dat de Slowaakse gegevensbeschermingsautoriteit haar in een informeel overleg had bevestigd dat de onderneming geen activiteiten in Slowakije verrichtte. Enkel de Poolse regering heeft in haar opmerkingen ter terechtzitting benadrukt dat uitsluitend rekening moet worden gehouden met in welke lidstaat een vennootschap is geregistreerd, omdat dit het enige objectieve en verifieerbare element is.

Voorts moet worden gewezen op punt 19 van de considerans van richtlijn 95/46, dat een essentieel element is voor de uitlegging van het begrip vestiging in de zin van diezelfde richtlijn. Dat punt wijst op een flexibele uitlegging van het begrip en verwerpt een formalistische zienswijze waarin een onderneming uitsluitend gevestigd zou zijn op de plaats waar zij geregistreerd staat. In de eerste plaats hanteert dit punt een criterium van effectiviteit en een element van duurzaamheid, door te overwegen dat ‘de vestiging op het grondgebied van een lidstaat het effectief en daadwerkelijk uitoefenen van activiteiten door een vaste vestiging veronderstelt […].’ In de tweede plaats biedt het punt aanzienlijke flexibiliteit door de zinsnede dat ‘de rechtsvorm van een dergelijke vestiging, of het nu gaat om een bijkantoor of om een dochteronderneming met rechtspersoonlijkheid, hier niet doorslaggevend is.’

Deze opvatting van het begrip vestiging is in lijn met de uitlegging van het Hof op andere gebieden van het Unierecht. In het bijzonder impliceert volgens vaste rechtspraak ‘het begrip vestiging in de zin van de verdragsbepalingen inzake de vrijheid van vestiging, de daadwerkelijke uitoefening van een economische activiteit voor onbepaalde tijd door middel van een duurzame vestiging in deze lidstaat’9., hetgeen ‘veronderstelt dat de betrokken vennootschap werkelijk gevestigd is in de lidstaat van ontvangst en daar daadwerkelijk een economische activiteit uitoefent.’10.

Daarnaast wordt in het advies 8/2010 van de Groep gegevensbescherming artikel 29 (hierna: ‘artikel 29-groep’)11. verwezen naar de uitlegging van het begrip vestiging als criterium om te bepalen in welk land btw moet worden betaald.12. De rechtspraak van het Hof op dit gebied is bijzonder interessant — omdat het begrip vestiging functioneert als aanknopingspunt om te bepalen aan welke nationale fiscale wet de dienst onderworpen is — en gaat dieper in op het begrip vaste vestiging, die ‘moet worden gekenmerkt door een voldoende mate van duurzaamheid en een — wat personeel en technische middelen betreft — geschikte structuur om de voor haar eigen behoeften verrichte diensten te kunnen afnemen en ter plaatse te gebruiken.’13. Ook het begrip vestiging uit het Verdrag van Rome14. en het Verdrag van Brussel 15. pleit voor een niet-formalistische opvatting.16.

Ongeacht het duidelijke verschil in context en doelstelling tussen enerzijds de gebieden waarop het Hof zich over de hierboven genoemde onderwerpen heeft uitgesproken en anderzijds de onderhavige zaak, is het in elk geval veelzeggend dat het Unierecht op verschillende gebieden de nadruk legt op een opvatting van het begrip vestiging die gebaseerd is op het daadwerkelijk uitoefenen van economische activiteiten en op een zekere mate van duurzaamheid, hetgeen overeenkomt met de aanwijzingen die voorkomen in punt 19 van de considerans van richtlijn 95/46.

Met het oog op het specifieke doel van richtlijn 95/46, zoals dat wordt verwoord in artikel 1, lid 1, van die richtlijn, namelijk het ‘waarborgen in verband met de verwerking van persoonsgegevens, overeenkomstig de bepalingen van deze richtlijn, [van] de bescherming van de fundamentele rechten en vrijheden van natuurlijke personen, inzonderheid van het recht op persoonlijke levenssfeer’, ben ik echter van mening dat zowel de mate van duurzaamheid van de vestiging als het daadwerkelijk uitoefenen van de activiteiten dient te worden bezien vanuit de specifieke aard van de bedrijfsuitoefening en de betrokken dienstverlening.

Zoals de Hongaarse gegevensbeschermingsautoriteit en de Slowaakse regering opmerken, en tevens conform de criteria van de artikel 29-Groep 17., zou één enkele agent al genoeg zijn om te kunnen spreken van een vaste vestiging, als diegene optreedt met een voldoende mate van duurzaamheid en via de inzet van de nodige middelen voor de verlening van de betrokken concrete diensten in de desbetreffende lidstaat.

Advocaat-generaal Jääskinen heeft in zijn conclusie bij de zaak Google Spain en Google opgemerkt dat bij de beoordeling van de voorwaarden van artikel 4 van richtlijn 95/46 het bedrijfsmodel van de betrokken aanbieder in aanmerking moet worden genomen.18. Daarom moet het Hof het specifieke karakter meewegen van ondernemingen die enkel via internet opereren, met een bedrijfsmodel dat het begrip vaste vestiging relatief maakt en dat ook minder personele en materiële middelen nodig heeft. In bepaalde situaties kan zelfs één agent die permanent aanwezig is, uitgerust met weinig meer dan een laptop, een voldoende structuur betekenen om effectief en daadwerkelijk en met een voldoende mate van duurzaamheid activiteiten te kunnen uitoefenen. Op grond van deze overwegingen moet, bij het onderzoek van die personele en technische middelen, het specifieke karakter van de ondernemingen die via internet diensten aanbieden zorgvuldig in aanmerking worden genomen en moet rekening worden gehouden met de bijzonderheden van elke concrete situatie.

Het bijzondere karakter van economische activiteiten via internet is al in aanmerking genomen bij de bepaling van de inhoud van het begrip vestiging in andere instrumenten van Unierecht. Zo overweegt punt 19 van de considerans van de richtlijn inzake de elektronische handel19.: ‘[…] De plaats van vestiging van een bedrijf dat via een Internetsite diensten aanbiedt, is niet de plaats waar zich de technologie ter ondersteuning van de site bevindt of waar de site toegankelijk is, maar de plaats waar de economische activiteit wordt uitgeoefend.’ Deze definitie is door de artikel 29-Groep relevant bevonden voor de uitlegging van artikel 4 van richtlijn 95/46. 20.

Naar aanleiding van deze overwegingen kan worden geconcludeerd dat niet wordt bestreden dat Weltimmo formeel in Slowakije is geregistreerd, maar dat toch niet valt uit te sluiten dat deze onderneming haar activiteiten effectief en daadwerkelijk uitoefent op het grondgebied van een andere lidstaat, in de onderhavige zaak Hongarije, middels een vaste vestiging, die mogelijk slechts bestaat uit één agent. Als dat het geval is, dan zou Weltimmo beschikken over een vestiging in Hongarije in de zin van artikel 4, lid 1, onder a), van richtlijn 95/46.

De verschillende door de Kúria in zijn prejudiciële vragen genoemde aanvullende factoren — de plaats van waar de gegevens zijn ingevoerd, de lidstaat waarop de diensten zijn gericht, de nationaliteit van de betrokken adverteerders, of de verblijfplaats van de eigenaren van de onderneming — hebben in dit verband geen rechtstreekse en bepalende rol bij de vaststelling van het toepasselijke recht.21. Deze elementen komen namelijk niet in de richtlijn voor als relevante criteria die een uitzondering mogelijk zouden maken op de regel van artikel 4, lid 1, onder a).22.

Niettemin kunnen verschillende van die factoren onder bepaalde omstandigheden aanwijzingen vormen voor het daadwerkelijke en effectieve karakter van de activiteiten — om de plaats van vestiging vast te stellen — en in het bijzonder om te bepalen of de verwerking van de gegevens heeft plaatsgevonden in het kader van de activiteiten van een vestiging van de verantwoordelijke voor de gegevensverwerking.

In het bijzonder met betrekking tot het tweede element — dat de gegevensverwerking wordt verricht in het kader van de activiteiten van een vestiging in een lidstaat — dient te worden verwezen naar de uitlegging die is gegeven in het arrest Google Spain en Google.23. Volgens dit arrest ‘vereist artikel 4, lid 1, onder a), van richtlijn 95/46 […] niet dat de betrokken verwerking van persoonsgegevens wordt verricht ‘door’ de betrokken vestiging zelf, maar enkel dat die wordt verricht ‘in het kader van de activiteiten’ van deze vestiging.’24. Bovendien — zo vervolgt het Hof — mag, gelet op de doelstelling van de richtlijn ‘laatstgenoemde zinsnede niet restrictief worden uitgelegd.’25.

De toepassing van dit tweede criterium is van bijzonder belang ingeval de verwijzende rechter oordeelt — op grond van de bovengenoemde criteria — dat Weltimmo in beide betrokken lidstaten is gevestigd. In dat geval moet, zoals de Slowaakse regering en de Commissie in hun schriftelijke opmerkingen hebben benadrukt, precies worden onderzocht wat de activiteiten inhouden in het kader waarvan de verwerking is verricht en wat de mate van aanknoping is met een bepaalde vestiging.26. Ook andere bepalende elementen zijn door de artikel 29-groep genoemd in verband met zoekmachines. Die elementen kunnen van nut zijn om te bepalen of de activiteiten vallen binnen de context van de vestiging, zoals het feit dat de vestiging verantwoordelijk is voor de relatie met de gebruikers, dat zij betrokken is bij het verkopen van advertenties gericht op de inwoners van het betreffende land, of dat zij gehoor geeft aan rechtshandhavingsverzoeken van de bevoegde autoriteiten van een lidstaat met betrekking tot de gebruikersgegevens.27.

Kortom, teneinde in de onderhavige zaak te bepalen of het Hongaarse recht op de activiteiten van Weltimmo in Hongarije van toepassing kan zijn, dient te worden vastgesteld of Weltimmo in die lidstaat beschikt over een vestiging waar de bestreden gegevensverwerking in het kader van haar activiteiten is verricht. Daarvoor dient te worden vastgesteld of de in de verwijzingsbeschikking genoemde agent beschikt over een vaste vestiging, onafhankelijk van de rechtsvorm, door middel waarvan effectief en daadwerkelijk activiteiten worden uitgeoefend in het kader waarvan de bestreden gegevensverwerking is verricht.

Concluderend ben ik van mening dat op de eerste tot en met zesde vraag van de Kúria dient te worden geantwoord dat artikel 4, lid 1, onder a), van richtlijn 95/46 zich ertegen verzet dat de Hongaarse gegevensbeschermingsautoriteit de Hongaarse wet toepast op een voor de verwerking verantwoordelijke die uitsluitend in een andere lidstaat is gevestigd. Hiervoor dient het begrip vestiging aldus te worden uitgelegd dat het het bestaan van een vaste inrichting veronderstelt, onafhankelijk van de rechtsvorm daarvan, door middel waarvan effectief en daadwerkelijk activiteiten worden uitgeoefend. Eén agent kan al worden beschouwd als vaste inrichting, wanneer deze een voldoende mate van duurzaamheid biedt met behulp van de personele en technische middelen die voor het verlenen van de betrokken concrete diensten nodig zijn.

Andere elementen, zoals de plaats van waar de gegevens zijn verzonden, de nationaliteit van de betrokken adverteerders, de woonplaats van de eigenaren van de voor de gegevensverwerking verantwoordelijke onderneming, of het feit dat de door die verantwoordelijke geleverde dienst gericht is op het grondgebied van een andere lidstaat, spelen geen rechtstreekse en bepalende rol bij de vaststelling van het toepasselijke recht, maar kunnen wel een aanwijzing vormen voor het effectieve en daadwerkelijke karakter van de activiteiten — om de plaats van vestiging vast te stellen — en in het bijzonder om te bepalen of de gegevensverwerking is verricht in het kader van de activiteiten van die vestiging.

Met zijn zevende prejudiciële vraag wenst de Kúria van het Hof te vernemen of ‘indien uit het antwoord op de vorige vragen volgt dat de Hongaarse autoriteit voor gegevensbescherming kan optreden, maar daarbij niet het nationale recht doch het recht van de lidstaat van vestiging moet toepassen, artikel 28, lid 6, van de richtlijn gegevensbescherming dan aldus [moet] worden uitgelegd dat de Hongaarse autoriteit voor gegevensbescherming de haar overeenkomstig artikel 28, lid 3, daarvan verleende bevoegdheden enkel mag uitoefenen in overeenstemming met de regeling van de lidstaat van vestiging, en dus niet bevoegd is om een geldboete op te leggen?’

Zoals te zien, is deze prejudiciële vraag slechts dan relevant indien de verwijzende rechter op grond van de bovengenoemde criteria meent dat Weltimmo geen vestiging bezit in Hongarije, maar uitsluitend in Slowakije is gevestigd. Om op deze prejudiciële vraag een nuttig antwoord te geven, moet dus eerst worden onderzocht — omdat dit niet uitdrukkelijk voortvloeit uit het antwoord op de vorige vragen — of een toezichthoudende autoriteit van een lidstaat ook kan optreden wanneer, op grond van de criteria van artikel 4, lid 1, onder a), van de richtlijn, het recht van een andere lidstaat van toepassing is. Als die vraag bevestigend wordt beantwoord, dient vervolgens te worden bepaald wat de reikwijdte en de inhoud is van de bevoegdheden van die autoriteit.

Allereerst wordt dus de vraag gesteld of artikel 4 inzake het toepasselijke recht, naast een bepaling ter vaststelling van het toepasselijke recht, ook een bevoegdheidsbepaling is, en wat dan de waarde is van de specificaties die in artikel 28 worden gegeven met betrekking tot de bevoegdheden van de overheid. Dit alles tegen de achtergrond van een belangrijke herziening van het Unierecht op het gebied van gegevensbescherming. 28.

De bij het Hof ingediende opmerkingen geven blijk van verschillende opvattingen over de leden 1, 3 en 6 van artikel 28 van de richtlijn. De Hongaarse gegevensbeschermingsautoriteit stelt dat zij bevoegd is om een boete op te leggen, zelfs wanneer het recht van een andere lidstaat van toepassing zou zijn. Ook de Hongaarse regering heeft zich in die zin uitgesproken. Zij acht het evident dat de verschillende bepalingen van de regeling en van de procedure voor de uitoefening van de in artikel 28, lid 3, van de richtlijn genoemde bevoegdheden van de toezichthoudende autoriteiten, worden beheerst door het nationale recht van de staat waar die autoriteit is gezeteld, met als consequentie dat het opleggen van sancties moet geschieden conform haar eigen nationale recht.

De Commissie van haar kant meent dat de toezichthoudende autoriteiten van een lidstaat het recht hebben om de in artikel 28, lid 3, genoemde bevoegdheden uit te oefenen voor zover zij deze kunnen uitoefenen op hun eigen grondgebied, conform artikel 28, leden 1 en 6. Als echter een bevoegdheid uitsluitend kan worden uitgeoefend op het grondgebied van een andere lidstaat, dan heeft deze autoriteit geen andere keuze dan om de administratieve samenwerking te verzoeken van de toezichthoudende autoriteit van die andere lidstaat. De toezichthoudende autoriteit van eerstbedoelde lidstaat kan geen sanctie opleggen aan een voor de verwerking verantwoordelijke die uitsluitend in een andere lidstaat is gevestigd. In dezelfde zin is de Slowaakse regering van mening dat als het Slowaakse recht van toepassing is, de Hongaarse gegevensbeschermingsautoriteit de bevoegdheid heeft om conform artikel 28, leden 3 en 6, een onderzoek te verrichten en de bij haar ingediende klachten te onderzoeken volgens haar eigen procedurevoorschriften, maar een verzoek om samenwerking moet richten aan de autoriteit van de lidstaat waarvan het recht van toepassing is, omdat die toezichthoudende autoriteit zich zou moeten uitspreken over het eventuele opleggen van een boete. Polen onderstreept dat de richtlijn niet in de mogelijkheid voorziet dat het materiële recht van een lidstaat door de autoriteiten van een andere lidstaat wordt toegepast, en betoogt dat als de wetgever die vérgaande mogelijkheid had willen verschaffen, de richtlijn gedetailleerde bepalingen zou bevatten om het toepassingsgebied af te bakenen. Ten slotte meent de Britse regering dat het Slowaakse recht van toepassing is en dat daarom de Hongaarse gegevensbeschermingsautoriteit niet bevoegd is.

Gezien het voorgaande valt op hoe verdeeld de standpunten zijn in de ingediende opmerkingen. Daarin lijken enkel het Verenigd Koninkrijk en Polen een absolute coherentie te eisen tussen het toepasselijke recht en de bevoegdheid van de toezichthoudende autoriteit, hetgeen inhoudt dat de bepaling van het conform artikel 4, lid 1, onder b), van de richtlijn toepasselijke recht ook de bevoegde toezichthoudende autoriteit bepaalt.29.

Zoals ik hierna zal betogen, ben ik van mening dat de complexe kwestie die voor ons ligt moet worden beslist door te trachten de bijzondere doelstellingen van de richtlijn te combineren met de beginselen die het optreden van de toezichthoudende administratieve autoriteiten beheersen.

Aan de kwestie die met deze prejudiciële vraag wordt aangesneden, ligt een belangrijke prealabele vraag ten grondslag, namelijk of de richtlijn de geldigheid van de regel dat de administratieve autoriteiten van een land in beginsel conform hun eigen nationale recht optreden en dat nationale recht toepassen, mag verzwakken, of zelfs buiten werking stellen. Daarom moet met betrekking tot de bevoegdheid van de overheden — omdat het de uitoefening betreft van publiekrechtelijke bevoegdheden, in het bijzonder het ius puniendi — worden uitgegaan van de eisen die voortvloeien uit de territoriale soevereiniteit van de staat30., het legaliteitsbeginsel en ten slotte de definitie van het begrip rechtsstaat.31. Die eisen zouden het noodzakelijk maken dat de bevoegdheid van de toezichthoudende autoriteit samenvalt met het toepasselijke recht.32. In die zin kan de uitoefening van de sanctiebevoegdheid — de bevoegdheid die specifiek in de onderhavige zaak aan de orde is — in beginsel niet worden uitgeoefend buiten de wettelijke grenzen waarbinnen een administratieve autoriteit gemachtigd is om, onderworpen aan haar nationale recht, op te treden.33. Voor een afwijking van die regel lijkt toch ten minste een specifieke wettelijke grondslag nodig te zijn die de toepassing van het publiekrecht van een andere lidstaat toestaat en afbakent en die bovendien, gedetailleerd en duidelijk, mogelijk maakt dat de rechtssubjecten kunnen verwachten aan welke recht hun gedragingen onderworpen zijn, en wat de consequenties daarvan zijn.34.

Overeenkomstig hetgeen hierboven is opgemerkt, meen ik niet dat de eerste zinsnede van artikel 28, lid 6, die luidt dat ‘elke toezichthoudende autoriteit […] bevoegd [is], ongeacht welk nationaal recht op de betrokken verwerking van toepassing is, om op het grondgebied van haar eigen lidstaat de haar overeenkomstig lid 3 verleende bevoegdheden uit te oefenen’35., een voldoende specifieke bepaling is voor een zo belangrijke gevolgtrekking. Die bepaling stelt geen specificatie vast omtrent het toepassingsgebied, de werkingssfeer en de waarborgen die nodig zijn voor een mogelijke toepassing door de administratieve autoriteiten van de ene lidstaat van bepalingen — in het bijzonder boetebepalingen — van de andere.

Ook artikel 28, lid 1, van de richtlijn vormt naar mijn mening een ontoereikende wettelijke grondslag voor deze opvatting op de enkele grond van de door de Hongaarse regering en de Hongaarse gegevensbeschermingsautoriteit aangevoerde omstandigheid dat deze bepaling het meervoud gebruikt: ‘Elke lidstaat bepaalt dat een of meer autoriteiten worden belast met het toezicht op de toepassing op zijn grondgebied van de ter uitvoering van deze richtlijn door de lidstaten vastgestelde bepalingen.’36.

Desalniettemin wijzen deze bepalingen op de mogelijkheid dat er een bepaalde scheiding plaatsvindt tussen de bevoegde autoriteit en het toepasselijke recht. In elk geval laten zij toe dat de autoriteit van een lidstaat toezicht houdt op de activiteiten die op haar grondgebied worden uitgeoefend, zelfs wanneer het recht van een andere lidstaat van toepassing is.

Op grond hiervan acht ik het mogelijk artikel 28, leden 1, 3 en 6, uit te leggen op een wijze die rijmt met de basisbeginselen van de uitoefening van de administratieve bevoegdheid om sancties op te leggen. Dit kan geschieden door de eerste zin van de eerste alinea van lid 6 van artikel 28 samen te zien met de tweede zin van diezelfde alinea — die luidt dat de autoriteit die de bevoegdheden op het grondgebied van haar eigen lidstaat uitoefent ‘[…] door een autoriteit van een andere lidstaat [kan] worden verzocht haar bevoegdheden uit te oefenen’ — en met de tweede alinea van lid 6, die bepaalt dat ‘de toezichthoudende autoriteiten onderling samenwerken voor zover zulks noodzakelijk is voor de uitvoering van hun taken […].’

De in artikel 28, lid 6, aan de toezichthoudende autoriteiten geboden mogelijkheid tot optreden, zelfs wanneer het recht van haar eigen lidstaat niet van toepassing is, moet systematisch worden uitgelegd, waarbij zowel rekening wordt gehouden met een duidelijke opdracht tot samenwerking tussen administratieve autoriteiten, als met het feit dat de ene autoriteit door de andere kan worden verzocht om haar bevoegdheden uit te oefenen. Een beoordeling van deze bepaling als geheel wijst op een taakverdeling tussen de verschillende toezichthoudende autoriteiten, in het kader van samenwerking en wederzijdse assistentie.

Het feit dat het toepasselijke recht dat van een andere lidstaat blijkt te zijn, berooft de toezichthoudende autoriteiten van andere lidstaten niet van hun mogelijkheden om op te treden. Daarbij moet in het bijzonder rekening worden gehouden met het feit dat er in bepaalde situaties — hoewel op grond van artikel 4, lid 1, onder a), van de richtlijn het recht van een andere lidstaat van toepassing is — vele andere aanknopingspunten met het grondgebied kunnen bestaan, zoals de technische middelen of, in het bijzonder, de personen die door de gegevensverwerking zijn getroffen. Voor een effectieve toepassing van de richtlijn is het daarom noodzakelijk dat de lokale autoriteit onderzoek kan verrichten en bepaalde maatregelen kan nemen, zelfs nog voordat kon worden bepaald welk recht van toepassing is.

Meer concreet geformuleerd: een toezichthoudende autoriteit aan wie, bij wege van een bij haar ingediende aanvraag of een individueel verzoek, is gevraagd op te treden, moet haar bevoegdheden tot onderzoek op haar eigen grondgebied kunnen uitoefenen. Dit blijkt duidelijk uit artikel 28, lid 4, van de richtlijn, waarin de verplichting van de toezichthoudende autoriteiten wordt vastgesteld om kennis te nemen van de verzoeken die een ieder bij haar indient met betrekking tot de bescherming van zijn rechten en vrijheden in verband met de verwerking van persoonsgegevens. Deze opvatting rijmt met het Verdrag nr. 108 van de Raad van Europa van 1981 met betrekking tot de geautomatiseerde verwerking van persoonsgegevens, 37. waarvan artikel 14 bepaalt dat, indien een persoon op het grondgebied van een andere Verdragsluitende Partij verblijft ‘deze de bevoegdheid moet hebben om zijn vordering in te dienen bij de autoriteit die daarvoor door deze Partij is aangewezen.’

Deze procedure kan al voldoende geruststelling bieden voor de bezorgdheid die door de Hongaarse regering ter terechtzitting is geuit, dat, indien de Hongaarse gegevensbeschermingsautoriteit niet bevoegd is, de effectiviteit van de door de richtlijn vastgestelde maatregelen zou worden ondergraven als de belanghebbenden zich tot buitenlandse autoriteiten zouden moeten richten in talen die zij niet beheersen.

Kortom, de toezichthoudende autoriteiten beschikken, ongeacht het materiële recht dat in casu van toepassing is, over de in lid 3 van artikel 28 van de richtlijn genoemde bevoegdheden om onderzoek te verrichten en in te grijpen, maar enkel over die bevoegdheden die hun door hun nationale recht zijn toegekend, op hun eigen grondgebied38., en met inachtneming van de beginselen die in punt 50 van deze conclusie zijn genoemd.

Het is duidelijk dat de handelingsbevoegdheid van een toezichthoudende autoriteit van een lidstaat niet onbeperkt is wanneer het materiële recht van een andere lidstaat van toepassing is. Op dit punt wil ik opmerken dat het beginsel blijft gelden dat de toezichthoudende autoriteit, in de uitoefening van haar bevoegdheden, gebonden is aan de grenzen die haar worden gesteld in haar hoedanigheid van publiekrechtelijk rechtssubject dat onderworpen is aan het recht van de eigen lidstaat, en dat zij haar bevoegdheden enkel op haar eigen grondgebied kan uitoefenen. Met name als er sprake blijkt te zijn van een onrechtmatigheidsverklaring en van oplegging van sancties wegens de inbreuken die voortvloeien uit de onrechtmatigheid van de gegevensverwerking, is dat onvermijdelijk de taak van de autoriteit van de lidstaat wiens materiële recht op de gegevensverwerking van toepassing is, volgens het criterium van artikel 4, lid 1, onder a), van de richtlijn.

Hoewel er dus niets op tegen is om de bevoegdheid om sancties op te leggen te beschouwen als een van de bevoegdheden die in artikel 28, lid 3, van de richtlijn worden genoemd (in welk lid na het derde gedachtestreepje de ‘bevoegdheid [van de toezichthoudende autoriteiten] om in rechte op te treden in geval van inbreuken’ wordt vermeld), moet — op grond van de in artikel 28, lid 6, van de richtlijn vastgestelde verplichting tot samenwerking — aan de autoriteit van de lidstaat wiens recht op de gegevensverwerking van toepassing is, worden verzocht om eventueel over te gaan tot een verklaring van inbreuk conform het toepasselijke recht en tot het opleggen van sancties, op basis van de informatie die is verzameld, in voorkomend geval doorgegeven, door de autoriteit van de eerstgenoemde lidstaat.

Deze uitlegging is niet in tegenspraak met het standpunt dat de artikel 29-groep in verschillende documenten heeft uitgesproken. In de eerste plaats — zoals wordt benadrukt in advies 8/2010 over het toepasselijke recht — is de doelstelling van artikel 28, lid 6, ‘het eventuele gat te dichten tussen het toepasselijke recht en de toezichthoudende bevoegdheid, dat binnen de interne markt zou kunnen ontstaan op het gebied van gegevensbescherming.’39. Weliswaar stelt dit advies uitdrukkelijk: ‘Ook als het gegevensbeschermingsrecht van een andere lidstaat van toepassing is, mag de toezichthoudende autoriteit op haar grondgebied alle bevoegdheden uitoefenen die haar door het nationale rechtsstelsel zijn verleend’, maar het uit tevens belangrijke twijfel omtrent de omvang van de bevoegdheden van de toezichthoudende autoriteiten op dit gebied.40. Op basis van de latere overwegingen van de artikel 29-groep heeft deze groep, op verzoek van de Commissie, in zijn aanbevelingen inzake de praktische implementatie van artikel 28, lid 6, zijn standpunt uitgewerkt met betrekking tot de kwestie van de scheiding tussen het toepasselijke recht en de bevoegde autoriteit.41. De groep concludeert dat in een situatie van feitelijke scheiding, de autoriteit de procedurele en administratieve bepalingen van haar eigen rechtssysteem moet toepassen, terwijl de inhoudelijke aspecten van de gegevensbescherming de taak zijn van de lidstaat wiens recht van toepassing is.42.

De bovenstaande overwegingen vallen binnen een bijzondere juridische context waarin het interventie-instrument van de Unie een richtlijn is, hetgeen de lidstaten een aanzienlijke vrijheid heeft gelaten in hun wetgevingen, in het bijzonder wat betreft de regeling en de mogelijkheden van de toezichthoudende autoriteiten tot het opleggen van sancties.43. Het zou moeilijk verenigbaar zijn met de beginselen van territoriale soevereiniteit en legaliteit wanneer, bij gebrek aan een duidelijke wettelijke grondslag met waarborgen voor een nauwe samenwerking bij de interpretatie van inbreuken en voor een gelijkwaardigheid van de sancties, de scheiding tussen de bevoegde autoriteit en het toepasselijke recht zou leiden tot het opleggen van sancties conform het recht van de lidstaat van de lokale toezichthoudende autoriteit — die wellicht niet zijn voorzien in het rechtsstelsel van de lidstaat wiens recht op de gegevensverwerking van toepassing is — of tot de toepassing door een lokale autoriteit van sanctieregels van een andere lidstaat.44.

Tot slot leidt het beroep op een analoge toepassing van het arrest van het Hof in de zaak UPC DTH45., waar door de Hongaarse regering en de Hongaarse toezichthoudende autoriteit naar wordt verwezen teneinde de bevoegdheid van die laatste om in de onderhavige zaak sancties op te leggen te onderbouwen, niet tot een andere conclusie. In dat arrest betreffende de uitlegging van bepaalde instrumenten van het rechtskader inzake elektronische communicatie46. heeft het Hof verklaard dat ‘procedures van toezicht op elektronische-communicatiediensten […] vallen onder de bevoegdheid van de autoriteiten van de lidstaat waar de afnemers van die diensten wonen.’47.

In antwoord op dat betoog wil ik er enkel op wijzen dat, naast het feit dat deze uitlegging een situatie van vrijheid van dienstverrichting betrof en viel binnen een rechtskader waarvan de doelstellingen en structuur duidelijk verschilden van die van de onderhavige zaak, deze uitspraak — en dat is belangrijker — werd gedaan in een situatie waarin geen sprake was van discussie over het toepasselijke recht.48.

Op grond van al deze redenen ben ik, tegen de achtergrond van de huidige staat van het Unierecht, van mening dat de zevende prejudiciële vraag van de Kúria als volgt dient te worden beantwoord:

Ingeval de nationale rechter, op grond van het criterium van artikel 4, lid 1, onder a), van richtlijn 95/46 bepaalt dat zijn nationale recht niet van toepassing is, moet artikel 28, lid 6, van die richtlijn aldus worden uitgelegd dat het opleggen van sancties wegens inbreuken in verband met gegevensverwerking valt onder de bevoegdheid van de toezichthoudende autoriteit van de lidstaat wiens recht van toepassing is, ongeacht welke lokale toezichthoudende autoriteit het geheel van de in artikel 28, lid 3, genoemde bevoegdheden op haar eigen grondgebied kan uitoefenen, overeenkomstig haar nationale recht.

Met zijn achtste prejudiciële vraag wenst de verwijzende rechter van het Hof het volgende te vernemen: ‘Mag ervan worden uitgegaan dat het begrip ‘adatfeldolgozás’, dat zowel in artikel 4, lid 1, onder a), als in artikel 28, lid 6, van [de Hongaarse taalversie van] de richtlijn gegevensbescherming voorkomt, in de terminologie van deze richtlijn overeenkomt met het begrip ‘adatkezelés’?’

Alle bij het Hof ingediende opmerkingen concluderen dat het verschil in terminologie waarop in de verwijzingsbeslissing is gewezen, onbelangrijk is.

Richtlijn 95/46 hanteert in haar bepalingen consequent enkel de term ‘[adat]feldolgozás’ voor het begrip gegevensverwerking, zoals dat in artikel 2, onder b), van de richtlijn is gedefinieerd. Pas in de Hongaarse informatiewet wordt verschil gemaakt tussen de begrippen ‘adatkezelés’ en ‘adatfeldolgozás’49., waarbij dat laatste begrip wordt gedefinieerd als ‘het verrichten van technische taken in het kader van de gegevensverwerking […]’.50.

De definitie van het begrip ‘[adat]feldolgozás’ van artikel 2, onder b), van de richtlijn, dat tevens wordt gebruikt in artikel 4, lid 1, onder a), en in artikel 28, lid 6, is heel ruim en omvat elke bewerking met betrekking tot persoonsgegevens, al dan niet uitgevoerd met behulp van geautomatiseerde procédés. Daaruit volgt dat het ruime begrip ‘verwerking’ het beperktere begrip verrichten van technische taken ‘in het kader van de gegevensverwerking’ omvat.

Daarom geef ik het Hof in overweging de achtste prejudiciële vraag van de Kúria als volgt te beantwoorden:

Het begrip ‘adatfeldolgozás’, gebruikt in artikel 4, lid 1, onder a), en artikel 28, lid 6, van de Hongaarse versie van de richtlijn, moet aldus worden uitgelegd dat het zowel de gegevensverwerking in ruime zin, als het verrichten van technische taken in het kader van de gegevensverwerking omvat.