Nationale toezichthouders in de EU kunnen optreden tegen bedrijven die de Europese privacyregeling (GDPR, in Nederland ook bekend als Algemene verordening gegevensbescherming AVG) schenden, ook als het beoogde bedrijf niet is gevestigd in dat land. Dat oordeelt het Europees Hof van Justitie in een zaak die door de Belgische Gegevensbeschermingsautoriteit was aangespannen tegen Facebook.
De uitspraak is een tegenvaller voor Facebook. Het Europese hoofdkantoor van de Amerikaanse techreus staat in Ierland. België wil dat het sociale netwerk stopt met het volgen van de surfgeschiedenis met behulp van cookies van niet-gebruikers. Maar volgens Facebook is dat een zaak voor de Ierse autoriteiten.
Het Europees Hof bevestigt dat in principe het land waar het bedrijf is gevestigd, in dit geval Ierland, de leidende autoriteit is als het gaat om grensoverschrijdende gegevensverwerking (het zogeheten one-stop-shopsysteem). In het geval van overtreding van Europese privacyregels (AVG) hebben lidstaten echter in sommige situaties de ruimte om op te treden tegen een bedrijf en kunnen autoriteiten in zulke gevallen naar een nationale rechter stappen.
Schrijf je in voor de Zembla-nieuwsbrief en blijf op de hoogte van onze onthullende journalistiek.