Vorige week publiceerde rechtspraak.nl een uitspraak van de rechtbank Amsterdam waarin is geoordeeld dat Facebook Netherlands B.V. (Facebook B.V.) niet kwalificeert als “verantwoordelijke” in de zin van de Wet bescherming persoonsgegevens (Wbp).
Verzoeker had in deze zaak een verzoek gedaan bij Facebook B.V tot inzage in de gegevens die Facebook over hem verwerkt op grond van artikel 35 Wbp. Gezien de procedure die op het verzoek is gevolgd, kan worden aangenomen dat Facebook niet aan het verzoek wilde of kon voldoen. Facebook B.V. heeft vermoedelijk aangevoerd dat verzoeker zich niet tot haar dient te wenden maar dat hij het verzoek aan het Europese hoofdkantoor van Facebook in Ierland, Facebook Ireland Ltd., dient te richten. In geschil was de vraag of de Nederlandse Wbp of Ierse privacywetgeving van toepassing is op de verwerking van persoonsgegevens van Nederlandse Facebook gebruikers.
De rechtbank neemt voor haar beoordeling als uitgangspunt i) dat de servers van Facebook Ireland Ltd. in Ierland de diverse Facebook diensten hosten voor de Europese markt, ii) het gebruik van Facebook door gebruikers in Nederland kan leiden tot verwerking van persoonsgegevens en dat iii) Facebook B.V. zich bezig houdt met verkoopondersteuning en geen bevoegdheden heeft met betrekking tot activiteiten die tot verwerking van persoonsgegevens kunnen leiden.
Volgens de rechtbank zal aan de vraag welk recht van toepassing is niet worden toegekomen, omdat Facebook B.V. niet kwalificeert als verantwoordelijke:
“Of de Nederlandse, dan wel de Ierse regelgeving van kracht is moet worden vastgesteld aan de hand van artikel 4 sub a van de richtlijn, voor Nederland uitgewerkt in artikel 4 lid 1 van de Wbp. Hoewel zowel de tekst van die regelgeving, als de beslissing van het Duitse Hof die oordeelde naar aanleiding van een door Duitse consumentenorganisaties tegen Facebook aangespannen zaak, aanknopingspunten bieden voor toepassing van de Wbp kan de beantwoording van die vraag in dit geval achterwege blijven, omdat Facebook NL niet als ‘verantwoordelijke’ in de zin van de richtlijn en de Wbp heeft te gelden.”
Conform artikel 1 sub d van de Wbp is de verantwoordelijke degene die, alleen of tezamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt. Volgens de memorie van toelichting bij dit artikel dient er bij de beantwoording van de vraag wie de verantwoordelijke is, enerzijds te worden uitgegaan van de formeel-juridische bevoegdheid om doel en middelen van de gegevensverwerking vast te stellen, anderzijds – in aanvulling daarop – van een functionele inhoud van het begrip. De verantwoordelijke is – kort gezegd- de rechtspersoon onder wiens bevoegdheid de operationele gegevensverwerking plaatsvindt. Het antwoord op de vraag wie verantwoordelijke is speelt ook in het kader van het verzoek tot inzage. Een verzoek tot inzage op grond van artikel 35 Wbp dient namelijk te worden gericht aan de verantwoordelijke voor de gegevensverwerking.
De rechtbank concludeert als volgt:
“Als onvoldoende weersproken staat vast dat voldoende juridisch en feitelijk onderscheid tussen Facebook Nederland en Facebook Ierland bestaat, en dat deze entiteiten niet met elkaar kunnen worden vereenzelvigd. Niet betwist is dat uitsluitend Facebook Ierland, en niet (mede) Facebook NL, verantwoordelijk is voor de verwerking van persoonsgegevens. Dit leidt ertoe dat een verzoek tot inzage niet kan worden gericht aan Facebook Nederland. [verzoeker] zal dan ook niet ontvankelijk worden verklaard in zijn verzoek.”
Gezien het feit dat verzoeker kennelijk het verband tussen Facebook Ireland Ltd. en Facebook B.V. onvoldoende gemotiveerd heeft betwist en tevens onbetwist heeft gelaten dat Facebook Ireland Ltd. uitsluitend verantwoordelijk is voor de gegevensverwerking van Facebook in Europa, kan worden afgevraagd of deze conclusie ook stand gaat houden in een eventuele hoger beroep procedure dan wel een andere procedure.
Lees de uitspraak hier.