Uitspraak
RECHTBANK AMSTERDAM
Bestuursrecht
zaaknummer: AMS 20/1908
uitspraak van de meervoudige kamer in de zaak tussen
Booking.com B.V., te Amsterdam, eiseres
(gemachtigde: mr. J. Bodewits),
en
Autoriteit Persoonsgegevens, verweerder
(gemachtigden: mr. W. van Steenbergen en mr. E. Nijhof).
Procesverloop
Bij besluit van 23 september 2019 (het primaire besluit) heeft verweerder het verzoek van eiseres om een voorafgaande raadpleging op grond van artikel 36, eerste lid, van de Algemene verordening gegevensbescherming (AVG) niet in behandeling genomen. [1]
Bij besluit van 18 februari 2020 (het bestreden besluit) heeft verweerder het bezwaar van eiseres ongegrond verklaard.
Eiseres heeft tegen het bestreden besluit beroep ingesteld.
Verweerder heeft een verweerschrift ingediend.
Het onderzoek ter zitting heeft plaatsgevonden op 13 januari 2021 met behulp van een beeld- en geluidverbinding via Skype for Business. Eiseres heeft zich laten vertegenwoordigen door haar gemachtigde. Namens eiseres zijn ook verschenen
[naam 1] en [naam 2] , die is bijgestaan door H. Bos, tolk in de Engelse taal. Verweerder heeft zich laten vertegenwoordigen door zijn gemachtigden.
[naam 1] en [naam 2] , die is bijgestaan door H. Bos, tolk in de Engelse taal. Verweerder heeft zich laten vertegenwoordigen door zijn gemachtigden.
Overwegingen
1. Met haar verzoek van 2 juli 2019 heeft eiseres verweerder verzocht om een voorafgaande raadpleging als bedoeld in artikel 36, eerste lid, van de AVG. Dit verzoek heeft eiseres gedaan, omdat zij voornemens is persoonsgegevens van ‘Accomodation partners’ en ‘Bookers’ van accommodaties in Spanje te verzamelen en te verstrekken aan de Spaanse autoriteiten. Die verstrekking vindt plaats op grond van Spaanse fiscale rapportageverplichtingen die voortvloeien uit artikel 1.11 van het Spaanse Koninklijk besluit ‘Real Decreto 1070/2017’ van 29 december 2017.
2. Verweerder heeft zich op het standpunt gesteld dat niet hij, maar de Spaanse toezichthouder bevoegd is om het verzoek van eiseres om een voorafgaande raadpleging te beoordelen. Verweerder heeft daarbij onderkend dat eiseres haar Europese hoofdvestiging in Nederland heeft en dat zij het doel en de middelen van gegevensverwerkingen in Nederland bepaalt. Op basis van het ‘één-loketmechanisme’, dat op grond van de AVG als uitgangspunt geldt, is verweerder in beginsel voor eiseres de leidende toezichthouder voor gegevensbescherming. De voorafgaande raadpleging die eiseres verzoekt, vormt echter een uitzondering op dat uitgangspunt, omdat het gaat om verwerking van persoonsgegevens op grond van een wettelijke verplichting in de Spaanse belastingwetgeving (Real Decreto 1070/2017). Dit is een wettelijke verplichting als bedoeld in artikel 6, eerste lid, aanhef en onder c, van de AVG. In artikel 55, tweede lid, van de AVG is bepaald dat het één-loketmechanisme niet van toepassing is op verwerkingen door overheidsorganisaties of particuliere organisaties die op die grondslag zijn gebaseerd. Verweerder stelt zich daarom op het standpunt dat eiseres zich tot de Spaanse toezichthouder, de Agencia Española de Protección de Datos (AEPD), dient te wenden.
Het standpunt van eiseres
3.1.
Eiseres stelt zich op het standpunt dat verweerder een te strikte uitleg geeft aan artikel 55, tweede lid, van de AVG. Dit artikel geldt enkel voor particuliere organen die optreden in het algemeen belang en dat doet eiseres niet. Eiseres wijst ter onderbouwing op de considerans van de AVG, met name onder nummers 122 en 128.
3.2.
Ook betwijfelt eiseres of in dit geval sprake is van een wettelijke verplichting in de zin van artikel 6, eerste lid, aanhef en onder c, van de AVG. In zijn besluit stelt verweerder dat eiseres persoonsgegevens verwerkt op basis van die bepaling door de Spaanse regelgeving als wet te accepteren en daarmee de rechtmatigheid van de verwerkingshandelingen door eiseres te veronderstellen. Eiseres kan zich niet verenigen met deze interpretatie, met name niet omdat de UAVG [2] eiseres verbiedt om nationale identificatienummers te verzamelen.
3.3.
Gelet hierop is eiseres van oordeel dat verweerder bevoegd is haar verzoek om een voorafgaande raadpleging in behandeling te nemen.
Het oordeel van de rechtbank
4. De rechtbank dient antwoord te geven op de vraag of verweerder zich terecht op het standpunt heeft gesteld dat hij niet bevoegd is om het verzoek om een voorafgaande raadpleging in behandeling te nemen.
Hoe dient artikel 55, tweede lid, van de AVG te worden uitgelegd?
5.1.
In artikel 55, tweede lid, van de AVG is, voor zover in deze procedure van belang, bepaald dat in het geval van verwerking door overheidsinstanties of door particuliere organen die handelen op grond van artikel 6, eerste lid, aanhef en onder c, van de AVG de toezichthoudende autoriteit van de lidstaat in kwestie competent is. In dergelijke gevallen is artikel 56 niet van toepassing.
5.2.
Artikel 6, eerste lid, aanhef en onder c, van de AVG bepaalt dat de verwerking alleen rechtmatig is indien en voor zover de verwerking noodzakelijk is om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust.
5.3.
In de considerans van de AVG is onder meer het volgende opgenomen:
(122) Elke toezichthoudende autoriteit dient op het grondgebied van haar lidstaat bevoegd te zijn om de bevoegdheden en taken uit te oefenen die haar overeenkomstig deze verordening zijn toegekend. Daaronder dienen met name te vallen: (…) de verwerking van persoonsgegevens door overheidsinstanties of particuliere organen die optreden in het algemeen belang (…).
(128) De regels betreffende de leidende toezichthoudende autoriteit en het één-loketmechanisme mogen niet gelden wanneer de verwerking door overheidsinstanties of particuliere organen in het algemeen belang wordt verricht. In die gevallen dient de toezichthoudende autoriteit van de lidstaat waar de overheidsinstantie of het particuliere orgaan is gevestigd, de enige overeenkomstig deze verordening bevoegde toezichthoudende autoriteit te zijn.
5.4.
De rechtbank stelt voorop dat de letterlijke tekst van artikel 55, tweede lid, van de AVG uitgaat van ‘particuliere organen’ en dus niet alleen van particuliere organen die (al dan niet deels) een algemeen belang dienen. De bepaling is wat dat betreft niet onduidelijk. Alleen al om reden van rechtszekerheid dient een duidelijke bepaling als zodanig te worden toegepast.
5.5.
Eiseres wordt ook niet gevolgd in haar stelling dat de considerans onder de nummers 122 en 128 erop duidt dat de letterlijke tekst niet zo is bedoeld en niet moet worden gevolgd. In de tekst onder nummer 122 wordt de verwerking van persoonsgegevens als een bevoegdheid of taak genoemd waarover een toezichthoudende autoriteit bevoegd is. De nadruk ligt daar niet op het uitsluiten van particuliere organen die niet optreden in het algemeen belang. In de tekst onder nummer 128 slaat het gebruik van de zinsnede ‘in het algemeen belang’ niet terug op het particuliere orgaan, maar op de verwerking van persoonsgegevens. Het gaat dus in beide gevallen om de omstandigheid dat
de verwerking van persoonsgegevensin het algemeen belang wordt verricht. Dit sluit aan bij de term ‘wettelijke verplichting’ van artikel 6, eerste lid, aanhef en onder c, van de AVG. Met een verwerking van persoonsgegevens op grond van een wettelijke verplichting dient een particuliere organisatie immers niet per se een eigen belang, maar wel het algemene belang.
de verwerking van persoonsgegevensin het algemeen belang wordt verricht. Dit sluit aan bij de term ‘wettelijke verplichting’ van artikel 6, eerste lid, aanhef en onder c, van de AVG. Met een verwerking van persoonsgegevens op grond van een wettelijke verplichting dient een particuliere organisatie immers niet per se een eigen belang, maar wel het algemene belang.
5.6.
Anders dan eiseres heeft bepleit, kan ook aan wat zij heeft geciteerd uit de Memorie van Toelichting bij de UAVG geen argument worden ontleend voor haar uitleg van artikel 55, tweede lid, van de AVG. Daarbij staat voorop dat een toelichting op een nationale wet geen wijziging kan aanbrengen in een dwingende bepaling van een verordening van de EU. Bovendien gaat het in het citaat om een publiekrechtelijk en niet om een particulier orgaan.
5.7.
Als sprake is van een verwerking op grond van artikel 6, eerste lid, aanhef en onder c, van de AVG is in het voorliggende geval dus de AEPD bevoegd. Deze beroepsgrond van eiseres slaagt niet.
Is het Decreto Royal 1070/2017 een wet in de zin van artikel 6, eerste lid, aanhef en onder c, van de AVG?
6.1.
Niet wordt betwist dat de rapportageverplichting waar eiseres in Spanje aan moet voldoen haar grondslag vindt in een Spaans Koninklijk Besluit (Decreto Royal 1070/2017). Het Koninklijk Besluit is ondertekend door de Koning en door de verantwoordelijke minister van staat.
6.2.
Uit de AVG volgt niet dat onder het begrip ‘wettelijke verplichting’ alleen een wet in formele zin dient te worden verstaan. Daarnaast volgt uit artikel 6, derde lid, van de AVG dat de rechtsgrond voor de in artikel 6, eerste lid, aanhef en onder c, van de AVG bedoelde verwerking moet worden vastgesteld bij: a) Unierecht; of b) lidstatelijk recht dat op de verwerkingsverantwoordelijke van toepassing is. In deze zaak is sprake van lidstatelijk recht, eiseres is immers onderworpen aan het Spaanse recht. De Spaanse regelgeving die door eiseres hier ter discussie is gesteld, is dan ook aan te merken als een wettelijke verplichting in de zin van artikel 6, eerste lid, aanhef en onder c, van de AVG.
6.3.
Eiseres wordt niet gevolgd in haar betoog dat uit de UAVG [3] – bij afwezigheid van een Nederlandse wet in formele zin – voor eiseres een verbod voortvloeit om de op grond van de Spaanse belastingwetgeving gevraagde nationale identificatienummers te verzamelen. De AVG is een Europese verordening, die rechtstreekse doorwerking heeft in de nationale rechtsorde van alle lidstaten van de Europese Unie (EU). De AVG dient daarom autonoom te worden uitgelegd, met het oog op uniforme toepassing daarvan in de gehele EU. [4] Het toetsingskader is de AVG en niet de UAVG zoals eiseres stelt. De vrees van eiseres dat een voorafgaande raadpleging door de Spaanse toezichthouder een uitkomst kan hebben die strijdt met de UAVG, is reeds daarom ongegrond.
6.4.
Tot slot merkt de rechtbank op dat voor zover eiseres heeft betoogd dat de Spaanse regelgeving mogelijk in strijd is met de AVG, dat niet kan leiden tot een gegrond beroep. Deze omstandigheid beïnvloedt niet de vraag of verweerder bevoegd is het verzoek om een voorafgaande raadpleging in behandeling te nemen en valt daarmee buiten de omvang van dit geding.
Conclusie
7. Verweerder heeft terecht geoordeeld dat hij niet bevoegd is om het verzoek van eiseres om een voorafgaande raadpleging in behandeling te nemen.
8. Het beroep is ongegrond.
9. Voor een proceskostenveroordeling of vergoeding van het griffierecht bestaat geen aanleiding.
Beslissing
De rechtbank verklaart het beroep ongegrond.
Deze uitspraak is gedaan door mr. R. Hirzalla, voorzitter, mr. M. Greebe en
mr. T.L Fernig-Rocour, leden, in aanwezigheid vanmr. L.N. Linzey, griffier. De uitspraak wordt in het openbaar uitgesproken.
mr. T.L Fernig-Rocour, leden, in aanwezigheid vanmr. L.N. Linzey, griffier. De uitspraak wordt in het openbaar uitgesproken.
griffier
voorzitter
Een afschrift van deze uitspraak is verzonden aan partijen op:
Rechtsmiddel
Tegen deze uitspraak kan binnen zes weken na de dag van verzending daarvan hoger beroep worden ingesteld bij de Afdeling bestuursrechtspraak van de Raad van State.