Eerst even terug naar de basis. In de Wet bescherming persoonsgegevens (Wbp) staat in artikel 4 dat deze wet alleen van toepassing is op de verwerking van persoonsgegevens in het kader van activiteiten van een verantwoordelijke in Nederland. De verantwoordelijke is volgens de Wbp degene die het doel en de middelen voor de verwerking van persoonsgegevens vaststelt.
Casus
Advertentiebedrijf YD Display Advertising Benelux (YD) maakt gebruik van tracking cookies. Tracking cookies zijn computerbestanden waarmee inzicht kan worden verkregen in de online zoekgeschiedenis van websitebezoekers. Door gebruik te maken van tracking cookies kan YD op basis van het surfgedrag van bezoekers gepersonaliseerde advertenties plaatsen. Volgens de Wbp is YD daarbij verplicht om ondubbelzinnige toestemming te vragen aan betrokkenen alvorens de tracking cookies te plaatsen. Omdat YD gedurende een bepaalde periode heeft nagelaten de benodigde toestemming te vragen heeft de Autoriteit Persoonsgegevens een last onder dwangsom opgelegd aan YD voor een bedrag van € 25.000,- per week met als maximum een bedrag van € 500.000,-.
Verplaatsen verantwoordelijke
YD heeft vervolgens de verantwoordelijkheid voor het verwerken van persoonsgegevens naar het Verenigd Koninkrijk verplaatst. Hierdoor zijn op grond van artikel 4 Wbp de Nederlandse privacyregels niet meer van toepassing, waardoor YD de door de Nederlandse Autoriteit Persoonsgegevens opgelegde dwangsom ontloopt.
Strenge privacyregels vermijden
Vooralsnog is het aan bedrijven niet aan te raden om louter vanwege strengere privacyregels in Nederland de verantwoordelijkheid voor de verwerking van persoonsgegevens naar een ander land te verplaatsen. Immers, op korte termijn (2017/2018) zal de Europese Privacyverordening namelijk in werking treden, waarbij de regels op het gebied van privacyhandhaving in Europa zoveel mogelijk worden geharmoniseerd. Dit betekent dat de verschillen in de handhaving van de privacywetgeving tussen Europese landen afnemen. Daarbij zal naar alle waarschijnlijkheid verplaatsing van de verantwoordelijke van verwerking van de persoonsgegevens, zoals in casu YD deed, naar een ander land in Europa geen ontduiking van een sanctie meer opleveren.
Versterking concurrentiepositie
Strenge privacyregels lijken in eerste instantie vooral beperkingen op te leggen aan bedrijven. Echter, privacy kan voor veel bedrijven juist een middel zijn om zich te onderscheiden van concurrenten. Zo kan de toename van privacy-awareness bij klanten ervoor kunnen zorgen dat bedrijven die voldoen aan strenge privacyregels een betere positie verkrijgen in de markt ten opzichte van de internationale concurrentie.
Conclusie
Het verplaatsen van de verantwoordelijke voor de verwerking van persoonsgegeven vanuit Nederland naar aan land waarin de privacyregels minder streng zijn, kan voor bedrijven een middel zijn om op korte termijn het risico op een dwangsom van de Autoriteit Persoonsgegevens te beperken. Op lange termijn zal een dergelijke verhuizing van bedrijven minder zinvol zijn, omdat dankzij de aankomende Privacyverordening de privacyregels in Europa worden geharmoniseerd.
Indien u vragen en/of opmerkingen heeft over de Wet bescherming persoonsgegevens, privacy of de Europese Privacyverordening kunt u contact opnemen met Team Privacy van JPR Advocaten.
Yaşar Bayram
Eva Lammers
Joke Schraagen