De Wet bescherming persoonsgegevens (Wbp) bevat regels inzake het toepassingsbereik van de wet. Deze regels zijn vervat in artikel 4, eerste lid, van deze wet, dat luidt:
“Deze wet is van toepassing op de verwerking van persoonsgegevens in het kader van activiteiten van een vestiging van een verantwoordelijke in Nederland”.
De discussie over de toepasselijkheid van de Wbp moet gezien worden tegen het licht van de bewoording van de relevante bepalingen in zowel de EU-privacyrichtlijn als de wet. De gekozen wetteksten laten ruimte voor verschillende interpretatie. In een dergelijk geval dient te worden uitgegaan van die interpretatie die het meeste recht doet aan de bedoeling van de wetgever zoals kenbaar uit de wetsgeschiedenis en de systematiek van de wet.
Het CBP kent grote waarde toe aan de betekenis van de aan de EU-privacyrichtlijn ten grondslag liggende principes, te weten het waarborgen van rechtsbescherming voor burgers en vrij verkeer van goederen. Dat leidt het CBP tot een interpretatie waarbij doorslaggevende betekenis wordt toegekend aan de rol die partijen spelen bij een specifieke verwerking van persoonsgegevens. Beslissend is welke vestiging verantwoordelijk is voor een specifieke verwerking van persoonsgegevens. Daarmee wordt een functionele invulling gegeven aan het toepasselijk recht. Het enkele feit dat er een “vestiging” van de verantwoordelijke in Nederland bestaat, wordt daarbij niet van doorslaggevende betekenis geacht.
Mevrouw drs. M.A.H. Fontein-Bijnsdorp, coördinator internationaal bij het College bescherming persoonsgegevens, schreef voor het blad Computerrecht een artikel over de toepasselijkheid van de Wet bescherming persoonsgegevens.