EU rechter blokkeert doorgifte persoonsgegevens naar VS via ‘Safe Harbor’ regeling

Het Europese Hof van Justitie (HvJEU) heeft in zijn arrest van 6 oktober 2015 (C-362/14) een baanbrekende uitspraak gedaan. Met zijn uitspraak blokkeert het vooralsnog de doorgifte van persoonsgegevens naar VS ondernemingen die de zgn ‘Safe Harbor principes’ hebben aanvaard. Veel online diensten maken daar thans gebruik van.

Ongeldigverklaring ‘Safe Harbor beschikking’ EU Commissie

Het Hof verklaart namelijk de ‘Safe Harbor beschikking’ van de EU Commissie (2000/520) ongeldig. De achtergrond van die beschikking is het volgende. Volgens de EU-privacy regels is doorgifte van persoonsgegevens van EU burgers naar landen buiten de EU niet toegestaan, tenzij in dat land voldoende gewaarborgd is dat een passend beschermingsniveau voor die persoonsgegevens wordt geboden. In bedoelde beschikking staat dat in geval van doorgifte van persoonsgegevens naar VS bedrijven die de ‘Safe Harbor principes’ hebben aanvaard er een passend beschermingsniveau voor die gegevens is, althans in de ogen van de EU Commissie.
Door de ongeldigverklaring van de beschikking geldt dus dat doorgifte aan VS ondernemingen niet toegestaan is, tenzij op een andere manier de bescherming van privacy voldoende is gewaarborgd.

Klacht tegen doorgifte gegevens door Facebook Ierland naar Facebook USA

De aanleiding voor deze uitspraak is de volgende zaak. Maximilian Scherms, een Oostenrijker, heeft een klacht ingediend bij de Ierse privacy toezichthouder over de doorgifte van door hem op zijn facebook-account geplaatste persoonsgegevens door Facebook Ierland naar de servers van Facebook in de VS.

De klacht is gebaseerd op de onthullingen van Snowden over het opeisen bij VS bedrijven en het vervolgens ongebreideld doorzoeken van persoonsgegevens van EU burgers door de Amerikaanse veiligheidsdienst (NSA). Volgens Scherms blijkt daaruit dat de bescherming van zijn gegevens volgens EU-normen onvoldoende gewaarborgd is als deze gegevens worden doorgegeven aan een VS onderneming.

Der Ierse privacy toezichthouder wijst de klacht af met verwijzing naar de ‘Safe Harbor beschikking’ van de EU Commissie en dat Facebook de ‘Safe Harbor principes’ heeft aanvaard.

Schrems gaat hiertegen in beroep bij de Ierse High Court. Die stelt vervolgens prejudiciële vragen aan het HvJEU, met name in hoeverre de ‘Safe Harbor beschikking’ de bevoegdheden van de nationale privacy toezichthouders beperkt om zelf te onderzoeken of een derde land (de VS) een passend beschermingsniveau biedt voor daarheen doorgegeven persoonsgegevens van EU burgers.

Hoe komt het Hof tot de ongeldigverklaring?

In zijn antwoord neemt het Hof mee een beoordeling van de geldigheid van de ‘Safe Harbor beschikking’ van de EU Commissie. Zolang de beschikking niet ongeldig is verklaard zijn de toezichthouders immers daar aan gebonden. De ongeldigverklaring en de daaraan ten grondslag gelegde motivering leveren het baanbrekende karakter van de uitspraak op.

Zoals reeds gezegd stelt het EU privacy recht als eis dat bij doorgifte persoonsgegevens naar een land buiten de EU dat derde land een ‘passend beschermingsniveau’ voor die gegevens moet beiden. Ontbreekt dat dan is doorgifte naar dat land niet toegestaan.

Het Hof overweegt eerst dat de uitdrukking ‘passend beschermingsniveau’ van het EU privacy recht zo moet worden opgevat “dat die vereist dat het derde land, op grond van zijn nationale wetgeving of zijn internationale verbintenissen, een niveau van bescherming van de grondrechten en de fundamentele vrijheden biedt dat in grote lijnen overeenkomt met het niveau dat binnen de Unie wordt gewaarborgd op grond van richtlijn 95/46, gelezen in samenhang met het Handvest”.

Het Hof benadrukt dat het dus moet gaan om een beschermingsniveau dat wordt geboden door de nationale rechtsorde van dat derde land waarheen de persoonsgegevens worden doorgegeven. Gekeken moet worden zowel naar de wetgeving als naar de praktijk van naleving van rechtsregels in dat land. Volgens het Hof moet dit niet eenmalig maar periodiek worden beoordeeld.

Vervolgens stelt het Hof vast dat de ‘Safe Harbor beginselen’ op basis van een systeem van zelf regulering alleen gelden voor de VS ondernemingen die deze beginselen aanvaarden, dus niet voor de overheidsinstanties van de VS.

Het Hof constateert dat de EU Commissie bij de vaststelling van de ‘Safe Harbor beschikking’ niet heeft onderzocht of de nationale wetgeving en de praktijk van naleving daarvan in de VS waarborgen voor een passend beschermingsniveau bieden. Bovendien staat er in de beschikking dat de ‘Safe Harbor principes’ moeten wijken voor verplichtingen van de VS ondernemingen op grond van wetgeving van de VS indien daar tegenstrijdigheden in bestaan. Hierdoor is het volgens het Hof dus mogelijk dat op grond van wetgeving in de VS of eisen van nationale veiligheid of algemeen belang de grondrechten van EU burgers inzake privacy worden aangetast in relatie tot hun persoonsgegevens die aan VS ondernemingen zijn doorgegeven.

Dat hiervan ook geen sprake is blijkt bovendien uit mededelingen van de EU Commissie waarin is vastgesteld “dat de Amerikaanse autoriteiten zich toegang konden verschaffen tot de vanuit de lidstaten doorgegeven persoonsgegevens en deze konden verwerken op een wijze die met name onverenigbaar is met de doelstellingen waarvoor zij werden doorgegeven en verder ging dan strikt noodzakelijk was voor en evenredig was aan de bescherming van de nationale veiligheid. Ook heeft de Commissie vastgesteld dat er voor de betrokkenen geen administratieve of gerechtelijke beroepsmogelijkheden waren om toegang tot de hen betreffende gegevens te verkrijgen of om deze in voorkomend geval te doen rectificeren of wissen”.

Deze situatie in de VS is een aantasting van het grondrecht privacy voor EU burgers wier gegevens aan een VS onderneming zijn doorgegeven. Zodoende komt het Hof tot de conclusie dat de beschikking van de Commissie daarmee in strijd is en dus ongeldig moet worden verklaard.

Bevoegdheden nationale privacy toezichthouders

Ten aanzien van de bevoegdheden van de toezichthouders overweegt het Hof het volgende. In de ‘Safe Harbor’ beschikking van de Commissie staat dat de nationale toezichthouders van de EU lidstaten niet mogen toetsen of daarmee wel voldaan wordt aan het EU privacy recht en eventueel maatregelen te nemen om alsnog naleving af te dwingen. De Commissie heeft echter die bevoegdheid tot beperking van bevoegdheden van de toezichthouders niet, aldus het Hof. Dat is ook een reden om de beschikking van de Commissie ongeldig te verklaren.

Wat gaat er nu gebeuren?

De Ierse privacy toezichthouder zal nu alsnog moeten onderzoeken of de doorgifte van persoonsgegevens van EU Facebook abonnees naar de VS voldoende waarborgen biedt voor een passend niveau van bescherming van die persoonsgegevens aldaar. Concludeert de toezichthouder op basis van dat onderzoek dat dit niet het geval is dan zal hij de doorgifte van die gegevens moeten opschorten. Gezien de analyse van de situatie in Amerika door het Hof valt te verwachten dat die opschorting er ook gaat komen.

Over de betekenis en de gevolgen van deze uitspraak is veel meer nog te zeggen. In nadere berichten op deze pagina zullen wij daar nog op ingaan.