Het Hof van Justitie heeft in de Schrems-II beslissing niet alleen het Privacyshield ongeldig verklaard, maar ook overigens de lat voor internationale doorgifte van persoonsgegevens hoog gelegd. Het zal in de praktijk niet altijd eenvoudig zijn hier goed mee om te gaan. In deze blog geef ik een samenvatting van het arrest en wat eerste overdenkingen.
Klacht over doorgifte persoonsgegevens naar buiten EU
De kwestie voor het Hof heeft een lange geschiedenis. De kwestie is niettemin vrij eenvoudig samen te vatten.
Het EU-privacyrecht verbiedt - grofweg samengevat - de doorgifte van persoonsgegevens naar buiten de EU zonder passende waarborgen. De Oostenrijker Schrems is het niet eens met doorgifte van persoonsgegevens van de Ierse vestiging van Facebook naar de Facebook-vestiging in de USA. Hij dient daarop in 2013 een klacht in bij de Ierse toezichthouder en verzoekt daarbij handhavend op te treden.
Schrems I: VS geen veilige privacyhaven
Naar aanleiding van de klacht van Schrems ontspint zich een procedure in Ierse rechtbanken. Deze leidde er uiteindelijk toe dat een Ierse rechter zich genoodzaakt zag vragen te stelen over het toenmalige ‘Safe Harbor’ regime voor doorgifte van persoonsgegevens aan de USA. Het gevolg van die vragen was dat het Hof van Justitie de Safe Harbor regeling ongeldig verklaarde.
Die ongeldigverklaring gaf destijds veel commotie en onrust. Uiteindelijk is, na lang onderhandelen tussen de VS en de EU, het Privacy Shield opgezet als alternatief regime. Over die onderhandelingen e.d. verwijs ik graag naar eerdere blogs.
Discussie over o.a. modelcontracten
Nadat Safe Harbor ongeldig was verklaard, kwam de zaak terug bij de Ierse rechter.
Voor de Ierse rechter betoogde Facebook dat het ondertussen een andere oplossing had gerealiseerd voor de internationale doorgifte, namelijk via het gebruik van modelcontracten (ook wel standard contractual clauses genoemd).
Schrems betoogde bij de Ierse rechter dat die modelcontracten ook geen afdoende bescherming bieden. Die modelcontracten doen immers niets af aan de indringende surveillanceprogramma’s die in de Amerikaanse wet zijn verankerd.
Daarop besluit de Ierse rechter andermaal vragen te stellen aan het Hof van Justitie. De Ierse rechter vroeg daarbij niet alleen hoe om te gaan met modelcontracten, maar met internationale doorgifte van persoonsgegevens in het algemeen. Ook het in de tussentijd gerealiseerde Privacy Shield werd door de Ierse rechter aan het EU-hof voorgelegd.
Hof van Justitie over doorgifte in het algemeen
Het Hof benadrukt in het arrest dat voor internationale doorgifte van persoonsgegevens in de kern aan twee vereisten moet worden voldaan:
- passende waarborgen; en
- afdwingbare rechten en doeltreffende rechtsmiddelen.
Deze eisen gelden altijd, ongeacht het middel dat wordt gekozen voor internationale doorgifte.
De passende waarborgen moeten ervoor zorgen dat de betrokkenen “een beschermingsniveau genieten dat in grote lijnen overeenkomt met het binnen de Unie gewaarborgde beschermingsniveau”. Het gaat hierbij om het beschermingsniveau dat het EU-handvest biedt, niet dat van nationale wetgeving van de lidstaten.
Er moet verder zowel worden gekeken naar de afspraken tussen de partijen die gegevens doorgeven, als het rechtsstelsel van het land van bestemming.
Hof: oordeel over adequaatheid land is bindend
Het Hof oordeelt dat een oordeel van de Europese Commissie dat een bepaald land een adequaat beschermingsniveau biedt bindend is voor iedereen, inclusief de toezichthouders, totdat het door het Hof van Justitie ongeldig is verklaard.
Het overzicht van landen waarvoor de Europese Commissie heeft vastgesteld dat sprake is van een passend beschermingsniveau is overigens te vinden op de website van de Europese Commissie.
Hof: modelcontracten kunnen afdoende zijn
Het Hof oordeelt verder dat modelcontracten afdoende kunnen zijn, maar dat er ook situaties zullen zijn waarin dat niet zo is. Dat is met name zo wanneer overheidsinstanties kunnen ingrijpen in de rechten van betrokkenen.
De modelcontracten zelf zijn niet als zodanig ongeldig volgens het Hof. Het zijn immers abstracte, generieke contracten die onder omstandigheden best afdoende kunnen zijn. Dat geldt temeer nu de contracten zelf allerlei waarborgen bevatten, zoals de verplichting het privacyrecht na te leven en de verplichting elkaar te informeren indien die naleving niet langer gewaarborgd is.
Hof: toezichthouders moeten actief toezien
Toezichthouders moeten volgens het Hof “zich met de nodige voortvarendheid en zorgvuldigheid te kwijten van haar taak om toe te zien op de volledige naleving van de AVG” en zo nodig de doorgifte opschorten of verbieden indien deze niet in overeenstemming is met de AVG.
Ook moeten toezichthouders eventuele twijfel over de juistheid van een adequaatheidsbesluit voorleggen aan het Hof.
Schrems II: VS bieden ook geen (afdoende) schild tegen privacy
Het Hof toetst ook de geldigheid van het Privacyshield. De Ierse rechter had weliswaar niet naar die geldigheid gevraagd, maar het Hof benadrukt dat juist omdat de Ierse rechter van de geldigheid moet omgaan totdat het Hof anders oordeelt, het Hof logischerwijs nu zelf wel moet kijken of dat Privacyshield geldig is.
Het Hof toetst hierbij meerdere vragen:
- Wordt het grondrecht op privacy gewaarborgd?
- Wordt het grondrecht op toegang tot de rechter gewaarborgd?
Het Hof benadrukt dat het verwerken van persoonsgegevens valt onder twee grondrechten: artikel 7 (eerbiediging privéleven) en artikel 8 (bescherming persoonsgegevens) van het Handvest van de EU. Iedere mededeling van persoonsgegevens aan een derde partij is een inmenging in die grondrechten en moet (dus) voldoen aan de noodzakelijkheids- en proportionaliteitscriteria uit het Handvest.
Het Hof stelt vervolgens vast dat de Amerikaanse surveillanceprogramma’s in feite geen enkele beperkingen noch waarborgen bevatten voor de verwerking van persoonsgegevens van niet-Amerikanen. Daarmee voldoen die programma’s niet aan de EU-normen. En hoewel bepaalde inlichtingendiensten wel aan kaders van een Amerikaans besluit tot instelling van een ombudsman gebonden zijn, kunnen EU-burgers aan die regeling geen voor een Amerikaanse rechtbank afdwingbare rechten ontlenen. Ook wordt er veel te grofmazig (in bulk) aan gegevensverzameling gedaan, zonder enige kadering.
Voor de tweede vraag benadrukt het Hof dat effectieve rechterlijke toetsing een in de EU erkend grondrecht is. In de AVG ligt ook vast dat de Europese Commissie bij het beoordelen van een land moet kijken naar die rechterlijke toetsing.
Het Hof stelt andermaal vast (zie ook hiervoor) dat EU-rechters helemaal niet naar een Amerikaanse rechter kunnen. De onder het Privacyshield ingestelde ombudsman volstaat ook niet als alternatief, nu deze functionaris niet onafhankelijk en onpartijdig is. De ombudsman rapporteert aan de minister van Buitenlandse Zaken en geniet geen ontslagbescherming. Bovendien kan de ombudsman niet ingrijpen bij de veiligheidsdiensten.
Het privacyshield is dus ongeldig.
Commentaar
De beslissing van het Hof is van groot belang voor iedereen die te maken heeft met de internationale doorgifte van persoonsgegevens. In een tijd waar massaal gebruik wordt gemaakt van diensten van één van de internetgiganten (“Big Tech”), cloud computing en smart devices, is dat bijna iedereen. Het embedden van een YouTube-filmpje op een website is immers al voldoende.
Na de beslissing van het Hof kan er onderscheid worden gemaakt in verschillende soorten landen:
- EU-landen;
- Landen buiten de EU die door de EC als veilig zijn aangemerkt;
- Andere landen dan 1 en 2 waarbij modelcontracten niettemin volstaan;
- Andere landen dan 3 waarbij naast modelcontracten aanvullende waarborgen vereist zijn;
- Andere landen dan 4.
1. EU-landen
2. Veilige landen
3. Modelcontracten voldoende
4. Modelcontracten+
5. Andere landen
Je zou kunnen zeggen dat er een soort glijdende schaal is (als in het schema).
In de praktijk zal het heel ingewikkeld zijn om te beoordelen hoe om te gaan met de landen in categorie 3-5.
In feite zegt het Hof dat bij de export van persoonsgegeven naar het buitenland een net zo kritische toets moet worden uitgevoerd als de Europese Commissie doet bij het toetsen van een land. Ga er maar aan staan als individuele partij. De Europese Commissie doet hier vaak zeer lang over en heeft daarvoor vele ambtenaren tot zijn beschikking. Dat is voor individuele partijen welhaast niet te doen.
Ook het verschil tussen een land uit categorie 3 en uit categorie 4 is erg moeilijk te bepalen. Wanneer volstaan immers de modelcontracten en wanneer moeten er daar bovenop aanvullende maatregelen worden getroffen? Het verschil daartussen wordt kennelijk met name bepaald door de mate waarin de lokale autoriteiten kunnen ingrijpen. Dat bepaalt echter tevens in belangrijke mate of een land in categorie 5 valt. Het arrest van het het Hof biedt hiertoe toch nog weinig kader.
Sterker nog, zelfs de export naar een als veilig land aangemerkt land is niet 100% veilig. Dat besluit van de EC kan immers altijd nog door het Hof ongedaan worden gemaakt. Precies zoals nu met het Privacyshield is gebeurd.
Het niveau van de VS is in ieder geval duidelijk onvoldoende. Tegelijkertijd kan ik alleen maar droogjes constateren dat het marktaandeel van Big Tech uit de VS in Nederland of de EU zo groot is, dat het weinig reëel lijkt om daar handhavend tegen op te treden. Het zou althans willekeur zijn om een de houder van een willekeurige Facebook-pagina nu te gaan beboeten en de overige honderdduizenden pagina's ongemoeid te laten, om een voorbeeld te noemen. Zeker wanneer je bedenkt dat in Nederland volgens het CBS tot wel 96% van de bedrijven sociale media gebruikt.
De opdracht van het Hof aan de Autoriteit Persoonsgegevens, en de Europese zusterorganisaties, om handhavend op te treden lijkt in zoverre bijna politiek gekleurd. Het is mij onduidelijk wat het Hof hier nu precies mee beoogt te bereiken en ook welke juridische consequenties het niet opvolgen van de opdracht zou hebben. Het zou immers nogal paradoxaal zijn als toezichthouders straks wegens stilzitten niet-ontvankelijk worden verklaard. We gaan zien hoe dit zich ontwikkelt.
Het laatste woord is dan ook nog lang niet over deze uitspraak gezegd. Ik verwacht dat, vermoedelijk na het zomerreces, de politieke discussie hierover wel weer eens opnieuw op gang zou kunnen komen. Zeker bij politici die het wel eens over iets anders dan corona willen hebben. De oplossing is echter ingewikkeld: ik zie immers noch de VS inbinden op surveillance, noch de EU inbinden op privacybescherming. De politieke oplossing is wellicht om dan maar tijd te kopen door wederom een constructie op te zetten. Geen veilige haven of schild dit keer, maar nu wellicht een privacy shelter?
In de tussentijd doen partijen die gebruikmaken van diensten waarbij persoonsgegevens internationaal worden uitgewisseld er goed aan opnieuw te evalueren of wellicht aanvullende maatregelen vereist zijn. Er is immers in de tussentijd de serieuze kans dat ofwel een betrokkene (een "Nederlandse Schrems") ofwel de toezichthouder bij u op de deur klopt. Heeft u dan een passend antwoord paraat? Neem hierover gerust contact met mij op. U vindt mijn gegevens op mijn profielpagina.
