Van Kaam advocaten

K
K
 

IE, media- en privacyrecht zijn constant in beweging. De grenzen worden dagelijks getart. Wat mag net wel, wat mag net niet. Hierin ligt de kern van ons werk. Werk wat ons blijft uitdagen en inspireren.

filter op categorie:

Europese Safe Harbour beschikking ongeldig

13334048894_001d3e53d1_z.jpg

Het Hof van Justitie van de Europese Unie (''HvJ EU'') heeft een belangrijk arrest gewezen in een zaak over het doorgeven en opslaan van Europese persoonsgegevens in de Verenigde Staten. Het hof heeft bepaald dat de Europese 'Safe Harbour' beschikking onvoldoende waarborgen biedt voor een passend beschermingsniveau van persoonsgegevens. Op grond van deze beschikking kregen ondernemingen als Google, Facebook, Microsoft, Apple, Amazon en Twitter toestemming om gegevens van Europeanen in de VS op te slaan. In totaal geven ruim 5000 bedrijven persoonsgegevens door op grond van de Safe Harbour regels.

 

Achtergrond: Schrems vs. Facebook
Het arrest is de eindbeslissing in een procedure tussen de Oostenrijkse student Maximillian Schrems en Facebook. Alle Facebook-abonnees woonachtig in Europa moeten bij hun inschrijving een overeenkomst sluiten met Facebook Ireland, een dochtermaatschappij van het in de VS gevestigde Facebook Inc. De gegevens die door gebruikers op Facebook worden geplaatst worden vanuit Ierland geheel of gedeeltelijk doorgegeven naar en bewaard op servers van Facebook in de VS, waar de gegevens worden verwerkt. Schrems diende hierover een klacht in bij de Ierse privacytoezichthouder (de Data Protection Commissioner). Volgens hem bieden het geldende recht en de praktijk van de VS omtrent databescherming onvoldoende bescherming tegen surveillance van de naar dat land doorgegeven gegevens door overheidsinstanties. In dat verband verwijst hij naar de onthullingen van Edward Snowden in 2013 over de activiteiten van de Amerikaanse inlichtingendiensten en in het bijzonder de National Security Agency (''NSA'').

 

De Ierse toezichthouder wees de klacht van Schrems af onder verwijzing naar een beschikking van de Europese Commissie uit 2000 (de zogenoemde Safe Harbour beschikking) waarin is bepaald dat de VS in het kader van haar Safe Harbour regels een passend niveau van bescherming van de doorgegeven persoonsgegevens biedt. Scherms stapte hierop naar het Ierse Hooggerechtshof, die de kwestie vervolgens doorverwees naar het Europese hof.

Wettelijke kader
Bescherming van persoonsgegevens is niet internationaal geregeld; ieder land hanteert in beginsel zijn eigen privacywetgeving. In de Europese Unie zijn deze regels geharmoniseerd, wat betekent dat het niveau van gegevensbescherming in de gehele EU gelijk is. Voor doorgifte en/of het verwerken van persoonsgegevens vanuit de EU naar landen buiten de EU gelden echter aparte regels.

 

De Europese privacyrichtlijn bepaalt dat persoonsgegevens in beginsel alleen naar een land buiten de EU mogen worden doorgegeven, wanneer dat land waarborgen voor een passend niveau van bescherming van die gegevens biedt. Dat komt in de praktijk neer op een niveau dat in grote lijnen overeenkomt met het niveau dat binnen de EU wordt gewaarborgd. De Europese Commissie heeft de bevoegdheid om aan te geven of het desbetreffende land een dergelijk passend beschermingsniveau biedt. In dat geval dienen de EU-lidstaten doorgifte van EU-persoonsgegevens naar dat land toe te staan.

 

Daarnaast bepaalt diezelfde richtlijn dat elke lidstaat een of meer autoriteiten dient aan te wijzen die worden belast met het toezicht op de toepassing op zijn grondgebied van de nationale bepalingen ter uitvoering van de richtlijn. In Nederland is dit het College Bescherming Persoonsgegevens (''CBP'').

 

Vijftien jaar geleden werd in het kader van voornoemde regelgeving met de VS afgesproken dat Amerikaanse bedrijven gegevens van EU-burgers konden verkrijgen als zij beloofden dat ze net zo met de gegevens zouden omgaan als een bedrijf binnen de EU. Dit resulteerde in de Safe Harbour beschikking.

 

Uitspraak Hof van Justitie EU
Het hof heeft nu geoordeeld dat het bestaan van een dergelijke afspraak de bevoegdheden van de nationale toezichthouders niet teniet kan doen of beperken. Naar aanleiding van een klacht over de verwerking van persoonsgegevens door een derde land zijn nationale toezichthouders verplicht om in volledige onafhankelijkheid te onderzoeken of de doorgifte van de gegevens naar landen buiten de EU in overeenstemming is met de vereisten van de Privacyrichtlijn.

 

Het hof is van oordeel dat gegevens van Europeanen in Amerika onvoldoende beschermd zijn omdat bedrijven in Amerika onder bepaalde omstandigheden verplicht zijn de databeschermingswetgeving te negeren. De onthullingen van Snowden over de praktijken van de NSA hebben aangetoond dat Amerikaanse autoriteiten niet hoeven te voldoen aan deze regels en algehele toegang hebben tot de inhoud van elektronische communicatie. Het hof benadrukt daarom uitdrukkelijk dat de Amerikaanse Safe Harbour bepalingen geen effectieve rechtsbescherming bieden. Het hanteren van deze bepalingen voor de doorgifte van Europese persoonsgegevens is een aantasting van de wezenlijke inhoud van het grondrecht op eerbiediging van het privéleven van Europeanen en hun grondrecht op effectieve rechtsbescherming. De Safe Harbour beschikking van de Commissie wordt daarom ongeldig verklaard.

 

De Ierse toezichthouder zal de klacht van Schrems nu moeten onderzoeken en beslissen of bij de doorgifte van gegevens van Europese abonnees van Facebook naar de VS een passend beschermingsniveau wordt geboden. Gezien de overwegingen van het Europese Hof is het waarschijnlijk dat de uitkomst ontkennend zal luiden. In dat geval zal de doorgifte van persoonsgegevens naar de VS door Facebook moeten worden opgeschort. De soep wordt echter niet zo heet gegeten als hij wordt opgediend: de doorgifte dient in dat geval alleen te worden stopgezet voor zover deze gebaseerd is op de bepalingen uit de Safe Harbour beschikking.

 

Belangrijk signaal
Het arrest is een belangrijk signaal in de richting van de Europese Commissie. Het is immers het derde baanbrekende arrest van het Hof in het kader van privacybescherming in korte tijd. In dit verband kan worden gewezen op het arrest Google Spain/Costeja over het 'recht om vergeten te worden' en het arrest Digital Right Ireland e.a./Seitlinger over de buitenwerkingstelling van de richtlijn over de bewaarplicht van klantgegevens van telecomaanbieders voor politie en justitie. Bij al deze arresten valt op dat het Europese Hof voorrang lijkt te geven aan de bescherming van persoonsgegevens.

 

Eurocommissaris Frans Timmermans heeft aangegeven dat het dataverkeer tussen de EU en de VS voorlopig gewoon door kan blijven gaan. Volgens hem zijn er andere constructies binnen de Europese wetgeving die het uitwisselen van data mogelijk maakt.

 

Het arrest heeft dus niet direct tot gevolg dat al het dataverkeer naar de VS moet worden stopgezet. Wel is de belangrijkste grondslag hiervoor – de Safe Harbour beschikking - komen te vervallen. Wanneer men gegevens wenst door te geven en/of op te slaan in de VS – bijvoorbeeld in de cloud van een Amerikaans bedrijf – zal hiervoor dus in principe een andere juridische grondslag gevonden moeten worden. Gedacht kan worden aan de expliciet verleende toestemming van gebruikers of het hanteren van de zogenoemde EU Model Clauses. Dit zijn modelcontracten tussen toezichthouders zoals het CBP en ondernemingen waarbij ondernemingen verplicht worden tot het bieden van een passend beschermingsniveau. Wanneer een dergelijk contract ongewijzigd wordt ondertekend kan dit een grondslag vormen voor doorgifte van gegevens naar landen buiten de EU, zoals de VS.

 

De praktijk zal moeten uitkristalliseren wat de meest effectieve juridische grondslag is voor dataverkeer naar landen buiten de EU, met name de VS.