Gegevens Europese internetgebruikers mogen niet zomaar naar VS

Geschreven door: Redactie op

Gegevens van Europese internetgebruikers kunnen niet zomaar worden opgeslagen in de Verenigde Staten, zo bepaalde het Europese Hof van Justitie. Internetgiganten als Facebook, Amazon, Microsoft, Apple en Google herbergen hun gegevens veelal in de Amerikaanse ‘cloud’. Zij hadden toestemming om gegevens op te slaan in de VS, maar het Hof vindt dat de Amerikanen deze gegevens niet genoeg beschermen. De rechters zetten daarmee een streep door een besluit van de Europese Commissie waarmee de VS in 2000 werd aangemerkt als ‘safe harbor’ voor Europese data.

Maximillian Schrems, een Oostenrijker, maakt sinds 2008 gebruik van Facebook. Zoals bij alle abonnees die in de Unie wonen, worden de gegevens die Schrems op Facebook aanlevert vanuit de Ierse dochteronderneming van Facebook geheel of gedeeltelijk doorgegeven aan servers die zich op het grondgebied van de Verenigde Staten bevinden, waar zij worden verwerkt. Schrems heeft bij de Ierse toezichthouder een klacht ingediend, omdat uit de onthullingen van Edward Snowden over de activiteiten van de inlichtingendiensten van de Verenigde Staten (met name de National Security Agency) is gebleken dat het recht en de praktijk in de Verenigde Staten onvoldoende bescherming tegen surveillance van de naar dat land doorgegeven gegevens door overheidsinstanties biedt. De Ierse autoriteit heeft de klacht afgewezen, met name op grond dat de Commissie in haar beschikking van 26 juli 20002 tot het oordeel was gekomen dat de Verenigde Staten in het kader van de zogenoemde regeling van de ‘safe harbors’ waarborgen voor een passend niveau van bescherming van de doorgegeven gegevens bieden.

De High Court of Ireland waarbij de zaak aanhangig werd gemaakt, wilde middels prejudiciële vragen vernemen of deze beschikking van de Commissie tot gevolg had dat een
nationale toezichthouder een klacht dat een derde land geen waarborgen voor een passend beschermingsniveau bood, niet mocht onderzoeken en ook niet, voor zover nodig, de
opschorting van de omstreden gegevensdoorgifte mocht gelasten.


Arrest

Het EU-Hof stelt in zijn arrest van 6 oktober 2015 dat op basis van de Richtlijn bescherming persoonsgegevens de doorgifte van persoonsgegevens vanuit de EU naar een derde land slechts mag plaatsvinden wanneer dat derde land waarborgen voor een ‘passend beschermingsniveau’ biedt. De Commissie kan op grond van de richtlijn een beschikking vaststellen waarbij zij constateert dat een derde land waarborgen voor een passend beschermingsniveau biedt. De lidstaten kunnen deze beschikking niet negeren. De beschikking mag de bevoegdheden waarover de nationale toezichthoudende autoriteiten volgens het Handvest en de richtlijn beschikken echter niet teniet doen of beperken, zo oordeelt het Hof.


Passend beschermingsniveau

De uitdrukking ‘passend beschermingsniveau’ in de zin van de EU-richtlijn bescherming persoonsgegevens moet volgens het EU-Hof zo worden opgevat dat die vereist dat het derde land, op grond van zijn nationale wetgeving of zijn internationale verbintenissen, een niveau van bescherming van de grondrechten en de fundamentele vrijheden biedt dat in grote lijnen overeenkomt met het niveau dat binnen de Unie wordt gewaarborgd op grond van de richtlijn, gelezen in samenhang met het Handvest.

De Commissie is bij het onderzoek van het door een derde land geboden beschermingsniveau verplicht om zowel de inhoud van de in dat land toepasselijke regels, als de handhavingspraktijk te beoordelen.

De beoordelingsbevoegdheid van de Commissie over de gepastheid van het door een derde land geboden beschermingsniveau is volgens het EU-Hof beperkt.


Ongeldige beschikking

Het Hof onderzoekt vervolgens of de beschikking van de Commissie dat de Amerikaanse safe harbor beginselen een passend beschermingsniveau zouden bieden, geldig is.
De beschikking bevat geen toereikende vaststellingen over de maatregelen waarmee de VS, op grond van hun nationale wetgeving of hun internationale verbintenissen, waarborgen voor een passend beschermingsniveau bieden. Bovendien staat de beschikking toe dat de veiligehavenbeginselen voorrang geven aan ‘de eisen van de nationale veiligheid, het algemeen belang en [de] rechtshandhaving’ van de Verenigde Staten boven deze safe harbor beginselen. Gelet op de algemene aard van deze afwijking, maakt deze het mogelijk dat een inmenging plaatsvindt in de grondrechten van de personen van wie de persoonsgegevens vanuit de Unie naar de Verenigde Staten zijn of zouden kunnen worden doorgegeven.

Het EU-Hof merkt op dat de beschikking niets vaststelt over de vraag of er in de VS overheidsregels bestaan ter beperking van dergelijke inmengingen in de grondrechten. Ook vermeldt de beschikking niets over de vraag of er effectieve rechtsbescherming tegen dat soort inmengingen bestaat.

Voorts wijst het EU-Hof op zijn eerdere rechtspraak in het arrest Digital Rights Ireland. Daarin overwoog het EU-Hof dat uitzonderingen op het recht op bescherming van het privéleven beperkt moeten blijven tot het strikt noodzakelijke. Een regeling die algemeen toestaat dat alle persoonsgegevens van alle personen van wie de gegevens vanuit de Unie naar de Verenigde Staten worden doorgegeven, worden bewaard, zonder dat enig onderscheid wordt gemaakt, enige beperking wordt gesteld of enige uitzondering wordt gemaakt op basis van het nagestreefde doel en zonder dat wordt voorzien in objectieve criteria ter begrenzing van de toegang van de bevoegde nationale autoriteiten tot de gegevens en het latere gebruik ervan, is niet beperkt tot het strikt noodzakelijke en schendt daarmee het EU-grondrecht op privacy. Het Hof voegt daaraan toe dat een regeling op grond waarvan de autoriteiten veralgemeend toegang kunnen krijgen tot de inhoud van elektronische communicatie, moet worden beschouwd als een aantasting van de wezenlijke inhoud van het grondrecht op eerbiediging van het privéleven.
Het EU-Hof concludeert daarom dat de beschikking niet geldig is.

Hieruit volgt dat nationale toezichthouders bezwaren van EU-onderdanen tegen de doorgifte van gegevens aan de VS zelf moeten onderzoeken. Daarbij kan de toezichthoudende autoriteit ervan uit gaan dat de beschikking niet bestaat en ook nooit heeft bestaan.


Gevolgen

Dit arrest heeft tot gevolg dat de Ierse toezichthouder verplicht is om de klacht van Schrems met de nodige voortvarendheid en zorgvuldigheid te onderzoeken en dat het aan de toezichthouder is om aan het einde van zijn onderzoek te beslissen of de doorgifte van de gegevens van de Europese abonnees van Facebook naar de Verenigde Staten moet worden opgeschort omdat dit land geen waarborgen voor een passend niveau van bescherming van persoonsgegevens biedt.  

HvJ EU, 6 oktober 2015, zaak  C-362/14, Schrems

Naam auteur: Redactie
Geschreven op: 20 oktober 2015

Reageer op dit artikel
















Even geduld a.u.b.

Agenda

Afbeelding

Ontmoet vakgenoten en bespreek actuele onderwerpen in de LinkedIn-groep van het Nederlands Juristenblad.

 

 



Lees en doorzoek het NJB online in Navigator

Inloggen

U maakt gebruik van een verouderde browser

Het gebruik van een verouderde browser maakt uw computer onveilig en tevens ongeschikt voor het optimaal raadplegen van deze website.

De website van het NJB - Nederlands Juristenblad is namelijk geoptimaliseerd voor een nieuwere versie van uw browser.
In de meeste gevallen waarin het fout gaat, betreft dit het gebruik van de Internet Explorer browserversie 7 of 8.
Deze website is geoptimaliseerd voor Internet Explorer 9 en hoger, Google Chrome, Safari en Firefox.

Bekijk hier of er een nieuwere versie van uw browser beschikbaar is.