Algemene bewaarplicht persoonsgegevens voor telecomaanbieders strijdig met Unierecht

Contentverzamelaar

Algemene bewaarplicht persoonsgegevens voor telecomaanbieders strijdig met Unierecht

Nationale regelingen mogen telecomaanbieders geen algemene bewaarplicht van persoonsgegevens opleggen. Gerichte bewaring ter bestrijding van ernstige criminaliteit is wel mogelijk, maar onder strikte voorwaarden en met stevige waarborgen. Dat heeft het EU-Hof bepaald.

Het gaat om het arrest van het EU-Hof van 21 december 2016 in de gevoegde zaken C-203/15 en C-698/15, Tele2 e.a.

Reeds in 2014 verklaarde het Hof in de zaak C-293/12 (Digital Rights Ireland) de zgn. EU-dataretentierichtlijn ongeldig omdat deze richtlijn een bijzonder zware inmenging in de fundamentele rechten in de rechtsorde van de Unie impliceerde en geen duidelijke regels bevatte over deze inmenging. Lees hierover meer in het ECER-bericht: Dataretentierichtlijn ongeldig.

Na dit arrest zijn in Zweden en het Verenigd Koninkrijk procedures gestart tegen nationale regelingen die een algemene bewaarplicht van persoonsgegevens opleggen aan telecomaanbieders. De Zweedse en Britse rechters hebben vervolgens prejudiciële vragen gesteld aan het EU-Hof over de toelaatbaarheid van de Zweedse en Britse regelingen.

Het Hof geeft in het arrest Tele2 van 21 december 2016 aan dat dergelijke nationale regelingen niet toelaatbaar zijn. Het Hof stelt ten eerste vast dat de nationale regelingen in kwestie voorzien in een algemene en ongedifferentieerde bewaring van persoonsgegevens en verplichten tot stelselmatige en voortdurende bewaring van deze gegevens. Met deze gegevens kunnen de bron en de bestemming van de gegevens nauwkeurig worden bepaald. Op basis hiervan kunnen precieze conclusies over het privé leven van personen worden getrokken.

Gezien de ernst van de inmenging in de grondrechten van de betrokkenen die de regelingen meebrengen kan deze inmenging alleen worden gerechtvaardigd door het doel van bestrijding van ernstige criminaliteit. Echter, het bewaren van persoonsgegevens kan niet de regel zijn. Het bewaren van persoonsgegevens moet de uitzondering zijn, en blijven binnen de grenzen van het strikt noodzakelijke, ook wanneer de opslag van gegevens dient ter bestrijding van ernstige criminaliteit. Een nationale regeling die voorziet in algemene en ongedifferentieerde bewaring van gegevens zonder onderscheid te maken naar personen, gegevens of communicatiemiddelen en geen verband vereist tussen de gegevens en de bedreigingen van openbare veiligheid gaat dan ook verder dan het strikt noodzakelijke.

Het Hof wijst er wel op dat het Unierecht zich niet verzet tegen gerichte bewaring van gegevens onder bepaalde voorwaarden. De nationale regeling moet beperkt zijn tot het strikt noodzakelijke, duidelijk en nauwkeurig zijn en voldoende garanties tegen misbruik van de gegevens bevatten. Wat betreft de afbakening van een dergelijke regeling moet deze gebaseerd worden op objectieve elementen waarmee gemikt kan worden op groepen mensen van wie de gegevens zware criminaliteit aan het licht kunnen brengen of waardoor wordt bijgedragen aan bestrijding van ernstige criminaliteit.

De toegang van nationale autoriteiten tot de gegevens mag eveneens niet verder gaan dan het strikt noodzakelijke. Een nationale regeling over de toegang tot de gegevens moet aan de hand van objectieve criteria worden vastgesteld en de voorwaarden en omstandigheden voor toegang tot de gegevens bevatten. Gezien het feit dat de toegang niet verder mag gaan dan het strikt noodzakelijke betekent dit dat voor de bestrijding van ernstige criminaliteit slechts toegang kan worden verleend tot de gegevens van specifieke personen die verdacht worden van betrokkenheid, plannen of plegen van ernstige criminaliteit. Toegang tot de gegevens dient in beginsel te worden voorgelegd aan een onafhankelijke bestuurlijke entiteit of rechterlijke instantie. De personen van wie gegevens worden geraadpleegd dienen hiervan op de hoogte te worden gesteld. Ten slotte dienen de gegevens gezien het risico van onrechtmatige toegang daartoe, op het grondgebied van de Unie te worden bewaard en na afloop van de bewaarperiode te worden vernietigd.

Met deze uitspraak geeft het Hof aan dat een algemene bewaarplicht van persoonsgegevens voor telecomaanbieders strijdig is met het Unierecht. Het houdt de optie van gerichte bewaring ter bestrijding van ernstige criminaliteit onder strikte voorwaarden echter open.

Momenteel is een wetsvoorstel aanhangig bij de Tweede Kamer over de bewaring van telecommunicatiegegevens ter bestrijding van bepaalde misdrijven ( Kamerstukken II 34537). Lees hierover meer in het ECER bericht: Nieuwe waarborgen voor bewaring telecomgegevens.