C-311/18 Facebook Ireland

Prejudiciële hofzaak

Zie bijlage rechts voor de verwijzingsuitspraak, en klik hier voor het dossier van het Hof van Justitie (voor zover beschikbaar).

Termijnen: Motivering departement:    5 juli 2018
Schriftelijke opmerkingen:                    21 augustus 2018

Trefwoorden: privacy; gegevensbescherming;

Onderwerp:
-           Artikel 8 EVRM;
-           Artikelen 4(2) en 16 VWEU;
-           Handvest van de grondrechten van de Europese Unie;
-           Beschikking 2001/497/EG van de Commissie van 15 juni 2001 betreffende modelcontractbepalingen voor de doorgifte van persoonsgegevens naar derde landen krachtens richtlijn 95/46/EG; beschikking 2004/915/EG van de Commissie van 27 december 2004 tot wijziging van beschikking 2001/497/EG betreffende de invoering van alternatieve modelcontractbepalingen voor de doorgifte van persoonsgegevens naar derde landen; besluit 2010/87/EU van de Commissie van 5 februari 2010 betreffende modelcontractbepalingen voor de doorgifte van persoonsgegevens aan in derde landen gevestigde verwerkers krachtens richtlijn 95/46/EG van het Europees Parlement en de Raad; uitvoeringsbesluit (EU) 2016/2297 van de Commissie vaan 16 december 2016 tot wijziging van beschikking 2001/497/EG en besluit 2010/87/EU betreffende modelcontractbepalingen voor de doorgifte van persoonsgegevens naar derde landen en aan in derde landen gevestigde verwerkers, krachtens richtlijn 95/46/EG van het Europees Parlement en de Raad (hierna gezamenlijk: MCB-besluiten);
-           Beschikking 2000/520/EG van de Commissie van 26 juli 2000 overeenkomstig richtlijn 95/46 betreffende de gepastheid van de bescherming geboden door de veiligehavenbeginselen voor de bescherming van de persoonlijke levenssfeer en de daarmee verband houdende Vaak gestelde vragen, die door het ministerie van Handel van de Verenigde Staten zijn gepubliceerd (hierna: veiligehavenbeschikking)
-           Uitvoeringsverordening (EU) 2016/1250 van de Commissie van 12 juli 2016 overeenkomstig richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de gepastheid van de door het EU-VS-privacyschild geboden bescherming (hierna: privacyschildverordening);
-           Besluit 2011/61/EU van de Commissie van 31 januari 2011 overeenkomstig richtlijn 95/46/EG van het Europees Parlement en de Raad, over de passende bescherming van persoonsgegevens door de staat Israël wat de geautomatiseerde verwerking van persoonsgegevens betreft.

Feiten:

De Data Protection Commissioner (DPC) is de nationale toezichthoudende autoriteit van Ierland. Naar aanleiding van het arrest in C-362/14 heeft Xx zijn klacht tegen de DPC aangepast. Deze klacht had betrekking op het feit dat zijn persoonsgegevens door Facebook werden doorgegeven aan Facebook Inc. in de Verenigde Staten, waar zijn gegevens worden verwerkt. Xx stelt dat Facebook Inc. verplicht is zijn persoonsgegevens ter beschikking te stellen aan autoriteiten van de Verenigde Staten, zoals de NSA en de FBI,  en dat hij niet beschikt over enig rechtsmiddel waarmee hij als betrokkene de nodige actie kan ondernemen om zijn rechten met betrekking tot zijn persoonsgegevens te beschermen. Xx stelt dat de gegevensbeschermings-autoriteiten gegevensstromen mogen opschorten in bepaalde situaties en hij verzoekt de DPC om de geldende Ierse wetgeving toe te passen om alle gegevensstromen van Facebook naar Facebook Inc. op te schorten. Facebook erkent persoonsgegevens van abonnees van Facebook die op het grondgebied van de Unie wonen, waaronder Xx, aan Facebook Inc. door te geven en wel op grond van besluit 2010/87, zoals gewijzigd. De DPC is van mening dat er sprake lijkt te zijn van een gegrond bezwaar dat er naar Amerikaans recht geen met artikel 47 van het Handvest verenigbare doeltreffende voorziening in rechte bestaat voor een EU-burger van wie de gegevens worden doorgegeven naar de Verenigde Staten, waar mogelijk het gevaar bestaat dat die gegevens door de autoriteiten van de Verenigde Staten ten behoeve van de nationale veiligheid worden geraadpleegd en verwerkt op een wijze die onverenigbaar is met de artikelen 7 en 8 van het Handvest. Facebook voert aan dat de nationale veiligheid geheel buiten de werkingssfeer van het Unierecht valt, omdat de Verdragen de bevoegdheid voor nationale veiligheidsaangelegenheden aan de lidstaten voorbehouden (artikel 4(2) VEU en artikel 3(2) van de richtlijn).

Overweging:

Er zijn gegronde redenen om aan te nemen dat de MCB-besluiten ongeldig zijn en het is belangrijk dat de richtlijn in de hele EU op uniforme wijze wordt toegepast. Dit vereist consistentie en duidelijkheid. Een prejudicieel verzoek aan het Hof is noodzakelijk en passend. De prejudiciële vragen betrekking hebben uitsluitend betrekking op besluit 2010/87, zoals gewijzigd.

Prejudiciële vragen:

1. Is het Unierecht (met inbegrip van het Handvest van de grondrechten van de Europese Unie; hierna: „Handvest”), onverminderd de bepalingen van artikel 4, lid 2, VEU met betrekking tot de nationale veiligheid en de bepalingen van artikel 3, lid 2, eerste streepje, van richtlijn 95/46/EG (hierna: „richtlijn”) met betrekking tot de openbare veiligheid, defensie en de veiligheid van de Staat, van toepassing op de doorgifte van persoonsgegevens in omstandigheden waarin persoonsgegevens door een particuliere onderneming vanuit een lidstaat van de Europese Unie voor commerciële doeleinden aan een particuliere onderneming in een derde land worden doorgegeven overeenkomstig besluit 2010/87/EU, zoals gewijzigd bij uitvoeringsbesluit (EU) 2016/2297 van de Commissie (hierna: „MCB-besluit”), en die persoonsgegevens in het derde land mogelijk door de autoriteiten van dat land verder worden verwerkt ten behoeve van de nationale veiligheid, maar ook ten behoeve van de rechtshandhaving en het voeren van het buitenlandbeleid van het derde land?

2.1 Wat is in het kader van de richtlijn de relevante vergelijkingsmaatstaf bij de vaststelling of er sprake is van schending van de rechten van een natuurlijke persoon als gevolg van de doorgifte van gegevens op grond van het MCB-besluit vanuit de Unie naar een derde land waar deze gegevens mogelijk verder worden verwerkt ten behoeve van de nationale veiligheid:
a) het Handvest, het VEU, het VWEU, de richtlijn, het EVRM (of andere bepalingen van het Unierecht); of
b) het nationale recht van een of meer lidstaten?
2.2 Indien b) de relevante vergelijkingsbasis is, moeten dan ook de praktijken in het kader van de nationale veiligheid in een of meer lidstaten in de vergelijkingsmaatstaf worden opgenomen?

3. Dient bij de beoordeling of een derde land het door het Unierecht vereiste beschermingsniveau waarborgt voor persoonsgegevens die op grond van artikel 26 van de richtlijn naar dat land worden doorgegeven, het beschermingsniveau in het derde land dan te worden beoordeeld aan de hand van:
a) de in het derde land geldende regels die voortvloeien uit de nationale wetgeving of de internationale verbintenissen van dat land en de praktijk die tot doel heeft de naleving van die regels te waarborgen, alsmede de beroepscodes en de veiligheidsmaatregelen die in die landen worden nageleefd; of
b) de onder a) bedoelde regels, samen met de administratieve, regelgevende en nalevingspraktijken en beleidswaarborgen, procedures, protocollen, toezichtmechanismen en buitengerechtelijke verhaalsmogelijkheden die in het derde land bestaan?

4. Schendt de doorgifte van persoonsgegevens vanuit de EU naar de VS op grond van het MCB-besluit, gelet op de feiten die de High Court (rechter in eerste aanleg, Ierland) met betrekking tot het recht van de VS heeft vastgesteld (punten 152 tot en met 263 van het vonnis van de High Court van 3 oktober 2017;http://www.courts.ie/Judgments.nsf/768d83be24938e1180256ef30048ca51/8131a5dde8baf9ff802581b70035c4ff?OpenDocument), de rechten die natuurlijke personen ontlenen aan artikel 7 en/of artikel 8 van het Handvest?

5. Gelet op de feiten die de High Court met betrekking tot het recht van de VS heeft vastgesteld en indien persoonsgegevens op grond van het MCB-besluit vanuit de EU naar de VS worden doorgegeven:
a) eerbiedigt het door de VS geboden beschermingsniveau dan de wezenlijke inhoud van het in artikel 47 van het Handvest gewaarborgde recht van een natuurlijke persoon op een voorziening in rechte in geval van schending van zijn recht op gegevensbescherming?
Indien het antwoord op a) bevestigend is, b) zijn de beperkingen die naar Amerikaans recht worden gesteld aan het recht van een natuurlijke persoon op een doeltreffende voorziening in rechte in het kader van de nationale veiligheid van de VS evenredig in de zin van artikel 52 van het Handvest en gaan zij niet verder dan wat in een democratische samenleving noodzakelijk is ten behoeve van de nationale veiligheid?

6.1 Welk beschermingsniveau moet worden geboden aan persoonsgegevens die naar een derde land worden doorgegeven op grond van modelcontractbepalingen die overeenkomstig een besluit van de Commissie als bedoeld in artikel 26, lid 4, zijn vastgesteld, in het licht van de bepalingen van de richtlijn, en met name de artikelen 25 en 26, gelezen in samenhang met het Handvest?
6.2 Met welke elementen moet rekening worden gehouden bij de beoordeling of het beschermingsniveau dat uit hoofde van het MCB-besluit wordt geboden aan gegevens die naar een derde land worden doorgegeven, in overeenstemming is met de vereisten van de richtlijn en het Handvest?

7. Belet het feit dat de modelcontractbepalingen van toepassing zijn tussen de gegevensexporteur en de gegevensimporteur en niet bindend zijn voor de nationale autoriteiten van een derde land dat van de gegevensimporteur kan verlangen dat hij de overeenkomstig de bepalingen van het MCB-besluit doorgegeven persoonsgegevens ter beschikking stelt van zijn veiligheidsdiensten met het oog op verdere verwerking, dat de modelcontractbepalingen voldoende waarborgen bieden als bedoeld in artikel 26, lid 2, van de richtlijn?

8. Indien een gegevensimporteur uit een derde land onderworpen is aan toezichtswetten die naar het oordeel van een gegevensbeschermingsautoriteit in strijd zijn met de bepalingen van de bijlage bij het MCB-besluit of de artikelen 25 en 26 van de richtlijn en/of het Handvest, is een gegevensbeschermingsautoriteit dan verplicht haar handhavingsbevoegdheden uit hoofde van artikel 28, lid 3, van de richtlijn uit te oefenen om de gegevensstromen op te schorten, of is de uitoefening van die bevoegdheden enkel beperkt tot uitzonderlijke gevallen, zoals bedoeld in [overweging 11 van besluit 2010/87/EU], of kan een gegevensbeschermingsautoriteit haar discretionaire bevoegdheid uitoefenen om de gegevensstromen niet op te schorten?

9.1 Vormt uitvoeringsverordening (EU) 2016/1250 (hierna: „privacyschildverordening”) voor de toepassing van artikel 25, lid 6, van de richtlijn een constatering met algemene strekking die voor de gegevensbeschermingsautoriteiten en de rechterlijke instanties van de lidstaten bindend is, zodat de VS op grond van hun nationale wetgeving of de internationale verbintenissen die zij zijn aangegaan, een passend beschermingsniveau in de zin van artikel 25, lid 2, van de richtlijn waarborgen?
9.2 Zo niet, welke relevantie heeft de privacyschildverordening dan eventueel voor de beoordeling of er voldoende waarborgen worden geboden voor naar de Verenigde Staten doorgegeven gegevens die op grond van het MCB-besluit zijn doorgegeven?

10. Zorgt de instelling van de privacyschildombudsman in de zin van bijlage A van bijlage III bij de privacyschildverordening, gelet op de vaststellingen van de High Court met betrekking tot het Amerikaanse recht, in samenhang met de bestaande regeling in de VS, ervoor dat de VS de betrokkenen van wie de persoonsgegevens op grond van het MCB-besluit naar de VS worden doorgegeven, rechtsbescherming bieden die verenigbaar is met artikel 47 van het Handvest?

11. Schendt het MCB-besluit artikel 7, artikel 8 en/of artikel 47 van het Handvest?

Aangehaalde (recente) jurisprudentie: Verholen e.a./Sociale Verzekeringsbank Amsterdam C-87/90, C-88/90 en C-89/90; Denuit en Cordenier C-125/04; Parlement/Raad C-317/04 en C-318/04; Unibet C-432/05; C-362/14.

Specifiek beleidsterrein: