C-362/14, Maximillian Schrems tegen Data Protection Commissioner

Signaleringsfiche

Arrest van het Hof van Justitie van 6 oktober 2015, C-362/14, Maximillian Schrems tegen Data Protection Commissioner.

Betrokken departementen
Alle

Sleutelwoorden
Prejudiciële verwijzing – persoonsgegevens – bescherming van natuurlijke personen in verband met de verwerking van die gegevens – Handvest van de grondrechten van de EU – artikelen 7, 8 en 47 – Richtlijn 95/46/EG (hierna: de richtlijn) – Artikelen 25 en 28 – bevoegdheden van de nationale toezichthoudende autoriteiten – doorgifte van persoonsgegevens naar derde landen – passend beschermingsniveau – geldigheid Beschikking 2000/520/EG (Safe Harbour-beschikking)

Beleidsrelevantie
Deze uitspraak is relevant voor Europese en nationale regelgeving en beleid over de bescherming van persoonsgegevens, in het bijzonder wat betreft de gegevensverstrekking naar derde landen en de bevoegdheden en taken van de toezichthouders op de bescherming van persoonsgegevens. Een belangrijke rechtsgrondslag voor de doorgifte van gegevens uit de Unie naar de VS, de Safe Harbour-beschikking (2000/520/EG), is met deze uitspraak komen te vervallen, waardoor doorgiften op grond hiervan onrechtmatig zijn en in het verleden onrechtmatig zijn geweest. Voorts volgt uit deze uitspraak dat een toereikendheidsoordeel van de Commissie inzake een passend beschermingsniveau niet aan een nationale toezichthouder de bevoegdheid ontneemt om de verenigbaarheid van een gegevensverwerking die mede bestaat in de doorgifte van gegevens naar een derde land te toetsen. Tot slot blijkt uit de uitspraak dat in nationale wetgeving verzekerd dient te zijn dat de toezichthouder het recht heeft zelf toegang tot de rechter te zoeken zodat de rechter de vraag naar de geldigheid van een toereikendheidsoordeel prejudicieel kan verwijzen naar het HvJEU.  De Wet bescherming persoonsgegevens en het vrijstellingsbesluit daarbij dienen daarom te worden gewijzigd.

Samenvatting van feiten, redenering en dictum
Schrems, klager, is een gebruiker van Facebook. Hiertoe heeft hij een overeenkomst met Facebook Ierland gesloten, dat een dochteronderneming is van Facebook VS. Klager wilde dat Facebook Ierland verboden werd persoonsgegevens door te geven aan de VS, vanwege o.a. de activiteiten van de NSA. De Ierse nationale toezichthouder wees de klacht af, mede vanwege de constatering van de Commissie in beschikking 2000/520 dat er sprake is van een passend beschermingsniveau in de VS.
Allereerst gaat het Hof in op de vraag wat de bevoegdheden zijn van de nationale toezichthouders als de Commissie een beschikking heeft vastgesteld krachtens artikel 25 lid 6 van de richtlijn. Vastgesteld wordt dat uit de richtlijn voortvloeit dat de nationale toezichthouders bevoegd zijn na te gaan of bij doorgifte van persoonsgegevens naar een derde land de vereisten van de richtlijn zijn nageleefd. Dit geldt, blijkens de systematiek van de richtlijn en artikel 8 van het Handvest van de EU, ook als er een door de Commissie vastgestelde beschikking krachtens art. 25 lid 6 ligt. Voorts is het Hof, volgens vaste jurisprudentie, als enige bevoegd de (on)geldigheid van de beschikking vast te stellen. Als de toezichthouder concludeert dat de klacht ongegrond is, moet de klager een beroep op de nationale rechter kunnen doen tegen de voor hem nadelige beschikking. Als de toezichthouder concludeert dat de klacht gegrond is, moet deze autoriteit daarvoor naar de nationale rechter kunnen stappen. De rechter kan vervolgens een prejudiciële vraag stellen.
Het Hof toetst ambtshalve de geldigheid van beschikking 2000/520, waarmee het Hof dus de recent ingezette lijn inzake de rechtsbescherming toepast. In dit kader wordt aangegeven wat onder een “passend beschermingsniveau” als bedoeld in artikel 25 van de richtlijn moet worden verstaan. Alhoewel passend niet “hetzelfde” is, moet het in essentie wel gelijkwaardig zijn aan het niveau van de Unie. Anders zou het hoge beschermingsniveau in de EU eenvoudig kunnen worden omzeild door persoonsgegevens vanuit de Unie naar derde landen door te geven voor verwerking. De Commissie is bij het onderzoek naar een passend beschermingsniveau verplicht om de inhoud van de in dat land toepasselijke regels, zoals die blijken uit de nationale wetgeving of de internationale verbintenissen, alsmede de praktijk, te beoordelen. Ook moet de Commissie periodiek nagaan of dat oordeel nog gerechtvaardigd is. Volgens het Hof moet bij het onderzoek naar de geldigheid van de beschikking rekening worden gehouden met gebeurtenissen van na de vaststelling hiervan. Gelet op het belang van de bescherming van het fundamentele recht op privéleven en het grote aantal personen om wie het gaat, heeft de Commissie een beperkte beoordelingsbevoegdheid en dient strikt toezicht door het Hof te worden uitgeoefend.
Het Hof vervolgt met het toetsen van artikel 1 van de Safe Harbour-beschikking. Een systeem van zelfcertificering is op zichzelf niet onverenigbaar met de richtlijn; de betrouwbaarheid van een dergelijk systeem hangt af van de invoering van doeltreffende detectie- en controlemechanismen voor eventuele grondrechtenschendingen. Vervolgens overweegt het Hof dat een regeling die algemeen toestaat dat alle persoonsgegevens van alle personen van wie de gegevens worden doorgegeven worden bewaard, zonder enig onderscheid, beperking of uitzondering naar het nagestreefde doel en zonder dat wordt voorzien in een objectief criterium ter begrenzing van de toegang van de bevoegde nationale autoriteiten tot de gegevens en het latere gebruik ervan voor specifieke doeleinden die strikt beperkt zijn en als rechtvaardiging kunnen dienen voor de inmenging als gevolg van zowel de toegang tot als het gebruik van deze gegevens, niet beperkt is tot het strikt noodzakelijke en daarom moet worden beschouwd als een aantasting van de wezenlijke inhoud van het recht op eerbiediging van het privéleven als bedoeld in artikel 7 van het Handvest van de EU. Dat er geen beroepsmogelijkheid is om toegang, rectificatie of verwijdering van de gegevens te eisen, maakt dat er geen sprake is van een effectieve voorziening als bedoeld in artikel 47 van het Handvest van de EU. Voor de vaststelling van een beschikking als bedoeld in artikel 25 acht het Hof het noodzakelijk dat er daadwerkelijke waarborgen worden geboden voor een niveau van grondrechtenbescherming dat in grote lijnen overeenkomt met dat van de EU. Nu ook hier geen sprake van is, is artikel 1 ongeldig.
In artikel 3 van de beschikking is voorzien in een regeling voor de bevoegdheden van de nationale toezichthouders met betrekking tot de constatering van het passende beschermingsniveau. Deze regeling ontneemt bevoegdheden die de toezichthouders aan artikel 28 van de richtlijn ontlenen. De Uniewetgever heeft de Commissie echter niet de bevoegdheid gegeven de bevoegdheid van de nationale toezichthouders in te perken, waardoor dit artikel eveneens ongeldig is. Gelet op de samenhang van artikelen 1 en 3 met de overige artikelen in de beschikking, moet de gehele beschikking als ongeldig worden beschouwd.

Inventarisatie van de mogelijke effecten
De ongeldigheidsverklaring van de Safe Harbour-beschikking door het Hof heeft een belangrijke grondslag voor gegevensverstrekking naar de VS doen vervallen. Op Europees niveau is daarom vaart gezet achter een nieuwe grondslag middels een toereikendheidsoordeel: het EU-VS-Privacyschild (uitvoeringsbesluit van de Commissie van 12 juli 2016, C (2016) 4176).
Op nationaal niveau heeft de uitspraak gevolgen voor de implementatie van artikel 28, derde lid, derde gedachtestreepje, van de richtlijn. In die bepaling is geregeld dat toezichthouders de bevoegdheid moeten hebben “om in rechte op te treden in geval van inbreuken op ter uitvoering van de richtlijn vastgestelde bepalingen, of om die inbreuken onder de aandacht van het gerecht te brengen”. Het eerste zinsdeel van die bepaling is geïmplementeerd in de artikelen 61 en 66 van de Wbp, waarin het Cbp (thans de Autoriteit Persoonsgegevens (AP)) bestuursrechtelijke handhavingsbevoegdheden krijgt toegekend, waartegen rechtsmiddelen openstaan. Het laatste zinsdeel van het artikelonderdeel is tot dusverre zodanig geïnterpreteerd dat de AP via het doen van aangifte bij het openbaar ministerie de meest ernstige overtredingen van de Wbp via de strafrechtelijke weg aan de rechter kan voorleggen. Uit het arrest volgt echter dat die uitleg niet volledig is. Eventuele strijdigheid van toereikendheidsoordelen met hoger recht moet niet slechts via het beroep tegen een besluit over een handhavingsklacht aan de nationale rechter kunnen worden voorgelegd. Het Hof legt bovengenoemde bepaling zodanig uit dat toezichthouders ook de rechter ambtshalve moeten kunnen benaderen als zij gerede twijfel over de rechtmatigheid van het handelen van de Commissie hebben. De nationale rechter kan dan beslissen of er reden is de desbetreffende zaak naar het Hof te verwijzen, omdat alleen het Hof bevoegd is bindende EU-besluiten ongeldig te verklaren. Dat betekent dat een voorziening moet worden getroffen om dit mogelijk te maken. Daartoe moet de Wbp worden aangepast.
Ook is in artikel 44, aanhef en onder d, van het Vrijstellingsbesluit Wbp geregeld dat vrijstelling van meldplicht van artikel 27 Wbp bestaat voor verantwoordelijken die gegevens doorgeven naar de VS op grond van de Safe Harbour-beschikking. Die vrijstelling zal moeten worden ingetrokken.

Voorstel voor behandeling
De ICER-H heeft het fiche vastgesteld en zendt dit met het arrest ter kennisgeving aan de leden van het IOWJZ. Indien nodig kan het fiche ter kennisname aan hun ministers worden doorgeleid. Een vervolgfiche is niet noodzakelijk.   

Klik hier voor het volledige dossier van het Hof van Justitie