EU-Hof: EU-VS Privacyschild is ongeldig, maar EU-modelcontractbepalingen over doorgifte van persoonsgegevens aan derde landen zijn wel geldig

Contentverzamelaar

EU-Hof: EU-VS Privacyschild is ongeldig, maar EU-modelcontractbepalingen over doorgifte van persoonsgegevens aan derde landen zijn wel geldig

Het besluit van de Commissie betreffende modelcontractbepalingen voor de doorgifte van persoonsgegevens aan in derde landen gevestigde verwerkers is geldig. Er bestaan voldoende mechanismen die kunnen waarborgen dat op modelcontractbepalingen gebaseerde doorgiften opgeschort of verboden worden wanneer die bepalingen geschonden worden of niet kunnen worden nageleefd. Het EU-VS-privacyschild wordt wel ongeldig verklaard, omdat de toegang tot doorgegeven persoonsgegevens onvoldoende is afgebakend en de betrokkenen geen adequate rechtsbescherming wordt geboden. Dat is het antwoord van het EU-Hof op vragen van een Ierse rechter.

Het gaat om het arrest van het EU-Hof van 16 juli 2020 in de zaak C-311/18, Data Protection Commissioner tegen Facebook Ireland Ltd. en Maximilian Schrems .

Maximilian Schrems is een Oostenrijkse staatsburger die in Oostenrijk woont. Sinds 2008 maakt Schrems gebruik van Facebook. De persoonsgegevens van Schrems en andere Facebook-gebruikers worden door Facebook Ireland Inc geheel of gedeeltelijk doorgegeven aan servers van Facebook Inc. in de Verenigde Staten. In de Verenigde Staten worden deze gegevens verwerkt. Schrems heeft bij de Ierse toezichthoudende autoriteit een klacht ingediend en verzocht om de doorgifte van deze persoonsgegevens te verbieden.

Schrems heeft aangevoerd dat het recht en de gangbare praktijk in de Verenigde Staten geen waarborgen bieden voor voldoende bescherming tegen de toegang van de overheid van de VS tot de doorgegeven persoonsgegevens. In EU-verordening 2016/679 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (Algemene Verordening Gegevensbescherming, hierna: AVG) is bepaald dat persoonsgegevens slechts aan een derde land kunnen worden doorgegeven indien het derde land een passend beschermingsniveau waarborgt ( artikel 44 AVG )

Ten eerste kan de Europese Commissie in een uitvoeringsverordening vaststellen dat een derde land op basis van zijn nationale wetgeving of internationale toezeggingen een passend beschermingsniveau toekent aan persoonsgegevens ( artikel 45, lid 3, AVG ). In deze zaak staat uitvoeringshandeling 2016/1250 centraal (zie het ECER-bericht over dit EU-VS-privacyschild). Deze uitvoeringshandeling is vastgesteld na de ongeldigverklaring van beschikking 2000/520 in de zaak C-362/15, Schrems I (zie het ECER-bericht over deze zaak). Als de Commissie geen uitvoeringshandeling heeft vastgesteld kunnen gegevens ook worden uitgevoerd indien de in de EU gevestigde gegevensexporteur passende waarborgen biedt. Deze passende waarborgen kunnen voortvloeien uit de door de Commissie vastgestelde EU-modelcontractbepalingen inzake gegevensbescherming ( artikel 46, lid 2, sub c, AVG ). De Commissie heeft deze EU-modelcontractbepalingen neergelegd in een bijlage bij besluit 2010/87 .

Facebook Ireland Inc. geeft de persoonsgegevens van Facebook-gebruikers door aan Facebook Inc. in de VS. Deze doorgifte vindt plaats op grond van de EU-modelcontractbepalingen inzake gegevensbescherming uit de bijlage bij besluit 2010/87. Schrems voert aan dat de VS geen passende bescherming biedt en dat de doorgifte van persoonsgegevens moet worden opgeschort of voor de toekomst moet worden verboden. De Ierse toezichthouder is van mening dat de behandeling van de klacht van Schrems afhankelijk is van de geldigheid van besluit 2010/87 en heeft zich tot de High Court (rechter in eerste aanleg) gewend met het oog op de voorlegging van prejudiciële vragen aan het EU-Hof.

Na de inleiding van de gerechtelijke procedure heeft de Commissie uitvoeringshandeling 2016/1250 vastgesteld. De High Court vraagt het EU-Hof of de AVG van toepassing is op de doorgifte van persoonsgegevens op basis van de bij besluit 2010/87 vastgestelde EU-modelcontractbepalingen. Daarnaast wil de rechter weten wat het vereiste beschermingsniveau is bij een dergelijke doorgifte en welke verplichtingen in dit verband op de toezichthoudende autoriteiten rusten. Tenslotte vraagt de rechter of besluit 2010/87 en uitvoeringshandeling 2016/1250 geldig zijn.

EU-Hof

Het EU-Hof oordeelt ten eerste dat het EU-recht, en met name de AVG, van toepassing is op de doorgifte van persoonsgegevens door een in een EU-lidstaat gevestigde onderneming aan een derde land. Het maakt daarbij niet uit dat deze persoonsgegevens door het derde land kunnen worden verwerkt ten behoeve van de openbare veiligheid, defensie en staatsveiligheid. 

Met betrekking tot het vereiste beschermingsniveau bij de doorgifte van persoonsgegevens aan een derde land oordeelt het EU-Hof dat dit beschermingsniveau in grote lijnen overeen moet komen met het beschermingsniveau dat binnen de EU wordt gewaarborgd door de AVG-verordening. De AVG moet daarbij gelezen worden in het licht van het EU-Handvest van de grondrechten. Bij de beoordeling van dit beschermingsniveau moet rekening worden gehouden met de contractuele bepalingen tussen de in de EU gevestigde exporteur van gegevens en de in het betrokken derde land gevestigde ontvanger van de doorgifte. Ook moet rekening worden gehouden met de eventuele toegang van de overheidsinstanties van het betrokken derde land tot de doorgegeven gegevens. Met name dient er aandacht te zijn voor de relevante aspecten van het rechtsstelsel van dit derde land.

Het EU-Hof oordeelt eveneens dat de toezichthoudende autoriteit van een lidstaat de doorgifte van persoonsgegevens moet opschorten of verbieden wanneer zij van oordeel is dat de EU-modelcontractbepalingen inzake gegevensbescherming in dat derde land niet worden of kunnen worden nageleefd. De toezichthoudende autoriteit dient wel eerst te onderzoeken of de door het EU-recht vereiste bescherming van persoonsgegevens niet met andere middelen kan worden gewaarborgd en dat de in de EU gevestigde exporteur de doorgifte nog niet zelf heeft opgeschort of beëindigd.

Besluit modelcontractbepalingen is geldig

Het EU-Hof oordeelt vervolgens dat besluit 2010/87 geldig is. In dit kader oordeelt het EU-Hof dat het enkele feit dat de in besluit 2010/87 opgenomen EU-modelcontractbepalingen door hun contractuele aard niet bindend zijn voor de autoriteiten van een derde land, er niet toe kan leiden dat het besluit ongeldig is. Voor de geldigheid van een besluit is daarentegen bepalend of dat besluit doeltreffende mechanismen bevat. Het besluit dient onder meer een mechanisme te bevatten dat in de praktijk moet waarborgen dat het door het EU-recht vereiste beschermingsniveau in acht wordt genomen. Ook dient het besluit een mechanisme te bevatten die de doorgifte van persoonsgegevens opschort of verbiedt indien het vereiste beschermingsniveau wordt geschonden of onmogelijk kan worden nageleefd.

Het EU-Hof oordeelt dat besluit 2010/87 dergelijke mechanismen bevat. Het besluit verplicht de gegevensexporteur en de ontvanger van de doorgifte om vooraf na te gaan of het beschermingsniveau in acht wordt genomen in het derde land. Ook moet de ontvanger de gegevensexporteur informeren indien hij niet in staat zou zijn om de EU-modelcontractbepalingen na te leven. De gegevensexporteur moet in dat geval de doorgifte van gegevens opschorten en/of de overeenkomst met de ontvanger beëindigen.

EU-VS Privacyschild is ongeldig

Verder oordeelt het EU-Hof dat besluit 2016/1250 betreffende het EU-VS privacyschild ongeldig is. Het EU-Hof oordeelt dat de eisen inzake nationale veiligheid, het algemeen belang en de naleving van de Amerikaanse wetgeving voorrang hebben. Hierdoor kunnen de grondrechten van personen, van wie de persoonsgegevens worden doorgegeven aan de VS, worden geschonden.

Ook oordeelt het EU-Hof dat de interne regeling van de VS inzake de toegang tot doorgegeven persoonsgegevens niet zodanig afgebakend is dat wordt voldaan aan de grote lijnen die door het EU-rechtelijke evenredigheidsbeginsel worden gesteld. Deze interne regeling beperkt de toegang tot dergelijke gegevens namelijk niet tot het strikt noodzakelijke. Het EU-Hof stelt vast dat sommige surveillanceprogramma’s op geen enkele wijze beperkingen opleggen en dat er geen garanties aanwezig zijn voor niet-Amerikanen die potentieel in het oog worden gehouden. Ook worden aan betrokkenen geen afdwingbare rechten voor de rechter toegekend. Wat de vereiste rechterlijke bescherming betreft, biedt het in het besluit bedoelde ombudsmechanisme geen mogelijkheid aan deze personen om in beroep te gaan bij een orgaan dat in grote lijnen de waarborgen biedt die overeenkomen met de EU-rechtelijke vereisten.

Tot slot ziet het EU-Hof geen aanleiding de gevolgen van het privacyschild-besluit te handhaven om een rechtsvacuüm te vermijden. Zo’n vacuüm ontstaat namelijk niet bij de ongeldigverklaring van een adequaatheidsbesluit zoals het privacyschildbesluit. Daarbij overweegt het EU-Hof dat in artikel 49 AVG nauwkeurig wordt geregeld onder welke voorwaarden persoonsgegevens naar derde landen kunnen worden doorgegeven wanneer een adequaatheidsbesluit of passende waarborgen ontbreken.

Meer informatie: