EU-Hof houdt vast aan strikte lijn met betrekking tot verplichte bewaring en overdracht persoonsgegevens

Contentverzamelaar

EU-Hof houdt vast aan strikte lijn met betrekking tot verplichte bewaring en overdracht persoonsgegevens

Het EU-recht verzet zich tegen een verplichting tot algemene bewaring en doorgifte van persoonsgegevens ter bestrijding van de criminaliteit of de bescherming van de nationale veiligheid. In situaties waarin een lidstaat wordt geconfronteerd met een ernstige bedreiging van de nationale veiligheid, die reëel en aanwezig of voorzienbaar blijkt te zijn, kan een lidstaat echter onder strikte omstandigheden afwijken van dit verbod. Dat is het antwoord van het EU-Hof op vragen uit verschillende lidstaten.

Het gaat om de arresten van het EU-Hof van 6 oktober 2020 in de  zaak C-623/17, Privacy International  en  gevoegde zaken C-511/18, C-512/18 en C-520/18, La Quadrature du Net e.a  .

Achtergrond

In de afgelopen jaren heeft het EU-Hof een strenge lijn ontwikkeld in zijn rechtspraak met betrekking tot de bewaring van en de toegang tot persoonsgegevens. In onder meer de arresten Digital Rights Ireland (   C-293/12  ) en Tele2 Sverige (   C-203/15  ) oordeelde het EU-Hof dat lidstaten van aanbieders van elektronische communicatiediensten niet kunnen eisen dat zij locatiegegevens en dataverkeer in het algemeen en ongedifferentieerd bewaren.

Deze strenge lijn baart de autoriteiten van verschillende lidstaten zorgen, omdat zij gegevensbewaring noodzakelijk achten om de criminaliteit te bestrijden en de nationale veiligheid te waarborgen. De strenge eisen van het EU-Hof beperken volgens deze autoriteiten de effectiviteit van hun handelen. Enkele rechterlijke instanties van de lidstaten hebben diezelfde bezorgdheid naar voren gebracht in vier prejudiciële verwijzingen.

EU-Hof

De eerste kwestie waar het EU-Hof zich over buigt is of  EU-richtlijn 2002/58 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie  (hierna: de e-privacy richtlijn) van toepassing is op een nationale regeling die voorziet in een verplichte verwerking van persoonsgegevens ter bestrijding van de criminaliteit en de bescherming van de nationale veiligheid (meer in het bijzonder gaat het in deze zaak om ‘verkeers- en locatiegegevens’).

Een aantal lidstaten stelt dat de e-privacy richtlijn niet van toepassing is op een dergelijke nationale regeling, aangezien die nationale regeling tot doel heeft de nationale veiligheid, die uitsluitend onder de bevoegdheid van de lidstaten valt, te waarborgen. Het EU-Hof is evenwel van oordeel dat een nationale regeling die de aanbieders van elektronische communicatiediensten verplicht om persoonsgegevens te bewaren of deze door te geven aan de nationale veiligheids- en inlichtingendiensten, binnen de werkingssfeer van de e-privacy richtlijn valt.

Tegen die achtergrond oordeelt het EU-Hof in Privacy International dat de e-privacy richtlijn een nationale regeling, die aanbieders van elektronische communicatiediensten ertoe verplicht algemeen en ongedifferentieerd persoonsgegevens over te dragen aan de veiligheids- en inlichtingendiensten, uitsluit. Daarnaast oordeelt het EU-Hof in La Quadrature du Net e.a., dat de e-privacy richtlijn zich ook verzet tegen een nationale regeling die de aanbieders van elektronische communicatiediensten verplicht tot het algemeen en ongedifferentieerd bewaren van die persoonsgegevens als preventieve maatregel. Dergelijke nationaalrechtelijke verplichtingen – de bewaring en de overdracht – resulteren volgens het EU-Hof in een ernstige schending van de fundamentele rechten van de betrokkenen zoals gewaarborgd in het EU-Handvest van de grondrechten.

Dat is echter anders wanneer de betrokken lidstaat wordt geconfronteerd met een ernstige bedreiging van de nationale veiligheid, die reëel en actueel of voorzienbaar blijkt te zijn, aldus het EU-Hof. In dat geval mag een lidstaat een bevel afgeven aan de aanbieders van elektronische communicatiediensten om verplicht, in het algemeen en ongedifferentieerd, persoonsgegevens te bewaren. In dit verband oordeelt het EU-Hof wel dat de beschikking waarbij een dergelijk bevel wordt opgelegd effectief moet kunnen worden getoetst door een rechter of door een onafhankelijk administratief orgaan waarvan het besluit bindend is.

Het EU-Hof oordeelt eveneens dat de e-privacy richtlijn niet in de weg staat aan een nationale regeling die het mogelijk maakt om een gerichte bewaring van persoonsgegevens te vorderen. Die gerichte bewaring moet wel op basis van objectieve en niet-discriminerende factoren beperkt zijn.

Als laatste merkt het EU-Hof nog op dat de e-privacy richtlijn, uitgelegd in het licht van het doeltreffendheidsbeginsel, de nationale strafrechter verplicht om informatie en bewijzen die zijn verkregen door middel van het bewaren van gegevens en bewijsstukken op een wijze die in strijd is met het EU-recht, buiten beschouwing te laten.

Meer informatie