Ierse privacywaakhond mag doorgifte Facebook-gegevens aan VS opschorten

Contentverzamelaar

Ierse privacywaakhond mag doorgifte Facebook-gegevens aan VS opschorten

Nationale autoriteiten mogen de doorgifte van gegevens van Europese Facebookgebruikers aan servers in de VS opschorten, ondanks de beschikking van de Commissie dat de VS een passend niveau van bescherming van persoonsgegevens bieden. Dat is het advies van advocaat-generaal Bot aan het EU-Hof. Hij is bovendien van mening dat deze zgn. safe-harbor-beschikking ongeldig is.

Het gaat om de conclusie van advocaat-generaal Bot van 23 september 2015 in zaak C-362/14, Maximillian Schrems tegen Data Protection Commissioner

Richtlijn 95/46/EG over de bescherming van persoonsgegevens bepaalt dat dergelijke gegevens aan een derde land mogen worden doorgegeven wanneer het derde land in kwestie waarborgen biedt voor een passend niveau van bescherming van die gegevens. De Commissie kan volgens de richtlijn constateren dat een derde land een passend beschermingsniveau biedt. Wanneer de Commissie een beschikking in die zin vaststelt, kunnen persoonsgegevens aan het derde land in kwestie worden doorgegeven.

De Oostenrijker Maximillian Schrems maakt sinds 2008 gebruik van Facebook. Zoals bij de andere abonnees die in de EU wonen, worden de gegevens die Schrems op Facebook aanlevert, vanuit de Ierse dochteronderneming van Facebook geheel of gedeeltelijk doorgegeven aan servers die zich op het grondgebied van de Verenigde Staten bevinden, waar zij worden bewaard. Schrems heeft bij de Ierse toezichthouder voor gegevensbescherming een klacht ingediend, omdat uit de onthullingen van Edward Snowden van 2013 over de activiteiten van de inlichtingendiensten van de Verenigde Staten (met name de National Security Agency of „NSA”) is gebleken dat het recht en de praktijk in de Verenigde Staten geen reële bescherming tegen surveillance van de naar dat land doorgegeven gegevens door de Amerikaanse Staat biedt. De Ierse toezichthouder heeft de klacht afgewezen, met name op grond dat de Commissie in de zgn. safe-harbor-beschikking 2000/520/EG tot het oordeel was gekomen dat de Verenigde Staten in het kader van de zogenoemde regeling van de „veilige havens” waarborgen voor een passend niveau van bescherming van de doorgegeven gegevens bieden. De regeling van de veilige havens omvat een reeks beginselen met betrekking tot de bescherming van persoonsgegevens die Amerikaanse bedrijven vrijwillig kunnen onderschrijven.

De High Court of Ireland (het Iers hooggerechtshof), waarbij de zaak aanhangig werd gemaakt, wilde vernemen of deze beschikking van de Commissie tot gevolg had dat een nationale toezichthouder een klacht dat een derde land geen waarborgen voor een passend beschermingsniveau bood, niet mocht onderzoeken en ook niet, voor zover nodig, de opschorting van de omstreden gegevensdoorgifte mocht gelasten.

In zijn conclusie meent advocaat-generaal Yves Bot dat het bestaan van een beschikking van de Commissie waarin zij constateert dat een derde land waarborgen voor een passend niveau van bescherming van de doorgegeven persoonsgegevens biedt, de op grond van de richtlijn over de bescherming van persoonsgegevens aan de nationale toezichthouders verleende bevoegdheden niet teniet kan doen of zelfs maar beperken. Ook meent hij dat de beschikking van de Commissie ongeldig is.

Om te beginnen is de advocaat-generaal van oordeel dat de bevoegdheden tot ingrijpen van de nationale toezichthouders, gelet op het belang van hun rol op het gebied van de gegevensbescherming, in stand moeten blijven. Indien de nationale toezichthouders absoluut zouden zijn gebonden aan de beschikking van de Commissie, zou dat onvermijdelijk leiden tot een inperking van de totale onafhankelijkheid die zij op grond van de richtlijn genieten. Daaruit leidt de advocaat-generaal af dat een nationale toezichthouder bevoegd is om de doorgifte van gegevens op te schorten wanneer hij van mening is dat die doorgifte afbreuk doet aan de bescherming van de burgers van de Unie op het punt van de verwerking van de hun betreffende gegevens, en zulks ongeacht enige algemene beoordeling van de Commissie in haar beschikking. De bij de richtlijn aan de Commissie toegekende bevoegdheid tast namelijk niet de door die richtlijn aan de nationale toezichthouders toegekende bevoegdheden aan. Anders gezegd, heeft de Commissie niet de bevoegdheid om de bevoegdheden van de nationale toezichthouders in te perken.

Hoewel de advocaat-generaal erkent dat de nationale toezichthouders juridisch gebonden zijn aan de beschikking van de Commissie, meent hij dat die bindende werking niet gebiedt dat de klachten verkort worden afgewezen, dat wil zeggen meteen na de indiening ervan en zonder de gegrondheid ervan te onderzoeken, temeer omdat de constatering dat een beschermingsniveau passend is, een gedeelde bevoegdheid van de lidstaten en de Commissie is. Uiteraard speelt de beschikking van de Commissie een belangrijke rol bij de uniformering van de voorwaarden voor doorgifte binnen de lidstaten, maar die uniformering kan slechts voortduren zolang deze constatering niet ter discussie wordt gesteld, met name in het kader van een klacht die de nationale toezichthouders in behandeling moeten nemen op grond van de onderzoeks- en verbodsbevoegdheden die zij volgens de richtlijn hebben.

Voorts meent de advocaat-generaal dat de lidstaten de nodige maatregelen moeten kunnen treffen ter vrijwaring van de grondrechten die door het Handvest van de grondrechten van de Europese Unie worden beschermd, wanneer in het derde land waarnaar de persoonsgegevens worden doorgegeven systematische tekortkomingen worden geconstateerd. Tot die grondrechten behoren het recht op eerbiediging van het privéleven en van het familie- en gezinsleven en het recht op bescherming van persoonsgegevens.

Gelet op de twijfels die in de loop van de procedure ten aanzien van de geldigheid van beschikking 2000/520 zijn geuit, zou het Hof die geldigheid volgens de advocaat-generaal moeten toetsten, waarbij hij zelf tot de conclusie komt dat de beschikking ongeldig is. Uit de vaststellingen van zowel de High Court of Ireland als de Commissie zelf blijkt namelijk dat het recht en de praktijk in de Verenigde Staten toestaan dat op grote schaal de daaraan doorgegeven persoonsgebonden gegevens over de burgers van de Unie worden verzameld, zonder dat zij effectieve rechterlijke bescherming genieten. Deze feitelijke vaststellingen tonen aan dat de beschikking van de Commissie niet met voldoende waarborgen is omkleed. Gezien dit ontbreken van waarborgen is deze beschikking ten uitvoer gelegd op een wijze die niet in overeenstemming is met de vereisten van de richtlijn en het Handvest.

Voorts meent de advocaat-generaal dat de toegang tot de doorgegeven gegevens waarover de Amerikaanse inlichtingendiensten beschikken, een inmenging in het recht op eerbiediging van het privéleven en van het familie- en gezinsleven en het recht op bescherming van persoonsgegevens, zoals door het Handvest gewaarborgd, vormt. Ook is het feit dat de burgers van de Unie niet de mogelijkheid hebben om over de onderschepping en de surveillance van hun gegevens in de Verenigde Staten te worden gehoord, volgens de advocaat-generaal een inmenging in het recht van de burgers van de Unie op een doeltreffende voorziening in rechte dat door het Handvest wordt beschermd.

Volgens de advocaat-generaal is deze inmenging in de grondrechten in strijd met het evenredigheidsbeginsel, met name omdat de surveillance op massale schaal en niet-gericht door de Amerikaanse inlichtingendiensten wordt uitgevoerd. De toegang tot de persoonsgegevens waarover de Amerikaanse inlichtingendiensten beschikken, strekt zich immers uit tot elke persoon en elk elektronisch communicatiemiddel alsook alle doorgegeven gegevens (met inbegrip van de inhoud van de communicatie), zonder enig onderscheid, enige beperking of enige uitzondering naar gelang de doelstelling van algemeen belang die wordt nagestreefd. De advocaat-generaal is van oordeel dat een derde land in die omstandigheden in geen geval kan worden geacht waarborgen voor een passend beschermingsniveau te bieden, temeer omdat de regeling van de veilige havens zoals omschreven in de beschikking van de Commissie geen waarborgen bevat waarmee de massale en wijdvertakte toegang tot de doorgegeven gegevens kan worden voorkomen. Geen enkele onafhankelijke autoriteit is in staat om in de Verenigde Staten toezicht te houden op de schending van de beginselen inzake de bescherming van persoonsgegevens die door overheidsinstanties, zoals de Amerikaanse veiligheidsdiensten, jegens de burgers van de Unie wordt begaan.

Geconfronteerd met een dergelijke constatering van de schending van de grondrechten van de burgers van de Unie, had de Commissie de toepassing van de beschikking moeten opschorten, aldus de advocaat-generaal, en zulks ondanks dat zij thans met de Verenigde Staten onderhandelingen voert met het oog op de opheffing van de geconstateerde gebreken. De advocaat-generaal wijst er daarnaast op dat de reden waarom de Commissie heeft beslist om met de Verenigde Staten in onderhandelingen te treden, er juist in is gelegen dat zij van mening was dat het niveau van bescherming dat dit derde land in het kader van de regeling van de veilige havens bood, niet langer passend was en dat de beschikking van 2000 niet langer aan de realiteit beantwoordde.

NOTA BENE: De conclusie van de advocaat-generaal bindt het EU-Hof niet. De advocaten-generaal hebben tot taak, in volledige onafhankelijkheid het EU-Hof een juridische oplossing te bieden voor het concrete geschil. Het arrest van het EU-Hof zal over enkele maanden worden gewezen.