Opslag gegevens EU-onderdanen op VS-servers schendt privacy

Contentverzamelaar

Opslag gegevens EU-onderdanen op VS-servers schendt privacy

De onbeperkte opslag van gegevens van EU-onderdanen en de algemene toegang van de VS-autoriteiten tot die gegevens schendt het EU-grondrecht op privacy. De Commissie heeft ten onrechte de VS aangemerkt als een “veilige haven”. Nationale toezichthouders moeten bezwaren van EU-onderdanen tegen de doorgifte van gegevens aan de VS zelf onderzoeken. Dat heeft het EU-Hof bepaald in de zgn. Facebook-zaak op vragen van de Ierse High Court.

Het gaat om het arrest van het EU-Hof van 6 oktober 2015 in de zaak C-362/14, Schrems. Het ECER heeft eerder bericht over deze zaak naar aanleiding van de conclusie van de advocaat-generaal Bot.

In deze zaak gaat het om de Oostenrijker Schrems die Facebook gebruikt. Scherms dient een klacht in bij de Ierse toezichthouder voor bescherming van persoonsgegevens. Schrems is het er niet mee eens dat Facebook de persoonsgegevens die hij op Facebook zet, opslaat in de Verenigde Staten. Daar kunnen zijn persoonsgegevens zonder zijn toestemming door de Amerikaanse overheid worden bekeken en opgeslagen. Hij vindt dat de Amerikaanse overheid zijn recht op privacy onvoldoende waarborgt.

De Ierse toezichthouder acht zijn klacht ongegrond mede omdat de Commissie in 2000 in een beschikking had vastgesteld dat de Amerikaanse veiligehavenbeginselen een passend beschermingsniveau boden. De toezichthouder vond dat hij daarom niet de vrijheid had de klacht verder te onderzoeken.

De Ierse rechter bij wie Schrems vervolgens in beroep gaat, stelt prejudiciële vragen aan het EU-Hof. Hij vraagt of de toezichthouder voor bescherming van persoonsgegevens in een dergelijk geval gebonden is aan de beschikking van de Commissie, ondanks het recht op privacy zoals vervat in het EU-Handvest en de EU-richtlijn bescherming persoonsgegevens, of dat de toezichthouder zelf onderzoek moet doen.

Het EU-Hof stelt dat op basis van deze richtlijn de doorgifte van persoonsgegevens vanuit de EU naar een derde land slechts mag plaatsvinden wanneer dat derde land waarborgen voor een “passend beschermingsniveau” biedt. De Commissie kan op grond van de richtlijn een beschikking vaststellen waarbij zij constateert dat een derde land waarborgen voor een passend beschermingsniveau biedt. De lidstaten kunnen deze beschikking niet negeren.

De beschikking mag de bevoegdheden waarover de nationale toezichthoudende autoriteiten volgens het Handvest en de richtlijn beschikken echter niet teniet doen of beperken, zo oordeelt het Hof.

Het Hof onderzoekt vervolgens of de beschikking van de Commissie geldig is.

Passend beschermingsniveau

De uitdrukking „passend beschermingsniveau” in de zin van de EU-richtlijn bescherming persoonsgegevens moet volgens het EU-Hof zo worden opgevat dat die vereist dat het derde land, op grond van zijn nationale wetgeving of zijn internationale verbintenissen, een niveau van bescherming van de grondrechten en de fundamentele vrijheden biedt dat in grote lijnen overeenkomt met het niveau dat binnen de Unie wordt gewaarborgd op grond van de richtlijn, gelezen in samenhang met het Handvest.

De Commissie is bij het onderzoek van het door een derde land geboden beschermingsniveau verplicht om zowel de inhoud van de in dat land toepasselijke regels, als de handhavingspraktijk te beoordelen.

De beoordelingsbevoegdheid van de Commissie over de gepastheid van het door een derde land geboden beschermingsniveau is volgens het EU-Hof beperkt.

Ongeldige beschikking

Het Hof onderzoekt of de beschikking van de Commissie dat de Amerikaanse veiligehavenbeginselen een passend beschermingsniveau zouden bieden, geldig is.

De beschikking bevat geen toereikende vaststellingen over de maatregelen waarmee de VS, op grond van hun nationale wetgeving of hun internationale verbintenissen, waarborgen voor een passend beschermingsniveau bieden. Bovendien staat de beschikking toe dat de veiligehavenbeginselen voorrang geven aan „de eisen van de nationale veiligheid, het algemeen belang en [de] rechtshandhaving” van de Verenigde Staten boven deze veiligehavenbeginselen. Gelet op de algemene aard van deze afwijking, maakt deze het mogelijk dat een inmenging plaatsvindt in de grondrechten van de personen van wie de persoonsgegevens vanuit de Unie naar de Verenigde Staten zijn of zouden kunnen worden doorgegeven.

Het EU-Hof merkt op dat de beschikking niets vaststelt over de vraag of er in de VS overheidsregels bestaan ter beperking van dergelijke inmengingen in de grondrechten. Ook vermeldt de beschikking niets over de vraag of er effectieve rechtsbescherming tegen dat soort inmengingen bestaat.

Voorts wijst het EU-Hof op zijn eerdere rechtspraak in het arrest Digital Rights Ireland. Daarin overwoog het EU-Hof dat uitzonderingen op het recht op bescherming van het privéleven beperkt moeten blijven tot het strikt noodzakelijke. Een regeling die algemeen toestaat dat alle persoonsgegevens van alle personen van wie de gegevens vanuit de Unie naar de Verenigde Staten worden doorgegeven, worden bewaard, zonder dat enig onderscheid wordt gemaakt, enige beperking wordt gesteld of enige uitzondering wordt gemaakt op basis van het nagestreefde doel en zonder dat wordt voorzien in objectieve criteria ter begrenzing van de toegang van de bevoegde nationale autoriteiten tot de gegevens en het latere gebruik ervan, is niet beperkt tot het strikt noodzakelijke en schendt daarmee het EU-grondrecht op privacy. Het Hof voegt daaraan toe dat een regeling op grond waarvan de autoriteiten veralgemeend toegang kunnen krijgen tot de inhoud van elektronische communicatie, moet worden beschouwd als een aantasting van de wezenlijke inhoud van het grondrecht op eerbiediging van het privéleven.

Het EU-Hof concludeert daarom dat de beschikking niet geldig is.

Hieruit volgt dat nationale toezichthouders bezwaren van EU-onderdanen tegen de doorgifte van gegevens aan de VS zelf moeten onderzoeken. Daarbij kan de toezichthoudende autoriteit ervan uit gaan dat de beschikking niet bestaat en ook nooit heeft bestaan.

Dit arrest heeft tot gevolg dat de Ierse toezichthouder verplicht is om de klacht van Schrems met de nodige voortvarendheid en zorgvuldigheid te onderzoeken en dat het aan de toezichthouder is om aan het einde van zijn onderzoek te beslissen of de doorgifte van de gegevens van de Europese abonnees van Facebook naar de Verenigde Staten moet worden opgeschort op grond dat dit land geen waarborgen voor een passend niveau van bescherming van persoonsgegevens biedt.