Het Hof van Justitie van de Europese Unie (“HvJEU”) heeft de Safe Harbour beschikking van de Europese Commissie (“Commissie”) ongeldig verklaard. Bovendien staat een dergelijke beschikking er niet aan in de weg dat nationale privacy autoriteiten klachten behandelen die zien op de doorgifte van hun gegevens naar derde landen.
Achtergrond
De uitspraak is gedaan in de Schrems vs. Facebook zaak. De Oostenrijkse Maximillian Schrems (“Schrems”) had een klacht ingediend bij de Ierse Data Protection Commissioner (“Commissioner”) tegen Facebook Ireland, wegens de doorgifte van zijn persoonsgegevens naar het moederbedrijf Facebook Inc. in de Verenigde Staten (“VS”). Volgens Schrems blijkt uit de onthullingen van Edward Snowden in mei 2013 dat in de VS geen passend beschermingsniveau wordt geboden voor persoonsgegevens tegen staatstoezicht door de Amerikaanse inlichtingendiensten.
De Commissioner nam de klacht niet in behandeling, onder verwijzing naar de Beschikking 2000/520/EC (“Beschikking”) van de Commissie. In deze Beschikking zijn de Safe Harbour Principles neergelegd. Indien een bedrijf in de VS Safe Harbour gecertificeerd is, is er sprake van een passend beschermingsniveau en is doorgifte naar dat bedrijf toegestaan. De Commissioner is gebonden aan deze Beschikking en moet daarom klachten in overeenstemming met die Beschikking beoordelen. Omdat Facebook Inc. Safe Harbour gecertificeerd is kan volgens de Commissioner niet anders worden geoordeeld dan dat door Facebook Inc. een passend beschermingsniveau wordt geboden.
Schrems heeft beroep ingesteld tegen het oordeel van de Commissioner bij de Ierse High Court of Justice (“High Court”). De High Court komt tot de conclusie dat er gerede twijfel bestaat ten aanzien van het passend zijn van het beschermingsniveau in de VS. Aan deze conclusie ligt ten grondslag het op grote schaal en ongedifferentieerd toegang verschaffen door Amerikaanse inlichtingendiensten tot Europese persoonsgegevens in de VS. Daarnaast vindt het toezicht op die inlichtingendiensten in het geheim en ex parte (zonder de wederpartij te horen) plaats. De Commissioner had daarom de klacht moeten onderzoeken. De High Court wijst er op dat de klacht van Schrems ziet op de implementatie van de Privacy richtlijn (Richtlijn 95/46) in het nationale recht. Om die reden stelt de High Court prejudiciële vragen aan het HvJEU.
In zijn conclusie (waarvan de inkt overigens nog maar net droog is) ten aanzien van deze prejudiciële vragen concludeert advocaat-generaal Bot dat uit de onthullingen van Snowden blijkt dat de VS, ook met de Safe Harbour Principles, geen passend beschermingsniveau biedt voor de verwerking van persoonsgegevens afkomstig uit de EU. De nationale privacy toezichthouders moeten daarom de doorgifte van persoonsgegevens vanuit de EU naar (Safe Harbour gecertificeerde) bedrijven in de VS kunnen opschorten en het HvJEU zou de Beschikking ongeldig moeten verklaren, aldus de advocaat-generaal.
Uitspraak Hof van Justitie EU
Het HvJEU volgt de conclusie van de advocaat-generaal gedeeltelijk.
Omvang van de bevoegdheid van nationale toezichthouders
Het HvJEU overweegt dat de Privacy richtlijn iedere lidstaat verplicht om een onafhankelijke toezichthouder aan te stellen, die binnen de lidstaat toeziet op de naleving van de nationale privacy wetgeving (als implementatie van de Privacy richtlijn). Voor het uitoefenen van dit toezicht hebben de nationale privacy toezichthouders onder meer de bevoegdheid om verwerkingen van persoonsgegevens te onderzoeken en een verwerking tijdelijk of definitief op te schorten.
Voorts wijst het HvJEU erop dat de nationale toezichthouders onafhankelijk dienen te zijn, zodat zij hun taken kunnen uitoefenen zonder invloeden van buitenaf. Op deze manier moeten de toezichthouders een hoog niveau van bescherming van fundamentele rechten ten aanzien van de verwerking van persoonsgegevens waarborgen. In het licht van deze belangrijke rol, moeten de nationale toezichthouders zelfstandig een oordeel kunnen vormen over het beschermingsniveau van een derde land, ook als de Commissie een beslissing heeft genomen in het kader van het beschermingsniveau van een derde land.
De nationale privacy toezichthouders hebben echter niet het recht de doorgifte naar een derde land op te schorten, indien zij concluderen dat – in tegenstelling tot de beschikking van de Commissie – het beschermingsniveau van dat derde land niet passend is. Een klacht ten aanzien van het beschermingsniveau in een derde land moet in beginsel gezien worden als de klacht dat een beschikking van de Commissie in strijd is met de privacy bescherming en van fundamentele rechten vrijheden en dus als vraag naar een oordeel over de geldigheid van die beschikking, aldus het HvJEU.
De beschikkingen van de Commissie moeten in beginsel namelijk voor rechtmatig moeten worden gehouden, totdat deze worden ingetrokken of ongeldig worden verklaard. Dat recht hebben alleen de Commissie en/of het HvJEU. De nationale privacy toezichthouders zijn dan ook gebonden aan een beschikking van de Commissie over het beschermingsniveau van een derde land, zij hebben niet het recht om een beschikking ongeldig te verklaren.
Dit oordeel van het HvJEU is ook logisch. Een van de doelen van deze beschikkingen is om een uniform beleid in de EU te creëren ten aanzien van de verwerking van persoonsgegevens. Het zou niet in lijn zijn met deze doelstelling (om nog niet te spreken over de chaos in het bedrijfsleven) indien individuele lidstaten los van elkaar deze beschikkingen ongeldig zouden kunnen verklaren en de doorgifte naar die derde landen zouden kunnen opschorten.
Kortom, de toezichthouders mogen een klacht over het beschermingsniveau van een derde land wel in behandeling nemen, ondanks een beschikking van de Commissie, maar zij mogen de beschikking niet ongeldig verklaren en daarmee de doorgifte opschorten. Wat kunnen zij dan wel?
Indien een nationale toezichthouder meent dat een beschermingsniveau van een derde land niet passend is, dient zij een procedure te starten voor de nationale rechter. De nationale rechter dient vervolgens – indien zij de mening van de nationale privacy toezichthouder deelt – de prejudiciële vraag of de beschikking geldig is voor te leggen aan het HvJEU.
Geldigheid van de Beslissing
Net zoals de advocaat-generaal leest het HvJEU in de prejudiciële vragen van de High Court de vraag of de Beslissing geldig is. Om de High Court een volledig antwoord te geven, dient ook een oordeel te worden gegeven over de geldigheid van de Beschikking, aldus het HvJEU.
In dit kader wijst het HvJEU erop dat in de Privacy richtlijn geen definitie bevat van wat een ‘passend beschermingsniveau’ is. Echter, zo vervolgt het HvJEU is wel duidelijk dat het derde land dit passende beschermingsniveau moet garanderen door nationaal recht of internationale verplichtingen. Hoewel de wijze waarop het derde land deze bescherming inricht kan verschillen van de EU, moeten de maatregelen die worden getroffen in praktijk effectief blijken om een beschermingsniveau te garanderen dat gelijkwaardig is aan dat in de EU.
Om een beschikking over het beschermingsniveau van een derde land te nemen moet de Commissie de inhoud van de geldende wet- en regelgeving van een derde land beoordelen en de wijze waarop in dat derde land de naleving wordt gewaarborgd. Omdat het beschermingsniveau aan verandering onderhevig is, moet de Commissie voorts regelmatig controleren of het beschermingsniveau in het derde land nog steeds passend is. Dit moet in ieder geval worden gedaan wanneer omstandigheden daartoe aanleiding geven (bijvoorbeeld de onthullingen van Snowden) en hierbij dienen ook nieuwe omstandigheid in overweging te worden genomen. De beoordeling van de Commissie moet voorts strikt zijn, daar de beschikking van de Commissie een belangrijke rol speelt in de bescherming van privéleven en fundamentele rechten en vrijheden, alsmede gezien het grote aantal personen van wie de gegevens betrokken zijn bij een dergelijke beschikking.
Het HvJEU geeft aan dat een systeem op basis van zelf-certificering, zoals de Safe Harbour Principles, in beginsel een passend beschermingsniveau kunnen waarborgen, indien daarvoor een effectief controlemechanisme wordt geïmplementeerd. In het geval van de Safe Harbour Principles is dit echter niet het geval. Op basis van de eigen analyse van de Commissie blijkt al dat de autoriteiten in de VS (op grote schaal en ongedifferentieerd) toegang hebben tot gegevens afkomstig uit de EU en deze verder kunnen verwerken dan het doel waarvoor deze zijn verkregen. Daarnaast wordt niet voorzien in administratieve of juridische rechtsmiddelen voor de betrokkenen. Tevens wijst het HvJEU erop dat de Beschikking de bevoegdheden van nationale privacy toezichthouders inperkt. De Commissie heeft de bevoegdheid echter niet om de bevoegdheden van nationale privacy houders in te perken.
Het HvJEU concludeert dat de Beschikking niet in overeenstemming is met het daarvoor geldende wettelijke kader. Het HvJEU verklaart de Beschikking daarom ongeldig.
Dus.. wat nu?
Doordat het HvJEU de Beschikking ongeldig heeft verklaard is iedere doorgifte vanuit de EU naar de VS, gebaseerd op de Safe Harbour certificering van het Amerikaanse bedrijf, per gisteren onrechtmatig. Zoals mijn kantoorgenoot Menno Weij al aangaf is hiermee een belangrijke (en veel gebruikte) grondslag voor gegevensverwerking weggevallen.
Veel bedrijven maken (al dan niet bewust) gebruik van de mogelijkheden die de Beschikking bood. Natuurlijk de grote jongens zoals Facebook, maar ook kleine start-ups of de bakker op de hoek, die zijn klantbestand in de cloud van Amazon heeft hangen.
Gelukkig zijn er nog een aantal mogelijkheden om rechtmatig gegevens door te geven naar de VS. Ten eerste kan aan de betrokkene toestemming worden gevraagd voor de doorgifte. Dit zal echter in veel gevallen praktisch onmogelijk blijken, bijvoorbeeld vanwege het grote aantal betrokkenen. Een andere mogelijkheid is het sluiten van EU Model Clauses. Deze standaard contracten voorzien in een juridisch kader waardoor het ontvangende bedrijf contractueel verplicht wordt tot het bieden van een passend beschermingsniveau. Indien ongewijzigd getekend biedt dit een grondslag voor de doorgifte naar derde landen, waaronder de VS.
De Commissie is overigens al (geruime tijd) in overleg met de VS om de Beschikking te herzien, of dit echter op korte termijn tot een nieuwe beschikking zal leiden valt nog te bezien. Op dit moment hebben bedrijven daar in ieder geval niets aan.