In een zaak over de opslag van Facebook-gegevens van Europeanen in de Verenigde Staten (“VS”) heeft de advocaat-generaal van het Hof van Justitie van de Europese Unie zijn conclusie gegeven. In zijn advies schrijft hij onder meer dat het beschermingsniveau van de VS in het kader van de Safe Harbour Principles niet passend is. Indien zijn advies wordt gevolgd, kan dit grote gevolgen hebben voor de doorgifte van data naar en opslag van data in de VS.
Juridisch kader
De bescherming van persoonsgegevens is niet in alle landen hetzelfde geregeld. Binnen de Europese Unie (“EU”) is het niveau van gegevensbescherming gelijk, omdat alle EU-lidstaten hun wetgeving hebben aangepast aan de Europese privacyrichtlijn (Richtlijn 95/46/EG). Voor doorgifte van persoonsgegevens vanuit de EU naar landen buiten de EU (derde landen) gelden aparte regels. De hoofdregel is dat persoonsgegevens alleen mogen worden doorgegeven naar derde landen indien dat land een passend beschermingsniveau heeft. Buiten deze gevallen is doorgifte slechts toegestaan op basis van een wettelijke uitzondering, of indien de minister van Justitie een vergunning geeft voor de doorgifte van persoonsgegevens.
De Europese Commissie heeft op basis van de Europese privacyrichtlijn de bevoegdheid om van een derde land aan te geven of het een passend beschermingsniveau biedt. Lidstaten dienen op basis van een dergelijke constatering de doorgifte van gegevens naar het derde land toe te staan.
Daarnaast verplicht de Europese privacyrichtlijn iedere lidstaat om een nationale privacy autoriteit in het leven te roepen die onafhankelijk toezicht houdt op de verwerking van persoonsgegevens. De bevoegdheid van dergelijke nationale toezichthouders strekt zich tot bescherming van de gegevens van burgers in individuele gevallen.
Safe Harbour
De Europese Commissie heeft in een beschikking (“Beschikking”) geoordeeld over de doorgifte van persoonsgegevens naar de VS. Deze Beschikking voorziet in een rechtsgrondslag voor de doorgifte van persoonsgegevens van de EU naar ondernemingen in de VS die zich houden aan de zogenaamde Safe Harbour Principles die zijn neergelegd in de Beschikking. Facebook, Google en een groot aantal Amerikaanse techbedrijven staan op de lijst met organisaties die voldoen aan deze principes en bieden derhalve in beginsel een passend beschermingsniveau.
Na de onthullingen van Edward Snowden over de afluisteractiviteiten van de Amerikaanse inlichtingendiensten (en met name de National Security Agency) in 2013 zijn echter vraagtekens gezet bij het beschermingsniveau van de VS, zelfs met de Safe Harbour Principles. De Beschikking voorziet namelijk in de mogelijkheid om de naleving van de Safe Harbour Principles op te schorten, indien dit noodzakelijk is om te voldoen aan nationale conflicterende wetgeving. Het Amerikaanse recht kent conflicterende wetgeving, die bepaalt dat Amerikaanse inlichtingendiensten voor de nationale veiligheid, het openbaar belang en de opsporing van strafbare feiten gegevens kunnen opvragen bij organisaties, ook als zij op de Safe Harbour lijst staan. Om aan deze wetgeving te voldoen mogen partijen de waarborgen die de Safe Harbour Principles bieden opzij schuiven, zonder dat zij daarmee in strijd handelen met de rechtsgrond waarop de doorgifte van de gegevens vanuit de EU heeft plaatsgevonden.
Schrems vs Facebook
De Oostenrijkse Maximillian Schrems heeft op 25 juni 2013 een klacht ingediend bij de Ierse nationale toezichthouder, de Data Protection Commissioner (“Commissioner”) tegen Facebook Ireland, een dochtermaatschappij van het in de VS gevestigde Facebook Inc. De gegevens van de abonnees van Facebook Ireland die binnen de EU verblijven, worden doorgegeven naar en bewaard op servers van Facebook Inc. De klacht richt zich tegen het recht en de praktijk van de VS. Voor de persoonsgegevens die op het grondgebied van de VS worden bewaard wordt geen werkelijke bescherming geboden tegen staatstoezicht. Dit zou aan het licht zijn gebracht door de onthullingen van Snowden.
De Commissioner heeft de klacht van Schrems afgewezen. De Europese Commissie heeft immers in de Beschikking geconstateerd dat de VS een passend beschermingsniveau waarborgen voor de doorgifte van persoonsgegevens indien is voldaan aan Safe Harbour. Omdat iedere vraag betreffende de gepastheid van de bescherming van deze gegevens in de VS in overeenstemming met de Beschikking moet worden beantwoord, kon hij het in de klacht opgeworpen probleem niet onderzoeken, aldus de Commissioner.
Schrems heeft daarna beroep ingesteld bij de Ierse High Court of Justice (“High Court”). De Commissioner had volgens de High Court op grond van het Ierse recht, en in het bijzonder de grondwettelijke vereisten ervan, de klacht van Schrems niet mogen afwijzen, maar moeten onderzoeken. De ongedifferentieerde toegang tot persoonsgegevens die op grote schaal plaatsvindt maakt namelijk inbreuk op de grondwettelijke rechten op eerbiediging van het privéleven en bescherming van persoonsgegevens. Voorts is de inmenging in deze rechten volgens de High Court niet noodzakelijk noch in het belang van een legitiem doel en voldoet daarom niet aan het evenredigheidsvereiste. Naar Iers recht zou de doorgifte derhalve in strijd met de Ierse grondwet moeten worden geacht.
Prejudiciële vraag
Omdat de klacht echter ziet op wetgeving die gebaseerd is op Europees recht, heeft de High Court aan het Hof van Justitie van de EU (“HvJ”) prejudiciële vragen gesteld. Zij stelt de volgende prejudiciële vragen:
“Wanneer bij een onafhankelijke ambtsdrager, aan wie bij de wet de toepassing en de uitvoering van de wetgeving inzake gegevensbescherming is opgedragen, een klacht wordt ingediend dat persoonsgegevens worden doorgegeven aan een derde land (in casu de Verenigde Staten van Amerika) waarvan het recht en de praktijk volgens de klager de betrokkenen geen passende bescherming bieden, is die ambtsdrager dan absoluut gebonden aan de communautaire bevinding van het tegendeel (…)?
Of kan en/of moet de ambtsdrager overgaan tot een eigen onderzoek van de zaak in het licht van de feitelijke ontwikkelingen die zich sinds de eerste bekendmaking van beschikking 2000/520 hebben voorgedaan?”
Conclusie AG Hof van Justitie EU
Volgens advocaat-generaal (“AG”) Bot van het HvJ zijn nationale toezichthouders in beginsel gebonden aan een door de Europese Commissie vastgestelde beschikking, maar hiervan kan onder omstandigheden worden afgeweken. De nationale toezichthouders hebben als onafhankelijke autoriteit krachtens de Europese privacyrichtlijn immers een essentiële rol in de bescherming van persoonsgegevens in individuele gevallen. Het feit dat nationale toezichthouders individuele klachten ontvangen belet volgens de AG overigens niet dat deze autoriteiten hun eigen mening vormen over het algemene beschermingsniveau van derde landen en daaruit conclusies trekken voor de beoordeling van individuele gevallen.
De nationale toezichthouders moeten ook een onderzoek kunnen instellen wanneer bij hen een klacht is ingediend over het beschermingsniveau van een derde land. Na het instellen van een onderzoek hebben nationale toezichthouders voorts de bevoegdheid om de doorgifte van gegevens op te schorten, indien deze afbreuk doet aan de gegevensbescherming van de Unieburgers, ongeacht de algemene evaluatie die de Commissie in haar beschikking heeft gemaakt, aldus de AG.
Om de High Court te voorzien van een volledig antwoord en om de twijfels over de geldigheid van de Beschikking weg te nemen, is de AG voorts van mening dat het HvJ de geldigheid van de Beschikking moet toetsen, ondanks dat dit niet specifiek wordt gevraagd. Volgens de AG blijkt namelijk uit de verwijzingsbeslissing van de High Court en uit de opmerkingen van de Commissioner dat Schrems met zijn klacht rechtstreeks de Beschikking ter discussie heeft willen stellen. Daarbij heeft de verwijzende rechter indirect twijfel geuit over de geldigheid van de Beschikking.
Over de Beschikking zelf zegt de AG dat deze ongeldig moet worden verklaard. Vanwege de schendingen van de grondrechten van de Unieburgers kan niet worden aangenomen dat de Safe Harbour regeling een passend beschermingsniveau waarborgt voor de persoonsgegevens die op basis van deze regeling vanuit de Unie naar de VS worden doorgegeven.
Tot slot wijst de AG erop dat de Europese Commissie naar aanleiding van de onthullingen van Snowden onderhandelingen voert met de VS om aan de uitholling van de Beschikking een eind te maken. Hangende deze onderhandelingen had de Europese Commissie de toepassing van de Beschikking moeten opschorten, aldus de AG . Nu de Europese Commissie dit niet heeft gedaan worden de schendingen van de grondrechten van personen, wier persoonsgegevens in het kader van Safe Harbour zijn en worden doorgegeven, nog altijd gecontinueerd. Dit nalaten van de Europese Commissie ziet de AG als een aanvullende grond voor het HvJ om zich in haar arrest in het kader van deze prejudiciële verwijzing ook uit te laten over de geldigheid van de Beschikking.
Of het advies van de AG in zijn conclusie wordt gevolgd moet nog blijken. De rechters van het Hof gaan nu in beraad over de voorliggende vragen. Indien het advies van de AG wordt gevolgd kan dit grote gevolgen hebben voor de doorgifte van data naar de VS en de opslag van gegevens op Amerikaanse servers.