Informatieportal voor IT-recht

Dinsdag 19 januari 2016

(Un)safe Harbor: gegevensdoorgifte tussen de EU en de VS aan banden gelegd

Op 6 oktober 2015 deed het Hof van Justitie van de Europese Unie (HvJ) een belangrijke uitspraak op het gebied van privacy en gegevensuitwisseling.1HvJEU Zaak C-362/14, 6 oktober 2015. Deze zaak was aangespannen door een Oostenrijkse student die naar de Ierse privacy-toezichthouder was gestapt om een klacht in te dienen tegen Facebook. Volgens de student werden zijn persoonsgegevens zonder zijn toestemming door overheidsinstanties van de Verenigde Staten opgeslagen en bekeken. Naar aanleiding van de onthullingen van Edward Snowden wordt de NSA specifiek genoemd. In de uitspraak stelt het HvJ dat er onvoldoende bescherming is voor de privacy van Europese burgers wanneer hun gegevens in de VS worden opgeslagen. Welke consequenties brengt deze uitspraak met zich mee voor de privacy van EU onderdanen? In dit artikel zal deze uitspraak van het HvJ worden besproken en zal worden bezien welke invloed de uitspraak heeft op gegevensuitwisseling naar de Verenigde Staten.

 

Wat is de Safe Harbor-regeling?
De Europese Privacyrichtlijn stelt in artikel 25, eerste lid, dat persoonsgegevens slechts naar een derde land (een niet EU of EER-land) mogen worden doorgegeven indien dat land een passend beschermingsniveau biedt.2Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens. In de Wet bescherming persoonsgegevens (Wbp) is de doorgifte van gegevens naar derde landen nader uitgewerkt in de artikelen 76 tot en met 78. In afwijking van het verbod op doorgifte van gegevens kan dit wel geschieden, wanneer de Europese Commissie (de Commissie) op grond van de richtlijn een beschikking heeft vastgesteld, waarin geconstateerd wordt dat een derde land een passend beschermingsniveau biedt. De Commissie heeft een lijst opgesteld met landen waarvan wordt geoordeeld dat de verwerking van persoonsgegevens in die landen met voldoende waarborgen is omkleed en dat deze landen een passend beschermingsniveau bieden.3http://ec.europa.eu/justice/data-protection/international-transfers/adequacy/index_en.htm.  Hoewel de Verenigde Staten niet op deze lijst staan, mochten in sommige gevallen (tot de uitspraak van het HvJ) wel gegevens worden doorgegeven aan de Verenigde Staten. Dit was mogelijk in het geval dat de in de VS gevestigde ontvanger van deze persoonsgegevens een zogeheten ‘Safe Harbor’ (veilige haven) was. Een bedrijf was een Safe Harbor wanneer zij zich verklaarde aan de Europese privacywetgeving te houden. Hiervoor ondertekenden de bedrijven de ‘Safe Harbor Principles’, opgesteld door de VS.

In de Safe Harbor Principles waren zeven principes opgenomen waaraan bedrijven dienden te voldoen. Ten eerste moesten individuen geïnformeerd worden over het feit dat hun persoonsgegevens werden verzameld. Ten tweede moesten individuen de mogelijkheid hebben de doorgifte van hun gegevens te blokkeren. Ten derde mocht doorgifte van gegevens naar andere bedrijven alleen als deze organisaties ook adequate beveiligingsprincipes toepasten. Ten vierde moest er redelijke inspanning zijn gedaan om verlies van persoonsgegevens te voorkomen. Ten vijfde moesten de persoonsgegevens relevant en betrouwbaar zijn voor het doel waarvoor zij waren verzameld. Ten zesde moesten individuen toegang hebben tot de gegevens en onjuiste gegevens kunnen verbeteren of verwijderen. Tot slot, als zevende principe, moest er een effectieve manier zijn om deze regels af te dwingen.4http://web.archive.org/web/20150908060809/http://export.gov/safeharbor/eu/eg_main_018475.asp. De Commissie heeft bij beschikking deze Safe Harbor principles goedgekeurd.5Beschikking 2000/520/EG. Deze beschikking is nu door het HvJ ongeldig verklaard in bovenstaande zaak.

 

Zaak C-362/14
De Oostenrijkse student Max Schrems spande de zaak tegen Facebook aan. Hij stapte naar de privacy-toezichthouder van Ierland met de vraag of Facebook zijn gegevens in de VS mocht opslaan. De Ierse toezichthouder ging niet inhoudelijk op de vraag in, waarop Schrems naar het Ierse Hooggerechtshof stapte. Het Hooggerechtshof stelde prejudiciële vragen waardoor de zaak bij het Hof van Justitie belandde. Met een uitgebreide argumentatie kwam het HvJ tot de conclusie dat beschikking 2000/520/EG ongeldig is. Het HvJ geeft hiervoor verschillende argumenten:

Allereerst verwees het HvJ uitdrukkelijk naar de grondrechten en fundamentele vrijheden. Het ging hier met name om de artikelen 7 (eerbiediging van het privéleven en het familie- en gezinsleven) en artikel 8 (bescherming van persoonsgegevens) van het Handvest van de Grondrechten van de Europese Unie (Handvest). Hiertegenover stond het belang van vrij verkeer van persoonsgegevens, dat noodzakelijk is voor de ontwikkeling van de internationale handel. Interessant is dat er nergens een definitie is opgenomen van wat een ‘passend beschermingsniveau’ inhoudt. Wel wordt in artikel 25 van de Europese privacyrichtlijn opgesomd welke omstandigheden men bij de beoordeling of er sprake is van een passend beschermingsniveau in ogenschouw dient te nemen. In het bijzonder wordt rekening gehouden met de aard van de gegevens, het doeleinde en de duur van de voorgenomen verwerking, het land van herkomst en het land van eindbestemming, beroepscodes en veiligheidsmaatregelen die in het land worden nageleefd.

In de Safe Harbor Principles was de voorziening getroffen dat de beginselen van beschikking 200/520/EG kunnen worden beperkt “voor zover dit nodig is om aan de eisen van de nationale veiligheid, het algemeen belang en rechtshandhaving te voldoen”. Dit is een zeer algemene afwijkingsbevoegdheid die het mogelijk maakt dat op grond van deze algemeen geformuleerde belangen een inmenging plaatsvindt in de grondrechten van de personen van wie de persoonsgegevens vanuit de EU naar de VS zijn of zouden kunnen worden doorgegeven. Daarnaast bevatte beschikking 2000/520/EG geen enkele vaststelling of in de VS overheidsregels bestaan die dergelijke inmengingen in de grondrechten beperken. Een ander belangrijk punt is dat beschikking 2000/520 niets over de vraag naar effectieve rechtsbescherming bij inmenging in de privacygegevens vermeldde. Deze afwijkingsbevoegdheid in de Safe Harbor Principles was een uitzondering die naar de mening van het HvJ niet beperkt is tot het strikt noodzakelijke. Het HvJ verwees hierbij naar eerdere rechtspraak waarin zij overwoog dat uitzonderingen op het recht op bescherming van het privéleven beperkt moeten blijven tot het strikt noodzakelijke.6HvJEU Gevoegde zaken C-293/12 en C-594/12, 8 april 2014.

 

Persoonsgegevens naar de VS: mag dat nog?
De beschikking is door het HvJ ongeldig verklaard en dus gelden de Safe Harbor-principes niet meer. De consequentie hiervan lijkt op het eerste gezicht dat het opslaan van persoonsgegevens van EU-onderdanen op servers in de Verenigde Staten het grondrecht op privacy schendt. Er zijn echter meerdere mogelijkheden in de wet opgenomen om gegevens aan derde landen door te geven. Artikel 77 Wbp geeft meerdere mogelijkheden aan op grond waarvan persoonsgegevens doorgegeven kunnen worden aan een derde land dat geen passend beschermingsniveau biedt. Dit kan bijvoorbeeld bij ondubbelzinnige toestemming of bij een zwaarwegend algemeen belang. Dit betekent dat doorgifte van persoonsgegevens naar de VS niet onmogelijk is, maar op andere gronden dan de Safe Harbor-regeling dient te gebeuren. Een alternatief voor bedrijven is het gebruik van ‘modelcontracten’, opgesteld door de Commissie. Bedrijven in de EU dienen goed te bekijken in hoeverre zij gegevens doorgeven naar servers op Amerikaans grondgebied en op welke grondslag zij deze gegevensuitwisseling baseren.

 

Een positieve uitspraak voor Europese burgers
Met deze uitspraak van de hoogste Europese rechter is het belang onderstreept dat aan de grondrechten privacy en bescherming van persoonsgegevens gesteld dient te worden. Deze grondrechten zijn niet slechts woorden op papier, maar ze moeten daadwerkelijk nageleefd worden. Er zijn al jaren nieuwe onderhandelingen tussen de VS en de EU gaande over het doorgeven van persoonsgegevens. Deze uitspraak laat zien dat privacy en een passend beschermingsniveau van het grootste belang zijn en dat de Commissie bij haar onderhandelingen met de VS hier de nodige aandacht aan dient te besteden. Voor de privacy van de burgers van de Europese Unie is dit een positieve uitspraak die door bedrijven serieus dient te worden genomen.

   [ + ]

1. HvJEU Zaak C-362/14, 6 oktober 2015.
2. Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens.
3. http://ec.europa.eu/justice/data-protection/international-transfers/adequacy/index_en.htm.
4. http://web.archive.org/web/20150908060809/http://export.gov/safeharbor/eu/eg_main_018475.asp.
5. Beschikking 2000/520/EG.
6. HvJEU Gevoegde zaken C-293/12 en C-594/12, 8 april 2014.