Noot bij ECLI:EU:C:2015:650 - beschermingsniveau Safe Harbor

Samenvatting

Weinig zaken van het Europees Hof krijgen zoveel aandacht als de Schrems-zaak. Max Schrems, een Oostenrijkse student, wist het Ierse High Court zover te krijgen dat prejudiciële vragen werden gesteld over het zogenaamde ‘Safe Harbor’-systeem. Op grond van dit ‘veilige-haven’-systeem kunnen persoonsgegevens worden uitgewisseld tussen Europa en de Verenigde Staten. Het betreft een nadere invulling van de algemene Europese privacyregulering zoals neergelegd in Richtlijn 95/46 (‘Privacyrichtlijn’).

Op basis van artikel 25 van deze richtlijn kunnen persoonsgegevens buiten Europa worden verwerkt wanneer het betreffende land ‘een passend beschermingsniveau waarborgt’. Het is aan de Europese Commissie om vast te stellen of van een dergelijk beschermingsniveau sprake is, hetgeen leidt tot een ‘adequacy-decision’. Voor wat betreft de Verenigde Staten is een en ander terug te vinden in een commissiebeschikking genummerd 2000/520/EG (PbEG 2000, L 215, 25 augustus 2000). 

Bedrijven kunnen vervolgens de uitgangspunten van deze beslissing onderschrijven (‘zelfcertificatie’) en vervolgens – met inachtneming van deze uitgangspunten – zonder verdere beperkingen persoonsgegevens afkomstig uit de Europese Unie in de Verenigde Staten verwerken. Meer dan 4000 bedrijven, waaronder alle grote internetbedrijven zoals Facebook en Google, onderschreven het Safe Harbor-regime. Schrems – via de prejudiciële vragen van het High Court – stelt aan de orde dat het geboden beschermingsniveau niet voldoet en in het bijzonder strijdig is met artikel 7, 8 en 47 Handvest van de grondrechten van de Europese Unie (het Handvest). In deze artikelen zijn privacy (artikel 7) en de bescherming van persoonsgegevens (artikel 8) geregeld. Via artikel 47 wordt gewaarborgd dat bij schending van deze rechten eenieder aanspraak heeft op een doeltreffende voorziening in rechte.

Over de uitspraak zijn niet alleen veel noten en commentaren verschenen [1], maar de problematiek maakt in een bredere context bijvoorbeeld ook deel uit van een recent verdedigd proefschrift [2]. Deze noot beperkt zich tot een aantal observaties die met name vanuit het perspectief van de consument van belang zijn.
 

Tekst noot

De Schrems-zaak, mede in navolging van andere (met name de in deze context relevante Dataretentie-zaak:
HvJ EU 8 april 2014, gevoegde zaken C-293/12 en C-594/12, ECLI:EU:C:2014:238 )[3], onderstreept de realiteit van het Handvest. Volgens sommigen ooit opgesteld om cosmetische redenen (ook de EU moest een soort van grondwet hebben), is sinds 2009 het Handvest integraal onderdeel van de Europese rechtsorde en daarmee volledig toetsbaar door het Hof (ingevolge de inwerkingtreding van het Verdrag van Lissabon op 1 december 2009). Dit is van groot belang, zeker waar het de positie van de burger/consument betreft, want hiermee beschikt de Europese Unie over een eigen normatief kader. Weliswaar zijn grondbeginselen zoals de bescherming van persoonsgegevens ook in het Unieverdrag terug te vinden (artikel 16 VWEU), maar veel ‘secundaire’ instrumenten zoalsrichtlijnen en verordeningen zijn vaak toonbeelden van politiek pragmatisme.
Compromissen zijn belangrijker dan het zeker stellen van het onderliggende normatieve kader, zo lijkt het
oordeel van het Hof te bevestigen.Immers, het Hof neemt de krachtige beslissing om de beschikking van de Europese Commissie eenvoudig ongeldig te verklaren (‘beschikking 2000/520 is ongeldig’). Eerder deed het Hof in de Dataretentie-zaak hetzelfde met de richtlijn die allerei verplichtingen introduceerde tot het ongebreideld verzamelen van gegevens. Het ongeldig verklaren van instrumenten betekent simpel weg dat Raad, Commissie en Parlement hun werk niet goed hebben gedaan. In een tijd waar er veel kritiek is op ‘Brussel’, houdt het Hof de rug recht en geeft daarmee tegelijkertijd aan dat burgers via het Hof daadwerkelijke bescherming kan worden geboden.

Een tweede belangrijk consumentenaspect betreft de rol van de onafhankelijke toezichthouders (in Nederland de Autoriteit Persoonsgegevens, voorheen College bescherming persoonsgegevens (CBP) genaamd). Artikel 8
Handvest bepaalt in lid 3 dat een onafhankelijke autoriteit toeziet op de naleving van het normatieve kader ten aanzien van de bescherming van persoonsgegevens (hetzelfde uitgangspunt is terug te vinden in artikel 16.4 VWEU). In artikel 28 Privacyrichtlijn is het fenomeen van onafhankelijk toezicht verder uitgewerkt. De autoriteit is belast met het toezicht op haar grondgebied inzake de uitvoering van de richtlijn. Zij dient onder meer volledig onafhankelijk te zijn en overruime bevoegdheden te beschikken. In diverse eerdere beslissingen is door het Hof aangegeven wat onder onafhankelijk toezicht moet worden verstaan (zie Hijmans, p. 312-316). Het Hof hecht grote waarde aan onafhankelijkheid en wees onder meer Duitsland en Oostenrijk terecht. Mijns inziens moet tussen de regels door in dit arrest worden gelezen dat het Hof enigszins kritisch is over het functioneren van onafhankelijke autoriteiten. Het wasin de onderliggende zaak immers niet de autoriteit die aan bel trok, maar zij weigerde juist dat te doen. Waarschijnlijk is dat de reden waarom het Hof buiten twijfel stelt dat de nationale autoriteit bevoegd is om na te gaan of bij een doorgifte van persoonsgegevens naar een derde land de geldende regels worden nageleefd. Dit is dus niet een uitsluitende bevoegdheid van de autoriteit van de lidstaat waarin zich een bedrijf heeft gevestigd, zoals in deze zaak is betoogd. Wanneer de Europese Commissie via de artikel 25-procedure heeft vastgesteld dat het algemene beschermingsniveau in een land voldoende is, kan een autoriteit geen maatregelen nemen die hiermee in strijd zijn. Maar dat laat onverlet de verplichtingen die de autoriteit heeft om te onderzoeken of de concrete doorgifte van gegevensin overeenstemming is met de Privacyrichtlijn. Tegen een daaropvolgende beslissing van de autoriteit kan de burger weer in beroep bij de nationale rechter. Dat de nationale autoriteit aldus verplicht is om de bescherming van de nationale burgers/consumenten te waarborgen – ongeacht waar het betrokken bedrijf is gevestigd – sluit aan bij eerdere urisprudentie en isrecent opnieuw bevestigd in de beslissing van het Hof in de Weltimmo-zaak ( HvJ EU 1 oktober 2015, C-230/14, ECLI:EU:C:2015:639 ).

Om te komen tot het oordeel dat de beschikking van de Europese Commissie ongeldig is, moet het Hof vaststellen dat het beschermingsniveau zoals aangeduid in de beschikking niet voldoende passend is.Een passend beschermingsniveau is niet gelijk aan hetzelfde beschermingsniveau, zo oordeelt het Hof, maartegelijkertijd wordt vastgesteld dat vele waarborgen ontbreken. Zo is erin de beschikking van de Europese Commissie geen toezicht in de VS geregeld en zijn er geen beperkingen voor het gebruik van de persoonsgegevens in het kader van het algemeen belang en de nationale veiligheid (beide zijn toegelaten beperkingsgronden). Evenmin zegt de beschikking wat over de effectieve rechtsbescherming bij ditsoort inmengingen. Het Hof laat niet na om nog even subtiel te impliceren – mijn interpretatie – dat de Europese Commissie zichzelf in de voet heeft geschoten door in de nasleep van de Snowden-onthullingen in eigen documenten uitgebreid de tekortkomingen van Safe Harbor aan te geven (mededelingen COM(2013)846 final en COM(2013)847 final).

Gezien de vele gaten die worden geconstateerd heeft het Hof weinig moeite om te komen tot ongeldigverklaring. Met het wegvallen van de Safe Harbor-beschikking is de vraag aan de orde of de belangen van burgers op andere wijze beschermd worden bij de uitwisseling van persoonsgegevens. In het privacyrecht zijn er gereguleerde instrumenten zoals Standard Contractual Clauses (SCC’s) en Binding Corporate Rules(BCR’s) die de verwerking van persoonsgegevens mogelijk maken. Het valt buiten deze noot om uitgebreid op beide in te gaan. Dat hoeft ook niet omdat ze nimmer een volwaardig alternatief kunnen bieden voor bijvoorbeeld het geconstateerde gebrek inzake een exceptie voor het algemeen belang of de nationale veiligheid. Een goed kader voor het verwerken van persoonsgegevens door overheden kan alleen tussen die overheden worden opgelost en gaat de mogelijkheden van bedrijven of toezichthoudende autoriteiten te buiten. Onder druk van de omstandigheden hebben de Amerikaanse overheid en de Europese Commissie een alternatief kader ontwikkeld, het zogenaamde ‘Privacy Shield’ (zie o.a. persbericht Europese Commissie nr. IP/16/433 d.d. 29 februari 2016 en daarin aangegeven onderliggende documenten). Dit alternatief is momenteel onderwerp van discussie met onder meer de lidstaten, de toezichthoudende autoriteiten zoals verenigd in de Artikel 29 Werkgroep en het Europees Parlement. De bedoeling is dat een definitief akkoord wordt bereiktrond de zomer 2016. Er worden de nodige verbeteringen voorgesteld met betrekking tot de rechtsbescherming, zoals de introductie van een klachtenrecht. De rechtspositie van Europese burgers kan verder worden versterkt wanneer in de Verenigde Staten daartoe strekkende wetgeving wordt aangenomen (de zogenaamde ‘ Judicial Redress Act ’). Het gebruik van gegevens door overheden/veiligheidsdiensten wordt in de Privacy Shield-afspraken geadresseerd via het instellen van een onafhankelijke ‘ombudsman’ die klachten in ontvangst kan nemen. Onduidelijk is wat er precies gebeurt met de klachten. Verder wordt door de Amerikaanse overheid aangegeven datsinds de Snowdenonthullingen het Amerikaanse systeem van toezicht is aangescherpt en de situatie niet meer vergelijkbaar is met die uit het Snowden-tijdperk. Waar het erop lijkt dat met het Privacy Shield de waarborgen voor commercieel gebruik van persoonsgegevens van Europese burgers zijn verbeterd, is nog veel onduidelijk over de geboden oplossing voor overheidsgebruik.

Het Europees Hof heeft in de Dataretentie- en de Schrems-zaak een kritisch en strikt toetsingskader geformuleerd, waarvan bijvoorbeeld onafhankelijk voorafgaand toezicht en het kunnen treffen van concrete maatregelen zoals het beëindigen van activiteiten deel uitmaken. Uit de overgelegde teksten blijkt onvoldoende dat aan de vereisten van het Hof wordt voldaan: een systematische analyse van de voorstellen in het licht van de jurisprudentie ontbreekt. Het oordeel van het Hof is duidelijk winst voor de burger/consument. Velen zullen zich kunnen identificeren met Max Schrems als de Robin Hood die strijdt tegen ongebreidelde uitwisseling van persoonsgegevens. Het Hof heeft duidelijke grenzen gesteld aan politiek opportunisme en de Europese instellingen op hun plaats gezet. Fundamentele rechten kunnen niet meer genegeerd worden in een rechtsorde die niet langer gaat over de handel in kolen en staal. Maar ook zullen de onafhankelijke nationale autoriteiten de rol moeten gaan waarmaken die het Hof hun toebedeelt als daadwerkelijke beschermers van de belangen van individuele burgers.

Noten

1. O.a. P&I 2015, afl. 6, p. 222-224, m.nt. D. Dimitrova; Mediaforum 2015, afl. 7, p. 275-287, m.nt. W. Steenbruggen, S. van Harten en B.J. Drijber; Computerrecht 2016, afl. 1, p. 25-36, m.nt. G. Fruy.

2. H. Hijmans, The European Union as a Constitutional Guardian of Internet Privacy and Data Protection: the Story of Article 16 TFEU , VUB/UvA, 5 februari 2016.

3. In deze zaak verklaarde het Hof een richtlijn ongeldig die telecommunicatieaanbieders verplichtte tot het grootschalig verzamelen van persoonsgegevens voor opsporingsdoeleinden.

Titel, auteur en bron

Titel

Noot bij ECLI:EU:C:2015:650 - beschermingsniveau Safe Harbor

Permanente link

Huidige versie

https://www.openrecht.nl?jcdi=JCDI:ALT8:1