Annotatie bij HvJEU 6 oktober 2015, C-362/14(Maximilian Schrems v. Data Protection Commissioner)
Inleiding
In een baanbrekende uitspraak heeft het Hof van Justitie (Grote Kamer) op 6 oktober 2015 de belangrijkste basis voor de doorgifte van persoonsgegevens aan bedrijven in de VS, beschikking EC/2000/520 van de Europese Commissie,[1] beter bekend als de Safe Harbour-beschikking, ongeldig verklaard. De directe aanleiding voor de zaak was een klacht van de Oostenrijkse student Max Schrems tegen Facebook, maar de uitspraak heeft gevolgen voor heel Silicon Valley en alle bedrijven die daarmee zaken doen. De duizenden bedrijven die Europese persoonsgegevens naar de VS doorgeven, moeten nu iets nieuws bedenken om een adequate bescherming daarvan te borgen.
De uitspraak van het Hof is niet alleen interessant, omdat het Hof hierin de Safe Harbour beschikking van de Commissie ongeldig verklaart. De uitspraak bevat ook principiële overwegingen over de verhouding tussen de Commissie enerzijds en de lidstaten en nationale dataprotectie autoriteiten (DPA’s) anderzijds. In deze annotatie bij de uitspraak van het Hof van Justitie gaan Wilfred Steenbruggen en Sonja van Harten in op de overwegingen die hebben geleid tot de ongeldigverklaring van de Safe Harbour beschikking. Hoe is het Hof daartoe gekomen en hoe moet het nu eigenlijk verder?
Achtergrond
Zoals bekend, beoogt richtlijn 95/46/EG (Privacyrichtlijn) een hoog beschermingsniveau voor persoonsgegevens in de Gemeenschap te waarborgen. Artikel 25 Privacyrichtlijn voorziet om die reden in een strikt regime voor grensoverschrijdende doorgifte van persoonsgegevens naar landen buiten de EU. Persoonsgegevens kunnen in beginsel alleen naar derde landen worden doorgegeven, indien het betreffende land een passend beschermingsniveau kent. Is dat niet het geval, dan is de doorgifte naar zo’n derde land verboden, behoudens indien sprake is van een expliciete uitzondering of aanvullende waarborgen zijn getroffen als bedoeld in artikel 26 Privacyrichtlijn.
Hiermee wordt beoogd te voorkomen dat verantwoordelijken gebruik kunnen maken van de internationale verschillen in privacybescherming en persoonsgegevens kunnen doorgeven naar ‘vrijhavens’ wat zou leiden tot een verwatering van de Europese privacybescherming en een verstoring van de mededinging.
Onder de Privacyrichtlijn zijn zowel de DPA’s als de Commissie bevoegd om te beoordelen of bij de doorgifte van persoonsgegevens naar een derde land sprake is van een passende privacybescherming. De DPA’s kunnen dat in een concreet geval, op verzoek van een verantwoordelijke of na een klacht van een betrokkene. De Commissie heeft een meer algemene bevoegdheid en kan in een beschikking vaststellen dat een derde land beschikt over een passend beschermingsniveau. Dat heeft zij inmiddels ten aanzien van twaalf landen gedaan.[2] De lidstaten mogen op grond van artikel 25 lid 6 Privacyrichtlijn niet van dergelijke beschikkingen afwijken.
Het recht van de VS voldoet niet aan de Europese eisen. De Commissie heeft daarom, na langdurige onderhandelingen met de VS Department of Commerce, in 2000 ten aanzien van de VS een speciale beschikking genomen. Deze zogenoemde Safe Harbour beschikking voorziet in een rechtsgrondslag voor de doorgifte vanuit de EU naar in de VS gevestigde ondernemingen die zich hebben verplicht tot naleving van de zogenaamde Safe Harbour Principles.[3]
Ten aanzien van de VS bedrijven die de Safe Harbour Principles hebben onderschreven, veronderstelt de beschikking dat sprake is van een passend beschermingsniveau. Het gevolg daarvan is dat persoonsgegevens mogen worden doorgegeven naar die bedrijven zonder dat aanvullende waarborgen nodig zijn.
De Safe Harbour regeling berust op een combinatie van zelfcertificering en zelftoetsing door bedrijven en overheidsingrijpen. De beschikking definieert een reeks beginselen waaraan de bedrijven zichzelf door zelfcertificering binden en die vervolgens worden gehandhaafd door particuliere klachtinstanties en toezichthouders binnen de reikwijdte van hun bevoegdheden. De FTC heeft bijvoorbeeld een aantal keren opgetreden tegen gevallen van gegevensverwerking waarbij sprake was van oneerlijke handelspraktijken.[4]
Juist omdat de regeling zo sterk leunt op vrijwillige naleving door bedrijven, is Safe Harbour in Europa altijd controversieel geweest.[5] De Safe Harbour regeling is echter nooit echt serieus juridisch ter discussie gesteld. Ook de Commissie heeft in verschillende implementatierapporten geconstateerd dat Safe Harbour tekortkomingen kende.[6] In plaats van de inhoud van de beschikking te herzien, gaf de Commissie er echter steeds de voorkeur aan om samen met de VS te komen tot een betere naleving van de Safe Harbour Principles.
Snowdens onthullingen over het PRISM afluisterprogramma maakten een einde aan deze status quo. Het werd ineens duidelijk dat de NSA via de bij PRISM betrokken bedrijven die allemaal Safe Harbour gecertificeerd waren, onbeperkte en ongecontroleerde toegang had tot enorme hoeveelheden communicatie en data die op servers in de VS was opgeslagen, en dus ook tot Europese persoonsgegevens.
Ook hier zocht de Commissie in eerste instantie naar een politieke oplossing. In juli 2013 riep toenmalig Commissaris Viviane Reding op tot een herziening van Safe Harbour tegen het einde van dat jaar.[7] In november 2013 kwam de Commissie vervolgens met een reeks aanbevelingen om Safe Harbour te verbeteren.[8] De Commissie startte vervolgens opnieuw gesprekken met de VS, maar die leidden tot niets.
Het duurde de Oostenrijkse student en privacy activist Max Schrems allemaal te lang. Hij besloot in 2013 een klacht in te dienen bij de Ierse DPA, de Data Protection Commissioner, om de doorgifte van zijn persoonsgegevens door Facebook Ierland naar het in de VS gevestigde Facebook Inc. te stoppen. De Ierse DPA was echter van mening dat de klacht ongegrond was en niet nader onderzocht hoefde te worden. In de eerste plaats, omdat er geen bewijzen waren dat de NSA zich toegang had verschaft tot de gegevens van Schrems. En daarnaast moest de klacht volgens de DPA ook worden afgewezen, omdat de Commissie in de Safe Harbour beschikking had geconstateerd dat de VS een passend beschermingsniveau waarborgen en de DPA hiervan dus moest uitgaan.
Schrems liet het er niet bij zitten en ging tegen de afwijzing van zijn klacht in beroep bij het Ierse High Court. Deze had zijn bedenkingen bij de rechtmatigheid bij het besluit van de DPA en besloot twee prejudiciële vragen aan het Hof van Justitie te stellen.
Met de eerste vraag stelt het High Court aan de orde of de DPA, gelet op artikel 7, 8 en 47 Handvest absoluut gebonden is aan de Safe Harbour beschikking van de Commissie, indien bij hem een klacht wordt ingediend over een doorgifte naar de VS. De tweede vraag stelt aan de orde of de DPA, in het licht van de feitelijke ontwikkeling die zich sinds de bekendmaking van de Safe Harbour beschikking hebben voorgedaan, tot een eigen onderzoek kan en/of moet overgaan.
Uitspraak HvJEU
In de uitspraak gaat het Hof van Justitie allereerst in op de reikwijdte van de bevoegdheid van de nationale toezichthouder ten aanzien van de doorgifte naar een derde land, indien de Commissie heeft vastgesteld dat sprake is van een passend beschermingsniveau (het procedurele punt). Hoewel daarmee sec gezien de vraag van de Ierse rechter is beantwoord, oordeelt het Hof vervolgens ook dat de Safe Harbour beschikking ongeldig is.
Wat het eerste punt betreft, volgt het Hof de conclusie van AG Bot[9] en oordeelt het dat DPA’s in staat moeten zijn om een klacht over een doorgifte naar een derde land, te beoordelen als er geen sprake is van een passend beschermingsniveau in het betreffende land, zelfs indien de Commissie een beschikking heeft genomen waarin is vastgesteld dat het beschermingsniveau passend is. Zoals eerder de AG, baseert het Hof deze conclusie op de bevoegdheden en de onafhankelijkheid van de DPA’s zoals omschreven in artikel 28 Privacyrichtlijn, gelezen in het licht van artikel 8 Handvest dat expliciet de rol en de onafhankelijkheid van de DPA noemt.
Dan gaat het Hof in op de systematiek van de regels in de Privacyrichtlijn met betrekking tot doorgifte naar derde landen en merkt op dat zowel de Commissie als de lidstaten kunnen besluiten dat een derde land een passend beschermingsniveau heeft. Als er echter een beschikking van de Commissie ligt, zijn de lidstaten en dus ook de DPA’s daaraan gebonden en mogen zij daar dus niet van afwijken.
Dit laat onverlet dat ondanks die Commissiebeschikking individuen zoals Schrems nog steeds een klacht bij de DPA kunnen indienen over een schending van hun privacyrechten. En als zij dat doen, betekent dat volgens het Hof dat in wezen de verenigbaarheid van die beschikking met de grondrechten ter discussie wordt gesteld.
DPA’s mogen, evenals de nationale rechter, niet vaststellen dat de beschikking van de Commissie ongeldig is. Het Hof wijst in dat verband op zijn vaste rechtspraak waaruit blijkt dat alleen het Hof bevoegd is om een EU handeling, zoals een beschikking van de Commissie, ongeldig te verklaren. Wat moet de DPA in zo’n geval dan wel doen? De DPA die een dergelijke klacht ontvangt, moet deze met de nodige voortvarendheid en zorgvuldigheid onderzoeken. Indien de DPA dan meent dat de klacht ongegrond is, moet de indiener de mogelijkheid hebben om in beroep tegen het besluit van de DPA op te komen. Komt de nationale rechter dan tot de conclusie dat de klacht mogelijk gegrond is, dan is hij verplicht bij prejudiciële verwijzing het Hof te verzoeken om beoordeling van de geldigheid. Maar als de DPA meent dat de klacht gegrond is, moet hij zelf in rechte kunnen optreden. Dat betekent volgens het Hof dat de lidstaat in een procedure moet voorzien waarmee de DPA de zaak aan de nationale rechter kan voorleggen, zodat deze wanneer hij de twijfel van de DPA deelt, de geldigheid van de beschikking aan het Hof van Justitie kan voorleggen.
Het Hof gaat dan in op het tweede punt: de (on)geldigheid van de Safe Harbour beschikking. Het High Court had het Hof van Justitie niet expliciet verzocht om zich daarover uit te laten, maar het Hof wijst op de door Schrems geuite twijfels over de geldigheid van de Safe Harbour beschikking die de nationale rechter blijkt te delen. Onder die omstandigheden moet volgens het Hof worden onderzocht of de beschikking in overeenstemming is met de eisen uit de richtlijn, gelezen in samenhang met het Handvest. Eigenlijk past het Hof hier voor het eerst zijn eigen nieuwe kader toe.
Daarbij gaat het Hof eerst in op de vraag wat er onder “passend beschermingsniveau” moet worden verstaan. Volgens het Hof geeft artikel 25 lid 6 Privacyrichtlijn uitvoering aan de (positieve) verplichting in artikel 8 lid 1 Handvest tot bescherming van persoonsgegevens en heeft het tot doel het hoge niveau van deze bescherming te continueren bij doorgifte van persoonsgegevens naar een derde land. Dat betekent volgens het Hof dat er ook een hoog niveau van bescherming in het derde land moet zijn. Die bescherming hoeft niet identiek te zijn, maar moet wel in grote lijnen overeenkomen (in de Engelse versie “essentially equivalent”) met de bescherming in de Unie, omdat anders het hoge beschermingsniveau in de EU eenvoudig zou kunnen worden omzeild. Het Hof merkt daarbij op dat de middelen waarmee het derde land een passend beschermingsniveau waarborgt, anders mogen zijn dan in de EU, maar wel doeltreffend in de praktijk moeten zijn.
Bij de beoordeling van de passendheid moet de Commissie niet alleen de inhoud van de toepasselijke regels te beoordelen, maar ook de praktijk waarmee voor naleving daarvan moet worden gezorgd. Verder moet de Commissie na de vaststelling van de beschikking periodiek nagaan of nog steeds in feite en in rechte sprake is van een passend beschermingsniveau. Dat moet in elk geval wanneer er aanwijzingen zijn die daarover twijfels doen ontstaan. Ook moet er rekening worden gehouden met de gebeurtenissen die zich na vaststelling van de beschikking hebben voorgedaan.
Het Hof merkt daarbij op dat gelet op de belangrijke rol van de bescherming van persoonsgegevens voor het recht op privacy en het grote aantal personen van wie de grondrechten zouden kunnen worden geschonden, de beoordelingsruimte van de Commissie beperkt is, zodat de beschikking strikt moet worden getoetst.
Die strikte toets leidt het Hof in deze uitspraak tot de conclusie dat twee artikelen van de Safe Harbour beschikking ongeldig zijn. Dat geldt allereerst voor artikel 1 waarin is beslist dat de Safe Harbour Principles een passend beschermingsniveau waarborgen.
Het Hof accepteert op zichzelf het systeem van zelfcertificering, mits dat gepaard gaat met doeltreffende detectie- en controlemechanismen. Het Hof merkt op dat deze zelfcertificering niet geldt voor Amerikaanse overheidsinstanties, terwijl de beschikking verder geen toereikende vaststellingen bevatte ten aanzien van de maatregelen waarmee de VS waarborgen voor een passend beschermingsniveau bieden. De beschikking geeft wel expliciet aan dat de “eisen van nationale veiligheid, het algemeen belang en de rechtshandhaving” van de VS voorrang hebben op de Safe Harbour Principles.
Het Hof accepteert dat nationale veiligheid op zichzelf een legitiem belang is, maar dat laat onverlet dat de Safe Harbour beschikking het hierdoor mogelijk maakt dat een inmenging plaatsvindt in de grondrechten van de personen van wie persoonsgegevens vanuit de Unie worden doorgegeven.
Vervolgens stelt het Hof vast dat er in de beschikking niet is vastgesteld of er in de VS overheidsregels bestaan ter beperking van dergelijke inmengingen. De Safe Harbour beschikking vermeldt ook niets over de vraag of er effectieve rechtsbescherming tegen dat soort inmengingen bestaat. Het Hof wijst vervolgens op de evaluatie door de Commissie in 2013 waaruit blijkt dat de Amerikaanse autoriteiten zich toegang kunnen verschaffen tot Europese persoonsgegevens op een wijze die onverenigbaar is met de doelstellingen waarvoor deze werden doorgegeven en verder gaat dan noodzakelijk en proportioneel was voor de bescherming van de nationale veiligheid. [10] Ook blijkt uit deze evaluatie dat er geen administratieve of gerechtelijke beroepsmogelijkheden zijn om toegang tot deze gegevens te krijgen of deze te laten corrigeren of verwijderen.
Het Hof laat zich in de Safe Harbour uitspraak evenwel zelf niet uit over de vraag of het Amerikaanse recht niet (meer) een passend beschermingsniveau waarborgt. In plaats daarvan roept het Hof voor wat betreft de bescherming binnen de Unie onder meer zijn uitspraak inzake Digital Rights Ireland[11] in herinnering waaruit blijkt dat een regeling van de Unie die een inmenging vormt van de in de artikelen 7 en 8 Handvest gewaarborgde rechten, duidelijke en precieze regels en minimale vereisten moet bevatten zodat de betrokkenen over voldoende garanties beschikken dat hun gegevens worden beschermd tegen misbruik en onrechtmatige verder verwerking. Ook moeten de uitzonderingen op de bescherming van persoonsgegevens en beperkingen binnen de grenzen van het strikt noodzakelijke blijven. Het Hof merkt daarbij op dat een regeling op grond waarvan de autoriteiten veralgemeend toegang krijgen tot de inhoud van elektronische communicatie een aantasting van de wezenlijke inhoud van het grondrecht op eerbiediging van het privéleven vormt zoals gewaarborgd door artikel 7 Handvest. En hetzelfde doet een regeling die niet voorziet in een beroepsmogelijkheid ten aanzien van het in artikel 47 Handvest neergelegde grondrecht op een effectieve voorziening in rechte.
Vervolgens doet het Hof de zaak af met de vaststelling dat artikel 25 lid 6 Privacyrichtlijn vereist dat de Commissie naar behoren met redenen omkleed vaststelt dat het derde land in kwestie daadwerkelijk waarborgen biedt voor een niveau van bescherming dat in wezen overeenkomt met dat van de Unie. Omdat de Commissie niet in de Safe Harbour beschikking heeft vermeld dat de VS daadwerkelijk op grond van hun nationale wetgeving of internationale verbintenissen waarborgen bieden voor een passend beschermingsniveau, voldoet artikel 1 niet aan de vereisten van artikel 25 lid 6 Privacyrichtlijn en is dit artikel volgens het Hof ongeldig.
Artikel 3 van de beschikking wordt vervolgens ook ongeldig verklaard, omdat deze bepaling een beperking inhoudt van de bevoegdheden van DPA’s om op grond van artikel 28 Privacyrichtlijn om maatregelen te nemen om de naleving van artikel 25 Privacyrichtlijn te waarborgen. De DPA’s konden op grond hiervan namelijk slechts onder zeer restrictieve voorwaarden gegevensstromen naar een Safe Harbour gecertificeerd bedrijven opschorten en waren verder door de beschikking gebonden. Daarmee heeft de Commissie volgens het Hof de grenzen van zijn bevoegdheden op grond van de Privacyrichtlijn, gelezen in samenhang met het Handvest, overschreden. En omdat de artikelen 1 en 3 onlosmakelijk verbonden zijn met de artikelen 2 en 4 en de bijlagen bij de beschikking, leidt hun ongeldigheid tot de ongeldigheid van de beschikking in zijn geheel.
Commentaar
Uit de Safe Harbour uitspraak blijkt weer eens dat het Hof zijn taak als hoeder van fundamentele rechten serieus neemt, in het bijzonder bij de bescherming van de privacy en persoonsgegevens, zoals gewaarborgd in artikel 7 en 8 van het Handvest. We zagen in de afgelopen jaren al een aantal standaardarresten van het Hof van Justitie langskomen zoals Google Spain[12] en Digital Rights Ireland[13]. Met dit arrest is er weer eentje bijgekomen.
In deze uitspraak laat het Hof zich voor het eerst uit over de regels ten aanzien van de doorgifte van persoonsgegevens naar de derde landen. Het Hof komt daarbij tot dezelfde conclusies als eerder zijn AG, namelijk dat DPA’s in staat moeten zijn om een doorgifte naar een derde land te stoppen, indien dat land geen passend beschermingsniveau (meer) waarborgt, ondanks dat een beschikking van Commissie iets anders zegt, en voorts dat de Commissie’s Safe Harbour beschikking ongeldig is. Op een aantal punten wijkt het Hof evenwel subtiel af van de conclusie van de AG. In het bijzonder laat het Hof zich niet uit over de vraag of het Amerikaanse recht een passend beschermingsniveau biedt, maar stelt het enkel vast dat de Commissiebeschikking deze conclusie in ieder geval niet kan dragen. Linksom of rechtsom kunnen wij ons evenwel goed vinden in het eindresultaat.
Opvallend is dat het Hof de beschikking van de Commissie strikt toetst aan de eisen van de Privacyrichtlijn, gelezen in het licht van het Handvest, en de Commissie dus weinig beoordelingsruimte geeft bij de vaststelling van een passend beschermingsniveau. Ook in Digital Rights Ireland was sprake van een strikte toetsing door het Hof, daar van de Dataretentierichtlijn[14]. Uit Melloni[15], Siragusa[16] en Marcos[17] blijkt dat dat niet altijd het geval is. Het lijkt erop dat het Hof van Justitie handelingen van de Unie-instellingen strikter aan de grondrechten toetst dan handelingen van de lidstaten binnen het toepassingsgebied van het Unierecht. Lidstaten lijken dus meer beoordelingsruimte te krijgen van het Hof als zij de rechten in het Handvest beperken. Mogelijk is de verklaring daarvoor dat het Hof het zwaartepunt van de grondrechtelijke toetsing van handelingen van lidstaten bij de nationale rechter wil laten. Daar valt wel iets voor te zeggen, omdat de lidstaten ook nog gebonden zijn aan het EVRM en hun eigen constitutionele recht. En met de strikte toetsing van handelingen van de EU aan het Handvest komt het HvJEU tegemoet aan de jarenlange kritiek vanuit met name Duitsland dat de EU een “Grundrechtedefizit” kende.[18]
Wat betreft het punt van de bevoegdheid van de DPA’s, hebben de AG en het Hof ons inziens gelijk: DPA’s moeten in staat zijn om een doorgifte naar een derde land op te schorten, indien er duidelijke aanwijzingen zijn dat dat land in de praktijk geen passend beschermingsniveau (meer) waarborgt, ook indien een besluit van de Commissie het beschermingsniveau in het derde land als ‘passend’ verklaart. Een andere uitleg zou ook betekenen dat de in artikel 7 en 8 van het Handvest gewaarborgde rechten op bescherming van de privacy en persoonsgegevens worden uitgehold.
De procedure die de DPA’s moeten volgen als zij menen dat de Commissiebeschikking ongeldig is, is omslachtig en lijkt dan ook voor verbetering vatbaar. Ligt het niet meer voor de hand dat de DPA in zo’n geval de Commissie verzoekt om de beschikking te wijzigen of in te trekken? Als dan de Commissie een dergelijk verzoek zou afwijzen, staat daartegen ingevolge artikel 265 VWEU beroep open en kan de zaak aan het Hof van Justitie worden voorgelegd in een procedure waarbij ook de Commissie partij is.
Van principiële en verdergaande betekenis is de overweging van het Hof dat de Privacyrichtlijn de Commissie niet de bevoegdheid geeft om de bevoegdheden van de DPA’s op grond van artikel 28 Privacyrichtlijn in te perken. Dat is niet alleen van belang met het oog op de Commissiebeschikkingen over het passende beschermingsniveau in derde landen, maar ook voor de toepassing van besluit 2010/87/EU van de Commissie met betrekking tot de modelcontractbepalingen (in jargon: Standard Contractual Clauses of SCC’s).[19] Ook dit besluit bevat namelijk een beperking van de bevoegdheden van de DPA’s ex artikel 28 Privacyrichtlijn. Op grond van artikel 4 mogen DPA’s de doorgifte die plaatsvindt op basis van de SCC’s alleen in welbepaalde daar omschreven gevallen opschorten. In andere gevallen moeten zij ervan uitgaan dat de modelcontractbepalingen passende waarborgen vormen. Dit laatste lijkt ons in het licht van de Safe Harbour uitspraak niet langer houdbaar.
Zeker niet minder principieel zijn de overwegingen van het Hof over wanneer nu sprake is van een passend beschermingsniveau. Het enkele feit dat persoonsgegevens in het derde land worden beschermd, is niet voldoende. Er moet sprake zijn van een beschermingsniveau dat in grote lijnen overeenkomt met, of beter in wezen gelijkwaardig is aan dat in de EU. Wat dit precies betekent, is niet duidelijk, maar wel dat het moet gaan om een relatief hoog beschermingsniveau. Daarbij is het aan de Commissie om in het kader van een beschikking ex artikel 25 lid 6 Privacyrichtlijn een totaalevaluatie te verrichten waarbij zij naast de inhoud van de in het derde land toepasselijke regels ook de praktijk waarmee voor naleving wordt gezorgd en andere voor de doorgifte relevante omstandigheden moet beoordelen. En het mag niet blijven bij een momentopname. De Commissie moet continu blijven monitoren of sprake is van een passend beschermingsniveau, en aanwijzingen van het tegendeel onderzoeken. Daaruit blijkt dat het Hof de bescherming van persoonsgegevens niet ziet als slechts een papieren formaliteit, maar dat het het Hof te doen is om een effectieve en daadwerkelijke bescherming.
Uit Google Spain[20] bleek al dat de Europese privacyregels een lange arm hebben en al snel van toepassing zijn op buitenlandse bedrijven. Indien deze ook maar enige activiteit in de EU verrichten, en in het kader daarvan persoonsgegevens verwerken, moeten zij de Europese privacyregels al in acht nemen. In deze uitspraak gaat het Hof eigenlijk nog een stap verder door te zeggen dat alleen derde landen die beschikken over vergelijkbare privacyregels en waarborgen, een passend beschermingsniveau hebben. Hiermee is de houding van het Hof behoorlijk gedraaid ten opzichte van eerdere zaken zoals Lindqvist waarin het juist niet wilde overgaan tot een brede uitleg van het toepassingsbereik van de Privacyrichtlijn.[21]
Dat sprake moet zijn van een vergelijkbare bescherming, wil overigens nog niet zeggen dat sprake moet zijn van identieke privacyregels. Het Hof accepteert in deze uitspraak het systeem van zelfcertificering en privacybescherming door middel van beginselen. Dat is van belang met het oog op een eventuele nieuwe Safe Harbour regeling. Het Europese model van algemene wetgeving ter bescherming van persoonsgegevens is niet verplicht.
Dat laat onverlet dat het PRISM-programma van de NSA juridisch gezien moeilijk te verkopen is. Het Hof laat zich niet expliciet over PRISM uit, maar het is wel duidelijk dat het Hof vindt dat dat absoluut niet door de beugel kan. Het Hof toetst in de randnummers 91-96 van de uitspraak de beschikking van de Commissie aan de eisen van artikel 7 en 8 Handvest, omdat die beschikking het mogelijk maakt dat Europese persoonsgegevens op grote schaal naar de VS worden doorgegeven, maar de overwegingen 93-95 gaan onmiskenbaar over de Amerikaanse massa surveillance. Deze gaat volgens het Hof verder dan strikt noodzakelijk en vormt, voorzover deze veralgemeend toegang kan worden verkregen tot de inhoud van communicatie zelfs een “aantasting van de wezenlijke inhoud van het grondrecht in artikel 7 van het Handvest”. De kern van het grondrecht op effectieve rechtsbescherming van artikel 47 Handvest is verder in het geding, omdat niet is voorzien in enige beroepsmogelijkheid voor de betrokkene om toegang te krijgen tot de hem betreffende persoonsgegevens, of deze te laten rectificeren of verwijderen.
Het Hof rekent de Commissie er uiteindelijk op af dat de Commissie niet in de beschikking heeft vastgesteld dat de VS daadwerkelijk waarborgen bieden voor een niveau van bescherming dat in grote lijnen overeenkomt met dat binnen de rechtsorde van de Unie. Je kunt erover twisten of een passend beschermingsniveau ook een nagenoeg vergelijkbaar beschermingsniveau betekent, maar het is op grond van de overwegingen van het Hof over de Amerikaanse massa surveillance moeilijk voorstelbaar dat in de VS überhaupt sprake zou kunnen zijn van een passend beschermingsniveau, hoe dit verder ook zou worden uitgelegd. Het Hof heeft ons inziens dan ook volstrekt terecht geoordeeld dat de Safe Harbour beschikking ongeldig is.
Hoe nu verder?
Safe Harbour is dus dood. Hoe nu verder? Er wordt door de Commissie al een tijd gesproken over een herziening van de Safe Harbour regeling. Recent is ook door de Commissie bekendgemaakt dat er een principe-akkoord ligt.[22] Een nieuwe Safe Harbour beschikking moet echter wel aan de eisen van het Hof in deze uitspraak voldoen. En dat betekent dat de VS zijn surveillance programma’s ingrijpend zou moeten aanpassen. Het Hof is er glashelder over dat massa surveillance een probleem is, ongeacht of er waarborgen zijn om misbruik te voorkomen. Volgens het Hof tast het massaal onderscheppen of aftappen van de inhoud van communicatie de kern van het grondrecht in artikel 7 Handvest aan en is dit dus sowieso onaanvaardbaar. Gericht aftappen is natuurlijk wel mogelijk, mits gebaseerd op duidelijke en precieze regels en omkleed met waarborgen om misbruik te voorkomen. De VS zouden dus PRISM moeten afschaffen en waarschijnlijk extra waarborgen in het nationale recht moeten aanbrengen, inclusief een effectieve rechtsgang voor inzage door betrokkenen, om in een nieuwe Safe Harbour beschikking als derde land met een passend beschermingsniveau te kunnen worden aangemerkt. Het is maar de vraag of de VS bereid is om zover te gaan.
In de tussentijd moeten organisaties op zoek naar andere mogelijkheden om persoonsgegevens naar de VS te kunnen doorgeven. In theorie zijn die mogelijkheden er.
Artikel 26 lid 1 van de Privacyrichtlijn bevat zes expliciete uitzonderingen op het uitgangspunt dat persoonsgegevens alleen naar een derde land met een passend beschermingsniveau kunnen worden doorgegeven. Persoonsgegevens kunnen op grond daarvan worden doorgegeven met (a) ondubbelzinnige toestemming van de betrokkene, (b en c) wanneer dit noodzakelijk is voor de sluiting of uitvoering van de overeenkomst met de betrokkene of voor de uitvoering van een overeenkomst in zijn belang, (d) wanneer het noodzakelijk is of wettelijk verplicht voor een zwaarwegend algemeen belang of voor de vaststelling, de uitoefening of de verdediging van een recht in rechte, (e) ter vrijwaring van een vitaal belang van de betrokkene, of (f) de doorgifte geschiedt vanuit een openbaar register. Van deze uitzonderingen zal in de meeste gevallen alleen ondubbelzinnige toestemming als grondslag voor doorgifte naar de VS in aanmerking komen. Ondubbelzinnige toestemming is evenwel allerminst onproblematisch en eigenlijk niet geschikt als grondslag voor een geautomatiseerde of herhaalde doorgifte, ook omdat de toestemming elk moment door de betrokkene kan worden ingetrokken.
Artikel 26 lid 2 Privacyrichtlijn maakt het daarnaast mogelijk dat lidstaten toestemming geven dat persoonsgegevens ook naar een land zonder passend beschermingsniveau worden doorgegeven, indien de verantwoordelijke voorziet in aanvullende waarborgen. Daarbij moet met name gedacht worden aan passende contractuele bepalingen, zoals de eerder genoemde SCC’s van de Commissie, of zogenaamde Binding Corporate Rules (BCR’s). SCC’s en BCR’s bieden weliswaar meer bescherming dan de Safe Harbour Principles, maar lossen ons inziens het door het Hof in de uitspraak genoemde probleem met overheidsinterventies niet op. Ook op grond van die overeenkomsten kunnen Amerikaanse bedrijven immers niet weigeren om mee te werken aan het PRISM programma van de NSA of een ander surveillance programma met alle privacybezwaren van dien.
Ons inziens bieden geen van de in artikel 26 Privacyrichtlijn genoemde uitzonderingen een sluitende oplossing voor het probleem dat als gevolg van de ongeldigverklaring van de Safe Harbour beschikking is ontstaan. Buiten het verplaatsen van de verwerking van persoonsgegevens naar de EU of een derde land dat wel beschikt over een passend beschermingsniveau (eventueel met aanvullende contractuele waarborgen), lijkt toch echt alleen een nieuwe afspraak met de VS die wel aan de eisen van het Hof voldoet, het probleem echt op te kunnen lossen: Safe Harbour 2.0.
De DPA’s hebben die conclusie nog niet getrokken. De Artikel 29 Werkgroep heeft aangegeven de tijd te nemen voor een grondige analyse van de consequenties van de Safe Harbour uitspraak voor de andere grondslagen voor doorgifte naar de VS. Hangende die analyse acht de Werkgroep SCC’s en BCR’s nog steeds bruikbaar als grondslag. Als er eind januari 2016 geen passende oplossing is gevonden, kunnen de DPA’s afhankelijk van de uitkomsten van de analyse overgaan tot gezamenlijke handhaving van het regels met betrekking tot doorgifte, aldus de Artikel 29 Werkgroep. De Duitse DPA’s hebben reeds aangegeven dat ze daarop niet wachten en geen nieuwe vergunningen meer zullen afgeven gebaseerd op BCR’s en (model)contracten.[23]
Het Cbp volgt vooralsnog de lijn van de Artikel 29 Werkgroep: in Nederland zijn SCC’s en BCR’s dus voorlopig nog steeds bruikbaar als grondslag voor een doorgifte naar de VS. Indien daarbij gebruik wordt gemaakt van een door de Commissie vastgesteld modelcontract, kan dit op basis van artikel 77 lid 2 sub g Wet bescherming persoonsgegevens, dat daarmee uitvoering geeft aan artikel 26 lid 4 Privacyrichtlijn[24], zelfs zonder vergunning.
We zullen moeten afwachten of dat zo blijft. De SCC’s lossen het probleem met de overheidsinterventies namelijk als gezegd niet op. Duidelijk is wel dat voorzover artikel 77 lid 1 sub g Wbp eraan in de weg zou staan dat het Cbp de doorgifte opschort, indien hij vindt dat er ondanks het gebruik van de SCC’s toch geen sprake is van een passend beschermingsniveau, deze bepaling op gespannen voet staat met het Europese recht. Dat betekent tegelijkertijd ook dat de geldigheid van de SCC beschikking ter discussie staat, zodat het Cbp in het licht van de Safe Harbour uitspraak de zaak via prejudiciële vragen door de nationale rechter aan het HvJEU zou moeten voorleggen. Vastgesteld moet worden dat de huidige Wbp niet in een expliciete procedure voorziet waarmee het Cbp de zaak zelf aan de nationale rechter kan voorleggen, zodat deze, wanneer hij de twijfel van de DPA deelt, prejudiciële vragen aan het HvJEU kan stellen. Aangezien het Cbp de SCC beschikking niet ongeldig mag verklaren, heeft het in een dergelijk geval geen andere mogelijkheid dan de klacht ongegrond te verklaren en is het vervolgens aan de betrokkene om de zaak aan de rechter voor te leggen. Dat verdient met het oog op een effectieve rechtsbescherming bepaald niet de schoonheidsprijs. Daar ligt dus een taak voor de wetgever.
Afsluitend
Het Hof van Justitie heeft in de Safe Harbour uitspraak een aantal zeer principiële uitspraken gedaan die ons inziens juridisch juist zijn. Dat laat onverlet dat de uitspraak voor de praktijk van de trans-Atlantische doorgifte van persoonsgegevens nogal wat problemen veroorzaakt die niet zomaar lijken op te lossen. De DPA’s dreigen met handhaving als er niet snel een passende oplossing komt. Het is afwachten hoe heet de soep gegeten wordt.
——————————————————————————————————–
[1] Beschikking 2000/520/EG van de Commissie van 26 juli 2000, overeenkomstig Richtlijn 95/46 van het Europees Parlement en de Raad betreffende de gepastheid van de bescherming geboden door de Veiligehavenbeginselen voor de bescherming van de persoonlijke levenssfeer en de daarmee verband houdende Vaak gestelde vragen, die door het ministerie van Handel van de VS zijn gepubliceerd. (PbEG 2000, L215).
[2] Directoraat-generaal Justitie en consumentenzaken, ‘Commission decisions on the adequacy of the protection of personal data in third countries’, ec.europa.eu/justice/data-protection/international-transfers/adequacy/index_en.htm.
[3] De Safe Harbour Principles zijn beginselen inzake de kennisgeving, keuze, verdere doorgifte, beveiliging, integriteit van gegevens, toegang en rechtshandhaving. Deze zijn uitgewerkt in Bijlage I bij de Safe-Harbour beschikking.
[4] Afgelopen augustus bijvoorbeeld trof de FTC in dit verband 13 schikkingen Zie: Federal Trade Commission, ‘Enforcing Privacy Promises’.
[5] Zie bijvoorbeeld de artikel 29 Werkgroep, Opinion 05/2012 on Cloud Computing van 1 juli 2012. Zie ook: J. Dhont, Computerrecht, ‘De safe harbor-beginselen. De stand van zaken één jaar na de veiligehavenstudie, Computerrecht 2006-1, pp. 75-79.
[6] Werkdocument van de diensten van de Commissie betreffende de gepastheid van de bescherming geboden door de veiligehavenbeginselen voor de bescherming van de persoonlijke levenssfeer en de daarmee verband houdende vaak gestelde vragen, die door het ministerie van Handel van de Verenigde Staten zijn gepubliceerd, SEC (2002) 196, (13 februari 2002). Zie ook:
Werkdocument van de diensten van de Commissie betreffende de gepastheid van de bescherming geboden door de veiligehavenbeginselen voor de bescherming van de persoonlijke levenssfeer en de daarmee verband houdende vaak gestelde vragen, die door het ministerie van Handel van de Verenigde Staten zijn gepubliceerd, SEC (2004) 1323, (20 oktober 2004).
[7] Kamerstukken II 2012/13, 32317, 187.
[8] Europese Commissie, ‘Functioneren van de ‘veilige haven’ beginselen vanuit het perspectief van Europese burgers en bedrijven gevestigd in de EU’, (27 november 2013), COM(2013)847 . Daarbij ging het bijvoorbeeld om het close monitoren van het gebruik van de uitzonderingen in de Safe Harbour beschikking, de verstrekking van informatie aan betrokkenen over de mogelijke verderverstrekking aan VS veiligheidsdiensten en de erkenning van de rechten van betrokkenen op inzage, correctie en verwijdering van hun persoonsgegevens, en een verhaalsmogelijkheid voor betrokkenen in de context van de VS surveillance programma’s.
[9] Conclusie van AG Bot d.d. 23 september 2015, zaak C-362/14.
[10] Mededeling van de Commissie aan het Europees Parlement en de Raad betreffende de werking van de veiligehavenregeling (“Safe Harbour”) uit het oogpunt van EU-burgers en in de EU gevestigde ondernemingen /* COM/2013/0847 final */, paras. 7 en 12.
[11] Deze terminologie strookt met art. 52(1) van het Handvest.
[12] HvJ EU 13 mei 2014, C-131/12 (Google Spain).
[13] HvJ EU 8 april 2014, C-293/12 (Digital Rights Ireland).
[14] Richtlijn 2006/24/EG van 15 maart 2006 betreffende de bewaring van gegevens die zijn gegenereerd of verwerkt in verband met het aanbieden van openbaar beschikbare elektronische communicatiediensten of van openbare communicatienetwerken en tot wijziging van Richtlijn 2002/58/EG.
[15] HvJ EU 26 februari 2013, C-399/11 (Melloni v Ministerio Fiscal).
[16] HvJ EU 6 maart 2014, C-206/13 (Cruciano Siragusa v Regione Sicilia).
[17] HvJ EU 27 maart 2014, C-265/13 (Torralbo Marcos v Korota SA).
[18] Vgl. BVerfG 18 oktober 1967, BVerfGE 22, 293; BVerfG 29 mei 1979, BVerfGE 37, 271 (Solange I) en BVerfG 22 oktober 1986, BVerfGE 73, 339 (Solange II).
[19] Besluit van de Commissie 2010/87/EU van 5 februari 2010 betreffende modelcontractbepalingen voor de doorgifte van persoonsgegevens aan in derde landen gevestigde verwerkers krachtens Richtlijn 95/46/EG van het Europees Parlement en de Raad, C(2010) 593.
[20] HvJ EU 13 mei 2014, C-131/12 (Google Spain).
[21] HvJ EU 6 november 2003, C-101/01 (Lindqvist).
[22] EUobserver, ‘EU and US agree ‘in principle’ on new data transfer deal’, (26 oktober 2015), euobserver.com/tickers/130847.
[23] Positionspapier der Datenschutzkonferenz der Datenschutzbeauftragten des Bundes und der Länder (26 oktober 2015):datenschutz.hessen.de/ft-europa.htm#entry4521.
[24] Artikel 26 lid 4 Privacyrichtlijn bepaalt: “Wanneer de Commissie volgens de in artikel 31, lid 2, bedoelde procedure besluit dat bepaalde modelcontractbepalingen voldoende waarborgen bieden in de zin van lid 2, nemen de Lid-Staten de nodige maatregelen om zich naar het besluit van de Commissie te voegen.”
Dit artikel is eerder verschenen in Mediaforum 2015 nr. 7.