Biedt de VS een passend beschermingsniveau voor EU persoonsgegevens?

Op maandag 6 oktober 2015 heeft het Europees Hof van Justitie te Luxemburg (hierna “het Hof”) in een antwoord op een prejudiciële vraag in haar arrest (C-362/14 Maximillian Schrems/ Data protection Commissioner) de Beschikking van de Europese Commissie ongeldig verklaard. Daarin werd gesteld dat de Verenigde Staten een passend niveau van bescherming van doorgegeven persoonsgegevens waarborgt. 

Deze uitspraak is belangrijk aangezien veel ondernemingen met activiteiten in de EU nood hebben aan een gegevensoverdracht naar de VS en dus rechtstreeks worden geviseerd. 

1. Het mechanisme van het “Safe Harbor Framework”

Volgens artikel 25 van de Europese Privacyrichtlijn 95/46/EG (hierna “Privacyrichtlijn”) mogen persoonsgegevens slechts vanuit de EU naar een derde land worden doorgegeven indien dat land een “passend beschermingsniveau” waarborgt. 

In uitvoering van artikel 25, lid 6 van de Privacyrichtlijn, voorzag de Beschikking van de Commissie van 26 juli 2000 (hierna Beschikking 2000/520/EG) in een passend beschermingsniveau via een mechanisme, met name de “Veiligehavenbeginselen” (Safe Harbor Privacy Principles), en de daarmee verband houdende richtsnoeren (Frequently asked questions), die gepubliceerd werden door het Ministerie van Handel (Federal Trade Commission) in de VS. 

Dit mechanisme geeft specifieke toestemming aan bedrijven voor doorgifte van persoonsgegevens vanuit de EU aan bedrijven in de VS, die lid zijn van het programma. Voorwaarde is dat zij zich via zelfcertificering en zelfbeoordeling, op eenduidige wijze en in het openbaar, ertoe verbinden om de “Veiligehavenbeginselen” in overeenstemming met de richtsnoeren na te leven. 

Onder meer bedrijven zoals Facebook of Google, die persoonsgegevens op servers in de VS opslaan, of andere bedrijven, die persoonlijke gegevens in de “cloud” opslaan op servers in de VS, onderschreven de “Veiligehavenbeginselen” en beschikten op die manier over de nodige certificaten om de bescherming van EU persoonsgegevens in de VS te waarborgen.

2. Het Hof besluit tot de ongeldigheid van EU-VS Safe Harbor Framework  

2.1 Casus

De Oostenrijkse doctoraatsstudent, de heer Maximillian Schrems, maakt sinds 2008 gebruik van Facebook. Zoals bij de andere abonnees die in de Unie wonen, worden de gegevens die de heer Schrems op Facebook aanlevert, vanuit de Ierse dochteronderneming Facebook Inc. Ireland geheel of gedeeltelijk doorgegeven aan moederonderneming Facebook USA, waarvan de servers  zich op het grondgebied van de Verenigde Staten bevinden, waar zij worden verwerkt. 

In de nasleep van de onthullingen van klokkenluider Edward Snowden in 2013, onder meer over de praktijk in de VS inzake masssurveillance van de naar dat land doorgegeven gegevens door inlichtingendiensten, dient de heer Schrems een klacht in bij de Ierse toezichthouder wegens een gebrek aan “passende bescherming” van zijn persoonsgegevens in de VS. 

De Ierse autoriteit weigert de klacht te onderzoeken en wijst ze af, door zich te beroepen op de Beschikking 2000/520/EG, die stelde dat de VS in het kader van de zogenoemde “Veiligehavenregeling” waarborgen voor een passend niveau van bescherming van de doorgegeven gegevens biedt.

De heer Schrems heeft hierop een hoger beroep ingesteld bij het Ierse Hooggerechtshof (High Court of Justice), die vervolgens twee prejudiciële vragen heeft gesteld aan het Hof, waarbij het Hof moest beoordelen of Beschikking 2000/520/EG, in het licht van artikel 7 en 8 van het Handvest Grondrechten EU, nationale beschermingsautoriteiten verhindert om 
(i) een klacht te onderzoeken of een derde land een passend beschermingsniveau aanbiedt en 
(ii) om de doorgifte van persoonsgegevens op te schorten indien zij van oordeel zijn dat het beschermingsniveau niet voldoet. 

2.2 Argumentatie van het Hof van Justitie

Het Hof komt tot het besluit om het Safe Harbor Framework ongeldig te verklaren. 

In eenvoudig jargon was de redenering van het Hof de volgende. 

Het Hof komt tot het besluit om het Safe Harbor Framework ongeldig te verklaren

Eerst analyseert het Hof artikel 25, lid 6 van de Privacyrichtlijn tegen de achtergrond van het Handvest van de grondrechten van de EU, met name het fundamenteel recht op een privéleven en het recht op bescherming van zijn persoonsgegevens (artikel 7 en 8 Handvest Grondrechten EU) en het recht op een doeltreffende en onpartijdige toegang tot de rechter (artikel 47 Handvest Grondrechten EU).

Het Hof komt daarop tot het oordeel dat het bestaan van een Beschikking van de Commissie de bevoegdheden van de nationale toezichthouders niet in de weg staan om in volledige onafhankelijkheid te onderzoeken of de doorgifte van de gegevens van een persoon naar een derde land in overeenstemming is met de vereisten van de Privacyrichtlijn.

Vervolgens verwijst het Hof naar de conclusie van advocaat-generaal Bot van 23 september 2015. Daarin stelt hij dat artikel 25, lid 6 van de Privacyrichtlijn voorziet dat het hoge niveau van bescherming moet verder gezet worden bij doorgifte van persoonsgegevens naar een derde land. 

Uiteraard kan niet worden verlangd dat een derde land waarborgen voor hetzelfde beschermingsniveau als dat binnen de EU biedt, maar het derde land dient toch minstens in grote lijnen een overeenstemmend “passend beschermingsniveau” te hanteren. 

Tenslotte komt het Hof tot de vaststelling dat de “Veiligehavenbeginselen” enkel van toepassing zijn op de bedrijven die ze onderschrijven, zonder dat vereist is dat de Amerikaanse overheidsinstanties tot naleving van de beginselen worden verplicht.  

Bovendien hebben de vereisten inzake de nationale veiligheid, het openbaar belang en de rechtshandhaving in de Verenigde Staten voorrang boven de regeling van “Veiligehavenbeginselen”. De Amerikaanse ondernemingen zijn met andere woorden verplicht om, in geval van een conflict met die eisen, zonder beperking af te wijken van de beschermingsregels in die regeling.

Het Hof beroept zich in haar analyse op een eigen kritische beoordeling van de Commissie die in 2013 heeft vastgesteld dat Amerikaanse autoriteiten zich toegang konden verschaffen tot de persoonsgegevens, die vanuit de lidstaten zijn doorgegeven, en deze konden verwerken op een wijze die onverenigbaar is met de doelstellingen waarvoor zij werden doorgegeven en verder ging dan strikt noodzakelijk was voor en evenredig was aan de bescherming van de nationale veiligheid. 

Het Hof laakt tevens het feit dat er voor de betrokken personen ook geen administratieve of gerechtelijke beroepsmogelijkheden zijn om toegang tot gegevens te verkrijgen, laat staan ze te corrigeren of te wissen.

Het Hof benadrukt dat artikel 25, lid 6 van de Privacyrichtlijn een gemotiveerde vaststelling van de Commissie vereist dat het derde land in kwestie, daadwerkelijk waarborgen biedt voor de bescherming van de grondrechten. 

Het Hof stelt vast dat een regeling niet beperkt is tot het strikt noodzakelijke, wanneer zij algemeen toestaat dat alle persoonsgegevens van alle personen van wie de gegevens vanuit de EU naar de VS worden doorgegeven, worden bewaard, zonder dat enig onderscheid wordt gemaakt, enige beperking wordt gesteld of enige uitzondering wordt gemaakt op basis van het nagestreefde doel en zonder dat wordt voorzien in objectieve criteria ter begrenzing van de toegang van de bevoegde nationale autoriteiten tot de gegevens en het latere gebruik ervan. 

Het Hof voegt daaraan toe dat een regeling op grond waarvan de autoriteiten veralgemeend toegang kunnen krijgen tot de inhoud van elektronische communicatie, moet worden beschouwd als een aantasting van de wezenlijke inhoud van het grondrecht op eerbiediging van het privéleven.

2.3 Gevolgen van het arrest op Europees en nationaal niveau en hoe proactief handelen?

Aangezien het Hof diende te antwoorden op een prejudiciële vraag, wordt de zaak nu terug gestuurd naar de nationale rechter. Het blijft dus interessant om de hangende procedure voor het Ierse Hooggerechtshof op te volgen. 

Tot nader order kan een onderneming de doorgifte van EU persoonsgegevens naar de VS niet meer baseren op de Beschikking van de Commissie inzake het “Safe Harbor Framework”.

Tot nader order kan een onderneming de doorgifte van EU persoonsgegevens naar de VS niet meer baseren op de Beschikking van de Commissie inzake het “Safe Harbor Framework”

Echter, artikel 26 Privacyrichtlijn voorziet nog in andere afwijkingen om persoonsgegevens naar derde landen (waaronder de VS) te kunnen doorgeven – zelfs indien dit land geen passende bescherming biedt – indien de verantwoordelijken voor de verwerking van persoonsgegevens onder meer : 

• de ondubbelzinnige toestemming hebben van de betrokkene; 
• gebruik maken van de modelcontractbepalingen van de Commissie met de ontvanger van de gegevens in het derde land;
• binding corporate rules implementeren.

Maar deze afwijkingen blijken in de praktijk ook niet altijd eenvoudig toepasbaar. 

De Article 29 Working Party stelt in haar standpunt van 16 oktober 2015 dat de modelcontractbepalingen en de binding corporate rules voorlopig nog kunnen gebruikt worden, maar waarschuwt dat ook deze manieren van doorgifte van persoonsgegevens moet worden geanalyseerd in het licht van het arrest van het Hof. Elke doorgifte van persoonsgegevens naar een derde land, en elke Beschikking van de Commissie die zich machtigt om een passend beschermingsniveau toe te staan, zal immers onderhevig zijn aan het respecteren van het EU privacy Acquis, de fundamentele grondrechten inbegrepen.

Het adviesorgaan roept de beleidsmakers op om tegen eind januari 2016 een “geschikte oplossing” te voorzien. 

We brengen daarbij in herinnering dat de article 29 Working Party reeds in 1998 meer uitleg heeft gegeven over wat het begrip “passende bescherming” kan betekenen, zowel op inhoudelijk vlak (beperkt gebruik van informatie tot de doelstellingen, proportionaliteit, transparantie, respect voor het recht op de toegang tot informatie) als op procedureel vlak (voldoende ondersteuning en hulp aan het individuele data subject). 

Voor alle duidelijkheid, de Article 29 Working Party is een onafhankelijk adviesorgaan, dat samengesteld is uit vertegenwoordigers van alle nationale data beschermingsautoriteiten in de EU, de Europese Toezichthouder voor gegevensbescherming en de Europese Commissie.

De Belgische Privacycommissie verwijst in haar persbericht van 16 oktober 2015 naar het standpunt van de Article 29 Working Party en zal in eerste instantie op 27 november 2015 een Forum organiseren met stakeholders (advocaten, juristen en academici) om aldus op korte termijn goede en haalbare oplossingen te bekomen voor ondernemingen.

De principes bestaan reeds, dus in theorie kan het snel gaan, maar nu zullen we moeten afwachten hoe in de praktijk wordt gereageerd.