VS niet langer Safe Harbour voor persoonsgegevens

0

Vandaag heeft het Europese Hof van Justitie een baanbrekend arrest gepubliceerd waarin een streep is gehaald door een belangrijk Europees akkoord over de uitwisseling van persoonsgegevens met de Verenigde Staten.[1]

Met dit arrest is de Safe Harbour Beschikking uit 2000 ongeldig verklaard. Volgens deze beschikking zou een organisatie gegevens mogen uitwisselen met de Verenigde Staten, mits deze voorafgaand heeft verklaard te voldoen aan beginselen voor de bescherming van de persoonlijke levenssfeer, zoals opgenomen in de beschikking.[2] Van deze regeling maken enkele duizenden Amerikaanse ondernemingen gebruik, maar ook Europese organisaties moeten goed stil staan bij de gevolgen van deze uitspraak.

Achtergrond

Het arrest is een gevolg van een prejudiciële vraag die bij het Europese Hof is ingediend door het Ierse Hoge gerechtshof. De procedure bij de Ierse rechter werd gevoerd nadat de Ierse toezichthouder een klacht tegen Facebook had afgewezen met een verwijzing naar de Safe Harbour beschikking.

De klacht bij de toezichthouder was ingediend door de Oostenrijkse rechtenstudent Max Schrems. Scherms was in 2012 een kruistocht gestart tegen de inbreuken van Facebook op verschillende onderdelen van Europese privacywetgeving, nadat hij had ontdekt dat Facebook ruim 1220 uitgeprinte pagina’s aan data over hem had verzameld sinds zijn aanmelding in 2008. Deze data betrof niet alleen vriendschapsverzoeken, likes en chats, alsmede gegevens die hij op het moment van opvragen reeds had gewist.

Omdat de persoonsgegevens geheel of gedeeltelijk doorgegeven naar servers van Facebook Inc. die zich op het grondgebied van de Verenigde Staten bevinden, waar zij worden verwerkt, heeft Scherms een klacht ingediend bij de toezichthouder met het verzoek om Facebook Ireland te verbieden om zijn persoonsgegevens naar de Verenigde Staten door te geven. Daarbij voerde hij aan dat het geldende recht en de praktijk in dat land geen waarborgen boden voor afdoende bescherming van de op zijn grondgebied bewaarde persoonsgegevens tegen de surveillance die daar door de overheidsinstanties werd uitgevoerd. Schrems verwees in dat verband naar de onthullingen die Edward Snowden heeft gedaan over de activiteiten van de Amerikaanse inlichtingendiensten en in het bijzonder de National Security Agency.

Arrest

Met het arrest Europese Hof deelt een sneer uit naar Commissie. Deze heeft, nadat in 2013 al is vast komen te staan dat Amerikaanse inlichtingendiensten bij de gegevens van Europese burger konden komen, nagelaten tijdig actie te ondernemen.

De uitspraak van het Hof komt erop neer dat de Europese Commissie bij het opstellen van de beschikking in 2000 onvoldoende rekening heeft gehouden met het gegeven van voorrang van Amerikaanse regelgeving, als – onder meer – de nationale veiligheid in het geding is. Verder stelt het Hof dat de Safe Harbour beschikking te eenzijdig is. Deze is vooral gericht op ondernemingen; de Safe Harbour regeling voorziet niet in waarborgen tegenover Amerikaanse overheidsinstanties. In algemene zin bepaalt het Hof daarbij:

“Meer bepaald moet een regeling op grond waarvan de autoriteiten veralgemeend toegang kunnen krijgen tot de inhoud van elektronische communicatie worden beschouwd als een aantasting van de wezenlijke inhoud van het grondrecht op eerbiediging van het privéleven zoals door artikel 7 van het Handvest gewaarborgd (….)”[3]

 Voor wat betreft de primaire klacht geeft het Europese Hof voorts mee dat de bevoegdheden van nationale toezichthouder niet mogen worden beperkt als gevolg van Safe Harbour beschikking.

Verstrekkende gevolgen

Het arrest heeft verstrekkende gevolgen voor zowel Amerikaanse organisaties en ondernemingen die gebruik maken van de Safe Harbour regeling, als organisaties die zaken doen met Amerikaanse organisaties.

De uitspraak van het Europese Hof van Justitie is niet de eerste reprimande van het hoogste Europese college aan het adres van Amerikaanse internetgiganten. Zo oordeelde het Hof vorig jaar nog dat Google en andere internetzoekmachines moeten meewerken aan een verzoek om vergeten te worden. Daarnaast zette het Hof eerder een rem op het verzamelen en bewaren van gegevens door telecomproviders.

Oplossingen

Kort na de publicatie van het arrest vandaag werd het gesignaleerde probleem al weer gebagatelliseerd met de simpele oplossing dat gegevens wel mogen worden opgeslagen in de VS, mits de gebruiker toestemming geeft voor opslag. Dit zou in praktijk betekenen dat de gebruiker bij elke vorm van opslag van informatie in de VS uitdrukkelijk toestemming geeft. Een vergelijking met de cookiemeldingen is snel gemaakt. Praktisch is deze oplossing allerminst.


[1] Arrest Europese Hof van Justitie C‑362/14

[2] Beschikking 2000/520

[3] r.o. 93, C-362/14

Deel via:

Over de AUTEUR

Edward Lich

Ondernemer | interim-jurist en manager | focus op legal managment en commerciële contracten | Netwerker en verbinder | Geïnteresseerd in technologische ontwikkelingen en de praktisch toepassing |Volgt trends

Reageren is niet mogelijk.