Leestijd: 5 minuten
In zijn uitspraak van vandaag heeft het Europese Hof van Justitie bepaald dat het Safe Harbour-beschikking, waarmee de Europese Commissie bepaalde dat de Verenigde Staten een passend privacyregime bood, niet geldig is. Dit betekent dat men er niet meer vanuit mag gaan dat de Verenigde Staten een ‘veilige haven’ biedt voor opslaan en verwerken van Europese persoonsgegevens. Hiermee komt Europa op voor de privacy van haar onderdanen tegen de alledaagse praktijk van Amerikaanse datagraaiers.
De Oostenrijkse privacy-activist Max (Maximilian) Schrems startte een zaak tegen Facebook, omdat hij – net als alle Europese onderdanen – recht op privacy heeft. Hij gebruikte een paar jaar geleden zijn recht op inzage om erachter te komen wat Facebook allemaal van hem wist. Dat was schrikbarend veel. Facebook weigerde om alles te verstrekken. Schrems wilde dat de Ierse toezichthouder op de privacy een onderzoek zou starten, maar de toezichthouder weigerde dat vanwege het Safe Harbour-beschikking waaraan Facebook zich committeerde.
What Facebook knows about you (2011)
Safe Harbour
De Europese Commissie erkende met haar Safe Harbor-beschikking van 26 juli 2000 dat bedrijven uit de Verenigde Staten, die zich houden aan de principes van Safe Harbor, een passend beschermingsniveau zouden bieden. Zo’n vijftien jaar en enkele belangrijke onthullingen van Edward Snowden later weten wij dat dit eigenlijk onzin is. Er is onvoldoende toezicht op wat er met de Europese data gebeurt en de NSA heeft via Facebook toegang tot behoorlijke privé-gegevens van vele Europese onderdanen. Kortom, doorgifte van Europese persoonsgegevens naar de Verenigde Staten is met onvoldoende waarborgen omkleed.
Het Hof van Justitie bepaalde op 6 oktober 2015 (pdf) allereerst dat geen enkele bepaling van de privacyrichtlijn het de nationale autoriteiten belet om toezicht te houden op doorgiften van persoonsgegevens naar derde landen, die voorwerp van een beschikking van de Europese Commissie zijn geweest.
Vervolgens gaat het Hof de geldigheid van de Safe Harbour-beschikking van de Europese Commissie na. Hierbij wordt aangehaald dat uit de onthullingen van Edward Snowden van 2013 over de activiteiten van de inlichtingendiensten van de Verenigde Staten (met name de NSA) is gebleken dat het recht en de praktijk in de Verenigde Staten onvoldoende bescherming tegen surveillance van de naar dat land doorgegeven gegevens door overheidsinstanties biedt. Het Hof voegt daaraan toe dat een regeling op grond waarvan de autoriteiten veralgemeend toegang kunnen krijgen tot de inhoud van elektronische communicatie, moet worden beschouwd als een aantasting van de wezenlijke inhoud van het grondrecht op eerbiediging van het privéleven. Oftewel een grote inbreuk op het privacyrecht.
Om die redenen verklaart het Hof de Safe Harbour-beschikking van de Europese Commissie ongeldig.
Gevolgen
Het is onduidelijk wat de gevolgen zijn voor de vele partijen die in het kader van de Safe Harbour-beschikking Europese persoonsgegevens in de Verenigde Staten of door Amerikaanse partijen laten doen. Eerst kon men er ‘op papier’ vanuit gaan dat er voldoende passende maatregelen waren ter bescherming van de doorgegeven persoonsgegevens, maar nu is de juridische basis onder de privacy compliancy uitgevallen.
In de zaak van Schrems tegen Facebook zal de Ierse toezichthouder de gegevensverwerking van Facebook dus gewoon moeten toetsen, ook als de beschikking nog zou bestaan. Ondertussen zal de uitspraak van het Hof ook zijn invloed hebben op de onderhandelingen over een nieuw Safe Harbour-verdrag, die momenteel gaande zijn.
Partijen die deels afhankelijk zijn geworden van Amerikaanse gegevensverwerkers of -diensten, dienen zich goed te bezinnen over welke stappen ondernomen moeten worden om weer een valide juridische basis te hebben voor Amerikaanse verwerking van persoonsgegevens. Uiteraard denkt NORD Advocatuur hier graag met u over na.
