Doorgifte van Europese data naar “Unsafe Harbors”

Volgens het Europees Hof van Justitie bieden de zogenaamde “Safe Harbor principles” geen waterdichte zekerheid omtrent een adequate bescherming van de betrokkene bij de doorgifte van diens gegevens aan Amerikaanse ontvangers. Tot die beslissing kwam het Hof in een procedure tussen de Ierse Privacycommissaris en de Oostenrijkse privacy-schutspatroon Max Schrems (C-362/14 – Maximillian Schrems / Data Protection Commissioner). Daarmee haalt Schrems een enorme slag thuis.

Het moet in Wenen ongetwijfeld groot feest geweest zijn, toen het Hof van Justitie haar arrest bekendmaakte. Sinds zijn rechtenstudies heeft Max Schrems steeds een bijzondere interesse betoond voor de bescherming van het privéleven en heeft Facebook reeds enkele malen op de proef gesteld. Sindsdien is Schrems een absolute kruisvaarder voor de privacy geworden.

Toch gaan we eens bekijken wat het belang van deze recente uitspraak is, wat er verandert bij doorgifte van persoonsgegevens en waar dit arrest vandaan komt. Maar eerst een woordje uitleg over doorgifte van persoonsgegevens naar de Verenigde Staten en de rol die de “Veiligehavenprincipes” daarbij spelen.

Wat is “Safe Harbor”?

Doorgifte van persoonsgegevens aan derden is wettelijk toegestaan, maar moet steeds volgens welomlijnde voorwaarden. In het kader van het dogmatische “vrije verkeer van personen en goederen” moet data ook binnen de EU-grenzen vrij kunnen migreren. Er werd middels harmonisatie gezorgd voor een gelijkaardig beschermingsniveau voor de betrokkene over het ganse EU-territorium.

Doorgifte van data buiten de EU-grenzen ligt iets moeilijk, omdat Europees recht geen garanties kan bieden op een kwaliteitsvolle verwerking van Europese gegevens in derde-landen.

Om die reden werden in de Europese gegevensbeschermingsrichtlijn 95/46/EC een aantal beschermingsmechanismen ingebouwd. In die zin werd onder meer voorzien dat betrokkenen van persoonsgegevens klachten mogen indienen bij de bevoegde privacycommissaris, die vervolgens een onderzoek dient in te stellen. Tevens moet iedere lidstaat ervoor zorgen dat doorgifte van persoonsgegevens naar landen buiten de Europese Unie enkel mogelijk wordt gemaakt voor zover die landen een “passend beschermingsniveau” bieden.

Om de rechtsgang bij grensoverschrijdend dataverkeer enigszins te versoepelen en vereenvoudigen, werden verscheidene oplossingen aangereikt waaronder het systeem van de zogenaamde “Binding Corporate Rules” en de “EU Model Clauses”. Daarnaast hebben de bijzondere, economische belangen tussen de EU en de Verenigde Staten er ongetwijfeld toe bijgedragen dat de Europese Commissie een specifiek akkoord sloot met de Amerikaanse overheid om een “Safe Harbor”-systeem in te stellen. Iedere onderneming gevestigd in de Verenigde Staten die interesse had in de verwerking van Europese gegevens en die waarborgen bood voor een beschermingsniveau op Europese leest, kon op de “Safe Harbor”-lijst terecht komen. Het “Safe Harbor”-regime moest bijgevolg een soort van keurmerk worden, zodat verantwoordelijken met een gerust gemoed persoonsgegevens konden doorgeven aan Amerikaanse ontvangers.

Snowden, NSA en Schrems

Toen Edward Snowden de klokken ging luiden, werd het duidelijk dat de Amerikaanse NSA blijkbaar ongebreideld screenings kon doorvoeren op intern en inkomend dataverkeer. Er ontstond een reële vrees dat Europese gegevens zouden worden doorgelicht door de Amerikaanse overheid nadat deze data aldaar werden opgeslagen en verwerkt.

Ook de Oostenrijkse rechtenstudent, Max Schrems, maakte zich zorgen en diende een klacht in bij de Ierse Data Protection Commissioner tegen de sociale netwerksite Facebook. Daarbij vroeg Schrems om Facebook Ireland te verbieden om nog verder persoonsgegevens door te geven aan diens Amerikaanse moeder, Facebook Inc.

Deze klacht werd aanvankelijk afgewezen omdat er volgens de Ierse privacytopman Billy Hawkes “niets te onderzoeken viel” omtrent de betrokkenheid van Facebook bij het PRISM-schandaal. Er zouden geen bewijzen voorliggen dat de NSA effectief gegevens van Facebook had geïnspecteerd. Daarnaast zou een onderzoek overbodig zijn omdat de Verenigde Staten via het “Safe Harbor”-systeem reeds een passend beschermingsregime aanbood.

Daarop stapte Schrems naar de Ierse High Court om tegen de beslissing in beroep te gaan. Meteen werd ook een prejudiciële vraag gesteld aan het Europees Hof van Justitie.

Oordeel van het Hof van Justitie

Iedere Europese lidstaat heeft de plicht om ervoor te zorgen dat doorgifte van persoonsgegevens naar het buitenland onder een passend beschermingsniveau valt. Gelet op de privacy als basisrecht, moet iedere beknotting ervan gericht plaatsvinden, objectief gerechtvaardigd zijn in het kader van nationale veiligheid of misdaadbestrijding en gepaste waarborgen bieden.

De ongedifferentieerde toegang op grote schaal van de NSA tot de Europese gegevens “is uiteraard in strijd met het evenredigheidsbeginsel en de fundamentele waarden die door de Ierse grondwet worden beschermd” (Ow. 33).

Daarbij oordeelt het Hof dat Beschikking 2000/520, waarmee “Safe Harbor” in het leven werd geroepen, ongeldig is. Volgens de bepalingen van Beschikking 2000/520 zouden Amerikaanse bedrijven steeds voorrang moeten geven aan Amerikaanse verplichtingen, voor zover deze in conflict zouden komen met de “Safe Harbor”-vereisten. Daarnaast regelt Beschikking 2000/520 niets omtrent enige afweging van belangen tussen de privacybescherming als grondrecht en de inmenging van de Amerikaanse staat bij legitieme belangen.

Beschikking 2000/520 was volgens het Hof om nog een derde belangrijke reden ongeldig: het legde belangrijke restrictieve voorwaarden op aan privacycommissarissen om hun controle en toezicht op datastromen uit te voeren. Het Hof van Justitie beschouwt Beschikking 2000/520 bijgevolg als ongeldig, waardoor de Ierse Data Protection Commissioner niet gehinderd was en is om een onderzoek in te stellen op vraag van Max Schrems als betrokkene.

Betekenis van het arrest

Het belang van het Schrems-arrest voor grensoverschrijdend dataverkeer kan niet genoeg onderlijnd worden. De bom die door Max Schrems onder Beschikking 2000/520 werd geplant, heeft het volledige “Safe Harbor”-systeem op de helling gezet.

“Safe Harbor” moest een transparantiemaatregel zijn, waarbij ondernemingen hun persoonsgegevens met een gerust gemoed konden doorgeven aan derden gevestigd in de Verenigde Staten. Thans valt die veiligheid weg door de ongeldigverklaring van de beschikking van de Commissie die “Safe Harbor” heeft gekoppeld aan de Europese Unie.

Zulks betekent dat ondernemingen die alsnog hun data naar de Verenigde Staten wensen door te geven, opnieuw hun toevlucht moeten zoeken tot alternatieve middelen, zoals de “EU Model Clauses” om het noodzakelijke “passende beschermingsniveau” contractueel te waarborgen.

Het valt nog af te wachten welke implicaties dit arrest zal hebben op de toekomstige EU verordening en of de Commissie in tussentijd maatregelen zal nemen om het thans ontblote hiaat te ondervangen.

Vragen over privacy?

Neem gerust contact met ons op: 02/721 13 00 of andries@siriuslegal.be