Rechtspraak-advocatuur Hof van Justitie Europese Unie schiet het recht op bescherming van per­soons­ge­ge­vens te hulp

Op 6 oktober 2015 sprak het Hof van Justitie van de Europese Unie zich uit in de veelbesproken "Safe Harbor" zaak.

De uitspraak kwam als antwoord op de prejudiciële vraag van het Ierse High Court, naar aanleiding van de klacht van Facebookgebruiker Maximilian Schrems. Die vond het ongehoord dat Facebook Ireland zijn persoonsgegevens overmaakte aan Facebook Inc., een bedrijf gevestigd in de USA, dat die gegevens op Amerikaanse servers verwerkte.

Hij betwiste in het bijzonder de automatische toepassing van de "Veiligehavenbeginselen" voor gegevens gestockeerd op Amerikaanse servers, naar aanleiding van de onthullingen van Edward Snowden en het daaruitvolgende NSA schandaal.

Schrems vraagt verbod om zijn gegevens door te sturen naar Amerikaanse servers van Facebook

Wie op het grondgebied van de Europese Unie woont en Facebook gebruikt, moet bij zijn inschrijving een overeenkomst ondertekenen met Facebook Ireland, een dochteronderneming van Facebook Inc., dat zelf in de Verenigde Staten gevestigd is. De persoonsgegevens van die gebruikers worden geheel of gedeeltelijk doorgegeven naar en verwerkt door servers van Facebook Inc. die zich op het grondgebied van de Verenigde Staten bevinden.

Maximilan Schrems, een Oostenrijker die sinds 2008 lid is van Facebook, diende op 25 juni 2013 een klacht in bij de Ierse Data Protection Commissioner. Die autoriteit ziet toe op de correcte toepassing van de Europese en nationale privacy- en databeschermingsregels in Ierland. In zijn klacht vroeg Schrems om Facebook Ireland te verbieden zijn persoonsgegevens naar de USA door te geven. Het geldende recht en de praktijk in dat land bieden volgens hem geen waarborgen voor afdoende bescherming van de gegevens tegen de mass surveillance die er door overheidsinstanties wordt uitgevoerd.

Zijn vraag was onder meer gegrond op de onthullingen die Edward Snowden heeft gedaan over de praktijken van de NSA.

De Commissioner achtte het niet noodzakelijk om de klacht verder te onderzoeken, wegens een beschikking¹ van de Europese Commissie waarin is vastgesteld dat de USA voldoende waarborgen biedt voor een passend beschermingsniveau van verwerkte en gestockeerde persoonsgegevens.

Schrems' klacht vindt gehoor bij het Ierse High Court

Schrems stelde vervolgens tegen de beschikking beroep in bij het Ierse High Court. Dat oordeelde dat op grote schaal ongedifferentiëerde toegang tot persoonsgegevens in strijd is met het evenredigheidsbeginsel en met de fundamentele waarden toegenkend door de Ierse Grondwet. Bij dergelijke praktijken beschikken de Europese burgers niet over een effectief recht om te worden gehoord, aangezien het toezicht op de activiteiten van de inlichtingendiensten plaatsvindt in het kader van een procedure die in het geheim en niet op tegenspraak verloopt.

Het High Court veroordeelde in het bijzonder de praktijken van de Amerikaanse overheidsinstanties zoals NSA en FBI waarmee ze zich toegang verschaffen tot persoonsgegevens, die zijn doorgegeven naar de USA, in het kader van de grootschalige en ongedifferentieerde surveillance en onderschepping die zij uitvoeren. 

Aangezien sprake is van uitvoering en toepassing van Europese rechtsregels, besloot het Ierse High Court aan het Hof van Justitie van de EU de vraag te stellen naar de rechtmatigheid van de "Veiligehavenregeling" van beschikking 2000/520 en de onderzoekstaken van de bevoegde toezichthoudende autoriteit.

Oordeel van het Hof van Justitie van de EU

Het Hof oordeelde dat de Veiligehavenbeginselen voor de bescherming van de persoonlijke levenssfeer, zoals bevestigd door de Europese Commissie in haar beschikking (2000/520), niet kunnen belemmeren dat een toezichthoudende autoriteit van een lidstaat kan starten met een onderzoek van een verzoek van die persoon over bescherming van zijn rechten. Voorwaarde is dat de persoon aanvoert dat het geldende recht en de praktijk in een derde land (hier: de USA) geen waarborgen bieden voor een passend beschermingsniveau van zijn rechten en vrijheden inzake de verwerking zijn persoonsgegevens die vanuit een lidstaat naar (de USA) dat derde land zijn doorgegeven.

Het Hof verklaarde de beschikking tevens ongeldig.