Beschikking van Commissie dat VS passend beschermingsniveau van doorgegeven persoonsgegevens waarborgen ongeldig

Bestaan van een beschikking van de Commissie dat een derde land waarborgen voor een passend niveau van bescherming van doorgegeven persoonsgegevens biedt, staat niet in de weg aan onderzoek door nationale toezichthouder of dat derde land waarborgen voor een passend beschermingsniveau biedt. Beschikking van de Commissie dat de VS een passend beschermingsniveau van doorgegeven persoonsgegevens waarborgen ongeldig.

PERSOONSGEGEVENS

Uit het perscommuniqué: “Maximillian Schrems, die de Oostenrijkse nationaliteit heeft, maakt sinds 2008 gebruik van Facebook. Zoals bij de andere abonnees die in de Unie wonen, worden de gegevens die Schrems op Facebook aanlevert, vanuit de Ierse dochteronderneming van Facebook geheel of gedeeltelijk doorgegeven aan servers die zich op het grondgebied van de Verenigde Staten bevinden, waar zij worden verwerkt. Schrems heeft bij de Ierse toezichthouder een klacht ingediend, omdat uit de onthullingen van Edward Snowden van 2013 over de activiteiten van de inlichtingendiensten van de Verenigde Staten (met name de National Security Agency of „NSA”) is gebleken dat het recht en de praktijk in de Verenigde Staten onvoldoende bescherming tegen surveillance van de naar dat land doorgegeven gegevens door overheidsinstanties biedt. De Ierse autoriteit heeft de klacht afgewezen, met name op grond dat de Commissie in haar beschikking van 26 juli 20002 tot het oordeel was gekomen dat de Verenigde Staten in het kader van de zogenoemde regeling van de „veilige havens” waarborgen voor een passend niveau van bescherming van de doorgegeven gegevens bieden.

De High Court of Ireland (het Iers hooggerechtshof), waarbij de zaak aanhangig werd gemaakt, wilde vernemen of deze beschikking van de Commissie tot gevolg had dat een nationale toezichthouder een klacht dat een derde land geen waarborgen voor een passend beschermingsniveau bood, niet mocht onderzoeken en ook niet, voor zover nodig, de opschorting van de omstreden gegevensdoorgifte mocht gelasten.”

Het HvJEU overweegt onder andere:

85. In dat verband is in bijlage IV, B, bij beschikking 2000/520 op het punt van de beperkingen ten aanzien van de toepasselijkheid van de veiligehavenbeginselen benadrukt dat „[h]et [...] duidelijk [is] dat, indien de wetgeving van de Verenigde Staten een tegenstrijdige verplichting oplegt, organisaties uit dat land de wet in acht moeten nemen, ongeacht of ze aan de veilige haven deelnemen of niet”.

86. In beschikking 2000/520 is dus de voorrang van „de eisen van de nationale veiligheid, het algemeen belang en [de] rechtshandhaving” van de Verenigde Staten boven de veiligehavenbeginselen vastgelegd. Op grond van die voorrang zijn de zelfgecertificeerde Amerikaanse organisaties die persoonsgegevens vanuit de Unie ontvangen, verplicht om zonder beperking van die beginselen af te wijken wanneer laatstgenoemde en deze vereisten tegenstrijdig zijn en de beginselen dus met die vereisten onverenigbaar zijn.

Het Hof van Justitie EU beantwoordt de vragen van de High Court of Ireland als volgt:

1. Artikel 25, lid 6, van richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, zoals gewijzigd bij verordening (EG) nr. 1882/2003 van het Europees Parlement en de Raad van 29 september 2003, gelezen in samenhang met de artikelen 7, 8 en 47 van het Handvest van de grondrechten van de Europese Unie, moet aldus worden uitgelegd dat een krachtens die bepaling vastgestelde beschikking, zoals beschikking 2000/520/EG van de Commissie van 26 juli 2000 overeenkomstig richtlijn 95/46 betreffende de gepastheid van de bescherming geboden door de Veiligehavenbeginselen voor de bescherming van de persoonlijke levenssfeer en de daarmee verband houdende Vaak gestelde vragen, die door het ministerie van Handel van de Verenigde Staten van Amerika zijn gepubliceerd, waarbij de Commissie constateert dat een derde land waarborgen voor een passend beschermingsniveau biedt, er niet aan in de weg staat dat een toezichthoudende autoriteit van een lidstaat in de zin van artikel 28 van deze richtlijn kan overgaan tot het onderzoek van een verzoek van een persoon met betrekking tot de bescherming van zijn rechten en vrijheden in verband met de verwerking van op hem betrekking hebbende persoonsgegevens die vanuit een lidstaat naar dat derde land zijn doorgegeven, wanneer die persoon aanvoert dat het geldende recht en de praktijk in dat land geen waarborgen voor een passend beschermingsniveau bieden.

2. Beschikking 2000/520 is ongeldig.

IEPT20151006, HvJEU, Schrems v Data Protection Commissioner

(curia-versie)