Snowden & Schrems vs Facebook

Na "Salduz" zorgt nu ook "Schrems" via het Europees Hof van Justitie voor een aardverschuiving in het juridisch landschap: wat initieel begon met een klacht van een student bij de Ierse Data Protection Commissioner, eindigde gisteren in een mijlpaalarrest van het Europees Hof (C-362/14). Schrems is er - mede dankzij de onthullingen van Edward Snowden - in geslaagd om de transfer van persoonlijke data van het Europees continent naar de VS een halt toe te roepen.

shutterstock_123568681.jpg

De feiten

Op 25 juni 2013, diende Maximillian Schrems bij de Ierse Privacycommissie een klacht in tegen Facebook Ireland, een dochteronderneming van het Amerikaanse Facebook Inc. met wie Europese gebruikers bij de aanmaak van een account op de website van Facebook een overeenkomst aangaan. Op basis van deze overeenkomst verlenen Europese gebruikers aan Facebook Ireland de toestemming om hun persoonsgegevens door te geven aan Facebook Inc.

Dit kan naar Europees recht, omdat de VS door de Europese Commissie wordt beschouwd als een "veilige haven" voor persoonsgegevens.

Naar aanleiding van de onthullingen door Edward Snowden in 2013, die leidden tot het "Prismaschandaal" (de vaststelling dat de Amerikaanse NSA ongeoorloofde toegang heeft tot persoonsgegevens via bedrijven als Google, Facebook en Microsoft), meende Schrems echter dat zijn persoonsgegevens allerminst veilig zijn in Amerikaanse handen. Zijn achterdocht kwam ook niet uit de lucht vallen: toen hij Facebook eerder had verzocht om een overzicht te geven van de persoonsgegevens die het bedrijf van hem bijhield, ontving hij een lijst van ruim 1200 pagina's met daarin berichten die hij sinds geruime tijd had 'gewist'...

De procedure

Bij de Ierse Privacycommissie ving Schrems bot. De 'Commissioner' oordeelde dat hij geen verplichting had om over de zaak te oordelen en wees de klacht af.

Schrems liet het daar niet bij en stelde beroep in bij de High Court. Deze had oor naar de argumenten in het kader van de onthullingen van Snowden. Concreet stelde de High Court zich de vraag of deze onthullingen de kwalificatie door de Europese Commissie van de VS als 'veilige haven' niet op de helling zetten.

De High Court heeft de behandeling van de zaak daarom geschorst en verzocht het Europees Hof van Justitie om te antwoorden op de volgende vragen:

  1. Wanneer een nationale instantie (Privacycommissie) geconfronteerd wordt met een klacht van een persoon die stelt dat zijn persoonsgegevens worden doorgegeven aan een land waar deze data volgens hem niet veilig is, is de Privacycommissie dan gebonden door de eerdere comunautaire beoordeling van dat land als "veilige haven"?
     
  2. Of kan de nationale instantie (Privacycommissie) overgaan tot een eigen beoordeling in het licht van de ontwikkelingen die zich hebben voorgedaan sinds deze communautaire beoordeling?

Het arrest

Het Europees Hof van Justitie heeft in de eerste plaats geoordeeld dat een autoriteit die met dergelijke vraag wordt geconfronteerd het verzoek met de nodige voortvarendheid en zorgvuldigheid moet onderzoeken.

Na analyse van de toepasselijke Europese regelgeving heeft het Hof geoordeeld dat de nationale instantie inderdaad over de bevoegdheid beschikt om na te gaan of het land van bestemming van de persoonsgegevens inderdaad nog als een veilige haven kan worden beschouwd:

"Een beschikking, waarbij de Commissie constateert dat een derde land waarborgen voor een passend beschermingsniveau biedt, staat niet in de weg dat een toezichthoudende autoriteit van een lidstaat in de zin van artikel 28 van deze richtlijn overgaat tot het onderzoek van een verzoek van een persoon met betrekking tot de bescherming van zijn rechten en vrijheden in verband met de verwerking van op hem betrekking hebbende persoonsgegevens die vanuit een lidstaat naar dat derde land zijn doorgegeven, wanneer die persoon aanvoert dat het geldende recht en de praktijk in dat land geen waarborgen voor een passend beschermingsniveau bieden."

De beschikking van de Europese Commissie die stelt dat de VS een passend niveau van bescherming waarborgen ten aanzien van doorgegeven persoonsgegevens, werd door het Hof ongeldig verklaard (persbericht van 6 oktober 2015)

Het volledig arrest leest u hier.

Gevolgen

shutterstock_194196662.jpg

De nationale autoriteiten, en dus ook de Belgische Privacycommissie, kunnen voortaan oordelen dat geen doorgifte van persoonsgegevens meer kan plaatsvinden of dat deze doorgifte aan strengere voorwaarden moet worden onderworpen, wanneer zij meent dat de "veilige haven" niet langer aan de voorwaarden voldoet in het licht van gewijzigde omstandigheden.

Het valt nog af te wachten welke concrete gevolgen dit arrest zal hebben in de praktijk, maar gezien de massale datatransfer tussen het Europees en het Amerikaans continent, zal dit ongetwijfeld consequenties hebben voor bepaalde sectoren.

Positief is alvast het signaal dat de privacycommissies van de verschillende lidstaten het initiatief nemen om samen te komen en het beleid af te stemmen en zoveel als mogelijk een uniforme aanpak te garanderen.

En u?

Het hoeft geen uitgebreid betoog dat dit arrest gevolgen heeft voor al wie persoonsgegevens uitwisselt met de VS. Wat echter de concrete gevolgen zijn, is nog onduidelijk. Wel kan de uitwisseling op andere gronden worden gelegitimeerd.

Wisselt u persoonsgegevens uit met de VS, dan kan u niet langer terugvallen op het "safe harbour" principe. Wel kan u gebruik maken van de standaardcontracten die door de Europese Commissie werden opgesteld. U vindt deze standaardclausules als bijlage aan de volgende beslissingen:

  1. Commission Decision of 15 June 2001 on standard contractual clauses for the transfer of personal data to third countries under Directive 95/46/EC;

  2. Commission Decision of 27 December 2004 amending Decision 2001/497/EC as regards the introduction of an alternative set of standard clauses for the transfer or personal data to third countries;

  3. Commission Decision of 5 Februari 2010 on standard contractual clauses for the transfer of personal data to processors established in third countries under Directive 95/46/EC;

U dient dergelijke contracten te sluiten met elk van uw partners buiten de EU waarmee u persoonsgegevens uitwisselt. Handelt u als verantwoordelijke voor de verwerking van persoonsgegevens (u beslist met name over het doel van de verwerking ervan) en is uw partner tevens te beschouwen als een 'verantwoordelijke', dan maakt u gebruik van de clausules uit de beslissing van 2001 en 2004. Is uw partner daarentegen te beschouwen als een verwerker van persoonsgegevens, dan vindt u de toepasselijke clausules in de beslissing van 2010.

Hou er ook rekening mee dat dergelijke contracten moeten aangemeld worden bij de Privacycommissie. 

U doet er in elk geval goed aan om uw privacybeleid tijdig onder de loep te nemen, ook al wisselt u geen persoonsgegevens uit met de VS of een ander niet-EU land. Wanneer u immers persoonsgegevens verwerkt (dit is onder meer het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, etc. van persoonsgegevens) heeft u wettelijk de verplichting om dit aan te melden bij de Privacycommissie.