Introductie
In deze zaak heeft het Europese Hof van Justitie een prejudiciële vraag beantwoord van een Ierse rechter. De vraag gaat over de geldigheid van besluiten die doorgifte van persoonsgegevens aan de Verenigde Staten (en andere derde landen) mogelijk maken. De zaak is relevant voor decentrale overheden omdat na het arrest doorgifte van persoonsgegevens naar de Verenigde Staten op grond van het Privacy Shield niet meer mogelijk is. Ook worden er nadere regels gesteld voor de toepassing van standaardcontractbepalingen bij doorgifte van gegevens aan derde landen op basis van het MCB-besluit.
Zaak
HvJ EU 16 juli 2020, C-311/18, ECLI:EU:C:2020:559, (Data Protection Commissioner/Facebook Ireland and Maximilian Schrems)
Beleidsdossier en thematiek
Feiten
De Oostenrijkse Maximilian Schrems is van mening dat Facebook Ireland zijn persoonsgegevens niet mag doorgeven aan de moederonderneming Facebook Inc. in de Verenigde Staten. Volgens Schrems is er in de Verenigde Staten sprake van ontoereikende bescherming van de gegevens. Schrems dient daarom een klacht in bij de Ierse toezichthoudende autoriteit waarin hij verzoekt om het opschorten of verbieden van de doorgifte van gegevens. Deze doorgifte is gebaseerd op standaardbepalingen inzake gegevensbescherming uit de bijlage bij besluit 2010/87 (MCB-besluit) van de Europese Commissie. De standaardbepalingen worden opgenomen in overeenkomsten met betrekking tot de doorgifte van gegevens, zodat er voldoende waarborgen worden geboden ter bescherming van deze gegevens.
De Ierse toezichthoudende autoriteit is van oordeel dat het voor de behandeling van de klacht van Schrems vooral relevant is of het Europese MCB-besluit hier geldig is. De toezichthoudende autoriteit wendt zich daarom tot de Ierse rechter in eerste aanleg (de High Court) en verzoekt de rechter om het Europese Hof een vraag te stellen. Op 4 mei 2018 heeft de High Court de zaak prejudicieel verwezen naar het Hof.
Na het aanhangig maken van de zaak heeft de Europese Commissie uitvoeringsverordening (EU) 2016/1250 gepubliceerd. In dit adequaatheidsbesluit werd vastgesteld dat het EU-VS Privacy Shield een passend niveau aan bescherming bood voor de doorgifte van persoonsgegevens van de EU naar de VS. Gegevens konden daarmee ook uitgewisseld worden met organisaties uit de Verenigde Staten die zich aansloten bij de gegevensbeschermingsprincipes van het Privacy Shield. Omdat zowel het MCB-besluit als het Privacy Shield een grondslag voor doorgifte van gegevens aan organisaties in de Verenigde Staten bieden, stelde de High Court daarom ook over de uitvoeringsverordening een prejudiciële vraag.
Rechtsvragen
De Ierse High Court stelde de volgende vragen aan het Europese Hof:
- Valt de doorgifte van persoonsgegevens door een onderneming in een lidstaat naar een onderneming in een derde land, binnen de werkingssfeer van de AVG, wanneer de autoriteiten van het derde land deze gegevens kunnen inzien ten behoeve van openbare veiligheid, defensie of veiligheid van de staat?
- Wat is het door de AVG vereiste beschermingsniveau voor doorgifte van gegevens naar een derde land op basis van standaardbepalingen? En aan de hand van welke aspecten moet het beschermingsniveau worden beoordeeld?
- Moeten bevoegde toezichthoudende autoriteiten de doorgifte naar derde landen op basis van standaardbepalingen opschorten of verbieden wanneer de autoriteit van oordeel is dat het derde land niet voldoet aan het door de EU vereiste beschermingsniveau voor persoonsgegevens?
- Is het MCB-besluit geldig?
- In hoeverre waarborgt het Privacy Shield een passend beschermingsniveau voor gegevens die aan de Verenigde Staten worden doorgegeven?
Uitspraak Hof
Toepassing AVG
Het Hof heeft in het arrest bepaald dat de Algemene verordening gegevensbescherming (AVG) van toepassing is in gevallen van de doorgifte van persoonsgegevens met commerciële doeleinden naar een derde land. Het feit dat autoriteiten van het derde land de gegevens kunnen inzien ten behoeve van openbare veiligheid, defensie of veiligheid van de staat doet hier niet aan af.
Beschermingsniveau in standaardbepalingen
Het Hof heeft een beschermingsniveau vastgesteld voor de doorgifte van gegevens met gebruik van standaardbepalingen. De geboden bescherming moet volgens het Hof in grote lijnen overeenkomen met het beschermingsniveau dat in het Unierecht wordt gewaarborgd. Het gaat met name om de beschermingsbepalingen uit de AVG en het Handvest van de grondrechten van de Europese Unie. De gegevensexporteur die in de Europese Unie is gevestigd, heeft de verplichting na te gaan of het vereiste beschermingsniveau in acht wordt genomen in het derde land. Is dit niet het geval, dan kan de exporteur aanvullende maatregelen toevoegen aan de standaardbepalingen voor een toereikende bescherming. Voor de Verenigde Staten heeft het Hof in het arrest geoordeeld dat er geen sprake is van een voldoende overeenkomend beschermingsniveau. Dit houdt in dat bij doorgifte aan de Verenigde Staten, per geval moet worden beoordeeld of er voldoende bescherming is, en zo niet, of dit tekort met aanvullende maatregelen kan worden opgelost.
Wanneer er sprake is van ontoereikende bescherming bij een doorgifte aan een derde land, kunnen toezichthoudende autoriteiten ingrijpen. Volgens het Hof zijn deze autoriteiten verplicht om een doorgifte op te schorten of te verbieden wanneer zij van oordeel zijn dat de doorgifte niet voldoet aan het vereiste beschermingsniveau.
Geldigheid MCB-besluit
Voor het MCB-besluit heeft het Hof bepaald dat dit geldig is. Het besluit biedt namelijk voldoende doeltreffende mechanismen voor het waarborgen van een passend beschermingsniveau. Een van deze mechanismen is de verplichting van de gegevensexporteur om na te gaan of het beschermingsniveau in acht wordt genomen in het derde land. De exporteur moet beoordelen of het derde land bescherming biedt die in grote lijnen overeenkomt met het beschermingsniveau dat wordt geboden in Unierecht. Daarnaast kan de exporteur ook aanvullende maatregelen stellen en overeenkomsten opschorten of beëindigen bij ontoereikende bescherming.
Geldigheid Privacy Shield
Tot slot heeft het Hof het Privacy Shield tussen de Europese Unie en de Verenigde Staten ongeldig verklaard. Volgens het Hof zijn de beperkingen op de bescherming van gegevens van EU-burgers in de Verenigde Staten niet genoeg afgebakend. De Amerikaanse inlichtingen- en veiligheidsdiensten kunnen namelijk op grond van interne regelingen toegang krijgen tot, en gebruik maken van gegevens die zijn doorgegeven op basis van het Privacy Shield. Deze toegang is niet beperkt tot strikt noodzakelijke gevallen en komt daarom niet overeen met het Europese evenredigheidsbeginsel. Dit beginsel bepaalt dat beperkingen op het recht op bescherming van persoonsgegevens alleen toegestaan zijn in noodzakelijke gevallen, waarbij wordt beantwoord aan door de Unie erkende doelstellingen van algemeen belang of ter bescherming van rechten en vrijheden van anderen.
Decentrale relevantie
Na dit arrest is het voor decentrale overheden niet meer mogelijk om gegevens door te geven aan organisaties in de Verenigde Staten op basis van het Privacy Shield. Doorgifte van persoonsgegevens is nog steeds mogelijk wanneer hiervoor een andere grondslag wordt gebruikt. Het MCB-besluit kan zo’n grondslag zijn. Bij een dergelijke doorgifte met standaardbepalingen, moet de decentrale overheid een passende bescherming van de persoonsgegevens waarborgen. Deze bescherming dient in grote lijnen overeen te komen met het beschermingsniveau dat door Unierecht wordt vereist. Als sprake is van een ontoereikend beschermingsniveau, kan de decentrale overheid aanvullende maatregelen toevoegen aan de standaardbepalingen. Wanneer de beschermingsbepalingen niet worden nageleefd moet de doorgifte worden opgeschort of verboden.