1. Introductie
Het automatisch opslaan en dus aanvragen van gegevens over telefoon- en internetgebruik is verboden. Internetproviders en telecomoperatoren mogen geen data van willekeurige burgers bijhouden voor een langere periode. Conform deze verboden oordeelt het Hof van Justitie EU dat overheden verkeersgegevens en locatiegegevens niet zomaar kunnen aanvragen, ter bestrijding van criminaliteit. Communicatiediensten mogen immers gegevens niet zomaar opslaan.
2. Zaak
HvJ-EU 21 december 2016 Tele2 Sverige AB tegen Post och telstryelsen (C-203/15) en Secretary of State for the Home Department tegen Tom Watson, Peter Brice en Geoffrey Lewis (C-698/15). Gevoegde zaken C-203/15 en C-698/15
3. Beleidsdossier en thematiek
Informatiemaatschappij
Justitie, vrijheid en veiligheid
4. Samenvatting feiten
Zaak C-203/15
In het arrest Digital Rights Ireland (C-293/12 en C-594/12) heeft het Hof de dataretentierichtlijn 2006/24 nietig verklaard. In navolging van dit arrest heeft Tele2 Sverige aangegeven dat zij gegevens niet langer zal bewaren en de tot nu toe bewaarde gegevens zal vernietigen. Het algemeen bestuur van de nationale politie te Zweden (Rikspolisstryelse) heeft hiertegen een klacht ingediend. Immers, Tele2 deelde gegevens (verkeersgegevens en locatiegegevens) niet langer met hen. Dit is volgens de politie in strijd met een Zweedse regeling die het telecommunicatiediensten verplicht de abonnementsgegevens te delen met de politie indien die gegevens verband houden met een vermoeden van een strafbaar feit. Na een onderzoek van de regering ingevolge deze regeling en de gevolgen van het arrest Digital Rights Ireland werd Tele2 bij nationaal besluit toch verplicht om gegevens te leveren. Tele2 heeft tegen dit besluit beroep en vervolgens hoger beroep ingesteld. Uiteindelijk heeft de verwijzende rechter prejudiciële vragen aan het HvJ-EU gesteld.
Zaak C-698/15
Watson, Brice en Lewis hebben elk afzonderlijk een beroep ingesteld dat ertoe strekt de onverenigbaarheid van nationale wetgeving over het bewaren van communicatiegegevens met de art. 7 en 8 van het Handvest. De verwijzende rechter acht het uiteindelijk noodzakelijk om een prejudiciële beslissing aan het HvJ-EU voor te leggen.
5. Rechtsvraag
In deze gevoegde zaken worden de volgende vragen aan het Hof van Justitie voorgelegd:
- Moet artikel 15, lid 1 van richtlijn 2002/58 (de ePrivacy richtlijn) zo uitgelegd worden dat het zich verzet tegen een nationale regeling die voorziet in algemene en ongedifferentieerde bewaring van alle verkeersgegevens en locatiegegevens van alle abonnees en geregistreerde gebruikers betreffende alle elektronisch communicatiemiddelen ter bestrijding van ernstige criminaliteit?
- Is de bewaringsplicht ongeacht het antwoord op de eerste vraag toegestaan indien in een nationale regeling de beveiliging van de verkeersgegevens en de locatiegegevens waarin de toegang van de bevoegde nationale autoriteiten tot de bewaarde gegevens geregeld wordt, zonder te bepalen wanneer die bevoegdheid wordt verleend?
- Legt het Digital Rights Ireland arrest dwingende vereisten van Unierecht op aan lidstaten die gelden voor de regelingen van de lidstaten op het gebied van bewaring van communicatiegegevens en van toegang tot dergelijke gegevens.
6. Samenvatting uitspraak
Valt nationale maatregel onder richtlijn?
Het Hof stelt dat er in de lidstaten geen consensus is over in hoeverre nationale regelingen die zijn vastgesteld ter bestrijding van criminaliteit en gaan over het bewaren van verkeersgegevens en locatiegegevens binnen de werkingssfeer van richtlijn 2002/58 vallen. Echter, het Hof oordeelt dat een maatregel tot het bewaren van gegevens door een communicatiedienst onder de werkingssfeer van de richtlijn valt. Dit omdat het noodzakelijkerwijs inhoudt dat persoonsgegevens verwerkt worden. Daarnaast valt een maatregel die betrekking heeft tot toegang van nationale autoriteiten tot bewaarde gegevens onder de richtlijn (ingevolge artikel 1 lid 3 juncto 5 lid 1 en 15).
Uitleg nationale richtlijn in licht van grondrechten
Het Hof stelt vervolgens dat de richtlijn beoogt de volledige eerbiediging van art. 7 en 8 van het Handvest te waarborgen, zoals tevens is vastgelegd overweging 2 van de richtlijn. Het Hof stelt dat de richtlijn de gebruikers van elektronischecommunicatiediensten wil beschermen tegen de gevaren van nieuwe technologieën en steeds grotere mogelijkheden van geautomatiseerde opslag. Lidstaten moeten het vertrouwelijke karakter garanderen (art. 5, lid 1). Om de vertrouwelijkheid van de communicaties te garanderen, moeten systemen voor elektronische communicatienetwerken zo worden ontworpen dat het aantal persoonsgegevens tot het strikt noodzakelijke wordt beperkt. Art. 5 moet volgens het Hof strikt worden uitgelegd: nationale maatregelen die uitzonderingen met zich mee brengen op het verbod om deze gegevens op te slaan moeten niet de regel worden.
Evenredigheidsbeginsel
Het Hof herhaalt dat de eerbiediging van het evenredigheidsbeginsel voortvloeit uit o.a. de vaste rechtspraak van het Hof met betrekking tot het grondrecht op eerbiediging van het privéleven. Uitzonderingen op de bescherming van persoonsgegevens en de beperkingen daarvan moeten binnen de grenzen van het strikt noodzakelijke blijven.
Profiel van persoon kan bepaald worden
Aan de hand van de te bewaren gegevens, kunnen zeer precieze conclusies worden getrokken over het privéleven van de personen van wie de gegevens zijn bewaard. Het profiel van de persoon kan worden bepaald, en dit is wat het recht op bescherming van privéleven betreft, even gevoelig als de inhoud van de communicaties zelf. Enkel bestrijding van ernstige criminaliteit kan een dergelijke maatregel ter bewaring rechtvaardigen. Echter, algemene en ongedifferentieerde bewaring van alle verkeersgegevens en alle locatiegegevens wordt door het Hof niet noodzakelijk geacht voor het voeren van de strijd tegen zware criminaliteit.
Bestrijding van zware criminaliteit
De richtlijn verzet zich, aldus de uitleg van het Hof, echter niet tegen een nationale regeling die in gerichte bewaring van gegevens voorziet ter bestrijding van zware criminaliteit. De voorwaarden voor bewaring van gegevens moeten dan wel tot het strikt noodzakelijke worden beperkt. De regeling moet duidelijk en nauwkeurig zijn, voldoende garanties bevatten dat de persoonsgegevens worden beschermd tegen het risico van misbruik.
Toegang autoriteiten
Een nationale regeling die vervolgens de toegang van autoriteiten tot de bewaarde verkeersgegevens regelt, moet aan de hand van objectieve criteria bepalen, in welke omstandigheden en onder welke voorwaarden toegang moet worden verleend. Daarnaast is het van wezenlijk belang dat de toegang tot de bewaarde gegevens, wordt onderworpen aan voorafgaand toezicht door een rechterlijke instantie of een onafhankelijke entiteit. De betrokken persoon moet ook op de hoogte gebracht worden.
7. Decentrale relevantie
De Europese ePrivacy richtlijn en de Europese Algemene verordening gegevensbescherming vormen tezamen het juridisch kader voor (digitale) privacy en gegevensbescherming. De Europese Commissie heeft een nieuwe ePrivacyverordening voorgesteld, die ook relevant is voor decentrale overheden. Ook in Nederland heeft de nietigverklaring van de dataretentierichtlijn gevolgen gehad. De Wet bewaarplicht telecommunicatiegegevens is buiten werking gesteld. Er is momenteel een nieuw wetsvoorstel aanhangig dat voorziet in aanpassing van de wet.
8. Meer informatie:
Is er een verschil tussen de Europese e-privacyrichtlijn en de Europese Algemene verordening gegevensbescherming?, praktijkvraag Europa decentraal
Informatiemaatschappij, Europa decentraal
Algemene verordening gegevensbescherming, Europa decentraal
Digitale interne markt strategie, Europa decentraal