Volgens advocaat-generaal Saugmandsgaard Øe is besluit 2010/87/EU van de Commissie betreffende modelcontractbepalingen voor de doorgifte vanpersoonsgegevens aan in derde landen gevestigde verwerkers geldig.
De algemene verordening gegevensbescherming (AVG) bepaalt,(1) net zoals de richtlijn over de verwerking van persoonsgegevens die door deze verordening is vervangen,(2) dat persoonsgegevens mogen worden doorgegeven aan een derde land wanneer dat land een passend niveau van bescherming van die gegevens waarborgt. Ingeval de Commissie geen besluit heeft genomen waarbij wordt vastgesteld dat het derde land in kwestie een passend beschermingsniveau garandeert, mag een verwerkingsverantwoordelijke niettemin de gegevens doorgeven indien passende waarborgen worden geboden. Deze waarborgen kunnen onder meer de vorm aannemen van een tussen de gegevensexporteur en de gegevensimporteur gesloten overeenkomst die de modelbepalingen inzake bescherming bevat die zijn vastgesteld in een besluit van de Commissie. Bij besluit 2010/87/EU3 heeft de Commissie modelcontractbepalingen vastgesteld voor de doorgifte van persoonsgegevens aan verwerkers die gevestigd zijn in derde landen. De onderhavige zaak heeft betrekking op de geldigheid van dat besluit.
Feiten en voorgeschiedenis van het hoofdgeding Het hoofdgeding gaat terug op een procedure die is ingesteld door Maximillian Schrems, een Oostenrijkse Facebookgebruiker, en die reeds heeft geleid tot een op 6 oktober 2015 gewezen arrest van het Hof van Justitie (hierna 'arrest Schrems').(4)
De gegevens van Facebookgebruikers die – zoals Schrems – in de Unie wonen, worden door Facebook Ireland, de Ierse dochteronderneming van Facebook Inc., geheel of gedeeltelijk doorgegeven aan servers die zich bevinden op het grondgebied van de Verenigde Staten, waar zij worden verwerkt. In 2013 had Schrems bij de Ierse autoriteit die is belast met het toezicht op de toepassing van de bepalingen inzake de bescherming van persoonsgegevens (hierna: 'toezichthoudende autoriteit') een klacht ingediend waarin hij stelde dat uit de onthullingen van Edward Snowden over de activiteiten van de inlichtingendiensten van de Verenigde Staten (met name van de National Security Agency of 'NSA') was gebleken dat het recht en de praktijk van de Verenigde Staten onvoldoende bescherming bieden tegen surveillance van de aan dat land doorgegeven gegevens door de overheid. De toezichthoudende autoriteit had die klacht met name afgewezen omdat de Commissie in haar beschikking van 26 juli 2000 had overwogen dat de Verenigde Staten in het kader van de zogenoemde regeling inzake de veilige haven een passend niveau van bescherming van de doorgegeven persoonsgegevens waarborgden.(5)(6)
In het arrest Schrems heeft het Hof van Justitie de veiligehavenbeschikking naar aanleiding van een vraag van de High Court (rechter in eerste aanleg, Ierland) ongeldig verklaard.
Nadat het arrest Schrems was gewezen, is de verwijzende rechter overgegaan tot nietigverklaring van het besluit waarbij de toezichthoudende autoriteit Schrems’ klacht had afgewezen, en heeft die rechter de klacht voor onderzoek terugverwezen naar die autoriteit. De toezichthoudende autoriteit heeft een onderzoek geopend en heeft Schrems verzocht om zijn klacht te herformuleren gelet op de ongeldigverklaring van de veiligehavenbeschikking.
Te dien einde heeft Schrems Facebook Ireland gevraagd de rechtsgronden aan te duiden waarop de doorgifte van persoonsgegevens van Facebookgebruikers vanuit de Unie naar de Verenigde Staten gebaseerd zijn. Facebook Ireland heeft verwezen naar een tussen haar en Facebook Inc. gesloten overeenkomst voor de doorgifte en de verwerking van gegevens (data transfer processing agreement), die sinds 20 november 2015 van toepassing is, en heeft zich beroepen op besluit 2010/87.
In zijn geherformuleerde klacht voert Schrems aan dat de in die overeenkomst vervatte bepalingen niet in overeenstemming zijn met de modelcontractbepalingen die zijn vastgesteld in besluit 2010/87, en dat deze modelcontractbepalingen hoe dan ook niet als grondslag kunnen dienen voor de doorgifte van hem betreffende persoonsgegevens aan de Verenigde Staten. De betrokken personen staat namelijk geen enkel rechtsmiddel ter beschikking waarmee zij in de Verenigde Staten hun recht op de eerbiediging van het privéleven en hun recht op de bescherming van persoonsgegevens kunnen doen gelden. Derhalve verzoekt Schrems de toezichthoudende autoriteit om de betreffende doorgifte op te schorten overeenkomstig besluit 2010/87.
Met haar onderzoek trachtte de toezichthoudende autoriteit uit te maken of de Verenigde Staten een passende bescherming van de persoonsgegevens van Unieburgers waarborgen en, zo niet, of het gebruik van modelcontractbepalingen voldoende waarborgen biedt voor de bescherming van de fundamentele rechten en vrijheden van Unieburgers. Aangezien de toezichthoudende autoriteit van oordeel was dat het aan Schrems’ klacht te geven gevolg afhing van de vraag of besluit 2010/87 geldig is, heeft zij een procedure ingesteld bij de High Court opdat deze rechter daarover vragen zou stellen aan het Hof. De High Court heeft het prejudiciële verzoek ingediend waarom die autoriteit heeft verzocht.
In zijn conclusie van vandaag stelt advocaat-generaal Henrik Saugmandsgaard Øe het Hof van Justitie voor om op de vragen te antwoorden dat bij de analyse daarvan geen elementen aan het licht zijn gekomen die de geldigheid van besluit 2010/87 kunnen aantasten.
Om te beginnen merkt de advocaat-generaal op dat het er in het hoofdgeding enkel om gaat uit te maken of besluit 2010/87 – waarbij de Commissie de modelcontractbepalingen heeft vastgesteld waarop de in Schrems’ klacht vermelde doorgiften zijn gebaseerd – geldig is.
In de eerste plaats overweegt de advocaat-generaal dat het Unierecht van toepassing is op doorgiften van persoonsgegevens aan een derde land wanneer met deze doorgiften weliswaar commerciële doeleinden worden nagestreefd, maar de overheid van dat derde land de doorgegeven gegevens kan verwerken met het oog op de nationale veiligheid.
In de tweede plaats constateert de advocaat-generaal dat de AVG-bepalingen inzake doorgiften aan derde landen tot doel hebben doorlopend een hoog niveau van bescherming van persoonsgegevens te waarborgen, ongeacht of de gegevens worden doorgegeven op grond van een adequaatheidsbesluit dan wel van passende waarborgen die worden geboden door de exporteur. De wijze waarop dit doel wordt bereikt, verschilt volgens de advocaat-generaal echter naargelang van de rechtsgrond voor de doorgifte. Een adequaatheidsbesluit heeft tot doel vast te stellen dat een bepaald derde land – gelet op het recht en de praktijk die er van toepassing zijn – waarborgt dat de fundamentele rechten van de personen van wie de gegevens worden doorgegeven, worden beschermd in een mate die in wezen gelijkwaardig is aan de mate van bescherming die wordt geboden door de AVG, gelezen in het licht van het Handvest van de grondrechten van de Europese Unie (hierna 'Handvest'). Daarentegen moeten de passende waarborgen die onder meer langs contractuele weg worden geboden door de exporteur, zelf zorgen voor een dergelijk niveau van bescherming. In dit verband voorzien de door de Commissie vastgestelde modelcontractbepalingen in een algemeen mechanisme dat op doorgiften van toepassing is ongeacht het derde land van bestemming en het niveau van bescherming dat aldaar wordt gewaarborgd.
In de derde plaats onderzoekt de advocaat-generaal de geldigheid van besluit 2010/87 uit het oogpunt van het Handvest. Hij is van mening dat het feit dat dit besluit en de daarin opgenomen modelcontractbepalingen de autoriteiten van het derde land van bestemming niet binden en er dus niet aan in de weg staan dat deze autoriteiten de importeur verplichtingen opleggen die onverenigbaar zijn met de naleving van die bepalingen, op zichzelf beschouwd niet de ongeldigheid van dat besluit tot gevolg heeft. Of besluit 2010/87 in overeenstemming is met het Handvest, hangt ervan af of er voldoende solide mechanismen bestaan die kunnen waarborgen dat op modelcontractbepalingen gebaseerde doorgiften opgeschort of verboden worden wanneer die bepalingen geschonden worden of niet kunnen worden nageleefd.
Volgens de advocaat-generaal is aan deze voorwaarde voldaan wanneer er sprake is van een verplichting – voor de verwerkingsverantwoordelijken en, wanneer deze niets ondernemen, voor de toezichthoudende autoriteiten – om een doorgifte op te schorten of te verbieden wanneer de modelbepalingen niet kunnen worden nageleefd omdat er een conflict bestaat tussen de uit deze bepalingen voortvloeiende verplichtingen en de verplichtingen die voortvloeien uit het recht van het derde land van bestemming.
De advocaat-generaal constateert voorts dat de verwijzende rechter indirect bepaalde beoordelingen van de Commissie in het besluit van 12 juli 2016, het zogenoemde privacyschildbesluit,(7) ter discussie stelt. In dit besluit heeft de Commissie vastgesteld dat de Verenigde Staten in het kader van de bij dat besluit ingevoerde regeling een passend beschermingsniveau waarborgen voor de doorgifte van gegevens uit de Unie, met name gelet op de waarborgen inzake de toegang van de Amerikaanse inlichtingendiensten tot deze gegevens en op de rechtsbescherming die wordt geboden aan de personen van wie de gegevens worden doorgegeven.(8) Volgens de advocaat-generaal vereist de beslechting van het hoofdgeding niet dat het Hof zich uitspreekt over de geldigheid van het privacyschildbesluit, omdat dit geding enkel betrekking heeft op de geldigheid van besluit 2010/87. Subsidiair zet de advocaat-generaal echter uiteen waarom hij twijfelt aan de geldigheid van het privacyschildbesluit uit het oogpunt van het recht op de eerbiediging van het privéleven, het recht op de bescherming van persoonsgegevens en het recht op een doeltreffende voorziening in rechte.
(1) Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EC (PB 2016, L 119, blz. 1).
(2) Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (PB 1995, L 281, blz. 31).
(3) Besluit van de Commissie van 5 februari 2010 betreffende modelcontractbepalingen voor de doorgifte van persoonsgegevens aan in derde landen gevestigde verwerkers krachtens richtlijn 95/46/EG van het Europees Parlement en de Raad (PB 2010, L 39, blz. 5), zoals gewijzigd bij uitvoeringsbesluit (EU) 2016/2297 van de Commissie van 16 december 2016 (PB 2016, L 344, blz. 100).
(4) Arrest van het Hof van 6 oktober 2015, Schrems, C-362/14. Zie ook PC nr. 117/15.
(5) Beschikking 2000/520/EG van de Commissie van 26 juli 2000 overeenkomstig richtlijn 95/46/EG van het Europees Parlement en de Raad, betreffende de gepastheid van de bescherming geboden door de Veiligehavenbeginselen voor de bescherming van de persoonlijke levenssfeer en de daarmee verband houdende Vaak gestelde vragen, die door het ministerie van Handel van de Verenigde Staten zijn gepubliceerd (PB 2000, L 215, blz. 7).
(6) De regeling inzake de veilige haven omvat een reeks beginselen met betrekking tot de bescherming van persoonsgegevens die Amerikaanse bedrijven vrijwillig kunnen onderschrijven.
(7) Uitvoeringsbesluit (EU) 2016/1250 van de Commissie van 12 juli 2016 overeenkomstig richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de gepastheid van de door het EU-VS-privacyschild geboden bescherming (PB 2016, L 207, blz. 1).
(8) Het privacyschildbesluit berust, net zoals de veiligehavenbeschikking die eraan voorafging, op de vrijwillige instemming van ondernemingen met een reeks beginselen die verband houden met de bescherming van persoonsgegevens.
Dit nieuwsbericht is ook te vinden in het dossier AVG