Hof verklaart Privacy Shield-overeenkomst onrechtmatig

Blog Het Recht NL
Gepubliceerd: 2 oktober 2020
Onder redactie van Mr. Kitty van Boven
afbeelding 28

Arrest gewezen

Op 16 juli 2020 heeft het Europese Hof van Justitie een spraakmakend arrest gewezen over de zogenaamde Privacy Shield-overeenkomst.[1] Het Europese Hof van Justitie heeft bepaald dat deze overeenkomst in strijd is met het Europees recht.[2] In deze bijdrage zal ik dit arrest nader toelichten. Ik zal eerst kort bespreken waar het arrest over ging, daarna de belangrijkste juridische aspecten en tot slot zal ik een korte samenvatting geven.

Maximillian Schrems – een Oostenrijkse staatsburger en (privacy) activist – gebruikt sinds 2008 Facebook. Zijn persoonsgegevens worden door Facebook Ireland geheel of gedeeltelijk doorgegeven naar de servers van Facebook Inc. in de Verenigde Staten en daar worden zij verwerkt. Dat geldt ook voor de gegevens van andere gebruikers van Facebook. Schrems heeft over die doorgifte van zijn gegevens een klacht ingediend bij de Ierse toezichthoudende autoriteit. Naar aanleiding van deze klacht is door het Europese Hof van Justitie eerder het arrest Schrems 1-arrest gewezen.[3]

view counter

De beslissing waarin de klacht werd afgewezen door de Ierse toezichthoudende autoriteit werd door de Ierse rechter op basis van het Schrems 1-arrest nietig verklaard. Schrems werd vervolgens de gelegenheid geboden om zijn eerdere klacht te herformuleren. Zijn tweede klacht behoudt grotendeels de inhoud van zijn eerdere klacht, namelijk bij doorgifte van zijn gegevens naar de VS voor verwerking zijn, zijn Europese rechten niet langer (voldoende) gewaarborgd.

Deze tweede klacht lijdt vervolgens ook tot een rechtszaak. In deze rechtszaak is wederom de uitleg van het Europees recht van essentieel belang. De verwijzende (Ierse) rechter, vraagt daarom om uitleg aan het Europees Hof van Justitie. De functie van het Europese Hof van Justitie is in de kern om uitleg te geven over het Europees recht aan nationale rechters, zoals in dit geval de Ierse rechter. Nationale rechters zijn in bepaalde gevallen ook verplicht om het Europees Hof van Justitie om uitleg te vragen. Een verdere toelichting op dat punt valt buiten het bestek van deze bijdrage.

Aangezien de prejudiciële vragen in deze kwestie meerdere pagina’s beslaan zal ik deze hier niet herhalen. U kunt deze via de link in de voetnoot raadplegen indien u interesse heeft.[4] Voor dit artikel zou ik ze als volgt willen samenvatten:

Is de Privacy Shield-overeenkomst in strijd met het Europees recht (en dan met name de AVG)?

Het Europese Hof van Justitie bevestigt allereerst dat het Europees recht van toepassing is op ‘een doorgifte van persoonsgegevens voor commerciële doeleinden door een in een lidstaat gevestigde onderneming naar een andere in een derde land gevestigde onderneming, ook al kunnen deze gegevens tijdens of na die doorgifte door de autoriteiten van het derde land worden verwerkt ten behoeve van de openbare veiligheid, defensie en staatsveiligheid.’ De verwerking van persoonsgegevens door de autoriteiten van een derde land vallen onder de werkingssfeer van het Europees recht en de AVG, zo bepaalt het Europese Hof van Justitie.

Daarom moet het beschermingsniveau van het derde land bij een dergelijke uitwisseling van persoonsgegevens in grote lijnen overeenkomstig het Europese beschermingsniveau zijn. Bij de bepaling van het beschermingsniveau zijn zowel de overeenkomst tussen de verzender en ontvanger van de gegevens als de relevante aspecten van het rechtstelsel van het derde land van belang.

Volgens het Europese Hof van Justitie voldoet de Privacy Shield-overeenkomst niet aan het vereiste beschermingsniveau. Daarbij is van belang dat de gebruiker niet kan inzien welke gegevens worden bewaard. Op deze inzage heeft de gebruiker recht op grond van de AVG. Daarnaast zijn er onvoldoende rechtsmiddelen beschikbaar om in beroep te gaan indien niet – in grote lijnen – aan het vereiste beschermingsniveau wordt voldaan.

Het Europese Hof van Justitie komt daarom tot de conclusie dat de Privacy Shield-overeenkomst in strijd met het Europees recht is, en beantwoord de bovenstaande vraag dus bevestigend.

Het gevolg van dit arrest is dat de Privacy Shield-overeenkomst buiten werking wordt gesteld indien geen beschermingsniveau bestaat in het derde land dat in grote lijnen overeenkomstig het Europese beschermingsniveau is. Uit dit arrest kan ook worden geconcludeerd dat de Verenigde Staten momenteel niet voldoen aan dit vereiste. De Privacy Shield-overeenkomst vormde een rechtsgeldige grondslag voor de verwerking van gegevens. Op die grondslag kunnen organisaties en bedrijven zich nu niet meer beroepen (als niet wordt voldaan aan de eerder besproken voorwaarde). Daarmee komen de overige grondslagen uit de AVG niet te vervallen, dus de uitwisseling van persoonsgegevens met de Verenigde Staten blijft mogelijk, bijvoorbeeld indien de gebruiker daarvoor expliciet toestemming geeft.[5]

Al met al is in deze bijdrage het recente arrest van het Europese Hof van Justitie toegelicht. Daarbij zijn de feiten, de juridische beoordeling en de beantwoording van de rechtsvraag aan bod gekomen.

Korte samenvatting

In deze bijdrage bespreek ik het spraakmakende arrest dat het Europees Hof van Justitie heeft gewezen over de zogenaamde Privacy Shield-overeenkomst.

view counter