Europese Facebook gegevens worden onvoldoende beschermd in Amerika
In een baanbrekend arrest van het Hof van Justitie van de Europese Unie [HvJEU] van 6 oktober 2015[1] is vastgesteld dat de persoonsgegevens van burgers van de Europese Unie in Amerika onvoldoende beschermd worden. Wat is er aan de hand?
Oostenrijker Schrems maakt sinds 2008 gebruik van Facebook. Inwoners van de Europese Unie die Facebook willen gebruiken moeten bij hun inschrijving een overeenkomst ondertekenen met Facebook Ireland, een dochteronderneming van Facebook Inc. uit de Verenigde Staten. Uit die overeenkomst vloeit voort dat de persoonsgegevens van de Europese gebruikers van Facebook geheel of gedeeltelijk worden doorgestuurd naar de servers van Facebook Inc. in de Verenigde Staten. In 2013 heeft Schrems bij de Ierse ‘Privacy Waakhond’ een klacht ingediend, waarbij is verzocht om Facebook Ireland te verbieden om persoonsgegevens door te sturen naar de Verenigde Staten. Hij heeft hierover geprocedeerd tot aan de Ierse High Court, welke op zijn beurt prejudiciële vragen heeft gesteld aan het HvJEU.
Persoonsgegevens worden in de Europese Unie streng beschermd, omdat veel waarde wordt toegekend aan het grondrecht op de eerbiediging van de persoonlijke levenssfeer [oftewel grondrecht op privacy]. Vanwege de globalisering van de wereld en het bevorderen van de handel tussen de VS en de EU zijn er tussen beide machtsblokken evenwel afspraken gemaakt over de verzending van persoonsgegevens. Van belang is dat de bescherming van persoonsgegevens in een land buiten de Europese Unie, zo veel mogelijk gelijkwaardig moet zijn aan de Europese bescherming. Bij beschikking van de Europese Commissie[2] is daarom de zogenaamde veilige haven regeling [Safe Harbor] in het leven geroepen. Daaruit vloeit onder meer voort dat wanneer Amerikaanse bedrijven door middel van zelfcertificering toezicht houden op het verwerken van persoonsgegevens van burgers van de Europese Unie en daarbij de Safe Harbor regels in acht nemen, deze verwerking is toegestaan. Onder meer Facebook en Google maken gebruik van deze regeling.
Hoewel het arrest behoorlijk uitgebreid is, moest het HvJEU in wezen de vraag beantwoorden of de bescherming van Europese persoonsgegevens in de Verenigde Staten op deze manier voldoende gewaarborgd is. Een en ander werd vooral aangewakkerd door de onthullingen van klokkenluider Edward Snowden, waaruit onder meer blijkt dat Amerikaanse opsporingsdiensten op zeer grote schaal gegevens van [onder meer] burgers van de Europese Unie verzamelen en opslaan. Die gegevens krijgen de Amerikaanse autoriteiten onder meer in handen via Facebook. Europese burgers kunnen op hun beurt echter nauwelijks optreden tegen deze inbreuken door Amerikaanse opsporingsinstanties, omdat zij wel handelen volgens hun wettelijke bevoegdheden in Amerika.
Het HvJEU is gelet op deze omstandigheden van mening dat de persoonsgegevens van burgers van de Europese Unie in Amerika niet voldoende beschermd worden. Om die reden verklaart het HvJEU de beschikking ongeldig.
Dit betekent dus dat de zogenaamde veilige haven regeling niet langer rechtsgeldig is. Het arrest wordt gezien als een overwinning van het grondrecht op privacy. Wat hiervan het gevolg zal zijn is nog even de vraag. Het Nederlandse College Bescherming Persoonsgegevens heeft in een eerste reactie aangegeven dat deze uitspraak het belang van de bescherming van persoonsgegevens nog eens onderstreept. De Europese toezichthouders zullen op korte termijn gezamenlijk reageren.
Het is in ieder geval enigszins geruststellend om te constateren dat het HvJEU de vrijheid van haar burgers bij het maken en onderhouden van een Facebookprofiel, beschermt tegen ongebreidelde Amerikaanse inbreuken op de persoonlijke levenssfeer.
