Intellectuele eigendom & IT
Het Hof van Justitie heeft op 8 april 2014 de richtlijn die opslag van verkeersgegevens verplicht stelt (dataretentierichtlijn) ongeldig verklaard. Dit kan grote gevolgen hebben in de hele Europese Unie.
Achtergronden bij de zaak
De dataretentierichtlijn verplicht, kort samengevat, aanbieders van telecom- en internetdiensten om verkeersgegevens voor bepaalde tijd te bewaren. De lidstaten moeten vervolgens nadere regels stellen over het gebruik van en de toegang tot die gegevens.
Diverse partijen hebben zich in diverse landen van de Europese Unie verweerd tegen deze opslag van gegevens. Dit heeft er, uiteindelijk, toe geleid dat het Europese Hof van Justitie diverse vragen voorgelegd heeft gekregen over de geldigheid en betekenis van de richtlijn. Die vragen hebben tot het arrest geleid.
Hof van Justitie: verkeersgegevens vormen inbreuk op privacy
Het Hof van Justitie benadrukt dat uit verkeersgegevens zeer persoonlijke gegevens zijn af te leiden (r/o 27). Mensen zouden wellicht hun communicatiemiddelen anders kunnen gaan gebruiken indien ze weten dat verkeersgegevens worden opgeslagen, hetgeen betekent dat de vrijheid van meningsuiting wel eens in gevaar zou kunnen komen (r/o 28).
Het Hof concludeert dan ook dat het opslaan en verder verwerken van verkeersgegevens een inbreuk vormt op het fundamentele recht op respect voor de persoonlijke levenssfeer en op bescherming van persoonsgegevens:
The retention of data for the purpose of possible access to them by the competent national authorities, as provided for by Directive 2006/24, directly and specifically affects private life and, consequently, the rights guaranteed by Article 7 of the Charter. Furthermore, such a retention of data also falls under Article 8 of the Charter because it constitutes the processing of personal data within the meaning of that article and, therefore, necessarily has to satisfy the data protection requirements arising from that article (Cases C-92/09 and C-93/09 Volker und Markus Schecke and Eifert EU:C:2010:662, paragraph 47).
Aard van de gegevens niet relevant
Verder valt op dat het Hof benadrukt dat de aard van de gegevens irrelevant is.
33 To establish the existence of an interference with the fundamental right to privacy, it does not matter whether the information on the private lives concerned is sensitive or whether the persons concerned have been inconvenienced in any way (see, to that effect, Cases C-465/00, C-138/01 and C-139/01 Österreichischer Rundfunk and Others EU:C:2003:294, paragraph 75).
Het enkele feit dat verkeersgegevens worden opgeslagen, maakt al dat sprake is van inbreuk op grondrechten (r/o 34). Dat de gegevens vervolgens verder worden verwerkt maakt dat sprake is van een verdere inbreuk op de grondrechten (r/o 35).
Opslaan verkeersgegevens niet principieel te ver
In de daarop volgende overwegingen benadrukt het Hof – samengevat – dat het opslaan van verkeersgegevens als zodanig niet per se te ver hoeft te gaan. Omdat alleen verkeersgegevens, en niet de inhoud van de communicatie, worden opgeslagen, wordt niet de essentie van het recht op respect voor priveleven aangetast (r/o 39), noch het recht op bescherming van persoonsgegevens in de kern geraakt (r/o 40).
Legitiem doel?
De vraag is veeleer of de huidige wijze van dataretentie een legitiem doel dient en of het systeem proportioneel is opgezet. Het Hof overweegt allereerst dat het bestrijden van terrorisme en zware misdaad een doel van algemeen belang is (r/o 42) en dat dergelijke algemene belangen een inbreuk op grondrechten zouden kunnen rechtvaardigen (r/o 44).
En op proportionele wijze uitgevoerd?
De vervolgvraag is dan of de huidige regeling proportioneel van aard is. Opvallend is dat het Hof daarbij allereerst het belang van privacybescherming benadrukt. Vanwege dat grote belang is de vrijheid voor de wetgever beperkt:
48 In the present case, in view of the important role played by the protection of personal data in the light of the fundamental right to respect for private life and the extent and seriousness of the interference with that right caused by Directive 2006/24, the EU legislature’s discretion is reduced, with the result that review of that discretion should be strict.
In de daarop volgende overwegingen benadrukt het Hof dat het nastreven van een algemeen belang nog niet maakt dat iedere inbreuk op de grondrechten gerechtvaardigd is. Inbreuken moeten beperkt blijven tot datgene wat strikt noodzakelijk is:
52 So far as concerns the right to respect for private life, the protection of that fundamental right requires, according to the Court’s settled case-law, in any event, that derogations and limitations in relation to the protection of personal data must apply only in so far as is strictly necessary (Case C-473/12 IPI EU:C:2013:715, paragraph 39 and the case-law cited).
Dit betekent dan ook, aldus het Hof, dat er duidelijke en precieze/strikte regels moeten zijn die het toepassingsbereik van de richtlijn bepalen en die waarborgen geven voor de bescherming van de persoonlijke levenssfeer van de personen wiens gegevens zijn afgetapt:
54 Consequently, the EU legislation in question must lay down clear and precise rules governing the scope and application of the measure in question and imposing minimum safeguards so that the persons whose data have been retained have sufficient guarantees to effectively protect their personal data against the risk of abuse and against any unlawful access and use of that data (see, by analogy, as regards Article 8 of the ECHR, Eur. Court H.R., Liberty and Others v. the United Kingdom, 1 July 2008, no. 58243/00, § 62 and 63; Rotaru v. Romania, § 57 to 59, and S. and Marper v. the United Kingdom, § 99).
Voldoende de regels uit de richtlijn aan die strenge normen?
Vervolgens toetst het Hof of de regels uit de richtlijn voldoen aan die strenge normen. Het Hof constateert daarbij
- dat de richtlijn ziet op het bewaren van gegevens over (bijna) alle vormen van communicatie van (bijna) alle burgers van de Europese Unie (r/o 56-57);
- zelfs van mensen waarvoor geen aanleiding bestaat hun gegevens te bewaren (r/o 58);
- dat er geen enkele relatie wordt vereist tussen de bewaarde gegevens en een bepaalde dreiging voor de publieke veiligheid (r/o 59);
- dat er geen objectieve criteria zijn gesteld om toegang tot de opgeslagen data te beperken (r/o 60);
- dat er geen procedurele kaders zijn gesteld voor toegang en gebruik van de gegevens (r/o 61);
- dat er geen objectief criterium is gesteld waarmee wordt geborgd dat de gegevens alleen voor rechtmatige doeleinden worden gebruikt (r/o 62);
- dat bij de bewaartermijn geen enkel onderscheid wordt gemaakt naar de aard van de gegevens (r/o 63);
- dat aan de lidstaten geen enkel objectief criterium is gesteld om de bewaartermijn te bepalen (r/o 64);
De conclusie laat zich raden: de richtlijn overschrijdt het strikt noodzakelijke, of nog eenvoudiger gezegd: de richtlijn gaat veel te ver. In de woorden van het Hof:
65 It follows from the above that Directive 2006/24 does not lay down clear and precise rules governing the extent of the interference with the fundamental rights enshrined in Articles 7 and 8 of the Charter. It must therefore be held that Directive 2006/24 entails a wide-ranging and particularly serious interference with those fundamental rights in the legal order of the EU, without such an interference being precisely circumscribed by provisions to ensure that it is actually limited to what is strictly necessary.
Richtlijn ongeldig verklaard
Het Hof kan daarna kort zijn over de conclusie in de zaak: de EU-wetgever is te ver gegaan en de richtlijn wordt ongeldig verklaard.
69 Having regard to all the foregoing considerations, it must be held that, by adopting Directive 2006/24, the EU legislature has exceeded the limits imposed by compliance with the principle of proportionality in the light of Articles 7, 8 and 52(1) of the Charter.
70 In those circumstances, there is no need to examine the validity of Directive 2006/24 in the light of Article 11 of the Charter.
71 Consequently, the answer to the second question, parts (b) to (d), in Case C-293/12 and the first question in Case C-594/12 is that Directive 2006/24 is invalid.
Hoe nu verder?
De richtlijn die lidstaten heeft verplicht tot het implementeren van dataretentiewetgeving is ongeldig verklaard. Is daarmee die nationale wetgeving ook ongeldig verklaard? Nee. Het betreft hier een procedure die louter gaat over de Europese wetgeving.
Is met deze uitspraak die nationale wetgeving buiten werking te stellen? Wellicht. In de uitspraak legt het Hof sterk de nadruk op proportionaliteit en subsidiriteit. De vraag voor een nationale rechter zal aldus vermoedelijk zijn of een lidstaat (zoals Nederland) de wetgeving zodanig heeft geimplementeerd dat de inbreuk op de grondrechten gerechtvaardigd is. Daarvoor zal o.m. bekeken moeten worden of en zo ja in hoeverre de lidstaat de toepassing van de dataretentieregels nader heeft afgebakend/gekaderd middels objectieve criteria (zoals door het Hof verlangd). Daar waar die nadere kadering in de wetgeving van lidstaten ontbreekt, zou deze uitspraak wel eens tot nieuwe rechtszaken kunnen leiden, bijvoorbeeld van providers die de kosten voor de aftapinstallaties vergoed willen zien of van burgers die een verklaring voor recht verlangen dat verkeersgegevens onrechtmatig zijn afgetapt.
Verder valt op dat het Hof, wederom, veel waarde lijkt te hechten aan de privacybescherming van burgers van de Unie. Privacybescherming wordt vrij breed uitgelegd en er wordt, in lijn met eerdere jurisprudentie, vrij snel aangenomen dat gegevens zijn te beschouwen als persoonsgegevens en dat het verwerken daarvan een inbreuk vormt op grondrechten.
Het laatste woord hierover is dan ook nog lang niet gesproken en geschreven. We houden u op de hoogte.
NB. Op het moment van schrijven was het arrest nog niet op de officiele website Curia te vinden. Dit artikel is gebaseerd op een PDF die ik elders vond.
