Hof van Justitie EU verklaart besluit betreffende de gepastheid van de door het EU-VS-privacyschild geboden bescherming ongeldig
16-07-2020 Print this pageDoorgifte van persoonsgegevens voor commerciële doeleinden door een in een lidstaat gevestigde marktdeelnemer aan een andere, in een derde land gevestigde marktdeelnemer valt binnen de werkingssfeer van de AVG, ook al kunnen deze gegevens tijdens of na die doorgifte door de autoriteiten van het betrokken derde land worden verwerkt ten behoeve van de openbare veiligheid, defensie en de veiligheid van de staat. Door artikel 46(1) en (2) AVG vereiste passende waarborgen, afdwingbare rechten en doeltreffende moeten verzekeren dat de rechten van personen wier persoonsgegevens op basis van standaardbepalingen inzake gegevensbescherming naar een derde land worden doorgegeven, in grote lijnen overeenkomen met het beschermingsniveau dat binnen de EU wordt gewaarborgd door die verordening gelezen in het licht van het Handvest van de grondrechten van de EU. Voor beoordeling van gewaarborgde beschermingsniveau moet rekening worden gehouden met (i) de contractuele bepalingen die zijn overeengekomen tussen de in de EU gevestigde verwerkingsverantwoordelijke of zijn in de EU gevestigde verwerker en de in het betrokken derde land gevestigde ontvanger van de doorgifte, als (ii) m.b.t. eventuele toegang van overheidsinstanties van dat derde land tot de doorgegeven persoonsgegevens de relevante aspecten van het rechtsstelsel van dat derde land, met name die uit artikel 45(2) AVG. Bevoegde toezichthoudende autoriteit verplicht om doorgifte van gegevens naar een derde land op basis van door de Commissie vastgestelde standaardbepalingen inzake gegevensbescherming op te schorten of te verbieden, wanneer hij van oordeel is dat die bepalingen in dat derde land niet worden of niet kunnen worden nageleefd en dat de bescherming van de doorgegeven gegevens niet kan worden gewaarborgd met andere middelen, indien de in de Unie gevestigde verwerkingsverantwoordelijke of zijn in de Unie gevestigde verwerker niet zelf de doorgifte heeft opgeschort of beëindigd. Besluit betreffende modelcontractbepalingen voor de doorgifte van persoonsgegevens aan in derde landen gevestigde verwerkers geldig doorstaat toetsing aan artikelen 7, 8 en 47 Handvest van de grondrechten. Besluit betreffende gepastheid van de door het EU-VS-privacyschild geboden bescherming ongeldig.
Uit het perscommuniqué: “[…] Maximillian Schrems is een Oostenrijks staatsburger die in Oostenrijk woont en die sinds 2008 Facebook gebruikt. Zoals het geval is bij andere Facebookgebruikers in de Unie, worden de persoonsgegevens van Scherms door Facebook Ireland geheel of gedeeltelijk doorgegeven naar servers van Facebook Inc. in de Verenigde Staten en worden zij daar verwerkt. Schrems heeft bij de Ierse toezichthoudende autoriteit een klacht ingediend en in essentie verzocht om deze doorgiften te verbieden. Hij heeft aangevoerd dat het in de Verenigde Staten geldende recht en de daar gangbare praktijk geen waarborgen bieden voor voldoende bescherming tegen de toegang door de overheid tot de naar dit land doorgegevens gegevens. Deze klacht is afgewezen, onder meer omdat de Commissie in haar beschikking 2000/5205 (zogenoemde veiligehavenbeschikking) had vastgesteld dat de Verenigde Staten een passend beschermingsniveau waarborgden. Bij arrest van 6 oktober 2015 heeft het Hof naar aanleiding van een prejudiciële vraag van de High Court (rechter in eerste aanleg, Ierland) deze beschikking ongeldig verklaard (hierna: „Schrems I-arrest”).
Na het Schrems I-arrest en de daaropvolgende nietigverklaring door de Ierse rechter van de beslissing waarbij de klacht van Schrems werd afgewezen, heeft de Ierse toezichthoudende autoriteit Schrems uitgenodigd om zijn klacht te herformuleren, gezien de ongeldigverklaring door het Hof van beschikking 2000/520. In zijn geherformuleerde klacht blijft Schrems erbij dat de Verenigde Staten geen passende bescherming bieden met betrekking tot naar dat land doorgegeven gegevens. Hij verzoekt de doorgifte van zijn persoonsgegevens vanuit de Unie naar de Verenigde Staten – die Facebook Ireland ondertussen uitvoert op grond van de standaardbepalingen inzake gegevensbescherming uit de bijlage bij besluit 2010/877 – op te schorten of voor de toekomst te verbieden. De Ierse toezichthoudende autoriteit is van oordeel dat de behandeling van de klacht van Schrems vooral afhankelijk is van de geldigheid van besluit 2010/87 en heeft zich daarom tot de High Court (rechter in eerste aanleg) gewend met het oog op de voorlegging van prejudiciële vragen aan het Hof. Na de inleiding van deze procedure heeft de Commissie besluit (EU) 2016/1250 betreffende de gepastheid van de door het EU-VS-privacyschild geboden bescherming (zogenoemd privacyschildbesluit) vastgesteld.
Met zijn verzoek om een prejudiciële beslissing stelt de verwijzende rechter het Hof vragen over de toepasselijkheid van de AVG op de doorgifte van persoonsgegevens op basis van de bij besluit 2010/87 vastgestelde standaardbepalingen inzake gegevensbescherming, het door de AVG vereiste beschermingsniveau bij een dergelijke doorgifte, en de verplichtingen die in dit verband rusten op toezichthoudende autoriteiten. Bovendien vraagt de High Court het Hof of besluit 2010/87 en besluit 2016/1250 geldig zijn. […]”
Antwoord op prejudiciële vragen door HvJEU:
"1) Artikel 2, leden 1 en 2, van verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG (algemene verordening gegevensbescherming) moet aldus worden uitgelegd dat de doorgifte van persoonsgegevens voor commerciële doeleinden door een in een lidstaat gevestigde marktdeelnemer aan een andere, in een derde land gevestigde marktdeelnemer binnen de werkingssfeer van deze verordening valt, ook al kunnen deze gegevens tijdens of na die doorgifte door de autoriteiten van het betrokken derde land worden verwerkt ten behoeve van de openbare veiligheid, defensie en de veiligheid van de staat.
2) Artikel 46, lid 1 en lid 2, onder c), van verordening 2016/679 moet aldus worden uitgelegd dat de door deze bepaling vereiste passende waarborgen, afdwingbare rechten en doeltreffende rechtsmiddelen moeten verzekeren dat de rechten van personen wier persoonsgegevens op basis van standaardbepalingen inzake gegevensbescherming naar een derde land worden doorgegeven, in grote lijnen overeenkomen met het beschermingsniveau dat binnen de Europese Unie wordt gewaarborgd door die verordening, gelezen in het licht van het Handvest van de grondrechten van de Europese Unie. Daartoe moet bij de beoordeling van het bij een dergelijke doorgifte gewaarborgde beschermingsniveau rekening worden gehouden met zowel de contractuele bepalingen die zijn overeengekomen tussen de in de Europese Unie gevestigde verwerkingsverantwoordelijke of zijn in de Europese Unie gevestigde verwerker en de in het betrokken derde land gevestigde ontvanger van de doorgifte, als, wat een eventuele toegang van de overheidsinstanties van dat derde land tot de doorgegeven persoonsgegevens betreft, de relevante aspecten van het rechtsstelsel van dat derde land, met name die welke worden vermeld in artikel 45, lid 2, van die verordening.
3) Artikel 58, lid 2, onder f) en j), van verordening 2016/679 moet aldus worden uitgelegd dat de bevoegde toezichthoudende autoriteit, tenzij de Europese Commissie op geldige wijze een adequaatheidsbesluit heeft vastgesteld, ertoe verplicht is om de doorgifte van gegevens naar een derde land op basis van door de Commissie vastgestelde standaardbepalingen inzake gegevensbescherming op te schorten of te verbieden, wanneer deze toezichthoudende autoriteit, gelet op alle omstandigheden van die doorgifte, van oordeel is dat die bepalingen in dat derde land niet worden of niet kunnen worden nageleefd en dat de bescherming van de doorgegeven gegevens, zoals vereist door het Unierecht, inzonderheid door de artikelen 45 en 46 van deze verordening en door het Handvest van de grondrechten, niet kan worden gewaarborgd met andere middelen, indien de in de Unie gevestigde verwerkingsverantwoordelijke of zijn in de Unie gevestigde verwerker niet zelf de doorgifte heeft opgeschort of beëindigd.
4) Bij de toetsing van besluit 2010/87/EU van de Commissie van 5 februari 2010 betreffende modelcontractbepalingen voor de doorgifte van persoonsgegevens aan in derde landen gevestigde verwerkers krachtens richtlijn 95/46/EG van het Europees Parlement en de Raad, zoals gewijzigd bij uitvoeringsbesluit (EU) 2016/2297 van de Commissie van 16 december 2016, aan de artikelen 7, 8 en 47 van het Handvest van de grondrechten is niet gebleken van feiten of omstandigheden die de geldigheid van dat besluit kunnen aantasten.
5) Uitvoeringsbesluit (EU) 2016/1250 van de Commissie van 12 juli 2016 overeenkomstig richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de gepastheid van de door het EU-VS-privacyschild geboden bescherming is ongeldig."
