HvJEU hoort zaak over EU-VS gegevensoverdracht (standaardcontractuele bepalingen en privacyschild)

Sep 17, 2019

Naar aanleiding van een aantal verzoeken hebben we de belangrijkste feiten van de zaak voor het Hof van Justitie van de Europese Unie (HvJEU) over de doorgifte van gegevens tussen de EU en de VS en het massatoezicht door de Amerikaanse regering samengevat. De zaak zal morgen (dinsdag 9 juli om 9.00 uur) voor de grote kamer van het Hof van Justitie worden behandeld.

Gemeenschappelijke misverstanden over de zaak

  • Betreft dit geval allEU-VS gegevensoverdracht?
  • Het gaat in dit geval over allinternationale EU-gegevensoverdracht? Van de partijen bij de procedure is alleen de Ierse commissaris voor gegevensbescherming van mening dat de "modelcontractbepalingen" (SCC's) ongeldig zijn. De heer Schrems is van mening dat (mits correct toegepast en gehandhaafd door de gegevensbeschermingscoördinator) de standaardwerkwinkels een goede oplossing bieden. Geen enkele andere partij in de Ierse procedure dan de DPC heeft vragen gesteld over de geldigheid van de regeling.
  • Zijn allegegevensoverdracht naar de VS problematisch?
  • Betoogt de heer Schrems om de SCC's ongeldig te maken?
  • Ligt "Privacy Shield" op de tafel?
  • Kunt u nog steeds e-mails naar de VS sturen of een vlucht boeken?
  • Welk type transfers moeten dan worden gestopt? In principe kan de gegevensverwerking worden "uitbesteed", wat ook in Europa of andere landen die goede normen voor gegevensbescherming hanteren, kan worden gedaan.

Geschiedenis van de zaak

De zaak draait om een klacht van privacyadvocaat Max Schrems tegen Facebook in 2013 (link naar klacht). Meer dan zes jaar geleden onthulde Edward Snowden dat Facebook de Amerikaanse inlichtingendiensten toegang geeft tot persoonlijke gegevens van Europeanen onder bewakingsprogramma's zoals "PRISM" (zie Wikipedia). De klacht heeft tot doel de doorgifte van gegevens van Facebook tussen de EU en de VS te stoppen. Tot nu toe heeft de Ierse DPC nog geen concrete actie ondernomen om dit te doen.

Eerste afwijzing en arrest van het Hof van Justitie van de Europese Unie inzake de veilige haven

De zaak werd eerst verworpen door de Ierse commissaris voor gegevensbescherming (DPC) in 2013, en vervolgens onderworpen aan rechterlijke toetsing in Ierland en een verwijzing naar het Hof van Justitie van de Europese Unie (HJEU). Het HvJEU oordeelde in 2015 dat de zogenaamde "Safe Harbor"-overeenkomst die de doorgifte van gegevens tussen de EU en de VS toestond, ongeldig was (koppel naar het arrest in C-362/14), en dat de Ierse DPC de zaak moest onderzoeken, wat ze in eerste instantie weigerden.

)

Informatie over het gebruik van "Standaardcontractuele bepalingen"

Informatie over het gebruik van "Standaardcontractuele bepalingen"

Tweede onderzoek en rechtszaak

Tweede onderzoek en rechtszaak link naar arrest) in 2018.

Volgende stappen

Het HvJEU heeft de zaak opgesomd onder C-311/18 en zal het voor de tweede keer horen op 9 juli 2019 - ongeveer zes jaar na het indienen van de oorspronkelijke klacht. Een uitspraak wordt voor het einde van het jaar verwacht. Na het arrest van het Hof van Justitie van de Europese Unie zou het GOG uiteindelijk voor het eerst over de klacht moeten beslissen. Tegen de beslissing kan opnieuw beroep worden aangetekend bij Facebook of de heer Schrems.

Kernargumenten van de partijen

  • De Ierse Commissaris voor gegevensbescherming sluit zich aan bij de heer Schrems in zijn opvatting dat de Amerikaanse toezichtwetgeving in strijd is met de fundamentele rechten op privacy, gegevensbescherming en verhaal in het kader van de Europese wetgeving. De DPC zegt echter dat zij geen bevoegdheden heeft om het probleem op te lossen. Omdat het mechanisme voor gegevensoverdracht dat Facebook gebruikt (standaardcontractuele bepalingen) niet voorziet in een dergelijke situatie, dienen de bepalingen zelf ongeldig te worden verklaard. Dit zou betekenen dat de doorgifte van gegevens naar een niet-EU-land uit hoofde van dit instrument zou moeten worden stopgezet.
  • Facebook is van mening dat het Amerikaanse recht niet verder gaat dan wat legaal is onder het EU-recht. Facebook vraagt zich ook af of de EU bevoegd is voor zaken op het gebied van "nationale veiligheid". Samenvattend ziet Facebook geen probleem om gegevens naar de Verenigde Staten te blijven overdragen onder massatoezicht wetten zoals de FISA. Facebook vertrouwt ook op de beoordeling van de Europese Commissie van de Amerikaanse wetgeving in de zogenaamde "Privacy Shield"-beschikking, waarin staat dat de Amerikaanse toezichtwetgeving in overeenstemming is met de EU-vereisten.
  • Schrems is het eens met de DPC over het probleem, maar stelt een meer gematigde oplossing voor. De wet (artikel 4 VCA's) staat de gegevensbeschermingscoördinator toe om de individuele doorgifte van gegevens (zoals Facebook) te stoppen. De heer Schrems zegt dat de Ierse DPC de plicht heeft om op te treden, in plaats van de zaak terug te schoppen naar het HvJEU. Op basis van het beroep van Facebook op het "Privacy Shield" is de heer Schrems van mening dat de Privacy Shield Decision van de Europese Commissie de Amerikaanse toezichtwetgeving niet adequaat beschrijft, niet eens in staat is om adequate privacybescherming te bieden, en daarom ongeldig moet worden gemaakt.

Verklaring van de heer Schrems

Verklaring van de heer Schrems

Max Schrems, voorzitter van noyb:

noyb

noyb is een nieuwe Europese non-profit organisatie die het recht op privacy door middel van juridische procedures afdwingt. Het ondersteunt dit geval en wordt zelf ondersteund door meer dan 3.500 donateurs.

Key Cijfers

Alle EU-lidstaten, de Europese Commissie, het Europees Parlement en het Europees Comité voor gegevensbescherming (EDPB) konden opmerkingen indienen.

Lid worden

Ons werk wordt mogelijk gemaakt door meer dan 3.100 ondersteunende leden - u misschien wel?

Onze werkzaamheden worden mogelijk gemaakt door meer dan 3.100 ondersteunende leden - u misschien wel?