Europa op de dool met eigen fundamentele privacyregels
"The political dilemma of the Commission is that the U.S. Congress isn't willing to deliver".
Nog geen jaar nadat het Hof van Justitie van de Europese Unie de ‘Safe Harbor’ beslissing van de Europese Commissie nietig had verklaard, kondigde deze laatste aan een nieuw, verbeterd framework met de V.S. te hebben onderhandeld: ‘the EU-U.S. Privacy Shield’. Op basis daarvan kunnen in Europa verzamelde persoonsgegevens vrij naar Amerikaanse bedrijven worden doorgespeeld. Max Schrems, een Oostenrijkse jurist wiens activisme aan de basis ligt van de voormelde uitspraak is van mening dat ook het Privacyschild geen ‘adequaat’ beschermingsniveau garandeert wegens een gebrek aan fundamentele veranderingen aan de Amerikaanse wetgeving ter zake. Stopt de bescherming van persoonsgegevens de facto aan de virtuele buitengrenzen van de Europese Unie? Leeft de EU überhaupt haar eigen regels te allen tijde na? Wint politiek van recht?
Een passend beschermingsniveau
Het staat buiten kijf dat de Europese regels inzake de verwerking van persoonsgegevens een bijzonder hoog databeschermingsniveau vooropstellen in vergelijking met deze (of gene) die gelden in andere landen of regio’s in de wereld. De harmonisering van de regelgeving in de EU had als doel het vrij verkeer van data tussen de verschillende lidstaten van de Unie te verzekeren: waar eenzelfde bescherming wordt geboden, kunnen persoonsgegevens zonder belemmeringen worden doorgegeven.
Deze redenering wordt - logischerwijze - doorgetrokken in de relatie tot niet-EU landen. Europees recht schrijft immers voor dat “persoonsgegevens pas naar een derde land mogen worden doorgegeven indien dat land een passend beschermingsniveau waarborgt”. Concreet betekent dit niet dat het land in kwestie eenzelfde beschermingsniveau dient te garanderen, maar wel dat het niveau van bescherming “in grote lijnen” moet overeenstemmen met datgene dat wordt verzekerd binnen de Europese Unie. De Europese Commissie heeft dienaangaande de bevoegdheid gekregen om op bindende wijze te verklaren dat een specifiek land deze vereiste vervult.
Op 6 oktober 2015 heeft het Hof van Justitie in de zaak Schrems evenwel geoordeeld dat de Commissie in haar ‘Safe Harbor’ beslissing niet heeft aangetoond dat er in de Verenigde Staten inderdaad een gelijkwaardig databeschermingssysteem voorhanden is. Deze uitspraak was het logische gevolg van de onthullingen van Edward Snowden in juni 2013 omtrent het bestaan van zogenaamde ‘mass surveillance programs’ (zoals PRISM en andere) van de Amerikaanse inlichtingendiensten en hun grootschaligheid. PRISM stelde de NSA in staat zich rechtstreeks toegang te verschaffen tot de V.S. servers van Facebook, Google en andere grote Amerikaanse internetbedrijven. Dat Safe Harbor toestond dat Europese filialen van deze mediagiganten de door hen verzamelde gegevens van Europese gebruikers voor opslag en verwerking naar de Verenigde Staten stuurden, zorgde er dus onrechtstreeks voor dat de overheid in de V.S. ook over een schat aan informatie over Europese internetgebruikers kon beschikken. Het Hof stelde dat het verzamelen en verwerken van gegevens in bulk (of nog: het verzamelen van gegevens over individuen – of ze nu ergens van verdacht worden of niet) de artikels 7 en 8, respectievelijk betreffende het recht op eerbiediging van het privéleven en het recht op bescherming van persoonsgegevens, van het Handvest van de Grondrechten van de Europese Unie schendt wegens disproportioneel ongeacht de eventuele legitimiteit van het beoogde doel van dergelijke maatregelen. Hierin werd het Hof van Justitie bovendien bijgetreden door het Europees Hof voor de Rechten van de Mensen in Straatsburg. In een arrest van 21 december 2016, betreffende een louter Europese aangelegenheid, heeft de EU rechter verduidelijkt dat persoonsgegevens slechts mogen worden verzameld en verder verwerkt indien dat gerechtvaardigd is op basis van “objectieve criteria [bv. een geografisch gebied waarbinnen een hoog risico bestaat op een bepaalde serieuze vorm van criminaliteit] die een verband leggen tussen de te bewaren gegevens en het nagestreefde doel”.
Amerika post Snowden: even inadequaat
Na de val van Safe Harbor, wat leidde tot een juridisch vacuüm voor wat betreft de transfers van commerciële gegevens van de EU naar de V.S., onderhandelde de Europese Commissie het EU-V.S. Privacyschild op basis waarvan ze vervolgens opnieuw besloot dat de Verenigde Staten Europese gegevens op adequate wijze beschermen.
Hoewel het schild op het eerste zicht een betere indruk wekt dan zijn voorganger, wordt snel duidelijk dat het om niet veel meer gaat dan goede voornemens en beloftes vanwege de Amerikaanse overheid die nergens juridisch worden hard gemaakt. Dat de gerichte - en dus niet de bulk - verzameling van persoonsgegevens voortaan zal worden “geprioriteerd” en dat die bovendien zo “specifiek mogelijk” zal gebeuren, komt inderdaad neer op gebakken lucht verkopen. De Amerikaanse regelgeving is immers slechts in verwaarloosbaar kleine mate aangepast. De Europese Commissie is, uit haar communicatie met de buitenwereld af te leiden, overtuigd aan de onderhandelingstafel gaan zitten, maar lijkt opnieuw te zijn bezweken voor de politieke druk die een deal met dergelijke consequenties voor de bedrijfswereld met zich meebrengt.
Passenger Name Records
De hogervermelde rechtspraak van zowel het Hof in Luxemburg als van dat in Straatsburg blijft ook niet zonder gevolgen voor andere EU instrumenten - zowel interne regelgeving als akkoorden met derde landen - zoals bijvoorbeeld deze betreffende PNR (persoonsgegevens van passagiers) data. Kort voor vertrek dienen luchtvaartmaatschappijen de autoriteiten de door hen verzamelde gegevens van de passagiers van de betreffende vlucht in bulk door te sturen zodanig dat de laatstgenoemden de data kunnen analyseren om er zich vervolgens van te kunnen vergewissen dat er zich geen personen met een verdacht profiel aan boord zullen bevinden. Zo heeft het Hof van Justitie zich op 26 juli 2017 nog over de kwestie uitgesproken en nogmaals haar vorige rechtspraak verfijnd en genuanceerd: onder strikte voorwaarden blijft de verzameling en verdere verwerking van PNR data mogelijk als dit kan worden gerechtvaardigd op basis van bepaalde ‘objectieve criteria’.
Europese hoven als privacywaakhonden
Het moge duidelijk zijn dat het laatste nog niet gezegd is over de bescherming van persoonsgegevens die op grote schaal worden verzameld, geanalyseerd en gebruikt door overheidsinstanties. Wel zeker is dat de twee hoogste rechtshoven van Europa daarin een uitermate belangrijke rol hebben te spelen.
