ARREST VAN HET HOF (Grote kamer)
6 oktober 2015 ( * )
„Prejudiciële verwijzing — Persoonsgegevens — Bescherming van natuurlijke personen in verband met de verwerking van die gegevens — Handvest van de grondrechten van de Europese Unie — Artikelen 7, 8 en 47 — Richtlijn 95/46/EG — Artikelen 25 en 28 — Doorgifte van persoonsgegevens naar derde landen — Beschikking 2000/520/EG — Doorgifte van persoonsgegevens naar de Verenigde Staten — Passend beschermingsniveau — Geldigheid — Klacht van een natuurlijke persoon van wie de gegevens vanuit de Europese Unie naar de Verenigde Staten zijn doorgegeven — Bevoegdheden van de nationale toezichthoudende autoriteiten”
In zaak C‑362/14,
betreffende een verzoek om een prejudiciële beslissing krachtens artikel 267 VWEU, ingediend door de High Court (Ierland) bij beslissing van 17 juli 2014, ingekomen bij het Hof op 25 juli 2014, in de procedure
Maximillian Schrems
tegen
Data Protection Commissioner,
in tegenwoordigheid van:
Digital Rights Ireland Ltd,
wijst
HET HOF (Grote kamer),
samengesteld als volgt: V. Skouris, president, K. Lenaerts, vicepresident, A. Tizzano, R. Silva de Lapuerta, T. von Danwitz (rapporteur), S. Rodin en K. Jürimäe, kamerpresidenten, A. Rosas, E. Juhász, A. Borg Barthet, J. Malenovský, D. Šváby, M. Berger, F. Biltgen en C. Lycourgos, rechters,
advocaat-generaal: Y. Bot,
griffier: L. Hewlett, hoofdadministrateur,
gezien de stukken en na de terechtzitting op 24 maart 2015,
gelet op de opmerkingen van:
— |
M. Schrems, vertegenwoordigd door N. Travers, SC, P. O’Shea, BL, G. Rudden, solicitor, en H. Hofmann, Rechtsanwalt, |
— |
de Data Protection Commissioner, vertegenwoordigd door P. McDermott, BL, en S. More O’Ferrall en D. Young, solicitors, |
— |
Digital Rights Ireland Ltd, vertegenwoordigd door F. Crehan, BL, en S. McGarr en E. McGarr, solicitors, |
— |
Ierland, vertegenwoordigd door A. Joyce, B. Counihan en E. Creedon als gemachtigden, bijgestaan door D. Fennelly, BL, |
— |
de Belgische regering, vertegenwoordigd door J.‑C. Halleux en C. Pochet als gemachtigden, |
— |
de Tsjechische regering, vertegenwoordigd door M. Smolek en J. Vláčil als gemachtigden, |
— |
de Italiaanse regering, vertegenwoordigd door G. Palmieri als gemachtigde, bijgestaan door P. Gentili, avvocato dello Stato, |
— |
de Oostenrijkse regering, vertegenwoordigd door G. Hesse en G. Kunnert als gemachtigden, |
— |
de Poolse regering, vertegenwoordigd door M. Kamejsza, M. Pawlicka en B. Majczyna als gemachtigden, |
— |
de Sloveense regering, vertegenwoordigd door A. Grum en V. Klemenc als gemachtigden, |
— |
de regering van het Verenigd Koninkrijk, vertegenwoordigd door L. Christie en J. Beeko als gemachtigden, bijgestaan door J. Holmes, barrister, |
— |
het Europees Parlement, vertegenwoordigd door D. Moore, A. Caiola en M. Pencheva als gemachtigden, |
— |
de Europese Commissie, vertegenwoordigd door B. Schima, B. Martenczuk, B. Smulders en J. Vondung als gemachtigden, |
— |
de Europese Toezichthouder voor gegevensbescherming (EDPS), vertegenwoordigd door C. Docksey, A. Buchta en V. Pérez Asinari als gemachtigden, |
gehoord de conclusie van de advocaat-generaal ter terechtzitting van 23 september 2015,
het navolgende
Arrest
1 |
Het verzoek om een prejudiciële beslissing betreft de uitlegging, aan de hand van de artikelen 7, 8 en 47 van het Handvest van de grondrechten van de Europese Unie (hierna: „Handvest”), van de artikelen 25, lid 6, en 28 van richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (PB L 281, blz. 31), zoals gewijzigd bij verordening (EG) nr. 1882/2003 van het Europees Parlement en de Raad van 29 september 2003 (PB L 284, blz. 1; hierna: „richtlijn 95/46”), en in de grond ook de geldigheid van beschikking 2000/520/EG van de Commissie van 26 juli 2000 overeenkomstig richtlijn 95/46, betreffende de gepastheid van de bescherming geboden door de Veiligehavenbeginselen voor de bescherming van de persoonlijke levenssfeer en de daarmee verband houdende Vaak gestelde vragen, die door het ministerie van Handel van de Verenigde Staten zijn gepubliceerd (PB L 215, blz. 7). |
2 |
Dit verzoek is ingediend in het kader van een geschil tussen M. Schrems en de Data Protection Commissioner (commissaris gegevensbescherming; hierna: „Commissioner”) over de weigering van laatstgenoemde om een klacht te onderzoeken die door Schrems was ingediend omdat Facebook Ireland Ltd (hierna: „Facebook Ireland”) de persoonsgegevens van haar gebruikers naar de Verenigde Staten doorgeeft en bewaart op servers die zich in dat land bevinden. |
Toepasselijke bepalingen
Richtlijn 95/46
3 |
De overwegingen 2, 10, 56, 57, 60, 62 en 63 van richtlijn 95/46 zijn als volgt verwoord:
[...]
[...]
[...]
[...]
|
4 |
De artikelen 1, 2, 25, 26, 28 en 31 van de richtlijn 95/46 bepalen het volgende: „Artikel 1 Onderwerp van de richtlijn 1. De lidstaten waarborgen in verband met de verwerking van persoonsgegevens, overeenkomstig de bepalingen van deze richtlijn, de bescherming van de fundamentele rechten en vrijheden van natuurlijke personen, inzonderheid van het recht op persoonlijke levenssfeer. [...] Artikel 2 Definities In de zin van deze richtlijn wordt verstaan onder:
[...]
[...] Artikel 25 Beginselen 1. De lidstaten bepalen dat persoonsgegevens die aan een verwerking worden onderworpen of die bestemd zijn om na doorgifte te worden verwerkt, slechts naar een derde land mogen worden doorgegeven indien, onverminderd de naleving van de nationale bepalingen die zijn vastgesteld ter uitvoering van de andere bepalingen van deze richtlijn, dat land een passend beschermingsniveau waarborgt. 2. Het passend karakter van het door een derde land geboden beschermingsniveau wordt beoordeeld met inachtneming van alle omstandigheden die op de doorgifte van gegevens of op een categorie gegevensdoorgiften van invloed zijn; in het bijzonder wordt rekening gehouden met de aard van de gegevens, met het doeleinde en met de duur van de voorgenomen verwerking of verwerkingen, het land van herkomst en het land van eindbestemming, de algemene en sectoriële rechtsregels die in het betrokken derde land gelden, alsmede de beroepscodes en de veiligheidsmaatregelen die in die landen worden nageleefd. 3. De lidstaten en de Commissie brengen elkaar op de hoogte van de gevallen waarin, naar hun oordeel, een derde land geen waarborgen voor een passend beschermingsniveau in de zin van lid 2 biedt. 4. Wanneer de Commissie volgens de procedure van artikel 31, lid 2, constateert dat een derde land geen waarborgen voor een passend beschermingsniveau in de zin van lid 2 biedt, nemen de lidstaten de nodige maatregelen om doorgifte van gegevens van dezelfde aard naar het betrokken land te voorkomen. 5. De Commissie opent op het gepaste ogenblik onderhandelingen ter verhelping van de situatie die voortvloeit uit de in lid 4 bedoelde constatering. 6. De Commissie kan volgens de procedure van artikel 31, lid 2, constateren dat een derde land, op grond van zijn nationale wetgeving of zijn internationale verbintenissen, die het met name na de in lid 5 bedoelde onderhandelingen is aangegaan, waarborgen voor een passend beschermingsniveau in de zin van lid 2 biedt met het oog op de bescherming van de persoonlijke levenssfeer en de fundamentele vrijheden en rechten van personen. De lidstaten nemen de nodige maatregelen om zich naar het besluit van de Commissie te voegen. Artikel 26 Afwijkingen 1. In afwijking van artikel 25 en behoudens andersluidende bepalingen van hun nationale recht betreffende specifieke gevallen, bepalen de lidstaten dat een doorgifte of categorie doorgiften van persoonsgegevens naar een derde land dat geen waarborgen voor een passend beschermingsniveau in de zin van artikel 25, lid 2, biedt, mag plaatsvinden mits:
2. Onverminderd het bepaalde in lid 1 kan een lidstaat toestemming geven voor een doorgifte of een categorie doorgiften van persoonsgegevens naar een derde land dat geen waarborgen voor een passend beschermingsniveau in de zin van artikel 25, lid 2, biedt, indien de voor de verwerking verantwoordelijke voldoende waarborgen biedt ten aanzien van de bescherming van de persoonlijke levenssfeer, de fundamentele rechten en vrijheden van personen, alsmede ten aanzien van de uitoefening van de daaraan verbonden rechten; deze waarborgen kunnen met name voortvloeien uit passende contractuele bepalingen. 3. De lidstaat stelt de Commissie en de overige lidstaten in kennis van de toestemmingen die hij op grond van lid 2 verleent. Indien een andere lidstaat of de Commissie met het oog op de bescherming van de persoonlijke levenssfeer en de fundamentele rechten en vrijheden van personen een naar behoren gemotiveerd verzet aantekent, stelt de Commissie passende maatregelen vast volgens de procedure van artikel 31, lid 2. De lidstaten nemen de nodige maatregelen om zich naar het besluit van de Commissie te voegen. [...] Artikel 28 Toezichthoudende autoriteit 1. Elke lidstaat bepaalt dat een of meer autoriteiten worden belast met het toezicht op de toepassing op zijn grondgebied van de ter uitvoering van deze richtlijn door de lidstaten vastgestelde bepalingen. Deze autoriteiten vervullen de hun opgedragen taken in volledige onafhankelijkheid. 2. Elke lidstaat bepaalt dat de toezichthoudende autoriteiten worden geraadpleegd bij de opstelling van de wettelijke of bestuursrechtelijke bepalingen met betrekking tot de bescherming van de rechten en vrijheden van personen in verband met de verwerking van persoonsgegevens. 3. Elke toezichthoudende autoriteit beschikt met name over:
Tegen beslissingen van de toezichthoudende autoriteit kan beroep bij de rechter worden aangetekend. 4. Een ieder kan in eigen persoon of door middel van een vereniging die als zijn vertegenwoordiger optreedt bij elke toezichthoudende autoriteit een verzoek indienen met betrekking tot de bescherming van zijn rechten en vrijheden in verband met de verwerking van persoonsgegevens. Hij wordt van het gevolg dat daaraan wordt gegeven in kennis gesteld. Een ieder kan meer bepaald bij elke autoriteit een verzoek indienen om de rechtmatigheid van een verwerking te verifiëren, wanneer de krachtens artikel 13 van deze richtlijn vastgestelde nationale bepalingen van toepassing zijn. Hij wordt in ieder geval in kennis gesteld van het feit dat een verificatie heeft plaatsgevonden. [...] 6. Elke toezichthoudende autoriteit is bevoegd, ongeacht welk nationaal recht op de betrokken verwerking van toepassing is, op het grondgebied van haar eigen lidstaat de haar overeenkomstig lid 3 verleende bevoegdheden uit te oefenen. Elke autoriteit kan door een autoriteit van een andere lidstaat worden verzocht haar bevoegdheden uit te oefenen. [...] Artikel 31 [...] 2. Wanneer naar dit artikel wordt verwezen, zijn de artikelen 4 en 7 van besluit 1999/468/EG [van de Raad van 28 juni 1999 tot vaststelling van de voorwaarden voor de uitoefening van de aan de Commissie verleende uitvoeringsbevoegdheden (PB L 184, blz. 23)] van toepassing, met inachtneming van het bepaalde in artikel 8 van dat besluit. [...]” |
Beschikking 2000/520
5 |
Beschikking 2000/520 is door de Commissie vastgesteld op grond van artikel 25, lid 6, van richtlijn 95/46. |
6 |
De overwegingen 2, 5 en 8 van deze beschikking zijn als volgt verwoord:
[...]
[...]
|
7 |
De artikelen 1 tot en met 4 van beschikking 2000/520 luiden als volgt: „Artikel 1 1. Voor de toepassing van artikel 25, lid 2, van richtlijn 95/46/EG geldt voor alle binnen de werkingssfeer van die richtlijn vallende activiteiten, dat de Veiligehavenbeginselen voor de bescherming van de persoonlijke levenssfeer, hierna ‚de beginselen’ genoemd, zoals vermeld in bijlage I van deze beschikking, ten uitvoer gelegd overeenkomstig de richtsnoeren in de Vaak gestelde vragen, hierna ‚FAQ’s’ genoemd, zoals vermeld in bijlage II van de beschikking, die op 21 juli 2000 door het ministerie van Handel van de Verenigde Staten zijn gepubliceerd, worden geacht een passend beschermingsniveau te waarborgen voor de doorgifte van persoonsgegevens van de Gemeenschap naar in de Verenigde Staten gevestigde organisaties, een en ander gelet op de volgende, door het ministerie van Handel van de Verenigde Staten gepubliceerde documenten ten uitvoer gelegd volgens de ter uitvoering van die beginselen gegeven richtsnoeren:
2. Met betrekking tot elke doorgifte van gegevens moet aan de volgende voorwaarden zijn voldaan:
3. Elke organisatie die door zelfcertificering de overeenkomstig de FAQ’s ten uitvoer gelegde beginselen onderschrijft, wordt geacht aan de in lid 2 gestelde voorwaarden te voldoen vanaf de datum waarop de organisatie het ministerie van Handel van de Verenigde Staten (of de door dit ministerie aangewezen instantie) in kennis stelt van de openbare bekendmaking van de in lid 2, onder a), bedoelde verbintenis, en van de identiteit van de in lid 2, onder b), bedoelde overheidsinstantie. Artikel 2 Deze beschikking heeft alleen betrekking op de gepastheid van de bescherming die in de Verenigde Staten overeenkomstig de volgens de FAQ’s ten uitvoer gelegde beginselen wordt geboden, teneinde aan de vereisten van artikel 25, lid 1, van richtlijn 95/46/EG te voldoen en laat de toepassing van andere bepalingen van die richtlijn die op de verwerking van persoonsgegevens in de lidstaten betrekking hebben en met name van artikel 4, onverlet. Artikel 3 1. Onverminderd hun bevoegdheden om maatregelen te nemen in verband met de naleving van nationale bepalingen die op grond van andere bepalingen dan artikel 25 van richtlijn 95/46/EG zijn vastgesteld, kunnen de bevoegde autoriteiten in de lidstaten van hun bestaande bevoegdheden gebruikmaken om gegevensstromen naar een organisatie die door zelfcertificering de overeenkomstig de FAQ’s ten uitvoer gelegde beginselen heeft onderschreven, op te schorten, teneinde personen ten aanzien van de verwerking van hun persoonsgegevens te beschermen, wanneer:
De opschorting wordt beëindigd zodra vaststaat dat de overeenkomstig de FAQ’s ten uitvoer gelegde beginselen worden nageleefd en de bevoegde autoriteiten in de Gemeenschap hiervan in kennis zijn gesteld. 2. De lidstaten stellen de Commissie onverwijld in kennis wanneer op grond van lid 1 maatregelen worden genomen. 3. De lidstaten stellen de Commissie tevens in kennis van gevallen waarin instanties die voor de naleving van de overeenkomstig de FAQ’s ten uitvoer gelegde beginselen in de Verenigde Staten verantwoordelijk zijn, verzuimen een dergelijke naleving te garanderen. 4. Wanneer uit de overeenkomstig de leden 1, 2 en 3 verzamelde informatie mocht blijken dat een instantie die verantwoordelijk is voor de naleving van de overeenkomstig de FAQ’s ten uitvoer gelegde beginselen in de Verenigde Staten, haar taak niet naar behoren vervult, stelt de Commissie het ministerie van Handel van de Verenigde Staten hiervan in kennis en stelt zij zo nodig, in overeenstemming met de in artikel 31 van richtlijn 95/46/EG vastgestelde procedure, ontwerp-maatregelen voor om deze beschikking in te trekken of op te schorten dan wel de werkingssfeer ervan te beperken. Artikel 4 1. Deze beschikking kan te allen tijde worden aangepast in het licht van de bij de uitvoering ervan opgedane ervaringen en/of indien het door de beginselen en de FAQ’s geboden beschermingsniveau door de in de wetgeving van de Verenigde Staten gestelde eisen wordt achterhaald. In ieder geval evalueert de Commissie op basis van de beschikbare informatie de uitvoering van de beschikking drie jaar nadat de lidstaten ervan in kennis zijn gesteld, en deel zij alle relevante vaststellingen aan het bij artikel 31 van richtlijn 95/46/EG ingestelde comité mee, inclusief alle gegevens die van invloed kunnen zijn op de overeenkomstig artikel 1 van deze beschikking gedane vaststelling dat het beschermingsniveau passend is in de zin van artikel 25 van richtlijn 95/46/EG, alsmede alle gegevens waaruit blijkt dat deze beschikking op discriminerende wijze wordt uitgevoerd. 2. De Commissie legt zo nodig overeenkomstig de bij artikel 31 van richtlijn 95/46/EG vastgestelde procedure een ontwerp van de te nemen maatregelen voor.” |
8 |
Bijlage I bij beschikking 2000/520 is als volgt verwoord: „Veiligehavenbeginselen voor de bescherming van de persoonlijke levenssfeer op 21 juli 2000 gepubliceerd door het ministerie van Handel van de Verenigde Staten [...] [...] [H]et ministerie van Handel [publiceert] dit document en de Vaak gestelde vragen (FAQ’s) (‚de beginselen’) op grond van zijn wettelijke taak de internationale handel te bevorderen en te ontwikkelen. De beginselen zijn in samenspraak met het bedrijfsleven en het grote publiek opgesteld om de handel tussen de Verenigde Staten en de Europese Unie te vergemakkelijken. Ze zijn uitsluitend bedoeld om te worden gebruikt door organisaties in de Verenigde Staten die persoonsgegevens uit de Europese Unie ontvangen, om zo in aanmerking te komen voor de veilige haven en de hierdoor geboden veronderstelling van een ‚passend beschermingsniveau’. Omdat de beginselen uitsluitend voor dit specifieke doel zijn ontworpen, kunnen ze voor andere doeleinden ongeschikt zijn. [...] Organisaties besluiten geheel vrijwillig of zij voor de veilige haven in aanmerking willen komen; zij kunnen dit op verschillende manieren doen. [...] De naleving van de beginselen kan worden beperkt a) voor zover dit nodig is om aan de eisen van de nationale veiligheid, het algemeen belang en rechtshandhaving te voldoen; b) door wettelijke of bestuursrechtelijke bepalingen of rechtspraak die tegenstrijdige verplichtingen of uitdrukkelijke machtigingen scheppen, mits een organisatie die van een dergelijke machtiging gebruikmaakt, kan aantonen dat de niet-naleving van de beginselen beperkt is tot de mate die nodig is om de met de machtiging beoogde hogere legitieme belangen te waarborgen; of c) indien de richtlijn of de wetgeving van de betrokken lidstaat uitzonderingen of afwijkingen toestaat, mits deze ook in vergelijkbare contexten worden toegepast. In overeenstemming met het doel de bescherming van de persoonlijke levenssfeer te verbeteren, moeten organisaties ernaar streven deze beginselen volledig en op doorzichtige wijze toe te passen en in hun beleid inzake de bescherming van de persoonlijke levenssfeer aan te geven op welke gebieden er regelmatig op grond van punt b) uitzonderingen op de beginselen zullen worden toegestaan. Waar de beginselen en/of de wetgeving van de Verenigde Staten organisaties de mogelijkheid tot kiezen bieden, wordt daarom ook van hen verwacht dat zij waar mogelijk voor de hoogste mate van bescherming kiezen. [...]” |
9 |
Bijlage II bij beschikking 2000/520 is in de volgende bewoordingen opgesteld: „Vaak gestelde vragen (FAQ’s) [...] FAQ 6 – Zelfcertificering
FAQ 11 – Afhandeling van geschillen en rechtshandhaving
|
10 |
Bijlage IV bij beschikking 2000/520 luidt: „Bescherming van de persoonlijke levenssfeer en schadevergoeding, wettelijke machtigingen en fusies en overnames in de wetgeving van de Verenigde Staten Hiermee wordt voldaan aan het verzoek van de Europese Commissie om verduidelijking van de wetgeving van de Verenigde Staten met betrekking tot a) eisen tot schadevergoeding wegens inbreuken op de persoonlijke levenssfeer, b) ‚uitdrukkelijke machtigingen’ in de wetgeving van de Verenigde Staten voor het gebruik van persoonsgegevens op een wijze die niet in overeenstemming is met de Veiligehavenbeginselen, en c) het effect van fusies en overnames op verplichtingen die op grond van de Veiligehavenbeginselen zijn aangegaan. [...] B. Uitdrukkelijke juridische machtigingen De Veiligehavenbeginselen bevatten een uitzondering wanneer wetten, regelingen of jurisprudentie ‚tegenstrijdige verplichtingen of uitdrukkelijke machtigingen creëren, mits de organisaties die van een dergelijke machtiging gebruikmaken kunnen aantonen dat de niet-naleving van de beginselen beperkt is tot de mate die nodig is om de met de machtiging beoogde doorslaggevende, legitieme belangen te waarborgen’. Het is duidelijk dat, indien de wetgeving van de Verenigde Staten een tegenstrijdige verplichting oplegt, organisaties uit dat land de wet in acht moeten nemen, ongeacht of ze aan de veilige haven deelnemen of niet. Wat uitdrukkelijke machtigingen betreft, zijn we, ofschoon de Veiligehavenbeginselen bedoeld zijn om de verschillen tussen de regeling van de Verenigde Staten en die van de Europese Unie inzake bescherming van de persoonlijke levenssfeer te overbruggen, eerbied verschuldigd aan de prerogatieven van onze verkozen wetgevers op het gebied van wetgeving. De beperkte uitzondering op de strikte toepassing van de Veiligehavenbeginselen is bedoeld om een evenwicht tot stand te brengen tussen de legitieme belangen aan beide kanten. De uitzondering is beperkt tot gevallen waar er een uitdrukkelijke machtiging voorhanden is. Daarom moet de desbetreffende wet, regeling of rechterlijke beslissing bij wijze van drempel het bijzondere gedrag van veiligehavenorganisaties affirmatief toestaan. Met andere woorden, de uitzondering zou niet gelden als de wet niet expliciet is. Bovendien zou de uitzondering alleen gelden als de uitdrukkelijke machtiging in strijd is met de naleving van de Veiligehavenbeginselen. Zelfs dan is de uitzondering ‚beperkt tot de mate die nodig is om de met de machtiging beoogde doorslaggevende, legitieme belangen te waarborgen’. Om het duidelijk te stellen, wanneer de wet een onderneming gewoon machtigt persoonsgegevens aan overheidsinstanties te verstrekken, zou de uitzondering niet gelden. Omgekeerd, wanneer de wet de onderneming specifiek machtigt persoonsgegevens aan overheidsinstanties te verstrekken zonder de toestemming van de betrokkene, zou dit een ‚uitdrukkelijke machtiging’ vormen om te handelen op een wijze die in strijd is met de Veiligehavenbeginselen. Aan de andere kant zouden specifieke uitzonderingen op affirmatieve voorschriften om kennisgeving te doen en toestemming te verkrijgen, binnen de uitzondering vallen (daar dit hetzelfde zou zijn als een specifieke machtiging om de informatie zonder kennisgeving en toestemming bekend te maken). Een wet bijvoorbeeld die artsen machtigt de medische gegevens over hun patiënten zonder voorafgaande toestemming van de patiënten aan ambtenaren van de gezondheidsdienst te verstrekken, zou een uitzondering op de beginselen van kennisgeving en keuze kunnen toelaten. Deze machtiging zou een arts niet toestaan dezelfde medische gegevens aan een organisatie voor gezondheidszorg (HMO, health maintenance organization) of aan commerciële farmaceutische onderzoekslaboratoria te verstrekken, wat buiten de door de wet toegestane doeleinden en bijgevolg buiten het geldingsgebied van de uitzondering zou vallen. Het rechtsinstrument in kwestie kan een ‚opzichzelfstaande’ machtiging zijn om specifieke dingen met persoonsgegevens te doen, maar, zoals uit de hierna gegeven voorbeelden blijkt, zal het waarschijnlijk een uitzondering op een ruimere wet zijn die het verzamelen, het gebruik of de bekendmaking van persoonsgegevens verbiedt. [...]” |
Mededeling COM(2013) 846 final
11 |
Op 27 november 2013 heeft de Commissie een mededeling aan het Europees Parlement en de Raad vastgesteld met als titel „Herstel van vertrouwen in de gegevensstromen tussen de EU en de VS” [COM(2013) 846 final] [hierna: „mededeling COM(2013) 846 final”]. Deze mededeling ging vergezeld van een verslag met de „bevindingen van de medevoorzitters van de EU over de ad-hocwerkgroep Gegevensbescherming van de EU en de VS” („Report on the Findings by the EU Co-chairs of the ad hoc EU-US Working Group on Data Protection”). Zoals blijkt uit punt 1 ervan was dit verslag in samenwerking met de Verenigde Staten van Amerika opgesteld nadat was gebleken dat er in dat land surveillanceprogramma’s bestonden in het kader waarvan op grote schaal persoonsgegevens werden verzameld en verwerkt. Dit verslag bevatte onder meer een gedetailleerde analyse van de rechtsorde van de Verenigde Staten, in het bijzonder voor zover betrekking hebbend op de rechtsgrondslagen op grond waarvan dergelijke surveillanceprogramma’s kunnen bestaan en de autoriteiten van de Verenigde Staten persoonsgegevens kunnen verzamelen en verwerken. |
12 |
In punt 1 van mededeling COM(2013) 846 final heeft de Commissie verduidelijkt dat „de commerciële uitwisselingen [...] het voorwerp [vormen] van beschikking [2000/520]. Deze beschikking biedt een rechtsbasis voor de doorgifte van persoonsgegevens vanuit de EU naar in de VS gevestigde ondernemingen die de veiligehavenbeginselen hebben onderschreven”. In datzelfde punt 1 is er de nadruk op gelegd op de persoonsgegevensstromen steeds belangrijker worden, met name als gevolg van het feit dat de digitale economie „de omvang, de kwaliteit, de diversiteit en de aard van gegevenswerkingsactiviteiten exponentieel [heeft] doen toenemen”. |
13 |
In punt 2 van die mededeling merkt de Commissie op dat „de bezorgdheid over het niveau van de bescherming van in het kader van de veiligehavenregeling aan de [Verenigde Staten] doorgegeven gegevens van [burgers van de Unie is] toegenomen” en dat „[h]et vrijwillige en declaratoire karakter van de regeling [...] de aandacht voor de transparantie en de handhaving ervan [heeft] verscherpt”. |
14 |
Daarnaast heeft zij in datzelfde punt 2 aangegeven dat „[d]e autoriteiten van de [Verenigde Staten] zich toegang [kunnen] verschaffen tot persoonsgegevens die op grond van de veiligehavenregeling naar de [Verenigde Staten] zijn gezonden en deze gegevens verder verwerken op een wijze die niet verenigbaar is met de gronden waarop de gegevens oorspronkelijk in de [Unie] werden verzameld en met de doeleinden waarvoor deze aan de [Verenigde Staten] werden doorgegeven” en dat „[e]en meerderheid van de internetondernemingen in de [Verenigde Staten] waarop [de surveilance]programma’s directer betrekking lijken te hebben, [...] door zelfcertificering bij de veiligehavenregeling [is] aangesloten”. |
15 |
In punt 3.2 van mededeling COM(2013) 846 final wijst de Commissie op een aantal zwakke punten in het functioneren van beschikking 2000/520. Daarbij vermeldt zij in de eerste plaats dat sommige van de gecertificeerde Amerikaanse bedrijven de in artikel 1, lid 1, van beschikking 2000/520 genoemde beginselen (hierna: „veiligehavenbeginselen”) niet in acht namen en dat de verbeteringen in die beschikking betrekking zouden moeten hebben op „de structurele tekortkomingen in verband met de transparantie en de handhaving, de materiële veiligehavenbeginselen en de werking van de uitzondering inzake de nationale veiligheid”. In de tweede plaats merkt zij op dat de „veilige haven [...] ook [fungeert] als een kanaal voor de doorgifte van persoonsgegevens van [burgers van de Unie] vanuit de [Unie] aan de [Verenigde Staten] door ondernemingen die in het kader van de [Amerikaanse] programma’s voor het verzamelen van inlichtingen verplicht zijn gegevens aan Amerikaanse inlichtingendiensten te verstrekken”. |
16 |
In datzelfde punt 3.2 komt de Commissie tot de conclusie dat hoewel, „gelet op de geconstateerde zwakke punten[,] de huidige uitvoering van de veiligehavenbeschikking niet [kan] worden gehandhaafd, [de] intrekking ervan [...] de belangen van aangesloten ondernemingen in de [Unie] en de [Verenigde Staten zou] schaden”. De Commissie voegt daar in datzelfde punt aan toe dat zij „met de autoriteiten van de [Verenigde Staten] in gesprek [zal] gaan over de vastgestelde tekortkomingen”. |
Mededeling COM(2013) 847 final
17 |
Eveneens op 27 november 2013 heeft de Commissie de mededeling aan het Europees Parlement en de Raad betreffende de werking van de veiligehavenregeling („Safe Harbour”) uit het oogpunt van EU-burgers en in de EU gevestigde ondernemingen [COM(2013) 847 final] [hierna: „mededeling COM(2013) 847 final”], vastgesteld. Zoals volgt uit punt 1 van die mededeling was zij mede gebaseerd op informatie die werd verkregen in de EU-VS ad-hocwerkgroep en was zij een vervolg op de twee beoordelingsverslagen van de Commissie die in respectievelijk 2002 en 2004 zijn gepubliceerd. |
18 |
In punt 1 van deze mededeling is verduidelijkt dat beschikking 2000/520 „berust op verbintenissen en zelfcertificering van deelnemende ondernemingen. Deze regeling wordt vrijwillig onderschreven, maar de regels zijn bindend voor ondernemingen die de regeling hebben onderschreven”. |
19 |
Daarnaast volgt uit punt 2.2 van mededeling COM(2013) 847 final dat op 26 september 2013 het aantal gecertificeerde bedrijven 3246 bedroeg en dat zij uit heel wat economische en dienstensectoren afkomstig waren. Deze ondernemingen verleenden voornamelijk diensten op de interne markt van de Unie, meer bepaald binnen de internetsector, en een deel daarvan waren ondernemingen uit de Unie met dochterondernemingen in de Verenigde Staten. Enkele van die ondernemingen verwerkten de gegevens van hun werknemers in Europa, waarna zij naar dat land werden doorgegeven in het kader van het personeelsbeheer. |
20 |
In datzelfde punt 2.2 heeft de Commissie benadrukt dat „[e]lke leemte in transparantie of handhaving in de [Verenigde Staten] ertoe [leidde] dat de verantwoordelijkheid [kwam] te liggen bij de Europese gegevensbeschermingsautoriteiten en de ondernemingen die van de regeling gebruikmaken”. |
21 |
Uit met name de punten 3 tot en met 5 en 8 van mededeling COM(2013) 847 final volgt dat een aanzienlijk aantal gecertificeerde ondernemingen de veiligehavenbeginselen in de praktijk niet of niet volledig in acht nam. |
22 |
Voorts heeft de Commissie in punt 7 van die mededeling vermeld dat „[a]lle ondernemingen die betrokken zijn bij het PRISM-programma [programma voor de verzameling van gegevens op grote schaal] en die de autoriteiten van de [Verenigde Staten] toegang verlenen tot in de [Verenigde Staten] opgeslagen en verwerkte gegevens, [...] bijvoorbeeld gecertificeerd [lijken] te zijn in het kader van de veilige haven”, waardoor die dus „een van de kanalen [is geworden] waarlangs de Amerikaanse inlichtingendiensten toegang hadden tot persoonsgegevens die oorspronkelijk in de [Unie] waren verwerkt”. In dat verband heeft de Commissie in punt 7.1. van mededeling COM(2013) 847 final geconstateerd dat „een aantal rechtsgrondslagen grootschalige verzameling en verwerking van persoonsgegevens [...] die [zijn] opgeslagen of anderszins verwerkt door in de [Verenigde Staten] gevestigde ondernemingen [mogelijk maken]” en dat „[h]et grootschalige karakter van deze programma’s [...] tot gevolg [kan] hebben dat meer gegevens die in het kader van de veilige haven zijn doorgegeven, door de Amerikaanse autoriteiten worden geraadpleegd en verder verwerkt dan strikt noodzakelijk is voor en evenredig is met de bescherming van de nationale veiligheid, zoals de uitzondering waarin [beschikking 2000/520] voorziet, bepaalt”. |
23 |
In punt 7.2 van mededeling COM(2013) 847 final, met als opschrift „Beperkingen en rechtsmiddelen”, benadrukt de Commissie dat „de waarborgen waarin het recht van de [Verenigde Staten] voorziet, in de meeste gevallen beschikbaar [zijn] voor [burgers van de Verenigde Staten] of legaal in de [Verenigde Staten] verblijvende personen” en dat „er noch voor betrokkenen uit de [Unie], noch voor betrokkenen uit de [Verenigde Staten], mogelijkheden [bestaan] om toegang te krijgen tot gegevens of om deze te verbeteren of te wissen of om een administratief of gerechtelijk beroep in te stellen tegen het verzamelen en verder verwerken van hun persoonsgegevens in het kader van Amerikaanse observatieprogramma’s”. |
24 |
Volgens punt 8 van mededeling COM(2013) 847 final behoorden „[i]nternetondernemingen zoals Google, Facebook, Microsoft, Apple of Yahoo”, die „honderden miljoenen klanten in Europa” hebben en persoonsgegevens voor verwerking naar de Verenigde Staten doorgeven, tot de gecertificeerde ondernemingen. |
25 |
In datzelfde punt 8 komt de Commissie tot de conclusie dat „de grootschalige toegang van inlichtingendiensten tot gegevens die aan de [Verenigde Staten] zijn doorgegeven door in het kader van de veilige haven gecertificeerde ondernemingen, nog meer serieuze vragen [doet] rijzen over de continuïteit van de gegevensbeschermingsrechten van Europeanen wanneer hun gegevens aan de [Verenigde Staten] worden doorgegeven”. |
Hoofdgeding en prejudiciële vragen
26 |
Schrems is een Oostenrijker die in Oostenrijk woont. Hij is sinds 2008 gebruiker van het sociale netwerk Facebook. |
27 |
Degenen die op het grondgebied van de Unie wonen en Facebook willen gebruiken, moeten bij hun inschrijving een overeenkomst ondertekenen met Facebook Ireland, een dochteronderneming van Facebook Inc., die zelf in de Verenigde Staten is gevestigd. De persoonsgegevens van de gebruikers van Facebook die op het grondgebied van de Unie wonen, worden geheel of gedeeltelijk doorgegeven naar servers van Facebook Inc. die zich op het grondgebied van de Verenigde Staten bevinden, waar zij worden verwerkt. |
28 |
Op 25 juni 2013 heeft Schrems bij de Commissioner een klacht ingediend, waarin hij de Commissioner zakelijk weergegeven vroeg om het Facebook Ireland op basis van zijn wettelijke bevoegdheden te verbieden om zijn persoonsgegevens naar de Verenigde Staten door te geven. Hij voerde daarbij aan dat het geldende recht en de praktijk in dat land geen waarborgen boden voor afdoende bescherming van de op zijn grondgebied bewaarde persoonsgegevens tegen de surveillance die daar door de overheidsinstanties werd uitgevoerd. Schrems verwees in dat verband naar de onthullingen die Edward Snowden heeft gedaan over de activiteiten van de Amerikaanse inlichtingendiensten en in het bijzonder de National Security Agency (hierna: „NSA”). |
29 |
Van oordeel dat hij niet verplicht was tot onderzoek van de feiten waarvan Schrems aangifte had gedaan in zijn klacht, heeft de Commissioner die klacht afgewezen omdat zij grondslag miste. De Commissioner was namelijk van oordeel dat er geen bewijs was dat de NSA zich toegang tot de persoonsgegevens van de betrokkene had verschaft. Daaraan heeft de Commissioner toegevoegd dat de grieven van Schrems in zijn klacht niet met vrucht konden worden aangevoerd omdat elke vraag betreffende de gepastheid van de bescherming van persoonsgegevens in de Verenigde Staten in overeenstemming met beschikking 2000/520 moest worden beantwoord en de Commissie in die beschikking had geconstateerd dat de Verenigde Staten waarborgen voor een passend beschermingsniveau boden. |
30 |
Schrems heeft tegen de beschikking die voorwerp is van het hoofdgeding, beroep ingesteld bij de High Court. Na onderzoek van de door de partijen in het hoofdgeding overgelegde bewijzen is deze rechter tot de vaststelling gekomen dat het langs elektronische weg surveilleren en onderscheppen van persoonsgegevens die vanuit de Unie naar de Verenigde Staten werden doorgegeven, noodzakelijke en onontbeerlijke doelstellingen van algemeen belang dienden. Daar heeft deze rechter echter aan toegevoegd dat de onthullingen van Snowden hadden aangetoond dat de NSA en andere federale agentschappen hierin „veel te ver” waren gegaan. |
31 |
Volgens diezelfde rechter beschikken de burgers van de Unie niet over een effectief recht om te worden gehoord. Het toezicht op de activiteiten van de inlichtingendiensten vindt plaats in het kader van een procedure die in het geheim en niet op tegenspraak verloopt. Zodra de persoonsgegevens naar de Verenigde Staten zijn doorgegeven, kunnen de NSA en andere federale agentschappen zoals de Federal Bureau of Investigation (FBI), zich toegang tot deze gegevens verschaffen in het kader van de grootschalige en ongedifferentieerde surveillance en onderschepping die zij uitvoeren. |
32 |
De High Court heeft geconstateerd dat het naar Iers recht verboden is om persoonsgegevens naar buiten het nationale grondgebied door te geven, behalve wanneer het derde land in kwestie waarborgen voor een passende bescherming van de persoonlijke levenssfeer en de grondrechten en fundamentele vrijheden biedt. Het belang van de door de Ierse grondwet gewaarborgde rechten op eerbiediging van de persoonlijke levenssfeer en onschendbaarheid van de woning gebiedt dat elke inmenging in deze rechten evenredig is en volgens de wettelijke voorschriften verloopt. |
33 |
Dat op grote schaal en ongedifferentieerd toegang tot persoonsgegevens wordt verkregen, is uiteraard in strijd met het evenredigheidsbeginsel en de fundamentele waarden die door de Ierse grondwet worden beschermd. Het onderscheppen van elektronische communicatie kan slechts dan met de grondwet in overeenstemming worden geacht, wanneer het bewijs wordt geleverd dat die onderscheppingen gericht plaatsvinden, dat de surveillance van bepaalde personen of groepen van personen objectief gerechtvaardigd is in het belang van de nationale veiligheid of de misdaadbestrijding en er passende en verifieerbare waarborgen zijn. Volgens de High Court zou, indien het hoofdgeding op basis van alleen het Ierse recht zou worden afgedaan, moeten worden geconstateerd dat de Commissioner, gezien de ernstige twijfel dat de Verenigde Staten waarborgen voor een passend niveau van bescherming van persoonsgegevens bieden, een onderzoek had moeten verrichten naar de feiten waarvan Schrems aangifte had gedaan in zijn klacht en dat hij die klacht ten onrechte heeft afgewezen. |
34 |
De High Court is evenwel van oordeel dat deze zaak betrekking heeft op het ten uitvoer brengen van het recht van de Unie in de zin van artikel 51 van het Handvest, zodat de rechtmatigheid van de beschikking die voorwerp is van het hoofdgeding, moet worden getoetst aan het Unierecht. Volgens deze rechter voldoet beschikking 2000/520 niet aan de vereisten die uit de artikelen 7 en 8 van het Handvest en de door het Hof geformuleerde beginselen in het arrest Digital Rights Ireland e.a. (C‑293/12 en C‑594/12, EU:C:2014:238) voortvloeien. Het recht op eerbiediging van het privéleven, dat door artikel 7 van het Handvest en de kernwaarden die gemeen zijn aan de constitutionele tradities van de lidstaten wordt gewaarborgd, zou elke gelding worden ontnomen wanneer overheden op aleatoire en algemene wijze toegang kunnen krijgen tot elektronische communicatie zonder dat hiervoor een objectieve rechtvaardiging hoeft te worden aangevoerd die berust op overwegingen van nationale veiligheid of misdaadpreventie die specifiek met de betrokken personen verband houden, en zonder te worden omringd met passende en verifieerbare waarborgen. |
35 |
De High Court merkt voorts op dat Schrems met zijn beroep in werkelijkheid opkomt tegen de rechtmatigheid van de „Veiligehavenregeling” die bij beschikking 2000/520 is ingevoerd en die aan de beschikking in het hoofdgeding ten grondslag ligt. Ook wanneer Schrems de geldigheid van richtlijn 95/46 en beschikking 2000/520 niet formeel heeft bestreden, rijst volgens deze rechter de vraag of de Commissioner op grond van artikel 25, lid 6, van richtlijn 95/46 gebonden is aan de constatering van de Commissie in beschikking 2000/520 dat de Verenigde Staten waarborgen voor een passend beschermingsniveau bieden, of dat hij zich daar, zo nodig, op grond van artikel 8 van het Handvest aan mag onttrekken. |
36 |
Daarop heeft de High Court de behandeling van de zaak geschorst en het Hof verzocht om een prejudiciële beslissing over de volgende vragen:
|
Beantwoording van de prejudiciële vragen
37 |
Met zijn prejudiciële vragen, die tezamen moeten worden onderzocht, wenst de verwijzende rechter in wezen te vernemen of en in hoeverre artikel 25, lid 6, van richtlijn 95/46, gelezen in samenhang met de artikelen 7, 8 en 47 van het Handvest, aldus moet worden uitgelegd dat een krachtens die bepaling vastgestelde beschikking, zoals beschikking 2000/520, waarbij de Commissie constateert dat een derde land waarborgen voor een passend beschermingsniveau biedt, eraan in de weg staat dat een toezichthoudende autoriteit van een lidstaat in de zin van artikel 28 van deze richtlijn kan overgaan tot het onderzoek van een verzoek van een persoon met betrekking tot de bescherming van zijn rechten en vrijheden in verband met de verwerking van op hem betrekking hebbende persoonsgegevens die vanuit een lidstaat naar dat derde land zijn doorgegeven, wanneer die persoon aanvoert dat het geldende recht en de praktijk in dat land geen waarborgen voor een passend beschermingsniveau bieden. |
Bevoegdheden van de nationale toezichthoudende autoriteiten in de zin van artikel 28 van richtlijn 95/46 in geval van een beschikking van de Commissie op grond van artikel 25, lid 6, van deze richtlijn
38 |
Om te beginnen moet eraan worden herinnerd dat richtlijn 95/46, doordat zij een regeling treft in verband met de verwerking van persoonsgegevens die afbreuk kan doen aan de fundamentele vrijheden, en inzonderheid aan het recht op eerbiediging van het privéleven, noodzakelijkerwijs moet worden uitgelegd op basis van de grondrechten die door het Handvest worden gewaarborgd (zie arresten Österreichischer Rundfunk e.a., C‑465/00, C‑138/01 en C‑139/01, EU:C:2003:294, punt 68; Google Spain en Google, C‑131/12, EU:C:2014:317, punt 68, en Ryneš, C‑212/13, EU:C:2014:2428, punt 29). |
39 |
Uit artikel 1 en de overwegingen 2 en 10 van richtlijn 95/46 volgt dat deze richtlijn niet alleen beoogt een doeltreffende en volledige bescherming van de grondrechten en fundamentele vrijheden van natuurlijke personen, en met name het grondrecht op eerbiediging van het privéleven, bij de verwerking van persoonsgegevens te waarborgen, maar ook een hoog niveau van bescherming van die grondrechten en fundamentele vrijheden. Het belang van zowel het grondrecht op eerbiediging van het privéleven, zoals gewaarborgd door artikel 7 van het Handvest, als het grondrecht op de bescherming van persoonsgegevens, zoals gewaarborgd door artikel 8 daarvan, is in de rechtspraak van het Hof benadrukt (zie arresten Rijkeboer, C‑553/07, EU:C:2009:293, punt 47; Digital Rights Ireland e.a., C‑293/12 en C‑594/12, EU:C:2014:238, punt 53, en Google Spain en Google, C‑131/12, EU:C:2014:317, punten, 53, 66 en 74 en aldaar aangehaalde rechtspraak). |
40 |
Aangaande de bevoegdheden waarover de nationale toezichthouders ten aanzien van de doorgifte van persoonsgegevens naar derde landen beschikken, moet erop worden gewezen dat artikel 28, lid 1, van richtlijn 95/46 de lidstaten ertoe verplicht om een of meer autoriteiten in te stellen die worden belast met het toezicht, in volledige onafhankelijkheid, op de naleving van de regels van de Unie op het gebied van de bescherming van natuurlijke personen bij de verwerking van dergelijke gegevens. Dit vereiste vloeit tevens uit het primaire Unierecht voort, met name uit artikel 8, lid 3, van het Handvest en artikel 16, lid 2, VWEU (zie in die zin arresten Commissie/Oostenrijk, C‑614/10, EU:C:2012:631, punt 36, en Commissie/Hongarije, C‑288/12, EU:C:2014:237, punt 47). |
41 |
De waarborg van onafhankelijkheid van de nationale toezichthoudende autoriteiten beoogt de doeltreffendheid en de betrouwbaarheid van het toezicht op de naleving van de bepalingen inzake de bescherming van natuurlijke personen bij de verwerking van persoonsgegevens te verzekeren en moet tegen de achtergrond van deze doelstelling worden uitgelegd. Deze waarborg moet zorgen voor een betere bescherming van de personen en instanties waarop de beslissingen van deze autoriteiten betrekking hebben. Zoals erop is gewezen in overweging 62 van richtlijn 95/46 is de instelling van onafhankelijke toezichthoudende autoriteiten in de lidstaten dus van wezenlijk belang voor de eerbiediging van de bescherming van personen bij de verwerking van persoonsgegevens (zie arresten Commissie/Duitsland, C‑518/07, EU:C:2010:125, punt 25, en Commissie/HongarijeC‑288/12, EU:C:2014:237, punt 48en aldaar aangehaalde rechtspraak). |
42 |
Om deze bescherming te waarborgen, moeten de nationale toezichthoudende autoriteiten met name een juist evenwicht verzekeren tussen de naleving van het grondrecht op bescherming van de persoonlijke levenssfeer en de belangen die een vrij verkeer van persoonsgegevens noodzakelijk maken (zie arresten Commissie/Duitsland, C‑518/07, EU:C:2010:125, punt 24, en Commissie/HongarijeC‑288/12, EU:C:2014:237, punt 51). |
43 |
Daartoe beschikken deze autoriteiten over een breed scala aan bevoegdheden. Deze bevoegdheden, die niet-uitputtend zijn opgesomd in artikel 28, lid 3, van richtlijn 95/46, vormen de middelen die voor de vervulling van hun taak nodig zijn, zoals is benadrukt in overweging 63 van deze richtlijn. Zo beschikken deze autoriteiten onder meer over onderzoeksbevoegdheden, zoals het recht alle inlichtingen in te winnen die voor de uitoefening van hun toezichthoudende taak noodzakelijk zijn, effectieve bevoegdheden om in te grijpen, zoals de bevoegdheid om een gegevensverwerking voorlopig of definitief te verbieden, alsmede de bevoegdheid om in rechte op te treden. |
44 |
Het is juist dat uit artikel 28, leden 1 en 6, van richtlijn 95/46 volgt dat de bevoegdheden van de nationale toezichthoudende autoriteiten betrekking hebben op de verwerking van persoonsgegevens op het grondgebied van de lidstaat waaronder zij vallen, zodat zij op grond van dit artikel 28 niet beschikken over bevoegdheden ten aanzien van de verwerking van dergelijke gegevens op het grondgebied van een derde land. |
45 |
De bewerking die bestaat in het doen doorgeven van persoonsgegevens vanuit een lidstaat naar een derde land vormt als zodanig echter een verwerking van persoonsgegevens in de zin van artikel 2, onder b), van richtlijn 95/46 (zie in die zin arrest Parlement/Raad en Commissie, C‑317/04 en C‑318/04, EU:C:2006:346, punt 56) die op het grondgebied van een lidstaat wordt verricht. Deze bepaling definieert „verwerking van persoonsgegevens” immers als „elke bewerking of elk geheel van bewerkingen met betrekking tot persoonsgegevens, al dan niet uitgevoerd met behulp van geautomatiseerde procedés” en noemt als voorbeelden „verstrekken door middel van doorzending, verspreiding of op enigerlei andere wijze ter beschikking stellen”. |
46 |
In overweging 60 van richtlijn 95/46 is nader aangegeven dat doorgifte van persoonsgegevens naar derde landen slechts mogelijk is met volledige inachtneming van de bepalingen die de lidstaten hebben vastgesteld ter uitvoering van deze richtlijn. In dat verband is in hoofdstuk IV van die richtlijn, waarin de artikelen 25 en 26 zijn opgenomen, een regeling ingevoerd die beoogt een controle door de lidstaten van de doorgiften van persoonsgegevens naar derde landen te waarborgen. Deze regeling is een aanvulling op de algemene regeling van hoofdstuk II van die richtlijn, waarin de algemene voorwaarden voor de rechtmatigheid van verwerkingen van persoonsgegevens zijn opgenomen (zie in die zin arrest Lindqvist, C‑101/01, EU:C:2003:596, punt 63). |
47 |
Aangezien de nationale toezichthoudende autoriteiten ingevolge artikel 8, lid 3, van het Handvest en artikel 28 van richtlijn 95/46 belast zijn met het toezicht op de naleving van de regels van de Unie op het gebied van de bescherming van natuurlijke personen bij de verwerking van persoonsgegevens, is elk van hen bevoegd om na te gaan of bij een doorgifte van persoonsgegevens naar een derde land vanuit de lidstaat waaronder zij valt, de vereisten van richtlijn 95/46 worden nageleefd. |
48 |
Hoewel tegelijkertijd in overweging 56 van de richtlijn is erkend dat de doorgifte van persoonsgegevens vanuit de lidstaten naar derde landen noodzakelijk is voor de ontwikkeling van de internationale handel, is in artikel 25, lid 1, van richtlijn 95/46 als beginsel opgenomen dat een dergelijke doorgifte slechts mag plaatsvinden wanneer dat derde land waarborgen voor een passend beschermingsniveau biedt. |
49 |
Voorts is in overweging 57 van genoemde richtlijn gepreciseerd dat doorgifte van persoonsgegevens naar een derde land dient te worden verboden indien daar geen passend beschermingsniveau wordt geboden. |
50 |
Om de doorgifte van persoonsgegevens naar derde landen te toetsen aan de hand van het beschermingsniveau dat in elk van die landen wordt geboden, legt artikel 25 van richtlijn 95/46 een reeks verplichtingen aan de lidstaten en de Commissie op. Uit dit artikel volgt met name dat zowel de lidstaten als de Commissie kunnen constateren dat een derde land al dan niet waarborgen voor een passend beschermingsniveau biedt, zoals de advocaat-generaal er in punt 86 van zijn conclusie op heeft gewezen. |
51 |
De Commissie kan op grond van artikel 25, lid 6, van richtlijn 95/46 een beschikking vaststellen waarbij zij constateert dat een derde land waarborgen voor een passend beschermingsniveau biedt. Een dergelijke beschikking is volgens de tweede alinea van die bepaling gericht tot de lidstaten, die de nodige maatregelen moeten nemen om zich naar die beschikking te voegen. Krachtens artikel 288, vierde alinea, VWEU is zij verbindend voor alle lidstaten tot wie zij is gericht, zodat zij ook verbindend is voor hun organen (zie in die zin arresten Albako Margarinefabrik, 249/85, EU:C:1987:245, punt 17, en Mediaset, C‑69/13, EU:C:2014:71, punt 23), in die zin dat zij tot gevolg heeft dat de doorgifte van persoonsgegevens vanuit de lidstaten naar het daarin genoemde derde land wordt toegestaan. |
52 |
Zolang de beschikking van de Commissie niet door het Hof ongeldig is verklaard, mogen de lidstaten en hun organen, waaronder de onafhankelijke toezichthoudende autoriteiten, dan ook geen maatregelen treffen die met deze beschikking in strijd zijn, zoals handelingen die tot doel hebben om dwingend vast te stellen dat het derde land waarop de beschikking ziet, geen waarborgen voor een passend beschermingsniveau biedt. De handelingen van de instellingen van de Unie worden immers in beginsel vermoed rechtmatig te zijn en dus rechtsgevolgen in het leven te roepen, zolang zij niet zijn ingetrokken, in het kader van een beroep tot nietigverklaring nietig zijn verklaard of ten gevolge van een prejudiciële verwijzing of een exceptie van onwettigheid ongeldig zijn verklaard (arrest Commissie/Griekenland, C‑475/01, EU:C:2004:585, punt 18en aldaar aangehaalde rechtspraak). |
53 |
Een krachtens artikel 25, lid 6, van richtlijn 95/46 vastgestelde beschikking van de Commissie, zoals beschikking 2000/520, kan echter niet verhinderen dat personen van wie de persoonsgegevens zijn of zouden kunnen worden doorgegeven naar een derde land, zich tot de nationale toezichthoudende autoriteiten wenden met een verzoek in de zin van artikel 28, lid 4, van deze richtlijn met betrekking tot de bescherming van hun rechten en vrijheden in verband met de verwerking van deze gegevens. Ook kan een beschikking van die aard, zoals de advocaat-generaal er in de punten 61, 93 en 116 van zijn conclusie op heeft gewezen, de bevoegdheden waarover de nationale toezichthoudende autoriteiten volgens artikel 8, lid 3, van het Handvest en artikel 28 van de richtlijn beschikken, niet teniet doen of beperken. |
54 |
Noch in artikel 8, lid 3, van het Handvest noch in artikel 28 van richtlijn 95/46 is het toezicht op de doorgifte van persoonsgegevens naar derde landen die voorwerp van een beschikking van de Commissie krachtens artikel 25, lid 6, van deze richtlijn is geweest, van de bevoegdheidssfeer van de nationale toezichthoudende autoriteiten uitgesloten. |
55 |
Meer bepaald is in artikel 28, lid 4, eerste alinea, van richtlijn 95/46, dat bepaalt dat bij de nationale toezichthoudende autoriteiten door „eenieder [...] een verzoek [kan worden ingediend] met betrekking tot de bescherming van zijn rechten en vrijheden in verband met de verwerking van persoonsgegevens”, niet voorzien in een uitzondering daarop voor het geval dat de Commissie een beschikking krachtens artikel 25, lid 6, van deze richtlijn heeft vastgesteld. |
56 |
Voorts zou het in strijd zijn met het bij richtlijn 95/46 ingevoerde systeem en met de doelstelling van de artikelen 25 en 28 daarvan indien een krachtens artikel 25, lid 6, van richtlijn 95/46 vastgestelde beschikking van de Commissie tot gevolg zouden hebben dat een nationale toezichthoudende autoriteit niet zou mogen overgaan tot onderzoek van het verzoek van een persoon met betrekking tot de bescherming van zijn rechten en vrijheden in verband met de verwerking van zijn persoonsgegevens die vanuit een lidstaat zijn doorgegeven naar een derde land waarop die beschikking betrekking heeft. |
57 |
Integendeel, artikel 28 van richtlijn 95/46 is alleen al op grond van de aard ervan op elke verwerking van persoonsgegevens van toepassing. Zelfs in het geval van een beschikking van de Commissie krachtens artikel 25, lid 6, van de richtlijn, zijn de nationale toezichthoudende autoriteiten waartoe een persoon zich heeft gewend met een verzoek met betrekking tot de bescherming van zijn rechten en vrijheden in verband met de verwerking van op hem betrekking hebbende persoonsgegevens, verplicht om in volledige onafhankelijkheid te onderzoeken of de doorgifte van die gegevens in overeenstemming is met de vereisten van die richtlijn. |
58 |
Indien dit anders zou zijn, zou aan de personen van wie de persoonsgegevens naar het betrokken derde land zijn of zouden kunnen worden doorgegeven, het door artikel 8, leden 1 en 3, van het Handvest gewaarborgde recht worden ontzegd om zich met het oog op de bescherming van hun grondrechten tot de nationale toezichthoudende autoriteiten te wenden (zie naar analogie arrest Digital Rights Ireland e.a., C‑293/12 en C‑594/12, EU:C:2014:238, punt 68). |
59 |
Een verzoek in de zin van artikel 28, lid 4, van richtlijn 95/46 waarbij, zoals in het hoofdgeding, een persoon van wie de persoonsgegevens naar een derde land zijn of zouden kunnen worden doorgegeven, stelt dat het recht en de praktijk in dat land in weerwil van een door de Commissie krachtens artikel 25, lid 6, van deze richtlijn vastgestelde beschikking geen waarborgen voor een passend beschermingsniveau bieden, moet in wezen zo worden opgevat dat daarmee de verenigbaarheid van die beschikking met het recht op een privéleven en de grondrechten en fundamentele vrijheden van personen aan de orde wordt gesteld. |
60 |
In dat verband moet worden herinnerd aan de vaste rechtspraak van het Hof dat de Unie een door het recht beheerste unie is waarin de handelingen van de instellingen met name aan de Verdragen, de algemene rechtsbeginselen en de grondrechten worden getoetst (zie in die zin arresten Commissie e.a./Kadi, C‑584/10 P, C‑593/10 P en C‑595/10 P, EU:C:2013:518, punt 66; Inuit Tapiriit Kanatami e.a./Parlement en Raad, C‑583/11 P, EU:C:2013:625, punt 91, en Telefónica/Commissie, C‑274/12 P, EU:C:2013:852, punt 56). De krachtens artikel 25, lid 6, van richtlijn 95/46 vastgestelde beschikkingen van de Commissie kunnen dus niet aan die toetsing ontsnappen. |
61 |
Dit in aanmerking nemend, is het Hof als enige bevoegd om de ongeldigheid van een handeling van de Unie, zoals een krachtens artikel 25, lid 6, van richtlijn 95/46 vastgestelde beschikking van de Commissie, vast te stellen, waarbij de exclusiviteit van die bevoegdheid ertoe strekt de rechtszekerheid te waarborgen door het verzekeren van de uniforme toepassing van het Unierecht (zie arresten Melki en Abdeli, C‑188/10 en C‑189/10, EU:C:2010:363, punt 54, en CIVAD, C‑533/10, EU:C:2012:347, punt 40). |
62 |
Hoewel het juist is dat de nationale rechters de geldigheid van een Uniehandeling, zoals een krachtens artikel 25, lid 6, van richtlijn 95/46 vastgestelde beschikking van de Commissie, mogen onderzoeken, zijn zij echter niet bevoegd om zelf de ongeldigheid van een dergelijke handeling vast te stellen (zie in die zin arresten Foto‑Frost, 314/85, EU:C:1987:452, punten 15‑20, en IATA en ELFAA, C‑344/04, EU:C:2006:10, punt 27). A fortiori zijn ook de nationale toezichthoudende autoriteiten niet bevoegd om in het kader van een onderzoek van een verzoek in de zin van artikel 28, lid 4, van deze richtlijn, inzake de verenigbaarheid van een krachtens artikel 25, lid 6, van de richtlijn vastgestelde beschikking van de Commissie met de bescherming van het privéleven en de grondrechten en fundamentele vrijheden van personen, zelf de ongeldigheid van een dergelijke beschikking vast te stellen. |
63 |
Daaruit volgt dat wanneer een persoon van wie de persoonsgegevens zijn of zouden kunnen worden doorgegeven naar een derde land dat voorwerp is van een krachtens artikel 25, lid 6, van richtlijn 95/46 vastgestelde beschikking van de Commissie, zich tot een nationale toezichthoudende autoriteit wendt met een verzoek met betrekking tot de bescherming van zijn rechten en vrijheden in verband met de verwerking van die gegevens en met dat verzoek, zoals in het hoofdgeding, bestrijdt dat die beschikking verenigbaar is met de bescherming van het privéleven en de grondrechten en fundamentele vrijheden van personen, het aan die autoriteit staat om bedoeld verzoek met de nodige voortvarendheid en zorgvuldigheid te onderzoeken. |
64 |
In het geval dat die autoriteit tot de conclusie komt dat de gegevens die ter ondersteuning van dat verzoek zijn overgelegd, grondslag missen en het verzoek daarom afwijst, moeten voor de indiener van dit verzoek de beroepswegen openstaan waarmee hij tegen deze voor hem nadelige beschikking kan opkomen voor de nationale rechters, zoals volgt uit artikel 28, lid 3, tweede alinea, van richtlijn 95/46, gelezen in samenhang met artikel 47 van het Handvest. Gelet op de in de punten 61 en 62 van dit arrest aangehaalde rechtspraak, zijn de nationale rechters, wanneer zij van oordeel zijn dat een of meer door partijen aangevoerde of, in voorkomend geval, ambtshalve opgeworpen middelen van ongeldigheid van een handeling van de Unie gegrond zijn, verplicht de behandeling van de zaak te schorsen en bij prejudiciële verwijzing het Hof te verzoeken om beoordeling van de geldigheid (zie in die zin arrest T & L Sugars en Sidul Açúcares/Commissie, C‑456/13 P, EU:C:2015:284, punt 48en aldaar aangehaalde rechtspraak). |
65 |
In het tegenovergestelde geval, wanneer bedoelde autoriteit van mening is dat de grieven van de persoon die zich tot haar heeft gewend met een verzoek met betrekking tot de bescherming van zijn rechten en vrijheden in verband met de verwerking van zijn persoonsgegevens, gegrond zijn, moet deze autoriteit ingevolge artikel 28, lid 3, eerste alinea, derde streep, van richtlijn 95/46, gelezen in samenhang met artikel 8, lid 3, van het Handvest, in rechte kunnen optreden. In dat verband staat het aan de nationale wetgever om in beroepsgangen te voorzien waarmee bedoelde autoriteit de grieven die zij gegrond acht aan de nationale rechter kan voorleggen, zodat die laatste, wanneer hij de twijfel ten aanzien van de geldigheid van de beschikking van de Commissie deelt, de vraag naar de geldigheid van die beschikking prejudicieel kan verwijzen. |
66 |
Gelet op een en ander moet op de gestelde vragen worden geantwoord dat artikel 25, lid 6, van richtlijn 95/46, gelezen in samenhang met de artikelen 7, 8 en 47 van het Handvest, aldus moet worden uitgelegd dat een krachtens die bepaling vastgestelde beschikking, zoals beschikking 2000/520, waarbij de Commissie constateert dat een derde land waarborgen voor een passend beschermingsniveau biedt, er niet aan in de weg staat dat een toezichthoudende autoriteit van een lidstaat in de zin van artikel 28 van deze richtlijn overgaat tot het onderzoek van een verzoek van een persoon met betrekking tot de bescherming van zijn rechten en vrijheden in verband met de verwerking van op hem betrekking hebbende persoonsgegevens die vanuit een lidstaat naar dat derde land zijn doorgegeven, wanneer die persoon aanvoert dat het geldende recht en de praktijk in dat land geen waarborgen voor een passend beschermingsniveau bieden. |
Geldigheid van beschikking 2000/520
67 |
Zoals blijkt uit de toelichtingen van de verwijzende rechter bij de gestelde vragen, voert Schrems in het hoofdgeding aan dat het recht en de praktijk in de Verenigde Staten geen waarborgen voor een passend beschermingsniveau bieden in de zin van artikel 25 van richtlijn 95/46. Zoals de advocaat-generaal erop heeft gewezen in de punten 123 en 124 van zijn conclusie, uit Schrems twijfels, die deze rechter overigens in hoofdzaak blijkt te delen, met betrekking tot de geldigheid van beschikking 2000/520. In die omstandigheden moet, gelet op de vaststellingen in de punten 60 tot en met 63 van dit arrest en om de verwijzende rechter een volledig antwoord te geven, worden onderzocht of deze beschikking in overeenstemming is met de vereisten die voortvloeien uit die richtlijn, gelezen in samenhang met het Handvest. |
Vereisten die voortvloeien uit artikel 25, lid 6, van richtlijn 95/46
68 |
Zoals reeds erop is gewezen in de punten 48 en 49 van dit arrest, verbiedt artikel 25, lid 1, van richtlijn 95/46 dat persoonsgegevens worden doorgegeven naar een derde land dat geen waarborgen voor een passend beschermingsniveau biedt. |
69 |
Met het oog op het toezicht op dergelijke doorgiften bepaalt artikel 25, lid 6, eerste alinea, van deze richtlijn evenwel dat de Commissie „kan [...] constateren dat een derde land, op grond van zijn nationale wetgeving of zijn internationale verbintenissen, [...] waarborgen voor een passend beschermingsniveau in de zin van lid 2 [van dit artikel] biedt met het oog op de bescherming van de persoonlijke levenssfeer en de fundamentele vrijheden en rechten van personen”. |
70 |
Het is juist dat noch in artikel 25, lid 2, van richtlijn 95/46 noch in enige andere bepaling van die richtlijn een definitie is opgenomen van het begrip „passend beschermingsniveau”. Meer bepaald is in artikel 25, lid 2, van genoemde richtlijn niet meer vermeld dan dat de gepastheid van het door een land geboden beschermingsniveau „wordt beoordeeld met inachtneming van alle omstandigheden die op de doorgifte van gegevens of op een categorie van gegevensdoorgiften van invloed zijn” en zijn daarin niet-limitatief de omstandigheden opgesomd die bij een dergelijke beoordeling in aanmerking moeten worden genomen. |
71 |
Uit de eigen bewoordingen van artikel 25, lid 6, van richtlijn 95/46 volgt evenwel dat deze bepaling vereist dat een derde land, op grond van zijn nationale wetgeving of zijn internationale verbintenissen, „waarborgen biedt” voor een passend beschermingsniveau. Eveneens volgens deze bepaling moet „met het oog op de bescherming van de persoonlijke levenssfeer en de fundamentele vrijheden en rechten van personen” worden beoordeeld of de door het derde land geboden bescherming passend is. |
72 |
Daarmee geeft artikel 25, lid 6, van richtlijn 95/46 uitvoering aan de uitdrukkelijke verplichting in artikel 8, lid 1, van het Handvest tot bescherming van de persoonsgegevens, en heeft het tot doel, zoals de advocaat-generaal erop heeft gewezen in punt 139 van zijn conclusie, om het hoge niveau van deze bescherming te continueren bij doorgifte van persoonsgegevens naar een derde land. |
73 |
Het is juist dat het begrip „passend” in artikel 25, lid 6, van richtlijn 95/46 met zich brengt dat niet kan worden verlangd dat een derde land waarborgen voor hetzelfde beschermingsniveau als dat binnen de rechtsorde van de Unie biedt. Zoals de advocaat-generaal er echter op heeft gewezen in punt 141 van zijn conclusie, moet de uitdrukking „passend beschermingsniveau” zo worden opgevat dat die vereist dat het derde land, op grond van zijn nationale wetgeving of zijn internationale verbintenissen, een niveau van bescherming van de grondrechten en de fundamentele vrijheden biedt dat in grote lijnen overeenkomt met het niveau dat binnen de Unie wordt gewaarborgd op grond van richtlijn 95/46, gelezen in samenhang met het Handvest. Indien een dergelijk vereiste zou ontbreken, zou dat immers in strijd zijn met de in het vorige punt genoemde doelstelling. Bovendien zou het hoge beschermingsniveau dat bij richtlijn 95/46, gelezen in samenhang met het Handvest, wordt gewaarborgd, eenvoudig kunnen worden omzeild door persoonsgegevens vanuit de Unie naar derde landen door te geven teneinde in die landen te worden verwerkt. |
74 |
Uit de uitdrukkelijke bewoordingen van artikel 25, lid 6, van richtlijn 95/46 volgt dat de rechtsorde van het derde land waarop de beschikking van de Commissie ziet, waarborgen voor een passend beschermingsniveau moet bieden. Ook al kunnen de middelen waarmee dat derde land voor waarborgen voor een passend beschermingsniveau kan zorgen, anders zijn dan die welke binnen de Unie worden ingezet om voor naleving van de vereisten van deze richtlijn, gelezen in samenhang met het Handvest, te zorgen, deze middelen moeten in de praktijk niettemin doeltreffend genoeg blijken te zijn om een bescherming te bieden die in grote lijnen overeenkomt met die welke binnen de Unie wordt gewaarborgd. |
75 |
In die omstandigheden is de Commissie bij het onderzoek van het door een derde land geboden beschermingsniveau verplicht om de inhoud van de in dat land toepasselijke regels, zoals die blijken uit de nationale wetgeving of de internationale verbintenissen, te beoordelen alsook de praktijk waarmee voor naleving van die regels moet worden gezorgd, waarbij deze instelling overeenkomstig artikel 25, lid 2, van richtlijn 95/46 alle omstandigheden die op de doorgifte van persoonsgegevens naar dat derde land van invloed zijn, in acht moet nemen. |
76 |
Ook staat het aan de Commissie, met het oog op het feit dat het door een derde land geboden beschermingsniveau aan ontwikkelingen onderhevig kan zijn, om na de vaststelling van een beschikking krachtens artikel 25, lid 6, van richtlijn 95/46 periodiek na te gaan of de constatering dat het door het derde land in kwestie geboden beschermingsniveau passend is, nog steeds in feite en in rechte gerechtvaardigd is. Een dergelijk onderzoek dringt zich in elk geval op wanneer er aanwijzingen zijn die daarover twijfels doen ontstaan. |
77 |
Zoals de advocaat-generaal erop heeft gewezen in de punten 134 en 135 van zijn conclusie, moet bij het onderzoek van de geldigheid van een krachtens artikel 25, lid 6, van richtlijn 95/46 vastgestelde beschikking van de Commissie, in elk geval rekening worden gehouden met gebeurtenissen die zich na de vaststelling van die beschikking hebben voorgedaan. |
78 |
In dat verband moet worden vastgesteld dat, gelet op de belangrijke rol die de bescherming van persoonsgegevens speelt voor het fundamentele recht op bescherming van het privéleven en het grote aantal personen van wie de grondrechten zouden kunnen worden geschonden indien persoonsgegevens worden doorgegeven naar een derde land dat geen waarborgen voor een passend beschermingsniveau biedt, de beoordelingsbevoegdheid van de Commissie ten aanzien van de gepastheid van het door een derde land geboden beschermingsniveau beperkt is, zodat strikt toezicht moet worden uitgeoefend op de vereisten die uit artikel 25 van richtlijn 95/46, gelezen in samenhang met het Handvest, voortvloeien (zie naar analogie arrest Digital Rights Ireland e.a., C‑293/12 en C‑594/12, EU:C:2014:238, punten 47 en 48). |
Artikel 1 van beschikking 2000/520
79 |
De Commissie heeft in artikel 1, lid 1, van beschikking 2000/520 overwogen dat de beginselen in bijlage I ervan, ten uitvoer gelegd overeenkomstig de richtsnoeren in de Vaak gestelde vragen zoals vermeld in bijlage II van de beschikking (hierna: „FAQ’s”), een passend beschermingsniveau waarborgen voor de doorgifte van persoonsgegevens van de Unie naar in de Verenigde Staten gevestigde organisaties. Uit die bepaling blijkt dat zowel de beginselen als de FAQ’s door het Amerikaanse ministerie van Handel zijn gepubliceerd. |
80 |
Zoals blijkt uit artikel 1, leden 2 en 3, van die beschikking, gelezen in samenhang met FAQ 6 in bijlage II bij genoemde beschikking, onderschrijft een organisatie de veiligehavenbeginselen door middel van een systeem van zelfcertificering. |
81 |
Hoewel het gebruik van een systeem van zelfcertificering door een derde land op zich niet in strijd is met het vereiste in artikel 25, lid 6, van richtlijn 95/46 dat „op grond van de nationale wetgeving of de internationale verbintenissen” van dat land waarborgen voor een passend beschermingsniveau moeten worden geboden, hangt de betrouwbaarheid van een dergelijk systeem, met het oog op dat vereiste, hoofzakelijk af van de invoering van doeltreffende detectie- en controlemechanismen waarmee in de praktijk eventuele schendingen van de regels ter bescherming van de grondrechten, waaronder met name het recht op een privéleven en het recht op bescherming van persoonsgegevens, kunnen worden vastgesteld en bestraft. |
82 |
In de onderhavige zaak zijn de veiligehavenbeginselen volgens bijlage I, tweede alinea, daarbij „uitsluitend bedoeld om te worden gebruikt door organisaties in de Verenigde Staten die persoonsgegevens uit de Europese Unie ontvangen, om zo in aanmerking te komen voor de veilige haven en de hierdoor geboden veronderstelling van een ‚passend beschermingsniveau’”. Deze beginselen zijn dus uitsluitend van toepassing op zelfgecertificeerde Amerikaanse organisaties die persoonsgegevens uit de Unie ontvangen, zonder dat wordt vereist dat de Amerikaanse overheidsinstanties tot naleving van die beginselen worden verplicht. |
83 |
Voorts heeft beschikking 2000/520, volgens artikel 2 ervan, „alleen betrekking op de gepastheid van de bescherming die in de Verenigde Staten overeenkomstig de volgens de FAQ’s ten uitvoer gelegde [veiligehaven]beginselen wordt geboden, teneinde aan de vereisten van artikel 25, lid 1, van richtlijn [95/46] te voldoen”, zonder toereikende vaststellingen te bevatten ten aanzien van de maatregelen waarmee de Verenigde Staten, op grond van hun nationale wetgeving of hun internationale verbintenissen, waarborgen voor een passend beschermingsniveau bieden in de zin van artikel 25, lid 6, van deze richtlijn. |
84 |
Daaraan moet worden toegevoegd dat de toepasselijkheid van die beginselen ingevolge bijlage I, vierde alinea, bij beschikking 2000/520 kan worden beperkt „voor zover dit nodig is om aan de eisen van de nationale veiligheid, het algemeen belang en rechtshandhaving te voldoen” alsmede door „wettelijke of bestuursrechtelijke bepalingen of rechtspraak die tegenstrijdige verplichtingen of uitdrukkelijke machtigingen scheppen, mits een organisatie die van een dergelijke machtiging gebruikmaakt, kan aantonen dat de niet-naleving van de beginselen beperkt is tot de mate die nodig is om de met de machtiging beoogde hogere legitieme belangen te waarborgen”. |
85 |
In dat verband is in bijlage IV, B, bij beschikking 2000/520 op het punt van de beperkingen ten aanzien van de toepasselijkheid van de veiligehavenbeginselen benadrukt dat „[h]et [...] duidelijk [is] dat, indien de wetgeving van de Verenigde Staten een tegenstrijdige verplichting oplegt, organisaties uit dat land de wet in acht moeten nemen, ongeacht of ze aan de veilige haven deelnemen of niet”. |
86 |
In beschikking 2000/520 is dus de voorrang van „de eisen van de nationale veiligheid, het algemeen belang en [de] rechtshandhaving” van de Verenigde Staten boven de veiligehavenbeginselen vastgelegd. Op grond van die voorrang zijn de zelfgecertificeerde Amerikaanse organisaties die persoonsgegevens vanuit de Unie ontvangen, verplicht om zonder beperking van die beginselen af te wijken wanneer laatstgenoemde en deze vereisten tegenstrijdig zijn en de beginselen dus met die vereisten onverenigbaar zijn. |
87 |
Gelet op de algemene aard van de afwijking in bijlage I, vierde alinea, bij beschikking 2000/520, maakt deze het mogelijk dat op grond van de eisen van de nationale veiligheid en het algemeen belang of de nationale wetgeving van de Verenigde Staten een inmenging plaatsvindt in de grondrechten van de personen van wie de persoonsgegevens vanuit de Unie naar de Verenigde Staten zijn of zouden kunnen worden doorgegeven. In dat verband is het voor de vaststelling van een inmenging in het grondrecht op eerbiediging van het privéleven van weinig belang of de gegevens betreffende het privéleven al dan niet gevoelig zijn en of de betrokkenen door die inmenging enig nadeel hebben ondervonden (arrest Digital Rights Ireland e.a., C‑293/12 en C‑594/12, EU:C:2014:238, punt 33en aldaar aangehaalde rechtspraak). |
88 |
Bovendien is in beschikking 2000/520 geen enkele vaststelling gedaan ten aanzien van de vraag of er in de Verenigde Staten overheidsregels bestaan ter beperking van dergelijke inmengingen in de grondrechten van de personen van wie de gegevens vanuit de Unie naar de Verenigde Staten worden doorgegeven, waarbij geldt dat de overheidsinstanties van dat land tot een dergelijke inmenging mogen overgegaan wanneer zij legitieme doelstellingen, zoals de nationale veiligheid, nastreven. |
89 |
Daarbij komt het feit dat beschikking 2000/520 niets vermeldt over de vraag of er effectieve rechtsbescherming tegen dat soort inmengingen bestaat. Zoals de advocaat-generaal erop heeft gewezen in de punten 204 tot en met 206 van zijn conclusie gaan de particuliere klachtenprocedures en de procedures bij de Federal Trade Commission, waarvan de respectieve bevoegdheden met name zijn omschreven in FAQ 11 in bijlage II bij die beschikking, niet verder dan handelsgeschillen over de naleving van de veiligehavenbeginselen door de Amerikaanse ondernemingen en kunnen zij niet worden gebruikt in het kader van geschillen over de rechtmatigheid van inmengingen in de grondrechten als gevolg van maatregelen die van de staat afkomstig zijn. |
90 |
Voor de voorafgaande analyse van beschikking 2000/520 kan bovendien steun worden gevonden in de door de Commissie zelf verrichte beoordeling van de situatie na de uitvoering van deze beschikking. Zoals vastgesteld in met name de punten 2 en 3.2 van mededeling COM(2013) 846 final en de punten 7.1, 7.2 en 8 van mededeling COM(2013) 847 final, die in de punten 13 tot en met 16 en 22, 23 en 25 van dit arrest zijn weergegeven, heeft deze instelling vastgesteld dat de Amerikaanse autoriteiten zich toegang konden verschaffen tot de vanuit de lidstaten doorgegeven persoonsgegevens en deze konden verwerken op een wijze die met name onverenigbaar is met de doelstellingen waarvoor zij werden doorgegeven en verder ging dan strikt noodzakelijk was voor en evenredig was aan de bescherming van de nationale veiligheid. Ook heeft de Commissie vastgesteld dat er voor de betrokkenen geen administratieve of gerechtelijke beroepsmogelijkheden waren om toegang tot de hen betreffende gegevens te verkrijgen of om deze in voorkomend geval te doen rectificeren of wissen. |
91 |
Wat het binnen de Unie gewaarborgde niveau van bescherming van de grondrechten en fundamentele vrijheden betreft, moet een regeling van de Unie die een inmenging in de door de artikelen 7 en 8 van het Handvest gewaarborgde grondrechten met zich brengt, volgens vaste rechtspraak van het Hof duidelijke en precieze regels betreffende de draagwijdte en de toepassing van een maatregel bevatten en minimale vereisten opleggen, zodat de personen van wie de persoonsgegevens aan de orde zijn, over voldoende garanties beschikken dat hun gegevens doeltreffend worden beschermd tegen het risico van misbruik en tegen elke onrechtmatige raadpleging en elk onrechtmatig gebruik van deze gegevens. De noodzaak om over dergelijke garanties te beschikken is des te groter wanneer de persoonsgegevens automatisch worden verwerkt en er een aanzienlijk risico bestaat dat deze gegevens op onrechtmatige wijze zullen worden geraadpleegd (arrest Digital Rights Ireland e.a., C‑293/12 en C‑594/12, EU:C:2014:238, punten 54 en 55 en aldaar aangehaalde rechtspraak). |
92 |
Voorts, en bovenal, vereist de bescherming van het grondrecht op eerbiediging van het privéleven op het niveau van de Unie dat de uitzonderingen op de bescherming van persoonsgegevens en de beperkingen ervan binnen de grenzen van het strikt noodzakelijke blijven (arrest Digital Rights Ireland e.a., C‑293/12 en C‑594/12, EU:C:2014:238, punt 52en aldaar aangehaalde rechtspraak). |
93 |
Niet beperkt tot het strikt noodzakelijke is dan ook een regeling die algemeen toestaat dat alle persoonsgegevens van alle personen van wie de gegevens vanuit de Unie naar de Verenigde Staten worden doorgegeven, worden bewaard, zonder dat enig onderscheid wordt gemaakt, enige beperking wordt gesteld of enige uitzondering wordt gemaakt op basis van het nagestreefde doel en zonder dat wordt voorzien in een objectief criterium ter begrenzing van de toegang van de bevoegde nationale autoriteiten tot de gegevens en het latere gebruik ervan voor specifieke doeleinden, die strikt beperkt zijn en als rechtvaardiging kunnen dienen voor de inmenging als gevolg van zowel de toegang tot als het gebruik van deze gegevens [zie in die zin, aangaande richtlijn 2006/24/EG van het Europees Parlement en de Raad van 15 maart 2006 betreffende de bewaring van gegevens die zijn gegenereerd of verwerkt in verband met het aanbieden van openbaar beschikbare elektronischecommunicatiediensten of van openbare communicatienetwerken en tot wijziging van richtlijn 2002/58/EG (PB L 105, blz. 54), arrest Digital Rights Ireland e.a., C‑293/12 en C‑594/12, EU:C:2014:238, punten 57‑61]. |
94 |
Meer bepaald moet een regeling op grond waarvan de autoriteiten veralgemeend toegang kunnen krijgen tot de inhoud van elektronische communicatie worden beschouwd als een aantasting van de wezenlijke inhoud van het grondrecht op eerbiediging van het privéleven zoals door artikel 7 van het Handvest gewaarborgd (zie in die zin arrest Digital Rights Ireland e.a., C‑293/12 en C‑594/12, EU:C:2014:238, punt 39). |
95 |
Evenzeer eerbiedigt een regeling die niet in enige beroepsmogelijkheid voor de justitiabele voorziet om toegang tot de hem betreffende persoonsgegevens te verkrijgen, of rectificatie of verwijdering van die gegevens, de wezenlijke inhoud van het grondrecht op een effectieve voorziening in rechte zoals neergelegd in artikel 47 van het Handvest niet. Artikel 47, eerste alinea, van het Handvest schrijft immers voor dat eenieder wiens door het recht van de Unie gewaarborgde rechten en vrijheden zijn geschonden, recht heeft op een doeltreffende voorziening in rechte, met inachtneming van de in dit artikel gestelde voorwaarden. Dat effectieve rechterlijke toetsing bestaat om de naleving van de bepalingen van Unierecht te verzekeren, is inherent aan het bestaan van een rechtsstaat (zie in die zin arresten Les Verts/Parlement, 294/83, EU:C:1986:166, punt 23; Johnston, 222/84, EU:C:1986:206, punten 18 en 19; Heylens e.a., 222/86, EU:C:1987:442, punt 14, en UGT-Rioja e.a., C‑428/06–C‑434/06, EU:C:2008:488, punt 80). |
96 |
Zoals in met name de punten 71, 73 en 74 van dit arrest is vastgesteld, is voor de vaststelling van een beschikking krachtens artikel 25, lid 6, van richtlijn 95/46 door de Commissie vereist dat naar behoren met redenen omkleed door deze instelling wordt vastgesteld dat het derde land in kwestie, op grond van zijn nationale wetgeving of zijn internationale verbintenissen, daadwerkelijk waarborgen biedt voor een niveau van bescherming van de grondrechten dat in grote lijnen overeenkomt met dat binnen de rechtsorde van de Unie, zoals dat met name blijkt uit de voorafgaande punten van dit arrest. |
97 |
Er dient echter op te worden gewezen dat de Commissie in beschikking 2000/520 niet heeft vermeld dat de Verenigde Staten daadwerkelijk op grond van hun nationale wetgeving of hun internationale verbintenissen „waarborgen bieden” voor een passend beschermingsniveau. |
98 |
Bijgevolg, en zonder dat de veiligehavenbeginselen op hun inhoud hoeven te worden onderzocht, moet de conclusie luiden dat artikel 1 van die beschikking niet de vereisten van artikel 25, lid 6, van richtlijn 95/46, gelezen in samenhang met het Handvest, in acht neemt, zodat dit ongeldig is. |
Artikel 3 van beschikking 2000/520
99 |
Uit hetgeen is uiteengezet in de punten 53, 57 en 63 van dit arrest blijkt dat de nationale toezichthoudende autoriteiten naar de maatstaven van artikel 28 van richtlijn 95/46, met name gelezen in samenhang met artikel 8 van het Handvest, elk verzoek met betrekking tot de bescherming van de rechten en vrijheden van een persoon in verband met de verwerking van op hem betrekking hebbende persoonsgegevens, in volledige onafhankelijkheid moeten kunnen onderzoeken. Dat geldt in het bijzonder wanneer die persoon in een dergelijk verzoek vragen opwerpt ten aanzien van de verenigbaarheid van een krachtens artikel 25, lid 6, van deze richtlijn vastgestelde beschikking van de Commissie met de bescherming van het privéleven en de grondrechten en fundamentele vrijheden van personen. |
100 |
In artikel 3, lid 1, eerste alinea, van beschikking 2000/520 is evenwel in een specifieke regeling voorzien voor de bevoegdheden waarover de nationale toezichthoudende autoriteiten beschikken wanneer de Commissie constateringen ten aanzien van het passende beschermingsniveau in de zin van artikel 25 van richtlijn 95/46 doet. |
101 |
Volgens deze bepaling kunnen deze autoriteiten „[o]nverminderd hun bevoegdheden om maatregelen te nemen in verband met de naleving van nationale bepalingen die op grond van andere bepalingen dan artikel 25 van richtlijn [95/46] zijn vastgesteld, [...] van hun [...] bevoegdheden gebruikmaken om gegevensstromen naar een organisatie die [...] de [...] beginselen [van beschikking 200/520] heeft onderschreven, op te schorten”, zulks onder restrictieve voorwaarden die een hoge drempel voor interventie opwerpen. Hoewel deze bepaling geen afbreuk doet aan de bevoegdheden van deze autoriteiten om maatregelen te nemen om de naleving van de krachtens deze richtlijn vastgestelde nationale bepalingen te verzekeren, sluit zij echter voor genoemde autoriteiten de mogelijkheid uit om maatregelen te nemen om de naleving van artikel 25 van deze richtlijn te verzekeren. |
102 |
Artikel 3, lid 1, eerste alinea, van beschikking 2000/520 moet dus zodanig worden opgevat dat daarmee aan de nationale toezichthoudende autoriteiten de bevoegdheden worden ontnomen die zij aan artikel 28 van richtlijn 95/46 ontlenen wanneer een persoon in het kader van een verzoek op grond van die bepaling gegevens aanvoert, die twijfel kan doen ontstaan over de verenigbaarheid met de bescherming van het privéleven en de grondrechten en fundamentele vrijheden van personen, van een beschikking van de Commissie waarbij op grond van artikel 25, lid 6, van deze richtlijn is geconstateerd dat een derde land waarborgen voor een passend beschermingsniveau biedt. |
103 |
De uitvoerende bevoegdheid die de Uniewetgever aan de Commissie heeft toegekend bij artikel 25, lid 6, van richtlijn 95/46, verleent die instelling niet de bevoegdheid om de in het vorige punt bedoelde bevoegdheden van de nationale toezichthoudende autoriteiten in te perken. |
104 |
In die omstandigheden moet worden geconstateerd dat de Commissie met de vaststelling van artikel 3 van beschikking 2000/520 de grenzen heeft overschreden van de bevoegdheid die haar bij artikel 25, lid 6, van richtlijn 95/46, gelezen in samenhang met het Handvest, is toegekend, zodat dit ongeldig is. |
105 |
Aangezien de artikelen 1 en 3 van beschikking 2000/520 onlosmakelijk verbonden zijn met de artikelen 2 en 4 en met de bijlagen daarbij, heeft hun ongeldigheid tot gevolg dat de geldigheid van deze beschikking in haar geheel is aangetast. |
106 |
Gelet op een en ander moet de conclusie luiden dat beschikking 2000/520 ongeldig is. |
Kosten
107 |
Ten aanzien van de partijen in het hoofdgeding is de procedure als een aldaar gerezen incident te beschouwen, zodat de nationale rechterlijke instantie over de kosten heeft te beslissen. De door anderen wegens indiening van hun opmerkingen bij het Hof gemaakte kosten komen niet voor vergoeding in aanmerking. |
Het Hof (Grote kamer) verklaart voor recht: |
|
|
ondertekeningen |
( * ) Procestaal: Engels.