Het arrest van het Europees Hof van Justitie van 6 oktober impliceert dat alle adviezen uit het verleden over de overdracht van persoonsgegevens vanuit Europa naar de Verenigde Staten, op de enkele basis van de toepassing van de ‘Safe Harbour’ beginselen door een Amerikaanse onderneming moeten worden herbekeken. Dergelijke verantwoording van de overdracht van persoonsgegevens behoort inderdaad niet meer tot de mogelijkheden, zodat de andere bestaande alternatieven om gegevens over te dragen naar derde landen moeten onderzocht worden.
De beschikking van de Europese Commissie (‘Commissie’) van 26 juli 2000 (‘Safe Harbour Beschikking’) bepaalde dat ondernemingen in de Verenigde Staten die waren toegetreden tot de ‘Safe Harbour’ beginselen, een voldoende niveau van bescherming boden op het vlak van persoonsgegevens: vanuit Europa konden die gegevens dan ook zonder problemen aan de Verenigde Staten worden overgemaakt.
Deze beschikking werd door de Commissie uitgevaardigd in het kader van de Richtlijn 95/46/EG (‘Richtlijn Privéleven’), waarbij de Commissie kan bepalen of een derde land voldoende garanties biedt inzake de bescherming van persoonsgegevens, op basis van nationale wetgeving of internationale engagementen. Door deze beschikking kon het principiële verbod uit de Richtlijn Privéleven om persoonsgegevens over te maken aan derde landen, die geen voldoende bescherming zouden bieden, worden omzeild.
Het Europees Hof van Justitie (‘HvJ’) heeft deze Beschikking op 6 oktober ongeldig verklaard en daarmee haalt het HvJ een vaststaande praktijk van meer dan 15 jaar onderuit.
Het arrest van het HvJ kwam er naar aanleiding van een prejudiciële vraag vanwege de High Court of Ireland (‘High Court’). Een Oostenrijkse student had zich beklaagd over het feit dat Facebook zijn gegevens bewaarde in de Verenigde Staten, een land dat volgens hem geen voldoende bescherming bood tegen het toezicht van de overheid op de overgemaakte persoonsgegevens. Een eerste klacht was neergelegd bij het Ierse toezichtsorgaan, die de klacht had verworpen omdat de toetreding van de onderneming bij de Safe Harbour beginselen en de Safe Harbour Beschikking niet toelieten om de klacht ten gronde te onderzoeken.
De High Court had bijgevolg een prejudiciële vraag gesteld aan het HvJ om te weten of de Safe Harbour Beschikking tot gevolg heeft dat het niet meer mogelijk is voor een nationaal toezichtsorgaan om een onderzoek te voeren ingevolge een klacht van een particulier betreffende de beweerde ongeldigheid van een overdracht van persoonsgegevens omwille van het niet-naleven van het derde land van het vereiste beschermingsniveau voor de overgedragen persoonsgegevens.
Het HvJ antwoordt nu dat, zelfs indien er een beschikking van de Commissie voorhanden is, de nationale toezichtsorganen geheel onafhankelijk moeten kunnen nagaan of de overdracht van persoonsgegevens naar een derde land voldoet aan de vereisten zoals opgelegd door de Richtlijn Privéleven.
Het HvJ onderzoekt vervolgens de geldigheid van de Safe Harbour Beschikking. Het HvJ stelt vast dat de Safe Harbour beginselen enkel van toepassing zijn op Amerikaanse ondernemingen die zich daarbij vrijwillig aansluiten en dat de Amerikaanse overheid niet gebonden is door deze beginselen. De Amerikaanse overheid kan bijgevolg geheel naar eigen goeddunken eisen dat de ondernemingen die aangesloten zijn bij de Safe Harbour beginselen, hiervan afwijken, wat een enorme bemoeienis en inbreuk op het fundamentele recht op de bescherming van het privéleven door de publieke overheid mogelijk maakt.
Door in de Safe Harbour Beschikking geen grenzen te bepalen inzake de algemene toegang van de publieke overheden tot de overgemaakte persoonsgegevens, is het HvJ van oordeel dat deze Beschikking ongeldig is en dat de toetreding tot deze beginselen niet meer volstaat om de overdracht van persoonsgegevens vanuit de Europese Unie naar de Verenigde Staten toe te laten.
