De Ierse High Court stelt elf vragen aan het Hof van Justitie van de Europese Unie. Deze vragen omvatten samenvattend of persoonsgegevens vanuit de EU naar Amerika mogen, ondanks de Privacy Shield. De vragen worden in dit bericht uitgewerkt.
Door Tim van den Belt
De Ierste rechter vraagt, vrij en bondig vertaald, het volgende:
1. Wanneer twee private ondernemingen gegevens uitwisselen tussen de EU en Amerika met een commercieel oogmerk en deze gegevens mogen worden onderzocht door de overheid in belang der nationale veiligheid of open bare orde, is EU recht van toepassing op de verwerkingen?
2. Om te bepalen of de privacy van een individu wordt geschaadt, moet dat worden bekeken in het licht van EU-recht of die van de lidstaat of meeerdere lidstaten?
3. Hoe moeten de privacywaarborgen worden gevallueerd van een derde wereldland?
4. In het licht van de gegeven feiten van de High Court in relatie tot USA-recht, schendt dataoverdracht van de EU naar Amerika onder het besluit van de SCC artikelen 7 en 8 van het verdrag?
5. In het licht van de gegeven feiten van de High Court in relatie tot USA-recht, als persoonsgegevens vanuit de EU naar Amerika gaan, biedt het Amerikaanse recht genoeg waarborgen zoals artikel 47 van het Verdrag beschrijft? Zo nee, is het dan nog in lijn met artiel 52 van het Verdrag?
6. Welke mate van bescherming is nodig in derde wereldlanden met betrekking tot de verwerking van persoonsgegevens? En waar moet rekening mee gehouden worden wanneer dit in het licht gezien te worden van een besluit van de SCC?
7. In het geval dat standaard contractuele clausules van toepassing zijn tussen een data exporteur en importeur, waarbij ze niet de nationale autoriteiten binden tussen derde landen welke misschien vereisen dat de data importeur diens gegevens beschikbaar stelt aan de veiligheidsdiensten van het land, zijn in dat geval de rechten nog wel voldoende gewaarborgd naar strekking van artikel 26 lid 2 van het Verdrag?
8. Als een derde wereldland ‘surveillance laws’ heeft welke conflicteren met clausules van de besluiten van de SCC, moet een privacy toezichthouder haar bevoegdheden gebruiken?
9. Biedt de Privacy Shield genoeg waarborgen en zo nee, welke relevantie heeft het om na te gaan of er voldoende waarborgen zijn in Amerika?
10. In het licht van de feiten zoals voorgedragen door de High Court in relatie tot USA-recht, biedt de privacy shield een oplossing voor persoonsgegevens die al naar Amerika zijn verhuisd in het licht van artikel 47 van het Verdrag?
11. Schendt het besluit van de SCC artikelen 7, 8 en/of 47 van het Verdrag?
Waarbij het SCC besluit een besluit is van de Commissie met kenmerk 2016/2297 en het Verdrag het Verdrag van de fundamentele rechten van de Europese Unie is.
Dit zijn belangrijke prejduciële vragen, afhankelijk van de beantwoording kan het grote impact hebben op de privacy en dataverkeer tussen Europa en voornamelijk Amerika. Het zou namelijk de Privacy Shield ongedaan kunnen maken, waardoor voor de tweede maal gegevens van Europeanen niet in Amerika opgeslagen mogen worden.