Dinsdag 1 december jongstleden zond Max Schrems opnieuw een klacht gericht aan de Ierse privacy toezichthouder over het handelen van Facebook. Hij diende eerder al een klacht in over hetzelfde onderwerp in juni 2013. Die klacht leidde uiteindelijk op 6 oktober van dit jaar tot de uitspraak van het Europese Hof van Justitie (HvJ) inzake Safe Harbour.
Door Céline Teeuwen
De Safe Harbour-uitspraak van het HvJ is inmiddels bij velen bekend. De Ierse High Court stelde een prejudiciële vraag aan het HvJ inzake de bevoegdheid van de Ierse toezichthouder om de geldigheid van de Safe Harbour-beschikking uit 2000 te onderzoeken naar aanleiding van een klacht van Max Schrems.
De Safe Harbour-beschikking (2000/520/EG) was gebaseerd op artikel 25 lid 6 van de Europese privacyrichtlijn. Dit artikel bepaalt dat, indien een derde land – in dit geval Amerika – onvoldoende bescherming biedt aan persoonsgegevens, de Europese Commissie de mogelijkheid heeft om middels een beschikking met dat land toch tot een passend beschermingsniveau te komen. Veel bedrijven baseerden hun gegevensuitwisseling met Amerikaanse organisaties en bedrijven op de Safe Harbour-beschikking.
Het HvJ oordeelde dat de privacy autoriteit in elke lidstaat de bevoegdheid heeft om een dergelijke beschikking te onderzoeken (overigens gaat die bevoegdheid niet zo ver dat lidstaten ook zelf de ongeldigheid van een beschikking van de Europese Commissie kunnen uitspreken).
Daarnaast oordeelde het HvJ dat de Safe Harbour-beschikking ongeldig is. Argumenten van het HvJ waren onder andere dat bedrijven zichzelf aan konden sluiten bij Safe Harbour zonder dat er voldoende toezicht was op naleving van de regels en dat de regels tijdelijk buiten toepassing gelaten kunnen worden, indien de Amerikaanse autoriteiten dat nodig achten in het licht van bijvoorbeeld de ‘nationale veiligheid’.
De Ierse toezichthouder is sinds de uitspraak van 6 oktober 2015 onderzoek aan het doen naar de gegevensuitwisseling van Facebook Ireland Ltd. (de hoofdvestiging in Europa) met Facebook Inc (in Amerika). Volgens Max Schrems duurt dit allemaal veel te lang en heeft Facebook intussen al sinds 6 oktober geen wettelijke basis meer om gegevens uit te wisselen met Amerika – Safe Harbour als basis is inmiddels ongeldig en over andere gronden voor gegevensuitwisseling blijft Facebook vaag. Uit Schrems’ brief blijkt dat ‘‘Facebook Ireland Ltd’ has refused to identify all legal bases that it uses to transfer data to the United States (..), and the fact that ‘Facebook Ireland Ltd’ has refused such information upon request may render any of these ground invalid in any event.’
Hoe dit afloopt voor Facebook – en andere bedrijven die wellicht sinds 6 oktober 2015 geen basis meer hebben voor hun gegevensuitwisseling – is de vraag. Als het aan Schrems ligt moet Facebook Ireland Ltd. stoppen met het uitwisselen van gegevens met Facebook Inc. Schrems erkent dat dit in de praktijk lastig is en stelt daarom een implementatieperiode voor, waarin Facebook de tijd krijgt om een en ander voor te bereiden.