IT 3191

HvJ EU heeft geoordeeld in Schrems tegen Facebook


HvJ EU 16 juli 2020, IT 3191, IEF 19327, IEFbe 3106; C-311/18 (Schrems tegen Facebook) Privacyrecht. Vandaag heeft het Europees Hof van Justitie geoordeeld in een van de meest verwachte zaken over privacy en gegevensbescherming sinds tijden. Schrems heeft als Facebookgebruiker Facebook Ierland aangesproken voor het doorgeven van persoonsgegevens aan Facebook Verenigde Staten. Hij heeft de Ierse toezichthouder verzocht om deze doorgiften te verbieden. Hiertoe voerde hij aan dat het recht van de Verenigde Staten en de gangbare praktijk geen waarborgen bieden voor voldoende bescherming tegen de toegang door de overheid tot de naar dit land doorgestuurde gegevens. Deze klacht werd afgewezen, omdat de Commissie in een beschikking had vastgesteld dat de Verenigde Staten wel een passend beschermingsniveau waarborgden. In 2015 heeft het Europees Hof van Justitie deze beschikking ongeldig verklaard, waardoor de Ierse rechter de afwijzing van de klacht van Schrems nietig verklaarde. De Ierse toezichthouder verzocht Schrems zijn klacht te herformuleren. In de hergeformuleerde klacht verzoekt Schrems de doorgifte van zijn persoonsgegevens vanuit de Unie naar de Verenigde Staten - die Facebook ondertussen uitvoert op grond van bepalingen uit de bijlage bij besluit 2020/87 - op te schorten of voor de toekomst te verbieden. De Ierse rechter vraagt aan het Europees Hof van Justitie of besluit 2010/87 en 2016/1250 geldig zijn. Vandaag heeft het Hof van Justitie in zijn arrest gesteld dat bij de toetsing van besluit 2010/87 aan het Handvest van de grondrechten van de Europese Unie niet is gebleken van feiten of omstandigheden die de geldigheid van dat besluit kunnen aantasten. Besluit 2016/1250 wordt daarentegen ongeldig verklaard. Daarnaast wijst het Hof erop dat een doorgifte van persoonsgegevens voor commerciële doeleinden door een in een lidstaat gevestigde onderneming naar een andere in een derde land gevestigde onderneming, niet kan worden uitgesloten van de werkingssfeer van de verordening. Bij een dergelijke doorgifte moet een beschermingsniveau worden geboden dat in grote lijnen overeenkomt met het beschermingsniveau dat binnen de Unie wordt gewaarborgd door die verordening, gelezen in het licht van het Handvest. Toezichthoudende autoriteiten zijn, tenzij de Commissie op geldige wijze een adequaatheidsbesluit heeft vastgesteld, verplicht om een doorgifte naar een derde land op te schorten of te verbieden wanneer zij - gelet op alle omstandigheden - van oordeel zijn dat de standaardbepalingen inzake gegevensbescherming in dat derde land niet worden of niet kunnen worden nageleefd en dat de door het Unierecht vereiste bescherming van de doorgegeven gegevens niet kan worden gewaarborgd met andere middelen, indien de in de Unie gevestigde exporteur de doorgifte niet zelf heeft opgeschort of beëindigd.