Nieuws

In de maand oktober zijn er door het Europees Hof van Justitie twee belangrijke arresten gewezen op het gebied van het privacyrecht.

Weltimmo

Op 1 oktober 2015 wees het Hoff arrest in de zaak Weltimmo[1]. Weltimmo is een in Slowakije geregistreerde vennootschap, die een vastgoedwebsite beheert voor in Hongarije gelegen onroerend goed. In verband hiermee verwerkt zij de persoonsgegevens van de adverteerders. De eerste maand worden advertenties kosteloos op de site geplaatst, daarna moet ervoor worden betaald. Een groot aantal adverteerders heeft per e-mail verzocht om na die maand hun advertenties en de bijbehorende persoonsgegevens te verwijderen. Weltimmo ging na de maand echter niet in op verzoeken van adverteerders om hun advertenties en persoonsgegevens te verwijderen en probeerde gewoon de advertentiegelden te incasseren. Toen betaling uitbleef, heeft Weltimmo de persoonsgegevens van de betrokken adverteerders aan incassobureaus verstrekt.

Het Hongaarse College voor Bescherming van Persoonsgegevens legde na klachten van de adverteerders een boete op van (omgerekend) EUR 32.000 wegens overtreding van de Hongaarse informatiewet. Volgens Weltimmo was de Hongaarse informatiewet echter niet op haar van toepassing, omdat zij geen vestiging in Hongarije had en gevestigd was in Slowakije.

Het Hof veegt dit verweer vervolgens van tafel. Gelet op het recht op eerbiediging van de persoonlijke levenssfeer en het voorkomen van elke vorm van wetsontduiking, overwoog het Hof dat reeds sprake kan zijn van een ‘vestiging’ bij iedere vorm van reële en daadwerkelijke duurzame activiteit.

De door Weltimmo ontplooide activiteiten bestonden in ieder geval uit de exploitatie van een of meerdere vastgoedsites voor in Hongarije gelegen onroerend goed, die in het Hongaars waren gesteld en waarop na een maand voor de advertenties moest worden betaald. Het Hof oordeelt dan ook dat deze vennootschap zich toelegt op de uitvoering van een reële en daadwerkelijke activiteit in Hongarije (en dus gebonden aan de Hongaarse privacyregelgeving).

Gevolgen voor de praktijk

Tot nu toe gingen verwerkers van persoonsgegevens er vanuit dat indien men juridisch gevestigd was in een bepaalde EU lidstaat, men enkel aan de regelgeving uit die lidstaat hoefde te voldoen. Deze uitspraak laat echter zien dat ondernemingen met activiteiten in meerdere EU lidstaten, rekening moeten houden met het gegevensbeschermingsrecht van al deze landen – ook indien deze activiteit zeer beperkt is. Indien uw onderneming (minimaal) actief is in meerdere Europese landen is het aldus van belang om na te gaan in hoeverre de privacywetten van deze landen van toepassing zijn en of aan deze wetten wordt voldaan. 

Schremms

Enkele dagen na het arrest in de Weltimmo zaak, wees het Europees Hof van Justitie op 6 oktober jl. opnieuw recht in een privacy kwestie[2]. Het Hof verklaarde hierin de zogenoemde “Safe Harbour” afspraken tussen de EU en de VS ongeldig. Het is een baanbrekende uitspraak met (vooralsnog) verstrekkende gevolgen.

Op basis van de Europese privacy regelgeving is de doorgifte van persoonsgegevens buiten de EU verboden, tenzij het derde land een adequaat niveau van bescherming garandeert. De Safe Harbour beschikking is een afspraak tussen de Europese Commissie en de VS, waarbij een aantal voorwaarden is gesteld voor de doorgifte van persoonsgegevens vanuit de EU naar de VS. Doorgifte van persoonsgegevens naar de VS kon plaatsvinden indien de betrokken Amerikaanse onderneming de Safe Harbour voorwaarden respecteerde en op grond van deze beschikking was het voor veel ondernemingen, waaronder Google, Facebook, Microsoft, Apple, Amazon en Twitter mogelijk om gegevens van Europeanen in de VS op te slaan.

De gegevens die door in Europa woonachtige gebruikers op Facebook worden geplaatst worden vanuit Ierland geheel of gedeeltelijk doorgegeven naar en bewaard op servers van Facebook in de VS, waar de gegevens worden verwerkt. De Oostenrijkse student Schrems diende hierover een klacht in bij de Ierse privacy toezichthouder, de Data Protection Commissioner. Schrems was van mening dat het geldende recht en de praktijk van de VS omtrent databescherming onvoldoende bescherming tegen surveillance van de naar dat land doorgegeven gegevens door overheidsinstanties. Schrems verwees ter onderbouwing van zijn standpunten naar de onthullingen van klokkenluider Edward Snowden over de online spionagepraktijken van de Amerikaanse veiligheidsdiensten. De Ierse toezichthouder wees de klacht van Schrems af onder verwijzing naar de Safe Harbour beschikking, maar het Europees Hof van Justitie gaf hem alsnog gelijk en verklaarde de gehele Safe Harbour beschikking ongeldig.

Het Hof is van oordeel dat gegevens van Europeanen in Amerika onvoldoende beschermd zijn omdat bedrijven in Amerika onder bepaalde omstandigheden verplicht zijn de databeschermingswetgeving te negeren.

Gevolgen voor de praktijk

Doordat het Hof de Safe Harbour beschikking ongeldig heeft verklaard is iedere doorgifte vanuit de EU naar de VS – gebaseerd op de Safe Harbour beschikking – onrechtmatig, waarmee een veel gebruikte) grondslag voor gegevensverwerking weggevallen. De Europese Commissie is inmiddels in overleg met de VS om de Safe Harbour beschikking te herzien, maar vooralsnog dient een andere juridische grondslag voor de gegevensverwerking in de VS te worden gezocht. In dat kader kan men denken aan expliciete toestemming van betrokkenen en het gebruik van de door de Europese Commissie opgestelde Modelcontractbepalingen voor de doorgifte van persoonsgegevens aan in derde landen gevestigde verwerkers, waarbij ondernemingen verplicht worden tot het bieden van een passend beschermingsniveau.

 

[1] Zaak C‑230/14, Weltimmo s.r.o. / Nemzeti Adatvédelmi és Információszabadság Hatóság

[2] Zaak C‑362/14, Schrems / Data Protection Commissioner (Digital Rights Ireland Ltd.)