The EU-U.S. Privacy Shield: ensuring the continuation of data flows instead of rebuilding trust? Europe tangled up in its own data protection requirements?

Judith Vermeulen
De scriptie omvat een analyse van het EU-V.S. Privacyschild in het licht van de Europese privacystandaarden (in het bijzonder deze aangaande de legaliteit van 'mass surveillance'). Die analyse wordt vervolgens in perspectief geplaatst door andere EU instrumenten (zoals de PNR akkoorden, de PNR Richtlijn, het TFTP akkoord, (standard) contractual clauses en binding corporate rules), in de mate dat die zich daartoe lenen, aan dezelfde test te onderwerpen.

Europa op de dool met eigen fundamentele privacyregels

"The political dilemma of the Commission is that the U.S. Congress isn't willing to deliver".

Nog geen jaar nadat het Hof van Justitie van de Europese Unie de ‘Safe Harbor’ beslissing van de Europese Commissie nietig had verklaard, kondigde deze laatste aan een nieuw, verbeterd framework met de V.S. te hebben onderhandeld: ‘the EU-U.S. Privacy Shield’. Op basis daarvan kunnen in Europa verzamelde persoonsgegevens vrij naar Amerikaanse bedrijven worden doorgespeeld. Max Schrems, een Oostenrijkse jurist wiens activisme aan de basis ligt van de voormelde uitspraak is van mening dat ook het Privacyschild geen ‘adequaat’ beschermingsniveau garandeert wegens een gebrek aan fundamentele veranderingen aan de Amerikaanse wetgeving ter zake. Stopt de bescherming van persoonsgegevens de facto aan de virtuele buitengrenzen van de Europese Unie? Leeft de EU überhaupt haar eigen regels te allen tijde na? Wint politiek van recht?

Een passend beschermingsniveau

Het staat buiten kijf dat de Europese regels inzake de verwerking van persoonsgegevens een bijzonder hoog databeschermingsniveau vooropstellen in vergelijking met deze (of gene) die gelden in andere landen of regio’s in de wereld. De harmonisering van de regelgeving in de EU had als doel het vrij verkeer van data tussen de verschillende lidstaten van de Unie te verzekeren: waar eenzelfde bescherming wordt geboden, kunnen persoonsgegevens zonder belemmeringen worden doorgegeven.

Deze redenering wordt - logischerwijze - doorgetrokken in de relatie tot niet-EU landen. Europees recht schrijft immers voor dat “persoonsgegevens pas naar een derde land mogen worden doorgegeven indien dat land een passend beschermingsniveau waarborgt”. Concreet betekent dit niet dat het land in kwestie eenzelfde beschermingsniveau dient te garanderen, maar wel dat het niveau van bescherming “in grote lijnen” moet overeenstemmen met datgene dat wordt verzekerd binnen de Europese Unie. De Europese Commissie heeft dienaangaande de bevoegdheid gekregen om op bindende wijze te verklaren dat een specifiek land deze vereiste vervult.

Op 6 oktober 2015 heeft het Hof van Justitie in de zaak Schrems evenwel geoordeeld dat de Commissie in haar ‘Safe Harbor’ beslissing niet heeft aangetoond dat er in de Verenigde Staten inderdaad een gelijkwaardig databeschermingssysteem voorhanden is. Deze uitspraak was het logische gevolg van de onthullingen van Edward Snowden in juni 2013 omtrent het bestaan van zogenaamde ‘mass surveillance programs’ (zoals PRISM en andere) van de Amerikaanse inlichtingendiensten en hun grootschaligheid. PRISM stelde de NSA in staat zich rechtstreeks toegang te verschaffen tot de V.S. servers van Facebook, Google en andere grote Amerikaanse internetbedrijven. Dat Safe Harbor toestond dat Europese filialen van deze mediagiganten de door hen verzamelde gegevens van Europese gebruikers voor opslag en verwerking naar de Verenigde Staten stuurden, zorgde er dus onrechtstreeks voor dat de overheid in de V.S. ook over een schat aan informatie over Europese internetgebruikers kon beschikken. Het Hof stelde dat het verzamelen en verwerken van gegevens in bulk  (of nog: het verzamelen van gegevens over individuen – of ze nu ergens van verdacht worden of niet) de artikels 7 en 8, respectievelijk betreffende het recht op eerbiediging van het privéleven en het recht op bescherming van persoonsgegevens, van het Handvest van de Grondrechten van de Europese Unie schendt wegens disproportioneel ongeacht de eventuele legitimiteit van het beoogde doel van dergelijke maatregelen. Hierin werd het Hof van Justitie bovendien bijgetreden door het Europees Hof voor de Rechten van de Mensen in Straatsburg. In een arrest van 21 december 2016, betreffende een louter Europese aangelegenheid, heeft de EU rechter verduidelijkt dat persoonsgegevens slechts mogen worden verzameld en verder verwerkt indien dat gerechtvaardigd is op basis van “objectieve criteria [bv. een geografisch gebied waarbinnen een hoog risico bestaat op een bepaalde serieuze vorm van criminaliteit] die een verband leggen tussen de te bewaren gegevens en het nagestreefde doel”.

Amerika post Snowden: even inadequaat  

Na de val van Safe Harbor, wat leidde tot een juridisch vacuüm voor wat betreft de transfers van commerciële gegevens van de EU naar de V.S., onderhandelde de Europese Commissie het EU-V.S. Privacyschild op basis waarvan ze vervolgens opnieuw besloot dat de Verenigde Staten Europese gegevens op adequate wijze beschermen.

Hoewel het schild op het eerste zicht een betere indruk wekt dan zijn voorganger, wordt snel duidelijk dat het om niet veel meer gaat dan goede voornemens en beloftes vanwege de Amerikaanse overheid die nergens juridisch worden hard gemaakt. Dat de gerichte - en dus niet de bulk - verzameling van persoonsgegevens voortaan zal worden “geprioriteerd” en dat die bovendien zo “specifiek mogelijk” zal gebeuren, komt inderdaad neer op gebakken lucht verkopen. De Amerikaanse regelgeving is immers slechts in verwaarloosbaar kleine mate aangepast. De Europese Commissie is, uit haar communicatie met de buitenwereld af te leiden, overtuigd aan de onderhandelingstafel gaan zitten, maar lijkt opnieuw te zijn bezweken voor de politieke druk die een deal met dergelijke consequenties voor de bedrijfswereld met zich meebrengt.

Passenger Name Records

De hogervermelde rechtspraak van zowel het Hof in Luxemburg als van dat in Straatsburg blijft ook niet zonder gevolgen voor andere EU instrumenten - zowel interne regelgeving als akkoorden met derde landen - zoals bijvoorbeeld deze betreffende PNR (persoonsgegevens van passagiers) data. Kort voor vertrek dienen luchtvaartmaatschappijen de autoriteiten de door hen verzamelde gegevens van de passagiers van de betreffende vlucht in bulk door te sturen zodanig dat de laatstgenoemden de data kunnen analyseren om er zich vervolgens van te kunnen vergewissen dat er zich geen personen met een verdacht profiel aan boord zullen bevinden. Zo heeft het Hof van Justitie zich op 26 juli 2017 nog over de kwestie uitgesproken en nogmaals haar vorige rechtspraak verfijnd en genuanceerd: onder strikte voorwaarden blijft de verzameling en verdere verwerking van PNR data mogelijk als dit kan worden gerechtvaardigd op basis van bepaalde ‘objectieve criteria’.

Europese hoven als privacywaakhonden  

Het moge duidelijk zijn dat het laatste nog niet gezegd is over de bescherming van persoonsgegevens die op grote schaal worden verzameld, geanalyseerd en gebruikt door overheidsinstanties. Wel zeker is dat de twee hoogste rechtshoven van Europa daarin een uitermate belangrijke rol hebben te spelen.

 

 

Bibliografie

Primary Sources

European Union legal sources

Primary legislation

  • Consolidated version of the Treaty on the Functioning of the European Union [2007] OJ C326/47
  • Charter of Fundamental Rights of the European Union [2007] OJ C 326/391

 

Secondary legislation

  • Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data [1995] OJ L281/31
  • Directive 97/66/EC of the European Parliament and of the Council of 15 December 1997 concerning the processing of personal data and the protection of privacy in the telecommunications sector [1997] OJ L024/1
  • Commission Decision of 26 July 2000 pursuant to Directive 95/46/EC of the European Parliament and of the Council on the adequacy of the protection provided by the safe harbour privacy principles and related frequently asked questions issued by the US Department of Commerce [2000] OJ L215/7
  • Commission Decision 2001/497/EC of 15 June 2001 on standard contractual clauses for the transfer of personal data to third countries, under Directive 95/46/EC [2001] OJ L181/19
  • Regulation (EC) No 45/2001 of the European Parliament and of the Council of 18 December 2000 on the protection of individuals with regard to the processing of personal data by the Community institutions and bodies and on the free movement of such data [2001] OJ L8/1
  • Directive 2002/58/EC of the European Parliament and of the Council of 12 July 2002 concerning the processing of personal data and the protection of privacy in the electronic communications sector (Directive on privacy and electronic communications) [2002] OJ L201/37
  • Commission Decision 2004/915/EC of 27 December 2004 amending Decision 2001/497/EC as regards the introduction of an alternative set of standard contractual clauses for the transfer of personal data to third countries [2004] OJ L385/74
  • Directive 2006/24/EC of the European Parliament and of the Council of 15 March 2006 on the retention of data generated or processed in connection with the provision of publicly available electronic communications services or of public communications networks and amending Directive 2002/58/EC [2006] OJ L 105/54
  • Council Framework Decision 2008/977/JHA of 27 November 2008 on the protection of personal data processed in the framework of police and judicial cooperation in criminal matters [2008] OJ L350/60
  • Commission Decision of 5 February 2010 on standard contractual clauses for the transfer of personal data to processors established in third countries under Directive 95/46/EC of the European Parliament and of the Council [2010] OJ L39/5
  • Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation) [2016] OJ L119/1
  • Directive (EU) 2016/680 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data by competent authorities for the purposes of the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, and on the free movement of such data, and repealing Council Framework Decision 2008/977/JHA [2016] OJ L119/89
  • Directive (EU) 2016/681 of the European Parliament and of the Council of 27 April 2016 on the use of passenger name record (PNR) data for the prevention, detection, investigation and prosecution of terrorist offences and serious crime [2016] OJ L119/132
  • Commission Implementing Decision (EU) 2016/1250 of 12 July 2016 pursuant to Directive 95/46/EC of the European Parliament and of the Council of the adequacy of the protection provided by the EU-U.S. Privacy Shield [2016] OJ L207/1

 

Agreements

  • Agreement between the European Union and the United States of America on the processing and transfer of Financial Messaging Data from the European Union to the United States for the purposes of the Terrorist Finance Tracking Program [2010] OJ L195/5
  • Agreement between the European Union and Australia on the processing and transfer of Passenger Name Record (PNR) data by air carriers to Australian Customs and Border Protection Service [2012] OJ L186/4
  • Agreement between the United States of America and the European Union on the use and transfer of passenger name records to the United States Department of Homeland Security [2012] OJ L215/5
  • Draft agreement between Canada and the European Union on the transfer and processing of Passenger Name Record [2013] <http://register.consilium.europa.eu/doc/srv?l=EN&f=ST%2012657%202013%20…;

 

Court of Justice of the European Union

  • Joined Cases C-293/12 and C-594/12 Digital Rights Ireland Ltd v Minister for Communications, Marine and Natural Resources, Minister for Justice, Equality and Law Reform, The Commissioner of the Garda Síochána, Ireland and the Attorney General, and Kärntner Landesregierung, Michael Seitlinger, Christof Tschohl and Others [2014] ECLI:EU:C:2014:238
  • Case C-362/14 Maximilian Schrems v Data Protection Commissioner [2015] ECLI:EU:C:2015:650
  • Joined Cases C-203/15 and C-698/15 Tele2 Sverige AB v Post- och telestyrelsen and Secretary of State for the Home Department v Tom Watson and Others [2016] ECLI:EU:C:2016:970
  • Opinion 1/15 Request for an Opinion pursuant to article 218(11) TFEU (CJEU), Opinion of AG Mengozzi

 

Council of Europe legal sources

Treaties

  • Convention for the Protection of Human Rights and Fundamental Freedoms [1950] ETS No. 5
  • Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data [1981] ETS No.108
  • Additional Protocol to the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data, regarding supervisory authorities and transborder data flows [2001] ETS No. 181

 

Judgments of the European Court of Human Rights

  • Klass and others v Germany (1978) Series A no 28
  • Zakharov v. Russia ECHR 2015
  • Szabó and Vissy v. Hungary ECHR App no 37138/14 (ECtHR, 12 January 2016)

 

 

 

Belgian legal sources

  • Wet 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (BS 18 March 1993, consolidated version BS 28 December 2015)

 

United States legal sources

  • "The Constitution of the United States"
  • Privacy Act 1974
  • Foreign Intelligence Serivce Act 1978
  • Ronald Reagan, "Executive Order 12333—United States Intelligence Activities," US Federal Register, Dec. 4, 1981
  • The White House, Presidential Policy Directive 28: Signals Intelligence Activities (PPD-28) (Jan. 17, 2014)

 

Secondary Sources

Doctrine

  • De Busser E, Data Protection in EU and US Criminal Cooperation – A Substantive Law Approach to the EU Internal and Transatlantic Cooperation in Criminal Matters between Judicial and Law Enforcement Authorities (Maklu 2009)
  • Granger M-P and Irion K, ‘The Court of Justice and the Data Retention Directive in Digital Rights Ireland: Telling off the EU legislator and Teaching a Lesson in Privacy and Data Protection’ (2014) 20 European Law Review
  • Haeck Y and Burbano Herrera C, Procederen voor het Europees Hof voor de Rechten van de Mens (Tweede editie, Intersentia, 2011)
  • Hustinx P, ‘EU Data Protection Law: The Review of Directive 95/46/EC and Proposed General Data Protection Regulation’ [2014] <https://secure.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documen…; accessed March 2017
  • Ripoll Servent A, Institutional and Policy Change in the European Parliament: Deciding on Freedom, Security and Justice (Springer 2015)
  • Schneier B, Data and Goliath – The Hidden Battles to Collect Your Data and Control Your World (W. W. Norton & Company Ltd, first edition 2015)
  • Severson D, ‘American Surveillance of Non-U.S. Persons: Why New Privacy Protections Offer Only Cosmetic Change’ (2015) 56 Harvard International Law Journal
  • Terra P, ‘SWIFT en het ‘Terrorist Finance Tracking Program’: triomf voor de burger of voor het Europees Parlement?’ (2010) 64 Internationale Spectator 577
  • Tracol X, ‘Legislative genesis and judicial death of a directive: The European Court of Justice invalidated the data retention directive (2006/24/EC) thereby creating a sustained period of legal uncertainty about the validity of national laws which enacted it’ (2014) 30 Computer Law & Security Review
  • Tracol X, ‘“Invalidator” strikes back: The harbour has never been safe’ (2016) 32 Computer Law & Security Review
  • Vermeulen G, ‘The Paper Shield: On the degree of protection of the EU-US privacy shield against unnecessary or disproportionate data collection by the US intelligence and law enforcement services’ in Svantesson, Dan J.B. and Dariusz Kloza (eds), Transatlantic Data Privacy Relationships as a Challenge for Democracy; European Integration and Democracy Series, vol 4 (Intersentia 2017)

 

European Commission documents

Communications

  • Commission, ‘Communication from the Commission on the global approach to transfers of Passenger Name Record (PNR) data to third countries’ COM(2010) 492 final
  • Commission, ‘Communication from the Commission to the European Parliament and the Council on Rebuilding Trust in EU-US Data Flows’ COM(2013) 846 final
  • Commission, ‘Communication from the Commission to the European Parliament and the Council on the Functioning of the Safe Harbour from the Perspective of EU Citizens and Companies Established in the EU’ COM(2013) 847 final
  • Commission, ‘Communication from the Commission to the European Parliament and the Council on the Transfer of Personal Data from the EU to the United States of America under Directive 95/46/EC following the Judgment by the Court of Justice in Case C-362/14 (Schrems)’ COM(2015) 566 final
  • Commission, ‘Report from the Commission to the European Parliament and the Council on the joint review of the implementation of the Agreement between the European Union and the United States of America on the processing and transfer of Financial Messaging Data from the European Union to the United States for the purposes of the Terrorist Finance Tracking Program’ COM (2017) 31 final

 

 

Other documents

  • Commission, ‘Frequently Asked Questions relating to transfers of personal data from the EU to third countries’ [2009], 23 <http://ec.europa.eu/justice/data-protection/international-transfers/fil…;  accessed 18 March 2017
  • Directorate-General for Justice and Consumers (Commission), 2014 report on the application of the EU Charter of Fundamental Rights (Publications Office of the European Union 2015
  • Directorate-General for Justice and Consumers (Commission), Guide to the EU-U.S. Privacy Shield (Publications Office of the European Union 2016)

 

European Parliament documents

Resolutions

 

Other documents

  • LIBE (European Parliament), ‘Questions relating to the judgment of the Court of Justice of 8 April 2014 in Joined Cases C-293/12 and C-594/12, Digital Rights Ireland and Seitlinger and others – Directive 2006/24/EC on data retention – Consequences of the judgment’(legal opinion) SJ-0890/14
  • Directorate-General for Internal Policies – Policy Department C: Citizens’s Rights and Constitutional Rights (European Parliament), ‘The US legal system on data protection in the field of law enforcement – Safeguards, rights and remedies for EU citizens’ [2015] Study, 17 <http://www.europarl.europa.eu/RegData/etudes/STUD/2015/519215/IPOL_STU%…; accessed 4 May 2016

 

Working Party on the Protection of Individuals with regard to the Processing of Personal Data (Article 29 Working Party) documents

 

European Data Protection Supervisor (EDPS) documents

European Union Agency for Fundamental Rights (FRA)

  • European Union Agency for Fundamental Rights (FRA), Council of Europe and Registry of the European Court of Human Rights, Handbook on European data protection law (Publications Office of the European Union 2014)
  • European Union Agency for Fundamental Rights, Surveillance by intelligence services: fundamental rights safeguards and remedies in the EU – Mapping Member States’ legal frameworks (Publications Office of the European Union 2015)

 

Websites

 

Blogs

 

Press releases

 

 

 

Newspaper articles

The Guardian

 

The Washington Post

 

The New York Times

 

Spiegel Online

 

Other sources

  • EU Co-Chairs of the Ad Hoc EU-US Working Group on Data Protection, ‘Report on the Findings of the EU Co-Chairs of the Ad Hoc EU-U.S. Working Group on Data Protection’ [2013] point 5 <http://ec.europa.eu/justice/data-protection/files/report-findings-of-th…; accessed 1 May 2015
  • National Research Council, Division on Engineering and Physical Sciences, Computer Science and Telecommunications Board, Committee on Responding to Section 5(d) of Presidential Policy Directive 28: The Feasibility of Software to Provide Alternatives to Bulk Signals Intelligence Collection, Bulk Collection of Signals Intelligence: Technical Options
  • European Ombudsman (Emily O’Reilly), ‘Use of the title ‘ombudsman’ in the ‘EU-US Privacy Shield’ agreement’ (European Ombudsman, Letter to Ms Vĕra Jourová, 22 February 2016) <https://www.ombudsman.europa.eu/resources/otherdocument.faces/en/64157/…; accessed 3 May 2017
  • Charles Doyle, ‘Administrative Subpoenas in Criminal Investigations: A Brief Legal Analysis’ (CRS Report for Congress, 17 March 2006), summary <https://fas.org/sgp/crs/intel/RL33321.pdf&gt; accessed 4 May 2017
  • European Union Committee, The EU/US Passenger Name Record (PNR) Agreement (HL 2006-07, 108)
  • U.S. Customs and Border Protection (CBP) (U.S. Department of Homeland Security (DHS)), ‘U.S. Customs and Border Protection Passenger Name Record (PNR) Privacy Policy’ (2013) 1<https://www.cbp.gov/sites/default/files/documents/pnr_privacy.pdf&gt; accessed 7 May 2017
  • Commissie voor de bescherming van de persoonlijke levenssfeer, ‘Advies betreffende de doorgifte van persoonsgegevens door de CVBA SWIFT ingevolge de dwangbevelen van de UST (OFAC)’ (2006) Advies Nr 37/2006 <https://www.privacycommission.be/sites/privacycommission/files/document…; accessed 9 May 2017
  • Terrorist Finance Tracking Program – Representations of the United States Department of the Treasury [2007] OJ C166/18
  • General Secretariat of the Council of the EU, ‘EU-US agreement on the processing and transfer of financial messaging data for purposes of the US Terrorist Finance Tracking Programme (TFTP) – Questions and Answers’ (Information note, November 2009) <https://www.consilium.europa.eu/uedocs/cms_data/docs/pressdata/en/jha/1…;  accessed 10 May 2017

 

 

Universiteit of Hogeschool
Master in de rechten
Publicatiejaar
2017
Promotor
Yves Haeck
Kernwoorden