EUROPEES HOF VAN JUSTITIE 30 MEI 2007 IN GEVOEGDE ZAKEN C317/04 EN C318/04 Trefwoorden: art. 76 Wbp – art. 78 Wbp -- doorgifte – PNR -- passagiersgegevens – privacyrichtlijn NOOT Gerrit-Jan Zwenne* Het arrest betreft de doorgifte van zgn. passagiersgegevens door Europese luchtvaartmaatschappijen naar opsporingsautoriteiten en inlichtingendiensten in de Verenigde Staten. Indertijd, voordat het arrest werd gewezen, was de verwachting dat het Hof zich zou uitlaten over het waarborgen van het recht op bescherming van de persoonlijke levenssfeer of over de proportionaliteit van grootschalige gegevensverstrekkingen. In zijn arrest is het Hof evenwel niet verder gekomen dan beantwoording van vragen over de bevoegdheden en rechtsgrondslagen. Het vernietigde de besluiten die ten grondslag liggen aan de gegevensverstrekkingen, maar voorzag in een overgangstermijn die de Commissie en/of de Raad in staat stellen gevolgen te herstellen en de verstrekking van passagiersgegevens te continueren. Velen hebben hun teleurstelling uitgesproken over het arrest. Volgens sommige auteurs betekende het arrest dat er niet of nauwelijks beperkingen meer zouden gelden voor de verstrekking van passagiers- en andere persoonsgegevens aan buitenlandse opsporingsautoriteiten en inlichtingendiensten.1 De voorzitter van de Europese privacytoezichthouder (EDP) stelde dat het arrest een ‘loophole in the protection of the European citizen’ betekent.2 Een andere auteur van enig gewicht merkte op dat het Europees Parlement zichzelf in de voet heeft geschoten.3 Weer anderen gebruikten minder sterke woorden maar spreken vrijwel allemaal hun zorg uit over wat het arrest betekent.4 Voor een beter begrip van het arrest wordt
*
Gerrit-Jan Zwenne is advocaat bij Bird & Bird te Den Haag, alsmede universitair hoofddocent bij het onderzoeksinstituut eLaw@Leiden van de Leidse Universiteit en fellow bij het E.M. Meijers Instituut van dezelfde universiteit. 1
P. H. Blok, ‘Rechtzaak van het Europarlement is geen zegen voor privacy van de luchtvaartreiziger’, NJB 2006, 25 p. 1367 2
EDP first reaction to the Court <www.libertysecurity.org/article985.html>. 3 4
of
Justice
judgment,
31
mei
2006
Ter gelegenheid van de NJV jaarvergadering van 9 juni 2006 in Maastricht.
H. Hijmans, ‘De derde pijler in de praktijk: leven met gebreken. Over de uitwisseling van informatie tussen lidstaten’, SEW 2006, 91, p. 382-384
in deze bespeking eerst vrij uitvoerig ingegaan op de voorgeschiedenis – de lezer die daar minder belangstelling voor heeft, kan dit overslaan. Vervolgens wordt ingegaan op de inhoud en implicaties van het besluit. VOORGESCHIEDENIS De gebeurtenissen die leidden tot het arrest kunnen worden ingedeeld in een handvol episoden die als volgt kunnen worden aangeduid: (i) het ontstaan van het privacyconflict, (ii) de onderhandelingen over een oplossing daarvan, (iii) het akkoord tussen de Commissie en de VS, (iv) het verzet van het Europees Parlement, (v) het arrest van het Europees Hof van Justitie en de daaropvolgende gebeurtenissen. (i) Ontstaan van het conflict (2001 - 2002) In de nasleep van 11 september 2001 werden in de VS drastische maatregelen genomen om de vliegveiligheid te vergroten. Een van de in potentie meer zinvolle maatregelen5 was de wetgeving op grond waarvan vliegtuigmaatschappijen die op of over de VS vliegen, gehouden zijn gegevens over hun passagiers te verstrekken aan de Amerikaanse douaneautoriteiten, en wel vóór aankomst van het vliegtuig in Amerika.6 Als snel na de invoering van deze nieuwe wetgeving bleek deze zich slecht te verhouden met de uitgangspunten van de privacywetgeving in Europa. Deze wetgeving is gebaseerd op de privacyrichtlijn 95/46/EG,7 die beoogt de regels betreffende de bescherming van persoonsgegevens in de EU te harmoniseren. De bedoeling is dat overal binnen de EU min-of-meer dezelfde rechten en verplichtingen gelden, zodat bedrijven of overheden en andere gegevensverwerkers niet geneigd zijn om de strengere regels in de éne lidstaat te omzeilen door hun persoonsgegevens in een andere, minder strenge lidstaat te verwerken. Tegelijkertijd verlangt de richtlijn dan van de lidstaten dat zij geen belemmeringen opwerpen voor de door5
Zie voor de zin en onzin van de controle op nagelschaartjes en dergelijke: B. Schneier, Beyond Fear. Thinking Sensibly about Security in an Uncertain World, Copernicus Books 2003 <www.schneier.com> 6
Aviation and Transportation Security Act (ATSA) van 19 november 2001,Public Law 107– 71. Later ook: Enhanced Border Security and Visa Reform Act van 14 mei 2002, Public Law 107-173 7
Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, PbEG 1995, L281/31.
zending van gegevens naar een andere lidstaat. Om omzeiling van de Europese privacyregels te voorkomen, is in de richtlijn bepaald dat persoonsgegevens niet mogen worden doorgegeven naar een land buiten de EU als dat land niet een passend beschermingsniveau biedt. Om allerlei redenen8 is vastgesteld dat de VS niet zo een passend beschermingsniveau biedt. In beginsel mogen persoonsgegevens daarom niet vanuit een lidstaat worden doorgegeven naar de VS, ook niet voor terrorismebestrijding of andere op zichzelf mogelijk gerechtvaardigde doelen. Een en ander bracht de luchtvaartmaatschappijen in een lastig pakket. Van de Europese regels mochten zij géén persoonsgegevens doorgeven naar de VS. Tegelijkertijd werden zij rechtstreeks benaderd door de VS, die hen verplichtte de gegevens toch te verstrekken – dit op straffe van een boete van 5000 dollar per passagier en/of het verliezen van landingsrechten. De vliegtuigmaatschappijen maakten de (voor hen) meest logische keuze en verstrekten de gevraagde gegevens. Uiteraard konden de Europese lidstaten, en met name de privacytoezichthouders aldaar, dat niet laten gebeuren. (ii) onderhandelingen Commissie en de VS (2002-2003) De kwestie werd al snel in Europa op de politieke agenda gezet. De werkgroep van nationale toezichthouders, de zgn. Art. 29-werkgroep, stelde vast dat er sprake is van problemen op het gebied van de bescherming van persoonsgegevens rond deze gegevensverstrekking aan de Amerikaanse autoriteiten.9 Ondertussen vonden intensieve gesprekken plaats tussen de Europese Commissie en de VS. Het resultaat was een gezamenlijke verklaring waarin door beiden werd aangeven ernaar te streven dat het de vliegtuigmaatschappijen onder voorwaarden wordt toegestaan passagiersgegevens te verstrekken.10
8
Zie daarover P.H. Blok, ‘Botsende rechtsculturen bij transatlantisch gegevensverkeer’, NJB 2001, 33, p. 1607 9
Art. 29 Data Protection Working Party, Opinion 6/2002 on transmission of Passenger Manifest Information and other data from Airlines to the United States, WP66, 24 oktober 2002 10
Joint Statement, Brussels, 17/18 February 2003 <www.cbpweb.nl>.
Hierop volgde een resolutie van het Europees Parlement11 en een brief van voornoemde Art. 29-werkgroep, waarin men zich zeer kritisch uitliet over het overleg tussen de Europese Commissie en de VS.12 De Art. 29 Werkgroep vond bovendien dat de Verenigde Staten de passagiersgegevens alleen zouden mogen gebruiken als dat nodig is voor de bestrijding van terrorisme, en niet voor andere doeleinden zoals routinematige grenscontrole of meer in het algemeen de nationale veiligheid. Ook achtte de werkgroep het van belang dat er maar een beperkt aantal gegevens wordt verstrekt en dat de bewaartermijn van de gegevens wordt beperkt. Verder stelde de werkgroep dat er onvoldoende waarborgen zijn van de Amerikaanse autoriteiten dat deze bepalingen zullen worden nageleefd. De werkgroep adviseerde de Commissie dan ook met klem in de onderhandelingen met de Verenigde Staten te komen tot een systeem voor de verstrekking van passagiersgegevens dat past binnen de Europese privacywetgeving.13 Op 2 september 2003 laat een woordvoerder van de Commissie weten dat het Amerikaanse systeem onder de toen geldende voorwaarden onverenigbaar was met het Europees privacyrecht en dat de Amerikanen niet in staat waren om garanties te bieden voor de bescherming van de gegevens.14 Ook de zorg dat de Amerikanen de beschikking verkrijgen over gevoelige gegevens, zoals gegevens over godsdienst, etniciteit of gezondheid, werd niet passend beantwoord. Daarmee werd groen licht gegeven voor optreden van de nationale privacytoezichthouders tegen de luchtvaartmaatschappijen die met de doorgifte doorgaan. (iii) akkoord Commissie en VS (14 mei 2004) Eind 2003 vond er nieuw overleg plaats tussen Europees Commissaris bevoegd voor douanezaken, Frits Bolkestein, en een niet nader genoemde senior U.S. Homeland Security official. In het persbericht daarover werd twijfel geuit over de praktische mogelijkheden om de
11
Europees Parlement, Resolutie van het Europees Parlement over de overdracht van persoonsgegevens door luchtvaartmaatschappijen bij transatlantische vluchten, Document nr. B5-0187/2003 (P5_TA-PROV(2003)0097), Notulen van 13 maart 2003. 12
Art. 29 Data Protection Working Party, Opinion 4/2003 on the Level of Protection ensured in the US for the Transfer of Passengers. Data, WP78 13 juni 2003. 13
Cf. Cbp, ‘Verstrekking passagiersgegevens door luchtvaartmaatschappijen aan VS’, 27 februari 2003. 14
Reijo Kemppinen aangehaald in ‘EU: U.S. Anti-Terror Flight Rules Breach Privacy’, 2 september 2002 <www.reuters.com/news>.
luchtvaartmaatschappijen te beboeten, aangezien deze dan zouden moeten kiezen tussen een Europese sanctie of de Amerikaanse dreiging tot intrekking van hun vliegvergunning op Amerika. Dit overleg leidde in mei 2004 tot een politiek akkoord tussen de Commissie en de Verenigde Staten. Om dit te effectueren moest er vervolgens door verschillende Europese instanties een aantal stappen worden genomen: §
Zo was er allereerst de Commissie beschikking van 14 mei 200415 In deze beschikking stelde de Commissie, gebruikmakend van haar bevoegdheden op grond van de privacyrichtlijn,16 vast dat het Amerikaanse Bureau of Customs and Border Protection (BCBP) geacht werd een passend beschermingsniveau te bieden voor de doorgifte van passagiersgegevens, zodat in het vervolg een aantal categorieën van deze gegevens aan deze instantie konden worden verstrekt. Deze verstrekking moest wel gebeuren overeenkomstig de in de annex bij het besluit opgenomen zgn. «verbintenissen» van 11 mei 2004.
§
Vervolgens sloten de EU en de VS op 17 mei 2004 een overeenkomst,17 waarin werd vastgelegd dat BCBP elektronisch toegang zou krijgen tot de passagiersgegevens in de boekingssystemen van de Europese luchtvaartmaatschappijen, zulks strikt overeenkomstig voornoemde de Commissie-beschikking van 14 mei 2004 en zolang dat besluit van kracht was, en dat dan totdat er een afdoende systeem tot stand zou zijn gebracht dat de doorgifte van dergelijke gegevens door de luchtvaartmaatschappijen mogelijk maake. Daartegenover staat dat het Bureau of Customs and Border Protection verklaart dat het de verbintenissen van 11 mei 2004, die in de annex bij de Commissiebeschikking, zou uitvoeren. Van belang was verder, zo zou later blijken, dat de overeenkomst kon worden opgezegd met een opzegtermijn van 90 dagen.
15
Beschikking 2004/535/EG van de Commissie van 14 mei 2004 betreffende de passende bescherming van persoonsgegevens in het Passenger Name Record van vliegtuigpassagiers die aan het Bureau of Customs and Border Protection van de Verenigde Staten worden doorgegeven, PbEG 2004, L 235/11. 16 17
Art. 25, zesde lid, 95/46/EG
Overeenkomst tussen de EG en de VS inzake de verwerking en overdracht van PNRgegevens door luchtvaartmaatschappijen aan het Bureau of Customs and Border Protection van het ministerie van binnenlandse veiligheid van de Verenigde Staten van Amerika, PbEG 2004, L 183/84.
§
In het besluit van 17 mei 2004 keurde de Raad deze overeenkomst goed.18 Dit was vereist op grond van artikel 300, tweede lid, van het EG-verdrag.
In de verbintenissen, waaraan de Amerikanen zich volgens de overeenkomst hebben te houden, stond een aantal concrete verplichtingen met betrekking tot het gebruik van de gegevens, de behandeling van gevoelige gegevens, wijze van toegang tot de gegevens, de opslag en beveiliging ervan, doorgifte aan andere autoriteiten en rechten van de betrokken individuen. Het kwam erop neer dat de Amerikanen on-line toegang verkregen tot de elektronische reserveringssystemen van Europese luchtvaartmaatschappijen19 om daar gegevens uit te halen over passagiers voor vluchten van en naar de Verenigde Staten, inclusief overstappers. Er mochten van deze passagiers 34 categorieën van gegevens (zgn. ‘personal name records’ of ‘PNR’) worden opgevraagd, waarbij kon worden gedacht aan: naam, adres, bestemming, stoelnummer, reisbureau en gegevens over bijvoorbeeld rolstoel- of medicijngebruik in het vliegtuig, of kinderen die zonder begeleiding vliegen.20 Als er in de reserveringssystemen ook (andere) gevoelige gegevens zouden staan, zoals gegevens over geloof, etniciteit of gezondheid, dan zouden die eruit worden gefilterd. De opgevraagde gegevens mochten vervolgens 18
Besluit 2004/496/EG van de Raad van 17 mei 2004 betreffende de sluiting van een overeenkomst tussen de Europese Gemeenschap en de Verenigde Staten van Amerika inzake de verwerking en overdracht van PNR-gegevens door luchtvaartmaatschappijen aan het Bureau of Customs and Border Protection van het ministerie van Binnenlandse Veiligheid van de Verenigde Staten van Amerika, PbEG L 183/83. 19
Meer specifiek: de Amerikanen mogen vanaf 72 uur voor aanvang van de vlucht tot drie keer toe in het boekingsysteem om daar 34 gegevens te bekijken. 20
Het ging, aldus ‘Aanhangsel A bij de overeenkomst, om volgende categorieën van gegevens: 1. e-bestandslocatiecode; 2. Boekingsdatum; 3. Geplande reisdatum (-data); 4. Naam; 5. Andere namen in het PNR; 6. Adres; 7. Alle informatie over de betalingswijzen; 8. Factuuradres; 9. Telefoonnummers van contactpersonen; 10. Volledige reisroute voor dit specifieke PNR; 11. Informatie over passagiers die vaak reizen (alleen afgelegde afstand in mijlen en adres(sen)); 12. Reisbureau; 13. Reisagent; 14. Code uitwisseling PNR-informatie; 15. Reisstatus passagier; 16. Opgesplitste/opgedeelde PNR-informatie; 17. E-mailadres; 18. Informatie uit het reisbiljetveld; 19. Algemene opmerkingen; 20 Biljetnummer; 21. Zitplaatsnummer; 22. Uitgiftedatum reisbiljet; 23. «No-show» -antecedenten; 24. Bagagebiljetnummers; 25. «Go-show» -informatie; 26. OSI-informatie (andere informatie over serviceverlening); 27. SSI/SSR-informatie (informatie over bijzondere serviceverlening en de daarbij gestelde eisen); 28. Informatiebron(nen); 29. Alle vroegere wijzigingen van het PNR; 30. Aantal reizigers in het PNR; 31. Informatie over de zitplaats; 32. Enkele-reisbiljetten; 33. Alle verzamelde APIS-informatie (Advanced Passenger Information System); 34. ATFQ-velden (Automatic Ticketing Fare Quote: automatische prijsnotering reisbiljet). [DIT WELLICHT IN EEN KADER BIJ HET ARTIKEL (dus niet als voetnoot)]
worden gebruikt voor de preventie en bestrijding van terrorisme en aanverwante misdaden, andere zware misdrijven, en het ontvluchten van aanhoudingsbevelen of arrestatie voor zulke misdrijven. En voor dat doel mochten deze gegevens, zo stond in voornoemde verbintenissen, drie en een half jaar worden bewaard. Van belang daarbij was dat, zolang de luchtvaartmaatschappijen om technische redenen niet in staat waren de gegevens zelf te versturen (‘uploaden’) naar de informatiesystemen van de Amerikaanse autoriteiten, de laatsten on-line toegang kregen tot de reserveringssystemen van de luchtvaartmaatschappijen. Er werd in dat verband wel gesproken van pull- en pushsystemen: zolang de luchtvaartmaatschappijen de gegevens niet zelf naar de systemen van de Amerikanen kunnen ‘duwen’ (push), mochten zij die de gegevens zelf uit de reserveringssystemen ‘trekken (pull). Een en ander betekende dus dat de Amerikanen toegang hebben tot systemen van EU-luchtvaartmaatschappijen, en zo konden weten welke passagier met welke luchtvaartmaatschappij naar welke bestemming dan ook vliegt. De verkregen passagiersgegevens werden door de Amerikanen vergeleken met de gegevens in de eigen databases over personen die werden verdacht van terrorisme dan wel van andere ernstige misdrijven, waaronder georganiseerde misdaad, met een transnationaal karakter. Stond een passagier op deze Amerikaanse ‘no fly list’, dan werd ingegrepen. De bedoeling van dit gehele proces was dat vóór vertrek van het vliegtuig duidelijk is of zich daarin passagiers bevonden die worden verdacht van de genoemde misdrijven. (iv) verzet van het Europees Parlement (2004-2005) Het Europees Parlement had, met de Art. 29 Werkgroep,21 nogal wat kritiek op de gang van zaken. Eind maart 2003 kwam het parlement met een resolutie waarin in niet mis te verstane bewoordingen juridische reserves worden geformuleerd met betrekking tot het voorgelegde ontwerp van de Commissiebeschikking. In die resolutie behield het zich ook het recht voor om zich tot het Europees Hof van Justitie te wenden om de rechtmatigheid van de beoogde overeenkomst met de VS te toetsen, en het bijzonder op haar verenigbaarheid met de bescherming van de persoonlijke levenssfeer. 21
Art. 29 Working Party, Advies 4/2003 over over het in de VS voor de doorgifte van passagiersgegevens gewaarborgde beschermingsniveau, WP78 13 juni 2003; Art. 29 Werkgroep, Advies 2/2004 over de passende bescherming van in het PNR van passagiers vervatte persoonsgegevens die aan het Bureau of Customs and Border Protection van de Verenigde Staten (US CBP) worden doorgegeven, WP87, 29 januari 2004.
Toen de Commissie haar beschikking had genomen en de Raad de overeenkomst met de VS had goedgekeurd, ging het Parlement, na wat procedurele schermutselingen, daar inderdaad toe over. Eind juli 2004 deed het aan het Hof het verzoek om zowel de beschikking van de Commissie van 14 mei 2004 als het besluit van de Raad van 17 mei 2004 te vernietigen,22 dat omdat naar zijn oordeel de rechtsgrondslagen van beschikking en besluit niet deugden: de doorgifte van passagiersgegevens vond plaats ten behoeve van de veiligheid en dat valt nou net niet onder de privacyrichtlijn 95/46/EG. De richtlijn ziet op de interne markt en valt dus onder wat wordt aangeduid als de eerste pijler. De doorgifte van de passagiersgegevens valt echter onder de werkingssfeer van wat wordt aangeduid als ‘de derde pijler’, te weten de bevoegdheden met betrekking tot strafrecht en openbare veiligheid die op intergouvernementele basis zijn geregeld. De verwerkingen voor dergelijke derde-pijlerdoeleinden (nl, openbare veiligheid, defensie en de activiteiten van lidstaten op strafrechtelijk gebied) zijn uitdrukkelijk uitgezonderd van de werking van de richtlijn.23 Verder voerde het Parlement aan dat de overeenkomst met de VS een schending betekende van de fundamentele rechten, met name essentiële aspecten van het recht op bescherming van persoonsgegevens, hetgeen onverenigbaar is met artikel 8 van het Europees Verdrag van de Rechten van de Mens. Ook was er volgens het Parlement sprake van schending van het evenredigheidsbeginsel omdat het ging om de doorgifte van onevenredig veel gegevens en omdat deze gegevens door de Amerikanen veel te lang werden bewaard. (v) het arrest (30 mei 2006) De hoop en verwachting was, zoals gezegd, dat het Hof in zijn arrest zich zou uitspreken over het waarborgen van het recht op bescherming van de persoonlijke levenssfeer en over de proportionaliteit van grootschalige gegevensverstrekkingen. Daar kwam het evenwel niet aan toe. Het Hof gaat bijna uitsluitend in op de bevoegdheidsvragen, met name of de Commissie en de Raad het bestaande institutioneel kader hebben gerespecteerd en of de gegevensdoorgifte onder de eerste pijler (interne markt) valt of onder de derde pijler (zeg: strafrecht en veiligheid). In de lijn van wat het Parlement betoogde komt het Hof dan tot het oordeel dat Commissie en Raad ten onrechte er vanuit zijn gegaan dat de doorgifte van de 22
Beroep ingesteld op 27 juli 2004 door Europees Parlement tegen Commissie van de Europese Gemeenschappen, PbEG 2004, C 228/32. 23
Art. 3, tweede lid, richtlijn.
passagiersgegevens valt onder de eerste pijler. Zij hebben dus een verkeerde rechtsgrondslag gekozen. Daarbij kent het Hof met name betekenis toe aan de considerans van het Commissiebesluit van 14 mei 2005 waaruit volgt dat de doorgifte van de persoonsgegevens het voorkomen en bestrijden van terrorisme en andere ernstige misdaden als oogmerk heeft. Dit duidt volgens het Hof op de derde pijler, zodat de privacyrichtlijn 95/46/EG op grond van artikel 3, tweede lid daarvan, niet van toepassing is. Om dezelfde reden vernietigt het Hof het Raadsbesluit. Dat was gebaseerd op artikel 95 EG-verdrag (in combinatie met artikel 300 EGverdrag), waarin de bevoegdheid is neergelegd om regels op te stellen voor de bewerkstelliging van de interne markt. De omstandigheid dat de passagiersgegevens door particulieren zijn verzameld voor commerciële doeleinden en door hen worden doorgegeven naar de VS, betekenen nog niet dat de doorgifte in kwestie buiten de werkingssfeer van deze bepaling valt. Doorslaggevend is dat de doorgifte geschiedt binnen een door de overheid ingesteld kader dat betrekking heeft op de openbare veiligheid. Door de nietigverklaring hoeft het Hof niet in te gaan op de andere meer inhoudelijke argumenten van het Parlement. Wel komt hij met een termijn waarbinnen de Commissie de tekortkoming van de rechtsgrondslag van de beschikking en het besluit nog kan repareren. Het Hof overweegt dat de Gemeenschap niet zou mogen aanvoeren dat zij de overeenkomst met de VS niet nakomt omdat haar eigen recht daaraan in de weg blijkt te staan. Om redenen van rechtszekerheid en ter bescherming van de betrokkenen acht het Hof het dan ook gerechtvaardigd om de gevolgen van de beschikking te handhaven tot 30 september 2006, wat niet toevallig de opzegtermijn van de overeenkomst betreft. (vi) De nasleep: een nieuw akkoord (7 oktober 2006) De Commissie was uiteraard teleurgesteld over het arrest, maar haastte zich te zeggen dat de vernietiging van haar besluit (en dat van de Raad) uitdrukkelijk niet betrekking had op de inhoud van de overeenkomst maar alleen de rechtsgrondslag. En dus kon de overeenkomst inhoudelijk ongewijzigd blijven. Alleen de grondslag moest worden aangepast. De nieuwe grondslag moest artikel 38 EU-verdrag worden, welke bepaling binnen de werkingssfeer van de derde pijler (de politiële en justitiële samenwerking) valt en dat verwijst naar artikel 24 EU-verdrag, wat weer valt onder de werkingsfeer van de tweede pijler (gemeenschappelijk buitenlands en veiligheidsbeleid).
Toch moest er opnieuw worden onderhandeld. Eén week nádat de door het Hof gestelde termijn is afgelopen kwamen de Commissie en de VS op vrijdag 7 oktober met een nieuw akkoord.24 Onder het nieuwe akkoord kunnen de Amerikanen over veel meer gegevens beschikken, waarmee ook weer veel meer mag worden gedaan: behalve het Amerikaanse Bureau of Customs and Border Protection hebben nu ook de CIA en het FBI toegang tot de passagiersgegevens. Het moet dan wel gaan op passagiers die een ‘zeker risico’ kunnen inhouden in verband met de bestrijding van terrorisme. Hoewel er dus in theorie geen sprake is van automatische toegang tot de passagiersgegevens, wordt de invulling van het begrip ‘zeker risico’ overgelaten aan de Amerikaanse inlichtingen- en veiligheidsdiensten. Het Europese Parlement was dan ook niet onverdeeld gelukkig met het nieuwe akkoord. TER AFSLUITING Voor wie dacht dat met de privacyrichtlijn 95/46/EG de bescherming van zijn of haar privacy was gewaarborgd is het passagiersgegevens-arrest teleurstellend. Juist waar het gaat om de grootschalige gegevensverstrekkingen, waar betrokkenen weinig zicht en zeggenschap over hebben, blijkt richtlijn geen werking te hebben. Zelfs als in aanmerking wordt genomen dat op dergelijke doorgiften toch nog steeds artikel 8 EVRM25 van toepassing is en ook daaraan bescherming kan worden ontleend.26 Dat doet er echter niet aan af dat het inconsistent is dat het verzamelen van passagiersgegevens door luchtvaartmaatschappijen wél onder de privacyrichtlijn valt27, maar niet het doorgeven van deze gegevens naar de VS en wellicht nog andere landen met een nog (veel) lager beschermingniveau, als die doorgifte gebeurt om re-
24
COM2006
25
Guild & Brouwer l.c. 3, hebben er al op gewezen dat het Hof in de gebruikelijk opsomming van relevante bepalingen als allereerste artikel 8 van het Europees Verdrag van de Rechten van de Mens noemt, het artikel waarin het recht op bescherming van een persoonlijke levenssfeer is vastgelegd. Dat is op zichzelf opmerkelijk, want het is niet eerder vertoond. Wie het arrest voor het eerst leest zou daaruit op dat moment kunnen denken dat het Hof dit fundamentele recht als vertrekpunt en wellicht in het licht van de criteria van het tweede lid zich een oordeel zou vormen over de proportionaliteit van de doorgifte. 26
EHRM, 25 juni 1997 (Halford v. the United Kingdom); EHRM, 16 december 1992 (Niemietz v. Germany); EHRM, 2 augustus 1984 (Malone v. UK) 27 Vgl. C-301/06, Ierland v. Europese Parlement en Raad van Europese Unie, Conclusie A.G. Y. Bot
denen verband houdend met de nationale veiligheid.28 Dat is niet goed uit te leggen. Waarom worden wij wel beschermd door de richtlijn als er gegevens met ons medeweten worden verzameld voor een op zichzelf onomstreden commercieel doel, te weten de door vliegtuigmaatschappijen verleende diensten waarom wij hebben gevraagd, terwijl wij niet worden beschermd als dezelfde gegevens gaan worden gebruikt voor nationale veiligheidsdoelen van een land waarin wij zelf niet of nauwelijks aanspraak kunnen maken op noemenswaardige privacybescherming...?29 In het Lindqvist-arrest, dat elders in deze bundel is besproken, zag het Hof zich genoodzaakt het doorgiftebegrip in de richtlijn zo uit te leggen, dat het doorgifteverbod uit de richtlijn niet van toepassing was op gegevens die op een website worden geplaatst en die van buiten de EU kunnen worden benaderd (ofwel: een geval van ‘pull’).30 Naar aanleiding van dit Lindqvist-arrest is er dan ook van verschillende kanten31 op gewezen dat de richtlijn, waar het gaat om grensoverschrijdende verwerkingen en technologische ontwikkelingen, wel meer van dit soort tekortkomingen kent, en meer in bijzonder slecht aansluit op de wereld van internet.32 Dit zijn geen op zichzelf staande incidenten of bedrijfsongevallen.
28
European Data Protection Supervisor, ‘PNR Judgement’, in Newsletter nr. 4, 1 juni 2006, sub 4 via www.edps.europa.eu 29
In de VS is privacybescherming vaak voorbehouden aan de eigen staatsburgers.
30
G-J. Zwenne, ‘Bodil Lindqvist. Noot bij Europees Hof van Justitie 6 november 2003’, JAVI 2004/2, 66-70; P. De Hert & W. Schreurs, 'De bescherming van persoonsgegevens op het Internet: nuttige verduidelijking door de rechtspaak', noot bij HvJ, 6 november 2003 (Bodil Lindqvist t. Zweden), Auteur&Media, 2004/2, 127-138, P.H. Blok, ‘inkomens, internet en informationele privacy, NTeR februari 2004, p 30. 31
P.J. Hustinx, ‘Data Protection in the European Union’ P&I 2005-2, 62-65; P.H. Blok, ‘De waarde van de omnibuswet’, P&I 2005-6, 247; G-J. Zwenne, ‘Bodil Lindqvist. Noot bij HvJ 6 november 2003’, JAVI 2004-2, 66-69. 32
Een voorbeeld betreft ‘cookies’, de tekstbestandjes die door websites worden weggeschreven op de computer van de internetgebruiker, bijvoorbeeld om wachtwoord en gebruikersnaam van deze op te slaan. Volgens de Art. 29 Werkgroep kan het gebruik van cookies er toe leiden dat de richtlijn van toepassing is, ook als de server van deze website of de aanbieder daarvan zich niet in de EU bevindt en zich niet eens richt op ingezetenen van de EU. Aldus Art. 29 Werkgroep, Werkdocument betreffende de internationale toepassing van de gegevensbeschermingswetgeving van de EU op de verwerking van persoonsgegevens op internet door websites van buiten de EU, WP56, 30 mei 2002.
De privacyrichtlijn is dus enerzijds volgens het Lindqvist-arrest wel van toepassing op het internet en andere alledaagse heel vaak betrekkelijk onschuldige maar grensoverschrijdende activiteiten. Anderzijds is diezelfde richtlijn volgens het passagiersgegevens-arrest weer niet van toepassing op structurele, grootschalige en moeilijk controleerbare dus in termen van privacy risicovolle gegevensverstrekkingen die plaatsvinden in het kader van opsporing en dergelijke inherent moeilijk af te bakenen doeleinden als de terrorismebestrijding. Vanuit het perspectief van privacybescherming is dit moeilijk uit te leggen. 33
33
Zie ook: P. De Hert & G-J. Zwenne, ‘Over passagiersgegevens en preventieve misdaadbestrijding binnen de Europese Unie’, NJB 13 juli 2007, p. 1662-1670.
