In vervolg op onze eerdere blogposts over het Privacy Shield, en de vraag of de concept “adequacy decision” van de Europese Commissie voldoet aan de rechtspraak van het Europese Hof van Justitie inzake Schrems, zoomen we in op het meest controversiële punt: toegang tot Europese persoonsgegevens door Amerikaanse overheidsdiensten.

In Schrems heeft het Hof van Justitie bepaald:

“93   Niet beperkt tot het strikt noodzakelijke is dan ook een regeling die algemeen toestaat dat alle persoonsgegevens van alle personen van wie de gegevens vanuit de Unie naar de Verenigde Staten worden doorgegeven, worden bewaard, zonder dat enig onderscheid wordt gemaakt, enige beperking wordt gesteld of enige uitzondering wordt gemaakt op basis van het nagestreefde doel en zonder dat wordt voorzien in een objectief criterium ter begrenzing van de toegang van de bevoegde nationale autoriteiten tot de gegevens en het latere gebruik ervan voor specifieke doeleinden, die strikt beperkt zijn en als rechtvaardiging kunnen dienen voor de inmenging als gevolg van zowel de toegang tot als het gebruik van deze gegevens [zie in die zin, aangaande richtlijn 2006/24/EG van het Europees Parlement en de Raad van 15 maart 2006 betreffende de bewaring van gegevens die zijn gegenereerd of verwerkt in verband met het aanbieden van openbaar beschikbare elektronische communicatiediensten of van openbare communicatienetwerken en tot wijziging van richtlijn 2002/58/EG (PB L 105, blz. 54), arrest Digital Rights Ireland e.a., C‑293/12 en C‑594/12, EU:C:2014:238, punten 57‑61].

94     Meer bepaald moet een regeling op grond waarvan de autoriteiten veralgemeend toegang kunnen krijgen tot de inhoud van elektronische communicatie worden beschouwd als een aantasting van de wezenlijke inhoud van het grondrecht op eerbiediging van het privéleven zoals door artikel 7 van het Handvest gewaarborgd (zie in die zin arrest Digital Rights Ireland e.a., C‑293/12 en C‑594/12, EU:C:2014:238, punt 39).” (onderstreping auteur)

Interessant is het persbericht van de Europese Commissie, waarin de Commissie schetst:

“voor het eerst heeft de regering van de VS de EU via het bureau van de directeur van de nationale inlichtingendienst schriftelijk verzekerd dat voor toegang van overheidsinstanties omwille van de nationale veiligheid duidelijke beperkingen, garanties en toezichtmechanismen zullen gelden, om te voorkomen dat gegevens algemeen toegankelijk worden.” (onderstreping auteur)

Toch blijkt uit de bijlagen bij de “adequacy decision” dat onderschepping in bulk nog steeds mogelijk is:

“PPD-28 also provides that signals intelligence collected in bulk can only be used for six specific purposes: detecting and countering certain activities of foreign powers; counterterrorism; counter-proliferation; cybersecurity; detecting and countering threats to U.S. or allied armed forces; and combatting transnational criminal treats, including sanctions evasions.”

We vragen ons af in hoeverre het benoemen van de zes doeleinden een beperking is ten opzichte van de situatie daarvoor of enkel een explicatie. Met andere woorden: geschiedde toegang die de NSA had tot data van Europese burgers, op basis waarvan het Hof van Jusititie Safe Harbor ongeldig verklaarde, dan niet voor het doeleinde van “counterterrorism” of een van de andere doeleinden opgesomd in PPD-28?

We zijn benieuwd naar de zienswijze van WP29 13/14 april.