HvJEU: algemene bewaarplicht voor verkeersgegevens is disproportioneel
Een algemene en ongedifferentieerde plicht voor telecombedrijven om alle verkeersgegevens en locatiegegevens van al hun abonnees en gebruikers te bewaren, is in strijd met Europees recht. Dat heeft het Hof van Justitie (“HvJEU”) op 21 December 2016 bepaald in de gevoegde zaken C-203/15 Tele2 Sverige AB tegen Post-och telestyrelsen en C-698/15 Secretary of State for the Home Department tegen Tom Watson e.a.
Eerder: Digital Rights Ireland
Het arrest bouwt voort op het eerder gewezen Digital Rights Ireland arrest. In dat arrest verklaarde het HvJEU Richtlijn 2006/24/EG (dataretentie richtlijn) ongeldig, omdat een algemene bewaarplicht van gegevens zonder voldoende beperkingen disproportioneel is. Een dergelijke bewaarplicht maakt een inbreuk op het recht op eerbiediging van het privéleven en het recht op bescherming van persoonsgegevens en moet daarom tot het strikt noodzakelijke beperkt worden.
Na dit arrest is in Nederland de Wet bewaarplicht telecommunicatiegegevens (art. 13.2a; 13.2b en 13.4 Telecommunicatiewet), die de dataretentie richtlijn implementeerde, via een kort geding door de Voorzieningenrechter in Den Haag buiten werking gesteld. Diversen Europese landen hebben echter nog nationale regelgeving op grond waarvan telecomproviders gegevens moeten bewaren.
In het arrest van december 2016 gaat het HvJEU in op de vraag of dergelijke verplichtingen (na het Digital Rights Ireland) arrest eigenlijk wel toegestaan zijn. Dit naar aanleiding van vragen van de Zweedse en Britse rechter.
Geen algemene bewaarplicht
Volgens het HvJEU is een algemene en ongedifferentieerde bewaarplicht in strijd met artikel 15 van Richtlijn 2002/58/EG (e-privacyrichtlijn). Het geheel van gegevens over communicatie kan immers leiden tot zeer precieze conclusies over het privéleven van de personen van wie de gegevens zijn bewaard.
Daarom kan enkel de bestrijding van zware criminaliteit een dergelijke ernstige inbreuk op het recht op privacy rechtvaardigen. Er moet dan wel een verband zijn tussen de gegevens die bewaard moeten worden en het bestaan van een bedreiging van de openbare veiligheid. Bij een algemene ongedifferentieerde bewaarplicht worden gegevens bewaard van alle personen die gebruik maken van communicatiediensten. Hieronder zullen zich ook personen bevinden die op geen enkele wijze te maken hebben met criminele activiteiten. Daarmee gaat zo’n verplichting dus verder dan wat strikt noodzakelijk is voor het nagestreefde doel, en is derhalve niet toegestaan.
Opvallend hierbij is dat het HvJEU overweegt dat de kring van betrokkenen van wie gegevens worden bewaard onder meer kan worden afgebakend aan de hand van een geografisch criterium. Het bewaren van gegevens kan dan afgebakend worden tot “een of meer gebieden met een hoog risico op zware criminaliteit”. Betekent dit dat gegevens verzameld kunnen worden over gebruikers die woonachtig zijn in de Haagse Schilderswijk, maar niet wanneer zij in het Statenkwartier wonen? Dergelijk “geografisch profileren” leidt weer tot andere (ethische) vraagstukken.
Waarborgen
Vervolgens gaat het HvJEU in op de waarborgen die moeten worden getroffen bij het verkrijgen van toegang tot de gegevens door bevoegde nationale autoriteiten.
Volgens het HvJEU zijn onder meer de volgende waarborgen vereist:
- De toegang moet worden beperkt tot gegevens van personen die verdacht worden van betrokkenheid bij een ernstig misdrijf;
- In bijzondere gevallen mag ook op basis van objectieve criteria toegang worden verleend tot gegevens van andere personen indien dat nodig is voor de bescherming van vitale belangen zoals bedreiging van de nationale veiligheid en terrorisme;
- De toegang tot gegevens moet aan voorafgaande rechterlijke controle worden onderworpen, tenzij sprake is van bijzondere spoed;
- Bevoegde instanties waaraan toegang is verleend, moeten de betrokken personen daarvan op de hoogte stellen zodra dat gezien het opsporingsbelang mogelijk is;
- Er moeten doeltreffende maatregelen worden getroffen om de gegevens te beschermen tegen onrechtmatige toegang en misbruik, waaronder het bewaren van de gegevens op het grondgebied van de EU en het vernietigen van de gegevens na afloop van de bewaarperiode;
- Een onafhankelijke autoriteit moet toezien op de verwerking van persoonsgegevens.
En nu?
Het is nu aan de verwijzende rechters (in Zweden en Groot-Brittannië) om te beoordelen of de nationale wettelijke bewaarplichten aan de door het HvJEU uiteengezette eisen voldoen. De nationale rechters zullen dus uiteindelijk moeten beoordelen of de regelingen (i) niet neerkomen op een algemene ongedifferentieerde bewaarplicht en (ii) of bij het verkrijgen van toegang tot de gegevens voldoende waarborgen worden genomen. Ook andere lidstaten zullen moeten beoordelen of hun nationale regelingen voldoen.
In Nederland is de Wet bewaarplicht telecommunicatiegegevens reeds buiten werking gesteld. In reactie daarop is de regering met een wetsvoorstel gekomen om opnieuw een bewaarplicht te introduceren. Het is nu de vraag of het wetsvoorstel ook voldoet aan de door het HvJEU geformuleerde eisen. Wij denken dat dat niet het geval is, met name omdat het wetsvoorstel nog steeds voorziet in een algemene ongedifferentieerde bewaarplicht. Op grond van het wetsvoorstel moeten telecom aanbieders immers nog steeds in het algemeen gegevens bewaren, zonder dat is voorzien in enige vorm van afbakening of beperking van de kring van personen van wie gegevens worden bewaard. Telecom bedrijven zullen daarom gegevens moeten bewaren van al hun klanten, ongeacht of zij redelijkerwijs in verband kunnen worden gebracht met ernstige criminaliteit. Dat is in strijd met het Digital Rights Ireland en Tele2 Sverige arrest van het HvJEU.
Mc Fadden
Daarnaast is de vraag hoe de uitspraak zich verhoudt tot het eerdere Mc Fadden arrest. In Mc Fadden oordeelde het HvJEU dat een winkel die gratis wifi aanbiedt, verplicht mag worden om de toegang tot zijn netwerk te beveiligen via een wachtwoord om inbreuken op intellectuele eigendomsrechten te voorkomen. Volgens het HvJEU is een dergelijke maatregel echter alleen effectief als de gebruikers daarbij verplicht zijn hun identiteit op te geven om het wachtwoord te verkrijgen en dus niet langer anoniem kunnen handelen.
Het gekke is dat het HvJEU deze maatregel alleen afweegt tegen de rechten op vrijheid van ondernemerschap en vrijheid van informatie. Het HvJEU weegt dus het recht op eerbiediging van privéleven en de bescherming van persoonsgegevens niet mee. Had het HvJEU dat wel gedaan dan was zij vermoedelijk tot een ander oordeel gekomen. Het verzamelen van identificerende gegevens die zijn verstrekt in ruil voor een wifi wachtwoord zou immers neerkomen op een algemene ongedifferentieerde bewaarplicht. Een dergelijke plicht is volgens het HvJEU in Tele2 Sverige nu juist niet toegestaan, omdat deze een te vergaande inbreuk maakt op onder meer het recht op eerbiediging van het privéleven en de bescherming van persoonsgegevens.
Belang van grondrechten
In het Tele2 Sverige arrest onderstreept het HvJEU nogmaals het belang van de eerbiediging van het privéleven en de bescherming van persoonsgegevens, zelfs wanneer het gaat om de bestrijding van ernstige criminaliteit. Het is aan de nationale rechters en wetgevers om te bezien of nationale regelingen deze grondrechten voldoende in acht nemen.