Het Hof van Justitie van de EU heeft op 21 december 2016 bepaald dat de EU-lidstaten de aanbieders van elektronische communicatiediensten geen algemene verplichting tot bewaring van gegevens kunnen opleggen.
Hieronder volgt een samenvatting van het arrest HvJ EU in de gevoegde zaken C-203/15, Tele2 Sverige AB/ Post-och telestyrelsen, en C-698/15, Secretary of State for the Home Department/Tom Watson e.a.. De integrale tekst van het arrest kan onderaan dit bericht worden gedownload.
Achtergrond
In zijn arrest Digital Rights Ireland van 8 april 2014 (Digital Rights Ireland en Seitlinger e.a., gevoegde zaken C-293/12 en C-594/12) heeft het Hof van Justitie de richtlijn betreffende bewaring van gegevens (Richtlijn 2006/24/EG), Pb 2006, L 105, blz. 54) ongeldig verklaard. Het Hof oordeelde dat de ingreep die de bij deze richtlijn opgelegde algemene verplichting tot bewaring van de verkeersgegevens en van de locatiegegevens in de grondrechten van eerbiediging van het privéleven en bescherming van de persoonsgegevens meebrengt, niet tot het strikt noodzakelijke was beperkt.
Na dit arrest zijn bij het Hof twee zaken aanhangig gemaakt over de, in Zweden en in het Verenigd Koninkrijk, aan de aanbieders van elektronische communicatiediensten opgelegde algemene verplichting tot bewaring van de gegevens betreffende deze communicaties, welke bewaring door de ongeldig verklaarde richtlijn was voorgeschreven.
Feiten
De dag na de uitspraak van het arrest Digital Rights Ireland heeft het telecommunicatiebedrijf Tele2 Sverige, de Zweedse toezichthoudende autoriteit voor post en telecommunicatie, officieel laten weten dat het had beslist de gegevens niet meer te bewaren en van plan was, de tot dan toe bewaarde gegevens te vernietigen (zaak C-203/15). Het Zweedse recht verplicht de aanbieders van elektronisch communicatiediensten alle verkeersgegevens en locatiegegevens van alle abonnees en geregistreerde gebruikers betreffende alle elektronische communicatiemiddelen stelselmatig en voortdurend te bewaren en voorziet niet in enige uitzondering.
In zaak C-698/15 hebben Tom Watson, Peter Brice en Geoffrey Lewis beroep ingesteld tegen de Britse regeling betreffende de bewaring van gegevens, die de Minister van Binnenlandse Zaken toestaat de openbare telecommunicatiebedrijven te verplichten, alle gegevens betreffende communicaties maximaal twaalf maanden te bewaren, met dien verstande dat bewaring van de inhoud van deze communicaties is uitgesloten.
Vraag
De Kammarrätt i Stockholm (bestuursrechter in tweede aanleg Stockholm, Zweden) en de Court of Appeal (England and Wales, Civil Division: rechter in tweede aanleg in burgerlijke zaken, Engeland en Wales, Verenigd Koninkrijk) hebben zich tot het Hof gewend met de vraag of nationale regelingen die de aanbieders van elektronische communicatiediensten een algemene verplichting tot bewaring van de gegevens opleggen en de bevoegde nationale autoriteiten toegang tot de bewaarde gegevens verlenen zonder met name te bepalen dat die toegang alleen wordt verleend ter bestrijding van zware criminaliteit en is onderworpen aan voorafgaand toezicht door een rechterlijke instantie of door een onafhankelijke bestuurlijke autoriteit, verenigbaar zijn met het Unierecht (in het onderhavige geval de richtlijn ‘privacy en elektronische communicatie’, gelezen tegen de achtergrond van het Handvest van de grondrechten van de Europese Unie).
Kernelementen in het oordeel van het Hof
In zijn op 21 december 2016 gewezen arrest antwoordt het Hof dat het Unierecht zich verzet tegen een nationale regeling die voorziet in algemene en ongedifferentieerde bewaring van de gegevens.
Het Hof bevestigt eerst dat de betrokken nationale maatregelen binnen de werkingssfeer van de richtlijn vallen. Vervolgens stelt het Hof vast dat deze richtlijn de lidstaten weliswaar toestaat, de draagwijdte van de principeverplichting tot waarborging van de vertrouwelijkheid van de communicaties en van de daarmee verband houdende verkeersgegevens te beperken, maar niet kan rechtvaardigen dat de uitzondering op deze principeverplichting en, in het bijzonder, op het verbod om deze gegevens op te slaan de regel wordt.
Verder brengt het Hof zijn vaste rechtspraak in herinnering volgens welke de bescherming van het grondrecht op eerbiediging van het privéleven vereist dat de uitzonderingen op de bescherming van de persoonsgegevens binnen de grenzen van het strikt noodzakelijke blijven. Het Hof past deze rechtspraak toe op de regels betreffende de bewaring van de gegevens en op die betreffende de toegang tot de bewaarde gegevens.
Met betrekking tot de bewaring stelt het Hof vast dat uit de bewaarde gegevens, in hun geheel beschouwd, zeer precieze conclusies kunnen worden getrokken over het privéleven van de personen van wie de gegevens zijn bewaard. De ingreep in het privéleven die voortvloeit uit een nationale regeling die voorziet in de bewaring van de verkeersgegevens en van de locatiegegevens, moet dus als bijzonder ernstig worden beschouwd. De omstandigheid dat de gegevens worden bewaard zonder dat de gebruikers van de elektronisch communicatiediensten daarover worden ingelicht, kan bij de betrokken personen het gevoel opwekken dat hun privéleven constant in de gaten wordt gehouden. Bijgevolg kan alleen de bestrijding van ernstige criminaliteit een dergelijke ingreep rechtvaardigen.
Het Hof wijst erop dat een regeling die voorziet in algemene en ongedifferentieerde bewaring van de gegevens, geen verband eist tussen de gegevens die moeten worden bewaard, en een bedreiging van de openbare veiligheid, en de bewaring met name niet beperkt tot gegevens die betrekking hebben op een bepaalde periode en/of een bepaald geografisch gebied en/of een kring van personen die op een of andere wijze betrokken kunnen zijn bij een ernstig strafbaar feit. Een dergelijke nationale regeling gaat dus verder dan strikt noodzakelijk is, en kan niet worden beschouwd als een regeling die in een democratische samenleving gerechtvaardigd is, zoals is vereist in de richtlijn, gelezen tegen de achtergrond van het Handvest.
Het Hof legt uit dat de richtlijn zich niet verzet tegen een nationale regeling die in gerichte bewaring van de gegevens voorziet ter bestrijding van zware criminaliteit, op voorwaarde dat die bewaring, wat de categorieën van te bewaren gegevens, de betrokken communicatiemiddelen, de betrokken personen en duur van de bewaring betreft, tot het strikt noodzakelijke wordt beperkt. Volgens het Hof moet elke daartoe strekkende nationale regeling duidelijk en nauwkeurig zijn en voldoende garanties bevatten dat de persoonsgegevens worden beschermd tegen het risico van misbruik. Zij moet aangeven, in welke omstandigheden en onder welke voorwaarden een maatregel tot bewaring van gegevens preventief kan worden genomen, om te waarborgen dat een dergelijke maatregel in de praktijk daadwerkelijk tot het strikt noodzakelijke wordt beperkt. Een dergelijke regeling moet met name worden gebaseerd op objectieve elementen waarmee kan worden gemikt op de personen wier gegevens een verband met handelingen van zware criminaliteit kunnen hebben, waarmee kan worden bijgedragen tot de bestrijding van zware criminaliteit of waarmee een ernstig risico voor de openbare veiligheid kan worden voorkomen.
Wat de toegang van de bevoegde nationale autoriteiten tot de bewaarde gegevens betreft, bevestigt het Hof dat de betrokken nationale regeling zich niet ertoe mag beperken, te eisen dat toegang alleen wordt verleend voor een van de in de richtlijn genoemde doelstellingen, zelfs indien dat de bestrijding van zware criminaliteit zou zijn, maar ook de materiële en procedurele voorwaarden voor de toegang van de bevoegde nationale autoriteiten tot de bewaarde gegevens moet bepalen. Deze regeling moet aan de hand van objectieve criteria bepalen, in welke omstandigheden en onder welke voorwaarden aan de bevoegde nationale autoriteiten toegang tot de gegevens moet worden verleend.
In beginsel kan voor het doel van bestrijding van criminaliteit slechts toegang worden verleend tot de gegevens van personen die ervan worden verdacht een ernstig misdrijf te plannen, te plegen of te hebben gepleegd of op de een of andere wijze betrokken te zijn bij een dergelijk misdrijf. In bijzondere situaties, zoals die waarin vitale belangen van de nationale veiligheid, de landsverdediging of de openbare veiligheid door terroristische activiteiten worden bedreigd, zou echter ook toegang tot de gegevens van andere personen kunnen worden verleend, wanneer op grond van objectieve elementen kan worden geoordeeld dat deze gegevens in het concrete geval een daadwerkelijke bijdrage tot de bestrijding van dergelijke activiteiten zouden kunnen leveren.
Voorts is het Hof van oordeel dat het van wezenlijk belang is dat de toegang tot de bewaarde gegevens, behalve in gevallen van spoedeisendheid, wordt onderworpen aan voorafgaand toezicht door een rechterlijke instantie of door een onafhankelijke entiteit. Verder moeten de bevoegde nationale autoriteiten waaraan toegang tot de bewaarde gegevens is verleend, de betrokken personen daarvan op de hoogte brengen.
Gelet op de hoeveelheid bewaarde gegevens, op het gevoelige karakter van deze gegevens en op het risico van onrechtmatige toegang tot deze gegevens, moet de nationale regeling bepalen dat de gegevens op het grondgebied van de Unie worden bewaard en na afloop van de bewaarperiode onherstelbaar worden vernietigd.
Bronnen
Persbericht Hof van Justitie van de Europese Unie, 21 december 2016.