Het Europese Hof Van Justitie heeft op 30 mei 2006 het besluit van de Raad betreffende de sluiting van een overeenkomst tussen de Europese Gemeenschap en de Verenigde Staten inzake de verwerking en overdracht van persoonsgegevens van vliegtuigpassagiers en de beschikking van de Commissie betreffende de passende bescherming van die gegevens nietig verklaard.
Het Hof oordeelde dat de beschikking van de Commissie waarbij wordt vastgesteld dat de Verenigde Staten een passende bescherming bieden voor die gegevens niet op een juiste rechtsgrondslag was gebaseerd. Ook oordeelde het Hof dat het besluit van de Raad tot goedkeuring van de sluiting van de overeenkomst inzake de overdracht van die gegevens aan de Verenigde Staten niet op een juiste rechtsgrondslag was gebaseerd.
Achtergrond
Na de terroristische aanslagen van 11 september 2001 hebben de Verenigde Staten een wettelijke regeling vastgesteld volgens welke luchtvaartmaatschappijen die verbindingen naar of vanuit de Verenigde Staten verzorgen of die over hun grondgebied vliegen, de Amerikaanse autoriteiten elektronische toegang moeten verlenen tot de gegevens in hun boekings- en vertrekcontrolesystemen, genaamd ‘Passenger Name Records’ (PNR).
Vervolgens heeft de Europese Commissie onderhandelingen gevoerd met de Amerikaanse autoriteiten. Na afloop van die onderhandelingen stelde de Commissie op 14 mei 2004 een beschikking vast waarin zij vaststelde dat het Bureau voor douane en grensbescherming van de Verenigde Staten (United States Bureau of Customs and Border Protection, CBP) een passend beschermingsniveau biedt voor PNR-gegevens die vanuit de Gemeenschap worden doorgegeven. Op 17 mei 2004 stelde de Raad een besluit vast tot goedkeuring van de sluiting van een overeenkomst tussen de Europese Gemeenschap en de Verenigde Staten inzake de verwerking en overdracht van PNR-gegevens door op het grondgebied van de lidstaten van de Gemeenschap gevestigde luchtvaartmaatschappijen aan het CBP. Die overeenkomst is op 28 mei 2004 te Washington ondertekend en is op die dag in werking getreden.
Het Europees Parlement heeft het Hof van Justitie van de Europese Gemeenschappen verzocht om het besluit van de Raad (zaak C-317/04) en de beschikking van de Commissie (zaak C-318/04) nietig te verklaren. Het Parlement stelt met name dat de beschikking ultra vires is gegeven, dat artikel 95 EG niet de juiste rechtsgrondslag is voor het besluit tot goedkeuring van de sluiting van de overeenkomst, en in beide gevallen schending van de grondrechten.
De Europese toezichthouder voor gegevensbescherming heeft bij het Hof geïntervenieerd ter ondersteuning van de conclusies van het Parlement in beide zaken.
Oordeel van het Hof over de beschikking van de Commissie
Het Hof onderzoekt eerst of de Commissie de beschikking rechtsgeldig kon vaststellen op grond van Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (verder: de richtlijn). In dat verband overweegt het Hof dat de richtlijn volgens artikel 3, lid 2, niet van toepassing is op de verwerking van persoonsgegevens die met het oog op de uitoefening van niet binnen de werkingssfeer van het gemeenschapsrecht vallende activiteiten geschiedt, en in ieder geval verwerkingen die betrekking hebben op de openbare veiligheid, defensie, de veiligheid van de staat en de activiteiten van de staat op strafrechtelijk gebied.
Uit de beschikking blijkt dat de vereisten inzake de doorgifte van gegevens gebaseerd zijn op de Amerikaanse wetgeving betreffende onder meer een grotere veiligheid, dat de Gemeenschap de Verenigde Staten ten volle steunt in de strijd tegen het terrorisme, en dat de PNR-gegevens uitsluitend zullen worden gebruikt ter voorkoming en bestrijding van terrorisme en aanverwante misdrijven, en andere zware misdrijven, waaronder georganiseerde misdaad. De doorgifte van de PNR-gegevens aan het CBP is derhalve een verwerking die betrekking heeft op de openbare veiligheid en de activiteiten van de staat op strafrechtelijk gebied, aldus het Hof.
Hoewel de PNR-gegevens aanvankelijk door luchtvaartmaatschappijen worden verzameld in het kader van een onder het gemeenschapsrecht vallende activiteit, namelijk de verkoop van een vliegticket dat recht geeft op een dienstverlening, is de in de beschikking bedoelde gegevensverwerking van geheel andere aard, zo overweegt het Hof. Deze beschikking ziet namelijk niet op een verwerking die noodzakelijk is voor een dienstverrichting, maar op een verwerking die noodzakelijk wordt geacht voor het waarborgen van de openbare veiligheid en voor de wetshandhaving.
Het feit dat de PNR-gegevens door particuliere marktdeelnemers voor commerciële doeleinden zijn verzameld en het deze laatste zijn die ze doorgeven naar een derde land, belet naar het oordeel van het Hof niet dat deze doorgifte wordt beschouwd als een verwerking van gegevens die buiten de werkingssfeer van de richtlijn valt. Deze doorgifte geschiedt immers binnen een door de overheid ingesteld kader dat betrekking heeft op de openbare veiligheid, zo stelt het Hof.
Het Hof concludeert dat de beschikking niet binnen de werkingssfeer van de richtlijn valt, aangezien zij betrekking heeft op een verwerking van persoonsgegevens die daarvan is uitgesloten. Derhalve verklaart het Hof de beschikking nietig.
Oordeel van het Hof over het besluit van de Raad
Het Hof stelt vast dat artikel 95 EG, gelezen in samenhang met artikel 25 van de richtlijn, geen grondslag kan vormen voor de bevoegdheid van de Gemeenschap om de betrokken overeenkomst met de Verenigde Staten te sluiten. Deze overeenkomst betreft namelijk dezelfde doorgifte van gegevens als de beschikking en dus een verwerking van gegevens die buiten de werkingssfeer van de richtlijn valt. Derhalve verklaart het Hof het besluit tot goedkeuring van de sluiting van de overeenkomst nietig.
Bronnen
Uitspraak HvJ EU 30 mei 2006 (passagiersgegevens)