De kwestie van de overdrachten van persoonsgegevens buiten de Europese Economische Ruimte blijft niet alleen zeer actueel, maar ook zeer gevoelig. De beslissing van het Hof van Justitie van de Europese Unie op 8 januari 2025 illustreert dit perfect. De zaak betrof een Duitse burger tegen de Europese Commissie. Deze zaak (T-354/22) onderzoekt de rechtmatigheid van de overdrachten van persoonsgegevens naar derde landen door de Commissie en herinnert aan de verplichting van de Europese instellingen om een beschermingsniveau te garanderen dat voldoet aan de normen van de GDPR en de verordening 2018/1725.
1. De zaak in het kort. M. Bindl, nadat hij toegang had gekregen tot de website van de Conferentie over de Toekomst van Europa, ontdekte dat er verbindingen waren gemaakt met derden, waaronder Amazon Web Services (AWS) en Meta Platforms Inc. (Facebook), wat vragen opriep over mogelijke gegevensoverdrachten buiten de EU. Toen hij zich wilde inschrijven voor een evenement op deze site, gebruikte hij de optie voor authenticatie via Facebook (EU Login), wat leidde tot de overdracht van zijn IP-adres en andere informatie naar de servers van Meta, in de Verenigde Staten. M. Bindl, een Duitse burger met een sterke interesse in informatica en gegevensbescherming, vroeg om verduidelijking bij de Commissie, die traag reageerde. De zaak betrof drie punten: de annulering van de gegevensoverdrachten, de erkenning van een tekortkoming van de Commissie en een verzoek om schadevergoeding voor moreel verlies.
2. De juridische lessen. De Rechtbank wees de verzoeken om annulering en erkenning van een tekortkoming af, met de reden dat de betwiste overdrachten geen aanvechtbare handelingen waren in de zin van artikel 263 VWEU. Wat betreft de vraag van de aansprakelijkheid van de Commissie, oordeelde de rechtbank echter dat de overdracht van persoonsgegevens naar de Verenigde Staten inderdaad een schending was van artikel 46 van de GDPR, bij gebrek aan voldoende waarborgen. De Rechtbank veroordeelde de Europese Commissie daarom om M. Bindl een schadevergoeding van 400 euro te betalen voor het geleden nadeel.
Dit vonnis is gebaseerd op drie fundamentele elementen:
3. Impact en perspectieven. Dit arrest illustreert de strengheid van de rechterlijke controle op het gebied van gegevensbescherming en benadrukt de juridische risico’s die gepaard gaan met het gebruik van externe diensten voor de authenticatie van gebruikers. Het benadrukt ook de verantwoordelijkheid van de Europese instellingen bij het implementeren van online inlogsysteem en de noodzaak om garanties te voorzien die voldoen aan de vereisten van de GDPR.
Dit arrest vormt een belangrijk precedent, met name voor publieke entiteiten die Amerikaanse diensten gebruiken die gegevensoverdrachten buiten de EU met zich meebrengen. Het herinnert eraan dat de aanwezigheid van een eenvoudige hyperlink naar een externe dienst al voldoende kan zijn om de aansprakelijkheid van een instelling in het geval van een niet-conforme gegevensoverdracht in te roepen. Dit toont ook aan dat onze instellingen niet vrijgesteld zijn van de regels waaraan zij zelf hebben bijgedragen; naleving en juridische strengheid zijn vereist, ook binnen de hogere kringen van onze democratische instellingen.
Het blijft op dit moment een uitdaging om gegevens conform de GDPR buiten de Europese Economische Ruimte over te dragen. In dit verband wordt het recente initiatief van de CNIL geprezen, die een gids over de impactanalyse van gegevensoverdrachten heeft gepubliceerd, bedoeld om organisaties die dergelijke overdrachten uitvoeren te ondersteunen.