Key takeaways
- Het Gerecht van de EU heeft de Europese Commissie veroordeeld wegens het schenden van de EU-gegevensbeschermingsregels.
- Het Gerecht bepaalde dat de Commissie het recht op privacy van burgers heeft geschonden door hun persoonlijke gegevens door te geven aan ontvangers in de VS.
- De uitspraak benadrukt dat zelfs EU-instellingen onderworpen zijn aan de GDPR-regels en aansprakelijk kunnen worden gesteld voor schendingen.
Het Gerecht van de EU heeft onlangs de Europese Commissie veroordeeld wegens het schenden van de EU-regels voor gegevensbescherming. Deze baanbrekende uitspraak, die voortkomt uit een rechtszaak die was aangespannen door een EU-burger die in Duitsland woont, kan mogelijk de weg vrijmaken voor collectieve rechtszaken in de regio.
Bevindingen en uitspraken
De rechtbank stelde vast dat de Commissie het recht op privacy van de burger heeft geschonden door zijn persoonlijke gegevens door te geven aan ontvangers in de VS. Op het moment van de doorgifte was het onduidelijk of de VS een passend beschermingsniveau bood voor de gegevens van EU-burgers. Deze bevinding komt overeen met een uitspraak uit 2020 van het Hof van Justitie van de Europese Unie (HvJEU) in de zaak ‘Schrems II’, waarin de Privacy Shield-regeling voor gegevensoverdracht ongeldig werd verklaard vanwege zorgen over mogelijke toegang door Amerikaanse veiligheids- en inlichtingendiensten.
De zaak tegen de EU-Commissie
In maart 2022, toen de gegevens van de burger werden overgedragen, waren er geen wettelijke mechanismen voor de overdracht van persoonsgegevens tussen de EU en de VS zonder passende waarborgen, zoals een standaardclausule voor gegevensbescherming. De Commissie kon het bestaan van dergelijke waarborgen niet aantonen. Dit verzuim om te voldoen aan de EU-wetgeving met betrekking tot gegevensoverdracht naar derde landen leidde ertoe dat de rechtbank de Commissie aansprakelijk achtte.
De beweringen van de eiser
De zaak ontstond in 2021 en 2022 toen de Duitse burger de door de Commissie beheerde website van de Conferentie over de toekomst van Europa bezocht. Hij registreerde zich voor het ‘GoGreen’-evenement via de authenticatiedienst EU Login van de Commissie, met behulp van zijn Facebook-account. De burger beweerde dat tijdens deze bezoeken zijn persoonsgegevens, waaronder zijn IP-adres en browserinformatie, werden doorgegeven aan Amazon Web Services (AWS) in de VS, dat opereert als het content delivery network Amazon CloudFront dat door de website van de Commissie wordt gebruikt.
De uitspraak van het Hof
Het HvJEU oordeelde dat de Commissie niet aansprakelijk was voor de gegevensoverdracht naar AWS, omdat in hun contract stond dat AWS ervoor moest zorgen dat de gegevens binnen Europa bleven. De Commissie werd echter wel verantwoordelijk gehouden voor de gegevens die werden doorgegeven aan Meta tijdens het registratieproces voor het ‘GoGreen’-evenement. Deze aansprakelijkheid vloeide voort uit de hyperlink ‘Aanmelden met Facebook’ op de EU-login webpagina, die volgens de rechtbank de voorwaarden creëerde voor de overdracht van het IP-adres van de burger aan Facebook.
Gevolgen en impact
De rechtbank kende 400 euro schadevergoeding toe aan de eiser voor immateriële schade veroorzaakt door de overdracht van zijn IP-adres naar de VS. Terwijl andere claims en verzoeken werden afgewezen, benadrukte de uitspraak de ernstige schending door de Commissie van een regel die bedoeld is om de rechten van individuen te beschermen.
Verwacht wordt dat deze baanbrekende zaak, ondanks het relatief kleine bedrag aan schadevergoeding, belangrijke gevolgen zal hebben. Het is de eerste keer dat er schadevergoeding wordt toegekend voor onrechtmatige doorgifte van gegevens, wat benadrukt dat zelfs EU-instellingen onderworpen zijn aan de GDPR-regelgeving.
Wil je toegang tot alle artikelen, geniet tijdelijk van onze promo en abonneer je hier!