Er vindt in Nederland een debat plaats over het EU-Oekraïne verdrag. Ik schreef eerder over het verdrag dat het hervorming van auteursrecht belemmert en zichzelf boven grondrechten stelt. Vandaag deel 3, het EU-Oekraïne verdrag geeft onze privacy minder bescherming dan het Handvest van de grondrechten van de Europese Unie.
Het EU-Oekraïne verdrag staat transfers van persoonlijke gegevens naar Oekraïne toe. Dit kan onder voorwaarden die lager zijn dan geformuleerd door het Hof van Justitie van de EU (HvJEU) in de Safe Harbour beslissing. Hierdoor is het EU-Oekraïne verdrag niet verenigbaar met het Handvest van de grondrechten van de Europese Unie.
Hoofdstuk 6, artikel 129 Gegevensverwerking luidt:
"1. De partijen staan verleners van financiële diensten van de andere partij toe gegevens in elektronische of in andere vorm met het oog op gegevensverwerking van en naar hun grondgebied te verzenden, wanneer de verwerking van deze gegevens noodzakelijk is in het kader van de normale transacties van de betrokken verleners van financiële diensten.
2. Elk van beide partijen neemt passende maatregelen ter bescherming van de privacy en de fundamentele rechten en vrijheden van natuurlijke personen, in het bijzonder met betrekking tot de overdracht van persoonsgegevens."
Paragraaf 1 staat transfers van persoonlijke gegevens toe. De bescherming in paragraaf 2 ("passende maatregelen") kan lager uitpakken dan in de HvJEU Safe Harbour beslissing, omdat supranationale arbiters "passende maatregelen" niet in het licht van het Handvest van de grondrechten van de Europese Unie hoeven te lezen, hetgeen het HvJEU wel doet.
Oekraïne zou onze persoonlijke gegevens een lagere bescherming kunnen geven dan de EU doet. Dit is niet verenigbaar met de HvJEU
Safe Harbour beslissing paragraaf 74:
"(...) those means must nevertheless prove, in practice, effective in order to ensure protection essentially equivalent to that guaranteed within the European Union". (nadruk toegevoegd)
Er kan hier een conflict over ontstaan. De ultieme maatregel die de EU kan nemen om onze privacy te beschermen is grensoverschrijdende transfers van data niet toe te staan of op te schorten. Indien dit gebeurt op grond van de standaard zoals geformuleerd in de HvJEU Safe Harbour beslissing kan Oekraïne zeggen: sorry, maar dit is niet wat we in het verdrag hebben afgesproken; in het verdrag staat "passende maatregelen", en daar voldoen we aan; de EU leest meer in "passende maatregelen" dan afgesproken; we houden ons aan het verdrag; door transfers op te schorten schendt de EU hoofdstuk 6 artikel 129 van het verdrag.
Supranationale arbiters zouden Oekraïne daar gelijk in kunnen geven.
De algemene uitzondering in artikel 141 helpt dan niet meer, omdat onder dit
artikel schending van hoofdstuk 6 niet toegestaan is. En hiermee zou de EU het ultieme middel om onze privacy te beschermen, opschorten van grensoverschrijdende transfers, kwijt raken. [1]
Het EU-Oekraïne verdrag geeft onze privacy minder bescherming dan het Handvest van de grondrechten van de Europese Unie. Dit is in strijd met de HvJEU Safe Harbour beslissing.
Zie ook: deel 1, deel 2, deel 4.
[1] De tekst bevat een tweede privacy standaard die mogelijk onvoldoende zekerheid biedt, artikel 139. Op het eerste gezicht ziet "volledig in overeenstemming moet zijn met de strengste internationale normen" er goed uit. Maar supranationale arbiters kunnen de EU als een eenheid zien, en EU recht dus niet als een internationale norm. De strengste internationale normen kunnen dan lager liggen dan EU recht.