Privacy Shield ongeldig verklaard door Hof van Justitie

Op 16 juli 2020 heeft het Hof van Justitie van de Europese Unie het EU-VS Privacy Shield ongeldig verklaard. De uitspraak vormt een keerpunt in de manier waarop internationale doorgifte van persoonsgegevens naar de VS worden uitgevoerd en roept in de praktijk veel vragen op. Bijvoorbeeld of doorgifte naar de VS überhaupt nog mogelijk is, en zo ja, onder welke voorwaarden? Daarnaast rijst de vraag welke impact de beslissing van het Hof op de huidige praktijk heeft?

Algemeen: doorgifte naar een derde land

In de Algemene verordening gegevensbescherming (AVG) staat opgenomen dat de doorgifte van persoonsgegevens naar een derde land in beginsel slechts plaats kan vinden als het derde land een passend beschermingsniveau waarborgt. In overeenstemming met artikel 45 AVG kan de Europese Commissie vaststellen dat een derde land op basis van zijn nationale wetgeving of internationale toezeggingen een passend beschermingsniveau waarborgt. Men spreekt kortweg over een zogenaamd ‘’adequaatheidsbesluit’’. Als de Commissie geen adequaatheidsbesluit heeft genomen, mag de doorgifte alleen worden uitgevoerd als de in Europa gevestigde gegevensexporteur passende waarborgen biedt die met name kunnen voortvloeien uit de door de Commissie vastgestelde standaardbepalingen over gegevensbescherming, en als de betrokkenen beschikken over afdwingbare rechten en doeltreffende rechtsmiddelen.

Aanloop naar de beslissing

Schrems I

Onder de voorloper van de AVG, richtlijn 95/46/EG was sprake van eenzelfde soort stelsel. Volgens artikel 25 van deze richtlijn was doorgifte naar derde landen slechts toegestaan als dat land een passend beschermingsniveau waarborgde. De Commissie had de mogelijkheid te besluiten of een derde land een passend beschermingsniveau waarborgde, zodat het voor bedrijven duidelijk was dat zij persoonsgegevens mochten doorgeven naar dit land.    

De Commissie besloot op 26 juli 2000 dat er sprake is van een passend beschermingsniveau zodra een organisatie in de VS in lijn met de door de Commissie opgestelde richtsnoeren (Safe Harbor) handelt. Of een bedrijf de richtsnoeren ook echt opvolgde werd niet gecontroleerd. Een organisatie oordeelde zelf of zij volgens de richtsnoeren handelde.

Facebook (USA) gaf aan in lijn met de richtsnoeren te handelen en een vestiging van Facebook (Ierland) stuurde vervolgens persoonsgegevens van leden door naar Amerika. Privacy activist Maximillian Schrems vond dat ongeacht het adequaatheidsbesluit van de Commissie Safe Harbor geen adequate bescherming bood. Nadat zijn klacht door de DPC (de Ierse Autoriteit Persoonsgegevens) was afgewezen kwam hij uit bij het Hof van Justitie. Het Hof oordeelde dat Safe Harbor inderdaad onvoldoende waarborgen bood en daarom ongeldig waren.

Schrems II

Onder de AVG heeft de Commissie ook geen adequaatheidsbesluit genomen voor de VS, maar opnieuw een aparte regeling opgesteld (het EU-VS Privacy Shield). In deze regeling zijn verschillende privacy beginselen opgenomen die vergelijkbaar zijn met de verwerkingsbeginselen uit de AVG, waar de aangesloten organisaties zichzelf aan committeren. Maximilian vond ook van het Privacy Shield dat deze niet voldoende waarborgen bood om zijn persoonsgegevens (voldoende) te beschermen en uiteindelijk belandt zijn zaak wederom bij het Hof van Justitie.

Het Hof komt tot dit oordeel omdat zij van mening is dat de toegang van de Amerikaanse inlichtingen- en veiligheidsdiensten op grond van de Amerikaanse wetgeving niet beperkt is tot strikt noodzakelijke gegevens, wat de AVG wel vereist. Daarnaast ontbreekt het Europese burgers aan afdoende en effectieve rechtsbescherming. Het Hof stelt verder dat het ombudsman-mechanisme (de mogelijkheid voor betrokkenen om een vraag te stellen of klacht in te dienen met betrekking tot de verwerking van hun persoonsgegevens in de VS) onvoldoende waarborgen biedt wanneer Europese burgers een klacht hebben over de verwerking van hun persoonsgegevens in de VS. Het ombudsman-mechanische biedt de burgers bijvoorbeeld geen mogelijkheid om in beroep te gaan bij een orgaan dat waarborgen biedt die het Unierecht vereist. Vanwege al deze redenen verklaart het Hof het EU-VS Privacy Shield ongeldig.

Standaard contractuele clausules c.q. modelcontracten

Sinds Schrems II staat niet meer vast dat bedrijven die onder het Privacy Shield gecertificeerd zijn een ‘passend niveau’ van bescherming van de persoonsgegevens bieden. Doorgifte naar die bedrijven is onrechtmatig, tenzij de gegevensexporteur in Europa een ander passend instrument hanteert om persoonsgegevens te beschermen. Modelcontractbepalingen voor doorgifte van persoonsgegevens die zijn goedgekeurd door de Commissie zijn volgens het Hof nog wel geldig.

Toch mag een gegevensexporteur niet zonder meer persoonsgegevens doorgeven aan organisaties in de VS als er modelcontractbepalingen zijn gesloten. Om de modelcontracten te kunnen hanteren moet de gegevensexporteur oordelen of het beschermingsniveau door de ontvangende partij in acht wordt genomen. Als dat niet het geval is moet de doorgifte alsnog gestaakt worden of de bevoegde toezichthoudende autoriteit hiervan op de hoogte stellen. Een belangrijke vraag hierbij is hoe ver de verplichting van de exporteur precies strekt?

Volgens de European Data Protection Board (EDPB) moet de exporteur – als het beschermingsniveau in het derde land niet wordt gewaarborgd – overwegen of naast de modelcontractbepalingen aanvullende maatregelen noodzakelijk zijn. Hoewel de route van gegevensuitwisseling via een modelcontract overeind blijft, wordt het in de praktijk toch lastig om dit instrument toe te passen. Dit vanwege de rol van de Amerikaanse veiligheidsdiensten en het ontbreken van voldoende bescherming. De modelcontracten kunnen namelijk alleen een solide basis bieden als het door de AVG gewaarborgde beschermingsniveau niet wordt ondermijnd.

Stappenplan:

Welke acties moet u direct ondernemen ingeval van doorgifte op basis van Privacy Shield?

1. Doorgifte op basis van het Privacy Shield stoppen;
2. Inventariseer of u zich kunt beroepen op een uitzondering of op een ander instrument uit de AVG;
3. Inventariseer of u (samen met de Amerikaanse wederpartij) het vereiste beschermingsniveau kunt waarborgen;
4. Sluit een modelcontract af met de Amerikaanse wederpartij.

Welke acties moet u direct ondernemen ingeval van doorgifte op basis van een modelcontract?

1. Inventariseer of u (samen met de Amerikaanse wederpartij) het vereiste beschermingsniveau kunt waarborgen;
2. Bij een ontkennend  antwoord op stap 1,  moet u doorgifte op basis van het modelcontract stoppen.

Het Schrems II arrest brengt dus niet met zich mee dat de doorgifte naar de VS helemaal niet meer mogelijk is. U kunt zich mogelijk beroepen op één van de uitzonderingen van artikel 49 AVG of op een ander instrument zoals binding corporate rules, gedragscodes of certificeringen.

Onze privacy specialisten kunnen u bijstaan met het doorlopen van het stappenplan.

Vraag nu een vrijblijvend adviesgesprek met onze privacy specialisten aan: