EU-US Data Privacy Framework: redding of kwelling?
Eerder schreven wij al over de onderhandelingen voor een nieuw adequaatheidsbesluit (uitwisseling persoonsgegevens) tussen de EU en de VS en het advies van de “European Data Protection Board” (EDPB) over dit adequaatheidsbesluit. Hier betekent ‘adequaat’ een acceptabel niveau van bescherming van persoonsgegevens die naar de VS gaan. Op 10 juli 2023 heeft de Europese Commissie daartoe een nieuw adequaatheidsbesluit vastgesteld. Hierdoor kunnen er tussen de EU en de VS persoonsgegevens (‘personal data’) uitgewisseld worden op dat acceptabele niveau. Broodnodig, aangezien de doorgifte van persoonsgegevens naar de VS op basis van standaardbepalingen in contracten (Standard Contractual Clauses / SCC’s) geen waterdicht alternatief bleek. Officieel heet het “EU-US Data Privacy Framework” (afgekort: DPF) en zijn voorganger heette “EU-US Privacyshield”. In dit artikel leest u welke toevoegingen dit nieuwe besluit heeft en wat het betekent voor datadoorgifte naar de VS.
Kern DPF
De grootste wijzigingen zijn overgenomen uit het eerdere concept. Deze bestaan uit (i) extra waarborgen wat betreft de toegang van Amerikaanse overheidsinstanties tot de doorgegeven gegevens vanuit Europa. Daarnaast kunnen natuurlijke personen uit de EU nu gebruik kunnen maken van (ii) een verhaalmechanisme, bestaande uit 2 lagen. De eerste laag bestaat uit de mogelijkheid om een klacht bij de “Civil Liberties Protection Officer (CLPO) in te dienen als data niet op een noodzakelijke en proportionele manier zijn verwerkt voor de nationale veiligheid van de VS.
De tweede laag voorziet er in om tegen de beslissing van CLPO in beroep te gaan bij de “Data Protection Review Court (DPRC). Het CLPO als rechterlijke macht kent echter nog altijd de invloed van een overheidsfunctionaris uit de uitvoerende macht. Dat doet af aan artikel 47 (EU) Handvest. Denkt u even aan de scheiding van onze drie staatsmachten: de rechterlijke -, wetgevende – en uitvoerende macht (‘trias politica’ in juridisch jargon). Kortom, de CLPO kent geen volledige scheiding van de rechterlijke en uitvoerende macht maar vermenging. Maar voorheen was er geen CLPO zodat het nu meer biedt dan in het verleden het geval was.
Datadoorgifte naar VS weer mogelijk
De belangrijkste ontwikkeling voor het bedrijfsleven is dat datadoorgifte naar de VS weer zonder omslachtigheden mogelijk is. Dit is bepaald niet onnodig, aangezien trans-Atlantische datastromen goed zijn voor zo’n € 7,1 biljoen aan economische waarde. Omdat datadoorgifte naar de VS niet toegestaan was op basis van het eerdere adequaatheidsbesluit, waren bedrijven in de EU genoodzaakt terug te vallen op andere manieren om een passend beschermingsniveau van bescherming te bieden, zoals in de Standard Contractual Clauses (SCC’s).
Het grote bedrijf ‘Meta’, dat gebruikmaakte van de SCC’s voor datadoorgifte naar de VS, is eind mei gecorrigeerd door de European Data Protection Board (EDPB) wegens het gebruik ervan. Enkel gebruik van SCC’s bleek onvoldoende te zijn voor het bieden van een passend beschermingsniveau. Meta kreeg daarom een boete van 1,2 miljard euro. Hiermee was het voorlopige einde aangekondigd voor datadoorgifte naar de VS. Het Data Privacy Framework (DPF) biedt een nieuw, aangepast besluit waarmee datadoorgifte naar de VS veilig kan plaatsvinden, aldus de Europese Commissie.
Voorlopige redding met een uiteindelijke kwelling
Voor de korte termijn lijkt de DPF vooralsnog een redding. Datadoorgifte naar de VS is weer toegestaan op basis van een adequaatheidsbesluit en daarbij is een groot deel van het bedrijfsleven gebaat. Toch is het maar de vraag hoe lang het adequaatheidsbesluit stand zal houden. Privacy advocaat Maximilian Schrems heeft bekendgemaakt het nieuwe besluit voor te laten komen bij het Europese Hof van Justitie. Schrems maakte zich al eerder hard voor het ongeldig laten verklaren van het vorige adequaatheidsbesluit. Voor dit adequaatheidsbesluit ziet Schrems het niet veel rooskleuriger in. Sommige onderdelen in het nieuwe besluit geven de autoriteiten in de VS namelijk nog verdergaande bevoegdheden dan voorheen. Zo zijn voor ‘massasurveillance’ twee extra rechtvaardigingsgronden toegevoegd: klimaatverandering en internationale gezondheidscrisis. Voor een beschermingsniveau gelijk aan de AVG, zouden wetten binnen de VS zelf gewijzigd moeten worden.
Het wetgevingsproces omtrent privacy in de VS te is moeilijk wijzigen (politiek meerderheden behalen). De huidige regeling is gebaseerd op een besluit (of decreet) van de US president, maar niet op een wet. Het kan daarom door een nieuwe president snel en eenvoudig ongedaan gemaakt worden. De voorlopige redding die het nieuwe adequaatheidsbesluit nu biedt kan daarom in de nabije toekomst in een kwelling veranderen als het US Presidentieel besluit het ongedaan maakt.
Vragen?
Heeft u vragen over wat dit nieuwe adequaatheidsbesluit tussen de EU en de VS voor uw bedrijf betekent? Of wenst u advies? Contact dan een van onze advocaten via de mail, telefonisch of vul het contactformulier in voor een vrijblijvend eerste gesprek. Wij denken graag met u mee.