flib 50 jaar
Gepubliceerd op: 5 augustus 2020

Exit Privacy Shield: Gevolgen van de Schrems II zaak voor doorgifte van persoonsgegevens in de Verenigde Staten

De Algemene Verordening Gegevensbescherming (AVG) garandeert een bepaald beschermingsniveau aan natuurlijke personen met betrekking tot de verwerking van hun persoonsgegevens in de Europese Economische Ruimte (EER). Derde landen vallen op zich niet onder de jurisdictie van de Europese Unie (EU). Om omzeiling van die waarborgen door verwerking van persoonsgegevens in derde landen te voorkomen, is in artikel 44 van de AVG bepaald dat persoonsgegevens die worden verwerkt of die zijn bestemd om na doorgifte aan een derde land of een internationale organisatie te worden verwerkt, slechts mogen worden doorgegeven indien de invoerder en de uitvoerder van de persoonsgegevens aan de voor doorgifte geldende regels hebben voldaan.

Europese Commissie

In de AVG wordt een doorgifte mogelijk gemaakt in het geval van een adequaatheidsbesluit van de Europese Commissie (EC), waarin de EC besluit dat een bepaald derde land een passend beschermingsniveau biedt voor de betrokkenen. Daarnaast kan doorgifte plaatsvinden onder gebruikmaking van de ‘Standard Contractual Clauses’,(SCC’s) of ‘Binding Corporate Rules’ (BCR’s). Als die instrumenten niet beschikbaar zijn, kan in beperkte mate worden teruggevallen op artikel 49 van de AVG, waarin onder andere is geregeld dat doorgifte kan plaatsvinden na uitdrukkelijke instemming van de betrokkene, noodzakelijkheid voor de uitvoering van de overeenkomst met de betrokkene of tussen partijen in het belang van de betrokkene, een vitaal belang van de betrokkene indien deze niet in staat is zijn toestemming te geven of noodzaak in het kader van een rechtsgeding.

Adequaatheidsbesluit

Een adequaatheidsbesluit is een gebruiksvriendelijke manier om doorgifte mogelijk te maken. Tussen de EU en de VS was een dergelijk adequaatheidsbesluit genomen genaamd Safe Harbour. In de Schrems i zaak is dat adequaatheidsbesluit ongeldig verklaard door het Europese Hof van Justitie (HvJ), (ECLI:EU:C:2015:650, C-362/14, r.o. 70-74). Door de EC is vervolgens een adequaatheidsbesluit genomen ter vervanging van Safe Harbour, genaamd Privacy Shield (2016/1250).

Op 16 juli 2020 heeft het HvJ ook ten aanzien van het Privacy Shield geoordeeld dat dit adequaatheidsbesluit ongeldig was in de Schrems ii zaak, C-311/18. Het recht in de VS, en met name ten aanzien van bepaalde onderdelen die maken dat veiligheidsdiensten van de VS toegang tot persoonsgegevens krijgen voor veiligheidsdoeleinden, biedt geen voldoende beschermingsniveau. Dit maakt per direct alle doorgifte van persoonsgegevens op grond van Privacy Shield onrechtmatig.

Hiermee is de VS als grote handelspartner van de EU in één keer op één lijn geplaatst met willekeurig elk ander derde land dat geen adequate bescherming van persoonsgegevens kan bieden. In verband met de grote gevolgen van deze beslissing heeft de European Data Protection Board (EDPB) op 23 juli 2020 een publicatie het licht doen zien, genaamd ‘Frequently Asked Questions on the judgment of the Court of Justice of the European Union in Case C-311/18 – Data Protection Commissioner v Facebook Ireland Ltd and Maximillian Schrems.’( FAQ EDPB).

Privacy Shield

In de FAQ EDPB is naast uitleg over de ongeldigheid van Privacy Shield en de directe werking daarvan, ook uitgelegd dat daarnaast door het HvJ in deze Schrems ii zaak over de SCC’s van de EC beslissing met nummer 2010/87/EC is geoordeeld dat die weliswaar geldig zijn, maar dat de uitvoerder en invoerder van de persoonsgegevens de verplichting hebben om na te gaan of in hun geval het beschermingsniveau voldoende is. De invoerder van de persoonsgegevens is verplicht om de uitvoerder van de persoonsgegevens te informeren in het geval hij niet in staat is om de SCC’s na te komen. In dat geval moet de uitvoerder van de persoonsgegevens de doorgifte staken.

Een zelfde toets moet worden gedaan door gebruikers van de BCR’s. Met enige realiteitszin kan men zeggen dat wanneer bij gebruik van SCC’s of BCR’s, men bij dezelfde leemten in de rechtsbescherming uitkomt als bij Privacy Shield, en daarmee het gebruik van SCC’s en BCR’s goed tegen het licht moet worden gehouden door de uitvoerder en de invoerder van persoonsgegevens.

In de FAQ EDPB geeft de EDPB aan na te denken over de welke aanvullende juridische, technische of organisatorische maatregelen bij SCC’s en BCR’s moeten worden getroffen in gevallen waarin de SCC’s en BCR’s op zichzelf geen voldoende beschermingsniveau kunnen bieden.

Daarmee blijven de in artikel 49 AVG genoemde mogelijkheden om bij ontstentenis van een adequaatheidsbesluit of passende waarborgen door middel van een SCC of BCR, persoonsgegevens door te geven over. Ook die zijn onderhevig aan beperkingen, zoals het gegeven dat het niet mag gaan om repetitieve en grootschalige afwijkingen. De EDPB heeft in haar Richtlijnen van 25 mei 2018 2/2018 betreffende de afwijkingen van artikel 49 van de AVG uitleg gegeven voor het gebruik daarvan.

Doorgifte persoonsgegevens

Bij doorgifte op grond van de toestemming van de betrokken moet deze instemming expliciet zijn, moet de instemming specifiek zijn voor de incidentele gegevensoverdracht of beperkte reeks overdrachten (wat betekent dat de gegevensuitvoerder ervoor moet zorgen dat specifieke toestemming wordt verkregen voordat de overdracht plaatsvindt, zelfs als dit gebeurt nadat de gegevens zijn verzameld), en de betrokken moet worden geïnformeerd, met name over de mogelijke risico’s van de overdracht. De betrokkene moeten dus ook worden geïnformeerd over de specifieke risico’s die voortvloeien uit het feit dat hun gegevens zullen zijn overgebracht naar een land dat geen afdoende bescherming biedt en dat niet afdoende waarborgen worden toegepast om de gegevens te beschermen.

Met betrekking tot overdrachten die nodig zijn voor de uitvoering van een contract tussen de betrokkene en de verwerkingsverantwoordelijke mag niet worden vergeten dat persoonlijke gegevens alleen mogen worden overgedragen wanneer de overdracht incidenteel is. Van geval tot geval moet worden bepaald of er gegevens zijn die zouden worden aangemerkt als “incidenteel” of “niet-incidenteel”. In ieder geval kan deze afwijking alleen worden ingeroepen wanneer de overdracht objectief noodzakelijk is voor de uitvoering van het contract.

Met betrekking tot overdrachten die nodig zijn om belangrijke redenen van algemeen belang herinnert de EDPB eraan dat het essentiële vereiste voor de toepasselijkheid van deze afwijking de vaststelling van een belangrijk algemeen belang is en niet de aard van de organisatie, en dat hoewel deze afwijking niet beperkt is tot incidentele gegevensoverdrachten, dit niet betekent dat op basis van het grote publieke belang op grote schaal en systematisch gegevens kunnen worden doorgestuurd. Integendeel, het principe moet worden gerespecteerd dat een
gegevensuitvoerder ervoor moet zorgen dat de overdracht aan de strikte noodzakelijkheidstest voldoet.

Met andere woorden, artikel 49 AVG kan slechts op beperkte schaal uitkomst bieden.

Het wachten is nu op de EDPB om met aanbevelingen te komen waar de praktijk mee verder kan. In de tussentijd is het zaak voor verwerkingsverantwoordelijken om te beargumenteren waarom de SCC’s of BCR’s die u heeft (of met grote snelheid nog gaat afsluiten) wel een gelijkwaardig beschermingsniveau bieden.

Artikelen door Jop Fellinger

Stuur ons een bericht

Voor verdere vragen kunt u het formulier hieronder gebruiken. Wij nemen dan zo spoedig mogelijk contact met u op.