Europees Hof van Justitie veegt Privacy Shield van tafel 

Op 16 juli 2020 deed het EU Hof van Justitie uitspraak in de zaak Max Schrems II. In deze zaak lag het adequaatheidsbesluit 2016/1250 van de Europese Commissie, het zogeheten Privacy Shield, onder vuur. Het Hof verklaart in zijn uitspraak het Privacy Shield ongeldig. De Standard Contractual Clauses  kunnen, mits voldaan aan bepaalde voorwaarden, geldig voortbestaan.

Passend Beschermingsniveau buiten EU

Wanneer persoonsgegevens worden doorgegeven naar een land buiten de Europese Economische Ruimte (EER) [27 lidstaten EU + Noorwegen, IJsland & Lichtenstein], kan dit enkel indien een passend beschermingsniveau gewaarborgd is.

De Europese Commissie is het orgaan dat het beschermingsniveau beoordeelt en gaat over tot de nodige adequaatheidsbesluiten t.a.v. van derde landen.

In het Privacy Shield, de meer gedetailleerde opvolger van het adequaatheidsbesluit 2000/520/EC, ook wel Safe Harbour genoemd, m.b.t. doorgifte naar de VS, werden afspraken gemaakt tussen de EU en de VS. Op grond van het Privacy Shield konden persoonsgegevens worden doorgegeven van de EER naar de VS, aan organisaties in de VS die zich zelf-certificeerden onder het Privacy Shield Framework. De Amerikaanse Federal Trade Commission functioneerde als toezichthoudende autoriteit op het vlak van naleving van de gegevensbeschermingsverplichtingen door de zelf-gecertificeerde organisaties.

Kopzorgen Schrems over grondrechten EU burgers

In de zaak Max Schrems II worden het Privacy Shield en het gebruik van standard contractual clauses (SCC’s) of in het Nederlands standaardbepalingen inzake gegevensbescherming, grondig onderzocht en dit in het licht van de surveillancepraktijken in de VS.

De zaak werd ingesteld door Max Schrems, een Oostenrijkse privacyactivist die in 2015 klacht indiende bij de Ierse Gegevensbeschermingsautoriteit. Hij betwistte het gebruik door Facebook van de SCC’s (daarover later meer) als grondslag voor de doorgifte van persoonsgegevens naar de VS. Schrems stelt dat de SCC’s geen adequaat beschermingsniveau bieden voor Europese burgers omdat de Amerikaanse wetgeving niet dezelfde waarborgen biedt op het vlak van bescherming van persoonsgegevens als de Europese wetgeving. Een grote zorg van Schrems was dat persoonsgegevens in de EU het risico lopen te worden geraadpleegd door de Amerikaanse regering en nadien te worden verwerkt op een manier die niet in overeenstemming is met de grondrechten van de EU. De prejudiciële vragen hadden in de eerste plaats betrekking op de geldigheid van de SCC’s, maar ook op het Privacy Shield.

Dit zorgde onmiddellijk voor heel wat ongerustheid bij organisaties die op basis van Privacy Shield gegevens naar de VS doorsturen. Zo had Schrems reeds eerder de voorganger van Privacy Shield, het Safe Harbour besluit, ten onder gebracht in de eerste Schrems zaak voor het Hof van Justitie.

Het Hof volgt Schrems gedeeltelijk

Privacy Shield: NO suit of armor around the world

Het Hof stelt dat de beperkingen op de bescherming van persoonsgegevens die voortvloeien uit de interne regeling van de VS inzake de toegang tot en het gebruik van persoonsgegevens door Amerikaanse overheidsinstanties, niet op een afdoende wijze zijn afgebakend. Er wordt m.a.w. niet voldaan aan de eisen die overeenkomen met wat men in het Unierecht het evenredigheidsbeginsel noemt, aangezien de surveillanceprogramma’s van de VS niet tot het strikt noodzakelijke zijn beperkt. Het Hof benadrukt tot slot dat personen wiens gegevens worden doorgegeven, niet over afdwingbare rechten en doeltreffende rechtsmiddelen beschikken tegenover de Amerikaanse autoriteiten. Om deze redenen verklaart het Hof het Privacy Shield ongeldig en beslist het dat persoonsgegevens niet meer mogen worden doorgegeven op deze grond.

SCC’s blijven overeind?

Gelet op de invalidatie van  , hebben Europese organisaties een andere grond nodig om persoonsgegevens te mogen doorgeven naar de VS. Het Hof kijkt in deze zaak dan ook naar de rechtmatigheid van een ander mechanisme dat kan worden gebruikt om persoonsgegevens door te geven, nl. de SCC’s.

De SCC’s zijn door de Europese Commissie goedgekeurde modelcontracten die kunnen worden afgesloten tussen Europese en Amerikaanse organisaties waarin de Amerikaanse organisaties zich ertoe verbinden om persoonsgegevens te verwerken op een manier die in overeenstemming is met de GDPR. De SCC’s blijven overeind, maar het Hof stelt dat het gebruik van SCC’s de verplichting met zich meebrengt om aan personen wiens persoonsgegevens worden doorgegeven een beschermingsniveau te bieden dat overeenkomt met een beschermingsniveau dat binnen de EU wordt gewaarborgd én dat bij de beoordeling van dit beschermingsniveau rekening moet worden gehouden met de relevante aspecten van het rechtsstelsel van dat land.

SCC’s case by case afweging

De SCC’s blijven dus geldig, maar de organisaties die erop vertrouwen zullen wel moeten nagaan of aan dit passend beschermingsniveau is voldaan. Wanneer dit niet het geval is, zullen organisaties moeten opteren voor een andere grond. Aangezien men rekening moet houden met de relevante aspecten van het rechtsstelsel van de VS, dient men dus de wetgeving die de surveillancepraktijken toelaat en mogelijk maakt, mee te nemen in de beoordeling, wat ertoe kan leiden dat de SCC’s door bepaalde organisaties niet zullen kunnen worden gebruikt voor doorgifte naar de VS.

Conclusie

Organisaties die zich beriepen op het Privacy Shield, dienen zo spoedig mogelijk een alternatief mechanisme te kiezen en in gebruik te nemen, zoals bijvoorbeeld de bindende bedrijfsvoorschriften of SCC’s (indien voldaan aan boven gestelde voorwaarden).

Tot slot willen we eraan herinneren dat in bepaalde gevallen beroep kan worden gedaan op de uitzonderingen die de GDPR voorziet i.v.m. gegevensdoorgiften naar landen buiten de EER, zoals een expliciete toestemming of de noodzakelijkheid voor de uitvoering van een overeenkomst.

Er zijn dus nog steeds gronden beschikbaar om doorgiften te doen naar de VS, maar de speciale status van de VS op basis van het Privacy Shield is weggevallen.

Heeft u vragen over de impact van deze beslissing op uw organisatie? Aarzel niet om ons te contacteren.


Projecten

Particulier – Recht om vergeten te worden in de media

Lees meer Arrow