Modelcontracten onder vuur

19 oktober 2017

Vergrootglas

Na de Safe Harbour nu ook de modelcontracten hun leven niet zeker   

Belangrijk nieuws voor elke ondernemer die (persoons)gegevens uitwisselt met bedrijven die buiten de Europese Unie gevestigd zijn, gebruikmakend van modelcontracten. Naast al het nieuws rond de Algemene Verordening Gegevensbescherming, waarvan de inwerktredingsdatum (25 mei 2018) met rasse schreden nadert, is er meer te melden op het gebied van privacy.

Op dinsdag 3 oktober jl. heeft het Ierse Hooggerechtshof aan het Europese Hof van Justitie (hierna ‘HvJEU’) gevraagd om te beslissen of het bedrijven mogelijk blijft om persoonsgegevens uit te wisselen tussen de Europese Unie en landen daarbuiten, gebruikmakend van zogenaamde modelcontracten. De beslissing op deze vraag zal invloed hebben op alle bedrijven die persoonsgegevens met landen buiten de Europese Unie uitwisselen, of van plan zijn dit te gaan doen.

Zoals u wellicht bekend, heef het HvJEU in het Schrems-arrest de Safe Harbour beschikking ongeldig verklaard. Nadat de Safe Harbour agreement ongeldig was verklaard, hebben veel bedrijven gekozen voor het gebruik van modelcontracten om de doorgifte van persoonsgegevens naar landen buiten de Europese Unie mogelijk te maken.

Modelcontracten zijn contracten die zijn goedgekeurd door de Europese Commissie om de privacy van de personen van wie de persoonsgegevens worden getransporteerd naar landen buiten de Europese Unie te garanderen. Deze modelcontracten zijn te vinden op de site van de Europese Commissie en moeten in ongewijzigde vorm door een partij binnen en een partij buiten de Europese Unie, die van plan zijn persoonsgegevens met elkaar uit te wisselen, te worden ondertekend. Zodra beide partijen een dergelijk modelcontract hebben ondertekend, bestaat er tussen deze partijen een vereiste wettelijke grondslag om persoonsgegevens uit te wisselen. Met andere woorden, na het ondertekenen van een modelcontract is het voor de bedrijven die dit contract hebben ondertekend  toegestaan persoonsgegevens uit te wisselen. Dit ondanks het feit dat één van de twee bedrijven zich buiten de Europese Unie bevindt.

Nadat Schrems zich had gericht op de Safe Harbour agreement, zijn nu dus ook deze modelcontracten hun leven niet zeker door toedoen van Schrems. De klacht die Schrems indiende bij de Ierse privacywaakhond had als doel om te bewerkstelligen dat deze Ierse privacywaakhond verklaarde dat de modelcontracten die Facebook gebruikt om persoonsgegevens uit te wisselen met haar hoofdvestiging in Amerika onvoldoende beveiligd kunnen worden omdat Facebook niet kan voorkomen dat, ondanks het gebruik van de modelcontracten, bijvoorbeeld de NSA dit dataverkeer doorzoekt.

De Ierse privacy waakhond heeft de klacht van Schrems echter in een breder perspectief getrokken en betwist nu of het gebruik van modelcontracten in zijn algemeenheid, en niet enkel bij Facebook, voldoet aan de veiligheidseisen zoals die gesteld zijn in artikel 25 van de Richtlijn bescherming persoonsgegevens.[1] Deze vraag is naar het Ierse Hooggerechtshof gegaan die vervolgens aan het Europees Hof van Justitie heeft gevraagd om te beoordelen of het gebruik van modelcontracten voor het uitwisselen van persoonsgegevens tussen landen binnen en buiten de Europese Unie wel voldoet aan het vereiste beschermingsniveau.

De exacte vragen aan het HvJEU zijn nog niet gepubliceerd, maar zullen de aankomende tijd geformuleerd worden aan de hand van de inbreng van betrokkenen. Het antwoord van het Europese Hof van Justitie kan grote impact hebben. Mocht het HvJEU bepalen dat het doorgeven van persoonsgegevens van en naar Amerika met het gebruik van modelcontracten niet voldoende bescherming garandeert, dan zal het spannend zijn of, en op welke manier het nog mogelijk blijft voor Europese bedrijven om persoonsgegevens uit te wisselen met bedrijven buiten de Europese Unie.

Mocht uw bedrijf ook persoonsgegevens uitwsselen met bedrijven gevestigd buiten de Europese Unie, of heeft u andere vragen met betrekking tot privacy? Meld u aan voor het congres Agile & Legal Insights op 7 november. Of neem contact met ons op.

[1] Artikel 25 van Richtlijn 95/46/EG vereist een passend beschermingsniveau voor doorgifte van EU- persoonsgegevens naar derde landen (landen buiten de EU). Het is dus in beginsel verboden persoonsgegevens te delen met derde landen die de bescherming daarvan niet kunnen waarborgen.

Heeft u vragen of wilt u een afspraak maken?