Privacy Shield Europa en VS ongeldig

Privacy Shield tussen Europa en de Verenigde Staten ongeldig verklaard: wat nu? In het langverwachte Schrems II-arrest van 16 juli jl. heeft het Europese Hof van Justitie (hierna: Hof) bepaald dat het Privacy Shield geen passend beschermingsniveau biedt voor de overdracht van persoonsgegevens tussen de Europese Unie en de Verenigde Staten. Het Hof acht de modelcontractbepalingen daarentegen wel geldig. Wat betekent dit nu voor de praktijk?  De Europese Unie en de Verenigde Staten hebben een sterke commerciële band. Voor het onderhouden van deze band speelt de doorgifte van persoonsgegevens een steeds grotere rol. Voor onder meer bedrijven als Facebook, Google en Amazon, met klanten over de hele wereld, is de doorgifte van persoonsgegevens van cruciaal belang. Maar hoe zit het nu precies met de doorgifte van persoonsgegevens naar landen waar de Algemene Verordening Gegevensbescherming (hierna: AVG) niet van toepassing is? Wat stelt de AVG? De AVG is van toepassing binnen de gehele Europese Economische Ruimte (hierna: EER) en stelt dat doorgifte naar landen buiten de EER alleen mogelijk is op basis van strikte voorwaarden. De Europese Commissie kan vaststellen dat een land buiten de EER op basis van zijn nationale wetgeving of internationale toezeggingen een passend beschermingsniveau waarborgt. Dit heet een adequaatheidsbesluit. Indien er geen adequaatheidsbesluit is genomen, dient de in de EER gevestigde gegevensexporteur passende maatregelen te nemen om het ontoereikende niveau van gegevensbescherming in het andere land te verhelpen. Dergelijke passende maatregelen kunnen bijvoorbeeld zijn het opstellen van bindende bedrijfsvoorschriften, maar ook het gebruik maken van modelcontractbepalingen (ook wel: SCCs), welke zijn opgesteld door de Europese Commissie. Wat stelt het Europese Hof van Justitie nu in Schrems II? In 2016 stelde de Europese Commissie, middels een adequaatheidsbesluit genaamd Privacy Shield, vast dat de Verenigde Staten een passend beschermingsniveau bood voor de overdracht van persoonsgegevens. Het Privacy Shield was de opvolger van de in Schrems I ongeldig verklaarde Safe Harbour. In het recente arrest van 16 juli jl. heeft het Hof echter (wederom) het adequaatheidsbesluit voor de Verenigde Staten ongeldig verklaard. Het Hof merkt op dat voor bepaalde Amerikaanse surveillanceprogramma’s op geen enkele wijze beperkingen gelden voor de toegang tot en het gebruik van persoonsgegevens die vanuit de EER worden doorgegeven. Bovendien biedt het ombudsmanmechanisme in de Verenigde Staten – een mechanisme dat bij de invoering van het Privacy Shield in het leven was geroepen – geen garantie om het beschermingsniveau te waarborgen. Kortom: het Hof verklaart het Privacy Shield ongeldig. Wat dit arrest echter opzienbarender maakt ten opzichte van het Schrems I-arrest, is dat niet alleen het Privacy Shield ter discussie staat maar dat ook de modelcontractbepalingen van de Europese Commissie onder de loep worden genomen. Het Hof komt tot de conclusie dat de modelcontractbepalingen voor de doorgifte van persoonsgegevens wel geldig zijn. Het Hof voegt daar nog aan toe dat aan personen van wie persoonsgegevens worden doorgegeven op basis van een dergelijke modelcontractbepaling, een beschermingsniveau moet worden geboden dat in grote lijnen overeenkomt met het beschermingsniveau dat middels de AVG wordt gewaarborgd. Bij de beoordeling van het beschermingsniveau moet volgens het Hof rekening worden gehouden met zowel de contractuele bepalingen die zijn overeengekomen tussen de gegevensexporteur in de EER en de ontvanger gevestigd in het land buiten de EER, als mede met de relevante aspecten van het rechtsstelsel van dat land. Het Hof geeft aan dat hierbij moet worden gedacht aan de eventuele (vergaande) toegang van overheidsinstanties van dat betreffende land tot de doorgegeven persoonsgegevens. Het is vervolgens aan de gegevensexporteur en de ontvanger om vóóraf na te gaan of het beschermingsniveau in acht wordt genomen in het land van de ontvanger. Het Hof stelt dat op deze manier een doeltreffend mechanisme wordt geboden om het beschermingsniveau te waarborgen. Wat betekent dit nu voor de praktijk? Het Privacy Shield is geheel ongeldig verklaard en mag dus niet meer worden gebruikt als basis voor de doorgifte van persoonsgegevens naar de Verenigde Staten. Europese bedrijven (gegevensexporteurs) en bedrijven in landen buiten de EER (ontvangers) mogen daarentegen nog wel gebruik maken van de modelcontractbepalingen. Men kan zich echter afvragen of het gebruik van deze modelcontractbepalingen het beschermingsniveau in de praktijk daadwerkelijk waarborgt. Een Amerikaans bedrijf kan wellicht op basis van een modelcontractbepaling de garantie bieden conform de AVG te verwerken, maar dit neemt niet weg dat de Amerikaanse overheid op grond van de PATRIOT Act en de Foreign Intelligence Surveillance Act vergaande toegang heeft tot de persoonsgegevens van haar inwoners. Daar komt nog eens bij dat deze bevoegdheid niet alleen is beperkt tot Amerikaanse inwoners. De Amerikaanse opsporings- en inlichtingendiensten hebben tal van juridische mogelijkheden om persoonsgegevens te vergaren. Dit is per slot van rekening ook een reden geweest om het Privacy Shield ongeldig te verklaren. Dit maakt dat het in de praktijk lastig zal zijn om het beschermingsniveau daadwerkelijk te waarborgen. Indien het bedrijf buiten de EER zich namelijk niet kan houden aan hetgeen de modelcontractbepalingen vereisen, mag de gegevensexporteur in feite niet tekenen. Doet zij dit wel, dan handelt zij in overtreding met de AVG. In theorie is het dus nog wel mogelijk om de modelcontractbepalingen te gebruiken, maar in de praktijk zal het lastig zijn voor de Europese gegevensexporteur om dit (zonder overtreding en zonder contractbreuk) te bewerkstelligen. Bovendien brengt het voor de gegevensexporteur een extra last mee om vóóraf, per ontvanger, zelf na te moeten gaan of het beschermingsniveau in acht wordt genomen in het betreffende land buiten de EER. Hierbij moet telkens op grond van artikel 45 lid 2 AVG een analyse worden gemaakt van het rechtsstelsel van het land, waarbij onder meer moet worden gelet op de rechtsstatelijkheid, de eerbiediging van de mensenrechten in het betreffende land, de toegang van overheidsinstanties tot persoonsgegevens, het bestaan van effectieve en afdwingbare rechten van betrokkenen en het bestaan van een effectief functionerende en onafhankelijke toezichthoudende autoriteit. Daarnaast moet op grond van artikel 5 lid 2 AVG verantwoording kunnen worden afgelegd met betrekking tot de gemaakte analyse. Dit brengt voor de Europese gegevensexporteur aanzienlijk meer werk met zich mee. Voorbeelden van alternatieven zijn nog steeds het opstellen van bindende bedrijfsvoorschriften of een gedragscode, maar ook dit zal de nodige tijd kosten. Wij raden daarom in dit kader aan om te allen tijde juridisch advies in te winnen. Daarnaast brengt het Schrems II-arrest ook extra werk met zich mee voor de toezichthoudende autoriteiten in de Europese Unie. Zij moeten namelijk waken dat de gegevensexporteurs een correcte analyse maken over het beschermingsniveau in landen buiten de EER. Tot slot verdient opmerking dat, met het oog op de Brexit, dit arrest ook van belang zal zijn bij de doorgifte van persoonsgegevens naar het Verenigd Koninkrijk na 31 december 2020. Wilt u meer weten over het voorgaande onderwerp, neemt u dan gerust contact met ons op.