Hof van Justitie van de Europese Unie: Privacy Shield ongeldig verklaard
Wat moet u doen indien de internationale overdracht van persoonsgegevens van uw bedrijf gebaseerd is op de Standard Contractual Clauses of het Privacy Shield?
Het is nog onduidelijk wat precies de impact zal zijn van de belangrijke uitspraak van het Hof van Justitie van de Europese Unie (“HvJ EU”) op donderdag 16 juli jl. in de zaak beter bekend als Schrems II. Klik hier voor de officiële samenvatting van de prejudiciële beslissing. Het is in ieder geval duidelijk dat het EU-VS Privacy Shield ongeldig is verklaard. Bovendien oordeelt het HvJ EU dat de Standard Contractual Clauses (“SCC’s”) weliswaar geldig zijn, maar dat partijen die gebruik maken van deze SCC’s per geval moeten verifiëren of deze uitvoerbaar zijn onder de toepasselijke nationale wetgeving. Een belangrijke uitspraak voor alle bedrijven die persoonsgegevens (laten) verwerken in de Verenigde Staten en/of de SCC’s gebruiken.
Waar gaat Schrems II over?
In 2013 klaagde Maximillian Schrems bij de Ierse toezichthouder (“DPC”) over de overdracht van zijn persoonsgegevens naar de Verenigde Staten door Facebook. Schrems was Facebook-lid sinds 2008 en (een deel van) zijn persoonsgegevens werden door de Ierse vestiging van Facebook verzonden naar servers in de Verenigde Staten, waar deze werden verwerkt. Zijn eerst klacht was gebaseerd op de onthullingen door Edward Snowden in 2013, over de activiteiten van de Amerikaanse inlichtingendiensten. Deze activiteiten waren volgens Schrems niet in overeenstemming met het Europese recht voor de bescherming van persoonsgegevens. De DPC wees zijn klacht af, waarna Schrems in beroep ging bij het Ierse hoger gerechtshof. Het hoger gerechtshof stelde naar aanleiding van dit bezwaar vragen aan het HvJ EU, inzake de geldigheid van het toentertijd toepasselijke Safe Harbor besluit. In 2015 werd het Safe Harbor besluit ongeldig verklaard (ook wel bekend als Schrems I).
Facebook kon na deze uitspraak de Safe Harbor beslissing relatief makkelijk vervangen door de SCC’s overeen te komen. Bovendien werd de Safe Harbor al snel vervangen door het Privacy Shield besluit. In de recente Schrems II zaak, stelde Schrems daarom niet alleen de geldigheid van het Privacy Shield (Decision 2016/1250) ter discussie, maar ook de geldigheid van de SCC’s (Decision 2010/87). De prejudiciële vragen zoals gesteld aan het HvJ EU hebben in deze zaak verder betrekking op:
- de toepasselijkheid van de AVG op de overdracht van persoonsgegevens ingevolge de SCC’s;
- welke mate van bescherming vereist is ingevolge de AVG voor een dergelijke overdracht van persoonsgegevens;
- wat de verplichtingen zijn van de nationale toezichthouders (in Nederland de Autoriteit Persoonsgegevens) hieromtrent.
Kort en goed oordeelt het HvJ EU dat het Privacy Shield besluit ongeldig is, omdat dit besluit geen voldoende mate van bescherming biedt voor de verwerking van persoonsgegevens in de Verenigde Staten, zoals vereist onder de AVG. Over de SCC’s (specifiek over de controller-processor versie) oordeelt het HvJ EU dat deze op zichzelf wel een voldoende mate van bescherming kunnen bieden. Deze bescherming kan echter alleen geboden worden indien de SCC’s uitvoerbaar zijn onder het nationale recht van het derde land waarnaar de persoonsgegevens overgedragen worden.
Belangrijk om te weten in het kader van de handhaving van deze uitspraak, is dat het HvJ EU heeft bevestigd dat nationale toezichthouders verplicht zijn om ook voor deze verwerkingsactiviteiten in actie te komen. De toezichthouders zijn verplicht om eventuele overdracht van persoonsgegevens op basis van de SCC’s te verbieden of op te schorten indien (a) er geen (geldig) adequaatheidsbesluit is en (b) naar mening van de toezichthouder niet kan worden voldaan aan de SCC’s onder het nationaal recht van het derde land en geen aanvullende maatregelen zijn of zullen worden genomen ter bescherming van persoonsgegevens.
Wat moet uw organisatie doen?
Als uw bedrijf persoonsgegevens verwerkt (of laat verwerken) in de Verenigde Staten, is het essentieel dat helder is welke maatregelen zijn genomen ingevolge de AVG. De Europese Commissie is momenteel opnieuw in onderhandeling met de Verenigde Staten over afspraken die het Privacy Shield kunnen vervangen en die wel een gelijk beschermingsniveau kunnen bieden als in de Europese Unie. Dit is een moeilijke opdracht en zal daarom nog wel even duren.
Wanneer de entiteit die persoonsgegevens in de Verenigde Staten verwerkt alleen voldoet aan het Privacy Shield, adviseren wij naar een alternatief te kijken. Alternatieven zijn:
- Binding Corporate Rules;
- SCC’s (mits hieraan voldaan kan worden onder nationaal recht); en
- Het opstellen van aanvullende standaard bepalingen en deze laten accorderen door de toezichthouder.
Wanneer u voor de SCC’s kiest als basis voor de overdracht van persoonsgegevens, moet beoordeeld worden of deze maatregelen een voldoende beschermingsniveau bieden zoals vereist ingevolge de AVG. Dit betekent dat uw bedrijf in ieder geval passende waarborgen, uitvoerbare rechten en effectieve rechtsbescherming moet kunnen bieden die gelijk zijn aan het niveau zoals gegarandeerd in de Europese Unie.
Indien een verwerker van uw bedrijf persoonsgegevens in de Verenigde Staten zal verwerken, dan kan het zijn dat de verwerker onder omstandigheden de SCC’s niet kan nakomen. Het HvJ EU heeft namelijk geoordeeld dat het Privacy Shield ongeldig is, omdat een gebrek bestaat aan effectieve rechtsbescherming voor betrokkenen wanneer persoonsgegevens verwerkt worden op basis van de wetten: Section 702 van de Foreign Intelligence and Surveillance Act en Executive Order 12333. Dit zijn beide wetten die de mogelijkheid bieden aan de Amerikaanse overheid om persoonsgegevens bij bedrijven op te vragen, zonder dat een mogelijkheid bestaat voor de betrokkene om hier tegen op te komen. Dit is in strijd met hetgeen is opgenomen in de SCC’s. Let op dat de ontvanger van de persoonsgegevens ingevolge de SCC’s verplicht is te melden aan de verwerkingsverantwoordelijke wanneer zij niet kan voldoen aan de SCC’s (artikel 5 (b) van de bijlage van de SCC’s).
Omdat op dit moment nog niet helemaal duidelijk is wat de implicaties van deze uitspraak zijn en dit ook een politieke aangelegenheid is, adviseren wij de communicatie van de voor uw bedrijf relevante toezichthouder (bijvoorbeeld de Autoriteit Persoonsgegevens) en het Europees Comité voor de Gegevensbescherming (“EDPB”) in de gaten te houden. Het EDPB bestaat uit vertegenwoordigers van alle nationale toezichthouders en heeft al getracht enige duiding te geven over de situatie. Zo publiceerde zij ook in juli een rubriek met veel gestelde vragen. Wij streven er in ieder geval naar u op de hoogte te houden van relevant nieuws voor uw bedrijf
Bij de beoordeling of de maatregelen die uw bedrijf heeft genomen voldoende zijn onder de AVG helpt het privacy team van Ten Holter Noordam advocaten uiteraard graag. Samen kunnen wij de beste strategie vaststellen om het risico te beperken voor verwerkingsactiviteiten in een land buiten de Europese Unie.