Op 17 juli 2020 sprak het Hof van Justitie van de Europese Unie ("HvJEU") haar langverwachte arrest in de Schrems II-zaak uit. Het Hof verklaarde het Privacy Shield als mechanisme voor de doorgifte van persoonsgegevens van de EU naar de VS ongeldig.
De doorgifte van persoonsgegevens aan de hand van modelcontractbepalingen, beter bekend onder hun Engelstalige benaming ‘Standard Contractual Clauses’ (SCCs) blijft volgens het Hof echter mogelijk en kan dus dienen als alternatief voor het Privacy Shield. Toch staan ook de SCCs op losse schroeven ingevolge het Schrems II-arrest, vermits hun gebruik door het Hof aan voorwaarden wordt onderworpen. Hieronder wordt de achtergrond van dit baanbrekend arrest, evenals de gevolgen voor uw organisatie toegelicht.
In 2019 schreven we reeds een blogpost naar aanleiding van de hoorzitting in de Grote Kamer van het HvJEU in de Schrems II-zaak.
Daarin legden we uit hoe Maximilian Schrems in 2013 een juridische strijd aanging tegen Facebook, die ertoe leidde dat het Hof van Justitie in 2015 het Safe Harbour mechanisme voor de doorgifte van persoonsgegevens van de EU naar de VS ongeldig verklaarde. Dit omdat het Amerikaanse recht niet het passende niveau van bescherming van persoonsgegevens waarborgde, dat vereist is volgens het EU gegevensbeschermingsrecht. Het Safe Harbour mechanisme verwees naar het adequaatheidsbesluit van de Europese Commissie als één van de mogelijkheden om persoonsgegevens door te geven buiten de Europees Economische Ruimte (EER).
Aanleiding voor Schrems’ juridische strijd waren Facebook’s privacy inbreuken, die aan het licht kwamen naar aanleiding van de onthullingen van Edward Snowden. Daaruit bleek dat Facebook Ierland persoonsgegevens van EU-inwoners doorgaf aan Facebook Inc. voor verwerking op servers in de VS en vervolgens Amerikaanse inlichtingendiensten toegang gaf tot deze persoonsgegevens voor surveillancedoeleinden. Schrems diende een klacht in bij de Ierse Gegevensbeschermingsautoriteit (DPC) en verkreeg uiteindelijk de ongeldigheid van het ‘Safe Harbour Framework’ voor het Hof van Justitie (Schrems I).
Omdat met het Schrems I-arrest het belangrijkste mechanisme voor de export van persoonsgegevens vanuit de EU naar de VS wegviel, werd in 2016 een nieuw, gelijkaardig mechanisme voor trans-Atlantische gegevensoverdrachten ontworpen door de Europese Commissie, met name het ‘EU-VS Privacy Shield’.
Uit het onderzoek van de Ierse gegevensbeschermingsautoriteit bleek echter dat de doorgifte van een groot deel van de persoonsgegevens van EU-inwoners door Facebook Ierland aan Facebook Inc. niet plaatsvond op basis van het (toenmalige) Safe Harbour Framework, maar op basis van de SCCs, zodat Schrems zijn klacht herformuleerde en het Hof van Justitie in Schrems II de schijnwerpers richtte op zowel de SCCs als het nieuwe EU-VS Privacy Shield.
Het EU-VS Privacy Shield = ongeldig
In Schrems II heeft het Hof van Justitie het EU-VS Privacy Shield (of juister: het EU-VS Privacy Shield adequaatheidsbesluit van de Europese Commissie) teniet gedaan. In dit adequaatheidsbesluit bevestigde de Europese Commissie dat de VS een passend beschermingsniveau waarborgde voor de doorgifte van persoonsgegevens uit de EU naar organisaties met een zelfcertificering in de VS in het kader van het EU-VS Privacy Shield.
Dit werd nu, in het arrest van 17 juli 2020, tegengesproken door het Hof van Justitie. Het Hof van Justitie oordeelde dat het Privacy Shield onverenigbaar is met de AVG en bijgevolg ongeldig is. Redenen hiervoor waren onder meer dat:
(1) Het Amerikaanse wettelijk kader voor surveillance-activiteiten onvoldoende aangeeft in welke omstandigheden en onder welke voorwaarden surveillance-activiteiten die leiden tot de verwerking van persoonsgegevens kunnen worden genomen, zodat deze inmengingen niet beperkt zijn tot het strikt noodzakelijke en dus strijdig zijn met het evenredigheidsbeginsel van de AVG.
(2) Het Amerikaans wettelijk kader betrokkenen onvoldoende administratieve of gerechtelijke beroepsmogelijkheden biedt om zich te verzetten tegen de verwerking van hun persoonsgegevens. Ook de ombudsman die hiervoor in het leven geroepen werd biedt onvoldoende waarborgen omdat zijn beslissingen de Amerikaanse inlichtingendiensten niet kunnen binden.
De SCCs = geldig, onder voorwaarden
Wat betreft de SCCs oordeelde het Hof van Justitie dat deze nog steeds geldig zijn als mechanisme voor de doorgifte van persoonsgegevens vanuit de EU naar niet-EER landen, maar enkel in de mate dat de verwerkingsverantwoordelijke of verwerker voorziet in passende waarborgen opdat een beschermingsniveau wordt geboden dat in grote lijnen overeenkomt met dat van het EU-recht.
Omdat de SCCs als contractueel mechanisme geen waarborgen bevatten die kunnen worden tegengeworpen aan de overheidsinstanties van de niet-EER landen waarnaar persoonsgegevens worden doorgegeven, is het volgens het Hof noodzakelijk dat de verwerkingsverantwoordelijke zélf nagaat of het recht van het niet-EER land dat de gegevens zal importeren vanuit het oogpunt van het EU-recht een passende bescherming waarborgt voor persoonsgegevens doorgegeven op basis van SCCs.
Als zou blijken dat dit ‘gegevensimport-land’ geen passend niveau van bescherming biedt, moet de verwerkingsverantwoordelijke zélf aanvullende waarborgen voorzien in de SCCs (bijvoorbeeld wat betreft de rechten van betrokkenen of de beroepsmogelijkheden) om de eerbiediging van het EU-beschermingsniveau te waarborgen.
Wat deze aanvullende maatregelen zoal kunnen inhouden is momenteel nog onduidelijk, maar zal hoogstwaarschijnlijk nog verduidelijkt worden door het Europees Comité voor gegevensbescherming (ofwel European Data Protection Board, EDPB) dat in haar ‘Statement’ over het arrest alvast aangeeft dat zij hieromtrent verder onderzoek zal verrichten.
Indien aanvullende waarborgen niet mogelijk zijn, is de verwerkingsverantwoordelijke (of desnoods de bevoegde gegevensbeschermingsautoriteit) verplicht de doorgifte van persoonsgegevens naar het derde land op te schorten of te beëindigen.
In ieder geval zijn gegevensimporteurs verplicht om de verwerkingsverantwoordelijke in kennis te stellen indien zij de bepalingen van de SCCs niet kunnen naleven, zodat de doorgifte opgeschort of beëindigd kan worden.
De val van het Privacy Shield betekent dat alle organisaties die zich voor trans-Atlantische doorgiftes van persoonsgegevens baseerden op het Privacy Shield, deze gegevensexport:
Deze aanpassing moet zo snel mogelijk gebeuren, aangezien het Hof van Justitie het Privacy Shield met onmiddellijke werking ongeldig heeft verklaard, zonder enige overgangsperiode. Dit betekent dat zij die zich blijven beroepen op het Privacy Shield (bijvoorbeeld door hun gebruik van Google Analytics) zich blootstellen aan hoge boetes en eventuele schadevergoedingen voor datalekken die zouden plaatsvinden bij de ontvanger in de VS.
De meest dringende actiepunten zijn de volgende:
In elk geval is het aangeraden dat organisaties hun overeenkomsten voor internationale gegevensdoorgiftes grondig laten nakijken door een expert ter zake. En dit in ieder geval voor export van persoonsgegevens naar de VS en het Verenigd Koninkrijk. Over de export van persoonsgegevens naar het Verenigd Koninkrijk leest u meer op onze Brexit pagina.
Heeft u verdere vragen over gegevensbescherming en gegevensexport of wenst u uw overeenkomsten voor internationale doorgiftes te laten nakijken? Contacteer Timelex.