Europees Hof verwijst EU-VS Privacy Shield naar de prullenbak. En nu?
Op 16 juli 2020 heeft het Europese Hof van Justitie het zogenaamde EU-VS Privacy Shield van tafel geveegd. De Europese Commissie en Europese lidstaten riepen het EU-VS Privacy Shield in 2016 in het leven om uitwisseling van persoonsgegevens met de VS te vereenvoudigen. Het Privacy Shield verving de Safe Harbor Privacy Principles, die het Hof in 2015 al naar de prullenbak verwees.
Achtergrond
Een van de doelen van de Algemene Verordening Gegevensbescherming (AVG) is het adequaat beschermen van persoonsgegevens van Europese burgers, ook wanneer deze naar landen buiten de EU worden verzonden. De AVG maakt die doorgifte dan ook slechts in bepaalde gevallen mogelijk. Bijvoorbeeld op basis van een adequaatheidsbesluit. Doorgifte is ook mogelijk als in het ontvangende land passende waarborgen worden geboden, welke onder andere kunnen worden ingevuld door modelcontractsbepalingen (MCB’s).
Een adequaatheidsbesluit is een besluit van de Europese Commissie, waarmee zij vaststelt dat het beschermingsniveau van persoonsgegevens in het ontvangende land buiten de EU vergelijkbaar is met het beschermingsniveau binnen de EU. Het EU-VS Privacy Shield is een dergelijk adequaatheidsbesluit. Om gebruik te maken van het EU-VS Privacy Shield moet een Amerikaans bedrijf zich certificeren en houden aan bepaalde principes. Het Europese Hof verwijst het EU-VS Privacy Shield nu dus naar de prullenbak.
Beslissing Europees Hof
Het Europese Hof stelt voorop dat als organisaties persoonsgegevens doorgeven aan organisaties in landen buiten de EU, het beschermingsniveau ongeveer gelijkwaardig moet zijn aan dat binnen de EU. Of dit het geval is, is onder andere afhankelijk van de aanwezigheid van passende waarborgen, afdwingbare rechten en effectieve rechtsmiddelen in het ontvangende land. Het Hof geeft daarbij aan dat, wanneer er geen adequaatheidsbesluit ligt, de toezichthouder de doorgifte van persoonsgegevens door een organisatie moet opschorten of verbieden als blijkt dat de MCB’s in het land van ontvangst buiten de EU niet worden of niet kunnen worden nageleefd en het vereiste beveiligingsniveau niet op een andere manier kan worden gewaarborgd. Als de verwerkingsverantwoordelijke de doorgifte buiten de EU zelf niet al heeft stopgezet, moet de nationale toezichthouder dus ingrijpen.
Het Hof concludeert uiteindelijk dat het doorgeven van persoonsgegevens buiten de EU op basis van MCB’s (in principe) mogelijk blijft. De verzendende en ontvangende organisatie moeten vooraf wel nagaan of het vereiste beschermingsniveau het land van ontvangst wordt gehaald. Gelet op het onderstaande lijkt dit voor de VS niet het geval te zijn.
Privacy Shield
Het Hof gaat vervolgens in op het EU-VS Privacy Shield. Waarom wordt het Privacy Shield van tafel geveegd?
De Europese Commissie stelt in artikel 1 lid 1 van het Privacy Shield besluit vast dat de VS een passend beschermingsniveau waarborgt voor persoonsgegevens die vanuit de EU aan in de VS gevestigde organisaties worden doorgegeven. Het Hof is het daar, gelet op de verschillende surveillanceprogramma’s van de Amerikaanse overheid, niet mee eens.
Deze surveillanceprogramma’s zijn volgens het Hof een beperking op de bescherming van persoonsgegevens die verder gaat dan strikt noodzakelijk. Dit is in strijd met het Europese Unierecht. Daarnaast is de door de Amerikaanse overheid aangestelde EU-VS Privacy Shield ombudsman volgens het Hof niet onafhankelijk genoeg. Ook zijn er geen rechtsmiddelen waarop betrokken EU-burgers, waarvan de gegevens naar de VS worden gestuurd, zich in de VS kunnen beroepen.
Volgens het Hof is er dus geen sprake van een door de VS gewaarborgd passend beschermingsniveau, terwijl dit wel is opgenomen in artikel 1 lid 1 van het Privacy Shield besluit. Het Hof velt vervolgens het vernietigend oordeel dat het EU-VS Privacy Shield besluit ongeldig is.
Wat nu?
Met haar beslissing snijdt het Hof een van de routes voor de doorgifte van persoonsgegevens vanuit de EU aan de VS af. De doorgifte van persoonsgegevens op basis van het Privacy Shield zou dus per direct moeten stoppen. Volgens de website van Privacy Shield gaat het in totaal om 5.378 organisaties die op basis van het EU-VS Privacy Shield persoonsgegevens van EU-burgers ontvangen. Deze beslissing treft onder andere bedrijven zoals Facebook, Google, Snapchat, LinkedIn, Amazon, HP en Samsung.
Hoewel het gebruik van MCB’s voor doorgifte buiten de EU in principe mogelijk blijft, moeten de verzender en de ontvanger voorafgaand aan de doorgifte nagaan of het door het Europese Unierecht vereiste beschermingsniveau in het ontvangende land wordt geëerbiedigd. Gelet op het oordeel van het Hof dat er in de VS geen sprake is van een gewaarborgd passend beschermingsniveau, is het maar zeer de vraag of organisaties die onder de Amerikaanse surveillancewetgeving vallen de MCB’s wel kunnen naleven en dus mogen hanteren. Doorgifte van persoonsgegevens aan organisaties in de VS op basis van MCB’s is met deze uitspraak dus ook onzeker geworden.
Persoonsgegevens
Amerikaanse organisaties komen echter niet in een vacuüm terecht. Zij vallen in principe terug op artikel 49 AVG. Hierin staan verschillende gronden voor de doorgifte van persoonsgegevens buiten de EU als een adequaatheidsbesluit ontbreekt en MCB’s niet kunnen worden gebruikt. Deze uitspraak stelt organisaties in de VS in dat opzicht gelijk aan organisaties in andere landen buiten de EU. Doorgifte is op basis van artikel 49 AVG is bijvoorbeeld mogelijk wanneer de betrokken persoon hiervoor expliciete en geïnformeerde toestemming geeft of wanneer dit noodzakelijk is voor de uitvoering van een in het belang van de betrokkene gesloten overeenkomst tussen de verwerkingsverantwoordelijke in de EU en de ontvangende partij in de VS. In hoeverre de 5.300+ participanten van het Privacy Shield aan deze eisen (kunnen) voldoen, is echter maar de vraag.
Datastromen
Hoewel de absoluut noodzakelijke datastromen vanuit de EU naar de VS vooralsnog door kunnen gaan, is er wel sprake van een aardverschuiving op het gebied van de datastromen vanuit de EU naar de VS. De Amerikaanse overheid steekt vooralsnog haar kop in het zand en houdt het Privacy Shield in stand. Daarbij waarschuwt de Amerikaanse minister van Economische Zaken voor nadelige gevolgen voor transatlantische economische relatie ter waarde van $7,1 biljoen. De Europese Commissie gaf op haar beurt eind juni 2020 al aan bezig te zijn met de modernisatie van MCB’s. Het is nu aan de (inter)nationale toezichthouder(s) en beleidsmakers om aan te geven hoe met deze uitspraak wordt omgegaan. Let daarbij op: het risico van onrechtmatige doorgifte van persoonsgegevens ligt bij u als verwerkingsverantwoordelijke.
Wat kunnen en moeten organisaties doen?
Voor organisaties is het belangrijk om na te gaan of er persoonsgegevens van Europese burgers worden doorgegeven naar organisaties in Amerika, en zo ja of daarvoor het EU-VS Privacy Shield als grondslag wordt gebruikt. Hiervoor kan naast de eigen administratie ook de website van Privacy Shield worden geraadpleegd. Op die website zijn alle organisaties die gebruik maken van het EU-VS Privacy Shield geregistreerd.
Geeft de organisatie inderdaad persoonsgegevens van EU-burgers door aan organisaties in de VS op basis van Privacy Shield, dan moet bekeken worden of het onderliggende contract voorziet in de toepassing van MCB’s in het geval dat Privacy Shield ongeldig zou worden verklaard. Is dit niet het geval, dan moeten er ‘passende beveiligingsmaatregelen’ worden genomen, zoals het alsnog toepassen van MCB’s. Let er daarbij wel op dat het gebruik van MCB’s, gelet op het bovenstaande, niet de perfecte oplossing is. En de doorgifte van persoonsgegevens op basis van artikel 49 AVG levert vaak een onwerkbare situatie op. Het systematisch terugvallen op dit artikel als basis voor de doorgifte van persoonsgegevens buiten Europa lijkt dan ook onwenselijk.
Conclusie
Samenvattend is deze uitspraak van het Europese Hof van Justitie een oproep aan organisaties om hun internationale stromen van persoonsgegevens (met name die naar de VS) tegen het licht te houden. Wanneer deze doorgifte van persoonsgegevens van EU-burgers verloopt op basis van Privacy Shield, moet actie worden ondernomen. Denk daarbij aan het aanpassen van privacy statements, intern privacy beleid en het verwerkingsregister. Maar ook aan het maken van nieuwe afspraken met ontvangende partijen in de VS. Daarbij is het van belang om eventuele sturing van de (inter)nationale toezichthouder(s), zoals de Nederlandse Autoriteit Persoonsgegevens, in de gaten te houden.
Mocht dit overweldigend klinken, neem dan contact op met BG.legal. De gevolgen van deze uitspraak en eventuele sturing vanuit de toezichthouders volgen wij namelijk op de voet.
