Het Hof van Justitie van de Europese Unie (Hof) heeft op 16 juli 2020 in de zogeheten Schrems II zaak het EU-US Privacy Shield ongeldig verklaard. Dit betekent dat het EU-US Privacy Shield met directe ingang niet meer als basis kan dienen voor de doorgifte van persoonsgegevens aan de VS. Bij het doorgeven van persoonsgegevens aan landen buiten de Europese Economische Ruimte moeten de regels van de AVG worden gevolgd. Dit artikel geeft u antwoord op de vraag hoe u persoonsgegevens aan de VS en andere landen buiten de Europese Economische Ruimte (EER)op een veilige en rechtmatige manier kan doorgeven.
Exit EU-US Privacy Shield
Gevolgen wegvallen EU-US Privacy Shield
Is er een alternatief mechanisme voor doorgifte van persoonsgegevens?
De AVG faciliteert de doorgifte van persoonsgegevens op basis van een adequaatheidsbesluit (zoals het EU-US Privacy Shield). De Europese Commissie heeft voor 12 landen zo’n adequaatheidsbesluit afgegeven. Bij gebreke van een adequaatheidsbesluit kan doorgifte volgens artikel 46 AVG plaatsvinden op basis van (andere) passende waarborgen. De standaardbepalingen (standard contractual clauses of SCCs) zoals vastgesteld door de Europese Commissie bieden volgens de AVG passende waarborgen.
Als er geen adequaatheidsbesluit is genomen voor een bepaald land, moet het data exporterende bedrijf of instantie ervoor zorgen dat de doorgifte met passende waarborgen wordt geborgd en dient het ontvangende land de betrokkenen afdwingbare rechten en doeltreffende rechtsmiddelen te bieden..
Mogen SCCs na Schrems II nog worden gebruikt?
De SCCs hebben in Schrems II de toets der kritiek doorstaan. Persoonsgegevens kunnen in beginsel nog steeds op basis van SCCs aan derde landen worden doorgegeven. Echter, het Hof benadrukt het belang van de eisen die de AVG in artikel 46 aan het gebruik van SCCs stelt. Voorafgaand aan iedere doorgifte van persoonsgegevens dient het verzendende bedrijf te controleren of het ontvangende land de betrokkenen afdwingbare rechten en doeltreffende rechtsmiddelen biedt.
In het algemeen worden bedrijven opgezadeld met de schier onmogelijke opgave om –per land en per doorgifte– te beoordelen of ontvangende landen hun rechtsregels ten aanzien van de bescherming van betrokkenen en hun persoonsgegevens op orde hebben. Daarnaast is het niet duidelijk welke criteria bij de toetsing moeten worden gebruikt. Het Hof besteedt daaraan geen aandacht en artikel 46 AVG biedt ook geen nadere uitleg. We weten nu dat SSCs niet (meer) als mechanisme voor doorgifte van persoonsgegevens aan de VS kunnen worden gebruikt, omdat de Amerikaanse surveillance wetgeving daaraan in de weg staat. Bedrijven tasten echter in het duister hoe de toezichts- en veiligheidswetgeving in andere derde landen moet worden gewaardeerd.
De realiteit is, dat slechts weinig bedrijven over voldoende kennis en middelen beschikken om de gegevensbeschermingswetgeving en surveillance praktijken van derde landen op een goede manier te beoordelen. De realiteit is ook, dat de Europese instanties lijken te worstelen met dergelijke beoordelingen. Tot nu toe heeft de Europese Commissie voor slechts 12 landen een adequaatheidsbesluit afgegeven en het adequaatheidsbesluit voor de VS is nu tot twee keer toe ongeldig verklaard.
Hoe kunnen de SCCs concreet worden gebruikt?
- Waarborg dat de data importeur alle bepalingen van de SCCs kan naleven.
- Voer een due diligence uit naar het soort gegevens dat wordt doorgegeven, de categorieën betrokkenen, de verwerkingsdoeleinden, de bewaartermijn, het type ontvanger en de sector waartoe de ontvanger behoort.
- Onderzoek in hoeverre het rechtssysteem van het derde land overheidsinstellingen toestaat de openbaarmaking van gegevens te eisen en of de betrokkenen (met inbegrip van buitenlandse betrokkenen) op de hoogte zijn van de openbaarmaking en in staat zijn rechtsmiddelen aan te wenden voor de rechter. Bepaal op welke categorie data de wetten van het derde land ingrijpen.
- Onderzoek in hoeverre de importeur aan deze wetten gebonden is en hoe waarschijnlijk het is dat de importeur de persoonsgegevens van de exporteur aan de autoriteiten in dat derde land bekendmaakt of bekend moet maken.
- Controleer of de gegevensimporteur een procedure heeft om de gegevensexporteur te informeren, indien een overheidsvraag zich uitstrekt tot de gegevens van de gegevensexporteur en de mogelijkheid biedt om zich tegen de productie te verzetten.
- Documenteren voor het geval de positie ervan ooit in twijfel wordt getrokken.
- Ga na of de risico’s die de nationale surveillance wetgeving meebrengt, kunnen worden gecompenseerd door aanvullende waarborgen met de data importeur af te spreken. Daarbij kunt u denken aan afspraken over het toepassen van een goede encryptie, het opschorten van de doorgifte van gegevens en het verwijderen van gegevens door de data importeur.
- Zorg ervoor dat u uw keuzes en afspraken documenteert. De AVG eist van u dat u kunt aantonen dat u de AVG naleeft.
Kunnen Binding Corporate Rules worden gebruikt?
BCRs waren geen onderwerp van debat in Schrems II. Echter, als de rechtmatigheid van doorgifte van persoonsgegevens op grond van SCCs ter discussie staat, omdat de regelgeving in het ontvangende derde land niet aan de Europese waarborgen voldoet, dan kan men zich afvragen of doorgifte aan datzelfde land op basis van BCRs wel geoorloofd is.
BCRs worden opgesteld door het betreffende concern en moeten worden goedgekeurd door de bevoegde toezichthoudende autoriteit, in Nederland de Autoriteit Persoonsgegevens. SCCs zijn een product van de Europese Commissie. In de praktijk is het belangrijkste verschil dat de last van de beoordeling van de toereikendheid van de beschermingsmaatregelen bij de Autoriteit Persoonsgegevens ligt als een onderneming gebruik maakt van BCR's, terwijl de gebruiker van SCCs (zie Schrems II) zijn eigen toereikendheidsbeoordeling moet maken en verantwoordelijk is als hij zich vergist. Daarom is het de vraag hoe toezichthoudende autoriteiten binnen de EU omgaan met lopende aanvragen voor de goedkeuring van BCRs. Goedkeuring van BCRs impliceert dat de betreffende toezichthoudende autoriteit van mening is dat in het ontvangende derde land passende waarborgen aanwezig zijn. Dat kan, gezien Schrems II gevoelig liggen.
Kunnen de uitzonderingen van artikel 49 AVG worden gebruikt?
Volgens het Hof in Schrems II creëert de ongeldigverklaring van het EU-US Privacy Shield geen vacuüm, omdat bedrijven een beroep kunnen doen op een van de afwijkingen voor specifieke situaties (artikel 49 AVG). De mogelijkheden om doorgifte te rechtvaardigen via de uitzonderingen van artikel 49 AVG zijn echter beperkt. De EDPB heeft uitgesproken (Richtsnoeren 2/2018) dat deze uitzonderingen limitatief moeten worden geïnterpreteerd en dat de uitzondering niet tot regel bestempeld mag worden. Daarnaast brengt het gebruik van artikel 49 AVG een grote administratieve last mee voor het bedrijf. De data exporteur dient te verantwoorden waarom ieder van de mechanismen voor de betreffende doorgifte niet kunnen worden gebruikt en waarom de betreffende uitzondering in het specifieke geval geschikt is als basis voor doorgifte. De optie van artikel 49 AVG oogt daarmee niet zo aantrekkelijk.
Tot slot
Wilt u meer weten over dit onderwerp? Neem dan contact op met onze Privacy Desk.