Privacy Shield ongeldig, wat nu?
Het Hof van Justitie van de Europese Unie heeft bij uitspraak van 16 juli 2020 in de zaak Schrems II het Privacy Shield ongeldig verklaard.
Dit betekent dat de uitwisseling van persoonsgegevens tussen de Europese Unie en de Verenigde Staten, wanneer dat gebeurt op basis van het Privacy Shield, in strijd is met de privacywetgeving, zoals neergelegd in de GDPR (in ons land de AVG).
Geen passend beschermingsniveau
Omdat de uitwisseling van persoonsgegevens tussen organisaties in de EU en in de VS in veel gevallen gebaseerd is op het Privacy Shield is dat een “dramatische” uitkomst. Bijna iedereen die werkzaam is op privacygebied zag dit al aankomen veroorzaakt door de situatie in de VS. Het daar geldende recht biedt geen waarborgen voor een voldoende beschermingsniveau tegen de toegang door de overheid tot de persoonsgegevens die naar de VS worden doorgegeven.
Bestaat er een alternatief?
Kan een organisatie gevestigd in Nederland op andere wijze veilig persoonsgegevens met een organisatie in de VS uitwisselen en vice versa?
Het Hof laat de besluiten van de Europese Commissie dat veilige doorgifte van persoonsgegevens kan plaatsvinden op basis van ‘Standard Contractual Clauses’ of van ‘Binding Corporate Rules’ in stand. Wat houdt dat in?
Standard Contractual Clauses
Standard Contractual Clauses (‘SCC’s’) zijn door de Europese Commissie goedgekeurde standaard contractbepalingen, die voldoende waarborgen zouden bieden ten aanzien van de internationale uitwisseling van persoonsgegevens. Er zijn twee standaarden gemaakt. Eén geldt voor de uitwisseling van persoonsgegevens van verwerkingsverantwoordelijken binnen de EU naar verwerkingsverantwoordelijken buiten de EU. De andere geldt voor verwerkingsverantwoordelijken binnen de EU naar verwerkers buiten de EU.
Het Hof geeft hierbij echter aan dat het de verantwoordelijkheid is van de verwerkingsverantwoordelijke om te controleren of het land waar de persoonsgegevens mee uitgewisseld worden wel een passend beschermingsniveau biedt. Is dit niet zo, dan moet de uitwisseling worden stopgezet.
Binding Corporate Rules
In het geval een organisatie meerdere vestigingen heeft waaronder vestigingen buiten de EU dan kunnen deze organisaties interne gedragscodes opstellen voor de uitwisseling van persoonsgegevens binnen hun organisatie. Dit zijn de Binding Corporate Rules (BCR). In deze regels worden waarborgen vastgelegd voor de bescherming van persoonsgegevens bij de uitwisseling daarvan naar landen zonder passend beschermingsniveau. Deze regels moeten eerst door de betrokken Europese privacytoezichthouders en daarna door de European Data Protection Board worden goedgekeurd.
Door middel van BCR wordt beoogd om wereldwijd binnen een concern of groep van ondernemingen die gezamenlijk een economische activiteit uitoefenen eenzelfde passend niveau van bescherming van persoonsgegevens te creëren, zodat de wereldwijde uitwisseling van gegevens tussen de verschillende concern- dan wel bedrijfsonderdelen mogelijk zal zijn.
Biedt dit soelaas?
Het Hof geeft aan dat de SCC’s en BCR nog wel een geldige grondslag kunnen bieden voor doorgifte van gegevens naar landen buiten de EU, maar alleen als een gelijkwaardig beschermingsniveau in de praktijk kan worden gewaarborgd. Wanneer er dus aanvullende maatregelen door organisaties kunnen worden getroffen met als resultaat dat de wetgeving in de VS daar geen vat op heeft, dan kunnen deze instrumenten gebruikt blijven worden.
Zonder aanvullende maatregelen kunnen de SCC’s en BCR de situatie die is ontstaan door het ongeldig zijn van het Privacy Shield dus niet oplossen. De situatie in de VS zelf wordt er immers niet door veranderd.
Er is door het Hof geen overgangsperiode bepaald. Dit betekent dus dat de uitwisseling van persoonsgegevens met de VS per direct zou moeten worden stopgezet. Dit is een praktisch onhaalbare kaart voor veel organisaties.
Uitzonderingen
Er zijn uitzonderingen die door de AVG zelf worden genoemd, waaronder doorgifte van persoonsgegevens aan de VS wel kan worden voortgezet. Dit zijn onder andere doorgifte met uitdrukkelijke toestemming, waarbij de betrokken persoon goed geïnformeerd moet zijn over de risico’s, en doorgifte in het kader van een overeenkomst met de betrokken persoon, wanneer het om een niet structurele doorgifte van persoonsgegevens gaat.
Wat doet de EDPB na de uitspraak van het Hof?
De European Data Protection Board bekijkt wat de praktische gevolgen zijn van de uitspraak en komt met een guidance. Daarin zal ook aandacht besteed worden aan de aanvullende maatregelen die nu door organisaties moeten worden getroffen. Op de website van de EDPB staan FAQ’s.
Wat kunt u doen?
De conclusie is dat organisatie hun doorgifte van persoonsgegevens kritisch moeten bekijken. Als de doorgifte plaatsvindt op basis van het Privacy Shield dan moet óf gestopt worden met de doorgifte óf er moet een alternatief worden gevonden. Zodra er meer bekend is informeren wij u.
Heeft u vragen over doorgifte van persoonsgegevens door uw organisatie, neemt u gerust contact met ons op. Wij adviseren u graag.
Met vriendelijke groet,
Het privacy team
Ruby Nefkens, Hylke Klasens en Merel Janssen
Van der Steenhoven advocaten N.V.
Herengracht 582 (1017 CJ) Amsterdam
tel: +31 (0) 20 607 79 79
www.vandersteenhoven.nl, nefkens