Schrems II of waarom persoonsgegevens ook niet meer op reis mogen naar de VS
Op 16 juli 2020 heeft het Hof van Justitie in een spraakmakend arrest “Schrems II” het Commissiebesluit inzake het Privacy Shield ongeldig verklaard omdat dit kader onvoldoende bescherming biedt tegen de verregaande bevoegdheden van de Amerikaanse inlichtingendiensten.
Een strikte lezing van het arrest maakt het zeer complex om nog op legale wijze persoonsgegevens naar de VS door te geven.
We zetten hieronder voor u de belangrijkste principes en gevolgen op een rij.
Internationale doorgiftes & Privacy Shield
Op basis van de Algemene Verordening Gegevensbescherming (beter gekend als de “GDPR”) is de doorgifte van persoonsgegevens naar landen buiten de Europese Economische Ruimte (zijnde de Europese Unie plus Liechtenstein, Noorwegen en IJsland, hierna: “EER”) enkel toegestaan indien in het derde land het gewaarborgd beveiligingsniveau voor persoonsgegevens, zoals voorzien in de GDPR, niet wordt ondermijnd.
Door middel van zgn. adequaatheidsbesluiten heeft de Europese Commissie geoordeeld dat bepaalde landen (bv. Andorra, Argentinië, Canada, Israël, Japan, Nieuw Zeeland, Uruguay en Zwitserland) een passend beschermingsniveau bieden. De erkenning van het Privacy Shield was eveneens gebaseerd op een dergelijk besluit: de meer dan 5300 Amerikaanse bedrijven die zich hadden geregistreerd onder het Privacy Shield werden geacht adequate bescherming te bieden.
Bij gebrek aan een adequaatheidsbesluit kan de doorgifte plaatsvinden door passende waarborgen te bieden. Een zeer vaak gebruikte techniek is het afsluiten van contracten tussen Europese bedrijven en bedrijven die buiten de EER gevestigd zijn op basis van de standaardcontractbepalingen opgesteld door de Europese Commissie.
Schrems II: Ongeldigheid van Privacy Shield, extra voorzorgen bij gebruik van standaardcontractbepalingen
Omwille van de verregaande bevoegdheden van de Amerikaanse inlichtingendiensten en het gebrek aan effectieve rechtsmiddelen hiertegen, heeft het Hof van Justitie geoordeeld dat het Privacy Shield geen adequate bescherming biedt en heeft bijgevolg het Commissiebesluit inzake het Privacy Shield ongeldig verklaard.
Het directe gevolg is dat de doorgifte van persoonsgegevens vanuit de EER naar de VS op basis van het Privacy Shield sinds de dag van de uitspraak een overtreding uitmaken op de GDPR.
Het arrest heeft echter ook een belangrijke impact op de standaardcontractbepalingen. Tot hiertoe was dit voor ondernemingen louter een administratieve formaliteit. Het Hof benadrukt echter dat de standaardcontractbepalingen geen vrijgeleide zijn voor de doorgifte van persoonsgegevens: partijen dienen steeds geval per geval te beoordelen of er op basis van deze contractbepalingen een gelijkwaardig beschermingsniveau gewaarborgd kan worden. Indien niet, dienen bijkomende maatregelen genomen te worden om het vereiste beschermingsniveau te bekomen. Indien partijen geen toereikende aanvullende maatregelen kunnen nemen om een dergelijke bescherming te waarborgen, zijn zij verplicht om de doorgifte van persoonsgegevens naar het betrokken derde land op te schorten of te beëindigen. Wanneer zij dit niet zouden doen, kunnen de nationale privacy-autoriteiten hen hiertoe dwingen.
De standaardcontractbepalingen bieden geen enkele bescherming tegen de bevoegdheden van de Amerikaanse inlichtingsdiensten. De enige logische conclusie is dan ook dat men zich niet meer louter op de standaardcontractbepalingen kan beroepen om persoonsgegevens via elektronische weg naar de VS door te geven.
In de praktijk is het zeer moeilijk voor ondernemingen om zelf te bepalen welke bijkomende maatregelen genomen zouden moeten worden. De European Data Protection Board, de overkoepelende organisatie waarin onder meer de verschillende nationale privacy-autoriteiten vertegenwoordigd zijn, publiceerde reeds een eerste FAQ en heeft aangekondigd om bijkomende richtsnoeren uit te vaardigen met betrekking tot de aanvullende maatregelen die ondernemingen zelf kunnen nemen. Ook de Europese Commissie heeft aangekondigd om in nauwe samenwerking met de nationale privacy-autoriteiten een snelle en gecoördineerde oplossing te voorzien om ondernemingen opnieuw rechtszekerheid te bieden.
Wordt ongetwijfeld vervolgd…
Indien u vragen heeft over de doorgifte van persoonsgegevens, de impact van Schrems II op uw onderneming of de GDPR in het algemeen, kan u steeds contact opnemen met Four & Five. Wij helpen u graag verder.
Auteurs: Ellen Peeters en Mathieu Le Boudec