In
december 2019 publiceerde het Europees Hof van Justitie (EHvJ) de conclusie van advocaat-generaal Saugmandsgaard Øe
in de zaak tussen Schrems en Facebook (Schrems II). Kortgezegd is de
advocaat-generaal van mening dat de model doorgifteovereenkomsten (Standaard Contractual
Clauses) voldoende waarborgen bieden om persoonsgegevens te kunnen doorgeven
naar de Verenigde Staten. Ten aanzien van het Privacy Shield is nog niet duidelijk
of dit voldoende waarborgen biedt om de rechten en vrijheden van EU ingezetenen
te beschermen.
Wat
betekent deze uitspraak voor de praktijk? In deze blog lichten wij de
belangrijkste regels voor doorgifte van persoonsgegevens toe en gaan wij in op
Schrems II.
Wat is
doorgifte van persoonsgegevens?
De Algemene Verordening
Gegevensbescherming (AVG) stelt strenge eisen aan de verwerking van
persoonsgegevens. In landen buiten de Europese Unie (EU) gelden andere regels
die niet altijd een even hoog niveau van bescherming bieden. Wanneer een
organisatie in de EU persoonsgegevens doorgeeft aan een land buiten de EU waar
een lager beschermingsniveau geldt, zijn aanvullende waarborgen vereist.
De begrippen ‘doorgeven’ of
‘doorgifte’ zijn in de AVG niet gedefinieerd. In 2014 heeft de Europese privacy
toezichthouder, de European Data Protection Supervisor (EDPS), invulling
gegeven aan het begrip doorgifte onder de Privacyrichtlijn, de voorloper van de
AVG. De EDPS overweegt dat doorgifte van persoonsgegevens impliceert dat de
volgende elementen aanwezig zijn: communicatie, openbaarmaking of anderszins
beschikbaar stellen van persoonsgegevens, waarbij de verzender de ontvanger
toegang wil geven tot de persoonsgegevens. Voorbeelden van doorgifte zijn het
versturen van persoonsgegevens via post of e-mail, het uploaden van
persoonsgegevens in een database, toegang gegeven tot een database, online
gegevens laten verzamelen door een verwerker of het publiceren van
persoonsgegevens.
Doorgifte naar landen buiten
de EU vindt al snel plaats wanneer een organisatie internationaal opereert of
wanneer een organisatie gebruikmaakt van (cloud) diensten van een partij die
buiten de EU is gevestigd. Let dus goed op wanneer je bijvoorbeeld een
klantenbestand hebt dat toegankelijk is voor een dochteronderneming in de
Verenigde Staten of wanneer je gebruikmaakt van een systeem dat wordt gehost
door een grote internationale hosting provider.
Wanneer
gelden er aanvullende eisen voor doorgifte van persoonsgegevens?
Wees alert wanneer een
gegevensverwerking een internationale component heeft. Check of er doorgifte
plaatsvindt naar een ‘derde land’. Derde landen zijn alle landen buiten de EU,
Noorwegen, Liechtenstein en IJsland (samen de Europese Economische Ruimte (EER)).
Ten aanzien van sommige derde landen heeft de Europese Commissie geoordeeld dat
het beschermingsniveau adequaat is, en een zogenaamd adequaatheidsbesluit
gepubliceerd. Controleer daarom voorafgaand aan de doorgifte naar een derde
land de lijst van adequaatheidsbesluiten op de website van de Europese
Commissie, zie hier.
De adequaatheidsbesluiten
gelden niet altijd voor een heel land, maar het kan ook gaan om een bepaalde
sector (zoals in Canada) of specifieke organisaties. Voor de Verenigde Staten
geldt dat wanneer een organisatie is aangesloten bij het EU-US Privacy Shield,
er sprake is van een adequaat beschermingsniveau.
Geef je persoonsgegevens door
aan een land buiten de EER en is er geen adequaatheidsbesluit afgegeven? Dan
gelden aanvullende eisen, zie hierna.
Maar
wacht, hoe zat het met het EU-US Privacy Shield?
Het EU-US Privacy Shield is
een overeenkomst tussen het Amerikaanse ministerie van Economische Zaken en de
Europese Commissie over de doorgifte van persoonsgegevens van de EU naar de VS.
In die overeenkomst staan eisen die de Europese Commissie stelt aan bedrijven die
persoonsgegevens verwerken die worden doorgegeven vanuit de EU. Organisaties in
de Verenigde Staten kunnen zich aanmelden voor het Privacy Shield programma
waarbij ze zich committeren aan de eisen van de Europese Commissie. De
Amerikaanse overheid moet regelmatig controleren of de organisatie de eisen nog
naleeft. Organisaties die zijn aangesloten bij het Privacy Shield zijn hier te
vinden.
Het Privacy Shield is al
enkele jaren onderwerp van discussie. Schrems II gaat niet direct over de
geldigheid van het Privacy Shield. Hierover hebben de ngo’s Digital Rights
Ireland en La Quadrature du Net wel een procedure aangespannen. De uitspraak in
La Quadrature du Net is echter aangehouden in afwachting op de uitspraak in
Schrems II. Schrems II gaat over de standaard contractual clauses, maar de
beantwoording van de vragen heeft wel impact op de wijze waarop naar het
Privacy Shield wordt gekeken.
Wat
zijn de aanvullende eisen?
Wanneer persoonsgegevens
worden doorgegeven aan een derde land en er geen adequaatheidsbesluit van
toepassing is, gelden aanvullende eisen voor de doorgifte.
De AVG kent verschillende
‘passende waarborgen’ om de doorgifte te legitimeren, zoals juridisch bindende
afspraken tussen overheidsorganen, bindende bedrijfsvoorschriften/ Binding
Corporate Rules (BCR), doorgifte-overeenkomsten op basis van Standard
Contractual Clauses en goedgekeurde gedragscodes en certificeringsmechanismen.
In gevallen waarbij deze passende waarborgen niet mogelijk zijn, moet worden
onderzocht of een van de uitzonderingen uit de AVG van toepassing zijn.
Voorbeelden hiervan zijn de uitdrukkelijke toestemming voor doorgifte door de
betrokkene, een doorgifte die noodzakelijk is voor de uitvoering van een
overeenkomst met de betrokkene of in het belang van de betrokkene.
De Standard Contractual
Clauses zijn een veel gebruikt instrument om doorgifte te legitimeren. De data
exporteur gaat dan een doorgifteovereenkomst aan met de data importeur en
gebruikt hiervoor een (ongewijzigd) standaardcontract waarbij de bijlagen
moeten worden ingevuld. Hierin moet duidelijk worden omschreven op welke
verwerkingen de doorgifte ziet.
De zaak Schrems II gaat de
Standard Contractual Clauses. De vraag die werd gesteld is of de Standard
Contractual Clauses wel genoeg waarborgen bieden om de rechten en vrijheden van
betrokkenen te beschermen. Advocaat-generaal Saugmandsgaard Øe concludeerde dat
dit het geval was. Een conclusie is geen definitieve einduitspraak, maar over
het algemeen wordt dit oordeel gevolgd door het EHvJ.
