Persartikelen

Nieuwe verstrenging voor de gegevensoverdracht naar de VS

Gepost op 27 juli 2020
Vorig Volgend
In haar arrest van 6 oktober 2015 oordeelde het Hof van Justitie van de Europese Unie (HvJ-EU) in de zaak Schrems dat de "veiligheidszone" of het "Safe Harbour-principe" dat door de VS was ingesteld, ongeldig was en niet kon worden ingeroepen om de overdracht van persoonlijke gegevens naar de VS te rechtvaardigen...

In haar arrest van 6 oktober 2015 had het Europees Hof van Justitie (EHJ) in de Schrems-zaak geoordeeld dat het "Safe Harbour" -kader dat door de VS was vastgesteld, ongeldig was en niet kon worden ingeroepen om de overdracht van persoonsgegevens naar de VS te rechtvaardigen.

Ter herinnering: vóór de AVG stelde Richtlijn 95/46 (en in België de wet van 8 december 1992) strikte voorwaarden voor overdrachten buiten de Unie en vereiste dat het bestemmingsland een niveau van gegevensbeveiliging "gelijkwaardig" aan de bescherming in de Unie garandeerde.

Een beperkt aantal landen werd erkend als zijnde in staat om aan dit criterium te voldoen, maar de VS was daar geen van.

Daarom hadden het Amerikaanse ministerie van Handel en de Europese Commissie een kader opgesteld, het zogenaamde "Safe Harbour-principe", waarmee Amerikaanse bedrijven die dat wensten, zich konden verbinden om verschillende regels na te leven om een gelijkwaardige bescherming van gegevens te waarborgen. Dit zelfregulatie- en vrijwillige zelfcertificatiemechanisme maakte gegevensoverdrachten naar de VS geldig. Bijna 4.000 Amerikaanse bedrijven, waaronder Microsoft en Facebook, hadden zich aan deze principes verbonden.

In het geval van Facebook was elke Europese gebruiker verplicht een contract aan te gaan met Facebook Ierland, een dochteronderneming van Facebook Inc., het moederbedrijf in de VS. Een deel van de persoonlijke gegevens van Europese Facebook-gebruikers werd echter overgedragen aan Facebook Inc. op basis van de Safe Harbour-certificering. De heer Schrems, een Oostenrijkse burger en Facebook-gebruiker, verzette zich tegen deze overdracht en diende een klacht in om te voorkomen dat Facebook Ierland zijn persoonsgegevens naar Facebook Inc. zou overdragen.

In zijn arrest van 2015 verwierp het EHJ deze certificering omdat de Amerikaanse autoriteiten hadden aangetoond dat zij de Europese principes in dit verband negeerden, door van zelfs "Safe Harbour"-gecertificeerde Amerikaanse bedrijven te eisen dat ze hen onbeperkt toegang gaven tot persoonsgegevens, inclusief gegevens uit de Unie.

Het EHJ oordeelde dat het "Safe Harbour" -principe geen gelijkwaardig beschermingsniveau garandeerde in vergelijking met dat van de Unie. Het bekritiseerde de Europese Commissie voor haar overmatige tolerantie ten opzichte van de VS. Het is ook vermeldenswaard dat de Commissie in de Swift-zaak al een aanzienlijke afwijking van de Europese regels had geaccepteerd.

Zeker, de richtlijn (zoals de AVG) stond de Commissie toe om "vast te stellen" dat, na onderhandelde internationale verplichtingen, een land een gelijkwaardig beschermingsniveau waarborgde. Het EHJ verweet de Commissie echter dat zij geen rekening had gehouden met de beveiligingsinbreuken in de VS, die met name door de Snowden-zaak aan het licht waren gekomen.

Na de afwijzing van "Safe Harbour", en om te voorkomen dat de transatlantische gegevensstromen zouden worden verstoord, werd snel een oplossing ingevoerd in de vorm van het "Privacy Shield", een mechanisme dat in samenwerking tussen het Amerikaanse ministerie van Handel en de Europese Commissie werd ontwikkeld, waardoor bedrijven zich konden verbinden aan de voorwaarden voor gegevensbescherming. Het was opnieuw een zelfcertificatiemechanisme.

Destijds had ik al opgemerkt dat het Privacy Shield hetzelfde grote gebrek vertoonde als zijn voorganger, Safe Harbour, namelijk dat het de toegang van de Amerikaanse autoriteiten tot gegevens niet beperkte "op een manier die voldoet aan eisen die in wezen gelijkwaardig zijn aan die welke door het Europese recht worden vereist." In feite werd het "gelijkwaardige" beschermingsniveau dus niet gewaarborgd voor de Amerikaanse autoriteiten.

Dit is precies de reden waarom het EHJ in zijn arrest van 16 juli 2020 het "Privacy Shield" ongeldig verklaarde. Dit resultaat was dus voorspelbaar.

Betekent dit dat alle persoonsgegevensoverdrachten naar de VS nu onmogelijk zijn? Nee, omdat de AVG bepaalt dat wanneer een buitenlands land geen adequaat beschermingsniveau waarborgt, een overdracht nog steeds mogelijk is als (i) de betrokkene heeft ingestemd – nadat hij is geïnformeerd over de risico's, (ii) als de overdracht noodzakelijk is voor de uitvoering van een contract (bijvoorbeeld een aandelenoptieovereenkomst), (iii) als de overdracht noodzakelijk is ter bescherming van de vitale belangen van de betrokkene, of (iv) als het betrokken bedrijf heeft aangetoond dat het een gelijkwaardig beschermingsniveau waarborgt, bijvoorbeeld door middel van bindende bedrijfsregels of het gebruik van standaardcontractclausules.

Het is echter wel waar dat gezien de aanzienlijke overdrachten van persoonsgegevens binnen multinationale groepen, bedrijven die betrokken zijn bij overdrachten van de Unie naar de VS hun praktijken moeten herzien.

Gelinkte publicaties