De Verenigde Staten bieden onvoldoende bescherming aan persoonsgegevens die vanuit de Europese Unie zijn doorgegeven. Dat heeft het Europees Hof van Justitie op 16 juli 2020 bepaald. Het Hof heeft het Privacy Shield daarmee ongeldig verklaard. Doorgiften van persoonsgegevens op basis van de modelcontractbepalingen (standard contractual clauses) zijn wel geldig.
EU-US Privacy Shield
De algemene verordening gegevensbescherming (AVG) bepaalt dat de doorgifte van persoonsgegevens naar een derde land in beginsel slechts kan plaatsvinden indien het derde land een passend beschermingsniveau waarborgt. Als een land buiten de EU in de nationale wetgeving een passend niveau van gegevensbescherming biedt, kan de Europese Commissie (EC) een ‘adequaatheidsbeslissing’ nemen.
Het EU-US Privacy Shield is een voorbeeld van een adequaatheidsbeslissing. Het Privacy Shield is een regeling voor doorgifte van persoonsgegevens vanuit de EU naar de VS. Het doel van het Privacy Shield is een beschermingsniveau te bieden dat in grote lijnen overeenkomt met het niveau binnen de EU.
Het Hof heeft de geldigheid van het Privacy Shield getoetst aan de eisen van de AVG. Het Hof constateert dat het privacy Shield bepaalt dat de nationale veiligheid, het algemeen belang en de naleving van de Amerikaanse wetgeving voorrang hebben. Daardoor komt de privacy van EU-burgers in het geding. Het Hof verwijst naar een interne regeling op basis waarvan Amerikaanse overheidsinstanties toegang hebben tot persoonsgegevens zonder dat die “tot het strikt noodzakelijke” is beperkt. Ook hebben EU-burgers in de regeling geen “voor de rechter afdwingbare rechten tegenover de Amerikaanse autoriteiten”. EU-burgers kunnen dus niet optreden tegen een inbreuk op hun privacy.
Standard contractual clauses
Als er geen sprake is van een adequaatheidsbeslissing, dan moet er een andere passende waarborg zijn als een organisatie persoonsgegevens wil doorgeven aan een land buiten de EU. Dat kan met een modelcontractbepaling die door de Europese Commissie is vastgesteld (de standard contractual clauses).
Ook de geldigheid van standard contractual clauses zijn door het Hof onderzocht. Het Hof erkent dat de standaardbepalingen door hun contractuele aard niet bindend zijn voor de autoriteiten van het derde land waarnaar persoonsgegevens kunnen worden doorgegeven. Dit doet echter niet af aan de geldigheid van de standard contractual clauses. Bepalend is namelijk of de standaardbepalingen de privacy voldoende waarborgen. De doorgifte van persoonsgegevens op basis de standaardbepalingen moet daarnaast kunnen worden opgeschort of verboden als ze worden geschonden of niet (kunnen) worden nageleefd. Het Hof oordeelt dat de standard contractual clauses dergelijke waarborgen biedt.
De standard contractual clauses bevatten een verplichting voor de verstrekkende en ontvangende partij om vooraf na te gaan of het beschermingsniveau in acht wordt genomen in het derde land. De ontvanger is verplicht om de verstrekker in kennis te stellen indien hij niet in staat zou zijn om de standaardbepalingen na te leven. De verstrekker moet in dat geval de doorgifte van gegevens opschorten en/of de overeenkomst met de ontvanger beëindigen.
Impact
Nu het Privacy Shield ongeldig is verklaard, kunnen bedrijven geen persoonsgegevens meer doorgeven aan de VS. Dit heeft voor zowel Europese als Amerikaanse bedrijven grote gevolgen.
De standard contractual clauses zijn een mogelijk alternatief voor de doorgifte aan een derde land. De vraag is echter of deze standaardbepalingen altijd gebruikt kunnen worden. Zoals hierboven uiteengezet, bevatten de standard contractual clauses een verplichting voor zowel de verstrekker als ontvangener om vooraf na te gaan of het vereiste Europese beschermingsniveau in acht wordt genomen in het derde land. En dat beschermingsniveau lijkt in de VS nu juist niet te kunnen worden gegarandeerd.