In december 2019 publiceerde het Europees Hof van Justitie (EHvJ) de conclusie van advocaat-generaal Saugmandsgaard Øe in de zaak tussen Schrems en Facebook (Schrems II). Kortgezegd is de advocaat-generaal van mening dat de model doorgifteovereenkomsten (Standaard Contractual Clauses) voldoende waarborgen bieden om persoonsgegevens te kunnen doorgeven naar de Verenigde Staten. Ten aanzien van het Privacy Shield is nog niet duidelijk of dit voldoende waarborgen biedt om de rechten en vrijheden van EU ingezetenen te beschermen.
Wat betekent deze uitspraak voor de praktijk? In deze blog lichten wij de belangrijkste regels voor doorgifte van persoonsgegevens toe en gaan wij in op Schrems II.
Wat is doorgifte van persoonsgegevens?
De Algemene Verordening Gegevensbescherming (AVG) stelt strenge eisen aan de verwerking van persoonsgegevens. In landen buiten de Europese Unie (EU) gelden andere regels die niet altijd een even hoog niveau van bescherming bieden. Wanneer een organisatie in de EU persoonsgegevens doorgeeft aan een land buiten de EU waar een lager beschermingsniveau geldt, zijn aanvullende waarborgen vereist.
De begrippen ‘doorgeven’ of ‘doorgifte’ zijn in de AVG niet gedefinieerd. In 2014 heeft de Europese privacy toezichthouder, de European Data Protection Supervisor (EDPS), invulling gegeven aan het begrip doorgifte onder de Privacyrichtlijn, de voorloper van de AVG. De EDPS overweegt dat doorgifte van persoonsgegevens impliceert dat de volgende elementen aanwezig zijn: communicatie, openbaarmaking of anderszins beschikbaar stellen van persoonsgegevens, waarbij de verzender de ontvanger toegang wil geven tot de persoonsgegevens. Voorbeelden van doorgifte zijn het versturen van persoonsgegevens via post of e-mail, het uploaden van persoonsgegevens in een database, toegang gegeven tot een database, online gegevens laten verzamelen door een verwerker of het publiceren van persoonsgegevens.
Doorgifte naar landen buiten de EU vindt al snel plaats wanneer een organisatie internationaal opereert of wanneer een organisatie gebruikmaakt van (cloud) diensten van een partij die buiten de EU is gevestigd. Let dus goed op wanneer je bijvoorbeeld een klantenbestand hebt dat toegankelijk is voor een dochteronderneming in de Verenigde Staten of wanneer je gebruikmaakt van een systeem dat wordt gehost door een grote internationale hosting provider.
Wanneer gelden er aanvullende eisen voor doorgifte van persoonsgegevens?
Wees alert wanneer een gegevensverwerking een internationale component heeft. Check of er doorgifte plaatsvindt naar een ‘derde land’. Derde landen zijn alle landen buiten de EU, Noorwegen, Liechtenstein en IJsland (samen de Europese Economische Ruimte (EER)). Ten aanzien van sommige derde landen heeft de Europese Commissie geoordeeld dat het beschermingsniveau adequaat is, en een zogenaamd adequaatheidsbesluit gepubliceerd. Controleer daarom voorafgaand aan de doorgifte naar een derde land de lijst van adequaatheidsbesluiten op de website van de Europese Commissie, zie hier.
De adequaatheidsbesluiten gelden niet altijd voor een heel land, maar het kan ook gaan om een bepaalde sector (zoals in Canada) of specifieke organisaties. Voor de Verenigde Staten geldt dat wanneer een organisatie is aangesloten bij het EU-US Privacy Shield, er sprake is van een adequaat beschermingsniveau.
Geef je persoonsgegevens door aan een land buiten de EER en is er geen adequaatheidsbesluit afgegeven? Dan gelden aanvullende eisen, zie hierna.
Maar wacht, hoe zat het met het EU-US Privacy Shield?
Het EU-US Privacy Shield is een overeenkomst tussen het Amerikaanse ministerie van Economische Zaken en de Europese Commissie over de doorgifte van persoonsgegevens van de EU naar de VS. In die overeenkomst staan eisen die de Europese Commissie stelt aan bedrijven die persoonsgegevens verwerken die worden doorgegeven vanuit de EU. Organisaties in de Verenigde Staten kunnen zich aanmelden voor het Privacy Shield programma waarbij ze zich committeren aan de eisen van de Europese Commissie. De Amerikaanse overheid moet regelmatig controleren of de organisatie de eisen nog naleeft. Organisaties die zijn aangesloten bij het Privacy Shield zijn hier te vinden.
Het Privacy Shield is al enkele jaren onderwerp van discussie. Schrems II gaat niet direct over de geldigheid van het Privacy Shield. Hierover hebben de ngo’s Digital Rights Ireland en La Quadrature du Net wel een procedure aangespannen. De uitspraak in La Quadrature du Net is echter aangehouden in afwachting op de uitspraak in Schrems II. Schrems II gaat over de standaard contractual clauses, maar de beantwoording van de vragen heeft wel impact op de wijze waarop naar het Privacy Shield wordt gekeken.
Wat zijn de aanvullende eisen?
Wanneer persoonsgegevens worden doorgegeven aan een derde land en er geen adequaatheidsbesluit van toepassing is, gelden aanvullende eisen voor de doorgifte.
De AVG kent verschillende ‘passende waarborgen’ om de doorgifte te legitimeren, zoals juridisch bindende afspraken tussen overheidsorganen, bindende bedrijfsvoorschriften/ Binding Corporate Rules (BCR), doorgifte-overeenkomsten op basis van Standard Contractual Clauses en goedgekeurde gedragscodes en certificeringsmechanismen. In gevallen waarbij deze passende waarborgen niet mogelijk zijn, moet worden onderzocht of een van de uitzonderingen uit de AVG van toepassing zijn. Voorbeelden hiervan zijn de uitdrukkelijke toestemming voor doorgifte door de betrokkene, een doorgifte die noodzakelijk is voor de uitvoering van een overeenkomst met de betrokkene of in het belang van de betrokkene.
De Standard Contractual Clauses zijn een veel gebruikt instrument om doorgifte te legitimeren. De data exporteur gaat dan een doorgifteovereenkomst aan met de data importeur en gebruikt hiervoor een (ongewijzigd) standaardcontract waarbij de bijlagen moeten worden ingevuld. Hierin moet duidelijk worden omschreven op welke verwerkingen de doorgifte ziet.
De zaak Schrems II gaat de Standard Contractual Clauses. De vraag die werd gesteld is of de Standard Contractual Clauses wel genoeg waarborgen bieden om de rechten en vrijheden van betrokkenen te beschermen. Advocaat-generaal Saugmandsgaard Øe concludeerde dat dit het geval was. Een conclusie is geen definitieve einduitspraak, maar over het algemeen wordt dit oordeel gevolgd door het EHvJ.