Publicatie
13-08-2020

Europese Hof van Justitie zet streep door EU-VS Privacy Shield

Doorgifte persoonsgegevens naar derde land

Op grond van de algemene verordening gegevensbescherming ("AVG") mag de doorgifte van persoonsgegevens naar een 'derde' land (een land buiten de Europese Unie) alleen plaatsvinden als dat derde land een passend beschermingsniveau voor de bescherming van persoonsgegevens waarborgt.

Passende waarborgen kunnen op grond van de AVG worden geboden door verschillende instrumenten. Zo kan de Europese Commissie bepalen dat er ten aanzien van een derde land een passend beschermingsniveau aanwezig is. In dat geval geeft de Europese Commissie een adequaatheidsbesluit af voor dat land. Ook kunnen de gegevensexporteur en de gegevensimporteur gebruikmaken van door de Europese Commissie vastgestelde contractuele standaardbepalingen ('Standard Contractual Clauses') op basis waarvan een passend beschermingsniveau wordt gewaarborgd.

Privacy Shield

Voor de Verenigde Staten was een bijzonder regime voor deze passende waarborgen mogelijk gemaakt, het EU-VS Privacy Shield ("Privacy Shield"). Het Privacy Shield is een overeenkomst tussen de Europese Commissie en de Verenigde Staten, over de bescherming van persoonsgegevens van EU-burgers die in de Verenigde Staten worden verwerkt. Het Privacy Shield is vanaf 1 augustus 2016 van kracht.

Privacy Shield ongeldig verklaart

Het Hof van Justitie van de Europese Unie ("Hof") heeft het Privacy Shield op 16 juli 2020 echter ongeldig verklaard in de zaak Schrems II. Persoonsgegevens kunnen op grond van het Privacy Shield daarom niet meer worden doorgegeven aan de Verenigde Staten.

De uitspraak van het Hof volgt naar aanleiding van een klacht van een Oostenrijkse staatsburger over het door Facebook doorgeven van persoonsgegevens aan Amerikaanse servers. De doorgifte vond plaats op grond van het Privacy Shield. Volgens de klager biedt het Privacy Shield onvoldoende waarborgen voor de bescherming van zijn persoonsgegevens tegen toegang door de Amerikaanse overheid.

Het Hof heeft naar aanleiding van de klacht onder andere geconcludeerd:

  • dat het Privacy Shield niet belet dat Amerikaanse surveillanceprogramma’s verder gaan dan strikt noodzakelijk. De eisen inzake nationale veiligheid, het algemeen belang en de naleving van Amerikaanse wetgeving hebben namelijk voorrang op de bescherming van persoonsgegevens van EU-burgers en op grond van de Amerikaanse wetgeving hebben Amerikaanse inlichtingen- en veiligheidsdiensten het recht om gegevens van EU-burgers in te zien en te gebruiken;
  • dat het Privacy Shield EU-burgers niet genoeg bescherming biedt om bij klachten over de verwerking van hun persoonsgegevens tegen de Amerikaanse autoriteiten op te komen; en
  • dat het Privacy Shield een ombudsman-mechanisme bevat dat onvoldoende de onafhankelijkheid van die ombudsman verzekert.

Gevolgen van deze uitspraak

Persoonsgegevens kunnen op grond van het Privacy Shield niet meer worden doorgegeven aan de Verenigde Staten. Gegevensexporteurs die Europese persoonsgegevens op basis van het Privacy Shield delen met gegevensimporteurs in de Verenigde Staten voldoen zodoende niet meer aan de AVG.

Volgens het Hof kunnen Standard Contractual Clauses nog gebruikt worden, maar dient wel een passend beschermingsniveau voor de bescherming van persoonsgegevens te zijn gewaarborgd. Het Hof benadrukt dat het aan de gegevensexporteur en de gegevensimporteur is om te analyseren of het door het EU-recht vereiste beschermingsniveau in de praktijk wordt gerespecteerd. Indien uit de analyse blijkt dat dit niet het geval is, dienen doeltreffende aanvullende maatregelen te worden genomen of dient de doorgifte te worden opgeschort. Indien niet tot opschorting van de doorgifte wordt overgegaan terwijl dat wel zou moeten, dan dient de toezichthouder op de hoogte te worden gesteld.

Op de website van de Autoriteit Persoonsgegevens valt te lezen dat de European Data Protection Board (EDPB) bekijkt wat de praktische gevolgen zijn van de uitspraak van het Hof en wat eventuele vervolgstappen kunnen zijn. Op korte termijn komt de EDPB met guidance over aanvullende maatregelen die organisaties kunnen opnemen in modelcontracten.

Mocht u nog vragen hebben naar aanleiding van het bovenstaande, neem dan gerust contact met ons op.

13 augustus 2020