Het Hof van Justitie van de EU heeft op 16 juli 2020 een belangwekkend arrest gewezen (C-311/18) over het EU-VS Privacy Shield (Besluit 2016/250) en de modelcontractbepalingen voor doorgifte van persoonsgegevens naar verwerkers (Besluit 2010/87). Het Hof verklaart het Privacy Shield ongeldig, omdat dit onvoldoende waarborgen biedt voor de bescherming van persoonsgegevens in de VS. Dit heeft ingrijpende gevolgen voor de doorgifte van persoonsgegevens vanuit de EU naar de VS. Niet langer mag aangenomen worden dat bedrijven die onder het Privacy Shield gecertificeerd zijn een ‘passend niveau’ van bescherming van persoonsgegevens bieden. Doorgifte naar die bedrijven is vanaf nu onrechtmatig, tenzij de gegevensexporteur in de EU een ander passend instrument hanteert om persoonsgegevens te beschermen.
Naar het oordeel van het Hof zijn de modelcontractbepalingen voor doorgifte van persoonsgegevens die zijn goedgekeurd door de Europese Commissie wel geldig. Toch mag een gegevensexporteur niet zonder meer persoonsgegevens doorgeven als de modelcontractbepalingen zijn gesloten. De exporteur moet de doorgifte niet alleen staken als de importeur de modelcontractbepalingen niet nakomt, maar ook als lokale wetgeving de importeur verhindert om de bepalingen na te leven. Dat legt een zware last op de schouders van de exporteur.
In dit artikel staan we kort stil bij het oordeel van het Hof en bespreken we praktische gevolgen die dit arrest voor uw organisatie kan hebben.
Een stapje terug: wat ging vooraf?
Met het arrest van het Hof van Justitie van de EU van 16 juli 2020 is een nieuw hoofdstuk toegevoegd aan de saga van Maximillian Schrems en Facebook. Al in 2013 heeft Schrems, een Oostenrijkse privacy-activist en tevens Facebook-gebruiker, een klacht ingediend bij de Ierse autoriteit persoonsgegevens (DPC). Schrems was van mening dat de doorgifte van zijn persoonsgegevens door Facebook Ireland aan het moederbedrijf Facebook Inc. in de Verenigde Staten door de DPC verboden moest worden, omdat zijn gegevens daar onvoldoende beschermd zouden zijn.
Facebook Inc, was destijds gecertificeerd onder het zogenaamde Safe Harbor framework. Bedrijven met Safe Harbor certificering boden naar het oordeel van de Europese Commissie een ‘passend beschermingsniveau’ voor persoonsgegevens (Besluit 2000/520), zodat persoonsgegevens vanuit de EU naar die bedrijven doorgegeven mochten worden. Echter, het Hof oordeelde anders. Op 6 oktober 2015 werd het Safe Harbor besluit van de Europese Commissie ongeldig verklaard (HvJ EU 6 oktober 2015, C-362/14 (Schrems I)). EU burgers en hun persoonsgegevens genoten in de VS naar het oordeel van het Hof gegeven de Surveillance programma’s van de Amerikaanse veiligheidsdiensten niet een niveau van bescherming dat ‘wezenlijk gelijkwaardig’ was met het niveau van bescherming in de EU.
Het Schrems I arrest had ingrijpende gevolgen voor de praktijk: van het ene op het andere moment was doorgifte van persoonsgegevens naar Safe Harbor gecertificeerde bedrijven onrechtmatig. De autoriteiten persoonsgegevens in de lidstaten van de EU maakten bekend dat zij niet direct tot handhaving zouden overgaan. Veel organisaties hadden (geruime) tijd nodig om te onderhandelen met gegevensimporteurs in de VS over passende bescherming van persoonsgegevens. In de praktijk werd veelvuldig teruggevallen op door de Europese Commissie goedgekeurde modelcontractbepalingen voor doorgifte.
Besluit EU-VS- Privacy Shield ongeldig verklaard
In 2016 bereikten de Europese Commissie en de Verenigde Staten een akkoord over de opvolger van Safe Harbor, het zogenaamde Privacy Shield. Ook onder het Privacy Shield konden bedrijven zich zelf certificeren en daarmee een ‘passend beschermingsniveau’ voor doorgifte van persoonsgegevens vanuit de EU bieden. Het akkoord werd moeizaam bevochten en zeer kritisch onthaald. Van meet af aan werd ter discussie gesteld of het Privacy Shield voldoende daadwerkelijke bescherming aan Europeanen zou (kunnen) bieden.
In het Schrems II arrest van 16 juli 2020 oordeelt het Hof dat dit niet het geval is. Het Privacy Shield biedt in vergelijking met de bescherming in de EU (het Handvest van grondrechten in de Unie en de Algemene verordening gegevensbescherming) niet ‘wezenlijk gelijkwaardige’ bescherming. Het Privacy Shield faalt kortgezegd op twee essentiële onderdelen:
- de Amerikaanse veiligheidsdiensten hebben een te ruime toegang tot persoonsgegevens;
- het ombudsmanmechanisme biedt burgers onvoldoende mogelijkheid om hun rechten te beschermen.
De geschiedenis herhaalt zich dus: weer is van het ene op het andere moment sprake van onrechtmatige doorgifte van persoonsgegevens. Tot op de dag van vandaag zijn meer dan 5000 bedrijven in de VS Privacy Shield gecertificeerd, waaronder grote IT-dienstverleners zoals Google en Amazon. Voor alle leveranciers en afnemers van die bedrijven die persoonsgegevens doorgeven naar de VS geldt dat zij moeten terugvallen op een ander instrument voor rechtmatige doorgifte. De vraag is anno 2020 echter of de door de Europese Commissie goedgekeurde modelcontractbepalingen nog een bruikbare oplossing kunnen bieden.
Modelcontractbepalingen voor doorgifte zijn geldig, maar zijn ze in de praktijk nog bruikbaar?
In het arrest Schrems II van 16 juli 2020 oordeelt het Hof ook over de geldigheid van de modelcontractbepalingen voor doorgifte van persoonsgegevens aan in derde landen gevestigde verwerkers (Besluit 2010/87). Het Hof oordeelt dat deze modelcontractbepalingen doeltreffende mechanismen bevatten waarmee in de praktijk kan worden gewaarborgd dat het op grond van EU recht voorgeschreven beschermingsniveau wordt geboden. De modelcontractbepalingen worden dus niet ongeldig verklaard. Echter, het Hof wijst uitdrukkelijk op de verplichting van de gegevensexporteur in de EU om voorafgaand aan enige doorgifte te beoordelen of het beschermingsniveau in het derde land wordt gerespecteerd. Is dit niet het geval, dan moet de doorgifte gestaakt worden en/of het contract met gegevensimporteur worden beëindigd.
De vraag is nu hoever deze verplichting van de exporteur strekt. Op grond van de modelcontractbepalingen moet de importeur waarschuwen als deze niet in staat is de modelcontractbepalingen na te leven. Er rust, zo volgt uit het arrest, echter ook een eigen onderzoeksplicht op de gegevensexporteur. Volgens de European Data Protection Board (EDPB) dient de exporteur – indien het beschermingsniveau in het derde land niet wordt gewaarborgd – te overwegen of naast de modelcontractbepalingen aanvullende maatregelen moeten worden genomen. Dit legt een zware last op de schouders van de gegevensexporteur. Met name dringt zich de vraag op of – in het licht van het negatieve oordeel van het Hof over het Privacy Shield, vanwege de rol van de Amerikaanse veiligheidsdiensten en het ontbreken van voldoende bescherming ter plaatse – wel een beroep gedaan kan worden op de modelcontractbepalingen voor doorgifte naar de VS. De Ierse autoriteit persoonsgegevens (DPC) stelde zich daags na publicatie van het arrest al op het standpunt dat dit inderdaad voor discussie vatbaar is en dat dit een zorgvuldige nadere analyse vereist, rekening houdend met de concrete omstandigheden van het geval.
De Autoriteit Persoonsgegevens (AP) reageerde enkele dagen later en stelt op haar website dat persoonsgegevens alleen mogen worden doorgegeven aan derde landen, indien het door de AVG gewaarborgde beveiligingsniveau niet wordt ondermijnd. Opmerkelijk is dat de AP spreekt over beveiligingsniveau in plaats van beschermingsniveau. Dit moet een verschrijving zijn. Over de modelcontractbepalingen stelt de AP dat ze volgens het Hof een geldige grondslag kunnen bieden, maar alleen als een gelijkwaardig beschermingsniveau in de praktijk kan worden gewaarborgd.
Risico van handhaving?
De standpunten van de bevoegde toezichthoudende autoriteiten zijn uiteraard van belang. Niet alleen om te kunnen inschatten of naar het oordeel van een of meer toezichthouders aanvullende maatregelen genomen moeten worden en zo ja welke maatregelen passend zijn. Maar ook omdat de toezichthouders tot onderzoek en handhaving kunnen overgaan. Dat dit niet denkbeeldig is blijkt uit het voortvarende optreden van de Ierse toezichthouder. De DPC legde een voorlopig bevel op aan Facebook om haar doorgifte van persoonsgegevens naar de Verenigde Staten te staken in afwachting van verder onderzoek. Een ontwikkeling die zelfs op kritiek van Max Schrems kon rekenen: want hoe kan een toezichthouder een handhavingsmaatregel opleggen voordat onderzoek is afgerond? Facebook stapte direct naar de Ierse rechter en behaalde voorlopig een overwinning. Het bevel is geschorst en Facebook wordt meer tijd gegund om te reageren1. Naar verwachting zal de rechtszaak in november worden voorgezet2.
Gevolgen voor de Praktijk
De gevolgen van het arrest Schrems II voor de praktijk zijn ingrijpend, mogelijk zelfs ingrijpender dan de gevolgen van het arrest Schrems I (Safe Harbor). Branchevereniging NLdigital heeft in een recente brief aan de regering gevraagd om het onderwerp – gezien de volgens haar benarde huidige situatie van Nederlandse (technologie)bedrijven – zo snel mogelijk op de Nederlandse en Europese politieke agenda te zetten3.
Indien uw bedrijf persoonsgegevens doorgeeft aan een bedrijf in de VS dat Privacy Shield gecertificeerd is, dan is van belang dat u direct in actie komt. Immers, nu het Privacy Shield is weggevallen, is een daarop gebaseerde doorgifte van persoonsgegevens naar het bedrijf in de VS vanaf 16 juli 2020 onrechtmatig. Een alternatief voor het Privacy Shield is volgens eurocommissaris Didier Reynders nog lang niet in zicht4.
Mogelijk had u - al dan niet als terugval optie - ook de modelcontractbepalingen voor doorgifte gesloten. Had u dat nog niet gedaan, dan kunt u dat nu alsnog doen. Echter, bedenkt u wel dat u, gegeven het oordeel van het Hof, een nadere analyse zult moeten uitvoeren. Als verwerkingsverantwoordelijke rust op u immers de verantwoordingsplicht (artikel 5(2) AVG). U zult moeten kunnen verantwoorden dat u – gegeven het arrest Schrems II – heeft geverifieerd of het beschermingsniveau in het land van ontvangst gerespecteerd wordt en of eventuele aanvullende maatregelen nodig zijn om een beschermingsniveau te bieden dat wezenlijk gelijkwaardig is aan het beschermingsniveau in de EU. Dit geldt uiteraard ook voor op de modelcontractbepalingen gebaseerde doorgifte van persoonsgegevens naar andere derde landen dan de VS.
Ondertussen heeft de EDPB een taskforce opgericht om klachten in behandeling te nemen naar aanleiding van het arrest Schrems II. Tot nu toe heeft de EDPB al meer dan honderd (hoofdzakelijk identieke) klachten ontvangen over verwerkingsverantwoordelijken die diensten gebruiken van Facebook en Google en zich daarbij volgens klagers nog baseren op het inmiddels vervallen Privacy Shield of op de modelcontractbepalingen waarbij geen gepaste bescherming van persoonsgegevens verzekerd wordt.
De EDPB heeft ook een taskforce opgericht die zich bezighoudt met de aanvullende maatregelen van juridische, technische en organisatorische aard, die van exporteurs en importeurs van gegevens kunnen worden vereist om passende bescherming te bieden bij de doorgifte van gegevens. Daarbij merkt de EDPB op dat er geen uniforme, snelle oplossing beschikbaar is in deze kwestie en dat elke organisatie zijn eigen gegevensverwerkingsactiviteiten en doorgiften zal moeten evalueren en passende maatregelen zal moeten nemen.
Voor het moment zullen exporteurs van gegevens dus zelf het pionierswerk moeten doen en ingewikkelde afwegingen moeten maken. Behulpzaam daarbij zijn de lijstjes die inmiddels circuleren. NOYB (Non Of Your Business), de NGO die zich primair richt op het onderzoeken van handhavingsmogelijkheden op grond van de AVG, onder meer op het punt van gegevensdoorgifte, heeft voor dit doel een vragenlijst opgesteld om voor te leggen aan de importeur. Ook de toezichthouder van de Duitse deelstaat Baden-Württemberg heeft uitgebreide documentatie, waaronder een vragenlijst gepubliceerd en suggesties voor aanvullingen van de modelcontractbepalingen5.
Uiteraard kunt u ook in kaart brengen of u gebruik kunt maken van een ander instrument voor rechtmatige doorgifte (zoals gedragscodes, certificering, of binding corporate rules) dan wel kunt terugvallen op één van de uitzonderingen op de regels voor doorgifte. De EDPB geeft een beknopte toelichting op deze andere instrumenten en uitzonderingen in haar recent gepubliceerde Frequently Asked Questions document over het Schrems II arrest.
Contact
Neemt u gerust contact op met mij of een van mijn collega’s als u vragen heeft over het arrest Schrems II of als u hulp nodig heeft bij het kiezen en/of implementeren van een instrument voor rechtmatige doorgifte van persoonsgegevens. We zullen u graag van dienst zijn.