Het is al tijden onrustig op het gebied van uitwisseling van persoonsgegevens met de Verenigde Staten. Zo is het welbekende Safe Harbor-framework enige tijd voor de inwerkingtreding van de AVG al vernietigd door het Europees Hof van Justitie en besloot deze instantie onlangs in de Schrems II-uitspraak dat ook de daarvoor in de plaats gekomen Privacy Shield-constructie onvoldoende waarborgen bood aan Europese burgers. Tevens liet het Europees Hof doorschemeren dat doorgiften op grond van modelcontracten niet altijd automatisch rechtmatig kunnen worden geacht. Deze contracten zouden, aldus het Europees Hof, zonder aanvullende maatregelen, onvoldoende bescherming bieden tegen Amerikaanse wetgeving.
Data Protection Commission
Niet lang na de uitspraak van het Europese Hof volgde de beslissing van de Ierse Data Protection Commission (“DPC”) waarin zij Facebook verbood om nog langer data van Europese gebruikers naar de Verenigde Staten te zenden. Dit aangezien Facebook, volgens de DPC, niet kon voldoen aan de eis van het Europees Hof ten aanzien van het nemen van aanvullende maatregelen, zo volgt uit een statement op de website van Facebook.
Facebook is in reactie hierop naar de Ierse rechter gestapt – en met (tijdelijk) succes. Op 14 september heeft de High Court namelijk bepaald dat het verbod tijdelijk on hold wordt gezet, wat betekent dat Facebook de uitwisselpraktijken tot nadere orders kan voortzetten. De precieze argumenten van de High Court zijn niet bekend, nu de documenten (nog) niet openbaar zijn.
Smaakt naar meer?
Ondanks dat de stap van de Ierse DPC voor nu nog geen concrete gevolgen heeft voor Facebook, is het de vraag wat dit betekent voor de toekomst. Veel bedrijven delen immers aan de lopende band gegevens met de Verenigde Staten als onderdeel van hun normale bedrijfsactiviteiten of slaan gegevens op in de Verenigde Staten. Indien andere autoriteiten de houding van de Ieren volgen, of indien de DPC dergelijke verboden ook aan andere bedrijven gaat opleggen, zoals bijvoorbeeld aan andere tech-reuzen die gevestigd zijn in Ierland, kan dit grote gevolgen hebben voor de bedrijfsvoering van velen. Niet alleen is het erg kostbaar om bedrijfsprocessen zo om te buigen dat alle data voortaan in de EU wordt gehouden, ook kan dat praktisch enorm complex zijn voor (internationaal opererende) bedrijven.
Standpunt European Data Protection Board
De European Data Protection Board (“EDPB”) heeft in haar statement over de Schrems II-uitspraak erkend dat zij in het verleden reeds belangrijke gebreken heeft vastgesteld in de Privacy Shield-constructie. Echter benoemt zij ook het belang van trans-Atlantische doorgifte en staat zij open voor het opstellen van een nieuwe constructie.
Ten aanzien van de modelcontracten stelt de EDPB in haar statement dat de uitspraak herinnert aan het belang van het naleven van de verplichtingen die volgen uit de modelcontracten en dat ten aanzien van de doorgifte van persoonsgegevens richtsnoeren zijn opgesteld. Tevens benadrukt ze dat, ondanks dat toezichthoudende autoriteiten de plicht hebben om doorgiften op grond van modelcontracten op te schorten of te verbieden in geval het niet mogelijk is om een passend beschermingsniveau te bieden, consistentie van groot belang is. Hiermee lijkt de EDPB voorzichtig uit te drukken dat het niet de bedoeling is dat nationale autoriteiten hun eigen regels maken, maar juist oog blijven houden voor een EU-wijde aanpak.
Uit de FAQ van de EDPB naar aanleiding van de Schrems-beslissing volgt echter dat instanties die gegevens uitwisselen toch met een levensgroot probleem worden opgezadeld. De EDPB zegt:
“De vraag of u al dan niet persoonsgegevens kunt doorgeven op basis van de
modelcontractbepalingen zal afhangen van het resultaat van uw beoordeling, rekening houdend met de omstandigheden van de doorgiften, en van de aanvullende maatregelen die u kunt nemen. Nadat de omstandigheden van de doorgifte per geval zijn geanalyseerd, moeten de aanvullende maatregelen samen met de modelcontractbepalingen ervoor zorgen dat de Amerikaanse wetgeving geen afbreuk doet aan het passende beschermingsniveau dat zij waarborgen. Als u tot de conclusie komt dat er geen passende waarborgen kunnen worden geboden vanwege de omstandigheden van de doorgifte en mogelijke aanvullende maatregelen, moet u de doorgifte van persoonsgegevens opschorten of beëindigen. Als u echter voornemens bent om gegevens te blijven doorgeven ondanks deze conclusie, moet u uw bevoegde TA op de hoogte brengen.”
Deze opdracht is nogal moeilijk uit te voeren en zorgt voor veel rechtsonzekerheid.
De autoriteit van het Duitse Baden-Württemberg heeft in elk geval geprobeerd om praktisch in te spelen op het ‘probleem’ dat is ontstaan uit de Schrems II-uitspraak, door aanbevelingen te doen over bepalingen die in aanvulling op de modelcontracten gebruikt zouden kunnen worden om bepaalde gaten te dichten. Het lijkt aanbevelenswaardig in ieder geval van die aanvullingen gebruik te maken.
Europese koers
Gezien de complexiteit die een mogelijke stop van de gegevensuitwisseling met de Verenigde Staten met zich brengt, als ook de houding van de EDPB, die alle Europese toezichthouders vertegenwoordigt, lijkt het onwaarschijnlijk dat een verbod zonder alternatieven de toekomstige Europese koers zal worden.
Het blijft natuurlijk wel de vraag hoe lang en onder welke (aanvullende) voorwaarden de modelcontracten houdbaar zullen blijven en hoe het gaat tussen Amerikaanse en Europese wetgeving dusdanig kan worden gedicht zodat een passend beschermingsniveau kan worden gegarandeerd. Hier zal de EDPB de komende tijd haar hoofd over moeten breken.
Vanzelfsprekend houden we u op de hoogte.
Het is al tijden onrustig op het gebied van uitwisseling van persoonsgegevens met de Verenigde Staten. Zo is het welbekende Safe Harbor-framework enige tijd voor de inwerkingtreding van de AVG al vernietigd door het Europees Hof van Justitie en besloot deze instantie onlangs in de Schrems II-uitspraak dat ook de daarvoor in de plaats gekomen Privacy Shield-constructie onvoldoende waarborgen bood aan Europese burgers. Tevens liet het Europees Hof doorschemeren dat doorgiften op grond van modelcontracten niet altijd automatisch rechtmatig kunnen worden geacht. Deze contracten zouden, aldus het Europees Hof, zonder aanvullende maatregelen, onvoldoende bescherming bieden tegen Amerikaanse wetgeving.
Data Protection Commission
Niet lang na de uitspraak van het Europese Hof volgde de beslissing van de Ierse Data Protection Commission (“DPC”) waarin zij Facebook verbood om nog langer data van Europese gebruikers naar de Verenigde Staten te zenden. Dit aangezien Facebook, volgens de DPC, niet kon voldoen aan de eis van het Europees Hof ten aanzien van het nemen van aanvullende maatregelen, zo volgt uit een statement op de website van Facebook.
Facebook is in reactie hierop naar de Ierse rechter gestapt – en met (tijdelijk) succes. Op 14 september heeft de High Court namelijk bepaald dat het verbod tijdelijk on hold wordt gezet, wat betekent dat Facebook de uitwisselpraktijken tot nadere orders kan voortzetten. De precieze argumenten van de High Court zijn niet bekend, nu de documenten (nog) niet openbaar zijn.
Smaakt naar meer?
Ondanks dat de stap van de Ierse DPC voor nu nog geen concrete gevolgen heeft voor Facebook, is het de vraag wat dit betekent voor de toekomst. Veel bedrijven delen immers aan de lopende band gegevens met de Verenigde Staten als onderdeel van hun normale bedrijfsactiviteiten of slaan gegevens op in de Verenigde Staten. Indien andere autoriteiten de houding van de Ieren volgen, of indien de DPC dergelijke verboden ook aan andere bedrijven gaat opleggen, zoals bijvoorbeeld aan andere tech-reuzen die gevestigd zijn in Ierland, kan dit grote gevolgen hebben voor de bedrijfsvoering van velen. Niet alleen is het erg kostbaar om bedrijfsprocessen zo om te buigen dat alle data voortaan in de EU wordt gehouden, ook kan dat praktisch enorm complex zijn voor (internationaal opererende) bedrijven.
Standpunt European Data Protection Board
De European Data Protection Board (“EDPB”) heeft in haar statement over de Schrems II-uitspraak erkend dat zij in het verleden reeds belangrijke gebreken heeft vastgesteld in de Privacy Shield-constructie. Echter benoemt zij ook het belang van trans-Atlantische doorgifte en staat zij open voor het opstellen van een nieuwe constructie.
Ten aanzien van de modelcontracten stelt de EDPB in haar statement dat de uitspraak herinnert aan het belang van het naleven van de verplichtingen die volgen uit de modelcontracten en dat ten aanzien van de doorgifte van persoonsgegevens richtsnoeren zijn opgesteld. Tevens benadrukt ze dat, ondanks dat toezichthoudende autoriteiten de plicht hebben om doorgiften op grond van modelcontracten op te schorten of te verbieden in geval het niet mogelijk is om een passend beschermingsniveau te bieden, consistentie van groot belang is. Hiermee lijkt de EDPB voorzichtig uit te drukken dat het niet de bedoeling is dat nationale autoriteiten hun eigen regels maken, maar juist oog blijven houden voor een EU-wijde aanpak.
Uit de FAQ van de EDPB naar aanleiding van de Schrems-beslissing volgt echter dat instanties die gegevens uitwisselen toch met een levensgroot probleem worden opgezadeld. De EDPB zegt:
“De vraag of u al dan niet persoonsgegevens kunt doorgeven op basis van de
modelcontractbepalingen zal afhangen van het resultaat van uw beoordeling, rekening houdend met de omstandigheden van de doorgiften, en van de aanvullende maatregelen die u kunt nemen. Nadat de omstandigheden van de doorgifte per geval zijn geanalyseerd, moeten de aanvullende maatregelen samen met de modelcontractbepalingen ervoor zorgen dat de Amerikaanse wetgeving geen afbreuk doet aan het passende beschermingsniveau dat zij waarborgen. Als u tot de conclusie komt dat er geen passende waarborgen kunnen worden geboden vanwege de omstandigheden van de doorgifte en mogelijke aanvullende maatregelen, moet u de doorgifte van persoonsgegevens opschorten of beëindigen. Als u echter voornemens bent om gegevens te blijven doorgeven ondanks deze conclusie, moet u uw bevoegde TA op de hoogte brengen.”
Deze opdracht is nogal moeilijk uit te voeren en zorgt voor veel rechtsonzekerheid.
De autoriteit van het Duitse Baden-Württemberg heeft in elk geval geprobeerd om praktisch in te spelen op het ‘probleem’ dat is ontstaan uit de Schrems II-uitspraak, door aanbevelingen te doen over bepalingen die in aanvulling op de modelcontracten gebruikt zouden kunnen worden om bepaalde gaten te dichten. Het lijkt aanbevelenswaardig in ieder geval van die aanvullingen gebruik te maken.
Europese koers
Gezien de complexiteit die een mogelijke stop van de gegevensuitwisseling met de Verenigde Staten met zich brengt, als ook de houding van de EDPB, die alle Europese toezichthouders vertegenwoordigt, lijkt het onwaarschijnlijk dat een verbod zonder alternatieven de toekomstige Europese koers zal worden.
Het blijft natuurlijk wel de vraag hoe lang en onder welke (aanvullende) voorwaarden de modelcontracten houdbaar zullen blijven en hoe het gaat tussen Amerikaanse en Europese wetgeving dusdanig kan worden gedicht zodat een passend beschermingsniveau kan worden gegarandeerd. Hier zal de EDPB de komende tijd haar hoofd over moeten breken.
Vanzelfsprekend houden we u op de hoogte.