Groot nieuws afgelopen week in de privacy wereld. Het Europees Hof van Justitie heeft immers het EU-US Privacy Shield, het gegevensuitwisselingsverdrag tussen beide, nietig verklaard. Deze uitspraak komt er na een klacht van privacy-activist, Maximilian Schrems (ook wel bekend van het Schrems I-arrest, waarbij het de ‘Safe Harbour Decision’ werd nietig verklaard). Schrems is namelijk van oordeel dat persoonsgegevens die naar de Verenigde Staten worden doorgegeven niet passend beschermd worden, terwijl dit nochtans vereist is door de AVG.
Belangrijkste punten
- Nietigverklaring Privacy Shield: Het Hof is van oordeel dat “de beperkingen op de bescherming van persoonsgegevens die voortvloeien uit de interne regeling van de Verenigde Staten inzake de toegang tot en het gebruik door de Amerikaanse overheidsinstanties niet zodanig is afgebakend dat wordt voldaan aan eisen die in grote lijnen overeenkomen met die welke in het Unierecht door het evenredigheidsbeginsel worden gesteld, aangezien de op deze interne regeling gebaseerde surveillanceprogramma’s niet tot het strikt noodzakelijke zijn beperkt”. Bovendien hebben EU-burgers “geen mogelijkheid om in beroep te gaan bij een orgaan dat waarborgen biedt die in grote lijnen overeenkomen met die welke door het Unierecht worden vereist” waarbij het ombudsmanmechanisme onvoldoende zekerheid biedt. Op grond van deze vaststelling heeft het Hof beslist om het EU-US Privacy Shield ongeldig te verklaren.
- Bevestiging van de geldigheid van besluit 2010/87: Het Hof bevestigd bijkomend de geldigheid van een standaard contractuele clausule of modelovereenkomst die door de Europese Commissie was vastgesteld. Het vindt immers dat dit besluit doeltreffende mechanismen bevat om bescherming te waarborgen in overeenstemming met EU-normen. Indien de bepalingen worden geschonden of niet kunnen worden nageleefd, dient de gegevensoverdracht te worden opgeschort of verboden.
- Het is aan de toezichthoudende autoriteiten om internationale gegevensoverdrachten op te schorten of te verbieden, wanneer het van oordeel is dat er geen adequate gegevensbescherming gewaarborgd kan worden.
Wat zijn de gevolgen van het arrest?
Volgens Schrems en Sophie in ’t Veld, Europarlementariër, zal het moeilijk zijn voor bedrijven om persoonsgegevens te kunnen overdragen naar de Verenigde Staten op basis van standaard contractuele clausules zolang de Amerikaanse surveillancewetgeving in zijn huidige vorm een rol speelt. Enkel wanneer deze surveillancewetgeving niet van toepassing is op het Amerikaans bedrijf waar de persoonsgegevens naartoe worden gezonden, zullen de standaard contractuele clausules kunnen worden toegepast. “De enorme macht van tech-reuzen zit niet lekker bij heel veel Europeanen. Privacy en bescherming van persoonsgegevens hebben aan belang gewonnen de afgelopen jaren. Dat moet nu eindelijk erkend en niet genegeerd worden door de Europese Commissie en nationale regeringen die de banden met de VS warm willen houden. De Commissie moet de privacy van Europese burgers beschermen, maar laat het aankomen op individuen met veel moed en doorzettingsvermogen, zoals Max Schrems, die onze fundamentele rechten afdwingen bij de rechter.”, aldus nog in ’t Veld. Het zal afwachten worden of er net zoals bij de ‘Safe Harbour Decision’ een opvolger komt voor het EU-US Privacy Shield zoals we dat nu kennen.
Draagt u als organisatie persoonsgegevens over naar de Verenigde Staten en weet u niet hoe het nu verder moet? Aarzel niet en contacteer ons! Wij helpen u graag verder om ervoor te zorgen dat u steeds in orde bent met uw verplichtingen van de AVG.