“Safe Harbor” ongeldig verklaard - Arrest Schrems - Europese HvJ

In een baanbrekend arrest van 6 oktober in de zaak Schrems tegen de Ierse Privacycommissie heeft het Europese Hof van Justitie (HVJ) het “Safe Harbor” kader ongeldig verklaard. Veel ondernemingen steunen zich op dit privacy kader om de doorgifte van persoonsgegevens van de EU naar de VS te rechtvaardigen. Het arrest kan grote gevolgen hebben voor ondernemingen die persoonsgegevens doorsturen naar een onderneming van dezelfde groep of een dienstverlener in de VS.

Het Safe Harbor kader is onderhandeld tussen de Europese Commissie en de VS en legt een aantal voorwaarden vast voor de doorgifte van persoonsgegevens naar Amerikaanse ondernemingen. Overeenkomstig de Europese en Belgische privacy regelgeving is een doorgifte van persoonsgegevens buiten de EU immers verboden, tenzij het derde land een adequaat niveau van bescherming garandeert. Indien Amerikaanse ondernemingen het Safe Harbor kader onderschreven en de regels ervan respecteerden, kon volgens de Europese Commissie op basis hiervan een doorgifte van persoonsgegevens naar de VS plaatsvinden.

Het arrest is het gevolg van een zaak die privacy activist Max Schrems had ingesteld tegen de Ierse Privacycommissie in verband met de doorgifte van zijn persoonsgegevens door Facebook in Ierland naar de servers van Facebook in de VS. Bij het Europese Hof van Justitie heeft hij nu zijn slag thuisgehaald, mede dankzij de onthullingen van klokkenluider Edward Snowden over de online spionagepraktijken van de Amerikaanse veiligheidsdiensten.

Volgens het HVJ kunnen nationale toezichtsorganen, zoals de Belgische Privacycommissie, onderzoeken of er sprake is van een adequaat niveau van bescherming in de VS en ingaan tegen de beslissing van de Europese Commissie dat “Safe Harbor” automatisch een adequate bescherming zou bieden. Maar het HVJ is nog een stapje verder gegaan en heeft de Safe Harbor beslissing van de Europese Commissie eenvoudigweg ongeldig verklaard.

Het resultaat is dat een doorgifte van persoonsgegevens van de EU naar de VS die enkel gebaseerd is op het Safe Harbor systeem onwettig geacht kan worden.

Een politieke reactie zal niet uitblijven. De Europese Commissie en de VS zijn reeds in onderhandeling over de verstrenging van de voorwaarden voor een doorgifte van persoonsgegevens naar de VS. Het valt bovendien te verwachten dat de toekomstige Europese verordening betreffende gegevensbescherming, die de Europese Richtlijn en de Belgische Wet Verwerking Persoonsgegevens zal vervangen, tevens een aanpassing van de mechanismes voor doorgifte van persoonsgevens zal voorzien.

In tussentijd is het moeilijk te voorspellen hoe streng de nationale toezichtsorganen, waaronder de Belgische Privacycommissie, ongeldige doorgiftes van persoonsgegevens naar de VS zullen beoordelen.

> Actiepunt

Indien uw onderneming persoonsgegevens doorstuurt naar de VS, en zich hiervoor (enkel) baseert op de “Safe Harbor”, zal u hiervoor vanaf nu naar alternatieven moeten zoeken, zoals bv. de invoering van standaard clausules in contracten met Amerikaanse ondernemingen.