Kruimelpad
Doorgifte van persoonsgegevens buiten de EER - Privacyshield ongeldig verklaard en gebruik van andere transfermechanismen verstrengd
De doorgifte van persoonsgegevens naar de Verenigde Staten onder het zogenaamde Privacyshield is niet in overeenstemming met de GDPR. Dat heeft het Europees Hof van Justitie op 16 juli 2020 beslist in het arrest Schrems II. De doorgifte van persoonsgegevens op basis van "standaard contractuele bepalingen (“standard contractual clauses” of "SCC’s") blijft daarentegen overeind, maar enkel en alleen op voorwaarde dat het ontvangende land een wettelijke bescherming biedt die gelijkwaardig is aan de gegevensbescherming binnen de EU.
Achtergrond
Binnen de lidstaten van de Europese Economische Ruimte (EER) kunnen persoonsgegevens vrij worden overgedragen voor zover de algemene principes van de GDPR gerespecteerd worden. De doorgifte van persoonsgegevens naar landen buiten de EER is daarentegen enkel mogelijk in de volgende gevallen:
- Voor het betrokken derde land werd een adequaatheidsbesluit genomen door de Europese Commissie (voor de Verenigde Staten was dit het geval in de mate de organisatie was aangesloten bij het EU-US Privacyshield, maar er bestaan ook adequaatheidsbesluiten voor o.a. Canada, Zwitserland, Japan…);
- Er bestaat geen adequaatheidsbesluit, maar er werden zogenaamde ‘passende waarborgen’ genomen inzake de bescherming van persoonsgegevens (dit zijn o.a. de SCC’s die zijn goedgekeurd door de Europese Commissie of de bindende bedrijfsvoorschriften (“Binding Corporate Rules" of "BCR)”);
- De doorgifte valt onder de specifieke uitzonderingen voorzien in art. 49 van de GDPR (o.a. doorgiftes die noodzakelijk zijn voor de uitvoering of met het oog op het sluiten van een overeenkomst, of die plaatsvinden op basis van de uitdrukkelijke toestemming van de betrokkene). Deze uitzonderingen kunnen evenwel enkel occasioneel toegepast worden.
Het arrest Schrems II
De Oostenrijkse privacy-activist Max Schrems betwistte het gebruik van SCCs door Facebook voor de doorgifte van persoonsgegevens aan het hoofdkantoor in de Verenigde Staten en legde klacht neer bij de Ierse gegevensbeschermingsautoriteit om de geldigheid van de SCC’s aan te vechten. Zijn voornaamste bezwaar bestond erin dat persoonsgegevens onder de SCC’s worden doorgegeven naar onder meer de Verenigde Staten, terwijl de Amerikaanse veiligheidsdiensten (zoals de CIA, FBI of NSA) op grote schaal toegang hebben tot deze gegevens. De zaak kwam uiteindelijk voor het Europees Hof van Justitie, dat zich zowel uitsprak over de SCC’s als over het Privacyshield:
- de overdracht van persoonsgegevens naar derde landen op grond van SCC’s blijft geldig, maar enkel op voorwaarde dat de wettelijke privacybescherming in het derde land in grote lijnen overeenkomt met het beschermingsniveau dat binnen de EU is gewaarborgd. Het volstaat volgens het Hof niet langer om SCC’s te sluiten, maar de overdrager (en de ontvanger) moet(en) effectief nagaan of het wettelijk kader in het betrokken derde land een adequate bescherming biedt. In geval van onvoldoende bescherming kunnen de toezichthoudende autoriteiten de doorgifte van gegevens zelfs opschorten of verbieden;
- de overdracht van persoonsgegevens naar de Verenigde Staten op grond van het Privacyshield werd integraal ongeldig verklaard, omdat inmenging in de overgedragen persoonsgegevens mogelijk is door de Amerikaanse veiligheidsdiensten. Bovendien bestaan er onder het Privacyshield onvoldoende gerechtelijke beroepsmogelijkheden tegen deze inmenging.
Deze uitspraak doet vele vragen rijzen voor ondernemingen die momenteel persoonsgegevens doorgeven naar de VS en naar overige derde landen.
Standpunt van het Europees Comité voor Gegevensbescherming
Onmiddellijk na het arrest lieten verschillende nationale autoriteiten weten de concrete gevolgen nader te zullen onderzoeken. Het Europees Comité voor Gegevensbescherming heeft intussen een FAQ gepubliceerd, waarin zij een streng standpunt hanteert en stelt dat:
- het Privacyshield met onmiddellijke ingang niet meer kan worden gebruikt (er is dus geen overgangs- of gedoogperiode zoals o.m. de Britse ICO suggereerde);
- het gebruik van SCC’s voor transfers naar derde landen van geval tot geval moet worden beoordeeld, op basis van de concrete omstandigheden en bijkomende maatregelen die kunnen worden genomen om te verzekeren dat de gegevens voldoende beschermd zijn. Het Comité zal nog bijkomende richtlijnen uitvaardigen over wat deze “bijkomende maatregelen” precies inhouden;
- het arrest ook van toepassing is op transfers op basis van andere transfermechanismen zoals BCR en hiervoor dus ook een onderzoek moet gebeuren naar de noodzaak van bijkomende maatregelen;
- als blijkt dat de veiligheid van de gegevens niet kan worden gewaarborgd gelet op de concrete omstandigheden en de mogelijke bijkomende maatregelen, de transfer moet worden geschorst of stopgezet. Als de overdrager toch wenst voort te gaan met de overdracht hoewel er geen passende bescherming kan worden geboden, moet deze in principe de bevoegde toezichthoudende autoriteit raadplegen;
- gegevensoverdrachten nog mogelijk zijn onder de specifieke uitzonderingen in art. 49 van de GDPR, maar het ECG benadrukt dat de uitzondering voor transfers noodzakelijk voor de uitvoering van een contract enkel gebruikt kan worden voor occasionele overdrachten.
Hoe voortaan dan nog gegevens overdragen?
Voor overdrachten naar de VS is het Privacyshield met onmiddellijke ingang ongeldig geworden en heeft het Hof van Justitie na analyse van het Amerikaans wettelijk kader besloten dat er geen afdoende bescherming is. Bijgevolg lijkt de enige mogelijkheid voor systematische transfers naar de VS om een beroep te doen op een ander transfermechanisme (zoals SCC’s of BCR) in combinatie met andere bijkomende maatregelen, voor zover kan worden aangetoond dat de gegevens hiermee op passende wijze beschermd zijn.
Voor overdrachten naar andere derde landen kunnen ondernemingen zich uiteraard nog steeds baseren op de adequaatheidsbesluiten indien deze voor het betrokken land voorhanden zijn. Voor landen waarvoor geen adequaatheidsbesluit bestaat, zal steeds een analyse moeten worden uitgevoerd naar de wettelijke bescherming in het derde land opdat de overdracht gesteund kan worden op SCC’s of BCR. Het zal hierbij van belang zijn om deze analyse intern ook goed te documenteren. Wanneer blijkt dat het wettelijk kader geen gelijkwaardige bescherming als de GDPR biedt, dan moeten bijkomende maatregelen genomen worden om de gegevens op passende wijze te beschermen.
Noteer dat het Verenigd Koninkrijk wegens Brexit op 1 januari 2021 een derde land wordt en - tenzij de Europese Commissie een adequaatheidsbesluit neemt - dezelfde analyse van het wettelijk kader in het VK zal moeten worden uitgevoerd. Gelet op het feit dat het VK onder de Investigatory Powers Act een verregaande inmenging van haar veiligheidsdiensten toelaat, zou de Europese Commissie kunnen beslissen om geen adequaatheidsbesluit aan te nemen en zullen bijgevolg mogelijks bijkomende maatregelen nodig zijn om de overdracht van gegevens uit de EU (via SCC’s of BCR) op een passende wijze te beschermen.
Actiepunt
Bouw een volledige documentatie op rond transfers naar derde landen door:
- in kaart te brengen welke gegevens in welke derde landen verwerkt worden en op basis van welke waarborgen (dit zou in principe reeds in het register van verwerkingsactiviteiten moeten aangeduid zijn);
- na te gaan in welke mate deze waarborgen bijkomende veiligheidsmaatregelen zouden vereisen (bv. encryptie, een notificatie opleggen in geval van benadering door de overheid etc);
- aan ontvangers van gegevens in derde landen de verplichting op te leggen om de onderneming te verwittigen indien zij door een overheid verzocht worden om gegevens te verstrekken en dergelijke verzoeken desgevallend te betwisten.
Wij raden verder aan om met dienstverleners in de VS die zich momenteel beroepen op het Privacy Shield contact op te nemen om te vragen (i) hoe zij de ongeldigheidsverklaring van het Privacyshield zullen opvangen en (ii) of zij bereid zijn om SCC’s te sluiten en bijkomende maatregelen te treffen om de veiligheid van de gegevens te verzekeren en (iii) welke veiligheidsmaatregelen zij concreet voorstellen om ervoor te zorgen dat de naleving van de privacy en het recht op gegevensbescherming optimaal wordt beschermd.