Dit blogbericht geeft een overzicht en update over doorgifte van persoonsgegevens naar buiten de EU na de belangwekkende Schrems II uitspraak van het Hof van Justitie van de Europese Unie van 16 juli 2020.

Speciale aandacht wordt besteed aan de doorgifte van persoonsgegevens vanuit de EU naar het Verenigd Koninkrijk na de Brexit en de voorgenomen adequaatheidsbesluiten van de Europese Commissie.

Derde landen

In de context van de Algemene verordening gegevensbescherming (AVG) kwalificeren landen buiten de Europese Unie (EU), met uitzondering van Noorwegen, Liechtenstein en IJsland, als zogenaamde “derde landen”. Doorgifte van persoonsgegevens vanuit de EU naar “derde landen” mag uitsluitend plaatsvinden als voldaan is aan de daarvoor geldende bijzondere voorwaarden.

 

Een van de mogelijkheden waarop aan die bijzondere voorwaarden kan worden voldaan is als de Europese Commissie (EC) in een zogenaamd adequaatheidsbesluit heeft geoordeeld dat een “derde land” een passend niveau van bescherming van persoonsgegevens biedt (artikel 45 lid 1 AVG). Als een dergelijk besluit voor een bepaald land is genomen dan is het toegestaan om persoonsgegevens door te geven naar dat land.

 

Is er geen adequaatheidsbesluit genomen, dan is een doorgifte naar een “derde land” alleen toegestaan indien de gegevensexporteur passende waarborgen biedt en betrokkenen over afdwingbare rechten en doeltreffende rechtsmiddelen beschikken (artikel 46 lid 1 AVG). Deze waarborgen kunnen onder meer voortvloeien uit de door de EC vastgestelde standaardbepalingen inzake gegevensbescherming (artikel 46 lid 2 sub c AVG).

De Schrems II uitspraak

Ten aanzien van de doorgifte van persoonsgegevens vanuit de EU naar de Verenigde Staten (VS) als “derde land” heeft de zogenaamde Schrems II uitspraak van het Hof van Justitie van de Europese Unie van 16 juli 2020 verstrekkende gevolgen.

 

Met deze uitspraak verklaarde het Hof het EU-US Privacy Shield ongeldig. Het EU-US Privacy Shield betrof een adequaatheidsbesluit van de EC. Wanneer de ontvangende organisatie in de VS was aangesloten bij het EU-US Privacy Shield zouden de doorgegeven persoonsgegevens voldoende beschermd zijn. Het oordeel van het Hof was duidelijk: dat was niet het geval. Onder meer omdat op Amerikaanse wetgeving gebaseerde surveillanceprogramma’s – op basis waarvan Amerikaanse overheidsinstanties toegang hadden tot de persoonsgegevens die vanuit de EU naar de VS waren doorgegeven – niet tot het strikt noodzakelijke waren beperkt.

 

Het gevolg hiervan is dat partijen, zolang er door de EC geen (geldig) alternatief besluit is genomen, voor dergelijke doorgifte gebruik zullen moeten maken van een van de andere mogelijkheden die de AVG biedt voor doorgifte van persoonsgegevens aan “derde landen”. Het is echter, mede gelet op de overwegingen van het Hof ten aanzien van de privacysituatie in de VS, de vraag in hoeverre dat mogelijk is. Dit blijkt onder meer uit de overwegingen van het Hof inzake het gebruik van de door de EC vastgestelde standaardbepalingen inzake gegevensbescherming.

 

Ten aanzien van het gebruik daarvan overweegt het Hof dat het aan de in de EU gevestigde gegevensexporteur en de in het “derde land” gevestigde gegevensimporteur is om te beoordelen of de wetgeving van het betreffende “derde land” de gegevensimporteur toestaat zich te houden aan de standaardbepalingen inzake gegevensbescherming. Zij dienen zelf na te gaan of het door het Unierecht vereiste beschermingsniveau in het “derde land” wordt geboden. Daarbij is onder meer van belang de eventuele toegang van overheidsinstanties van dat “derde land” tot de doorgegeven persoonsgegevens en het bestaan van effectieve en afdwingbare rechten van betrokkenen en effectieve mogelijkheden om administratief beroep of beroep in rechte in te stellen voor betrokkenen wier persoonsgegevens worden doorgegeven.

 

Omdat het Hof heeft bepaald dat de VS als “derde land” niet een gelijkwaardig beschermingsniveau kent, moeten de gegevensexporteur en de gegevensimporteur aanvullende waarborgen treffen wanneer gebruik wordt gemaakt van een modelcontract voor de doorgifte van persoonsgegevens vanuit de EU naar de VS. De Europese privacytoezichthouders, verenigd in de European Data Protection Board (EDPB), hebben aanbevelingen gepubliceerd voor deze aanvullende waarborgen. De EDPB noemt verschillende waarborgen die overwogen kunnen worden, zoals goede encryptie en pseudonimisering. Per geval moet bekeken worden welke maatregel of combinatie van maatregelen nodig is om de persoonsgegevens goed te beschermen.

 

Dergelijke aanvullende maatregelen moeten dus ook getroffen worden wanneer het gaat om de doorgifte van persoonsgegevens vanuit de EU naar een ander “derde land” in het geval de gegevensexporteur en de gegevensimporteur vaststellen dat het betreffende “derde land” niet een gelijkwaardig beschermingsniveau kent.

Doorgifte van persoonsgegevens vanuit de EU naar het Verenigd Koninkrijk

Net als ten aanzien van de doorgifte van persoonsgegevens vanuit de EU naar de VS is er het afgelopen jaar veel te doen geweest over de doorgifte van persoonsgegevens vanuit de EU naar het Verenigd Koninkrijk (VK). Daarbij is Brexit uiteraard een belangrijke factor.

 

Ten aanzien van de doorgifte van persoonsgegevens vanuit de EU naar het VK heeft het Hof op 6 oktober 2020 een belangrijke uitspraak gedaan. Net als in de Schrems II uitspraak speelde de surveillancemogelijkheden van de overheid (in dit geval die van het VK) in deze zaak een belangrijke rol.

 

In deze zaak gaat het namelijk over de mogelijkheden van overheidsinstanties van EU-lidstaten om – op basis van nationale wetgeving – aanbieders van elektronische communicatiediensten te verplichten communicatiegegevens en locatiegegevens door te geven aan de veiligheids- en inlichtingendiensten in het kader van de waarborging van de nationale veiligheid. In dat kader worden er prejudiciële vragen gesteld om de rechtmatigheid van de wetgeving van het VK op dit gebied – waaronder de Investigatory Powers Act – aan de kaak stellen.

 

Het Hof oordeelt dat EU-wetgeving – waaronder de artikelen 7, 8, 11 en 52 van het Handvest van de grondrechten van de Europese Unie – moet worden geïnterpreteerd als een beletsel voor nationale wetgeving die een overheidsinstantie in staat stelt om aanbieders van elektronische communicatiediensten te verplichten communicatiegegevens en locatiegegevens in het algemeen en zonder onderscheid door te geven aan de veiligheids- en inlichtingendiensten met het oog op de bescherming van nationale veiligheid. Op die wijze worden belangrijke beginselen en rechten opgenomen in EU-wetgeving – waaronder evenredigheid en de grondrechten op privacy, gegevensbescherming en vrijheid van meningsuiting – namelijk niet gerespecteerd.

 

Het Hof oordeelt kort gezegd dat de betreffende verzameling van gegevens door nationale overheidsinstanties in het kader van de bescherming van de nationale veiligheid beperkt moet blijven tot het strikt noodzakelijke. In dat kader moet de nationale wetgeving waar die bevoegdheden uit voortvloeien aangeven onder welke omstandigheden en onder welke voorwaarden een maatregel voor de verwerking van dergelijke gegevens genomen kan worden.

 

Aangezien het de vraag is of de betreffende wetgeving van het VK aan het bovenstaande voldoet was de verwachting dat deze uitspraak van het Hof nog wel eens grote gevolgen kon hebben voor een mogelijk adequaatheidsbesluit van de EC op basis waarvan doorgifte van persoonsgegevens vanuit de EU naar het VK is toegestaan. Op 1 januari 2021 is immers de overgangsperiode inzake de Brexit geëindigd en kwalificeert het VK vanaf dat moment in principe als “derde land”.

 

Op 24 december 2020 hebben de EU en het VK echter een handelsovereenkomst gesloten (de “EU-UK Trade and Cooperation Agreement”) die in werking is getreden op 1 januari 2021. Op grond van die handelsovereenkomst wordt het VK voor een periode van vier maanden – vanaf 1 januari 2021 – niet gezien als “derde land” en is doorgifte van persoonsgegevens vanuit de EU naar het VK zonder meer toegestaan totdat er een adequaatheidsbesluit is genomen door de EC of de periode van vier maanden is verstreken, indien dat eerder is. Als voorwaarde hiervoor geldt dat het VK in deze periode de regels met betrekking tot de bescherming van persoonsgegevens niet verandert.

 

Wanneer de EC in bovengenoemde periode een adequaatheidsbesluit neemt, geldt het VK vanaf dat moment dus wel als “derde land”. Met een dergelijk adequaatheidsbesluit zou de EC immers aangeven dat het VK een passend beschermingsniveau waarborgt op basis waarvan doorgifte van persoonsgegevens vanuit de EU naar dat “derde land” is toegestaan. Indien de EC geen adequaatheidsbesluit heeft genomen voordat de periode van vier maanden is verstreken dienen er na afloop van die periode andere waarborgen te zijn op basis waarvan de persoonsgegevens die worden doorgegeven vanuit de EU naar het VK voldoende beschermd zijn. Het meest voor de hand liggende voorbeeld van dergelijke waarborgen zijn standaardbepalingen inzake gegevensbescherming vastgesteld door de EC. De periode van vier maanden is overigens automatisch met twee maanden verlengd, aangezien daar geen bezwaar tegen is gemaakt door de EU of het VK.

Voorgenomen adequaatheidsbesluiten EU-VK

Ondanks bovengenoemde uitspraak van het Hof hebben de onderhandelingen tussen de EU en het VK om tot een adequaatheidsbesluit te komen hebben er inmiddels toe geleid dat de EC voornemens is om twee adequaatheidsbesluiten te nemen die zien op de doorgifte van persoonsgegevens vanuit de EU naar het VK. Het eerste voorgenomen adequaatheidsbesluit ziet op de AVG en het tweede voorgenomen adequaatheidsbesluit ziet op de Richtlijn politie en justitie (een andere Europese “privacywet”).

 

De EDPB publiceerde op 13 april 2021 twee adviezen aan de EC in reactie op deze twee voorgenomen adequaatheidsbesluiten. In die adviezen geeft de EDPB aan dat het stelsel van gegevensbescherming in het VK erg lijkt op het Europese systeem. Dat is ook logisch, aangezien de Brexit nog maar een paar maanden een feit is en het VK zowel de AVG als de Richtlijn politie en justitie “gekopieerd” heeft in eigen wetgeving.

 

Toch spreekt de EDPB ook een aantal zorgen uit. Vooral over de mogelijkheid dat persoonsgegevens via het VK worden doorgegeven naar “derde landen” waar persoonsgegevens onvoldoende worden beschermd zoals de VS. De EDPB heeft de EC om opheldering gevraagd over die punten en om dit in toekomst nauwgezet te monitoren.

 

De beoordeling van de EC (middels de voorgenomen adequaatheidsbesluiten) geldt voor 4 jaar. Daarna wordt bekeken of het beschermingsniveau in het VK nog steeds passend is. De EC kan echter niet tussentijds ingrijpen als het VK in die periode maatregelen neemt die het beschermingsniveau effectief verlagen. Ook hier heeft de EDPB aandacht aan besteed in de adviezen. De EDPB verzoekt de EC om (waar nodig) tussentijds bij te sturen.

 

De EC is verplicht de EDPB om advies te vragen voor adequaatheidsbesluiten. De EC is echter niet verplicht om alle adviezen van de EDPB op te volgen.

 

Het is op dit moment nog niet bekend wanneer de EC beslist of de voorgenomen adequaatheidsbesluiten daadwerkelijk worden genomen. Tot die tijd blijft gelden dat persoonsgegevens niet zomaar vanuit de EU naar het VK (als “derde land”) mogen worden doorgegeven.

Relevante links

Voor een uitgebreidere bespreking van de Schrems II uitspraak, zie het blog: Hof van Justitie van de Europese Unie verklaart het EU-US Privacy Shield ongeldig.

 

Voor een uitgebreidere bespreking van de uitspraak van het Hof van 6 oktober 2020, zie het blog: Uitspraak HvJ-EU en een mogelijk EU-VK adequaatheidsbesluit.

 

Voor de aanbevelingen van de EDPB inzake aanvullende maatregelen (naast de door de EC vastgestelde model standaardbepalingen inzake gegevensbescherming), zie hier en hier.

 

Voor de adviezen van de EDPB inzake de twee voorgenomen EU-VK adequaatheidsbesluiten, zie hier en hier.