Beroep op het EU-US Privacy Shield om voldoende bescherming van de persoonsgegevens niet langer gegarandeerd.

Deze uitspraak heeft verstrekkende gevolgen voor iedere organisatie die persoonsgegevens doorgeeft vanuit de Europese Unie (EU) naar de Verenigde Staten (VS). Daarbij kunnen organisaties zich namelijk niet langer beroepen op het EU-US Privacy Shield om voldoende bescherming van de persoonsgegevens te garanderen. Of het gebruik van door de Europese Commissie (EC) vastgestelde standaardbepalingen inzake gegevensbescherming wel de vereiste bescherming biedt bij doorgifte naar de VS is nog maar de vraag.

 

In de context van de Algemene verordening gegevensbescherming (AVG) kwalificeren de VS als een zogenaamde ‘derde land’. Dat betekent dat doorgifte van persoonsgegevens naar de VS uitsluitend mag plaatsvinden als voldaan is aan de bijzondere voorwaarden die gelden voor doorgifte aan ‘derde landen’.

 

Een van de mogelijkheden waarop aan die bijzondere voorwaarden kan worden voldaan is als de EC in een zogenaamd adequaatheidsbesluit heeft geoordeeld dat een ‘derde land’ een passend niveau van bescherming van persoonsgegevens biedt (artikel 45 lid 1 AVG). Als een dergelijk besluit voor een bepaald land is genomen dan is het toegestaan om persoonsgegevens door te geven naar dat land.

 

Is er geen adequaatheidsbesluit genomen, dan is een doorgifte naar een ‘derde land’ alleen toegestaan indien de gegevensexporteur passende waarborgen biedt en betrokkenen over afdwingbare rechten en doeltreffende rechtsmiddelen beschikken (artikel 46 lid 1 AVG). Deze waarborgen kunnen onder meer voortvloeien uit de door de EC vastgestelde standaardbepalingen inzake gegevensbescherming (artikel 46 lid 2 sub c AVG).

 

Over doorgifte van persoonsgegevens naar de VS bestaat al lang discussie. In het algemeen wordt aangenomen dat persoonsgegevens in de VS slechter zijn beschermd, onder meer als gevolg van vergaande bevoegdheden van inlichtingen- en veiligheidsdiensten.

Er bestaat uiteraard wel een grote behoefte aan doorgifte van persoonsgegevens vanuit de EU naar de VS. Onder meer omdat veel grote technologiebedrijven daar hun thuisbasis hebben.

De EC is aan die wens tegemoetgekomen door het optuigen van een bijzondere regeling die onder voorwaarden doorgifte van persoonsgegevens naar bepaalde/specifieke partijen in de VS mogelijk moet maken. In eerste instantie heeft de EC daarvoor de zogenaamde Safe Harbor Privacy Principles in het leven geroepen. Die werden echter in oktober 2015 door het Hof ongeldig verklaard en zijn per 12 juli 2016 vervangen door het zogenaamde EU-US Privacy Shield. Onder de AVG heeft het EU-US Privacy Shield te gelden als een adequaatheidsbesluit (Uitvoeringsbesluit (EU) 2016/1250). Op basis van het EU-US Privacy Shield konden persoonsgegevens worden doorgegeven aan in de VS gevestigde partijen die gecertificeerd waren en zich hielden aan de principes die zijn vastgelegd in het EU-US Privacy Shield.

 

Vanaf het moment van inwerkingtreding van het EU-US Privacy Shield was er kritiek op. Critici meenden dat ook deze regeling onvoldoende bescherming bood aan persoonsgegevens uit de EU.

 

Ook Maximilian Schrems, een Oostenrijkse privacyactivist, wiens klacht bij de Ierse toezichthoudende autoriteit inzake gegevensbescherming (de DPC) uiteindelijk leidde tot het ongeldig verklaren van de Safe Harbor Privacy Principles door het Hof, meende dat het EU-US Privacy Shield geen adequate oplossing bood voor doorgifte van persoonsgegevens naar de VS. Volgens hem bieden de VS geen passende waarborgen voor de bescherming van persoonsgegevens en lost het EU-US Privacy Shield dat niet op. De heer Schrems heeft daarom zijn oorspronkelijke klacht, die zag op doorgifte van zijn persoonsgegevens naar Facebook Inc. in de VS, doorgezet. Uiteindelijk kwam ook deze klacht via prejudiciële vragen van de Ierse High Court terecht bij het Hof.

 

De Ierse rechter vroeg daarbij niet alleen aan het Hof of het EU-US Privacy Shield geldig was, maar ook – voor het geval het EU-US Privacy Shield niet geldig zou zijn – of het gebruik van door de EC vastgestelde standaardbepalingen inzake gegevensbescherming wel leidt tot een toegestane doorgifte van persoonsgegevens van de EU naar de VS.

EU-US Privacy Shield

Het oordeel van het Hof omtrent het EU-US Privacy Shield is helder. Het Hof verklaart dat adequaatheidsbesluit ongeldig.

 

Uit de overwegingen van het Hof volgt dat de beperkingen van de bescherming van persoonsgegevens die voortvloeien uit Amerikaanse wetgeving inzake de toegang tot en het gebruik door Amerikaanse overheidsinstanties van dergelijke gegevens die vanuit de EU naar de VS worden doorgegeven – en die de Europese Commissie in het besluit heeft beoordeeld – niet zodanig afgebakend zijn dat wordt voldaan aan vereisten die in grote lijnen overeenkomen met de vereisten uit artikel 52 lid 1 van het Handvest van de grondrechten van de Europese Unie (Handvest). Onder meer omdat de betreffende Amerikaanse wetgeving niet overeenstemt met de minimale vereisten die in het Unierecht voortvloeien uit het evenredigheidsbeginsel, aangezien bepaalde op die wetgeving gebaseerde surveillanceprogramma’s niet tot het strikt noodzakelijke zijn beperkt.

 

Wat de door de AVG voorgeschreven rechterlijke bescherming betreft oordeelt het Hof dat het door het EU-US Privacy Shield in het leven geroepen ombudsmanmechanisme geen rechtsmiddel biedt bij een orgaan dat betrokkenen waarborgen biedt die in grote lijnen overeenkomen met die welke door artikel 47 van het Handvest, dat ziet op het recht op een doeltreffende voorziening in rechte en op een onpartijdig gerecht, worden vereist. Zo is niet geregeld dat deze ombudsman bevoegd is om bindende beslissingen te nemen ten aanzien van Amerikaanse inlichtingendiensten en zijn er evenmin wettelijke waarborgen waarop de betrokken personen zich kunnen beroepen.

 

Het gevolg van deze uitspraak van het Hof is dat partijen die gegevens willen doorgeven vanuit de EU naar de VS zich niet langer op het EU-US Privacy Shield kunnen beroepen.

 

Toen het Hof in 2015 de Safe Harbor Privacy Principles ongeldig verklaarde erkenden de toezichthoudende autoriteiten de verstrekkende gevolgen daarvan, namelijk grote onzekerheid voor organisaties en dat het tijd zou kosten voor organisaties om andere waarborgen te bieden inzake de doorgifte van persoonsgegevens naar de VS. Daarbij erkenden de toezichthoudende autoriteiten de noodzaak om organisaties een gepaste periode voor verandering toe te staan en duidelijke begeleiding te geven. Nu de gevolgen voor organisaties van het ongeldig verklaren van het EU-US Privacy Shield gelijk zijn, is het te hopen dat de toezichthoudende autoriteiten wederom een dergelijke aanpak zullen volgen.

 

Feit blijft dat partijen, zolang er door de EC geen (geldig) alternatief besluit is genomen, voor dergelijke doorgifte gebruik zullen moeten maken van een van de andere mogelijkheden die de AVG biedt voor doorgifte van persoonsgegevens aan derde landen. Het is echter, mede gelet op de overwegingen van het Hof ten aanzien van de privacysituatie in de VS, de vraag in hoeverre dat mogelijk is.

Standaardbepalingen inzake gegevensbescherming

Het Hof overweegt dat het besluit waarmee de EC de standaardbepalingen voor de doorgifte van persoonsgegevens vanuit de EU naar een verwerker in een derde land heeft vastgesteld (Besluit 2010/87/EU) op zich geldig is omdat het, overeenkomstig het vereiste dat voortvloeit uit artikel 46 lid 1 en lid 2 sub c AVG, uitgelegd in het licht van de artikelen 7, 8 en 47 van het Handvest, doeltreffende mechanismen bevat om af te dwingen dat alleen persoonsgegevens naar in derde landen gevestigde partijen worden doorgegeven als er passende waarborgen worden geboden voor bescherming daarvan. Zo wordt het recht om op basis van de standaardbepalingen gegevens door te geven aan derde landen opgeschort of verboden als de ontvanger die standaardbepalingen niet naleeft of, bijvoorbeeld als gevolg van de in zijn land van toepassing zijnde wetgeving, niet in staat is die na te leven.

 

Het is aan de in de EU gevestigde gegevensexporteur en de in het derde land gevestigde gegevensimporteur om te beoordelen of de wetgeving van het derde land de gegevensimporteur toestaat zich te houden aan de standaardbepalingen inzake gegevensbescherming. Zij dienen zelf na te gaan of het door het Unierecht vereiste beschermingsniveau in het derde land wordt geboden. Daarbij is onder meer van belang de eventuele toegang van overheidsinstanties van dat derde land tot de doorgegeven persoonsgegevens en het bestaan van effectieve en afdwingbare rechten van betrokkenen en effectieve mogelijkheden om administratief beroep of beroep in rechte in te stellen voor betrokkenen wier persoonsgegevens worden doorgegeven.

 

De overwegingen van het Hof bij de beoordeling van het EU-US Privacy Shield – gelet op de in de VS geldende wet- en regelgeving – wijzen er sterk op dat door partijen die gevestigd zijn in de VS het door het Unierecht vereiste beschermingsniveau niet kan worden geboden. Na deze uitspraak van het Hof is het dus zeer de vraag of doorgifte van persoonsgegevens vanuit de EU naar in de VS gevestigde partijen nog wel gebaseerd kan worden op de door de EC vastgestelde standaardbepalingen inzake gegevensbescherming. Dat levert een probleem op voor partijen in de EU die persoonsgegevens doorgeven aan partijen in de VS. Op dit moment is het nog niet duidelijk of en zo ja, op welke wijze dat probleem zal worden opgelost. Dat er een oplossing moet komen lijkt, gelet op de schaal waarmee persoonsgegevens vanuit de EU worden doorgegeven naar de VS, evident.

 

Uitspraak (Grand Chamber of the Court) dd. 16 juli 2020 en de eerdere uitspraak ten aanzien van de Safe Harbor Privacy Principles.