Hof van Justitie EU: EU/US Privacy shield EU/US ongeldig

Het Hof van Justitie EU deed op 16 juli 2020 uitspraak in de zaak Schrems II. Het Hof van Justitie EU oordeelde dat het EU/US Privacy shield ongeldig is. Het privacy shield biedt onvoldoende bescherming voor persoonsgegevens zoals de AVG voorschrijft.

De Algemene verordening gegevensbescherming (AVG) begrenst de doorgifte van persoonsgegevens naar landen buiten de EU, zoals de Verenigde Staten. Doorgifte van persoonsgegevens kan alleen als het beschermingsniveau in dat land buiten de EU voldoende is. Het Hof van Justitie EU is de hoogste rechter in de EU en kan oordelen over Europese wetgeving zoals de AVG.

Export van persoonsgegevens buiten de EU

In de AVG zijn hiervoor een aantal mogelijkheden geregeld om doorgifte van persoonsgegevens naar buiten de EU mogelijk te maken:

  1. De Europese Commissie kan een ‘adequaatheidsbesluit’ nemen. Dat is een besluit waarin een land buiten de EU wordt aangemerkt als een land met een voldoende beschermingsniveau. In dat geval kunnen persoonsgegevens worden ‘geëxporteerd’ naar een land buiten de EU, zonder dat de ‘exporteur’ extra waarborgen of maatregelen hoeft te bieden.
  2. Zonder ‘adequaatheidsbesluit’ kan doorgifte als een (ander) voldoende beschermingsniveau wordt geboden  (‘passende waarborgen’). Dat betekent concreet dat een vergelijkbare bescherming als in de AVG moet gelden. Om dat niveau te bereiken heeft de Europese Commissie een aantal modelcontractenuitgevaardigd en gepubliceerd op haar
    website.
  3. Zonder ‘adequaatheidsbesluit’ en zonder ‘passende waarborgen’ is doorgifte naar landen buiten de EU beperkt mogelijk. Dat is alleen voor specifieke situaties. Dat kan bijvoorbeeld met toestemming van de betrokken persoon. Die betrokken persoon moet dan wel (en vooraf) instemmen met de export van zijn persoonsgegevens. Ook moet voor de betrokken persoon duidelijk zijn wat de risico’s daarvan zijn. Ook regelt de AVG gevallen die – samengevat – neerkomen op noodsituaties.

Het Hof van Justitie oordeelde in de uitspraak van 16 juli over een aantal mogelijkheden. In de zg. “Schrems II zaak” stonden een ‘adequaatheidsbesluit’ en de door de EU uitgevaardigde ‘modelcontracten’ ter discussie.

Wat was er aan de hand bij het Hof?

Het Hof van Justitie moest oordelen over een zaak waarbij een Oostenrijker (dhr. Schrems) klaagde over de export van zijn persoonsgegevens door Facebook. Facebook gebruikte volgens dhr. Schrems servers in de Verenigde Staten. Het toepasselijke adequaatheidsbesluit (het zg. EU/US privacyshield) bood volgens Schrems onvoldoende bescherming.

Het oordeel van het Hof

Het Hof van Justitie oordeelt dat het adequaatheidsbesluit onvoldoende bescherming biedt. Met name omdat de Amerikaanse inlichtingen- en veiligheidsdiensten daar het recht hebben om gegevens van EU-burgers in te zien en te gebruiken. En dat is onvoldoende beperkt.

De wetgeving in de VS biedt onvoldoende bescherming voor betrokkenen. In de VS kent men een ombudsman als klachtinstantie. Die ombudsman wordt benoemt en ontslagen door het Ministerie van Buitenlandse Zaken in de Verenigde Staten. Dat biedt onvoldoende onafhankelijkheid. Bovendien heeft de ombudsman onvoldoende mandaat om een passend beschermingsniveau te bieden zoals in de EU.

Volgens het Hof kunnen modelcontracten nog wel een geldige grondslag bieden voor doorgifte van gegevens naar landen buiten de EU. Maar alleen als een gelijkwaardig beschermingsniveau kan worden gewaarborgd zoals in de EU (conform de AVG).

Geen geldig privacyshield meer!

Er is dus geen privacyshield meer voor persoonsgegevens met de VS. Exporteert u persoonsgegevens naar de Verenigde Staten, of gebruikt u services buiten de EU, dan wordt het oppassen geblazen. Op dit moment is nog niet duidelijk hoe het verder gaat. Onderzoek in ieder geval een andere uitwijkmogelijkheid, zoals de door de Europese Commissie voorschreven modelcontracten.

Vragen?

Heeft u vragen over privacy? Neem dan gerust even contact op!