#PrivacyShield - De Europese rechtbank verklaart de overeenkomst voor het delen van gegevens tussen de EU en de VS ongeldig

Max Schrems voor het kantoor van de Ierse commissaris voor gegevensbescherming

Voor de tweede keer in minder dan vijf jaar heeft het Hof van Justitie van de Europese Unie geoordeeld dat een overeenkomst tussen de EU en de VS over het delen van gegevens niet voldoet aan de EU-normen voor gegevensbescherming. De 'Safe Harbor'-overeenkomst werd in 2015 geschrapt en snel vervangen door het 'Protection Shield', ook dit ligt nu aan flarden. 

De rechtbank uitgesloten dat om geldig te zijn de overeenkomst tussen de EU en de VS bescherming moet bieden die gelijkwaardig is aan die welke wordt gegarandeerd door de algemene verordening gegevensbescherming van de EU en het recht op privacy en gegevensbescherming moet beschermen, zoals vastgelegd in artikel 7 en 8 van het Handvest van de grondrechten van de EU.

#ECJ: het besluit over de gepastheid van de door het EU-VS-gegevensbeschermingsschild geboden bescherming wordt ongeldig verklaard, maar EU_Commission Beslissing over modelcontractbepalingen voor de doorgifte van persoonsgegevens aan in derde landen gevestigde verwerkers is geldig # Facebook #Schrems pic.twitter.com/BgxGAvuq3T

- EU-Hof van Justitie (@EUCourtPress) 16 juli, 2020

Positiever is dat de rechtbank oordeelde dat het besluit van de Commissie over modelcontractbepalingen (SCC) om persoonsgegevens door te geven aan verwerkers in derde landen (buiten de EU) geldig is - zolang er vooraf overeenstemming is dat het juiste beschermingsniveau wordt geboden. 

advertentie

Het hele probleem vloeit voort uit het nationale recht in de Verenigde Staten. Schrems, de gelijknamige procederende partij achter het vonnis dat bekend staat als Schrems II, zei: “Het Hof heeft nu voor de tweede keer duidelijk gemaakt dat er een botsing is tussen de EU-privacywetgeving en de Amerikaanse toezichtwetgeving. Aangezien de EU haar grondrechten niet zal wijzigen om de NSA tevreden te stellen, is de enige manier om deze botsing te boven te komen, dat de VS solide privacyrechten voor alle mensen invoeren – ook voor buitenlanders. De hervorming van het toezicht wordt daardoor cruciaal voor de zakelijke belangen van Silicon Valley."

BREAKING: Het Hof van Justitie van de EU heeft zojuist het "Privacy Shield"-systeem voor het delen van gegevens tussen de EU en de VS ongeldig verklaard wegens te ver doorgedreven toezicht door de VS. Alle details hier beschikbaar: https://t.co/xN4HKhZaBT #PRISMA #FISA702 #privacy #PrivacySchild #VCA's #GDPR #HvJEU

—Max Schrems???? (@maxschrems) 16 juli 2020

De EU was al gewaarschuwd dat het HvJ-EU waarschijnlijk het privacyschild zou neerhalen en het besluit werd vooruitgelopen door vroege besprekingen met de Amerikaanse tegenhangers van de EU. Waarden van de Commissie Vice-voorzitter Věra Jourová zei: “Zowel Didier als ik hebben de afgelopen dagen contact gehad met de Amerikaanse minister van Handel Wilbur Ross.”

Justitiecommissaris Didier Reynders voegde eraan toe dat hij in december met procureur-generaal William Barr had gesproken en dat hij uitkijkt naar een constructief gesprek morgen (17 juli) met Wilbur Ross over de te volgen weg.

De Amerikaanse minister van Buitenlandse Zaken Wilbur Ross zei: “We hopen de negatieve gevolgen te kunnen beperken van de transatlantische economische relatie van $ 7.1 biljoen die zo belangrijk is voor onze respectievelijke burgers, bedrijven en regeringen. Gegevensstromen zijn niet alleen essentieel voor technologiebedrijven, maar voor bedrijven van elke omvang in elke sector. Terwijl onze economieën hun post-COVID-19-herstel voortzetten, is het van cruciaal belang dat bedrijven – waaronder de 5,300+ huidige Privacy Shield-deelnemers – in staat zijn om gegevens zonder onderbreking over te dragen, in overeenstemming met de krachtige bescherming die wordt geboden door Privacy Shield.” 

In het verklaring, zegt het ministerie van Handel dat het het Privacy Shield-programma zal blijven beheren, inclusief het verwerken van inzendingen voor zelfcertificering en hercertificering voor de Privacy Shield Frameworks en het bijhouden van de Privacy Shield-lijst. Reynders zei echter: "In de tussentijd kunnen transatlantische gegevensstromen tussen bedrijven andere mechanismen blijven gebruiken voor internationale doorgifte van persoonsgegevens die beschikbaar zijn onder de AVG."

Bridget Treacy, gegevensprivacypartner bij Hunton Andrews Kurth LLP gevestigd in Londen, zei in een reactie op het vonnis: “SCC's, die vaak worden gebruikt voor overdrachten over de hele wereld, zullen veel nauwkeuriger worden gecontroleerd door gegevensexporteurs en door EU-regelgevers. De doorgifte van persoonsgegevens van de EU naar de VS zal bijzondere zorg vergen, gezien de opmerkingen van het Hof over toezicht door de VS. Maar alle doorgiften van persoonsgegevens vanuit de EU, naar de VS of elders (inclusief het VK na 1 januari 2021) zullen nu veel nauwkeuriger moeten worden onderzocht.”

David Dumont, partner voor gegevensprivacy bij Hunton Andrews Kurth LLP, gevestigd in Brussel, zei: “Bedrijven die afhankelijk zijn van de SCC's zullen verplicht zijn om elke ontvanger van gegevensoverdracht te evalueren om te bepalen of de ontvanger een passend beschermingsniveau biedt. Dit houdt in dat moet worden beoordeeld welk type persoonsgegevens wordt doorgegeven, hoe deze zullen worden verwerkt, of overheidsinstanties er mogelijk toegang toe hebben voor toezichtdoeleinden en, zo ja, welke waarborgen beschikbaar zijn. Als een ontvanger geen passend beschermingsniveau kan bieden, zijn EU-bedrijven verplicht om die gegevensoverdracht op te schorten, anders kan een regelgevende instantie dit doen. Regelgevers op het gebied van gegevensbescherming zullen dringend advies nodig hebben over het praktische niveau van controle dat zij verwachten van bedrijven die op SCC's vertrouwen."

Brexit

Aangezien het VK aan het einde van het jaar de EU verlaat, zal het een overeenkomst inzake gegevensadequaatheid moeten aanvragen. De massasurveillance van het VK, uitgevoerd door hun inlichtingendienst (GCHQ) en onthuld door Edward Snowden, liet zien hoe het VK de gegevens van miljoenen privécommunicatie doorspitte en hun bevindingen deelde met de Amerikaanse National Security Agency en met de inlichtingendiensten van andere landen. Het Europees Hof voor de Rechten van de Mens oordeelde dat deze surveillance onrechtmatig was. Gezien de staat van dienst van het VK zal het Europees Parlement waarschijnlijk sterke garanties eisen over een overeenkomst inzake gegevensbescherming. 

Treacy zei: “De uitspraak over het Privacy Shield zal waarschijnlijk implicaties hebben voor de hoop van het VK op een uitspraak van de Europese Commissie over adequaatheid van gegevensbescherming na de Brexit. Het VK kan verwachten dat zijn surveillancewetten aan vergelijkbaar onderzoek worden onderworpen als die van de VS, om te beoordelen of ze de privacyrechten van EU-burgers respecteren.”

Dumont zei: “De meeste EU-bedrijven zijn van plan om op SCC's te vertrouwen om persoonlijke gegevens naar het VK door te geven zodra de Brexit-overgangsperiode afloopt. Deze uitspraak geeft aan dat het SCC-mechanisme aan veel meer controle zal worden onderworpen en dat van de gegevensbeschermingsautoriteiten van de EU wordt verwacht dat zij proactiever zullen zijn bij het handhaven van deze vereisten, en indien nodig doorgiften zullen opschorten.”

Achtergrond

Interview met Sophie Int'Veld uit 2016

Interview met Max Schrems in 2018

Deel dit artikel: