Het komt in de eerste plaats toe aan de Europese Commissie om te oordelen of een derde land een passend niveau aan gegevensbescherming waarborgt. Zulk adequaatheidsbesluit van de Commissie verschaft de hele Unie bijgevolg rechtzekerheid en eenvormingheid betreffende het betrokken derde land, dat op basis van dit besluit geacht wordt een dergerlijk beschermingsniveau te bieden.[1] Doorgifte van gegevens vanuit de EU naar dit derde land vereist dan ook geen specifieke toestemming van een toezichthoudende autoriteit[2].
In 2015 werd het Safe Harbor besluit van de Commissie ongeldig bevonden
In het verleden oordeelde de Europese Commissie dat een transfer van persoonsgegevens naar de VS was toegelaten op basis van het besluit Safe Harbor.[3] Met dit besluit – dat nog gebaseerd was op de vroegere Privacyrichtlijn – had de Europese Commissie de “safe harbor privacy principles” vastgelegd waaraan bedrijven in de VS moesten voldoen opdat een gepaste bescherming kon geboden worden. De oude Privacyrichtlijn bevatte immers een gelijkaardige bepaling die voorzag dat een transfer van gegevens naar een derde land toegelaten was op basis van een adequaatheidsbesluit van de Commissie. Het Europese Hof van Justitie oordeelde met haar arrest van 6 oktober 2015 evenwel dat dit besluit van de Commissie ongeldig was aangezien het niet conform was met het de Europese Privacyrichtlijn en het recht op privacy voorzien in het Europees Handvest van de grondrechten van de Europese Unie.[4]
Max Schrems – de befaamde privacyactivist uit Oostenrijk – had toen een klacht ingediend bij het Europese Hof van Justitie tegen de Ierse Privacycommissie, aangezien deze privacycommissie weigerde om Facebook Ireland te verbieden om zijn persoonsgegevens door te geven naar servers van Facebook Inc. die zich op het grondgebied van de VS bevinden[5]. Hij voerde daarbij aan dat het geldende recht en de praktijk in de VS geen voldoende waarborgen boden voor afdoende bescherming van de op haar grondgebied bewaarde persoonsgegevens tegen de surveillanceactiviteiten die daar door de overheidsinstanties werden uitgevoerd[6]. Deze zaak vond plaats in de periode waar de onthullingen van Edward Snowden omtrent de werkwijze van de Amerikaanse National Security Agency („NSA”) ruim werden verspreid[7]. Aangezien de Ierse Privacycommissie de klacht van Max Schrems had afgewezen o.a. op grond van het Safe Harbor besluit waarmee de Europese Commissie een passend beschermingsniveau in de VS had vastgesteld, stelde de Ierse rechtbank een prejudiciële vraag aan het Hof van Justitie betreffende de geldigheid van het betrokken adequaatheidsbesluit van de Commissie.
Het Hof van Justitie stelde vast dat het Besluit Safe Harbor het mogelijk maakte dat op grond van eisen van de nationale veiligheid en het algemeen belang of de nationale wetgeving van de Verenigde Staten een inmenging kon plaatsvinden in de grondrechten van de personen van wie de persoonsgegevens vanuit de EU naar de VS zijn of zouden kunnen worden doorgegeven[8]. Het Hof concludeerde dat de VS geen passend beschermingsniveau kon bieden gelijkaardig aan het EU-recht aangezien de Amerikaanse autoriteiten de doorgeven gegevens konden verwerken op een wijze die onverenigbaar is met de doelstellingen waarvoor zij werden doorgegeven en dat deze verwerking verder ging dan strikt noodzakelijk was voor en evenredig was aan de bescherming van de nationale veiligheid[9].
Er kwam een nieuw besluit van de Commissie het EU-VS Privacy Shield besluit
Omdat talrijke grote Amerikaans firma’s in de problemen dreigden te komen met hun datatransfers naar de VS, kwam de Europese Commissie snel met een nieuw adequaatheidsbesluit om de transfer van data naar de VS mogelijk te maken, met name het EU-VS Privacy Schield Besluit.[10]
Het EU-VS-privacyschild is gebaseerd op een systeem van zelfcertificering waarbij Amerikaanse firma’s aantonen dat zij een reeks privacybeginselen onderschrijven. Deze firma’s komen op de “privacyschildlijst”, die wordt bijgehouden door het Amerikaans Ministerie van Handel. Wanneer persoonsgegevens vanuit de EU aan firma’s in de VS worden doorgeven in het kader van het EU-VS-privacyschild – namelijk aan firma’s vermeld op de privacyschildlijst – wordt aangenomen dat de VS een passend beschermingsniveau voor deze persoonsgegevens waarborgt.[11]
Naar aanleiding van het arrest van het Hof van Justitie van 6 oktober 2015, heeft de Ierse rechtbank de afwijzing van de klacht van Max Schrems door de Ierse Privacycommissie nietig verklaard, waarna zijn klacht opnieuw door de Privacycommissie moest behandeld worden. Aangezien Facebook Ireland intussen had verklaard dat een groot deel van de persoonsgegevens aan Facbook Inc. werd doorgegeven op basis van de standaardbepalingen inzake gegevensbescherming uit het Besluit van de Europese Commissie omtrent de modelcontractbepalingen (hierna het MBC-besluit) en de datatransfer daardoor rechtsgeldig zou zijn, werd Max Schrems verzocht om zijn oorspronkelijke klacht in dit opzicht te herformuleren.[12] Aangezien het duidelijk was dat hierbij de vraag naar de geldigheid van het MCB-besluit zou rijzen, werd een nieuwe prejudiciële vraag aan het Hof van Justitie gesteld.
De AVG (en vroeger ook de Privacyrichtlijn) voorziet immers dat bij ontstentenis van een adequaatheidsbesluit van de Commissie, een doorgifte van persoonsgegevens door een verwerkingsverantwoordelijke vanuit de EU aan een derde land alleen kan plaatsvinden mits zij passende waarborgen bieden en de betrokkenen over afdwingbare rechten en doeltreffende rechtsmiddelen beschikken.[13] Zulke passende waarborgen kunnen geboden worden door in de overeenkomst met de verwerker gevestigd in het derde land de standaardbepalingen inzake gegevensbescherming op te nemen die door de Europese Commissie werden vastgelegd in haar besluit betreffende de modelcontractbepalingen (hierna: “MCB-besluit).[14] Voor dergelijke datatransfer is dan ook geen specifieke toestemming van de toezichthoudende autoriteit nodig aangezien wordt aangenomen dat een doorgifte op basis van deze standaardbepalingen de vereiste passende bescherming biedt.[15]
Hoewel het geding strikt gezien slechts betrekking had op de geldigheid van het MCB-besluit, was intussen het Privacyschilbesluit aangenomen, waardoor het Hof van Justitie met deze gewijzigde omstandigheid rekening diende te houden in haar beoordeling.[16] Met de verschillende gestelde prejudiciële vragen werd in wezen opgekomen tegen de constatering van de Europese Commissie in het Privacyschildbesluit dat de VS een passend beschermingsniveau zou waarborgen voor gegevens die vanuit de Unie naar een derde land werden doorgegeven.[17]
Ook het Privacy Schield besluit is ongeldig
In haar arest van 16 juli 2020 oordeelde het Hof echter dat het EU-VS Privacy Shield ongeldig is. Gelet op de vergaande toegang die de Amerikaanse overheidsinstanties zich in het kader van surveillanceprogramma’s kunnen verschaffen tot de doorgegeven gegevens vanuit de EU, is het Hof immers van mening dat in de VS geen passend beschermingsniveau wordt geboden dat overeenstemt met het EU-recht. De VS biedt volgens het Hof voor de betrokkenen immers onvoldoende waarborgen op de bescherming van hun recht op eerbieding van het privéleven, recht op bescherming van persoonsgegevens en het recht op toegang tot een onafhankelijk en onpartijdig gerecht om toegang tot de hem betreffende persoonsgegevens te verkrijgen, of om rectificatie of verwijdering van die gegevens te verkrijgen.[18]
Wat nu met datatransfer naar de VS?
Bij gebrek aan een geldig adequaatheidsbesluit van de Commissie voor doorgifte van gegevens naar de VS, zullen de verwerkingsverantwoordelijken en verwerkers op basis van art. 46 AVG nu zelf passende waarborgen moeten bieden en garanderen dat de betrokkenen over afdwingbare rechten en doeltreffende rechtsmiddelen beschikken opdat zij data zouden kunnen doorgeven aan firma’s in de VS.
Hoewel het Hof van Justitie in haar recent arrest van 16 juli 2020 heeft geoordeeld dat er geen feiten of omstandigheden werden aangetoond die de geldigheid van het MCB-Besluit zouden aantasten,[19] zal het niet zomaar mogelijk zijn voor bedrijven om de doorgifte van persoonsgegevens naar de VS op basis van die modelcontracten te blijven baseren.
Het is immers inherent aan het contractuele karakter van deze standaardbepalingen inzake gegevensbescherming dat zij slechts gelden tussen de contractspartijen en aldus de overheidsinstanties van derde landen niet kunnen binden.[20] Conform de AVG, zullen verwerkingsverantwoordelijken in de EU die data willen doorgeven aan de VS, naast deze standaardbepalingen dan ook aanvullende waarborgen moeten nemen om de eerbiediging van een passend beschermingsniveau te waarborgen.[21]
Wanneer het echter onmogelijk is om zulke maatregelen te nemen omdat het recht van het derde land de ontvanger van de gegevens uit de EU verhindert om de contractuele waarborg na te leven ter eerbiediging van een passend beschermingsniveau tegen de toegang tot deze gegevens door de overheidsinstanties van dat derde land, dient de in de EU gevestigde verwerkingsverantwoordelijke of verwerker de datatransfer naar het betrokken derde land op te schorten of te beëindigen.[22] Amerikaanse bedrijven zullen zich dus niet zomaar op de standaardbepalingen kunnen beroepen om een transfer van persoonsgegevens naar de VS te beschouwen als conform met de AVG.
Stefaan Callens en Paulien Beelen
[1] Hof van Justitie, 16 juli 2020, C‑311/18, overweging 103.
[2] Art. 45 AVG.
[3] Beschikking 2000/520/EG van de Europse Commissie van 26 juli 2000 overeenkomstig Richtlijn 95/46/EG van het Europees Parlement en de Raad, betreffende de gepastheid van de bescherming geboden door de Veilige haven beginselen voor de bescherming van de persoonlijke levenssfeer en de daarmee verband houdende Vaak gestelde vragen, die door het ministerie van Handel van de Verenigde Staten zijn gepubliceerd.
[4] Hof van Justitie, 6 oktober 2015, C-36214, overweging 107.
[5] Hof van Justitie, 6 oktober 2015, C-36214, overweging 27.
[6] Hof van Justitie, 6 oktober 2015, C‑362/14, overweging 28.
[7] Hof van Justitie, 6 oktober 2015, C‑362/14, overweging 28
[8] Hof van Justitie, 6 oktober 2015, C‑362/14, overweging 87
[9] Hof van Justitie, 6 oktober 2015, C‑362/14, overweging 90
[10] Uitvoeringsverordening (EU) 2016/1250 van de Europese Commissie van 12 juli 2016 overeenkomstig Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de gepastheid van de door het EU-VS-privacyschild geboden bescherming.
[11] Hof van Justitie, 16 juli 2020, C‑311/18, overweging 46.
[12] Hof van Justitie, 16 juli 2020, C‑311/18, overweging 54-55.
[13] Art. 46, §1 AVG.
[14] Besluit van de Europese Commissie 2010/87 van 5 februari 2010 betreffende modelcontractbepalingen voor de doorgifte van persoonsgegevens aan in derde landen gevestigde verwerkers krachtens Richtlijn 95/46/EG van het Europees Parlement en de Raad.
[15] Art. 46, §2, c) AVG.
[16] Hof van Justitie, 16 juli 2020, C‑311/18, overweging 154.
[17] Hof van Justitie, 16 juli 2020, C‑311/18, overweging 160.
[18] Hof van Justitie, 16 juli 2020, C‑311/18, overweging 198-201.
[19] Hof van Justitie, 16 juli 2020, C‑311/18, overweging 198-201.
[20] Hof van Justitie, 16 juli 2020, C‑311/18, overweging 132.
[21] Hof van Justitie, 16 juli 2020, C‑311/18, overweging 133.
[22] Hof van Justitie, 16 juli 2020, C‑311/18, overweging 135.
