Bent u al Schrems-moe? Wij nog niet! Vorige week hebben wij een speciale editie van onze ICTRecht nieuwsbrief gewijd aan het Privacy Shield. Hierin hebben wij een FAQ (Frequently Asked Questions) opgesteld voor onze klanten. Inmiddels heeft ook de European Data Protection Board (EDPB) een FAQ gepubliceerd. In dit document wordt antwoord gegeven op veelgestelde vragen aan de toezichthouders, naar aanleiding van de zogenoemde Schrems II zaak. Wat zijn hier de belangrijkste bevindingen?
Privacy Shield is ongeldig
De EDPB begint met een antwoord op de logische eerste vraag: wat besloot het Europese Hof van Justitie in deze inmiddels beroemde zaak? Samengevat heeft het Hof met haar uitspraak het EU-VS Privacy Shield ongeldig verklaard. EDPB is kort maar krachtig: ‘Transfers on the basis of this legal framework are illegal’.Dat betekent dat organisaties vanuit de Europese Economische Ruimte (EER) geen persoonsgegevens meer mogen doorgeven aan organisaties opererend in de VS op grond van het Privacy Shield.
‘No regulatory grace period’
De EDPB benadrukt dat Standard Contractual Clauses (SCC’s) niet ongeldig zijn verklaard door de uitspraak van het HvJEU. Ook Binding Corporate Rules (BCR’s) zijn technisch nog steeds beschikbaar. Dit betekent echter niet dat het gebruik van de SCC’s of BCR’s direct een passend alternatief oplevert voor het Privacy Shield. De EDPB waarschuwt zelfs in haar FAQ dat er geen ‘regulatory grace period’ zal zijn. Met andere woorden: het Privacy Shield is volledig van de kaart en er bestaat geen overgangsperiode om te kunnen handelen naar de nieuwe realiteit die deze uitspraak met zich mee brengt. Een duidelijke en belangrijke boodschap van de EDPB.
Welke mogelijkheden zijn er nog, if any?
Organisaties die Europese persoonsgegevens naar de Verenigde Staten willen blijven doorgeven moeten niet simpelweg een alternatief mechanisme gebruiken, maar moeten éérst bepalen of ze de gegevens (juridisch gezien) voldoende kunnen beschermen tegen Amerikaans toezicht. Of persoonsgegevens wel of niet kunnen worden overdragen op basis van SCC’s hangt af van het resultaat van die beoordeling. Bij deze beoordeling kan men rekening houden met de omstandigheden van de verwerkingen en doorgifte én aanvullende maatregelen die de organisatie kan treffen ter bescherming. De uitkomst moet zijn dat de Amerikaanse wet geen afbreuk zal doen aan het passende beschermingsniveau dat de organisatie kan garanderen. Klinkt bijna als een mission impossible, right? Komt de organisatie met deze beoordeling tot de conclusie dat zij geen passende waarborgen kan garanderen, dan moet de doorgifte van persoonsgegevens worden beëindigd, of opgeschort.
Ook ten aanzien van BCR’s geldt dat de aanvullende maatregelen, de omstandigheden van de overdracht samen met de BCR’s per geval moeten worden geanalyseerd. Enkel en alleen indien de conclusie is dat passende waarborgen kunnen worden gegarandeerd, waarbij de Amerikaanse wetgeving géén afbreuk doet aan dat passende beschermingsniveau, is de doorgifte legaal. Wederom lijkt dit geen werkbare optie.
Toezichthouder inlichten
De EDPB verplicht organisaties om de (competente) nationale toezichthouder in te lichten, wanneer zij gegevens willen blijven doorgeven aan de VS, ondanks dat zij geen passende waarborgen kunnen garanderen. Voor Nederlandse organisaties betekent dit dat zij moeten aankloppen bij de Autoriteit Persoonsgegevens. In welke vorm dit precies moet gebeuren, is (nog) niet duidelijk.
En artikel 49 dan?
De EDPB staat ook stil bij artikel 49 AVG als optie voor doorgifte van persoonsgegevens aan de VS. Wij concludeerden in onze eigen FAQ ook al dat de richtlijnen ten aanzien van een beroep op dit artikel het gebruik ervan beperkt uitleggen. Enkel voor incidentele doorgifte is een beroep op artikel 49 AVG een optie. Bij zo’n beroep moet bijvoorbeeld gedacht worden aan expliciete toestemming voor de doorgifte. Ook kan de doorgifte toelaatbaar zijn in het geval het noodzakelijk is om een overeenkomst te kunnen sluiten (als je via een derde een hotelboeking in Amerika doet).
De afwijkingen zoals uiteengezet in artikel 49 AVG mogen volgens de EDPB in de praktijk niet “de regel” worden, in plaats van de “uitzondering”. De toepassing moet beperkt blijven tot specifieke situaties en elke gegevensexporteur moet ervoor zorgen dat de doorgifte voldoet aan de strikte noodzakelijkheidstest.
Geldt dit enkel voor Amerika?
De EDPB gaat nog een stapje verder en benadrukt dat organisaties die gegevens doorgeven aan ‘derde landen’ zelf verantwoordelijk zijn en blijven over de beoordeling van het beschermingsniveau in die landen. De met de SCC’s of BCR’s geboden garanties, moeten in de praktijk kunnen worden nageleefd. Kan dit niet worden aangetoond? Dan dient de organisatie de doorgifte te staken. Gaat de organisatie toch door met de doorgifte aan dat land, ondanks dat er geen passend beschermingsniveau is? Ook dan dient de (competente) nationale toezichthouder te worden ingelicht.
Sleutelrol voor de (Nationale) Autoriteiten
De EDPB benadrukt dat het de primaire verantwoordelijkheid is en blijft van de data ex- en importeurs om zelf te onderzoeken of het derde land het mogelijk maakt om te voldoen aan de SSC’s of BCR’s, voordat persoonsgegevens worden doorgegeven aan dat derde land. Eerst uitzoeken en dan pas handelen. Een flinke verantwoordelijkheid, waar waarschijnlijk niet alle organisaties de kennis en kunde voor in huis hebben. De EDPB geeft echter ook aan dat de Supervisory Authorities (SA’s) een sleutelrol hebben in de handhaving van de AVG én bij het nemen van verdere besluiten over doorgiften naar derde landen. Om uiteenlopende besluiten te voorkomen, zullen de SA’s binnen de EDPB verder samenwerken. Dit is ook om de samenhang te waarborgen, met name indien doorgiften naar derde landen moeten worden verboden.
Komt er nog meer duidelijkheid?
De EDPB heeft het een aantal keer over ‘aanvullende maatregelen’ die organisaties kunnen treffen wanneer zij gebruik maken van SCC’s of BCR’s voor de doorgifte van Europese data aan derde landen, wanneer het niveau van bescherming nog niet voldoende is. Momenteel is de EDPB nog bezig met verdere analyse van de uitspraak, om vast te stellen wat voor soort aanvullende maatregelen eventueel kunnen worden getroffen, en of deze juridisch, technisch of organisatorisch zullen zijn. De EDPB zegt toe dat zij hierover begeleiding zal bieden.
Geldt dit ook voor u(w organisatie)?
Maakt u gebruik van Amerikaanse tools, zoals Google? Of maakt u gebruik van verwerkers die sub-verwerkers inschakelen buiten de EER? Dan is dit ook voor u van belang. Doorgifte van persoonsgegevens buiten de EER, dient te voldoen aan de strikte noodzakelijkheidstest.
U dient een afweging te maken en vervolgens een keuze te maken. Kiest u ervoor om door te gaan met een partij die gegevens doorgeeft aan de VS? Dan is de enige optie om te onderhandelen over een contractuele wijziging of aanvullende clausule op uw contract, waarin wordt afgesproken dat géén data naar de VS worden doorgegeven/opgeslagen. Wordt er gekozen voor een ander ‘derde land’? Dan moet óók daarvoor worden onderzocht of dit beschermingsniveau wel geschikt is. Verwerken met doorgifte enkel binnen de EER lijkt dus de enige werkbare oplossing.
Kiest u om tóch door te blijven gaan met doorgifte aan de VS zoals u dat voorheen ook al deed, en kunt u niet aantonen/vertrouwen op een passend beschermingsniveau? Dan bent u verplicht om de Autoriteit Persoonsgegevens hierover in te lichten. Ook degenen die denken dat ze een wettelijke garantie kunnen bieden voor “passende waarborgen” – en dus van plan zijn om gegevens (via SCC) naar de VS over te dragen – moeten de gegevenswaakhond op de hoogte stellen. Er is dus geen optie om ‘gewoon’ door te gaan zonder de toezichthouder op de hoogte te stellen. Wij vragen ons af hoe deze kennisgeving in de praktijk vorm zal krijgen, daarom zullen wij de Autoriteit Persoonsgegevens hier vragen over stellen.
Neem natuurlijk gerust contact met ons op om deze gevolgen nader te bespreken. Wij helpen u graag en zullen de ontwikkelingen nauwlettend in de gaten blijven houden én zullen u hiervan op de hoogte houden.
