Home > News > Het Schrems II-arrest en de gevolgen voor de praktijk
Print pageprint Stay Informedprint

NEWS

Het Schrems II-arrest en de gevolgen voor de praktijk

calendar_new
11/09/2020

Heet van de naald:

De Ierse gegevensbeschermingsautoriteit verbiedt Facebook om persoonsgegevens van EU-burgers nog naar de Verenigde Staten te verzenden[1].

De autoriteit geeft daarmee een eerste gevolg aan het Schrems II-arrest van 16 juli 2020 van het Hof van Justitie van de Europese Unie (“HvJ”). Met dit arrest is de doorgifte van persoonsgegevens naar de Verenigde Staten op de helling komen te staan, waarmee ook het merendeel van de Belgische bedrijven te maken heeft door het gebruik van alom bekende software zoals Google Analytics,  Facebook, Twitter ..... 

In het Schrems II-arrest oordeelde het  HvJ onder andere dat het EU-US Privacy Shield  niet geldig is en standaardcontractbepalingen - hoewel geldig - niet zo maar voldoende zijn voor doorgiften van persoonsgegevens buiten de landen van de EER[2], zoals de Verenigde Staten, omdat deze de persoonsgegevens niet voldoende  beschermen tegen (Amerikaans) overheidstoezicht. Iedere onderneming moet daarom duidelijk opnieuw in kaart brengen in welke mate er een doorgifte van persoonsgegevens is naar derde landen buiten de EER.

Ook op Europees niveau worden de praktische implementaties van het Schrems II-arrest volop besproken, zoals onlangs op 3 september 2020 voor het Europees Parlement.

 

Het Schrems II-arrest en de gevolgen voor de praktijk worden hieronder toegelicht.

Samenvatting

Verzenden van persoonsgegevens naar een land buiten de EER  was tot voor kort mogelijk voor ondernemingen (i) indien dat land een adequaat beschermingsniveau bood (zoals bijvoorbeeld het EU-US Privacy Shield besluit met betrekking tot de Verenigde Staten) of  (ii) indien, bij gebrek aan dergelijk adequaatsbesluit, de partijen zelf de nodige maatregelen hadden getroffen om te verzekeren dat de overdracht hetzelfde beschermingsniveau geniet als onder de Algemene Verordening Gegevensbescherming (“AVG” of “GDPR”), zoals  het sluiten van standaardcontractbepalingen opgesteld door de Europese Commissie.

Op 16 juli 2020 heeft het HvJ zich uitgesproken over de geldigheid van de hierboven vermelde  voorbeelden en kwam daarbij tot de volgende conclusies: (i) het EU-US Privacy Shield besluit is ongeldig en (ii) indien partijen zich willen beroepen op standaardcontractbepalingen hebben zij bijkomende verplichtingen.

Als gevolg van dit arrest, gekend als het Schrems II-arrest, is het aangeraden dat ondernemingen (nogmaals) hun doorgifte van persoonsgegevens naar landen buiten de EER in kaart brengen, met inbegrip van de gronden waarop deze doorgiften rusten. Mogelijks dienen immers aanvullende maatregelen genomen te worden. Bijkomend kan een aanpassing in de bedrijfsprocessen bij het versturen van persoonsgegevens buiten de EER zich opdringen.

 

Volledig artikel

HvJ EU: EU-US Privacy Shield ongeldig (Schrems II)

Inleiding

Vijf jaar nadat privacy-activist Maximilian Schrems de nietigheid bekwam van het Safe Harbour-principe voor het Hof van Justitie van de Europese Unie (“HvJ”) in de zaak die gekend staat als ‘Schrems I’ (C-362/14), heeft hij eveneens zijn slag thuis gehaald door ook  het EU-US Privacy Shield-mechanisme ongeldig te laten verklaren door het HvJ in haar arrest van 16 juli 2020. Dit mechanisme kwam tot stand na onderhandelingen tussen de Europese Unie en de Verenigde Staten om tegemoet te komen aan de ongeldigheidsverklaring van het Safe Harbour-principe. Het HvJ oordeelde echter dat dit EU-US Privacy Shield-mechanisme niet hetzelfde beschermingsniveau biedt als dat binnen de EU, omdat er bijvoorbeeld sprake is van systematische monitoring door Amerikaanse inlichtingendiensten van (persoons)gegevens uit bijvoorbeeld e-mails en cloudopslagdiensten.

Initieel had de klacht van de heer Schrems bij de Ierse gegevensbeschermingsautoriteit uitsluitend betrekking op de geldigheid van de EC Standard Contract Clauses (standaardcontractbepalingen) als juridische basis voor het doorgeven van persoonsgegevens naar derde landen, in dit geval door Facebook aan de Verenigde Staten. Na deze klacht kwam echter ook het uitvoeringsbesluit inzake het EU-US Privacy Shield van 2016 tot stand, waardoor ook dit relevant werd geacht en over beide mechanismen uitspraak diende te worden gedaan door het HvJ.  

Geldigheid standaardcontractbepalingen

Hoewel bindend voor de in de Europese Unie gevestigde verwerkingsverantwoordelijke en voor de in een derde land gevestigde ontvanger van persoonsgegevens, zijn de standaardcontractbepalingen niet tegenstelbaar aan een autoriteit in het derde land aangezien deze geen partij is bij de overeenkomst die gesloten wordt op basis van de standaardcontractbepalingen. Aldus rijst de vraag of deze bepalingen ongeldig zijn, omdat zij geen garanties bevatten die tegengeworpen kunnen worden aan de overheidsinstanties van de derde landen wanneer persoonsgegevens op basis van de bepalingen (zouden kunnen) worden doorgegeven. Het HvJ beantwoordt deze vraag negatief in het Schrems II-arrest.

Het HvJ steekt van wal door in herinnering te brengen dat artikel 46, lid 1 van de AVG bepaalt dat wanneer de Europese Commissie (‘EC’) geen adequaatheidsbesluit vaststelt, het aan de in de Europese Unie gevestigde verwerkingsverantwoordelijke of verwerker is om te voorzien in passende waarborgen. Hieruit volgt dat het, afhankelijk van de omstandigheden van de vooropgestelde doorgifte van persoonsgegevens, noodzakelijk kan zijn om de in de standaardcontractbepalingen vervatte waarborgen verder aan te vullen. Het is dus bovenal de verplichting van de verwerkingsverantwoordelijke, desgevallend in samenwerking met de ontvanger in het derde land, om van geval tot geval te beoordelen of het recht van het derde land van bestemming vanuit het oogpunt van het unierecht passende bescherming waarborgt voor persoonsgegevens die worden doorgegeven op basis van standaardcontractbepalingen en zo nodig aanvullende waarborgen te treffen. Indien dit niet mogelijk blijkt te zijn, is de verwerkingsverantwoordelijke, of subsidiair de bevoegde toezichthoudende autoriteit, ertoe verplicht om de doorgifte van persoonsgegevens naar het betrokken derde land op te schorten of te beëindigen. Het HvJ komt dan ook tot het besluit dat het loutere feit dat de standaardcontractbepalingen niet tegenstelbaar zijn aan de autoriteiten in de derde landen geen afbreuk doet aan de geldigheid van de bepalingen.

Of dergelijke standaardcontractbepalingen geldig zijn, hangt volgens het HvJ af van de vraag of deze bepalingen voldoende mechanismen bevatten om het door het unierecht vereiste beschermingsniveau te kunnen waarborgen. Het HvJ meent van wel. Ten eerste verbindt de ontvanger in het derde land zich er met de ondertekening van de standaardcontractbepalingen toe om de persoonsgegevens te verwerken overeenkomstig het “toepasselijk recht inzake gegevensbescherming”, dat onder andere de bepalingen inhoudt van de AVG, te lezen in het licht van het Handvest van de grondrechten van de Europese Unie (‘Handvest’). Ten tweede, is de ontvanger verplicht, indien hij niet in staat is om te voldoen aan de  contractuele verplichtingen, om de verwerkingsverantwoordelijke hiervan onverwijld in kennis te stellen. Dit houdt tevens in dat hij de verwerkingsverantwoordelijke dient in te lichten over elke wijziging in de nationale wetgeving die het nakomen van de standaardcontractbepalingen zou kunnen bemoeilijken of verhinderen. Ook indien het de ontvanger verboden wordt om de verwerkingsverantwoordelijke daarover in te lichten, heeft de ontvanger nog steeds de plicht om de  verwerkingsverantwoordelijke in algemene termen te laten weten dat hij niet in staat is om de overeenkomst na te leven. In dergelijke gevallen moet de verwerkingsverantwoordelijke de doorgifte opschorten of  beëindigen. Ten derde, hebben de verwerkingsverantwoordelijke en ontvanger de verplichting om er zich van te vergewissen dat de wetgeving in het derde land van bestemming, de ontvanger toestaat de standaardcontractbepalingen na te leven. Zij zullen dus voorafgaandelijk moeten nagaan of het door het unierecht vereiste beschermingsniveau in het betrokken derde land wordt geëerbiedigd. Ten slotte is de verwerkingsverantwoordelijke ook verplicht om de toezichthoudende autoriteit in te lichten indien hij beslist om de doorgifte voort te zetten ondanks het feit dat hij werd geïnformeerd door de ontvanger dat (een wijziging in) de wetgeving in het derde land van bestemming in aanzienlijke mate afbreuk kan doen aan de in de standaardcontractbepalingen opgenomen waarborgen en verplichtingen. In het voorkomende geval heeft de bevoegde toezichthoudende autoriteit de bevoegdheid om de doorgifte op te schorten of te beëindigen.

Geldigheid EU-US Privacy Shield-mechanisme

Het EU-US Privacy Shield-besluit[3] (“PS Besluit”) stipuleert dat de onderschrijving van de beginselen beperkt kan worden door “vereisten inzake nationale veiligheid, het algemeen belang of rechtshandhaving”. Deze afwijking maakt het dus mogelijk dat op basis van deze gronden inmenging plaatsvindt in de grondrechten van personen van wie de persoonsgegevens (zullen) worden doorgegeven naar ontvangers in de Verenigde Staten. In dit verband werd verwezen naar inlichtingenactiviteiten op basis van section 702 FISA[4], die de Amerikaanse nationale inlichtingendienst, na goedkeuring door de FISC[5], de mogelijkheid geeft om surveillance van niet-Amerikanen uit te voeren die zich bevinden buiten het grondgebied van de Verenigde Staten, met name ter ondersteuning van de surveillanceprogramma’s PRISM en Upstream. Deze programma’s laten de NSA, FBI en CIA toe om aanbieders van internetdiensten en telecommunicatiebedrijven te verplichten om bepaalde (persoons)gegevens over te maken. De president van de Verenigde Staten, als opperbevelhebber van het leger en hoofd van de uitvoerende macht, heeft in twee uitvoeringsbesluiten, Executive Order 12333 (‘E.O. 12333’) en Presidential Policy Directive 28 (‘PPD 28’) grenzen opgelegd waarbinnen de Amerikaanse inlichtingendiensten dienen te handelen.

De vraagt rijst of de Europese Commissie de beperkingen en waarborgen in de regelgeving van de Verenigde Staten, in het bijzonder voormelde regelgeving, correct heeft beoordeeld bij haar besluit dat dit land een passend beschermingsniveau waarborgt. Artikel 45 AVG, die dergelijke beoordeling voorschrijft, dient in het licht gelezen te worden van artikelen 7, 8 en 47 van het Handvest, respectievelijk het recht op eerbiediging van eenieders privéleven, familie- en gezinsleven, woning en communicatie, het recht op bescherming van persoonsgegevens en het recht op een doeltreffende voorziening in rechte en op een onpartijdig gerecht. Het HvJ herinnert eraan dat deze bepalingen geen absolute werking hebben, maar beperkingen op deze grondrechten slechts zijn toegestaan indien zij bij wet worden gesteld en, met inachtneming van het evenredigheidsbeginsel, noodzakelijk zijn en daadwerkelijk beantwoorden aan een doelstelling van algemeen belang of aan de eisen van bescherming van de rechten en vrijheden van anderen. Dit houdt eveneens in dat de wettelijke regeling inzake de inmenging duidelijke en nauwkeurige regels dient te bevatten omtrent de reikwijdte en de toepassing daarvan, zodat gewaarborgd wordt dat zij beperkt blijft tot het strikt noodzakelijke.

Volgens het HvJ voldoet de Amerikaanse wetgeving daar niet aan. Ten eerste is de controle die de FISC kan uitoefenen slechts marginaal en betreft zij geenszins de vraag of “natuurlijke personen het juiste doelwit zijn om buitenlandse inlichtingen te verwerven”. Uit section 702 FISA blijkt dus op geen enkele wijze het bestaan van beperkingen van de daarin vervatte bevoegdheid voor de uitvoering van surveillanceprogramma’s. Ten tweede verlenen de presidentiële besluiten, E.O. 1233 en PPD 28, geen rechten aan de betrokkenen die voor de rechtbanken tegenover de Amerikaanse overheidsdiensten afdwingbaar zijn. PPD 28 maakt het zelfs mogelijk “bulksgewijs” een relatief groot volume of informatie uit berichtenverkeer te verkrijgen, zonder dat die toegang dus aan enig gerechtelijk toezicht is onderworpen. Ten slotte beantwoordt ook de “Privacy Shield ombudsman”, die in het kader van het PS Besluit werd aangesteld, niet aan de voorwaarden van artikel 47 van het Handvest. Hij brengt immers rechtstreeks verslag uit aan de Amerikaanse minister van Buitenlandse Zaken, terwijl zijn ontslag of de intrekking van zijn aanstelling niet door specifieke waarborgen wordt omkleed, waardoor zijn onafhankelijkheid ten aanzien van de uitvoerende macht volgens het HvJ in het gedrang komt. Bovendien blijkt uit het PS Besluit ook niet dat deze ombudsman bindende beslissingen kan nemen ten aanzien van de inlichtingendiensten.

Volgens het HvJ is de EC bij haar beoordeling voorbijgegaan aan de vereisten die voortvloeien uit artikel 45, lid 1 AVG, gelezen in het licht van de artikelen 7, 8 en 47 van het Handvest. Het HvJ komt dan ook tot het besluit dat het PS Besluit, alsmede het EU-US Privacy Shield-mechanisme dat hiermee wordt ingesteld, ongeldig is.

Het HvJ sluit af door te stellen dat door deze ongeldigheidsbeslissing geen rechtsvacuüm zal ontstaan. Artikel 49 AVG bepaalt namelijk nauwkeurig onder welke voorwaarden persoonsgegevens naar derde landen kunnen worden doorgegeven bij ontstentenis van een adequaatheidsbesluit overeenkomstig artikel 45, lid 3 AVG of van passende waarborgen overeenkomstig artikel 46 AVG.

 

Conclusie voor de praktijk

Het merendeel van bedrijven exporteert informatie naar de Verenigde Staten via onderliggende software. Veelal bevatten deze informatie ook persoonsgegevens. Als gevolg van het Schrems II–arrest is deze gegevensdoorgifte onder druk komen te staan en dit met onmiddellijke ingang. Iedere onderneming moet daarom meteen duidelijk opnieuw in kaart brengen in welke mate er een doorgifte is van persoonsgegevens naar derde landen buiten de EER.

Hiervoor is het register van verwerkingsactiviteiten een uitstekende tool. Men moet nagaan of er in het betrokken derde land een adequaatheidsbesluit geldt. Is dat niet het geval, dan moet er een diepgaandere juridische analyse gebeuren van de juridische situatie in dat land en meer in het bijzonder de toegang door de toezichthoudende autoriteiten tot de persoonsgegevens die zouden worden doorgegeven. Vervolgens moet worden beoordeeld of de standaardcontractbepalingen voldoende bescherming kunnen bieden. Indien dat niet geval zou zijn, moeten er – afhankelijk van de situatie – bijkomende maatregelen worden genomen om alsnog met de doorgifte door te gaan.  

Het laatste is hiervan nog niet gezegd, maar het staat vast dat er werk aan de winkel is voor de meesten onder ons.

 

Dorien Taeymans en Sarah van den Brande

Indien u meer wenst te weten of indien u vragen heeft kan u steeds contact opnemen met Dorien Taeymans (d.taeymans@liedekerke.com) of Sarah van den Brande (s.vandenbrande@liedekerke.com).

 

HvJ C-311/18, te raadplegen via: http://curia.europa.eu/juris/document/document.jsf?docid=228677&text=&dir=&doclang=EN&part=1&occ=first&mode=lst&pageIndex=0&cid=14004796


[2] EU samen met Noorwegen, IJsland en Liechtenstein.

[3] Uitvoeringsbesluit (EU) 2016/1250 van de Commissie van 12 juli 2016 overeenkomstig richtlijn 95/46 betreffende de gepastheid van de door het EU-VS-privacyschild geboden bescherming.

[4] Foreign Intelligence Surveillance Act

[5] Foreign Intelligence Surveillance Court