Doorgifte persoonsgegevens naar de Verenigde Staten zonder het Privacy Shield

Eerder deze maand schreven wij een artikel over de doorgifte van persoonsgegevens van en naar het Verenigd Koninkrijk (VK) na de Brexit. Dit keer zijn de Verenigde Staten (VS) aan de beurt. Niet omdat we dat zo gepland hadden, maar omdat het Hof van Justitie van de Europese Unie (HvJEU) vorige week met een belangrijke uitspraak kwam voor de uitwisseling van persoonsgegevens naar de VS.

Doorgifte naar de VS

Net als het VK na de Brexit, is ook de VS een derde land in de zin van de AVG. Uitwisseling van persoonsgegevens met ondernemingen die gevestigd zijn in derde landen zijn in beginsel verboden, tenzij een passend beschermingsniveau wordt gewaarborgd. De AVG en sommige andere derde landen bieden een dergelijk hoog beschermingsniveau, de Amerikaanse wetgeving een stuk minder. Een van de manieren waarop uitwisseling naar de VS toch plaats kon vinden, was door een Privacy Shield registratie van de betreffende onderneming in de VS. Door registratie moesten bepaalde principes van gegevensbescherming zoals transparantie, dataminimalisatie en een klachtenprocedure in acht worden genomen waardoor persoonsgegevens konden worden uitgewisseld met deze ondernemingen.

Schrems II

Facebook Inc. heeft een dergelijke Privacy Shield registratie en op basis daarvan werden persoonsgegevens uitgewisseld tussen Facebook Inc. in de VS en Facebook Ireland in de EU. Maximilian Schrems klaagde dat zijn persoonsgegevens in de VS niet voldoende zouden worden beschermd. Na eerder al succesvol de Safe Harbor Privacy Principles (voorganger van het Privacy Shield) van tafel te vegen, oordeelt het HvJEU nu ook dat het Privacy Shield onvoldoende waarborgen biedt. Als gevolg hiervan kan doorgifte op basis van een Privacy Shield registratie niet meer plaatsvinden.

Reden voor het ongeldig verklaren van het Privacy Shield zijn de mogelijkheden die de Amerikaanse wetgeving aan de inlichtingen en veiligheidsdiensten bieden om ongericht en op grote schaal persoonsgegevens van EU-burgers kunnen verkrijgen. Daarnaast ontbreekt het EU-burgers aan afdoende en effectieve rechtsbescherming.

Standard Contractual Clauses (SCC’s) / modelcontracten

Naast het Privacy Shield is er nog een ander mechanisme dat populair is om doorgifte naar de VS met passende waarborgen te omkleden, dit zijn de modelcontracten. Modelcontracten bieden standaardbepalingen voor de bescherming van persoonsgegevens waartoe partijen zich contractueel verplichten.

De modelcontracten kwamen ook aan bod in het oordeel van het HvJEU. Daarover oordeelde het Hof dat deze afdoende kunnen zijn. Om de modelcontracten te kunnen hanteren moet de gegevensexporteur oordelen of het beschermingsniveau door de ontvangende partij in acht wordt genomen. Dat is nogal een taak voor een individuele onderneming die bijvoorbeeld van een verwerker in de VS gebruik wil maken. In de modelcontracten is eveneens bepaald dat wanneer de gegevensbescherming niet meer gegarandeerd kan worden, de uitwisseling gestaakt moet worden. Grote vraag is, nu het HvJEU heeft geoordeeld dat het Privacy Shield ongeldig is, of doorgifte op basis van de modelcontracten naar de VS dan wel kan plaatsvinden. Immers zijn de bezwaren hetzelfde en is het maar de vraag of partijen in de VS de bepalingen van de modelcontracten daadwerkelijk kunnen nakomen.

Wat nu?

Een onderneming die gegevens doorgeeft aan ondernemingen in de VS op basis van een Privacy Shield registratie, dient actie te ondernemen. Het sluiten van een modelcontract met de ontvanger in de VS kan daarbij uitkomst bieden. Doe daarbij wel goed onderzoek of de bepalingen uit het modelcontract kunnen worden nagekomen. Het vastleggen van deze analyse is eveneens belangrijk ter verantwoording aan een toezichthouder. Dit geldt ook partijen die reeds op basis van de modelcontracten persoonsgegevens doorgeven aan de VS.

Uiteraard blijven er nog andere mechanismen over om doorgifte te laten plaatsvinden. Zie daarvoor meer uitvoerig ons artikel over doorgifte naar het VK en de Brexit of ons boek “Checklist Privacy AVG, privacybeleid in 57 checklists”.

Mocht u zelf gegevens uitwisselen met ondernemingen in de VS en twijfelen over de rechtmatigheid daarvan, neem dan vrijblijvend contact op met Wieger Weijland of één van andere advocaten van het Privacy-team.