Op 16 juli 2020 verklaarde het hof het EU-VS Privacy Shield ongeldig.
Een uitspraak met grote consequenties voor de uitwisseling van persoonsgegevens tussen de EU en de VS. Deze zaak begon met een klacht van de Oostenrijkse student Max Schrems tegen Facebook Ierland. Hij vond de doorgifte van zijn persoonsgegevens door Facebook Ierland naar het moederbedrijf in de VS in strijd met het Europese recht. Volgens Schrems worden zijn persoonsgegevens in de VS onvoldoende beschermd. Het hof gaf hem in de Schrems-I zaak uit 2015 al eens gelijk door het toenmalige Safe Harbour mechanisme ongeldig te verklaren. In deze nieuwe zaak (Schrems-II) verklaart het hof de opvolger daarvan, het EU-VS Privacy Shield, ook ongeldig. De VS biedt geen passend beschermingsniveau voor de persoonsgegevens en de rechten en vrijheden van de Europese betrokkenen, aldus het hof. Amerikaanse inlichtingendiensten kunnen persoonsgegevens in bulk verkrijgen van EU-burgers zonder onderscheid naar persoon of voorafgaande rechterlijke toetsing. Ook het feit dat de Amerikaanse wetgeving geen doeltreffende toegang tot de rechter biedt aan Europeanen bij de verwerking van hun persoonsgegevens door Amerikaanse overheidsinstanties, leidt tot dit oordeel van het hof.
Deze uitspraak heeft tot gevolg dat persoonsgegevens niet meer op grond van het EU-VS Privacy Shield kunnen worden doorgegeven aan de VS.
Alternatief?
De AVG biedt wel alternatieven. De meest gebruikte mogelijkheid is het sluiten van een modelcontract met de ontvanger in het derde land. Deze door de Europese Commissie opgestelde model contractsbepalingen zijn door het hof wel geldig bevonden. Maar het hof voegt daaraan toe dat per doorgifte moet worden beoordeeld of het recht van het derde land passende bescherming biedt voor de persoonsgegevens die op basis van dat contract worden doorgegeven. Dat lijkt − gelet op het oordeel ten aanzien van Privacy Shield − voor de VS niet snel het geval. Aanvullende waarborgen zijn dan nodig of de doorgifte moet worden gestaakt. De European Data Protection Board, het orgaan waarin de Europese toezichthouders zijn verenigd, heeft Frequently Asked Questions gepubliceerd en komt binnenkort met meer informatie over aanvullende maatregelen die organisaties kunnen treffen. De Europese Commissie geeft aandruk bezig te zijn met nieuwe modelcontracten.
Actie nodig?
Omdat bijna iedere onderneming persoonsgegevens in of via de VS verwerkt, is het verstandig om alvast een paar stappen te zetten:
- Ga na welke persoonsgegevens buiten de EU worden verwerkt.
- Check de contracten met ontvangers in de VS.
- Is doorgifte gebaseerd op het EU-VS Privacy Shield? Vraag welk alternatief de ontvanger biedt.
- Vraag bij gebruik van modelcontracten welke waarborgen de ontvanger biedt.
- Pas de privacyverklaring aan als daarin wordt verwezen naar EU-VS Privacy Shield.
