SCHREMS II, un final attendu et redouté

SCHREMS II, een langverwachte en gevreesde finale

SCHREMS II, een langverwachte en gevreesde finaleOp 16 juli 2020 heeft het Hof van Justitie van de Europese Unie het Privacy Shield ongeldig verklaard. Deze belangrijke overeenkomst vormde de wettelijke basis voor de overdracht van persoonsgegevens tussen Europa en de Verenigde Staten.

Meer dan 5.300 Amerikaanse bedrijven maakten gebruik van het Shield voor hun gegevensverwerking en moeten nu de wettelijke basis voor hun overdrachten wijzigen.

Het besluit werd genomen naar aanleiding van een klacht van Max Schrems, een Oostenrijkse burger die eerder al het initiatief had genomen voor de annulering van de overeenkomst die aan het Shield voorafging, de "Safe Harbour Principles".

De klager betwistte de voorwaarden waaronder zijn door Facebook verwerkte gegevens naar de Verenigde Staten werden doorgegeven.

Op basis van dit geschil heeft het Hof in zijn arrest, dat vaak wordt aangeduid als "Schrems II", zojuist de geldigheid geanalyseerd van twee rechtsinstrumenten die overdrachten buiten de Europese Unie toestaan:

  • Standaard contractbepalingen, die in principe met elk derde land kunnen worden gebruikt, en
  • Besluit 2016/1250 van de Europese Commissie betreffende het Privacy Shield, een overeenkomst die speciaal is afgestemd op overdrachten naar de Verenigde Staten.

Het Hof heeft de standaard contractuele clausules niet ongeldig verklaard – een scenario dat veel bedrijven en advocaten de stuipen op het lijf joeg.

Het gebruik ervan blijft echter onderworpen aan de concrete beoordeling door de gegevensexporteur van de wijze waarop de clausules daadwerkelijk worden toegepast in het derde land, waarbij met name rekening wordt gehouden met de mogelijkheden voor overheidsinstanties, zoals inlichtingendiensten, om toegang te krijgen tot de gegevens.

Indien toegang wordt verkregen tot gegevens die onverenigbaar zijn met de principes van de clausules, is het de verantwoordelijkheid van de exporteur en, indien hij dit niet doet, van de toezichthoudende autoriteit (gelijkwaardig aan de CNIL) om de overdracht op te schorten.

 

In het geval van het Privacy ShieldHet Hof oordeelde dat, zelfs indien de beginselen van de overeenkomst in beginsel een beschermingsniveau boden dat in wezen gelijkwaardig was aan dat van de Europese Unie, de concrete vereisten met betrekking tot de nationale veiligheid, het algemeen belang en de naleving van de Amerikaanse wetgeving deze beginselen onwerkzaam maakten.

Het oordeelde dat de reikwijdte van de toezichthoudende bevoegdheden van de Amerikaanse autoriteiten buitensporig was in overeenstemming met het Europees recht en dat de rechten van niet-Amerikaanse burgers om in beroep te gaan bij onafhankelijke rechtbanken niet gegarandeerd waren.

Deze bevindingen waren voor de rechtbank aanleiding om het besluit ongeldig te verklaren.

En nu?

Overdrachten naar de Verenigde Staten kunnen niet langer op basis van het Shield plaatsvinden.

Terwijl sommigen hun toevlucht nemen tot standaard contractuele clausules, roept deze oplossing twijfels op: deze clausules blijven in principe geldig, maar kampen met hetzelfde probleem als het Shield wanneer ze worden gebruikt voor een overdracht naar de Verenigde Staten: de omvang van de surveillancemaatregelen op Amerikaanse bodem en de ontoereikende rechtsmiddelen voor de betrokken personen.

Er wordt gesproken over de mogelijkheid om de gegevens te versleutelen vóór overdracht, om te voorkomen dat de Amerikaanse autoriteiten ze kunnen gebruiken. Hierbij wordt echter geen rekening gehouden met de mogelijkheid dat de autoriteiten wettelijk gezien ontsleuteling kunnen eisen.

Op 17 juli publiceerde de Europese Raad voor gegevensbescherming (EDPB) een persbericht waarin zij haar eerste bevindingen samenvatte en aanvullende richtlijnen aankondigde.

De volgende observaties kunnen worden opgemerkt:

– De beslissing van het Hof heeft rechtstreekse gevolgen voor overdrachten naar de Verenigde Staten, maar alle internationale overdrachten worden eveneens beïnvloed;

– Het gebruik van standaard contractuele clausules voor een overdracht naar een derde land blijft mogelijk, maar moet door de exporteur worden onderworpen aan specifieke controles met betrekking tot de inhoud van de clausules, de context van de overdracht en het toepasselijke rechtsstelsel in het derde land (met name inzake nationale veiligheid);

– Indien de situatie bijzondere risico’s met zich meebrengt, zullen aanvullende maatregelen moeten worden genomen. De EDPB werkt momenteel aan de invulling van deze maatregelen.

– Er wordt aan herinnerd dat de importeur de plicht heeft de exporteur op de hoogte te stellen van elke wijziging in de wetgeving die gevolgen zou kunnen hebben voor de toepassing van de clausules en die dus tot opschorting ervan zou kunnen leiden.

De Europese Commissie heeft aangekondigd dat zij een dialoog is aangegaan met haar Amerikaanse tegenhangers om tot een overeenkomst te komen die zorgt voor een hoger niveau van gegevensbescherming.

 

Ondertussen heeft de vereniging van Max Schrems, NOYB ("None Of Your Business"), 101 rechtszaken aangespannen tegen bedrijven die in de hele Europese Unie actief zijn, waaronder Google, Facebook en Microsoft, of die Google Analytics en Facebook Connect gebruiken, zonder enige actie te ondernemen naar aanleiding van de uitspraak van de rechtbank.

Er zijn mogelijkheden voor gegevensoverdracht, naast de standaard contractuele clausules.

Ze werden toegelicht in het hoofdredactioneel commentaar van maart bij deze nieuwsbrief.

Het alternatief is om de gegevens op Europese bodem te beheren in plaats van ze over te dragen.

In de hoop dat dit besluit de ontwikkeling van dergelijke lokale diensten zal stimuleren.

En ook

Frankrijk:

  • De CNIL (Franse Autoriteit voor Gegevensbescherming) start een onderzoek naar TikTok: naast de patstelling tussen het Chinese bedrijf en de Verenigde Staten lopen er in Europa onderzoeken naar de naleving van de AVG door de app. De CNIL stemt haar werkzaamheden af met andere toezichthoudende autoriteiten binnen het kader van de EDPB.
  • De CNIL heeft, eveneens in samenwerking met haar Europese tegenhangers, op 5 augustus een boete van 250.000 euro opgelegd aan het online verkoopbedrijf Spartoo wegens het niet naleven van de beginselen van gegevensminimalisatie, bewaring, informatie en beveiliging zoals vastgelegd in de AVG.

Europa:

  • De Britse toezichthoudende autoriteit, de ICO, is door parlementariërs bekritiseerd vanwege het ontoereikende optreden bij schendingen van de AVG, met name in de context van de COVID-19-pandemie.
  • Ook in het Verenigd Koninkrijk oordeelde een hof van beroep op 11 augustus dat het gebruik van gezichtsherkenningstechnologie door de politie van Zuid-Wales een schending van fundamentele rechten inhoudt, waaronder het recht op gegevensbescherming.
  • De Europese Commissie werkt momenteel aan een verordening voor digitale diensten om deze diensten binnen de interne markt te versterken en het wettelijk kader voor kleine bedrijven te verduidelijken. Het Europees Parlement bereidt in dit verband een aanbeveling voor, die naar verwachting een reeks kwesties op het gebied van gegevensbescherming zal aanpakken, waaronder de encryptie van informatie, de controleerbaarheid van algoritmen en de bescherming van biometrische gegevens.
  • De Europese Commissie kondigde op 4 augustus aan een onderzoek te starten naar de voorgenomen overname van Fitbit door Google. De zorgen hebben vooral betrekking op de concentratie van data in de handen van een dominante speler, met name gezondheidsdata.

Internationaal :

  • Verenigde Staten: In een impactanalyse van 30 juli beschrijft het ministerie van Binnenlandse Veiligheid de praktijken die al jarenlang aan de buitengrenzen van het land worden toegepast. Op basis hiervan mogen agenten de inhoud van de telefoons en computers van mensen die de Verenigde Staten binnenkomen kopiëren en deze 75 jaar lang bewaren.
  • Twitter bevestigde begin augustus dat de Amerikaanse Federal Trade Commission een onderzoek naar het gebruik van klantgegevens voor reclamedoeleinden uitvoerde.
  • Brazilië: De wet ter bescherming van persoonsgegevens treedt op 27 augustus in werking. Er is ook zojuist een toezichthoudende autoriteit opgericht.
  • Ook in Latijns-Amerika moderniseert Chili zijn wetgeving inzake gegevensbescherming en zijn er in Paraguay en Ecuador regelgevingsprojecten gaande.
  • Egypte heeft op 17 juni een wet aangenomen over de bescherming van persoonsgegevens.

 

Ontdek Viqtor®
nl_NL_formalNL
fr_FRFR en_USEN de_DE_formalDE es_ESES elEL it_ITIT hrHR pt_PTPT de_ATDE_AT etET fiFI lvLV lt_LTLT sk_SKSK sl_SISL nl_NL_formalNL