De Privacy Consultant
Meesters in het privacyrecht

Doorgifte van gegevens naar de VS moet per direct stoppen

16-09-2020

Na het Schrems II arrest van het Hof van Justitie van de Europese Unie zou de wereld op de kop moeten staan, maar dat doet het nog niet. Facebook gaat door met de doorgifte van gegevens naar de VS en beroept zich hierbij op een andere mogelijkheid voor deze doorgifte.1

Voor de doorgifte van persoonsgegevens naar derde landen (buiten de EU) zijn een aantal mogelijkheden. Een daarvan was het Privacy Shield. Dit betrof een adequaatheidsbeslissing van de Europese Commissie die zijn grondslag vond in artikel 45 AVG. Een andere mogelijkheid is het gebruik van zogenaamde modelcontracten. Deze modelcontracten zijn gebaseerd op artikel 46 lid 2 AVG.

In Schrems II werd het Hof onder andere de vraag gesteld of de doorgifte van gegevens kan worden gebaseerd op het Privacy Shield en op de modelcontracten. Zij concludeert van niet en vernietigt daarmee het Privacy Shield, omdat het niet voldoet aan de eisen uit artikel 45 AVG. Het Hof concludeert echter dat een andere mogelijke grondslag, modelcontracten, welke dus gebaseerd zijn op artikel 46 lid 2 AVG, nog steeds een geldige grondslag kunnen bieden, zolang voldaan wordt aan de eisen uit artikel 46 lid 2 AVG.

Indien het Hof zou hebben geconcludeerd dat modelcontracten niet voldoen, dan zou zij feitelijk artikel 46 lid 2 AVG buiten werking stellen. In het geval van het Privacy Shield is niet artikel 45 AVG buiten werking gesteld, maar het Privacy Shield zelf. Artikel 45 AVG kan namelijk nog steeds de grondslag bieden voor Privacy Shield-achtige besluiten, zolang deze natuurlijk voldoen aan artikel 45 AVG.

Nu het Hof heeft geconcludeerd dat de modelcontracten als zodanig nog steeds een geldige grondslag kunnen zijn, beroept Facebook zich natuurlijk hierop voor de doorgifte van gegevens naar de VS. Zij missen echter de essentie van het arrest Schrems II, net zoals trouwens de vele andere organisaties die nog steeds gegevens doorgeven naar de VS. De essentie van dit arrest is namelijk dat in alle gevallen, ongeacht de grondslag, de doorgifte naar derde landen een beschermingsniveau moet bieden dat in grote lijnen overeenkomt met het beschermingsniveau binnen de EU.2

Wat betekent dit in de praktijk?

Een organisatie in Europa kan als verwerkingsverantwoordelijke een bedrijf als verwerker in een derde land inschakelen. Er kan sinds Schrems II geen beroep worden gedaan op het Privacy Shield, maar er wordt bijvoorbeeld een beroep gedaan op modelcontracten. Deze verplichten de verwerker in de VS om een melding te maken aan de Europese organisatie indien dit derde land niet voldoet aan het Europese beschermingsniveau. Daarnaast, en veel belangrijker, moet de verwerkingsverantwoordelijke (de Europese organisatie) in dat geval direct stoppen met de doorgifte naar dit derde land, indien blijkt dat dit derde land niet veilig genoeg is.

In de praktijk betekent dit dat Facebook Ierland geen persoonsgegevens door het moederbedrijf Facebook in de VS mag laten verwerken, indien geconcludeerd wordt dat de VS niet een vergelijkbaar beschermingsniveau biedt. Dit is echter precies wat het Hof concludeert in Schrems II. De VS is niet veilig om gegevens van Europese burgers te laten verwerken, omdat er bijvoorbeeld geen afdwingbare rechten voor betrokkenen zijn, de ombudsman niet onafhankelijk is en er diverse wetten zijn die inmenging door de overheid toestaan en daarmee de grondrechten van Europese burgers aantast.

De Ierse privacy waakhond heeft onlangs een besluit genomen waarbij het Facebook verbiedt om een beroep te doen op de modelcontracten, omdat ook hiermee de VS in de praktijk niet een vergelijkbaar beschermingsniveau biedt.3 Een Ierse rechter heeft echter geoordeeld dat Facebook niet direct hoeft te stoppen met de doorgifte naar de VS.4 Facebook stelt daarbij dat er geen duidelijke globale regels zijn om de doorgifte van gegevens te beschermen. Dit is natuurlijk pertinent onjuist, omdat het Europese Hof in Schrems II juist geconcludeerd heeft dat deze regels er wel zijn. Dit is namelijk de AVG zelf. Het punt is dat de VS simpelweg niet veilig genoeg zijn om gegevens van Europese burgers te verwerken.

Europese organisaties die op dit moment nog steeds gegevens in de VS laten verwerken moeten hier direct mee stoppen. Zij zullen op zoek moeten gaan naar een alternatief in een land dat wel voldoende bescherming biedt. Tot op heden lijken veel organisatie dit nog niet gedaan te hebben. Naargelang zij hiermee verder doorgaan, des te groter de kans is op een boete van de toezichthouder ter hoogte van maximaal 20 miljoen of 4% van de omzet.

Verwerkt uw organisatie nog steeds gegevens in de VS en wilt u weten wat u het beste kunt doen, neem dan vrijblijvend contact met ons op.

 

Voetnoten

  1. https://www.rtlnieuws.nl/economie/bedrijven/artikel/5183123/facebook-beroep-tegen-verbod-sturen-eu-gebruikersdata-naar-vs.
  2. Of er moet bijvoorbeeld sprake zijn van sporadische doorgifte of van andere uitzonderingen. Dit is echter voor het gros van de praktijk minder van belang.
  3. https://twitter.com/maxschrems/status/1304359903310606337.
  4. https://www.reuters.com/article/us-facebook-privacy/irish-high-court-freezes-probe-into-facebooks-eu-us-data-flows-idUSKBN2652G2.