Het Privacy Shield is niet meer. Door het wegvallen van dit beschermingsmechanisme wordt de overdracht van onze data naar partners in de VS opnieuw een stuk problematischer. De deining die dit veroorzaakt in het economische verkeer is niet te onderschatten, en onzekerheid komt steeds met een grote kost. 

Proloog

De saga rond het veilig versturen van persoonsgegevens naar de VS is niet nieuw. Nadat eerder de Safe Harbour ongeldig werd verklaard door het Hof van Justitie, kon nu ook zijn opvolger, het EU-VS Privacy Shield, niet langer door de mazen van het net glippen.

Even recapituleren : de Safe Harbour-regeling legde principes op waaraan Amerikaanse bedrijven moesten voldoen om persoonsgegevens uit de EU te mogen ontvangen. Echter, met dank aan de Oostenrijkse rechtenstudent Max Schrems en Edward Snowden, de klokkenluider die aantoonde dat persoonsgegevens niet zo veilig zijn in de VS, werd dit kader ongeldig verklaard. Gezien het economisch belang, werd er al snel een nieuwe regeling op poten gezet. Deze werd de ‘Privacy Shield’ genoemd en is dus nu eveneens ongeldig verklaard door het Hof van Justitie.

De beslissing

Het EU-VS Privacy Shield verschafte, net zoals haar voorloper, een vrijgeleide aan Europese bedrijven om persoonsgegevens van haar Europese datasubjecten over te dragen aan Amerikaanse ondernemingen. Voorwaarde was wel dat deze laatsten gecertificeerd waren met het zogenaamde Privacy Shield-“certificaat”. Als een Amerikaanse onderneming zo een certificaat kon bemachtigen in overeenstemming met de vooropgestelde voorwaarden, bood dat – volgens de Europese Commissie – voldoende garantie dat de persoonsgegevens van Europese datasubjecten die de Europese Economische Ruimte verlaten, op dezelfde manier beschermd zouden blijven.

Toch blijkt dit EU-VS Privacy Shield onvoldoende overeen te stemmen met de Europese verplichtingen omtrent het recht op privacy en gegevensbescherming. Dit blijkt althans vandaag uit het arrest van het Hof van Justitie, waarin het EU-US Privacy Shield definitief ongeldig wordt verklaard.

Aanleiding van dit arrest betrof opnieuw de klacht van de Oostenrijkse Max Schrems tegen Facebook Inc., waarin hij beweerde dat de overdracht van zijn persoonsgegevens tussen Facebook Ireland en de hoofdzetel Facebook Inc. onvoldoende beschermd was. De Amerikaanse autoriteiten konden immers zonder problemen de toegang verkrijgen tot zijn gegevens, zonder dat hem enig recht was toegekend op basis van de Amerikaanse wetgeving om actie te ondernemen. Het Hof is van oordeel dat de Amerikaanse wetgeving die dergelijke toegang door de Amerikaanse autoriteiten mogelijk maakt, inderdaad niet voldoet aan de Europese standaarden van proportionaliteit en noodzakelijkheid.

Omwille van die reden van verregaande overheidstoegang was het EU-VS Privacy Shield niet langer werkbaar, en kan het dus niet langer ingezet worden als rechtvaardige uitzondering op het verbod om Europese persoonsgegevens naar de VS te versturen.

Wat nu ?

De kans dat de Amerikaanse wetgever haar eigen privacywetgeving zal aanpassen om een veilige overdracht van Europese persoonsgegevens vanuit de EEA naar de VS te garanderen, lijkt zo goed als onbestaande. Er wordt dan ook verwacht dat de Europese Commissie een nieuw framework met de VS zal trachten te realiseren, waarbij wél een adequaat beschermingsniveau bij de overdracht van Europese persoonsgegevens naar Amerikaanse bedrijven zal worden geïmplementeerd. Hoe dit framework er precies zal kunnen uitzien, valt nog af te wachten. Gelet op de diepe tegenstellingen, lijkt een alternatief op korte termijn niet in de maak.

In de tussentijd biedt de GDPR nog wel andere mechanismen om een veilige overdracht van persoonsgegevens naar de VS mogelijk te maken:

  • Er kan in eerste instantie steeds beroep worden gedaan op de zogenaamde Standard Contractual Clauses, die opgesteld zijn door de Europese Commissie. Deze SCC werden door het Hof van Justitie in het voornoemde arrest (voorlopig nog) als geldig mechanisme bestempeld. Het gaat meer bepaald om standaard clausules die in een overeenkomst met een Amerikaans bedrijf kunnen worden ingevoegd, maar waarvan niet kan worden afgeweken.
  • Als tweede mechanisme voorziet de GDPR in het gebruik van Binding Corporate Rules. Opgelet, deze BCR kunnen alleen worden gebruikt als de Amerikaanse speler deel uitmaakt van dezelfde ondernemingsgroep als jouw onderneming.
  • En in uitzonderlijke gevallen kan nog getracht worden om de uitdrukkelijke toestemming van de specifieke datasubjecten te bekomen, wanneer je hun persoonsgegevens wenst over te dragen aan een Amerikaanse onderneming. Deze is echter enkel geldig per overdracht, wat natuurlijk heel wat inspanning vergt en dus niet steeds een pragmatische oplossing vormt.

Natuurlijk blijft het nog gissen naar hoe grote Amerikaanse ondernemingen zoals bijvoorbeeld Google, die de algemene voorwaarden reeds volledig hadden afgestemd op het Privacy Shield, op de uitkomst van dit baanbrekende arrest zullen reageren en of andere mechanismen dan voldoende oplossingen kunnen bieden…

Mocht je meer informatie willen, kan je ons altijd bereiken via hallo@dejuristen.be.

Geschreven door Helena Depaepe en Johanna Coppens, Legal Advisers deJuristen, en Kris Seyen, Partner deJuristen