Doorgifte persoonsgegevens na Schrems II-arrest

Het Schrems II-arrest van het Europese Hof van Justitie heeft tot veel vragen geleid. Het is immers onduidelijk geworden óf en onder welke voorwaarden persoonsgegevens naar landen en organisaties buiten de Europese Economische Ruimte (de zogeheten ‘derde landen’) kunnen worden doorgegeven. In het arrest werd het EU-US Privacy Shield ongeldig verklaard, waarmee een veelgebruikte juridische basis voor persoonsgegevensdoorgiften naar de Verenigde Staten (VS) is weggevallen. Op zich kunnen de zogenaamde ‘modelcontractbepalingen’ nog wel een geschikte basis voor doorgifte zijn. Gebruikers daarvan zijn echter verplicht om het privacybeschermingsniveau in het betreffende derde land te beoordelen, aldus het Hof. Maar praktische handvatten om die beoordeling uit te voeren ontbraken. In een poging om die handvatten te bieden, publiceerde de European Data Protection Board (EDPB) onlangs twee (concept) aanbevelingen.

23 dec. 2020

Doorgifte van persoonsgegevens en Schrems II-arrest

De AVG stelt strenge voorwaarden aan de doorgifte van persoonsgegevens naar landen of organisaties buiten de EER. Dat mag alleen als daarvoor een beroep kan worden gedaan op een juridische basis uit de AVG. Hierover schreven wij eerder een blog.

Het Europese Hof van Justitie liet zich in het Schrems II-arrest van 16 juli 2020 (ECLI:EU:C:2020:559) uit over twee juridische grondslagen voor dergelijke doorgiften:

1. Het gebruik van modelcontractbepalingen opgesteld door de Europese Commissie, voor doorgiften naar derde landen in het algemeen;

2. Het zogeheten ‘adequaatheidsbesluit’ onder de voorwaarden van het EU-US Shield, dat ziet op doorgiften van persoonsgegevens naar de VS.

Modelcontractbepalingen algemeen

Het Hof oordeelde dat gebruikers van modelcontractbepalingen verplicht zijn om het niveau van privacybescherming bij de betreffende contractpartner in het derde land te beoordelen. Indien uit deze beoordeling volgt dat er geen sprake is van een passend beschermingsniveau, dan is doorgifte niet toegestaan op grond van de modelcontractbepalingen. Daarvan is bijvoorbeeld sprake indien de contractpartner gebonden zou zijn aan de wetgeving in het betreffende derde land, waardoor hij de contractbepalingen niet te allen tijde zou kunnen naleven.

Doorgifte naar de VS?

Ten aanzien van de VS oordeelde het Hof dat er daar, vanwege de daar geldende wet- en regelgeving, geen sprake is van een passend beschermingsniveau voor de privacy van Europese burgers. Daarom heeft het Hof het EU-US Privacy Shield ongeldig verklaard. Sindsdien dienen de doorgiften van persoonsgegevens naar de VS op een andere juridische basis te worden gebaseerd.

In de praktijk begon men toen de modelcontractbepalingen te gebruiken, bijvoorbeeld voor doorgifte naar de VS. Die bepalingen zijn volgens het Europese Hof van Justitie in beginsel een geldige basis voor doorgifte. Wij schreven eerder in onze blog dat het echter zeer de vraag is of de modelcontractbepalingen een geschikt alternatief kunnen zijn. Het Hof heeft immers geoordeeld dat de VS geen passend beschermingsniveau bieden. Dat oordeel zal behoorlijk gewicht in de schaal leggen met betrekking tot de door de gebruikers van modelcontractbepalingen verplicht uit te voeren beoordeling van het passend beschermingsniveau. Het is de vraag in hoeverre zij de door het Hof genoemde bezwaren met aanvullende maatregelen zouden kunnen wegnemen.

Aanbevelingen EDPB

In een poging om de na het Schrems II-arrest in de praktijk gerezen onduidelijkheid weg te nemen, heeft de EDPB op 10 november 2020 twee (concept) aanbevelingen gepubliceerd:

· Concept aanbevelingen met richtsnoeren om het passend beschermingsniveau voor de privacy van Europese burgers in derde landen te beoordelen. Deze aanbevelingen stonden open voor consultatie tot 21 december 2020.

· Aanbevelingen met richtsnoeren om het niveau van inmenging door overheden in derde landen te beoordelen. Deze aanbevelingen zijn reeds in definitieve vorm aangenomen.

De EDPB geeft hiermee een aantal handvatten die de praktijk kunnen ondersteunen bij de uit te voeren beoordelingen voor de doorgifte van persoonsgegevens naar een derde land. Zo bevatten deze richtsnoeren onder meer een stappenplan voor deze beoordeling. Ook worden er concrete voorbeelden gegeven van mogelijk te nemen aanvullende maatregelen om het passend beschermingsniveau van persoonsgegevens in het betreffende derde land te kunnen garanderen.

Afronding

De door de EDPB gepubliceerde (concept) aanbevelingen verschaffen enige richting over de – door gebruikers van modelcontractbepalingen verplicht – uit te voeren beoordeling inzake het passend beschermingsniveau in derde landen. Niettemin kan deze beoordeling nog steeds erg complex zijn. Ons inziens is het daarom van belang om de uitgevoerde beoordelingen goed vast te leggen en te onderbouwen. Daarmee kunt u voldoen aan uw verantwoordingsverplichting onder de AVG (de ‘accountability-plicht’). Ook kunt u – indien de toezichthouders vragen gaan stellen – aantonen dat u uw verantwoordelijkheid onder de AVG serieus heeft genomen.

Ten aanzien van persoonsgegevensdoorgiften naar de VS bieden de richtsnoeren van de EDPB echter geen uitsluitsel. Deze bevatten namelijk algemene beoordelingscriteria en laten zich niet uit over of de doorgifte naar de VS geoorloofd is. Het is en blijft daarom nog de vraag of de modelcontractbepalingen geschikt zijn als basis om persoonsgegevens naar de VS door te geven.