Het Hof van Justitie verklaarde in haar arrest van 16 juli 2020 het EU-VS Privacy Shield onwettig. Volgens het Hof biedt het niet voldoende garanties dat de overdracht van persoonsgegevens naar de Verenigde Staten gebeurt conform de geldende Europese privacywetgeving (AVG of "GDPR").
Het was meer bepaald in de zaak Schrems II dat het Hof van Justitie zich uitsprak over de geldigheid van het EU-VS Privacy Shield.
1. Wat is het EU-VS Privacy Shield?
Het EU-US Privacy Shield was indertijd (zie ons artikel daarover) in het leven geroepen om de overdracht van persoonsgegevens buiten de Europese Unie naar de Verenigde Staten mogelijk te maken.
Het betrof een raamwerk waarbij Europese en Amerikaanse bedrijven zich konden aansluiten om een geldige en adequate overdracht van persoonsgegevens over de Atlantische oceaan mogelijk te maken die conform was met de geldende Europese privacyregelgeving.
Dit raamwerk voorzag in een aantal verplichtingen en verbintenissen waaraan de verbonden bedrijven moesten voldoen. Men kon ervan uitgaan dat de bedrijven, eens ze aangesloten waren bij het Privacy Shield, een voldoende (adequaat) beschermingsniveau konden garanderen met betrekking tot deze overdrachten van persoonsgegevens.
Deze aanpak werd echter niet aanvaard door het Hof van Justitie. In haar arrest van 16 juli 2020 komt zij namelijk tot het besluit dat het Privacy Shield, zoals het op heden bestaat, niet voldoende garanties biedt in verhouding met de geldende Privacywetgeving binnen de Europese Unie (AVG of “GDPR”).
2. Waarom oordeelt het Hof van Justitie dat het EU-VS Privacy Shield onwettig is?
Het Hof van Justitie valt over de toegang die de Amerikaanse overheidsinstanties hebben tot de persoonsgegevens die vanuit Europa door gegeven worden naar de Verenigde Staten.
De AVG of "GDPR" verplicht immers om een (quasi) gelijk beschermingsniveau te voorzien met betrekking tot de verwerkte gegevens bij een internationale doorgifte. Dit beschermingsniveau wordt beoordeeld op basis van de contractuele afspraken die hieromtrent gemaakt worden (zoals bv. de Standard Contractual Clauses) doch evenzeer op basis van de wetgeving die van toepassing is op de bedrijven die zich hiertoe verbinden.
En daar wringt het schoentje.
Het Hof stelt vast dat de Amerikaanse overheid niet gebonden is door de verplichtingen en verbintenissen waaraan de leden van het Privacy Shield moeten voldoen. Deze bedrijven zijn en blijven dan ook gebonden door de verregaande toegang die de Amerikaanse overheid tot deze gegevens afdwingt.
Hierdoor wordt geen adequaat beschermingsniveau voorzien en schendt deze doorgifte dan ook de AVG of "GDPR".
Het raamwerk dat het Privacy Shield biedt is aldus volgens het Hof van Justitie onwettig.
Het Hof van Justitie stelt dan wel dat de Standard Contractual Clauses in principe wettig zijn, doch kunnen zij in de praktijk niet gebruikt wordt voor doorgiften naar de Verenigde Staten, aangezien ook hierop de Amerikaanse wetgeving zal primeren.
3. Besluit
Het spreekt voor zich dat deze beoordeling een ernstige belemmering vormt voor het verkeer van persoonsgegevens met de Verenigde Staten, hetgeen gelet op de vele Amerikaanse clouddiensten (Office, Amazon, Dropbox, Facebook…) een des te grotere impact heeft.
Het gebruik van dergelijke diensten door Europese bedrijven is op dit ogenblik dan ook principieel onwettig. Het is momenteel onduidelijk hoe het verder moet aangezien deze uitspraak zowel het Privacy Shield, de Standard Contractual Clauses en de Binding Corporate Rules onderuit haalt. Een periode van onzekerheid hieromtrent dient zich dan ook aan.
Aangezien er geen overgangsperiode wordt voorzien, zijn gegevensoverdrachten onder het Privacy Shield per direct onwettig en moeten deze onmiddellijk stop gezet worden.
In vele gevallen zal in de contractuele relatie tussen partijen een clausule opgenomen moeten worden dat bepaalt dat geen doorgiften aan de Verenigde Staten toegelaten zijn. Maar voor Amerikaanse bedrijven ligt dit echter moeilijk gelet op de verregaande bevoegdheden van de Amerikaanse overheid om gegevens die buiten de VS worden opgeslagen op te vragen op basis van de Cloud-act.
Conform artikel 49 van de AVG of "GDPR" zijn doorgiften naar staten die geen adequaat beschermingsniveau kunnen bieden nog steeds mogelijk in een aantal situaties, zoals bv. ingeval van gewichtige redenen van algemeen belang en bij een expliciete en geïnformeerde toestemming van de betrokkenen. Deze mogelijkheden zijn echter beperkt te noemen waardoor ook hiervan moeilijk gebruik kan worden gemaakt.
Het spreekt voor zich dat wij graag te uwer beschikking staan voor bijkomende informatie of bijstand. Aarzel niet ons te contacteren op +32 (0)2 747 40 07 of via info@seeds.law.
Koen De Puydt (Partner)
Toon Delie (Senior Associate)