Persoonsgegevens buiten de EU

Persoons-gegevens uitwisselen buiten de EU


Schrems motiveert dat het niet mogelijk is om bepaalde AVG-rechten in de VS uit te oefenen. De advocaat-generaal komt tot het oordeel dat de model doorgifte-overeenkomsten voldoende waarborgen bieden om persoonsgegevens te kunnen doorgeven naar de Verenigde Staten.

Schrems II: Maximillian Schrems tegen Facebook

Aan het Europese Hof van Justitie (HvJ-EU) is de vraag voorgelegd of Facebook data mag versturen naar de Verenigde Staten. Het HvJ-EU heeft recent de conclusie van de advocaat-generaal gepubliceerd. Deze conclusie is geen einduitspraak maar wordt over het algemeen gevolgd door het Hof. Volgens Schrems beschermen zowel het Privacy Shield als de standaard clausules EU-burgers niet tegen de macht van Facebook.

De advocaat-generaal komt tot het oordeel dat de model doorgifte-overeenkomsten (Standaard Contractual Clauses) voldoende waarborgen bieden om persoonsgegevens te kunnen doorgeven naar de Verenigde Staten. Maar waar het gaat om het Privacy Shield is dit oordeel nog niet gevormd.

Doorgifte aan derde landen

Wanneer je als organisatie in de EU persoonsgegevens doorgeeft aan “derde landen”  buiten de EU zijn er aanvullende waarborgen vereist. Deze derde landen zijn de landen buiten de EU, Liechtenstein Noorwegen en IJsland (de EER)). Je mag op grond van de AVG niet zomaar persoonsgegevens delen met derde landen die niet hetzelfde beschermingsniveau kunnen waarborgen met betrekking tot de eerbiediging van de persoonlijke levenssfeer. 

Doorgifte naar derde landen vindt in de regel al snel plaats. Bijvoorbeeld wanneer je gebruikmaakt van cloud- of softwarediensten van een partij die buiten de EU is gevestigd (zoals Facebook, Microsoft, etc).

Onder de AVG zijn er vier mogelijkheden waarmee een organisatie persoonsgegevens kan delen met derde landen. In de zaak Schrems II staan de doorgifte op basis van het adequaatheidsbesluit en doorgifte op basis van passende waarborgen.

Privacy Shield

Wanneer je vanuit de EU persoonsgegevens wil delen met een Amerikaans bedrijf zoals Facebook dan kan de organisatie deze doorgifte baseren op een adequaatheidsbesluit. Dit specifieke besluit heet het Privacy Shield. Het Privacy Shield is een overeenkomst tussen de VS en de EU over de doorgifte van persoonsgegevens van de EU naar de VS. Organisaties in de Verenigde Staten kunnen zich committeren aan het Privacy Shield.

Passende waarborgen

Wanneer Facebook deze Europese persoonsgegevens vervolgens wilt delen met een ander derde land, dan maakt Facebook gebruik van de doorgifte op basis van passende waarborgen. In dit specifieke geval van modelcontracten, ook wel Standard Contractual Clauses genaamd. Deze modelcontacten worden veel gebruikt om doorgifte te legitimeren. De data exporteur gaat hiertoe een overeenkomst aan met de data importeur. Dit gebeurt  op basis van een ongewijzigd(!) standaardcontract.

Schrems I: Safe Harbour

De zaak waarover ik in dit artikel schrijf wordt aangehaald als Schrems II. Dit impliceert dat er ook een Schrems I is. Dit is inderdaad het geval. In de zaak Schrems I kwam het HvJ-EU tot het oordeelde dat Safe Harbour (de voorganger van Privacy Shield) geen passende waarborgen bood voor overdracht van persoonsgegevens tussen de EU en de VS.

Oordeel van de Acvocaat-generaal

In deze zaak richt Schrems  zich vooral op de Standard Contractual Clauses. Schrems is van mening dat deze Clausules leiden tot een schending van zijn rechten. Hij vindt de waarborgen in de clausules onvoldoende. Schrems motiveert dat het niet mogelijk is om bepaalde AVG-rechten in Amerika uit te oefenen, zoals het inwilligen van verzoeken tot het verwijder van persoonsgegevens. De advocaat-generaal komt tot het oordeel dat de model doorgifte-overeenkomsten (Standaard Contractual Clauses) voldoende waarborgen bieden om persoonsgegevens te kunnen doorgeven naar de Verenigde Staten. Maar waar het gaat om het Privacy Shield is dit oordeel nog niet gevormd.

Persoonsgegevens uitwisselen buiten de EU

Neem bij twijfel gerust contact op met Juidict. Juridict stelt aan privacy gerelateerde overeenkomsten op en adviseert over privacykwesties en privacybeleid.