Standard contractual clauses (SCC) in plaats van Privacy Shield gebruiken

Standard contractual clauses (SCC) in plaats van Privacy Shield gebruiken


Het Europees Hof van Justitie heeft op 16 juli jl. het Privacy Shield ongeldig verklaard. Hierdoor is het Privacy Shield geen rechtsgeldige grondslag meer voor het doorgeven van persoonsgegevens naar de Verenigde Staten. De huidige modelcontracten van de Europese Commissie, de “standard contractual clauses” (SCC), zijn overeind zijn gebleven. Het is echter wel van belang dat je toetst of de SCC in jouw specifieke situatie een “voldoende beschermingsniveau” biedt. Dit kun je doen door te toetsen aan artikel 45 lid 2 AVG.

Derde landen

Op grond van de Algemene Verordening Gegevensbescherming (AVG) geldt dat persoonsgegevens niet zomaar mogen worden doorgegeven aan organisaties die zijn gevestigd in landen buiten de Europese Economische Ruimte. De zogenaamde “derde landen”. De doorgifte van persoonsgegevens naar een derde land kan in beginsel slechts plaatsvinden indien het derde land een passend beschermingsniveau waarborgt.

Adequaatheidsbeginsel

Wanneer een land buiten de EER een passend niveau van gegevensbescherming biedt, kan de Europese Commissie (EC) een ‘adequaatheidsbeslissing’ nemen. Het Privacy Shield is een voorbeeld van zo’n adequaatheidsbeslissing. Het Privacy Shield is van toepassing op de doorgifte van persoonsgegevens van de EU naar de VS. Het het Privacy Shield heeft tot doel om een beschermingsniveau te bieden dat in grote lijnen overeenkomt met het niveau binnen de EU.

Twee prejudiciële vragen

In deze zaak, Schrems II, heeft het Ierse hooggerechtshof prejudiciële vragen gesteld aan het Europees Hof van Justitie. Twee vragen die in dit kader relevant zijn, is of de SCC’s voldoende waarborgen bieden om een passend beschermingsniveau te bieden en wat de geldigheid is van het Privacy Shield.

Geldigheid Privacy Shield

Het Hof toetst de geldigheid van het Privacy Shield aan de AVG. Het Hof stelt vast dat in het Privacy Shield wordt bepaalt dat de nationale veiligheid, het algemeen belang en de naleving van de Amerikaanse wetgeving voorrang hebben. Hiermee komt de privacy van EU-burgers in het geding, zo stelt het Hof. Het Hof verwijst hierbij naar een interne regeling op basis waarvan Amerikaanse overheidsinstanties toegang hebben tot persoonsgegevens zonder dat dit wordt beperkt “tot hetgeen strikt noodzakelijk is”. Daarbij komt dat EU-burgers niet kunnen optreden tegen een inbreuk op hun privacy op grond van het Privacy Shield. Het Hof verklaart het Privacy Shield ongeldig.

Geldigheid standard contractual clauses

Een SCC is een modelcontract dat ervoor moet zorgen dat het beschermingsniveau overeenkomt met het beschermingsniveau binnen de Europese Unie. Het Hof verwijst hierbij naar de criteria van artikel 45 lid 2 AVG. Het gaat hier om de criteria die de Europese Commissie in acht moet nemen bij het vaststellen van een adequaatheidsbesluit. Het Hof onderstreept dat een SCC vanwege de contractuele aard niet bindend is voor de autoriteiten van het derde land. Het Hof is van mening dat dit niet afdoet aan de geldigheid van de SCC. Het gaat er bij een SCC om dat de standaardbepalingen zoals die zijn opgenomen de privacy voldoende waarborgen. Het is hierbij van belang dat de doorgifte van persoonsgegevens moet kunnen worden opgeschort als de waarborgen niet kunnen worden nageleefd. Het Hof komt tot het oordeel dat de standard contractual clauses voldoende waarborgen biedt. Er is hierbij wel een hele grote MAAR te noemen. Er is door de Europese Hof van Justitie geoordeeld dat de wetgeving in de Verenigde Staten geen passend beschermingsniveau biedt en betrokkenen niet over afdwingbare rechten en doeltreffende rechtsmiddelen beschikken. Het is dus maar de vraag of in dit onder de SCC’s anders is.

Gevolgen van deze uitspraak

Samengevat heeft de uitspraak van Het Europees Hof van Justitie tot gevolg dat organisaties die persoonsgegevens doorgeven op basis het Privacy Shield aan partijen in de Verenigde Staten niet aan de AVG voldoen.

Wissel je persoonsgegevens uit aan partijen in de Verenigde Staten? Dit kun je blijven doen maar nu op basis van een SCC. Het is echter wel van belang dat je toetst of de SCC in jouw specifieke situatie een “voldoende beschermingsniveau” biedt. Dit kun je doen door te toetsen aan artikel 45 lid 2 AVG. Zoals hiervoor aangegeven kan dit nog een hele uitdaging worden. Er is door de Europese Hof van Justitie geoordeeld dat de wetgeving in de Verenigde Staten geen passend beschermingsniveau biedt en betrokkenen niet over afdwingbare rechten en doeltreffende rechtsmiddelen beschikken. Dit zal dus ook gelden voor de SCC’s. Let er verder op dat je deze zaken toetst met inachtneming van het soort en de omvang van de betreffende persoonsgegevens. Documenteer deze overweging vervolgens ook. Je hebt immers een verantwoordingsplicht onder de AVG. Wil je hierover meer weten of heb je hierbij hulp nodig? Kijk op Juridict voor meer informatie.