Geactualiseerde versie van een artikel dat werd geplaatst op 18 augustus 2023
Op 10 juli 2023 heeft de Europese Commissie een nieuw adequaatheidsbesluit aangenomen tot vaststelling van het EU-VS Data Privacy Framework. De Commissie heeft daarin vastgesteld dat de Verenigde Staten overeenkomstig artikel 45 GDPR een passend beschermingsniveau waarborgen voor persoonsgegevens die vanuit de Europese Economische Ruimte worden doorgegeven aan organisaties in de VS die zijn opgenomen in de "Data Privacy Framework List". Die lijst wordt bijgehouden en openbaar gemaakt door het Amerikaanse ministerie van Economische zaken. Organisaties die persoonsgegevens willen doorgeven aan de VS op grond van het Data Privacy Framework zijn verplicht om te controleren of de gegevensimporteur zelf-gecertificeerd is en op de lijst staat.
Dit adequaatheidsbesluit vervangt het eerdere adequaatheidsbesluit tot oprichting van het EU-VS Privacy Shield dat het Hof van Justitie van de Europese Unie (HvJ-EU) in een arrest van 16 juli 2020 ongeldig heeft verklaard (Schrems II-arrest).
Op basis van het nieuwe besluit kunnen persoonsgegevens voortaan "veilig" worden doorgegeven vanuit de EER naar zelf-gecertificeerde organisaties in de VS die deelnemen aan het Data Privacy Framework, zonder dat de organisaties aanvullende technische, organisatorische of contractuele waarborgen en maatregelen hoeven te implementeren om persoonsgegevens te beschermen.
Het adequaatheidsbesluit is op 10 juli 2023 aangenomen en is onmiddellijk van toepassing. Bedrijven die zelf-gecertificeerd waren onder het EU-VS Privacy Shield zijn automatisch ook zelf-gecertificeerd onder het Data Privacy Framework (op voorwaarde dat ze voor oktober 2023 bepaalde acties ondernemen).
De vraag blijft hoelang dit adequaatheidsbesluit overeind zal blijven. De organisatie van Max Schrems (NOYB - None Of Your Business) heeft al aangegeven dat ze het nieuwe adequaatheidsbesluit zal aanvechten, maar is ondertussen in snelheid gepakt door Philippe Latombe, een Frans lid van het Europees Parlement en commissaris van de Franse toezichthouder (CNIL). De heer Latombe vocht het adequaatheidsbesluit als eerste aan voor het Gerecht. In zijn persbericht uitte hij zijn bezorgdheid over de ontoereikende bescherming van persoonsgegevens, de schending van de rechten van Europeanen en het gebrek aan naleving van de procedurele taalregels (gebaseerd op artikel 264 VWEU). Het Gerecht verwierp recent zijn verzoek tot voorlopige maatregelen om het EU-VS Data Privacy Framework op te schorten. Latombe slaagde er niet in de urgentie van zijn verzoek en de ernstige en onherstelbare schade die het EU-VS Data Privacy Framework met zich zou meebrengen, aan te tonen.
Gelet op de betwistingen is het raadzaam om in langdurige gegevensdelingsovereenkomsten een terugvalmechanisme te implementeren door middel van de standaard contractuele clausules in het geval van.
Lees onze eerdere bijdragen over het EU-VS adequaatheidsbesluit en gegevensdoorgiftes hier, hier en hier.