In een arrest van vanochtend (C-362/14 - Maximilian Schrems v. Data Protection Commissioner) heeft het Hof van Justitie het Safe Harbour Framework, dat gegevensdoorgiftes tussen de EER en de Verenigde Staten mogelijk maakt, ongeldig verklaard. Die beslissing komt er nog geen twee weken nadat advocaat-generaal Bot in zijn advies van 23 september 2015 tot hetzelfde besluit was gekomen.
Waarom is er een Safe Harbour Framework?
Persoonsgegevens kunnen slechts naar landen buiten de EER worden doorgegeven als het land buiten de EER een "adequaat beschermingsniveau" waarborgt en aldus zorgt voor een bescherming van persoonsgegevens volgens de beschermingsstandaarden die gelden binnen de EER.
Verantwoordelijken voor de verwerking beschikken over een aantal mogelijkheden om persoonsgegevens naar derde landen door te geven. Ze kunnen:
- een modelcontract overeenkomen met de ontvanger van de gegevens in het derde land;
- binding corporate rules implementeren; of
- in bepaalde gevallen, zich beroepen op de uitzonderingen (zoals de toestemming van de betrokkene) in artikel 22 van de Wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens.
Specifiek voor de Verenigde Staten, bestond er naast de bovenstaande opties, ook de mogelijkheid om een doorgifte van persoonsgegevens te baseren op de Safe Harbour-certificering van de ontvanger ervan in de Verenigde Staten.
Wat is het Safe Harbour Framework?
Het Safe Harbour Framework werd na jarenlange onderhandelingen tussen de EU en de VS aangenomen en bestaat uit een aantal zogenaamde Safe Harbour-principes, die Amerikaanse bedrijven via mechanismes van zelfcertificering en zelfbeoordeling kunnen naleven. Daarna worden zij geacht het in de EER verwachte adequate beschermingsniveau aan te bieden en kunnen zij zonder bijkomende maatregelen persoonsgegevens uit de EER ontvangen. De principes werden vastgelegd bij beschikking 2000/520/EG van 26 juli 2000 van de Europese Commissie.
Waarom staat het Safe Harbour Framework onder druk?
Sinds de onthullingen van Edward Snowden is gebleken hoe persoonsgegevens in handen van Amerikaanse bedrijven het voorwerp kunnen uitmaken van "mass surveillanceprograms" van de Verenigde Staten, zelfs als de ontvanger in de Verenigde Staten Safe Harbour-gecertificeerd is.
De onthullingen hebben geleid tot groeiende kritiek op het Safe Harbour Framework en deden de vraag rijzen of het Safe Harbour Framework niet tijdelijk moest worden opgeschort. In een resolutie van maart 2014 beantwoordde het Europees Parlement die vraag alvast bevestigend en werd opgeroepen tot een opschorting van het Safe Harbour Framework.
Daarnaast diende Max Schrems, een Oostenrijkse doctoraatsstudent, bij de Ierse gegevensbeschermingsautoriteit een klacht in tegen het feit dat Facebook Ierland zijn gegevens doorstuurt naar Facebook VS (dat Safe Harbour-gecertificeerd is), waardoor Amerikaanse autoriteiten toegang zouden kunnen krijgen tot zijn gegevens. Hij vroeg dan ook om de gegevensdoorgiftes op te schorten. De Ierse gegevensbeschermingsautoriteit weigerde dit, omdat zij zich gebonden achtte door beschikking 2000/520/EG, die had beslist dat het Safe Harbour Framework een adequaat beschermingsniveau biedt.
Wat heeft het Hof van Justitie onderzocht en beslist?
Het Hof van Justitie moest beoordelen of beschikking 2000/520/EG over het Safe Harbour Framework, in het licht van artikel 7 en 8 van het Handvest van de Grondrechten, nationale gegevensbeschermingsautoriteiten verhindert om te onderzoeken of het Safe Harbour Framework daadwerkelijk een adequaat beschermingsniveau aanbiedt en om de gegevensdoorgifte op te schorten indien zij van oordeel zijn dat het beschermingsniveau niet voldoet.
Het Hof van Justitie besliste vooreerst dat nationale gegevensbeschermingsautoriteiten kunnen onderzoeken of een passend beschermingsniveau bestaat. Zij zijn volgens het Hof onafhankelijke autoriteiten die moeten kunnen nagaan of de doorgifte van gegevens strookt met de vereisten neergelegd in de Privacyrichtlijn 95/46/EG.
Het Hof ging nog een stap verder en besliste meteen ook dat het Safe Harbour Framework ongeldig is, onder meer omdat wetgeving niet beperkt is tot het strikt noodzakelijke, wanneer zij op een algemene manier de bewaring mogelijk maakt van alle persoonsgegevens van alle personen wier gegevens van de EU naar de Verenigde Staten worden doorgegeven, en dit zonder enige differentiatie, beperking of uitzondering in het licht van het nagestreefde doeleinde en zonder een objectief criterium om beperkingen vast te stellen met betrekking tot de toegang tot die gegevens door publieke autoriteiten of met betrekking tot het daaropvolgende gebruik van de gegevens.
Wat moet u nu als bedrijf doen?
Voorlopig kan u uw gegevensdoorgiftes naar de Verenigde Staten niet meer baseren op de Safe Harbour-certificatie van uw Amerikaanse contractant.
U kan zich het snelst conformeren door een modelcontract te sluiten met de Amerikaanse ontvanger van de persoonsgegevens (modelcontracten van de Europese Commissie vindt u hier en hier voor een doorgifte tussen verantwoordelijken voor de verwerking en hier voor een doorgifte van een verantwoordelijke voor de verwerking naar een verwerker). Houd er evenwel rekening mee dat u een kopie van die overeenkomst aan de Privacycommissie moet overmaken. Internationale vennootschapsgroepen kunnen ook denken aan de meer tijdrovende procedure om binding corporate rules aan te nemen. Denk er ten slotte ook aan om, waar nodig, uw (interne en externe) policies aan te passen.