Veel ondernemingen staan nog onvoldoende stil bij het doorgeven van persoonsgegevens aan landen buiten de EER. Dit, terwijl onrechtmatige doorgifte tot boetes van EUR 120.000 tot EUR 500.000 kan leiden. Als een onderneming buiten de EER data verwerkt of laat verwerken, bijvoorbeeld door persoonsgegevens op een Amerikaanse server op te slaan, is het belangrijk dat dit juridisch is afgedekt.
De regels voor het doorgeven van persoonsgegevens aan landen buiten Europa zijn het afgelopen jaar aanzienlijk gewijzigd. Hieronder staan de belangrijkste wijzigingen.
Doorgifte data buiten Europa
De verwerking van persoonsgegevens wordt vooralsnog, in afwachting van de inwerkingtreding van de Algemene Verordening Gegevensbescherming (de “Privacyverordening”) in mei 2018, gereguleerd door de Privacyrichtlijn (ook wel bekend als de databeschermingsrichtlijn).
De Privacyrichtlijn verbiedt bedrijven binnen de EER om data uit te wisselen met landen buiten de EER, tenzij een passend niveau van bescherming kan worden gegarandeerd. De Europese Commissie kan, door middel van een zogeheten ‘adequacy-decision’, bepalen of het beschermingsniveau van een bepaald land aan de eisen voldoet.
Safe Harbour (of op zijn Amerikaans: Safe Harbor)
Om de uitwisseling van persoonsgegevens tussen Europa en de Verenigde Staten te faciliteren, zijn in de jaren 1995-2000 zeven principes ontwikkeld die een passend niveau van bescherming moesten garanderen. De adequacy decision van de Europese Commissie van 26 juli 2000, waarin werd bepaald dat de betreffende principes een adequaat niveau van bescherming bieden conform de databeschermingsrichtlijn, is bekend geworden als de Safe Harbour-decision. Amerikaanse ondernemingen konden, door middel van zelf-certificering, aangeven dat zij conform de Safe Harbour-principes omgingen met data. Dankzij de Safe Harbour‑beschikking had de uitwisseling van data met Amerikaanse ondernemingen, die gecertificeerd waren onder Safe Harbour, een juridische basis.
Safe Harbour: niet langer veilig
Safe Harbour kwam onder vuur te liggen door een klacht van een Oostenrijkse activist, Max Schrems. Schrems maakte bezwaar tegen doorgifte van zijn persoonsgegevens naar de Amerikaanse servers van Facebook. Naar aanleiding van deze klacht stelde de Ierse rechtbank prejudiciële vragen over Safe Harbour aan het Europees Hof van Justitie. Op 6 oktober 2015 oordeelde het Europees Hof van Justitie dat de Safe Harbour-beslissing ongeldig was, onder meer om de navolgende redenen:
- De Safe Harbour-beslissing legde niet aan alle ondernemingen een verplichting op om zich aan de Safe Harbour-principes te conformeren;
- De Safe Harbour-belissing legde geen verplichtingen op aan de Amerikaanse federale overheid om zich aan de Safe Harbour-principes te conformeren – en laat uitdrukkelijk toe dat uit landsbelang inbreuk wordt gemaakt op beschermde persoonsgegevens;
- De Safe Harbour-beslissing liet toe dat Amerikaanse opsporingsdiensten data in bulk verzamelden.
Het Hof concludeerde dat Safe Harbour een onvoldoende passend beschermingsniveau bood zoals vereist in de Databeschermingsrichtlijn.
Nieuwe afspraak: het EU-US Privacy Shield
De ongeldigverklaring van Safe Harbour intensiveerde de onderhandelingen tussen de Europese Commissie en de VS over een nieuwe kaderovereenkomst die de doorgifte van data mogelijk zou blijven maken. Op 2 februari 2016 werd bekendgemaakt dat de partijen overeenstemming hadden bereikt: het EU-US Privacy Shield. De concepttekst werd op 29 februari 2016 openbaar gemaakt.
Het Privacy Shield is, net als Safe Harbour, gestoeld op zelf-certificering door bedrijven. Het Privacy Shield gaat uit van verschillende principes die vergelijkbaar zijn met de Safe Harbour-principles. Een belangrijk verschil met Safe Harbour is dat de handhaving van het Privacy Shield nu in handen is gelegd van de Federal Trade Commission. Hoewel deelname aan het Privacy Shield op vrijwillige basis is, moeten aangesloten partijen zich wel aan de regels houden. Ook verruimt het Privacy Shield (ten opzichte van Safe Harbour) de mogelijkheden voor individuen om zich te verzetten tegen onrechtmatige doorgifte of gebruik van hun persoonsgegevens.
Kritiek op Privacy Shield
De Europese Toezichthouder voor gegevensbescherming bracht op 12 februari 2016 een voorlopig advies uit over het Privacy Shield. Vervolgens bracht op 13 april 2016 bracht de zogeheten Artikel 29 werkgroep (bestaande uit vertegenwoordigers van autoriteiten persoonsgegevens uit iedere lidstaat) (“WP29”) een opinie uit over het Privacy Shield. Hoewel WP29 vaststelde dat het Privacy Shield een belangrijke vooruitgang betekende ten opzichte van Safe Harbour, identificeerde WP29 drie bezwaren:
- De huidige tekst verplicht ondernemingen niet om data te verwijderen op het moment dat deze niet langer nodig is, terwijl beperkte bewaartermijnen een belangrijke pijler zijn van Europese regelgeving op dit gebied;
- De VS is nog steeds gerechtigd om data in bulk te verzamelen als dit uit het oogpunt van nationaal belang noodzakelijk is, waardoor er feitelijk geen rem op dit gebruik staat;
- De instelling van een Ombudsman is prijzenswaardig, maar de tekst biedt onvoldoende waarborgen dat de Ombudsman ook voldoende autoriteit zal krijgen om goed te functioneren.
Deze opinie werd op 30 mei 2016 gevolgd door een verklaring van de Europese Toezichthouder, die zich eveneens kritisch uitliet over het Privacy Shield. De Toezichthouder gaf zelfs aan dat het Privacy Shield een eventuele toets door het Europees Hof van Justitie in de huidige vorm niet zou doorstaan. WP29 bracht op 1 juli 2016 een persbericht uit waarin zij haar positie, zoals uiteengezet in de opinie van 13 april 2016, nogmaals benadrukte.
Privacy Shield aangenomen
Op 8 juli 2016 hebben de lidstaten van de EU het Privacy Shield aangenomen, waarna de Europese Commissie op 12 juli 2016, zoals verwacht, een adequacy decision openbaar heeft gemaakt. De Europese Commissie heeft daarmee aangegeven dat het Privacy Shield adequate bescherming biedt in de zin van de Privacyrichtlijn, en dat doorgifte van data is toegestaan als het betreffende bedrijf bij het Privacy Shield is aangesloten.
WP29 publiceerde op 26 juli 2016 een verklaring naar aanleiding van de adequacy decision en het overleg daarover van 25 juli 2016. Hoewel WP29 aangaf blij te zijn met het feit dat haar opmerkingen waren meegenomen in de uiteindelijke tekst van de adequacy decision, werd in de verklaring benadrukt dat een aantal bezwaren nog steeds niet waren weggenomen. WP29 kondigde dan ook aan om de eerste, jaarlijkse evaluatie aan te grijpen om de juridische basis van het Privacy Shield, en de praktische uitwerking daarvan, kritisch onder de loep te nemen.
Privacy Shield onder vuur
Het Privacy Shield is op 12 juli 2016, na openbaarmaking van de adequacy decision, meteen van kracht geworden. Sinds 1 augustus 2016 kunnen bedrijven zich aanmelden en laten certificeren. Inmiddels hebben al ruim vijfhonderd ondernemingen zich aangemeld bij het Privacy Shield, waaronder (de moederbedrijven van) Facebook, Google en Microsoft.
Zoals eerder bericht, is het Privacy Shield echter opnieuw onder druk komen te staan. Op 16 september jl. heeft privacy-organisatie Digital Rights Ireland een klacht ingediend bij het Gerecht, waarbij is verzocht om ongeldigverklaring van de Commissie-beslissing waarbij het Privacy Shield werd aangenomen. Meer details over de zaak zijn op dit moment nog niet bekend. Op 25 oktober 2016 hebben drie Franse organisaties eveneens om ongeldigverklaring van het Privacy Shield verzocht bij het Gerecht. Over de gronden die door de klagers worden aangevoerd, is op dit moment nog niet meer bekend.
De verwachting is dat het een jaar of langer zal duren voordat de klachten worden behandeld. Dat zou kunnen betekenen dat het Gerecht zich pas over deze zaken zal uitspreken ná de eerste jaarlijkse evaluatie van het Privacy Shield, die gepland staat voor mid-2017. Afhankelijk van de uitkomst van die evaluatie, worden de klachten mogelijk door de tijd achterhaald.
Privacy Shield: de impact op ondernemingen
Dankzij het Privacy Shield blijft doorgifte van data naar de VS mogelijk, mits de betrokken bedrijven bij het Privacy Shield zijn aangemeld. Als uw onderneming dus gegevens verstuurde naar Amerikaanse bedrijven onder het Safe Harbour-regime, is het belangrijk om na te gaan of deze bedrijven zich inmiddels hebben aangemeld bij het Privacy Shield, dan wel van plan zijn dit te doen. Als uw onderneming data doorgeeft zonder juridische basis, kan de Autoriteit Persoonsgevens, zoals gezegd, hiervoor een boete opleggen.
Alternatieven Privacy Shield
Aanmelding bij het Privacy Shield is niet de enige manier waarop legale doorgifte van data naar de VS kan worden bewerkstelligd. Ondernemingen kunnen ervoor kiezen om modelcontracten van de Europese Commissie te hanteren, of – wanneer het een internationale groep betreft – zogeheten ‘binding corporate rules’ organisatiebreed in te voeren. Ook is het mogelijk om bij de Autoriteit Persoonsgegevens een vergunning voor doorgifte naar een land buiten de EER aan te vragen.
- Modelcontracten (standard contractual clauses)
Doorgifte van persoonsgegevens naar een land buiten de EER is ook toegestaan indien dit gebeurt op basis van een door de Europese Commissie goedgekeurd modelcontract. Deze modelcontracten worden geacht een adequaat niveau van bescherming van persoonsgegevens te bieden.
De Europese Commissie heeft tot op heden drie modelcontracten goedgekeurd: twee voor verantwoordelijken buiten de EER (één algemene, en één specifiek voor het bedrijfsleven), en een modelcontract voor databewerkers. De modelcontracten worden alleen geacht een adequaat beschermingsniveau te bieden indien deze volledig en zonder aanpassingen worden nageleefd. Een aanvulling of wijziging op een modelcontract, moet ter goedkeuring worden voorgelegd.
Ook de modelcontracten liggen momenteel onder vuur: de Ierse Toezichthouder gegevensbescherming heeft op 25 mei 2016 aangekondigd prejudiciële vragen uit te zullen lokken over de legaliteit van doorgifte van persoonsgegevens op basis van de modelcontracten.
- Binding corporate rules (BCR)
De binding corporate rules zijn bedoeld voor groepsondernemingen waarvan één of meer vestigingen zich buiten de EER bevinden. De binding corporate rules zijn een uitwerking van de interne gedragscode voor het gegevensverkeer binnen de groep, waarmee de bescherming van persoonsgegevens naar landen buiten de EER wordt gewaarborgd. Binding corporate rules moeten voor gebruik worden goedgekeurd door de Europese privacytoezichthouders, aan de hand van een uitgebreide coöperatieprocedure.
De procedure voor goedkeuring van binding corporate rules door de Autoriteit Persoonsgegevens, duurt in de regel één jaar vanaf het moment dat de BCR volledig is ingediend bij de Autoriteit Persoonsgegevens. Daar staat tegenover dat een BCR voor grote internationale concerns waarbij op regelmatige basis persoonsgegevens worden uitgewisseld, een goed alternatief kan vormen voor het Privacy Shield.
- Uitzonderingen
Op grond van het Nederlands recht zijn er zes uitzonderingssituaties waarin data ook zonder een modelovereenkomst, vergunning of BCR aan een land buiten de EER mag worden doorgegeven. Deze uitzonderingen zijn:
- Ondubbelzinnige toestemming: De betrokkene (= persoon van die de gegevens worden verwerkt) heeft ondubbelzinnig toestemming gegeven voor de specifieke verwerking van zijn gegevens.
- Uitvoering overeenkomst: Om een overeenkomst met de betrokkene uit te voeren, is het noodzakelijk dat gegevens worden doorgegeven (bijvoorbeeld: internationale betaling).
- Belang betrokkene: De betrokkene heeft belang bij het uitvoeren van een overeenkomst met een derde, in het kader waarvan de persoonsgegevens van de betrokkene moeten worden verstrekt.
- Zwaarwegend algemeen belang: Doorgifte van bepaalde persoonsgegevens is noodzakelijk vanwege een zwaarwegend, algemeen belang.
- Vitaal belang betrokkene: De betrokkene heeft vitaal belang bij doorgifte van de persoonsgegevens, bijvoorbeeld vanwege een ongeval in het buitenland. NB: ook in een dergelijke situatie verdient ondubbelzinnige toestemming de voorkeur.
- Openbare registers: Sommige informatie is openbaar c.q. toegankelijk via wettelijk ingestelde registers, zoals het Kadaster of het handelsregister. Deze informatie mag worden doorgegeven.
De onzekere toekomst van het Privacy Shield, maakt dat voor uw onderneming misschien een van de hierboven genoemde alternatieven een betere wijze vormt om de legale doorgifte van data te faciliteren.