-

Na safe harbor ook de EU Model Clauses met Schrems naar Hof van Justitie?

De aanval van Schrems op het doorgeven van persoonsgegevens door Facebook naar de Verenigde Staten (“VS”) heeft een nieuwe wending gekregen. Vorig jaar leidde een door Schrems aanhangig gemaakte procedure al tot het ongeldig verklaren van de Safe Harbor beschikking. Nu lijkt het er op dat ook de EU Model Clauses voor een oordeel naar het Hof van Justitie van de Europese Unie (“HvJEU”) worden gestuurd.

Het Safe Harbor framework bood de afgelopen vijftien jaar voor bedrijven een grondslag om persoonsgegevens vanuit Europa naar de VS door te geven. Dit regime bestond uit een zelf-certificering, waarbij Amerikaanse bedrijven zich er (kort gezegd) toe verplichtte de Europese normen voor privacybescherming te hanteren. Het HvJEU oordeelde dat dit regime (in de praktijk) niet voldoende bescherming bood en verklaarde de Safe Harbor Principles ongeldig.

Als gevolg van deze ongeldigverklaring moeten bedrijven terugvallen op andere methoden om rechtsgeldig persoonsgegevens door te geven naar de VS, in ieder geval totdat de VS en de Europese Commissie een vervanging voor Safe Harbor hebben uit onderhandeld. Achter deze onderhandelingen (die al sinds de Snowden onthullingen uit 2013 bezig waren) is vaart gezet en dit heeft ertoe geleid dat begin dit jaar Privacy Shield is gepresenteerd. Of Privacy Shield het uiteindelijk gaat redden valt echter te betwijfelen, gezien de felle kritiek die daarop is geuit, onder andere door de Europese Toezichthouder voor Gegevensbescherming, de Artikel 29 Werkgroep en het Europese Parlement.

Een alternatief voor Safe Harbor is het gebruik van de EU Model Clauses (“Clauses”) of ook wel Standard Contractual Clauses genoemd. Dit zijn standaardcontracten van de Europese Commissie die (ongewijzigd) een geldige basis bieden om persoonsgegevens door te geven naar een derde land dat geen passend beschermingsniveau biedt. Door de nieuwe procedure van Schrems tegen Facebook komen de Clauses dus mogelijk ook onder vuur te liggen.

De situatie rondom de Clauses verschilt echter van die van de Safe Harbor. Waar Safe Harbor uitsluitend de doorgifte tussen Europa en de VS regelde, kunnen de Clauses worden ingezet voor de doorgifte naar ieder derde land, wanneer dat derde land geen passend beschermingsniveau biedt. Zou het HvJEU de beslissing, waarmee de Clauses zijn vastgesteld, in deze zaak (die alleen ziet op doorgifte naar de VS) volledig ongeldig verklaren, dan kunnen de Clauses voor geen enkel land meer worden ingezet. Het is echter niet ondenkbaar dat eventuele bezwaren tegen het gebruik van de Clauses voor doorgifte naar de VS, zich niet voordoen bij doorgifte naar andere derde landen. Hoe het HvJEU met deze problematiek om zal gaan is nog afwachten.

Voor het op grote schaal uitwisselen van persoonsgegevens met bedrijven in de VS kan zonder de Clauses een probleem ontstaan. Als Privacy Shield het niet redt, blijven namelijk slechts een beperkt aantal mogelijkheden over, waaronder de Binding Corporate Rules en de vergunning van de Minister van Veiligheid en Justitie. Beide opties kunnen erg tijdrovend en kostbaar zijn, iets waar het bedrijfsleven niet op zit te wachten.

*) Bron: europe-v-facebook.org 

**) Dit artikel werd tevens gepubliceerd op de website van SOLV Advocaten.

Deel dit bericht

Plaats een reactie

Uw e-mailadres wordt niet op de site getoond