Vorige week berichtten wij over het Schrems II arrest van het Europese Hof van Justitie. Inmiddels heeft de Europese toezichthouder op het gebied van gegevensbescherming, de European Data Protection Board (EDPB), aandacht gevraagd voor de gevolgen voor exporteurs en importeurs van persoonsgegevens.
Belangrijkste te ondernemen acties
Exporteurs moeten om te beginnen de juridische grondslag voor de doorgiften van persoonsgegevens naar derde landen grondig onder de loep nemen. Zij zullen moeten beoordelen of het instrument dat zij gebruiken voor de doorgifte van de persoonsgegevens en het beschermingsniveau dat het land van bestemming biedt nog steeds volstaan. Daarnaast moeten de afspraken die eerder met verwerkers zijn gemaakt, opnieuw worden beoordeeld. Er is namelijk een grote kans dat deze in verwerkersovereenkomsten vastgelegde afspraken sinds Schrems II niet meer rechtsgeldig zijn.
Per direct
De EDPB heeft benadrukt dat de door het Hof uitgesproken ongeldigverklaring van Privacy Shield per direct werkt. Iedere organisatie die persoonsgegevens doorgeeft aan een derde land moet derhalve onmiddellijk in actie komen om sancties te vermijden.
Niet alleen de Verenigde Staten
Hoewel die uitspraak die het Hof heeft gedaan, beperkt was tot doorgifte naar de Verenigde Staten middels Modelcontractbepalingen of het Privacy Shield, blijkt uit het arrest en de uitleg van de EDPB dat de regels die het Hof heeft geformuleerd ook gelden voor doorgifte naar andere derde landen en doorgifte met behulp van andere instrumenten.
Passende waarborgen niet voldoende
De instrumenten die gebruikt kunnen worden voor doorgifte naar derde landen waarvoor geen adequaatheidsbesluit van de Europese Commissie geldt, zijn in beginsel de passende waarborgen uit artikel 46 AVG. Hieronder vallen bijvoorbeeld de Modelcontractbepalingen (SCC) en de Binding Corporate Rules (BCR). In beginsel, want Schrems II heeft meer dan duidelijk gemaakt dat het enkele gebruik van een passende waarborg niet voldoende is.
Een rechtsgeldige doorgifte vereist namelijk ook dat het derde land het voor de doorgifte vereiste beschermingsniveau (bereikt door een passende waarborg) zal respecteren.
Als blijkt dat de voorgenomen passende waarborg niet tot gevolg heeft dat er een beschermingsniveau wordt bereikt dat equivalent is aan het beschermingsniveau van de AVG, dan mag de doorgifte niet plaatsvinden en kan het zelfs zo zijn dat de overeenkomst tussen exporteur en importeur moet worden beëindigd.
Wat te doen?
Ondanks dat de uitspraak van het Hof nog geen twee weken oud is, is het van groot belang dat organisaties die gebruik maakten van Privacy Shield direct actie ondernemen om hun contracten in lijn te brengen met hetgeen het Hof heeft bepaald.
Iedere doorgifte die op basis van Modelcontractbepalingen of Binding Corporate Rules plaatsvindt, moet worden herbezien. Er zal steeds een assessment moeten plaatsvinden, waarbij er rekening moet worden gehouden met alle omstandigheden van de doorgifte, waaronder de aard van de persoonsgegevens, de frequentie van doorgifte, de met de importeur gesloten (verwerkers)overeenkomst en het beschermingsniveau van het derde land.
Het assessment zal resulteren in nodige te ondernemen acties. Deze acties kunnen zien op het heronderhandelen over bestaande overeenkomsten, het aangaan van nieuwe overeenkomsten, of op het beëindigen van ongeldige overeenkomsten.
Verdere informatie en contact
Is uw organisatie betrokken bij de doorgifte van persoonsgegevens naar een derde land en heeft u vragen of behoefte aan juridische ondersteuning, neem dan contact op met ons op. Wij staan u graag terzijde. Zo kunnen wij een assessment op uw bestaande contracten uitvoeren, u ondersteunen bij het oversluiten van ongeldige contracten en onderzoek uitvoeren naar het beschermingsniveau van een derde land. Heeft u behoefte aan Binding Corporate Rules? Ook deze maken wij graag voor u.
Bel voor meer informatie naar 070 306 0033 of stuur een e-mail naar a.w.duthler@firstlawyers.nl.