Wat was de aanleiding?

Na ongeveer twee jaar wachten is het Europees Hof van Justitie vandaag met antwoorden gekomen op prejudiciële vragen die door een Ierse rechter waren gesteld. Aanleiding was een klacht die de Oostenrijkse student (Maximillian) Schrems eerder bij de Ierse toezichthouder had ingediend tegen Facebook.

De vragen die de Ierse rechter aan het Hof heeft voorgelegd, zijn:

  1. Voldoen de door de Europese Commissie opgestelde Modelcontractbepalingen (ook wel Standard Contractual Clauses) aan de eisen die worden gesteld door de Avg? en
  2. Voldoet het Privacy Shield, dat de (commerciële) gegevensdoorgifte van de EER naar de VS moet waarborgen, aan de eisen die door de Avg en het Handvest van de Europese Unie worden gesteld?

Deze vragen zijn het directe gevolg, zoals gezegd, van een klacht die Schrems indiende bij de Ierse toezichthouder over de verwerking van zijn persoonsgegevens door Facebook en dan met name over de doorgifte van die persoonsgegevens naar de Verenigde Staten door Facebook.

Deze klacht leidde eerder al tot de ongeldigverklaring van de Safe Harbour beginselen, die tot aan hun ongeldigverklaring de grondslag waren voor de rechtmatigheid van de doorgifte van persoonsgegevens naar de VS. Nadien is het Privacy Shield in de plaats gekomen voor de Safe Harbour beginselen.

Wat was de uitspraak?

In de uitspraak van vandaag (16 juli 2020) heeft het Hof geoordeeld dat de Modelcontractbepalingen zoals opgesteld door de Europese Commissie geldig zijn. Zij voldoen aan de eisen die aan passende waarborgen, zoals bedoeld in de Avg, moeten worden gesteld.

Privacy Shield daarentegen voldoet niet aan de eisen die de Avg stelt. De voornaamste redenen zijn dat passende waarborgen voor de bescherming van persoonsgegevens en effectieve rechtsmiddelen voor betrokkenen ontbreken. Het door Privacy Shield ingestelde ‘Ombudsperson mechanism’ verschaft betrokkenen onvoldoende rechtsbescherming. De geboden rechtsbescherming wordt door het Hof niet equivalent geacht aan de rechtsbescherming die wordt geëist door het Europees recht.

Wat zijn de gevolgen voor de doorgifte van persoonsgegevens?

Het bovenstaande heeft grote gevolgen voor de doorgifte van persoonsgegevens naar de VS. Het deel van deze doorgifte van persoonsgegevens dat plaatsvindt op grond van Privacy Shield is per vandaag niet meer rechtmatig. Deze ‘doorgiften’ zijn dus vanaf vandaag in strijd met de Avg en kunnen leiden tot substantiële boetes, aldus ook het Europees Hof van Justitie in zijn uitspraak.

Het is dan ook van groot belang dat organisaties weten of zij persoonsgegevens delen met organisaties in de VS en welk instrument zij voor deze doorgifte gebruiken. Indien doorgifte op basis van Privacy Shield plaatsvond, moet er óf gestopt worden met deze doorgifte, óf een alternatief instrument worden aangewend voor de doorgifte. Een passend alternatief vormen ‘binding corporate rules’. Niet handelen is echter geen optie. 

Contact

Mocht u nu al vragen hebben of meer willen weten over binding corporate rules, neem dan contact op met ons op via +31 (0) 70 306 00 33 of info@firstlawyers.nl.