Voor ondernemingen is het vaak een realiteit om gebruik te maken van buitenlandse data centers en ‘opslag in de cloud’. Slaat uw onderneming gegevens op ‘in de cloud’? Maakt uw onderneming gebruik van data centers in het buitenland? Heeft u überhaupt geen idee waar de gegevens opgeslagen worden? Indien het antwoord op één of meerdere van die vragen positief is, is het belangrijk om rekening te houden met de bepalingen van de GDPR en meer bepaald de bepalingen over de doorgifte van persoonsgegevens. Het arrest dat het onderwerp uitmaakt van deze bijdrage heeft recent een aardverschuiving teweeggebracht op die laatste bepalingen.
Op 16 juli 2020 sprak het Hof van Justitie zich uit in het zogenaamde ‘Schrems II arrest’. Max Schrems is de Oostenrijkse advocaat die eerder al de degens opnam in strijd tegen de praktijken van internetgiganten inzake doorgiften van persoonsgegevens naar derde landen. In die eerste zaak vernietigde het Hof van Justitie de Safe Harbour beslissing, waardoor doorgiften naar de Verenigde Staten geen vrijgeleide meer kregen. Het Privacy Shield kwam in de plaats van Safe Harbour, maar ook dat volstond niet voor Max Schrems. Dit tweede Schrems arrest zet doorgiften naar derde landen onder de GDPR wederom op losse schroeven.
Hieronder lichten wij graag kort het arrest en de gevolgen ervan voor ondernemingen toe.
1.Wat zijn doorgiften van persoonsgegevens?
Ondernemingen maken steeds vaker gebruik van opslag ‘in de cloud’, buitenlandse data centers om hun gegevens op te slaan of applicaties en dienstverleners gelocaliseerd buiten Europa. Wist u dat dit doorgiften van persoonsgegevens zijn?
Maar wat is een doorgfite van persoonsgegevens nu precies? We kunnen een doorgifte van persoonsgegevens definiëren als elke verzending van persoonsgegevens naar een ontvanger of locatie buiten de Europese Economische Ruimte (EER). Hieronder vallen duidelijk de opslag ‘in de cloud’, opslag in data centers buiten de EER en het verzenden van persoonsgegevens naar applicaties en dienstverleners die buiten de EER gelocaliseerd zijn.
Daarnaast zijn ook het verzenden van persoonsgegevens via e-mail naar een ontvanger buiten de EER en een website die gehost wordt buiten de EER, met daarop gepubliceerde persoonsgegevens mogelijk een doorgifte van persoonsgegevens. Het mag dus duidelijk zijn dat heel veel dagdagelijkse activiteiten van uw onderneming onder de regels over doorgiften van persoonsgegevens uit de GDPR vallen.
De algemene regel bij doorgifte van persoonsgegevens buiten de EER is dat daarvoor een rechtvaardigingsgrond vereist is. De mogelijke rechtvaardigingsgronden vinden we terug in Hoofdstuk V van de GDPR. Net op die rechtvaardigingsgronden heeft het recente Schrems II arrest een enorme impact.
2.Kernpunten en gevolgen van het arrest
- Vernietiging van het Privacy Shield
Een van de rechtvaardigingsgronden in de GDPR is het zogenaamde ‘adequaatheidsbesluit’, kort gesteld een akkoord tussen de Europese Unie en een derde land inzake soepel gegevensverkeer tussen beide.
Slaat uw onderneming persoonsgegevens op in de Verenigde Staten of stuurt het daar persoonsgegevens naartoe, op basis van een adequaatheidsbesluit? Of doet het dat naar het Verenigd Koninkrijk, Canada, Japan of Zwitserland? Dan is het eerste kernpunt van het arrest zeker van belang voor uw onderneming.
Het betreft namelijk de vernietiging van het Privacy Shield, d.i. het adequaatheidsbesluit tussen de Europese Unie en de Verenigde Staten, door het Hof van Justitie van de Europese Unie. Op basis van dat adequaatheidsbesluit konden ondernemingen, net zoals bij het Safe Harbourbesluit, persoonsgegevens naar de Verenigde Staten doorgeven. Het Hof vernietigt het Privacy Shield nu omdat het enerzijds de Amerikaanse surveillancepraktijken niet ‘strikt noodzakelijk en proportioneel’ acht en anderzijds, omdat betrokkenen geen doeltreffende voorziening in rechte hebben tegen die praktijken, zoals vereist door artikel 47 van het Handvest van de grondrechten van de EU. Max Schrems boekte met de vernietiging van het Privacy Shield opnieuw een overwinning in de strijd tegen internetgiganten zoals Facebook. Daarnaast krijgt de vernietiging van het Privacy Shield geen overgangsperiode, hoewel de verplichtingen eronder nog blijven doorwerken. Daardoor moeten ondernemingen schipperen tussen hun verplichtingen onder het Privacy Shield en de beperkingen uit het Schrems II arrest.
De impact van de vernietiging schept niet enkel onduidelijkheid en bezorgdheid voor doorgiften naar de Verenigde Staten, ook andere adequaatheidsbesluiten zoals dat met Canada, Japan en Zwitserland moeten na het arrest in vraag worden gesteld. Het beoogde adequaatheidsbesluit met het Verenigd Koninkrijk na de Brexit komt ook op losse schroeven te staan. Ondernemingen moeten dus uiterst voorzichtig zijn in hoe ze omgaan met die onzekerheden en zich goed informeren om sancties tegen te gaan.
- Standaardbepalingen
Het tweede en potentieel nog ingrijpendere kernpunt van het arrest betreft de standaardbepalingen (beter bekend als SCCs). Standaardbepalingen zijn, samen met het Privacy Shield, de belangrijkste rechtvaardigingsgrond in de GDPR waarop ondernemingen zich beroepen om doorgiften te rechtvaardigen. Hoewel het Hof de SCCs niet ongeldig verklaart, stelt het dat ondernemingen die persoonsgegevens willen doorgeven naar derde landen op basis van SCCs, geval per geval moeten nagaan of het derde land een ‘adequaat beschermingsniveau’ biedt. Die stelling is zeer onduidelijk en maakt het in de praktijk heel moeilijk om op een objectieve en zekere manier om te gaan met deze rechtvaardigingsgrond.
Het ‘adequaat beschermingsniveau’ komt neer op de strikte noodzakelijkheid en proportionaliteit van surveillancepraktijken, samen met doeltreffende voorziening in rechte tegen die praktijken, de fundamenten voor de vernietiging van het Privacy Shield. Indien het derde land dat niet kan garanderen, moeten ondernemingen ofwel bijkomende waarborgen bieden ofwel de doorgiften schorsen of beëindigen. Ook de draagwijdte van het begrip ‘bijkomende waarborgen’ roept vragen op na het arrest en maakt het voor ondernemingen alleen maar complexer om om te gaan met de standaardbepalingen.
3.Wat na Schrems II?
Wat kan u nu concreet doen na zo’n ingrijpende wijziging? Mag u dan geen persoonsgegevens meer doorgeven buiten de EER of geen gebruik meer maak van ‘de cloud’, data centers, applicaties en dienstverlers buiten de EER? Het antwoord hierop is niet eenduidig. Hoewel de toekomst voor doorgiften onder de GDPR na het arrest overduidelijk nog onzeker is, voegen wij hier enkele adviezen en best practices samen voor ondernemingen:
- Ga na waarheen u persoonsgegevens stuurt en of u persoonsgegevens buiten de EER opslaat (in data centers, de cloud of op een andere manier). Indien u geen persoonsgegegevens buiten de EER doorgeeft (wat echter onwaarschijnlijk is), is het arrest niet op uw onderneming van toepassing.
- Voer een audit uit. U moet voor alle verwerkingsoperaties controleren of u als verwerkingsverantwoordelijke (of via uw verwerker(s)), persoonsgegevens doorgeeft naar derde landen en op welke grondslag.
- Laat je bijstaan door een juridische raadgever, die de beoordeling van volgende punten kan begeleiden samen met uw onderneming.
- Ga voor elke doorgifte na of het derde land een ‘adequaat beschermingsniveau’ biedt, d.w.z. dat de surveillancepraktijken ‘strikt noodzakelijk en proportioneel zijn’ en betrokkenen een doeltreffende voorziening in rechte hebben tegen die praktijken.
- Indien je je wilt beroepen op een adequaatheidsbesluit voor het derde land, controleer dan steeds of dat besluit nog van kracht is en wat bevoegde gegevensbeschermingsautoriteit erover zegt.
- Indien je gebruik wilt maken van standaardbepalingen voor de doorgifte naar niet-adequate derde landen, neem dan bijkomende technische en / of juridische maatregelen om het adequate beschermingsniveau te garanderen.
- Wanneer je slechts uitzonderlijk en beperkt persoonsgegevens doorgeeft naar derde landen, valt dat mogelijk te rechtvaardigen door middel van de uitdrukkelijke toestemming van de betrokkene.
Monard Law helpt u graag verder met uw vragen over de gevolgen van het Schrems II arrest, doorgiften van persoonsgegevens naar derde landen, standaardbepalingen of andere vragen of problemen betreffende de GDPR.
Deze bijdrage werd geschreven door Kristof Zadora en Dylan Verhulst.