Op 22 mei 2023 werd met de veroordeling van Meta door de Ierse gegevensbeschermingsautoriteit de juridische onzekerheid rond internationale doorgiften van persoonsgegevens, die toen reeds sterk aanwezig was bij ondernemingen en organisaties, alleen maar groter. Even leek het alsof de EU het in de toekomst zonder Amerikaanse “big tech” zou moeten stellen door de strenge houding die de Europese toezichthoudende overheden aannemen ten aanzien van de verwerking van persoonsgegevens door Amerikaanse “big tech” bedrijven. Meer over deze beslissing van de Ierse DPC leest u in onze eerdere nieuwsbrief: Hoogste GDPR boete ooit.
Ten grondslag van verschillende beslissingen tegen Amerikaanse technologiebedrijven lag steeds de sterke aanwezigheid van de Amerikaanse veiligheidsdiensten in desbetreffende bedrijven. Die hadden tot voor kort quasi ongelimiteerde toegang tot alle data die binnen bedrijven met een Amerikaanse vestiging verwerkt worden. Mede door die praktijken zijn ook de voorgangers van Privacy Shield II, namelijk de Safe Harbor Privacy Principles die in 2015 ongeldig verklaard werden in het arrest bekend als “Schrems I” en het Privacy Shield dat in 2020 ongeldig verklaard werd in het arrest bekend als “Schrems II”, vernietigd door het Hof van Justitie.
De Europese Commissie kondigt bij Privacy Shield II aan dat de totstandkoming ervan slechts heeft kunnen plaatsvinden door de ondertekening door President Joe Biden van een “Executive Order on Enhancing Safeguards for United States Signals Intelligence Activities” op 7 oktober 2022, waarin een beperking werd opgenomen voor de Amerikaanse veiligheidsdiensten om zich slechts toegang tot persoonsgegevens te verschaffen voor zover dit “noodzakelijk en proportioneel” is. Een tweede belangrijke vernieuwing in dat Executive Order is de oprichting van een onafhankelijk orgaan dat klachten van Europese Burgers met betrekking tot de verwerking van hun persoonsgegevens voor doeleinden van Amerikaanse nationale veiligheid moet behandelen en oplossen. Met het oog op dat laatste wordt de “Civil Liberties Protection Officer” belast met het initieel onderzoek inzake klachten en dient die entiteit toezicht te houden op de naleving door de veiligheidsdiensten van de fundamentele mensenrechten, met inbegrip van het recht op privacy en gegevensbescherming. Tegen een beslissing van die entiteit staat beroep open bij de nieuw opgerichte “Data Protection Review Court”.
Hoewel het nieuwe adequaatheidsbesluit van de Europese Commissie voor de komende tijd enige rust doet wederkeren in het gegevensbeschermingslandschap, is de onzekerheid nog helemaal niet van de baan. “None Of Your Business” of in het kort NOYB, een NGO die zich inzet voor de bescherming van de rechten op privacy en gegevensbescherming; heeft reeds aangekondigd dat het wederom naar het Hof van Justitie zal trekken om dit adequaatheidsbesluit aan te vechten. “Noodzakelijk en proportioneel” zal volgens NOYB in de praktijk namelijk tot geen enkele verandering in het gedrag van de Amerikaanse veiligheidsdiensten leiden. Die zouden er namelijk rotsvast van overtuigd zijn dat de (voormalige) massasurveillance noodzakelijk en proportioneel is om de nationale veiligheid te verzekeren.
Ook het herstelmechanisme waarin de “Civil Liberties Protection Officer” en de “Data Protection Review Court” hun taken krijgen toegewezen door het Executive Order zou een lege doos zijn.
Kort samengevat is er op dit moment nog geen definitieve zekerheid met betrekking tot trans-Atlantische doorgiften van persoonsgegevens. We volgen de laatste ontwikkelingen betreffende internationale doorgiften en alle andere aspecten van gegevensbescherming op de voet op en houden u hiervan op de hoogte.
Indien u juridische vragen heeft over internationale doorgiften van persoonsgegevens, de sanctieregeling onder de GDPR of privacy- en gegevensbescherming, aarzel dan niet om contact op te nemen met ons Privacy & Data Protection team.
Auteurs: Kristof Zadora, Dylan Verhulst & Alexander Broux
