(R)evolutie in doorgiften van persoonsgegevens

Inleiding

De invoering van de Algemene Verordening Gegevensbescherming of “GDPR” heeft grote gevolgen gehad voor de wereldwijde bedrijfsactiviteiten van ondernemingen. Met name de bepalingen inzake de doorgifte van persoonsgegevens naar derde landen (d.w.z. landen buiten de Europese Economische Ruimte of “EER”) hebben een groot aantal complexe juridische vraagstukken doen rijzen, die vaak botsen met de operationele realiteit van bedrijven. Cloudopslag en -hosting zijn bijvoorbeeld voor veel bedrijven onmisbaar in hun dagelijkse werkzaamheden, vooral sinds de COVID-19-pandemie ertoe heeft geleid dat veel mensen vanuit huis werken.

Op 22 december 2021 heeft de Oostenrijkse gegevensbeschermingsautoriteit een beslissing genomen in een zaak met betrekking tot de praktijken van Google inzake analytics en cookies. De beslissing benadrukt de strenge regeling inzake doorgiften van persoonsgegevens buiten de EER, voortbouwend op het zogenoemde “Schrems II” arrest van het Europees Hof van Justitie. In deze nieuwsbrief bespreken we de beslissing van de Oostenrijkse gegevensbeschermingsautoriteit, vatten we het huidige regime gegevensdoorgiften en de gevolgen ervan voor de bedrijfsactiviteiten van uw onderneming samen en formuleren we praktische stappen voor de naleving van uw gegevensdoorgiften met de bepalingen van de GDPR.

 

In de eerste plaats is het belangrijk om een duidelijk begrip te hebben van de betekenis van “doorgifte van persoonsgegevens”. Hoewel deze term niet is gedefinieerd in de GDPR, heeft het Europees Comité voor gegevensbescherming of “EDPB” duidelijkheid verschaft over de term. Volgens de EDPB wordt een verwerkingsactiviteit als een gegevensdoorgifte gekwalificeerd indien aan de volgende drie cumulatieve criteria is voldaan:

  1. Een verwerkingsverantwoordelijke of een verwerker is onderworpen aan de GDPR voor de relevante verwerkingsactiviteit
  2. Die verwerkingsverantwoordelijke of verwerker (“data exporter”) verzendt persoonsgegevens of stelt deze op andere wijze ter beschikking aan een andere voor de verwerkingsverantwoordelijke of verwerker (“data importer”)
  3. De data importer bevindt zich in een derde land of is een internationale organisatie, ongeacht of deze data importer al dan niet onder de GDPR valt met betrekking tot de relevante verwerkingsactiviteit.

Op basis van bovenstaande elementen concluderen we dat de definitie van “doorgifte van persoonsgegevens” zeer ruim is. Een scenario waarin een onderneming met een filiaal buiten de EER toegang heeft of kan hebben tot persoonsgegevens van EU betrokkenen, kwalificeert als een gegevensdoorgifte. Voorts is er ook sprake van een gegevensdoorgifte wanneer persoonsgegevens van een EER land naar een ander EER land worden doorgegeven, maar geografisch door een derde (niet-EER) land worden geleid. De werkingssfeer van de regeling inzake gegevensdoorgiften is dus verreikend in onze huidige digitale omgeving.

In het geval dat een verwerkingsactiviteit als een gegevensdoorgifte kwalificeert, biedt Hoofdstuk V van de GDPR verschillende mechanismen om persoonsgegevens overeenkomstig de GDPR buiten de EER door te geven:

  1. Adequaatheidsbesluiten van de Europese Commissie;
  2. Standaardcontractbepalingen of SCC’s;
  3. Bindende bedrijfsvoorschriften of BCR’s;
  4. Gedragscodes;
  5. Certificeringsmechanismen;
  6. Ad hoc contractuele clausules;
  7. Internationale overeenkomsten of administratieve regelingen.

De EDPB benadrukt dat het mechanisme waarop de verwerkingsverantwoordelijke zich beroept, alsmede de implementeringsmaatregelen daarvoor, moeten worden afgestemd op de concrete omstandigheden van de gegevensdoorgifte. Het onderliggende beginsel van de regeling in Hoofdstuk V van de GDPR is het bestaan van een “passend beschermingsniveau” in het derde land of de internationale organisatie waarnaar de gegevens worden doorgegeven. Dit “passend beschermingsniveau” is nader geanalyseerd in het arrest Schrems II.

 

1.   Schrems II en de nasleep ervan

Het Schrems II arrest van het Europees Hof van Justitie, dat dateert van 16 juli 2020, heeft de regeling van gegevensdoorgiften onder Hoofdstuk V van de GDPR sterk beïnvloed. Wij hebben het baanbrekende arrest en de gevolgen ervan besproken in een eerdere nieuwsbrief, die hier kan worden geraadpleegd: De invloed van het Schrems II arrest op uw doorgiften naar derde landen onder de GDPR – Monard Law.

Samenvattend heeft het Europees Hof van Justitie volgende elementen in haar arrest opgenomen:

  1. Het EU-VS Privacy Shield adequaatheidsbesluit is vernietigd, waardoor een juridisch vacuüm ontstond voor gegevensdoorgiften van de EU naar de VS. Dit creëerde grote gevolgen voor zowel in de EU als in de VS gevestigde bedrijven, aangezien de meeste clouddiensten worden gehost door of toegang vereisen van in de VS gevestigde bedrijven (bv. Amazon Web Services, Google Analytics, Facebook Connect, enz.);
  2. Hoewel het juridische mechanisme van de standaardcontractbepalingen niet werd vernietigd, oordeelde het Europees Hof van Justitie dat ondernemingen die op basis van het SCC mechanisme persoonsgegevens aan derde landen willen doorgeven, geval per geval moeten beoordelen of het derde land een passend beschermingsniveau biedt.

Het passende beschermingsniveau van het derde land of de internationale organisatie waaraan de persoonsgegevens worden doorgegeven, moet worden beoordeeld op basis van het juridisch kader dat van toepassing is op dat land of die organisatie (met name het kader inzake privacy en gegevensbescherming), het bestaan en de effectieve werking van een of meer onafhankelijke toezichthoudende autoriteiten in het derde land of waaraan een internationale organisatie is onderworpen, en ten slotte de internationale overeenkomsten en verplichtingen van het derde land of de internationale organisatie.

Indien het derde land geen passend beschermingsniveau kan garanderen, moeten de ondernemingen ofwel “aanvullende maatregelen” nemen, ofwel hun gegevensdoorgiften opschorten/beëindigen.

Het Schrems II arrest heeft veel juridische vragen gecreëerd voor gegevensbeschermingspractici en bedrijven en heeft de EDPB ertoe aangezet om richtsnoeren en aanbevelingen uit te vaardigen over de implementatie van het Schrems II arrest. Daarnaast heeft het arrest als springplank gediend voor de NGO noyb, een organisatie die is opgericht en wordt geleid door Maximilian Schrems, om 101 verschillende klachten in te dienen tegen in de EER gevestigde websites. De EDPB heeft op haar beurt een taskforce opgericht om de door noyb ingediende klachten te onderzoeken en te zorgen voor nauwe samenwerking tussen de lidstaten van de EER in hun aanpak van de door noyb ingediende klachten. De beslissing van de Oostenrijkse gegevensbeschermingsautoriteit is de eerste van die klachten die tot een beslissing van een gegevensbeschermingsautoriteit heeft geleid.

 

2.   Besluit van de Oostenrijkse autoriteit voor gegevensbescherming

De feiten die aan de beslissing van de Oostenrijkse gegevensbeschermingsautoriteit ten grondslag liggen, houden verband met de analytics diensten en de cookiepraktijken van Google. Een Oostenrijks bedrijf (data exporter) maakte op haar website gebruik van de analytics diensten en cookies van Google, waardoor Google (data importer) toegang kon krijgen tot persoonsgegevens (IP-adres, unieke online-identificatoren en cookiegegevens) van betrokkenen uit de EU.

De Oostenrijkse gegevensbeschermingsautoriteit oordeelde dat de data exporter Hoofdstuk V van de GDPR niet naleefde, aangezien de standaardcontractbepalingen waarop zij zich baseerde, geen passend beschermingsniveau boden. Hoewel Google aanvullende maatregelen (pseudonimisering) had genomen, zoals vereist op grond van het Schrems II arrest, stelt de Oostenrijkse gegevensbeschermingsautoriteit dat de genomen maatregelen niet doeltreffend waren om het “protection gap” te dichten, aangezien de inlichtingendiensten van de VS nog steeds toegang kunnen hebben tot de persoonsgegevens van de betrokkenen in de EU omdat Google als een aanbieder van elektronische communicatiediensten kwalificeert.

Wat Google betreft, was de Oostenrijkse gegevensbeschermingsautoriteit van oordeel dat de bepalingen van de GDPR inzake gegevensdoorgiften enkel gelden voor de data exporter (de aanbieder van de website) en niet voor de data importer. De data importer moet echter nog steeds voldoen aan de andere beginselen en bepalingen van de GDPR.

De gevolgen van de beslissing van de Oostenrijkse gegevensbeschermingsautoriteit zijn drieledig:

  1. De autoriteit bevestigt opnieuw dat de VS geen adequaat beschermingsniveau biedt, aangezien de inlichtingendiensten van de VS altijd de mogelijkheid hebben om toegang te krijgen tot de persoonsgegevens die het voorwerp uitmaken van een gegevensdoorgifte, zoals eerder werd geoordeeld in het arrest Schrems II
  2. Bedrijven die persoonsgegevens naar de VS willen doorgeven, moeten een mechanisme uit Hoofdstuk V kiezen en aanvullende maatregelen nemen die bestaande “protection gaps” dichten
  3. Hoofdstuk V van de GDPR is van toepassing op data exporters, niet op data importers

De gevolgen van het besluit kunnen verstrekkend zijn, aangezien het in wezen voor alle EU-EU bedrijven een de facto verbod inhoudt om gebruik te maken van clouddiensten die worden gehost door een bedrijf met een in de VS gevestigde vestiging. Aangezien de meeste clouddiensten worden gehost door bedrijven met ten minste een vestiging in de VS, is het door dit besluit (en het Schrems II besluit) voor bedrijven erg moeilijk geworden om clouddiensten te gebruiken in overeenstemming met de GDPR. Deze conclusie wordt ondersteund door een opmerking van Max Schrems: “the bottom line is: Companies can’t use US cloud services in Europe anymore. It has now been 1.5 years since the Court of Justice confirmed this a second time, so it is more than time that the law is also enforced.

Gezien de strenge sanctieregeling van de GDPR, lopen bedrijven aanzienlijke (financiële) risico’s in geval van niet-naleving van de bepalingen inzake gegevensdoorgiften onder Hoofdstuk V van de GDPR. Overeenkomstig artikel 83, lid 5, van de GDPR kan niet-naleving van die bepalingen worden bestraft met een administratieve boete van maximaal 20 miljoen euro of 4% van de totale wereldwijde jaaromzet van uw onderneming in het voorgaande boekjaar. Andere sancties kunnen bestaan in een verwerkingsverbod, een bevel tot opschorting van gegevensstromen naar een ontvanger in een derde land en de intrekking van GDPR-certificering.

 

3.   Praktische stappen voor ondernemingen

Gezien de strikte regeling inzake gegevensdoorgiften van de GDPR, is het voor bedrijven lastig geworden om hun bedrijfsactiviteiten te voeren in overeenstemming met de GDPR. In deze paragraaf trachten wij u praktische compliance stappen aan te reiken, rekening houdend met de richtsnoeren en aanbevelingen van het Europees Comité voor gegevensbescherming:

  1. Breng uw verwerkingsactiviteiten en gegevensdoorgiften buiten de Europese Economische Ruimte in kaart. Hoewel dit proces moeite, tijd en een uitgebreide analyse kan vergen, is het een essentiële stap op weg naar compliance.
  2. Zodra u uw gegevensdoorgiften in kaart hebt gebracht, moet een effectbeoordeling voor gegevensdoorgiften worden uitgevoerd, die uit de volgende elementen bestaat:
    1. Bepaling van het mechanisme uit Hoofdstuk V waarop u zich voor de gegevensdoorgifte beroept
    2. Vaststelling van eventuele tekortkomingen wat betreft het passende beschermingsniveau in het derde land of de internationale organisatie waaraan de persoonsgegevens worden doorgegeven
    3. Toepassing van aanvullende maatregelen op maat om de “protection gaps” in het derde land of de internationale organisatie aan te vullen
  3. Frequent compliance monitoring overeenkomstig het verantwoordingsbeginsel van de GDPR

Het mag duidelijk zijn dat uw gegevensdoorgiften veel aandacht, analyse en een aangepaste implementatieaanpak vereisen om te voldoen aan het complexe en strikte kader van de GDPR. Het privacy- en gegevensbeschermingsteam van Monard Law heeft uitgebreide ervaring in alles wat te maken heeft met gegevensdoorgiften en effectbeoordelingen voor gegevensdoorgiften en kan u helpen bij het ontwikkelen van een aangepaste implementatieaanpak en alle andere kwesties die te maken hebben met privacy en gegevensbescherming.

We besluiten deze nieuwsbrief met een citaat van Andrea Jelinek, voorzitter van de EDPB: “However, the implications of the [Schrems II] judgement are wide-ranging, and the contexts of data transfers to third countries very diverse. Therefore, there cannot be a one-size-fits-all, quick fix solution. Each organisation will need to evaluate its own data processing operations and transfers and take appropriate measures.

Delen op LinkedIn Delen op Facebook

Dit artikel werd geschreven door

Kristof Zadora

Kristof Zadora
Jenna Auwerx

Jenna Auwerx
Dylan Verhulst

Dylan Verhulst
Jill Leen

Jill Leen

Deze publicaties vind je mogelijk ook interessant

Distributieovereenkomsten in een internationale context: overzicht van dwingende wetgeving in andere EU-landen
#ingelicht

Distributieovereenkomsten in een internationale context: overzicht van dwingende wetgeving in ...

Lees meer
Lessons learnt: IT & overheidsopdrachten
#ingelicht

Lessons learnt: IT & overheidsopdrachten

Lees meer
Overgangsregime BV-vrijstelling voor ploegenarbeid voor meer rechtszekerheid
#ingelicht

Overgangsregime BV-vrijstelling voor ploegenarbeid voor meer rechtszekerheid

Lees meer
Ga direct naar de gevangenis! Ga niet langs start! Worden alle gevangenisstraffen nu ook effectief uitgevoerd?
#ingelicht

Ga direct naar de gevangenis! Ga niet langs start! Worden ...

Lees meer
Wetgevend kader voor de motivering van het ontslag en het kennelijk onredelijk ontslag bij overheidscontractanten
#ingelicht

Wetgevend kader voor de motivering van het ontslag en het ...

Lees meer

Op zoek naar advies rond een bepaald onderwerp?

We begeleiden je naar de juiste persoon of team.