Doorgeven van persoonsgegevens aan de VS na Schrems

Meer artikelen over:Privacy en gegevensbescherming

In de zaak Schrems heeft het Hof van Justitie het Safe Harbour-regime ongeldig verklaard. Er zijn onderhandelingen gaande tussen de Europese Commissie en de Amerikaanse autoriteiten over een oplossing, een ‘Safe Harbour II’. Inmiddels heeft de Artikel 29-Werkgroep, het overlegorgaan van nationale toezichthouders op het gebied van persoonsgegevens, een verklaring uitgegeven over de gevolgen. De werkgroep stelt vast dat het gevolg van de ongeldigverklaring is dat elke doorgifte van persoonsgegevens op grond van Safe Harbour op dit moment onrechtmatig is. De werkgroep wijst er voorts op dat de toezichthouders voornemens zijn om handhavend op te treden indien er eind januari 2016 nog geen alternatief is voor Safe Harbour. Ondernemingen kunnen dus niet achteroverleunen in afwachting van de uitkomst van de onderhandelingen. De toezichthouders gaan tevens in op de alternatieven voor Safe Harbour. Ook de Europese Commissie heeft inmiddels een document gepubliceerd waarin zij haar visie geeft op de situatie.

Alternatieven

Om te beginnen hebben de toezichthouders laten weten dat de mogelijkheid om de door de Europese Commissie vastgestelde modelcontracten te gebruiken, of om binding corporate rules toe te passen, vooralsnog gehandhaafd blijven.

Bedacht moet worden dat deze alternatieven in beginsel aan hetzelfde euvel lijden als Safe Harbour; de Amerikaanse overheid heeft ook bij toepassing van deze alternatieven onbeperkte toegang tot de gegevens. In hun verklaring hebben de toezichthouders daarom aangegeven dat zij in individuele gevallen, bijvoorbeeld naar aanleiding van klachten, hun bevoegdheden kunnen toepassen om betrokkenen te beschermen. Zolang de toepassing van modelcontracten of binding corporate rules niet alsnog onrechtmatig wordt verklaard zouden deze routes echter nog veilig moeten zijn. Het is in dit verband opvallend dat de Europese Commissie in haar document benadrukt dat de nationale toezichthouders gebonden zijn aan de commissiebesluiten over de modelcontracten, en dat de nationale toezichthouders hooguit de rechtmatigheid van die besluiten aan de rechter kunnen voorleggen. De Europese Commissie ziet dus geen ruimte voor de nationale toezichthouders om in gevallen waarin de modelcontracten op juiste wijze worden toegepast, nadere eisen te stellen. Dit strookt op zich met hetgeen het Hof van Justitie heeft overwogen in Schrems.

Eventueel zou (ondubbelzinnige) toestemming aan de betrokkenen gevraagd kunnen worden voor de doorgifte van zijn/haar persoonsgegevens aan de Verenigde Staten. In een beperkt aantal gevallen is doorgifte daarnaast sowieso toegestaan; bijvoorbeeld indien doorgifte noodzakelijk is voor de uitvoering van een overeenkomst met de betrokkene of indien doorgifte noodzakelijk en/of wettelijk verplicht is vanwege een zwaarwegend algemeen belang of een verdediging van een recht.

Maatregelen noodzakelijk

Indien uw organisatie persoonsgegevens doorgeeft aan een organisatie in de VS op grond van het Safe Harbour-regime is het noodzakelijk om deze doorgifte per direct, en in ieder geval vóór eind januari 2016 op een andere manier vorm te geven.

Het is daarnaast ook van belang om na te gaan of door uw organisatie ingeschakelde bewerkers (zoals cloud service providers) aan hun verplichtingen voldoen. U kunt hier als verantwoordelijke op worden aangesproken.

Met de dreiging dat meer klachten over doorgifte van persoonsgegevens naar de VS zullen volgen en het feit dat het College Bescherming Persoonsgegevens vanaf 1 januari 2016 bevoegd is (hoge) boetes op te leggen, is het zaak dat u hier als onderneming bovenop zit.