Deze zomer zijn er weer wat relevante ontwikkelingen geweest op het gebied van internationale doorgiften van persoonsgegevens. In een eerdere bijdrage besprak ik in dat kader reeds de finale nieuwe modelcontracten die de Europese Commissie (EC) op 4 juni 2021 heeft gepubliceerd. Maar er waren meer ontwikkelingen. Zo heeft de European Data Protection Board (EDPB) op 18 juni 2021 haar definitieve aanbevelingen gepubliceerd over de doorgiften van persoonsgegevens na Schrems II. En tot slot publiceerde de EC op 28 juni 2021 ook een adequaatheidsbesluit ten aanzien van het Verenigd Koningrijk. In deze bijdrage ga ik kort daarom in op definitieve aanbevelingen van de EDPB en het adequaatheidsbesluit ten aanzien van het Verenigd Koningrijk. Voor een bespreking van de eerder verschenen modelcontracten verwijs ik naar mijn eerdere bijdrage.
Eerder publiceerde de EDPB concept-aanbevelingen over de doorgiften van persoonsgegevens na Schrems II. Die concept-aanbevelingen besprak ik in een eerdere bijdrage. Veel van de aanbevelingen blijven ongewijzigd ten opzichte van de concept-aanbevelingen, maar er zijn enkele opmerkelijke verschillen, die ik hier kort wil aanstippen:
De beoordeling of de bescherming van de doorgegeven persoonsgegevens in grote lijnen overeenkomt (‘essentialy equivalent’ is) met het beschermingsniveau binnen de EER moet op basis van de definitieve aanbevelingen gebeuren zowel na als tijdens de doorgifte van de persoonsgegevens.(1)
De definitieve aanbevelingen leggen sterker de nadruk op het feit dat bij de uitvoering van de overdrachtseffectbeoordeling naast de relevante wetgeving ook de in het derde land geldende praktijken moeten worden beoordeeld, ook wanneer die wetgeving in het derde land formeel aan de EU-normen voldoet. Indien er in het derde land onverenigbare praktijken bestaan (ongeacht de wettelijke regeling in dat derde land), zullen aanvullende maatregelen moeten worden genomen.(2)
Indien uit de overdrachtseffectbeoordeling van het recht van het derde land blijkt dat de relevante wetgeving in dat land onverenigbaar is of kan zijn met de EU-normen, kunnen organisaties besluiten door te gaan met de doorgifte zonder aanvullende maatregelen te hoeven treffen, indien zij van mening zijn dat de relevante wetgeving in de praktijk niet zal worden toegepast op de specifieke doorgifte en/of de betreffende gegevensimporteur op basis van de ervaringen van die gegevensimporteur. Organisaties zullen in dergelijke gevallen gedetailleerd moeten aantonen en documenteren dat sprake is van een dergelijke situatie.(3) Hier kan gebruik worden gemaakt van de lijst van mogelijke bronnen voor de beoordeling van een derde land, opgenomen in bijlage 3 van de definitieve aanbevelingen.
In de ontwerp-aanbevelingen leek te worden geoordeeld dat subjectieve factoren, zoals de waarschijnlijkheid dat de betrokkene schade wordt berokkend, niet in aanmerking konden worden genomen bij de uitvoering van een overdrachtseffectbeoordeling. Onder de definitieve aanbevelingen kunnen gegevensexporteurs bij het uitvoeren van een overdrachtseffectbeoordeling echter wel rekening houden met "gedocumenteerde praktische ervaring van de gegevensimporteur met relevante eerdere gevallen van verzoeken om toegang die van overheidsinstanties in het derde land zijn ontvangen". Dit laat ruimte voor het meewegen van enige subjectieve factoren, echter wel met beperkingen:
De gegevensexporteur kan de ervaring van de gegevensimporteur alleen als aanvullende informatiebron gebruiken, wanneer de wetgeving in het derde land het niet belet dergelijke informatie openbaar te maken. Dit lijkt sommige landen uit te sluiten. In de VS is zogenaamde "tipping off" namelijk verboden.
De relevante en gedocumenteerde ervaring van de gegevensimporteur moet worden bevestigd door relevante, objectieve, betrouwbare, verifieerbare en openbaar beschikbare of anderszins toegankelijke informatie over de praktische toepassing van de desbetreffende wetgeving.
Het feit dat de gegevensimporteur niet eerder verzoeken heeft ontvangen, kan op zichzelf niet worden beschouwd als een doorslaggevende factor om een gegevensoverdracht zonder aanvullende maatregelen doorgang te laten vinden. Deze informatie kan alleen in aanmerking worden genomen samen met andere soorten informatie die als onderdeel van de totale overdrachtseffectbeoordeling zijn verkregen.
De definitieve aanbevelingen bevatten ook aanvullende richtsnoeren over de wijze waarop de sterkte van encryptie-algoritmen moet worden beoordeeld(4) en over de wijze waarop cryptografische algoritmen kunnen worden gebruikt om persoonsgegevens te pseudonimiseren (zie voetnoot 83 van de aanbevelingen).(5)
Zoals bekent heeft het VK zich door de Brexit op 31 januari 2020 uit de EU teruggetrokken. Op basis van de terugtrekkingsovereenkomst die zowel door de EU als door het VK is geratificeerd, eindigde op 31 december 2020 een overgangsperiode waarin het EU-recht in het VK van toepassing bleef, hetgeen ook van invloed was op de AVG en afgeleide wetgeving. Echter, vanaf 1 januari 2021 vielen doorgiften van persoonsgegevens naar het VK onder de handels- en samenwerkingsovereenkomst tussen de EU en het VK. De handels- en samenwerkingsovereenkomst voorzag in een overbruggingsclausule die de volledige continuïteit van de gegevensstromen tussen de EU en het VK waarborgde, zonder dat organisaties een doorgifte-instrument uit de AVG hoefden in te voeren. Deze oplossing gold echter slechts voor een periode van maximaal zes maanden. Na het verlopen van deze termijn zou het VK wat betreft gegevensbeschermingsregels door de EU gezien worden als derde land.
Twee dagen voordat de overbruggingsclausule zou vervallen, op 28 juni 2021, heeft de EC een adequaatheidsbesluit in het kader van de AVG vastgesteld.(6) Dit besluit betekent dat organisaties in de EU zonder beperkingen persoonsgegevens kunnen blijven doorgeven aan organisaties in het Verenigd Koninkrijk, zónder dat daar aanvullende waarborgen voor nodig zijn (zoals het sluiten van de hierboven besproken Modelcontracten).
Na zorgvuldig onderzoek komt de EC tot de conclusie dat het gegevensbeschermingssysteem van het Verenigd Koningrijk gebaseerd is op dezelfde regels die van toepassing waren toen het Verenigd Koningrijk nog een lidstaat van de EU was. Het Verenigd Koningrijk heeft de beginselen, rechten en verplichtingen van de AVG en de Rechtshandhavingsrichtlijn volledig in zijn (post-Brexit) rechtsstelsel opgenomen. Verder overweegt de EC dat wat betreft de toegang tot persoonsgegevens door overheidsinstanties in het Verenigd Koningrijk het Britse systeem voorziet in sterke waarborgen. Met name voor het verzamelen van gegevens door inlichtingendiensten is in beginsel voorafgaande toestemming van een onafhankelijke rechterlijke instantie vereist. Daarnaast kan eenieder die meent het slachtoffer te zijn van onrechtmatige observatie een zaak aanhangig maken bij het Investigatory Powers Tribunal. Ook overweegt de EC dat het Verenigd Koninkrijk valt ook onder de jurisdictie van het Europees Hof voor de Rechten van de Mens en zich dient te houden aan het Europees Verdrag tot bescherming van de rechten van de mens en aan het Verdrag van de Raad van Europa tot bescherming van personen met betrekking tot de geautomatiseerde verwerking van persoonsgegevens. Deze internationale verdragen vormen een essentieel onderdeel van het rechtskader dat in het adequaatheidsbesluit is beoordeeld en dus adequaat wordt bevonden door de EC.
Opmerkelijk in het adequaatheidsbesluit is dat er voor het eerst een zogenoemde "sunset-clausule" in staat. Dit betekent dat het besluit vier jaar na inwerkingtreding automatisch komt te vervallen. Na die periode kan het besluit echter worden verlengd, maar alleen als het Verenigd Koninkrijk (nog steeds) een passend niveau van gegevensbescherming blijft waarborgen. Tijdens deze vier jaar zal de EC de juridische situatie in het Verenigd Koninkrijk blijven volgen en kan zij bovendien op elk moment ingrijpen als het Verenigd Koninkrijk zou besluiten af te wijken van het huidige beschermingsniveau.
Veel bedrijven zullen hun handen vol hebben aan het vervangen van hun ‘oude’ modelcontracten door de set nieuwe Modelcontracten, wat voor het eind van 2022 zou moeten worden voltooid (zoals besproken in mijn eerdere bijdrage). Dit kost logischerwijs veel tijd, al helemaal als je bedenkt dat er ook overdrachtseffectbeoordelingen gemaakt zullen moeten worden in lijn met de hierboven besproken finale EDPB Aanbevelingen. Gelukkig blijft deze tijd de organisaties die persoonsgegevens doorgeven aan het Verenigd Koningrijk (voorlopig) bespaard, immers door het adequaatheidsbesluit kunnen zij zonder beperkingen of aanvullende acties persoonsgegevens blijven doorgeven aan organisaties in het Verenigd Koninkrijk.
Voetnoten
(1) o.a. randnummer 2 van de definitieve aanbevelingen.
(2) Randnummer 30 van de definitieve aanbevelingen.
(3) Hierbij wordt verwezen naar het informatiekader op pagina 4 van de aanbevelingen.
(4) Zie de voetnoten 80 en 81 van de definitieve aanbevelingen.
(5) Zie voetnoot 83 van de definitieve aanbevelingen.
(6) Richtlijn betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en betreffende het vrije verkeer van die gegevens (Rechtshandhavingsrichtlijn).
