De Schrems II uitspraak van het Hof van Justitie van de Europese Unie (Hof) deed de privacywereld op zijn grondvesten schudden.(1) Immers, op 16 juli 2020 werd het Privacy Shield ongeldig verklaard.(2) Daarnaast werden de regels voor doorgiften van persoonsgegevens op basis van modelcontracten en ‘binding corporate rules’ door het Hof aangescherpt. Daags na de uitspraak publiceerde de European Data Protection Board (EDBP) een document met frequently asked questions en een mededeling.(3)(4) Op enkele berichten van nationale toezichthouders na, was dit lange tijd de enige (weinig praktische) ‘guidance’ die beschikbaar was na de uitspraak. Tot deze week. De EDPB publiceerde (in concept) haar langverwachte aanbevelingen over de doorgiften van persoonsgegevens na Schrems II. Ook publiceerde de Europese Commissie (EC) nieuwe modelcontractbepalingen (ook in concept). In deze bijdrage gaan wij kort in op de verschenen documenten.
Coauteur: Menno Borsboom
De EDPB heeft twee sets van aanbevelingen gepubliceerd in een poging meer duidelijkheid te verschaffen en richtsnoeren te geven voor het gebruik van mechanismen voor de doorgifte van persoonsgegevens aan derde landen.
De eerste set aanbevelingen zien op de te maken beoordeling door de gegevensexporteur en op mogelijke aanvullende maatregelen.(5)
De tweede set aanbevelingen zien op het niveau van inmenging door overheden in derde landen.(6)
De eerste set aanbevelingen staat momenteel open voor consultatie. Dit betekent dat partijen nog tot 30 november 2020 inspraak kunnen leveren op het document. Pas na dit traject wordt de definitieve versie gepubliceerd. Hoewel de aanbevelingen dus nog in conceptvorm zijn, geven zij alvast een nuttig inzicht in de maatregelen die partijen kunnen nemen om persoonsgegevens rechtsgeldig te blijven doorgeven aan ontvangers buiten de Europese Economische Ruimte (EER). De tweede set aanbevelingen is wel in finale vorm.
Set 1: Aanbevelingen voorgenomen doorgifte en aanvullende maatregelen
De eerste set aanbevelingen moeten gegevensexporteurs helpen bij de complexe taak om het niveau van gegevensbescherming van derden landen te beoordelen en bij het - waar nodig - nemen van aanvullende maatregelen. De aanbevelingen beschrijven de te volgen stappen, de te gebruiken informatiebronnen en beschrijven enkele concrete voorbeelden van aanvullende maatregelen die kunnen worden genomen. De aanbevelingen zijn opgeknipt in de volgende zes stappen.
Stap 1 – in kaart brengen van gegevensdoorgiften
Als eerste stap adviseert de EDPB om alle doorgiften van persoonsgegevens in kaart te brengen, bijvoorbeeld aan de hand van het verwerkingsregister of de privacyverklaringen.(7)(8) De EDPB wijst erop dat ook moet worden gekeken naar onward transfers naar (of vanuit) derde landen. Tevens wijst de EDPB erop dat toegang op afstand vanuit een derde land en/of opslag in een cloud (met servers buiten de EER), ook worden beschouwd als een overdracht.(9) In lijn met het dataminimalisatie-beginsel, geeft de EDPB aan dat moet worden bekeken of de in kaart gebrachte doorgiften adequaat en relevant zijn en zich beperken tot wat nodig is voor de doeleinden waarvoor de persoonsgegevens worden doorgegeven.
Stap 2 – beoordelen geschiktheid van het gebruikte doorgifte-mechanisme
Vervolgens dient de gegevensexporteur te onderzoeken of er een adequaatheidsbesluit geldt, op grond waarvan doorgifte geoorloofd is (bijvoorbeeld indien de doorgifte plaatsvindt naar een van de landen op de zogenoemde white list.(10) Indien dat het geval is, hoeven geen verdere stappen te worden genomen. Wel moet constant worden bekeken of het adequaatheidsbesluit niet wordt ingetrokken of ongeldig wordt verklaard.
Als het land in kwestie niet voorkomt op de white list, dient de gegevensexporteur te kiezen voor een ander mechanisme voor de doorgifte van persoonsgegevens, zoals modelcontracten, binding corporate rules, een code of conduct of certificeringen.(11) Slechts in uitzonderlijke gevallen kan een beroep worden gedaan op de mogelijkheden uit artikel 49 AVG (en uitsluitend in geval van incidentele overdrachten).
Stap 3 – beoordeling wetgeving derde land
Op het moment dat de doorgifte van persoonsgegevens plaatsvindt op basis van een mechanisme anders dan een adequaatheidsbesluit, dient de gegevensexporteur te onderzoeken of er in het derde land wet- of regelgeving bestaat die afbreuk doet aan het niveau van gegevensbescherming onder de AVG. De EDPB hecht daarbij veel belang aan (mogelijke) toegang van overheidsinstanties tot de overgedragen data. Voor de beoordelingscriteria wordt verwezen naar de andere set aanbevelingen van de EDPB (die hieronder worden besproken).(12) Tevens beschrijft de EDPB in bijlage 3 informatie die, naast de informatie die de dataontvanger verstrekt, kan worden gebruikt om deze beoordeling te maken. Ook benadrukt de EDPB dat de beoordeling afhankelijk is van (onder andere) de partijen die een rol spelen bij de doorgifte, de doeleinden van de doorgifte, de sector waarin de doorgifte plaatsvindt, de categorieën persoonsgegevens en het bestaan van mogelijkheden voor onward transfers. Tot slot benadrukt de EDPB dat deze beoordeling met de nodige zorgvuldigheid dient te worden uitgevoerd en grondig moet worden gedocumenteerd.
Stap 4 – aanvullende beschermingsmaatregelen
Als uit stap 3 blijkt dat de wetgeving van het derde land van invloed is op de doeltreffendheid van het gekozen mechanisme voor doorgifte, is een vierde stap nodig. Deze vierde stap bestaat uit het identificeren en vaststellen van aanvullende maatregelen die nodig zijn om de persoonsgegevens een gelijkwaardig beschermingsniveau te bieden als onder de AVG. Bijlage 2 van de aanbevelingen bevat een lijst met concrete voorbeelden van aanvullende maatregelen, zoals het gebruik van encryptie en/of pseudonimisering. De EDPB maakt onderscheid tussen contractuele, technische en organisatorische maatregelen, die, waar nodig, kunnen worden gecombineerd. Om te beoordelen welke maatregelen effectief zijn, moet volgens de EDPB onder andere worden gekeken naar het formaat waarin de persoonsgegevens worden verstuurd, de aard van de persoonsgegevens, de duur en complexiteit van de doorgifte en de partijen die betrokken zijn bij de doorgifte. Ook deze stap dient grondig gedocumenteerd te worden.
Stap 5 – procedurele stappen
De vijfde stap is het nemen van eventuele formele stappen die nodig zijn om het gekozen doorgiftemechanisme te kunnen gebruiken. Het gaat hierbij om de formele procedurele stappen uit artikel 46 AVG, zoals het verkrijgen van voorafgaande goedkeuring van de toezichthouder.
Stap 6 – evaluatie en herbeoordeling
Na het doorlopen van de eerste vijf stappen, kan de doorgifte van persoonsgegevens plaatsvinden. De zesde stap bestaat eruit dat het beschermingsniveau van de doorgegeven persoonsgegevens opnieuw wordt geëvalueerd. Op continue basis moet worden nagagaan of er zich ontwikkelingen hebben voorgedaan (of zich naar verwachting zullen voordoen) die van invloed kunnen zijn op de eerder gemaakte analyse.
Set 2: Aanbevelingen voor de beoordeling van het niveau van inmenging door overheden in derde landen
Deze tweede set aanbevelingen van de EDPB zijn in eerste instantie gepubliceerd naar aanleiding van de zaak Schrems I.(13) De huidige actualisering is gemaakt naar aanleiding van Schrems II. Het doel van deze tweede set aanbevelingen is het aanreiken van richtsnoeren om na te gaan of toezichtsmaatregelen die de toegang tot persoonsgegevens door overheidsinstanties in een derde land mogelijk maken, al dan niet als een gerechtvaardigde inmenging kunnen worden beschouwd in het licht van het Handvest van de grondrechten van de Europese Unie (het Handvest).(14)
Op grond van een analyse van de huidige jurisprudentie is de EDPB van mening dat een dergelijke inmenging slechts is te rechtvaardigen aan de hand van de onderstaande vier ‘Europese Essentiële Garanties’.
Garantie A - duidelijke, precieze en toegankelijke regels
Het ingrijpen van de overheid in de vrijheden van de burgers dient een rechtsgrondslag hebben in de wet van het derde land. Deze rechtsgrondslag moet duidelijke en precieze regels bevatten voor het toepassingsgebied en dient minimumwaarborgen te bevatten.
Garantie B - noodzakelijkheid en evenredigheid van de doelstellingen
Overeenkomstig het Handvest moet elke beperking van de uitoefening van de door het Handvest erkende rechten en vrijheden de essentie van die rechten en vrijheden eerbiedigen.(15) Daarnaast kunnen, onder voorbehoud van het evenredigheidsbeginsel, aan deze rechten en vrijheden alleen beperkingen worden gesteld indien zij noodzakelijk zijn en daadwerkelijk beantwoorden aan door de EU erkende doelstellingen van algemeen belang of aan de noodzaak om de rechten en vrijheden van anderen te beschermen.(16)
Garantie C - onafhankelijk toezichtmechanisme
Elke inmenging in het recht op privacy en gegevensbescherming moet onderworpen zijn aan een doeltreffend, onafhankelijk en onpartijdig toezichtsysteem dat door een rechter of door een ander onafhankelijk orgaan (bv. een administratieve autoriteit of een parlementair orgaan) moet worden ingesteld.
Garantie D – individuele effectieve remedies
De laatste Europese Essentiële Garantie heeft betrekking op de verhaalsrechten van de betrokkene. De betrokkene moet over een doeltreffend rechtsmiddel beschikken om aan zijn rechten te voldoen wanneer hij van mening is dat deze niet worden of zijn geëerbiedigd., Wanneer de wetgeving een persoon bijvoorbeeld niet de mogelijkheid biedt rechtsmiddelen in te stellen om toegang te krijgen tot zijn of haar persoonsgegevens, dan is geen sprake van een effectieve rechterlijke bescherming.(17)
Naast de twee sets met aanbevelingen van de EDPB, heeft de EC op 12 november 2020 een ontwerp van een uitvoeringsbesluit over modelcontractbepalingen gepubliceerd, samen met een concept van nieuwe modelcontractbepalingen.(18) Ook deze stukken liggen momenteel voor ter consultatie.
In de nieuwe Modelcontracten worden vier situaties onderscheiden. Voor elke situatie is een afzonderlijk modelcontract opgesteld:
doorgiften van verwerkingsverantwoordelijke naar verwerkingsverantwoordelijke;
doorgiften van verwerkingsverantwoordelijke naar verwerker;
doorgiften van verwerker naar verwerker; en
doorgiften van verwerker naar verwerkingsverantwoordelijke.
Voor de praktijk vormen met name de laatste twee Modelcontracten een welkome aanvulling. De huidige versies van de modelcontracten kunnen immers niet rechtstreeks worden gebruikt door verwerkers die persoonsgegevens willen doorgeven aan derde landen (tenzij zij hier bijvoorbeeld een volmacht voor hebben van de verwerkingsverantwoordelijke).
De andere twee Modelcontracten (voor gebruik door verwerkingsverantwoordelijken), zijn op een aantal belangrijke onderdelen aangepast, mede naar aanleiding van Schrems II:
er is een contractuele verplichting toegevoegd voor de partijen om de (door het Hof in Schrems II beschreven) beoordeling van de wetgeving van het derde land uit te voeren en te documenteren. Vervolgens dienen de partijen vast te stellen of het Modelcontract inderdaad een gelijkwaardig beschermingsniveau kan garanderen;(19)
er is een verwijzing toegevoegd naar de stappen die moeten worden genomen indien de modelcontracten geen gelijkwaardig beschermingsniveau bieden in het licht van de wetgeving van het derde land;(20) en
er gelden aanvullende transparantieverplichtingen voor de gegevensimporteur in het geval van verzoeken om toegang van de overheid, met inbegrip van een verplichting om de gegevensexporteur van dergelijke verzoeken in kennis te stellen of, wanneer het plaatselijke recht dit verbiedt, alles in het werk te stellen om een ontheffing van dit verbod te verkrijgen.(21)
Gezien de timing van de publicatie van de Modelcontracten is het onmogelijk het ontwerp van deze Modelcontracten te lezen zonder te denken aan het stappenplan uit de aanbevelingen van de EDPB zoals hierboven beschreven. Er lijkt wel enige onenigheid te bestaan over de aanpak. De EC als de EDPB nemen weliswaar beide een lijst met factoren op, waarmee de gegevensimporteurs rekening moeten houden om te bepalen of de lokale wetgeving hen toestaat hun verplichtingen in het kader van de Modelcontracten na te komen. Maar deze lijsten zijn niet dezelfde. De EC lijkt de gegevensimporteurs toe te staan de waarschijnlijkheid dat de overheid toegang kan hebben tot de overgedragen gegevens te beoordelen door een evaluatie te maken van relevante praktijkervaring waaruit blijkt dat de gegevensimporteur al dan niet eerder een verzoek om openbaarmaking van overheidsinstanties heeft ontvangen voor het soort gegevens dat hij heeft doorgegeven.(22) De EDPB heeft de gegevensimporteurs daarentegen gewaarschuwd voor subjectieve overwegingen, waaronder de waarschijnlijkheid dat overheidsinstanties toegang tot uw gegevens krijgen op een wijze die niet in overeenstemming is met de EU-normen.(23) In beide documenten wordt echter opgemerkt dat de evaluatie alle wetten moet omvatten die "van toepassing" zijn op de gegevensimporteur.(24)
De nieuwe modelcontracten staan tot 10 december 2020 open voor consultatie. Over de definitieve modelcontracten zal naar verwachting begin 2021 worden beslist.
Na de uitspraak in de zaak Schrems II liet het Hof de privacywereld gedesillusioneerd achter. Duidelijke, praktische richtlijnen over de (voortzetting van) internationale doorgiften van persoonsgegevens ontbraken. Deze week kwam daar verandering in, met de nieuwe (concept) aanbevelingen van de EDPB. Met het doorlopen van zes praktische stappen, kunnen doorgiften van persoonsgegevens weer in lijn worden gebracht met de AVG. Bovendien gaan de aanbevelingen gepaard met een lijst concrete ‘aanvullende maatregelen’ die partijen kunnen nemen, in aanvulling op het gebruik van (bijvoorbeeld) modelcontracten. Daarnaast kunnen partijen, bij het maken van de analyse van het beschermingsniveau in het derde land, de door de EDPB besproken ‘Europese Essentiële Garanties’ in acht nemen. Tot slot heeft ook de EC niet stil gezeten, en ligt een nieuwe set (concept) modelcontracten voor ter consultatie. Voor nu is het afwachten wanneer de definitieve versies van de documenten worden gepubliceerd en of de inhoud daarvan wezenlijk zal overeenkomen met de huidige concepten. Wij zullen dit nauwlettend in de gaten houden.
(1) https://eur-lex.europa.eu/legal-content/NL/TXT/?uri=ecli:ECLI:EU:C:2020:559
(2) https://www.privacyshield.gov/welcome
(3) https://edpb.europa.eu/our-work-tools/our-documents/ohrajn/frequently-asked-questions-judgment-court-justice-european-union_nl
(4) https://edpb.europa.eu/news/news/2020/statement-court-justice-european-union-judgment-case-c-31118-data-protection_nl
(5) https://edpb.europa.eu/our-work-tools/public-consultations-art-704/2020/recommendations-012020-measures-supplement-transfer_nl
(6) https://edpb.europa.eu/our-work-tools/our-documents/recommendations/edpb-recommendations-022020-european-essential_nl
(7) Artikel 30 AVG
(8) Artikel 14 en 15 AVG
(9) Zie vraag 11 van de frequently asked questions van de EDPB
(10) https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en
(11) Artikel 46 AVG
(12) https://edpb.europa.eu/our-work-tools/our-documents/recommendations/edpb-recommendations-022020-european-essential_nl
(13) Hof van Justitie van de Europese Unie, 5 oktober 2015, ECLI:EU:C:2015:650 (Schrems I)
(14) In het bijzonder wordt verwezen naar artikel 7 en 8 van het Handvest
(15) Artikel 52, lid 1, eerste zin, van het Handvest
(16) Artikel 52, lid 1, tweede zin, van het Handvest
(17) Zie hiervoor o.a. rechtsoverweging 95 van Schrems I
(18) https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/12741-Commission-Implementing-Decision-on-standard-contractual-clauses-for-the-transfer-of-personal-data-to-third-countries
(19) Clause 2 van de voorgestelde Modelcontracten
(20) Clause 2 onder f van de voorgestelde Modelcontracten
(21) Clause 2 onder f van de voorgestelde Modelcontracten
(22) Clausule 2 onder b van de voorgestelde Modelcontracten
(23) Randnummer 42 van de EDPB aanbevelingen
(24) Clausule 2 onder a van de voorgestelde Modelcontracten en randnummer 28 en verder van de EDPB aanbevelingen
Meer artikelen van Loyens & Loeff