Menu

Filter op
content
PONT Data&Privacy

0

Eerste boetes opgelegd voor het schenden van de aangescherpte privacyregels

De privacyregels inzake internationale doorgifte zijn aangescherpt op grond van de Schrems II uitspraak van het Europese Hof van Justitie en daaropvolgende Aanbevelingen van de European Data Protection Board (EDPB). In de praktijk blijkt het voor organisaties complex om deze privacyregels te implementeren. Er is echter geen tijd voor organisaties om stil te zitten, aangezien verschillende Europese toezichthouders handhavend hebben opgetreden wegens onrechtmatige internationale doorgifte.

14 oktober 2021

Achtergrond artikelen

Achtergrond artikelen
 

Regels bij internationale doorgifte

Hoofdstuk V van de AVG bepaalt dat ook als persoonsgegevens worden doorgegeven naar landen buiten de Europese Economische Ruimte (EER), deze persoonsgegevens adequaat beschermd moeten blijven. Organisaties moeten voor elke doorgifte een geschikt doorgifte instrument kiezen. Als voor een land geen adequaatheidsbesluit geldt dan zijn verder passende waarborgen nodig, zoals bijvoorbeeld het implementeren van Binding Corporate Rules of het sluiten van Standard Contractual Clauses (SCCs) met de gegevensimporteur.(1) In de praktijk wordt de doorgifte vaak gebaseerd op de SCCs. Hoewel de SSCs niet ongeldig zijn verklaard in de Schrems II uitspraak zijn deze inmiddels echter wel door de Europese Commissie vervangen. Vanaf 27 september jl. is het gebruik van deze nieuwe versie van de SSCs verplicht voor nieuwe doorgiften. Voor bestaande contracten geldt dat de oude SCCs voor 27 december 2022 vervangen moeten worden door de nieuwe standaard. Daarnaast zijn organisaties verplicht om bij doorgiftes, ook als gebruik wordt gemaakt van de nieuwe SCCs, per geval te verifiëren of de persoonsgegevens adequaat worden beschermd tijdens en na de doorgifte. Dit gebeurt in de praktijk veelal door een Transfer Impact Assessment (TIA) uit te voeren. De TIA heeft tot doel vast te stellen in hoeverre de wetten en praktijken van het land buiten de EER een beschermingsniveau gelijkwaardig aan de AVG bieden. Indien de internationale doorgifte privacy risico’s met zich meebrengt, dan wordt er middels dezelfde TIA vastgesteld welke technische, organisatorische en / of contractuele maatregelen er moeten worden genomen en of deze maatregelen afdoende zijn.

Nog veel onduidelijk

Ondanks het feit dat de Aanbevelingen van de EDPB en de nieuwe SCCs handvatten bieden voor het uitvoeren van een TIA, hebben organisaties nog veel vragen over hoe de aangescherpte privacyregels moeten worden nageleefd. In het bijzonder over hoe een TIA moet worden uitgevoerd. Het is bijvoorbeeld niet altijd duidelijk hoe ver de AVG-verplichtingen van een gegevensimporteur strekken, aangezien de gegevensimporteur gevestigd is buiten de EER en niet (altijd) binnen de werkingssfeer van de AVG valt. Ook is het voor organisaties lastig om te bepalen wanneer aanvullende maatregelen noodzakelijk zijn en of de voorgestelde aanvullende maatregelen voldoende zijn of juist niet. De Europese Commissie heeft in een vergadering van de Vereniging van Privacyrecht advocaten aangegeven om binnenkort een verhelderende Q&A te publiceren.

Handhaving door Europese toezichthouders

Ondanks voornoemde onduidelijkheid over de huidige regels omtrent doorgiftes, zijn er nu twee boetes opgelegd wegens een schending van de privacyregels inzake internationale doorgifte. Zo heeft de Noorse toezichthouder op 27 september 2021 een boete van EUR 496.000 opgelegd aan Ferde AS op grond van een schending van artikel 44 AVG.(2) Het Noorse tolbedrijf maakte gebruik van een verwerker voor de analyse van foto’s van nummerplaten die niet automatisch konden worden gelezen. Werknemers van de verwerker analyseerden de foto’s en een deel van deze werknemers bevond zich in China. Volgens de toezichthouder heeft Ferde AS ten onrechte nagelaten om een verwerkersovereenkomst te sluiten en een TIA uit te voeren in het kader van de internationale doorgifte. De Italiaanse toezichthouder heeft op 29 september 2021 een boetebesluit gepubliceerd waarin de Luigi Bocconi Universiteit een boete van EUR 200.000 krijgt opgelegd wegens overtreding van de verplichtingen van Hoofdstuk V van de AVG. De universiteit maakte gebruik van een Amerikaanse online proctoring-app voor het observeren van studenten tijdens het op afstand afnemen van examens. Daarbij werden op grond van de SCCs persoonsgegevens doorgegeven naar een verwerker en sub-verwerker in de Verenigde Staten. De toezichthouder is van oordeel dat de Universiteit de impact van deze doorgifte ten onrechte niet geanalyseerd en een TIA had moeten uitvoeren. Interessant is dat de Italiaanse toezichthouder bij de berekening van het boetebedrag rekening houdt met de complexiteit rondom het implementeren van de vereisten omtrent doorgifte naar landen buiten de EER. Ook heeft de toezichthouder benadrukt dat het juridische kader omtrent internationale doorgifte nog in ontwikkeling is. Dit is overigens niet de eerste keer dat handhavend is opgetreden. Eerder dit jaar op 11 maart 2021 heeft de Spaanse toezichthouder Vodafone España beboet voor in totaal EUR 8.150.000.(3) Een deel van deze boete is opgelegd wegens het niet naleven van de privacyregels inzake internationale doorgifte. Vodafone maakte in het kader van direct marketing gebruik van een verwerker gevestigd in Peru, maar had geen passende maatregelen getroffen zoals vereist onder hoofdstuk V van de AVG.

Hoe nu verder?

Zoals erkend door de Italiaanse toezichthouder is het complex om te voldoen aan de aangescherpte privacyregels, mede doordat het juridische kader nog niet volledig is uitgekristalliseerd. De recente boetebesluiten laten echter zien dat Europese toezichthouders desondanks niet schromen om handhavend op te tegen het niet naleven van de privacyregels inzake internationale doorgifte. Organisaties kunnen daarom maar beter niet stilzitten en dienen TIA’s te gaan implementeren in hun dagelijkse processen. Voetnoten (1) https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en (2) https://edpb.europa.eu/news/national-news/2021/norwegian-data-protection-authority-ferde-fined_en (3) https://edpb.europa.eu/news/national-news/2021/spanish-dpa-fines-vodafone-spain-more-8-million-euros_en

Artikel delen

Reacties

Laat een reactie achter

U moet ingelogd zijn om een reactie te plaatsen.