De European Data Protection Board (EDPB) heeft een roadmap opgesteld voor internationale gegevensuitwisseling en compliance met het Europese beschermingsniveau van persoonsgegevens. Handvatten waren hard nodig, aangezien het Hof van Justitie EU in de Scherms I en II uitspraken achtereenvolgens het Safe Harbour-programma en het Privacy Shield ongeldig verklaarde.
Schrems I en II
Weet u het nog? In de Schrems I- zaak tussen de Oostenrijkse privacy activist Maximilian Schrems en de Ierse Data Protection Commissioner oordeelde het Hof van Justitie van de Europese Unie dat de afspraken tussen de EU en de VS middels het Safe Harbour-programma geen adequate bescherming boden. Daarop werd het Safe Harbour-programma ongeldig verklaard.
Om gegevensuitwisseling tussen de VS en de EU toch mogelijk te maken werd vervolgens in allerijl een ander beschermingsmechanisme opgetuigd: het Privacy-Shield. In de recentere (juli 2020) uitspraak Schrems II is ook de geldigheid van het Privacy Shield onderuit gehaald.
Wel liet het Hof de geldigheid van de Standard Contractual Clauses (SCC) in takt. Maar niet zonder daar enige kritische kanttekeningen te plaatsen. Naar aanleiding van het oordeel van het Hof over de SCC heeft de European Data Protection Board (EDPB) zeer recentelijk een roadmap opgesteld ten aanzien van compliance met het Europese beschermingsniveau van persoonsgegevens.
De regimes waaronder gegevensuitwisseling buiten de EER mogelijk is
Even kort ter opfrissing van het geheugen: er zijn/waren vier mogelijke regimes waaronder gegevens mogen worden gedeeld met entiteiten buiten de Europese Economische ruimte. Dit zijn/waren:
1. het adequaatheidsbesluit;
2. Binding Corporate Rules (BCR);
3. het Privacy Shield; en
4. Standard Contractual Clauses (SCC).
Ad 1. adequaatheidsbesluit. Gegevensuitwisseling onder het adequaatheidsbesluit is het meest eenvoudig. De landen, of sectoren in deze landen, die onder dit besluit vallen hebben een passend beschermingsniveau voor de verwerking van persoonsgegevens. Met (de sectoren binnen) deze landen kunnen dus gegevens worden uitgewisseld zonder aanvullende afspraken over het beschermingsniveau. Tot dusver slechts een beperkt aantal landen/sectoren aangemerkt als beschikkend over een passend beschermingsniveau. Een aantal grote gegevensverwerkende landen (waaronder de Verenigde Staten) staan echter niet op deze lijst.
Ad 2. binding corporate rules. Ook kunnen gegevens worden uitgewisseld onder gebruikmaking van de Binding Corporate Rules. Beperkingen bij deze optie zijn dat de gegevensuitwisseling plaats moet vinden binnen een bepaald concern. Bovendien moeten de BCR worden goedgekeurd door de toezichthoudende autoriteit. Dit is meestal een langdurig proces.
Ad. 3. Privacy shield. Het Privacy Shield is sinds Schrems II – zoals gezegd – geen optie meer.
Ad 4. Standard Contractual Clauses (SCC). Voor gegevensuitwisseling met de VS (buiten een concernrelatie) blijft dus alleen de optie van de Standard Contractual Clauses over. Over deze – in veel situaties – laatste strohalm deed het Europese Hof een interessante uitspraak in Schrems II.
Standard Contractual Clauses: een roadmap van de EDPB
De Standard Contractual Clauses moeten ongewijzigd gebruikt worden en bevatten een aantal bepalingen die moeten zorgen voor de bescherming van persoonsgegevens. In de Schrems II-uitspraak gaf het Hof aan dat data exporterende partijen bij gebruik van SCC mogelijk aanvullende maatregelen moeten nemen om ervoor te zorgen dat de bescherming van de doorgegeven persoonsgegevens minimaal het niveau hebben als in de EU/EER. Of en in hoeverre aanvullende maatregelen nodig zijn moet door de data exporteur van geval tot geval beoordeeld worden.
Uiteraard geeft het Hof geen nadere toelichting op deze mogelijk te nemen maatregelen.
Gelukkig is daar de EDPB. Op 10 november 2020 publiceerde de EDPB de door haar op eigen initiatief opgestelde roadmap die kan worden gebruikt bij de analyse over en de implementatie van de maatregelen mogelijk nodig zijn om de bescherming van persoonsgegevens te waarborgen.
Voor iedere organisatie die werkt met SCC een lezenswaardig stuk.
Het document is nog in de consultatiefase (en dus niet definitief) en is hier te vinden.
Neem contact op