Op 6 oktober 2015 heeft het Hof van Justitie van de EU geoordeeld dat de Safe Harbor beschikking tussen de EU en de VS ongeldig is. Dat betekent dat iedere doorgifte van persoonsgegevens vanuit de EU naar de VS die is gebaseerd op de Safe Harbor voorwaarden, onrechtmatig is. Persoonsgegevens blijken in de VS niet passend te worden beschermd. Dat is wat menigeen al vermoedde na de onthullingen van Edward Snowden, maar nu is het in steen gebeiteld.

Doorgifte persoonsgegevens naar VS op basis van Safe Harbour onrechtmatig

De Privacy Richtlijn bepaalt dat doorgifte van persoonsgegevens naar een land buiten de EU slechts is toegestaan, wanneer het ontvangende land een passend beschermingsniveau biedt.  Het beschermingsniveau in de VS werd niet passend geacht. Om dataverkeer toch mogelijk te maken, hebben de EU en de VS in 2000 Safe Harbor  voorwaarden opgesteld waaronder persoonsgegevens van EU ingezetenen toch naar de VS doorgegeven mochten worden. Die voorwaarden zijn volgens het Hof van Justitie ongeldig omdat zij in de praktijk geen recht doen aan het fundamentele recht op privacy. De overheidsinstanties en inlichtingendiensten in de VS zijn namelijk niet gebonden aan de Safe Harbor beschikking en hebben in de VS een wettelijk recht op toegang tot de persoonsgegevens.

Klacht student Schrems tegen Facebook

Aanleiding van deze zaak was een klacht van de Oostenrijkse student Maximillian Schrems tegen Facebook Ireland bij de Ierse privacy waakhond. Schrems stelde dat Facebook Ireland zijn privacy schond met de doorgifte van zijn persoonsgegevens naar Facebook Inc. in de VS. Schrems betoogde dat de VS geen passend beschermingsregime bood, onder meer omdat gegevens werden gedeeld met Amerikaanse inlichtingendiensten.

Deze uitspraak raakt niet alleen Facebook maar ook de fietsenmaker op de hoek die zijn klantgegevens op slaat in de cloud van een Amerikaanse service provider. Doorgifte naar de VS is veel dichter bij dan menigeen vermoedt. Na deze uitspraak moeten ondernemingen die tot op heden op basis van de Safe Harbor zelfcertificering persoonsgegevens naar de VS doorgaven, een andere oplossing vinden.

Doorgifte naar VS maakt alternatieve waarborgen noodzakelijk

Indien uw onderneming persoonsgegevens doorgeeft aan de VS, dient u maatregelen te treffen om de privacy van EU onderdanen op een alternatieve manier te waarborgen. Zo kunt u bestaande contracten met in de VS gevestigde partijen aanpassen aan de door de Europese Commissie goedgekeurde EU Model Clauses, die model contractsbepalingen bieden die een passend beschermingsniveau waarborgen. Ook is het mogelijk om interne regels op te stellen die voor een internationale groep ondernemingen gelden, zogenaamde binding corporate rules  voor intra-groep doorgifte tussen de EU en VS. Het nadeel is dat dergelijke regels vooraf moeten worden getoetst door de nationale toezichthouder, in Nederland het College Bescherming Persoonsgegevens. Wij raden u aan om zo snel mogelijk in kaart te brengen op welke alternatieve manier uw onderneming alsnog kan voldoen aan de privacywetgeving.

Standpunt Europese Commissie

De Europese Commissie heeft aangegeven op korte termijn een standpunt naar buiten te brengen waarin zij adviseert hoe de nationale privacywaakhonden en betrokken ondernemingen om moeten gaan met de ontstane situatie.

Risico’s

De verwachting is dat het College Bescherming Persoonsgegevens op korte termijn, in afwachting van het standpunt van de Europese Commissie, uit zichzelf geen actie zal ondernemen. Er is echter wel een aanzienlijke kans dat het aantal klachten toeneemt. Ook uw onderneming kan daarmee geconfronteerd worden. Een terechte klacht kan leiden tot oplegging van een verbod onder dwangsom om de persoonsgegevens door te geven aan ondernemingen in de VS. Vanaf 1 januari 2016 krijgt het College Bescherming Persoonsgegevens ook de mogelijkheid om (hoge) boetes op te leggen.

Safe Harbor onderhandelingen

De Europese Commissie heeft laten weten ondertussen ook de hoogste prioriteit te geven aan onderhandelingen met de VS over een nieuwe Safe Harbor beschikking. Het is voor de rechtszekerheid van ondernemers aan beide kanten van de oceaan en die van EU onderdanen van belang dat Safe Harbor 2.0 snel in zicht komt.

Indien u vragen heeft over de gevolgen van deze uitspraak voor uw onderneming, neemt u dan contact op met ons.
 

Schrems vs. Facebook: Safe Harbor agreement no longer a safe haven

The Court of Justice of the European Union decided on 6 October 2015 that the Safe Harbor agreement between the EU and the US is invalid. As a result th transmission of personal data from the EU to the US which is based on these Safe Harbor conditions is unlawful. Personal data are not appropriately protected in the US. This is no surprise after Edward Snowden’s revelations, but is now carved in stone.

Transmission of personal data to the US based on Safe Harbor unlawful

The Privacy Directive states that transmission of personal data to countries outside the EU is only permitted if the receiving country offers an adequate level of protection. The level of protection in the US was found inadequate. To facilitate data traffic, the EU and the US concluded Safe Harbor principles in 2000, allowing transmission of personal data of EU residents to the US. These principles are invalid according to the European Court of Justice because they do not respect the fundamental right to privacy because the public authorities and security departments of the US are not bound by the Safe Harbor principles and have a statutory right to access the personal data.
 
Complaint student Schrems against Facebook

This case started with a complaint filed by the by the Austrian student Maximilian Schrems against Facebook Ireland. Schrems claimed that Facebook Ireland violated his privacy by transmitting his personal data to Facebook Inc. in the US. Schrems argued that the US did not offer an adequate protection regime, amongst others because the data was shared with the US security department. 
 
The decision not only affects Facebook and other companies with a US based head office, but also the bike shop next door, which stores costumer data in the cloud of a US service provider. Transmission to the US is much closer than most people realize. After this decision, companies relying on the Safe Harbor self-certification for transmission to the US, have  to find a different solution to still be able to export these personal data.

Transmission to US calls for alternative safeguards

If your company transmits personal data to the US, you have to take measures to protect the privacy of EU residents in an alternative manner. One way to do this is to modify existing contracts with companies that are established in the US. The European Commission approved EU Model Clauses, containing clauses that guarantee an adequate level of protection. It is also possible to draft internal rules that apply to an international group of companies, so called binding corporate rules for intergroup transmission between the EU and US. The downside of these rules is that they need to be reviewed by the national supervisor. In the Netherlands that is the Dutch Data Protection Authority (Dutch DPA). We advise you to map out the alternative ways your company can still comply with the privacy legislation.
 
Position of the European Commission

The European Commission announced it will shortly communicate its vision on this new development and provide guidance to national privacy watchdogs and involved businesses on how to deal with the current situation.

Risks

Since the Dutch DPA is awaiting the point of view of the European Commission on this matter, we do not expect that the Dutch DPA will take action beforehand.  There is however a considerable chance that the number of complaints will increase. Your company can be subject of a complaint too. A justified compliant can result in a prohibition, subject to a fine, to transmit personal data to companies in the US. As of the first of January 2016, the Dutch DPA will be able to impose (high) penalties.
 
Safe Harbor negotiations

The European Commission announced that negotiations with the US regarding new Safe Harbor principles have the highest priority. It is important for the legal certainty of entrepreneurs on both sides of the ocean and to EU residents, that Safe Harbor 2.0 will soon be a fact.

In case you have questions regarding the consequences of this ruling for your company, please contact us.