16
AUG
2016

Goedkeuring EU-U.S. Privacy Shield – vernietiging slechts een kwestie van tijd?

Op 12 juli 2016 keurde de Europese Commissie het EU-U.S. Privacy Shield goed, dat een veilig kader zou moeten vormen voor de overdracht van persoonsgegevens naar de Verenigde Staten. De regelgeving en uitvoering van het Privacy Shield zal jaarlijks worden geëvalueerd door de VS en de Europese Commissie, zodat het akkoord up to date blijft en effectief wordt uitgevoerd.

Het Privacy Shield vervangt de Safe-Harbor regeling, die werd opgeheven naar aanleiding van het Schrems-arrest van het Europese Hof van Justitie. Het Hof oordeelde op 6 oktober 2015 dat de regelgeving onvoldoende garantie bood op de bescherming van persoonsgegevens door Amerikaanse ondernemingen en verklaarde deze ongeldig. De vernietiging had tot gevolg dat heel wat bedrijven die in de EU verzamelde persoonsgegevens opsloegen in datacenters die zich fysiek in Amerika bevonden, of de gegevens lieten verwerken door Amerikaanse ondernemingen, plots niet meer aan de Europese privacyverplichtingen voldeden. Zij moesten daar in principe dan ook mee ophouden, dan wel een alternatieve regeling treffen om een adequaat beschermingsniveau te garanderen. Een snelle oplossing drong zich dan ook op.

Deze komt er, volgens de Europese Commissie met het EU-U.S. Privacy Shield. Kort gezegd zou het Privacy Shield Amerikaanse bedrijven striktere privacyverplichtingen opleggen m.b.t. bescherming van de persoonsgegevens van Europeanen, betere afdwinging van rechten garanderen, waarborgen en openheid vastleggen m.b.t. toegang tot persoonsgegevens door de Amerikaanse overheden en verhaal voor individuen vergemakkelijken.

Het Privacy Shield werkt met een systeem van zelf-certificering. Amerikaanse bedrijven die wensen deel te nemen dienen zich officieel te registreren voor de Privacy Shield list. Dit kan vanaf 1 augustus 2016. Een overdracht van persoonsgegevens naar gecertificeerde bedrijven is toegelaten zonder dat een afzonderlijke overeenkomt moet worden afgesloten op een adequaat beschermingsniveau te garanderen. Het is nog wel nodig een bewerkersovereenkomst af te sluiten, die de modaliteiten van de verwerking vastlegt tussen de verwerkingsverantwoordelijke en de verwerker. De bedrijven die deelnemen dienen zichzelf jaarlijks te evalueren en op de naleving van de Privacy Shield zal meer controle worden uitgevoerd. Ondernemingen die hun verplichtingen terzake niet of onvoldoende naleven zullen gesanctioneerd worden en kunnen zelfs uitgesloten worden

De V.S. zou verder ondermeer de automatische toegang tot Europese persoonsgegevens uit haar wetgeving moeten verwijderen. In de plaats daarvan zal de toegang tot zulke gegevens door de Amerikaanse overheden worden onderworpen aan strikte beperkingen, voorwaarden en controle. Toegang op grote schaal (mass surveillance) of op willekeurige wijze zou in de toekomst dan ook niet meer mogelijk mogen zijn. Ook zal meer openheid gecreëerd worden over het aantal verzoeken tot inzage van persoonsgegevens dat de Amerikaanse overheid uitbrengt en burgers met klachten kunnen zich richten tot een ombudsdienst.

Tot slot wordt voorzien in gemakkelijk toegankelijke en goedkopere geschillenbeslechtingsmechanismen voor de betrokkene. Ondernemingen zullen steeds binnen 45 dagen moeten reageren op klachten van individuen en er wordt zonder kosten voorzien in een vorm van alternatieve geschillenbeslechting. Het Privacy Shield voorziet ook in een samenwerkings- en handhavingsbeleid tussen het Amerikaanse ministerie van handel en de Federal Trade Commission, met de Europese privacy autoriteiten. Wanneer individuen zich richten tot hun gegevensbescherminsautoriteit, kan deze er zo op toe zien dat klachten worden onderzocht en behandeld. Als laatste toegangsmiddel wordt een arbitragecollege ingesteld dat bindende beslissingen zal kunnen nemen.

De kans is echter groot dat ook deze regeling zal worden aangevochten voor het Hof van Justitie. Tegenstanders oordelen dat het Privacy Shield onvoldoende waarborgen biedt, voornamelijk dan het systeem van zelfcertificering, en te vaag werd geformuleerd. Zo oordeelt ook de article 29 Working party, het overlegorgaan van de Europese privacytoezichthouders. Op 13 april 2016 stelde zij in haar verslag dat het Privacy Shield te vaag geformuleerd is en in het algemeen niet volstaat om de privacy van de Europese burger voldoende te beschermen.[1] In haar – niet bindende – beslissing verlangt de Working party ondermeer extra waarborgen m.b.t. automatische verwerkingen, verdere beperkingen op de toegang door de Amerikaanse overheden en effectieve en onafhankelijke verhaalsmogelijkheid voor de betrokkenen.

Desondanks werden niet alle punten van kritiek van de Working party verholpen. Zo kunnen Amerikaanse ondernemingen nog steeds persoonsgegevens gebruiken voor andere doeleinden dan waarvoor ze verzameld zijn. Echter moeten ze de betrokkene nu wel de mogelijkheid geven om dat te weigeren. De Ombudsman waartoe betrokkenen zich kunnen richten blijft onderdeel uitmaken van het department of state en dus weinig onafhankelijk, en ondanks een kleine wijziging t.a.v. de oorspronkelijk versie op dit punt, mogen persoonsgegevens onder het Privacy Shield bewaard worden zo lang ze relevant zijn. Dit in tegenstelling tot de Europese privacywetgeving, die verlangt dat de gegevens worden verwijderd van zodra het behoud ervan niet langer noodzakelijk is. Ook onder de definitieve versie van het Privacy Shield blijft het mogelijk voor de Amerikaanse autoriteiten om gegevens in bulk te verzamelen, voor zes doelen die zeer breed geïnterpreteerd kunnen worden. De Europese Commissie stelt echter dat het verzamelen van gegevens in bulk niet hetzelfde is als mass surveillance, en het Schrems arrest dus niet geschonden wordt door dit toe te staan. Het is dus maar de vraag of het Privacy Shield een toets door het Hof zou doorstaan.

Het EU-U.S. Privacy Shield trad in werking op 1 augustus 2016.

[1] Working Party Statement of 13 April 2016 on the opinion on the EU-U.S. Privacy Shield, http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2016/wp238_en.pdf.