Het EU-VS Privacy Schild

Op 12 juli 2016, 7 maanden na het Schrems mijlpaalarrest
van het Europese Hof van Justitie, heeft de Europese
Commissie het EU-VS Privacy Schild aangenomen.
De vraag blijft echter of dit Privacy Schild
werkelijk in overeenstemming is met de Richtlijn
en Verordening Gegevensbescherming.

Overeenkomstig artikel 25 van de Richtlijn Gegevensbescherming (95/46/EG), kunnen persoonsgegevens enkel doorgegeven worden naar een derde land, indien dat land in kwestie een adequaat beschermingsniveau garandeert. Dit wordt eveneens voorzien in artikel 45 van de Verordening Gegevensbescherming 2016/679 van 27 april 2016 die de Richtlijn Gegevensbescherming vervangt en vanaf 25 mei 2018 in werking treedt in alle lidstaten.

Volgens het Europees Hof van Justitie betekent een adequaat beschermingsniveau dat een derde land moet garanderen dat de bescherming van de fundamentele rechten en vrijheden (van EU-personen in het derde land) equivalent is aan het beschermingsniveau dat geldt binnen de Europese Unie op grond van de Richtlijn Gegevensbescherming en het Handvest van de grondrechten.

Aangezien de VS nog steeds niet beschouwd wordt als een land dat een adequaat beschermingsniveau voorziet, heeft de Europese Commissie, samen met de VS, gezocht naar een oplossing die de doorgifte van persoonsgegevens tussen de EU en de VS mogelijk maakt. De Safe Harbor bepalingen bleken onvoldoende te zijn en boden geen adequate bescherming. Het EU-VS Privacy Schild dient dan ook ter vervanging van de Safe Harbor bepalingen.

Het Privacy Schild is gebaseerd op een systeem van zelf-certificering, op grond waarvan Amerikaanse organisaties en bedrijven zich engageren om een aantal principes na te leven.

Deze principes zouden de doorgifte van persoonsgegevens tussen de EU en de VS moeten beschermen. Om de naleving van deze principes te verzekeren, heeft het Amerikaanse 'Departement of Commerce' een aantal engagementen op zich genomen die ervoor moeten zorgen dat het Privacy Schild effectief werkzaam is.

De bescherming die geboden wordt door het Privacy Schild is van toepassing op elk individu wiens persoonsgegevens doorgegeven worden tussen de EU en zelf-gecertificeerde bedrijven of organisaties in de VS. Verschillende bedrijven, waaronder Google Inc., hebben zich reeds aangesloten bij het Privacy Schild. Onder het Privacy Schild kunnen alle soorten persoonsgegevens doorgegeven worden, zoals klantengegevens, gevoelige gegevens, HR-gegevens, en andere.

1.  De Principes

Het Privacy Schild zet een aantal principes uiteen, die gerespecteerd moeten worden zowel door verantwoordelijken voor de verwerking van persoonsgegevens, als door de verwerkers (processors) zelf, zodra zij zelf-gecertificeerd zijn. De principes op zich zijn niet nieuw, en bestonden reeds onder de Safe Harbor bepalingen. Het verschil is echter dat sommige principes strenger geworden zijn, en individuen bijgevolg een hogere bescherming zouden moeten bieden.

Het Notificatieprincipe houdt in dat organisaties verplicht zijn om informatie te bezorgen aan het individu omtrent een aantal essentiële elementen van de verwerking van hun persoonsgegevens. Hoewel dit principe ook bestond onder de Safe Harbor bepalingen, is het nu strenger geworden.

Het Data-integriteit en Doelprincipe en het Keuzeprincipe zijn anderzijds niet echt gewijzigd. Deze principes impliceren dat de verzameling van persoonsgegevens beperkt moet zijn tot wat relevant is voor het doel van de verwerking, en dat persoonsgegevens enkel bewaard mogen blijven zo lang als nodig is voor het doel waarvoor deze oorspronkelijk verzameld werden. Het keuze principe daarentegen garandeert dat het individu de mogelijkheid heeft om zich te verzetten tegen de verwerking (opt out).

Het Veiligheidsprincipe verplicht organisaties om redelijke en passende veiligheidsmaatregelen te nemen, waarbij rekening gehouden wordt met de risico’s van de verwerking en de aard van de persoonsgegevens. Ook de Safe Harbor bepalingen bevatten deze verplichting.

Onder het Toegangsprincipe heeft het individu het recht om van een organisatie bevestiging te krijgen of zijn/haar persoonsgegevens al dan niet verwerkt worden. Individuen moeten in de mogelijkheid zijn om persoonsgegevens te laten verwijderen, corrigeren of wijzigen indien deze niet accuraat zijn, of verwerkt worden in strijd met deze principes.

Vervolgens vereist het Vordering, Afdwinging en Aansprakelijkheidsprincipe dat de organisatie of bedrijf een robuust mechanisme moeten voorzien dat de naleving van de principes garandeert en dat er rechtsmiddelen voorhanden zijn voor het individu wiens persoonsgegevens niet verwerkt worden overeenkomstig de principes. Organisaties moeten ook maatregelen nemen om na te gaan of de principes effectief worden nageleefd.

Een van de nieuwere principes tenslotte is het principe omtrent de Verantwoordelijkheid voor verdere doorgifte. Dit principe voorziet dat verdere doorgifte slechts kan plaatsvinden voor gelimiteerde en gespecificeerde doeleinden, op basis van een contract enkel als dat contract dezelfde bescherming voorziet als deze gegarandeerd door de principes.

2.  Zelf-certificering en afdwinging

Onder het Privacy Schild, moeten Amerikaanse bedrijven zichzelf certificeren. De beslissing tot zelf-certificering is vrijwillig. Echter, eens een bedrijf het engagement op zich heeft genomen om zichzelf te certificeren, is deze verbintenis afdwingbaar onder Amerikaans recht.

Bovendien moet een bedrijf zich jaarlijks opnieuw certificeren om zijn deelname aan het Privacy Schild te bevestigen.

De  Europese Commissie was van oordeel dat er pas een adequate toepassing kon zijn van het Privacy Schild indien individuen, data exporteurs of nationale Privacy autoriteiten de bedrijven en organisaties die zelf-gecertificeerd zijn, kunnen identificeren. Bijgevolg heeft het Amerikaanse 'Departement of Commerce' een website www.privacyshield.org beschikbaar gemaakt, waarop de Privacy lijst kan geraadpleegd worden. Deze lijst bevat alle bedrijven en organisaties die zich hebben aangesloten bij het Privacy Schild.

Organisaties die voortdurend nalaten om deze principes na te leven, zullen verwijderd worden van de Privacy Schild lijst, en moeten de persoonsgegevens, ontvangen in het kader van het Privacy Schild, moeten terug geven of verwijderen. Dit zal verzekerd worden door het Amerikaanse 'Department of Commerce', die de taak om te controleren op zich heeft genomen.

Daarnaast zullen het Amerikaanse 'Departement of Commerce', alsook de 'Federal Trade Commission' en het 'Departement of Transport' op zoek gaan naar valse aanspraken van deelname aan het Privacy Schild of oneigenlijk gebruik van het Privacy Schild certificatiekenteken.

3.  Klachten van individuen

Het Privacy Schild voorziet verschillende mogelijkheden voor individuen om hun rechten af te dwingen. Een individu kan ervoor kiezen om een klacht rechtstreeks bij de organisatie te brengen, of voor een geschillenbeslechtingsorgaan aangeduid door de organisatie, voor een nationale privacy autoriteit of voor de Amerikaanse 'Federal Trade Commission'.

3.1 De zelf gecertificeerde organisatie moet een effectief en onmiddellijk beschikbaar onafhankelijk mechanisme aanbieden, langs waar individuele klachten kunnen onderzocht en opgelost worden. Het individu kan een klacht indienen bij de organisatie of bedrijf zelf. Indien het een klacht ontvangt van een individu of via een verwijzing van een privacy autoriteit, of van het Amerikaanse ‘Departement of Commerce’, dan heeft het 45 dagen de tijd om te antwoorden. Het antwoord moet een beoordeling bevatten van de merites van de klacht en informatie over hoe het probleem zal rechtgezet worden.

3.2 Daarnaast kan een individu een klacht brengen voor een onafhankelijk geschillenbeslechtingsorgaan, aangeduid door het bedrijf, die de klachten kunnen onderzoeken en oplossen. Dit dient kosteloos te zijn voor het individu.

3.3 Klachten kunnen eveneens ingediend worden bij de nationale privacy autoriteiten. Bedrijven zijn verplicht om mee te werken met de privacy autoriteiten. De privacy autoriteit zal een advies geven nadat beide partijen redelijkerwijs de mogelijkheid hebben gekregen om opmerkingen te geven en bewijs bij te brengen. Als algemeen principe zal het advies geleverd worden 60 dagen nadat de klacht werd ontvangen. Het bedrijf heeft dan 25 dagen om het advies na te leven. Indien het bedrijf nalaat om te reageren, kan de nationale privacy autoriteit de zaak doorverwijzen naar de Amerikaanse 'Federal Trade Commission' of naar het 'Departement of Commerce'.

3.4 Het Privacy Schild maakt tenslotte arbitrage beschikbaar aan het individu voor vorderingen met betrekking tot de vragen of een bedrijf zijn verplichtingen ingevolge de Principes geschonden heeft.

Het moet genoteerd worden dat deze arbitrage beschouwd wordt als een laatste redmiddel indien geen van de andere rechtsmiddelen oplossingen gebracht hebben. De arbitrage zal uitgevoerd worden door het 'Privacy Schild Panel', dat bestaat uit een poel van minstens 20 arbiters, aangeduid door het Amerikaanse 'Departement of Commerce' en door de Europese Commissie. Het Privacy Schild Panel zal de bevoegdheid hebben om individuele, niet-geldelijke maatregelen op te leggen, om de naleving van de Principes te bekomen.

4. Toegang tot persoonsgegevens door Amerikaanse Publieke Instellingen

De Amerikaanse overheid heeft gegarandeerd dat haar inlichtingendiensten de wettelijke voorziene procedure zullen respecteren wanneer zij persoonsgegevens verzamelen die doorgegeven worden onder het EU-VS Privacy Schild. De Europese Commissie heeft de limieten en waarborgen beschikbaar onder Amerikaans recht beoordeeld, en heeft beslist dat deze voldoende zijn om effectieve bescherming te beiden tegen onrechtmatige gebruik en het risico op misbruik.

In dit verband heeft de Amerikaanse overheid een ombudsman gecreëerd om te verzekeren dat individuele klachten onderzocht en aangepakt zullen worden.

5.  Besluit

Enerzijds heeft het Privacy Schild de verplichtingen die gerespecteerd moeten worden bij de doorgifte van persoonsgegevens tussen de EU en de VS strenger gemaakt, en anderzijds biedt het Privacy Schild een aantal rechtsmiddelen indien de principes niet worden nageleefd.

De principes als dusdanig zijn niet echt nieuw, maar de rechtsmiddelen onder het Privacy Schild verschillen wel van de Safe Harbor bepalingen. Anderzijds moet opgemerkt worden dat criticasters van het Privacy Schild van mening zijn dat deze rechtsmiddelen veel te complex zijn om effectief te zijn. Indien de principes niet kunnen afgedwongen worden, dan heeft het Privacy Schild weinig nut.

De vraag blijft dus of het Privacy Schild werkelijk in overeenstemming is met de Richtlijn Gegevensbescherming (en binnenkort ook de Verordening Gegevensbescherming (GDPR)) en dus stand zal houden indien het voorgelegd wordt aan het Europees Hof van Justitie. (De belangrijke wijzigingen die ingevoerd worden door de nieuwe Verordening Gegevensbescherming (GDPR) kunnen geconsulteerd worden door hier te klikken.)

04 oktober 2016

Lynn Pype - lynn.pype@peeters-law.be

Eerdere artikels over dit onderwerp op onze website :
- Biedt de VS een passend beschermingsniveau voor EU persoonsgegevens?
- Nieuw "EU-US Privacy Shield" voor de transfer van EU-persoonsgegevens naar de VS

Wenst u meer informatie over deze materie, aarzel dan niet contact te nemen met :
- Griet Verfaillie, griet.verfaillie@peeters-law.be of
- Lynn Pype, lynn.pype@peeters-law.be

Leer meer over dit onderwerp : schrijf in op onze nieuwsbrief!

E-mail *