Het verhaal van Maximilian v Goliath – Part 2: the unsafe Harbor

In mei 2015 was op de Clinic blog te lezen over de stappen van Maximilian Schrems tegen Facebook. In hoofdzaak kwam Schrems in opstand omdat hij van mening is dat Facebook de Europese privacywetgeving schendt. Het Hof van Justitie (de hoogste Europese rechter) heeft zich nu uitgesproken en stelt Schrems in het gelijk. Maar wat heeft het Hof nu precies bepaald? En wat heeft dit concreet voor gevolgen voor bedrijven als Facebook?

Wat heeft het Hof nu precies bepaald?

Het Hof heeft de Safe Harbor-regeling ongeldig verklaard. De Safe Harbor-regeling is in de praktijk het belangrijkste mechanisme voor de doorgifte van data van Europa naar Amerika. De regeling stelt eisen waaraan Amerikaanse bedrijven moeten voldoen, onder meer op het gebied van transparantie en beveiliging. Als je als bedrijf aan de voorwaarden voldeed en je aangesloten had bij het Safe Harbor framework werd je gezien als organisatie die veilig omging met Europese persoonsgegevens. Doorgifte van persoonsgegevens naar een bij Safe Harbor aangesloten organisatie was daarom toegestaan.
Momenteel zijn er rond de 5000 Amerikaanse bedrijven, die op basis van Safe Harbor gegevens vanuit Europa naar een bedrijf in Amerika verzonden.
Nu heeft het Hof de regeling ongeldig verklaard, omdat de regeling geen passend beschermingsniveau biedt. Het grondrecht op eerbiediging van het privéleven wordt aangetast. Dit komt onder andere doordat de Amerikaanse inlichtingendiensten de Safe Harbor regels niet hoeven te respecteren en op grote schaal en ongedifferentieerd toegang hebben tot gegevens afkomstig uit Europa die bij Safe Harbor bedrijven opgeslagen zijn. Het Hof geeft daarbij aan dat de Safe Harbor mogelijkerwijs geen voorrang heeft in geval van een conflict met de Amerikaanse wet.
Het Hof benadrukt daarnaast dat het grondrecht op effectieve rechtsbescherming wordt aangetast, de Safe Harbor biedt personen geen effectieve rechtsbescherming.
Tevens oordeelt het hof dat de nationale privacy toezichthouders de bevoegdheid hebben om verwerkingen van persoonsgegevens te onderzoeken en te oordelen of er sprake is van een passend beschermingsniveau. De Commissie kon dit recht niet wegnemen met de Safe Harbor regeling.

Wat zijn de gevolgen van de uitspraak voor bedrijven als Facebook?

Bedrijven als Facebook kunnen zich niet meer beroepen op de Safe Harbor-regeling. Er zijn echter wel andere mechanismen die doorgifte van persoonsgegevens naar Amerika mogelijk maken. Zo kan aan de betrokkene toestemming worden gevraagd voor de doorgifte. Dit lijkt vaak lastig realiseerbaar door het groot aantal betrokkenen. Ook een mogelijkheid is het opstellen van Binding Corporate Rules. Dit zijn interne gedragscodes bij grote ondernemingen met vestigingen of dochterondernemingen in landen met een ontoereikend beschermingsniveau. Deze Binding Corporate Rules moeten worden moeten worden goedgekeurd door de nationale toezichthouder.
Daarnaast is er de optie van de EU-modelcontracten. Dit zijn standaardbepalingen gemaakt door de Europese Commissie die voor de doorgifte van persoonsgegevens tussen bedrijven een passend beschermingsniveau moeten bieden. Onduidelijk is of dit alternatief in stand kan blijven gezien de uitspraak van het Hof. De Europese Commissie is dan ook aan zet. Ze zullen moeten proberen een privacyvriendelijk onderhandelingsresultaat met Amerika te bereiken. Dit zal wel eens lastig kunnen worden gezien Amerika op het gebied van nationale veiligheid niet veel zal willen inleveren.

Catharine Starren, januari 2016