Gebruik je een niet-EU verwerker? Welke gevolgen heeft het arrest 'Schrems II'?

Privacy

Sportclubs

Sportfederaties

Op 16 juli 2020 vernietigde het Europese Hof van Justitie de zogenoemde 'Privacy Shield'-overeenkomst tussen de EU en de VS. De uitspraak (het arrest 'Schrems II') brengt heel wat onzekerheid. In de praktijk heeft het ook gevolgen voor je sportfederatie of sportclub, als je gebruikmaakt van Amerikaanse IT-diensten (zoals Google, Mailchimp,...).

De Oostenrijkse advocaat en privacy-activist Maximiliaan Schrems verzet zich al langer tegen het onrechtmatig doorgeven van persoonsgegevens aan landen buiten de EU.

Door het arrest werd het moeilijker om met zekerheid te zeggen dat alles in orde is voor je organisatie. Sinds 2023 is het mogelijk terug samen te werken met firma's die voldoen aan de nieuwe set van voorwaarden zoals opgegeven in het EU-VS Data Privacy Framework. Via deze link kan je ook opzoeken of de VS-partner die je gebruikt, of in de toekomst wenst te gebruiken, voldoet aan deze voorwaarden.

Doorgifte van persoonsgegevens

De GDPR-regelgeving bepaalt de voorwaarden wanneer je persoonsgegevens mag doorgeven naar landen buiten de EU. Daarin zijn verschillende opties voorzien. De 2 belangrijkste bespreken we voor jou hieronder:

Adequaatheidsbesluit: Doorgeven van persoonsgegevens is mogelijk indien de EU besloten heeft dat het betrokken land een passend beschermingsniveau heeft. Dat land wordt dan toegevoegd aan de landen met een adequaatheidsbesluit, eventueel met bijkomende voorschriften of beperkingen.
Standard Contractual Clauses of SCC’s: Een contract zorgt voor passende waarborgen bij het doorgeven van persoonsgegevens. Een vaste set van clausules, de SCC’s, wordt dan toegevoegd.

Safe Harbour - Privacy Shield - Data Privacy Framework

Bedrijven in de VS voldoen aan het adequaatheidsbesluit tussen EU en VS, op voorwaarde dat ze ook het 'Privacy Shield' respecteren. Dat Privacy Shield kwam er als reactie op het arrest 'Schrems I' uit 2015, dat het toenmalige 'Safe Harbour'-principe voor persoonsgegevens met de VS ongeldig verklaarde.

In het arrest Schrems II van 2020 werd nu ook het Privacy Shield ongeldig verklaard. Het Europese Hof heeft in het arrest een analyse gemaakt van het rechtstelsel van de VS om na te gaan of dat, samen met de Privacy Shield-voorschriften voldoende waarborgen biedt. In het bijzonder werd de wetgeving met betrekking tot de bevoegdheden van de inlichtingendiensten bekeken (Cloud Act, FISA en andere). Volgens het Europese Hof bevat deze wetgeving te weinig beperkingen voor deze diensten en beperkt ze daarnaast ook de rechten en vrijheden van niet-Amerikaanse burgers. Om die reden werd niet voldaan aan de vereisten voor een passend beschermingsniveau en verklaarde het Hof het Privacy Shield ongeldig. Daardoor was de VS sinds juli 2020 niet langer opgenomen in de lijst van landen met een adequaatheidsbesluit.

Sinds 2023 is samenwerking terug mogelijk, als je samenwerkt met firma's die voldoen aan de nieuwe set van voorwaarden zoals opgegeven in het EU-VS Data Privacy Framework. Via deze link kan je ook opzoeken of de VS-partner die je gebruikt, of in de toekomst wenst te gebruiken, voldoet aan deze nieuwe voorwaarden.

Bieden de SCC’s dan een alternatief?

Het Europese Hof heeft in hetzelfde arrest aangegeven dat de SCC’s (Standard Contractual Clauses) niet per definitie een passend beschermingsniveau geven. Daarbovenop moet het beschermingsniveau van een land, geval per geval, beoordeeld worden.

Wat betekent dat nu concreet?

Schrems I & II hadden directe en verregaande gevolgen. Is het doorgeven van persoonsgegevens naar de VS (of andere derde landen) nog wel mogelijk? Door de arresten werd het moeilijker om met zekerheid te zeggen dat alles in orde voor je organisatie. Het Data Privacy Framework biedt voor een aantal bedrijven terug mogelijkheden, maar niemand kan voorspellen of er in de nabije toekomst een Schrems III of andere aan zit te komen.

Bedrijven in de VS verwijzen nog dikwijls naar het Privacy Shield om hun GDPR-beleid te verdedigen, maar in de overeenkomsten staan meestal ook de SCC’s opgenomen.

Voor de meeste IT-diensten kan je echter ondertussen vrij eenvoudig een Europees alternatief vinden. Daarom adviseren we je om zoveel mogelijk gebruik te maken van leveranciers uit Europa. Die keuze geeft het minste kopzorgen om in orde te zijn met de privacyregels. Dienstverleners uit landen die beschikken over een adequaatheidsbesluit zijn gelijkaardig aan Europese spelers. De regels rond verwerkingsovereenkomst blijven natuurlijk gelden. Er werd een handig lijstje opgemaakt van gecontroleerde spelers op de Europese markt: Dasprive Tooltip en Dasprive Business Tooltip

Kies je toch voor een partner in de VS? Zorg dan dat deze partner voorkomt in de lijst van het Data Privacy Framework, dat bij voorkeur ook de SCC’s zijn opgenomen in je overeenkomst en documenteer in je verwerkingsregister welke argumenten doorslaggevend waren om toch voor die partner te kiezen. Dit kan via een DTIA (Data Transfer Impact Assessment).

Sinds kort zijn enkele templates beschikbaar voor het beoordelen van het risico: Transfer Impact Assessment Templates (iapp.org).

Wij hebben een zo eenvoudig mogelijke versie van zo'n risico-inschatting voorzien in een DTIA-tool. Je kan deze vinden in ons stappenplan GDPR onder de stap Relaties met derden.

De laatste updates over dit dossier kan je vinden op de website van de Gegevensbeschermingsauthoriteit.

Een lijst van Europese alternatieven voor Amerikaanse tools:

En hoe zit het met de Brexit?

Geeft je als organisatie in de Europese Unie (EU) persoonsgegevens door aan organisaties/leveranciers in het Verenigd Koninkrijk (VK)? Dan kan je dat blijven doen zoals je gewend bent. Ook al maakt het VK geen deel meer uit van de EU. De Brexit heeft dus geen gevolgen voor de doorgifte van gegevens van de EU naar het VK. Dat heeft de Europese Commissie (EC) op 28 juni 2021 besloten.

Vanaf 1 januari 2021 tot 28 juni 2021 gold een overgangsperiode. In deze periode kon je ook gegevens doorgeven aan het VK zoals je gewend was. En dat blijft dus zo.

Adequaatheidsbesluiten VK

De EC heeft adequaatheidsbesluiten genomen voor het VK. Daarmee oordeelt de EC dat het niveau van bescherming van persoonsgegevens in het VK gelijkwaardig is aan dat in de EU.

Dat betekent dat je vrij gegevens kunt uitwisselen met het VK. Je hoeft geen extra doorgifte-procedures te gebruiken (zoals een modelcontract), wat je normaal nodig zou hebben voor doorgifte naar een land buiten de EU.

Vergeet echter niet aan te geven in je privacy notice dat je gegevens buiten de EU verwerkt. Je kan daarbij vermelden dat het gaat om de VK, waarbij een adequaatheidsbesluit deze uitwisseling mogelijk maakt.

Kijk voor meer informatie ook op de website van de Britse privacytoezichthouder.

Begin april 2022 werd tijdens een persconferentie van Joe Biden en Ursula von der Leyen aangekondigd dat gewerkt wordt aan een oplossing voor gegevensuitwisseling tussen EU en VS. Hou er echter rekening mee dat dit nog lang zou kunnen duren. Zo waarschuwt ook de EDPB (Europese privacytoezichthouder). Ook Max Schrems, die 2 maal een proces won bij het EHJ (Europees Hof van Justitie), gaf aan dat hij een nieuw proces opstart als de nieuwe regeling niet in lijn is met de wetgeving.

Sinds 2023 is het mogelijk terug samen te werken met firma's die voldoen aan de nieuwe set van voorwaarden zoals opgegeven in het EU-VS Data Privacy Framework. Via deze link kan je ook opzoeken of de VS-partner die je gebruikt, of in de toekomst wenst te gebruiken, voldoet aan deze voorwaarden.