Schrems 2.0: zijn modelcontracten voor de overdracht van persoonsgegevens naar de VS geldig onder EU recht?

In ‘Data Protection Commissioner v Facebook & Schrems’, ook wel Schrems 2.0 genoemd, heeft het Ierse Hooggerechtshof op 3 oktober 2017 besloten de zaak te verwijzen naar het Europees Hof van Justitie. De rechtszaak heeft betrekking op de bescherming van persoonsgegevens die worden uitgewisseld met landen buiten de EU, in dit geval de VS. Het is niet de eerste zaak die aangespannen is door advocaat en privacy activist Max Schrems, wiens eerdere zaak bij het Europees Hof van Justitie resulteerde in de annulering van het EU-VS Safe Harbor verdrag. De beslissing van het Ierse Hooggerechtshof om Schrems 2.0 door te verwijzen naar het Europees Hof van Justitie kwam niet als een verrassing, nadat al snel bleek dat als gevolg van de Safe Harbor uitspraak veel bedrijven in toenemende mate gebruik begonnen te maken van zogenaamde ‘standard contractual clauses’. Deze modelcontracten, die door duizenden bedrijven worden gebruikt als legitimatie voor de uitwisseling van persoonsgegevens met de VS, zijn volgens Schrems eveneens ongeldig.

Aanloop

In juni 2013 diende Schrems, in navolging op de Snowden onthullingen, een klacht in bij de Ierse Data Protection Commissioner (DPC) waarin hij de rechtmatigheid van de uitwisseling van zijn persoonsgegevens naar de VS betwiste. De klacht werd echter niet gehonoreerd door de DPC vanwege het Safe Harbor verdrag. In navolging op de ongeldigverklaring van dat verdrag in 2015 kreeg Schrems de mogelijkheid zijn klacht bij de DPC aan te passen. Hij richtte zijn klacht hierbij op de modelcontracten die na annulering van het Safe Harbor verdrag door veel organisaties, waaronder Facebook, als legitimatie voor gegevensuitwisseling met de VS worden gebruikt. De DPC startte in 2016 een onderzoek inzake de klacht van Schrems.

De klacht

In zijn klacht kaart Schrems aan dat meerdere wetten in de VS Facebook verplichten om persoonsgegevens over te dragen aan autoriteiten zoals de NSA of de FBI. Het is in dit kader mogelijk dat persoonsgegevens van EU-burgers worden ingezien door de Amerikaanse overheid op basis van surveillance programma’s als ‘PRISM’ en ‘UPSTREAM’. Dit is volgens Schrems problematisch omdat er geen effectief rechtsmiddel is binnen de VS voor EU-burgers die klachten hebben over de verwerking van hun persoonsgegevens in de VS.

Privacy Shield

Na de ongeldigverklaring van Safe Harbor nam de Europese Commissie op 12 juli 2016 het Privacy Shield verdrag aan ter bescherming van gegevensverkeer met de VS. Het verdrag is alleen van toepassing op de gegevensoverdracht van organisaties die zich bij het verdrag hebben aangesloten.  Bij de Schrems 2.0 zaak is de gegevensoverdracht niet gebaseerd op het Privacy Shield verdrag, maar op modelcontracten.

Het Ierse Hooggerechtshof bevestigd daarom in de uitspraak van 3 oktober 2017 dat Schrems 2.0 voornamelijk gericht is op de rechtmatigheid van deze modelcontracten. Het is echter waarschijnlijk dat de uitspraak van het Europees Hof het debat rondom het Privacy Shield weer zal heropenen.

Verwijzing en verwachtingen

De specifieke vragen aan het Europees Hof zijn nog niet gepubliceerd, maar zullen worden geformuleerd aan de hand van de inbreng van betrokkenen. Het Europees Hof moet vervolgens beslissen of modelcontracten die gebruikt worden bij de uitwisseling van persoonsgegevens naar de VS, geheel of gedeeltelijk, ongeldig zijn.

Exporteert u gegevens naar het buitenland of heeft u verdere vragen over modelcontracten of het Privacy Shield? Neem gerust vrijblijvend contact met ons op.

Jonathan Toornstra Legal Consultant

Meer weten over dit onderwerp?

toornstra@considerati.com +31 (0) 618189615