• Robin Creuels

Mag Facebook persoonsgegevens doorsturen naar de VS?

Burgers van de Europese Unie (EU) hebben het recht op privacy, waaronder het recht op bescherming van persoonsgegevens valt. Ter bescherming van dit fundamentele grondrecht omvat de AVG een scala aan regels voor de verwerking van persoonsgegevens. Persoonsgegevens van EU-burgers worden doorgegeven aan de Verenigde Staten (VS) doordat veel (technologie)bedrijven als Facebook daar zijn gevestigd. Omdat de VS grote verschillen kent op het gebied van privacybescherming, moest het EU-VS Privacy Shield ervoor zorgen dat dit dataverkeer met een ‘passend beschermingsniveau’ zou worden verwerkt. Het Hof van Justitie van de Europese Unie (HvJEU) heeft deze regeling echter op 16 juli 2020 ongeldig verklaard.


Safe Harbor

De uitspraak van het HvJEU wordt ook wel het Schrems II-arrest genoemd. De Oostenrijkse Maximillian Schrems was nog een rechtenstudent toen hij naar de rechter stapte nadat uit de onthullingen van klokkenluider Edward Snowden bleek dat de Amerikaanse NSA en andere inlichtingendiensten op grote schaal toegang heeft tot persoonsgegevens en spioneert. Hij verzocht derhalve dat de doorgifte van persoonsgegevens naar de VS door Facebook werd verboden. Het HvJEU heeft uiteindelijk naar aanleiding van de klacht van Schrems in 2015 de Safe Harbor, voorganger van de Privacy Shield, ongeldig verklaard omdat geen passende privacybescherming kon worden geboden die overeenkwam met het niveau dat in de EU wordt gewaarborgd. Dit betreft het Schrems I-arrest.


Privacy Shield

De Europese Commissie heeft vervolgens in 2016 de Privacy Shield goedgekeurd, waardoor aangesloten Amerikaanse bedrijven alsnog persoonsgegevens van EU-burgers mochten verwerken in de VS. De Privacy Shield zou onder andere zwaardere verplichtingen kennen voor Amerikaanse bedrijven en duidelijke waarborgen en transparantieverplichtingen inzake de toegang van de Amerikaanse overheid tot de gegevens. Echter, ook de Privacy Shield garandeert volgens het HvJEU in het Schrems II-arrest onvoldoende bescherming. Op basis van Amerikaanse wetgeving hebben inlichtingen- en veiligheidsdiensten namelijk bij sommige surveillanceprogramma’s het recht om gegevens van EU-burgers in te zien en te gebruiken zonder enige beperkingen. Het ‘ombudsmanmechanisme’, waar EU-burgers zouden kunnen aankloppen wanneer zij een klacht hebben over de verwerking van hun persoonsgegevens in de VS, zou ook onvoldoende zijn omdat niet kan worden verzekerd dat deze ombudsman onafhankelijk is en hij/zij geen bindende besluiten kan nemen.


En nu?

Alhoewel de Privacy Shield nu ongeldig is verklaard, heeft het HvJEU ook in het Schrems II-arrest bepaald dat modelcontracten wél geldig zijn. Dit zijn standaard contracten die zijn vastgesteld door de Europese Commissie waaraan de internationale partijen zich kunnen verbinden. De partijen zullen dan moeten kunnen garanderen dat de Amerikaanse overheid niet meespiekt, hetgeen mij heel lastig lijkt. Wat de praktische gevolgen zijn van de uitspraak voor bedrijven wordt momenteel nog bekeken. Het lijkt mij echter onwaarschijnlijk dat Facebook op dit moment geen persoonsgegevens meer doorstuurt naar de VS, aangezien de servers van Facebook zich op het grondgebied van de VS bevinden. De Europese Commissie zal in ieder geval opnieuw een regeling moeten vaststellen voor de doorgifte van gegevens van de EU naar de VS. Driemaal is scheepsrecht?