Het Hof van Justitie heeft elf vragen van het Ierse Hooggerechtshof ontvangen. Het Hof van Justitie was vrij om de vragen te herformuleren en slechts enkele ervan te behandelen. Deze FAQ geeft een eenvoudig overzicht van het arrest en de beantwoording van de vragen. Het gaat in op de meest relevante vragen die mensen en bedrijven kunnen hebben over het arrest van het HvJEU
I) Toepassingsgebied van de zaak
Op welke gegevensoverdrachten tussen de EU en de VS heeft deze zaak geen betrekking?
Eenvoudig gezegd: "Noodzakelijke" overdrachten van persoonsgegevens worden niet beïnvloed.
Deze zaak betreft voornamelijk de vrijwillige "outsourcing" van de verwerking van persoonsgegevens naar de Verenigde Staten
Deze zaak heeft geen betrekking op: 1) gegevens die niet "persoonsgegevens" zijn; en 2) "noodzakelijke" gegevensoverdrachten naar de Verenigde Staten (bv. e-mails naar de VS, boekingen in de VS enz.
Daarom betekent deze zaak niet dat men geen e-mails of berichten van de EU naar de VS kan sturen. Elke bewering die dit suggereert, is gewoonweg onjuist
Desondanks zullen veel bedrijven in de EU hun uitbestedingspraktijken moeten herzien als zij persoonlijke gegevens laten verwerken door Amerikaanse aanbieders. Ontvangers van deze gegevens in de VS zullen ook een soortgelijke beoordeling moeten uitvoeren als zij onderworpen zijn aan verplichtingen op grond van de relevante toezichtswetten van de VS, zoals FISA 702.
Wat is het verschil tussen de "outsourcing" van de verwerking en de absoluut "noodzakelijke" gegevensoverdracht naar de VS, met inbegrip van het verzenden van e-mails, hotelboekingen of zakelijke transacties?
"Noodzakelijke" gegevensoverdracht: In de meeste gevallen waarin gegevens moeten worden doorgegeven aan de VS (bv. het boeken van een hotel, het sturen van een e-mail naar iemand in de VS, standaard zakelijke transacties tussen de EU en de VS, enz. Dit soort gegevensoverdrachten zijn toegestaan, ongeacht de geldigheid van andere rechtsinstrumenten die voor gegevensoverdrachten worden gebruikt, zoals standaardcontractuele clausules (SCC's), privacyschild of bindende bedrijfsvoorschriften (BCR's).
Uitbesteding: Uitbesteding betekent dat persoonsgegevens alleen in de VS worden opgeslagen omdat het gemakkelijker, goedkoper of praktischer is om ze bij een Amerikaanse dienstverlener op te slaan dan in Europa, ook al zouden de gegevens technisch gezien binnen de EU/EER kunnen worden opgeslagen. In dit geval is er gewoonlijk geen algemene ontheffing ("ontheffing") op grond van artikel 49 van de BBPR voor de doorgifte van gegevens naar de VS. In plaats daarvan moet een rechtsinstrument als de SCC's, het privacyschild of de BCR's worden gebruikt, maar deze instrumenten kunnen door het HvJEU in bepaalde situaties ongeldig of niet bruikbaar worden verklaard. Vandaag is het privacyscherm ongeldig verklaard. Bovendien kunnen de VCA's niet worden gebruikt door Facebook en andere Amerikaanse bedrijven die onder Amerikaans toezicht staan.
Heeft deze zaak betrekking op gegevensoverdracht naar andere landen dan de VS?
Deze zaak heeft niet rechtstreeks betrekking op dergelijke overdrachten
De zaak heeft echter indirecte gevolgen. Bedrijven zullen het feitelijke beschermingsniveau in niet-EU-landen veel beter moeten beoordelen dan tot nu toe het geval was. Wat de SCC's betreft, is bijvoorbeeld het conflict met de toezichtswetgeving even relevant als de wetgeving in landen als China of Rusland.
(II) Gevolgen voor de consument
Kunnen consumenten in de EU/EER nog steeds rechtstreeks gebruik maken van diensten van de VS (of van andere derde landen)?
In de meest praktische zin staat het gebruikers vrij hun eigen persoonsgegevens rechtstreeks naar een derde land te sturen, bijvoorbeeld wanneer zij een Chinese website gebruiken
Het is echter niet mogelijk om gegevens van andere mensen (bv. vrienden, collega's) rechtstreeks te delen met een Amerikaanse aanbieder, tenzij u hun vrijelijk gegeven, specifieke, geïnformeerde en ondubbelzinnige toestemming hebt gekregen om dit te doen.
Kunnen consumenten in de EU/EER nog steeds indirect (via een EU-dochteronderneming) gebruik maken van diensten van de VS (of van andere derde landen)?
In veel gevallen hebben gebruikers uit de EU/EER een contract met een EU-dochteronderneming van een Amerikaans bedrijf. Voorbeelden hiervan zijn Google Ierland, Facebook Ierland, Microsoft Luxemburg of Amazon Luxemburg
In deze gevallen zijn de EU-bedrijven er verantwoordelijk voor dat de "bedrijfsinterne" stromen van persoonsgegevens naar de VS aan de GDPR voldoen. Bedrijven zullen nu goed moeten kijken naar al deze gegevensstromen en of zij gegevens moeten hosten in Europa of in een ander land dat betere privacybescherming biedt, in plaats van te worden overgedragen aan een bedrijf dat onder toezicht van de VS staat.
(III) Gevolgen voor bedrijven
Kunnen EU/EER-bedrijven nog steeds "noodzakelijke" overdrachten van persoonsgegevens aan de VS uitvoeren?
In de meeste gevallen: Ja.
Artikel 49 van de BBPR bevat een lijst van "afwijkingen" die dergelijke gegevensoverdrachten mogelijk maken. Dit omvat gewoonlijk het plaatsen van bestellingen van bedrijven in de VS, het maken van boekingen bij hotels in de VS, het verzenden van e-mails naar de VS en in het algemeen elke dienst die logischerwijs een EU-VS gegevensoverdracht nodig heeft. Dergelijke overdrachten maken geen deel uit van de zaak en worden niet beïnvloed door het arrest.
Kunnen EU/EER-bedrijven de verwerking van persoonsgegevens blijven "uitbesteden" aan de VS?
In de meeste gevallen: Waarschijnlijk niet.
De meest gebruikte Amerikaanse gegevensverwerkers vallen ook onder de Amerikaanse toezichtswetten, zoals FISA 702, die voorschrijven dat zij zonder passende bescherming persoonsgegevens aan de Amerikaanse overheid moeten verstrekken. Het doorgeven van gegevens aan verwerkers op grond van dergelijke verplichtingen is in strijd met de BBPR, zoals bepaald door het Hof van Justitie van de Europese Unie.
Kunnen EU/EER-bedrijven de verwerking van persoonsgegevens in andere landen dan de VS blijven uitbesteden?
Ja, als er geen tegenstrijdige wetten zijn in dat land
De zaak verandert niets aan de GDPR-regels voor gegevensoverdrachten. Net als voorheen moet elk bedrijf in de EU controleren of er in een derde land wetten zijn die de privacywetgeving van de EU kunnen opheffen. In dergelijke gevallen kunnen persoonsgegevens niet worden uitbesteed aan dat derde land
Als de verwerking van persoonsgegevens bijvoorbeeld wordt uitbesteed aan land A, moet de voor de verwerking verantwoordelijke in de EU ervoor zorgen dat de ontvanger over de nodige regelingen beschikt, maar ook dat er geen sprake is van tegenstrijdig recht dat in land A van toepassing is en deze regelingen terzijde schuift.
Zijn alle gegevensoverdrachten van de EU/EER naar de VS nu verboden?
Nee, helemaal niet - om twee redenen
- De meeste gegevensoverdrachten bevatten geen "persoonsgegevens", maar een andere vorm van gegevens. Dergelijke gegevensoverdrachten worden zelfs niet door de GDPR geregeld
- De meeste "noodzakelijke" gegevensoverdrachten van persoonsgegevens (bv. bij het verzenden van een e-mail, een bericht of een hotelreservering) vallen nog steeds onder een ontheffing in artikel 49. Deze overdrachten kunnen na de uitspraak doorgaan en worden niet beïnvloed door de uitspraak.
Heeft de zaak betrekking op alle ontvangers van EU-gegevens in de VS?
Nee. het is alleen relevant voor bedrijven die onderworpen zijn aan de Amerikaanse toezichtswetten, of voor bedrijven die gebruik maken van providers die onder deze Amerikaanse toezichtswetten vallen.
FISA 702 is bijvoorbeeld alleen van toepassing op "aanbieders van elektronische communicatiediensten". Industrieën zoals banken, luchtvaartmaatschappijen, hotels, scheepvaartmaatschappijen, de verkoop van goederen en dergelijke vallen doorgaans niet onder deze wetten. Er bestaat echter enige onduidelijkheid over deze termen en de Amerikaanse wetgeving. Een verduidelijking door de Amerikaanse overheid lijkt noodzakelijk
In de praktijk kan een bank (die niet onder de FISA valt) echter zelf gebruik maken van een "aanbieder van elektronische communicatiediensten" (die wel onder de FISA valt). Dit betekent dat de gegevens van de bank toegankelijk zijn via de "aanbieder van elektronische communicatiediensten". Of hij kan gegevens overdragen die verkeerd gecodeerd zijn, waardoor bijvoorbeeld de gegevens kunnen worden "afgetapt" terwijl ze over onderwaterkabels worden verzonden (zoals toegestaan onder EO 12.333). De volledige gegevensstroom moet dus worden beoordeeld.
Hoe kan een uitspraak van het Hof van Justitie in de praktijk worden uitgevoerd?
Na de uitspraak moeten bedrijven individueel beoordelen of zij hun praktijken moeten wijzigen. Zij hebben de plicht om gegevensoverdrachten die illegaal zijn, tegen te houden. Dit is niets nieuws. Na het "Safe Harbor"-arrest zijn veel bedrijven in de EU overgestapt op Amerikaanse aanbieders.
Bedrijven die nu illegaal gegevens overdragen aan ontvangers in de VS, zullen zo snel mogelijk moeten stoppen met al deze overdrachten om te voorkomen dat ze worden geconfronteerd met boetes tot 20 miljoen euro of 4% van hun wereldwijde omzet in het kader van de BBPR. De nationale gegevensbeschermingsautoriteiten (DPA's) zijn verantwoordelijk voor de handhaving van deze sancties.
Gebruikers van EU-bedrijven kunnen verzoeken dat deze bedrijven de overdracht van hun persoonsgegevens naar de VS stopzetten. Als bedrijven deze verzoeken niet opvolgen, kunnen gebruikers een klacht indienen bij een gegevensbeschermingsautoriteit of een rechtszaak aanspannen bij hun lokale rechtbank. Dit kan leiden tot voorlopige bevelen en/of emotionele schade. In veel EU-landen kunnen consumentenorganisaties, werknemersraden en andere instanties ook collectieve of collectieve rechtszaken aanspannen als een bedrijf doorgaat met het doorgeven van persoonsgegevens zonder wettelijke basis.
Wat kunnen EU/EER-bedrijven doen?
Bedrijven moeten beoordelen of hun verwerking van persoonsgegevens moet worden uitbesteed aan Amerikaanse verwerkers. Als dat het geval is, moeten zij de rechtsgrondslag voor de gegevensoverdracht vaststellen (bv. afwijkingen in artikel 49 van het BBPR, de SCC's, het privacyschild of de BCR's).
De meeste Amerikaanse aanbieders van clouddiensten komen in aanmerking als "aanbieders van elektronische communicatiediensten" en vallen daarom onder de relevante Amerikaanse toezichtswetten, zoals FISA 702
Hoewel de meeste andere sectoren van de industrie niet onder deze wetten vallen, kunnen zij wel gebruik maken van "aanbieders van elektronische communicatiediensten" die dat wel doen, wat in feite indirect toegang geeft tot de gegevens. Er moet ook rekening worden gehouden met andere toezichtsinstrumenten zoals EO 12.333. EO 12.333 maakt "toezicht in doorvoer" mogelijk, zoals de toegang tot gegevens die niet goed gecodeerd zijn terwijl ze over transatlantische kabels lopen.
Als zij geen gebruik kunnen maken van een van de rechtsinstrumenten die een doorgifte overeenkomstig de artikelen 44 tot en met 50 van de bbpR mogelijk maken, moeten bedrijven alle relevante persoonsgegevens terugsturen naar de EU/EER en een verwerker vinden binnen de EU/EER of in een ander land waar een adequate bescherming van persoonsgegevens is gewaarborgd.
Wat kunnen Amerikaanse bedrijven doen?
Amerikaanse bedrijven moeten nagaan of zij of hun onderaannemer(s) onderworpen zijn aan de relevante toezichtswetten van de VS en of hun gegevensoverdrachten zodanig gecodeerd zijn dat "tappen" tijdens de overdracht niet mogelijk is. Na een dergelijke controle moeten zij hun klanten in de EU/EER meedelen of hun verwerking van persoonsgegevens door het vonnis wordt beïnvloed.
Op lange termijn kan het raadzaam zijn bepaalde verwerkingen uit de VS te verplaatsen of met gekozen vertegenwoordigers te praten over de gevolgen die de toezichtswetten van de VS hebben voor het vermogen van Amerikaanse bedrijven om zaken te doen met buitenlandse klanten. We hopen ook dat Amerikaanse bedrijven met de Amerikaanse wetgever zullen praten over het gebrek aan bescherming van hun internationale klanten.
(IV) POLITIEKE GEVOLGEN
Hoe kan het conflict tussen de toezichtswetten van de VS en de privacywetgeving van de EU op de lange termijn worden opgelost?
Als de VS hun positie als belangrijkste aanbieder van IT-diensten in de wereld willen behouden, zal de Amerikaanse toezichtswetgeving dringend moeten worden hervormd. De VS zullen een basisbescherming van de persoonlijke levenssfeer moeten invoeren die ten minste gelijkwaardig is aan de bescherming die al aan Amerikaanse burgers wordt geboden. Anders is het zeer onwaarschijnlijk dat buitenlandse klanten gebruik zullen blijven maken van Amerikaanse dienstverleners.
Zodra de Amerikaanse toezichtswetten op deze manier worden hervormd, zullen EU-bedrijven de gegevensoverdracht tussen de EU en de VS weer kunnen hervatten en zal de Europese Commissie nieuwe stabiele instrumenten kunnen uitvaardigen om dit mogelijk te maken.
Hoe kan de doorgifte van gegevens tussen de EU en de VS in de toekomst worden voortgezet?
In de kern hebben we te maken met een conflict tussen de privacywetgeving van de EU en de toezichtswetgeving van de VS: De EU-wetgeving vereist de bescherming van persoonsgegevens, terwijl de Amerikaanse wetgeving toezicht vereist
Het recht op privacy en gegevensbescherming zijn grondrechten in Europa, zoals vastgelegd in de artikelen 7 en 8 van het Handvest van de grondrechten van de Europese Unie. Alle 27 lidstaten zouden het unaniem eens moeten zijn over elke wijziging van deze grondrechten. De Europese Commissie heeft getracht uitzonderingen zoals "Safe Harbor" en "Privacy Shield" door te voeren, maar zonder de noodzakelijke hervorming van de Amerikaanse toezichtswetgeving voldoen deze voortdurend niet aan de grondrechten van de EU. Het resultaat is besluiten als deze, waardoor de uitzonderingen ongeldig worden.
De VS heeft in 2008 verregaande toezichtswetten voor niet-Amerikaanse personen ingevoerd. Als de VS deze toezichtswetten zouden terugdraaien, of dezelfde bescherming voor niet-Amerikaanse personen zouden garanderen als die welke voor Amerikaanse personen geldt, zou het zeer waarschijnlijk zijn dat de VS worden gezien als een land dat op grond van het EU-recht een "passende bescherming" van persoonsgegevens biedt als er voldoende verhaalsmogelijkheden zijn.
Kan de EU eenvoudigweg een ander besluit nemen als het privacyschild ongeldig wordt verklaard?
In theorie zou de Europese Commissie (bewust) een ander ongeldig besluit kunnen uitvaardigen als het Hof van Justitie van de Europese Unie het "privacyschild" ongeldig maakt. Aangezien het probleem in het Amerikaanse recht ligt, zou dit hoogstwaarschijnlijk leiden tot een rechtszaak die ertoe zou leiden dat het nieuwe besluit ook door het HvJEU ongeldig wordt verklaard. Het is zeer onwaarschijnlijk dat dit politiek aanvaardbaar zou zijn. Ook bedrijven hebben behoefte aan een juridisch stabiele oplossing.
Deze uitspraak en de vorige met betrekking tot "veilige haven" zijn beide gebaseerd op het Handvest van de grondrechten. Een unaniem akkoord tussen alle 27 EU-lidstaten zou vereist zijn om de EU-verdragen te wijzigen, zodat de Europese Commissie een juridisch deugdelijk besluit kan nemen over de doorgifte van gegevens tussen de EU en de VS.
De oplossing ligt dus in de handen van de Amerikaanse wetgever, die de huidige Amerikaanse toezichtswetten moet aanpassen of terugschroeven.
Is dit niet gewoon protectionisme van de EU?
Nee. Deze zaak wordt in feite aangespannen tegen de Europese Commissie. Het EU-recht biedt veel mogelijkheden voor internationale gegevensoverdracht - zolang de basisbescherming van de privacy maar in acht wordt genomen.
In werkelijkheid steunt de politieke tak van de EU (de Europese Commissie en de lidstaten) de doorgifte van gegevens tussen de EU en de VS, maar het Hof van Justitie van de EU heeft al eerder twijfels geuit over de rechtmatigheid van deze overeenkomsten met de VS, gezien de mogelijke schending van de grondrechten van de EU. Ook het Europees Parlement heeft twijfels geuit over deze overeenkomsten
Wanneer men het "privacyschild", zoals dat voor Amerikaanse bedrijven geldt, vergelijkt met de interne BBPR van de EU, is het duidelijk dat Amerikaanse bedrijven toegang kunnen krijgen tot de grote markt van de EU door veel zwakkere regels te volgen dan EU-bedrijven moeten volgen. Dit geeft Amerikaanse bedrijven een concurrentievoordeel.
