De European Data Protection Board (EDPB) heeft vrijdag een document gepubliceerd met antwoorden op veelgestelde vragen over het Schrems II arrest. De toezichthouders maken duidelijk dat er geen overgangsperiode is om alternatieven voor het Privacy Shield te vinden en dat internationale doorgiften ogenblikkelijk opnieuw geëvalueerd moeten worden.
Samenvatting document
In de kern stellen de toezichthouders het volgende:
- volgens het Hof moet bij alle vormen van internationale gegevensuitwisseling hetzelfde beschermingsniveau gewaarborgd zijn;
- voor uitwisseling onder het Privacy Shield moet per direct een alternatief worden gevonden, er is geen overgangsperiode;
- voor de alternatieven als de modelcontracten en binding corporate rules (BCR) is het aan partijen zelf om te analyseren of en zo ja welke aanvullende maatregelen er nodig zijn om aan het vereiste beschermingsniveau te voldoen;
- op mogelijk aanvullend te treffen maatregelen om de privacy te borgen komt de EDPB later nog terug;
- indien na analyse blijkt dat de uitwisseling niet rechtmatig te krijgen is, moet deze ogenblikkelijk worden gestopt; indien de uitwisseling toch wordt voorgezet, moet de toezichthouder worden geïnformeerd;
- uitwisseling mag op grond van toestemming, maar aan die toestemming worden hele hoge eisen gesteld (zoals informeren over het feit dat de privacybescherming in het land van bestemming slechter is);
- uitwisseling vanwege uitvoering van een overeenkomst mag alleen in specifieke situaties.
Geen overgangsperiode Privacy Shield
Dat de EDPB zegt dat er geen overgangsperiode geldt voor uitwisselingen onder het vernietigde Privacy Shield is ergens wel logisch. Je kunt van toezichthouders immers lastig verwachten dat ze uitwisselingen onder een regeling die zo overduidelijk door het Hof als ongeldig is verklaard, toch nog langer blijven gedogen.
Tegelijkertijd is het natuurlijk niet echt reëel om te veronderstellen dat partijen van de ene op de andere dag een alternatief hebben gevonden voor dat Privacy Shield. Bij dat systeem waren duizenden Amerikaanse bedrijven aangesloten met een veelvoud daarvan aan Europese klanten.
Al die klanten moeten nu ofwel met die Amerikaanse partijen in onderhandeling (voor zover er daarbij al een oplossing gevonden kan worden...), ofwel op zoek naar een technisch alternatief. Alleen het onderhandelen daarover of het zoeken van dat alternatief kost tijd.
Zelfs al zouden al die klanten maximaal inzetten op het zoeken van een alternatief, dan nog kost een dergelijke transitie tijd (zoals iedere ICT-implementatie tijd kost).
Je kunt je ernstig afvragen of het verwijtbaar is indien een bedrijf wel zijn best doet om een overstap te maken, maar dat niet per direct voor elkaar heeft.
Mochten de toezichthouders daadwerkelijk nu direct gaan handhaven, dan krijgen ze dergelijke argumenten natuurlijk direct tegengeworpen (en dat weten ze zelf ook best). Het was wat dat betreft wat overtuigender geweest om een meer richtinggevende instructie aan partijen te geven, maar dat was kennelijk op deze termijn niet haalbaar.
De bal ligt terug bij partijen zelf
Wat verder opvalt is dat de EDPB enerzijds de bal teruglegt bij partijen zelf over de aanvullend te treffen maatregelen, maar anderzijds aangeeft zelf (ook) nog niet te weten welke aanvullende maatregelen er dan vereist zijn.
Dit maakt het voor de praktijk natuurlijk wel erg ingewikkeld.
Partijen moeten nu zelf:
- een analyse maken van het rechtsstelsel van het land van bestemming;
- dat stelsel vergelijken met het EU-recht;
- zelf bedenken welke aanvullende maatregelen er dan vereist zijn om een verschil tussen 1 en 2 goed te maken.
Over stap 1 en 2 doet de Europese Commissie bij het vaststellen van het beschermingsniveau van een land normaalgesproken al erg lang. Kijk maar eens naar de doorlooptijden bij de verschillende adequaatheidsbeslissingen.
De vraag is hoe reëel het is dat de gemiddelde ondernemer deze analyse gaat maken als onderdeel van contractonderhandelingen. Moeten we nu voortaan qua doorlooptijd bij enkele maanden onderhandelingen een paar jaar privacy-analyse optellen? Of ontbindende voorwaarden inzake privacy toevoegen?
En saillant detail: gaat de nationale toezichthouder bij handhaving dan voortaan zelf ook die verschillenanalyse (stap 1 en stap 2) maken? Gelet op de bewijslast die bij punitieve sancties bij de toezichthouder ligt zou je dit wel (mogen) verwachten. Daar staat wel weer tegenover dat op de verwerkingsverantwoordelijke een eigen verantwoordingsplicht rust (artikel 5 lid 2 / artikel 25 AVG). Het is de vraag wat in de praktijk zwaarder weegt.
Vele manieren om het fout te doen
Het geheel aan standpunten van de toezichthouders overziend, valt ook op dat partijen die internationaal gegevens uitwisselen het haast niet goed kunnen doen. In de visie van de toezichthouders kan het volgende immers allemaal mis gaan:
- het niet ogenblikkelijk evalueren van de uitwisselingen;
- het trekken van onjuiste conclusies naar aanleiding van die evaluaties;
- het niet of niet tijdig treffen van de juiste aanvullende maatregelen;
- het niet onmiddellijk na evaluatie staken van de uitwisselingen;
- het niet informeren van de toezichthouders over (de conclusies omtrent) de uitwisselingen;
- etc.
Het ligt voor de hand dat grote aanbieders van cloud platforms (een deel van) de analyses voor hun klanten zullen gaan doen en vervolgens hun klanten van standaardantwoorden zullen voorzien. De vervolgvraag zal zijn in hoeverre die standaardantwoorden zullen worden geaccepteerd.
Ten slotte
Het standpunt van de toezichthouders is op zich ferm en duidelijk, maar roept niettemin vele (vervolg)vragen op. Het zou fraaier zijn geweest indien de toezichthouders wat meer concrete richting zouden hebben gegeven, maar dat is wellicht wat te veel gevraagd op deze korte termijn.
Alle bedrijven en instellingen die aan internationale uitwisseling van gegevens doen (lees: bijna allemaal....), doen er in ieder geval goed aan deze nog eens kritisch tegen het licht te houden. We kunnen u hierover uiteraard nader adviseren, zo nodig ook door inschakeling van advocaten uit andere landen. Neem bij vragen gerust contact op.
