Zowel op grond van het huidige privacyrecht (Wbp) als op grond van de Algemene Verordening Gegevensbescherming die per 25 mei 2018 in werking treedt, is het onder omstandigheden mogelijk om persoonsgegevens van Europese burgers te verwerken in de Verenigde Staten. In de praktijk wordt daarbij vooral gebruikt gemaakt van de mogelijkheden die het EU/VS Privacy Shield en de modelcontracten van de Europese Commissie bieden. Beide instrumenten kwamen recent in het nieuws!
Tot 2015 was het toegestaan om persoonsgegevens van Europese Burgers te laten verwerken door een Amerikaans bedrijf, indien dit Amerikaanse bedrijf zich gecommitteerd had aan de zogenaamde Safe Harbor Principles. Op 6 oktober 2015 heeft het Hof van Justitie (HvJ) deze principes echter ongeldig verklaard, omdat volgens de Europese rechter de Safe Harbor Principles Europese burgers onvoldoende beschermde tegen inmenging van de Amerikaanse overheid.
Nadien zijn de Amerikaanse overheid en de Europese Commissie in onderhandeling getreden over een nieuwe set met voorwaarden; het Privacy Shield. Het Privacy Shield gaat uit van een vergelijkbare systematiek als de Safe Harbor Principles; als een Amerikaans bedrijf zich heeft gecommitteerd aan het Privacy Shield, mogen persoonsgegevens van Europese burgers door dit bedrijf in de Verenigde Staten worden verwerkt.
Hoewel op het Privacy Shield de nodige kritiek is geuit, is het Privacy Shield in augustus 2016 in werking getreden. In het Privacy Shield heeft de Europese Commissie zich verplicht om het Privacy Shield jaarlijks te evalueren. Op 18 oktober 2017 is de eerste evaluatie van het Privacy Shield gepubliceerd.
Uit de evaluatie blijkt dat het Privacy Shield nog steeds een passend beschermingsniveau biedt voor Europese burgers wiens persoonsgegevens worden verwerkt door Amerikaanse bedrijven. Wel bevat de evaluatie een aantal aanbevelingen om het Privacy Shield te verbeteren, waaronder de navolgende:
Het Privacy Shield is niet de enige grondslag op basis waarvan persoonsgegevens van Europese burgers verwerkt kunnen worden in de Verenigde Staten. Ook als met een Amerikaans bedrijf een door de Europese Commissie gepubliceerd modelcontract wordt gesloten, is het toegestaan om persoonsgegevens van Europese burgers te verwerken in de Verenigde Staten.
Ook deze modelcontracten liggen onder vuur. De Oostenrijker Max Schrems, die eerder al de procedure aanhangig maakte die uiteindelijke leidde tot de vernietiging van de Safe Harbor Principles, is een procedure tegen Facebook gestart waarin de modelcontracten van de Europese Commissie ter discussie zijn gesteld. Deze procedure is in eerste instantie gevoerd voor de Ierse rechter. Op 3 oktober 2017 heeft de Irish High Court een uitspraak gewezen, waarin de Ierse rechter de zaak heeft doorverwezen naar het HvJ. Vermoedelijk zal het HvJ zich dus ook gaan uitlaten over de rechtsgeldigheid van de modelcontracten.
ConclusieHet verwerken van persoonsgegevens van Europese burgers in de Verenigde Staten blijft de gemoederen bezig houden. Mocht u vragen hebben over dit onderwerp hebben, neem dan gerust contact met mij op.
Dit blog is ook verschenen op LinkedIn.