Maximilian Schrems tegen Facebook ( ‘Goliath’ Verenigde Staten)
Als er één persoon is die voorvechter is van Privacy, en dat al jarenlang, dan is het de Oostenrijkse advocaat Maximilian Schrems. Dit is één van de mensen die geschiedenis schrijft en blijft schrijven.
Van Safe Harbor tot het Privacy Shield tot passende waarborgen; een korte reconstructie:
Juni 2013 :
Snowden onthult de privacyschandalen rond de NSA en de surveillanceprogramma’s PRISM en Upstream. Iedereen, ook u, kan worden gevolgd door Amerikaanse beveiligingsdiensten.
25 Juni 2013:
M. Schrems dient een klacht in bij de Data Privacy Commission Ireland om Facebook Ireland te verbieden zijn persoonsgegevens door te sturen naar de Verenigde Staten. Hij koos Facebook uit maar eigenlijk kon dit eender welk groot Amerikaans bedrijf zijn.
25 juli 2014:
Een prejudiciële vraag wordt gesteld door de High court of Ireland aan het Hof van Justitie.
6 oktober 2015:
Safe harbor, de toen geldende regeling over datatransfers tussen EU en de Verenigde Staten wordt ongeldig verklaard. Schrems I (zie arrest)
12 juli 2016, inwerkingtreding 1 augustus 2016:
De regeling beter bekend als ‘Privacy Shield’ komt tot stand als antwoord op Schrems I.
1 december 2015: Ondertussen diende M. Schrems opnieuw een klacht in maar geherformuleerd: Hij stelt dat Facebook naar Amerikaans recht ertoe verplicht is zijn persoonsgegevens ter beschikking te stellen aan de National Security Agency (NSA) en de Federal Bureau of Investigation (FBI) en dit in strijd is met onze grondrechten( hij hanteerde artikelen 7, 8 en 47 van het Handvest van de grondrechten van de Europese Unie).
Een sprong naar 2020 (voor uitgebreide historie en de exacte juridische vragen kan u het arrest in de link lezen)
Op donderdag 16 juli 2020 heeft het Hof van Justitie een uitspraak gedaan in de zaak Schrems II (zie arrest ), waarin ‘het ‘nieuwe’ Privacyshield’ ongeldig wordt verklaard, de mechanismen voor de overdracht van persoonsgegevens tussen de EU en de VS worden aangevochten op grond van het argument dat de Amerikaanse wetgeving de bescherming van de persoonsgegevens van de EU niet adequaat kan waarborgen.
Het besluit van het Hof van Justitie van de EU om het ‘Privacyshield’ ongeldig te verklaren, maakt de VS een derde land zonder speciale regeling.
Verder geeft men de autoriteiten de bevoegdheid om in te grijpen wanneer datatransfers conform de Standard Contractual Clauses niet voldoende waarborgen zouden bieden. Elke datatransfer moet dus worden beoordeeld op hun juridische grondslag en een juridische assessment doorstaan. In de meeste gevallen zijn dus bijkomende passende waarborgen nodig.
Wat nu?
Vanaf nu moeten de datatransfers naar de Verenigde Staten beschouwd worden als een transfer naar een land buiten de Europese Unie waarvoor geen adequaatheidsbesluit bestaat en dit met onmiddellijke ingang (dus conform artikel 46 Algemene Verordening Gegevensbescherming (GDPR) of Binding corporate rules Artikel 47).
Het gebruik van de Standard Contractual Clauses zal moeten worden aangevuld met aanvullende passende waarborgen. In paragraaf 134 van het arrest wordt gesteld dat elke datatransfer moet beoordeeld worden.
Er wordt een grote implementatie van de GDPR-principes als passende waarborg geëist die contractueel vastliggen. Het aansprakelijkheidsrisico blijft echter natuurlijk. Als verwerkingsverantwoordelijke bent u het eerste aanspreekpunt als er iets fout loopt.
Check dus de vestigingsplaats van je softwareleverancier of onderzoek de banden van je softwareleverancier met de Amerikaanse surveillance wetten (dit kan ook het geval zijn).
Landen met een adequaatsheidsbesluit: Lijst Adequate landen Gegevensbeschermingsautoriteit
Wil u uw softwareleveranciers onder de loep nemen en de overeenkomsten bekijken. Hebt u vragen? Contacteer me dan gerust.
Ik volg de evoluties op de voet.
