Het US Privacy Shield biedt onvoldoende waarborgen voor overdracht van persoonsgegevens uit de EU

Het Europese Hof heeft op 16 juli 2020 een belangrijk oordeel uitgesproken over de toereikendheid van het privacy shield voor de overdracht van persoonsgegevens naar landen buiten de EU. Het Hof oordeelt dat bepaalde bewakingsprogramma’s die de Amerikaanse overheid toegang verschaffen tot persoonsgegevens die vanuit de EU naar de VS worden doorgegeven voor doeleinden van nationale veiligheid, niet voldoende zijn beperkt. Ook bestaan onvoldoende garanties voor niet-Amerikaanse personen. Als gevolg van een dergelijke mate van inmenging in de grondrechten van personen wier gegevens aan dat derde land worden doorgegeven, heeft het Hof de beschikking inzake de gepastheid van het privacy shield ongeldig verklaard.

Dit betekent dat de doorgifte op basis van dit rechtskader onwettig is. Er is geen respijtperiode. Veel grote organisaties zijn aangesloten op het privacy shield. Indien u gegevens wilt blijven doorgeven aan de VS, dient u te controleren of u dit kunt doen onder een ander mechanisme, wat wel een passend niveau van rechtsbescherming waarborgt.

Wat kunt u doen wanneer u gebruik maakt van standaardcontractuele clausules (SCC’s) of Binding Corporate Rules (BCR’s)?

Het Hof oordeelde dat de Amerikaanse wetgeving geen in wezen gelijkwaardig beschermingsniveau garandeert. Of u al dan niet persoonsgegevens kunt doorgeven op basis van SCC’s of BCR’s hangt af van het resultaat van uw beoordeling, rekening houdend met de omstandigheden van de overdrachten, en van de aanvullende maatregelen die u zou kunnen treffen. Deze aanvullende maatregelen en de SCC’s of BCR’s zouden, na een analyse per geval van de omstandigheden van de doorgifte, ervoor moeten zorgen dat de Amerikaanse wetgeving geen afbreuk doet aan het adequate beschermingsniveau dat zij garanderen. Indien u tot de conclusie komt dat, rekening houdend met de omstandigheden van de doorgifte en eventuele aanvullende maatregelen, geen passende waarborgen zouden worden geboden, bent u verplicht de doorgifte van persoonsgegevens op te schorten of te beëindigen. Indien u echter van plan bent om ondanks deze conclusie toch gegevens door te geven, dient u uw bevoegde privacy autoriteit hiervan op de hoogte te stellen.