Safe Harbor

Vijftien jaar lang bood de Safe Harbor beschikking van de Europese Commissie een grondslag voor de doorgifte van persoonsgegevens van Europa naar de Verenigde Staten. Bedrijven die zichzelf committeerden aan de Safe Harbor principes werden geacht ‘een passend beschermingsniveau te waarborgen’ voor de bescherming van persoonsgegevens. De Safe Harbor beschikking is in 2000 afgegeven door de Europese Commissie na intensieve onderhandelingen met de Verenigde Staten. Bedrijven uit de Verenigde Staten konden na deze beschikking op basis van zelfcertificering stellen dat zij voldeden aan de vereisten van de Europese privacyregelgeving. Met deze certificering zouden bedrijven een ‘veilige haven’ vormen voor de Europese persoonsgegevens in de Verenigde Staten. Op 6 oktober 2015 verklaarde het Europees hof van Justitie de Safe Harbor beschikking echter ongeldig in de procedure van Maximillian Schrems tegen de Ierse privacy-toezichthouder over de verzending van persoonsgegevens door Facebook (C‑362/14). Schrems maakte bezwaar tegen de doorgifte van zijn persoonsgegevens door Facebook aan servers in de Verenigde Staten. Safe Harbor bood volgens het Europees Hof van Justitie onvoldoende waarborgen voor de bescherming van persoonsgegevens van Europese burgers. De Europese Richtlijn bescherming persoonsgegevens (95/46/EG) vereist voor de doorgifte van persoonsgegevens naar landen buiten de EU niet alleen een passend beschermingsniveau, maar ook het waarborgen van dit passende beschermingsniveau. Door het ongeldig verklaren van de Safe Harbor beschikking is het doorgeven van persoonsgegevens aan organisaties in de Verenigde Staten niet langer toegestaan op grond van een Safe Harbor-certificering van de ontvangende organisatie.

Geen geldige grondslag

De beboete bedrijven hebben nagelaten de verwerking van persoonsgegevens, na de ongeldigverklaring van de Safe Harbor beschikking, op een andere grond te baseren of te stoppen. Na de uitspraak van het Europees Hof van Justitie gaven de Europese privacy-toezichthouders, verenigd in de Artikel 29 Werkgroep, Europese bedrijven tot 31 januari 2016 de tijd om de doorgifte van persoonsgegevens aan de Verenigde Staten op een andere grond te baseren of te stoppen. Door dit na te laten lopen de drie bedrijven een boete op. De boetes bedragen respectievelijk € 8.000,- voor Adobe, € 9.000,- voor Punica en € 11.000,- voor Unilever. De boetes zijn relatief beperkt gebleven omdat de bedrijven gedurende het handhavingstraject in een andere grondslag hebben voorzien voor de doorgifte. Waarschijnlijk zijn de bedrijven overgestapt op het gebruik van de EU Model Clauses als grondslag voor de doorgifte. De Duitse privacy-toezichthouder waarschuwt wel voor het gebruik van deze Model Clauses als grondslag: net als de Safe Harbor principes bevatten de Model Clauses vrijwel geen waarborgen voor het daadwerkelijk realiseren van een passend beschermingsniveau.

De toekomst

De Europese Commissie is sinds de uitspraak van het Europees Hof van Justitie in oktober 2015 aan het onderhandelen met de Verenigde Staten over een opvolger voor de Safe Harbor beschikking: het EU-U.S. Privacy Shield. De Artikel 29 Werkgroep is tot op heden echter (nog) niet van mening dat het Privacy Shield voldoende waarborgen biedt, zo liet de Werkgroep in haar advies van april jl. weten. Tot er overeenstemming is bereikt over het Privacy Shield, en zo lang het Europees Hof van Justitie zich niet heeft uitgesproken over de waarborgen die de EU Model Clauses bieden, zijn de EU Model Clauses de minst omslachtige grondslag. Andere mogelijkheden zijn het aanvragen van een vergunning bij de Minister van Veiligheid en Justitie of gebruik maken van Binding Corporate rules. Beide mogelijkheden kosten echter aanzienlijk meer tijd, moeite en geld dan het gebruik van de EU Model Clauses.

Intussen zet Maximilian Schrems zijn strijd voor adequate privacybescherming door: hij is een nieuwe procedure gestart over het gebruik van de EU Model Clauses door Facebook. Hoe het Europees Hof van Justitie zal oordelen en of het Privacy Shield in de tussentijd wordt geaccepteerd is nog ongewis. Wordt vervolgd

Natascha van Duuren, partner IT, Privacy & Cybersecurity [email protected] of 071-5815356.