Standaard contractuele clausules volstaan voor datatransfers buiten EU

De advocaat-generaal van het Europese Hof van Justitie heeft op 19 december 2019 in een niet-bindend advies vastgesteld dat de overdracht van gegevens buiten het Europese blok legaal is. Een overwinning voor onder andere Facebook ten opzichte van de Irish Data Protection Commissioner (DPC), de Ierse gegevensbeschermingsautoriteit.

"Standaard contractuele clausules voor de overdracht van persoonsgegevens aan verwerkers die gevestigd zijn in derde landen zijn geldig." Dat bepaalde advocaat-generaal Henrik Saugmandsgaard in een beslissing die door het Hof van Justitie gepubliceerd werd.

In zijn rol van advocaat-generaal doet hij aanbevelingen om een oplossing uit te werken voor specifieke juridische problemen. Het gerecht zelf is nog steeds in overleg en zal op een later tijdstip reageren. Maar de mening van advocaat-generaal Saugmandsgaard is een overwinning en een opluchting voor bedrijven die afhankelijk zijn van standaard contractuele clausules om hun gegevensoverdrachten buiten de Europese economische ruimte te ondersteunen.

Max Schrems

In 2013 diende de Oostenrijkse advocaat en voorvechter van de privacy, Max Schrems, een klacht in bij de Ierse autoriteit. Schrems voert in verschillende landen al jaren een verbeten strijd met Facebook en andere social mediakanalen omtrent privacy. Deze klacht werd in Ierland neergelegd, omdat Facebook daar als verwerkingsverantwoordelijke de persoonsgegeven binnen Europa  verwerkt. Zijn klacht volgde op de onthullingen van Edward Snowden over de activiteiten van de Amerikaanse inlichtingendiensten (met name het National Security Agency). Hij is van mening dat de wet en de praktijken die de Verenigde Staten erop naslaan onvoldoende bescherming bieden tegen inbreuken op de privacy. Anders gezegd, het toezicht van de Amerikaanse overheid op de gegevens die naar dat land worden doorgegeven, voldoet niet.

De zaak Schrems II probeerde te bevestigen dat een aantal mechanismen voor gegevensoverdracht - in het kader van due diligence - niet bruikbaar zijn voor EU-bedrijven. Met materiële risico’s (boetes gekoppeld aan GDPR) tot gevolg als ze beoordelingen verkeerd inschatten.

Vertraging en extra kosten

In het verleden volstond het voor Europese bedrijven om een contractje te ondertekenen en klaar. Tot Schrems die werkwijze aanvocht. Was hem dat gelukt, dan zouden bedrijven veel meer kosten moeten maken om die datatransfers buiten de Europese economische ruimte mogelijk te maken. Dan bleven enkel binding corporate rules (waar veel meer juridisch advies voor nodig is), adequaatheidsbeslissingen en ad hoc controles door de gegevensbeschermingsautoriteit over. Die zouden vertragingen en extra kosten met zich meebrengen om ze op te stellen. Maar dat gaat dus niet door.

Solide basis

De mening van de advocaat-generaal suggereert dat dit kwesties zijn voor de Commissie en de overheid en niet voor individuele bedrijven. Dat suggereert ook dat standaard contractuele clausules (SCC’s) een solide basis blijven voor de overdracht van gegevens naar landen buiten de Europese Unie.

SCC’s zullen dus een ​​belangrijk hulpmiddel zijn voor Britse bedrijven om gegevens van de EU te ontvangen na de Brexit. Het lijkt dan ook niet meer dan normaal dat ze een gepaste plaats krijgen in de komende handelsbesprekingen en dat ze niet als een kritisch aspect behandeld worden.