Vrijdag 25 maart bereikt de Europese Commissie (EC) samen met de Verenigde Staten (VS) een principeakkoord omtrent de uitwisseling van persoonsgegevens. Dit gebeurde in Brussel, waar de G7-top zich had verzameld om te beraadslagen over de huidige situatie in Oekraïne en hun samenwerkingen te intensiveren. De huidige wijze van overdracht gebeurde tot 2020 door de overeenkomst Privacy Shield, deze is ongeldig verklaard door het Europese Hof van Justitie in de Schrems II-zaak. Door middel van een nieuw akkoord zal het exporteren van persoonsgegevens vanuit de Europese Unie (EU) naar de Verenigde Staten opnieuw mogelijk zijn.
Rusland buitenspel
Tijdens de afgelopen G7-bijeenkomst over Oekraïne probeerden de leiders zich te verenigen tegen de illegale en onrechtmatige agressie van Rusland. Voorzitter van de EC Ursula von der Leyen kondigde een principeakkoord aan dat was gesloten met president Joe Biden. Hierin roept zij wereldleiders op hun huidige democratieën aan te passen aan de snel veranderende wereld. Zij doelt met name op de digitalisering en daarbij noodzakelijke bescherming van persoonsgegevens en privacy. De samenwerking zal volgens Von der Leyen zorgen voor een vredige en duurzame toekomst.
Volgens de European Data Protection Board (EDPB) is dit een goede stap naar afspraken over de doorgifte van persoonsgegevens buiten de EU. Het EDPB is een onafhankelijk Europees orgaan met als taak de EC te adviseren bij gegevensbeschermingsvraagstukken. Zij benadrukken ook dat er nog geen akkoord is. Hierdoor kan de huidige export van persoonsgegevens van de EU naar de VS alleen plaatsvinden bij voldoende aanvullende bescherming. De Amerikaanse wetten beschermen de persoonsgegevens van Unieburgers op dit moment namelijk onvoldoende.
Privacy Shield niet sterk genoeg
Al sinds 16 juli 2020 is het niet meer mogelijk om persoonsgegevens te exporteren van de EU naar de VS op grond van de Privacy Shield overeenkomst. Dit besloot het Europese hof van Justitie (HvJ-EU) naar aanleiding van een prejudiciële vraag die zij kreeg van het Ierse Hooggerechtshof. In deze zaak klaagde de Ierse Max Schrems Facebook aan voor het feit dat zij zijn persoonsgegevens niet mochten exporteren naar de VS. Schrems, die vijf jaar voor deze uitspraak al succesvol procedeerde over de geldigheid van het Safe Harbour-besluit, de voorloper van Privacy Shield, kreeg ook in deze zaak gelijk. Organisaties die met het gebruik van deze overeenkomst persoonsgegevens van de EU naar de VS exporteerden, konden met onmiddellijke ingang geen gebruik meer maken van de overeenkomst.
Volgens het HvJ-EU is het door middel van modelcontracten mogelijk persoonsgegevens voldoende te beschermen. Het hof geeft de organisatie die de gegevens exporteert de taak voorafgaand aan de doorgifte het recht en de praktijk van het derde land te beoordelen. Wanneer wordt geconstateerd dat een land niet voldoet aan de Algemene Verordening Gegevensbescherming (AVG), zal het modelcontract aanvullende bescherming moeten bieden. Het exporteren van persoonsgegevens buiten de EU blijft dus volgens het Hof mogelijk wanneer een gelijkwaardig beschermingsniveau aan de desbetreffende persoon kan worden geboden.
Schrems III?
Ondanks de betekenisvolle speech van Von der Leyen, blijven de recente afspraken slechts een principeakkoord. Hierdoor zal de huidige situatie, zoals het EDPB al aangaf, niet veranderen. Modelcontracten blijven dus bij het exporteren van persoonsgegevens buiten de EU centraal staan. Hopelijk zal de aangekondigde samenwerking tussen de EU en de VS als reactie op Rusland ook echt in werking treden. Dan is het alleen nog hopen dat Max Schrems deze overeenkomst onaangetast zal laten.