Exit Safe Harbour, enter EU-US Privacy Shield

Exit Safe Harbour, enter EU-US Privacy Shield

Exit Safe Harbour…

Begin februari 2016 zijn de Europese Commissie en de Verenigde Staten het eens geworden over een nieuw kader voor trans-Atlantische gegevensstromen: het EU-US Privacy Shield.

De directe aanleiding voor de gesprekken en het akkoord tussen de EU en de Verenigde Staten omtrent het EU-US PrivacyShield was het arrest van het Europese Hof van Justitie van 6 oktober 2015. In de zaak van de Oostenrijkse rechtenstudent en privacy activist Max Schrems verklaarde het Hof de bestaande Safe Harbour regeling ongeldig. Safe Harbour proces is een administratieve procedure, opgesteld door de EU Commissie, voor bedrijven in de Verenigde Staten om te voldoen aan de EU-privacyregels (die momenteel zijn vervat in de Europese richtlijn 95/46/EG over bescherming van persoonsgegevens, in afwachting van de reeds lang geanticipeerde EU Privacy Verordening, die er vermoedelijk eind 2016, dan wel 2017 komt).

…enter EU-US Privacy Shield

De nieuwe EU-US PrivacyShield legt bedrijven in de VS zwaardere verplichtingen op ter bescherming van de persoonsgegevens van Europeanen. Samen met deze nieuwe verplichtingen komt er ook een meer doorgedreven en strenger toezicht en handhavingsbeleid door het Amerikaanse ministerie van Handel en de Federal Trade Commission (FTC), in samenwerking met de privacy-autoriteiten van de EU-landen. Zo heeft de VS er zich onder meer toe verplicht om de automatische toegang die overheidsinstanties op heden hebben tot persoonsgegevens van EU-burgers – die vanuit de EU naar de US zijn geëxporteerd – uit zijn wetgeving te schrappen. Eventuele toegang die nodig is voor de nationale veiligheid van de US zal aan duidelijke beperkingen, waarborgen en controlemechanismen worden onderworpen.

Er wordt voor privacygeschillen die betrekking hebben op de relatie EU-US eveneens een speciale ombudsman aangesteld, alsook zal er tussen de EU en de US een jaarlijks evaluatiemoment van deze regelgeving worden ingelast, geleid door de Europese Commissie en het ministerie van Handel van de US, teneinde verwatering van het akkoord te vermijden.

Via dit nieuwe akkoord wenst de EU enerzijds de bescherming van de persoonsgegevens van haar burgers te garanderen, en anderzijds de Europese bedrijven, en voornamelijk de KMO’s, de rechtszekerheid te bieden inzake Privacy die nodig is voor de ontwikkeling van hun trans-Atlantische activiteiten.

De pijlers van de nieuwe regelgeving

Zwaardere verplichtingen voor Amerikaanse ondernemingen die persoonsgegevens van Europeanen verwerken en een krachtige handhaving

Amerikaanse bedrijven die persoonsgegevens uit Europa willen invoeren, zullen onder de EU-US Privacy Shield regeling zware verplichtingen hebben m.b.t. de verwerking van persoonsgegevens en het waarborgen van individuele rechten. Het toezicht op de naleving van deze strenge regels zal worden bewerkstelligd door het Department of Commerce, en de naleving zal afgedwongen worden  door de Federal Trade Commission van de VS. Bovendien zal elke onderneming die persoonsgegevens uit Europa verwerkt, er zich toe moeten verbinden om besluiten van Europese privacy-autoriteiten na te leven.

Duidelijke waarborgen en transparantieverplichtingen inzake de toegang van de Amerikaanse overheid

Met deze regeling geeft de US voor het eerst in haar geschiedenis de EU garanties over de bescherming van EU-persoonsgegevens door overheidsinstanties in de VS, die ten behoeve van de nationale veiligheid toegang hebben tot die gegevens. Deze toegang zal wordt onderworpen aan duidelijke beperkingen, waarborgen en controlemechanismen. Uitzonderingen gelden alleen wanneer zij noodzakelijk en evenredig zijn; een willekeurige controle en op grote schaal zal niet (meer) mogelijk zijn.

Effectieve bescherming van de rechten van EU-burgers met diverse beroepsmogelijkheden

Elke burger die vindt dat zijn gegevens in het kader van de nieuwe regeling zijn misbruikt, zal over verschillende beroepsmogelijkheden beschikken. Ondernemingen uit de US zullen daarbij, wanneer aangesproken door een EU-burger, binnen een bepaalde termijn op klachten moeten reageren. Europese gegevensbeschermingsautoriteiten kunnen klachten doorverwijzen naar het ministerie van Handel en de Federal Trade Commission. Er wordt eveneens een gratis ADR-procedure (Alternative Dispute Resolution, een soort bemiddelings- en arbitragetraject) ingevoerd. Zoals voormeld zal er ook een speciale ombudsman worden aangesteld.

Inwerkingtreding?

Het EU-US Privacy Shield bevindt zich nog in zijn kinderschoenen. De komende weken zal het College van EU-commissarissen een ontwerptekst opstellen. Deze tekst zou dan, na advies van Groep 29 (= de EU privacyautoriteit) en raadpleging van de lidstaten, kunnen worden goedgekeurd waarna de gesprekken met de US over de definitieve tekst kunnen aanvatten.

Wordt met andere woorden vervolgd…