Advocaat-generaal (A-G) Saugmandsgaard Øe van het EU-Hof heeft in zijn conclusie van 19 december 2019 aangegeven dat het modelcontract voor doorgifte van persoonsgegevens aan verwerkers die buiten de EU zijn gevestigd, geldig is. De Europese Commissie heeft drie modelcontracten opgesteld die organisaties kunnen gebruiken om rechtmatig persoonsgegevens buiten de EU te laten verwerken. Decentrale overheidsorganisaties die bijvoorbeeld persoonsgegevens opslaan op een server in de VS kunnen van dit modelcontract gebruikmaken.
Doorgifte aan derde landen
Onder bepaalde voorwaarden mogen decentrale overheidsorganisaties persoonsgegevens laten verwerken in een land buiten de Europese Unie. Bijvoorbeeld wanneer er een adequaatheidsbesluit is genomen voor dat land, of wanneer er een contract inzake gegevensbescherming wordt gesloten met de organisatie die de persoonsgegevens opslaat of op een andere manier verwerkt. In de AVG staat dat zowel de Europese Commissie als een toezichthoudende autoriteit (zoals de Autoriteit Persoonsgegevens) deze standaardbepalingen kan vaststellen.
De Europese Commissie heeft drie standaard modelcontracten opgesteld. Twee daarvan zien toe op de uitwisseling van persoonsgegevens tussen twee verwerkingsverantwoordelijken. Het derde contract gaat over de uitwisseling tussen een verwerkingsverantwoordelijke in de EU en een verwerker buiten de EU (Besluit 2010/87).
Rechtmatigheid modelcontracten
De A-G heeft zijn conclusie opgesteld in zaak C-311/18. De zaak speelt naar aanleiding van een klacht van Max Schrems bij de Ierse toezichthouder over de rechtmatigheid van doorgifte van persoonsgegevens van Facebook Ierland naar de vestiging in de Verenigde Staten.
Schrems stelt dat de modelcontractbepalingen niet als grondslag gebruikt kunnen worden voor de doorgifte van persoonsgegevens naar de Verenigde Staten. Volgens hem bieden de modelcontracten niet voldoende waarborgen voor de bescherming van de fundamentele rechten en vrijheden van EU-burgers. De personen wiens persoonsgegevens worden uitgewisseld, kunnen geen rechtsmiddel inschakelen waarmee zij deze fundamentele rechten en vrijheden in de VS zouden kunnen inroepen.
De Ierse toezichthouder heeft vervolgens via het Ierse High Court aan het EU-Hof gevraagd of het modelcontract (Besluit 2010/87) geldig is.
Conclusie A-G
De A-G heeft onderzocht of de modelcontractbepalingen in overeenstemming zijn met het Handvest van de grondrechten van de EU. Dit hangt er volgens de A-G van af of er sprake is van een verplichting voor de verwerkingsverantwoordelijken en, wanneer deze niets ondernemen, voor de toezichthoudende autoriteiten – om een doorgifte van persoonsgegevens op te schorten of te verbieden wanneer de modelbepalingen niet kunnen worden nageleefd, omdat het derde land conflicterende verplichtingen oplegt. In de specifieke situatie van de VS gaat het erom dat de verwerker in het derde land in sommige gevallen de bevoegde autoriteiten van het derde land toegang tot de data dient te geven. Bijvoorbeeld wanneer de nationale veiligheid in het geding is.
De A-G geeft aan dat hij in het geval van uitwisseling met de VS wel wat praktische uitdagingen ziet om de rechten van de betrokken personen te garanderen, maar dat de modelcontracten geen inbreuk maken op de artikelen 7, 8 en 47 van het Handvest. In het geval dat een verwerker in de VS de bevoegde autoriteiten toegang zou moeten verlenen zónder dat EU-burgers de middelen hebben om daarbij hun rechten te garanderen, is het aan de toezichthoudende autoriteiten van de VS om corrigerende maatregelen te nemen.
Uitspraak EU-Hof
Na de conclusie van de A-G buigt het EU-Hof zich over de uitspraak. Als de rechters de conclusie van de A-G volgen wordt bevestigd dat decentrale overheden die persoonsgegevens uitwisselen met een verwerker buiten de EU gebruik kunnen blijven maken van het modelcontract van de Europese Commissie.
Goed om verder in de gaten te houden is de geldigheid van het adequaatheidsbesluit tussen de VS en de EU (Privacy Shield). De A-G gaf in zijn conclusie aan dat hij het niet als de rol van het Hof ziet in deze zaak uitspraak te doen over de geldigheid van de het Privacy Shield tussen de VS en de EU, maar zet wel uiteen waarom hij twijfelt aan de overeenstemming van het Privacy Shield met het Handvest.
Meer informatie
A-G Conclusie zaak C-311/18 – Facebook Ireland en Schrems, EU-Hof van Justitie
Gegevensuitwisseling met derde landen, Kenniscentrum Europa Decentraal
Standard Contractual Clauses, Europese Commissie
Decision 2010/87, Europese Commissie
Advocaat-generaal: EU-modelcontractbepalingen over doorgifte persoonsgegevens aan derde landen zijn geldig, nieuwsbericht Expertisecentrum Europees Recht