Persoonsgegevens verwerken of laten verwerken buiten de Europese Unie is niet evident, zeker niet sinds het Schrems II-arrest van 16 juli 2020 waarover we op deze blog al eerder uitgebreid berichtten met ook een bespreking van de praktische aanpak voor bedrijven bij data export.
Data export buiten de EU (EER eigenlijk) is gebonden aan heel wat administratieve verplichtingen. Gelukkig is er een lijst met landen die door de Europese Commissie als “veilige” bestemming voor Europese data beschouwd worden. Die lijst is erg kort, maar ze groeit wel gestaag. Na Japan in 2019 en het VK eerder in 2021 is in december 2021 ook nog Zuid-Korea toegevoegd aan deze lijst.
Persoonsgegevens uitwisselen met Zuid-Korea kan vanaf nu dus ook zonder (of met minder) juridische zorgen.
Data export?
Persoonsgegevens doorgeven aan personen of bedrijven buiten de Europese Unie mag niet zomaar onder GDPR. De Europese wetgever gaat er van uit dat landen buiten de EU (of beter de EER, dat is de EU uitgebreid met Noorwegen, Ijsland en Liechtenstein) niet per definitie hetzelfde niveau van privacybescherming kunnen bieden als het niveau dat door GDPR in Europa bestaat. Daarom mogen persoonsgegevens alleen doorgegeven worden buiten de EER onder zeer specifieke voorwaarden.
Er is sprake van data export zodra ‘Europese’ persoonsgegevens om welke reden dan ook verplaatst worden buiten de EU. Dat kan het geval zijn omdat ze doorgegeven worden aan een ontvanger buiten de EU (bijvoorbeeld bij de boeking van een hotelkamer door een touroperator of bij het doorgeven van een klantenlijst aan een offshore callcenter) of omdat data verwerkt of opgeslagen wordt op servers buiten de EU (bvb bij het gebruik van clouddiensten of online tools).
Vooral dat laatste is quasi onvermijdelijk. Zowat alle software tools die Europese bedrijven vandaag gebruiken, zijn immers (vooral) Amerikaans en aangezien de meeste daarvan tegenwoordig cloud services of online tools zijn, is er per definitie sprake van gegevensuitvoer (naar de VS). Elk bedrijf “exporteert” met andere woorden ergens in zijn activiteiten wel data buiten de EU en élk bedrijf zou eigenlijk een Data Export Compliance Audit moeten uitvoeren en zorgen voor de nodige juridische garanties in de vorm van een overeenkomst met de ontvanger buiten de EU op basis van de “Standard Contract Clauses” die de Europese Commissie met dat doel heeft opgesteld.
“Adequaat niveau van bescherming”
Voor sommige derde landen heeft de Europese Commissie beslist dat de wetgeving in dit land een passend niveau van bescherming biedt voor Europese data. Die lijst is nog erg kort, maar gelukkig werkt de Europese Commissie gestaag verder aan het uitbreiden van deze lijst met “veilige” landen, waarvan geoordeeld wordt dat de lokale wetgeving een voldoende hoog of “adequaat” beschermingsniveau biedt om gegevensexport naar die landen mogelijk te maken zonder bijkomende contractuele of administratieve verplichtingen.
Heel wat landen op de huidige lijst zijn vanuit economisch oogpunt niet echt belangrijk voor Belgische ondernemingen. De Faeröer eilanden, de Kanaaleilanden, Andorra of Liechtenstein zijn niet echt grote handelspartners voor België. Maar dankzij deze lijst kan data export naar bestemmingen als het VK (sinds 2021), Israël, Japan, Canada (voor de meeste toepassingen, maar niet alle), Argentinië, Zwitserland en Nieuw-Zeeland wel veilig en zonder al te veel zorgen.
Sinds december wordt dat lijstje dus uitgebreid met Zuid-Korea, volgend op een uitgebreide herziening en verstrenging van de Zuid-Koreaanse gegevensbeschermingswetgeving in 2020 en een vrijhandelsverdrag tussen de EU en Zuid-Korea dat al uit 2011 dateert.
De volledige lijst kan je op de website van de Europese Commissie vinden.
Opvallende afwezige…
Opvallende afwezige in de lijst is de Verenigde Staten. Een adequaatheidsbeslissing voor de VS is er nooit geweest en die zit er ook niet aan te komen in de voorzienbare toekomst. Het oordeel van de Europese Unie is immers dat het Amerikaanse recht en met name dan Amerikaanse interne veiligheidswetgeving zoals sectie 702 (50 USC § 1881a) van de Foreign Intelligence Surveillance Act (Cloud Services Act) ervoor zorgen dat de vertrouwelijkheid van Europese data nooit gegarandeerd is.
Dat was ook precies het oordeel van het Europese Hof van Justitie toen het in 2020 het specifieke uitwisselingsprotocol tussen de EU en de VS (het zogenaamde Privacy Shield) dat bepaalde Amerikaanse bedrijven onder strenge voorwaarden toeliet om toch Europese data te verwerken nietig verklaarde in het Schrems II-arrest.
Sindsdien is data export naar de VS aardig bemoeilijkt en vereist het een voorafgaande Data Export Compliance Audit en de nodige contractuele garanties in de vorm van Standard Contract Clauses (“SCC’s”) of (eerder uitzonderlijk) Binding Corporate Rules. Dat alles is bijzonder vervelend, want elk Europees bedrijf gebruikt wel de ene of de andere Amerikaanse software tool of cloud service en Amerikaanse bedrijven voelen de gevolgen van het Schrems II-arrest erg hard. Er zijn dan ook voorzichtige gesprekken tussen de EU en de VS gestart in een poging om een “nieuw” Privacy Shield te onderhandelen, maar vooralsnog zit er bijzonder weinig schot in deze onderhandelingen, precies omwille van de onderliggende fundamentele privacy issues in het Amerikaanse recht.
Vragen rond gegevensexport onder GDPR of hulp nodig bij een audit van jouw lopende contracten?
Bel of mail gerust vrijblijvend. Ons team staat je graag te woord. Bellen of mailen kan naar +32 2 721 13 00 of naar bart@siriuslegal.be.