Terwijl we bijna de zomer van 2023 ingaan, zijn alle ogen van privacyspecialisten en juristen in de EU nog steeds gericht op de Europese Commissie en de verwachte afronding van een nieuw framework voor gegevensuitwisseling met de Verenigde Staten, dat aangekondigd was voor deze zomer.
De hoop van vele bedrijven is nog steeds dat dit EU-VS framework -of dit “nieuwe Privacy Shield” zoals het ook wel genoemd wordt- volledig operationeel zal zijn tegen de tijd dat de hittegolven toeslaan. Europese bedrijven zijn immers dringend op zoek naar wat stabiliteit en juridische zekerheid in de bijzonder controversiële en complexe realiteit van transfers van persoonsgegevens buiten de EU. De bijzonder absurde werkelijkheid vandaag is immers dat quasi alle online tools en software die bedrijven vandaag gebruiken op één of andere manier data (en persoonsgegevens) exporteren naar servers of bedrijven buiten de EU. Dat is in de huidige situatie en rekening houdende met de Schrems II rechtspraak van het Europees Hof van Justitie een zeer reëel en groot juridisch probleem.
We proberen hieronder een korte update te geven van de situatie vandaag en de onderhandelingen zoals die op heden lopen.
Komt er snel een akkoord rond een nieuw Privacy Shield of niet?
We zijn bij Sirius Legal graag recht-voor-de-raap. Ook wij volgen met argusogen de lopende onderhandelingen tussen de EU en de VS over het nieuwe framework voor uitwisseling van persoonsgegevens, maar we blijven voorlopig toch bijzonder sceptisch …
Op het eerste zicht en op basis van de officiële communicatie lijkt het er nog steeds op dat we deze zomer een nieuwe regeling kunnen verwachten. Maar als we dieper graven zien we toch al snel dat er nog heel wat fundamentele obstakels te overwinnen zijn.
Het ontwerp van nieuwe EU-VS Data Privacy Framework is een verwoede poging door de Europese Commissie om data transfers naar vooral de VS opnieuw structureel mogelijk te maken, mét respect voor GDPR en de basisrechten op privacy van Europese burgers. Het probleem is echter dat de EU en de VS al enkele keren eerder gebotst zijn op de grenzen van de compatibiliteit van hun respectieve rechtsystemen en met name over het spanningsveld tussen het recht op privacy van EU-burgers en de nationale veiligheidswetgeving van de VS die inzage in quasi alle persoonsgegevens van Europese burgers systematisch toelaat. Eerdere uitwisselingsprotocollen als het Privacy Shield en het Safe Harbor-principe, werden in het verleden door het Europees Hof van Justitie ongeldig verklaard wegens onvoldoende bescherming van de gegevensbescherming en de vraag is maar of vandaag wel een akkoord denkbaar is binnen dat nog steeds bestaande spanningsveld.
Kritische noten vanuit het Europees Parlement én de EDPB
Het Europees Parlement heeft al aangegeven dat de voorgestelde overeenkomst nog tekortkomingen heeft. Ondanks de verbeteringen in vergelijking met eerdere regelingen, zijn er nog steeds kwesties rondom gerechtelijke onafhankelijkheid, transparantie, toegang tot gerechtigheid en rechtsmiddelen die niet zijn aangepakt. Het dossier zit op dit ogenblik ook precies bij dit Europees Parlement en de verwachtingen zijn vooralsnog niet dat de voorliggende teksten opgesteld door de Europese Commissie zonder slag of stoot goedgekeurd zullen worden door het Europees Parlement.
Binnen het Europees Parlement leven immers dezelfde bezorgdheden als degene die ook de Europese Toezichthouder voor Gegevensbescherming (EDPB) al eerder uitte. Die laatste erkent weliswaar dat er duidelijk verbeteringen ten opzichte van het vroegere Privacy Shield te vinden zijn in het voorgestelde Privacy Framework erkennen, maar tegelijk heeft de EDPB ook zeer duidelijk haar zorgen geuit over de complexiteit en structuur van het raamwerk, de rechten van de betrokkenen, en het gebrek aan duidelijke definities. Ze hebben ook vraagtekens gezet bij de effectiviteit van de waarborgen in het geval van doorgifte van gegevens naar derde landen en met name naar de Verenigde Staten.
Hoe moet dit verder?
In eerste instantie is het wachten op het -naar verwachting kritische- standpunt van het Europees Parlement. De kans is groot dat op basis daarvan bijsturingen nodig zullen zijn aan het ontwerp van akkoord. Daarna moet de regeling ook nog worden goedgekeurd door alle lidstaten van de EU via de Europese Raad en pas daarna kan de Europese Commissie haar definitieve besluit nemen, rekening houdende met alle opmerkingen en bijsturingen van het Europees Parlement en de lidstaten.
De uiteindelijke uitkomst én de timing die daarbij horen zijn dan ook hoogst onzeker op dit ogenblik.
Onmiddellijk opnieuw aangevochten?
De onzekerheid is zelfs nog groter dan ze op basis van bovenstaande al mag lijken. Zelfs als er een finale tekst voor een nieuw akkoord uit de bus komt, weten we immers vandaag al dat dat met aan zekerheid grenzende waarschijnlijkheid quasi onmiddellijk opnieuw aangevochten zal worden. Privacy-voorvechter Max Schrems, die ook al verantwoordelijk was voor de val van het Safe Harbor akkoord en het Privacy Shield, heeft immers al herhaaldelijk zijn bezorgdheid geuit over het niveau van bescherming dat gegarandeerd wordt door het nieuwe ontwerpakkoord en heeft al aangekondigd dat er mogelijk een nieuwe juridische aanvechting van het nieuwe akkoord zal komen als de inhoud daarvan nog steeds niet blijkt te voldoen aan de minimale vereisten van het Europese privacyrecht (lees: als de Amerikaanse geheime diensten nog steeds systematisch inzage kunnen hebben in Europese data).
Hoe moet je hier als bedrijf mee omgaan?
Voor Amerikaanse en Europese bedrijven die met deze onzekere juridische situatie te maken hebben, is het cruciaal om op de hoogte te blijven en flexibel te zijn. Houd het nieuws in de gaten (via onze blog en socials bijvoorbeeld) en overleg met ons om de implicaties van deze situatie voor jouw bedrijf in te schatten. Zorg vooral dat je als bedrijf een heel goed zicht hebt op welke tools en software er gebruikt worden intern en doe preventief een Data Protection Impact Assessment op al je tools om het risico op juridische complicaties correct in te schatten. Onthou daarbij dat het altijd beter is om proactief te zijn dan reactief als het gaat om gegevensbescherming. Wacht niet op de definitieve beslissing, begin nu al met voorbereiden…
Vragen over data export of GDPR in het algemeen?
Boek gerust een kennismakingsgesprek in met Bart Van den Brande via de link op deze pagina of stuur een mailtje naar info@siriuslegal.be. We helpen je graag verder!