Schrems 2.0: Europees Hof van Justitie Advocaat-generaal Renders conclusie

On December 19, 2019, the European Court of Justice (ECJ) Advocate General, Henrik Saugmandsgaard ØE, provided his opinion on the validity of Standard Contractual Clauses (SCCs) adopted by the European Commission for the transfer of personal data from controllers to processors. The rendered opinion confirms that companies relying upon SCCs do not need to consider changing their approach at this time.

en flag
nl flag
fi flag
fr flag
de flag
pt flag
ru flag
es flag

Noot van de redactie: Op 19 december 2019 heeft de advocaat-generaal van het Europees Hof van Justitie, Henrik Saugmandsgaard ØE, zijn advies uitgebracht over de geldigheid van door de Europese Commissie aangenomen modelcontractbepalingen voor de doorgifte van persoonsgegevens van verwerkingsverantwoordelijken aan verwerkers. Het uitgebrachte advies bevestigt dat bedrijven die op SCC's vertrouwen op dit moment niet hoeven te overwegen hun aanpak te wijzigen. In dit bericht is een compilatie van informatieve uittreksels die nuttig kunnen zijn voor diegenen die de inhoud en de context van dit recente advies over gegevensoverdrachtspraktijken willen begrijpen.

Een uittreksel uit een artikel van Laura Song of Alston and Bird

Schrems 2.0: Door EU-advocaat-generaal geldig verklaarde standaardcontractbepalingen

Opinieachtergrond: Max Schrems diende in 2013 voor het eerst een klacht in tegen de praktijken inzake gegevensoverdracht van Facebook bij de Ierse gegevensbeschermingsautoriteit (Data Protection Commission of DPC), die leidde tot de ongeldigheid van het VS-EU Safe Harbor-kader door het Europees Hof van Justitie (HvJ), de hoogste rechtbank van de EU, in oktober 2015. Als gevolg hiervan hebben veel bedrijven die voorheen gebruikten op Safe Harbor voor gegevensoverdracht, SCC's aangenomen om gegevens over te dragen aan verwerkers buiten de EU, aangezien de vervanging van Safe Harbor, Privacy Shield, pas in augustus 2016 operationeel was.

Naar aanleiding van het arrest van het Hof diende Schrems een nieuwe klacht in bij de DPC, gericht op de overdracht van persoonsgegevens door Facebook van de EU naar de VS op basis van SCC's. In reactie daarop heeft de DPC via de rechter duidelijkheid gezocht, niet alleen over de geldigheid van SCC's, maar ook over het privacyschild. De DPC diende een vordering in bij de Ierse High Court, die de zaak vervolgens met 11 vragen naar het Hof van Justitie heeft verwezen. Op 9 juli 2019 hoorde het Hof van Justitie mondelinge argumenten in de zaak (Schrems 2.0).

Op 19 december 2019 heeft advocaat-generaal Henrik Saugmandsgaard Øe uitspraak gedaan over Schrems 2.0.

Lees het volledige artikel op Schrems 2.0: Standaardcontractbepalingen die geldig zijn verklaard door EU-advocaat-generaal

Inleiding en conclusie uit advies van het Europese Hof van Justitie

Conclusie van advocaatgeneraal generaal Saugmandsgaard ØE van 19 december 2019 (zaak C-311/18)

Data Protection Commissioner/Facebook Ireland Limited, Maximillian Schrems, intervenienten: The United States of America, Electronic Privacy Information Centre, BSA Business Software Alliance, Inc., Digitaleurope (verzoek om een prejudiciële beslissing van de High Court, Ierland).

Inleiding

Bij het ontbreken van gemeenschappelijke waarborgen voor de bescherming van persoonsgegevens op mondiaal niveau, brengen grensoverschrijdende stromen van dergelijke gegevens het risico met zich mee dat het in de Europese Unie gegarandeerde beschermingsniveau wordt geschonden. De EU-wetgever wenst deze stromen te vergemakkelijken en tegelijkertijd dat risico te beperken, heeft drie mechanismen vastgesteld waarmee persoonsgegevens van de Europese Unie naar een derde staat kunnen worden overgedragen.

In de eerste plaats kan een dergelijke doorgifte plaatsvinden op basis van een besluit waarbij de Europese Commissie vaststelt dat de betrokken derde staat een „passend beschermingsniveau” van de aan hem doorgegeven gegevens waarborgt. In de tweede plaats wordt, bij gebreke van een dergelijk besluit, de overdracht toegestaan wanneer deze vergezeld gaat van „passende waarborgen”. Deze waarborgen kunnen de vorm aannemen van een contract tussen de exporteur en de importeur van de gegevens met standaardbeschermingsclausules die door de Commissie zijn vastgesteld. De AVG voorziet in de derde plaats in bepaalde afwijkingen, met name op basis van de toestemming van de betrokkene, waardoor de gegevens kunnen worden overgedragen aan een derde land, zelfs bij gebreke van een adequaatheidsbesluit of passende waarborgen.

Het verzoek om een prejudiciële beslissing van de High Court, Ierland (hierna: „High Court”) heeft betrekking op het tweede van deze mechanismen. Het betreft meer bepaald de geldigheid van Besluit 2010/87/EU, waarbij de Commissie modelcontractbepalingen voor bepaalde categorieën overdrachten heeft vastgesteld in het licht van de artikelen 7, 8 en 47 van het Handvest van de grondrechten van de Europese Unie („het Handvest”).

Het verzoek is ingediend in het kader van een door de Data Protection Commissioner, Ireland (hierna: „DPC”) tegen Facebook Ireland Ltd en Maximillian Schrems ingediend klacht in verband met de overdracht van hem betreffende persoonsgegevens door Facebook Ireland aan Facebook, Inc., haar moedermaatschappij, gevestigd in de Verenigde Staten van Amerika („de Verenigde Staten”). De DPC is van mening dat de beoordeling van die klacht afhankelijk is van de geldigheid van Besluit 2010/87. In dit verband verzocht zij de verwijzende rechter om verduidelijking van het Hof van Justitie op dit punt.

Om te beginnen wil ik erop wijzen dat het onderzoek van de prejudiciële vragen naar mijn mening niets heeft opgeleverd dat de geldigheid van beschikking 2010/87 aantast.

Voorts heeft de verwijzende rechter gewezen op bepaalde twijfels die in wezen betrekking hebben op de toereikendheid van het door de Verenigde Staten gegarandeerde beschermingsniveau met betrekking tot de inmenging van de Amerikaanse inlichtingendiensten bij de uitoefening van de grondrechten van personen wier gegevens gegevens worden overgebracht naar de Verenigde Staten. Deze twijfels deden indirect de beoordelingen die de Commissie in dat verband in Uitvoeringsbesluit 2016/1250 heeft gemaakt, ter discussie. (Hoewel de beslechting van het geding in het hoofdgeding het Hof niet verplicht deze kwestie op te lossen, en hoewel ik het daarom voorstel dit niet te doen, zal ik subsidiair de redenen uiteenzetten die mij ertoe aanzetten de geldigheid van deze beschikking in twijfel te trekken.

Mijn analyse als geheel zal worden geleid door de wens om een evenwicht te vinden tussen enerzijds de noodzaak om een „redelijke mate van pragmatisme aan te tonen om interactie met andere delen van de wereld mogelijk te maken” en anderzijds de noodzaak om de fundamentele waarden te doen gelden die in de rechtsorde van de Unie en haar lidstaten, met name in het Handvest.

Conclusie

Ik geef het Hof in overweging de prejudiciële vragen van de High Court, Ierland, te beantwoorden als volgt:

Uit de analyse van de prejudiciële vragen is niets gebleken dat de geldigheid van Besluit 2010/87/EU van de Commissie van 5 februari 2010 betreffende modelcontractbepalingen voor de doorgifte van persoonsgegevens aan in derde landen gevestigde verwerkers op grond van Richtlijn 95/46/EG van het Europees Parlement en van de Raad, zoals gewijzigd bij Uitvoeringsbesluit (EU) 2016/2297 van de Commissie van 16 december 2016.

Lees de volledige conclusie van advocaatgeneraal Saugmandsgaard ØE Geleverd op 19 december 2019 (Zaak C-311/18)

Nieuws Commentaar van de Data Protection Commission (DPC) Ierland

Verklaring van de DPC over advies van de AG over zaak #C -311/18 HvJEU

Het DPC verwelkomt de publicatie van het advies van de adviesgroep over zaak #C -311/18 HvJEU. Het advies illustreert de complexiteit die samenhangt met de aard van de problemen die zich voordoen wanneer de EU-wetgeving inzake gegevensbescherming interageren met de wetten van derde landen, met inbegrip van de wetten van de Verenigde Staten. In het openingsgedeelte van het advies wordt eveneens gewezen op de grote spanningen die ontstaan tussen enerzijds de noodzaak om pragmatisme te tonen en anderzijds de noodzaak om de fundamentele waarden te doen gelden die in de rechtsorde van de Unie en haar lidstaten worden erkend, en met name in het Handvest.

Enkele van de punten van complexiteit die hier aan de orde zijn, gaan over inhoudelijke zaken. Om slechts drie voorbeelden te noemen: is het EU-recht helemaal van toepassing wanneer de persoonsgegevens van de betrokkene worden verwerkt door overheidsinstanties in een derde land (volgens de adviesgroep); vergemakkelijken de Amerikaanse wetten en praktijken interferenties met de rechten van gegevensbescherming van personen die onverenigbaar zijn met het EU-recht (dat doen ze, in het standpunt van de AG); en zijn die problemen opgelost door het privacyschild (nee, naar de mening van de adviesgroep).

Afzonderlijk wordt in het advies ook opgemerkt dat de standaardcontractbepalingen in individuele gevallen ook geen antwoord kunnen bieden op de problemen die ontstaan wanneer gegevensoverdrachten gegevens van EU-burgers onder de bevoegdheid van de Amerikaanse overheid brengen. Op dit punt komen ook procedurele complexiteiten in beeld. Wie moet er in het bijzonder tussenkomen wanneer in het kader van een individuele overdracht het door het EU-recht geëiste beschermingsniveau niet kan worden gehandhaafd? In dit verband erkent de adviesgroep haar onvolkomenheden en de praktische moeilijkheden die zij met zich meebrengt, en ondanks het risico van versnippering onder de toezichthoudende autoriteiten in de lidstaten, concludeert de adviesgroep dat de aanpak die de EU in het kader van de SCC's heeft gekozen, een passend evenwicht biedt. tussen pragmatisme en principe. Deze aanpak is een benadering waarbij de verantwoordelijkheid voor de bescherming van de gegevensbeschermingsrechten van EU-burgers in eerste instantie berust bij de verwerkingsverantwoordelijken en, naar de mening van de adviesgroep, bij de nationale toezichthoudende autoriteiten wanneer een verwerkingsverantwoordelijke zijn verplichtingen niet nakomt.

Hoewel de Rekenkamer constateert dat deze kwesties nog niet door de Rekenkamer moeten worden vastgesteld, is de DPC ingenomen met de duidelijkheid van de analyse in het advies van de adviesgroep.

Lees de originele nieuwsaankondiging op DPC verklaring over AG advies over zaak C-311/18 HvJ

Aanvullend lezen

Hof van Justitie van de Europese Unie (HvJEU)

De Commissie voor gegevensbescherming (DPC) Ierland

Bron: ComplexDiscovery

Feestelijk of Restive? De enquête over het vertrouwen van bedrijven in de herfst van 2020

Since January 2016, 2,189 individual responses to nineteen quarterly eDiscovery Business...

Blauw-Sueded? Overwegingen voor besluitvorming

While an understanding of decisions from definitions and elements to cornerstones...

Maatschappelijk acceptabel? Richtlijnen van EDBP voor de targeting van gebruikers van sociale media

According to the recently published EDPB guidelines on the targeting of...

Wat is Kratt? Een visie en concept voor kunstmatige intelligentie in Estland

Published originally on Independence Day in Estonia, the vision and concept...

A Running List: Top 100+ eDiscovery Providers

Based on a compilation of research from analyst firms and industry...

De handleiding voor kopers van eDisclosure Systems — editie 2020 (Andrew Haslam)

Authored by industry expert Andrew Haslam, the eDisclosure Buyers Guide continues...

De race naar de startlijn? Recente aankondigingen voor veilige externe beoordeling

Not all secure remote review offerings are equal as the apparent...

Remote eDiscovery inschakelen? Een momentopname van DaaS

Desktop as a Service (DaaS) providers are becoming important contributors to...

Thuis of weg? eDiscovery Collection Market Overwegingen voor afmetingen en prijzen

One of the key home (onsite) or away (remote) decisions that...

Herzieningen en besluiten? Nieuwe overwegingen voor eDiscovery Secure Remote Reviews

One of the key revision and decision areas that business, legal,...

Een macro blik op het verleden en de verwachte eDiscovery Marktgrootte van 2012 tot 2024

From a macro look at past estimations of eDiscovery market size...

Een eDiscovery Marktgrootte Mashup: 2019-2024 wereldwijd overzicht van software en services

While the Compound Annual Growth Rate (CAGR) for worldwide eDiscovery software...

Feestelijk of Restive? De enquête over het vertrouwen van bedrijven in de herfst van 2020

Since January 2016, 2,189 individual responses to nineteen quarterly eDiscovery Business...

Een breder net gieten? Onderzoek naar voorspellende codeertechnologieën en protocollen — Resultaten najaar 2020

The Predictive Coding Technologies and Protocols Survey is a non-scientific semi-annual...

Zakelijk als Ongebruikelijk? Achttien opmerkingen over het vertrouwen van eDiscovery in de zomer van 2020

Based on the aggregate results of nineteen past eDiscovery Business Confidence...

Een groeiende zorg? Begrotingsbeperkingen en de activiteiten van eDiscovery

In the summer of 2020, 56% of respondents viewed budgetary constraints...

ayfie om Haive te verwerven

According to Johannes Stiehler, CEO of ayfie Group AS, “This acquisition...

Innovatieve Discovery en Integro Samen

“Integro and Innovative Discovery’s services and solutions are highly complementary. Our...

Partners voor softwaregroei maken meerderheidsinvesteringen in Venio-systemen

According to the press announcement, industry analysts have enthusiastically supported this...

Reveal verwerft NexLP

According to Jay Leib, Co-Founder and CEO of NexLP, "We chose...

Vijf geweldige leesboeken op eDiscovery voor augustus 2020

From predictive coding and artificial intelligence to antitrust investigations and malware,...

Vijf grote lezingen over eDiscovery voor juli 2020

From business confidence and operational metrics to data protection and privacy...

Vijf grote lezingen over eDiscovery voor juni 2020

From collection market size updates to cloud outsourcing guidelines, the June...

Vijf grote lezingen over eDiscovery voor mei 2020

From review market sizing revisions to pandemeconomic pricing, the May 2020...