Over ons diensten identiteit partners kantoren
Nieuws finance tax legal profit non-profit particulieren seminaries
Jobs cultuur vacatures procedure
vind ons
en
en
aternio
nieuws
Download PDF
Deel
taalfout?
Aternio 147 blauw
All eyes on Facebook! Of toch ook op het doorsnee Belgisch bedrijf?

All eyes on Facebook! Of toch ook op het doorsnee Belgisch bedrijf?
finance, tax and legal

All eyes on Facebook! Of toch ook op het doorsnee Belgisch bedrijf?

nieuws
legal, profit,
11 december 2020

GDPR en de impact op uw rechten tijdens een fiscaal onderzoek. GDPR en het nut van een Data Protection Officer (DPO). Uw privacy in tijden van covid-19 …

Inzake gegevens- en privacybescherming is aternio geen onbeschreven blad meer. Bescherming van persoonsgegevens is ‘hot’. Aangezien het Europees Hof van Justitie (hierna het Hof) ook weer in haar pen is gedoken op vlak van databescherming, wat uitmondde in het Schrems II-arrest, brengen wij u hier up-to-date.

Da capo

GDPR is de afkorting voor “General Data Protection Regulation”. Het slaat op een Europese verordening die de persoonsgegevens van natuurlijke personen beoogt te beschermen. De verordening verplicht bedrijven om de persoonlijke gegevens en de privacy van EU-burgers te beschermen.

Het Schrems I-arrest ligt in tussentijd al enige tijd achter ons. Privacy-activist Maximilian Schrems bekwam de nietigheid van het Safe Harbour-principe in deze zaakSafe Harbor Privacy Principles (EU-VS Safe Harbor) was een gestroomlijnd proces voor bedrijven om te voldoen aan de Europese GDPR-regelgeving. Dit was/is een uitspraak met serieuze gevolgen voor de doorgifte van persoonsgegevens buiten Europa en voor privacybescherming in het algemeen.

Vijf jaar later krijgen we het Schrems II-arrest. Schrems haalt met deze uitspraak wederom zijn slag thuis. Hierdoor dienen bedrijven hun processen nogmaals onder een vergrootglas te houden. Heel wat Belgische bedrijven maken immers gebruik van onder andere Google Analytics,  Facebook, Twitter, ….

Schrems II-arrest

Initieel had de klacht van de heer Schrems bij de Ierse gegevensbeschermingsautoriteit uitsluitend betrekking op de geldigheid van de standaardcontractbepalingen als juridische basis voor het doorgeven van persoonsgegevens naar derde landen. In casu ging het over de dataoverdracht door  Facebook aan de Verenigde Staten. Na deze klacht kwam echter ook het uitvoeringsbesluit inzake het EU-US Privacy Shield van 2016 tot stand. Aldus diende het Hof zich ook hierover te buigen.

EU-US Privacy Shield kwam tot stand na onderhandelingen tussen de Europese Unie (EU) en de Verenigde Staten (VS) om tegemoet te komen aan de ongeldigheidsverklaring van het Safe Harbour-principe door het Schrems I-arrest. De Europese Commissie heeft in deze context standaardcontracten gemaakt waarmee persoonsgegevens mogen worden doorgegeven. Sindsdien regelen veel Europese organisaties de trans-Atlantische dataoverdracht via modelcontracten, ook standaardbepalingen of ‘standard contractual clauses’ (scc’s) genoemd.

Het Hof oordeelde dat dit EU-US Privacy Shield-mechanisme niet hetzelfde beschermingsniveau biedt als dat binnen de EU, omdat er bijvoorbeeld sprake is van systematische monitoring door Amerikaanse inlichtingendiensten van (persoons)gegevens uit bijvoorbeeld e-mails en cloudopslagdiensten.

Het Hof besluit dan ook met haar arrest van 16 juli 2020 tot de ongeldigheid van het EU-US Privacy Shield-mechanisme.

Gevolgen Schrems II-arrest

Het arrest houdt in dat organisaties in de EU geen persoonsgegevens aan de VS meer kunnen doorgeven op grond van het Privacy Shield-kader. Het Hof heeft echter niet tot de ongeldigheid van de standaardcontracten besloten. Het gebruik van voorgemelde standaardmodellen komt echter wel op losse schroeven staan.

Standaardbedingen 

De doorgifte van persoonsgegevens op basis van standaard contractuele bepalingen is echter nog steeds mogelijk. Wel enkel op voorwaarde dat het ontvangende land een wettelijke bescherming biedt die gelijkwaardig is aan de gegevensbescherming binnen de EU. Of indien partijen zelf de nodige contractuele beveiliging inbouwen indien dit niet zo is.

Het is de verplichting van de verwerkingsverantwoordelijke. Zij moeten geval per geval controleren of het recht van het derde land van bestemming vanuit het oogpunt van het unierecht passende bescherming waarborgt voor persoonsgegevens die worden doorgegeven op basis van standaardcontractbepalingen. Zo nodig aanvullende waarborgen treffen.

Indien dit niet mogelijk blijkt te zijn, is men ertoe verplicht om de doorgifte van persoonsgegevens naar het betrokken derde land op te schorten of te beëindigen.

Conclusie

Het Schrems II-arrest heeft met onmiddellijke ingang een grote impact voor organisaties die (on)bewust persoonsgegevens naar de VS en naar andere derde landen doorgeven. Vergeet niet dat het gros van de Belgische bedrijven hiermee te maken heeft door het gebruik van Google Analytics,  Facebook, Twitter …..

In het Schrems II-arrest oordeelde het Hof dat het EU-US Privacy Shield niet geldig is en standaardcontractbepalingen niet zo maar voldoende zijn voor doorgiften van persoonsgegevens buiten de landen van de EU. Bedrijven zullen per geval moeten bekijken welke maatregelen of combinatie van maatregelen nodig zijn om persoonsgegevens goed te beschermen.

aternio werpt graag een oogje op uw onderneming. Contacteer ons vrijblijvend.

Volg aternio op LinkedIn voor meer finance, tax & legal nieuws.

Liese Leman