Onduidelijkheid over gegevensexports na gegoochel van de Commissie
Met de publicatie op 4 juni van de nieuwe Standaard Contractvoorwaarden deed de Europese Commissie (hierna: Commissie) iets opmerkelijks. De Standaard Contractvoorwaarden (SCC’s) zijn bedoeld om gegevens te kunnen sturen vanuit de EU, aangevuld met Noorwegen, IJsland en Liechtenstein (Europese Economische Ruimte, EER), naar een land daarbuiten dat niet voldoende bescherming biedt aan de gegevens. Door aanvullende maatregelen af te spreken tussen de verzender en de ontvanger kunnen zij de gegevens toch veilig verwerken in het doelland. De Commissie heeft nu onverwacht de definitie van internationale doorgifte veranderd. Niet langer is iedere verzending van gegevens naar een systeem buiten de EU/EER een internationale doorgifte, maar alleen als de gegevens daarna niet langer rechtstreeks beschermd zijn door de AVG. De Commissie stelt dat organisaties de SCC’s alleen mogen gebruiken als de AVG niet toch al van toepassing is op de ontvanger in het doelland.
De Commissie verandert de definitie
We dachten altijd dat het exporteren van gegevens hetzelfde was als het exporteren van goederen. Als een product een grens over gaat, noemen we dat een export. Bij gegevens is dat blijkbaar anders, vindt de Commissie. De reden daarvoor is dat de AVG, in tegenstelling tot andere wetten, nadrukkelijke werking heeft buiten de Unie. De AVG is van toepassing op organisaties die niet in de Unie zijn gevestigd, maar wel diensten of producten aanbieden aan personen in de EU/EER én op alle organisaties die het gedrag observeren van mensen in de EU/EER. Volgens de Commissie staan de verwerkingen die zij uitvoeren daarom gelijk aan verwerkingen in de EU/EER. Er is dus geen sprake van een internationale doorgifte als je gegevens stuurt naar een ontvanger die onder de AVG valt. Wel is die ontvanger in dat geval verplicht om een vertegenwoordiger aan te wijzen, als ze niet al een vestiging hebben in de Unie. De verzender van gegevens hoeft dan ook geen analyse te maken van wetten in het doelland die de werking van de AVG ondermijnen.
Het is erg verrassend dat de Commissie deze stap zomaar zet, zonder overleg. Er was wel een conceptversie van de nieuwe SCC’s gepubliceerd, maar de nieuwe definitie stond daar nog niet in. En ook in de nieuwe SCC’s is er alleen indirect sprake van een nieuwe definitie, in een toelichtend zinnetje. En dat terwijl deze interpretatie toch een flink probleem kan helpen oplossen voor de Commissie. Een probleem dat is ontstaan rond doorgifte van gegevens aan de Verenigde Staten na de uitspraak van het Europese Hof van Justitie in de zaak-Schrems-II. In dit arrest verklaarde het Hof het Privacy Shield mechanisme voor doorgifte aan de VS ongeldig, en stelde het Hof aanvullende eisen aan SCC’s. De Commissie omzeilt nu deze uitspraak door de definitie van internationale doorgifte te veranderen. Daardoor kunnen Facebook en andere internationale bedrijven doorgaan met het verwerken van gegevens in de VS.
Onzekerheid over de nieuwe situatie
Door deze onverwachte zet van de Commissie is er onduidelijkheid ontstaan over het gebruik van de nieuwe SCC’s. Als de Commissie gelijk krijgt, en internationale doorgifte geldt pas op het moment dat de AVG niet meer van toepassing is, dan is het onduidelijk hoe organisaties kunnen voorkomen dat wetten in het doelland de bescherming van de AVG ondermijnen, wat wel een eis is van het Hof. Bovendien is het dan onduidelijk hoe de Europese toezichthouders een eventuele boete kunnen innen bij een bedrijf in een land buiten de Unie. Zonder effectieve boetemogelijkheid stelt de bescherming van de AVG weinig voor.
Maar wat gebeurt er als de Commissie géén gelijk krijgt? De SCC’s zijn in de meeste gevallen de enige en ook meest makkelijke optie voor structurele gegevensdoorgiftes. De alternatieven kosten te veel tijd, vooral omdat ze goedgekeurd moeten worden door de Autoriteit Persoonsgegevens, die door capaciteitsproblemen jarenlange wachtlijsten heeft. Dat ontvangers buiten de Unie die wel onder de AVG vallen de nieuwe SCC’s niet mogen gebruiken is begrijpelijk als er geen sprake is van internationale doorgifte. Maar als de toezichthouders of rechters besluiten dat de oude definitie moet worden gebruikt, staat nog steeds in de SCC’s dat bedrijven ze alleen mogen gebruiken als ze niet al moeten voldoen aan de AVG. Daarmee ontstaat de ongewenste situatie dat dienstverleners buiten de Unie die onder de AVG vallen geen gegevens meer kunnen ontvangen, terwijl dienstverleners die buiten de werking van de AVG blijven dat wel mogen. Dat zorgt voor een ongezonde en onwenselijke rechtsongelijkheid.
De Europese toezichthouders (EDPB) publiceerden maandag 21 juni 2021 hun definitieve opinie over internationale doorgifte. Helaas geeft die opinie geen duidelijkheid over hun opvatting over de nieuwe definitie. Toch zijn er wat aanknopingspunten te vinden. Zo schrijven de toezichthouders dat het enkele feit dat een persoon buiten de EU/EER inzage heeft in gegevens die zijn opgeslagen in de Unie al geldt als een doorgifte. Ook stellen zij dat er sprake is van een internationale doorgifte als een verwerkingsverantwoordelijke in de Unie gebruikmaakt van een internationale cloudprovider. Er is alleen geen sprake van doorgifte als de verantwoordelijke zeker weet dat de cloudprovider een kantoor heeft in de Unie én dat de gegevens binnen de Unie blijven. Terwijl de aanwezigheid van een kantoor in de Unie juist betekent dat de cloudprovider al aan de AVG moet voldoen. Als de AVG gewoon van toepassing blijft, zou er geen bezwaar moeten zijn tegen het gebruik in een ander land, volgens de Commissie. Daarover denkt de EDPB blijkbaar anders.
Hoe nu verder
Het gaat jammer genoeg nog wel even duren voor er duidelijkheid komt. De Commissie heeft een slimme poging gedaan om de problemen van internationale doorgifte weg te goochelen, maar de nieuwe uitleg van de Commissie gaat in tegen alle eerdere uitleg van de toezichthouders én van het Europees Hof van Justitie. Dat heeft immers aangenomen dat er sprake is van internationale doorgifte van Facebook Ierland naar Facebook, Inc. in Amerika, terwijl de AVG overduidelijk al van toepassing is op Facebook, Inc. Daarom zou het beter zijn om te blijven werken met beide criteria voor doorgifte: zowel als de gegevens de Unie verlaten als bij het delen van gegevens met een partij waarop de AVG niet van toepassing is.
Wat moeten organisaties nu doen met hun huidige SCC’s? Ze hebben 15 maanden de tijd om nieuwe SCC’s te sluiten. Het is verstandig om nu even af te wachten of SCC’s straks nog wel nodig zijn. De Autoriteit Persoonsgegevens moet hier uitkomst bieden. FG’s zouden bijvoorbeeld via de speciale helpdesklijn van de AP om raad kunnen vragen en bedrijven zonder FG’s zouden hun vakorganisaties kunnen vragen om contact op te nemen met de toezichthouder. Hoe sneller we duidelijkheid kunnen krijgen, hoe beter.
