Wat u moet weten.

Wist je dat op 28 januari 1981 de Conventie 108, het eerste juridisch bindende internationale instrument van de Raad van Europa op het vlak van gegevensbescherming, werd opengesteld voor ondertekening? Sinds 2007 vieren we op deze dag dan ook International Data Privacy Day! Een uitstekend moment om even terug te blikken op één van de belangrijkste ontwikkelingen van het afgelopen jaar wat betreft gegevensbescherming: het langverwachte Schrems II arrest van het Europese Hof van Justitie over de doorgifte van persoonsgegevens buiten de EER.

Op 16 juli 2020 verklaarde het Hof van Justitie het EU-US Privacy Shield ongeldig. Het Hof is van oordeel dat het EU-US Privacy Shield te weinig waarborgen biedt aan de betrokkenen voor de bescherming van hun persoonsgegevens in de VS, in het bijzonder omwille van de te grote inmenging van de Amerikaanse overheid. Concreet betekent dit dat alle doorgiftes van persoonsgegevens naar de VS die gebaseerd zijn op het EU-US Privacy Shield sindsdien ongeldig zijn. 

Je onderneming geeft geen persoonsgegevens door naar de VS? Lees dan toch even verder! Hoewel het Hof enkel het EU-US Privacy Shield ongeldig verklaarde, oordeelde het ook dat voortaan voor elke doorgifte buiten de EER een “data transfer impact assessment” moet worden uitgevoerd. Het arrest heeft dus een impact op elke onderneming die persoonsgegevens doorgeeft buiten de EER, ongeacht het mechanisme waarop de onderneming zich beroept. Vergeet niet dat sinds de Brexit ook doorgiftes naar het VK in principe worden beschouwd als doorgiftes buiten de EER (al voorziet de Handels- en samenwerkingsovereenkomst tussen de EU en het VK hierop nog een uitzondering t.e.m. zeker 30 april 2021).

Wat u moet doen.

Je dient in de eerste plaats alle doorgiftes van persoonsgegevens buiten de EER te identificeren. Dit omvat ook het louter opslaan van persoonsgegevens bij partijen gevestigd buiten de EER. Vervolgens moet je bepalen op welk mechanisme je onderneming een beroep kan doen voor de doorgifte. Dit is niet nieuw. Het Schrems II arrest maakt duidelijk dat je daarnaast ook een data transfer impact assessment moet uitvoeren.   

Indien één van de adequaatheidsbesluiten van de Europese Commissie van toepassing is op het derde land, moet je onderneming geen verdere stappen ondernemen (met uitzondering van het monitoren van de geldigheid van het adequaatheidsbesluit). De Europese Commissie heeft in een dergelijk geval reeds de data transfer impact assessment gedaan. Ook indien je onderneming zich voor incidentele doorgiftes beroept op één van de uitzonderingsgronden bepaald in artikel 49 van de GDPR, stopt de data transfer impact assessment hier.

Indien je onderneming daarentegen gebruik maakt van de modelcontractbepalingen van de Europese Commissie of bindende bedrijfsvoorschriften heeft aangenomen voor intra-groep doorgiftes, moet je steeds nagaan of de wetgeving en praktijken van het derde land de effectiviteit van het contract/de voorschriften niet ondermijnen en desgevallend bijkomende maatregelen nemen ter bescherming van de persoonsgegevens die worden doorgegeven naar het derde land. In dit verband publiceerde de EDPB recent richtsnoeren die ondernemingen moeten helpen bij het uitvoeren van die analyse. Zo moet je onder meer nagaan of de betrokkenen er effectief hun rechten kunnen uitoefenen, of er wetgeving voorhanden is die de toegang van overheidsinstanties tot persoonsgegevens reguleert en of er een onafhankelijke gegevensbeschermingsautoriteit actief is. De richtsnoeren voorzien hiervoor relevante informatiebronnen. Indien uit de data transfer impact assessment blijkt dat de wetgeving van het derde land afbreuk doet aan de doeltreffendheid van het doorgiftemechanisme waarop je beroep doet, moet je de doorgifte stopzetten of bijkomende waarborgen voorzien. De richtsnoeren geven enkele voorbeelden van aanvullende maatregelen die kunnen worden genomen.

Het is aan te raden om de data transfer impact assessment van elke doorgifte te documenteren in een centraal document, voor het geval dat een gegevensbeschermingsautoriteit hierover enige vragen heeft. 

Tot slot heb je voor doorgiftes naar het VK nog even de tijd. De doorgifte van persoonsgegevens kan nog minstens t.e.m. 30 april 2021 plaatsvinden zonder bijkomende maatregelen. Deze overgangsperiode kan nog verlengd worden met twee maanden en moet de Europese Commissie in staat stellen om te bepalen of een adequaatheidsbesluit kan worden aangenomen voor het VK. Als er geen (tijdig) adequaatheidsbesluit komt, zal je onderneming voortaan gebruik moeten maken van een ander mechanisme (inclusief data transfer impact assessment) of zich moeten beroepen op een van de uitzonderingsgronden. 

2021 belooft dus ook op het vlak van gegevensbescherming een interessant en spannend jaar te worden!