Persoonsgegevens van Europeanen nog steeds niet veilig in de VS
Door Legalitadvies.nl Gepubliceerd Op 30 juli 2020
Beslissing Hof van Justitie (HvJ) over Privacy Shield
Op 16 juli jongstleden heeft het HvJ in de zogenoemde Schrems II zaak een belangrijke uitspraak gedaan over doorgifte van persoonsgegevens buiten de Europese Economische Ruimte (EER) naar de Verenigde Staten. Om de bescherming/doorgifte van persoonsgegevens buiten Europa te kunnen garanderen heeft de samenwerking Europese Unie (EU) – Verenigde Staten (VS), het raamwerk Privacy Shield opgetuigd. De voorganger hiervan was Safe Harbour en privacy-activist Schrems had daar ook al zijn terechte bedenkingen bij waardoor er op 6 oktober 2015 een einde kwam aan de ‘Not so Safe Harbour.’
De Europese Commissie kan aan derde landen, een bepaald gebied of aan een bepaalde sector een adequaatheidsbesluit toewijzen (art. 46 AVG). Dit betekent dat de Commissie van mening is dat het derde land een passende beschermingsniveau hanteert, waardoor doorgifte van persoonsgegevens naar dat land voldoet aan het beschermingsniveau die vergelijkbaar is met die van de EU.
Het vereiste beschermingsniveau in de VS voor Europese betrokkenen (data subjecten) kan kort gezegd niet worden gegarandeerd, omdat Amerikaanse inlichtingendiensten op grond van nationale veiligheid de persoonsgegevens van Europeanen mogen inzien. De praktijk op dit moment is dat miljoenen Europeanen persoonsgegevens delen met onder andere Facebook, Google en Apple: techgiganten die in Europa economische activiteiten uitvoeren, maar hun hoofdkantoor hebben staan in de VS. de National Security Agency (NSA) bijvoorbeeld krijgt dus op grond van nationale veiligheid toegang bij Facebook tot Europese persoonsgegevens. Daarbij komt nog een argument waardoor een passende beschermingsniveau ontbreekt; de toegang tot judiciële (rechts)middelen in de VS is uitgesloten. Een Europeaan heeft geen toegang tot de Amerikaanse rechter op het moment de betrokkene vindt dat zijn Europees grondrecht (artikel 8 Handvest van de Europese Unie) – namelijk de bescherming van zijn of haar persoonsgegevens – is geschonden.
Inbreuk op de bescherming van persoonsgegevens
Al met al een schrijnende inbreuk op de bescherming van Europese persoonsgegevens. Een inbreuk die al aan het licht kwam bij de “Snowden-affaire”. Met het gegeven dat de gemiddelde Europese burger en vrijwel elk Europees bedrijf gebruik maakt van Social Media en/of van een Cloudoplossing van respectievelijk Face