Eind vorig jaar stelde de Europese Commissie (EC) een ontwerp ‘adequacy decision’ vast voor de uitwisseling van persoonsgegevens tussen Europese en Amerikaans ondernemingen. Op dit moment is gegevensuitwisseling praktisch gezien alleen mogelijk op basis van door de EC goedgekeurde standaardcontracten. Met dit ontwerp beoogt de EC het eerder door het Europees Hof van Justitie ongeldig verklaarde Data Shield te vervangen (arrest “Schrems II”).
De ontwerp adequacy decision wordt door een goedkeuringsproces geleid. Daarbij is nu eerst de European Data Protection Board (EDPB) aan zet. Ook de Europese lidstaten en het Europese parlement moeten een oordeel geven. Een executive order van President Biden van 7 oktober 2022 maakte de weg vrij voor de Europese Commissie om met dit voorstel te komen.
De beoogde adequacy decision wijkt net als zijn voorgangers af van het gebruikelijke type adequacy decision, doordat deelnemende ondernemingen in plaats van landen als ‘adequate’ worden bestempeld. Het ontwerp adresseert de bezwaren die het Europese Hof van Justitie eerder in Schrems II formuleerde.
Amerikaanse toegang persoonsgegevens beperkt
In een persbericht over het concept constateert de EC dat Amerikaanse wetgeving nu voldoende beperkingen oplegt aan Amerikaanse inlichtingendiensten bij de toegang tot persoonsgegevens van Europese burgers. Ook wordt het eenvoudiger voor Europese burgers om problemen aan te kaarten bij een nieuw onafhankelijk Data Protection Review Court.
Controle op deelname EU-U.S. Data Protection Framework
Europese ondernemingen moeten voortaan in hun contacten met Amerikaanse ondernemingen nagaan of deze deelnemen aan het nieuwe EU-U.S. Data Protection Framework. En zo ja, wat de omvang is van die deelname. Sommige Amerikaanse ondernemingen beperken hun deelname bijvoorbeeld tot HR-gegevens. Hun doel is dan een wereldwijd personeelsbeleid te faciliteren. Anderen richten zich specifiek op advies- of CRM-activiteiten.
Terugvallen op standaard contractuele clausules
Als het niet mogelijk of wenselijk is om gegevensuitwisseling in te passen in het EU-U.S. Data Protection Framework moet men terugvallen op standard contractual clauses. In uitzonderlijke gevallen kan men ook gebruikmaken van de uitzonderingen van art. 49 AVG. Soms kan een organisatie ook kiezen voor uitwisseling via een Europese rechtspersoon die deel uitmaakt van een BCR-netwerk (art. 46 lid 2(a)+47 AVG).
Exporteur blijft verantwoordelijk
Een aandachtspunt blijft evenwel dat een exporteur verantwoordelijk blijft voor de veiligheid van de te exporteren gegevens. Dat betekent dat hij moet overwegen een Data Transfer Impact Assessment (DTIA) uit te voeren en eventuele risico’s verbonden aan de transfer moet onderkennen en beperken. Zie daarvoor de aanbevelingen van de EDPB.
Meer weten? Hulp nodig bij het uitvoeren van een DTIA? Neem contact ons op.