Safe Harbour Principles – geen passende bescherming

 in IT-recht

Het Europese Hof van Justitie heeft de beschikking van de Europese Commissie van 26 juli 2000 in haar geheel ongeldig verklaard. In deze beschikking had de Europese Commissie bepaald dat een passend beschermingsniveau voor de doorgifte van persoonsgegevens naar de VS wordt bereikt indien de organisaties die de beginselen onderschrijven, voldoen aan de hierin beschreven veiligehavenbeginselen alsmede aan de richtsnoeren van de tenuitvoerlegging van deze beginselen. 
Het Europese Hof van Justitie komt in haar arrest van vandaag (6 oktober 2015) tot haar oordeel op basis van het volgende. De veiligehavenbeginselen (Safe Harbour principles) zijn uitsluitend van toepassing op de zelfgecertificeerde Amerikaanse organisaties en niet op Amerikaanse overheidsinstanties. Met andere woorden, de Amerikaanse overheidsinstanties hoeven zich niets van de beginselen aan te trekken. Zodra volgens de Amerikaanse overheidsinstanties eisen van nationale veiligheid, het algemeen belang of de rechtshandhaving in het geding zijn, zijn de Amerikaanse organisaties, ook al hebben ze de veiligehavenbeginselen onderschreven, verplicht om zonder beperking (waarborgen voor persoonlijke levenssfeer van de betrokken Europese onderdanen) de betreffende Amerikaanse overheidsinstantie toegang te verlenen tot/inzage te verlenen in de persoonsgegevens. In de beschikking is niet vastgesteld of er in de VS overheidsregels bestaan die de persoonlijks levenssfeer van Europese onderdanen in zulke gevallen op enige manier waarborgen. Ook is in de beschikking niets vermeld of er een effectieve rechtsbescherming openstaat voor de onderdanen tegen dergelijke inmengingen. De binnen Europa gewaarborgde bescherming van persoonsgegevens brengt met zich dat een inmenging beperkt dient te zijn tot het strikt noodzakelijke. Een regeling die in het algemeen toestaat dat een Amerikaanse overheidsinstantie toegang kan verkrijgen tot en gebruik mag maken van alle persoonsgegevens die vanuit Europa worden doorgegeven naar de VS zonder dat er sprake is van enige doelbinding, proportionaliteit en subsidiariteit, is niet beperkt tot het strikt noodzakelijke.

Nu de beschikking van de Europese Commissie van 26 juli 2000 door het Europese Hof van Justitie ongeldig is verklaard, moet de VS als derde land worden beschouwd dat geen passend beschermingsniveau biedt, ongeacht of de veiligehavenbeginselen zijn onderschreven of niet.

Voor doorgifte van persoonsgegevens naar de VS kan dus niet meer worden afgegaan op de veiligehavenbeginselen (Safe Harbour principles) en het daaraan gekoppelde systeem van zelfcertificering door Amerikaanse organisaties, maar zal gebruik moeten worden gemaakt van één van de volgende mogelijkheden, het hanteren van: (a) ongewijzigde EC modelcontracten voor de doorgifte vanuit de EU naar de VS; (b) van goedgekeurde Corporate Binding Rules (BCR’s); (c) van aangevulde EC modelcontracten met vergunning daartoe van de Minister van Veiligheid en Justitie; of (d) van eigen contract(sbepalingen) met vergunning daartoe van de Minister van Veiligheid en Justitie.
Contact

Wilt u weten wat het hierboven besproken arrest van het Europese Hof van Justitie betekent voor uw bedrijf of heeft u andere vragen naar aanleiding van dit bericht dan kunt u contact opnemen met mevrouw mr. I.M. Tempelman.

Lees hier het arrest van de Europese Hof van Justitie.

 

 

Recent Posts
  • 19 maart 2018

    Wie bepaalt noodzaak en inhoud verbetertraject: werkgever of medewerker?

    Marion Hagenaars
    Voor de HR-professional een bekend verschijnsel: disfunctioneren. Met de aantrekkende arbeidsmarkt waardoor het vinden van geschikte kandidaten een uitdaging is, is de disfunctionerende medewerker voor de HR-professional een belangrijk agendapunt. Dit geldt zeker binnen de IT-branche. Maar wie bepaalt of een verbetertraject noodzakelijk is? En waar moet een goed verbetertraject aan voldoen?
    Lees verder
  • 13 maart 2018

    De HR professional en privacy – Deel VII: persoonsgegevens delen met derden

    Marion Hagenaars
    Evelien van den Berg
    Personeelsgegevens die u als werkgever verkregen heeft, mag u niet zomaar doorgeven aan personen of instanties buiten uw organisatie. Denk daarbij bijvoorbeeld aan de Belastingdienst, het UWV, het pensioenfonds of uw advocaat. Verstrekken van personeelsgegevens aan derden Als werkgever verwerkt u persoonsgegevens en daarop is de AVG van toepassing. U bent dan verwerkingsverantwoordelijke en dat
    Lees verder
  • 6 februari 2018

    Detacheerder pas je relatiebeding aan!

    Marion Hagenaars
    Welke detacheerder kent het belemmeringsverbod niet? Laat je een werknemer werken bij een opdrachtgever onder diens leiding en toezicht dan mag deze werknemer na afloop van de detachering in dienst treden bij of als zelfstandige werken voor deze opdrachtgever. Ook als een relatiebeding is gesloten. Gevolg: verlies van opdrachten. Geen goed vooruitzicht als detachering je
    Lees verder

Plaats een reactie