Vorig jaar op 25 maart kondigden de Europese Commissie en de Verenigde Staten aan dat een principeakkoord was bereikt over een trans-Atlantisch gegevensbeschermingskader (het Principeakkoord) dat de zorgen van het Europese Hof van Justitie zou moeten adresseren zoals geuit in zijn Schrems II-arrest van 16 juli 2020 (ECLI:EU:C:2020:559). Het zogeheten EU-V.S. Privacyschild was met dat arrest nietig verklaard en kan sindsdien niet meer worden gebruikt als geldig mechanisme voor de doorgifte van persoonsgegevens vanuit de EU naar ontvangers in de V.S.
Het Principeakkoord is gesloten tegen de achtergrond van artikel 45 van de Algemene verordening gegevensbescherming (AVG), op basis waarvan de Europese Commissie een adequaatheidsbesluit kan nemen als een derde land, in dit geval de V.S., een passend niveau van gegevensbescherming biedt gelijkend aan dat van de Europese Unie. De gegevensbescherming van het derde land moet dan van een vergelijkbaar niveau zijn als dat onder de AVG. Voor Europese bedrijven is het praktische gevolg van een dergelijk adequaatheidsbesluit dat – los van de ‘reguliere’ eisen van de AVG – geen aanvullende eisen gelden bij doorgifte van persoonsgegevens naar een ontvanger in het betreffende ‘adequate’ derde land. Momenteel bieden volgens de Europese Commissie (slechts) dertien derde landen een passend gegevensbeschermingsniveau. Dat betekent dat voor veruit de meeste andere niet-EU-landen extra maatregelen noodzakelijk zijn.
Een ingediende motie
Ondanks de positieve persverklaring van de Europese Commissie en de V.S. over het bereiken van het Principeakkoord, door partijen gezamenlijk geprezen als een “unprecedented commitment on the U.S. side” en “another demonstration of the strenght of the U.S.-EU relationship”, is er nu kritiek gekomen vanuit het Europees Parlement. Op 14 februari 2023 diende namelijk de Committee on Civil Liberties, Justice and Home Affairs van het Europees Parlement (code: LIBE) een motie in over de ontoereikendheid van de bescherming die wordt geboden door het voorliggende EU-V.S. Gegevensbeschermingskader (de Motie).
Kort gezegd maakt LIBE in de Motie bezwaar tegen de willekeurige toegang die inlichtingendiensten uit de V.S. (kunnen) hebben tot elektronische communicatie in de Europese Unie. Zij onderbouwt dit met verwijzingen naar onder meer rechtspraak van het Europese Hof van Justitie, de AVG, het Europees Handvest, verschillende politieke besluiten in de EU en V.S. en aanbevelingen van het European Data Protection Board (EDPB). Zelfs de onthullingen door Edward Snowden van de surveillancepraktijken van de National Security Agency ten aanzien van EU-burgers worden aangehaald, wat voor de Amerikaanse overheid nog altijd gevoelig ligt.
Centraal in de Motie staat Executive Order 14086, ondertekend door president Biden op 7 oktober 2022 (de EO), waarbij LIBE kritische kanttekeningen plaatst. De EO vormt een implementatie van het Principeakkoord en zou daarmee de eerdere tekortkomingen van het nietig verklaarde Privacyschild moeten adresseren.
Adequaatheidsbesluit
Volgens LIBE sluit de EO echter niet voldoende aan bij Europese definities voor noodzakelijkheid en proportionaliteit. De EO is ook niet van toepassing op persoonsgegevens verkregen door overheidsinstanties via andere middelen dan de EO. Dergelijke andere manieren voor overheidsinstanties om toegang te verkrijgen tot Europese data zijn bijvoorbeeld via de US Cloud Act of de US Patriot Act, door commerciële aankoop van gegevens of door vrijwillige gegevensuitwisseling. Daarnaast laat de EO een discretionaire bevoegdheid aan de Amerikaanse president om (al dan niet in het geheim omwille van de staatsveiligheid) legitieme doelen toe te voegen waarvoor massasurveillance kan worden ingezet. Ook voldoet de Amerikaanse klachtencommissie, het Data Protection Review Court, volgens LIBE niet aan de standaarden van onafhankelijkheid en onpartijdigheid in de zin van artikel 47 van het Europees Handvest. Tot slot benoemt LIBE dat het gebrek aan federale gegevensbeschermingswetgeving afbreuk doet aan de transparantie en consistente toepassing van gegevensbeschermingsrecht binnen de V.S.
LIBE komt tot de conclusie dat ook het voorliggende EU-V.S. Gegevensbeschermingskader (zoals thans uitgewerkt in het Principeakkoord en de EO) er niet in slaagt om daadwerkelijk equivalentie te creëren tussen de EU en de V.S. in termen van gegevensbescherming. Daarom raadt zij de Europese Commissie af om een adequaatheidsbesluit te nemen voor de doorgifte van persoonsgegevens aan de V.S. Zij roept de Europese Commissie op om de onderhandelingen met de V.S. voort te zetten om tot een (doorgifte)mechanisme te komen dat (wél) een adequaat niveau van gegevensbescherming biedt. Om het regulatoir kader in de V.S. – waar geen federale wetgeving bestaat op het gebied van privacy en dataprotectie – naar suggestie van LIBE in lijn te krijgen met de AVG en het Europees Handvest zoals geïnterpreteerd door het Europese Hof van Justitie, zijn zoals het zich laat aanzien nog belangrijke stappen te zetten.
Op 1 maart 2023 debatteert LIBE over de Motie en de aanstaande opinie van het EDPB over het voorliggende kader.
Dit artikel is geschreven door Nina Orlić en Arthur de Ruiter en is eerder gepubliceerd in Privacyweb.