De gegevensbeschermingsautoriteiten van de EU-lidstaten, verzameld in de Artikel 29-werkgroep, waarvan het Spaanse bureau voor gegevensbescherming deel uitmaakt, hebben zojuist een gezamenlijke verklaring gepubliceerd over de eerste gevolgen die op Europees en nationaal niveau kunnen voortvloeien uit de historische arrest van het Hof van Justitie van de Europese Unie (HvJEU) van 6 oktober 2015 in de zaak Maximilian Schrems vs. Commissaris voor gegevensbescherming (C-362-14).
In hun brief stellen de gegevensbeschermingsautoriteiten van de EU dat het absoluut noodzakelijk is om een krachtig, collectief en gemeenschappelijk standpunt in te nemen over de toepassing van de uitspraak. Anderzijds zal de werkgroep nauwlettend toezien op de evolutie van de procedures die aanhangig zijn bij het Hooggerechtshof van Ierland.
Ten eerste benadrukt de werkgroep dat de kwestie van massale en willekeurige bewaking een sleutelelement is van de analyse van de Rekenkamer. De groep herinnert eraan dat zij herhaaldelijk heeft verklaard dat dit toezicht onverenigbaar is met het rechtskader van de EU en dat de bestaande overdrachtsinstrumenten geen oplossing bieden voor dit probleem. Bovendien worden, zoals reeds vermeld, overdrachten naar derde landen waar de bevoegdheden van overheidsinstanties om toegang te krijgen tot informatie verder gaan dan nodig is in een democratische samenleving, niet beschouwd als veilige bestemmingen voor overdrachten.
In die zin vereist het oordeel van de rechtbank dat elk adequaatheidsbesluit een uitgebreide analyse inhoudt van de nationale wetten van het land dat de gegevens ontvangt, evenals zijn verplichtingen.
Daarom roept de werkgroep de lidstaten en de Europese instellingen dringend op om besprekingen aan te gaan met de Amerikaanse autoriteiten om politieke, juridische en technische oplossingen te vinden die de overdracht van gegevens naar het Amerikaanse grondgebied mogelijk maken met inachtneming van de grondrechten.
Deze oplossingen zouden kunnen worden gevonden door middel van onderhandelingen over een intergouvernementele overeenkomst die meer garanties biedt aan diegenen die geïnteresseerd zijn in de EU. De huidige onderhandelingen over een nieuwe veilige haven zouden een deel van de oplossing kunnen zijn. In elk geval moeten deze oplossingen altijd vergezeld gaan van duidelijke en bindende mechanismen en ten minste verplichtingen omvatten met betrekking tot het noodzakelijke toezicht op de toegang door overheidsinstanties, transparantie, evenredigheid, herstelmechanismen en rechten vervat in de wetgeving inzake gegevensbescherming.
In de tussentijd zal de werkgroep haar analyse van de impact van de uitspraak van het Hof van Justitie op andere overdrachtsinstrumenten voortzetten. Gedurende deze periode zijn de gegevensbeschermingsautoriteiten van mening dat standaardcontractbepalingen en bindende bedrijfsregels (BCR's) kunnen blijven worden gebruikt. Dit weerhoudt de gegevensbeschermingsautoriteiten er in ieder geval niet van om bepaalde gevallen, bijvoorbeeld op basis van klachten, te onderzoeken en hun bevoegdheden uit te oefenen om personen te beschermen.
Als er tegen eind januari 2016 geen passende oplossing is gevonden met de Amerikaanse autoriteiten, en afhankelijk van de beoordeling van de doorgifte-instrumenten door de werkgroep, verbinden de gegevensbeschermingsautoriteiten van de EU zich ertoe alle nodige en passende maatregelen te nemen, waaronder eventueel gecoördineerde rechtshandhaving (handhaving) acties.
Wat betreft de praktische gevolgen van de uitspraak van het Hof van Justitie, meent de Werkgroep dat het duidelijk is dat overdrachten van de Europese Unie naar de VS niet langer kunnen worden ingekaderd in het Adequacy Decision 2000/520/CE van de Europese Commissie (het zogenaamde Safe Harbor Decision ). In ieder geval zijn de doorgiften die na de uitspraak van het HvJ EU nog plaatsvinden onder het Veiligehavenbesluit onrechtmatig.
Om ervoor te zorgen dat alle actoren voldoende geïnformeerd zijn, zullen de gegevensbeschermingsautoriteiten van de EU in hun respectieve landen passende informatiecampagnes lanceren. Dit kan directe informatie zijn aan alle bedrijven waarvan bekend is dat ze het veiligehavenbesluit gebruiken, maar ook algemene berichten op de websites van de autoriteiten.
Concluderend dringt de werkgroep aan op gedeelde verantwoordelijkheden tussen gegevensbeschermingsautoriteiten, EU-instellingen, lidstaten en bedrijven om duurzame oplossingen te vinden om de uitspraak van het Hof uit te voeren. In het bijzonder, en in de context van de zin, moeten bedrijven nadenken over de eventuele risico's die zij nemen bij het overdragen van gegevens en de tijdige implementatie van alle juridische en technische oplossingen overwegen om deze risico's te beperken en het gemeenschapserfgoed van gegevensbescherming te respecteren.
