Eerste uitdaging voor het EU-VS-kader voor gegevensoverdracht

Image of Iron Brands

Gepubliceerd op 26 sep 2023 en bijgewerkt op 16 jan 2024 door Iron Brands

Op 6 september diende het Franse parlementslid en CNIL-lid Philippe Latombe een verzoek in tot nietigverklaring van het EU-VS Data Privacy Framework bij het Hof van Justitie van de EU, zoals eerst werd gemeld door Politico.

Juridische stappen tegen het Data Privacy Framework werden grotendeels verwacht. De actie van de heer Latombe zou echter van korte duur kunnen zijn, aangezien er procedurele hindernissen zijn om de zaak voor het Hof te brengen.

In deze blog wordt uitgelegd wat er aan de hand is met het Data Transfer Framework en waarom procedurele vereisten de juridische strijd van Latombe wel eens vroegtijdig zouden kunnen doen stranden.

  1. Wat is het Data Privacy Framework?
  2. Wat is het verhaal achter het Data Privacy Framework?
  3. Zal de heer Latombe erin slagen om het kader ongeldig te maken?
  4. Hoe zal het op de lange termijn aflopen?
  5. Conclusies
Logo of the Government of the United KingdomThe UK Government chose Simple AnalyticsJoin them

Wat is het Data Privacy Framework?

Het Trans-Atlantic Data Privacy Framework (DPF) is een raamwerk voor gegevensoverdracht tussen de EU en de VS. Het DPF is sinds juli van kracht en maakt eenvoudige, GDPR-conforme overdracht van persoonlijke gegevens tussen de EU en de VS mogelijk.

Met andere woorden, de GDPR voorziet in specifieke regels en normen voor de doorgifte van gegevens buiten de EU, en het DPF helpt organisaties om hieraan te voldoen. Zonder het raamwerk zouden sommige gegevensoverdrachten tussen de EU en de VS onmogelijk of lastiger zijn.

Het raamwerk is geen overeenkomst onder internationaal recht, maar eerder een combinatie van interne rechtshandelingen in het Europese en Amerikaanse wetgevingskader. Vorig jaar publiceerde de Amerikaanse president Joe Biden een Executive Order(EO 14068) om de bevoegdheden van toezichthoudende instanties om Europese gegevens te bespioneren, te beperken. En in juli nam de Europese Commissie een adequaatheidsbesluit - een besluit dat in wezen een land "groen licht" geeft als veilige bestemming voor gegevensoverdrachten onder de GPDR.

Voor meer informatie over de DPF en mechanismen voor gegevensoverdracht onder de GDPR kun je terecht op onze blog over dit onderwerp.

Wat is het verhaal achter het Data Privacy Framework?

We hebben al uitgebreid over dit onderwerp geschreven, dus hier is de korte versie.

Het DPF is niet het eerste kader in zijn soort tussen de EU en de VS. Twee andere kaders - de Safe Harbor-overeenkomst en het Privacy Shield - vervulden in het verleden dezelfde functie. Beide kaders werden echter ongeldig verklaard door het Europese Hof van Justitie in de Schrems I en II uitspraken. De uitspraken draaiden om Amerikaanse surveillance van buitenlandse gegevens en benadrukten dat de oudere kaders niet voldoende waren om Europese gegevens te beschermen tegen inlichtingendiensten.

Na Schrems II drong privacy-ngo noyb aan op een striktere toepassing van Schrems II door middel van strategische rechtszaken tegen Google Analytics, een webanalyseprogramma dat bezoekersgegevens verwerkt in de VS. De rechtszaak van Noyb leidde tot een feitelijk verbod van Google Analytics in verschillende lidstaten en leidde tot een verhit debat over de rechtmatigheid van de doorgifte van gegevens tussen de EU en de VS onder de GDPR.

Het DPF wil een einde maken aan deze situatie van chronische onzekerheid door een balans te vinden tussen individuele privacy en de noodzaak om elektronisch toezicht te houden voor nationale defensie.

De Amerikaanse regering en de Europese Commissie hebben nauw samengewerkt om ervoor te zorgen dat het nieuwe kader de toets van het Europese Hof van Justitie zou doorstaan. De Executive Order die door de Amerikaanse president is gepubliceerd, beperkt de surveillance-instanties enigszins in de mate waarin ze kunnen snuffelen in Europese gegevens en introduceert een nieuw systeem voor toezicht en verhaal tegen misbruik. De VS en de Europese Commissie hopen dat deze nieuwe regels DPF in staat zullen stellen om een "Schrems III" uitspraak te overleven.

Zal de heer Latombe erin slagen om het kader ongeldig te maken?

We betwijfelen het, omdat procedurele hindernissen kunnen voorkomen dat er überhaupt over verdiensten wordt gesproken.

De meeste zaken belanden via een prejudiciële beslissing bij het HvJEU. Met andere woorden, de zaak wordt eerst voorgelegd aan de rechtbank van een lidstaat en vervolgens door de bevoegde rechter doorverwezen naar het HvJEU om de interpretatie van de Europese wet te verduidelijken. Dit is ook de manier waarop de zaken Schrems I en II hun weg vonden naar het HvJEU.

De zaak van de heer Latombe is anders omdat hij zijn verzoek indiende als een rechtstreeks beroep: hij stapte rechtstreeks naar het Hof en vroeg om de DPF nietig te verklaren.

Deze strategie heeft voor- en nadelen. Aan de ene kant omzeilt het rechtstreeks beroep de nationale rechtbanken volledig, waardoor de tijd die nodig is om een beslissing van het HvJEU te krijgen drastisch wordt verkort. Aan de andere kant stelt de EU-wetgeving vrij strenge eisen aan een directe actie: de aanvrager moet met succes aanvoeren dat het DPF hem rechtstreeks en individueel aangaat. Dit zou een probleem kunnen zijn voor Mr. Latombe omdat hij niet meer dan eender welke andere EU-burger betrokken is bij het DPF.

Van oudsher wordt het vereiste van rechtstreeks en individueel geraakt worden door het HvJEU zeer serieus genomen. Daarom zal het Hof het beroep waarschijnlijk verwerpen zonder de gegrondheid ervan te bespreken.

We hopen dat het tegendeel bewezen wordt, want het lot van het DPF is de bron van veel rechtsonzekerheid en veel organisaties zouden veel baat hebben bij de duidelijkheid die een beslissing van het HvJEU zou brengen.

Hoe zal het op de lange termijn aflopen?

Zelfs als de actie van Latombe niet-ontvankelijk wordt verklaard, zal er iemand anders opstaan. Noyb heeft al aangekondigd het kader te willen aanvechten en andere belangenorganisaties kunnen ook actie ondernemen.

Vroeg of laat zal het HvJEU dus beslissen over het lot van het DPF. En het is moeilijk te zeggen hoe het zal aflopen.

De meningen over het nieuwe kader zijn nogal verdeeld in de privacygemeenschap. Sommigen geloven dat het DPF de oplossing is waar iedereen naar heeft verlangd. Anderen - waaronder noyb - beschouwen het als een verfje van het Privacy Shield en verwachten dat het HvJEU het zal neerschieten zodra het aan zet is.

De waarheid ligt waarschijnlijk ergens in het midden: het DPF is over het algemeen een stap voorwaarts ten opzichte van het verleden, maar sommige aspecten van Joe Biden's Executive Order zijn nog steeds reden tot zorg en kunnen een probleem zijn voor het Hof van Justitie.

De Europese instellingen zelf zijn verdeeld over de verdiensten van het kader. De Commissie is natuurlijk een enthousiaste voorstander van het DPV. Aan de andere kant heeft het EU Parlement het DPF met een grote meerderheid verworpen. De stem van het Parlement is niet bindend, maar kan de toon van het debat beïnvloeden en druk uitoefenen op het HvJEU. Tot slot nam het Europees Comité voor gegevensbescherming een ietwat voorzichtig advies aan over het kader - mogelijk om een reeds gepolariseerd debat niet te beïnvloeden.

Conclusies

Wij geloven dat privacy iedereen aangaat en dat bedrijven verantwoordelijk moeten zijn in de manier waarop ze gegevens verzamelen. Daarom hebben we Simple Analytics gemaakt: de tool voor webanalyse die bedrijven alle inzichten verschaft die ze nodig hebben - zonder persoonlijke gegevens aan te raken. Als dit u aanspreekt, probeer ons dan gerust uit!

GA4 is complex. Probeer Simple Analytics

GA4 is als in de cockpit van een vliegtuig zitten zonder een pilotenlicentie

Start 14-dagen proefperiode