"Exploring the future of work & the freelance economy"

Wat betekent het Schrems ll arrest voor jouw VMS?

Het Europese Hof van Justitie sprak zich op 16 juli 2020 uit in het ‘Schrems II arrest’. De hoofdfiguur in dat arrest is Max Schrems, een Oostenrijkse jurist die zich verzet tegen het onrechtmatig doorgeven van persoonsgegevens aan landen buiten de Europese Economische Ruimte (EER). De uitspraak brengt heel wat onzekerheden en gevolgen met zich mee, met name voor Vendor Management Systemen (VMS).

Met het eerste Schrems arrest werd de Safe Harbor beslissing van de Europese Commissie door het Hof van Justitie al ongeldig verklaard. Safe Harbor moest de overdracht van persoonsgegevens naar derde landen reguleren, maar volgens Schrems voldeed de beslissing niet aan die vereiste.

Ter vervanging van Safe Harbor werd de Privacy Shield adequaatheidsbeslissing opgesteld. Nochtans was Schrems ervan overtuigd dat ook het Privacy Shield niet aan de Europese eisen voldeed, met een tweede arrest tot gevolg. De uitspraak brengt heel wat onzekerheden en gevolgen met zich mee, met name voor Vendor Management Systemen (VMS).

l. Schrems II en VMS

Systemen waarin je de leveranciers van je onderneming beheert, ook gekend als vendor management systemen (VMS), bevatten gegevens over extern aangeworven talent. Die gegevens zijn persoonlijke gegevens, aangezien ze betrekking hebben op een identificeerbaar natuurlijk persoon. Die gegevens vallen onder de GDPR-wetgeving.

Het Schrems ll arrest heeft een grote impact op de overdracht van persoonsgegevens en bijgevolg ook op VMS’en, wanneer die persoonsgegevens van extern aangeworven talent verzamelen in datacenters buiten de Europese Economische Ruimte (EER). Het is daarom belangrijk bij de keuze van het systeem rekening te houden met de locatie van de systeemleverancier:

  1. Is de leverancier binnen de EER gevestigd en worden de persoonsgegevens binnen de EER opgeslagen, dan vormt de doorgifte geen probleem. Het Schrems II arrest is in dat geval niet van toepassing.
  2. Bevindt de leverancier zich buiten de EER, dan moet je nagaan waar de persoonsgegevens opgeslagen worden. Het opslaan van gegevens in een datacenter binnen de EER maakt geen doorgifte uit, waardoor het arrest ook hier niet op van toepassing is. De leverancier moet daarbij wel schriftelijk garanderen dat de persoonsgegevens werkelijk binnen de EER opgeslagen zijn. Enige vorm van twijfel kan de toepassing van het Schrems ll arrest uitlokken.
  3. Indien de leverancier de persoonsgegevensgegevens wel buiten de EER opslaat, is er sprake van een doorgifte van persoonsgegevens waar het Schrems II arrest en de uitgebreide vereisten van de GDPR op van toepassing zijn.

ll. Hoofdpunten van het Schrems II arrest

Het Schrems ll arrest valt in twee hoofdpunten samen te vatten, die een enorme impact hebben op de regels rond de doorgiften van persoonsgegevens buiten de EER.

  1. Het Europese Hof van Justitie verklaarde het Privacy Shield ongeldig. De ongeldigheidsverklaring is gestoeld op twee beoordelingsgronden:
  •  De surveillancepraktijken in de Verenigde Staten zijn niet strikt noodzakelijk en proportioneel;
  • De betrokkenen hebben geen doeltreffende voorziening in recht tegen die surveillancepraktijken.
  1. Een tweede, en mogelijk nog belangrijker punt van de uitspraak, betreft de standaardbepalingen (ook bekend als SCC’s) in de GPDR. Hoewel het Hof het gebruik van die bepalingen niet ongeldig verklaart, verbindt ze het gebruik ervan wel aan bepaalde voorwaarden, namelijk de onduidelijke en subjectieve beoordelingsgronden bij de ongeldigverklaring van het Privacy Shield. Dat betekent een enorme bijkomende drempel voor ondernemingen om gebruik te kunnen maken van standaardbepalingen, die voor het arrest samen met het Privacy Shield de belangrijkste rechtvaardigingsgrond voor doorgiften van persoonsgegevens waren.  Ondernemingen zien zich nu dus geconfronteerd met enorme drempels en onzekerheid voor doorgiften van persoonsgegevens naar derde landen.

lll. Gevolgen van het Schrems II arrest

Het Schrems ll arrest veroorzaakt veel onzekerheid. De meest relevante gevolgen voor VMS’en kunnen we samenvatten als volgt:

  1. De ongeldigheidsverklaring van het Privacy Shield verhindert ondernemingen om gegevens eenvoudigweg via VMS door te geven naar de Verenigde Staten. Ondernemingen moeten persoonsgegevens dus op andere manieren naar de VS doorgeven, zonder duidelijke richtlijnen daartoe.
  2. De ongeldigheidsverklaring gaat onmiddellijk van kracht, al blijven de verplichtingen die het Privacy Shield stelt wel gelden. Voor ondernemingen die gebruik maken van VMS is het daardoor onzeker hoe ze de nieuwe regelgeving correct kunnen naleven onder de blijvende verplichtingen van het Privacy Shield.
  3. Door het arrest komt bij een brexit het adequaatheidsbesluit tussen de Europese Unie en het Verenigd Koninkrijk op de helling te staan. Het Europese Hof voor de Rechten van de Mens stelde met de Big Brother-zaak de surveillancepraktijken van het Verenigd Koninkrijk al eerder in vraag. Indien er geen adequaatheidsbesluit tussen de EU en het VK komt, dan zullen doorgiften van persoonsgegevens naar het VK even moeilijk worden als de doorgiften naar de VS. Andere adequaatheidsbesluiten, zoals voor Canada, Japan of Zwitserland, kunnen na Schrems ll evenzeer in vraag gesteld worden.
  4. Tenslotte is ook de toekomst van de standaardbepalingen onzeker. Die constructies vormen momenteel de belangrijkste rechtsgrond voor doorgifte van persoonsgegevens, maar zijn door de nieuwe uitspraak ook complexer en niet langer objectief te beoordelen. Dat blijkt onder meer uit de uiteenlopende regels en voorstellen van verschillende gegevensbeschermingsautoriteiten. Daarnaast roepen ook de zogenaamde ‘bijkomende waarborgen’ vragen op.

Het advocatenkantoor Monard Law staat je graag bij in vragen rond het Schrems ll arrest, doorgifte van persoonsgegevens naar derde landen, standaardbepalingen of andere vragen omtrent de GDPR.

Bron: Dylan Verhulst en Kristof Zadora

Specialisten van Monard Law delen hier hun kennis op het gebied van arbeidsrecht en sociaal zekerheidsrecht. Zowel voor individuele freelancers als voor hun opdrachtgevers.

Bekijk alle berichten van Monard Law

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *