COLUMN
TEKSTEN : Bart Van den Brande / Sirius Legal BEELDMATERIAAL: OnlineRetailer
COLUMN
Het is een boutade, maar oh zo correct: het internet kent geen grenzen. Dat geldt ook voor de ontelbare softwaretoepassingen, apps, tools, plug-ins, SaaS-oplossingen, etc.. die webshops dagelijks gebruiken. Heel wat van die tools zijn Amerikaans, Chinees of kunnen in principe uit elke uithoek van de wereld komen.
WIE GEBRUIKT ER NOU GEEN
AMERIKAANSE SOFTWARE De EU doet er alles aan om de privacy van haar burgers te beschermen, onder meer via de GDPR of AVG. Buiten Europa bestaat diezelfde bescherming vaak niet. Persoonsgegevens doorsturen naar (server-)locaties buiten de unie, kan daarom in principe alleen onder strenge voorwaarden. Het Europees Hof van Justitie maakt die regels nu nog strenger in het recente ‘Schrems II arrest’ (Zaak C-311/18, dd. 16 juli 2020), met als gevolg dat élke webshop (en elk bedrijf) in de EU dringend moet herbekijken of het gebruik maakt van dienstverleners buiten de EU en of dat wel gebeurt volgens de regels.
DOORGIFTE VAN PERSOONSGEGEVENS BUITEN DE EU?
Persoonsgegevens doorgeven aan personen of bedrijven buiten de Europese Unie mag niet zomaar onder GDPR. De Europese wetgever gaat ervan uit dat landen buiten de EU niet per definitie even veilig omgaan met persoonsgegevens als de EU zelf. Daarom mogen persoonsgegevens alleen doorgegeven worden buiten de EER onder zeer
70 I
ONLINE
RETAILER
specifieke voorwaarden. Er is in de eerste plaats een (zeer korte) lijst met veilige landen. Naar die landen mag je zonder probleem data exporteren. Op die lijst staan bijvoorbeeld Japan, Canada, Argentinië en Israël. Wil je gegevens uitwisselen met andere landen, dan kan dat alleen onder strikte voorwaarden. Binnen een groep van bedrijven kan je zogenaamde ‘Binding Corporate Rules’ opstellen, een soort van intern reglement dat binnen de groep de veiligheid van doorgifte moet garanderen. Wil je samenwerken met externe partners, dan moet je in principe een geschreven overeenkomst voorzien, waarin copy/paste de minimale garanties zijn opgenomen die de EU heeft voorzien in een reeks ‘standaard contractclausules’. Wie persoonsgegevens doorgeeft en daarbij niet kan terugvallen op één van deze juridische constructies, riskeert bijzonder hoge boetes.
PRIVACY SHIELD?
Heel wat techbedrijven zitten in de VS, natuurlijk. De privacywetgeving in de VS is echter absoluut niet zo uitgebreid als bij ons. Daarom is de VS nooit op de korte lijst met ‘veilige landen’ geplaatst door de EU. Voor Amerikaanse bedrijven bestaat -of bestond- wel een ander systeem, het zogenaamde ‘Privacy Shield’. Het Privacy Shield garandeerde de veiligheid van Europese persoonsgegevens in de VS voor bedrijven die zich lieten registreren en aan een aantal strikte voorwaarden voldeden. De Googles, Microsofts en Facebooks van deze wereld verwerken jouw en mijn persoonsgegevens op basis van dit Privacy Shield. Dit Privacy Shield is nu echter door het Europees Hof onderuit gehaald omdat Amerikaanse bedrijven in werkelijkheid nooit een voldoende niveau van veiligheid van persoonsgegevens kunnen garanderen. Amerikaanse inlichtingendiensten monitoren immers systematisch en op grote schaal persoonsgegevens uit bijvoorbeeld e-mails en cloudopslagdiensten. Het Hof verklaart het Privacy Shield dan ook -terecht- ongeldig.