Conclusie A-G overeenkomst Facebook Ireland en Facebook Inc.

Conclusie A-G bij HvJ EU 19 december 2019, IT 3001, IEFbe 3109; C-311/18 (Facebook Ireland en Maximilian Schrems) De algemene verordening gegevensbescherming (AVG) bepaalt dat persoonsgegevens mogen worden doorgegeven aan een derde land wanneer dat land een passend niveau van bescherming van die gegevens waarborgt. Bij besluit 2010/87/EU heeft de Commissie modelcontractbepalingen vastgesteld voor de doorgifte van persoonsgegevens aan verwerkers die gevestigd zijn in derde landen. Facebook Ireland geeft persoonsgegevens van Facebookgebruikers uit alle Unielanden geheel of gedeeltelijk door aan servers in de Verenigde Staten, waar ze worden verwerkt. Facebook Ireland waarborgt naar eigen zeggen de privacy van deze gegevens in haar overeenkomst met Facebook Inc, die sinds 20 november 2015 van toepassing is, en beroept zich daarbij op besluit 2010/87. Schrems betwist echter dat de in die overeenkomst vervatte bepalingen in overeenstemming zijn met de modelcontractbepalingen die zijn vastgesteld in besluit 2010/87 en wendt zich daarom naar de toezichthoudende autoriteit. Deze autoriteit is van oordeel dat Schrems’ verzoek afhangt van de vraag of besluit 2010/87 geldig is en vraagt dit aan het Europese Hof van Justitie.

In deze conclusie wordt geoordeeld dat de passende waarborgen die voorkomen in die overeenkomst moeten zorgen voor eenzelfde beschermingsniveau als de AVG biedt. Verder hangt het bij de vraag of besluit 2010/87 overeenstemt met het Handvest ervan af of er voldoende solide mechanismen bestaan die kunnen waarborgen dat op modelcontractbepalingen gebaseerde doorgiften opgeschort of verboden worden wanneer die bepalingen geschonden worden of niet kunnen worden nageleefd. Aan deze voorwaarde is voldaan wanneer er sprake is van een verplichting – voor de verwerkingsverantwoordelijken en, wanneer deze niets ondernemen, voor de toezichthoudende autoriteiten – om een doorgifte op te schorten of te verbieden wanneer de modelbepalingen niet kunnen worden nageleefd omdat er een conflict bestaat tussen de uit deze bepalingen voortvloeiende verplichtingen en de verplichtingen die voortvloeien uit het recht van het derde land van bestemming.

127. In the light of those observations, I consider that the fact that Decision 2010/87 and the standard contractual clauses which it sets out are not binding on the authorities of the third country of destination does not in itself render that decision invalid. The compatibility of Decision 2010/87 with Articles 7, 8 and 47 of the Charter depends, in my view, on whether there are sufficiently sound mechanisms to ensure that transfers based on the standard contractual clauses are suspended or prohibited where those clauses are breached or impossible to honour.

128. In that regard, Article 46(1) of the GDPR provides that a transfer on the basis of appropriate safeguards can take place only ‘on condition that enforceable data subject rights and effective legal remedies for data subjects are available’. It will be necessary to ascertain whether the safeguards provided for in the clauses in the annex to Decision 2010/87, supplemented by the powers of the supervisory authorities, make it possible to ensure that that condition is met. That, in my view, is the position only in so far as there is an obligation — placed on the controllers (section 1) and, where the latter fail to act, on the supervisory authorities (section 2) — to suspend or prohibit a transfer when, because of a conflict between the obligations arising under the standard clauses and those imposed by the law of the third country of destination, those clauses cannot be complied with.