E-mailmarketing volgens de privacy richtlijn – arrest van het Europees Hof van Justitie

Samenvatting

Het Hof van Justitie heeft de Privacy Shield overeenkomst, die voorheen de overdracht van persoonsgegevens aan deelnemende Amerikaanse bedrijven toestond, niet van kracht verklaard.

Vanwege de juridische situatie in de VS, waarbij de veiligheidsautoriteiten grotendeels onbeperkt toegang kunnen hebben tot persoonsgegevens zonder dat zij aan rechterlijke controle worden onderworpen, is de overdracht van persoonsgegevens aan bedrijven die contractueel verplicht zijn zich aan de Europese regelgeving inzake gegevensbescherming te houden, niet langer een optie.

Dit geldt zelfs als de persoon die verantwoordelijk is voor de overdracht van de gegevens (d.w.z. de bedrijven die e-mailmarketing uitvoeren) of hun contractverwerkers een beroep doen op de Europese standaardclausules inzake gegevensbescherming. Deze werden door het Hof van Justitie ook ontoereikend geacht ten opzichte van Amerikaanse bedrijven.

Om zware boetes van de Europese gegevensbeschermingsautoriteiten te voorkomen, moeten de verantwoordelijke partijen hun contractuele partners vragen of er persoonsgegevens worden doorgegeven aan de VS. Als dit inderdaad het geval is, moet de samenwerking met dit bedrijf onmiddellijk worden opgeschort.

Inleiding

Één van de centrale juridische uitdagingen van elke serieuze e-mailmarketing campagne is de naleving van het kader voor gegevensbescherming. Elk e-mailadres en (zoals het Hof van Justitie al heeft beslist) ook elk IP-adres moet altijd als persoonsgegevens worden behandeld en mag alleen worden verwerkt in overeenstemming met de bepalingen van de basisverordening inzake gegevensbescherming (GDPR).

In de praktijk komt een hele reeks spelers vaak in contact met persoonlijke gegevens van e-mailontvangers: van het bedrijf in wiens belang en voor wiens rekening nieuwsbrieven worden verstuurd (meestal ook de “verantwoordelijke” in de zin van de regelgeving inzake gegevensbescherming), via een bureau dat de campagne plant, tot de eigenlijke afzender (de zogenaamde ESP) en zijn onderaannemers.

Ook al vindt de gehele verwerking binnen de EU plaats, de wettelijke eisen zijn allesbehalve triviaal: de afzender moet de toestemming hebben van de ontvanger die voldoet aan de huidige eisen van het rechtsgebied, hij moet zich bij het verzamelen en verwerken van gegevens houden aan de eisen van de “Basic Data Protection Regulation” (GDPR) met betrekking tot gegevenseconomie, transparantie, verwijdering, etc. Èn hij moet met elk van zijn onderaannemers een overeenkomst voor verwerking sluiten die voldoet aan de eisen van de GDPR. De juridische situatie wordt echter echt ingewikkeld wanneer persoonsgegevens worden doorgegeven aan ontvangers buiten de EU. De GDPR staat dit in principe alleen toe onder bepaalde nauw omschreven voorwaarden, die bedoeld zijn om ervoor te zorgen dat de gegevens ook buiten de EU worden beschermd door een niveau van gegevensbescherming dat vergelijkbaar is met het niveau dat in Europa vereist is.

Tot nu toe heeft de overdracht van persoonsgegevens naar de VS vrijwel uitsluitend plaatsgevonden op basis van twee door de GDPR erkende instrumenten:

1- de contractuele verbintenis van het Amerikaanse bedrijf door middel van door de EU erkende modelclausules inzake gegevensbescherming (de zogenaamde standaardclausules inzake gegevensbescherming) en

2- de overdracht aan bedrijven die zich (ook contractueel) hebben verbonden tot deelname aan een tussen de EU en de VS overeengekomen systeem voor gegevensbescherming (het zogenaamde privacy shield)

De Privacy Shield overeenkomst

De Privacy Shield overeenkomst is in wezen een regeling voor de bescherming van privégegevens die in 2016 door de Europese Commissie is erkend en waar elk Amerikaans bedrijf zich vrijwillig bij kan aansluiten. Als een bedrijf zich bij de overeenkomst aansluit, wordt het beschouwd als een “veilige” gegevensverwerker waaraan persoonsgegevens kunnen worden doorgegeven onder dezelfde voorwaarden als aan een Europees bedrijf.

In zijn arrest van 17 juli 2020 heeft het Europees Hof van Justitie de Privacy Shield overeenkomst echter ongeldig verklaard. Zij motiveerde dit in wezen door te verwijzen naar de uitgebreide bevoegdheden van de Amerikaanse veiligheidsautoriteiten in het kader van de Foreign Intelligence Surveillance Act (met inbegrip van de rechtsgrondslag van PRISM en UPSTREAM). Op grond van deze wet hebben de Amerikaanse veiligheidsautoriteiten toegang tot persoonsgegevens van niet-Amerikaanse burgers die grotendeels vrij zijn van wettelijke beperkingen en die niet eens onderworpen zijn aan serieuze gerechtelijke controle op hun activiteiten. Met name dit laatste punt is door het Hof van Justitie bijzonder slecht ontvangen, omdat het optreden van de staat zonder de mogelijkheid van constitutionele controle niet te verenigen is met de Europese opvatting over rechtsbescherming.

Vanwege de aanzienlijke tekortkomingen in de gegevensbescherming in de VS, die zelfs door een privaatrechtelijke overeenkomst niet kunnen worden verholpen, heeft het Hof van Justitie uiteindelijk een overdracht van persoonsgegevens op basis van de overeenkomst inzake het beschermen van de persoonlijke levenssfeer als ondoeltreffend bestempeld.

Standaardovereenkomsten inzake gegevensbescherming met bedrijven uit de VS

Nadat de Privacy Shield overeenkomst ineffectief werd verklaard, beweren veel bedrijven met een sterke Amerikaanse connectie nu dat het hen niet aangaat omdat zij hun Amerikaanse gegevensverwerkers (vaak de moedermaatschappijen van de respectieve EU-dochterondernemingen) hebben verplicht tot een hoog niveau van gegevensbescherming door middel van de standaardclausules inzake gegevensbescherming die door de EU zijn erkend en daarom het Privacy Shield helemaal niet nodig hebben.

Volgens het recente arrest van het Hof van Justitie is deze argumentatie echter niet houdbaar. In zijn arrest heeft het Hof van Justitie duidelijk gemaakt dat deze standaard clausules weliswaar nog steeds geldig zijn, maar dat zij in elk afzonderlijk geval vereisen dat de wetgeving van het doelland over het algemeen een adequate gegevensbescherming toestaat. Wanneer dit niet mogelijk is, moet de verantwoordelijke persoon de overdracht van persoonsgegevens aan het derde land opschorten of beëindigen.

Volgens de bevindingen van het Hof van Justitie van de Europese Gemeenschap staan de wettelijke bepalingen in de Verenigde Staten – die voorrang hebben op elk verdrag – echter grotendeels ongereguleerde en ongecontroleerde toegang tot persoonsgegevens door de overheid toe. Daarom is elke overdracht van persoonsgegevens aan Amerikaanse bedrijven die gebonden zijn aan de standaardclausules inzake gegevensbescherming, onwettig.

Gevolgen in de praktijk

In haar arrest heeft het Europees Hof van Justitie uitdrukkelijk gesteld dat de toezichthoudende autoriteiten [zonder eigen keuzerecht] verplicht zijn op te treden tegen de doorgifte van gegevens aan derde landen die zich niet aan de GDPR houden. De keuze van de toezichthoudende autoriteiten bestaat uit verbodsbeschikkingen en (vanuit het oogpunt van de autoriteiten bijzonder effectief, vanuit het oogpunt van de betrokken ondernemingen bijzonder pijnlijk) het opleggen van boetes.

De GDPR classificeert de niet-juridische overdracht van persoonsgegevens als een bijzonder ernstige inbreuk op de regelgeving inzake gegevensbescherming en legt boetes op tot 20 miljoen EUR of 4% van de geconsolideerde jaaromzet die wereldwijd wordt behaald (het hoogste cijfer in elk afzonderlijk geval is relevant).

Om zich tegen deze gevoelige boetes te beschermen, moeten alle bedrijven die met dienstverleners met een sterke Amerikaanse connectie werken (met name de bekende Amerikaanse ESP’s zoals Salesforce, Mailchimp, Sharpspring etc.) zich afvragen of zij persoonsgegevens naar de VS overdragen. Corresponderende voorbeeldvragenlijsten zijn al te vinden op de relevante internet platforms, bijvoorbeeld op https://noyb.eu/en/next-steps-eu-companies-faqs Indien een overdracht van persoonsgegevens daadwerkelijk plaatsvindt op basis van de standaardclausules inzake gegevensbescherming of op basis van de overeenkomst inzake het beschermen van de persoonlijke levenssfeer, moet de samenwerking met deze bedrijven definitief worden opgeschort.

Lees hier meer posts over EPrivacy en privacy punten waar je rekening mee moet houden bij e-mailmarketing automation.