De advocaat-generaal van het Hof van Justitie van de Europese Unie stelt dat het gebruik van standaardcontractclausules afdoende is om internationale doorgifte van persoonsgegevens te laten voldoen aan EU-privacynormen. In de laatste ontwikkeling in de zaak van Max Schrems versus Facebook stelt het Hof echter wel dat bedrijven die de clausules gebruiken, hiermee moeten stoppen als blijkt dat het land van bestemming voor hun gegevens onvoldoende bescherming van persoonlijke gegevens biedt.
Het advies werd uitgebracht door advocaat-generaal Saugmandsgaard Øe na vragen van het Ierse hooggerechtshof hierover namens de Ierse toezichthouder voor gegevensbescherming. Deze toezichthouder is verantwoordelijk voor de controle op Facebook in de EU en onderzoekt een klacht van Schrems. Die stelt dat Facebook de EU-privacywetgeving schendt door gegevens over gebruikers naar de VS te sturen waar ze mogelijk worden onderworpen aan staatstoezicht.
De standaard contractuele clausules stellen bedrijven in staat om persoonsgegevens buiten de EU over te dragen, zelfs als de Europese Commissie geen zogenaamd adequaatheidsbesluit heeft gegeven over het land van bestemming, dat het voldoet aan de EU-privacynormen. Veel bedrijven vertrouwen op deze clausules voor overdrachten naar de VS, vooral nadat Schrems erin slaagde om het Hof van Justitie een streep te laten zetten door de status van de VS als 'safe harbour'.
De Ierse autoriteit heroverweegt nu de klacht van Schrems na de uitspraak van de EU-rechter in 2015. Schrems beweert dat het contract van Facebook met gebruikers niet consistent is met het besluit van de Commissie van 2010 over de standaardcontractbepalingen. Zelfs als dit wel het geval zou zijn, zou dit niet voldoende zijn om de overdracht van zijn persoonlijke gegevens naar de VS te rechtvaardigen. Hij wil dat de toezichthouder dergelijke gegevensoverdracht opschort, omdat niet-Amerikaanse burgers geen juridische opties hebben in de VS als hun privacy daar wordt geschonden.
Clausules geldig middel
De advocaat-generaal bevestigde het besluit van de Commissie over het gebruik van de clausules en zei dat dit een geldig middel was om de algemene toepassing van de gegevensbeschermingsregels te waarborgen. Hij merkte echter op dat dit bedrijven of regelgevers niet vrijstelt van hun plicht om ervoor te zorgen dat gegevensbescherming daadwerkelijk wordt gehandhaafd in de landen van bestemming. Als wordt vastgesteld dat een land de EU-beginselen schendt, moet het gebruik van dergelijke clausules worden beëindigd en moeten de regelgevers optreden om de gegevensoverdrachten te stoppen.
De mening van de AG is niet bindend, maar de rechtbank neigt ertoe diens aanbevelingen in de definitieve uitspraak op te volgen. Het advies werd verwelkomd door de Computer and Communications Industry Association, die opmerkte dat "standaardcontractbepalingen het enige levensvatbare en betaalbare instrument zijn voor Europese bedrijven om gegevens over te dragen naar meer dan de dozijn landen die de EU passend acht".
Schrems zei in een eerste reactie dat hij over het algemeen tevreden was. Hij riep de Ierse commissaris voor gegevensbescherming op om op te treden en de overdrachten aan de VS op te schorten.
