Month

Op 12 juli 2016 keurde de Europese Commissie het EU-U.S. Privacy Shield goed, dat een veilig kader zou moeten vormen voor de overdracht van persoonsgegevens naar de Verenigde Staten. De regelgeving en uitvoering van het Privacy Shield zal jaarlijks worden geëvalueerd door de VS en de Europese Commissie, zodat het akkoord up to date blijft en effectief wordt uitgevoerd.

Het Privacy Shield vervangt de Safe-Harbor regeling, die werd opgeheven naar aanleiding van het Schrems-arrest van het Europese Hof van Justitie. Het Hof oordeelde op 6 oktober 2015 dat de regelgeving onvoldoende garantie bood op de bescherming van persoonsgegevens door Amerikaanse ondernemingen en verklaarde deze ongeldig. De vernietiging had tot gevolg dat heel wat bedrijven die in de EU verzamelde persoonsgegevens opsloegen in datacenters die zich fysiek in Amerika bevonden, of de gegevens lieten verwerken door Amerikaanse ondernemingen, plots niet meer aan de Europese privacyverplichtingen voldeden. Zij moesten daar in principe dan ook mee ophouden, dan wel een alternatieve regeling treffen om een adequaat beschermingsniveau te garanderen. Een snelle oplossing drong zich dan ook op.

Deze komt er, volgens de Europese Commissie met het EU-U.S. Privacy Shield. Kort gezegd zou het Privacy Shield Amerikaanse bedrijven striktere privacyverplichtingen opleggen m.b.t. bescherming van de persoonsgegevens van Europeanen, betere afdwinging van rechten garanderen, waarborgen en openheid vastleggen m.b.t. toegang tot persoonsgegevens door de Amerikaanse overheden en verhaal voor individuen vergemakkelijken.

Het Privacy Shield werkt met een systeem van zelf-certificering. Amerikaanse bedrijven die wensen deel te nemen dienen zich officieel te registreren voor de Privacy Shield list. Dit kan vanaf 1 augustus 2016. Een overdracht van persoonsgegevens naar gecertificeerde bedrijven is toegelaten zonder dat een afzonderlijke overeenkomt moet worden afgesloten op een adequaat beschermingsniveau te garanderen. Het is nog wel nodig een bewerkersovereenkomst af te sluiten, die de modaliteiten van de verwerking vastlegt tussen de verwerkingsverantwoordelijke en de verwerker. De bedrijven die deelnemen dienen zichzelf jaarlijks te evalueren en op de naleving van de Privacy Shield zal meer controle worden uitgevoerd. Ondernemingen die hun verplichtingen terzake niet of onvoldoende naleven zullen gesanctioneerd worden en kunnen zelfs uitgesloten worden

De V.S. zou verder ondermeer de automatische toegang tot Europese persoonsgegevens uit haar wetgeving moeten verwijderen. In de plaats daarvan zal de toegang tot zulke gegevens door de Amerikaanse overheden worden onderworpen aan strikte beperkingen, voorwaarden en controle. Toegang op grote schaal (mass surveillance) of op willekeurige wijze zou in de toekomst dan ook niet meer mogelijk mogen zijn. Ook zal meer openheid gecreëerd worden over het aantal verzoeken tot inzage van persoonsgegevens dat de Amerikaanse overheid uitbrengt en burgers met klachten kunnen zich richten tot een ombudsdienst.

Tot slot wordt voorzien in gemakkelijk toegankelijke en goedkopere geschillenbeslechtingsmechanismen voor de betrokkene. Ondernemingen zullen steeds binnen 45 dagen moeten reageren op klachten van individuen en er wordt zonder kosten voorzien in een vorm van alternatieve geschillenbeslechting. Het Privacy Shield voorziet ook in een samenwerkings- en handhavingsbeleid tussen het Amerikaanse ministerie van handel en de Federal Trade Commission, met de Europese privacy autoriteiten. Wanneer individuen zich richten tot hun gegevensbescherminsautoriteit, kan deze er zo op toe zien dat klachten worden onderzocht en behandeld. Als laatste toegangsmiddel wordt een arbitragecollege ingesteld dat bindende beslissingen zal kunnen nemen.

De kans is echter groot dat ook deze regeling zal worden aangevochten voor het Hof van Justitie. Tegenstanders oordelen dat het Privacy Shield onvoldoende waarborgen biedt, voornamelijk dan het systeem van zelfcertificering, en te vaag werd geformuleerd. Zo oordeelt ook de article 29 Working party, het overlegorgaan van de Europese privacytoezichthouders. Op 13 april 2016 stelde zij in haar verslag dat het Privacy Shield te vaag geformuleerd is en in het algemeen niet volstaat om de privacy van de Europese burger voldoende te beschermen.[1] In haar – niet bindende – beslissing verlangt de Working party ondermeer extra waarborgen m.b.t. automatische verwerkingen, verdere beperkingen op de toegang door de Amerikaanse overheden en effectieve en onafhankelijke verhaalsmogelijkheid voor de betrokkenen.

Desondanks werden niet alle punten van kritiek van de Working party verholpen. Zo kunnen Amerikaanse ondernemingen nog steeds persoonsgegevens gebruiken voor andere doeleinden dan waarvoor ze verzameld zijn. Echter moeten ze de betrokkene nu wel de mogelijkheid geven om dat te weigeren. De Ombudsman waartoe betrokkenen zich kunnen richten blijft onderdeel uitmaken van het department of state en dus weinig onafhankelijk, en ondanks een kleine wijziging t.a.v. de oorspronkelijk versie op dit punt, mogen persoonsgegevens onder het Privacy Shield bewaard worden zo lang ze relevant zijn. Dit in tegenstelling tot de Europese privacywetgeving, die verlangt dat de gegevens worden verwijderd van zodra het behoud ervan niet langer noodzakelijk is. Ook onder de definitieve versie van het Privacy Shield blijft het mogelijk voor de Amerikaanse autoriteiten om gegevens in bulk te verzamelen, voor zes doelen die zeer breed geïnterpreteerd kunnen worden. De Europese Commissie stelt echter dat het verzamelen van gegevens in bulk niet hetzelfde is als mass surveillance, en het Schrems arrest dus niet geschonden wordt door dit toe te staan. Het is dus maar de vraag of het Privacy Shield een toets door het Hof zou doorstaan.

Het EU-U.S. Privacy Shield trad in werking op 1 augustus 2016.

[1] Working Party Statement of 13 April 2016 on the opinion on the EU-U.S. Privacy Shield, http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2016/wp238_en.pdf.

Geschreven door Nina Coussement, zomerstagiaire bij het team corporate en IP/ICT recht.

Verplichting facturen uitsluitend in het Nederlands op te stellen strijdig bevonden met het vrij verkeer

In het licht van het arrest van het Hof van Justitie van 21 juni 2016.

Huidige wetgeving

In België is het volgens de huidige stand van de wetgeving verplicht voor een onderneming met exploitatiezetel gelegen in het Nederlandse taalgebied, de wettelijk voorgeschreven akten en bescheiden (bijvoorbeeld facturen) uitsluitend in het Nederlands op te stellen. Dit vinden we in het decreet van 19 juli 1973 tot regeling van het gebruik van de talen voor de sociale betrekkingen tussen de werkgevers en de werknemers, alsmede van de door de wet en de verordeningen voorgeschreven akten en bescheiden van de ondernemingen.

Het Nederlands is voor deze akten dan ook de enige officiële taal die mag worden gebruikt. De rechtspraak stond vast, men mocht zich niet op enig anderstalig document beroepen. Wanneer deze akten niet in het Nederlands zijn opgesteld is de sanctie volgens dit decreet dan ook de nietigheid, die zelfs ambtshalve door de rechter kan worden ingeroepen.

Prejudiciële vraag

In deze concrete zaak gaat het over facturen van een Belgische onderneming bestemd voor een Italiaanse contractspartij. Deze facturen werden opgesteld in het Italiaans, en nu nietig verklaard omwille van het enkele feit dat zij niet in het Nederlands opgesteld waren.

Over bovengenoemde bepalingen is een prejudiciële vraag gesteld aan het Hof van Justitie. Men vraagt zich af of deze regelgeving wel in overeenstemming is met het recht op vrij verkeer. Een regeling als deze is volgens het Hof een beperking op artikel 35 van het VWEU dat verband houdt met uitvoer. Artikel 35 van het werkingsverdrag luidt als volgt: “Kwantitatieve uitvoerbeperkingen en alle maatregelen van gelijke werking zijn tussen de lidstaten verboden.”

De bepalingen waarvan sprake naar Belgisch recht leiden volgens het Hof wel degelijk tot een beperking van het vrij verkeer. De maatregel zorgt voor rechtsonzekerheid, die ondernemingen zou kunnen ontmoedigen om contractuele banden aan te gaan met een onderneming gelegen in het Nederlandse taalgebied van België. Logisch, want ontvangers van de facturen zouden mogelijks de facturen niet kunnen begrijpen en het risico dat zij deze daarom zullen betwisten is groter. Eveneens kunnen zij de nietigheid oproepen van de facturen wanneer zij wel in een voor hen begrijpbare taal zijn opgesteld, zonder enige andere reden.

Een lidstaat mag beperkingen opleggen aan het vrij verkeer, maar hiervoor dient aan een aantal voorwaarden te zijn voldaan. Dit wordt de Rule of Reason genoemd. De beperkende maatregel is dan slechts toelaatbaar mits deze een doelstelling van algemeen belang nastreeft, de maatregel geschikt is om de verwezenlijking van deze doelstelling te waarborgen en niet verder gaat dan noodzakelijk om dat doel te bereiken (proportionaliteit).

Het Hof past deze toets hier toe en komt tot de conclusie dat deze maatregel weliswaar geschikt is om de doelstelling van algemeen belang – namelijk het gebruik van de officiële taal van het betrokken taalgebied te stimuleren en de doeltreffendheid van de controle inzake btw door de bevoegde diensten – te waarborgen, maar dat zij onevenredig ver gaat. Een minder ingrijpende maatregel, zoals voorschrijven dat de officiële taal moet worden gebruikt, maar eveneens toestaan dat er een rechtsgeldige versie wordt opgesteld in een andere taal, kan deze doelstelling ook waarmaken.

De Belgische staat probeert nog tevergeefs in te roepen dat enkel de vermeldingen die in artikel 226 van de richtlijn 2006/112 opgesomd staan verplicht in het Nederlands moeten en niet de gehele factuur. Het hof oordeelt echter dat zelfs al zou het enkel over deze vermeldingen gaan, de beperking nog steeds te verregaand is en zodoende niet proportioneel.

Wetgevend initiatief afwachten

Deze regeling voor het Nederlands taalgebied in België is dus niet meer houdbaar. Dit arrest impliceert dat het voortaan in principe ook voor ondernemingen met exploitatiezetel in het Nederlands taalgebied, mogelijk is om hun facturen in een andere taal dan enkel het Nederlands op te stellen. Momenteel wordt het afwachten wat de Belgische wetgever zal ondernemen. Hoe dan ook zullen zij de regelgeving minder streng moeten maken, in navolging van dit arrest.