Ons antwoord op Schrems II
CBRE zet zich in voor het respecteren en beschermen van de gegevensbescherming en privacyrechten van onze werknemers, klanten en belanghebbenden in de EU/EER en wereldwijd. We nemen proactieve maatregelen om ervoor te zorgen dat internationale gegevensoverdrachten rechtmatig en volledig in overeenstemming blijven met het “Schrems II”-besluit, uitgevaardigd op 16 juli 2020 door het Hof van Justitie van de Europese Unie.
Het besluit van de hoogste rechtbank van de EU heeft het EU-VS Privacy Shield Framework ongeldig gemaakt. Het bevestigde ook de geldigheid van EU standaard contractbepalingen (SCC's) als een wettig mechanisme om persoonsgegevens van de EU/EER over te dragen naar niet-EU/EER-landen, op voorwaarde dat adequate bescherming onder EU-wetgeving is verzekerd. CBRE neemt proactieve stappen om ervoor te zorgen dat alle gegevensoverdrachten rechtmatig en in volledige overeenstemming met het Schrems II-besluit blijven, waaronder:
- Het blijven vertrouwen op EU SCC's zoals bevestigd door de hoogste rechtbank van de EU om persoonsgegevens rechtmatig over te dragen van de EU/EER naar niet-EU/EER-landen, inclusief de VS. Wij houden de ontwikkelingen nauwlettend in de gaten en wachten op verdere begeleiding van de Europese Raad voor gegevensbescherming (EDPS), het Britse Information Commissioners Office (ICO), en andere toezichthoudende autoriteiten van de EU, evenals de vooruitgang van de Europese Commissie in de richting van bijgewerkte SCC's.
- Het evalueren van alternatieve wettelijke overdrachtsmechanismen in die beperkte gevallen waarin we hebben vertrouwd op CBRE's EU-US Privacy Shield-certificering, inclusief het gebruik van afwijkingen van artikel 49 van het AVG, en CBRE zal binnenkort een bijgewerkte privacyverklaring publiceren. Voor 16 juli vertrouwde CBRE uitsluitend op het Privacy Shield voor de overdracht van sommige persoonsgegevens die rechtstreeks van de betrokkenen in de EU/EER werden verzameld door de Amerikaanse websites van CBRE. CBRE blijft zich inzetten om te voldoen aan onze verplichtingen onder de AVG en het Privacy Shield-programma voor alle persoonsgegevens die worden overgedragen op basis van Privacy Shield.
- Het implementeren van een kader voor het uitvoeren van beoordelingen van het effect op privacy op alle gegevensoverdrachten buiten de EU/EER en het evalueren van passende aanvullende waarborgen om ervoor te zorgen dat al dergelijke overdrachten een in wezen gelijkwaardig niveau van gegevensbescherming hebben als dat binnen de EU wordt gegarandeerd.
- Het verkennen van de toenemende lokalisatie van gegevens in de EU/EER.
Tot slot is CBRE optimistisch dat er nieuwe oplossingen, zoals een verbeterd EU-VS Privacy Shield Framework, zullen worden gevonden die de voortdurende vrije stroom van gegevens mogelijk zullen maken, die zo belangrijk zijn voor de wereldeconomie en internationale handelsrelaties, en tegelijkertijd individuele privacyrechten beschermen en respecteren in overeenstemming met de EU-wetgeving. Voor vragen over het antwoord van CBRE op het Schrems II-besluit kunt u contact opnemen met het Global Data Privacy Office van CBRE.
Elizabeth Atlee
Hoofd Ethiek en Compliance