6.12. Agenten in niet-EU-rechtssystemen

Binnen cyberspace zijn er geen landsgrenzen. Software agents verplaatsen zich binnen internet van web site en agentsplatform tot web site. Dit houdt in dat zowel ten aanzien van de verwerking als de openbaarmaking van PII agents met andere rechtsstelsels en met agents uit andere rechtstelsels dan het EU-privacyrechtssysteem geconfronteerd zullen worden. Vandaar dat de openbaarmaking van de PII door de verzendende PISA-agent (met de normen van de Richtlijn 95/46/EG als minimum standaard ingebouwd) aan de ontvangende agent alleen is toegestaan als de APS (privacy policy) van de ontvangende agent past binnen de privacy-voorkeuren van de verzendende PISA-agent. De verzendende agent dient zich, in welk rechtstelsel deze zich ook bevindt, ervan te vergewissen dat de APS van de ontvangende agent voldoet aan de wettelijke vereisten zoals vastgelegd in de Richtlijn 95/46/EG. Wanneer aan de ontvangende agent persoonsgegevens worden overgedragen, dan zal de task agent ook moeten verifiëren dat de ontvangende agent, wanneer deze de van hem ontvangen gegevens moet doorzenden, dezelfde procedure volgt bij het overdragen van gegevens aan de volgende ontvangende agent door in zijn rol van verzendende agent de APS van de ontvangende agent op dezelfde manier te verifieren. Wanneer het gaat om een gegevensuitwisseling tussen een Amerikaanse en Europese software agent zal (zie paragraaf 2.4.2), het regime van de Safe Harbor Agreement kunnen gelden.1 Dat betekent dat de agent in staat zal moeten zijn om zijn ingebouwde (rudimentaire juridische) kennis te toetsen aan de Safe Harbor Agreement regels. In het PISA-project is uitsluitend gewerkt met de privacyrealisatiebeginselen, die in de logica van de transfer rules zijn ingebouwd. Als de APS van een Amerikaanse agent niet met de PISA-agent overeenkomt, dan vindt de overdracht van persoonsgegevens niet plaats. De agent zal dan zijn gebruiker om een specifieke toestemming moeten vragen of de onderhandelingen en de uitvoering van de taak afbreken. Landen zoals bijvoorbeeld Canada2 worden door de EU-Commissie beschouwd als een land met een adequaat niveau van bescherming van persoonsgegevens. Aan Canadese agents, mits hun APS klopt, kunnen de gegevens zonder problemen worden overgedragen. Mocht er geen uitwisseling van gegevens plaats kunnen vinden, dan kan altijd nog naar andere mogelijkheden worden gezocht, bijvoorbeeld zoals vermeld in artikel 26 lid 1 van de Richtlijn 95/46/EG. Er kan ook vooraf over een contract betreffende de uitwisseling van persoonsgegevens worden onderhandeld.3 Dit is tijdrovend en niet erg praktisch.

Ten gevolge van het feit dat de PISA-agent zo is ingericht dat de privacy policy van de ontvangende agent bij een uitwisseling van PII buiten de EU moeten voldoen aan de Europese vereisten, kan geconcludeerd worden dat in welk rechtsstelsel de agent zich ook bevindt, er sprake is van een adequate bescherming van persoonsgegevens zelfs als de Europese Commissie dat rechtsgebied niet heeft gekwalificeerd als een regime met een adequate bescherming. In feite worden via het ontwerp van PISA de Europese normen op het gebied van bescherming van persoonsgegevens opgelegd. Of dat feitelijk ook economisch haalbaar is, zal nog moeten blijken. Omdat de verantwoordelijke voor privacyinbreuken aansprakelijk gehouden kan worden, zal de verantwoordelijke ernaar streven aan de gebruikers van zijn agents een agent te verstrekken, die privacy-zaken conform de wet kan afhandelen. Deze situatie is vergelijkbaar met het kopen van een auto. Niemand wil een auto die de bestaande wetgeving voor auto's overtreedt. Daarom zal geen enkele autofabrikant auto's willen bouwen die in strijd zijn met de bestaande wetgeving. Met name wanneer het gaat om massaproductie van agents zal de ontwikkelaar gedwongen worden om privacybescherming in zijn agents in te bouwen. De economische machtsverhoudingen zullen dan een woordje gaan meespreken, waardoor de EU-privacyregels wel eens onder druk zouden kunnen komen te staan.