Brussel, 11 november – Tijdens zijn 41e zitting heeft het Comité aanbevelingen aangenomen voor maatregelen ter aanvulling van de instrumenten voor de doorgifte van persoonsgegevens met het oog op naleving van het EU-niveau voor de bescherming van persoonsgegevens. Daarnaast werden aanbevelingen over Europese essentiële garanties voor surveillancemaatregelen aangenomen.
Beide documenten werden aangenomen naar aanleiding van het Schrems II-arrest van het HvJ-EU. Op grond van dit arrest van 16 juli moeten verwerkingsverantwoordelijken die gebruikmaken van standaardcontractbepalingen, indien nodig in samenwerking met de ontvanger in het derde land, van geval tot geval beoordelen of het recht van het derde land een niveau van bescherming van doorgegeven persoonsgegevens waarborgt dat in wezen overeenkomt met het niveau dat in de Europese Economische Ruimte (EER) wordt verzekerd. Het HvJ-EU stond gegevensexporteurs toe extra maatregelen te nemen in aanvulling op de standaardcontractbepalingen om te waarborgen dat het vereiste beschermingsniveau wordt geëerbiedigd wanneer de waarborgen in de standaardcontractbepalingen ontoereikend zijn.
De aanbevelingen zijn bedoeld om verwerkingsverantwoordelijken en verwerkers die als gegevensexporteur optreden, bij te staan bij het vaststellen en uitvoeren van passende aanvullende maatregelen wanneer die nodig zijn om een in wezen gelijkwaardig beschermingsniveau te waarborgen voor gegevens die zij doorgeven aan derde landen. Hiermee streeft het Comité naar een consistente toepassing van de AVG en van het arrest van het Hof in de hele EER.
Andrea Jelinek, voorzitter van het Comité, verklaarde: “Het Comité is zich terdege bewust van de impact van het Schrems II-arrest op duizenden bedrijven in de EU en van de belangrijke verantwoordelijkheid dit voor de gegevensexporteurs met zich meebrengt. Het Comité hoopt dat deze aanbevelingen gegevensexporteurs kunnen helpen om waar nodig doeltreffende aanvullende maatregelen vast te stellen en uit te voeren. Ons doel is de legale doorgifte van persoonsgegevens naar derde landen mogelijk te maken en tegelijkertijd te waarborgen dat voor de doorgegeven gegevens een beschermingsniveau geldt dat in wezen gelijkwaardig is aan het niveau dat binnen de EER wordt gewaarborgd.”
De aanbevelingen bevatten een stappenplan dat gegevensexporteurs moeten volgen om na te gaan of zij aanvullende maatregelen moeten treffen opdat gegevens in overeenstemming met het EU-recht doorgegeven kunnen worden naar landen buiten de EER. Ook helpen de aanbevelingen om te bepalen welke maatregelen doeltreffend zouden kunnen zijn. Als hulpmiddel voor gegevensexporteurs bevatten de aanbevelingen ook een niet-uitputtende lijst met voorbeelden van aanvullende maatregelen en enkele van de voorwaarden waaraan deze moeten voldoen om doeltreffend te zijn.
Uiteindelijk zijn de gegevensexporteurs echter verantwoordelijk voor de concrete beoordeling in het licht van de doorgifte, de wetgeving in het derde land en het instrument voor doorgifte waarvan zij gebruik maken. Gegevensexporteurs moeten met de nodige zorgvuldigheid te werk gaan en hun werkwijze grondig documenteren, aangezien zij verantwoordelijk kunnen worden gehouden voor de besluiten die zij op basis daarvan nemen, in overeenstemming met het AVG-beginsel van verantwoordingsplicht. Bovendien moeten gegevensexporteurs weten dat het wellicht niet in alle gevallen mogelijk zal zijn toereikende aanvullende maatregelen te nemen.
De aanbevelingen voor aanvullende maatregelen worden voorgelegd voor openbare raadpleging. Zij zijn onmiddellijk na bekendmaking van toepassing.
Daarnaast heeft het Comité aanbevelingen aangenomen over de Europese essentiële garanties voor surveillancemaatregelen. De aanbevelingen over Europese essentiële garanties zijn complementair met de aanbevelingen voor aanvullende maatregelen. Met de aanbevelingen over Europese essentiële garanties worden gegevensexporteurs elementen aan de hand gedaan om te bepalen of het wettelijk kader voor toegang van overheidsinstanties tot gegevens voor surveillancedoeleinden in derde landen kan worden beschouwd als een gerechtvaardigde inmenging in het recht op privacy en de bescherming van persoonsgegevens, en zodoende niet in strijd is met de verbintenissen van het instrument voor de doorgifte van gegevens op grond van artikel 46 AVG waarvan de gegevensexporteur en -importeur gebruikmaken.
De voorzitter voegde toe: “Het arrest Schrems II heeft gevolgen voor alle doorgiften naar derde landen. Daarom is er geen snelle oplossing, noch één standaardoplossing voor alle doorgiften, aangezien deze geen recht zou doen aan de grote verscheidenheid aan situaties waarmee gegevensexporteurs te maken hebben. Gegevensexporteurs zullen hun gegevensverwerkingsactiviteiten en -doorgiften moeten evalueren en doeltreffende maatregelen moeten nemen met inachtneming van de rechtsorde van de derde landen waarnaar zij gegevens doorgeven of voornemens zijn door te geven.”
De toezichthoudende autoriteiten voor gegevensbescherming van de EER zullen hun activiteiten in het kader van het Comité blijven coördineren om te zorgen voor een consistente toepassing van de EU-gegevensbeschermingswetgeving.
Informatie voor redacteurs:
Alle documenten die tijdens de zitting van het Europees Comité voor gegevensbescherming worden goedgekeurd, worden onderworpen aan de nodige juridische, taalkundige en formatteringscontroles en zullen op de website van het Comité beschikbaar worden gesteld zodra deze controles zijn afgerond.
EDPB_Press Release_2020_18