Europees Comité voor gegevensbescherming

Europees Comité voor gegevensbescherming – Vierendertigste plenaire vergadering: Schrems II, wisselwerking tweede richtlijn betalingsdiensten en AVG en brief aan EP-lid Ďuriš Nicholsonová over het traceren van contacten, interoperabiliteit van apps en PEB

Monday, 20 July, 2020

Brussel, 20 juli - Tijdens zijn vierendertigste plenaire vergadering heeft het Europees Comité voor gegevensbescherming (EDPB) een verklaring aangenomen over het arrest van het Hof van Justitie van de Europese Unie (HvJ-EU) in de zaak Facebook Ireland/Schrems. Het Comité heeft richtsnoeren vastgesteld inzake de wisselwerking tussen de tweede richtlijn betalingsdiensten en de AVG, alsook een antwoordbrief aan EP-lid Ďuriš Nicholsonová over het traceren van contacten, interoperabiliteit van apps en privacyeffectbeoordelingen (PEB’s).

Het EDPB heeft een verklaring aangenomen over het arrest van het Hof van Justitie van de Europese Unie in zaak C-311/18, Data Protection Commissioner tegen Facebook Ireland Ltd en Maximillian Schrems, waarbij Uitvoeringsbesluit (EU) 2016/1250 betreffende de gepastheid van de door het EU-VS-privacyschild geboden bescherming ongeldig werd verklaard en Besluit 2010/87/EU van de Commissie betreffende modelcontractbepalingen voor de doorgifte van persoonsgegevens aan in derde landen gevestigde verwerkers als geldig wordt erkend.

Met betrekking tot het privacyschild wijst het Comité erop dat de EU en de VS overeenkomstig het arrest een volledig en doeltreffend kader tot stand moeten brengen waarmee wordt gewaarborgd dat het niveau van bescherming van persoonsgegevens in de VS in wezen gelijkwaardig is aan het niveau dat binnen de EU wordt gegarandeerd. Het Comité is voornemens er constructief toe bij te dragen dat voor een trans-Atlantische doorgifte van persoonsgegevens wordt gezorgd waarbij de belangen van EER-burgers en -organisaties in acht worden genomen, en is bereid de Europese Commissie bijstand en advies te verstrekken om samen met de VS een nieuw kader op te zetten dat volledig in overeenstemming is met de EU-wetgeving inzake gegevensbescherming.

Wat de modelcontractbepalingen betreft, neemt het Comité kennis van de primaire verantwoordelijkheid van de exporteur en de importeur om, wanneer zij voornemens zijn overeenkomsten met modelcontractbepalingen aan te gaan, een niveau van bescherming te waarborgen dat in wezen gelijkwaardig is aan het niveau dat in overeenstemming met het Handvest wordt gewaarborgd door de AVG. Bij de uitvoering van een dergelijke voorafgaande beoordeling is de exporteur (indien nodig met de hulp van de importeur) verplicht rekening te houden met de inhoud van de modelcontractbepalingen, de specifieke omstandigheden van de doorgifte en het bestaande rechtsstelsel in het land van de importeur. Het Hof benadrukt dat de exporteur wellicht moet overwegen aanvullende maatregelen te treffen naast de maatregelen die in de modelcontractbepalingen zijn opgenomen. Het Comité zal nader onderzoeken waaruit deze aanvullende maatregelen zouden kunnen bestaan.

Het Comité neemt ook kennis van de plicht van de bevoegde toezichthoudende autoriteiten om een doorgifte van gegevens naar een derde land op basis van de modelcontractbepalingen op te schorten of te verbieden, wanneer, gelet op alle omstandigheden van die doorgifte, die bepalingen in dat derde land niet worden of niet kunnen worden nageleefd en de bescherming van de doorgegeven gegevens niet kan worden gewaarborgd met andere middelen, met name indien de verwerkingsverantwoordelijke of de verwerker niet zelf de doorgifte reeds heeft opgeschort of beëindigd.

Het Comité brengt in herinnering dat het richtsnoeren heeft aangenomen inzake afwijkingen op grond van artikel 49 van de AVG en dat dergelijke afwijkingen per geval moeten worden toegepast.

Het Comité zal het arrest nader bestuderen, meer duidelijkheid verschaffen aan belanghebbenden en richtsnoeren verstrekken inzake het gebruik van instrumenten voor de doorgifte van persoonsgegevens aan derde landen in overeenstemming met het arrest. Het Comité en zijn Europese toezichthoudende autoriteiten staan ook klaar om voor de vereiste en door het HvJ-EU benadrukte consistentie tussen de EER-landen te zorgen.

De volledige verklaring is hier te vinden: https://edpb.europa.eu/news/news/2020/statement-court-justice-european-union-judgment-case-c-31118-data-protection_nl

De EDPB heeft richtsnoeren over de tweede richtlijn betalingsdiensten aangenomen. De tweede richtlijn betalingsdiensten moderniseert het rechtskader voor de markt voor betalingsdiensten. Belangrijk is dat de tweede richtlijn betalingsdiensten een rechtskader voor nieuwe betalingsinitiatiediensten en rekeninginformatiediensten introduceert. Gebruikers kunnen erom verzoeken dat deze nieuwe betalingsdienstaanbieders toegang krijgen tot hun betaalrekeningen. Naar aanleiding van een workshop voor belanghebbenden in februari 2019 heeft het Comité richtsnoeren inzake de toepassing van de AVG op deze nieuwe betalingsdiensten opgesteld.

In de richtsnoeren wordt erop gewezen dat in deze context de verwerking van bijzondere categorieën persoonsgegevens in het algemeen verboden is (overeenkomstig artikel 9, lid 1, AVG), behalve wanneer de betrokkene uitdrukkelijke toestemming heeft gegeven (artikel 9, lid 2, onder a), AVG) of wanneer de verwerking noodzakelijk is om redenen van zwaarwegend algemeen belang (artikel 9, lid 2, onder g), AVG).

De richtsnoeren behandelen ook voorwaarden waaronder rekeninghoudende betalingsdienstaanbieders toegang tot betaalrekeninginformatie verlenen aan betalingsinitiatiedienstaanbieders en rekeninginformatiedienstaanbieders, met name gedetailleerde toegang tot betaalrekeningen.

In de richtsnoeren wordt verduidelijkt dat noch artikel 66, lid 3, onder g), noch artikel 67, lid 2, onder f), van de tweede richtlijn betalingsdiensten verdere verwerking toestaat, tenzij de betrokkene overeenkomstig artikel 6, lid 1, onder a), van de AVG toestemming heeft gegeven of het recht van de Unie of het recht van de lidstaten in een dergelijke verwerking voorziet. De richtsnoeren zullen aan een openbare raadpleging worden onderworpen.

Tot slot heeft het Comité een brief aangenomen in antwoord op de vragen van EP-lid Ďuriš Nicholsonová over gegevensbescherming in de context van de bestrijding van COVID-19. In de brief worden vragen gesteld over de harmonisatie en interoperabiliteit van apps voor het traceren van contacten, het vereiste van een privacyeffectbeoordeling voor een dergelijke verwerking en de duur van de verwerking.

EDPB_Press Release_2020_12