Europees Comité voor gegevensbescherming

Europees Comité voor gegevensbescherming – Zevenendertigste plenaire vergadering: Richtsnoeren over de begrippen verwerkingsverantwoordelijken en verwerkers, Richtsnoeren over afstemming op gebruikers van sociale media, taskforce voor klachten naar aanlei

Friday, 4 September, 2020

Brussel, 3 september – Het Comité heeft richtsnoeren over de begrippen verwerkingsverantwoordelijke en verwerker in de algemene verordening gegevensbescherming (AVG) en richtsnoeren over afstemming op gebruikers van sociale media aangenomen. Daarnaast heeft het Comité een taskforce opgericht voor het behandelen van klachten naar aanleiding van het arrest van het HvJ-EU in de zaak Schrems II en een taskforce die zich bezighoudt met de aanvullende maatregelen die van exporteurs en importeurs van gegevens kunnen worden vereist om passende bescherming te bieden bij de doorgifte van gegevens in de context van het arrest van het HvJ-EU in de zaak Schrems II.

Het Comité heeft Richtsnoeren over de begrippen verwerkingsverantwoordelijke en verwerker in de AVG aangenomen. Na de inwerkingtreding van de AVG is de kwestie naar voren gekomen in hoeverre deze begrippen door de AVG zijn gewijzigd, met name met betrekking tot het begrip gezamenlijke verwerkingsverantwoordelijkheid (zoals vastgelegd in artikel 26 AVG en in verschillende uitspraken van het HvJ-EU), en met betrekking tot de verplichtingen van verwerkers (met name artikel 28 AVG) die zijn vastgelegd in hoofdstuk IV AVG.

In maart 2019 heeft het Comité in samenwerking met zijn secretariaat een evenement voor belanghebbenden georganiseerd. Tijdens dat evenement werd duidelijk dat er behoefte was aan meer praktische richtsnoeren en ontstond bij het Comité meer begrip voor de behoeften en zorgen in de praktijk. De nieuwe richtsnoeren bestaan uit twee onderdelen: in het eerste worden de verschillende begrippen toegelicht en het tweede bevat gedetailleerde richtsnoeren met betrekking tot de belangrijkste gevolgen die deze begrippen hebben voor de verwerkingsverantwoordelijken, verwerkers en gezamenlijke verwerkingsverantwoordelijken. In de richtsnoeren is een stroomschema opgenomen om als aanvullend praktisch richtsnoer te dienen. De richtsnoeren zullen aan een openbare raadpleging worden onderworpen.

Het Comité heeft Richtsnoeren over afstemming op gebruikers van sociale media aangenomen. De richtsnoeren hebben tot doel een praktische leidraad te bieden aan belanghebbenden en bevatten een aantal voorbeelden van verschillende situaties, zodat belanghebbenden snel kunnen zien welk scenario het dichtst in de buurt komt van de wijze waarop zij zich op gebruikers willen richten. Het voornaamste doel van de richtsnoeren is het verduidelijken van de rol en verantwoordelijkheden van de aanbieder van sociale media en de persoon waarop deze zich richt. Daartoe wordt in de richtsnoeren onder andere aandacht geschonken aan de mogelijke risico’s voor de vrijheden van personen, de belangrijkste actoren en hun rollen, de toepassing van de belangrijkste eisen inzake gegevensbescherming, zoals rechtmatigheid, transparantie en gegevensbeschermingseffectbeoordelingen, alsook wezenlijke elementen van de overeenkomsten tussen aanbieders van sociale media en de personen waarop zij zich richten. Ook wordt in de richtsnoeren aandacht besteed aan verschillende afstemmingsmechanismen, de verwerking van verschillende categorieën gegevens en de verplichting van gezamenlijke verwerkingsverantwoordelijken om een passende regeling op te stellen overeenkomstig artikel 26 AVG. De leden van de plenaire vergadering dienen de richtsnoeren voor openbare raadpleging in.

Het Comité heeft een taskforce voor het behandelen van klachten die zijn ingediend naar aanleiding van het arrest van het HvJ-EU in de zaak Schrems II opgericht. In totaal hebben de gegevensbeschermingsautoriteiten in de EER 101 identieke klachten ontvangen tegen verschillende verwerkingsverantwoordelijken in de EER-lidstaten met betrekking tot hun gebruik van diensten van Google en/of Facebook waarbij persoonsgegevens worden doorgegeven. De klagers, die worden vertegenwoordigd door de ngo NOYB, menen met name dat Google en/of Facebook persoonsgegevens naar de VS doorgeven op grond van het EU-VS-privacyschild of op grond van modelcontractbepalingen en dat de verwerkingsverantwoordelijke volgens het recente arrest van het HvJ-EU in zaak C-311/18 geen gepaste bescherming van de persoonsgegevens van de klagers kan verzekeren. De taskforce zal de zaak analyseren en zal ervoor zorgen dat daarbij nauw samengewerkt wordt door de leden van het Comité.

Naar aanleiding van de uitspraak van het HvJ-EU in de zaak Schrems II en in aanvulling op de op 23 juli aangenomen veelgestelde vragen heeft het Comité een taskforce opgericht. Deze taskforce zal aanbevelingen opstellen om verwerkingsverantwoordelijken en verwerkers te ondersteunen bij hun verplichting om aanvullende maatregelen vast te stellen en in te voeren om passende bescherming te garanderen bij de doorgifte van gegevens naar derde landen.

Andrea Jelinek, voorzitter van het Comité: “Het Comité is zich ervan bewust dat op grond van het arrest in de zaak Schrems II een belangrijke verantwoordelijkheid aan verwerkingsverantwoordelijken wordt gegeven. Naast de verklaring en de veelgestelde vragen die we vlak na het arrest hebben uitgebracht, zullen we aanbevelingen opstellen om verwerkingsverantwoordelijken en verwerkers te ondersteunen bij hun verplichting om aanvullende maatregelen van juridische, technische en organisatorische aard vast te stellen en in te voeren om te voldoen aan de “overeenkomst in grote lijnen”-norm bij de doorgifte van gegevens naar derde landen. De gevolgen van dit arrest zijn echter omvangrijk en de situaties waarin gegevens naar derde landen worden doorgegeven zijn erg divers. Er is daarom geen uniforme, snelle oplossing beschikbaar in deze kwestie. Elke organisatie zal zijn eigen gegevensverwerkingsactiviteiten en doorgiften moeten evalueren en passende maatregelen moeten nemen.”

Informatie voor redacteurs:
Alle documenten die tijdens de zitting van het Europees Comité voor gegevensbescherming worden goedgekeurd, worden onderworpen aan de nodige juridische, taalkundige en formatteringscontroles en zullen op de website van het Comité beschikbaar worden gesteld zodra deze controles zijn afgerond.

EDPB_Press Release_2020_14