Europees Comité voor gegevensbescherming

EDPB News

2021

16 April 2021

The two EDPB opinions on the European Commission draft Implementing Decisions on the adequate protection of personal data in the United Kingdom have now been published on the EDPB website.

Opinion 14/2021 is based on the GDPR and assesses both general data protection aspects and government access to personal data transferred from the EEA for the purposes of law enforcement and national security included in the draft adequacy decision.

Opinion 15/2021 is based on the Law Enforcement Directive (LED) and analyses the draft adequacy decision in the light of Recommendations 01/2021 on the adequacy referential under the Law Enforcement Directive, as well as the relevant case law reflected in Recommendations 02/2020 on the European Essential Guarantees for surveillance measures. This is the first draft implementing decision on a third country’s adequacy under the LED ever presented by the European Commission and assessed by the EDPB.

14 April 2021

Opinions on draft UK adequacy decisions, Guidelines on the application of Article 65(1)(a) GDPR, Guidelines on the targeting of social media users and Statement on international agreements including transfers

During its plenary session, the EDPB adopted two Opinions on the draft UK adequacy decisions. Opinion 14/2021 is based on the GDPR and assesses both general data protection aspects and government access to personal data transferred from the EEA for the purposes of law enforcement and national security included in the draft adequacy decision. This assessment is based on the GDPR Adequacy Referential WP254. Opinion 15/2021 is based on the Law Enforcement Directive (LED) and analyses the draft adequacy decision in the light of Recommendations 01/2021 on the adequacy referential under the Law Enforcement Directive, as well as the relevant case law reflected in Recommendations 02/2020 on the European Essential Guarantees for surveillance measures. This is the first draft implementing decision on a third country’s adequacy under the LED ever presented by the European Commission and assessed by the EDPB. 

The EDPB notes that there are key areas of strong alignment between the EU and the UK data protection frameworks on certain core provisions such as: grounds for lawful and fair processing for legitimate purposes; purpose limitation; data quality and proportionality; data retention, security and confidentiality; transparency; special categories of data; and on automated decision making and profiling.

EDPB Chair, Andrea Jelinek said: "The UK data protection framework is largely based on the EU data protection framework. The UK Data Protection Act 2018 further specifies the application of the GDPR in UK law, in addition to transposing the LED, as well as granting powers and imposing duties on the national data protection supervisory authority, the ICO. Therefore, the EDPB recognises that the UK has mirrored, for the most part, the GDPR and LED in its data protection framework and when analysing its law and practice, the EDPB identified many aspects to be essentially equivalent. However, whilst laws can evolve, this alignment should be maintained. So we welcome the Commission's decision to limit the granted adequacy in time and the intention to closely monitor developments in the UK.”

The EDPB underlines that several items should be further assessed and/or closely monitored by the European Commission in its decision based on the GDPR, such as: 

  • Immigration Exemption and its consequences on restrictions on data subject rights;
  • The application of restrictions to onward transfers of EEA personal data transferred to the UK, on the basis of, for instance, future adequacy decisions adopted by the UK, international agreements concluded between the UK and third countries, or derogations.

Regarding access by public authorities for national security purposes to personal data transferred to the UK, the EDPB welcomes the establishment of the Investigatory Powers Tribunal (IPT) to address the challenges of redress in the area of national security, and the introduction of Judicial Commissioners in the Investigatory Powers Act (IPA) 2016 to ensure better oversight in that same field. The EDPB still identifies a number of points requiring further clarifications and/or monitoring: 

  • Bulk interceptions;
  • Independent assessment and oversight of the use of automated processing tools;
  • Safeguards provided under UK law when it comes to overseas disclosure, in particular in light of the application of national security exemptions.

The Board adopted Guidelines on the application of Article 65(1)(a) GDPR to delineate the main stages of the procedure and clarify the competence of the EDPB when adopting a legally binding decision on the basis of Article 65(1)(a) GDPR. The Guidelines also include a description of the applicable procedural safeguards and remedies. The guidelines will be subject to public consultation for a period of six weeks.

The EDPB adopted a final version of the Guidelines on the targeting of social media users following public consultation. The aim of the Guidelines is to clarify the roles and responsibilities of social media providers and targeted individuals. The final version integrates updated wording in order to address comments and feedback received during the public consultation.

The EDPB adopted a Statement on international agreements including transfers. The EDPB invites EU Member States to assess and, where necessary, review their international agreements that involve international transfers of personal data and which were concluded before 24 May 2016 (for those relevant to the GDPR) and 6 May 2016 (for those relevant to the LED) to align them, where necessary, with EU data protection law. 

The agenda of the forty-eighth plenary is available here.

Note to editors:
Please note that all documents adopted during the EDPB Plenary are subject to the necessary legal, linguistic and formatting checks and will be made available on the EDPB website once these have been completed.

EDPB_Press Release_2021_03

12 April 2021

On April 13th, the EDPB will hold its 48th plenary session. The agenda for the 48th plenary is available here

 

 

06 April 2021

The European Data Protection Board (EDPB) and the European Data Protection Supervisor (EDPS) adopted a joint opinion on the Proposals for a Digital Green Certificate. The Digital Green Certificate aims to facilitate the exercise of the right to free movement within the EU during the COVID-19 pandemic by establishing a common framework for the issuance, verification and acceptance of interoperable COVID-19 vaccination, testing and recovery certificates. 

With this Joint Opinion, the EDPB and the EDPS invite the co-legislators to ensure that the Digital Green Certificate is fully in line with EU personal data protection legislation. The data protection commissioners from all EU and European Economic Area countries highlight the need to mitigate the risks to fundamental rights of EU citizens and residents that may result from issuing the Digital Green Certificate, including its possible unintended secondary uses. The EDPB and the EDPS underline that the use of the Digital Green Certificate may not, in any way, result in direct or indirect discrimination of individuals, and must be fully in line with the fundamental principles of necessity, proportionality and effectiveness. Given the nature of the measures put forward by the Proposal, the EDPB and the EDPS consider that the introduction of the Digital Green Certificate should be accompanied by a comprehensive legal framework.

Andrea Jelinek, Chair of the EDPB, said: "A Digital Green Certificate that is accepted in all Member States can be a major step forward in re-starting travel across the EU. Any measure adopted at national or EU level that involves processing of personal data must respect the general principles of effectiveness, necessity and proportionality. Therefore, the EDPB and the EDPS recommend that any further use of the Digital Green Certificate by the Member States must have an appropriate legal basis in the Member States and all the necessary safeguards must be in place."

Wojciech Wiewiórowski, EDPS, said: It must be made clear that the Proposal does not allow for - and must not lead to - the creation of any sort of central database of personal data at EU level. In addition, it must be ensured that personal data is not processed any longer than what is strictly necessary and that access to and use of this data is not permitted once the pandemic has ended. I have always stressed that measures taken in the fight against COVID-19 are temporary and it is our duty to ensure that they are not here to stay after the crisis.”

In the current emergency situation caused by the COVID-19 pandemic, the EDPB and the EDPS insist that the principles of effectiveness, necessity, proportionality and non-discrimination are upheld. The EDPB and the EDPS reiterate that, at the moment of writing, there seems to be little scientific evidence as to whether having received the COVID-19 vaccine (or having recovered from COVID-19) grants immunity, and, by extension, how long such immunity may last. But scientific evidence is growing daily.

Moreover, a number of factors are still unknown regarding the efficacy of the vaccination in reducing transmission. The Proposal should lay down clear and precise rules governing the scope and application of the Digital Green Certificate and impose appropriate safeguards. This will allow individuals, whose personal data is affected, to have sufficient guarantees that they will be protected, in an effective way, against the risk of potential discrimination.

The Proposal must expressly include that access to and subsequent use of individuals’ data by EU Member States once the pandemic has ended is not permitted. At the same time, the EDPB and the EDPS highlight that the application of the proposed Regulation must be strictly limited to the current COVID-19 crisis.

The Joint Opinion includes specific recommendations for further clarifications on the categories of data concerned by the Proposal, data storage, transparency obligations and identification of controllers and processors for the processing of personal data. 

Note to editors: Please note that all documents adopted during the EDPB Plenary are subject to the necessary legal, linguistic and formatting checks and will be made available on the EDPB website once these have been completed.

EDPB_Press Release_statement_2021_03

26 March 2021

On March 30th, the EDPB will hold its 47th plenary session. During the plenary, the EDPB will dicsuss the European Commission's proposal for Regulations on a Digital Green Certificate.

The agenda for the 47th plenary is available here

16 March 2021

Due to the high number of responses, the call for expression of interest is already closed.

On April 30, the EDPB is organising a remote stakeholder event on the topic "application of the GDPR to the processing of personal data for scientific research purposes”. Representatives from, among others, individual companies, sector organisations, NGOs, law firms and academia with an expertise on the field are welcome to express interest in attending.

In order to express your interest to participate in the event, please fill in this form.

Places will be allocated on a first come, first served basis, depending on availability. Nonetheless, the EDPB reserves the right to give precedence to specific stakeholders, in light of their relevance in the field. Selected participants will receive the confirmation of their registration in the event via e-mail.

Detailed information and the programme of the event will be available shortly.

As we would like to have a balanced and representative audience, participation will be limited to one participant per organisation.

When? 30 April 2021, from 10:00 - 16:00h CET

10 March 2021

EDPB hecht goedkeuring aan werkprogramma 2021-2022, verklaring over e-privacyverordening en richtsnoeren voor virtuele spraakassistenten en voor geconnecteerde voertuigen, en bespreekt adequaatheidsbesluiten voor het Verenigd Koninkrijk.

Brussel, 10 maart - Tijdens zijn 46e plenaire zitting heeft de EDPB verschillende documenten goedgekeurd en de door de Europese Commissie gepresenteerde ontwerp-adequaatheidsbesluiten voor het Verenigd Koninkrijk besproken.

Het comité heeft krachtens artikel 29 van zijn reglement van orde zijn tweejarig werkprogramma voor 2021-2022 aangenomen. Het werkprogramma volgt de prioriteiten van de EDPB-strategie voor 2021-2023 en vertaalt de strategische doelstellingen in praktische maatregelen.

De EDPB heeft een verklaring uitgebracht over het ontwerp van de e-privacyverordening. In zijn verklaring verwelkomt de EDPB het akkoord van de Raad over het onderhandelingsmandaat als een positieve stap op weg naar de afronding van de e-privacyverordening. De EDPB herinnert eraan dat de nationale autoriteiten die verantwoordelijk zijn voor de handhaving van de AVG moeten worden belast met het toezicht op de privacybepalingen van de toekomstige e-privacyverordening. Zo kan ervoor worden gezorgd dat de interpretatie en handhaving van de e-privacyverordening overal in de EU geharmoniseerd worden en wordt een gelijk speelveld op de digitale eengemaakte markt gewaarborgd.

Andrea Jelinek, voorzitter van het Europees Comité voor gegevensbescherming: “De e-privacyverordening mag in geen geval leiden tot een verlaging van het beschermingsniveau dat wordt geboden door de huidige e-privacyrichtlijn en moet een aanvulling vormen op de AVG door aanvullende sterke garanties te bieden voor de vertrouwelijkheid en bescherming van alle soorten elektronische communicatie.”

De EDPB heeft richtsnoeren voor virtuele spraakassistenten vastgesteld. Daarin worden enkele van de belangrijkste nalevingsproblemen geïdentificeerd en aanbevelingen gedaan aan belanghebbenden over de manier waarop deze moeten worden aangepakt. Over de richtsnoeren zal gedurende zes weken een openbare raadpleging worden gehouden.

De EDPB heeft na een openbare raadpleging de definitieve versie van de richtsnoeren voor geconnecteerde voertuigen bekendgemaakt. De richtsnoeren zijn gericht op de verwerking van persoonsgegevens met betrekking tot het privégebruik van voertuigen door betrokkenen. In de definitieve versie zijn de bewoordingen aangepast en is verdere toelichting toegevoegd om tegemoet te komen aan opmerkingen en feedback uit de openbare raadpleging.

De EDPB besprak de ontwerp-adequaatheidsbesluiten voor het Verenigd Koninkrijk, die zijn ontvangen van de Europese Commissie. De EPDB zal de ontwerpbesluiten grondig evalueren en rekening houden met het belang van het waarborgen van de continuïteit en een hoog beschermingsniveau voor gegevensdoorgiften vanuit de EU.

Tot slot heeft de EDPB met de EDPS een gezamenlijk advies uitgebracht over de datagovernanceverordening. Daarover verschijnt later vandaag een afzonderlijk persbericht.

Noot voor de redactie:
Alle documenten die tijdens de plenaire zitting van het Europees Comité voor gegevensbescherming worden goedgekeurd, worden onderworpen aan de nodige juridische, taalkundige en formatteringscontroles en zullen op de website van het comité beschikbaar worden gesteld zodra deze controles zijn afgerond.

EDPB_Press Release_2021_02

10 March 2021

Brussel, 10 maart - De EDPB en de EDPS hebben een gezamenlijk advies vastgesteld over het voorstel voor een datagovernanceverordening. De datagovernanceverordening heeft tot doel de beschikbaarheid van gegevens te bevorderen door het vertrouwen in gegevensbemiddelaars te vergroten[1] en door de mechanismen voor gegevensdeling in de hele EU te versterken. Met de verordening wordt met name beoogd de beschikbaarheid van overheidsgegevens voor hergebruik en de uitwisseling van gegevens tussen bedrijven te bevorderen, en het gebruik van persoonsgegevens met behulp van een “bemiddelaar voor het delen van persoonsgegevens” mogelijk te maken. Met het voorstel wordt er ook naar gestreefd het gebruik van gegevens voor altruïstische doeleinden mogelijk te maken.

De EDPB en de EDPS erkennen de legitieme doelstelling van de datagovernanceverordening, die erin bestaat de voorwaarden voor het delen van gegevens op de interne markt te verbeteren. Tegelijkertijd is de bescherming van persoonsgegevens een essentieel en integraal element van het vertrouwen in de digitale economie. Met dit gezamenlijke advies verzoeken de EDPB en de EDPS de medewetgevers ervoor te zorgen dat de toekomstige datagovernanceverordening volledig in overeenstemming is met de EU-wetgeving inzake de bescherming van persoonsgegevens. Daardoor wordt het vertrouwen in de digitale economie bevorderd en het door het EU-recht geboden beschermingsniveau gehandhaafd, onder toezicht van de toezichthoudende autoriteiten van de EU-lidstaten.

Andrea Jelinek, voorzitter van de EPDB:Het rechtskader inzake gegevensbescherming van de EU staat de ontwikkeling van de data-economie niet in de weg. Integendeel, het maakt die juist mogelijk: vertrouwen in eender welke vorm van gegevensuitwisseling kan alleen worden verkregen door de bestaande wetgeving inzake gegevensbescherming na te leven. De AVG is de basis waarop het Europees model voor datagovernance moet worden gebouwd. Daarom benadrukken wij dat moet worden gezorgd voor samenhang met de AVG wat betreft de bevoegdheden van de toezichthoudende autoriteiten, de rollen van de verschillende betrokken actoren, de rechtsgrondslag voor de verwerking van persoonsgegevens, de noodzakelijke waarborgen en de uitoefening van de rechten van de betrokkenen.

Wojciech Wiewiórowski, EDPS:Wij begrijpen het toenemende belang van gegevens voor de economie en de samenleving, zoals uiteengezet in de Europese datastrategie. Big data brengt echter een grote verantwoordelijkheid mee, en daarom moeten passende waarborgen voor gegevensbescherming worden ingebouwd. Het overkoepelende kader voor Europese gegevensruimten moet ervoor zorgen dat het acquis inzake gegevensbescherming niet wordt aangetast.

De EDPB en de EDPS zijn van mening dat de EU-wetgever ervoor moet zorgen dat in de datagovernanceverordening duidelijk en ondubbelzinnig wordt bepaald dat deze verordening geen gevolgen zal hebben voor het niveau van bescherming van persoonsgegevens, en dat de rechten en plichten uit hoofde van de wetgeving inzake gegevensbescherming niet zullen worden gewijzigd.

Wat het hergebruik van persoonsgegevens in het bezit van openbare lichamen betreft, bevelen de EDPB en de EDPS aan dat de datagovernanceverordening in overeenstemming wordt gebracht met de bestaande regels inzake de bescherming van persoonsgegevens van de AVG en met de richtlijn open data. Voorts moet worden verduidelijkt dat het hergebruik van persoonsgegevens die in het bezit zijn van openbare lichamen, alleen mogelijk is wanneer dat is gegrond op rechtsbepalingen van de EU of de lidstaten. Dergelijke rechtsbepalingen moeten een lijst bevatten van duidelijke verenigbare doeleinden waarvoor verdere verwerking rechtmatig kan worden toegestaan of waarvoor de verwerking in een democratische samenleving een noodzakelijke en evenredige maatregel is ter waarborging van de in artikel 23 AVG genoemde doelstellingen.

Wat aanbieders van gegevensdelingsdiensten betreft, benadrukt het gezamenlijke advies dat moet worden gewaarborgd dat individuen van tevoren informatie ontvangen en controles kunnen verrichten, rekening houdend met de beginselen van gegevensbescherming door ontwerp en door standaardinstellingen, transparantie en doelbinding. Voorts moet worden verduidelijkt op welke wijze dergelijke dienstenaanbieders personen daadwerkelijk zouden bijstaan bij de uitoefening van hun rechten als betrokkenen.

Wat het gegevensaltruïsme betreft, bevelen de EDPB en de EDPS aan dat de datagovernanceverordening de doeleinden van algemeen belang van dat “gegevensaltruïsme” beter omschrijft. Gegevensaltruïsme moet zodanig worden georganiseerd dat individuen gemakkelijk hun toestemming kunnen geven, maar ook intrekken.

Gezien de mogelijke risico’s voor betrokkenen wanneer hun persoonsgegevens kunnen worden verwerkt door aanbieders van gegevensdelingsdiensten of gegevensaltruïsme-organisaties, zijn de EDPB en de EDPS van mening dat de op een verklaring gebaseerde registratieregelingen voor deze entiteiten, zoals vastgelegd in de verordening, niet voorzien in een voldoende strenge doorlichtingsprocedure voor dergelijke diensten. Daarom bevelen de EDPB en de EDPS aan alternatieve procedures te onderzoeken die voorzien in een systematischer opname van verantwoordingsinstrumenten, met name de naleving van een gedragscode of een certificeringsmechanisme.

Het gezamenlijke advies bevat ook aanbevelingen voor de aanwijzing van de toezichthoudende autoriteiten als belangrijkste bevoegde autoriteiten voor het toezicht op de naleving van de bepalingen van de datagovernanceverordening, in overleg met andere relevante sectorale autoriteiten.

 

______________________________________
[1] Zie de toelichting bij het voorstel, blz. 1.

Noot voor redacteuren: Alle documenten die tijdens de plenaire zitting van de EDPB worden goedgekeurd, ondergaan de nodige juridische, taalkundige en formatteringscontroles en zullen op de website van de EDPB beschikbaar worden gesteld zodra deze controles zijn afgerond.

EDPB_Press Release_statement_2021_02

03 February 2021

Goedkeuring door de EDPB van aanbevelingen over artikel 36 van de richtlijn gegevensbescherming bij rechtshandhaving (adequaatheidsreferentie), van het advies over de administratieve regeling H3C/PCAOB, van de verklaring over nieuwe ontwerpbepalingen van een protocol bij het verdrag inzake cybercriminaliteit, en van het antwoord op de vragenlijst van de Europese Commissie over de verwerking van persoonsgegevens voor wetenschappelijk onderzoek & bespreking van het privacybeleid van WhatsApp

Brussel, 3 februari — Tijdens zijn 45e plenaire vergadering heeft de EDPB een breed scala aan documenten goedgekeurd. Daarnaast heeft het comité het geactualiseerde privacybeleid van WhatsApp besproken.

De EDPB heeft aanbevelingen goedgekeurd over de adequaatheidsreferentie in het kader van de richtlijn gegevensbescherming bij rechtshandhaving. De EDPB zorgt voor de consistente toepassing van het EU-recht inzake gegevensbescherming in de EU, met inbegrip van de richtlijn gegevensbescherming bij rechtshandhaving, die betrekking heeft op de verwerking van persoonsgegevens voor rechtshandhavingsdoeleinden. Het doel van de aanbevelingen is een lijst te verstrekken van elementen die moeten worden onderzocht bij de beoordeling van de adequaatheid van een derde land in het kader van de richtlijn gegevensbescherming bij rechtshandhaving. In het document worden het concept en de procedurele aspecten van adequaatheid overeenkomstig de richtlijn gegevensbescherming en de jurisprudentie van het HvJ-EU in herinnering gebracht, en zijn de EU-normen voor gegevensbescherming voor politiële en justitiële samenwerking in strafzaken opgenomen.

De EDPB heeft een advies uitgebracht over het ontwerp van administratieve regeling voor de doorgifte van persoonsgegevens tussen de Haut Conseil du Commissariat aux Comptes (H3C) en de Public Company Accounting Oversight Board (PCAOB). Deze administratieve regeling zal aan de Franse toezichthoudende autoriteit ter goedkeuring op nationaal niveau worden voorgelegd. De Franse toezichthoudende autoriteit zal de toepassing van de administratieve regeling in de praktijk monitoren en, indien nodig, elke doorgifte door de H3C opschorten indien de administratieve regeling de betrokkenen niet langer een in wezen gelijkwaardig beschermingsniveau biedt.

De EDPB heeft een verklaring aangenomen over de ontwerpbepalingen van een protocol bij het Verdrag inzake cybercriminaliteit. Deze verklaring vormt een aanvulling op de bijdrage van de EDPB aan het ontwerp van het tweede aanvullend protocol bij het Verdrag van de Raad van Europa inzake cybercriminaliteit (verdrag van Boedapest) en volgt op de publicatie van de nieuwe ontwerpbepalingen.

In deze verklaring herinnert de EDPB eraan dat de bepalingen die thans worden besproken, waarschijnlijk van invloed zullen zijn op de voorwaarden voor toegang tot persoonsgegevens in de EU voor rechtshandhavingsdoeleinden en roept hij de bevoegde EU- en nationale instellingen op nauwlettend toe te zien op de lopende onderhandelingen. Daarnaast benadrukt de EDPB dat volledige consistentie met het EU-acquis op het gebied van de bescherming van persoonsgegevens moet worden gewaarborgd.

De EDPB heeft zijn antwoord op de vragenlijst van de Europese Commissie over de verwerking van persoonsgegevens voor wetenschappelijk onderzoek goedgekeurd, met bijzondere aandacht voor gezondheidsgerelateerd onderzoek. De antwoorden van de EDPB vormen een voorlopig standpunt over dit onderwerp en zijn bedoeld om duidelijkheid te verschaffen over de toepassing van de AVG op het gebied van wetenschappelijk gezondheidsonderzoek. De EDPB werkt momenteel aan richtsnoeren voor de verwerking van persoonsgegevens voor wetenschappelijke onderzoeksdoeleinden, waarin deze kwesties nader zullen worden uitgewerkt.

Tot slot hebben de leden van de EDPB van gedachten gewisseld over de recente actualisering van het privacybeleid van WhatsApp. De EDPB zal deze uitwisseling van informatie tussen autoriteiten blijven faciliteren om te zorgen voor een consistente toepassing van het gegevensbeschermingsrecht in de hele EU, overeenkomstig zijn mandaat.

 

Noot voor de redactie:
Alle documenten die tijdens de plenaire zitting van het Europees Comité voor gegevensbescherming worden goedgekeurd, worden onderworpen aan de nodige juridische, taalkundige en formatteringscontroles en zullen op de website van het comité beschikbaar worden gesteld zodra deze controles zijn afgerond.

EDPB_Press Release_2021_1

28 January 2021

 

On the occasion of the 15th annual Data Protection Day, the Members of the EDPB bring you a joint message. Today is an opportunity to reflect on the efforts we make day after day to empower individuals, encourage business to be compliant and to enable trust.  From all of us at the EDPB, we wish you a very happy Data Protection Day.

18 January 2021

The EDPB adopted guidelines on examples regarding data breach notification. These guidelines complement the WP 29 guidance on data breach notification by introducing more practice orientated guidance and recommendations. They aim to help data controllers in deciding how to handle data breaches and what factors to consider during risk assessment. The guidelines contain an inventory of data breach notification cases deemed most common by the national supervisory authorities (SAs), such as ransomware attacks; data exfiltration attacks; and lost or stolen devices and paper documents. Per case category, the guidelines present the most typical good or bad practices, advice on how risks should be identified and assessed, highlight the factors that should be given particular consideration, as well as inform in which cases the controller should notify the SA and/or notify the data subjects. The guidelines will be submitted for public consultation for a period of six weeks.

 

The guidelines and more information about the public consultation are available here

EDPB_Press Release_statement_2021_02

 

15 January 2021

Brussel, 15 januari - Het Europees Comité voor gegevensbescherming (“de EDPB”) en de Europese Toezichthouder voor gegevensbescherming (“de EDPS”) hebben gezamenlijke adviezen over twee reeksen SCC’s vastgesteld: voor contracten tussen verwerkingsverantwoordelijken en verwerkers en voor de doorgifte van persoonsgegevens aan derde landen.

De SCC’s voor contracten tussen verwerkingsverantwoordelijken en verwerkers zullen een EU-breed effect hebben en moeten zorgen voor volledige en EU-brede harmonisatie en rechtszekerheid op dit gebied.

Andrea Jelinek, voorzitter van de EPDB: “De EDPB en de EDPS zijn tevreden met deze SCC’s voor contracten tussen verwerkingsverantwoordelijken en verwerkers en beschouwen deze als een uniform, solide en EU-breed verantwoordingsinstrument dat de naleving van zowel de algemene verordening gegevensbescherming (AVG) als de EU-gegevensbeschermingsverordening zal vergemakkelijken. De EDPB en de EDPS vragen onder meer dat de partijen voldoende zekerheid krijgen over de situaties waarin zij zich op deze SCC’s kunnen beroepen, en benadrukken dat situaties met betrekking tot doorgiften buiten de EU niet mogen worden uitgesloten.”

Er werden verschillende wijzigingen aangevraagd om de tekst duidelijker te maken en praktisch bruikbaar voor het dagelijkse werk van de verwerkingsverantwoordelijken en verwerkers. Het gaat onder meer om de wisselwerking tussen de twee documenten, de zogenaamde “docking-bepaling”, op grond waarvan niet bij de SCC’s aangesloten entiteiten toegang tot de SCC’s krijgen, en andere aspecten in verband met de verplichtingen van verwerkers. Daarnaast stellen de EDPB en de EDPS voor om in de bijlagen bij de SCC’s de rollen en verantwoordelijkheden van elke partij met betrekking tot elke verwerkingsactiviteit zoveel mogelijk te verduidelijken. Elke vorm van dubbelzinnigheid zou het voor verwerkingsverantwoordelijken en verwerkers moeilijker maken om hun verplichtingen uit hoofde van het verantwoordingsbeginsel na te komen.

Wojciech Wiewiórowski, EDPS: “We zijn ervan overtuigd dat deze SCC’s het voor verwerkingsverantwoordelijken en verwerkers gemakkelijker zullen maken hun verplichtingen na te komen, zowel uit hoofde van de AVG als uit hoofde van het rechtskader van de instellingen en organen van de EU. Bovendien hopen wij dat deze SCC’s zullen zorgen voor verdere harmonisatie en rechtszekerheid voor personen en hun persoonsgegevens. In deze context streven wij ernaar deze documenten zo toekomstbestendig mogelijk te maken.”

De ontwerp-SCC’s voor de doorgifte van persoonsgegevens aan derde landen overeenkomstig artikel 46, lid 2, punt c), AVG zullen in de plaats komen van de bestaande SCC’s voor internationale doorgiften die zijn vastgesteld op basis van Richtlijn 95/46 en moesten worden bijgewerkt in het licht van de vereisten van de AVG. Daarnaast is in de ontwerp-SCC’s rekening gehouden met het Schrems II-arrest van het HvJ-EU en is meer aandacht besteed aan het wijdverbreide gebruik van nieuwe en complexere verwerkingsactiviteiten waarbij vaak meerdere gegevensimporteurs en -exporteurs betrokken zijn. De nieuwe SCC’s bevatten met name specifiekere waarborgen ingeval de wetgeving van het land van bestemming van invloed is op de naleving van de bepalingen, met name in het kader van bindende verzoeken van overheidsinstanties om bekendmaking van persoonsgegevens.

Wojciech Wiewiórowski, EDPS: “Gezien onze praktische ervaring hebben wij deze opmerkingen gemaakt om deze SCC’s te verbeteren en ervoor te zorgen dat voor persoonsgegevens van EU-burgers die aan derde landen worden doorgegeven, een in wezen gelijkwaardig beschermingsniveau geldt. We zijn van mening dat deze suggesties en wijzigingen van cruciaal belang zijn om deze doelstellingen in de praktijk te bereiken.”

In het algemeen zijn de EDPB en de EDPS van mening dat de ontwerp-SCC’s een hoger beschermingsniveau voor betrokkenen bieden. De EDPB en de EDPS zijn met name ingenomen met de specifieke bepalingen die bedoeld zijn om een aantal van de belangrijkste kwesties die in het Schrems II-arrest aan de orde zijn gesteld, aan te pakken. Niettemin zijn de EDPB en de EDPS van mening dat een aantal bepalingen kan worden verbeterd of verduidelijkt, zoals die inzake het toepassingsgebied van de SCC’s, bepaalde rechten ten behoeve van derden, bepaalde verplichtingen met betrekking tot verdere doorgiften, aspecten van de beoordeling van de wetgeving van derde landen inzake toegang van overheidsinstanties tot openbare gegevens, en de kennisgeving aan de toezichthoudende autoriteit.

Andrea Jelinek, voorzitter van de EDPB: “De voorwaarden voor het gebruik van de SCC’s moeten duidelijk zijn voor de organisaties, en de betrokkenen moeten effectieve rechten en rechtsmiddelen krijgen. Daarnaast moeten de SCC’s duidelijkheid verschaffen over de verdeling van de rollen en de aansprakelijkheid tussen de partijen. Wat betreft de noodzaak om in bepaalde gevallen aanvullende ad-hocmaatregelen te treffen om ervoor te zorgen dat het beschermingsniveau voor de betrokkenen in wezen gelijkwaardig is aan dat in de EU, zullen de nieuwe SCC’s samen met de aanbevelingen van de EDPB over aanvullende maatregelen moeten worden gebruikt.”

Indien de definitieve versie van de aanbevelingen van de EDPB wordt vastgesteld vóór het SCC-besluit van de Commissie, verzoeken de EDPB en de EDPS de Commissie te verwijzen naar die definitieve versie.  Dit document is voorgelegd voor openbare raadpleging tot en met 21 december 2020 en kan op basis van de resultaten van die raadpleging nog verder worden gewijzigd.

 

Noot voor de redactie:  
Alle documenten die tijdens de plenaire zitting van het Europees Comité voor gegevensbescherming worden goedgekeurd, worden onderworpen aan de nodige juridische, taalkundige en formatteringscontroles en zullen op de website van het comité beschikbaar worden gesteld zodra deze controles zijn afgerond.

 

EDPB_Press Release_statement_2021_01