Brussel, 21 juni – In zijn plenaire vergadering heeft het EDPB na een openbare raadpleging besloten tot vaststelling van een definitieve versie van de Aanbevelingen voor aanvullende maatregelen. De Aanbevelingen, waarvan in november 2020 al een voorlopige versie was vastgesteld naar aanleiding van de uitspraak van het HvJ-EU in de zaak Schrems II, zijn bedoeld om verwerkingsverantwoordelijken en verwerkers die als gegevensexporteur optreden, te helpen bij het vaststellen en treffen van passende aanvullende maatregelen die eventueel nodig zijn om een in wezen gelijkwaardig beschermingsniveau te waarborgen voor de gegevens die zij doorgeven aan derde landen.
De definitieve versie van de Aanbevelingen bevat aanpassingen naar aanleiding van opmerkingen en terugkoppeling uit de openbare raadpleging, met speciale aandacht voor het optreden van overheidsdiensten van derde landen.
De voornaamste aanpassingen betreffen o.a. meer nadruk op het belang van het in aanmerking nemen van de door overheden van derde landen gehanteerde handelwijzen bij de juridische beoordeling door de exporteur of het doorgifte-instrument van artikel 46 AVG (in de praktijk) minder effectief zal zijn als gevolg van de wetgeving en/of handelwijzen in het derde land; de mogelijkheid voor de exporteur om bij deze beoordeling onder voorwaarden rekening te houden met o.a. de praktische ervaring van de importeur; en een verduidelijking dat eventuele wetgeving in het derde land van bestemming die overheden in dat land de mogelijkheid geeft om de doorgegeven gegevens in te zien, zelfs zonder tussenkomst van de importeur, mogelijk ook het doorgifte-instrument minder effectief zal maken.
Met betrekking tot de pas gepubliceerde modelcontractbepalingen voor internationale doorgifte die onlangs door de Europese Commissie zijn gepubliceerd, zullen de Aanbevelingen hulp bieden bij het nagaan van “Lokale wetgeving en praktijken die van invloed zijn op naleving van de Bepalingen” (Bepaling 14 van de nieuwe modelcontractbepalingen) en of het nodig is om aanvullende maatregelen te treffen.
Andrea Jelinek, voorzitter van het EDPB: “Het effect van Schrems II mag niet worden onderschat: nu al worden internationale gegevensstromen veel zorgvuldiger gecontroleerd door de toezichthoudende autoriteiten op de niveaus waarop zij hun onderzoek verrichten. De bedoeling van de Aanbevelingen van het EDPB is om als richtsnoer te dienen voor exporteurs bij de rechtmatige doorgifte van persoonsgegevens naar derde landen, en tegelijkertijd om voor de doorgegeven gegevens een beschermingsniveau te waarborgen dat in wezen gelijkwaardig is aan het niveau dat binnen de EER wordt gewaarborgd. Door opheldering te geven omtrent de door stakeholders geuite twijfels, en in het bijzonder het belang van het in aanmerking nemen van de praktijken van overheden in derde landen, willen wij het gemakkelijker maken voor gegevensexporteurs om te bepalen hoe zij de doorgifte naar derde landen dienen te beoordelen en om waar nodig effectieve aanvullende maatregelen vast te stellen en in te voeren. Het EDPB zal bij zijn toekomstige richtsnoeren de gevolgen van de uitspraak in de zaak Schrems II, alsmede de opmerkingen van belanghebbenden, in aanmerking blijven nemen.”
De volledige tekst van de Aanbevelingen kan hier worden geraadpleegd: https://edpb.europa.eu/our-work-tools/our-documents/recommendations/recommendations-012020-measures-supplement-transfer_en
Het EDPB heeft tevens besloten tot het vaststellen van een brief aan EU-instellingen over privacy en gegevensbescherming in verband met een eventuele digitale euro. In die brief benadrukt het EDPB dat een zeer hoog niveau van privacy en gegevensbescherming van essentieel belang is om het vertrouwen van eindgebruikers te bevorderen, dat dit als onderscheidend element geldt bij het aanbieden van een digitale euro en daarbij een belangrijke succesfactor zal zijn. Dergelijke zorgen dienen in de ontwerpfase meegenomen te worden. Daarnaast beveelt het EDPB het met het projectontwerp belaste EU-orgaan aan een gegevensbeschermingseffectbeoordeling op hoog niveau uit te voeren. Het EDPB geeft tevens aan dat het bereid is om de ECB of andere EU-instellingen te adviseren.
Ten slotte heeft het EDPB drie vertegenwoordigers aangewezen om zitting te nemen in de sturingsraad voor de grondrechten van het Europees reisinformatie en -autorisatiesysteem (Etias). Deze sturingsraad heeft tot taak om te beoordelen wat het effect is van de verwerking van aanmeldingen, en zal een belangrijke rol spelen bij het waarborgen van grondrechten door het systeem, in het bijzonder met betrekking tot privacy en bescherming van persoonsgegevens. De sturingsraad zal bestaan uit vertegenwoordigers van Frontex, de EDPS, het EDPB en het Bureau van de Europese Unie voor de grondrechten (FRA).
Tijdens de plenaire vergadering heeft het EDPB tevens besloten tot vaststelling van een gezamenlijke opinie van het EDPB en de EDPS aangaande het ontwerp voor een ontwerpverordening inzake kunstmatige intelligentie. Later vandaag zal hierover een apart persbericht verschijnen.
Noot voor de redactie:
Alle documenten die tijdens de plenaire vergadering van het Europees Comité voor gegevensbescherming worden goedgekeurd, worden gecontroleerd op juridische aspecten, taal en formattering. Na afronding hiervan worden de betreffende documenten op de website van het Comité geplaatst.
EDPB_Press Release_2021_05