Brussel, 28 februari — De EDPB heeft advies uitgebracht over het ontwerp-adequaatheidsbesluit inzake het EU-VS-privacykader. Het ontwerp voorziet in aanzienlijke verbeteringen, die de EDPB toejuicht. Daarbij gaat het bijvoorbeeld om voorschriften waardoor de beginselen van noodzakelijkheid en evenredigheid van toepassing zullen worden op het verzamelen van gegevens door de inlichtingendiensten van de VS en om het nieuwe verhaalmechanisme voor betrokkenen uit de EU. Tegelijkertijd uit de EDPB ook punten van zorg en verzoekt hij met betrekking tot verschillende aspecten om toelichting. Daarbij gaat het vooral om bepaalde rechten van betrokkenen, verdere doorgiften, het toepassingsgebied van vrijstellingen, tijdelijke massale gegevensverzameling en de praktische werking van het verhaalmechanisme. De EDPB zou graag zien dat niet alleen aan de inwerkingtreding, maar ook aan de vaststelling van het besluit de voorwaarde wordt gesteld dat alle inlichtingendiensten van de VS geactualiseerde beleidslijnen en procedures vaststellen ter uitvoering van Executive Order 14086. De EDPB beveelt de Commissie aan die geactualiseerde beleidslijnen en procedures te beoordelen en haar beoordeling te delen met de EDPB.
Andrea Jelinek, voorzitter van de EDPB: “Een hoog niveau van gegevensbescherming is essentieel voor de rechten en vrijheden van de EU-burgers. Hoewel wij erkennen dat er aanzienlijke verbeteringen in het Amerikaanse rechtskader zijn aangebracht, bevelen wij aan op de geuite bezwaren in te gaan en de gevraagde verduidelijkingen te verstrekken om ervoor te zorgen dat het adequaatheidsbesluit stand kan houden. Wij zijn dan ook van mening dat de toetsing van het adequaatheidsbesluit ten minste om de drie jaar moet worden herhaald. Het is ons vaste voornemen daaraan bij te dragen.”
Het ontwerp-adequaatheidsbesluit, dat op 13 december 2022 door de Europese Commissie is gepubliceerd, berust op het kader voor gegevensbescherming EU-VS (Data Privacy Framework, DPF). Dit kader moet in de plaats komen van het privacyschild dat door het Hof van Justitie van de EU ongeldig is verklaard bij het Schrems II-arrest. Het belangrijkste van het DPF zijn de beginselen van het kader voor gegevensbescherming EU-VS, die zijn uitgevaardigd door het ministerie van Handel van de VS. Het DPF is alleen van toepassing op Amerikaanse organisaties die over een zelfcertificering beschikken. De EDPB heeft nu zijn advies over het ontwerpbesluit aangenomen, waarin zowel de commerciële aspecten als de toegang tot en het gebruik van gegevens door de overheidsdiensten van de VS worden behandeld.
Wat de commerciële aspecten betreft, is de EDPB ingenomen met een aantal actualiseringen van de DPF-beginselen. De EDPB merkt ook op dat een aantal beginselen in wezen niet verandert ten opzichte van het privacyschild. Er blijven dan ook enige punten van zorg bestaan ten aanzien van, bijvoorbeeld, enkele uitzonderingen op het recht van toegang, het ontbreken van belangrijke definities, het gebrek aan duidelijkheid over de toepasselijkheid van de DPF-beginselen op verwerkers, de ruime vrijstelling van het recht van toegang tot openbaar beschikbare informatie en het ontbreken van specifieke regels inzake geautomatiseerde besluitvorming en profilering. De EDPB herhaalt voorts dat het beschermingsniveau niet mag worden ondermijnd door verdere doorgiften. Daarom verzoekt de EDPB de Commissie te verduidelijken dat de door de oorspronkelijke ontvanger aan de importeur in het derde land voorgeschreven waarborgen nuttige werking moeten hebben in het licht van de wetgeving van het derde land, voorafgaand aan verdere doorgifte.
Bovendien verzoekt de EDPB de Commissie te verduidelijken wanneer de vrijstellingen van de verplichting om de DPF-beginselen na te leven van toepassing zijn. Ook benadrukt de EDPB dat het van belang is daadwerkelijk te zorgen voor toezicht op en handhaving van het DPF. Deze aspecten zullen nauwlettend door de EDPB worden gemonitord, evenals de nuttige werking van de rechtsmiddelen die ter beschikking staan van betrokkenen uit de EU wier gegevens in strijd met het DPF zijn verwerkt.
Wat betreft de toegang van de overheid tot naar de VS doorgegeven gegevens, erkent de EDPB dat Executive Order (EO) 14086 aanzienlijke verbeteringen heeft opgeleverd. De EO betrekt de begrippen noodzaak en evenredigheid op het verzamelen van gegevens door de inlichtingendiensten van de VS (inlichtingen uit berichtenverkeer).
Het nieuwe verhaalmechanisme, dat wordt getoetst door de Raad van toezicht op de privacy en de burgerlijke vrijheden, creëert bovendien rechten voor EU-burgers. De EO voorziet ook in meer waarborgen voor de onafhankelijkheid van het Data Protection Review Court (DPRC) dan het eerdere ombudsmanmechanisme. Daarnaast introduceert de EO effectievere bevoegdheden om schendingen te verhelpen, waaronder aanvullende waarborgen voor betrokkenen.
De EDPB benadrukt dat er nauwlettend toezicht moet worden gehouden op de praktische toepassing van de pas ingevoerde beginselen van noodzakelijkheid en evenredigheid. Er is ook meer duidelijkheid nodig met betrekking tot de tijdelijke massale verzameling van gegevens en de verdere bewaring en verspreiding van de aldus verzamelde gegevens.
De EDPB spreekt ook zijn bezorgdheid uit over het feit dat er geen voorafgaande toestemming van een onafhankelijke autoriteit nodig is voor het massaal verzamelen van gegevens op grond van EO 12333, en over het gebrek aan systematische onafhankelijke toetsing achteraf door een rechtbank of een ander, even onafhankelijk orgaan. Met betrekking tot de voorafgaande, door een onafhankelijke instantie verleende toestemming voor surveillance uit hoofde van artikel 702 van de Foreign Intelligence Surveillance Act (FISA) betreurt de EDPB dat het FISA Court de naleving van Executive Order 14086 niet toetst wanneer het programma’s certificeert in het kader waarvan specifiek toezicht mag worden gehouden op niet uit de VS afkomstige personen. EO 14086 is nochtans bindend voor de inlichtingenautoriteiten die de betrokken programma’s uitvoeren. Vooral verslagen van de Raad van toezicht op de privacy en de burgerlijke vrijheden (Privacy and Civil Liberties Oversight Board) over de omzetting van de waarborgen van Executive Order 14086 en de toepassing van die waarborgen bij het verzamelen van gegevens op grond van Section 702 FISA en EO 12333, zouden bijzonder nuttig zijn. Wat het verhaalmechanisme betreft, onderkent de EDPB de aanvullende waarborgen die worden geboden, zoals de rol van de speciale advocaten en de herziening van het verhaalmechanisme door de Raad van toezicht op de privacy en de burgerlijke vrijheden. Tegelijkertijd maakt de EDPB zich zorgen over de algemene toepassing van het standaardantwoord van het Data Protection Review Court waarin de klager ervan in kennis wordt gesteld dat er geen schendingen zijn vastgesteld dan wel dat een passende oplossing is gelast, te meer omdat tegen dit besluit geen beroep kan worden aangetekend. De EDPB verzoekt de Commissie daarom de praktische werking van dit mechanisme zorgvuldig te monitoren.
The news published here does not constitute official EDPB communication, nor an EDPB endorsement. This news item was originally published by the national supervisory authority and was published here at the request of the SA for information purposes. Any questions regarding this news item should be directed to the supervisory authority concerned.