EDPB neemt advies aan over verwerkers, richtsnoeren inzake gerechtvaardigd belang, verklaring over ontwerpverordening voor de handhaving van de AVG en werkprogramma 2024-2025

9 October 2024

Brussel, 9 oktober - Tijdens zijn meest recente plenaire vergadering heeft het Europees Comité voor gegevensbescherming (EDPB) een advies aangenomen over bepaalde verplichtingen die voortvloeien uit het vertrouwen op verwerker(s) en subverwerker(s), richtsnoeren inzake gerechtvaardigd belang, een verklaring over de vaststelling van aanvullende procedurele regels voor de handhaving van de AVG en het werkprogramma 2024-2025 van het EDPB.

Ten eerste heeft het EDPB een advies uitgebracht over bepaalde verplichtingen die voortvloeien uit het beroep op verwerker(s) en subverwerker(s) naar aanleiding van een verzoek van de Deense gegevensbeschermingsautoriteit (GBA) aan het Comité op grond van artikel 64, lid 2, AVG. In artikel 64, lid 2, AVG is bepaald dat elke GBA het Comité kan verzoeken advies uit te brengen over aangelegenheden van algemene strekking of die gevolgen hebben in meer dan één lidstaat.

Het advies gaat over situaties waarin verwerkingsverantwoordelijken afhankelijk zijn van een of meer verwerkers en subverwerkers. Het behandelt met name acht vragen over de uitlegging van bepaalde verplichtingen van verwerkingsverantwoordelijken die een beroep doen op verwerkers en subverwerkers, alsook de formulering van overeenkomsten tussen verwerkingsverantwoordelijken en verwerkers, die met name voortvloeien uit artikel 28 AVG. 

In het advies wordt uitgelegd dat verwerkingsverantwoordelijken te allen tijde over de informatie over de identiteit (d.w.z. naam, adres, contactpersoon) van alle verwerkers, subverwerkers enz. moeten beschikken, zodat zij hun verplichtingen uit hoofde van artikel 28 AVG zo goed mogelijk kunnen nakomen. Bovendien moet de verplichting van de verwerkingsverantwoordelijke om na te gaan of de (sub)verwerkers “voldoende garanties” bieden, van toepassing zijn ongeacht het risico voor de rechten en vrijheden van de betrokkenen, hoewel de omvang van die verificatie kan variëren, met name op basis van de aan de verwerking verbonden risico’s. 

In het advies wordt ook gesteld dat de initiële verwerker er weliswaar voor moet zorgen dat hij subverwerkers met voldoende garanties voorstelt, maar dat de uiteindelijke beslissing en verantwoordelijkheid voor het inschakelen van een specifieke subverwerker bij de verwerkingsverantwoordelijke blijft berusten. 

Het EDPB is van mening dat de verwerkingsverantwoordelijke op grond van de AVG niet verplicht is systematisch om de subverwerkingscontracten te vragen om na te gaan of de verplichtingen inzake gegevensbescherming in de verwerkingsketen zijn doorgegeven. De verwerkingsverantwoordelijke moet beoordelen of het aanvragen van een kopie van dergelijke contracten of het herzien ervan noodzakelijk is om de naleving van de AVG aan te tonen.

Wanneer doorgiften van persoonsgegevens buiten de Europese Economische Ruimte plaatsvinden tussen twee (sub)verwerkers, moet de verwerker als gegevensexporteur bovendien de relevante documentatie opstellen, zoals met betrekking tot de gebruikte grond voor doorgifte, de effectbeoordeling van de doorgifte en de mogelijke aanvullende maatregelen. Aangezien de verwerkingsverantwoordelijke echter nog steeds onderworpen is aan de verplichtingen die voortvloeien uit artikel 28, lid 1, AVG inzake “voldoende waarborgen”, naast de verplichtingen uit hoofde van artikel 44 om ervoor te zorgen dat het beschermingsniveau niet wordt ondermijnd door de doorgifte van persoonsgegevens, moet hij deze documentatie beoordelen en deze aan de bevoegde gegevensbeschermingsautoriteit kunnen aantonen. 

Vervolgens heeft het Comité richtsnoeren vastgesteld voor de verwerking van persoonsgegevens op basis van een gerechtvaardigd belang

Verwerkingsverantwoordelijken hebben een wettelijke basis nodig om persoonsgegevens rechtmatig te verwerken. Rechtmatig belang is een van de zes mogelijke rechtsgrondslagen.

In deze richtsnoeren worden de criteria van artikel 6, lid 1, punt f), AVG geanalyseerd waaraan verwerkingsverantwoordelijken moeten voldoen om persoonsgegevens rechtmatig te verwerken op basis van een gerechtvaardigd belang. Het houdt ook rekening met het recente arrest van het Hof van Justitie over deze kwestie (C-621/22, 4 oktober 2024). 

Om zich op een gerechtvaardigd belang te kunnen beroepen, moet de verwerkingsverantwoordelijke aan drie cumulatieve voorwaarden voldoen: 

  1. het nastreven van een gerechtvaardigd belang door de verwerkingsverantwoordelijke of door een derde;

  2. de noodzaak om persoonsgegevens te verwerken met het oog op het nastreven van het gerechtvaardigde belang;

  3. De belangen of fundamentele vrijheden en rechten van personen hebben geen voorrang op het (de) gerechtvaardigde belang(en) van de verwerkingsverantwoordelijke of van een derde (afwegingsoefening).

In de eerste plaats kunnen alleen rechtmatige, duidelijk en nauwkeurig geformuleerde, reële en actuele belangen als legitiem worden beschouwd. Dergelijke legitieme belangen kunnen bijvoorbeeld bestaan in een situatie waarin de persoon een klant is of in dienst van de verwerkingsverantwoordelijke.

Ten tweede, als er redelijke, even doeltreffende, maar minder ingrijpende alternatieven zijn om de nagestreefde belangen te bereiken, kan de verwerking niet als noodzakelijk worden beschouwd. De noodzaak van een verwerking moet ook worden onderzocht met inachtneming van het beginsel van minimale gegevensverwerking. 

Ten derde moet de verwerkingsverantwoordelijke ervoor zorgen dat zijn rechtmatig belang niet zwaarder weegt dan de belangen van het individu, de grondrechten van de vrijheden. Bij deze afweging moet de verwerkingsverantwoordelijke rekening houden met de belangen van de personen, de gevolgen van de verwerking en hun redelijke verwachtingen, alsook met het bestaan van aanvullende waarborgen die de gevolgen voor het individu kunnen beperken. 

Daarnaast wordt in deze richtsnoeren uitgelegd hoe deze beoordeling in de praktijk moet worden uitgevoerd, ook in een aantal specifieke contexten zoals fraudepreventie, direct marketing en informatiebeveiliging. Het document legt ook de relatie uit tussen deze rechtsgrondslag en een aantal rechten van betrokkenen onder de AVG.

De richtsnoeren zullen tot 20 november 2024 aan een openbare raadpleging worden onderworpen.

Vervolgens heeft de afwikkelingsraad een verklaring vastgesteld naar aanleiding van de wijzigingen die het Europees Parlement en de Raad hebben aangebracht in het voorstel van de Europese Commissie voor een verordening tot vaststelling van aanvullende procedureregels met betrekking tot de handhaving van de AVG.

In de verklaring worden de door het Europees Parlement en de Raad aangebrachte wijzigingen over het algemeen toegejuicht en wordt aanbevolen specifieke elementen verder aan te pakken zodat de nieuwe verordening de doelstellingen van stroomlijning van de samenwerking tussen autoriteiten en verbetering van de handhaving van de AVG kan verwezenlijken. 

De verklaring bevat praktische aanbevelingen die kunnen worden gebruikt in het kader van de komende trialogen. Het EDPB herhaalt met name dat er behoefte is aan een rechtsgrondslag en een geharmoniseerde procedure voor minnelijke schikkingen en doet aanbevelingen om ervoor te zorgen dat er zo efficiënt mogelijk consensus wordt bereikt over de samenvatting van de belangrijkste kwesties. Het Comité is ook ingenomen met de opname van aanvullende termijnen, maar herinnert eraan dat deze realistisch moeten zijn en dringt er bij de medewetgevers op aan de bepalingen met betrekking tot de relevante en gemotiveerde bezwaren en de “motivering” in de geschillenbeslechtingsprocedure te schrappen. 

Hoewel de verklaring ingenomen is met de doelstelling van meer transparantie, zou de invoering van een gezamenlijk dossier, zoals voorgesteld door het Europees Parlement, complexe wijzigingen vereisen in de systemen voor documentbeheer en communicatie die op Europees en nationaal niveau worden gebruikt. De technische oplossingen voor de uitvoering ervan moeten zorgvuldig worden beoordeeld en de modaliteiten voor het verlenen van toegang daartoe moeten verder worden verduidelijkt. 

Het EDPB is ingenomen met het amendement van de Raad op grond waarvan de leidende gegevensbeschermingsautoriteit in eenvoudige en eenvoudige gevallen kan afzien van de zogenaamde nauwere samenwerking, maar benadrukt dat het toepassingsgebied van deze afmelding verder moet worden verduidelijkt. 

EDPB-voorzitter Anu Talus: “De ontwerpverordening kan de handhaving van de AVG aanzienlijk stroomlijnen door de behandeling van zaken efficiënter te maken. Er is meer harmonisatie op EU-niveau nodig om de samenwerkings- en consistentiemechanismen van de AVG zo doeltreffend mogelijk te maken.”

Tijdens zijn meest recente plenaire vergadering heeft de raad zijn werkprogramma voor 2024-2025 vastgesteld. Dit is het eerste van twee werkprogramma’s ter uitvoering van de in april 2024 vastgestelde EDPB-strategie voor 2024-2027. Het is gebaseerd op de prioriteiten die zijn vastgesteld in de EDPB-strategie en houdt ook rekening met de behoeften die als het belangrijkst voor belanghebbenden zijn aangemerkt.

Tot slot zijn de EDPB-leden overeengekomen de status van waarnemer bij de activiteiten van het EDPB toe te kennen aan het Kosovaars Agentschap voor informatie en privacy (Kosovan DPA), overeenkomstig artikel 8 van het reglement van orde van het EDPB.

Het hier gepubliceerde persbericht is automatisch uit het Engels vertaald.  De EDPB garandeert de juistheid van de vertaling niet. Raadpleeg de officiële tekst in de Engelse versie als er enige twijfel bestaat.