Brussel, 14 februari — Tijdens zijn laatste plenaire vergaderingheeft deEDPB een advies uitgebracht over het begrip „hoofdvestiging” en over de criteria voor de toepassing van het éénloketsysteem, naaraanleiding van een verzoek van de Franse gegevensbeschermingsautoriteit (AVG) op grond van artikel 64, lid 2, AVG. In het advies wordt het begrip „hoofdvestiging” van een verwerkingsverantwoordelijke in de EU verduidelijkt, met name voor gevallen waarin beslissingen over de verwerking buiten de EU worden genomen.
EDPB-voorzitter Anu Talus zei: „Het begrip „hoofdvestiging” is een van de hoekstenen van de One-Stop-Shop. Het is van cruciaal belang om te bepalen welke eventuele gegevensbeschermingsautoriteit de leidende toezichthoudende autoriteit is in grensoverschrijdende gegevensbeschermingszaken. Het EDPB-advies werpt verder licht op de voorwaarden voor verwerkingsverantwoordelijken om toegang te krijgen tot het éénloketsysteem en biedt verdere richtsnoeren voor gegevensbeschermingsautoriteiten bij het bepalen welke gegevensbeschermingsautoriteit het voortouw neemt.”
In zijn advies is de EDPB van mening datde „plaats van centrale administratie” van een verwerkingsverantwoordelijke in de EU alleen kan worden beschouwd als een hoofdvestiging in de zin van artikel 4, lid 16, onder a), AVG, indien hij besluiten neemt over de doeleinden en middelen van de verwerking van persoonsgegevens en indien hij bevoegd is om dergelijke besluiten ten uitvoer te laten leggen. De EDPB legt verder uit dat het éénloketsysteem alleen van toepassing kan zijn als er bewijs is dat een van de vestigingen van de verwerkingsverantwoordelijke in de Unie besluiten neemt over de doeleinden en middelen voor de desbetreffende verwerkingsactiviteiten en de bevoegdheid heeft om deze besluiten ten uitvoer te laten leggen. Dit betekent dat wanneer de besluiten over de doeleinden en middelen van de verwerking buiten de EU worden genomen, er geen hoofdvestiging van de verwerkingsverantwoordelijke in de Unie mag zijn en dat het éénloketsysteem derhalve niet van toepassing mag zijn.
Dit advies is het laatste in een reeks concrete maatregelen die de EDPB heeft genomen naar aanleiding van zijn verklaring van Wenen over grensoverschrijdende handhaving, met als doel de handhaving en de samenwerking tussen gegevensbeschermingsautoriteiten te stroomlijnen.
Vervolgens heeft de EDPB een verklaring aangenomen over de wetgevingsontwikkelingen met betrekking tot het voorstel voor een verordening tot vaststelling van regels ter voorkoming en bestrijding van seksueel misbruik van kinderen. De verklaring volgt op het gezamenlijk advies van EDPB-EDPS over het voorstel van de Europese Commissie voor een verordening en richt zich op de laatste ontwikkelingen op wetgevingsgebied, met name het standpunt van het Europees Parlement van november 2023.
De EDPB is ingenomen met de vele verbeteringen die het Parlement heeft voorgesteld, zoals het vrijstellen van end-to-end versleutelde communicatie van opsporingsbevelen. De EDPB betreurt echter dat de door het Parlement voorgestelde tekst geen volledige oplossing lijkt te bieden voor belangrijke kwesties die door de EDPB en de EDPS zijn gemarkeerd met betrekking tot algemene en willekeurige monitoring van particuliere communicatie, met name met betrekking tot de uitvaardiging van opsporingsbevelen.
EDPB-voorzitter Anu Talus zei: „Seksueel misbruik van kinderen is een bijzonder gruwelijke misdaad en vereist doeltreffende oplossingen. Het is belangrijk dat elk nieuw rechtsinstrument ondubbelzinnig is en de grondrechten op privacy en gegevensbescherming eerbiedigt. Een buitensporige toegang tot onlinecommunicatie zou deze belangrijke beginselen ondermijnen en zelf negatieve gevolgen hebben voor de rechten en de veiligheid van zowel volwassenen als kinderen; we moeten heel voorzichtig zijn met acties die uiteindelijk meer kwaad dan goed doen. De EDPB is van mening dat de door het Parlement voorgestelde formulering passende garanties moet bieden dat opsporingsbevelen voldoende gericht zullen zijn om ervoor te zorgen dat zij slachtoffers kunnen beschermen zonder onevenredig afbreuk te doen aan de rechten en vrijheden die door het EU-recht worden beschermd.”
De EDPB benadrukt het belang van verdere beperking van het risico dat deze bevelen gevolgen kunnen hebben voor personen die waarschijnlijk niet betrokken zijn bij misdrijven in verband met seksueel misbruik van kinderen. Voorts betreurt de EDPB dat opsporingsbevelen niet beperkt zijn tot materiaal voor seksueel misbruik van kinderen (CSAM) dat al bij de autoriteiten bekend is, ondanks het feit dat de technologieën die worden gebruikt om nieuwe CSAM op te sporen in het verleden aanzienlijke foutenpercentages hebben aangetoond.
Tijdens de plenaire vergadering besprak de EDPB ook het toepassingsgebied van de richtsnoeren met betrekking tot het toestemmings- of betalingsmodel. Naast het komende advies van artikel 64, lid 2, dat betrekking zal hebben op het Toestemmings- of betaalmodel in de context van grote onlineplatforms, is overeengekomen dat er achtereenvolgens richtsnoeren met een breder toepassingsgebied moeten worden ontwikkeld.
Tot slot heeft de EDPB verschillende vertegenwoordigers aangewezen om deel te nemen aan respectievelijk het beoordelingsteam van het kader voor gegevensbescherming van de Europese Commissie, de subgroep op hoog niveau van de Digital Markets Act inzake artikel 5, lid 2, van de DMA en de taskforce Digital Services Act inzake leeftijdsverificatie.
Het hier gepubliceerde persbericht is automatisch uit het Engels vertaald. De EDPB garandeert de juistheid van de vertaling niet. Raadpleeg de officiële tekst in de Engelse versie als er enige twijfel bestaat.