Bijlagen bij COM(2015)566 - Doorgifte van persoonsgegevens van de EU naar de VS krachtens Richtlijn 95/46/EG naar aanleiding van het arrest van het Hof van Justitie in zaak C-362/14 (Schrems)

Dit is een beperkte versie

U kijkt naar een beperkte versie van dit dossier in de EU Monitor.

dossier COM(2015)566 - Doorgifte van persoonsgegevens van de EU naar de VS krachtens Richtlijn 95/46/EG naar aanleiding van het arrest van het Hof ...
document COM(2015)566 NLEN
datum 6 november 2015
bijlage daarbij; punt 7 van de bijlage bij Beschikking 2010/87/EU van de Commissie.

(13)

     Er zij op gewezen dat in het voorstel voor de algemene verordening gegevensbescherming (COM(2012)11 final) is bepaald dat doorgiften op grond van modelcontractbepalingen of bindende bedrijfsvoorschriften geen verdere toestemming behoeven voor zover zij door de Commissie of na de beoogde conformiteitstoetsing zijn vastgesteld.

(14)

     Ook wanneer gebruik van modelcontractbepalingen wordt gemaakt, kunnen partijen overeenkomen om andere clausules toe te voegen, mits deze niet direct of indirect in tegenspraak zijn met de door de Commissie goedgekeurde bepalingen of afbreuk doen aan de fundamentele rechten of vrijheden van de betrokkenen. Zie Europese Commissie, "Frequently Asked Questions Relating to Transfers of Personal Data from the EU/EEA to Third Countries" (Vaak gestelde vragen over de doorgifte van persoonsgegevens uit de EU/EER naar derde landen) (FAQ B. 1.9), blz. 28 (beschikbaar op de volgende website: http://ec.europa.eu/justice/policies/privacy/docs/international_transfers_faq/international_transfers_faq.pdf).

(15)

Indien een gegevensbeschermingsautoriteit twijfels heeft over de verenigbaarheid van de modelcontractbepalingen met de vereisten van de richtlijn, dient zij de kwestie voor te leggen aan een nationale rechter, die vervolgens het Hof van Justitie een prejudiciële vraag kan stellen (zie de punten 51, 52, 64 en 65 van het arrest Schrems).

(16)

     De Groep artikel 29 heeft een specifieke procedure vastgesteld voor samenwerking tussen gegevensbeschermingsautoriteiten voor de goedkeuring van de contractuele bepalingen die een onderneming in verschillende lidstaten wenst te gebruiken. Zie Groep artikel 29, "Working Document Setting Forth a Co-Operation Procedure for Issuing Common Opinions on 'Contractual clauses' Considered as compliant with the EC Model Clause" (Werkdocument betreffende een samenwerkingsprocedure voor het uitbrengen van gemeenschappelijke standpunten over "contractbepalingen" die geacht worden overeen te stemmen met de EG modelbepaling) (WP 226), 26 november 2014. Zie ook punt VII van de bijlage bij Beschikking 2004/915/EG van de Commissie, en punt 10 van de bijlage bij Besluit 2010/87/EU van de Commissie.

(17)

     Zie Groep artikel 29, "Working Document Setting Forth a Co-Operation Procedure for Issuing Common Opinions on 'Contractual clauses' Considered as compliant with the EC Model Clause" (Werkdocument betreffende een samenwerkingsprocedure voor het uitbrengen van gemeenschappelijke standpunten over "contractbepalingen" die geacht worden overeen te stemmen met de EG modelbepaling) (WP 226), 26 november 2014, blz. 2.

(18)

     Zie Groep artikel 29, "Working Document setting up a table with the elements and principles to be found in Binding Corporate Rules" (werkdocument met een overzicht van de elementen en beginselen voorkomend in bindende bedrijfsvoorschriften) (WP 153), 24 juni 2008; "Working Document setting up a framework for the structure of Binding Corporate Rules" (werkdocument met een kader voor de structuur van bindende bedrijfsvoorschriften) (WP 154), 24 juni 2008; en "Working Document on Frequently Asked Questions (FAQs) related to Binding Corporate Rules" (werkdocument met veelgestelde vragen (FAQ’s) in verband met bindende bedrijfsvoorschriften) (WP 155), 24 juni 2008.

(19)

     Groep artikel 29, Standard Application for Approval of Binding Corporate Rules for the Transfer of Personal Data" (standaardaanvraagformulier voor goedkeuring van bindende bedrijfsvoorschriften betreffende de doorgifte van persoonsgegevens) (WP 133), 10 januari 2007.

(20)

     Groep artikel 29, Working Document Setting Forth a Co-Operation Procedure for Issuing Common Opinions on Adequate Safeguards Resulting From 'Binding Corporate Rules'" (werkdocument betreffende een samenwerkingsprocedure voor het uitbrengen van gemeenschappelijke standpunten over de gepastheid van door "bindende bedrijfsvoorschriften" geboden waarborgen) (WP 107), 14 april 2005.

(21)

     Voor zover andere bepalingen van Richtlijn 95/46/EG aanvullende vereisten bevatten die voor de toepassing van deze afwijkingen relevant zijn (bijvoorbeeld de beperkingen van artikel 8 voor de verwerking van gevoelige gegevens), moeten deze, zoals de Groep artikel 29 heeft benadrukt, worden geëerbiedigd. Zie Groep artikel 29, "Werkdocument over een gemeenschappelijke interpretatie van artikel 26, lid 1, van Richtlijn 95/46/EG van 24 oktober 1995" (WP 114), 25 november 2005, blz. 8. Zie ook Europese Commissie, "Frequently Asked Questions Relating to Transfers of Personal Data from the EU/EEA to Third Countries" (Vaak gestelde vragen over de doorgifte van persoonsgegevens uit de EU/EER naar derde landen) (FAQ D.2), blz. 50.

(22)

     Het kan daarbij bijvoorbeeld gaan om de doorgifte van gegevens tussen belasting- of douanediensten of tussen voor de sociale zekerheid bevoegde diensten (zie overweging 58 van Richtlijn 95/46/EG). Voor doorgiften tussen toezichthoudende instanties in de financiële-dienstensector kan ook gebruik worden gemaakt van de afwijking. Zie Groep artikel 29, "Werkdocument: Doorgifte van persoonsgegevens naar derde landen: toepassing van de artikelen 25 en 26 van de EU-richtlijn betreffende gegevensbescherming" (WP 12), 24 juli 1998, blz. 25.

(23)

     Groep artikel 29, "Werkdocument over een gemeenschappelijke interpretatie van artikel 26, lid 1, van Richtlijn 95/46/EG van 24 oktober 1995" (WP 114), 25 november 2005, blz. 7 en 17.

(24)

     Groep artikel 29, "Werkdocument: Doorgifte van persoonsgegevens naar derde landen: toepassing van de artikelen 25 en 26 van de EU-richtlijn betreffende gegevensbescherming (WP 12), 24 juli 1998; "Werkdocument over een gemeenschappelijke interpretatie van artikel 26, lid 1, van Richtlijn 95/46/EG van 24 oktober 1995" (WP 114), 25 november 2005. Zie ook Europese Commissie, "Frequently Asked Questions Relating to Transfers of Personal Data from the EU/EEA to Third Countries" (Vaak gestelde vragen over de doorgifte van persoonsgegevens uit de EU/EER naar derde landen) (FAQ D.1 tot en met D.9), blz. 48 tot en met 54.

(25)

     Groep artikel 29, "Werkdocument over een gemeenschappelijke interpretatie van artikel 26, lid 1, van Richtlijn 95/46/EG van 24 oktober 1995" (WP 114), 25 november 2005, blz. 8 tot en met 10.

(26)

     Groep artikel 29, "Werkdocument over een gemeenschappelijke interpretatie van artikel 26, lid 1, van Richtlijn 95/46/EG van 24 oktober 1995" (WP 114), 25 november 2005, blz. 9. Volgens de werkgroep mogen massale of veel voorkomende doorgiften alleen op basis van een afwijking worden uitgevoerd wanneer toepassing van modelcontractbepalingen of bindende bedrijfsvoorschriften in de praktijk onmogelijk is en de risico’s voor de betrokkene gering zijn (bv. internationale overschrijvingen). Zie ook Europese Commissie, "Frequently Asked Questions Relating to Transfers of Personal Data from the EU/EEA to Third Countries" (Vaak gestelde vragen over de doorgifte van persoonsgegevens uit de EU/EER naar derde landen) (FAQ D.1), blz. 49.

(27)

     Groep artikel 29, "Werkdocument over een gemeenschappelijke interpretatie van artikel 26, lid 1, van Richtlijn 95/46/EG van 24 oktober 1995" (WP 114), 25 november 2005, blz. 13. Zie ook "Opinion 6/2002 on transmission of passenger manifest information and other data from airlines to the United States" (Advies 6/2002 over de doorgifte van informatie van de passagierslijst en andere gegevens van luchtvaartmaatschappijen aan de Verenigde Staten" (WP 66), 24 oktober 2002.

(28)

     Groep artikel 29, "Werkdocument: Doorgifte van persoonsgegevens naar derde landen: toepassing van de artikelen
25 en 26 van de EU-richtlijn betreffende gegevensbescherming" (WP 12), 24 juli 1998, blz. 24. "Werkdocument over een gemeenschappelijke interpretatie van artikel 26, lid 1, van Richtlijn 95/46/EG van 24 oktober 1995" (WP 114), 25 november 2005, blz. 13.

(29)

     Groep artikel 29, "Werkdocument: Doorgifte van persoonsgegevens naar derde landen: toepassing van de artikelen 25 en 26 van de EU-richtlijn betreffende gegevensbescherming" (WP 12), 24 juli 1998, blz. 24.

(30)

     Groep artikel 29, "Werkdocument over een gemeenschappelijke interpretatie van artikel 26, lid 1, van Richtlijn 95/46/EG van 24 oktober 1995" (WP 114), 25 november 2005, blz. 15. In het kader van een arbeidsverhouding kan de afwijking bijvoorbeeld niet worden toegepast om alle personeelsdossiers door te geven naar het in een derde land gevestigde moederbedrijf vanwege eventuele toekomstige rechtszaken.

(31)

     Haags Verdrag inzake de verkrijging van bewijs in het buitenland in burgerlijke en in handelszaken, op 18 maart 1970 voor ondertekening opengesteld, 23 U.S.T. 2555, 847 U.N.T.S. 241. Dit verdrag heeft bijvoorbeeld betrekking op bewijsgaring voorafgaand aan de behandeling van de zaak ("pre-trial discovery") of op verzoeken van een rechterlijke instantie van een staat aan de bevoegde autoriteit van een andere staat om bewijs dat bestemd is voor gebruik in gerechtelijke procedures in de verzoekende staat.

(32)

     Groep artikel 29, "Werkdocument over een gemeenschappelijke interpretatie van artikel 26, lid 1, van Richtlijn 95/46/EG van 24 oktober 1995" (WP 114), 25 november 2005, blz. 10, met verwijzing naar "Advies 5/2004 betreffende ongewenste communicatie voor marketingdoeleinden in de context van artikel 13 van Richtlijn 2002/58/EG" (WP 90), 27 februari 2004, punt 3.2.

(33)

     Groep artikel 29, "Werkdocument: Doorgifte van persoonsgegevens naar derde landen: toepassing van de artikelen 25 en 26 van de EU-richtlijn betreffende gegevensbescherming" (WP 12), 24 juli 1998, blz. 24.

(34)

     Groep artikel 29, "Advies 8/2001 over de verwerking van persoonsgegevens in het kader van de arbeidsverhouding" (WP 48), 13 september 2001, blz. 3, 23 en 26. Volgens de groep zou zich baseren op toestemming moeten worden beperkt tot gevallen waarin de werknemer een echte vrije keuze heeft en nadien de mogelijkheid heeft om de toestemming zonder nadeel in te trekken. Zie ook Groep artikel 29, "Werkdocument over een gemeenschappelijke interpretatie van artikel 26, lid 1, van Richtlijn 95/46/EG van 24 oktober 1995" (WP 114), 25 november 2005, blz. 11.

(35)

     Groep artikel 29, "Werkdocument over een gemeenschappelijke interpretatie van artikel 26, lid 1, van Richtlijn 95/46/EG van 24 oktober 1995" (WP 114), 25 november 2005, blz. 11. Zie ook "Opinion 6/2002 on transmission of passenger manifest information and other data from airlines to the United States" (Advies 6/2002 over de doorgifte van informatie van de passagierslijst en andere gegevens van luchtvaartmaatschappijen naar de Verenigde Staten) (WP 66), 24 oktober 2002.

(36)

     Groep artikel 29, "Werkdocument: Doorgifte van persoonsgegevens naar derde landen: toepassing van de artikelen 25 en 26 van de EU-richtlijn betreffende gegevensbescherming" (WP 12), 24 juli 1998, blz. 24.

(37)

      Groep artikel 29, "Advies 15/2011 over de definitie van 'toestemming'" (WP 187), 13 juli 2011, blz. 9.

(38)

     Groep artikel 29, "Werkdocument over een gemeenschappelijke interpretatie van artikel 26, lid 1, van Richtlijn 95/46/EG van 24 oktober 1995" (WP 114), 25 november 2005, blz. 11.

(39)

     Zie de verklaring van de Groep artikel 29 van 16 oktober 2015 (aangehaald in voetnoot 8).

(40)

Een aantal multinationale ondernemingen heeft verklaard dat zij gegevens aan de V.S. op basis van alternatieve instrumenten doorgeven. Zie bijvoorbeeld de verklaringen van Microsoft (http://blogs.microsoft.com/on-the-issues/2015/10/06/a-message-to-our-customers-about-eu-us-safe-harbor/) or Salesforce (http://www.salesforce.com/company/privacy/data-processing-addendum-faq.jsp). Andere Amerikaanse bedrijven, zoals Oracle, hebben verklaard dat zij gebruikers van clouddiensten de mogelijkheid bieden hun gegevens in Europa op te slaan, zodat deze niet worden doorgegeven voor opslag elders: http://www.irishtimes.com/business/technology/oracle-keeps-european-data-within-its-eu-based-data-centres-1.2408505?mode=print&ot=example.AjaxPageLayout.ot

(41)

     Zie overweging 60 en artikel 25, lid 1, van Richtlijn 95/46/EG.

(42)

     Zie bijvoorbeeld bepaling 5 van de bijlage bij Besluit 2010/87/EU van de Commissie, en "Working Document setting up a framework for the structure of Binding Corporate Rules" (werkdocument met een kader voor de structuur van bindende bedrijfsvoorschriften) (WP 154), 24 juni 2008, blz. 8, van de Groep artikel 29.

(43)

Zie bv. de richtsnoeren van het Agentschap van de Europese Unie voor netwerk- en informatiebeveiliging (Enisa: https://resilience.enisa.europa.eu/article-13/guideline-for-minimum-security-measures/Article_13a_ENISA_Technical_Guideline_On_Security_Measures_v2_0.pdf.

(44)

     Zie bijvoorbeeld de nota met het standpunt van de Conferentie inzake gegevensbescherming van de Duitse autoriteiten voor gegevensbescherming op federaal en nationaal niveau op 26.10.2015: https://www.datenschutz.hessen.de/ft-europa.htm#entry4521. In de standpuntnota wordt benadrukt dat het arrest Schrems "strikte materiële eisen" bevat, die zowel de Commissie als de gegevensbeschermingsautoriteiten moeten naleven en wordt gesteld dat de Duitse gegevensbeschermingsautoriteiten de rechtmatigheid van gegevensdoorgiften op basis van alternatieve instrumenten (modelcontractbepalingen en bindende bedrijfsvoorschriften) zullen beoordelen en niet langer nieuwe toestemming zullen verlenen voor het gebruik van deze instrumenten. Tegelijkertijd hebben individuele Duitse gegevensbeschermingsautoriteiten duidelijk gewaarschuwd dat de alternatieve instrumenten voor doorgifte juridisch worden onderzocht. Zie bijvoorbeeld de standpuntnota's van de gegevensbeschermingsautoriteiten van Sleeswijk-Holstein: https://www.datenschutzzentrum.de/artikel/981-ULD-Position-Paper-on-the-Judgment-of-the-Court-of-Justice-of-the-European-Union-of-6-October-2015,-C-36214.html en van Rijnland-Palts: https://www.datenschutz.rlp.de/de/aktuell/2015/images/20151026_Folgerungen_des_LfDI_RLP_zum_EuGH-Urteil_Safe_Harbor.pdf.

(45)

     Zie de verklaring van de Groep artikel 29 van 16 oktober 2015 (aangehaald in voetnoot 8).

(46)

     Europese Commissie, voorstel voor een verordening van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (algemene verordening gegevensbescherming). Zie ook Europees Parlement, wetgevingsresolutie van 12 maart 2014 inzake het voorstel voor een verordening van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (algemene verordening gegevensbescherming), COM(2012)0011 – C7-0025/2012 – 2012/0011(COD); Raad, voorstel voor een verordening van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (algemene verordening gegevensbescherming), Voorbereiding van een algemene oriëntatie, 9565/15. Het voorstel bevindt zich momenteel in de laatste fase van het wetgevingsproces.

(47)

     Zie overweging 57 van Richtlijn 95/46/EG.

(48)

     Op dit moment zijn adequaatheidsbesluiten vastgesteld met betrekking tot de volgende landen: Andorra, Argentinië, Canada, de Faeröer, Guernsey, het eiland Man, Israël, Jersey, Nieuw Zeeland, Zwitserland en Uruguay. Zie: http://ec.europa.eu/justice/data-protection/international-transfers/adequacy/index_en.htm.

(49)

     Zie de punten 99 tot en met 104 van het arrest Schrems.

(50)

     Zie voetnoot 4 hierboven.