14 (Schrems) - Hoofdinhoud

Dit is een beperkte versie

U kijkt naar een beperkte versie van dit dossier in de EU Monitor.

dossier	COM(2015)566 - Doorgifte van persoonsgegevens van de EU naar de VS krachtens Richtlijn 95/46/EG naar aanleiding van het arrest van het Hof ...
document	COM(2015)566
datum	6 november 2015

EUROPESE COMMISSIE

Brussel, 6.11.2015

COM(2015) 566 final

MEDEDELING VAN DE COMMISSIE AAN HET EUROPEES PARLEMENT EN DE RAAD

over de doorgifte van persoonsgegevens van de EU naar de Verenigde Staten van Amerika krachtens Richtlijn 95/46/EG naar aanleiding van het arrest van het Hof van Justitie in zaak C-362/14 (Schrems)

MEDEDELING VAN DE COMMISSIE AAN HET EUROPEES PARLEMENT EN DE RAAD

over de doorgifte van persoonsgegevens van de EU naar de Verenigde Staten van Amerika krachtens Richtlijn 95/46/EG naar aanleiding van het arrest van het Hof van Justitie in zaak C-362/14 (Schrems)

1. Inleiding: de ongeldigverklaring van de Veiligehavenbeschikking

In het arrest van het Hof van Justitie van de Europese Unie (hierna 'het Hof van Justitie' of 'het Hof' genoemd) van 6 oktober 2015 in zaak C-362/14 (Schrems) ¹ wordt het belang van het fundamentele recht op de bescherming van persoonsgegevens bevestigd, dat is neergelegd in het Handvest van de grondrechten van de EU. Dit belang bestaat ook wanneer dergelijke gegevens naar landen buiten de EU worden doorgegeven.

De doorgifte van persoonsgegevens vormt een essentieel onderdeel van de trans-Atlantische betrekkingen. De EU en de V.S. zijn elkaars belangrijkste handelspartners en de doorgifte van gegevens vormt in toenemende mate een integraal onderdeel van hun handelsbetrekkingen.

Om deze gegevensstromen te vergemakkelijken en tegelijkertijd een hoog niveau van bescherming van persoonsgegevens te waarborgen, erkende de Commissie met de vaststelling van Beschikking 2000/520/EG van 20 juli 2000 (hierna 'de Veiligehavenbeschikking' genoemd) dat de veiligehavenregeling een passend beschermingsniveau waarborgde. In deze beschikking, die is gebaseerd op artikel 25, lid 6, van Richtlijn 95/46/EG ² , erkende de Commissie dat de door het ministerie van Handel van de Verenigde Staten gepubliceerde veiligehavenbeginselen voor de bescherming van de persoonlijke levenssfeer en de begeleidende veelgestelde vragen (FAQ’s), passende bescherming boden in geval van doorgifte van persoonsgegevens vanuit de EU ³ . Dientengevolge zouden persoonsgegevens vrij worden kunnen worden doorgegeven vanuit de lidstaten van de EU naar bedrijven in de V.S. die de beginselen hebben onderschreven, ondanks het ontbreken van een algemene wet ter bescherming van gegevens in de Verenigde Staten. De werking van de veiligehavenregeling was gebaseerd op vrijwillig aangegane verplichtingen en zelfcertificering van ondernemingen die deze regeling onderschrijven. Het onderschrijven van de veiligehavenbeginselen en de FAQ's is niet verplicht, maar wanneer ze onderschreven worden, zijn zij op grond van het recht van de V.S. bindend en kan de naleving ervan door de Amerikaanse Federal Trade Commission worden afgedwongen ⁴ .

In zijn arrest van 6 oktober 2015 heeft het Hof de Veiligehavenbeschikking ongeldig verklaard. Tegen die achtergrond en bij ontstentenis van een ander besluit waarbij het beschermingsniveau passend wordt verklaard, heeft deze mededeling als doel een overzicht te geven van de alternatieve instrumenten voor trans-Atlantische gegevensoverdrachten uit hoofde van Richtlijn 95/46/EG. Ook wordt in deze mededeling een korte beschrijving gegeven van de gevolgen van het arrest voor andere adequaatheidsbesluiten van de Commissie. In het arrest heeft het Hof gepreciseerd dat de vaststelling van een adequaatheidsbesluit krachtens artikel 25, lid 6, van Richtlijn 95/46/EG, afhangt van de vaststelling door de Commissie dat in het betrokken derde land een niveau van bescherming van persoonsgegevens wordt geboden dat niet noodzakelijkerwijs identiek is aan, maar wel 'in grote lijnen overeenkomt' met het niveau dat binnen de Unie wordt gewaarborgd op grond van de richtlijn, gelezen in samenhang met het Handvest van de grondrechten. Wat specifiek de Veiligehavenbeschikking betreft, verklaarde het Hof dat deze noch over de beperking van de toegang van overheidsinstanties van de V.S. tot op grond van die beschikking doorgegeven gegevens noch over het bestaan van effectieve rechtsbescherming tegen een dergelijke inmenging, toereikende vaststellingen van de Commissie bevatte. Meer bepaald verduidelijkte het Hof dat een regeling op grond waarvan de autoriteiten veralgemeend toegang kunnen krijgen tot de inhoud van elektronische communicatie moet worden beschouwd als een aantasting van de wezenlijke inhoud van het grondrecht op eerbiediging van het privéleven. Bovendien heeft het Hof bevestigd dat zelfs wanneer er sprake is van een besluit in de zin van artikel 25, lid 6, van Richtlijn 95/46/EG waarbij het beschermingsniveau passend wordt verklaard, de gegevensbeschermingsautoriteiten van de lidstaten bevoegd en verplicht blijven om in volledige onafhankelijkheid te onderzoeken of de doorgifte van gegevens aan een derde land in overeenstemming is met de vereisten van Richtlijn 95/46/EG, gelezen in het licht van de artikelen 7, 8 en 47 van het Handvest van de grondrechten. Het Hof heeft echter ook verklaard dat alleen het Hof van Justitie een handeling van de EU, zoals een adequaatheidsbesluit van de Commissie, ongeldig kan verklaren.

Het arrest van het Hof is gebaseerd op de mededeling van de Commissie uit 2013 betreffende de werking van de veiligehavenregeling ("Safe Harbour") uit het oogpunt van EU-burgers en in de EU gevestigde ondernemingen ⁵ , waarin de Commissie een aantal tekortkomingen vaststelde en 13 aanbevelingen deed. Op basis van deze aanbevelingen heeft de Commissie sinds januari 2014 overleg gevoerd met de Amerikaanse autoriteiten met het oog op de invoering van een vernieuwde en versterkte regeling voor trans-Atlantische gegevensuitwisselingen.

Ook na dit arrest blijft de Commissie streven naar een hernieuwd en solide kader voor de trans-Atlantische doorgifte van persoonsgegevens. Zij heeft dan ook onmiddellijk haar besprekingen met de Amerikaanse regering hervat en geïntensiveerd om ervoor te zorgen dat een eventuele nieuwe regeling voor trans-Atlantische doorgifte van persoonsgegevens volledig in overeenstemming is met de door het Hof vastgestelde normen. Een dergelijk kader moet daarom voorzien in voldoende beperkingen, waarborgen en gerechtelijke controlemechanismen om de voortdurende bescherming van de persoonsgegevens van EU-burgers te waarborgen, ook wat betreft de eventuele toegang van overheidsinstanties ten behoeve van rechtshandhaving of de nationale veiligheid. Ondertussen heeft de sector zich bezorgd getoond over de mogelijke voortzetting van de doorgifte van gegevens ⁶ . Het moet daarom duidelijk worden gemaakt onder welke voorwaarden een dergelijke doorgifte kan blijven plaatsvinden. Dit heeft de Groep artikel 29 – een onafhankelijk adviesorgaan, dat bestaat uit vertegenwoordigers van alle gegevensbeschermingsautoriteiten van de lidstaten, en de Europese Toezichthouder voor gegevensbescherming – ertoe gebracht om op 16 oktober een verklaring ⁷ naar buiten te brengen over de eerste conclusies die uit het arrest moeten worden getrokken. Deze verklaring bevatte onder meer de volgende richtsnoeren voor de doorgifte van gegevens:

de doorgifte van gegevens kan niet langer worden gebaseerd op de ongeldig verklaarde Veiligehavenbeschikking van de Commissie;

in de tussentijd kunnen modelcontractbepalingen en bindende bedrijfsvoorschriften als basis dienen voor de doorgifte van gegevens, hoewel de Groep artikel 29 ook heeft verklaard dat zij de gevolgen van het arrest voor deze alternatieve instrumenten zal blijven onderzoeken.

In de verklaring werden de lidstaten en EU-instellingen voorts opgeroepen in overleg te treden met de autoriteiten in de V.S. voor het vinden van juridische en technische oplossingen voor de doorgifte van gegevens; volgens de Groep artikel 29 kunnen de onderhandelingen voor een nieuwe veilige haven deel uitmaken van deze oplossing.

De Groep artikel 29 kondigde aan dat indien eind januari 2016 met de autoriteiten van de V.S. geen passende oplossing is gevonden, de gegevensbeschermingsautoriteiten, afhankelijk van de beoordeling van alternatieve instrumenten voor de doorgifte van gegevens, alle nodige en passende maatregelen zullen nemen, zoals gecoördineerde handhavingsmaatregelen.

Ten slotte heeft de Groep artikel 29 benadrukt dat het een gedeelde verantwoordelijkheid is van de gegevensbeschermingsautoriteiten, de EU-instellingen, de lidstaten en het bedrijfsleven om duurzame oplossingen te vinden ter uitvoering van het arrest van het Hof. In het bijzonder heeft de Groep er bij bedrijven op aangedrongen om juridische en technische oplossingen te overwegen die de eventuele risico’s beperken die zij bij de doorgifte van gegevens lopen.

Deze mededeling doet geen afbreuk aan de bevoegdheden en de plicht van de gegevensbeschermingsautoriteiten om de rechtmatigheid van dergelijke doorgiften in volledige onafhankelijkheid te onderzoeken ⁸ . Zij bevat geen bindende voorschriften en eerbiedigt volledig de bevoegdheden van de nationale rechter om het toepasselijke recht uit te leggen en om, waar nodig, het Hof van Justitie een prejudiciële vraag te stellen. Ook kan deze mededeling geen basis vormen voor een eventuele individuele of collectieve aanspraak of vordering in rechte.

2. Alternatieve gronden voor de doorgifte van persoonsgegevens naar de V.S.

De in Richtlijn 95/46/EG neergelegde regels voor de internationale doorgifte van gegevens zijn gebaseerd op een duidelijk onderscheid tussen, enerzijds, de doorgifte van gegevens naar derde landen die een passend beschermingsniveau waarborgen (artikel 25 van de richtlijn) en, anderzijds, de doorgifte naar derde landen die geen passend beschermingsniveau waarborgen (artikel 26 van de richtlijn).

Het arrest Schrems heeft betrekking op de voorwaarden waaronder de Commissie, overeenkomstig artikel 25, lid 6, van Richtlijn 95/46/EG, kan vaststellen dat een derde land een passend beschermingsniveau biedt.

Wanneer het derde land waarnaar de persoonsgegevens uit de EU moeten worden doorgegeven, dit passende niveau van bescherming niet blijkt te bieden, voorziet artikel 26 van Richtlijn 95/46/EG in een aantal alternatieve gronden waarop de doorgifte niettemin kan plaatsvinden. Met name mogen doorgiften worden uitgevoerd wanneer de entiteit die verantwoordelijk is voor de vaststelling van het doel en de middelen van de verwerking van persoonsgegevens (de 'voor de verwerking verantwoordelijke'):

voldoende waarborgen biedt in de zin van artikel 26, lid 2, van Richtlijn 95/46/EG, ten aanzien van de bescherming van de persoonlijke levenssfeer, de fundamentele rechten en vrijheden van personen, alsmede ten aanzien van de uitoefening van deze rechten. Deze waarborgen kunnen met name worden geboden door middel van contractuele bepalingen die de exporteur en de importeur van de gegevens binden (zie de punten 2.1 en 2.2 hieronder). Dit kunnen door de Commissie vastgestelde modelcontractbepalingen zijn en, waar het om doorgiften tussen de verschillende entiteiten van een multinationaal bedrijfsconcern gaat, door de gegevensbeschermingsautoriteiten toegelaten bindende bedrijfsvoorschriften; of

zich baseert op een van de afwijkingen die uitdrukkelijk zijn opgenomen in de punten a) tot en met f), van artikel 26, lid 1, van Richtlijn 95/46/EG (zie punt 2.3 hieronder).

In vergelijking met adequaatheidsbesluiten die het resultaat zijn van de algemene beoordeling van het systeem van een bepaald derde land en die in beginsel betrekking kunnen hebben op alle doorgiften naar dat systeem, hebben deze alternatieve gronden voor doorgifte zowel een beperktere werkingssfeer (aangezien zij uitsluitend van toepassing zijn op bepaalde gegevensstromen) als een breder bereik (aangezien zij niet noodzakelijkerwijs beperkt zijn tot een specifiek land). Zij zijn van toepassing op gegevensstromen die op gang worden gebracht door bepaalde entiteiten die hebben besloten gebruik te maken van een van de mogelijkheden die artikel 26 van Richtlijn 95/46/EG biedt. Bovendien dragen exporteurs en importeurs van gegevens de verantwoordelijkheid ervoor te zorgen dat de doorgifte in overeenstemming met de eisen van de richtlijn is wanneer zij hun doorgifte op dergelijke gronden baseren, aangezien zij zich niet kunnen beroepen op de vaststelling in een besluit van de Commissie dat het derde land een passend beschermingsniveau waarborgt.

2.1. Contractuele oplossingen

Zoals benadrukt door de Groep artikel 29 moeten contractuele bepalingen, willen zij voldoende waarborgen bieden in de zin van artikel 26, lid 2, van Richtlijn 95/46/EG 'in afdoende mate een tegenwicht bieden voor het ontbreken van een algemeen passend beschermingsniveau door in elk concreet geval bescherming te bieden op de belangrijkste punten waaraan in dat geval iets schort' ⁹ . Met het oog op de bevordering van het gebruik van dergelijke instrumenten bij internationale doorgiften heeft de Commissie, in overeenstemming met artikel 26, lid 4, van de richtlijn, vier reeksen modelcontractbepalingen goedgekeurd die geacht worden te voldoen aan de eisen van artikel 26, lid 2, van de richtlijn. Twee reeksen modelbepalingen hebben betrekking op doorgiften tussen voor de verwerking verantwoordelijken ¹⁰ , terwijl het bij de andere twee reeksen modelbepalingen om doorgiften gaat tussen een voor de verwerking verantwoordelijke en een verwerker die zijn instructies uitvoert ¹¹ . Elk van deze reeksen modelbepalingen bevat de betreffende verplichtingen van de exporteurs en importeurs van gegevens. Daarbij gaat het onder meer om verplichtingen met betrekking tot, beveiligingsmaatregelen, informatie aan de betrokkene in geval van doorgifte van gevoelige gegevens, mededeling aan de gegevensexporteur van verzoeken om toegang van de rechtshandhavingsinstanties van derde landen of van accidentele of ongeoorloofde toegang, en de rechten van de betrokkenen op toegang, rectificatie en uitwissing van hun persoonsgegevens, alsmede om regels inzake compensatie voor de betrokkene in geval van schade als gevolg van een inbreuk door een van beide partijen op de modelcontractbepalingen. De modelbepalingen schrijven ook voor dat betrokkenen uit de EU de mogelijkheid hebben om zich bij een gegevensbeschermingsautoriteit en/of een gerecht van de lidstaat waar de gegevensexporteur is gevestigd, te beroepen op de rechten die zij aan de contractuele bepalingen als derde-begunstigde ontlenen ¹² . Deze rechten en verplichtingen moeten in contractuele bepalingen worden opgenomen omdat er, in tegenstelling tot de situatie waarin de Commissie heeft vastgesteld dat een passend beschermingsniveau wordt gewaarborgd, niet van kan worden uitgegaan dat de gegevensimporteur in het derde land onderworpen is aan een passend systeem van toezicht en handhaving van de voorschriften inzake gegevensbescherming.

Aangezien besluiten van de Commissie in de lidstaten in al hun onderdelen verbindend zijn, betekent de opname van modelcontractbepalingen in een overeenkomst dat de nationale autoriteiten in beginsel verplicht zijn om deze bepalingen te accepteren. Bijgevolg mogen zij de doorgifte van gegevens aan een derde land niet louter op grond van het feit dat deze modelcontractbepalingen onvoldoende waarborgen bieden, weigeren. Dit betekent niet dat deze autoriteiten niet bevoegd zijn om deze bepalingen te onderzoeken in het licht van de eisen die het Hof in het arrest Schrems heeft geformuleerd. In geval van twijfel, moeten zij een zaak voorleggen aan een nationale rechter, die op zijn beurt het Hof van Justitie kan verzoeken om een prejudiciële beslissing. Hoewel in de meeste lidstaten de wetgeving ter omzetting van Richtlijn 95/45/EG niet voorschrijft dat voor doorgifte eerst een nationale vergunning moet worden gegeven, handhaven sommige lidstaten een systeem van kennisgeving en/of voorafgaande toestemming voor het gebruik van modelcontractbepalingen. Wanneer zij dat doen, moeten de nationale gegevensbeschermingsautoriteiten de bepalingen in de betreffende overeenkomst vergelijken met de modelcontractbepalingen en nagaan of er geen wijzigingen zijn aangebracht ¹³ . Indien de bepalingen ongewijzigd zijn opgenomen ¹⁴ , wordt de toestemming in beginsel ¹⁵ automatisch verleend ¹⁶ . Zoals hieronder verder wordt uitgelegd (zie punt 2.4), betekent dit niet dat de gegevensexporteur niet eventueel aanvullende maatregelen moet nemen, met name naar aanleiding van informatie van de gegevensimporteur over wijzigingen in het rechtssysteem van het derde land die deze laatste kunnen beletten zijn verplichtingen uit hoofde van de overeenkomst na te komen. Bij de toepassing van de modelcontractbepalingen vallen zowel de exporteurs als – omdat zij zichzelf aan de overeenkomst hebben onderworpen – de importeurs van gegevens onder het toezicht van de gegevensbeschermingsautoriteiten.

De vaststelling van modelcontractbepalingen betekent niet dat bedrijven geen beroep kunnen doen op andere instrumenten, zoals ad hoc contractuele regelingen, om aan te tonen dat hun doorgiften plaatsvinden met voldoende waarborgen in de zin van artikel 26, lid 2, van Richtlijn 95/46/EG. Overeenkomstig artikel 26, lid 2, van de richtlijn moeten deze per geval door de nationale autoriteiten worden goedgekeurd. Sommige gegevensbeschermingsautoriteiten hebben op dit gebied richtsnoeren ontwikkeld, onder meer in de vorm van standaardovereenkomsten of gedetailleerde regels die bij het opstellen van de bepalingen inzake de doorgifte van gegevens in acht moeten worden genomen. De meeste overeenkomsten waarvan ondernemingen zich thans voor hun internationale doorgifte van gegevens bedienen, zijn echter gebaseerd op door de Commissie goedgekeurde modelcontractbepalingen ¹⁷ .

2.2. Overdrachten binnen een groep ondernemingen

Een multinational kan bindende bedrijfsvoorschriften vaststellen om persoonsgegevens in overeenstemming met de vereisten van artikel 26, lid 2, van Richtlijn 95/46/EG, vanuit de EU door te geven naar buiten de EU gevestigde dochterondernemingen. Een dergelijke gedragscode biedt alleen een basis voor doorgiften binnen de groep ondernemingen.

Het gebruik van bindende bedrijfsvoorschriften maakt het dus mogelijk om persoonsgegevens wereldwijd vrij te verplaatsen tussen de verschillende entiteiten van een groep van ondernemingen – zonder de noodzaak contractuele regelingen te treffen tussen iedere vennootschapsrechtelijke entiteit – en tegelijkertijd ervoor te zorgen dat overal binnen de groep hetzelfde hoge niveau van bescherming van persoonsgegevens in acht wordt genomen door middel van een enkele reeks bindende en afdwingbare regels. Het hebben van een enkele reeks regels schept een eenvoudiger en doeltreffender systeem, dat personeel gemakkelijker kan uitvoeren en voor betrokkenen gemakkelijker te begrijpen is. Om bedrijven te helpen bij het opstellen van bindende bedrijfsvoorschriften heeft de Groep artikel 29 nauwkeurig de materiële vereisten (bijvoorbeeld beperking van het doel, beveiliging van de verwerking, transparante informatie aan de betrokkenen, beperking van verdere doorgifte buiten de groep, individuele rechten van toegang, rectificatie en verzet) en de procedurele vereisten (bijvoorbeeld controles, monitoring van de naleving, behandeling van klachten, samenwerking met gegevensbeschermingsautoriteiten, aansprakelijkheid en rechtsmacht) voor bindende bedrijfsvoorschriften op basis van de EU-normen voor gegevensbescherming omschreven ¹⁸ . Deze regels zijn niet alleen bindend voor de leden van de groep ondernemingen, maar de naleving ervan kan ook, net als bij modelcontractbepalingen, worden afgedwongen in de EU: natuurlijke personen wier gegevens worden verwerkt door een entiteit van de groep hebben als derde-begunstigden het recht om de naleving van bindende bedrijfsvoorschriften af te dwingen door bij een gegevensbeschermingsautoriteit een klacht in te dienen en bij een gerecht in een lidstaat een vordering in te stellen. Bovendien moet in de bindende bedrijfsvoorschriften een entiteit binnen de EU worden aangewezen die de aansprakelijkheid op zich neemt voor inbreuken op de regels door elk lid van de groep buiten de EU dat aan deze regels is gebonden.

Krachtens de wetgeving ter omzetting van de richtlijn van de meeste lidstaten moet de doorgifte van gegevens op basis van bindende bedrijfsvoorschriften worden goedgekeurd door de gegevensautoriteiten in iedere lidstaat waarvandaan de multinationale onderneming gegevens wil doorgeven. Om het proces te vergemakkelijken en te bespoedigen, alsook om een en ander voor de aanvragers eenvoudiger te maken, heeft de Groep artikel 29 een standaardaanvraagformulier ¹⁹ en een speciale procedure voor samenwerking tussen de betrokken gegevensbeschermingsautoriteiten ²⁰ opgesteld. Deze procedure omvat de aanwijzing van een 'leidende autoriteit' die verantwoordelijk is voor de afwikkeling van de goedkeuringsprocedure.

2.3. Afwijkingen

Bij ontstentenis van een besluit waarbij het beschermingsniveau passend wordt verklaard overeenkomstig artikel 25, lid 6, van Richtlijn 95/46/EG en ongeacht of er modelcontractbepalingen en/of bindende bedrijfsvoorschriften worden toegepast, kunnen persoonsgegevens toch nog worden doorgegeven aan in een derde land gevestigde entiteiten voor zover een van de afwijkingen als vermeld in artikel 26, lid 1 van Richtlijn 95/46/EG van toepassing is ²¹ :

de betrokkene heeft zijn ondubbelzinnige toestemming gegeven voor de voorgestelde doorgifte;

de doorgifte is noodzakelijk voor de uitvoering van een overeenkomst tussen de betrokkene en de voor verwerking verantwoordelijke of voor de uitvoering van op verzoek van de betrokkene genomen precontractuele maatregelen;

de doorgifte is noodzakelijk voor de sluiting of de uitvoering van een in het belang van de betrokkene tussen de voor de verwerking verantwoordelijke en een derde gesloten of te sluiten overeenkomst;

de doorgifte is noodzakelijk of wettelijk verplicht vanwege een zwaarwegend algemeen belang ²² of voor de vaststelling, de uitoefening of de verdediging van een recht in rechte;

de doorgifte is noodzakelijk ter vrijwaring van het vitale belang van de betrokkene,

de doorgifte geschiedt vanuit een openbaar register dat krachtens wettelijke of bestuursrechtelijke bepalingen bedoeld is om het publiek voor te lichten en dat door een ieder dan wel door iedere persoon die zich op een gerechtvaardigd belang kan beroepen, kan worden geraadpleegd, voor zover in het betrokken geval is voldaan aan de wettelijke voorwaarden voor raadpleging.

Op deze gronden is een afwijking mogelijk van het algemene verbod op de doorgifte van persoonsgegevens naar entiteiten die zijn gevestigd in een derde land dat geen passend beschermingsniveau biedt. De gegevensexporteur hoeft er niet voor te zorgen dat de gegevensimporteur passende bescherming biedt, en hij zal gewoonlijk geen voorafgaande toestemming voor de doorgifte hoeven te verkrijgen van de relevante nationale autoriteiten. Niettemin is de Groep artikel 29 van mening dat deze afwijkingen vanwege hun uitzonderlijke karakter strikt moeten worden uitgelegd ²³ .

De Groep artikel 29 heeft verschillende niet-bindende richtsnoeren gepubliceerd betreffende de toepassing van artikel 26, lid 1, van Richtlijn 95/46/EG ²⁴ . Deze omvatten een aantal 'beste praktijken' die zijn geformuleerd om de handhavingsmaatregelen van de gegevenbeschermingsautoriteiten te structureren ²⁵ . In het bijzonder beveelt de Groep aan dat doorgiften van persoonsgegevens die als veel voorkomende, massale of structurele doorgiften kunnen worden beschouwd, met voldoende waarborgen en zo mogelijk binnen een specifiek juridisch kader, zoals modelcontractbepalingen of bindende bedrijfsvoorschriften, worden verricht ²⁶ .

In de onderhavige mededeling zal de Commissie alleen op de afwijkingen ingaan die na de ongeldigverklaring van de Veiligehavenbeschikking bijzonder relevant lijken voor doorgiften in een commercieel kader.

2.3.1. Doorgiften die noodzakelijk zijn voor de uitvoering van een overeenkomst of voor de uitvoering van op verzoek van de betrokkene genomen precontractuele maatregelen (artikel 26, lid 1, onder b))

Deze afwijking zou bijvoorbeeld van toepassing kunnen zijn in het kader van een hotelreservering of wanneer informatie inzake betalingen wordt doorgegeven naar een derde land ten behoeve van een bankoverschrijving. De Groep artikel 29 is echter van mening dat er in elk van deze gevallen sprake moet zijn van een 'nauw en wezenlijk verband' respectievelijk een 'rechtstreeks en objectief verband' tussen de betrokkene en het doel van de overeenkomst of de precontractuele maatregelen (noodzakelijkheidstoets) ²⁷ . Ook kan de afwijking niet worden toegepast op de doorgifte van aanvullende informatie die niet noodzakelijk is voor de doorgifte, of op de doorgifte voor een ander doel dan de uitvoering van de overeenkomst (bijvoorbeeld follow-up marketing) ²⁸ . Wat de precontractuele maatregelen betreft, heeft de Groep artikel 29 zich op het standpunt gesteld dat deze alleen betrekking hebben op contacten die door toedoen van de betrokkene zijn ontstaan (zoals een verzoek om informatie over een bepaalde dienst) en niet op die welke voortvloeien uit marketingdoeleinden van de voor de verwerking verantwoordelijke ²⁹ .

2.3.2. De doorgifte is noodzakelijk voor de sluiting of de uitvoering van een in het belang van de betrokkene tussen de voor de verwerking verantwoordelijke en een derde gesloten of te sluiten overeenkomst (artikel 26, lid 1, onder c))

Deze afwijking zou bijvoorbeeld van toepassing kunnen zijn wanneer de betrokkene de begunstigde van een internationale bankoverschrijving is, of wanneer een reisbureau de gegevens inzake een geboekte vlucht naar een luchtvaartmaatschappij stuurt. De noodzakelijkheidstoets moet ook hier worden toegepast en vergt in dit geval een nauw en wezenlijk verband tussen de belangen van de betrokkene en het doel van de overeenkomst.

2.3.3. De doorgifte is noodzakelijk of wettelijk verplicht voor de vaststelling, de uitoefening of de verdediging van een recht in rechte (artikel 26, lid 1, onder d))

Deze afwijking kan bijvoorbeeld van toepassing zijn wanneer een bedrijf gegevens moet doorgeven om zich te verdedigen tegen een rechtsvordering, of om zelf een dergelijke vordering in rechte of ten overstaan van een overheidsinstantie te doen gelden. Net als bij de twee voorgaande afwijkingen moet hier de noodzakelijkheidstoets plaatsvinden ³⁰ : er moet een nauw verband zijn met het geschil of de gerechtelijke procedure (waarbij het ook om een administratieve procedure kan gaan).

Volgens de Groep artikel 29 kan de afwijking alleen kan worden toegepast indien de eventuele op dit soort doorgiften toepasselijke internationale regels inzake samenwerking in strafrechtelijke en burgerlijke procedures in acht zijn genomen, met name die welke voortvloeien uit het Verdrag van Den Haag van 18 maart 1970 ("bewijsverdrag") ³¹ .

2.3.4. Ondubbelzinnige voorafgaande toestemming door de betrokkene voor de beoogde doorgifte (artikel 26, lid 1, onder a))

Hoewel toestemming kan worden gebruikt als basis voor de doorgifte van gegevens, moet met een aantal overwegingen rekening worden gehouden. Aangezien toestemming moet worden verleend voor de beoogde doorgifte, vergt dit voorafgaande toestemming voor de doorgifte in kwestie (of een bepaalde categorie doorgiften). Wanneer de toestemming via internetsites wordt gevraagd, beveelt de Groep artikel 29 het gebruik aan van aan te vinken vakjes (in plaats van reeds aangevinkte vakjes) ³² . Aangezien de toestemming ondubbelzinnig dient te zijn, zou bij iedere twijfel of de toestemming daadwerkelijk is gegeven, de afwijking niet van toepassing zijn. Dit komt er meestal op neer dat deze afwijking niet geldt voor vele situaties waarin toestemming op zijn hoogst geacht wordt impliciet te zijn gegeven (bijvoorbeeld wanneer iemand van een doorgifte op de hoogte is gebracht en geen bezwaar heeft gemaakt). Omgekeerd zou de afwijking nuttig kunnen zijn in gevallen waarin degene die de gegevens doorgeeft, rechtstreeks
contact heeft met de betrokkene en waarin de vereiste informatie gemakkelijk kan worden verstrekt en ondubbelzinnige toestemming kan worden verkregen ³³ .

Bovendien moet het volgens artikel 2, onder h), van Richtlijn 95/46/EG bij toestemming om een vrije, specifieke en op informatie berustende wilsuiting gaan. Volgens de Groep artikel 29 houdt de eerste verplichting in dat iedere 'druk' de toestemming ongeldig kan maken. Dit is met name relevant in het kader van de arbeidsverhouding, waar de verhouding van ondergeschiktheid en de inherente afhankelijkheid van werknemers in het algemeen vragen oproepen in geval van een beroep op toestemming ³⁴ . Meer in het algemeen kan toestemming van een betrokkene die niet de gelegenheid heeft gehad een echte keuze te maken of die voor een voldongen feit is gesteld, niet als geldig worden beschouwd ³⁵ .

Het is van groot belang is dat de betrokkenen van tevoren naar behoren wordt meegedeeld dat de gegevens kunnen worden doorgegeven naar landen buiten de EU, naar welke derden landen dat is en onder welke voorwaarden die doorgifte mag plaatsvinden (doel, identiteit en gegevens van de ontvanger (s), enz.). In deze informatie moet worden gewezen op het specifieke risico dat de gegevens van de betrokkene worden doorgegeven naar een derde land dat onvoldoende bescherming biedt ³⁶ . De intrekking door de betrokkene van zijn toestemming heeft voorts, zoals opgemerkt door de Groep artikel 29, geen terugwerkende kracht, maar moet in beginsel voorkómen dat wordt doorgegaan met het verwerken van de persoonsgegevens ³⁷ . In het licht van deze beperkingen is de Groep artikel 29 van mening dat toestemming waarschijnlijk geen passende langetermijnbasis biedt voor voor de verwerking verantwoordelijken in geval van structurele doorgiften ³⁸ .

2.4. Samenvatting van alternatieve gronden voor de doorgifte van persoonsgegevens

Uit het bovenstaande volgt dat ondernemingen gebruik kunnen maken van een aantal verschillende alternatieve instrumenten voor de internationale doorgifte van gegevens naar derde landen die niet worden geacht een passend beschermingsniveau te bieden in de zin van artikel 25, lid 2, van Richtlijn 95/46/EG. Naar aanleiding van het arrest Schrems heeft de Groep artikel 29 met name duidelijk gemaakt dat zolang haar evaluatie nog voortduurt en onverminderd de bevoegdheden van de gegevensautoriteiten om individuele gevallen te onderzoeken, voor de doorgifte van gegevens naar de V.S. gebruik kan worden gemaakt van modelcontractbepalingen en bindende bedrijfsvoorschriften ³⁹ . De sector heeft zijnerzijds op verschillende manieren gereageerd op het arrest, onder meer door de doorgifte van gegevens op deze alternatieve instrumenten te baseren ⁴⁰ .

Er moet echter op twee belangrijke voorwaarden worden gewezen. Om te beginnen zij eraan herinnerd dat, ongeacht de specifieke rechtsgrondslag die word ingeroepen, gegevens alleen rechtmatig naar een derde land kunnen worden doorgegeven wanneer de gegevens in eerste instantie door de in de EU gevestigde voor de verwerking verantwoordelijke zijn verzameld en verwerkt overeenkomstig de toepasselijke nationale bepalingen ter omzetting van Richtlijn 95/46/EG. In de richtlijn wordt uitdrukkelijk bepaald dat bij de verwerking die plaatsvindt vóór de doorgifte, net als bij de doorgifte zelf, de bepalingen die door de lidstaten ter uitvoering van de andere bepalingen van de richtlijn zijn vastgesteld, volledig in acht moeten worden genomen ⁴¹ . In de tweede plaats is het, bij gebreke van een vaststelling door de Commissie dat een derde land een passend beschermingsniveau waarborgt, de verantwoordelijkheid van de voor de verwerking verantwoordelijken om ervoor te zorgen dat hun doorgifte van gegevens plaatsvindt met voldoende waarborgen in de zin van artikel 26, lid 2, van de richtlijn. Deze beoordeling moet worden uitgevoerd met inachtneming van alle omstandigheden die op de betrokken doorgifte van invloed zijn. Met name bepalen zowel de modelcontractbepalingen als de bindende bedrijfsvoorschriften dat indien de gegevensimporteur redenen heeft om aan te nemen dat de in het ontvangende land toepasselijke wetgeving hem de nakoming van zijn verplichtingen kan beletten, hij de gegevensexporteur in de EU daarvan onverwijld in kennis stelt. In een dergelijke situatie is het de taak van de exporteur om passende maatregelen te nemen om voor de bescherming van de persoonsgegevens te zorgen ⁴² . Deze kunnen variëren van technische, organisatorische, juridische of aan het bedrijfsmodel gerelateerde maatregelen ⁴³ tot de mogelijkheid om de doorgifte van gegevens op te schorten of de overeenkomst op te zeggen. Rekening houdend met alle omstandigheden van de doorgifte, moeten gegevensexporteurs dus eventueel zorgen voor extra waarborgen ter aanvulling van die waarin de toepasselijke rechtsgrondslag voor doorgifte voorziet, teneinde te voldoen aan de eisen van artikel 26, lid 2, van de richtlijn.

De naleving van dergelijke verplichtingen zal uiteindelijk van geval tot geval moeten worden beoordeeld door de gegevensbeschermingsautoriteiten als onderdeel van de uitoefening van hun functies op het gebied van toezicht en handhaving, onder meer in het kader van de goedkeuring van contractuele regelingen en bindende bedrijfsvoorschriften of op basis van individuele klachten. Terwijl sommige gegevensbeschermingsautoriteiten twijfels hebben geuit over de mogelijkheid om voor trans-Atlantische gegevensstromen gebruik te maken van instrumenten voor doorgifte zoals modelcontractbepalingen en bindende bedrijfsvoorschriften ⁴⁴ , heeft de Groep artikel 29 in haar verklaring naar aanleiding van het arrest Schrems aangekondigd dat zij haar analyse van de gevolgen van het arrest voor andere instrumenten voor doorgifte zal voortzetten ⁴⁵ . Dit doet geen afbreuk aan de bevoegdheden van de gegevensbeschermingsautoriteiten om specifieke gevallen te onderzoeken en om gebruik te maken van hun bevoegdheden om personen te beschermen.

3. De gevolgen van het arrest Schrems voor adequaatheidsbesluiten

In zijn arrest doet het Hof van Justitie geen afbreuk aan de bevoegdheden van de Commissie krachtens artikel 25, lid 6, van Richtlijn 95/46/EG om te constateren dat een derde land waarborgen voor een passend beschermingsniveau biedt, mits de door het Hof gestelde eisen in acht worden genomen. In overeenstemming met deze vereisten verduidelijkt en detailleert het voorstel uit 2012 voor een algemene verordening gegevensbescherming ⁴⁶ ter vervanging van Richtlijn 95/46/EG de voorwaarden waaronder besluiten waarbij een beschermingsniveau passend wordt verklaard, kunnen worden vastgesteld. In het arrest Schrems heeft het Hof tevens gepreciseerd dat wanneer de Commissie een besluit vaststelt waarbij een beschermingsniveau passend wordt verklaard, dat besluit bindend is voor alle lidstaten en hun organen, met inbegrip van de gegevensbeschermingsautoriteiten, totdat het wordt ingetrokken of nietig of ongeldig wordt verklaard door het Hof van Justitie, dat op dit gebied exclusief bevoegd is. De gegevensbeschermingsautoriteiten blijven bevoegd om verzoeken te onderzoeken in de zin van artikel 28, lid 4, van Richtlijn 95/46/EG inzake de verenigbaarheid van de doorgifte van gegevens met de eisen van de richtlijn (zoals uitgelegd door het Hof van Justitie), maar kunnen geen definitieve conclusie trekken. Veeleer moeten de lidstaten voorzien in de mogelijkheid om een zaak aanhangig te maken bij een nationale rechter, die op zijn beurt het Hof van Justitie om een prejudiciële beslissing kan verzoeken overeenkomstig artikel 267 van het Verdrag betreffende de werking van de Europese Unie (VWEU).

Bovendien heeft het Hof van Justitie expliciet bevestigd dat het gebruik van een systeem van zelfcertificering door een derde land (zoals in het geval van de veiligehavenbeginselen) een besluit inzake de gepastheid op grond van artikel 25, lid 6, van richtlijn 95/46/EG niet uitsluit, mits er doeltreffende detectie- en controlemechanismen zijn waarmee in de praktijk eventuele schendingen van de regels inzake de bescherming van persoonsgegevens, kunnen worden vastgesteld en bestraft.

Aangezien de Veiligehavenbeschikking in dit opzicht onvoldoende vaststellingen bevatte, verklaarde het Hof van Justitie de beschikking nietig. Het is dus duidelijk dat de doorgifte van gegevens tussen de EU en de Verenigde Staten niet langer enkel op die basis kan worden verricht, dat wil zeggen uitsluitend door een beroep op de onderschrijving van de veiligehavenbeginselen. Aangezien de doorgifte van gegevens naar een derde land in beginsel verboden is indien daar geen passend beschermingsniveau wordt geboden (of in ieder geval de Commissie niet in een besluit overeenkomstig artikel 25, lid 6, van Richtlijn 95/46/EC heeft vastgesteld dat er een passend beschermingsniveau wordt geboden) ⁴⁷ , zal deze alleen rechtmatig zijn wanneer de gegevensexporteur een beroep kan doen op een van twee hierboven onder punt 2 beschreven alternatieve instrumenten. Bij ontstentenis van een besluit waarbij een beschermingsniveau passend wordt verklaard, is het de verantwoordelijkheid van de gegevensexporteur – onder toezicht van de gegevensbeschermingsautoriteiten – om ervoor te zorgen dat met betrekking tot de betreffende gegevensoverdracht is voldaan aan de voorwaarden voor een beroep op (een van) deze instrumenten.

De werkingssfeer van het arrest is beperkt tot de Veiligehavenbeschikking van de Commissie. Elk van de andere adequaatheidsbesluiten ⁴⁸ bevat echter een beperking van de bevoegdheden van de gegevensbeschermingsautoriteiten die identiek is aan artikel 3 van de Veiligehavenbeschikking en die het Hof ongeldig achtte ⁴⁹ . De Commissie zal nu de noodzakelijke consequenties trekken uit het arrest door op korte termijn een besluit op te stellen, dat volgens de toepasselijke comitologieprocedure zal worden vastgesteld en dat die bepaling in alle bestaande adequaatheidsbesluiten zal vervangen. Ook zal de Commissie overgaan tot een regelmatige evaluatie van bestaande en toekomstige adequaatheidsbesluiten, onder meer door een periodieke gezamenlijke evaluatie van hun werking, in samenwerking met de bevoegde autoriteiten van het betrokken derde land.

4. Conclusie

Zoals bevestigd door de Groep artikel 29, kunnen ondernemingen nog steeds gebruik maken van alternatieve instrumenten voor het rechtmatig doorgeven van gegevens naar derde landen als de Verenigde Staten. De Commissie is echter van mening dat een nieuw en solide kader voor de doorgifte van persoonsgegevens naar de Verenigde Staten een belangrijke prioriteit blijft. Met een dergelijk kader wordt er zo goed mogelijk voor gezorgd dat de persoonsgegevens van Europese burgers die naar de Verenigde Staten worden doorgegeven, effectief beschermd blijven. Het biedt ook de beste oplossing voor trans-Atlantische handel, aangezien het een eenvoudiger, minder omslachtig en daardoor goedkoper mechanisme voor doorgifte biedt, met name voor kmo's.

Reeds in 2013 is de Commissie begonnen met onderhandelingen met de regering van de Verenigde Staten over een nieuwe regeling voor trans-Atlantische doorgifte van gegevens op basis van haar 13 aanbevelingen ⁵⁰ . De wederzijdse standpunten zijn aanzienlijk nader tot elkaar gebracht, bijvoorbeeld wat betreft een beter toezicht en een betere handhaving van de veiligehavenbeginselen door respectievelijk het ministerie van Handel van de V.S. en de Amerikaanse Federal Trade Commission, meer transparantie voor consumenten met betrekking tot hun rechten inzake gegevensbescherming, eenvoudigere en goedkopere verhaalsmogelijkheden in geval van klachten, en duidelijkere regelgeving inzake verdere doorgiften van bedrijven die de Veiligehavenbeginselen hebben onderschreven naar bedrijven die dat niet hebben gedaan (b.v. ten behoeve van verwerking of subverwerking). Nu de Veiligehavenbeschikking ongeldig is verklaard, heeft de Commissie de besprekingen met de Amerikaanse regering geïntensiveerd om ervoor te zorgen dat de door het Hof geformuleerde wettelijke vereisten worden nageleefd. De Commissie stelt zich ten doel deze besprekingen binnen drie maanden af te ronden.

Totdat het vernieuwde trans-Atlantische kader is ingevoerd, moeten bedrijven een beroep doen op de beschikbare alternatieve instrumenten voor doorgifte. Deze optie brengt echter voor de exporteurs van gegevens verantwoordelijkheden met zich en de gegevensbeschermingsautoriteiten moeten op de inachtneming daarvan toezien.

Wanneer de Commissie heeft vastgesteld dat een derde land een passend beschermingsniveau waarborgt, dan kunnen gegevensexporteurs zich voor de doorgifte van gegevens vanuit de EU daarop beroepen. Wanneer een dergelijke vaststelling ontbreekt, zijn de exporteurs zelf verantwoordelijk voor de controle of de persoonsgegevens doeltreffend worden beschermd in geval van het gebruik van alternatieve instrumenten. Dit kan betekenen dat zij eventueel passende maatregelen moeten nemen.

De gegevensbeschermingsautoriteiten vervullen in dit opzicht een centrale rol. Als de belangrijkste handhavers van de grondrechten van de betrokkenen zijn de gegevensbeschermingsautoriteiten in volledige onafhankelijkheid, zowel verantwoordelijk voor als bevoegd tot het toezicht op de doorgifte van gegevens vanuit de EU naar derde landen. De Commissie verzoekt de verantwoordelijken voor de verwerking met de gegevensbeschermingsautoriteiten samen te werken, en hen zo te helpen hun rol van toezichthouder doeltreffend uit te voeren. De Commissie zal nauw blijven samenwerken met de Groep artikel 29 om voor een uniforme toepassing van de EU-wetgeving inzake gegevensbescherming te zorgen.

(1)

   Arrest van 6 oktober 2015 in zaak C-362/14, Maximilian Schrems tegen Data Protection Commissioner, EU:C:2015:650 (hierna ook 'het arrest' of 'het arrest Schrems' genoemd).

(2)

   Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, PB L 281 van 23.11.1995, blz. 31 (hierna 'Richtlijn 95/46/EG' of 'de richtlijn' genoemd).

(3)

   Voor de toepassing van deze mededeling wordt met de term 'EU' ook de EER bedoeld. Derhalve moeten verwijzingen naar 'lidstaten' tevens worden gelezen als een verwijzing naar EER-lidstaten.

(4)

   Zie voor een grondiger overzicht van de veiligehavenregeling de mededeling van de Commissie aan het Europees Parlement en de Raad betreffende de werking van de veiligehavenregeling ("Safe Harbour") uit het oogpunt van EU-burgers en in de EU gevestigde ondernemingen, COM/2013/847 final .

(5)

   Mededeling van de Commissie aan het Europees Parlement en de Raad betreffende de werking van de veiligehavenregeling ("Safe Harbour") uit het oogpunt van EU-burgers en in de EU gevestigde ondernemingen, COM(2013) 847 final van 27.11.2013. Zie ook de mededeling van de Commissie aan het Europees Parlement en de Raad 'Herstel van vertrouwen in de gegevensstromen tussen de EU en de VS', COM(2013) 846 final van 27.11.2013, en het daaraan gerelateerde memorandum "Herstel van vertrouwen in de gegevensstromen tussen de EU en de V.S. – Veelgestelde vragen", MEMO/13/1059 van 27.11.2013.

(6)

   Vertegenwoordigers van brancheorganisaties brachten deze zorgen onder meer onder de aandacht tijdens een bijeenkomst die vicevoorzitter Ansip en de commissarissen Jourová en Oettinger op 14 oktober, kort na het arrest Schrems, organiseerden. Zie Daily News van 14.10.2015 (MEX/15/5840). Zie ook: 'Open letter on the implementation of the CJEU Judgement on Case C-362/14 Maximillian Schrems v Data Protection Commissioner' (open brief over de tenuitvoerlegging van het arrest van het HvJEU in zaak C-362/14, Maximillian Schrems tegen Data Protection Commissioner) van 13 oktober 2015, gericht aan de voorzitter van de Commissie, Jean-Claude Juncker en ondertekend door verschillende brancheorganisaties en bedrijven uit de EU en de VS: http://www.digitaleurope.org/DesktopModules/Bring2mind/DMX/Download.aspx?Command=Core_Download&EntryId=1045&PortalId=0&TabId=353

(7)

   Verklaring van de Groep artikel 29, beschikbaar op de volgende website: http://ec.europa.eu/justice/data-protection/article-29/press-material/press-release/art29_press_material/2015/20151016_wp29_statement_on_schrems_judgement.pdf

(8)

   Zie artikel 8, lid 3, van het Handvest van de grondrechten en artikel 16, lid 2, VWEU. Deze onafhankelijkheid is ook door het Hof in zijn arrest Schrems benadrukt.

(9)

   Zie Groep artikel 29: 'Doorgifte van persoonsgegevens naar derde landen: toepassing van de artikelen 25 en 26 van de EU-richtlijn betreffende gegevensbescherming' (WP 12), 24 juli 1998, blz. 16.

(10)

   Beschikking 2001/497/EG van de Commissie van 15 juni 2001 betreffende modelcontractbepalingen voor de doorgifte van persoonsgegevens naar derde landen krachtens Richtlijn 95/46/EG, PB L 181 van 4.7.2001, blz. 19, en Beschikking 2004/915/EG van de Commissie van 27 december 2004 tot wijziging van Beschikking 2001/497/EG betreffende de invoering van alternatieve modelcontractbepalingen voor de doorgifte van persoonsgegevens naar derde landen, PB L 385 van 29.12.2004, blz. 74.

(11)

   Beschikking 2002/16/EG van de Commissie van 27 december 2001 betreffende modelcontractbepalingen voor de doorgifte van persoonsgegevens naar in derde landen gevestigde verwerkers krachtens Richtlijn 95/46/EG van het Europees Parlement en de Raad, PB L 6 van 10.1.2002, blz. 52, en Besluit 2010/87/EU van de Commissie van 5 februari 2010 betreffende modelcontractbepalingen voor de doorgifte van persoonsgegevens aan in derde landen gevestigde verwerkers krachtens Richtlijn 95/46/EG van het Europees Parlement en de Raad, PB L 39 van 12.2.2010, blz. 5. De beschikking, die is ingetrokken bij het besluit, is alleen van toepassing is op overeenkomsten die vóór 15 mei 2010 zijn gesloten.

(12)

   Zie bijvoorbeeld overweging 6 van Beschikking 2004/915/EG van de Commissie en punt V van de bijlage daarbij; punt 7 van de bijlage bij Beschikking 2010/87/EU van de Commissie.

(13)

   Er zij op gewezen dat in het voorstel voor de algemene verordening gegevensbescherming (COM(2012)11 final) is bepaald dat doorgiften op grond van modelcontractbepalingen of bindende bedrijfsvoorschriften geen verdere toestemming behoeven voor zover zij door de Commissie of na de beoogde conformiteitstoetsing zijn vastgesteld.

(14)

   Ook wanneer gebruik van modelcontractbepalingen wordt gemaakt, kunnen partijen overeenkomen om andere clausules toe te voegen, mits deze niet direct of indirect in tegenspraak zijn met de door de Commissie goedgekeurde bepalingen of afbreuk doen aan de fundamentele rechten of vrijheden van de betrokkenen. Zie Europese Commissie, 'Frequently Asked Questions Relating to Transfers of Personal Data from the EU/EEA to Third Countries' (Vaak gestelde vragen over de doorgifte van persoonsgegevens uit de EU/EER naar derde landen) (FAQ B. 1.9), blz. 28 (beschikbaar op de volgende website: http://ec.europa.eu/justice/policies/privacy/docs/international_transfers_faq/international_transfers_faq.pdf).

(15)

Indien een gegevensbeschermingsautoriteit twijfels heeft over de verenigbaarheid van de modelcontractbepalingen met de vereisten van de richtlijn, dient zij de kwestie voor te leggen aan een nationale rechter, die vervolgens het Hof van Justitie een prejudiciële vraag kan stellen (zie de punten 51, 52, 64 en 65 van het arrest Schrems).

(16)

   De Groep artikel 29 heeft een specifieke procedure vastgesteld voor samenwerking tussen gegevensbeschermingsautoriteiten voor de goedkeuring van de contractuele bepalingen die een onderneming in verschillende lidstaten wenst te gebruiken. Zie Groep artikel 29, "Working Document Setting Forth a Co-Operation Procedure for Issuing Common Opinions on Contractual clauses Considered as compliant with the EC Model Clause" (Werkdocument betreffende een samenwerkingsprocedure voor het uitbrengen van gemeenschappelijke standpunten over 'contractbepalingen' die geacht worden overeen te stemmen met de EG modelbepaling) (WP 226), 26 november 2014. Zie ook punt VII van de bijlage bij Beschikking 2004/915/EG van de Commissie, en punt 10 van de bijlage bij Besluit 2010/87/EU van de Commissie.

(17)

   Zie Groep artikel 29, "Working Document Setting Forth a Co-Operation Procedure for Issuing Common Opinions on Contractual clauses Considered as compliant with the EC Model Clause" (Werkdocument betreffende een samenwerkingsprocedure voor het uitbrengen van gemeenschappelijke standpunten over 'contractbepalingen' die geacht worden overeen te stemmen met de EG modelbepaling) (WP 226), 26 november 2014, blz. 2.

(18)

   Zie Groep artikel 29, 'Working Document setting up a table with the elements and principles to be found in Binding Corporate Rules' (werkdocument met een overzicht van de elementen en beginselen voorkomend in bindende bedrijfsvoorschriften) (WP 153), 24 juni 2008; 'Working Document setting up a framework for the structure of Binding Corporate Rules' (werkdocument met een kader voor de structuur van bindende bedrijfsvoorschriften) (WP 154), 24 juni 2008; en 'Working Document on Frequently Asked Questions (FAQs) related to Binding Corporate Rules' (werkdocument met veelgestelde vragen (FAQ’s) in verband met bindende bedrijfsvoorschriften) (WP 155), 24 juni 2008.

(19)

   Groep artikel 29, Standard Application for Approval of Binding Corporate Rules for the Transfer of Personal Data" (standaardaanvraagformulier voor goedkeuring van bindende bedrijfsvoorschriften betreffende de doorgifte van persoonsgegevens) (WP 133), 10 januari 2007.

(20)

   Groep artikel 29, Working Document Setting Forth a Co-Operation Procedure for Issuing Common Opinions on Adequate Safeguards Resulting From Binding Corporate Rules" (werkdocument betreffende een samenwerkingsprocedure voor het uitbrengen van gemeenschappelijke standpunten over de gepastheid van door 'bindende bedrijfsvoorschriften' geboden waarborgen) (WP 107), 14 april 2005.

(21)

   Voor zover andere bepalingen van Richtlijn 95/46/EG aanvullende vereisten bevatten die voor de toepassing van deze afwijkingen relevant zijn (bijvoorbeeld de beperkingen van artikel 8 voor de verwerking van gevoelige gegevens), moeten deze, zoals de Groep artikel 29 heeft benadrukt, worden geëerbiedigd. Zie Groep artikel 29, "Werkdocument over een gemeenschappelijke interpretatie van artikel 26, lid 1, van Richtlijn 95/46/EG van 24 oktober 1995" (WP 114), 25 november 2005, blz. 8. Zie ook Europese Commissie, 'Frequently Asked Questions Relating to Transfers of Personal Data from the EU/EEA to Third Countries' (Vaak gestelde vragen over de doorgifte van persoonsgegevens uit de EU/EER naar derde landen) (FAQ D.2), blz. 50.

(22)

   Het kan daarbij bijvoorbeeld gaan om de doorgifte van gegevens tussen belasting- of douanediensten of tussen voor de sociale zekerheid bevoegde diensten (zie overweging 58 van Richtlijn 95/46/EG). Voor doorgiften tussen toezichthoudende instanties in de financiële-dienstensector kan ook gebruik worden gemaakt van de afwijking. Zie Groep artikel 29, 'Werkdocument: Doorgifte van persoonsgegevens naar derde landen: toepassing van de artikelen 25 en 26 van de EU-richtlijn betreffende gegevensbescherming' (WP 12), 24 juli 1998, blz. 25.

(23)

   Groep artikel 29, "Werkdocument over een gemeenschappelijke interpretatie van artikel 26, lid 1, van Richtlijn 95/46/EG van 24 oktober 1995" (WP 114), 25 november 2005, blz. 7 en 17.

(24)

   Groep artikel 29, "Werkdocument: Doorgifte van persoonsgegevens naar derde landen: toepassing van de artikelen 25 en 26 van de EU-richtlijn betreffende gegevensbescherming (WP 12), 24 juli 1998; "Werkdocument over een gemeenschappelijke interpretatie van artikel 26, lid 1, van Richtlijn 95/46/EG van 24 oktober 1995" (WP 114), 25 november 2005. Zie ook Europese Commissie, 'Frequently Asked Questions Relating to Transfers of Personal Data from the EU/EEA to Third Countries' (Vaak gestelde vragen over de doorgifte van persoonsgegevens uit de EU/EER naar derde landen) (FAQ D.1 tot en met D.9), blz. 48 tot en met 54.

(25)

   Groep artikel 29, "Werkdocument over een gemeenschappelijke interpretatie van artikel 26, lid 1, van Richtlijn 95/46/EG van 24 oktober 1995" (WP 114), 25 november 2005, blz. 8 tot en met 10.

(26)

   Groep artikel 29, "Werkdocument over een gemeenschappelijke interpretatie van artikel 26, lid 1, van Richtlijn 95/46/EG van 24 oktober 1995" (WP 114), 25 november 2005, blz. 9. Volgens de werkgroep mogen massale of veel voorkomende doorgiften alleen op basis van een afwijking worden uitgevoerd wanneer toepassing van modelcontractbepalingen of bindende bedrijfsvoorschriften in de praktijk onmogelijk is en de risico’s voor de betrokkene gering zijn (bv. internationale overschrijvingen). Zie ook Europese Commissie, 'Frequently Asked Questions Relating to Transfers of Personal Data from the EU/EEA to Third Countries' (Vaak gestelde vragen over de doorgifte van persoonsgegevens uit de EU/EER naar derde landen) (FAQ D.1), blz. 49.

(27)

   Groep artikel 29, "Werkdocument over een gemeenschappelijke interpretatie van artikel 26, lid 1, van Richtlijn 95/46/EG van 24 oktober 1995" (WP 114), 25 november 2005, blz. 13. Zie ook 'Opinion 6/2002 on transmission of passenger manifest information and other data from airlines to the United States' (Advies 6/2002 over de doorgifte van informatie van de passagierslijst en andere gegevens van luchtvaartmaatschappijen aan de Verenigde Staten" (WP 66), 24 oktober 2002.

(28)

   Groep artikel 29, "Werkdocument: Doorgifte van persoonsgegevens naar derde landen: toepassing van de artikelen
25 en 26 van de EU-richtlijn betreffende gegevensbescherming" (WP 12), 24 juli 1998, blz. 24. "Werkdocument over een gemeenschappelijke interpretatie van artikel 26, lid 1, van Richtlijn 95/46/EG van 24 oktober 1995" (WP 114), 25 november 2005, blz. 13.

(29)

   Groep artikel 29, 'Werkdocument: Doorgifte van persoonsgegevens naar derde landen: toepassing van de artikelen 25 en 26 van de EU-richtlijn betreffende gegevensbescherming' (WP 12), 24 juli 1998, blz. 24.

(30)

   Groep artikel 29, "Werkdocument over een gemeenschappelijke interpretatie van artikel 26, lid 1, van Richtlijn 95/46/EG van 24 oktober 1995" (WP 114), 25 november 2005, blz. 15. In het kader van een arbeidsverhouding kan de afwijking bijvoorbeeld niet worden toegepast om alle personeelsdossiers door te geven naar het in een derde land gevestigde moederbedrijf vanwege eventuele toekomstige rechtszaken.

(31)

   Haags Verdrag inzake de verkrijging van bewijs in het buitenland in burgerlijke en in handelszaken, op 18 maart 1970 voor ondertekening opengesteld, 23 U.S.T. 2555, 847 U.N.T.S. 241. Dit verdrag heeft bijvoorbeeld betrekking op bewijsgaring voorafgaand aan de behandeling van de zaak ("pre-trial discovery") of op verzoeken van een rechterlijke instantie van een staat aan de bevoegde autoriteit van een andere staat om bewijs dat bestemd is voor gebruik in gerechtelijke procedures in de verzoekende staat.

(32)

   Groep artikel 29, "Werkdocument over een gemeenschappelijke interpretatie van artikel 26, lid 1, van Richtlijn 95/46/EG van 24 oktober 1995" (WP 114), 25 november 2005, blz. 10, met verwijzing naar "Advies 5/2004 betreffende ongewenste communicatie voor marketingdoeleinden in de context van artikel 13 van Richtlijn 2002/58/EG" (WP 90), 27 februari 2004, punt 3.2.

(33)

   Groep artikel 29, 'Werkdocument: Doorgifte van persoonsgegevens naar derde landen: toepassing van de artikelen 25 en 26 van de EU-richtlijn betreffende gegevensbescherming' (WP 12), 24 juli 1998, blz. 24.

(34)

   Groep artikel 29, 'Advies 8/2001 over de verwerking van persoonsgegevens in het kader van de arbeidsverhouding' (WP 48), 13 september 2001, blz. 3, 23 en 26. Volgens de groep zou zich baseren op toestemming moeten worden beperkt tot gevallen waarin de werknemer een echte vrije keuze heeft en nadien de mogelijkheid heeft om de toestemming zonder nadeel in te trekken. Zie ook Groep artikel 29, "Werkdocument over een gemeenschappelijke interpretatie van artikel 26, lid 1, van Richtlijn 95/46/EG van 24 oktober 1995" (WP 114), 25 november 2005, blz. 11.

(35)

   Groep artikel 29, "Werkdocument over een gemeenschappelijke interpretatie van artikel 26, lid 1, van Richtlijn 95/46/EG van 24 oktober 1995" (WP 114), 25 november 2005, blz. 11. Zie ook 'Opinion 6/2002 on transmission of passenger manifest information and other data from airlines to the United States' (Advies 6/2002 over de doorgifte van informatie van de passagierslijst en andere gegevens van luchtvaartmaatschappijen naar de Verenigde Staten) (WP 66), 24 oktober 2002.

(36)

   Groep artikel 29, 'Werkdocument: Doorgifte van persoonsgegevens naar derde landen: toepassing van de artikelen 25 en 26 van de EU-richtlijn betreffende gegevensbescherming' (WP 12), 24 juli 1998, blz. 24.

(37)

    Groep artikel 29, "Advies 15/2011 over de definitie van toestemming" (WP 187), 13 juli 2011, blz. 9.

(38)

   Groep artikel 29, "Werkdocument over een gemeenschappelijke interpretatie van artikel 26, lid 1, van Richtlijn 95/46/EG van 24 oktober 1995" (WP 114), 25 november 2005, blz. 11.

(39)

   Zie de verklaring van de Groep artikel 29 van 16 oktober 2015 (aangehaald in voetnoot 8).

(40)

Een aantal multinationale ondernemingen heeft verklaard dat zij gegevens aan de V.S. op basis van alternatieve instrumenten doorgeven. Zie bijvoorbeeld de verklaringen van Microsoft (http://blogs.microsoft.com/on-the-issues/2015/10/06/a-message-to-our-customers-about-eu-us-safe-harbor/) or Salesforce (http://www.salesforce.com/company/privacy/data-processing-addendum-faq.jsp). Andere Amerikaanse bedrijven, zoals Oracle, hebben verklaard dat zij gebruikers van clouddiensten de mogelijkheid bieden hun gegevens in Europa op te slaan, zodat deze niet worden doorgegeven voor opslag elders: http://www.irishtimes.com/business/technology/oracle-keeps-european-data-within-its-eu-based-data-centres-1.2408505?mode=print&ot=example.AjaxPageLayout.ot

(41)

   Zie overweging 60 en artikel 25, lid 1, van Richtlijn 95/46/EG.

(42)

   Zie bijvoorbeeld bepaling 5 van de bijlage bij Besluit 2010/87/EU van de Commissie, en 'Working Document setting up a framework for the structure of Binding Corporate Rules' (werkdocument met een kader voor de structuur van bindende bedrijfsvoorschriften) (WP 154), 24 juni 2008, blz. 8, van de Groep artikel 29.

(43)

Zie bv. de richtsnoeren van het Agentschap van de Europese Unie voor netwerk- en informatiebeveiliging (Enisa: https://resilience.enisa.europa.eu/article-13/guideline-for-minimum-security-measures/Article_13a_ENISA_Technical_Guideline_On_Security_Measures_v2_0.pdf.

(44)

   Zie bijvoorbeeld de nota met het standpunt van de Conferentie inzake gegevensbescherming van de Duitse autoriteiten voor gegevensbescherming op federaal en nationaal niveau op 26.10.2015: https://www.datenschutz.hessen.de/ft-europa.htm#entry4521. In de standpuntnota wordt benadrukt dat het arrest Schrems 'strikte materiële eisen' bevat, die zowel de Commissie als de gegevensbeschermingsautoriteiten moeten naleven en wordt gesteld dat de Duitse gegevensbeschermingsautoriteiten de rechtmatigheid van gegevensdoorgiften op basis van alternatieve instrumenten (modelcontractbepalingen en bindende bedrijfsvoorschriften) zullen beoordelen en niet langer nieuwe toestemming zullen verlenen voor het gebruik van deze instrumenten. Tegelijkertijd hebben individuele Duitse gegevensbeschermingsautoriteiten duidelijk gewaarschuwd dat de alternatieve instrumenten voor doorgifte juridisch worden onderzocht. Zie bijvoorbeeld de standpuntnota's van de gegevensbeschermingsautoriteiten van Sleeswijk-Holstein: https://www.datenschutzzentrum.de/artikel/981-ULD-Position-Paper-on-the-Judgment-of-the-Court-of-Justice-of-the-European-Union-of-6-October-2015,-C-36214.html en van Rijnland-Palts: https://www.datenschutz.rlp.de/de/aktuell/2015/images/20151026_Folgerungen_des_LfDI_RLP_zum_EuGH-Urteil_Safe_Harbor.pdf.

(45)

   Zie de verklaring van de Groep artikel 29 van 16 oktober 2015 (aangehaald in voetnoot 8).

(46)

   Europese Commissie, voorstel voor een verordening van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (algemene verordening gegevensbescherming). Zie ook Europees Parlement, wetgevingsresolutie van 12 maart 2014 inzake het voorstel voor een verordening van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (algemene verordening gegevensbescherming), COM(2012)0011 – C7-0025/2012 – 2012/0011(COD); Raad, voorstel voor een verordening van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (algemene verordening gegevensbescherming), Voorbereiding van een algemene oriëntatie, 9565/15. Het voorstel bevindt zich momenteel in de laatste fase van het wetgevingsproces.

(47)

   Zie overweging 57 van Richtlijn 95/46/EG.

(48)

   Op dit moment zijn adequaatheidsbesluiten vastgesteld met betrekking tot de volgende landen: Andorra, Argentinië, Canada, de Faeröer, Guernsey, het eiland Man, Israël, Jersey, Nieuw Zeeland, Zwitserland en Uruguay. Zie: http://ec.europa.eu/justice/data-protection/international-transfers/adequacy/index_en.htm.

(49)

   Zie de punten 99 tot en met 104 van het arrest Schrems.

(50)

   Zie voetnoot 4 hierboven.