Artikelen bij COM(2024)7 - Eerste evaluatie van de adequaatheidsbesluiten die zijn vastgesteld op grond van artikel 25, lid 6, van Richtlijn 95/46/EG - Hoofdinhoud
Dit is een beperkte versie
U kijkt naar een beperkte versie van dit dossier in de EU Monitor.
| dossier | COM(2024)7 - Eerste evaluatie van de adequaatheidsbesluiten die zijn vastgesteld op grond van artikel 25, lid 6, van Richtlijn 95/46/EG. |
|---|---|
| document | COM(2024)7 |
| datum | 15 januari 2024 |
Brusse,, 15.1.2024
COM(2024) 7 ma:
VERSLAG VAN DE COMMISSIE AAN HET EUROPEES PARPEMENT EN DE
RAAD
over de eerste evaluatie van de adequaatheidsbesluiten die zijn vastgesteld op grond van
a rti kei 25, Md 6, van Ixichtlijn 95/46/PG
{SWD(2024) 3 finai}
NL
NL
1. DE EERSTE EVALUATI E — ACHTERGROND EN CONTEXT
Dit verslag bevat de bevindingen van de Commissie over de eerste evaluatie van de adequaatheidsbesluiten die zijn vastgesteld op grond van artikel 25, Md 6, van Ixichtlijn 95/46/EG1 ( gegevensbescherm i ngsrichtl ij n ) .
In deze besluiten heeft de Commissie va st ges te ld dat elf landen of gebieden een passend beschermingsniveau waarborgen voor persoonsgegevens die vanuit de Europese Unie (EU)
2. a 3 a 4 r ( \$
worden doorgegeven . AA n d o r ra , AAr g entinië , Uanada ^ v o o r commerciële exploitanten^ , de
r 6 r 1 8 i 9 i 10 m 7 11 7 12 i i 13
I aeröer , vjuernsey , IVIan , Israël , Jersey , l\lieuw~z_eeland , Zwitserland , en Uruguay Als gevolg hiervan zijn er voor de doorgifte van gegevens vanuit de EU naar deze landen of gebieden geen aanvullende eisen nodig.
IVI et de inwerkingtreding van Verordening (EU) 2016/67914 (AVG) op 25 mei 2018 bleven de
adequaatheidsbesluiten die krachtens de g e g e v e n s b es c h e r m i n g s r i c h 11 ij n waren vastgesteld, van
1 Richtlijn 95/46/EG v an het Europees Parlement en de Ra ad van 24 oktober 1995 betreffende de bescherm ing van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (PB L 281 van 23.11.1995, biz. 31).
2Sindsdeopname ervan in de Overeenkomst betreffende de Europese Eoonomisohe Ruimte (EER-o vereen ko mst) is de AVG ook van toepassing op Noorwegen, IJsland en Liechtenstein. Verw ij zingen naar de EU in dit verslag moeten worden begrepen als verwijzingen die ook de EER "staten bestrijken.
3Bes,u,t 2010/625/EU van de C o m m i ss ie van 19 o kto b er 2010 ov ereenkomstig Kichtlijn 95/46/EG van het
Europees Parlement en de Ra ad, over de passende bescherming van persoonsgegevens in An d o r r a (PB L 277 van
21.10.2010, b,z. 27).
4Besohikking 2003/490/EG van de Co m m i ss ie van 30jun, 2003 ov ereenkomstig Kichtlijn 95/46/EG van het Europees Parlement en de Ra ad, betreffende de passende bescherming van persoonsgegevens in Ar g entinië (PB
L 168 van 5.7.2003, b,z. 19).
5Besohikking 2002/2/EG van de Co m m i ss ie van 20 d e ce m b er 2001 overeenkom stig Kichtlijn 95/46/EG van het Europees Parlement en de Ra ad, betreffende de gepastheid van de bescherming van persoonsgegevens geboden door de Canadese Personal In f o rmation Protect ion and Electronic Documents Act (PB L 2 van 4.1.2002, blz. 13). 6Bes,u,t 2010/1 46/EU van deC ommissie van O maart 2010 ov ereenkomstig Kichtlijn 95/46/EG v an het Europees Parlement en de Raad, over de gepastheid van de door de Faeröerse wet betreffende de verwerking van
persoonsgegevens geboden bescherming (PB L 58 van 9.3.2010, b,z. 17).
7 Beschikking 2003/821/EG van de Co m m i ss ie van 21 novem ber 2003 over de passende bescherming van
persoonsgegevens op uuernsey (PB L 308 van 25.11.2003, b,z. 27).
8 Beschikking 2004/411/EG van de Co m m i ss ie van 28 april 2004 over de passende bescherming van
persoonsgegevens op het eiland Man (PB L 151 van 30.4.2004, b,z. 48).
9 Besluit 201 1/61/EU van d e Co m m i ss i e v a n 31 januar, 2011 ov ereenkomstig Kichtlijn 95/46/EG v an het Europees Parlement en de Raad, over de passende bescherming van persoonsgegevens door de staat Israël wat de
geautomatiseerde verwerking van persoonsgegevens b et re ft (PB L 27 van 1.2.2011, biz. 39).
10Beschikking 2008/393/EG van de Co m m i ss ie van 8 me, 2008 overeenkom stig Kichtlijn 95/46/EG van het Europees Parlement en de Ra ad, betreffende de passende bescherming van persoonsgegevens in Ar g e n t i n i ë (PB
L 138 van 28.5.2008, b,z. 21).
"Uitvoeringsbesluit 2013/65/EU van de Co m m i ss ie van 19 d e ce m b e r 2012 overeenkom stig Kichtlijn 95/46/EG van het Europees Parlement en de Raad, over de passende bescherming van persoonsgegevens in NieuwZeeland
(PB L 28 van 30.1.2013, b,z. 12).
12 Beschikking 2000/518/EG van de Co m m i ss ie van 26juii 2000 overeenkom stig Kichtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de passende bescherming van persoonsgegevens in Zwitserland (PB
L 215 van 25.08.2000, b,z. 1).
13 Uitvoeringsbesluit 2012/484/EU van de Co m m i ss ie van 21 augustus 2012 ov ereenkomstig Kichtlijn 95/46/EG van het Europees Parlement en de Raad, over de passende bescherming van persoonsgegevens door de Republiek ten o o ste n van de Uruguay wat de geautomatiseerde verwerking van persoonsgegevens be treft (PB L 227 van
23.8.2012, biz. 11).
Ver o r d e n ing (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 b etref f e n d e de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het
1
kracht15. Tegelijkertijd heeft de AVG verduidelijkt dat adequaatheidsbesluiten 'levende instrumenten' zijn, en bepaald dat de Commissie doorlopend toezicht moet houden op
o n tw ikkelingen in derde landen die mogelijk gevolgen hebben voor het functioneren van bestaande adequaatheidsbesluiten . Bovendien vereist artikel 97 AVG dat de Uom missie deze beslui te n om de vier Jaar evalueert om te bepalen of de landen en gebieden waarvoor een passend beschermingsniveau is vastgesteld, nog steeds een passend beschermingsniveau voor persoonsgegevens waarborgen.
Deze eerste evaluatie van de adequaatheidsbesluiten die zijn vastgesteld op grond van het vroegere EU"kader voor gegevensbescherming, is uitgevoerd in het kader van een bredere evaluatie van de toepassing en werking van de AVG , waarover de Vv o m missie haar bevindingen
heeft gepresenteerd in haar mededeling "Gegevensbescherming als pijler van zeggenschap van
de burger en de EU-a anpak van de digitale transformatie - twee Jaar toepassing van de
algemene verord ening gegevensbescherming' . De afronding van dit aspect van de evaluatie
werd echter uitgesteld om rekening te houden met het arrest van het Hof van Justitie in de zaak Sch re m s II , waarin het Hof belangrijke verduidel ij kingen over belangrijke elementen van de adequaatheidsnorm hee ft gegeven, en met andere gerelateerde o n tw ikkelingen. Ditheeftop zijn beurt geleid tot gedetailleerde ui tw isselingen met de betrokken landen en gebieden over
19 i
relevante aspecten van hun rechts kader, toezichtmechanismen en handhavingssysteem . In dit verslag wordt ten volle rekening gehouden metal deze o n tw ikkelingen, zowel in de EU als in de betrokken derde landen en gebieden.
Belangrijk is dat deze eerste evaluatie plaats vindt tegen de achtergrond van de exponentiële o n tw ikkeling van digitale technologieën. In de afgelopen decennia is het belang van adequaatheidsbesluiten aanzienlijk toegenomen, omdat gegevens st romen een integraal onderdeel zijn geworden van de digitale transformatie van de samenleving en de globalisering van de economie. De grensoverschrijdende overdracht van gegevens is onderdeel geworden van de dagelijkse activiteiten van Europese ondernemingen, groot en klein en in alle sectoren. M eer dan ooit is eerbiediging van de privacy een voorwaarde voor stabiele, veilige en concurrerende handelsstromen. In die context spelen adequaatheidsbesluiten op vele manieren een steeds belangrijkere rol. Door te waarborgen dat de bescherming zich samen met de
vrije verkeer van die gegevens en tot intrekking van Kichtlijn 95/46/EG ( algemene verordening
gegevensbescherm ing ) (PB L 119 van 4.5.2016, b,z. 1).
15 Zie artikel 45, lid 9, AVG, waarin wordt bepaald dat besluiten die de Uom missie op grond van artikel 25, iid 6, van Kichtlijn 95/46/EG h eef t va stg es te ld, van kracht blijven totdat zij worden gewijzigd, ingetrokken of vervangen bij een overeenkomstig artikel 45, lid 3 of lid 5 v a stg es te ld besluit van de Lom missie,
16 Artikel 45, lid 4, AVG. Zie ook het arrest van het Hof van Justitie van de Europese Unie van 6 oktober 2015 i n
zaak C-362/14, Max imillian Jchrems ID ata Pro te ct ion Com missioner {"Schrems I"), ECLI:EU:C:2015:650,
punt 76.
17 De mededeling is gepubliceerd in juni 2020 en kan worden geraadpleegd op. https.//ec.europa.eu/i nfo/la w/ law topi c/data~protect ion/com munication~two~years~application~general~data~protection~regulation en
Arrest van het Hof van Justitie van de Europese Unie van 16juli 2020 in zaak 0311/18, Data Protection
Commissioner/Facebook Ireland Ltd en Maximillian Schrems ("Schrems //"), ECLI:EU:C:2020:559.
19 Het adequaatheidsbesluit betreffende Japan is vastgesteld op basis van de AVG en voorziet in een afzonderlijke periodieke evaluatie. Ue eerste evaluatie is in april 2023 afgerond met het verslag van de Lom missie aan het Europees Parlement en de Raad over de eerste evaluatie van de werking van het adequaatheidsbesluit voor Japan (COM(2023) 275 final), dat kan worden geraadpleegd op h tt p s. lie uriex.europa.eu/legal~
content/NL/TXT/PDF/?ur,=COM:2023:275:FIN
2
gegevens verplaatst, maken ze veilige gegevensstromen mogelijk, waarbij de rechten van individuen worden geëerbiedigd in overeen stemming met de mensgerichte aanpak van de digitale transformatie door de Europese Unie. D oor te erkennen dat het privacykader van een derde land een beschermingsniveau biedt dat in grote lijnen overeenkomt met dat van de EU, bevorderen ze de afstemming van privacysystemen die zijn gebaseerd op hoge beschermingsnormen. Bovendien zijn de adequaatheidsbesluiten, zoals in dit verslag wordt
uitgelegd, niet zozeer een 'eindpunt' als wel de basis VOOr nauwere samenwerking en verdere
afstemming van de regelgeving tussen de EU en gelijkgestemde partners. Uoor hetvrije verkeer van persoonsgegevens mogelijkte maken, hebben deze besluiten handelskanalen geopend voor EU"bedriJven, onder meer door de voordelen van handelsovereenkomsten aan te vullen en te ver st erken en de samenwerking met buitenlandse partners op een groot aantal regelgevingsgebieden te vergemakkelijken. Doordat deze besluiten een eenvoudige en allesomvattende oplossing bieden voor de doorgifte van gegevens zonder dat de gegevensexporteur verdere waarborgen hoe ft te bieden of toestemming hoe ft te verkrijgen, wordt het voor met name kleine en middelgrote ondernemingen gemakkei ij ker om de vereisten voor internationale doorgifte van de AVG na te leven. I ot slot zijn adequaatheidsbesluiten van
de Europese Commissie dankzij hun 'netwerkeffect' ook steeds relevanter buiten de EU, omdat
ze niet alleen het vrije verkeer van gegevens met de dertig economieën van de EU mogelijk
20
maken, maar ook metveel meer rechts gebieden over de hele wereld die landen waarvoor een
adequaatheidsbesluit van de EU bestaat, erkennen als 'veilige bestemmingen' onder hun eigen
regels voor gegevensbescherming.
Om al deze redenen, zoals ook bevestigd door de intensieve en vruchtbare dialoog met de betrokken derde landen/gebieden die aan deze evaluatie ten grondslag ligt, zijn adequaatheidsbesluiten een strategisch onderdeel geworden van de algemene betrekkingen van de EU met deze buitenlandse partners en worden zij erkend als een belangrijke stimulans voor het verdiepen van de samenwerking op een groot aantal gebieden. Het is daarom b ij zonder belangrijk dat deze besluiten de tand des tijds kunnen doorstaan en kunnen aanknopen bij nieuwe o n tw ikkelingen en uitdagingen.
2. VOORWERP EN METHODOLOGIE VAN DE EVALUATIE
De adequaatheidsbesluiten die het voorwerp uitmaken van deze evaluatie, zijn vastgesteld op grond van het EU 'kader voor gegevensbescherming dat voorafging aan de AVG. T e rw ij I de meestrecente besluiten dateren van ongeveer tien Jaar geleden (b ij voorbeeld de besluiten over Nieuw-Zeeland en Uruguay, beide vastgesteld in 2012), z ijn andere al meer dan tw i n t i g Jaar van kracht (b ij voorbeeld Canada, vastgesteld in 2001, en Zwitserland, vastgesteld in 2000). Sindsdien zijn de kaders voor gegevensbescherming in alle elf landen en gebieden verder geëvolueerd, b ij voorbeeld als gevolg van hervormingen in de wet' en regelgeving, o n tw ikkelingen in de handhavingspraktijk van gegevensbeschermingsautoriteiten of rechtspraa k.
Bij de uitvoering van haar evaluatie heeft de Commissie zich daarom gericht op de o n tw ikkelingen in het gegevensbeschermingskader van de betrokken landen en gebieden die
20
Zoals Ar g entinië, Colombia, Israël, M arokko, Zwitserland en Uruguc
hebben plaats gevonden sinds de va stste Ming van het adequaatheidsbesluit. Deoordeeld is hoe deze o n tw ikkelingen het gegevensbeschermingslandschap van het betreffende land of gebied verder hebben gevormd en of de verschillende stelsels in het licht van deze o n tw ikkelingen nog steeds een passend beschermingsniveau waarborgen.
Daartoe is ten volle rekening gehouden met de o n tw ikkeling van het eigen stelsel voor gegevensbescherming van de EU, in het bijzonder met de inwerkingtreding van de AVG. M et name sinds de va stste Ming van deze adequaatheidsbesluiten zijn de wettelijke norm die van toepassing is op dergel ij ke besluiten en de elementen die relevant zijn om te beoordelen of een buitenlands systeem een passend beschermingsniveau waarborgt, verder verduidelijkt door de rechtspraak van het Hof van Justitie en de richtsnoeren die zijn vastgesteld door de Groep gegevensbescherming artikel 29 en zijn opvolger, het Europees Uo m ité voor gegevensbescherm i ng n (EDPB).
let name
heeft het Mof van Justitie in zijn arrest van D oktober 2015 in de zaak Schrems I
vastgesteld dat weliswaar niet kan worden verlangd dat een derde land waarborgen voor hetzelfde beschermingsniveau als dat binnen de Unie biedt, maar dat de adequaatheid stoets zo
moet worden opgevat dat die een beschermingsniveau vereist dat 'in grote lijnen overeenkomt'
met datvan de Unie . M et name kunnen de middelen waarmee het derde land in kwestie voor de bescherming van de persoonsgegevens kan zorgen, anders zijn dan de middelen die binnen de Unie worden ingezet, zolang zij in de prakt ij k doeltreffend genoeg blijken om een passend
23 n
beschermingsniveau te waarborgen . Uq a d e q u a ath e i d sto ets vereist daarom een alomvattende beoordeling van hetsysteem van het derde land als geheel, met inbegrip van de inhoud van de privacybescherming, de doeltreffende uitvoering en handhaving ervan.
Bovendien verduidelijkte het Hof dat de beoordeling van de Commissie niet beperkt mag blijven tot het algemene gegevensbeschermingskader van het derde land, maar ook betrekking moet hebben op de regels inzake de toegang tot persoonsgegevens door overheidsinstanties, met name voor doeleinden van rechts handhaving en nationale veiligheid . M et het Handvest van de grondrechten als ma atstaf heeft het Hof verschillende vereisten vastgesteld waarmee
deze regels in overeenstemming moeten zijn om aan de norm van 'wezenlijke overeenkomst'
te voldoen. Een regeling op dit gebied moet b ij voorbeeld duidelijke en precieze regels betreffende de draagwijdte en de toepassing van een maatregel bevatten en minimale vereisten opleggen, zodat de personen van wie de persoonsgegevens aan de orde zijn, over voldoende garanties beschikken dat hun gegevens doeltreffend worden beschermd tegen het risico van misbruik en tegen elke onrechtmatige raadpleging en elk onrechtmatig gebruik van deze
25
gegevens . Een dergel ij ke regeling moet ook voorzien in een beroepsmogelijkheid voor
^ Het Europees Co m ité voor gegevensbescherming bestaat uit de toezichthoudende autoriteiten voor gegevensbescherming in de lidstaten en de Europese Toezichthouder voor gegevensbescherming.
Schrems I, punten 73, 74 en 96. Zie ook ov erweging 104 van Verordening (EU) 2016/679, waarin wordt verwezen naar de norm van wezenlijke overeenkomst. ^ ^ Sc h rem s /, punt 74.
Schrems I, punt 90.
Schrems I, punt 91.
Justitiabelen om toegang te krijgen tot de persoonsgegevens die op hen betrekking hebben, of
26
om die gegevens te laten rectificeren of verwijderen
Inde AVG i s voo rt gebouwd op de verduidel ij kingen van het rlof van Justitie door de opneming van een gedetailleerde catalogus van elementen waarmee de Commissie bij een adequaatheidsbeoordeling rekening moet houden . Bovendien heeft het Hof van Justitie in het
Schrems //"arrest van 16 juli 2020 de norm van 'wezenlijke overeenkomst' verder uitgewerkt,
in het b ij zonder met betrekking tot de regels inzake de toegang tot persoonsgegevens door overheidsinstanties voor doeleinden van rechts handhaving en nationale veiligheid. Het Hof
heeft met name verduidelijkt dat de norm van 'wezenlijke overeenkomst' vereist dat de
relevante rechtskaders die bindend zijn voor overheidsinstanties in de betrokken derde landen en gebieden, minimale eisen opleggen die waarborgen dat die instanties geen toegang tot gegevens kunnen krijgen die verder gaat dan wat noodzakelijk en evenredig is voor het nastreven van legitieme doelstellingen, en dat betrokkenen effectieve en afdwingbare rechten
28
hebben tegen die instanties
De o n tw ikkeling van de adequaatheidsnorm komt ook tot uiting in het richtsnoer dat oorspronkelijk door de vjroep gegevensbescherming artikel 29 is vastgesteld en vervolgens door de EDPB is bekrachtigd . Uit richtsnoer, en met name de zogenaamde
"adequaatheidsreferentie", verduidelijkt verder met welke elementen de Commissie rekening
moet houden bij het uitvoeren van een adequaatheidsbeoordeling, mede door het verschaffen
van een overzicht van 'essentiële garanties' voor de toegang tot persoonsgegevens door
overheidsinstanties. Dat laatste bouwt met name voort op de rechtspraak van het Europees Hof voor de Rechten van de M ens en is door de EDPB geactualiseerd om rekening te houden met de verduidelijkingen van het Hof van Justitie in het Schrems //"arrest . Belangrijk is dat in de
adequaatheidsreferentie ook wordt erkend dat de norm van 'wezenlijke overeenkomst' geen
pu ntsgewijze replicatie ("fotokopie") van de EU "regels inhoudt, aangezien de middelen die
zorgen voor een vergel ij kbaar beschermingsniveau per privacysysteem kunnen verschillen en vaak een afspiegeling zijn van uiteenlopende rechtstradities.
Daarom heeft de Com missie, om te bepalen of de elfadequaatheidsbesluiten die op grond van de oude regels zijn genomen nog steeds voldoen aan de AVG "norm, niet alleen rekening gehouden met de o n tw ikkeling van het gegevensbeschermingskader in de betrokken landen en gebieden, maar ook met de o n tw ikkeling van de Unierechtelijke interpretatie van de adequaatheidsnorm zelf. Dit omvat ook een beoordeling van het rechts kader voor de toegang tot en het gebruik van persoonsgegevens die vanuit de EU worden doorgegeven door
I, punt 95.
27 Artikel 45, Md 2, AVG.
Schrems II, punten 180-182.
Ad equacy Referential, WP 254 rev. 01, 6februar, 2018 ( beschikbaar op.
https l//ec. europa, eu/newsroo m/article29/ item "detai l,cfm?item id =614108).
30 Aanbevelingen 02/2020 o ver de Europese essentiële garanties voor surveillancemaatregelen (beschikbaar op. h ttps l//ed p b ■ europa. eu/our~work~tools/our~docum en ts/reco m mendations/recom mendations -022020-e uropean~ essential~guarantees nl).
5
overheidsinstanties van de landen of gebieden waarvan op basis van artikel 25, Md 6, van de gegevensbeschermingsrichtlijn isvastgesteld dat z ij een passend beschermingsniveau bieden.
3. EVALUATIEPROCES
Zoals hierboven beschreven, heeft de evaluatie van de bestaande adequaatheidsbesluiten voor elk van de betrokken landen of gebieden betrekking op het gegevensbeschermingskader en alle o n tw ikkelingen in verband met dat rechtskader sinds de vaststelling van het
adequaatheidsbesluit, alsook op de regels inzake de toegang van de overheid tot gegevens -
met name voor doeleinden van rechts handhaving en nationale veiligheid. De afgelopen Jaren hebben de diensten van de Commissie verschillende stappen ondernomen om deze beoordeling uit te voeren, waarbij zij nauw hebben samengewerkt met elk van de betrokken landen of gebieden.
Om de Commissie te helpen bij haar toezie h tv erplichtingen, heeft elk van de elf landen of gebieden de Commissie uitgebreide informatie ver st rekt over de o n tw ikkelingen in zijn stelsel voor gegevensbescherming sinds de va stste Ming van het adequaatheidsbesluit. Bovendien heeft de Commissie van elk van de elf landen of gebieden gedetailleerde informatie gevraagd over de in het betrokken land of gebied geldende regels inzake toegang van de overheid tot persoonsgegevens, met name voor doeleinden van rechts handhaving en nationale veiligheid. De C ommissie heeft ook informatie uit openbare bronnen en van toezichts- en handhavingsautoriteiten en lokale deskundigen over de werking van de besluiten en relevante o n tw ikkelingen in de wetgeving en prakt ij k van elk van de betrokken landen en gebieden vergaard, zowel wat be treft de regels inzake gegevensbescherming die gelden voor particuliere exploitanten als met betrekking tot de toegang van de overheid. Tot slot is, waar relevant, terdege rekening gehouden met de internationale verplichtingen die deze landen/gebieden zijn aangegaan in het kader van regionale of universele instrumenten.
Op basis daarvan is de Commissie een intensieve dialoog aangegaan met eik van de betrokken landen en gebieden. In de context van deze dialoog hebben veel van de genoemde landen en gebieden hun privacywetgeving gemoderniseerd en ver sterkt door middel van alomvattende of gedeeltelijke hervormingen (bv. Andorra, Canada, Faeröer, Zwitserland en NieuwZeeland), onder andere om te bea n tw oorden aan de noodzaak om de conti nu ïteit van de adequaatheidsbesluitente waarborgen. Sommige van deze landen hebben verordeningen en/of richtsnoeren van hun gegevensbeschermingsautoriteiten aangenomen om nieuwe eisen op het gebied van gegevensbescherming in te voeren (bv. Israël, Uruguay) of om bepaalde privacyregels te verduidelijken (bv. Ar g entinië, Canada, Guernsey, Jersey, M an, Israël, Nieuw-Zeeland), voort bordurend op handhavingspraktijken of rechtspraak. Om relevante verschillen in het beschermingsniveau aan te pakken, zijn met sommige van de betrokken landen en
gebieden bovendien - waar dit nodig was om de continu ïteit van de adequaatheidsbesluiten te
waarborgen - na onderhandelingen aanvullende waarborgen overeengekomen voor
persoonsgegevens die vanuit Europa worden doorgegeven. Zo heeft de Canadese regering het recht op toegang tot en correctie van door de overheid verwerkte persoonsgegevens uitgebreid tot alle Justitiabelen, ongeacht hun nationaliteit of verblijfplaats (terwijl deze rechten in het verleden alleen golden voor Canadese burgers, permanente ingezetenen of personen die in
6
Canada aanwezig waren) . Een ander voorbeeld is de invoering door de Israëlische regering van specifieke waarborgen ter versterking van de bescherming van persoonsgegevens die vanuit de Europese Economische Ruimte worden doorgegeven, die met name nieuwe verplichtingen opleggen op het gebied van de nauwkeurigheid en de bewaring van gegevens, het recht op informatie en op verw ij dering van gegevens versterken en aanvullende categorieën gevoelige
32
gegevens invoeren
Tegelijkertijd hebben de dien ste n van de Co
egelijkertijd hebben de dien st en van de Uom missie de standpunten verzameld van en
regelmatig informatie verstrektaan het Europees Parlement (Com missie burgerlijke vr ij heden, Justitie en binnenlandse zaken) , de Raad (via de Groep gegevensbescherming) , de en de AVG "deskundigengroep met meerdere belanghebbenden (waarin vertegenwoordigers van het maatschappelijk middenveld, het bedrijfsleven, de academische wereld en beoefenaars van Juridische beroepen zitting hebben) over de voortgang van de evaluatie.
Ditverslag en hetb ij behorende werkdocument van de dien st en van de Commissie (S W D) z ij n dan ook het resultaat van nauwe samenwerking met elk van de betrokken landen en gebieden en van overleg meten feedback van de relevante EU- instellingen en "organen. Z_e zijn gebaseerd op verschil lende bronnen, waaronder wetgeving, regelgevi ngsbesl uiten, rechtspraak, besluiten en richtsnoeren van gegevensbeschermingsautoriteiten, verslagen van (onafhankelijke) toezichthoudende instanties en input van belanghebbenden. Vo orafgaand aan de va stste I I i n g van ditverslag zijn alle genoemde landen en gebieden in de gelegenheid gesteld om defeitelijke juistheid van de informatie over hun stelsel in het SWD te verifiëren.
4. BELANGRIJKSTE BEVINDINGEN EN CONCLUSIES
Uit de eer ste evaluatie is gebleken dat het gegevensbeschermingskader in elk van de elf landen of gebieden sinds de va stste Ming van de adequaatheidsbesluiten verder naar het EU -kader is to egegroeid. Wat de toegang van de overheid tot persoonsgegevens betreft, is uit de eerste evaluatie bovendien gebleken dat de wetgeving van deze landen of gebieden passende eisen en beperkingen oplegten voorziet in toezicht- en verhaal mechanismen op dit gebied.
31 Section 1 2 v an de Privacy Act, Privacy Act Extension Order, No. 1 en de Privacy Act Extension Order, No. 2.
Ver o r d e n i n g 5783-2023 inzake de bescherming van de persoonlijke levenssfeer (instructies voor gegevens die naar Israël worden doorgegeven vanuit de Europese Economische Ruimte), gepubliceerd in het Israëlische Sta atsblad (Ros hu m ut ) op 7 me, 2023.
33 Zie bijvoorbeeld de resolutie van het Europees Parlement van 25 maart 2021 o ver het evaluatieverslag van de Commissie over de toepassing van de algemene verordening gegevensbescherming, twee Jaar na de inwerkingtred ing (2020/2717(RSP)), beschikbaar op. h ttp s ,//w w w ■ europari.europa.eu/doceo/document /TA-9-
2021-0111 NL .html
Zie b ij voorbeeld het standpunt van de Raad en bevindingen over de toepassing van de algemene verordening gegevensbescherm ing (AVG), goedgekeurd op 19 decern ber 2019, beschikbaar op.
httpsl//data.consil iu m .europa.eu/doc/docu m en t/ST-14994-2019-REV-1/m/pdf
35 Zie bijvoorbeeld de bijdrage van de EDPB a an de evaluatie van de AVG uit hoofde van artikel 97, v a stg este i d op 18 februari 2020, beschikbaar op.
httpsl//edpb.europa, e u/s i tes/d ef a u i t/f i i es/f i i es/f i Ie1/edpb contributiongdprevaluation 20200218 . pdf
3^ Zie b ij voorbeeld het verslag van de deskundigengroep met meerdere belanghebbenden over de evaluatie van de AVG, beschikbaar op. https.//ec. europa, eu /tra nsparency/ex perfgrou ps_
r eg i ster/sc r ee n/m eeting s/c o n s u lt?l ang = n l&do = groupDetai i.group M eeting&meeting |d=21356
7
De gedetailleerde bevindingen voor elk van de elf landen of gebieden worden gepresenteerd in h et SWD van de Vv o m missie dat bij dit verslag is gevoegd, wp basis van deze bevindingen concludeert de Commissie dat elk van de elf landen en gebieden nog steeds een passend beschermingsniveau waarborgt voor persoonsgegevens die vanuit de Europese Unie worden doorgegeven in de zin van de AVG, zoals uitgelegd door het Mof van Justitie. LJe bevindingen voor elk van de landen en gebieden met een passend beschermingsniveau worden hieronder samengev at.
4,1, A
n cl or ra
De C ommissie is verheugd over de o n tw ikkelingen in het r\ ndorrese rechts kader sinds de vaststelling van het adequaatheidsbesluit, met inbegrip van wetswijzigingen en activiteiten van toezichthoudende instanties. M et name de goedkeuring van de gekwalificeerde wet 29/2021 inzake de bescherming van persoonsgegevens, die in mei 2022 in werking is getreden, heeft b ij gedragen aan een hoger niveau van gegevensbescherming, aangezien de wet qua structuur en belangrijkste onderdelen nauw aansluit bij de AVG.
Wat de toegang van de overheid tot persoonsgegevens betreft, gelden voor de overheidsinstanties in A ndorra duidelijke, nauwkeurige en toegankelijke regels op grond waarvan deze instanties gegevens die vanuit de EU worden doorgegeven, kunnen raadplegen en vervolgens kunnen gebruiken voor doeleinden van algemeen belang, met name voor de handhaving van het strafrecht en de nationale veiligheid. Deze beperkingen en eisen vloeien voort uit het overkoepelende rechts kader en internationale verplichtingen, met name de grondwet van A ndorra, het Europees Ver drag tot bescherming van de rechten van de mens (EVRM) en het Verdrag van de Kaad van Luropa tot bescherming van personen met betrekking tot de geautomatiseerde verwerking van persoonsgegevens (Verdrag 108 en het wijzigingsprotocol waardoor het gemoderniseerde Verdrag 108 + is ontstaan), alsook uit specifieke voorschriften inzake gegevensbescherming die van toepassing zijn op de verwerking van persoonsgegevens in het kader van de rechts handhaving en die in wezen zijn overgenomen van de kernelementen van Ixichtlijn (EU) 2016/68037. Daa rnaast legt het Andorrese recht een aantal specifieke voorwaarden en beperkingen op voor de toegang tot en het gebruik van persoonsgegevens door overheidsinstanties en voorziet het in toezicht" en verhaal mechanismen op dit gebied.
Op basis van de algemene bevindingen in het SWD concludeert de Vv o m missie dat r\ ndorra een passend beschermingsniveau blijft waarborgen voor persoonsgegevens die vanuit de EU worden doorgegeven.
Wat be treft de specifieke gegevensbeschermingsregels die momenteel van toepassing zijn op de verwerking van gegevens door rechtshandhavingsinstanties, is de Commissie verheugd over het voornemen van de A ndorrese wetgever om deze regels te vervangen door een meer
37 Richtlijn (EU) 2016/680 v an het Europees Parlementen de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van str a f b are feiten of de tenuitvoerlegging van straff en, en betreffende het vrije verkeer van die gegevens en tot intrekking van [Kaderbesluit 2008/977/JBZ van de Ra a d .
8
alomvattende regeling die nog meer in overeen stemming zal zijn met de regels die in de EU gelden. De Commissie zal de toekom stige o n tw ikkelingen op ditterrein nauwlettend volgen.
4.2. A rge n tl n i ë
De C ommissie is verheugd over de o n tw ikkelingen in het Arg entijnse rechts kader sinds de vaststelling van het adequaatheidsbesluit, waaronder wetswijzigingen, rechtspraak en activiteiten van toezichthoudende instanties, die hebben b ij gedragen tot een hoger niveau van gegevensbescherm i ng. M et name is de onafhankelijkheid van de Arg entijnse toezichthoudende autoriteit voor gegevensbescherming aanzienlijk versterkt bij decreet nr. 746/17, waarbij de /\g e n c i a de Acces o a ia I nfo r m a c i ó n P ü b i ica (agentschap voor de toegang tot openbare informatie, AAIP) werd belast met het toezicht op de naleving van de wetgeving inzake gegevensbescherming. LJaarnaast heeft de AAIP een aantal bindende verordeningen en adviezen uitgevaardigd die verduidelijken hoe het kader voor gegevensbescherming in de prakt ij k moet worden geïnterpreteerd en toegepast, waardoor de wetgeving inzake gegevensbescherming up_to_date blijft. Arg entinië heeft ook zijn internationale verplichtingen op het gebied van gegevensbescherming versterkt doordat het in 2019 is toegetreden tot het Ver drag van de Raad van Europa tot bescherming van personen met betrekking tot de geautomatiseerde verwerking van persoonsgegevens en het aanvullend protocol daarbij, en doordat het in 2023 het wijzigingsprotocol waardoor het gemoderniseerde Verdrag 108+ is ontstaan, heeft geratificeerd.
Wat de toegang van de overheid tot persoonsgegevens betreft, gelden voor de overheidsinstanties in Arg entinië duidelijke, nauwkeurige en toegankelijke regels op grond waarvan deze instanties gegevens die vanuit de EU worden doorgegeven, kunnen raadplegen en vervolgens kunnen gebruiken voor doeleinden van algemeen belang, met name voor de handhaving van het strafrecht en de nationale veiligheid. Deze beperkingen en eisen vloeien voort uit het overkoepelende rechts kader en internationale verplichtingen, met name de Argentijnse grondwet, h et A m e r i k a a n se Verdrag tot bescherming van de rechten van de mens, Verdrag 108 en Verdrag 108 +, en uit de r\rgentij nse gegevensbescherm i ngsregels (W et n r. 25.326 van H oktober 2000 inzake de bescherming van persoonsgegevens) die ook van toepassing zijn op de verwerking van persoonsgegevens door Arg ent ij nse overhei dsi nstanties, onder meer voor doeleinden van rechts handhaving en nationale veiligheid. Daarnaast legt het Arg ent ij nse recht een aantal specifieke voorwaarden en beperkingen op voor de toegang tot en het gebruik van persoonsgegevens voor de handhaving van het strafrecht en de nationale veiligheid en voorziet het in toezicht" en verhaal mechanismen op dit gebied.
Op basis van de algemene bevindingen in hetSWD concludeert de Vv o m missie dat r\ r g e n t i n i ë een passend beschermingsniveau blijft waarborgen voor persoonsgegevens die vanuit de EU worden doorgegeven.
Tegelijkertijd beveelt de Commissie aan om de beschermingseisen die op het niveau van secundaire regelgeving zijn o n tw ikkeld, in wetgeving vastte leggen om de rechts zekerheid te vergroten en deze eisen te consolideren. De o n tw erpwet inzake gegevensbescherming die onlangs in het A rgentijnse Congres is ingediend, kan een kans bieden om dergel ij ke
9
o n tw ikkelingen te codificeren en zo het Ar g entijnse privacy kader verder te ver st erken. De Commissie zal de toekom stige o n tw ikkelingen op ditterrein nauwlettend volgen.
4.3. C a n a d a
De C ommissie is verheugd over de o n tw ikkelingen in het Uanadese rechts kader sinds de vaststelling van het adequaatheidsbesluit, met inbegrip van diverse wetswijzigingen, rechtspraak en activiteiten van toezichthoudende instanties, die hebben b ij gedragen tot een hoger niveau van gegevensbescherming. In het b ij zonder is de Personal Information Protection and electronic Uocu m ents Act (Pip eda) verder versterkt door middel van verschillende wijzigingen (bv. inzake de voorwaarden voor geldigetoestemming en meldingen van inbreuken in verband met persoonsgegevens), terwijl belangrijke vereisten voor gegevensbescherming (bv. inzake de verwerking van gevoelige gegevens) verder zijn verduidelijkt door middel van rechtspraak en richtlijnen van de Canadese federale autoriteit voor gegevensbescherming, het Office of the Privacy Uommissioner, legelijkertijd beveelt de Uom missie aan om een aa n ta I b es c h e r m i n g s e i se n die op het niveau van secundaire regelgeving zijn ontwikkeld, in wetgeving vastte leggen om de rechts zekerheid te vergroten en deze eisen te consolideren. De lopende hervorming van de Pipeda zou met name een kans kunnen zijn om dergel ij ke on tw ikkelingen te codificeren en zo het Uanadese privacykader verder te ver st erken. De C ommissie zal de toekomstige o n tw ikkelingen op ditterrein nauwlettend volgen.
Wat de toegang van de overheid tot persoonsgegevens betreft, gelden voor de overheidsinstanties in Canada duidelijke, nauwkeurige en toegankelijke regels op grond waarvan deze instanties gegevens die vanuit de EU worden doorgegeven, kunnen raadplegen en vervolgens kunnen gebruiken voor doeleinden van algemeen belang, met name voor de handhaving van het strafrecht en de nationale veiligheid. Deze beperkingen en eisen vloeien voort uit het overkoepelende grondwettelijke kader (het Canadese Handvest van rechten en vr ij heden), rechtspraak, specifieke wetgeving die de toegang tot gegevens regelt, en gegevensbeschermingsregels (d.w.z. de Privacy Act en soortgelijke wetten op provinciaal niveau) die ook van toepassing zijn op de verwerking van persoonsgegevens door Canadese overheidsinstanties, onder meer voor doeleinden van rechts handhaving en nationale veiligheid. Daarnaast biedt het Canadese rechtssysteem e ff ectieve toezicht" en verhaal mechanismen op dit gebied, onder andere door een recente uitbreiding van de rechten van betrokkenen en verhaalsm ogel ij kheden voor niet" Canadese onderdanen of inwoners.
Op basis van de algemene bevindingen in hetSWD concludeertde Vv o m missie dat Uanada een passend beschermingsniveau blijft waarborgen voor persoonsgegevens die vanuit de EU worden doorgegeven aan ontvangers die onder de Pipeda vallen. Zoals hierboven vermeld, wordt de Pipeda momenteel hervormd, waardoor de privacybescherming nog verder kan worden versterkt, ook op gebieden die relevant zijn voor de vaststelling van de adequaatheid.
4.4. Fa eröer
De C ommissie is verheugd over de o n tw ikkelingen in het rechts kader van de Taeroer sinds de vaststelling van het adequaatheidsbesluit, waaronder wetswijzigingen, rechtspraak en activiteiten van toezichthoudende instanties, die hebben b ij gedragen tot een hoger niveau van
10
gegevensbescherming. De Faeröer hebben met name hun gegevensbeschermingskader aanzienlijk gemoderniseerd door de goedkeuring van de Data P r otecti o n Act, die in 2021 in werking is getreden en het Taeroerse stelsel nauw heeft afgestemd op de AVG.
Wat de toegang van de overheid tot persoonsgegevens betreft, gelden voor de overheidsinstanties in de Faeröer duidelijke, nauwkeurige en toegankelijke regels op grond waarvan deze instanties gegevens die vanuit de EU worden doorgegeven, kunnen raadplegen en vervolgens kunnen gebruiken voor doeleinden van algemeen belang, met name voor de handhaving van het strafrecht en de nationale veiligheid. Deze beperkingen en eisen vloeien voort uit het overkoepelende rechts kader en internationale verplichtingen, met name het g r o n d w ette MJke kader en het EVRM, alsook uit specifieke wetten die de toegang van de overheid tot gegevens regelen en de gegevensbeschermingsregels die van toepassing zijn op de verwerking van persoonsgegevens voor de handhaving van het strafrecht (de wet betreffende de verwerking van persoonsgegevens door rechtshandhavingsinstanties die in 2022 op de Faeröer in werking is getreden en die de wetgeving omzet die door Denemarken is vastgesteld ter uitvoering van Ixichtlijn (EU) 2016/680 op de Faeröer) en van de nationale veiligheid (vervat in de Act on the Security and Intelligence Service). Bovendien zijn er op dit gebied effectieve toezicht" en verhaal mechanismen beschikbaar.
Op basis van de algemene bevindingen in hetSWD concludeert de Uom missie dat de Taeröer een passend beschermingsniveau blijven waarborgen voor persoonsgegevens die vanuit de EU worden doorgegeven.
4, 5. Cju er n sey
De C ommissie is verheugd over de o n tw ikkelingen in het rechts kader van vjuernsay sinds de vaststelling van het adequaatheidsbesluit, waaronder wetswijzigingen en activiteiten van toezichthoudende instanties, die hebben b ij gedragen tot een hoger niveau van gegevensbescherming. Guernsey heeft met name zijn gegevensbeschermingskader aanzienlijk gemoderniseerd door de Data P rotection ^Dailiwick ofvjuernsey ) Law 2017 aan te nemen, die sinds 2019 van toepassing is en het stelsel van vjuernsey nauw afstemt op de AVG.
Wat de toegang van de overheid tot persoonsgegevens betreft, gelden voor de overheidsinstanties in Guernsey duidelijke, nauwkeurige en toegankelijke regels op grond waarvan deze instanties gegevens die vanuit de EU worden doorgegeven, kunnen raadplegen en vervolgens kunnen gebruiken voor doeleinden van algemeen belang, met name voor de handhaving van het strafrecht en de nationale veiligheid. Deze beperkingen en eisen vloeien voort uit het overkoepelende rechts kader en internationale verplichtingen, met name het EVRM en Verdrag 108, a, sook uit de gegevensbeschermingsregels van vjuernsey, met inbegrip van de specifieke bepalingen voor de verwerking van persoonsgegevens in het kader van de rechts handhaving die zijn vastgesteld in de Data P rotection (Law Enforcement and Related M atters) (Bailiwick of Guernsey) Ordinance, 2018. Daarnaast legt het recht van Guernsey een aantal specifieke voorwaarden en beperkingen op voor de toegang tot en het gebruik van persoonsgegevens voor de handhaving van het strafrecht en de nationale veiligheid en voorziet het in toezicht" en verhaal mechanismen op dit gebied.
11
Op basis van cl e algemene bevindingen in hetSWD concludeert de Vv o m missie datvjuernsey een passend beschermingsniveau blijft waarborgen voor persoonsgegevens die vanuit de EU worden doorgegeven.
4.6. Man
De C om missie is verheugd over de o n tw ikkelingen in hetrechts kader van het eiland M an sinds de vaststelling van het adequaatheidsbesluit, waaronder w ets w ijzigingen en activiteiten van toezichthoudende instanties, die hebben b ij gedragen tot een hoger niveau van gegevensbescherm i ng. Het ei land M an heeft met name in 2018 nieuwe wetgeving aangenomen (de Data P rotecti o n Act 2018, aangevuld met de Data P rotecti o n l/\p plication of GDPR) 0 rd er 2018) die de meeste bepalingen van het gegevensbeschermingskader van de EU in de rechtsorde van het eiland M an opneemt en slechts kleine aanpassingen aanbrengt op specifieke punten, met name om het kader aan de lokale context aan te passen.
Wat de toegang van de overheid tot persoonsgegevens betreft, gelden voor de overheidsinstantiesop het eiland M an duidelijke, nauwkeurige en toegankelijke regels op grond waarvan deze instanties gegevens die vanuit de EU worden doorgegeven en vervolgens kunnen gebruiken voor doeleinden van algemeen belang, met name voor de handhaving van het strafrecht en de nationale veiligheid. Deze beperkingen en eisen vloeien voort uit het overkoepelende rechts kader en internationale verplichtingen, met name het EVRM en Verdrag 108, al sook uit de gegevensbeschermingsregels van het eiland M an, met inbegrip van de specifieke bepalingen voor de verwerking van persoonsgegevens in het kader van de rechts handhaving die zijn vastgesteld in de Data P rotecti o n l/\p plication of LED) Order 2018 en de LED I mplementing Keg u lati ons 2018. Daa rnaast legt het recht van het eiland Man een aantal specifieke voorwaarden en beperkingen op voor de toegang tot en het gebruik van persoonsgegevens voor de handhaving van het strafrecht en de nationale veiligheid en voorziet het in toezicht" en verhaal mechanismen op dit gebied.
Op basis van de algemene bevindingen in hetSWD concludeert de Vv o m missie dat het eiland M an een passend beschermingsniveau blijft waarborgen voor persoonsgegevens die vanuit de EU worden doorgegeven.
4, 7, Israël
De C ommissie is verheugd over de o n tw ikkelingen in het Israëlische rechts kader sinds de vaststelling van het adequaatheidsbesluit, waaronder wetswijzigingen, rechtspraak en activiteiten van toezichthoudende instanties, die hebben b ij gedragen tot een hoger niveau van gegevensbescherming. Israël heeft met name specifieke eisen opgelegd ter versterking van de bescherming van persoonsgegevens die vanuit de Europese Economische Ruimte worden doorgegeven, door de goedkeuring van Verordening 5783-2023 inzake de bescherming van de persoonlijke levenssfeer (instructies voor gegevens die naar Israël worden doorgegeven vanuit de Europese Economische Ruimte). Israël versterkte ook de eisen voor gegevensbeveiliging door de goedkeuring van Verordening 5777-2017 inzake de bescherming van de persoonlijke levenssfeer (gegevensbeveiliging) en consolideerde de onafhankelijkheid van zijn toezichthoudende autoriteit voor gegevensbescherming in een bindende regeringsresolutie.
12
Wat de toegang van de overheid tot persoonsgegevens betreft, gelden voor de overheidsinstanties in Israël duidelijke, nauwkeurige en toegankelijke regels op grond waarvan deze instanties gegevens die vanuit de EU worden doorgegeven, kunnen raadplegen en vervolgens kunnen gebruiken voor doeleinden van algemeen belang, met name voor de handhaving van het strafrecht en de nationale veiligheid. Deze beperkingen en eisen vloeien voort uit het overkoepelende rechts kader, met name de Israëlische basiswet, alsook uit Wet 5741-1981 inzake de bescherming van de persoonlijke levenssfeer en de op grond daarvan vastgestelde verordeningen, die van toepassing zijn op de verwerking van persoonsgegevens door Israëlische overheidsinstanties, onder meer voor doeleinden van rechts handhaving en nationale veiligheid. Daarnaast legt het Israëlische recht een aantal specifieke voorwaarden en beperkingen op voor de toegang tot en het gebruik van persoonsgegevens voor de handhaving van hetstrafrechten de nationale veiligheid en voorziet het in toezicht" en verhaalmechanismen op dit gebied.
Op basis van de algemene bevindingen in hetSWD concludeert de Commissie dat Israël een passend beschermingsniveau blijft waarborgen voor persoonsgegevens die vanuit de EU worden doorgegeven.
Tegelijkertijd beveelt de Commissie aan om een aantal beschermingseisen die op het niveau van secundaire regelgeving en in de rechtspraak zijn o n tw ikkeld, in wetgeving vastte leggen om de rechts zekerheid te vergroten en deze eisen te consolideren. Wet 5722-2022 inzake de bescherming van de persoonlijke levenssfeer (amendment nr. 14), die onlangs in het Israëlische parlement is ingediend, biedt een belangrijke kans om dergel ij ke on tw ikkelingen te consolideren en te codificeren, en daarmee het Israëlische privacykader verder te versterken. De Commissie zal detoekomstige o n tw ikkelingen op ditterrein nauwlettend volgen.
4, 8. -Je r s ey
De C ommissie is verheugd over de o n tw ikkelingen in het rechts kader van Jersey sinds de vaststelling van het adequaatheidsbesluit, waaronder wetswijzigingen, rechtspraak en activiteiten van toezichthoudende instanties, die hebben b ij gedragen tot een hoger niveau van gegevensbescherming. Jersey heeft met name zijn gegevensbeschermingskader aanzienlijk gemoderniseerd door de Data P rotection ^Jersey ) Law 2018 en de Data P rotecti o n Auth o r i ty (Jersey) Law 2018 a an te nemen, die in 2018 in werking zijn getreden en het stelsel van Jersey nauw afstemmen op de AVG.
Wat de toegang van de overheid tot persoonsgegevens betreft, gelden voor de overheidsinstanties in Jersey duidelijke, nauwkeurige en toegankelijke regels op grond waarvan deze instanties gegevens die vanuit de EU worden doorgegeven, kunnen raadplegen en vervolgens kunnen gebruiken voor doeleinden van algemeen belang, met name voor de handhaving van het strafrecht en de nationale veiligheid. Deze beperkingen en eisen vloeien voort uit het overkoepelende rechts kader en internationale verplichtingen, met name het EVRM en Verdrag 108, a, sook uit de gegevensbeschermingsregels van Jersey, met inbegrip van de specifieke bepalingen voor de verwerking van persoonsgegevens in het kader van de rechts handhaving die zijn vastgesteld in de Data P rotection ^Jersey ) Law 2018, zoals gewijzigd bij Schedule 1 bij diewet. Daarnaast legt het recht van Jersey een aantal specifieke voorwaarden
13
en beperkingen op voor de toegang tot en het gebruik van persoonsgegevens voor de handhaving van het strafrecht en de nationale veiligheid en voorziet het in toezicht" en verhaal mechanismen op dit gebied.
Op basis van de algemene bevindingen in hetSWD concludeert de VvO
m missie dat Jersey een
passend beschermingsniveau blijft waarborgen voor persoonsgegevens die vanuit de worden doorgegeven.
EU
4.9. Nieuw-Zt
ee/a n cl
DeC om missie is verheugd over de o n tw ikkelingen in hetrechts kader van l\lieuw~Z_eeland sinds de vaststelling van het adequaatheidsbesluit, waaronder wetswijzigingen, rechtspraak en activiteiten van toezichthoudende instanties, die hebben b ij gedragen tot een hoger niveau van gegevensbescherming. Het stelsel voor gegevensbescherming onderging met name een ingr ij pende hervorming met de goedkeuring van de Privacy Act 2020, die de convergentie met het gegevensbeschermingskader van de EU verder versterkte, met name wat betreft de regels voor internationale doorgiften van persoonsgegevens en de bevoegdheden van de gegevensbescherm ingsautoriteit (het Office ofthe Privacy oom missionerj,
Wat de toegang van de overheid tot persoonsgegevens betreft, gelden voor de overheidsinstanties in NieuwZeeland duidelijke, nauwkeurige en toegankelijke regels op grond waarvan deze instanties gegevens die vanuit de EU worden doorgegeven, kunnen raadplegen en vervolgens kunnen gebruiken voor doeleinden van algemeen belang, met name voor de handhaving van het strafrecht en de nationale veiligheid. Deze beperkingen en eisen vloeien voort uit het overkoepelende grondwettelijke kader (bv. de Bill of Rights Act) en uit rechtspraak, evenals uit specifieke wetten die de toegang van de overheid tot gegevens regelen en bepalingen van de Privacy Act die ook van toepassing zijn op de verwerking van persoonsgegevens door strafrechtelijke handhavingsinstanties en nationale veiligheidsdiensten. Bovendien voorziet het NieuwZeelandse rechtssysteem in verschillende toezicht" en verhaal mechanismen op dit gebied.
Op basis van de algemene bevindingen in hetSWD concludeert de Uommissie dat Nieuw-Zeeland een passend beschermingsniveau bl ij ft waarborgen voor persoonsgegevens die vanuit de EU worden doorgegeven. De C om missie is ook verheugd dat de I \l ieuw_/_eela ndse regering onlangs een wetsvoorstel tot wijziging van de Privacy Act 2020 h e ef t ingediend bij het parlement om de bestaande transparantievereisten verder aan te scherpen. DeC om missie zal de toekomstige o n tw ikkelingen op ditterrein nauwlettend volgen.
4, 10. Zwitserland
De C ommissie is verheugd over de o n tw ikkelingen in het Zwitserse rechts kader sinds de vaststelling van het adequaatheidsbesluit, waaronder w ets w ijzigingen, rechtspraak en activiteiten van toezichthoudende instanties, die hebben b ij gedragen tot een hoger niveau van gegevensbescherming. Dit betreft in het b ij zonder de gemoderniseerde federale gegevensbescherm ingswet die de convergentie met het gegevensbeschermingskader van de EU verder heeft vergroot, met name wat betreft de bescherming van gevoelige gegevens en de
14
regels voor internationale doorgifte van gegevens. Zwitserland heeft ook zijn internationale verplichtingen op het gebied van gegevensbescherming versterkt door in september 2023 Verdrag 108 + te ratificeren.
Wat de toegang van de overheid tot persoonsgegevens betreft, gelden voor de overheidsinstanties in Zwitserland duidelijke, nauwkeurige en toegankelijke regels op grond waarvan deze instanties gegevens die vanuit de EU worden doorgegeven, kunnen raadplegen en vervolgens kunnen gebruiken voor doeleinden van algemeen belang, met name voor de handhaving van het strafrecht en de nationale veiligheid. Deze beperkingen en eisen vloeien voort uit het overkoepelende rechts kader en internationale verplichtingen, met name de Zwitserse federale grondwet, het EVRM en V e r d r a g 108 + , alsook uit de Zwitserse regels inzake gegevensbescherming, waaronder de federale gegevensbeschermingswet en specifieke regels inzake gegevensbescherming die van toepassing zijn op de strafrechtelijke h a n d h a v i n g s i n sta nti es (bv. hetwetboek van strafvordering) en de nationale veiligheidsdiensten (bv. de wet op de inlichtingendienst). Daarnaast legt het Zwitserse recht een aantal specifieke voorwaarden en beperkingen op voor de toegang tot en het gebruik van persoonsgegevens voor de handhaving van het strafrecht en de nationale veiligheid en voorziet het in toezicht" en verhaal mechanismen op dit gebied.
Op basis van de algemene bevindingen in hetSWD concludeert de Vvom missie dat Zwitserland een passend beschermingsniveau blijft waarborgen voor persoonsgegevens die vanuit de EU worden doorgegeven.
4.11. Ur u g u a y
De C om missie is verheugd over de o n tw ikkelingen in het Uruguayaanse rechts kader sinds de vaststelling van het adequaatheidsbesluit, met inbegrip van diverse wetswijzigingen, rechtspraak en activiteiten van toezichthoudende instanties, die hebben b ij gedragen tot een hoger niveau van gegevensbescherming. Uruguay heeft met name Ley n . 18.333 dep r ote c c i o n de datos personales y Ace ión de Habeas data (wet nr. 18.331 inzake de bescherming van
persoonsgegevens en "Habeas data': " a ct i e) van 2008 gemoderniseerd en versterkt door middel
van w ets w ijzigingen in 2018 en 2020, die het territoriale toepassingsgebied van de wetgeving op het gebied van de gegevensbescherming uitbreidden, en zorgden voor nieuwe vera n tw oordingsvereisten (zoals effectbeoordelingen, gegevensbescherming door o n tw e r p en door standaardins te Hingen, melding van inbreuken in verband met persoonsgegevens en de aanstelling van functionarissen voor gegevensbescherming) en aanvullende bescherming voor biometrische gegevens. Uruguay heeft ook zijn internationale verplichtingen op het gebied van gegevensbescherming versterkt door in 2019 toe te treden tot Verdrag 108 en in 2021 Ve rdrag 108 + te ratificeren.
Wat de toegang van de overheid tot persoonsgegevens betreft, gelden voor de overheidsinstanties in Uruguay duidelijke, nauwkeurige en toegankelijke regels op grond waarvan deze instanties gegevens die vanuit de EU worden doorgegeven, kunnen raadplegen en vervolgens kunnen gebruiken voor doeleinden van algemeen belang, met name voor de handhaving van het strafrecht en de nationale veiligheid. Deze beperkingen en eisen vloeien voort uit het overkoepelende rechts kader en internationale verplichtingen, met name de
15
Uruguyaanse grondwet, het A merikaanse Ver drag tot bescherming van de rechten van de mens, Verdrag 108 en V e r d r a g 108 + , en uit de gegevensbescherm ingsregels in W et n r. 18.331 inzake de bescherming van persoonsgegevens en de Habeas data~actie die van toepassing zijn op de verwerking van persoonsgegevens door Uruguyaanse overheidsinstanties, onder meer voor doeleinden van rechts handhaving en nationale veiligheid. Daarnaast legt het Uruguyaanse recht een aantal specifieke voorwaarden en beperkingen op voor de toegang tot en het gebruik van persoonsgegevens door overheidsinstanties en voorziet het in toezicht" en verhaal mechanismen op dit gebied.
Op basis van de algemene bevindingen van deze eerste evaluatie concludeertde Commissie dat Uruguay een passend beschermingsniveau blijft waarborgen voor persoonsgegevens die vanuit de EU worden doorgegeven.
5. TOEKOMSTIGE MONITORING EN SAMENWERKING
De C om missie erkent de uitstekende samenwerking metde relevante autoriteiten in elk van de betrokken landen en gebieden bij de uitvoering van deze evaluatie en waardeert deze ten z e e rste. De C om missie zal de on t w ikkelingen in de beschermingskaders en de prakt ij k van de betrokken landen en gebieden nauwlettend blijven volgen. In het geval van o n tw ikkelingen in een land of gebied met een passend beschermingsniveau die een negatieve invloed zouden hebben op hetvastgestelde passende niveau van gegevensbescherming, zal de Com missie, waar nodig, gebruikmaken van haar bevoegdheden op grond van artikel 45, Md 5, AVG om een a d e q u a ath e i d s b es I u i t op te schorten, te wijzigen of in te trekken.
Deze evaluatie bevestigt dat de vaststelling van een adequaatheidsbesluit geen ClïïdpUïït IS, maar een gelegenheid biedt om de dialoog en samenwerking met gelijkgestemde internationale partners over gegevensstromen en digitale aangelegenheden meer in het algemeen verder te intensiveren. In dit verband kijkt de Commissie uit naar toekomstige ui tw isselingen met de relevante autoriteiten om de samenwerking op internationaal niveau bij de bevordering van veilige en vrije gegevens st romen verder te ver st erken, onder meer door versterkte samenwerking bij de handhaving. Om deze dialoog te intensiveren en de ui tw isseling van informatie en ervaringen te bevorderen, is de Uom missie van plan om in 2024 e en b ij eenkomst op hoog niveau te organiseren met vertegenwoordigers van de EU en alle landen die profiteren van een adequaatheidsbesluit.
16