Bijlagen bij COM(2017)7 - Uitwisseling en bescherming van persoonsgegevens in een geglobaliseerde wereld - Hoofdinhoud
Dit is een beperkte versie
U kijkt naar een beperkte versie van dit dossier in de EU Monitor.
| dossier | COM(2017)7 - Uitwisseling en bescherming van persoonsgegevens in een geglobaliseerde wereld. |
|---|---|
| document | COM(2017)7   |
| datum | 10 januari 2017 |
(6)
Mededeling van de Commissie aan het Europees Parlement, de Raad, het Europees Economisch en Sociaal Comité en het Comité van de Regio’s, "De Europese veiligheidsagenda", COM(2015) 185 final van 28.4.2015.
(7)
Arrest van het Hof van Justitie van de EU van 6 oktober 2015 in zaak C-362/14, Maximilian Schrems tegen Data Protection Commissioner, punten 73, 74 en 96. Zie ook overweging 104 van de algemene verordening gegevensbescherming en overweging 67 van de politiële richtlijn, waarin wordt verwezen naar de norm van wezenlijke overeenkomst.
(8)
Zie artikel 45 van de algemene verordening gegevensbescherming. Volgens artikel 45, lid 2, moet de Commissie bij haar beoordeling onder meer rekening houden met de rechtsstatelijkheid, de eerbiediging van de mensenrechten en de fundamentele vrijheden en de toepasselijke wetgeving, onder meer inzake gegevensbescherming, openbare veiligheid, defensie, nationale veiligheid en strafrecht en de toegang van overheidsinstanties tot persoonsgegevens. Deze aspecten moeten worden ondersteund door doeltreffende en afdwingbare rechten, waaronder administratief beroep of beroep in rechte voor natuurlijke personen, en een doeltreffende onafhankelijke toezichthoudende autoriteit, teneinde naleving van de gegevensbeschermingsregels te waarborgen en te handhaven. Ook zal er rekening worden gehouden met de naleving van juridisch bindende overeenkomsten, met name Verdrag 108 van de Raad van Europa, en medewerking aan multilaterale of regionale regelingen voor gegevensbescherming.
(9)
Zie artikel 36, lid 2, van de politiële richtlijn voor de specifieke aspecten van een adequaatheidsbeoordeling.
(10)
Zie artikel 45, lid 1, van de algemene verordening gegevensbescherming en artikel 36, lid 1, van de politiële richtlijn.
(11)
Zie bv. Mededeling van de Commissie aan het Europees Parlement en de Raad over de doorgifte van persoonsgegevens van de EU naar de Verenigde Staten van Amerika krachtens Richtlijn 95/46/EG naar aanleiding van het arrest van het Hof van Justitie in zaak C-362/14 (Schrems), COM(2015) 566 final, 6.11.2015.
(12)
Modelcontractbepalingen bevatten de respectieve gegevensbeschermingsverplichtingen tussen de EU-exporteur en de importeur in een derde land.
(13)
Bindende bedrijfsvoorschriften zijn interne regels die zijn vastgesteld door een multinationale groep ondernemingen voor de doorgifte van gegevens binnen dezelfde vennootschapsgroep naar entiteiten die gevestigd zijn in landen waar geen passend beschermingsniveau is. Hoewel bindende bedrijfsvoorschriften al in gebruik zijn op grond van de richtlijn van 1995, wordt de rol ervan als instrument voor doorgiften bij de algemene verordening gegevensbescherming gecodificeerd en geformaliseerd.
(14)
Zie artikel 46, lid 2, onder c) en d), en overweging 168 van de algemene verordening gegevensbescherming.
(15)
Zie artikel 46, lid 2, onder b), artikel 47 en overweging 110 van de algemene verordening gegevensbescherming.
(16)
Zie artikel 46, lid 2, van de algemene verordening gegevensbescherming.
(17)
Dat vergunningsvereisten voor menige onderneming, en met name voor kmo's, een handelsbarrière vormen, is onder meer benadrukt in het UNCTAD-verslag, blz. 34.
(18)
Zie artikel 46, lid 2, onder e) en f), van de algemene verordening gegevensbescherming.
(19)
Verwerkingsverantwoordelijken buiten de EU zullen zich kunnen houden aan een EU-gedragscode of -certificeringsmechanisme door via contractuele of andere juridisch bindende instrumenten bindende en afdwingbare toezeggingen te doen om de in die instrumenten vervatte waarborgen inzake gegevensbescherming toe te passen. Zie artikel 42, lid 2, van de algemene verordening gegevensbescherming.
(20)
Zie artikel 46, lid 2, onder a), en artikel 46, lid 3, onder b), van de algemene verordening gegevensbescherming.
(21)
Zie artikel 49 van de algemene verordening gegevensbescherming.
(22)
Artikel 49, lid 1, tweede alinea.
(23)
Zie artikel 50 van de algemene verordening gegevensbescherming.
(24)
Zie bv. Mededeling van de Commissie aan het Europees Parlement, de Raad, het Europees Economisch en Sociaal Comité en het Comité van de Regio’s, "Handel voor iedereen – Naar een meer verantwoord handels- en investeringsbeleid", COM(2015) 497 final van 14.10.2015, blz. 7.
(25)
Speciale Eurobarometer 431 – Gegevensbescherming, juni 2015.
(26)
Politieke beleidslijnen van voorzitter Juncker: Een nieuwe start voor Europa: mijn agenda voor banen, groei, billijkheid en democratische verandering.
(27)
Zie voetnoot 7.
(28)
Vgl. punt 74 van het Schrems-arrest.
(29)
Uitvoeringsbesluit (EU) 2016/1250 van de Commissie of 12 juli 2016.
(30)
De Commissie moedigt de VS aan om inspanningen te blijven leveren om tot een breed systeem voor privacy- en gegevensbescherming te komen, zodat de twee systemen op de langere termijn kunnen convergeren. Zie Mededeling van de Commissie aan het Europees Parlement en de Raad "Trans-Atlantische gegevensstromen: herstel van vertrouwen door solide waarborgen", COM(2016) 117 final van 29.2.2016.
(31)
Dit omvat met name de toepassing van Presidential Policy Directive 28 (PPD-28), waarbij een aantal beperkingen en waarborgen voor operaties betreffende signaalinlichtingen worden ingesteld, en de aanstelling van een specifieke ombudsman voor klachten hieromtrent van EU-burgers.
(32)
G. Greenleaf, "Global data privacy laws 2015: 109 countries, with European laws now in a minority", (2015) 133 Privacy Laws & Business International Report, 14-17.
(33)
UNCTAD-studie, blz. 8 en 42 (voetnoot 4 hierboven).
(34)
In dit opzicht houdt de Commissie bij het beoordelen van de adequaatheid ook rekening met de verplichtingen van het derde land die voortvloeien uit juridisch bindende verdragen, met name de toetreding tot Verdrag 108 en het bijbehorende Aanvullend Protocol. Zie artikel 45, lid 2, onder c), en overweging 105 van de algemene verordening gegevensbescherming.
(35)
Voor landen die van belang zijn voor samenwerking op het gebied van interne veiligheid en rechtshandhaving, zal de Commissie onderzoeken of specifieke adequaatheidsvaststellingen mogelijk zijn op grond van de politiële richtlijn (zie deel 4).
(36)
Dit kan met name relevant zijn voor ontwikkelings- en overgangslanden, aangezien de bescherming van persoonsgegevens zowel een essentieel element van de rechtsstaat is als een belangrijke factor voor economisch concurrentievermogen.
(37)
Japan en Korea hebben onlangs hun wetgeving vastgesteld of gemoderniseerd en daarbij brede gegevensbeschermingsregelingen ingevoerd.
(38)
Krachtens artikel 45, leden 4 en 5, van de algemene verordening gegevensbescherming dient de Commissie doorlopend toezicht op ontwikkelingen in derde landen te houden en is zij bevoegd tot intrekking, wijziging of schorsing van een adequaatheidsbesluit over te gaan als zij vaststelt dat het betrokken land niet langer een passend beschermingsniveau waarborgt.
(39)
Artikel 45, lid 3, van de algemene verordening gegevensbescherming.
(40)
Artikel 97, lid 2, onder a), van de algemene verordening gegevensbescherming bepaalt ook dat de Commissie een evaluatieverslag uiterlijk in 2020 moet indienen bij het Europees Parlement en de Raad.
(41)
Om consequenties te verbinden aan het Schrems-arrest, waarbij werd vastgesteld dat de Commissie haar bevoegdheden had overschreden door in het veiligehavenbesluit de bevoegdheden van de gegevensbeschermingsautoriteiten om gegevensstromen op te schorten of te verbieden, te beperken, stelde de Commissie op 16 december 2016 een corrigerend "omnibus"-besluit vast, waarbij soortgelijke bepalingen in bestaande adequaatheidsbesluiten worden geschrapt en vervangen door bepalingen die louter voorzien in informatievoorschriften tussen de lidstaten en de Commissie ingeval een gegevensbeschermingsautoriteit doorgiften naar een derde land opschort of verbiedt. Verder wordt de Commissie bij het omnibusbesluit verplicht om de relevante ontwikkelingen in het derde land te volgen. Zie PB L 344 van 17.12.2016, blz. 83.
(42)
Een adequaatheidsvaststelling is met name een unilateraal uitvoeringsbesluit dat de Commissie neemt overeenkomstig het EU-recht inzake gegevensbescherming, op basis van de daarin vervatte criteria.
(43)
Zie mededeling "Handel voor iedereen", blz. 12 (voetnoot 24 hierboven).
(44)
Zie artikel 46, lid 2, onder c) en d), en overweging 109 van de algemene verordening gegevensbescherming, waarin wordt uitgelegd dat aanpassingen van goedgekeurde standaardbepalingen mogelijk zijn, mits deze niet direct of indirect in tegenspraak zijn met die standaardbepalingen en geen afbreuk doen aan de grondrechten of fundamentele vrijheden van de betrokkenen.
(45)
Momenteel zijn er geen modelbepalingen van toepassing op doorgifte tussen in de EU gevestigde verwerkers en in een niet-EU-land gevestigde verwerkers.
(46)
Artikel 43, leden 8 en 9, van de algemene verordening gegevensbescherming.
(47)
Zie de APEC/EU Common Referential for the Structure of the EU Binding Corporate Rules (2014) en het APEC Cross Border Privacy Rules System (CBPR), ter vergelijking van de conformiteits- en certificeringsvoorschriften van beide systemen: http://www.apec.org/~/media/Files/Groups/ECSG/20140307_Referential-BCR-CBPR-reqs.pdf.
(48)
Verdrag van de Raad van Europa van 28 januari 1981 tot bescherming van personen met betrekking tot de geautomatiseerde verwerking van persoonsgegevens (ETS nr. 108) en Aanvullend Protocol bij het Verdrag tot bescherming van personen met betrekking tot de geautomatiseerde verwerking van persoonsgegevens inzake toezichthoudende autoriteiten en grensoverschrijdend verkeer van gegevens (ETS nr. 181) (2001).
(49)
Mauritius, Senegal en Uruguay hebben het Verdrag bekrachtigd. Daarnaast zijn Kaapverdië, Marokko en Tunesië verzocht om toe te treden.
(50)
Zie ook de "Ministerial Declaration on the Digital Economy: Innovation, Growth and Social Prosperity" van de OESO van 23 juni 2016 ("de verklaring van Cancun").
(51)
Zie: http://www.ohchr.org/EN/Issues/Privacy/SR/Pages/SRPrivacyIndex.aspx .
(52)
Uitvoeringsbesluit C(2016)7198 van de Commissie, ter goedkeuring van de tweede fase van het jaarlijks actieprogramma 2016 van het partnerschapsinstrument.
(53)
Tot de bestaande netwerken behoort ook het Global Privacy Enforcement Network (GPEN), dat in 2010 in OESO-verband is opgezet. Het betreft een informeel netwerk van privacyhandhavingsautoriteiten, waarbij gegevensbeschermingsautoriteiten zijn aangesloten en dat onder meer belast is met samenwerking op het gebied van rechtshandhaving, uitwisseling van beste praktijken op het gebied van grensoverschrijdende uitdagingen en ondersteuning van gezamenlijke handhavingsinitiatieven en voorlichtingscampagnes. Het GPEN brengt geen nieuwe juridisch bindende verplichtingen mee voor de deelnemers en beoogt in de eerste plaats de samenwerking bij de handhaving van privacywetgeving voor de particuliere sector te bevorderen. Zie https://privacyenforcement.net/ .
(54)
Overeenkomst tussen de EU en de VS over de bescherming van persoonsgegevens die worden doorgegeven en verwerkt met het oog op het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten, waaronder terrorisme, in het kader van politiële en justitiële samenwerking in strafzaken: http://ec.europa.eu/justice/data-protection/files/dp-umbrella-agreement_en.pdf (de "raamovereenkomst")
(55)
Het sluiten van operationele overeenkomsten met Europol en Eurojust is ook een benchmark bij de dialogen over visumliberalisering met bepaalde derde landen, bv. in het kader van de lopende dialoog met Turkije.
(56)
Zie artikel 39 en overweging 73 van de politiële richtlijn.
(57)
Zie artikel 48 en overweging 115 van de algemene verordening gegevensbescherming.
(58)
Conclusies van de Raad van de Europese Unie over het verbeteren van de strafrechtpleging in de cyberruimte, 9 juni 2016: www.consilium.europa.eu/en/meetings/jha/2016/06/cyberspace--en_pdf/. Nadat de Commissie in december 2016 een voortgangsverslag bij de Raad had ingediend, heeft zij opdracht gekregen om de Raad in juni 2017 concrete resultaten voor te leggen.
(59)
Zie artikel 25, lid 4, van Verordening (EU) 2016/794 van het Europees Parlement en de Raad van 11 mei 2016 betreffende het Agentschap van de Europese Unie voor samenwerking op het gebied van rechtshandhaving (Europol) en tot vervanging en intrekking van de Besluiten 2009/371/JBZ, 2009/934/JBZ, 2009/935/JBZ, 2009/936/JBZ en 2009/968/JBZ van de Raad, PB L 135 van 24.5.2016, blz. 53. De Commissie dient uiterlijk op 14 juni 2021 een beoordelingsverslag in te dienen over de samenwerkingsovereenkomsten van Europol die vóór 1 mei 2017 zijn gesloten.
(60)
Advies van het Hof van Justitie over de ontwerpovereenkomst tussen de EU en Canada inzake PNR van 2014 (Advies 1/15). Het Hof was verzocht om de verenigbaarheid van de ontwerpovereenkomst te toetsen aan het EU-Handvest van de grondrechten.