Eerste stappen gezet in een EU-VS Data privacy raamwerk
/Door het opstellen van een zogenoemd ontwerp adequaatheidsbesluit heeft de Europese Commissie medio december 2022 het startsein gegeven voor het vaststellen van dat besluit voor een EU-VS-kader voor gegevens privacy. Dat kader moet veilige trans-Atlantische gegevensstromen bevorderen en tegemoet komen aan de bezorgdheid die het Hof van Justitie van de Europese Unie medio 2020 in de Schrems II-kwestie in heeft geuit.
Het gaat om het ontwerp adequaatheidsbesluit van 13 december 2022 (EN), waarover ook een Q&A en factsheet werd uitgegeven. Het ontwerpbesluit inzake adequaatheid, dat de beoordeling door de Commissie van het rechtskader van de Verenigde Staten (VS) weergeeft en waarin wordt geconcludeerd dat het vergelijkbare waarborgen biedt als die van de EU, is nu gepubliceerd en voor advies toegezonden aan het Europees Comité voor gegevensbescherming (EDPB). In het ontwerp-besluit wordt geconcludeerd dat de VS een passend beschermingsniveau bieden voor persoonsgegevens die vanuit de EU aan bedrijven in de VS worden doorgegeven.
Achtergrond
Artikel 45, lid 3, van de Algemene Verordening Gegevensbescherming (AVG) verleent de Europese Commissie de bevoegdheid om door middel van een uitvoeringshandeling te besluiten dat een derde land "een passend beschermingsniveau" waarborgt. Dat wil zeggen een beschermingsniveau voor persoonsgegevens dat in wezen gelijkwaardig is aan het beschermingsniveau binnen de EU. Het gevolg van adequaatheidsbesluiten is dat persoonsgegevens vrij van de EU (en Noorwegen, Liechtenstein en IJsland) naar een derde land kunnen stromen zonder verdere belemmeringen.
Na de ongeldigverklaring van het vorige adequaatheidsbesluit over het EU-VS-privacyschild door het Hof van Justitie van de EU, zijn de Europese Commissie en de Amerikaanse regering besprekingen begonnen over een nieuw kader dat de door het Hof aan de orde gestelde kwesties aanpakt.
Na intensieve onderhandelingen tussen de hoofdonderhandelaars, kondigden voorzitter van de Commissie von der Leyen en president Biden van de VS in maart 2022 een principeakkoord aan over een nieuw trans-Atlantisch kader voor gegevensoverdracht. In oktober 2022 ondertekende president Biden het zogeheten Executive Order "Enhancing Safeguards for United States Signals Intelligence Activities", die werd aangevuld met door de Amerikaanse procureur-generaal Merrick Garland vastgestelde verordeningen. Samen hebben deze twee instrumenten de verbintenissen van de VS omgezet in VS-wetgeving en de verplichtingen voor Amerikaanse ondernemingen aangevuld. Op basis hiervan stelt de Commissie het ontwerpbesluit inzake de adequaatheid van het EU-VS-kader voor gegevensbescherming van medio december 2022 voor.
Zodra het besluit inzake adequaatheid is goedgekeurd, zullen Europese entiteiten persoonsgegevens kunnen doorgeven aan deelnemende bedrijven in de VS, zonder extra waarborgen voor gegevensbescherming te hoeven invoeren.
Belangrijkste elementen van het kader
Amerikaanse bedrijven kunnen zich bij het EU-VS-kader voor gegevensbescherming aansluiten door zich ertoe te verbinden een gedetailleerde reeks privacy verplichtingen na te leven, bijvoorbeeld de verplichting om persoonsgegevens te wissen wanneer ze niet langer nodig zijn voor het doel waarvoor ze zijn verzameld, en om de continuïteit van de bescherming te waarborgen wanneer persoonsgegevens met derden worden gedeeld. EU-burgers krijgen verschillende beroepsmogelijkheden als hun persoonsgegevens in strijd met het kader worden behandeld, onder meer onafhankelijke geschillenbeslechtingsmechanismen en een arbitragepanel.
Daarnaast voorziet het rechtskader van de VS in een aantal beperkingen en waarborgen met betrekking tot de toegang tot gegevens door overheidsinstanties van de VS, met name voor strafrechtelijke handhaving en nationale veiligheidsdoeleinden. Daartoe behoren de nieuwe regels die zijn ingevoerd bij de US Executive Order, waarmee de door het EU-Hof in het Schrems II-arrest (C-311/18) aan de orde gestelde kwesties worden aangepakt:
De toegang tot Europese gegevens door Amerikaanse inlichtingendiensten wordt beperkt tot wat noodzakelijk en evenredig is om de nationale veiligheid te beschermen;
EU-burgers kunnen verhaal halen met betrekking tot het verzamelen en gebruiken van hun gegevens door Amerikaanse inlichtingendiensten bij een onafhankelijk en onpartijdig beroepsmechanisme, dat een nieuw opgerichte rechterlijke instantie voor gegevensbescherming omvat. Deze instantie zal klachten van Europeanen onafhankelijk onderzoeken en oplossen, onder meer door bindende herstelmaatregelen vast te stellen.
Europese bedrijven zullen zich op deze waarborgen kunnen beroepen voor trans-Atlantische gegevensoverdrachten, ook wanneer zij gebruik maken van andere overdrachtsmechanismen, zoals modelcontractbepalingen en bindende bedrijfsvoorschriften.
Persbericht Europese Commissie (EN)