Noot van de redactie: Het Europees Comité voor gegevensbescherming (EDPB) is een onafhankelijk Europees orgaan dat bijdraagt aan de consistente toepassing van de regels voor gegevensbescherming in de hele Europese Unie en de samenwerking tussen de gegevensbeschermingsautoriteiten van de EU bevordert. Onlangs heeft het EDPB, naar aanleiding van het arrest van het Hof van Justitie van de Europese Unie (HvJEU) in de belangrijke zaak voor gegevensbescherming tegen Facebook Ireland en Maximillian Schrems (Schrems II), een document met veelgestelde vragen (FAQ) gepubliceerd om een eerste verduidelijking en voorlopige leidraad voor het arrest. Geleverd voor uw beoordeling en gebruik is een volledige kopie van deze onlangs gepubliceerde FAQ.
Afgenomen van het Europees Comité voor gegevensbescherming (EDPB), voorzitter Andrea Jelinek
Europees Comité voor gegevensbescherming publiceert Veelgestelde vragen over arrest C-311/18 van het Hof van Justitie van de Europese Unie (Schrems II)
Uittreksel van document
Dit document is bedoeld om antwoorden te geven op enkele veelgestelde vragen die door de toezichthoudende autoriteiten („SA's”) zijn ontvangen en zal worden ontwikkeld en aangevuld, samen met verdere analyse, aangezien het EDPB het arrest van het Hof van Justitie van de Europese Unie (het „Hof”) verder onderzoekt en beoordeelt.
Het arrest C-311/18 is hier te vinden en het persbericht van het Hof is hier te vinden.
Wat heeft het Hof in zijn arrest geoordeeld?
In zijn arrest onderzocht het Hof de geldigheid van Besluit 2010/87/EG van de Europese Commissie inzake modelcontractbepalingen (hierna „SCC's” genoemd) en oordeelde het dat het geldig is. De geldigheid van die beschikking wordt immers niet in twijfel getrokken door het enkele feit dat de standaardbepalingen inzake gegevensbescherming in die beschikking, aangezien zij van contractuele aard zijn, de autoriteiten van het derde land waaraan gegevens mogen worden doorgegeven, niet bindend zijn.
Deze geldigheid, voegde het Hof daaraan toe, hangt echter af van de vraag of het besluit 2010/87/EG doeltreffende mechanismen bevat die het in de praktijk mogelijk maken om te waarborgen dat het beschermingsniveau in wezen gelijkwaardig is aan het door de AVG in de EU gegarandeerde niveau en dat de overdracht van persoonsgegevens overeenkomstig dergelijke clausules worden opgeschort of verboden in het geval van schending van dergelijke clausules of het onmogelijk is om ze te respecteren.
In dit verband wijst het Hof er met name op dat het besluit 2010/87/EG een gegevensexporteur en de ontvanger van de gegevens (de „gegevensimporteur”) verplicht is om vóór elke doorgifte en rekening houdend met de omstandigheden van de doorgifte na te gaan of dat beschermingsniveau in acht wordt genomen in het betrokken derde land, en dat de gegevensimporteur krachtens Besluit 2010/87/EG de gegevensexporteur in kennis moet stellen van elk onvermogen om aan de standaardbepalingen inzake gegevensbescherming te voldoen, en indien nodig aanvullende maatregelen ten opzichte van die welke in die clausule worden geboden, waarbij de gegevensexporteur vervolgens op zijn beurt is; verplicht de overdracht van gegevens op te schorten en/of het contract met de gegevensimporteur te beëindigen
Het Hof heeft ook de geldigheid onderzocht van het privacyschildbesluit (Besluit 2016/1250 betreffende de toereikendheid van de door de EU-VS geboden bescherming. Privacy Shield), aangezien de overdrachten in het kader van het nationale geschil dat tot het verzoek om prejudiciële beslissing leidde, plaatsvonden tussen de EU en de Verenigde Staten („VS”).
Het Hof was van oordeel dat de vereisten van het nationale recht van de Verenigde Staten, en met name bepaalde programma's die de Amerikaanse overheid toegang verlenen tot persoonsgegevens die voor nationale veiligheidsdoeleinden van de EU naar de VS worden doorgegeven, leiden tot beperkingen op de bescherming van persoonsgegevens die niet zijn omschreven op een manier die voldoet aan vereisten die in wezen gelijkwaardig zijn aan die welke krachtens de EU-wetgeving worden verlangd, en dat deze wetgeving de betrokkenen geen rechtsvordering verleent tegen de Amerikaanse autoriteiten.
Als gevolg van een dergelijke mate van inmenging van de grondrechten van personen van wie de gegevens aan dat derde land worden doorgegeven, heeft het Hof het besluit inzake toereikendheid van het privacyschild ongeldig verklaard.
Bekijk het Complete FAQ Document (PDF)
Veelgestelde vragen over het arrest van het Hof van Justitie Schrems II — 24 juli 2020
Lees de originele FAQ van het Europees Comité voor gegevensbescherming
Aanvullend lezen
Het HvJEU maakt het besluit inzake de toereikendheid van bescherming in het kader van het EU-VS-gegevensbeschermingsschild ongeldig
De leeftijd van toestemming? Richtlijnen van het Europees Comité voor gegevensbescherming inzake toestemming onder de AVG
Bron: ComplexDiscovery