Arrest Schrems: Commissie geeft richtsnoeren voor trans-Atlantische gegevensoverdrachten en dringt aan op de snelle vaststelling van een nieuw kader

Met dank overgenomen van Europese Commissie (EC), gepubliceerd op vrijdag 6 november 2015.

Het arrest van het Europees Hof van Justitie van 6 oktober in de zaak Schrems benadrukt het belang van het fundamentele recht op gegevensbescherming, ook bij de overdracht van persoonsgegevens aan derde landen.

De Europese Commissie werkt sinds januari 2014 aan een betere bescherming van de Europese burgers in geval van gegevensoverdracht. Zij doet dat op basis van 13 aanbevelingen. Naar aanleiding van het arrest van het Hof heeft de Commissie de onderhandelingen met de Verenigde Staten over een hernieuwd en veilig kader voor de overdracht van persoonsgegevens, geïntensiveerd. De Commissie wil de besprekingen binnen drie maanden afronden.

Intussen moeten de ondernemingen het arrest naleven en gebruikmaken van eventuele alternatieve instrumenten voor gegevensoverdracht. Overeenkomstig de verklaring van eerste vicevoorzitter Timmermans en commissaris Jourová op de dag van het arrest, brengt de Commissie vandaag richtsnoeren uit voor trans-Atlantische gegevensoverdrachten in overeenstemming met het arrest en in afwachting van het nieuwe kader daarvoor. In de toelichtende mededeling van de Commissie worden de gevolgen van het arrest geanalyseerd en worden de alternatieve mechanismen voor overdracht van persoonsgegevens naar de Verenigde Staten uiteengezet. De Commissie zal ook nauw blijven samenwerken met de onafhankelijke gegevensbeschermingsautoriteiten, om een uniforme toepassing van het arrest te garanderen.

Vicevoorzitter Andrus Ansip, bevoegd voor de digitale eengemaakte markt: "We moeten in de loop van de komende drie maanden een akkoord sluiten met onze partners in de Verenigde Staten. De Commissie is gevraagd snel actie te ondernemen, en doet dat ook. We brengen vandaag duidelijke richtsnoeren uit en we zullen ons aan een strak tijdschema houden om de huidige onderhandelingen af te ronden. De EU en de Verenigde Staten zijn elkaars belangrijkste handelspartners. De gegevensstromen tussen Europa en de Verenigde Staten zijn van cruciaal belang voor personen en ondernemingen. Hoewel er alternatieve instrumenten zijn, is een veiliger nieuw kader de beste optie om onze burgers te beschermen en de administratieve rompslomp voor ondernemingen, en met name start-ups, te verminderen."

Commissaris Věra Jourová: "Burgers hebben sterke waarborgen nodig om zeker te kunnen zijn dat hun grondrechten worden geëerbiedigd, en ondernemingen moeten duidelijk weten waar zij aan toe zijn tijdens deze overgangsperiode. Vandaag willen we uitleggen hoe ondernemingen op rechtmatige wijze tijdens deze overgangsperiode gegevens kunnen overdragen. Daarnaast zullen we nauw blijven samenwerken met de nationale gegevensbeschermingsautoriteiten, die verantwoordelijk zijn voor de handhaving van de gegevensbeschermingswetgeving in de lidstaten. Ik heb de besprekingen met de Verenigde Staten met het oog op een hernieuwd en solide kader voor trans-Atlantische gegevensstromen geïntensiveerd en zal volgende week in Washington hierover verder onderhandelen. In ieder geval moet de nieuwe regeling aan de eisen van het arrest van het Hof voldoen."

De Commissie benadrukt in haar mededeling de volgende punten:

  • de veiligehavenregeling kan niet langer als rechtsgrond worden gebruikt voor de overdracht van persoonsgegevens naar de Verenigde Staten;
  • de Commissie zal de onderhandelingen voor een hernieuwd en solide kader voor trans-Atlantische overdracht van persoonsgegevens voortzetten en afronden; het eindresultaat moet voldoen aan de eisen van het arrest van het Hof, met name wat betreft beperkingen en waarborgen in verband met de toegang van de autoriteiten van de Verenigde Staten tot persoonsgegevens;
  • andere adequaatheidsbesluiten zullen moeten worden gewijzigd, om te garanderen dat de gegevensbeschermingsautoriteiten de vrijheid behouden om klachten van individuen te onderzoeken.

In de mededeling worden de alternatieve gronden voor overdrachten van persoonsgegevens naar de Verenigde Staten uiteengezet, zonder afbreuk te doen aan de onafhankelijkheid van de gegevensbeschermingsautoriteiten en hun bevoegdheden om de wettelijkheid van deze overdrachten te onderzoeken. Bedrijven kunnen op dit moment gegevens overdragen op basis van:

  • Contractuele oplossingen: contractuele regels moeten verplichtingen omvatten zoals veiligheidsmaatregelen, informatieverstrekking aan de betrokkene en waarborgen in geval van overdracht van gevoelige gegevens. Modelcontractbepalingen zijn hier beschikbaar.
  • Bindende bedrijfsvoorschriften voor overdrachten binnen een concern: op basis van dergelijke voorschriften kunnen persoonsgegevens vrij circuleren tussen de verschillende kantoren van een bedrijf dat wereldwijd actief is. Deze voorschriften moeten zijn toegestaan door de gegevensbeschermingsautoriteiten in iedere lidstaat waaruit de multinational gegevens wil overdragen.
  • Afwijkingen:

o het sluiten of uitvoeren van een contract [ook in precontractuele situaties, bv. om in de Verenigde Staten een vlucht of hotelovernachting te reserveren, mogen persoonsgegevens worden overgedragen];

o de instelling of handhaving van rechtsvorderingen;

o indien er geen andere grond is: de vrije en geïnformeerde toestemming van de persoon.

Achtergrond

Op 6 oktober heeft het Hof van Justitie in de zaak Schrems geoordeeld dat de veiligehavenregeling van de Commissie ongeldig is. Het Hof bevestigde in het arrest de benadering van de Commissie, die sinds november 2013 werkt aan een herziening van de veiligehavenregeling om in de praktijk een passend gegevensbeschermingsniveau te garanderen, zoals voorgeschreven door het EU-recht.

Op 15 oktober zijn vicevoorzitter Ansip, commissaris Oettinger en commissaris Jourová samengekomen met bedrijven en vertegenwoordigers van de sector, die hebben verzocht om een duidelijke en uniforme interpretatie van het arrest, en om meer duidelijkheid over de instrumenten die zij kunnen gebruiken om gegevens over te dragen.

Op 16 oktober hebben de 28 nationale gegevensbeschermingsautoriteiten (Groep gegevensbescherming artikel 29) een verklaring afgegeven over de gevolgen van het arrest.

Meer informatie:

MEMO/15/6014

IP/15/6015

 

Contactpersoon voor de pers:

Voor het publiek: Europe Direct per telefoon 00 800 67 89 10 11 of e-mail