EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Document 32016D2295

UItvoeringsbesluit (EU) 2016/2295 van de Commissie van 16 december 2016 tot wijziging van Beschikkingen 2000/518/EG, 2002/2/EG, 2003/490/EG, 2003/821/EG, 2004/411/EG, 2008/393/EG, Besluiten 2010/146/EU, 2010/625/EU, 2011/61/EU en Uitvoeringsbesluiten 2012/484/EU en 2013/65/EU over de passende bescherming van persoonsgegevens door bepaalde landen, overeenkomstig artikel 25, lid 6, van Richtlijn 95/46/EG van het Europees Parlement en de Raad (Kennisgeving geschied onder nummer C(2016) 8353) (Voor de EER relevante tekst )

C/2016/8353

OJ L 344, 17.12.2016, p. 83–91 (BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

In force

ELI: http://data.europa.eu/eli/dec_impl/2016/2295/oj

17.12.2016   

NL

Publicatieblad van de Europese Unie

L 344/83


UITVOERINGSBESLUIT (EU) 2016/2295 VAN DE COMMISSIE

van 16 december 2016

tot wijziging van Beschikkingen 2000/518/EG, 2002/2/EG, 2003/490/EG, 2003/821/EG, 2004/411/EG, 2008/393/EG, Besluiten 2010/146/EU, 2010/625/EU, 2011/61/EU en Uitvoeringsbesluiten 2012/484/EU en 2013/65/EU over de passende bescherming van persoonsgegevens door bepaalde landen, overeenkomstig artikel 25, lid 6, van Richtlijn 95/46/EG van het Europees Parlement en de Raad

(Kennisgeving geschied onder nummer C(2016) 8353)

(Voor de EER relevante tekst)

DE EUROPESE COMMISSIE,

Gezien het Verdrag betreffende de werking van de Europese Unie,

Gezien Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1), en met name artikel 25, lid 6,

Na raadpleging van de Europese Toezichthouder voor gegevensbescherming,

Overwegende hetgeen volgt:

(1)

In zijn arrest van 6 oktober 2015 in de zaak C-362/14, Maximillian Schrems/Data Protection Commissioner (2), heeft het Hof van Justitie van de Europese Unie geoordeeld dat de Commissie, door artikel 3 van Beschikking 2000/520/EG (3) vast te stellen, de bevoegdheid die haar bij artikel 25, lid 6, van Richtlijn 95/46/EG, gelezen in samenhang met het Handvest van de grondrechten van de Europese Unie, is toegekend, heeft overschreden, en heeft het Hof artikel 3 van de beschikking ongeldig verklaard.

(2)

In artikel 3, lid 1, eerste alinea, van Beschikking 2000/520/EG zijn beperkende voorwaarden vastgesteld waaronder nationale toezichthoudende autoriteiten kunnen besluiten om gegevensstromen naar Amerikaanse bedrijven met een zelfcertificering op te schorten, ongeacht het oordeel van de Commissie over de adequaatheid.

(3)

In het arrest-Schrems heeft het Hof van Justitie verduidelijkt dat de nationale toezichthoudende autoriteiten bevoegd blijven voor het toezicht op de doorgifte van persoonsgegevens naar een derde land waarvoor de Commissie een adequaatheidsbesluit heeft genomen en dat de Commissie de bevoegdheden die de toezichthoudende autoriteiten krachtens artikel 28 van Richtlijn 95/46/EG hebben, niet kan beperken. Overeenkomstig dit artikel beschikken deze autoriteiten met name over onderzoeksbevoegdheden, zoals de bevoegdheid om alle inlichtingen in te winnen die voor de uitoefening van hun toezichtstaak noodzakelijk zijn, effectieve bevoegdheden om in te grijpen, bijvoorbeeld door de gegevensverwerking voorlopig of definitief te verbieden, en de bevoegdheid om in rechte op te treden (4).

(4)

Het Hof van Justitie heeft er in het arrest-Schrems aan herinnerd dat de lidstaten en hun organen overeenkomstig artikel 25, lid 6, tweede alinea, van Richtlijn 95/46/EG de noodzakelijke maatregelen moeten nemen om zich naar de besluiten van de instellingen van de Unie te voegen, aangezien deze in beginsel worden geacht rechtmatig te zijn en derhalve rechtsgevolgen hebben totdat ze worden ingetrokken, nietig verklaard in een beroep tot nietigverklaring of ongeldig verklaard na een verzoek om een prejudiciële beslissing of een exceptie van onwettigheid.

(5)

Een adequaatheidsbesluit dat de Commissie overeenkomstig artikel 25, lid 6, van Richtlijn 95/46/EG vaststelt, is derhalve bindend voor alle organen van de lidstaten waaraan het is gericht, met inbegrip van hun onafhankelijke toezichthoudende autoriteiten, voor zover het tot gevolg heeft dat de doorgifte van persoonsgegevens vanuit de respectievelijke lidstaat naar het derde land waarop het besluit betrekking heeft, wordt toegestaan (5). Daaruit volgt dat nationale toezichthoudende autoriteiten geen maatregelen kunnen vaststellen die in strijd zijn met een adequaatheidsbesluit van de Commissie, zoals handelingen waarbij dat besluit ongeldig wordt verklaard of waarmee wordt beoogd dwingend te bepalen dat het derde land waarop het besluit betrekking heeft, geen passend beschermingsniveau garandeert. Zoals wordt verduidelijkt in het arrest-Schrems staat dit niet in de weg dat een nationale toezichthoudende autoriteit overgaat tot het onderzoek van een verzoek van een persoon met betrekking tot het niveau van bescherming van zijn persoonsgegeven in een derde land dat het voorwerp uitmaakt van een adequaatheidsbesluit van de Commissie, en dat de autoriteit, indien deze de grieven gegrond acht, in rechte optreedt voor de nationale rechter, zodat die in geval van twijfels over de geldigheid van het besluit van de Commissie een verzoek om een prejudiciële beslissing kan indienen ten behoeve van het onderzoek van de geldigheid van het besluit (6).

(6)

Beschikkingen 2000/518/EG (7), 2002/2/EG (8), 2003/490/EG (9), 2003/821/EG (10), 2004/411/EG (11), 2008/393/EG (12), Besluiten 2010/146/EU (13), 2010/625/EU (14), 2011/61/EU (15) en Uitvoeringsbesluiten 2012/484/EU (16) en 2013/65/EU (17) van de Commissie zijn adequaatheidsbesluiten en omvatten een beperking van de bevoegdheden van de nationale toezichthoudende autoriteiten die vergelijkbaar is met die van artikel 3, lid 1, eerste alinea, van Beschikking 2000/520/EG, dat door het Hof van Justitie ongeldig is verklaard.

(7)

In het licht van het arrest-Schrems en overeenkomstig artikel 266 van het Verdrag moeten de bepalingen van deze beschikkingen en besluiten waarbij de bevoegdheden van de nationale toezichthoudende autoriteiten worden beperkt, derhalve worden vervangen.

(8)

Het Hof heeft in het arrest-Schrems voorts verduidelijkt dat aangezien het door een derde land geboden beschermingsniveau aan ontwikkelingen onderhevig kan zijn, de Commissie na de vaststelling van een beschikking krachtens artikel 25, lid 6, van Richtlijn 95/46/EG periodiek na moet gaan of de constatering betreffende het door het derde land in kwestie geboden beschermingsniveau nog steeds in feite en in rechte gerechtvaardigd is (18). In het licht van de bevindingen in het arrest met betrekking tot de toegang tot persoonsgegevens door overheidsinstanties, moeten ook de regels en praktijken met betrekking tot deze toegang worden gecontroleerd.

(9)

De Commissie zal derhalve met betrekking tot de landen waarvoor zij een adequaatheidsbesluit heeft genomen, op permanente basis de ontwikkelingen bij wet en in de praktijk die de werking van deze besluiten zouden kunnen beïnvloeden, monitoren, met inbegrip van ontwikkelingen met betrekking tot de toegang van overheidsinstanties tot persoonsgegevens.

(10)

Om de doeltreffende monitoring van de werking van de momenteel van kracht zijnde adequaatheidsbesluiten te faciliteren, moeten de lidstaten de Commissie op de hoogte houden van de relevante maatregelen die de nationale toezichthoudende autoriteiten nemen.

(11)

De bij artikel 29 van Richtlijn 95/46/EG opgerichte Groep voor de bescherming van personen in verband met de verwerking van persoonsgegevens heeft een advies uitgebracht waarmee bij de voorbereiding van dit besluit rekening is gehouden.

(12)

De in dit besluit vervatte maatregelen zijn in overeenstemming met het advies van het bij artikel 31, lid 1, van Richtlijn 95/46/EG ingestelde comité.

(13)

Beschikking 2000/518/EG, Beschikking 2002/2/EG, Beschikking 2003/490/EG, Beschikking 2003/821/EG, Beschikking 2004/411/EG, Beschikking 2008/393/EG, Besluit 2010/146/EU, Besluit 2010/625/EU, Besluit 2011/61/EU, Besluit 2012/484/EU en Besluit 2013/65/EU van de Commissie moeten derhalve dienovereenkomstig worden gewijzigd,

HEEFT HET VOLGENDE BESLUIT VASTGESTELD:

Artikel 1

Beschikking 2000/518/EG wordt als volgt gewijzigd:

1)

Artikel 3 wordt vervangen door:

„Artikel 3

Wanneer de bevoegde autoriteiten in een lidstaat hun bevoegdheden uit hoofde van artikel 28, lid 3, van Richtlijn 95/46/EG uitoefenen en dit leidt tot de opschorting van of een definitief verbod op gegevensstromen naar Zwitserland, teneinde natuurlijke personen met betrekking tot de verwerking van hun persoonsgegevens te beschermen, stelt de betrokken lidstaat de Commissie hiervan onverwijld in kennis, waarna de Commissie de andere lidstaten op de hoogte brengt.”.

2)

Het volgende artikel 3 bis wordt ingevoegd:

„Artikel 3 bis

1.   De Commissie monitort op permanente basis de ontwikkelingen in de Zwitserse rechtsorde die de werking van deze beschikking zouden kunnen beïnvloeden, met inbegrip van ontwikkelingen met betrekking tot de toegang van overheidsinstanties tot persoonsgegevens, om na te gaan of Zwitserland nog steeds een passend beschermingsniveau van persoonsgegevens waarborgt.

2.   De lidstaten en de Commissie brengen elkaar op de hoogte van gevallen waarin de instanties die in Zwitserland verantwoordelijk zijn voor de naleving van de beschermingsnorm, niet in staat zijn de naleving daarvan te garanderen.

3.   De lidstaten en de Commissie stellen elkaar in kennis van eventuele aanwijzingen dat de ingrepen van de Zwitserse overheidsinstanties die verantwoordelijk zijn voor de nationale veiligheid, de rechtshandhaving en andere openbare belangen, in het recht van natuurlijke personen op de bescherming van hun persoonsgegevens, verder gaan dan hetgeen strikt noodzakelijk is, of dat er geen doeltreffende rechtsbescherming tegen dergelijke ingrepen is.

4.   Wanneer blijkt dat er niet langer een passend beschermingsniveau wordt gewaarborgd, ook in situaties als bedoeld in de leden 2 en 3, stelt de Commissie de bevoegde Zwitserse autoriteit hiervan in kennis en stelt zij zo nodig, overeenkomstig de in artikel 31, lid 2, van Richtlijn 95/46/EG bedoelde procedure, ontwerpmaatregelen voor om deze beschikking in te trekken of op te schorten dan wel de werkingssfeer ervan te beperken.”.

Artikel 2

Beschikking 2002/2/EG wordt als volgt gewijzigd:

1)

Artikel 3 wordt vervangen door:

„Artikel 3

Wanneer de bevoegde autoriteiten in een lidstaat hun bevoegdheden uit hoofde van artikel 28, lid 3, van Richtlijn 95/46/EG uitoefenen en dit leidt tot de opschorting van of een definitief verbod op gegevensstromen naar een ontvanger in Canada van wie de activiteiten onder de Canadese Personal Information Protection and Electronic Documents Act vallen, teneinde natuurlijke personen met betrekking tot de verwerking van hun persoonsgegevens te beschermen, stelt de betrokken lidstaat de Commissie hiervan onverwijld in kennis, waarna de Commissie de andere lidstaten op de hoogte brengt.”.

2)

Het volgende artikel 3 bis wordt ingevoegd:

„Artikel 3 bis

1.   De Commissie monitort op permanente basis de ontwikkelingen in de Canadese rechtsorde die de werking van deze beschikking zouden kunnen beïnvloeden, met inbegrip van ontwikkelingen met betrekking tot de toegang van overheidsinstanties tot persoonsgegevens, om na te gaan of Canada nog steeds een passend beschermingsniveau van persoonsgegevens waarborgt.

2.   De lidstaten en de Commissie brengen elkaar op de hoogte van gevallen waarin de instanties die in Canada verantwoordelijk zijn voor de naleving van de beschermingsnorm, niet in staat zijn de naleving daarvan te garanderen.

3.   De lidstaten en de Commissie stellen elkaar in kennis van eventuele aanwijzingen dat de ingrepen van de Canadese overheidsinstanties die verantwoordelijk zijn voor de nationale veiligheid, de rechtshandhaving en andere openbare belangen, in het recht van natuurlijke personen op de bescherming van hun persoonsgegevens, verder gaan dan hetgeen strikt noodzakelijk is, of dat er geen doeltreffende rechtsbescherming tegen dergelijke ingrepen is.

4.   Wanneer blijkt dat er niet langer een passend beschermingsniveau wordt gewaarborgd, ook in situaties als bedoeld in de leden 2 en 3, stelt de Commissie de bevoegde Canadese autoriteit hiervan in kennis en stelt zij zo nodig, overeenkomstig de in artikel 31, lid 2, van Richtlijn 95/46/EG bedoelde procedure, ontwerpmaatregelen voor om deze beschikking in te trekken of op te schorten dan wel de werkingssfeer ervan te beperken.”.

Artikel 3

Beschikking 2003/490/EG wordt als volgt gewijzigd:

1)

Artikel 3 wordt vervangen door:

„Artikel 3

Wanneer de bevoegde autoriteiten in een lidstaat hun bevoegdheden uit hoofde van artikel 28, lid 3, van Richtlijn 95/46/EG uitoefenen en dit leidt tot de opschorting van of een definitief verbod op gegevensstromen naar Argentinië, teneinde natuurlijke personen met betrekking tot de verwerking van hun persoonsgegevens te beschermen, stelt de betrokken lidstaat de Commissie hiervan onverwijld in kennis, waarna de Commissie de andere lidstaten op de hoogte brengt.”.

2)

Het volgende artikel 3 bis wordt ingevoegd:

„Artikel 3 bis

1.   De Commissie monitort op permanente basis de ontwikkelingen in de Argentijnse rechtsorde die de werking van deze beschikking zouden kunnen beïnvloeden, met inbegrip van ontwikkelingen met betrekking tot de toegang van overheidsinstanties tot persoonsgegevens, om na te gaan of Argentinië nog steeds een passend beschermingsniveau van persoonsgegevens waarborgt.

2.   De lidstaten en de Commissie brengen elkaar op de hoogte van gevallen waarin de instanties die in Argentinië verantwoordelijk zijn voor de naleving van de beschermingsnorm, niet in staat zijn de naleving daarvan te garanderen.

3.   De lidstaten en de Commissie stellen elkaar in kennis van eventuele aanwijzingen dat de ingrepen van de Argentijnse overheidsinstanties die verantwoordelijk zijn voor de nationale veiligheid, de rechtshandhaving en andere openbare belangen, in het recht van natuurlijke personen op de bescherming van hun persoonsgegevens, verder gaan dan hetgeen strikt noodzakelijk is, of dat er geen doeltreffende rechtsbescherming tegen dergelijke ingrepen is.

4.   Wanneer blijkt dat er niet langer een passend beschermingsniveau wordt gewaarborgd, ook in situaties als bedoeld in de leden 2 en 3, stelt de Commissie de bevoegde Argentijnse autoriteit hiervan in kennis en stelt zij zo nodig, overeenkomstig de in artikel 31, lid 2, van Richtlijn 95/46/EG bedoelde procedure, ontwerpmaatregelen voor om deze beschikking in te trekken of op te schorten dan wel de werkingssfeer ervan te beperken.”.

Artikel 4

Artikelen 3 en 4 van Beschikking 2003/821/EG worden vervangen door:

„Artikel 3

Wanneer de bevoegde autoriteiten in een lidstaat hun bevoegdheden uit hoofde van artikel 28, lid 3, van Richtlijn 95/46/EG uitoefenen en dit leidt tot de opschorting van of een definitief verbod op gegevensstromen naar het Bailiwick of Guernsey, teneinde natuurlijke personen met betrekking tot de verwerking van hun persoonsgegevens te beschermen, stelt de betrokken lidstaat de Commissie hiervan onverwijld in kennis, waarna de Commissie de andere lidstaten op de hoogte brengt.

Artikel 4

1.   De Commissie monitort op permanente basis de ontwikkelingen in de rechtsorde van Guernsey die de werking van deze beschikking zouden kunnen beïnvloeden, met inbegrip van ontwikkelingen met betrekking tot de toegang van overheidsinstanties tot persoonsgegevens, om na te gaan of Guernsey nog steeds een passend beschermingsniveau van persoonsgegevens waarborgt.

2.   De lidstaten en de Commissie brengen elkaar op de hoogte van gevallen waarin de instanties die op Guernsey verantwoordelijk zijn voor de naleving van de beschermingsnorm, niet in staat zijn de naleving daarvan te garanderen.

3.   De lidstaten en de Commissie stellen elkaar in kennis van eventuele aanwijzingen dat de ingrepen van de overheidsinstanties van Guernsey die verantwoordelijk zijn voor de nationale veiligheid, de rechtshandhaving en andere openbare belangen, in het recht van natuurlijke personen op de bescherming van hun persoonsgegevens, verder gaan dan hetgeen strikt noodzakelijk is, of dat er geen doeltreffende rechtsbescherming tegen dergelijke ingrepen is.

4.   Wanneer blijkt dat er niet langer een passend beschermingsniveau wordt gewaarborgd, ook in situaties als bedoeld in de leden 2 en 3, stelt de Commissie de bevoegde autoriteit van Guernsey hiervan in kennis en stelt zij zo nodig, overeenkomstig de in artikel 31, lid 2, van Richtlijn 95/46/EG bedoelde procedure, ontwerpmaatregelen voor om deze beschikking in te trekken of op te schorten dan wel de werkingssfeer ervan te beperken.”.

Artikel 5

Artikelen 3 en 4 van Beschikking 2004/411/EG worden vervangen door:

„Artikel 3

Wanneer de bevoegde autoriteiten in een lidstaat hun bevoegdheden uit hoofde van artikel 28, lid 3, van Richtlijn 95/46/EG uitoefenen en dit leidt tot de opschorting van of een definitief verbod op gegevensstromen naar Man, teneinde natuurlijke personen met betrekking tot de verwerking van hun persoonsgegevens te beschermen, stelt de betrokken lidstaat de Commissie hiervan onverwijld in kennis, waarna de Commissie de andere lidstaten op de hoogte brengt.

Artikel 4

1.   De Commissie monitort op permanente basis de ontwikkelingen in de rechtsorde van Man die de werking van deze beschikking zouden kunnen beïnvloeden, met inbegrip van ontwikkelingen met betrekking tot de toegang van overheidsinstanties tot persoonsgegevens, om na te gaan of Man nog steeds een passend beschermingsniveau van persoonsgegevens waarborgt.

2.   De lidstaten en de Commissie brengen elkaar op de hoogte van gevallen waarin de instanties die op Man verantwoordelijk zijn voor de naleving van de beschermingsnorm, niet in staat zijn de naleving daarvan te garanderen.

3.   De lidstaten en de Commissie stellen elkaar in kennis van eventuele aanwijzingen dat de ingrepen van de overheidsinstanties van Man die verantwoordelijk zijn voor de nationale veiligheid, de rechtshandhaving en andere openbare belangen, in het recht van natuurlijke personen op de bescherming van hun persoonsgegevens, verder gaan dan hetgeen strikt noodzakelijk is, of dat er geen doeltreffende rechtsbescherming tegen dergelijke ingrepen is.

4.   Wanneer blijkt dat er niet langer een passend beschermingsniveau wordt gewaarborgd, ook in situaties als bedoeld in de leden 2 en 3, stelt de Commissie de bevoegde autoriteit van Man hiervan in kennis en stelt zij zo nodig, overeenkomstig de in artikel 31, lid 2, van Richtlijn 95/46/EG bedoelde procedure, ontwerpmaatregelen voor om deze beschikking in te trekken of op te schorten dan wel de werkingssfeer ervan te beperken.”.

Artikel 6

Artikelen 3 en 4 van Beschikking 2008/393/EG worden vervangen door:

„Artikel 3

Wanneer de bevoegde autoriteiten in een lidstaat hun bevoegdheden uit hoofde van artikel 28, lid 3, van Richtlijn 95/46/EG uitoefenen en dit leidt tot de opschorting van of een definitief verbod op gegevensstromen naar Jersey, teneinde natuurlijke personen met betrekking tot de verwerking van hun persoonsgegevens te beschermen, stelt de betrokken lidstaat de Commissie hiervan onverwijld in kennis, waarna de Commissie de andere lidstaten op de hoogte brengt.

Artikel 4

1.   De Commissie monitort op permanente basis de ontwikkelingen in de rechtsorde van Jersey die de werking van deze beschikking zouden kunnen beïnvloeden, met inbegrip van ontwikkelingen met betrekking tot de toegang van overheidsinstanties tot persoonsgegevens, om na te gaan of Jersey nog steeds een passend beschermingsniveau van persoonsgegevens waarborgt.

2.   De lidstaten en de Commissie brengen elkaar op de hoogte van gevallen waarin de instanties die op Jersey verantwoordelijk zijn voor de naleving van de beschermingsnorm, niet in staat zijn de naleving daarvan te garanderen.

3.   De lidstaten en de Commissie stellen elkaar in kennis van eventuele aanwijzingen dat de ingrepen van de overheidsinstanties van Jersey die verantwoordelijk zijn voor de nationale veiligheid, de rechtshandhaving en andere openbare belangen, in het recht van natuurlijke personen op de bescherming van hun persoonsgegevens, verder gaan dan hetgeen strikt noodzakelijk is, of dat er geen doeltreffende rechtsbescherming tegen dergelijke ingrepen is.

4.   Wanneer blijkt dat er niet langer een passend beschermingsniveau wordt gewaarborgd, ook in situaties als bedoeld in de leden 2 en 3, stelt de Commissie de bevoegde autoriteit van Jersey hiervan in kennis en stelt zij zo nodig, overeenkomstig de in artikel 31, lid 2, van Richtlijn 95/46/EG bedoelde procedure, ontwerpmaatregelen voor om deze beschikking in te trekken of op te schorten dan wel de werkingssfeer ervan te beperken.”.

Artikel 7

Artikelen 3 en 4 van Besluit 2010/146/EU worden vervangen door:

„Artikel 3

Wanneer de bevoegde autoriteiten in een lidstaat hun bevoegdheden uit hoofde van artikel 28, lid 3, van Richtlijn 95/46/EG uitoefenen en dit leidt tot de opschorting van of een definitief verbod op gegevensstromen naar een ontvanger op de Faeröer wiens activiteiten onder de Faeröerse wet betreffende de verwerking van persoonsgegevens vallen, teneinde natuurlijke personen met betrekking tot de verwerking van hun persoonsgegevens te beschermen, stelt de betrokken lidstaat de Commissie hiervan onverwijld in kennis, waarna de Commissie de andere lidstaten op de hoogte brengt.

Artikel 4

1.   De Commissie monitort op permanente basis de ontwikkelingen in de Faeröerse rechtsorde die de werking van dit besluit zouden kunnen beïnvloeden, met inbegrip van ontwikkelingen met betrekking tot de toegang van overheidsinstanties tot persoonsgegevens, om na te gaan of de Faeröer nog steeds een passend beschermingsniveau van persoonsgegevens waarborgen.

2.   De lidstaten en de Commissie brengen elkaar op de hoogte van gevallen waarin de instanties die op de Faeröer verantwoordelijk zijn voor de naleving van de beschermingsnorm, niet in staat zijn de naleving daarvan te garanderen.

3.   De lidstaten en de Commissie stellen elkaar in kennis van eventuele aanwijzingen dat de ingrepen van de overheidsinstanties van de Faeröer die verantwoordelijk zijn voor de nationale veiligheid, de rechtshandhaving en andere openbare belangen, in het recht van natuurlijke personen op de bescherming van hun persoonsgegevens, verder gaan dan hetgeen strikt noodzakelijk is, of dat er geen doeltreffende rechtsbescherming tegen dergelijke ingrepen is.

4.   Wanneer blijkt dat er niet langer een passend beschermingsniveau wordt gewaarborgd, ook in situaties als bedoeld in de leden 2 en 3, stelt de Commissie de bevoegde autoriteit van de Faeröer hiervan in kennis en stelt zij zo nodig, overeenkomstig de in artikel 31, lid 2, van Richtlijn 95/46/EG bedoelde procedure, ontwerpmaatregelen voor om dit besluit in te trekken of op te schorten dan wel de werkingssfeer ervan te beperken.”.

Artikel 8

Artikelen 3 en 4 van Besluit 2010/625/EU worden vervangen door:

„Artikel 3

Wanneer de bevoegde autoriteiten in een lidstaat hun bevoegdheden uit hoofde van artikel 28, lid 3, van Richtlijn 95/46/EG uitoefenen en dit leidt tot de opschorting van of een definitief verbod op gegevensstromen naar Andorra, teneinde natuurlijke personen met betrekking tot de verwerking van hun persoonsgegevens te beschermen, stelt de betrokken lidstaat de Commissie hiervan onverwijld in kennis, waarna de Commissie de andere lidstaten op de hoogte brengt.

Artikel 4

1.   De Commissie monitort op permanente basis de ontwikkelingen in de rechtsorde van Andorra die de werking van dit besluit zouden kunnen beïnvloeden, met inbegrip van ontwikkelingen met betrekking tot de toegang van overheidsinstanties tot persoonsgegevens, om na te gaan of Andorra nog steeds een passend beschermingsniveau van persoonsgegevens waarborgt.

2.   De lidstaten en de Commissie stellen elkaar op de hoogte van gevallen waarin de instanties die in Andorra verantwoordelijk zijn voor de naleving van de beschermingsnorm, niet in staat zijn de naleving daarvan te garanderen.

3.   De lidstaten en de Commissie stellen elkaar in kennis van eventuele aanwijzingen dat de ingrepen van de overheidsinstanties van Andorra die verantwoordelijk zijn voor de nationale veiligheid, de rechtshandhaving en andere openbare belangen, in het recht van natuurlijke personen op de bescherming van hun persoonsgegevens, verder gaan dan hetgeen strikt noodzakelijk is, of dat er geen doeltreffende rechtsbescherming tegen dergelijke ingrepen is.

4.   Wanneer blijkt dat er niet langer een passend beschermingsniveau wordt gewaarborgd, ook in situaties als bedoeld in de leden 2 en 3, stelt de Commissie de bevoegde autoriteit van Andorra hiervan in kennis en stelt zij zo nodig, overeenkomstig de in artikel 31, lid 2, van Richtlijn 95/46/EG bedoelde procedure, ontwerpmaatregelen voor om dit besluit in te trekken of op te schorten dan wel de werkingssfeer ervan te beperken.”.

Artikel 9

Artikelen 3 en 4 van Besluit 2011/61/EU worden vervangen door:

„Artikel 3

Wanneer de bevoegde autoriteiten in een lidstaat hun bevoegdheden uit hoofde van artikel 28, lid 3, van Richtlijn 95/46/EG uitoefenen en dit leidt tot de opschorting van of een definitief verbod op gegevensstromen naar de staat Israël, teneinde natuurlijke personen met betrekking tot de verwerking van hun persoonsgegevens te beschermen, stelt de betrokken lidstaat de Commissie hiervan onverwijld in kennis, waarna de Commissie de andere lidstaten op de hoogte brengt.

Artikel 4

1.   De Commissie monitort op permanente basis de ontwikkelingen in de Israëlische rechtsorde die de werking van dit besluit zouden kunnen beïnvloeden, met inbegrip van ontwikkelingen met betrekking tot de toegang van overheidsinstanties tot persoonsgegevens, om na te gaan of de staat Israël nog steeds een passend beschermingsniveau van persoonsgegevens waarborgt.

2.   De lidstaten en de Commissie stellen elkaar op de hoogte van gevallen waarin de instanties die in de staat Israël verantwoordelijk zijn voor de naleving van de beschermingsnorm, niet in staat zijn de naleving daarvan te garanderen.

3.   De lidstaten en de Commissie stellen elkaar in kennis van eventuele aanwijzingen dat de ingrepen van de Israëlische overheidsinstanties die verantwoordelijk zijn voor de nationale veiligheid, de rechtshandhaving en andere openbare belangen, in het recht van natuurlijke personen op de bescherming van hun persoonsgegevens, verder gaan dan hetgeen strikt noodzakelijk is, of dat er geen doeltreffende rechtsbescherming tegen dergelijke ingrepen is.

4.   Wanneer blijkt dat er niet langer een passend beschermingsniveau wordt gewaarborgd, ook in situaties als bedoeld in de leden 2 en 3, stelt de Commissie de Israëlische bevoegde autoriteit hiervan in kennis en stelt zij zo nodig, overeenkomstig de in artikel 31, lid 2, van Richtlijn 95/46/EG bedoelde procedure, ontwerpmaatregelen voor om dit besluit in te trekken of op te schorten dan wel de werkingssfeer ervan te beperken.”.

Artikel 10

Artikelen 2 en 3 van Uitvoeringsbesluit 2012/484/EU worden vervangen door:

„Artikel 2

Wanneer de bevoegde autoriteiten in een lidstaat hun bevoegdheden uit hoofde van artikel 28, lid 3, van Richtlijn 95/46/EG uitoefenen en dit leidt tot de opschorting van of een definitief verbod op gegevensstromen naar de Republiek ten oosten van de Uruguay, teneinde natuurlijke personen met betrekking tot de verwerking van hun persoonsgegevens te beschermen, stelt de betrokken lidstaat de Commissie hiervan onverwijld in kennis, waarna de Commissie de andere lidstaten op de hoogte brengt.

Artikel 3

1.   De Commissie monitort op permanente basis de ontwikkelingen in de rechtsorde van de Republiek ten oosten van de Uruguay die de werking van dit besluit zouden kunnen beïnvloeden, met inbegrip van ontwikkelingen met betrekking tot de toegang van overheidsinstanties tot persoonsgegevens, om na te gaan of de Republiek ten oosten van de Uruguay nog steeds een passend beschermingsniveau van persoonsgegevens waarborgt.

2.   De lidstaten en de Commissie stellen elkaar in kennis van gevallen waarin de instanties die in de Republiek ten oosten van de Uruguay verantwoordelijk zijn voor de naleving van de beschermingsnorm, niet in staat zijn de naleving daarvan te garanderen.

3.   De lidstaten en de Commissie stellen elkaar in kennis van eventuele aanwijzingen dat de ingrepen van de overheidsinstanties van de Republiek ten oosten van de Uruguay die verantwoordelijk zijn voor de nationale veiligheid, de rechtshandhaving en andere openbare belangen, in het recht van natuurlijke personen op de bescherming van hun persoonsgegevens, verder gaan dan hetgeen strikt noodzakelijk is, of dat er geen doeltreffende rechtsbescherming tegen dergelijke ingrepen is.

4.   Wanneer blijkt dat er niet langer een passend beschermingsniveau wordt gewaarborgd, ook in situaties als bedoeld in de leden 2 en 3, stelt de Commissie de bevoegde autoriteit van de Republiek ten oosten van de Uruguay hiervan in kennis en stelt zij zo nodig, overeenkomstig de in artikel 31, lid 2, van Richtlijn 95/46/EG bedoelde procedure, ontwerpmaatregelen voor om dit besluit in te trekken of op te schorten dan wel de werkingssfeer ervan te beperken.”.

Artikel 11

Artikelen 2 en 3 van Uitvoeringsbesluit 2013/65/EU worden vervangen door:

„Artikel 2

Wanneer de bevoegde autoriteiten in een lidstaat hun bevoegdheden uit hoofde van artikel 28, lid 3, van Richtlijn 95/46/EG uitoefenen en dit leidt tot de opschorting van of een definitief verbod op gegevensstromen naar Nieuw-Zeeland, teneinde natuurlijke personen met betrekking tot de verwerking van hun persoonsgegevens te beschermen, stelt de betrokken lidstaat de Commissie hiervan onverwijld in kennis, waarna de Commissie de andere lidstaten op de hoogte brengt.

Artikel 3

1.   De Commissie monitort op permanente basis de ontwikkelingen in de rechtsorde van Nieuw-Zeeland die de werking van dit besluit zouden kunnen beïnvloeden, met inbegrip van ontwikkelingen met betrekking tot de toegang van overheidsinstanties tot persoonsgegevens, om na te gaan of Nieuw-Zeeland nog steeds een passend beschermingsniveau van persoonsgegevens waarborgt.

2.   De lidstaten en de Commissie brengen elkaar op de hoogte van gevallen waarin de instanties die in Nieuw-Zeeland verantwoordelijk zijn voor de naleving van de beschermingsnorm, niet in staat zijn de naleving daarvan te garanderen.

3.   De lidstaten en de Commissie stellen elkaar in kennis van eventuele aanwijzingen dat de ingrepen van de overheidsinstanties van Nieuw-Zeeland die verantwoordelijk zijn voor de nationale veiligheid, de rechtshandhaving en andere openbare belangen, in het recht van natuurlijke personen op de bescherming van hun persoonsgegevens, verder gaan dan hetgeen strikt noodzakelijk is, of dat er geen doeltreffende rechtsbescherming tegen dergelijke ingrepen is.

4.   Wanneer blijkt dat er niet langer een passend beschermingsniveau wordt gewaarborgd, ook in situaties als bedoeld in de leden 2 en 3, stelt de Commissie de bevoegde autoriteit van Nieuw-Zeeland hiervan in kennis en stelt zij zo nodig, overeenkomstig de in artikel 31, lid 2, van Richtlijn 95/46/EG bedoelde procedure, ontwerpmaatregelen voor om dit besluit in te trekken of op te schorten dan wel de werkingssfeer ervan te beperken.”.

Artikel 12

Dit besluit is gericht tot de lidstaten.

Gedaan te Brussel, 16 december 2016.

Voor de Commissie

Věra JOUROVÁ

Lid van de Commissie


(1)  PB L 281 van 23.11.1995, blz. 31.

(2)  ECLI:EU:C:2015:650.

(3)  Beschikking 2000/520/EG van de Commissie van 26 juli 2000 overeenkomstig Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de gepastheid van de bescherming geboden door de veiligehavenbeginselen voor de bescherming van de persoonlijke levenssfeer en de daarmee verband houdende vaakgestelde vragen, die door het ministerie van Handel zijn gepubliceerd (PB L 215 van 25.8.2000, blz. 7).

(4)  Arrest-Schrems, punten 40 e.v. en punten 101 tot en met 103.

(5)  Arrest-Schrems, punten 51, 52 en 62.

(6)  Arrest-Schrems, punten 52, 62 en 65.

(7)  Beschikking 2000/518/EG van de Commissie van 26 juli 2000 overeenkomstig Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de passende bescherming van persoonsgegevens in Zwitserland (PB L 215 van 25.8.2000, blz. 1).

(8)  Beschikking 2002/2/EG van de Commissie van 20 december 2001 overeenkomstig Richtlijn 95/46/EG van het Europees Parlement en de Raad, betreffende de gepastheid van de bescherming van persoonsgegevens geboden door de Canadese Personal Information Protection and Electronic Documents Act (PB L 2 van 4.1.2002, blz. 13).

(9)  Beschikking 2003/490/EG van de Commissie van 30 juni 2003 overeenkomstig Richtlijn 95/46/EG van het Europees Parlement en de Raad, betreffende de passende bescherming van persoonsgegevens in Argentinië (PB L 168 van 5.7.2003, blz. 19).

(10)  Beschikking 2003/821/EG van de Commissie van 21 november 2003 over de passende bescherming van persoonsgegevens op Guernsey (PB L 308 van 25.11.2003, blz. 27).

(11)  Beschikking 2004/411/EG van de Commissie van 28 april 2004 over de passende bescherming van persoonsgegevens op het eiland Man (PB L 151 van 30.4.2004, blz. 48).

(12)  Beschikking 2008/393/EG van de Commissie van 8 mei 2008 overeenkomstig Richtlijn 95/46/EG van het Europees Parlement en de Raad, over de passende bescherming van persoonsgegevens op Jersey (PB L 138 van 28.5.2008, blz. 21).

(13)  Besluit 2010/146/EU van de Commissie van 5 maart 2010 overeenkomstig Richtlijn 95/46/EG van het Europees Parlement en de Raad, over de gepastheid van de door de Faeröerse wet betreffende de verwerking van persoonsgegevens geboden bescherming (PB L 58 van 9.3.2010, blz. 17).

(14)  Besluit 2010/625/EU van de Commissie van 19 oktober 2010 overeenkomstig Richtlijn 95/46/EG van het Europees Parlement en de Raad, over de passende bescherming van persoonsgegevens in Andorra (PB L 277 van 21.10.2010, blz. 27).

(15)  Besluit 2011/61/EU van de Commissie van 31 januari 2011 overeenkomstig Richtlijn 95/46/EG van het Europees Parlement en de Raad, over de passende bescherming van persoonsgegevens door de staat Israël wat de geautomatiseerde verwerking van persoonsgegevens betreft (PB L 27 van 1.2.2011, blz. 39).

(16)  Uitvoeringsbesluit 2012/484/EU van de Commissie van 21 augustus 2012 overeenkomstig Richtlijn 95/46/EG van het Europees Parlement en de Raad, over de passende bescherming van persoonsgegevens door de Republiek ten oosten van de Uruguay wat de geautomatiseerde verwerking van persoonsgegevens betreft (PB L 227 van 23.8.2012, blz. 11).

(17)  Uitvoeringsbesluit 2013/65/EU van de Commissie van 19 december 2012 overeenkomstig Richtlijn 95/46/EG van het Europees Parlement en de Raad, over de passende bescherming van persoonsgegevens in Nieuw-Zeeland (PB L 28 van 30.1.2013, blz. 12).

(18)  Arrest-Schrems, punt 76. Een dergelijke controle is in elk geval vereist wanneer de Commissie informatie ontvangt die aanleiding geeft tot gerechtvaardigde twijfel dienaangaande.


Top