EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Document 52021IP0256

Resolutie van het Europees Parlement van 20 mei 2021 over de uitspraak van het HvJ-EU van 16 juli 2020 — Data Protection Commissioner/Facebook Ireland Limited, Maximillian Schrems (“Schrems II”), Zaak C-311/18 (2020/2789(RSP))

OJ C 15, 12.1.2022, p. 176–183 (BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

12.1.2022   

NL

Publicatieblad van de Europese Unie

C 15/176


P9_TA(2021)0256

Data Protection Commissioner / Facebook Ireland Limited, Maximillian Schrems (“Schrems II”) — Zaak C-311/18

Resolutie van het Europees Parlement van 20 mei 2021 over de uitspraak van het HvJ-EU van 16 juli 2020 — Data Protection Commissioner/Facebook Ireland Limited, Maximillian Schrems (“Schrems II”), Zaak C-311/18 (2020/2789(RSP))

(2022/C 15/18)

Het Europees Parlement,

gezien het Handvest van de grondrechten van de Europese Unie (het “Handvest”), en met name de artikelen 7, 8, 16, 47 en 52,

gezien het arrest van het Hof van Justitie van de Europese Unie van 16 juli 2020 in zaak C-311/18, Data Protection Commissioner/Facebook Ireland Limited, Maximillian Schrems (“Schrems II”) (1),

gezien het arrest van het Hof van Justitie van 6 oktober 2015 in zaak C-362/14, Maximillian Schrems/Data Protection Commissioner (“Schrems I”) (2),

gezien het arrest van het Hof van Justitie van 6 oktober 2020 in zaak C-623/17 Privacy International/Secretary of State for Foreign and Commonwealth Affairs e.a. (3),

gezien zijn resolutie van 26 mei 2016 over trans-Atlantische gegevensstromen (4),

gezien zijn resolutie van 6 april 2017 over de gepastheid van de door het EU-VS-privacyschild geboden bescherming (5),

gezien zijn resolutie van 5 juli 2018 over de gepastheid van de door het EU-VS-privacyschild geboden bescherming (6),

gezien zijn resolutie van 25 oktober 2018 over het gebruik van gegevens van Facebookgebruikers door Cambridge Analytica en gevolgen voor de gegevensbescherming (7),

gezien Besluit 2010/87/EU van de Commissie van 5 februari 2010 betreffende modelcontractbepalingen voor de doorgifte van persoonsgegevens aan in derde landen gevestigde verwerkers krachtens Richtlijn 95/46/EG van het Europees Parlement en de Raad (kennisgeving geschied onder nummer C(2010) 593) (8),

gezien Uitvoeringsverordening (EU) 2016/1250 van de Commissie van 12 juli 2016 overeenkomstig Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de gepastheid van de door het EU-VS-privacyschild geboden bescherming (kennisgeving geschied onder nummer C(2016) 4176) (9),

gezien zijn resolutie van 26 november 2020 over de toetsing van het handelsbeleid van de EU (10),

gezien Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming) (11), en met name hoofdstuk V,

gezien het voorstel van de Commissie voor een verordening betreffende privacy en elektronische communicatie (COM(2017)0010), gezien het besluit om interinstitutionele onderhandelingen te beginnen, als bevestigd door de plenaire vergadering van het Parlement op 25 oktober 2017, en gezien de algemene oriëntatie van de Raad, goedgekeurd op 10 februari 2021 (6087/21),

gezien de Aanbevelingen 01/2020 van het Europees Comité voor gegevensbescherming (EDPB) inzake maatregelen ter aanvulling op doorgifte-instrumenten teneinde naleving van het beschermingsniveau van persoonsgegevens in de Unie te waarborgen, en de Aanbevelingen 02/2020 over de Europese essentiële garanties voor surveillancemaatregelen, en de verklaring van het EDPB van 19 november 2020 over de e-privacyverordening en de toekomstige rol van de toezichthoudende autoriteiten en de EDPB,

gezien artikel 132, lid 2, van zijn Reglement,

A.

overwegende dat de mogelijkheid tot grensoverschrijdende doorgifte van persoonsgegevens een belangrijke aanjager van innovatie, productiviteit en economisch concurrentievermogen kan zijn; overwegende dat dit des te belangrijker is in de context van de huidige COVID-19-pandemie, aangezien dergelijke doorgiften van essentieel belang zijn om de continuïteit van de werking van bedrijven en regeringen en de sociale contacten te waarborgen; overwegende dat dergelijke doorgiften tevens de exitstrategieën uit de pandemie kunnen ondersteunen en kunnen bijdragen aan het economische herstel;

B.

overwegende dat het Hof van Justitie van de EU (HvJ-EU) het besluit van de Commissie over de veilige haven in het arrest-Schrems I ongeldig heeft verklaard op basis van de bevinding dat willekeurige toegang van inlichtingendiensten tot de inhoud van elektronische communicatie in strijd is met de wezenlijke inhoud van het recht op vertrouwelijkheid van communicatie als bedoeld in artikel 7 van het Handvest;

C.

overwegende dat het Hof in het arrest-Schrems II heeft vastgesteld dat de Verenigde Staten niet voorzien in voldoende rechtsmiddelen voor niet-Amerikanen tegen grootschalig toezicht, en dat dit in strijd is met de wezenlijke inhoud van het recht op een rechtsmiddel als bedoeld in artikel 47 van het Handvest;

D.

herinnert eraan dat de algemene verordening gegevensbescherming (AVG) van toepassing is op alle ondernemingen die persoonsgegevens van betrokkenen in de Unie verwerken, voor zover de verwerkingswerkzaamheden verband houden met het aanbieden van goederen of diensten aan die betrokkenen in de Unie, of het monitoren van hun gedrag voor zover dat gedrag plaatsvindt in de Unie;

E.

overwegende dat de gegevens van Europese burgers die door telecommunicatie-exploitanten en bedrijven worden opgeslagen en doorgegeven, een essentiële hulpbron vormen die een bijdrage levert aan de strategische belangen van de Unie;

F.

overwegende dat grootschalig toezicht door overheidsactoren nadelig is voor het vertrouwen van Europese burgers, regeringen en ondernemingen in digitale diensten, en bij uitbreiding in de digitale economie;

G.

overwegende dat consumenten en andere maatschappelijke organisaties over beperkte middelen beschikken en dat de handhaving van de rechten en verplichtingen op het gebied van gegevensbescherming niet van hun acties mag afhangen; overwegende dat er een lappendeken van nationale procedures en praktijken bestaat, hetgeen een belemmering vormt voor het in de AVG opgenomen samenwerkingsmechanisme voor grensoverschrijdende klachten; overwegende dat het ontbreekt aan duidelijke termijnen, dat de procedures over het algemeen traag verlopen, dat de toezichthoudende autoriteiten over onvoldoende middelen beschikken en dat het in sommige gevallen ontbreekt aan de nodige wil of aan een doeltreffend gebruik van reeds toegewezen middelen; overwegende dat er recentelijk een groot aantal klachten is ingediend over vermeende inbreuken door grote technologiebedrijven, die worden behandeld door één enkele nationale instantie, hetgeen tot een knelpunt bij de handhaving heeft geleid;

H.

overwegende dat de procedures die tot dit arrest van het HvJ-EU hebben geleid eveneens laten zien hoe moeilijk het is voor betrokkenen en consumenten om voor hun rechten op te komen, hetgeen een remmend effect heeft op hun vermogen om hun rechten te verdedigen voor de Ierse gegevensbeschermingsautoriteit;

I.

overwegende dat het Europees Parlement in zijn resolutie van 25 oktober 2018 heeft gewezen op het feit dat de termijn van 1 september 2018 voor de VS om volledig te voldoen aan het privacyschild niet was gehaald en de Commissie reeds heeft verzocht het privacyschild op te schorten totdat de Amerikaanse overheid aan die voorwaarden zou voldoen;

J.

overwegende dat de uit hoofde van de gegevensbeschermingswetgeving van de EU gewaarborgde rechten van betrokken moeten worden geëerbiedigd, ongeacht de mate van het risico dat zij lopen door de verwerking van persoonsgegevens, ook wanneer het gaat om de doorgifte van persoonsgegevens aan derde landen; overwegende dat verwerkingsverantwoordelijken altijd aansprakelijk moeten zijn voor de naleving van de gegevensbeschermingsverplichtingen, onder meer door de naleving aan te tonen voor elke gegevensverwerking, ongeacht de aard, omvang, context en doeleinden van de verwerking en de risico’s voor betrokkenen;

K.

overwegende dat er tot op heden, ondanks de aanzienlijke ontwikkelingen in de rechtspraak van het HvJ-EU de afgelopen vijf jaar en ondanks de doeltreffende toepassing van de AVG sinds 25 mei 2018, geen beslissingen van toezichthoudende autoriteiten zijn geweest om corrigerende maatregelen in verband met de doorgifte van persoonsgegevens op te leggen op grond van het coherentiemechanisme uit hoofde van de AVG; overwegende dat er op nationaal niveau geen substantiële beslissingen tot het opleggen van corrigerende maatregelen of boeten in verband met de doorgifte van persoonsgegevens aan derde landen door toezichthoudende autoriteiten zijn vastgesteld;

L.

overwegende dat de Amerikaanse president Biden op zijn eerste dag als president een adjunct-secretaris voor diensten heeft aangesteld binnen het Amerikaanse Ministerie van Handel, die zal optreden als hoofdonderhandelaar inzake commerciële gegevensdoorgiften met de EU; overwegende dat de persoon die de president heeft voorgedragen als Amerikaans staatssecretaris voor Handel, Gina Raimondo, de snelle afronding van de onderhandelingen over een opvolgingsovereenkomst voor het privacyschild tijdens een hoorzitting in de Senaat als “topprioriteit” heeft bestempeld;

Algemene opmerkingen

1.

neemt kennis van het arrest van het HvJ-EU van 16 juli 2020, waarin het Hof in principe de geldigheid bevestigde van Besluit 2010/87/EU betreffende modelcontractbepalingen, die het meest gebruikte mechanisme voor internationale gegevensdoorgifte vormen; wijst er voorts op dat het Hof Besluit (EU) 2016/1250 van de Commissie betreffende de gepastheid van de door het EU-VS-privacyschild geboden bescherming ongeldig heeft verklaard; merkt op dat tot dusver geen enkel duurzaam mechanisme dat de legale doorgifte van commerciële persoonsgegevens tussen de EU en de VS moet waarborgen, de juridische toets van het HvJ-EU heeft doorstaan;

2.

wijst erop dat het HvJ-EU modelcontractbepalingen een doeltreffend mechanisme achtte om de naleving van het niveau van bescherming zoals dat in de EU wordt geboden te waarborgen, maar de voorwaarde stelde dat een in de Europese Unie gevestigde verwerkingsverantwoordelijke/verwerker en de ontvanger van de persoonsgegevens voorafgaand aan elke doorgifte dienen na te gaan of het bij EU-wet vereiste beschermingsniveau in het desbetreffende derde land wordt nageleefd; herinnert eraan dat dit ook een beoordeling inhoudt van de wettelijke regeling inzake de toegang van overheidsinstanties tot persoonsgegevens, om ervoor te zorgen dat de betrokkenen en hun doorgegeven gegevens niet het risico lopen te worden onderworpen aan Amerikaanse surveillanceprogramma’s die grootschalige verzameling van persoonsgegevens mogelijk maken; herinnert eraan dat wanneer de ontvanger niet in staat is de modelcontractbepalingen na te leven, het HvJ-EU heeft geoordeeld dat de verwerkingsverantwoordelijken of verwerkers verplicht zijn de doorgifte van gegevens op te schorten en/of het contract te beëindigen; merkt echter op dat veel bedrijven, met name kmo’s, niet over de nodige kennis of capaciteit beschikken om een dergelijke verificatie uit te voeren, wat kan leiden tot bedrijfsonderbrekingen;

3.

is van mening dat het arrest van het HvJ-EU, hoewel het is toegespitst op het niveau van gegevensbescherming dat wordt geboden aan betrokkenen in de EU wier gegevens aan de VS zijn doorgegeven in het kader van het privacyschild, tevens gevolgen heeft voor gepastheidsbesluiten met betrekking tot andere derde landen, waaronder het VK; bevestigt nogmaals dat er behoefte is aan juridische duidelijkheid en zekerheid, aangezien het vermogen om persoonsgegevens veilig over de grenzen heen door te geven steeds belangrijker is geworden voor personen met het oog op hun bescherming en rechten op het gebied van persoonsgegevens, alsook voor alle soorten organisaties die internationaal goederen en diensten leveren en voor bedrijven met betrekking tot de wettelijke regeling waaronder zij opereren; onderstreept echter dat bestaande gepastheidsbesluiten van kracht blijven totdat zij door het HvJ-EU worden ingetrokken, vervangen of ongeldig verklaard;

4.

is teleurgesteld dat de Ierse Data Protection Commissioner (DPC) Maximillian Schrems en Facebook voor het Ierse High Court heeft gedaagd in plaats van een besluit te nemen in het kader van zijn bevoegdheden uit hoofde van artikel 4 van Besluit 2010/87/EU en artikel 58 van de AVG; herinnert er echter aan dat de DPC gebruik heeft gemaakt van de juridische mogelijkheid waarbij gegevensbeschermingsautoriteiten problemen met de geldigheid van een uitvoeringsbesluit van de Commissie onder de aandacht van een nationale rechter kunnen brengen, teneinde het HvJ-EU om een prejudiciële beslissing te kunnen verzoeken; toont zich zeer bezorgd over het feit dat de DPC nog geen besluit heeft genomen over verscheidene klachten over inbreuken op de AVG die op 25 mei 2018 zijn ingediend, de dag waarop de AVG van kracht werd, maar evenmin over andere klachten van consumentengroepen en andere partijen; maakt zich zorgen dat de Toezichthouder voor gegevensbescherming het begrip “onverwijld” in artikel 60, lid 3, AVG — anders dan de wetgever had bedoeld — uitlegt als meer dan een aantal maanden; is bezorgd over het feit dat de toezichthoudende autoriteiten geen proactieve stappen hebben ondernomen op grond van de artikelen 61 en 66 AVG om de DPC ertoe te dwingen zijn verplichtingen uit hoofde van de AVG na te komen; is ook bezorgd over het gebrek aan technische specialisten die voor de DPC werken en over het gebruik van verouderde systemen door de DPC; betreurt de gevolgen van de mislukte poging van de DPC de verweerder de kosten van de gerechtelijke procedure te laten dragen, hetgeen een sterk afschrikkend effect zou hebben gehad; verzoekt de Commissie inbreukprocedures in te leiden tegen Ierland wegens het niet naar behoren handhaven van de AVG;

5.

maakt zich zorgen over de ontoereikende handhaving van de AVG, met name op het gebied van internationale doorgiften; uit zijn bezorgdheid over het gebrek aan prioriteitstelling en algemeen toezicht door nationale toezichthoudende autoriteiten met betrekking tot de doorgifte van persoonsgegevens aan derde landen, ondanks de aanzienlijke ontwikkelingen in de rechtspraak van het HvJ-EU de afgelopen vijf jaar; betreurt het gebrek aan substantiële beslissingen en corrigerende maatregelen in dat verband en dringt er bij het EDPB en bij de nationale toezichthoudende autoriteiten op aan om de doorgifte van persoonsgegevens op te nemen in hun controle-, nalevings- en handhavingsstrategieën; wijst erop dat geharmoniseerde, bindende administratieve procedures inzake de vertegenwoordiging van betrokkenen en inzake ontvankelijkheid nodig zijn om rechtszekerheid te bieden en grensoverschrijdende klachten te behandelen;

6.

neemt kennis van het ontwerp van uitvoeringsbesluit betreffende modelcontractbepalingen voor de doorgifte van persoonsgegevens aan derde landen; dringt er bij het EDPB op aan verdere richtsnoeren te publiceren over internationale gegevensdoorgiften voor ondernemingen, met name voor kmo’s, met inbegrip van een checklist voor de beoordeling van doorgiften, hulpmiddelen om te beoordelen of overheden gegevens mogen of kunnen opvragen, en informatie over de aanvullende waarborgen die vereist zijn voor doorgiften via modelcontractbepalingen; verzoekt het EDPB ook om input van onafhankelijke academici te vragen met betrekking tot mogelijk conflicterende nationale wetgeving bij belangrijke handelspartners;

7.

herinnert eraan dat, overeenkomstig de EDPB-Richtsnoeren 2/2018 (12) inzake afwijkingen op grond van artikel 49 van Verordening (EU) 2016/679, indien doorgiftes plaatsvinden buiten het kader van adequaatheidsbesluiten of andere instrumenten die passende waarborgen bieden, maar gebaseerd zijn op afwijkingen voor specifieke situaties uit hoofde van artikel 49 AVG, deze strikt moeten worden geïnterpreteerd, zodat de uitzondering niet de regel wordt; merkt echter op dat sinds de ongeldigverklaring van het EU-VS-privacyschild de trans-Atlantische gegevensstromen voor digitale reclamedoeleinden in stand zijn gebleven, ondanks twijfels over de rechtsgrondslag voor doorgifte voor reclamedoeleinden; verzoekt het EDPB en de nationale gegevensbeschermingsautoriteiten om een consistente uitlegging te waarborgen bij de toepassing en controle van dergelijke afwijkingen, overeenkomstig de EDPB-richtsnoeren;

8.

verwelkomt de internationale discussies over grensoverschrijdende stromen van persoonsgegevens die aan de AVG en de richtlijn wetshandhaving (LED) (13) voldoen; benadrukt dat de AVG, de LED, de e-privacyregels en andere bestaande en toekomstige maatregelen ter bescherming van de grondrechten met betrekking tot het recht op privacy en het recht op bescherming van persoonsgegevens, niet mogen worden ondermijnd door internationale handelsovereenkomsten of hierin mogen worden opgenomen; spoort de Commissie aan zich te houden aan het horizontale standpunt van de EU uit 2018 (14) en hier niet vanaf te wijken, en rekening te houden met de betreffende verbintenissen van derde landen uit hoofde van het handelsrecht bij het beoordelen van de geschiktheid ervan, met inbegrip van de verdere doorgifte van gegevens;

Modelcontractbepalingen

9.

neemt kennis van het ontwerp van uitvoeringsbesluit van de Commissie, alsook van de ontwerpen voor modelcontractbepalingen; is ingenomen met het feit dat de Commissie de belanghebbenden om reacties op dit ontwerp heeft gevraagd door hierover een openbare raadpleging te organiseren; merkt op dat het EDPB en de EDPS in een gezamenlijk advies van 15 januari 2021 (15) positief hebben gereageerd op de ontwerpen voor modelcontractbepalingen, maar een aantal verdere verbeteringen hebben voorgesteld; verwacht van de Commissie dat zij de ontvangen input in aanmerking neemt alvorens de comitéprocedure te starten;

10.

herinnert eraan dat een groot aantal kmo’s gebruikmaakt van modelcontractbepalingen; benadrukt dat alle soorten bedrijven dringend behoefte hebben aan duidelijke richtsnoeren en bijstand om rechtszekerheid te waarborgen bij de toepassing en interpretatie van het arrest van het Hof;

11.

neemt kennis van de Aanbevelingen 01/2020 van het EDPB inzake maatregelen ter aanvulling op doorgifte-instrumenten teneinde naleving van het beschermingsniveau van persoonsgegevens in de Unie te waarborgen (16); is ingenomen met het feit dat het EDPB een openbare raadpleging over zijn aanbevelingen heeft gehouden; is bezorgd over mogelijke conflicten tussen deze aanbevelingen en het voorstel van de Commissie voor modelcontractbepalingen; verzoekt de Commissie en het EDPB om samen te werken aan de voltooiing van hun respectieve documenten teneinde de rechtszekerheid te waarborgen naar aanleiding van het arrest van het HvJ-EU; is van mening dat de Commissie de richtsnoeren van het EDPB moet volgen;

12.

is met name ingenomen met de EDPB-aanbevelingen betreffende de noodzaak voor de verwerkingsverantwoordelijken om zich op objectieve factoren te baseren wanneer zij beoordelen of iets in de wetgeving of de praktijk van het derde land afbreuk kan doen aan de doeltreffendheid van de passende waarborgen in de doorgifte-instrumenten voor de doorgiften in kwestie, in plaats van op subjectieve factoren die herhaaldelijk door het HvJ-EU zijn verworpen, zoals de waarschijnlijkheid dat overheidsinstanties toegang tot de gegevens krijgen op een wijze die niet in overeenstemming is met de EU-normen; verzoekt de Commissie in dat verband ervoor te zorgen dat haar voorstel voor modelcontractbepalingen volledig in overeenstemming is met de geldende rechtspraak van het HvJ-EU;

13.

benadrukt dat het van cruciaal belang is dat bedrijven die actief zijn in de EU en die persoonsgegevens doorgeven naar buiten de EU gebruikmaken van solide mechanismen die in overeenstemming zijn met het arrest van het HvJ-EU; is in dit verband van mening dat in het huidige voorstel van de Commissie voor modelcontractbepalingen rekening moet worden gehouden met alle relevante aanbevelingen van het EDPB; steunt de opzet van een instrumentarium van aanvullende maatregelen waaruit gekozen kan worden, zoals veiligheids- en gegevensbeschermingscertificering, encryptiewaarborgen en pseudonimisatie, die door regelgevende instanties worden aanvaard, en publiek beschikbare bronnen over de relevante wetgeving van de belangrijkste handelspartners van de EU;

14.

wijst erop dat doorgifte van persoonsgegevens vanuit de Unie in het kader van modelcontractbepalingen vanwege het hoge risico op grootschalig toezicht niet mogelijk is voor verwerkingsverantwoordelijken die onder het toepassingsgebied van de Amerikaanse Foreign Intelligence Surveillance Act (FISA) vallen; verwacht dat indien er niet snel een regeling wordt getroffen met de VS die in wezen gelijkwaardig is en derhalve een gepast beschermingsniveau biedt dat vergelijkbaar is met het bij de AVG en het Handvest geboden beschermingsniveau, deze doorgiften worden geschorst totdat de situatie is opgelost; onderstreept de conclusie van het HJEU dat noch sectie 702 van de FISA, noch Executive Order 12333 (E.O. 12333), in samenhang met Presidential Policy Directive 28 (PPD-28), overeenstemt met de minimumwaarborgen die in het EU-recht voortvloeien uit het evenredigheidsbeginsel, met als gevolg dat de op deze bepalingen gebaseerde surveillanceprogramma’s niet kunnen worden geacht te zijn beperkt tot hetgeen strikt noodzakelijk is; benadrukt dat de in het arrest van het Hof geconstateerde problemen op duurzame wijze moeten worden aangepakt, teneinde de betrokkenen een gepaste bescherming van persoonsgegevens te bieden; herinnert eraan dat geen enkele overeenkomst tussen ondernemingen bescherming kan bieden tegen de willekeurige toegang van inlichtingendiensten tot de inhoud van elektronische communicatie en dat overeenkomsten tussen ondernemingen eveneens nooit voldoende rechtsmiddelen bevatten tegen grootschalig toezicht; benadrukt dat hiervoor een hervorming van de Amerikaanse surveillancewetgeving en -praktijken nodig is, teneinde ervoor te zorgen dat de toegang van Amerikaanse veiligheidsautoriteiten tot door de EU doorgegeven gegevens wordt beperkt tot wat noodzakelijk en evenredig is en dat Europese betrokkenen toegang hebben tot doeltreffende gerechtelijke verhaalsmogelijkheden voor de Amerikaanse rechtbanken;

15.

wijst erop dat Europese kmo’s en organisaties en verenigingen zonder winstoogmerk een beperkte onderhandelingspositie, beperkte verhaalsmogelijkheden en een beperkte financiële capaciteit hebben, hetgeen vanwege de verplichte beoordelingen van derde landen van de gepastheid van het eigen beschermingsniveau naar verwachting bepalend zal zijn voor de complexe rechtskaders van verschillende derde landen; dringt er bij de Commissie en het EDPB op aan richtsnoeren te verstrekken inzake het praktische gebruik van betrouwbare aanvullende maatregelen, met name voor kmo’s;

16.

dringt er bij de gegevensbeschermingsautoriteiten op aan hun verplichtingen na te komen, zoals benadrukt in het arrest van het HvJ-EU, om een correcte en snelle handhaving van de AVG te waarborgen door nauwlettend toe te zien op het gebruik van modelcontractbepalingen; roept de gegevensbeschermingsautoriteiten op ondernemingen bij te staan bij de naleving van de jurisprudentie van het Hof; dringt er bij de nationale toezichthoudende autoriteiten op aan tevens ten volle gebruik te maken van hun in artikel 58 van de AVG vastgelegde onderzoeks- en corrigerende bevoegdheden wanneer gegevensexporteurs persoonsgegevens doorgeven ondanks dat er in het derde landen wetten gelden die de importeur van de gegevens beletten de modelcontractbepalingen na te leven en er geen doeltreffende aanvullende maatregelen gelden; herinnert aan de conclusie van het HvJ-EU dat elke toezichthoudende autoriteit “ertoe gehouden [is] zich […] te kwijten van haar taak om toe te zien op de volledige naleving van de AVG”;

Privacyschild

17.

merkt op dat het HvJ heeft geoordeeld dat het EU-VS-privacyschild geen beschermingsniveau waarborgt dat in wezen gelijkwaardig is aan het in de AVG en in het Handvest voorziene beschermingsniveau en dat derhalve gepast zou zijn, met name omdat de grootschalige toegang van Amerikaanse overheidsinstanties tot in het kader van het privacyschild doorgegeven persoonsgegevens niet voldoet aan de beginselen van noodzakelijkheid en evenredigheid, en omdat betrokkenen uit de EU geen rechten hebben ten aanzien van de Amerikaanse instanties die zij voor een Amerikaanse rechter of een andere als rechter optredende onafhankelijke autoriteit kunnen afdwingen; verwacht dat de huidige regering van de VS zich meer zal inzetten voor de naleving van haar verplichtingen in het kader van mogelijke toekomstige doorgiftemechanismen dan de vorige regeringen, die een gebrek aan politieke wil aan de dag legden ten aanzien van de naleving en handhaving van de veiligehavenregels en de handhaving van de regels van het privacyschild;

18.

wijst erop dat sommige ondernemingen, als reactie op het arrest-Schrems II, hun privacyverklaringen en overeenkomsten met derde partijen met betrekking tot hun toezeggingen in het kader van het privacyschild mogelijk inderhaast hebben herzien zonder na te gaan wat de beste maatregelen waren om gegevens op rechtmatige wijze door te geven;

19.

betreurt dat de Commissie, ondanks herhaaldelijke oproepen van het Parlement in zijn resoluties van 2016, 2017 en 2018 om alle nodige maatregelen te nemen om ervoor te zorgen dat het privacyschild volledig voldoet aan de AVG en aan het Handvest, heeft nagelaten op te treden overeenkomstig artikel 45, lid 5, AVG; betreurt dat de Commissie de verzoeken van het Parlement om het privacyschild op te schorten totdat de Amerikaanse autoriteiten aan de voorwaarden ervan voldoen, heeft genegeerd, waardoor het gevaar bestond dat het HvJ-EU het privacyschild ongeldig zou kunnen verklaren; wijst erop dat de problemen met de werking van het privacyschild herhaaldelijk zijn aangekaart door de Groep artikel 29 en het EDPB;

20.

betreurt dat de Commissie de betrekkingen met de VS boven de belangen van de EU-burgers heeft geplaatst en dat zij de taak om het EU-recht te verdedigen daarmee aan individuele burgers heeft overgelaten;

Grootschalige surveillance en het rechtskader

21.

moedigt de Commissie aan het gebruik van technologieën voor grootschalig toezicht in de VS en andere landen die het voorwerp zijn of kunnen zijn van een adequaatheidsbeoordeling, zoals het Verenigd Koninkrijk, proactief te volgen; dringt er bij de Commissie op aan geen adequaatheidsbesluiten vast te stellen met betrekking tot landen waar wetten en programma’s inzake massasurveillance niet naar de letter of de geest aan de criteria van het HvJ-EU voldoen;

22.

neemt kennis van de recente inwerkingtreding in de VS van de California Consumer Privacy Act (CCPA); neemt kennis van de daarmee samenhangende debatten en wetgevingsvoorstellen op federaal niveau; wijst erop dat noch de CCPA noch een van de federale voorstellen tot nu toe voldoet aan de vereisten van de AVG voor een adequaatheidsbesluit, hoewel ze een stap in de goede richting zijn; spoort de Amerikaanse wetgever met klem aan wetgeving vast te stellen die aan deze vereisten voldoet en er zo voor te helpen zorgen dat het Amerikaanse recht een in wezen gelijkwaardige bescherming biedt als die welke momenteel in de EU wordt gewaarborgd;

23.

wijst erop dat dergelijke wetgeving inzake de bescherming van consumentengegevens en privacy op zich geen oplossing zal bieden voor de fundamentele kwesties die het Hof heeft vastgesteld met betrekking tot grootschalig toezicht door de Amerikaanse inlichtingendiensten en de ontoereikende toegang tot rechtsmiddelen; moedigt de Amerikaanse wetgever aan artikel 702 van de FISA te wijzigen, en de Amerikaanse president om Executive Order 12333 en Presidential Policy Directive 28 te wijzigen, met name wat betreft massasurveillance en het toekennen van een gelijkwaardig beschermingsniveau aan EU- en VS-burgers; moedigt de VS ertoe aan te voorzien in mechanismen om te waarborgen dat individuen (met vertraging) meldingen krijgen en ongepast toezicht uit hoofde van artikel 702 en EO 12333 kunnen aanvechten en te voorzien in een wettelijk vastgelegd mechanisme om te waarborgen dat burgers van buiten de VS afdwingbare rechten genieten die verder gaan dan de Judicial Redress Act;

24.

herinnert eraan dat de lidstaten persoonsgegevens met de VS blijven uitwisselen in het kader van het programma voor het traceren van terrorismefinanciering (TFTP), de overeenkomst tussen de EU en de VS over persoonsgegevens van passagiers (PNR), de automatische uitwisseling van belastinggegevens via de intergouvernementele overeenkomsten ter uitvoering van de Amerikaanse Foreign Tax Compliance Act (FATCA), die nadelige gevolgen heeft voor “toevallige Amerikanen”, zoals bedoeld in de resolutie van het Parlement van 5 juli 2018 over de nadelige gevolgen van de Amerikaanse Foreign Account Tax Compliance Act (FATCA) voor EU-burgers en met name “accidental Americans” (17); herinnert eraan dat de VS nog steeds toegang hebben tot de rechtshandhavingsdatabanken van de lidstaten, die vingerafdrukken en DNA-gegevens van EU-burgers bevatten; verzoekt de Commissie om de gevolgen van de arresten-Schrems I en -Schrems II voor die gegevensuitwisselingen te analyseren en haar analyse en de manier waarop zij die uitwisselingen in overeenstemming denkt te brengen met de arresten uiterlijk op 30 september 2021 openbaar en schriftelijk toe te lichten aan de Commissie burgerlijke vrijheden, justitie en binnenlandse zaken;

25.

verzoekt de Commissie tevens een analyse uit te voeren van de situatie van cloud providers die onder artikel 702 van de FISA vallen en die gegevens doorgeven met toepassing van modelcontractbepalingen; verzoekt de Commissie de gevolgen te analyseren voor de rechten die aan de raamovereenkomst tussen de EU en de VS worden ontleend, waaronder het recht op verhaal, aangezien de VS dat recht nadrukkelijk uitsluitend verlenen aan burgers van specifieke landen die gegevensdoorgiften aan de VS voor commerciële doeleinden toestaan; vind het onaanvaardbaar dat de Commissie haar bevindingen in het kader van de eerste gezamenlijke herziening van de raamovereenkomst een jaar na het verstrijken van de daarvoor vastgestelde termijn nog steeds niet heeft bekendgemaakt en verzoekt de Commissie de overeenkomst zo nodig onverwijld in overeenstemming te brengen met de normen die in de arresten van het HvJ-EU zijn vastgesteld;

26.

acht het, gelet op de aanzienlijke tekortkomingen in de bescherming van gegevens van Europese burgers die worden doorgegeven aan de VS, noodzakelijk investeringen in Europese instrumenten op het gebied van gegevensbewaring (bijv. clouddiensten) te ondersteunen om de afhankelijkheid van de Unie van derde landen wat betreft opslagcapaciteit te verminderen en de strategische autonomie van de Unie op het gebied van gegevensbeheer en -bescherming te versterken;

Adequaatheidsbesluiten

27.

verzoekt de Commissie alle nodige maatregelen te nemen om te kunnen waarborgen dat elk nieuw adequaatheidsbesluit met betrekking tot de VS volledig in overeenstemming is met Verordening (EU) 2016/679, met het Handvest, en met alle aspecten van de arresten van het HvJ-EU; herinnert eraan dat adequaatheidskaders de economische activiteit aanzienlijk vergemakkelijken, met name voor kmo’s en startende ondernemingen, die in tegenstelling tot grote bedrijven vaak niet over de nodige financiële, juridische en technische capaciteit beschikken om andere doorgifte-instrumenten te gebruiken; verzoekt de lidstaten om met de VS niet-spionage-akkoorden te sluiten; verzoekt de Commissie om haar Amerikaanse tegenhangers op het hart te drukken dat, als wijziging van de Amerikaanse surveillancewetgeving en -praktijk uitblijft, alleen het sluiten van niet-spionage-akkoorden met de lidstaten de weg kan vrijmaken voor een toekomstig adequaatheidsbesluit;

28.

benadrukt dat toekomstige adequaatheidsbesluiten van de Commissie niet mogen berusten op een zelfcertificeringsregeling, zoals het geval was bij de veilige haven en het privacyschild; verzoekt de Commissie het EDPB ten volle te betrekken bij de beoordeling van de naleving en handhaving van een eventueel nieuw adequaatheidsbesluit ten aanzien van de VS; verzoekt de Commissie het in dit kader eens te worden met de Amerikaanse regering over de maatregelen die nodig zijn opdat het EDPB die taak op doeltreffende wijze kan vervullen; verwacht van de Commissie dat zij het standpunt van het Europees Parlement over een nieuw adequaatheidsbesluit met betrekking tot de VS serieuzer in overweging neemt alvorens een dergelijk besluit vast te stellen;

29.

herinnert eraan dat de Commissie momenteel alle op grond van Richtlijn (EG) nr. 95/46 vastgestelde adequaatheidsbesluiten toetst; benadrukt dat de Commissie de strengere normen die zijn vastgesteld in de AVG en in de arresten Schrems I en II van het HvJ-EU moet toepassen om te beoordelen of een beschermingsniveau wordt geboden dat in wezen gelijkwaardig is aan dat van de AVG, onder meer wat betreft toegang tot een daadwerkelijk rechtsmiddel en bescherming tegen onrechtmatige toegang tot persoonsgegevens door de autoriteiten van het derde land; dringt er bij de Commissie op aan om die toetsingen dringend te voltooien en alle beslissingen van vóór de AVG in te trekken of te schorsen als zij vaststelt dat het derde land in kwestie geen beschermingsniveau biedt dat in wezen gelijkwaardig is en als de situatie niet kan worden verholpen;

30.

is van mening dat de regering-Biden, door de aanstelling van een ervaren privacydeskundige als hoofdonderhandelaar voor de opvolger van het privacyschild, haar vastbeslotenheid heeft getoond om op korte termijn een oplossing te vinden voor commerciële gegevensdoorgiften tussen de EU en de VS; verwacht dat de dialoog tussen de Commissie en haar Amerikaanse tegenhangers, die meteen na het arrest van het HvJ-EU is gestart, de komende maanden zal worden geïntensiveerd;

31.

verzoekt de Commissie geen nieuw adequaatheidsbesluit ten aanzien van de VS vast te stellen, tenzij er substantiële hervormingen worden doorgevoerd, met name voor nationale veiligheids- en inlichtingendoeleinden, die verwezenlijkt kunnen worden door middel van een duidelijke, juridisch duurzame, afdwingbare en niet-discriminerende hervorming van de Amerikaanse wetten en praktijken; wijst in dat verband nogmaals op het belang van solide waarborgen op het gebied van de toegang van overheidsinstanties tot persoonsgegevens; verzoekt de Commissie om haar “geopolitieke ambities” in de praktijk te brengen om een gegevensbescherming af te dwingen in de VS en in andere derde landen die in wezen gelijkwaardig is aan die in de EU;

32.

beveelt nationale gegevensbeschermingsautoriteiten aan dat zij de doorgifte schorsen van persoonsgegevens waartoe toegang kan worden verkregen door overheidsdiensten in de VS indien de Commissie een nieuw adequaatheidsbesluit vaststelt ten aanzien van de VS zolang dergelijke substantiële hervormingen uitblijven;

33.

is ingenomen met het feit dat de Commissie de criteria volgt die zijn vastgesteld in de adequaatheidsreferentie van de Groep artikel 29 in het kader van de AVG (18) (zoals bekrachtigd door het EDPB) en in de EDPB-Aanbevelingen 01/2021 over de adequaatheidsreferentie in het kader van de richtlijn gegevensbescherming bij rechtshandhaving (19); is van mening dat de Commissie op zijn minst deze criteria moet aanhouden bij de beoordeling of een derde land al dan niet in aanmerking komt voor een adequaatheidsbesluit; neemt kennis van het feit dat het EDPB zijn aanbevelingen over de Europese essentiële garanties voor surveillancemaatregelen recent heeft geactualiseerd in het licht van de rechtspraak van het HvJ-EU (20);

o

o o

34.

verzoekt zijn Voorzitter deze resolutie te doen toekomen aan de Commissie, de Europese Raad, de Raad van de Europese Unie, het Europees Comité voor gegevensbescherming, de nationale parlementen van de lidstaten, het Congres en de regering van de Verenigde Staten van Amerika en het parlement en de regering van het Verenigd Koninkrijk.

(1)  Arrest van het Hof van Justitie van 16 juli 2020, Data Protection Commissioner/Facebook Ireland Limited, Maximillian Schrems, C-311/18, ECLI:EU:C:2020:559.

(2)  Arrest van het Hof van Justitie van 6 oktober 2015, Maximillian Schrems/Data Protection Commissioner, C-362/14, ECLI:EU:C:2015:650.

(3)  Arrest van het Hof van Justitie van 6 oktober 2020, C-623/17, Privacy International/Secretary of State for Foreign and Commonwealth Affairs e.a., C-623/17, ECLI:EU:C:2020:790.

(4)  PB C 76 van 28.2.2018, blz. 82.

(5)  PB C 298 van 23.8.2018, blz. 73.

(6)  PB C 118 van 8.4.2020, blz. 133.

(7)  PB C 345 van 16.10.2020, blz. 58.

(8)  PB L 39 van 12.2.2010, blz. 5.

(9)  PB L 207 van 1.8.2016, blz. 1.

(10)  Aangenomen teksten, P9_TA(2020)0337.

(11)  PB L 119 van 4.5.2016, blz. 1.

(12)  https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_2_2018_ derogations_en.pdf

(13)  Richtlijn (EU) 2016/680 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en betreffende het vrije verkeer van die gegevens en tot intrekking van Kaderbesluit 2008/977/JBZ van de Raad (PB L 119 van 4.5.2016, blz. 89).

(14)  EU proposal for provisions on cross-border data flows and protection of personal data and privacy, http://trade.ec.europa.eu/doclib/docs/2018/july/tradoc_157130.pdf

(15)  Gezamenlijk advies 2/2021 van het EDPB en de EDPS over modelcontractbepalingen voor de doorgifte van persoonsgegevens aan derde landen van 14 januari 2021, https://edpb.europa.eu/our-work-tools/our-documents/edpbedps-joint-opinion/edpb-edps-joint-opinion-22021-standard_nl

(16)  Aanbevelingen 01/2020 van het EDPB inzake maatregelen ter aanvulling op doorgifte-instrumenten teneinde naleving van het beschermingsniveau van persoonsgegevens in de Unie te waarborgen, vastgesteld op 11 november 2020, https://edpb.europa.eu/sites/default/files/consultation/edpb_recommendations_202001_supplementarymeasurestransferstools_nl.pdf

(17)  PB C 118 van 8.4.2020, blz. 141.

(18)  https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=614108

(19)  https://edpb.europa.eu/our-work-tools/our-documents/recommendations/recommendations-012021-adequacy-referential-under-law_nl

(20)  https://edpb.europa.eu/our-work-tools/our-documents/preporki/recommendations-022020-european-essential-guarantees_nl


Top