25.5.2016

Publicatieblad van de Europese Unie

C 186/4

Samenvatting van het voorlopige advies van de Europese Toezichthouder voor gegevensbescherming over de Overeenkomst tussen de Verenigde Staten van Amerika en de Europese Unie inzake de bescherming van persoonsgegevens met betrekking tot het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten

(De volledige tekst van dit advies is beschikbaar in het Engels, het Frans en het Duits op de EDPS-website: www.edps.europa.eu)

(2016/C 186/04)

Dit advies is gebaseerd op de algemene verplichting dat door de EU gesloten internationale overeenkomsten moeten voldoen aan de bepalingen van het Verdrag betreffende de werking van de Europese Unie (VWEU) en de eerbiediging van de grondrechten waarop de EU-wetgeving is geschraagd. Bij de beoordeling wordt met name geanalyseerd of de inhoud van de overkoepelende overeenkomst in overeenstemming is met de artikelen 7, 8 en 47 van het Handvest van de grondrechten van de Europese Unie en artikel 16 VWEU dat de bescherming van persoonsgegevens waarborgt.

SAMENVATTING

Het onderzoeken en vervolgen van criminaliteit is een legitieme beleidsdoelstelling en de internationale samenwerking, met inbegrip van de uitwisseling van informatie, is daarbij belangrijker dan ooit tevoren. Tot nu toe beschikte de EU niet over een gedegen gemeenschappelijk kader op dit gebied en dus bestaan er geen consistente waarborgen voor de grondrechten en vrijheden van personen. Zoals de Europese Toezichthouder voor gegevensbescherming lang heeft aangevoerd, heeft de EU behoefte aan duurzame regelingen voor de uitwisseling van persoonsgegevens met derde landen voor rechtshandhavingsdoeleinden, die volledig verenigbaar zijn met de EU-verdragen en het Handvest van de grondrechten van de Europese Unie.

Daarom zijn wij ingenomen met en ondersteunen wij actief de inspanningen van de Europese Commissie om een eerste overkoepelende overeenkomst met de VS te sluiten. Deze internationale overeenkomst inzake rechtshandhaving streeft ernaar om voor het eerst gegevensbescherming aan te wenden als basis voor de uitwisseling van informatie. Wij zijn ons er weliswaar van bewust dat het niet mogelijk is om de terminologie en definities van de EU-wetgeving volledig te repliceren in een overeenkomst met een derde land, maar toch moeten de waarborgen voor personen duidelijk en doeltreffend zijn om geheel te voldoen aan het primaire recht van de EU.

Het Europees Hof van Justitie heeft in de afgelopen jaren de beginselen inzake gegevensbescherming bevestigd, waaronder eerlijkheid, nauwkeurigheid en relevantie van informatie, onafhankelijk toezicht en individuele rechten van personen. Deze beginselen zijn even relevant voor overheidsinstanties als voor particuliere ondernemingen, ongeacht eventuele formele verklaringen van gepastheid van de EU met betrekking tot de gegevensbeschermingswaarborgen van derde landen; zij worden immers des te belangrijker in het licht van de gevoeligheid van de gegevens die nodig zijn voor strafrechtelijk onderzoek.

Dit advies is erop gericht constructief en objectief advies te verschaffen aan de EU-instellingen, terwijl de Commissie deze delicate taak afrondt, met verstrekkende gevolgen, niet alleen voor de samenwerking tussen de EU en de VS op het gebied van rechtshandhaving, maar ook voor toekomstige internationale akkoorden. De overkoepelende overeenkomst maakt geen deel uit van het onlangs aangekondigde „privacyschild” van de EU en de VS inzake de doorgifte van persoonsgegevens in de handelsomgeving, maar moet hier wel mee in samenhang worden gezien. Er kunnen verdere overwegingen nodig zijn om de interactie tussen deze twee instrumenten en de hervorming van het EU-kader voor gegevensbescherming te analyseren.

Voordat de overeenkomst ter goedkeuring wordt voorgelegd aan het Parlement, sporen wij de partijen aan om significante ontwikkelingen sinds september jongstleden, toen zij hun voornemen kenbaar maakten om de overeenkomst te sluiten nadat de wet inzake gerechtelijk beroep (Judicial Redress Act) is aangenomen, zorgvuldig in aanmerking te nemen. Veel van de reeds geplande waarborgen zijn welkom, maar zij moeten worden versterkt, met name in het licht van het arrest-Schrems van oktober waarin het veiligehavenbesluit ongeldig werd verklaard, en de politieke overeenkomst van de EU over de hervorming van de gegevensbescherming in december, die betrekking heeft op doorgiften en justitiële en politiële samenwerking.

De Europese Toezichthouder voor gegevensbescherming heeft drie essentiële verbeteringen vastgesteld die hij voor de tekst aanbeveelt met het oog op de naleving van het Handvest en artikel 16 van het Verdrag:

—	verduidelijken dat alle waarborgen van toepassing zijn op alle personen, niet alleen op EU-onderdanen;

—	ervoor zorgen dat gerechtelijke beroepsmogelijkheden doeltreffend zijn in de zin van het Handvest;

—	verduidelijken dat de doorgifte van gevoelige gegevens in bulk niet is toegestaan.

Het advies bevat aanvullende aanbevelingen ter verduidelijking van de beoogde waarborgen in de vorm van een begeleidende toelichting. Wij blijven ter beschikking van de instellingen voor verder advies en overleg over dit onderwerp.

I. Context van de geparafeerde overeenkomst

Op 3 december 2010 stelde de Raad een besluit vast waarbij de Commissie werd gemachtigd om onderhandelingen te openen over een Overeenkomst tussen de Europese Unie (EU) en de Verenigde Staten van Amerika (VS) inzake de bescherming van persoonsgegevens bij doorgifte en verwerking ervan met het oog op het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten, waaronder terrorisme, in het kader van politiële en justitiële samenwerking in strafzaken (hierna de „overeenkomst” genoemd) (1).

De onderhandelingen tussen de Commissie en de VS gingen op 29 maart 2011 officieel van start (2). Op 25 juni 2014 kondigde de procureur-generaal van de Verenigde Staten aan dat er wetgevende maatregelen zullen worden genomen om te voorzien in gerechtelijke beroepsmogelijkheden met betrekking tot privacyrechten in de VS voor de burgers van de EU (3). Na verscheidene onderhandelingsronden, gespreid over ruim vier jaar, werd de overeenkomst geparafeerd op 8 september 2015. Volgens de Commissie is het de bedoeling om de overeenkomst te ondertekenen en formeel te sluiten, nadat de Amerikaanse wet op gerechtelijke beroepsmogelijkheden is aangenomen (4).

Het Europees Parlement moet de geparafeerde tekst van de overeenkomst goedkeuren, terwijl de Raad deze moet ondertekenen. Zolang dit niet is gebeurd en de overeenkomst niet formeel is ondertekend, wijzen wij erop dat de onderhandelingen over specifieke punten kunnen worden heropend. Het is in deze context dat de Europese Toezichthouder voor gegevens dit advies uitbrengt op basis van de geparafeerde tekst van de overeenkomst die is gepubliceerd op de website van de Commissie (5). Dit is een voorlopig advies op basis van een eerste analyse van een complexe juridische tekst en het doet niets af aan eventuele aanvullende aanbevelingen die zullen worden gemaakt op basis van nadere beschikbare informatie, met inbegrip van wetgevende ontwikkelingen in de VS, zoals de aanneming van de wet op gerechtelijke beroepsmogelijkheden. De Europese Toezichthouder voor gegevensbescherming heeft drie essentiële punten vastgesteld die moeten worden verbeterd en wijst ook op andere aspecten waarvoor belangrijke verduidelijkingen worden aanbevolen. Met deze verbeteringen kan de overeenkomst worden geacht in overeenstemming te zijn met het primaire recht van de EU.

V. Conclusies

53.

De Europese Toezichthouder voor gegevensbescherming is ingenomen met het voornemen om te voorzien in een juridisch bindend instrument dat tot doel heeft te zorgen voor een hoog niveau van gegevensbescherming voor persoonsgegevens die worden doorgegeven tussen de EU en de VS met het oog op het voorkomen, onderzoeken, opsporen of vervolgen van strafbare feiten, waaronder terrorisme.

54.

De meeste materiële bepalingen van de overeenkomst streven ernaar geheel of gedeeltelijk overeen te stemmen met de essentiële waarborgen van het recht op bescherming van persoonsgegevens in de EU (zoals de rechten van de betrokkene, onafhankelijk toezicht en het recht op rechterlijke toetsing).

55.

Hoewel de overeenkomst technisch gezien geen besluit over een verklaring van gepastheid vormt, schept zij een vermoeden van conformiteit voor doorgiften die zijn gebaseerd op een specifieke rechtsgrondslag in het kader van de overeenkomst. Daarom is het van cruciaal belang om ervoor te zorgen dat dit „vermoeden” door alle noodzakelijke waarborgen in de tekst van de overeenkomst wordt versterkt, teneinde schendingen van het Handvest, met name de artikelen 7, 8 en 47, te voorkomen.

56.

De Europese Toezichthouder voor gegevensbescherming beveelt drie essentiële verbeteringen aan voor de tekst met het oog op de naleving van het Handvest en artikel 16 VWEU:

1)	verduidelijken dat alle waarborgen van toepassing zijn op alle personen, niet alleen op EU-onderdanen;

2)	ervoor zorgen dat gerechtelijke beroepsmogelijkheden doeltreffend zijn in de zin van het Handvest;

3)	verduidelijken dat de doorgifte van gevoelige gegevens in bulk niet is toegestaan.

57.

Bovendien beveelt de Europese Toezichthouder voor gegevensbescherming met het oog op rechtszekerheid aan dat de volgende verbeteringen of verduidelijkingen worden aangebracht in de tekst van de overeenkomst, in de toelichtingen die moeten worden gevoegd bij de overeenkomst of in de uitvoeringsfase van de overeenkomst, zoals beschreven in dit advies:

1)	artikel 5, lid 3, moet aldus worden uitgelegd dat het de rol van de toezichthoudende autoriteiten respecteert, teneinde te voldoen aan artikel 8, lid 3, van het Handvest;

2)	de specifieke rechtsgronden voor doorgiften (artikel 5, lid 1) moeten volledig in overeenstemming zijn met de waarborgen uit hoofde van de overeenkomst en in het geval van tegenstrijdige bepalingen tussen een specifieke rechtsgrond en de overeenkomst heeft de overeenkomst voorrang;

3)	indien de bescherming van gegevens die worden doorgegeven aan autoriteiten op nationaal niveau, niet doeltreffend is, zullen de desbetreffende maatregelen overeenkomstig artikel 14, lid 2, indien nodig, onder meer bestaan uit maatregelen met betrekking tot reeds uitgewisselde gegevens;

de definities van verwerkingen en persoonsgegevens (artikel 2) worden zo afgestemd dat zij in overeenstemming zijn met hun gevestigde uitleg in de EU-wetgeving; indien de partijen deze definities niet volledig op elkaar afstemmen, dient in de toelichtingen bij de overeenkomst een verduidelijking te worden opgenomen dat de toepassing van de twee begrippen inhoudelijk niet zal verschillen van hun uitleg in de EU-wetgeving;

5)	in de toelichting kan een indicatieve lijst worden opgenomen van de „specifieke voorwaarden” voor het doorgeven van gegevens in bulk (artikel 7, lid 3);

6)	de partijen zijn voornemens de bepalingen inzake meldingen van inbreuken in verband met gegevens (artikel 10) toe te passen, teneinde zo veel mogelijk te beperken dat meldingen achterwege blijven en teneinde buitensporige vertragingen van meldingen te vermijden;

7)	de bepaling inzake gegevensbewaring in artikel 12, lid 1, wordt aangevuld met de specificatie „voor het specifieke doel waarvoor zij zijn doorgegeven”, in het licht van het beginsel van doelbinding waarop de partijen bij de overeenkomst zich beroepen;

de partijen bij de overeenkomst overwegen hun inspanningen op te voeren om ervoor te zorgen dat belemmeringen voor de uitoefening van het recht van toegang worden beperkt tot hetgeen noodzakelijk is voor de bescherming van de opgesomde openbare belangen en om de transparantieverplichting te versterken;

een gedetailleerde toelichting bij de overeenkomst bevat een specifieke opsomming van (artikel 21):

—	de toezichthoudende autoriteiten die bevoegd zijn op dit gebied en het mechanisme waarmee de partijen elkaar in kennis stellen van toekomstige wijzigingen;

—	de bevoegdheden die zij daadwerkelijk kunnen uitoefenen;

—	de identiteit en de gegevens van het contactpunt dat zal helpen bij de vaststelling van de bevoegde toezichthoudende instantie (zie artikel 22, lid 2).

58.

Ten slotte wijst de Europese Toezichthouder voor gegevensbescherming erop dat de uitleg, toepassing en uitvoeringsmaatregelen van de overeenkomst, in het geval van een gebrek aan duidelijkheid en schijnbaar tegenstrijdige bepalingen, op een wijze geschieden die verenigbaar is met de grondwettelijke beginselen van de EU, met name ten aanzien van artikel 16 VWEU en de artikelen 7 en 8 van het Handvest, ongeacht de welkome verbeteringen die moeten worden doorgevoerd naar aanleiding van de aanbevelingen in dit advies.

Gedaan te Brussel, 12 februari 2016.

Giovanni BUTTARELLI

Europese Toezichthouder voor gegevensbescherming

(1) Zie MEMO 10/1661 van de Europese Commissie, gepubliceerd op 3 december 2010, beschikbaar op: http://europa.eu/rapid/press-release_IP-10-1661_en.htm

(2) Zie MEMO 11/203 van de Europese Commissie, gepubliceerd op 29 maart 2011, beschikbaar op: http://europa.eu/rapid/press-release_MEMO-11-203_en.htm

(3) Zie persbericht 14-668 van het Bureau van de procureur-generaal, gepubliceerd op 25 juni 2014, beschikbaar op: http://www.justice.gov/opa/pr/attorney-general-holder-pledges-support-legislation-provide-eu-citizens-judicial-redress

(4) Zie MEMO 15/5612 van de Europese Commissie, gepubliceerd op 8 september 2015, beschikbaar op: http://europa.eu/rapid/press-release_MEMO-15-5612_en.htm

(5) Tekst beschikbaar op: http://ec.europa.eu/justice/data-protection/files/dp-umbrella-agreement_en.pdf