Vrij verkeer van niet-persoonsgebonden gegevens in de Europese Unie

SAMENVATTING VAN:

Verordening (EU) 2018/1807 — inzake een kader voor het vrije verkeer van niet-persoonsgebonden gegevens in de Europese Unie

WAT IS HET DOEL VAN DE VERORDENING?

Met de verordening wordt beoogd de vrije verwerking van elektronische niet-persoonsgebonden gegevens in de EU te waarborgen.
De verordening bevat een verbod op beperkingen op waar de gegevens kunnen worden verwerkt of opgeslagen.

KERNPUNTEN

De verordening is van toepassing op de verwerking van niet-persoonsgebonden gegevens* die:

als dienst wordt verleend aan gebruikers die in de EU wonen;
wordt verricht door een persoon, bedrijf of organisatie in de EU voor eigen intern gebruik.

De verordening voorziet in een verbod op maatregelen die bekend staan als gegevenslokalisatievereisten*, op grond waarvan gegevensverwerking wordt beperkt tot een specifiek grondgebied in de EU, behoudens om redenen van openbare veiligheid.

De EU-landen moeten:

een potentieel nieuw gegevenslokalisatievereiste onmiddellijk aan de Europese Commissie meedelen;
uiterlijk op 30 mei 2021 ongerechtvaardigde gegevenslokalisatievereisten intrekken of de Commissie in kennis stellen van gegevenslokalisatievereisten die volgens een lidstaat gerechtvaardigd worden geacht;
een centraal nationaal online-informatiepunt opzetten dat alle actuele gegevenslokalisatievereisten bevat;
een centraal aanspreekpunt aanwijzen dat samenwerkt met de aanspreekpunten in andere EU-landen en de Commissie, met name met betrekking tot verzoeken om bijstand.

Overheden kunnen om toegang vragen tot gegevens die zich in een ander EU-land bevinden, of die zijn opgeslagen of verwerkt in de cloud, en die zij nodig hebben voor hun officiële taken.

De Commissie moet:

op haar website links naar de centrale nationale online-informatiepunten publiceren en regelmatig een geconsolideerde lijst van gegevenslokalisatievereisten bijwerken;
uiterlijk op 29 mei 2019 voorzien in richtsnoeren inzake de wisselwerking tussen de verordening en Verordening (EU) 2016/679 betreffende de verwerking en doorgifte van persoonsgegevens, met name gegevens met zowel persoonlijke als niet-persoonlijke informatie;
uiterlijk op 29 november 2022 verslag uitbrengen aan het Europees Parlement, de Raad en het Europees Economisch en Sociaal Comité over hoe de verordening wordt toegepast.

De Commissie bevordert het opstellen van zelfregulerende gedragscodes op EU-niveau. Deze moeten:

worden uitgewerkt in nauwe samenwerking met de belanghebbende partijen, zoals samenwerkingsverbanden van kleine en middelgrote ondernemingen, start-ups, gebruikers en verleners van clouddiensten;
uiterlijk op 29 november 2019 worden voltooid, zodat ze uiterlijk op 29 mei 2020 ten uitvoer kunnen worden gelegd;
betrekking hebben op
- beste praktijken bij het veranderen van dienstverlener of gegevensoverdracht*
- minimale informatievereisten voor professionele gebruikers voor de ondertekening van een gegevensverwerkingsovereenkomst
- certificeringsregelingen om producten en diensten op het gebied van gegevensverwerking voor professionals te kunnen vergelijken
- communicatie om de gedragscodes onder de aandacht te brengen.

VANAF WANNEER IS DE VERORDENING VAN TOEPASSING?

De verordening is van toepassing met ingang van 28 mei 2019. Zoals in de samenvatting wordt vermeld, bevat de verordening specifieke termijnen die moeten worden nageleefd, bijvoorbeeld dat ongerechtvaardigde gegevenslokalisatievereisten uiterlijk op 30 mei 2021 moeten worden ingetrokken.

ACHTERGROND

De nieuwe regels moeten het gemakkelijker maken om in de EU over de grenzen heen zaken te doen en om een eengemaakte markt tot stand te brengen voor diensten op het gebied van gegevensopslag en -verwerking, zoals cloudcomputing.

De mogelijkheid om waar dan ook in de EU een aanbieder van gegevensdiensten te kiezen, moet leiden tot innovatievere gegevensgestuurde diensten en meer concurrerende prijzen voor bedrijven, consumenten en overheidsinstanties.

Met een gunstig regelgevingsklimaat wordt de waarde van de gegevenseconomie tegen 2020 op 4 % van het bbp (bruto binnenlands product) van de EU geschat.

Zie voor meer informatie:

Vrij verkeer van niet-persoonsgebonden gegevens (Europese Commissie)

KERNBEGRIPPEN

Niet-persoonsgebonden gegevens: informatie die niet is gekoppeld aan een identificeerbare of geïdentificeerde persoon, oftewel andere gegevens dan persoonsgegevens als gedefinieerd in artikel 4, punt (1), van de algemene verordening gegevensbescherming (AVG).

Gegevenslokalisatievereiste: elke juridische of administratieve maatregel waarin staat dat gegevensverwerking moet plaatsvinden op een specifiek EU-grondgebied.

Gegevensoverdracht: het overdragen van gegevens van de ene dienstverlener naar de andere, of terug naar de eigen servers van een bedrijf.

BELANGRIJKSTE DOCUMENT

Verordening (EU) 2018/1807 van het Europees Parlement en de Raad van 14 november 2018 inzake een kader voor het vrije verkeer van niet-persoonsgebonden gegevens in de Europese Unie (PB L 303 van 28.11.2018, blz. 59-68)

GERELATEERD DOCUMENT

Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming) (PB L 119 van 4.5.2016, blz. 1-88)

Zie de geconsolideerde versie.

Laatste bijwerking 15.02.2019