Europese Privacyverordening aangenomen, Privacy Shield in twijfel

“Algemene Verordening Gegevensbescherming” aangenomen

Afgelopen vrijdag kwam een einde aan een zes jaar durend wetgevend proces waarbij de oude richtlijn omtrent de bescherming van persoonsgegevens werd vervangen door de nieuwe AVGB.

Midden december 2015 kwamen de Europese instellingen al tot een akkoord omtrent de definitieve inhoud van de AVGB. Nu is de tekst ook finaal afgewerkt, hernummerd, vertaald in alle talen van de Europese Unie en werd vandaag door de leden van het Europees Parlement officieel aangenomen.

Van zodra de nieuwe verordening gepubliceerd wordt in het Publicatieblad zal een termijn van inwerkingtreding van twee jaar van start gaan. Conformeren is vermoedelijk mogelijk tot mei 2018, want dan moet iedereen de nieuwe regels toepassen.

De tekst van de AVGB in alle EU-talen vindt u hier.

WP29 zeer lauw over Privacy Shield

Het is vermoedelijk wel nog even wachten op de opvolger van de afgekeurde Safe Harbor. Daartoe werd al enige tijd geleden een aanzet gedaan, maar kwam in een stroomversnelling terecht wegens het intussen welbekende Schrems-arrest.

Op 29 februari van dit jaar kwam de Europese Commissie naar buiten met een adequacy decision, waarin het de voorwaarden bepaalde voor een veilige overdracht van data naar ondernemingen in de niet zo veilige Verenigde Staten.

Gisteren kwamen de verenigde Europese privacyregulatoren, de zogenaamde “article 29 Working Party”, tot een advies omtrent de nieuwe Privacy Shield.

Hoewel de WP29 in eerste instantie wel complimenten veil heeft voor de verbeteringen die de Privacy Shield biedt ten opzichte van de oude Safe Harbor principes, heeft de werkgroep ook enkele ernstige bemerkingen bij het nieuwe raamwerk.

De WP29 hekelt in eerste instantie het gebrek aan transparantie en duidelijkheid in de structuur en de gebruikte taal van de Privacy Shield.

Nog belangrijker is een gebrek aan overeenkomsten van de gehanteerde principes met de thans geldende beginselen binnen het Europese privacyrecht. Dit is essentieel omdat een akkoord tussen derde landen en de Europese Unie net moet garanderen dat betrokkenen een gelijkwaardige bescherming genieten ten opzichte van de bescherming van persoonsgegevens bij overdracht naar die derde landen. Zo vormt het principe van dataretentie een probleem omdat dit aspect niet rechtstreeks kan worden teruggekoppeld met andere beginselen.

Ook de zogenaamde “onward transfers”, die het risico op omzeiling van de wetgeving in zich dragen, worden niet afdoende afgedekt door het ontwerp van akkoord.

Eén van de belangrijkste bemerkingen van de WP29 op het ontwerp van adequacy decision betreft het niet volledig uitsluiten van de mogelijkheid voor de Amerikaanse overheid om Europese data aan een constante screening te onderwerpen. Deze praktijk was net één van de belangrijkste premissen van de Schrems-zaak en wordt door de WP29 beschouwd als een zeer intrusieve inbreuk op de fundamentele rechten van het individu.

Tot slot wijst de WP29 erop dat de nieuwe figuur van de Ombudsman afdoende middelen moet krijgen en dat deze adequacy decision genomen is binnen het kader van Richtlijn 95/46/EG, waardoor een bevestiging zal nodig zijn eenmaal de nieuwe AVGB in werking zal treden.

Hoewel de WP29 een adviesplicht heeft, zal deze niet-bindende analyse vermoedelijk implicaties hebben op de finale tekst. Het advies van de WP29 vindt u hier.

Heeft u vragen omtrent privacy en verwerking van persoonsgegevens? Neem gerust contact met ons op: andries@siriuslegal.be of 0498/345.271