Artikelen bij COM(2019)495 - Derde jaarlijkse evaluatie van de werking van het EU-VS-privacyschild - Hoofdinhoud
Dit is een beperkte versie
U kijkt naar een beperkte versie van dit dossier in de EU Monitor.
| dossier | COM(2019)495 - Derde jaarlijkse evaluatie van de werking van het EU-VS-privacyschild. |
|---|---|
| document | COM(2019)495   |
| datum | 23 oktober 2019 |
Brussel, 23.10.2019
COM(2019) 495 final
VERSLAG VAN DE COMMISSIE AAN HET EUROPEES PARLEMENT EN DE RAAD
over de derde jaarlijkse evaluatie van de werking van het EU-VS-privacyschild
{SWD(2019) 390 final}
1.DERDE JAARLIJKSE EVALUATIE – ACHTERGROND, VOORBEREIDING EN AANPAK
Op 12 juli 2016 heeft de Commissie een besluit vastgesteld (het 'adequaatheidsbesluit') waarin zij constateert dat het EU-VS-privacyschild een passend beschermingsniveau biedt voor persoonsgegevens die vanuit de EU worden doorgegeven naar in de Verenigde Staten gevestigde organisaties 1 . Volgens het adequaatheidsbesluit moet de Commissie met name een jaarlijkse evaluatie van alle aspecten van de werking van het kader verrichten en op basis daarvan een openbaar verslag opstellen dat bij het Europees Parlement en de Raad wordt ingediend.
De eerste jaarlijkse evaluatie vond plaats in september 2017 in Washington D.C., en in oktober 2017 keurde de Commissie haar verslag aan het Europees Parlement en de Raad 2 goed, dat vergezeld ging van een werkdocument van de diensten van de Commissie (SWD (2017) 344 final) 3 . De Commissie concludeerde dat de Verenigde Staten een passend beschermingsniveau bleven bieden voor gegevens die in het kader van het privacyschild vanuit de EU naar de VS worden doorgegeven, maar deed tien aanbevelingen om de praktische werking van het kader te verbeteren.
De tweede jaarlijkse evaluatie vond plaats in oktober 2018 in Brussel, en in december 2018 keurde de Commissie haar verslag aan het Europees Parlement en de Raad 4 goed, dat wederom vergezeld ging van een werkdocument van de diensten van de Commissie (SWD (2018) 487 final) 5 . De in het kader van de tweede jaarlijkse evaluatie verzamelde informatie bevestigt de bevindingen van de Commissie in het adequaatheidsbesluit, wat betreft zowel de 'commerciële aspecten' van het kader (d.w.z. aspecten betreffende de naleving van de vereisten van het privacyschild door gecertificeerde bedrijven en het beheer en de handhaving van en het toezicht op dergelijke vereisten door de bevoegde Amerikaanse autoriteiten) als de aspecten met betrekking tot de toegang door autoriteiten tot in het kader van het privacyschild doorgegeven persoonsgegevens.
Met name de maatregelen die zijn genomen om gevolg te geven aan de aanbevelingen van de Commissie naar aanleiding van de eerste jaarlijkse evaluatie, hebben een aantal aspecten van de werking van het kader in de praktijk verbeterd. Zo heeft het Amerikaanse ministerie van Handel nieuwe mechanismen ingevoerd om mogelijke nalevingskwesties op te sporen, heeft de Federal Trade Commission (Federale handelscommissie) een proactievere aanpak ingevoerd voor toezicht op de naleving en handhaving, en is het verslag van de Privacy and Civil Liberties Oversight Board (Raad van toezicht op de privacy en de burgerlijke vrijheden) over de uitvoering van de Presidential Policy Directive 28 (presidentiële beleidsrichtlijn 28) 6 openbaar gemaakt. Aangezien sommige van deze maatregelen net voor de tweede jaarlijkse evaluatie waren genomen en bepaalde processen nog voortduurden, concludeerde de Commissie dat de verdere ontwikkelingen met betrekking tot deze processen en mechanismen nauwlettend moesten worden gevolgd.
Hoewel de functie van ombudsman in het kader van het privacyschild werd uitgeoefend door de waarnemend onderminister en het ombudsmanmechanisme dus volledig operationeel was, heeft de Commissie benadrukt dat het belangrijk is een vaste privacyschildombudsman aan te stellen, en daarom heeft zij er bij de Amerikaanse regering op aangedrongen vóór 28 februari 2019 een kandidaat voor deze functie aan te wijzen.
De derde jaarlijkse evaluatie vond plaats in Washington D.C. op 12 en 13 september 2019. Deze bijeenkomst werd geopend door de directeur-generaal Justitie en Consumentenzaken Tiina Astola, de Amerikaanse minister van Handel Wilbur Ross, de voorzitter van de Federal Trade Commission Joseph Simons en de vicevoorzitter van het Europees Comité voor gegevensbescherming Ventsislav Karadjov. Namens de EU waren er vertegenwoordigers van het directoraat-generaal Justitie en Consumentenzaken van de Europese Commissie. Aan deze bijeenkomst werd ook deelgenomen door acht vertegenwoordigers van het Europees Comité voor gegevensbescherming 7 .
Van Amerikaanse zijde is aan de evaluatie deelgenomen door vertegenwoordigers van het ministerie van Handel, het ministerie van Buitenlandse Zaken, de Federal Trade Commission, het ministerie van Vervoer, het bureau van de directeur van de nationale inlichtingendienst, het ministerie van Justitie en leden van de Privacy and Civil Liberties Oversight Board, alsook door de onlangs vast benoemde ombudsman (zie hieronder) en de inspecteur-generaal van de inlichtingendiensten. Daarnaast is tijdens de evaluatiesessies informatie verstrekt door vertegenwoordigers van twee organisaties die onafhankelijke geschillenbeslechting aanbieden in het kader van het privacyschild en de American Arbitration Association, die het arbitragepanel van het privacyschild beheert. Tot slot is bij de jaarlijkse evaluatie gebruikgemaakt van presentaties van in het kader van het privacyschild gecertificeerde organisaties over de maatregelen die bedrijven nemen om aan de vereisten van het kader te voldoen.
Ter voorbereiding van de derde jaarlijkse evaluatie heeft de Commissie informatie ingewonnen bij relevante belanghebbenden (met name bij in het kader van het privacyschild gecertificeerde bedrijven, via hun respectieve handelsorganisaties, en bij niet-gouvernementele organisaties die actief zijn op het gebied van grondrechten, met name digitale rechten en privacy). De Commissie heeft niet alleen schriftelijke input verzameld, maar ook bijeenkomsten gehad met vertegenwoordigers van de industrie en het bedrijfsleven op 9 september 2019 en met niet-gouvernementele organisaties op 11 september 2019.
De bevindingen van de Commissie stoelen voorts op openbaar materiaal, zoals rechterlijke beslissingen, uitvoeringsbepalingen en procedures van de desbetreffende Amerikaanse autoriteiten, verslagen en studies van niet-gouvernementele organisaties, transparantieverslagen uitgebracht door in het kader van het privacyschild gecertificeerde bedrijven, jaarverslagen van onafhankelijke verhaalmechanismen en mediaberichten.
Met dit verslag wordt de derde jaarlijkse evaluatie van de werking van het privacyschild afgesloten. Het verslag en het begeleidende werkdocument (SWD(2019)390 final) volgen dezelfde structuur als de documenten over de twee voorgaande evaluaties. Het behandelt alle aspecten van de werking van het privacyschild, met bijzondere nadruk op de elementen met betrekking waartoe de Commissie bij de tweede jaarlijkse evaluatie had geconstateerd dat zij nauwlettend toezicht vergden.
Bij haar beoordeling heeft de Commissie ook rekening gehouden met de verdere ontwikkelingen die zich gedurende het afgelopen jaar hebben voorgedaan, zoals de aanhangige geschillen bij het Hof van Justitie van de Europese Unie 8 . In dit verband bood de evaluatie de Commissie de gelegenheid om van de Amerikaanse autoriteiten opheldering te verkrijgen over bepaalde specifieke aspecten van het rechtskader van de VS betreffende het verzamelen van buitenlandse inlichtingen die in de zogenoemde Schrems II-zaak aan de orde kwamen. Toch moet de Commissie de situatie wellicht opnieuw bezien zodra het Hof uitspraak heeft gedaan.
2.BEVINDINGEN
In het derde jaar van zijn bestaan is het privacyschild, waaraan ten tijde van de jaarlijkse evaluatie meer dan 5 000 ondernemingen deelnamen, overgegaan van de aanloopfase naar een meer operationele fase. De derde jaarlijkse evaluatie, die betrekking had op commerciële aspecten en kwesties in verband met de toegang van de overheid tot persoonsgegevens, was gericht op de ervaring die is opgedaan met de praktische toepassing van het kader.
De gedetailleerde bevindingen over de werking van het privacyschildkader in het derde jaar van zijn bestaan worden gepresenteerd in het werkdocument van de diensten van de Commissie over de derde jaarlijkse evaluatie van de werking van het EU-VS-privacyschild (SWD(2019)390 final) bij dit verslag.
2.1.Commerciële aspecten
Gezien de bevindingen van de evaluatie van vorig jaar was de beoordeling van de commerciële aspecten door de Commissie met name gericht op de vooruitgang die het ministerie van Handel heeft geboekt inzake i) het hercertificeringsproces, ii) de doeltreffendheid van de door het ministerie van Handel ingevoerde mechanismen om de naleving door de gecertificeerde ondernemingen proactief te monitoren (steekproefsgewijze controles), iii) de instrumenten die zijn ingevoerd om valse beweringen op te sporen, iv) de voortgang en het resultaat van de handhavingsacties van de Federal Trade Commission in verband met schendingen van het privacyschild, en v) de ontwikkelingen inzake richtsnoeren voor personeelsgegevens.
Wat het hercertificeringsproces betreft, is bij de derde jaarlijkse evaluatie gebleken dat het gangbare praktijk is dat het ministerie van Handel volgens een interne procedure een bedrijf dat het hercertificeringsproces nog niet heeft afgerond, aan het einde van de (her)certificeringsperiode een aanzienlijke “respijtperiode” toekent. Gedurende deze periode (ongeveer 3,5 maand en soms zelfs langer, afhankelijk van het moment waarop het ministerie van Handel ontdekt dat het hercertificeringsproces niet is afgerond) blijft het bedrijf op de actieve lijst van het privacyschild staan. Zolang het bedrijf op de lijst van deelnemers aan het privacyschild staat, blijven de verplichtingen krachtens het kader bindend en volledig afdwingbaar. Een zo lange periode waarin de hercertificeringsdatum van een bedrijf is verstreken maar het bedrijf toch als actieve deelnemer aan het privacyschild op de lijst blijft staan, doet echter afbreuk aan de transparantie en de leesbaarheid van de lijst voor zowel bedrijven als particulieren in de EU. Ook stimuleert dit de deelnemende bedrijven niet om zich strikt te houden aan de jaarlijkse hercertificeringsvereiste.
Wat proactieve controles van de naleving van de privacyschildvereisten door bedrijven betreft, heeft het ministerie van Handel in april 2019 een systeem ingevoerd waarbij elke maand 30 bedrijven worden gecontroleerd. De Commissie juicht het toe dat het ministerie van Handel regelmatig en systematisch proactieve steekproefsgewijze nalevingscontroles verricht, wat zeer belangrijk is om de algemene naleving van het kader te verbeteren en gevallen op te sporen waarin de Federal Trade Commission handhavingsmaatregelen moet nemen. Zij merkt echter op dat deze steekproefsgewijze controles meestal beperkt blijven tot vormvereisten, zoals niet-reagerende contactpunten of het niet online toegankelijk zijn van het privacybeleid van een onderneming. Hoewel dit uiteraard relevante aspecten van de naleving van de privacyschildvereisten zijn, moeten dergelijke controles ook betrekking hebben op materiële verplichtingen zoals naleving van het beginsel van verantwoording voor de verdere doorgifte, waarbij het ministerie van Handel ten volle gebruikmaakt van de instrumenten van het kader. De vereisten voor verdere doorgifte zijn in het privacyschild aanzienlijk aangescherpt, aangezien een gebrek aan waarborgen in dergelijke situaties afbreuk zou doen aan de door het kader geboden bescherming. De steekproefsgewijze controles moeten regelmatig en systematisch blijven doorgaan, maar naleving van deze materiële vereisten is ook cruciaal voor de continuïteit van het privacyschild en moet dus onderworpen zijn aan strikte monitoring en handhaving door de Amerikaanse autoriteiten.
Wat de opsporing van valse beweringen aangaande deelname aan het privacyschild betreft, constateerde de Commissie dat het ministerie van Handel de onderzoeken op kwartaalbasis was blijven verrichten, hetgeen leidde tot de opsporing van een aanzienlijk aantal gevallen van valse beweringen, die in sommige gevallen ook werden doorverwezen naar de Federal Trade Commission. Deze onderzoeken waren tot dusver echter alleen gericht op bedrijven die al op enigerlei wijze waren gecertificeerd of certificering hadden aangevraagd voor het privacyschild (maar die bijvoorbeeld nog niet opnieuw waren gecertificeerd). Het is belangrijk dat ook bedrijven worden gecontroleerd die nog nooit certificering voor het privacyschild hebben aangevraagd. Van alle soorten valse beweringen zijn die van bedrijven die nooit certificering hebben aangevraagd, mogelijk het schadelijkst. Dit geldt vanuit het oogpunt van de privacy van personen, aangezien bedrijven die nooit certificering hebben aangevraagd, de door het privacyschild gegarandeerde bescherming niet in hun bedrijfspraktijken hebben opgenomen. Het geldt evenzeer vanuit het oogpunt van bedrijven, aangezien afbreuk wordt gedaan aan het gelijke speelveld als organisaties die niet aan de vereisten van het kader voldoen, de voordelen van certificering kunnen claimen.
Positief is volgens de Commissie dat steeds meer betrokkenen uit de EU gebruikmaken van hun rechten in het kader van het privacyschild en dat de desbetreffende verhaalmechanismen goed werken. Er zijn meer klachten ingediend bij onafhankelijke verhaalmechanismen en deze zijn naar tevredenheid van de betrokkenen uit de EU afgehandeld. Bovendien werden verzoeken van particulieren uit de EU door de deelnemende bedrijven naar behoren afgehandeld.
Wat handhaving betreft, constateerde de Commissie dat de Federal Trade Commission in verband met schendingen van het privacyschild zeven handhavingsmaatregelen heeft genomen, onder meer als gevolg van de aangekondigde ambtshalve uitgevoerde controles. In alle zeven gevallen ging het om valse beweringen aangaande deelname aan het kader. In twee gevallen was ook sprake van schending van materiële vereisten van het privacyschild; zo is niet door middel van een zelfbeoordeling of een externe nalevingsevaluatie nagegaan of de verklaringen van het bedrijf over zijn privacyschildbeleid waar zijn en of dat beleid ten uitvoer is gebracht. De Commissie verwelkomt de handhavingsmaatregelen van de Federal Trade Commission in het derde jaar waarin het privacyschild operationeel is. Tegelijkertijd had de Commissie, gezien de aankondiging van vorig jaar en de tijdens de tweede jaarlijkse evaluatie gedane toezeggingen, qua handhavingsmaatregelen een daadkrachtigere aanpak van materiële schendingen van de privacyschildbeginselen verwacht.
In dit verband heeft de Commissie nota genomen van de bij de derde jaarlijkse evaluatie gegeven uitleg dat een aantal lopende onderzoeken meer tijd vergt, aangezien de Federal Trade Commission kijkt naar de hele bandbreedte van mogelijke schendingen. De door de Federal Trade Commission verstrekte informatie was echter te beperkt om de vooruitgang op het gebied van handhaving goed te kunnen evalueren. Het mag dan zo zijn dat dergelijke informatie om vertrouwelijkheidsredenen niet kan worden verspreid, toch lijkt het niet gerechtvaardigd dat de Federal Trade Commission zelfs in geaggregeerde en anonieme vorm niet meer elementen kan prijsgeven over de ambtshalve uitgevoerde controles. Deze opstelling strookt niet met de geest van samenwerking tussen autoriteiten waarop het privacyschild is gebaseerd, en de Federal Trade Commission zou dus een manier moeten vinden om relevante informatie over haar handhavingsactiviteiten te delen met de Commissie en de gegevensbeschermingsautoriteiten van de EU die medeverantwoordelijk zijn voor de handhaving van het kader.
De wijze waarop personeelsgegevens in het kader van het privacyschild worden behandeld, kwam tijdens de evaluatie opnieuw aan bod. Zoals de belanghebbenden hebben bevestigd, zou de ontwikkeling van gezamenlijke richtsnoeren van het ministerie van Handel, de Federal Trade Commission en de gegevensbeschermingsautoriteiten van de EU een goede zaak zijn. In dit verband merkt de Commissie op dat er onlangs contact is geweest en dat er meer inzicht in deze kwestie is verkregen, maar dat er nog geen concrete resultaten zijn geboekt.
2.2.Toegang tot en gebruik van persoonsgegevens door overheidsdiensten van de VS
Met betrekking tot aspecten betreffende de toegang tot en het gebruik van persoonsgegevens door Amerikaanse overheidsdiensten was de derde jaarlijkse evaluatie in de eerste plaats gericht op de bevestiging dat alle beperkingen en waarborgen waarop het adequaatheidsbesluit berust, nog steeds voorhanden zijn. Voorts bood de derde jaarlijkse evaluatie de gelegenheid om naar nieuwe ontwikkelingen te kijken en meer duidelijkheid te verkrijgen over bepaalde aspecten van het juridische kader, alsook de verschillende toezichtmechanismen en verhaalmogelijkheden, met name ten aanzien van de behandeling en afwikkeling van klachten door de ombudsman.
Hoewel er geen nieuwe juridische ontwikkelingen waren ten aanzien van het verzamelen van buitenlandse inlichtingen krachtens Section 702 van de Foreign Intelligence Surveillance Act, verwelkomde de Commissie de door de Amerikaanse autoriteiten gegeven uitleg over de manier waarop het verzamelen van inlichtingen op gerichte wijze geschiedt in het kader van de krachtens Section 702 van de Foreign Intelligence Surveillance Act uitgevoerde inlichtingenprogramma’s (te weten Prism en Upstream). Hierbij werden de bevindingen van de Commissie in het adequaatheidsbesluit bevestigd dat het verzamelen van buitenlandse inlichtingen krachtens Section 702 van de Foreign Intelligence Surveillance Act altijd geschiedt door gebruik te maken van selectietermen, en dat de keuze van selectietermen door de wet wordt geregeld en aan onafhankelijk rechterlijk en wetgevend toezicht onderworpen is.
De Commissie constateerde ook dat sommige van de machtigingen om buitenlandse inlichtingen te verzamelen krachtens Section 501 van de Foreign Intelligence Surveillance Act, zoals gewijzigd bij de USA FREEDOM Act van 2015, op 15 december 2019 zullen verstrijken. Aangezien het verzamelen van inlichtingen krachtens Section 501 van de Foreign Intelligence Surveillance Act in de context van het privacyschild relevant is en dus in het adequaatheidsbesluit van de Commissie is beoordeeld, is het belangrijk dat de bestaande beperkingen en waarborgen, zoals het verbod op bulksgewijs verzamelen, in geval van nieuwe machtiging blijven bestaan.
Met betrekking tot Presidential Policy Directive 28 hebben de Amerikaanse autoriteiten expliciet bevestigd dat deze volledig van kracht blijft en niet is gewijzigd. Evenmin hebben wijzigingen plaatsgevonden in de procedures voor de uitvoering van Presidential Policy Directive 28 binnen de diverse inlichtingendiensten. Bovendien heeft de Commissie nota genomen van de door de Amerikaanse autoriteiten gegeven uitleg dat de bepalingen inzake bulksgewijs verzamelen in Presidential Policy Directive 28, inclusief die over tijdelijke verwerving, niet van toepassing zijn op het verzamelen van buitenlandse inlichtingen in de VS (bijvoorbeeld op het verzamelen van inlichtingen van een gecertificeerd bedrijf dat gegevens verwerkt die in het kader van het privacyschild vanuit de EU zijn doorgegeven), zoals verzamelen krachtens Section 702 van de Foreign Intelligence Surveillance Act in het kader van het Prism- of het Upstream-programma, aangezien daarbij altijd gericht wordt verzameld.
Ten aanzien van de Privacy and Civil Liberties Oversight Board, een belangrijk toezichtorgaan op het gebied van overheidssurveillance, verwelkomde de Commissie het feit dat de Senaat onlangs de benoeming van twee extra leden heeft bevestigd, zodat de Privacy and Civil Liberties Oversight Board voor het eerst sinds 2016 een volledige bezetting van vijf leden heeft. De Commissie merkte ook op dat het personeel van dit orgaan sinds de laatste jaarlijkse evaluatie is verdubbeld, en dat het een ambitieus werkprogramma heeft opgesteld dat bestaat uit tien lopende toezichtprojecten, waarvan er enkele bijzonder relevant zijn voor de periodieke evaluatie van het privacyschild door de Commissie.
Wat het ombudsmanmechanisme van het privacyschild betreft, heeft de Amerikaanse president op 18 januari 2019 de benoeming bekendgemaakt van Keith Krach tot onderminister die ook als ombudsman fungeert. Op 20 juni 2019 is de benoeming van de heer Krach door de Senaat bevestigd. De Commissie verwelkomt de benoeming van de heer Krach als privacyschildombudsman, waardoor deze functie nu permanent bezet is.
De eerste klacht bij de ombudsman die net voor de vorige jaarlijkse evaluatie door de Kroatische gegevensbeschermingsautoriteit was ingediend, kon uiteindelijk niet in behandeling worden genomen omdat hij betrekking had op feiten die hadden plaatsgevonden voordat het privacyschildbesluit was vastgesteld. Toch bood de klacht de gelegenheid om de werking van de desbetreffende procedures in de praktijk te testen. Zowel de vertegenwoordigers van het Europees Comité voor gegevensbescherming bij de jaarlijkse evaluatie als de ombudsman bevestigden dat alle onderdelen van de procedure op bevredigende wijze zijn doorlopen en afgerond. De Commissie verwelkomt de succesvolle afhandeling van deze eerste klacht als belangrijke indicatie dat het ombudsmanmechanisme naar behoren werkt.
De Amerikaanse autoriteiten hebben ook nadere uitleg verstrekt over de wijze waarop de ombudsman met andere onafhankelijke toezichtorganen zou samenwerken en schendingen zou verhelpen. Zij bevestigden met name dat de onafhankelijke inspecteur-generaal van de inlichtingendiensten systematisch op de hoogte zou worden gesteld van klachten die bij de ombudsman worden ingediend, en zijn eigen beoordeling zou verrichten. Indien een bij de ombudsman ingediende klacht een schending van de procedures voor gericht verzamelen krachtens Section 702 van de Foreign Intelligence Surveillance Act aan het licht zou brengen, zou deze schending worden gemeld aan het Foreign Intelligence Surveillance Court, dat een onafhankelijk onderzoek zou instellen en de betrokken inlichtingendienst zo nodig zou opdragen corrigerende maatregelen te nemen, zo verklaarden zij verder. Hierbij kan het gaan om individuele en structurele maatregelen, zoals het wissen van onrechtmatig verkregen gegevens of een verandering in de praktijk van het verzamelen, maar ook richtsnoeren voor en opleiding van personeel.
Ten slotte werd bevestigd dat, indien bij de afwikkeling van een klacht door de ombudsman wordt geconstateerd dat de Amerikaanse wet (inclusief presidentiële besluiten en beleidsrichtlijnen en regels en procedures van diensten, bijvoorbeeld de door het Foreign Intelligence Surveillance Court goedgekeurde doelkeuze- en minimaliseringsprocedures) is overtreden, de onrechtmatig verzamelde gegevens uit alle databanken van de overheid zouden worden gewist en elke verwijzing naar die gegevens uit inlichtingenverslagen zou worden verwijderd. Een particulier in de EU zou dus kunnen bewerkstelligen dat zijn of haar persoonsgegevens worden gewist als deze door de Amerikaanse inlichtingendiensten op onrechtmatige wijze zijn verzameld en verwerkt.
De Commissie verwelkomt deze toelichting, die laat zien hoe de samenwerking tussen de verschillende onafhankelijke toezichtorganen de efficiëntie van het ombudsmanmechanisme versterkt. Het was ook belangrijk om duidelijkheid te verkrijgen over de mogelijkheid voor particulieren in de EU om gebruik te maken van hun recht op het wissen van gegevens, wat een fundamenteel onderdeel is van het recht op bescherming van persoonsgegevens.
3.CONCLUSIE
De in het kader van de derde jaarlijkse evaluatie verzamelde informatie bevestigt de bevindingen van de Commissie in het adequaatheidsbesluit, wat betreft zowel de commerciële aspecten van het kader als de aspecten in verband met de toegang door autoriteiten tot in het kader van het privacyschild doorgegeven persoonsgegevens. In dit verband constateerde de Commissie dat de werking van het kader op enkele punten is verbeterd en dat bij belangrijke toezichtorganen benoemingen hebben plaatsgevonden.
Naar aanleiding van enkele kwesties die bij de dagelijkse ervaring naar voren kwamen of die bij de praktische uitvoering van het kader relevanter werden, concludeert de Commissie echter dat een aantal concrete maatregelen moet worden genomen om de doeltreffende werking van het privacyschild in de praktijk beter te waarborgen:
1.Het ministerie van Handel moet de termijnen voor bedrijven om het hercertificeringsproces af te ronden, verkorten. Een hercertificeringstermijn van in totaal maximaal 30 dagen lijkt redelijk, zo zouden de bedrijven voldoende tijd hebben om een tijdens het hercertificeringsproces geconstateerd probleem te verhelpen en zou tegelijkertijd de doeltreffendheid van het proces gewaarborgd zijn. Als de hercertificering aan het eind van deze termijn niet is afgerond, moet het ministerie van Handel onverwijld een waarschuwing versturen.
2.In de context van zijn procedure voor steekproefsgewijze controles moet het ministerie van Handel nagaan of bedrijven het beginsel van verantwoording voor de verdere doorgifte naleven, onder meer door gebruik te maken van de door het privacyschild geboden mogelijkheid om een samenvatting of representatief exemplaar op te vragen van de privacybepalingen van een contract dat door een bedrijf met privacyschildcertificering is gesloten ten behoeve van verdere doorgifte.
3.Het ministerie van Handel moet prioriteit geven aan het ontwikkelen van instrumenten om valse beweringen op te sporen aangaande deelname aan het privacyschild door bedrijven die nooit certificering hebben aangevraagd, en deze instrumenten regelmatig en systematisch gebruiken.
4.De Federal Trade Commission moet prioriteit geven aan het vinden van manieren om relevante informatie over lopende onderzoeken te delen met de Commissie en met de gegevensbeschermingsautoriteiten van de EU die ook handhavingstaken hebben in het kader van het privacyschild.
5.De gegevensbeschermingsautoriteiten van de EU, het ministerie van Handel en de Federal Trade Commission moeten in de komende maanden gezamenlijke richtsnoeren ontwikkelen inzake de definitie en behandeling van personeelsgegevens.
De Commissie zal de verdere ontwikkelingen betreffende specifieke elementen van het privacyschildnetwerk nauwlettend blijven volgen, met name i) de werking van het ombudsmanmechanisme, vooral in geval van een nieuwe klacht; ii) het resultaat van de lopende toezichtprojecten die zijn gestart door de Privacy and Civil Liberties Oversight Board en die bijzonder relevant zijn voor het privacyschild (bijvoorbeeld inzake het ter discussie stellen van gegevens die krachtens Section 702 van de Foreign Intelligence Surveillance Act door het Federal Bureau of Investigation zijn verkregen, de uitvoering van de aanbevelingen van de Board inzake Presidential Policy Directive 28, enz.); iii) de nieuwe machtiging krachtens Section 501 van de Foreign Intelligence Surveillance Act, waarbij met name de bestaande waarborgen moeten worden gehandhaafd; en iv) de zich ontwikkelende Amerikaanse rechtspraak inzake het instellen van beroep bij de rechter op het gebied van overheidstoezicht, met name met betrekking tot de vraag wie daartoe bevoegd is.
Tot slot zal de Commissie de discussie in de VS over federale privacywetgeving nauwlettend blijven volgen. Een alomvattende aanpak van privacy en gegevensbescherming zou de convergentie tussen de systemen van de EU en de VS doen toenemen, en dit zou de fundamenten versterken waarop het privacyschildkader is gebouwd.
(1)
Uitvoeringsbesluit (EU) 2016/1250 van de Commissie van 12 juli 2016 overeenkomstig Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de gepastheid van de door het EU-VS-privacyschild geboden bescherming, PB L 207 van 1.8.2016, blz. 1.
(2)
Verslag van de Commissie aan het Europees Parlement en de Raad over de eerste jaarlijkse evaluatie van de werking van het EU-VS-privacyschild (COM (2017) 611 final), zie http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=605619
(3)
Werkdocument van de diensten van de Commissie bij het verslag van de Commissie aan het Europees Parlement en de Raad over de eerste jaarlijkse evaluatie van de werking van het EU-VS-privacyschild (SWD(2017)344 final), zie http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=605619
(4)
Verslag van de Commissie aan het Europees Parlement en de Raad over de tweede jaarlijkse evaluatie van de werking van het EU-VS-privacyschild (COM (2018) 860 final), zie https://ec.europa.eu/info/sites/info/files/report_on_the_second_annual_review_of_the_eu-us_privacy_shield_2018.pdf .
(5)
Werkdocument van de diensten van de Commissie bij het verslag van de Commissie aan het Europees Parlement en de Raad over de tweede jaarlijkse evaluatie van de werking van het EU-VS-privacyschild (SWD(2018)497 final), zie https://ec.europa.eu/info/sites/info/files/staff_working_document_-_second_annual_review.pdf .
(6)
Presidential Policy Directive 28: Signals Intelligence Activities, 17 januari 2014, die voorziet in belangrijke beperkingen en waarborgen voor niet-Amerikanen op het gebied van de verzameling van inlichtingen uit berichtenverkeer.
(7)
Het onafhankelijke orgaan waarin vertegenwoordigers van de nationale gegevensbeschermingsautoriteiten van de EU-lidstaten en de Europees Toezichthouder voor gegevensbescherming samenkomen.
(8)
Zie zaak T-738/16 La Quadrature du Net e.a./Commissie. Vragen over het privacyschild kwamen ook aan de orde in zaak C-311/18 Data Protection Commissioner / Facebook Ireland, Maximilian Schrems (“Schrems II”), waarin op 9 juli 2019 een zitting voor de grote kamer van het Hof van Justitie heeft plaatsgevonden.