Toelichting bij COM(2016)238 - Ondertekening van een Overeenkomst met de VS over bescherming van persoonlijke informatie in verband met het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten - Hoofdinhoud
Dit is een beperkte versie
U kijkt naar een beperkte versie van dit dossier in de EU Monitor.
| dossier | COM(2016)238 - Ondertekening van een Overeenkomst met de VS over bescherming van persoonlijke informatie in verband met het voorkomen, ... |
|---|---|
| bron | COM(2016)238   |
| datum | 29-04-2016 |
• Motivering en doel van het voorstel
In november 2006 werd een contactgroep op hoog niveau (High Level Contact Group, hierna 'HLCG' genoemd) opgericht, samengesteld uit hoge ambtenaren van de Commissie, het voorzitterschap van de Raad en de Amerikaanse ministeries van Justitie, Binnenlandse Veiligheid en Buitenlandse Zaken, om na te gaan hoe de EU en de VS nauwer en efficiënter samen zouden kunnen werken bij de uitwisseling van informatie op het gebied van rechtshandhaving en daarbij de bescherming van persoonsgegevens en privacy zouden kunnen garanderen. In het eindverslag uit oktober 2009 van de HLCG 1 werd geconcludeerd dat een internationale overeenkomst waarin zowel de EU als de VS zich ertoe verbinden onderling overeengekomen gemeenschappelijke gegevensbeschermingsbeginselen toe te passen op de trans-Atlantische doorgifte van gegevens op het gebied van rechtshandhaving, de beste optie was: dit zou als voordeel hebben dat de grondbeginselen zouden worden vastgesteld inzake de doeltreffende bescherming van de persoonlijke levenssfeer en van persoonsgegevens voor elke uitwisseling van informatie op het gebied van rechtshandhaving en zou het hoogste niveau van rechtszekerheid bieden.
Op 3 december 2010 heeft de Raad een besluit vastgesteld waarbij de Commissie wordt gemachtigd onderhandelingen te openen over een overeenkomst tussen de Europese Unie en de Verenigde Staten van Amerika inzake de bescherming van persoonsgegevens bij doorgifte en verwerking daarvan, met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten, waaronder terrorisme, in het kader van politiële en justitiële samenwerking in strafzaken (hierna: 'Raamovereenkomst' genoemd) 2 .
Op 28 maart 2011 heeft de Commissie onderhandelingen geopend. Op 8 september 2015 hebben de partijen de tekst geparafeerd.
De Raamovereenkomst stelt (voor het eerst) een alomvattend kader van beginselen en waarborgen op het gebied van gegevensbescherming vast in het geval van doorgifte van persoonlijke informatie 3 voor strafrechtelijke doeleinden tussen enerzijds de VS en anderzijds de Europese Unie of haar lidstaten. De dubbele doelstelling bestaat erin te zorgen voor een hoog niveau van gegevensbescherming en zo de samenwerking tussen de partijen te verbeteren. Hoewel de Raamovereenkomst niet zelf de rechtsgrondslag vormt voor doorgifte van persoonlijke informatie aan de VS, vormt zij, waar nodig, een aanvulling op de waarborgen op het gebied van gegevensbescherming in bestaande en toekomstige overeenkomsten inzake de doorgifte van gegevens of op nationale bepalingen op grond waarvan dergelijke doorgiften zijn toegestaan.
Dit betekent een zeer aanzienlijke verbetering ten opzichte van de huidige situatie waarin persoonlijke informatie naar de andere kant van de Atlantische Oceaan wordt doorgegeven op grond van rechtsinstrumenten (internationale overeenkomsten of nationale wetgeving) die doorgaans geen of slechts zwakke bepalingen op het gebied van gegevensbescherming bevatten.
• Samenhang met de bestaande bepalingen op dit beleidsterrein
De Raamovereenkomst zal de bescherming verbeteren van alle persoonsgegevens van betrokkenen uit de EU die voor strafrechtelijke doeleinden worden uitgewisseld met de VS. Door het vaststellen van een alomvattend kader van waarborgen op het gebied van gegevensbescherming zal de Overeenkomst een aanvulling vormen op de bestaande overeenkomsten (zowel bilaterale overeenkomsten tussen de lidstaten en de VS als overeenkomsten tussen de EU en de VS) op basis waarvan persoonsgegevens voor rechtshandhavingsdoeleinden worden doorgegeven naar de VS, indien en voor zover zij niet het vereiste niveau van bescherming en waarborgen bieden.
De Overeenkomst zal bovendien een 'vangnet' voor toekomstige overeenkomsten tussen de EU/de lidstaten en de VS vormen in de vorm van een minimumbeschermingsniveau. Dit is een belangrijke garantie voor de toekomst en een belangrijke verschuiving van de huidige situatie waarin bij elke afzonderlijke nieuwe overeenkomst over waarborgen, bescherming en rechten steeds opnieuw moet worden onderhandeld.
De Raamovereenkomst zal al met al voor een aanzienlijke toegevoegde waarde zorgen in de zin van een hoger beschermingsniveau voor betrokkenen in de EU, in overeenstemming met de vereisten van het primaire en secundaire EU-recht. De Raamovereenkomst introduceert voor het allereerst een instrument voor gegevensbescherming dat op alomvattende en consequente wijze alle gegevensdoorgiften bestrijkt op een bepaald gebied (d.w.z. de trans-Atlantische gegevensuitwisseling op het gebied van politiële en justitiële samenwerking in strafzaken). De Raamovereenkomst zal bovendien in de trans-Atlantische context vorm geven aan de algemene vereisten inzake de internationale doorgifte van gegevens die zijn neergelegd in de toekomstige richtlijn betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en betreffende het vrije verkeer van die gegevens (hierna 'de politiële richtlijn' genoemd) 4 , die op 14 april 2016 is aangenomen. In het licht van het bovenstaande schept de Raamovereenkomst ook een belangrijk precedent voor eventuele soortgelijke overeenkomsten met andere internationale partners.
• Samenhang met andere beleidsgebieden van de Unie
De Raamovereenkomst zal naar verwachting een aanzienlijk effect hebben op de samenwerking met de Verenigde Staten op het gebied van politie en rechtshandhaving. Dankzij de invoering van een gemeenschappelijk en alomvattend kader van regels en waarborgen op het gebied van gegevensbescherming, zullen de EU of haar lidstaten, enerzijds, en de misdaadbestrijdingsautoriteiten van de VS, anderzijds, doeltreffender met elkaar kunnen samenwerken. Bovendien zal dit ervoor zorgen dat bestaande overeenkomsten alle nodige waarborgen bevatten. Dit zal continuïteit in de samenwerking op het gebied van rechtshandhaving mogelijk maken en tegelijkertijd voor meer rechtszekerheid zorgen wanneer doorgifte plaatsvindt. De Overeenkomst zal ook de sluiting vergemakkelijken van toekomstige overeenkomsten met de VS inzake de doorgifte van gegevens op het gebied van strafrechtelijke handhaving, aangezien er overeenstemming zal zijn bereikt over waarborgen inzake gegevensbescherming en daarover dus niet meer steeds opnieuw hoeft te worden onderhandeld. Ten slotte is de vaststelling van gemeenschappelijke normen op dit belangrijke, maar complexe terrein van samenwerking een belangrijk resultaat, dat een aanzienlijke bijdrage kan leveren tot het herstel van vertrouwen in trans-Atlantische gegevensstromen.
2. RECHTSGRONDSLAG, SUBSIDIARITEIT EN EVENREDIGHEID
• Rechtsgrondslag
De rechtsgrondslag voor dit voorstel is artikel 16 VWEU, in samenhang met artikel 218, lid 5, VWEU.
• Subsidiariteit
De Raamovereenkomst valt onder de exclusieve bevoegdheid van de EU uit hoofde van artikel 3, lid 2, VWEU. Het subsidiariteitsbeginsel is dus niet van toepassing.
• Evenredigheid
De Raamovereenkomst voorziet in de waarborgen op het gebied van gegevensbescherming die vereist zijn op grond van de onderhandelingsrichtsnoeren van de Raad. Zij worden beschouwd als elementen die noodzakelijk zijn om te zorgen voor het beschermingsniveau dat in geval van doorgifte van persoonsgegevens aan een derde land zowel op grond van het Handvest van de grondrechten als op grond van het zich ontwikkelende acquis van de EU is vereist. Noch een aanzienlijk kleinere catalogus van dergelijke waarborgen, noch een instrument met een geringere bindende werking zou voldoende kunnen worden geacht om een dergelijk beschermingsniveau te bieden. Het voorstel gaat daarom niet verder dan wat noodzakelijk is ter verwezenlijking van het beleidsdoel een kader vast te stellen voor de bescherming van persoonsgegevens bij doorgifte in het kader van rechtshandhaving tussen de Verenigde Staten, enerzijds, en de Europese Unie of haar lidstaten, anderzijds.
• Keuze van het instrument
De opstelling van een bindend kader voor de bescherming van persoonsgegevens dat een aanvulling op de bestaande overeenkomsten en een uitgangsbasis voor toekomstige overeenkomsten zal vormen, kan alleen worden gewaarborgd door middel van een internationale overeenkomst tussen de EU en de Verenigde Staten.
Bovendien biedt, zoals is gebleken in het HLCG-verslag van oktober 2009, een internationale overeenkomst de hoogste mate van rechtszekerheid.
3. RESULTATEN VAN EX-POSTEVALUATIES, RAADPLEGINGEN VAN BELANGHEBBENDEN EN EFFECTBEOORDELINGEN
• Ex-postevaluaties/geschiktheidscontroles van bestaande wetgeving
Niet van toepassing.
• Raadplegingen van belanghebbenden
De Commissie heeft regelmatig mondeling en schriftelijk verslag uitgebracht aan het daartoe opgerichte speciale comité van de Raad over de voortgang van de onderhandelingen. Het Europees Parlement is met regelmaat zowel mondeling als schriftelijk op de hoogte gehouden via zijn Commissie burgerlijke vrijheden, justitie en binnenlandse zaken (LIBE).
• Bijeenbrengen en benutten van deskundigheid
Dit initiatief geeft uitvoering aan de onderhandelingsrichtsnoeren van de Raad van 3 december 2010.
• Effectbeoordeling
Er was geen effectbeoordeling nodig. De voorgestelde overeenkomst is in overeenstemming met de onderhandelingsrichtsnoeren van de Raad.
• Gezonde regelgeving en vereenvoudiging
Niet van toepassing.
• Grondrechten
De bepalingen van de Raamovereenkomst zijn bedoeld ter bescherming van het fundamentele recht op bescherming van persoonsgegevens en het recht op een doeltreffende voorziening in rechte en op een onpartijdig gerecht, zoals neergelegd in respectievelijk artikel 8 en artikel 47 van het Handvest van de grondrechten van de Europese Unie.
4. GEVOLGEN VOOR DE BEGROTING
De voorgestelde overeenkomst heeft geen gevolgen voor de begroting.
5. OVERIGE ELEMENTEN
• Uitvoeringsplanning en regelingen betreffende monitoring, evaluatie en rapportage
Tenuitvoerlegging door de lidstaten is nodig, maar er zijn geen ingrijpende veranderingen in de wetgeving te verwachten, aangezien de materiële bepalingen van de Raamovereenkomst tot op grote hoogte regels weergeven die krachtens EU- en/of nationaal recht al op de EU en nationale autoriteiten van toepassing zijn.
• Gedetailleerde toelichting bij de specifieke bepalingen van het voorstel
Overeenkomstig de onderhandelingsrichtsnoeren van de Raad bestrijkt de Raamovereenkomst vijf categorieën bepalingen: i) horizontale bepalingen; ii) beginselen en waarborgen inzake gegevensbescherming; iii) individuele rechten; iv) aspecten met betrekking tot de toepassing van de Overeenkomst en toezicht; en v) slotbepalingen.
Inhoudsopgave
- i) Horizontale bepalingen
- ii) Definities (artikel 2)
- iii) Doel van de Overeenkomst (artikel 3)
- iv) Non-discriminatie (artikel 4)
- v) Gevolgen van de Overeenkomst (artikel 5)
- ii) Beginselen en waarborgen inzake gegevensbescherming
- i) Beperkingen inzake doel en toepassing (artikel 6)
- ii) Verdere doorgifte (artikel 7)
- iii) Kwaliteit van gegevens en integriteit van informatie (artikel 8)
- iv) Informatiebeveiliging (artikel 9) en kennisgeving van een incident op het gebied van informatiebeveiliging (artikel 10)
- vi) Bewaartermijn (artikel 12)
- vii) Bijzondere categorieën gegevens (artikel 13)
- viii) Geautomatiseerde besluitvorming (artikel 15)
- ix) Transparantie (artikel 20)
- iii) Individuele rechten
- i) Toegang en rectificatie (artikel 16 en artikel 17)
- ii) Administratief beroep (artikel 18)
- iii) Gerechtelijk beroep (artikel 19)
- i) Verantwoordingsplicht (artikel 14)
- ii) Doeltreffend toezicht (artikel 21)
- iii) Samenwerking tussen toezichthoudende autoriteiten (artikel 22)
- iv) Gezamenlijke evaluatie (artikel 23)
- v) Slotbepalingen
i) Doel van de Overeenkomst (artikel 1)
Ter verwezenlijking van het doel van de Overeenkomst (namelijk het waarborgen van een hoog niveau van bescherming van persoonlijke informatie en de bevordering van de samenwerking op het gebied van rechtshandhaving), stelt de Raamovereenkomst een kader vast voor de bescherming van persoonsgegevens bij doorgifte tussen de VS, enerzijds, en de EU en haar lidstaten, anderzijds, met het oog op de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten, waaronder terrorisme. De verwijzing naar de begrippen 'voorkoming, opsporing, onderzoek en vervolging van strafbare feiten' (hierna onder de noemer 'rechtshandhaving' gebracht) garandeert dat deze Overeenkomst in overeenstemming zal zijn met de architectuur van het huidige en toekomstige EU-acquis inzake gegevensbescherming (in het bijzonder de afbakening tussen de verordening betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (de 'algemene verordening gegevensbescherming' 5 ) en de 'politiële richtlijn' waar het hun respectieve toepassingsgebied betreft).
Door te bepalen dat de Raamovereenkomst op zichzelf geen rechtsgrondslag vormt voor eender welke doorgifte van persoonlijke informatie en dat te allen tijde een (afzonderlijke) rechtsgrondslag vereist zal zijn, maakt artikel 1 tevens duidelijk dat de Raamovereenkomst een echte overeenkomst inzake grondrechten is, waarin een reeks beschermende maatregelen en waarborgen is neergelegd die op dergelijke doorgiften van toepassing zijn.
De belangrijkste termen van de Raamovereenkomst worden gedefinieerd in artikel 2. De definities van 'persoonlijke informatie', 'verwerking van persoonlijke informatie', 'partijen', 'lidstaat' en 'bevoegde autoriteit' zijn materieel in overeenstemming met de wijze waarop deze begrippen zijn gedefinieerd in andere overeenkomsten tussen de EU en de VS en/of in het EU-acquis inzake de bescherming van persoonsgegevens.
Artikel 3 van de Raamovereenkomst definieert het toepassingsgebied van de Raamovereenkomst. Het zorgt ervoor dat de door de Raamovereenkomst geboden bescherming en waarborgen van toepassing zijn op alle uitwisselingen van gegevens in het kader van transatlantische samenwerking op het gebied van rechtshandhaving in strafzaken. Dit omvat doorgiften op basis van nationale wetten, overeenkomsten tussen de EU en de VS (bv. het Verdrag betreffende wederzijdse rechtshulp tussen de EU en de VS), overeenkomsten tussen de lidstaten en de VS (bv. rechtshulpverdragen, overeenkomsten over de versterking van de samenwerking bij de preventie en bestrijding van zware criminaliteit, overeenkomsten of regelingen inzake informatie over screening van terroristen), alsook specifieke overeenkomsten voor de doorgifte van persoonsgegevens door particuliere entiteiten voor rechtshandhavingsdoeleinden (bv. in het kader van de overeenkomst tussen de EU en de VS over persoonsgegevens van passagiers 6 (hierna 'PNR' genoemd) en de overeenkomst over het programma voor het traceren van terrorismefinanciering 7 (hierna 'TFTP' genoemd). Bij de formulering van het toepassingsgebied is uitgegaan van gegevensdoorgiften, dat wil zeggen dat het in principe alle doorgiften van gegevens ten behoeve van strafrechtelijke rechtshandhaving tussen de EU en de VS bestrijkt, ongeacht de nationaliteit of de woonplaats van de betrokkene.
De Raamovereenkomst zal geen betrekking hebben op doorgiften van persoonsgegevens (of andere vormen van samenwerking) tussen de VS en de autoriteiten van de lidstaten die verantwoordelijk zijn voor het verzekeren van de nationale veiligheid.
Artikel 4 bepaalt dat elke partij uitvoering geeft aan de Raamovereenkomst zonder willekeurig of ongerechtvaardigd te discrimineren tussen haar eigen onderdanen en die van de andere partij.
Dit artikel completeert en versterkt andere bepalingen van de Overeenkomst (in het bijzonder de artikelen die natuurlijke personen waarborgen bieden, zoals inzake toegang, rectificatie en administratief beroep, zie hieronder), aangezien het ervoor zorgt dat Europese burgers, in principe, dezelfde behandeling zullen genieten als VS-onderdanen waar het gaat om de praktische toepassing van deze bepalingen door de Amerikaanse autoriteiten.
De Raamovereenkomst zal de bestaande overeenkomsten tussen de EU of haar lidstaten en de VS waar nodig aanvullen, dat wil zeggen wanneer en voor zover zij de nodige waarborgen op het gebied van gegevensbescherming ontberen. 8
De daadwerkelijke uitvoering van de Raamovereenkomst (en met name van de artikelen daarin over individuele rechten) geeft aanleiding tot een vermoeden van verenigbaarheid met de geldende internationale regels voor doorgifte van gegevens. Dit is geen automatisch noch een algemeen vermoeden en kan, zoals alle vermoedens, worden weerlegd. Het is geen automatisch vermoeden, omdat er uitdrukkelijk alleen sprake van is wanneer de Raamovereenkomst door de VS daadwerkelijk wordt uitgevoerd en meer specifiek – zoals expliciet vermeld in artikel 5, lid 2 – wanneer de artikelen over de rechten van natuurlijke personen (met name inzake toegang, rectificatie en administratief en gerechtelijk beroep) daadwerkelijk worden toegepast. Het is evenmin een algemeen vermoeden: aangezien de Raamovereenkomst geen op 'zichzelf staand' instrument voor doorgifte is, functioneert een dergelijk vermoeden noodzakelijkerwijs op een 'ad-hoc'-basis, d.w.z. dat wordt nagegaan of het beschermingsniveau dat door de combinatie van de Raamovereenkomst en de specifieke rechtsgrond voor de overdracht wordt geboden, in overeenstemming is met de EU-regels inzake gegevensbescherming. Met andere woorden, anders dan bij een adequaatheidstoetsing, voorziet deze bepaling niet in een 'en bloc' erkenning van het in de VS geboden beschermingsniveau op zich of in een algemene toestemming voor doorgifte.
De hieronder beschreven artikelen bestrijken belangrijke beginselen voor de verwerking van persoonsgegevens en cruciale waarborgen en beperkingen.
In overeenstemming met het EU-Handvest van de grondrechten en het EU-acquis past artikel 6 het doelbindingsbeginsel toe op alle doorgiften van gegevens waarop de Raamovereenkomst van toepassing is, zowel in geval van de doorgifte van gegevens in een specifiek geval als in geval van een overeenkomst tussen de VS en de EU/haar lidstaten waarbij de doorgifte van grote aantallen persoonsgegevens wordt toegestaan. De verwerking (waaronder doorgifte wordt begrepen) kan alleen plaatsvinden voor expliciete en legitieme doeleinden binnen het toepassingsgebied van de Raamovereenkomst, dat wil zeggen de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten, waaronder terrorisme.
Bovendien is de verdere verwerking van persoonlijke informatie door andere (rechtshandhavings-, regelgevende of administratieve) autoriteiten dan de eerste ontvangende autoriteit van een partij toegestaan op voorwaarde dat deze verwerking niet onverenigbaar is met het doel waarvoor de gegevens aanvankelijk werden doorgegeven en dat die andere autoriteit aan alle overige bepalingen van de Raamovereenkomst voldoet.
De bevoegde autoriteit die de gegevens doorgeeft, kan in specifieke gevallen ook aanvullende voorwaarden stellen (bijvoorbeeld wat betreft het gebruik van de gegevens).
Persoonlijke informatie mag, ten slotte, alleen worden verwerkt als dit 'rechtstreeks relevant is voor en niet bovenmatig of te ruim is ten opzichte van het doel van die verwerking'.
Artikel 6 is een van de belangrijkste bepalingen van de Overeenkomst: het zorgt ervoor dat de waarborgen worden toegepast op de hele 'levenscyclus' van een bepaalde reeks gegevens, van de oorspronkelijke doorgifte vanuit de EU tot de verwerking ervan door een bevoegde autoriteit van VS en vice versa, alsook wanneer de gegevens eventueel verder worden gedeeld met of verwerkt door een andere VS-autoriteit of, in geval van gegevensoverdracht vanuit de VS naar een bevoegde autoriteit van de EU of (een van) haar lidstaten, wanneer de gegevens eventueel verder worden gedeeld met of verwerkt door een andere autoriteit van de EU of een lidstaat.
De in artikel 7 aan verdere doorgifte gestelde beperkingen houden in dat wanneer een Amerikaanse autoriteit voornemens is de gegevens die zij van de EU of een van haar lidstaten heeft ontvangen, verder door te geven aan een niet door de Overeenkomst gebonden derde land/internationale organisatie, zij eerst de toestemming zal moeten verkrijgen van de rechtshandhavingsautoriteit in de EU die de gegevens aanvankelijk aan de Verenigde staten heeft doorgegeven. Deze regel geldt evenzeer wanneer een autoriteit van de EU of een van haar lidstaten van plan is gegevens die zij van de VS heeft ontvangen, verder door te geven aan een derde land/internationale organisatie.
Wanneer zij beslist haar toestemming te verlenen, moet de autoriteit die de gegevens aanvankelijk heeft doorgegeven, naar behoren rekening houden met alle relevante factoren, waaronder het doel waarvoor de gegevens aanvankelijk werden doorgegeven en of het derde land of de internationale organisatie een passend niveau van bescherming van persoonlijke informatie biedt. Zij kan aan de doorgifte ook specifieke voorwaarden verbinden
Net als bij de artikelen inzake doelbinding (zie artikel 6 hiervoor), bewaartermijnen (zie artikel 12 hieronder) en gevoelige gegevens (zie artikel 13 hieronder) wordt in dit artikel uitdrukkelijk rekening gehouden met de bijzondere gevoeligheid van de doorgifte van grote aantallen gegevens van niet-verdachte personen (bv. de PNR-gegevens van alle passagiers op een vlucht, los van enige specifieke verdenking), in die zin dat het voorschrijft dat elke verdere doorgifte van persoonlijke informatie 'anders dan met betrekking tot specifieke gevallen', alleen mag plaatsvinden onder in de overeenkomst vermelde specifieke voorwaarden die de verdere doorgifte naar behoren rechtvaardigen.
De specifieke situatie van verdere doorgifte naar een ander land in de EU (bv. wanneer de Franse politie informatie die zij van de Amerikaanse FBI heeft gekregen, deelt met de Duitse politie) wordt in dit artikel ook geregeld (lid 4) door te bepalen dat wanneer op grond van de geldende regels voor een dergelijke doorgifte vooraf toestemming moet worden verkregen, de autoriteit die de gegevens aanvankelijk heeft verzonden (bijvoorbeeld de Amerikaanse FBI) geen toestemming kan weigeren of voorwaarden kan opleggen om redenen van gegevensbescherming (aangezien alle betrokken autoriteiten door de Raamovereenkomst gebonden zijn).
De partijen zullen redelijke maatregelen nemen om ervoor te zorgen dat doorgegeven persoonsgegevens met een zodanige nauwkeurigheid, relevantie, actualiteit en volledigheid worden bijgehouden als noodzakelijk en passend is voor de rechtmatige verwerking van de informatie. Indien de autoriteit die gegevens heeft ontvangen of doorgegeven, kennis krijgt van ernstige twijfels over de relevantie, actualiteit, volledigheid of nauwkeurigheid van ontvangen of doorgegeven persoonsgegevens, informeert zij, waar mogelijk, de autoriteit die de gegevens heeft doorgegeven/ontvangen daarover.
iv) Informatiebeveiliging (artikel 9) en kennisgeving van een incident op het gebied van informatiebeveiliging (artikel 10)
Deze artikelen dragen bij tot het waarborgen van een hoog niveau van beveiliging van door de partijen bij de Raamovereenkomst uitgewisselde persoonsgegevens.
In de eerste plaats zullen door de partijen uit hoofde van artikel 9 passende technische, organisatorische en beveiligingsregelingen worden ingevoerd ter bescherming van persoonlijke informatie tegen onopzettelijke of onrechtmatige vernietiging, onopzettelijk verlies en ongeoorloofde verspreiding, wijziging of toegang, of andere vormen van ongeoorloofde verwerking. Deze regelingen zullen ook inhouden dat alleen personeelsleden die daartoe gemachtigd zijn, toegang tot persoonsgegevens krijgen.
In de tweede plaats dienen ingevolge artikel 10, ingeval van een beveiligingsincident dat een aanzienlijk risico van schade inhoudt, onverwijld passende maatregelen te worden genomen ter beperking van de schade, waaronder kennisgeving aan de autoriteit die de gegevens heeft doorgegeven en, wanneer dat gelet op de omstandigheden van het incident passend is, de betrokken natuurlijke persoon. De uitzonderingen op de verplichting tot kennisgeving zijn in de bepaling limitatief opgesomd en stroken met redelijke beperkingen (bijvoorbeeld de nationale veiligheid).
v) Bijhouden van bestanden (artikel 11)
De partijen dienen te zorgen voor doeltreffende methoden (bijvoorbeeld het bijhouden van overzichten) om de rechtmatigheid van de verwerking en het gebruik van persoonlijke informatie aan te tonen.
Dit vereiste vormt een belangrijke waarborg voor individuen, aangezien het aan de rechtshandhavingsautoriteiten is om aan te tonen dat een bepaalde verwerking van gegevens rechtmatig werd verricht. De verplichting tot documentering van gegevensverwerkende handelingen houdt met name in dat er in het geval van onrechtmatige verwerking een 'spoor' zal zijn. Dit moet de afhandeling van klachten en de indiening van vorderingen inzake de rechtmatigheid van de verwerkingshandelingen vergemakkelijken.
Voor de verwerking van gegevens zullen specifieke bewaartermijnen gelden om ervoor te zorgen dat gegevens niet langer worden bewaard dan nodig en passend is. Bij het bepalen van de duur van deze bewaartermijnen, zal een aantal elementen in aanmerking moeten worden genomen, met name het doel van de verwerking of het gebruik, de aard van de gegevens en het effect op de rechten en belangen van de betrokkenen.
Ook wordt bepaald dat, indien de partijen een overeenkomst inzake de doorgifte van grote aantallen gegevens sluiten, deze overeenkomst een specifieke bepaling moet bevatten over de toepasselijke bewaartermijn. Op grond van deze bepaling aanvaarden de partijen het beginsel dat dergelijke overeenkomsten inzake de doorgifte van grote aantallen gegevens een specifieke bewaartermijn bevatten, waarover dus niet opnieuw hoeft te worden onderhandeld.
De bewaartermijnen zullen periodiek worden geëvalueerd om na te gaan of gewijzigde omstandigheden een wijziging van de toepasselijke termijn vereisen.
Met het oog op de transparantie zullen de bewaartermijnen gepubliceerd of anderszins openbaar gemaakt moeten worden.
De verwerking van persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen of godsdienstige of levensbeschouwelijke overtuiging, lidmaatschap van een vakvereniging of persoonlijke informatie over de gezondheid of het seksuele leven blijken, mag alleen plaatsvinden met passende waarborgen in overeenstemming met het recht (bv. het afschermen van informatie nadat het doel is bereikt waarvoor de gegevens werden verwerkt of het voorschrijven van goedkeuring van de toegang tot de informatie door de toezichthoudende autoriteit).
In overeenkomsten waarbij de doorgifte van grote aantallen persoonsgegevens wordt goedgekeurd, zullen de normen en voorwaarden voor de verwerking van speciale categorieën gegevens nader moeten worden aangegeven.
De bepalingen over bijzondere categorieën gegevens stroken met het vereiste van artikel 6 over beperkingen inzake doel en toepassing dat de verwerking rechtstreeks relevant en niet bovenmatig is.
Gegevensverwerking die kan leiden tot beslissingen met negatieve gevolgen voor een individu (bijvoorbeeld in het kader van profilering), mag niet uitsluitend gebaseerd zijn op de automatische verwerking van persoonlijke informatie, tenzij zulks is toegestaan krachtens het nationale recht en er passende garanties zijn, waaronder de mogelijkheid menselijke interventie te bewerkstelligen.
Natuurlijke personen hebben het recht informatie te ontvangen (via algemene of individuele kennisgevingen en onder 'redelijke beperkingen') over het doel van de verwerking en het eventueel verdere gebruik van hun persoonsgegevens, de wetten of voorschriften uit hoofde waarvan deze verwerking plaatsvindt, de identiteit van derden aan wie hun persoonlijke informatie bekend kan worden gemaakt, alsook de toegang en rectificatie en de beschikbare beroepsmechanismen.
Wanneer de betrokken personen er bewuster van worden gemaakt waarom en door wie hun gegevens worden verwerkt, zullen zij hun rechten op toegang, rectificatie of beroep beter kunnen uitoefenen (zie artikelen 16-19 hieronder).
Deze rechten zijn vooral van belang voor de bescherming van betrokkenen, die voor het allereerst de mogelijkheid zullen hebben gebruik te maken van rechten van algemene strekking voor de trans-Atlantische doorgifte van persoonsgegevens op het gebied van strafrechtshandhaving.
Het recht op toegang geeft natuurlijke personen het recht om om toegang tot zijn of haar persoonsgegevens te verzoeken en deze toegang te verkrijgen. De redenen voor het beperken van toegang zijn limitatief opgesomd en stroken met redelijke beperkingen (bijvoorbeeld het garanderen van de nationale veiligheid, het voorkomen dat afbreuk wordt gedaan aan het onderzoek naar of de vervolging van strafbare feiten, de bescherming van de rechten en vrijheden van anderen). Er mogen een natuurlijk persoon als voorwaarde voor de toegang tot zijn of haar eigen persoonsgegevens geen buitensporige kosten in rekening worden gebracht.
Het recht op rectificatie geeft eenieder het recht om om de correctie of rectificatie van zijn of haar persoonsgegevens te verzoeken wanneer die onnauwkeurig zijn of niet naar behoren zijn verwerkt. Daarbij kan het gaan het aanvullen, wissen of afschermen van gegevens of om andere maatregelen of methoden voor het verhelpen van onnauwkeurigheden of onjuiste verwerking.
Indien de bevoegde autoriteit van het ontvangende land, na een verzoek van een individu, een kennisgeving door de verstrekker van de persoonlijke informatie of eigen onderzoek, concludeert dat de informatie niet nauwkeurig is of onjuist is verwerkt, neemt zij maatregelen in de vorm van het aanvullen, wissen of afschermen van gegevens of andere maatregelen ter correctie of rectificatie.
Indien het nationale recht dit toestaat, heeft eenieder het recht een toezichthoudende autoriteit (d.w.z. een nationale gegevensbeschermingsautoriteit in geval van een betrokkene uit de EU) te machtigen om namens hem of haar om toegang of rectificatie te verzoeken. Deze mogelijkheid van indirecte uitoefening van rechten via een autoriteit en binnen een rechtsstelsel waarmee zij vertrouwd zijn, zou de betrokkenen praktisch behulpzaam moeten zijn wanneer zij hun rechten willen doen gelden.
Indien een verzoek om toegang of rectificatie wordt geweigerd of alleen beperkt wordt ingewilligd, moet de aangezochte autoriteit de betrokken persoon (of zijn of haar naar behoren gemachtigde vertegenwoordiger) een antwoord verstrekken met de motivering voor de weigering of beperking van de toegang of rectificatie. Met de verplichting de betrokken persoon een gemotiveerd antwoord te verstrekken, wordt beoogd de uitoefening van zijn/haar recht op administratief of gerechtelijk beroep mogelijk te maken en te vergemakkelijken ingeval de betrokken rechtshandhavingsautoriteit toegang/rectificatie weigert of beperkt.
Indien iemand het niet eens is met het resultaat van zijn of haar verzoek om toegang tot of rectificatie van persoonsgegevens, heeft hij of zij het recht om administratief beroep in te stellen. Om de daadwerkelijke uitoefening van het recht op toegang en rectificatie te vergemakkelijken, heeft de betrokkene het recht een toezichthoudende autoriteit (d.w.z. een nationale gegevensbeschermingsautoriteit in geval van een betrokkene uit de EU) of een andere vertegenwoordiger dienaangaande te machtigen voor zover dit is toegestaan uit hoofde van het toepasselijke nationale recht.
De autoriteit aan wie het verzoek is gericht, zal de betrokkene een schriftelijk antwoord verstrekken waarin, voor zover van toepassing, de maatregelen ter verbetering of correctie worden genoemd.
De burgers van elke partij kunnen beroep in rechte instellen wegens i) weigering van toegang, ii) weigering van rectificatie of iii) onrechtmatige openbaarmaking door de autoriteiten van de andere partij.
Aan Amerikaanse zijde is dit weerspiegeld in de op 24 februari 2016 door president Obama ondertekende Judicial Redress Act. Op grond van deze wet zullen deze drie gronden voor gerechtelijk beroep, waarin de Amerikaanse Privacy Act uit 1974 voorziet, maar die thans nog zijn voorbehouden aan burgers en permanente ingezetenen van de VS, ook gaan gelden voor burgers van 'gedekte landen' 9 . De vierde overweging van de preambule van de Raamovereenkomst maakt duidelijk dat deze uitbreiding ook betrekking zal hebben op gegevens die in het kader van overeenkomsten als die over persoonsgegevens van passagiers en het programma voor het traceren van terrorismefinanciering worden uitgewisseld. In combinatie met de aanneming van de Judicial Redress Act zal artikel 19 de rechterlijke bescherming van EU-burgers dus aanzienlijk verbeteren.
Hoewel de Judicial Redress Act een aantal beperkingen bevat (in het bijzonder zal deze alleen van toepassing zijn op gegevens van burgers uit 'gedekte landen' wier data door EU-rechtshandhavingsautoriteiten zijn doorgegeven, met name, doch niet alleen, burgers van de Unie), geeft artikel 19 van de Raamovereenkomst gevolg aan een reeds lang bestaand verzoek van de EU.
De bepaling strookt met de politieke beleidslijnen van voorzitter Juncker volgens welke "door de VS [moet] worden gewaarborgd dat alle EU-burgers het recht hebben de naleving van de gegevensbeschermingsrechten in de VS af te dwingen voor de rechter, ongeacht of zij op het grondgebied van de VS wonen. Voor het herstel van het vertrouwen in de trans-Atlantische betrekkingen is dit van essentieel belang". Evenzo beantwoordt deze aan de resolutie van het Europees Parlement van 12 maart 2014 over het surveillanceprogramma van de NSA in de VS, waarbij het Parlement verzocht onmiddellijk de onderhandelingen met de VS over de "[Raamovereenkomst]" te hervatten om "voor gelijke rechten voor EU-burgers en burgers van de VS [te] zorgen [en om te] voorzien in effectieve en uitvoerbare [...] strafrechtelijke rechtsmiddelen voor alle EU-burgers in de VS zonder discriminatie" 10 .
Artikel 19, lid 3, bepaalt dat de uitbreiding van de drie bovengenoemde gronden voor gerechtelijk beroep geen afbreuk doet aan andere mogelijkheden van gerechtelijk beroep die er met betrekking tot de verwerking van gegevens zijn (bv. op grond van de Administrative Procedure Act, the Electronics Communication Privacy Act of de Freedom of Information Act). Op deze andere rechtsgronden voor gerechtelijk beroep kunnen alle betrokkenen in de EU die de doorgifte van gegevens voor rechtshandhavingsdoeleinden betreft, een beroep doen, ongeacht hun nationaliteit of woonplaats.
iv) Aspecten met betrekking tot de toepassing van de Raamovereenkomst en toezicht;
Er zullen maatregelen worden genomen om de verantwoordingsplicht te bevorderen van de autoriteiten die onder de Raamovereenkomst vallende persoonsgegevens verwerken. Met name wanneer persoonsgegevens door de ontvangende autoriteit verder worden gedeeld met andere autoriteiten, moeten de laatstgenoemden in kennis worden gesteld van de waarborgen die op grond van deze Overeenkomst van toepassing zijn, alsmede van eventuele aanvullende (beperkende) voorwaarden die ingevolge artikel 6, lid 3, (over beperkingen inzake doel en toepassing) aan de doorgifte zijn verbonden. Zware fouten moeten worden bestraft door middel van passende en afschrikkende strafrechtelijke, civielrechtelijke of administratieve sancties.
Maatregelen ter bevordering van de verantwoordingsplicht omvatten ook, naargelang het geval, stopzetting van verdere doorgifte van persoonsgegevens aan entiteiten van de partijen die niet onder de Raamovereenkomst vallen, wanneer de partijen niet zorgen voor een doeltreffende bescherming van persoonlijke informatie in het licht van het doel van de Overeenkomst (en van met name de bepalingen inzake doelbinding en verdere doorgifte). Deze bepaling heeft betrekking op de situatie waarin persoonsgegevens worden doorgegeven door een autoriteit van de Unie aan een Amerikaanse federale autoriteit (dat wil zeggen een autoriteit die onder deze Overeenkomst valt), en vervolgens worden doorgegeven aan een rechtshandhavingsinstantie op het niveau van de staten. In het kader van zijn grondwettelijke bepalingen, heeft de Verenigde Staten maar beperkte mogelijkheden om de staten van de federatie op internationaal niveau te binden 11 . Om echter de continuïteit te waarborgen van de bescherming van gegevens die aan de federale instanties van de VS zijn doorgegeven en vervolgens op het niveau van de staten met rechtshandhavingsinstanties zijn gedeeld, (i) omvat het toepassingsgebied van dit artikel de 'andere autoriteiten' van de partijen (d.w.z. de autoriteiten waarop deze Overeenkomst niet van toepassing is, zoals de autoriteiten van de staten van de VS); ii) bepaalt dit artikel dat de waarborgen waarin de Raamovereenkomst voorziet, aan deze autoriteiten ter kennis moeten worden gebracht; en (iii) bepaalt dit artikel dat, naargelang het geval, doorgiften aan dergelijke autoriteiten worden stopgezet indien zij persoonsgegevens niet effectief beschermen in het licht van het doel van de Raamovereenkomst en met name van de artikelen daarvan inzake doelbinding en verdere doorgifte.
Door ervoor te zorgen dat de bevoegde rechtshandhavingsautoriteiten verantwoordelijk zullen worden gehouden voor de naleving van de Raamovereenkomst, is dit artikel een belangrijke bouwsteen van een doeltreffend systeem van handhaving en het toezicht in het kader van de Overeenkomst. Het zal het ook voor individuen gemakkelijker maken om vorderingen in te dienen in geval van fouten (en de daaruit voortvloeiende aansprakelijkheid van overheidsinstanties).
Tot slot zullen de autoriteiten van de EU bezwaren naar voren kunnen brengen bij en relevante informatie kunnen ontvangen van hun Amerikaanse tegenhangers over de wijze waarop zij voldoen aan hun verplichtingen uit hoofde van artikel 14 (met inbegrip van de maatregelen die in dit verband zijn genomen). Ook zal in het kader van de gezamenlijke evaluaties (zie artikel 23 hieronder) bijzondere aandacht worden besteed aan de effectieve uitvoering van dit artikel.
De partijen dienen over een of meer openbare toezichthoudende autoriteiten te beschikken die onafhankelijke toezichthoudende taken en bevoegdheden uitoefenen, met inbegrip van toetsing, onderzoek en interventie. Deze autoriteiten dienen de bevoegdheid te hebben om klachten in ontvangst te nemen van individuen over de maatregelen ter uitvoering van de Raamovereenkomst en dienaangaande handelend op te treden en om bij rechtsschendingen ter zake van deze Overeenkomst vervolging of tuchtmaatregelen voor te stellen. Rekening houdend met de bijzonderheden van het Amerikaanse systeem zal een combinatie van toezichthoudende autoriteiten (zoals chief privacy officers, inspecteurs-generaal, de Privacy and Civil Liberties Oversight Board, enz.) cumulatief de toezichthoudende taken uitoefenen die gegevensbeschermingsautoriteiten in de EU vervullen.
Dit artikel vormt een aanvulling op de waarborgen die op grond van de bepalingen inzake toegang, rectificatie en administratief beroep beschikbaar zijn. Met name geeft het individuen de mogelijkheid om bij onafhankelijke autoriteiten een klacht in te dienen over de wijze waarop de andere partij de Raamovereenkomst heeft uitgevoerd.
De toezichthoudende autoriteiten zullen samenwerken om voor een effectieve uitvoering van de Overeenkomst te zorgen, met name wat betreft het systeem van indirecte uitoefening van de individuele rechten van toegang, rectificatie en administratief beroep (zie hierboven artikelen 16-18).
Bovendien zullen nationale contactpunten worden opgericht die zullen helpen bij de vaststelling welke toezichthoudende autoriteit in een specifiek geval moet worden benaderd. Met name omdat er in de VS een aantal verschillende toezichthoudende autoriteiten bestaat, is er in de oprichting van een centraal 'loket' voor verzoeken om bijstand en samenwerking voorzien, dat moet bijdragen tot een efficiënte afhandeling van deze verzoeken.
De partijen zullen periodiek gezamenlijke evaluaties verrichten van de uitvoering en de doeltreffendheid van de Raamovereenkomst, met bijzondere aandacht voor de effectieve tenuitvoerlegging van de artikelen over individuele rechten (recht van toegang, rectificatie, en administratieve en gerechtelijk beroep) en het punt van de doorgifte aan territoriale entiteiten die niet onder de Overeenkomst vallen (d.w.z. de staten van de VS). De eerste gezamenlijke evaluatie zal niet later plaatsvinden dan drie jaar na de inwerkingtreding van de Overeenkomst, en vervolgens op gezette tijden.
De respectieve delegaties zullen vertegenwoordigers omvatten van zowel gegevensbeschermingsautoriteiten als rechtshandhavings-/justitiële autoriteiten en de conclusies van de gezamenlijke evaluaties zullen openbaar worden gemaakt.
De Raamovereenkomst bevat een aantal slotbepalingen met betrekking tot:
• de kennisgeving aan de andere partij van alle handelingen die materieel van invloed zijn op de tenuitvoerlegging van de Overeenkomst. Met name zal de VS de EU in kennis stellen van elke maatregel met betrekking tot de toepassing van de bepalingen van de Judicial Redress Act (artikel 24);
• overleg in geval van geschillen over de manier waarop de Overeenkomst wordt geïnterpreteerd of toegepast (artikel 25);
• de mogelijkheid tot opschorting van de Overeenkomst door een partij in geval van een materiële inbreuk op de Overeenkomst door de andere partij (artikel 26);
• de territoriale toepassing van de Overeenkomst teneinde rekening te houden met de bijzondere positie van het Verenigd Koninkrijk, Ierland en Denemarken (artikel 27);
• de onbeperkte duur van de Overeenkomst (die wordt gerechtvaardigd door de aard van de Overeenkomst als een kader dat bescherming en waarborgen biedt, alsook in het licht van de mogelijkheid de Overeenkomst op te schorten en op te zeggen (artikel 28);
• de mogelijkheid voor elke partij om de Overeenkomst op te zeggen door middel van een kennisgeving aan de andere partij, waarbij wordt bepaald dat de verwerking van persoonlijke informatie die vóór de opzegging is doorgegeven, plaats zal blijven vinden overeenkomstig de voorschriften van de Raamovereenkomst (artikel 29, leden 2 en 3);
• de inwerkingtreding van de Overeenkomst op de eerste dag van de maand volgend op de datum waarop de partijen de kennisgevingen hebben uitgewisseld waaruit blijkt dat zij hun interne goedkeuringsprocedures hebben voltooid (artikel 29, lid 1);
• de taalclausule (onmiddellijk voorafgaand aan de regel voor ondertekening), welke bepaalt dat i) de Engelse versie van de Overeenkomst wordt ondertekend en de Overeenkomst door de EU in de 23 overige officiële EU-talen wordt opgesteld; ii) het mogelijk is aan de tekst van de Overeenkomst in elk van de andere officiële EU-talen rechtsgeldigheid te verlenen door middel van een uitwisseling van diplomatieke nota's met de VS; iii) in geval van verschil tussen authentieke taalversies van de Overeenkomst, de Engelse versie voorrang heeft.