HvJ EU: Privacy Shield ongeldig verklaard (Schrems II)

EUR-Lex - 62018CJ0311 - EN - EUR-Lex × Skip to main content Log in My EUR-Lex My EUR-Lex Sign in Register My recent searches (0) English English Select your language Official EU languages: bg български es Español cs Čeština da Dansk de Deutsch et Eesti keel el Ελληνικά en English fr Français ga Gaeilge hr Hrvatski it Italiano lv Latviešu valoda lt Lietuvių kalba hu Magyar mt Malti nl Nederlands pl Polski pt Português ro Română sk Slovenčina sl Slovenščina fi Suomi sv Svenska EUR-Lex Access to European Union law <a href="https://eur-lex.europa.eu/content/help/eurlex-content/experimental-features.html" target="_blank">More about the experimental features corner</a> Experimental features × Choose the experimental features you want to try Do you want to help improving EUR-Lex ? This is a list of experimental features that you can enable. These features are still under development; they are not fully tested, and might reduce EUR-Lex stability. Don't forget to give your feedback! Warning! Experimental feature conflicts detected. Replacement of CELEX identifiers by short titles - experimental feature. It replaces clickable CELEX identifiers of treaties and case-law by short titles. Visualisation of document relationships. It displays a dynamic graph with relations between the act and related documents. It is currently only available for legal acts. Deep linking. It enables links to other legal acts referred to within the documents. It is currently only available for documents smaller than 900 KB. Apply EUR-Lex Access to European Union law This document is an excerpt from the EUR-Lex website You are here EUROPA EUR-Lex home EUR-Lex - 62018CJ0311 - EN Help Print Menu EU law Treaties Treaties currently in force Founding Treaties Accession Treaties Other treaties and protocols Chronological overview Legal acts Consolidated texts International agreements Preparatory documents EFTA documents Lawmaking procedures Summaries of EU legislation Browse by EU institutions European Parliament European Council Council of the European Union European Commission Court of Justice of the European Union European Central Bank European Court of Auditors European Economic and Social Committee European Committee of the Regions Browse by EuroVoc EU case-law Case-law Reports of cases Directory of case-law Official Journal Access to the Official Journal Official Journal L series daily view Official Journal C series daily view Browse the Official Journal Legally binding printed editions Special edition National law and case-law National transposition National case-law JURE case-law Information Themes in focus EUR-Lex developments Statistics ELI register What is ELI ELI background Why implement ELI Countries implementing ELI Testimonials Implementing ELI Glossary EU budget online Quick search Use quotation marks to search for an "exact phrase". Append an asterisk ( * ) to a search term to find variations of it (transp * , 32019R * ). Use a question mark ( ? ) instead of a single character in your search term to find variations of it (ca ? e finds case, cane, care). Search tips Need more search options? Use the Advanced search Document 62018CJ0311 Help Print Text Document information Abstract Case file Permanent link Download notice Save to My items Create an email alert Create an RSS alert ​ Judgment of the Court (Grand Chamber) of 16 July 2020.#Data Protection Commissioner v Facebook Ireland Limited and Maximillian Schrems.#Request for a preliminary ruling from the High Court (Ireland).#Reference for a preliminary ruling — Protection of individuals with regard to the processing of personal data — Charter of Fundamental Rights of the European Union — Articles 7, 8 and 47 — Regulation (EU) 2016/679 — Article 2(2) — Scope — Transfers of personal data to third countries for commercial purposes — Article 45 — Commission adequacy decision — Article 46 — Transfers subject to appropriate safeguards — Article 58 — Powers of the supervisory authorities — Processing of the data transferred by the public authorities of a third country for national security purposes — Assessment of the adequacy of the level of protection in the third country — Decision 2010/87/EU — Protective standard clauses on the transfer of personal data to third countries — Suitable safeguards provided by the data controller — Validity — Implementing Decision (EU) 2016/1250 — Adequacy of the protection provided by the EU-US Privacy Shield — Validity — Complaint by a natural person whose data was transferred from the European Union to the United States.#Case C-311/18. Arrest van het Hof (Grote kamer) van 16 juli 2020. Data Protection Commissioner tegen Facebook Ireland Ltd en Maximillian Schrems. Verzoek van de High Court (Ierland) om een prejudiciële beslissing. Prejudiciële verwijzing – Bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens – Handvest van de grondrechten van de Europese Unie – Artikelen 7, 8 en 47 – Verordening (EU) 2016/679 – Artikel 2, lid 2 – Werkingssfeer – Doorgifte van persoonsgegevens naar derde landen voor commerciële doeleinden – Artikel 45 – Adequaatheidsbesluit van de Commissie – Artikel 46 – Doorgifte met passende waarborgen – Artikel 58 – Bevoegdheden van de toezichthoudende autoriteiten – Verwerking van de doorgegeven gegevens door de overheidsinstanties van een derde land voor doeleinden van nationale veiligheid – Beoordeling van de gepastheid van het door een derde land gewaarborgde beschermingsniveau – Besluit 2010/87/EU – Modelbepalingen inzake bescherming voor de doorgifte van persoonsgegevens naar derde landen – Passende waarborgen geboden door de verwerkingsverantwoordelijke – Geldigheid – Uitvoeringsbesluit (EU) 2016/1250 – Gepastheid van de bescherming geboden door het Europese Unie-Verenigde Staten-privacyschild – Geldigheid – Klacht van een natuurlijk persoon wiens persoonsgegevens zijn doorgegeven vanuit de Europese Unie naar de Verenigde Staten. Zaak C-311/18. Arrest van het Hof (Grote kamer) van 16 juli 2020. Data Protection Commissioner tegen Facebook Ireland Ltd en Maximillian Schrems. Verzoek van de High Court (Ierland) om een prejudiciële beslissing. Prejudiciële verwijzing – Bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens – Handvest van de grondrechten van de Europese Unie – Artikelen 7, 8 en 47 – Verordening (EU) 2016/679 – Artikel 2, lid 2 – Werkingssfeer – Doorgifte van persoonsgegevens naar derde landen voor commerciële doeleinden – Artikel 45 – Adequaatheidsbesluit van de Commissie – Artikel 46 – Doorgifte met passende waarborgen – Artikel 58 – Bevoegdheden van de toezichthoudende autoriteiten – Verwerking van de doorgegeven gegevens door de overheidsinstanties van een derde land voor doeleinden van nationale veiligheid – Beoordeling van de gepastheid van het door een derde land gewaarborgde beschermingsniveau – Besluit 2010/87/EU – Modelbepalingen inzake bescherming voor de doorgifte van persoonsgegevens naar derde landen – Passende waarborgen geboden door de verwerkingsverantwoordelijke – Geldigheid – Uitvoeringsbesluit (EU) 2016/1250 – Gepastheid van de bescherming geboden door het Europese Unie-Verenigde Staten-privacyschild – Geldigheid – Klacht van een natuurlijk persoon wiens persoonsgegevens zijn doorgegeven vanuit de Europese Unie naar de Verenigde Staten. Zaak C-311/18. ECLI identifier: ECLI:EU:C:2020:559 Expand all Collapse all Languages and formats available Language of the case Language BG ES CS DA DE ET EL EN FR GA HR IT LV LT HU MT NL PL PT RO SK SL FI SV HTML EN Toggle Dropdown BG ES CS DA DE ET EL EN FR GA HR IT LV LT HU MT NL PL PT RO SK SL FI SV PDF EN Toggle Dropdown BG ES CS DA DE ET EL EN FR GA HR IT LV LT HU MT NL PL PT RO SK SL FI SV Document published in the digital reports of cases. They have official status. Multilingual display Language 1 English (en) Bulgarian (bg) Spanish (es) Czech (cs) Danish (da) German (de) Estonian (et) Greek (el) English (en) French (fr) Croatian (hr) Italian (it) Latvian (lv) Lithuanian (lt) Hungarian (hu) Maltese (mt) Dutch (nl) Polish (pl) Portuguese (pt) Romanian (ro) Slovak (sk) Slovenian (sl) Finnish (fi) Swedish (sv) Language 2 Please choose Bulgarian (bg) Spanish (es) Czech (cs) Danish (da) German (de) Estonian (et) Greek (el) English (en) French (fr) Croatian (hr) Italian (it) Latvian (lv) Lithuanian (lt) Hungarian (hu) Maltese (mt) Dutch (nl) Polish (pl) Portuguese (pt) Romanian (ro) Slovak (sk) Slovenian (sl) Finnish (fi) Swedish (sv) Language 3 Please choose Bulgarian (bg) Spanish (es) Czech (cs) Danish (da) German (de) Estonian (et) Greek (el) English (en) French (fr) Croatian (hr) Italian (it) Latvian (lv) Lithuanian (lt) Hungarian (hu) Maltese (mt) Dutch (nl) Polish (pl) Portuguese (pt) Romanian (ro) Slovak (sk) Slovenian (sl) Finnish (fi) Swedish (sv) Display Text ARREST VAN HET HOF (Grote kamer) 16 juli 2020 ( *1 ) „Prejudiciële verwijzing – Bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens – Handvest van de grondrechten van de Europese Unie – Artikelen 7, 8 en 47 – Verordening (EU) 2016/679 – Artikel 2, lid 2 – Werkingssfeer – Doorgifte van persoonsgegevens naar derde landen voor commerciële doeleinden – Artikel 45 – Adequaatheidsbesluit van de Commissie – Artikel 46 – Doorgifte met passende waarborgen – Artikel 58 – Bevoegdheden van de toezichthoudende autoriteiten – Verwerking van de doorgegeven gegevens door de overheidsinstanties van een derde land voor doeleinden van nationale veiligheid – Beoordeling van de gepastheid van het door een derde land gewaarborgde beschermingsniveau – Besluit 2010/87/EU – Modelbepalingen inzake bescherming voor de doorgifte van persoonsgegevens naar derde landen – Passende waarborgen geboden door de verwerkingsverantwoordelijke – Geldigheid – Uitvoeringsbesluit (EU) 2016/1250 – Gepastheid van de bescherming geboden door het Europese Unie-Verenigde Staten-privacyschild – Geldigheid – Klacht van een natuurlijk persoon wiens persoonsgegevens zijn doorgegeven vanuit de Europese Unie naar de Verenigde Staten” In zaak C‑311/18, betreffende een verzoek om een prejudiciële beslissing krachtens artikel 267 VWEU, ingediend door de High Court (rechter in eerste aanleg, Ierland) bij beslissing van 4 mei 2018, ingekomen bij het Hof op 9 mei 2018, in de procedure Data Protection Commissioner tegen Facebook Ireland Ltd, Maximillian Schrems, in tegenwoordigheid van: The United States of America, Electronic Privacy Information Centre, BSA Business Software Alliance Inc., Digitaleurope, wijst HET HOF (Grote kamer), samengesteld als volgt: K. Lenaerts, president, R. Silva de Lapuerta, vicepresident, A. Arabadjiev, A. Prechal, M. Vilaras, M. Safjan, S. Rodin, P. G. Xuereb, L. S. Rossi en I. Jarukaitis, kamerpresidenten, M. Ilešič, T. von Danwitz (rapporteur) en D. Šváby, rechters, advocaat-generaal: H. Saugmandsgaard Øe, griffier: C. Strömholm, administrateur, gezien de stukken en na de terechtzitting op 9 juli 2019, gelet op de opmerkingen van: – de Data Protection Commissioner, vertegenwoordigd door D. Young, solicitor, B. Murray en M. Collins, SC, en C. Donnelly, BL, – Facebook Ireland Ltd, vertegenwoordigd door P. Gallagher en N. Hyland, SC, A. Mulligan en F. Kieran, BL, en P. Nolan, C. Monaghan, C. O’Neill en R. Woulfe, solicitors, – Maximillian Schrems, vertegenwoordigd door H. Hofmann, Rechtsanwalt, E. McCullough, J. Doherty en S. O’Sullivan, SC, en G. Rudden, solicitor, – The United States of America, vertegenwoordigd door E. Barrington, SC, S. Kingston, BL, en S. Barton en B. Walsh, solicitors, – het Electronic Privacy Information Centre, vertegenwoordigd door S. Lucey, solicitor, G. Gilmore en A. Butler, BL, en C. O’Dwyer, SC, – de BSA Business Software Alliance Inc., vertegenwoordigd door B. Van Vooren en K. Van Quathem, advocaten, – Digitaleurope, vertegenwoordigd door N. Cahill, barrister, J. Cahir, solicitor, en M. Cush, SC, – Ierland, vertegenwoordigd door A. Joyce en M. Browne als gemachtigden, bijgestaan door D. Fennelly, BL, – de Belgische regering, vertegenwoordigd door J.‑C. Halleux en P. Cottin als gemachtigden, – de Tsjechische regering, vertegenwoordigd door M. Smolek, J. Vláčil, O. Serdula en A. Kasalická als gemachtigden, – de Duitse regering, vertegenwoordigd door J. Möller, D. Klebs en T. Henze als gemachtigden, – de Franse regering, vertegenwoordigd door A.-L. Desjonquères als gemachtigde, – de Nederlandse regering, vertegenwoordigd door C. S. Schillemans, K. Bulterman en M. Noort als gemachtigden, – de Oostenrijkse regering, vertegenwoordigd door J. Schmoll en G. Kunnert als gemachtigden, – de Poolse regering, vertegenwoordigd door B. Majczyna als gemachtigde, – de Portugese regering, vertegenwoordigd door L. Inez Fernandes, A. Pimenta en C. Vieira Guerra als gemachtigden, – de regering van het Verenigd Koninkrijk, vertegenwoordigd door S. Brandonals gemachtigde, bijgestaan door J. Holmes, QC, en C. Knight, barrister, – het Europees Parlement, vertegenwoordigd door M. J. Martínez Iglesias en A. Caiola als gemachtigden, – de Europese Commissie, vertegenwoordigd door D. Nardi, H. Krämer en H. Kranenborg als gemachtigden, – het Europees Comité voor gegevensbescherming (EDPB), vertegenwoordigd door A. Jelinek en K. Behn als gemachtigden, gehoord de conclusie van de advocaat-generaal ter terechtzitting van 19 december 2019, het navolgende Arrest 1 Het verzoek om een prejudiciële beslissing betreft in wezen – de uitlegging van artikel 3, lid 2, eerste streepje, de artikelen 25 en 26, en artikel 28, lid 3, van richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens ( PB 1995, L 281, blz. 31 ), gelezen in het licht van artikel 4, lid 2, VEU en de artikelen 7, 8 en 47 van het Handvest van de grondrechten van de Europese Unie (hierna: „Handvest”), – de uitlegging en de geldigheid van besluit 2010/87/EU van de Commissie van 5 februari 2010 betreffende modelcontractbepalingen voor de doorgifte van persoonsgegevens aan in derde landen gevestigde verwerkers krachtens richtlijn 95/46 ( PB 2010, L 39, blz. 5 ), zoals gewijzigd bij uitvoeringsbesluit (EU) 2016/2297 van de Commissie van 16 december 2016 ( PB 2016, L 344, blz. 100 ) (hierna: „MCB-besluit”), en – de uitlegging en de geldigheid van uitvoeringsbesluit (EU) 2016/1250 van de Commissie van 12 juli 2016 overeenkomstig richtlijn 95/46 betreffende de gepastheid van de door het EU-VS-privacyschild geboden bescherming ( PB 2016, L 207, blz. 1 , met rectificatie in PB 2018, L 262, blz. 90 ; hierna: „privacyschildbesluit”). 2 Dit verzoek is ingediend in het kader van een geding tussen de Data Protection Commissioner (commissaris gegevensbescherming, Ierland; hierna: „DPC”) enerzijds en Facebook Ireland Ltd en Maximillian Schrems anderzijds, over een door Schrems ingediende klacht over de doorgifte van zijn persoonsgegevens door Facebook Ireland aan Facebook Inc. in de Verenigde Staten. Toepasselijke bepalingen Richtlijn 95/46 3 Artikel 3 van richtlijn 95/46, met als opschrift „Werkingssfeer”, bepaalde in lid 2: „De bepalingen van deze richtlijn zijn niet van toepassing op de verwerking van persoonsgegevens: – die met het oog op de uitoefening van niet binnen de werkingssfeer van het gemeenschapsrecht vallende activiteiten geschiedt zoals die bedoeld in de titels V en VI van het Verdrag betreffende de Europese Unie en in ieder geval verwerkingen die betrekking hebben op de openbare veiligheid, defensie, de veiligheid van de staat (waaronder de economie van de staat, wanneer deze verwerkingen in verband staan met vraagstukken van staatsveiligheid), en de activiteiten van de staat op strafrechtelijk gebied; […]” 4 Artikel 25 van deze richtlijn bepaalde: „1. De lidstaten bepalen dat persoonsgegevens […] slechts naar een derde land mogen worden doorgegeven indien, onverminderd de naleving van de nationale bepalingen die zijn vastgesteld ter uitvoering van de andere bepalingen van deze richtlijn, dat land een passend beschermingsniveau waarborgt. 2. Het passend karakter van het door een derde land geboden beschermingsniveau wordt beoordeeld met inachtneming van alle omstandigheden die op de doorgifte van gegevens of op een categorie gegevensdoorgiften van invloed zijn […]. […] 6. De Commissie kan volgens de procedure van artikel 31, lid 2, constateren dat een derde land, op grond van zijn nationale wetgeving of zijn internationale verbintenissen, die het met name na de in lid 5 bedoelde onderhandelingen is aangegaan, waarborgen voor een passend beschermingsniveau in de zin van lid 2 biedt met het oog op de bescherming van de persoonlijke levenssfeer en de fundamentele vrijheden en rechten van personen. De lidstaten nemen de nodige maatregelen om zich naar het besluit van de Commissie te voegen.” 5 Artikel 26, leden 2 en 4, van die richtlijn bepaalde het volgende: „2. Onverminderd het bepaalde in lid 1 kan een lidstaat toestemming geven voor een doorgifte of een categorie doorgiften van persoonsgegevens naar een derde land dat geen waarborgen voor een passend beschermingsniveau in de zin van artikel 25, lid 2, biedt, indien de voor de verwerking verantwoordelijke voldoende waarborgen biedt ten aanzien van de bescherming van de persoonlijke levenssfeer, de fundamentele rechten en vrijheden van personen, alsmede ten aanzien van de uitoefening van de daaraan verbonden rechten; deze waarborgen kunnen met name voortvloeien uit passende contractuele bepalingen. […] 4. Wanneer de Commissie volgens de in artikel 31, lid 2, bedoelde procedure besluit dat bepaalde modelcontractbepalingen voldoende waarborgen bieden in de zin van lid 2, nemen de lidstaten de nodige maatregelen om zich naar het besluit van de Commissie te voegen.” 6 Artikel 28, lid 3, van diezelfde richtlijn luidde als volgt: „Elke toezichthoudende autoriteit beschikt met name over: – onderzoeksbevoegdheden, zoals het recht van toegang tot gegevens die het voorwerp vormen van een verwerking en het recht alle inlichtingen in te winnen die voor de uitoefening van haar toezichtstaak noodzakelijk zijn; – effectieve bevoegdheden om in te grijpen, zoals bijvoorbeeld de bevoegdheid om voorafgaand aan de uitvoering van de verwerking advies uit te brengen, overeenkomstig artikel 20, en te zorgen voor een passende bekendmaking van deze adviezen of de bevoegdheid om afscherming, uitwissing of vernietiging van gegevens te gelasten, dan wel een verwerking voorlopig of definitief te verbieden of de bevoegdheid tot de voor de verwerking verantwoordelijke een waarschuwing of berisping te richten of de bevoegdheid de nationale parlementen of andere politieke instellingen in te schakelen; – de bevoegdheid om in rechte op te treden in geval van inbreuken op ter uitvoering van deze richtlijn vastgestelde nationale bepalingen, of om die inbreuken onder de aandacht van het gerecht te brengen. […]” AVG 7 Richtlijn 95/46 is ingetrokken bij en vervangen door verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46 (algemene verordening gegevensbescherming) ( PB 2016, L 119, blz. 1 , met rectificatie in PB 2018, L 127, blz. 2 ; hierna: „AVG”). 8 In de overwegingen 6, 10, 101, 103, 104, 107 tot en met 109, 114, 116 en 141 AVG staat te lezen: „(6) Door snelle technologische ontwikkelingen en globalisering zijn nieuwe uitdagingen voor de bescherming van persoonsgegevens ontstaan. De mate waarin persoonsgegevens worden verzameld en gedeeld, is significant gestegen. Dankzij de technologie kunnen bedrijven en overheid bij het uitvoeren van hun activiteiten meer dan ooit tevoren gebruikmaken van persoonsgegevens. Natuurlijke personen maken hun persoonsgegevens steeds vaker wereldwijd bekend. Technologie heeft zowel de economie als het maatschappelijk leven ingrijpend veranderd en moet het vrije verkeer van persoonsgegevens binnen de Unie en de doorgifte aan derde landen en internationale organisaties verder vergemakkelijken en daarbij een hoge mate van bescherming van persoonsgegevens garanderen. […] (10) Teneinde natuurlijke personen een consistent en hoog beschermingsniveau te bieden en de belemmeringen voor het verkeer van persoonsgegevens binnen de Unie op te heffen, dient het niveau van bescherming van de rechten en vrijheden van natuurlijke personen op het vlak van verwerking van deze gegevens in alle lidstaten gelijkwaardig te zijn. Er moet gezorgd worden voor een in de gehele Unie coherente en homogene toepassing van de regels inzake de bescherming van de grondrechten en fundamentele vrijheden van natuurlijke personen in verband met de verwerking van persoonsgegevens. Met het oog op de verwerking van persoonsgegevens voor het vervullen van een wettelijke verplichting, voor het vervullen van een taak van algemeen belang of bij de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is verleend, moet de lidstaten worden toegestaan nationale bepalingen te handhaven of in te voeren ter nadere precisering van de wijze waarop de regels van deze verordening moeten worden toegepast. In samenhang met de algemene en horizontale wetgeving inzake gegevensbescherming ter uitvoering van [richtlijn 95/46] beschikken de lidstaten over verscheidene sectorgebonden wetten op gebieden waar behoefte is aan meer specifieke bepalingen. Deze verordening biedt de lidstaten ook ruimte om eigen regels voor de toepassing vast te stellen, onder meer wat de verwerking van bijzondere persoonsgegevenscategorieën (‚gevoelige gegevens’) betreft. In zoverre staat deze verordening niet in de weg aan lidstatelijk recht waarin specifieke situaties op het gebied van gegevensverwerking nader worden omschreven, meer bepaald door nauwkeuriger te bepalen in welke gevallen verwerking van persoonsgegevens rechtmatig geschiedt. […] (101) Verkeer van persoonsgegevens van en naar landen buiten de Unie en internationale organisaties is noodzakelijk voor de ontwikkeling van het internationale handelsverkeer en de internationale samenwerking. De groei van dit verkeer brengt nieuwe uitdagingen en aandachtspunten mee met betrekking tot de bescherming van persoonsgegevens. Wanneer persoonsgegevens echter van de Unie aan verwerkingsverantwoordelijken, verwerkers of andere ontvangers in derde landen of internationale organisaties worden doorgegeven, mag dit niet ten koste gaan van het beschermingsniveau waarvan natuurlijke personen in de Unie door deze verordening verzekerd zijn, ook in gevallen van verdere doorgiften van persoonsgegevens van het derde land of de internationale organisatie aan verwerkingsverantwoordelijken, verwerkers in hetzelfde of een ander derde land of in dezelfde of een andere internationale organisatie. Doorgifte aan derde landen en internationale organisaties mag in ieder geval alleen plaatsvinden in volledige overeenstemming met deze verordening. Een doorgifte kan alleen plaatsvinden indien de verwerkingsverantwoordelijke of de verwerker, onder voorbehoud van de andere bepalingen van deze verordening, de bepalingen van deze verordening met betrekking tot de doorgifte van persoonsgegevens aan derde landen of internationale organisaties naleeft. […] (103) De Commissie kan besluiten, met rechtskracht voor de gehele Unie, dat een derde land, een gebied of een welbepaalde sector in een derde land, of een internationale organisatie een passend niveau van gegevensbescherming biedt, en daarmee in de gehele Unie rechtszekerheid en eenvormigheid verschaft ten aanzien van het derde land dat of de internationale organisatie die wordt geacht een dergelijk beschermingsniveau te bieden. In zulke gevallen mogen persoonsgegevens naar dat derde land of die internationale organisatie worden doorgegeven zonder dat verdere toestemming noodzakelijk is. De Commissie kan eveneens besluiten om, nadat zij het derde land of de internationale organisatie daarvan in kennis heeft gesteld en een volledige toelichting van haar beweegredenen heeft gegeven, een dergelijk besluit in te trekken. (104) Overeenkomstig de fundamentele waarden waarop de Unie is gegrondvest, in het bijzonder de bescherming van de mensenrechten, dient de Commissie bij haar beoordeling van het derde land of van een grondgebied of een specifieke verwerkingssector binnen een derde land, in aanmerking te nemen in welke mate de rechtsstatelijkheid, de toegang tot de rechter en de internationale mensenrechtennormen en -regels in het derde land worden geëerbiedigd, en dient zij de algemene en sectorale wetgeving, waaronder de wetgeving betreffende openbare veiligheid, defensie en nationale veiligheid en openbare orde en strafrecht, van het land in aanmerking te nemen. Bij de vaststelling van een adequaatheidsbesluit (besluit waarbij het beschermingsniveau adequaat wordt verklaard) voor een grondgebied of een specifieke sector in een derde land, moeten er duidelijke en objectieve criteria worden vastgesteld, zoals specifieke verwerkingsactiviteiten en het toepassingsgebied van de geldende wettelijke normen en wetgeving in het derde land. Het derde land dient zich ertoe te verbinden een passend beschermingsniveau te waarborgen, in feite overeenkomend met het niveau dat in de Unie wordt verzekerd, vooral wanneer persoonsgegevens in één of meer specifieke sectoren worden verwerkt. Het derde land dient met name te zorgen voor effectief en onafhankelijk toezicht op de gegevensbescherming en voor mechanismen van samenwerking met de autoriteiten op het gebied van gegevensbescherming van de lidstaten. Voorts dienen de betrokkenen te beschikken over daadwerkelijke en afdwingbare rechten en daadwerkelijk administratief beroep en beroep in rechte te kunnen instellen. […] (107) De Commissie kan vaststellen dat een derde land, een gebied of een bepaalde verwerkingssector in een derde land, of een internationale organisatie geen passend beschermingsniveau meer waarborgt. De doorgifte van persoonsgegevens naar dat derde land of die internationale organisatie dient dan te worden verboden, tenzij aan de vereisten van deze verordening met betrekking tot doorgiften die onderworpen zijn aan passende waarborgen, met inbegrip van bindende bedrijfsvoorschriften, en afwijkingen voor specifieke situaties wordt voldaan. Er dient te worden geregeld dat er in die gevallen overleg plaatsvindt tussen de Commissie en de derde landen of internationale organisaties in kwestie. De Commissie moet het derde land of de internationale organisatie tijdig op de hoogte brengen van haar motivering en met de andere partij in overleg treden om de situatie te verhelpen. (108) Indien er geen adequaatheidsbesluit is genomen, dient de verwerkingsverantwoordelijke of de verwerker maatregelen te nemen om het ontoereikende niveau van gegevensbescherming in een derde land te verhelpen door middel van passende waarborgen voor de betrokkene. Dergelijke passende waarborgen kunnen erin bestaan gebruik te maken van bindende bedrijfsvoorschriften, standaardbepalingen inzake gegevensbescherming die zijn vastgesteld door de Commissie, standaardbepalingen inzake gegevensbescherming die zijn vastgesteld door een toezichthoudende autoriteit of contractbepalingen die zijn toegestaan door een toezichthoudende autoriteit. Die waarborgen moeten de naleving van gegevensbeschermingsvereisten en de geldende rechten van de betrokkenen voor verwerkingen binnen de Unie waarborgen, waaronder de beschikbaarheid van afdwingbare rechten van betrokkenen en van doeltreffende beroepen, zoals het instellen van administratief beroep of beroep in rechte en het eisen van een vergoeding in de Unie of in een derde land. Zij moeten met name betrekking hebben op de naleving van de algemene beginselen inzake de verwerking van persoonsgegevens, de beginselen van gegevensbescherming door ontwerp en gegevensbescherming door standaardinstellingen. […] (109) Dat de verwerkingsverantwoordelijke of de verwerker gebruik kan maken van standaardbepalingen inzake gegevensbescherming die zijn vastgesteld door de Commissie of een toezichthoudende autoriteit, dient niet in te houden dat hij de standaardbepalingen inzake gegevensbescherming niet in een bredere overeenkomst mag opnemen, zoals een overeenkomst tussen de verwerker en een andere verwerker, of geen andere bepalingen of extra waarborgen mag toevoegen, mits deze niet direct of indirect in tegenspraak zijn met de door de Commissie of een toezichthoudende autoriteit vastgestelde standaardcontractbepalingen en geen afbreuk doen aan de grondrechten of de fundamentele vrijheden van de betrokkenen. Verwerkingsverantwoordelijken en verwerkers moeten worden aangemoedigd om via contractuele verplichtingen meer waarborgen te bieden in aanvulling op de standaardclausules inzake gegevensbescherming. […] (114) Wanneer de Commissie niet heeft besloten of het niveau van gegevensbescherming in een derde land passend is, dient de verwerkingsverantwoordelijke of de verwerker hoe dan ook gebruik te maken van middelen die de betrokkenen ook na de doorgifte van hun gegevens afdwingbare en doeltreffende rechten in de Unie verlenen met betrekking tot de verwerking ervan, opdat zij de grondrechten en waarborgen kunnen blijven genieten. […] (116) Bij grensoverschrijdend verkeer van persoonsgegevens naar landen buiten de Unie kan het voor natuurlijke personen moeilijker worden hun gegevensbeschermingsrechten uit te oefenen, met name teneinde zich te beschermen tegen onrechtmatig gebruik of onrechtmatige openbaarmaking van die informatie. Bovendien kan het voor toezichthoudende autoriteiten onmogelijk worden om klachten te behandelen of onderzoek te verrichten met betrekking tot activiteiten in het buitenland. Daarnaast kunnen hun mogelijkheden tot grensoverschrijdende samenwerking worden belemmerd door ontoereikende preventieve of corrigerende bevoegdheden, inconsistente rechtskaders en praktische obstakels, zoals beperkte middelen. […] […] (141) Iedere betrokkene dient het recht te hebben om een klacht in te dienen bij één enkele toezichthoudende autoriteit, met name in de lidstaat waar hij gewoonlijk verblijft, en een doeltreffende voorziening in rechte in te stellen overeenkomstig artikel 47 van het Handvest indien hij meent dat inbreuk is gemaakt op zijn rechten uit hoofde van deze verordening of indien de toezichthoudende autoriteit niet optreedt naar aanleiding van een klacht, een klacht gedeeltelijk of geheel verwerpt of afwijst, of indien deze niet optreedt wanneer zulk optreden noodzakelijk is ter bescherming van de rechten van de betrokkene. […]” 9 Artikel 2, leden 1 en 2, van deze verordening bepaalt: „1. Deze verordening is van toepassing op de geheel of gedeeltelijk geautomatiseerde verwerking, alsmede op de verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen. 2. Deze verordening is niet van toepassing op de verwerking van persoonsgegevens: a) in het kader van activiteiten die buiten de werkingssfeer van het Unierecht vallen; b) door de lidstaten bij de uitvoering van activiteiten die binnen de werkingssfeer van titel V, hoofdstuk 2, VEU vallen; c) door een natuurlijke persoon bij de uitoefening van een zuiver persoonlijke of huishoudelijke activiteit; d) door de bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid.” 10 Artikel 4 van die verordening bepaalt: „In deze verordening wordt verstaan onder: […] 2) ‚verwerking’: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd met behulp van geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens; […] 7) ‚verwerkingsverantwoordelijke’: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt; wanneer de doelstellingen van en de middelen voor deze verwerking in het Unierecht of het lidstatelijke recht worden vastgesteld, kan daarin worden bepaald wie de verwerkingsverantwoordelijke is of volgens welke criteria deze wordt aangewezen; 8) ‚verwerker’: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt; 9) ‚ontvanger’: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, al dan niet een derde, aan wie/waaraan de persoonsgegevens worden bekendgemaakt. Overheidsinstanties die mogelijk persoonsgegevens ontvangen in het kader van een bijzonder onderzoek overeenkomstig het Unierecht of het lidstatelijke recht gelden echter niet als ontvangers; de verwerking van die gegevens door die overheidsinstanties strookt met de gegevensbeschermingsregels die op het betreffende verwerkingsdoel van toepassing zijn; […]” 11 In artikel 23 van diezelfde verordening is het volgende bepaald: „1. De reikwijdte van de verplichtingen en rechten als bedoeld in de artikelen 12 tot en met 22 en artikel 34, alsmede in artikel 5 kan, voor zover de bepalingen van die artikelen overeenstemmen met de rechten en verplichtingen als bedoeld in de artikelen 12 tot en met [22], worden beperkt door middel van Unierechtelijke of lidstaatrechtelijke bepalingen die op de verwerkingsverantwoordelijke of de verwerker van toepassing zijn, op voorwaarde dat die beperking de wezenlijke inhoud van de grondrechten en fundamentele vrijheden onverlet laat en in een democratische samenleving een noodzakelijke en evenredige maatregel is ter waarborging van: a) de nationale veiligheid; b) landsverdediging; c) de openbare veiligheid; d) de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid; […] 2. De in lid 1 bedoelde wettelijke maatregelen bevatten met name specifieke bepalingen met betrekking tot, in voorkomend geval, ten minste: a) de doeleinden van de verwerking of van de categorieën van verwerking, b) de categorieën van persoonsgegevens, c) het toepassingsgebied van de ingevoerde beperkingen, d) de waarborgen ter voorkoming van misbruik of onrechtmatige toegang of doorgifte, e) de specificatie van de verwerkingsverantwoordelijke of de categorieën van verwerkingsverantwoordelijken, f) de opslagperiodes en de toepasselijke waarborgen, rekening houdend met de aard, de omvang en de doeleinden van de verwerking of van de categorieën van verwerking, g) de risico’s voor de rechten en vrijheden van de betrokkenen, en h) het recht van betrokkenen om van de beperking op de hoogte te worden gesteld, tenzij dit afbreuk kan doen aan het doel van de beperking.” 12 Hoofdstuk V AVG, met als opschrift „Doorgiften van persoonsgegevens naar derde landen of internationale organisaties”, bevat de artikelen 44 tot en met 50 van die verordening. Artikel 44 ervan, met als opschrift „Algemeen beginsel inzake doorgiften”, luidt: „Persoonsgegevens die worden verwerkt of die zijn bestemd om na doorgifte aan een derde land of een internationale organisatie te worden verwerkt, mogen slechts worden doorgegeven indien, onverminderd de overige bepalingen van deze verordening, de verwerkingsverantwoordelijke en de verwerker aan de in dit hoofdstuk neergelegde voorwaarden hebben voldaan; dit geldt ook voor verdere doorgiften van persoonsgegevens vanuit het derde land of een internationale organisatie naar een ander derde land of aan een andere internationale organisatie. Alle bepalingen van dit hoofdstuk worden toegepast opdat het door deze verordening voor natuurlijke personen gewaarborgde beschermingsniveau niet wordt ondermijnd.” 13 Artikel 45 van deze verordening, met als opschrift „Doorgiften op basis van adequaatheidsbesluiten”, bepaalt in de leden 1 tot en met 3: „1. Een doorgifte van persoonsgegevens aan een derde land of een internationale organisatie kan plaatsvinden wanneer de Commissie heeft besloten dat het derde land, een gebied of één of meerdere nader bepaalde sectoren in dat derde land, of de internationale organisatie in kwestie een passend beschermingsniveau waarborgt. Voor een dergelijke doorgifte is geen specifieke toestemming nodig. 2. Bij de beoordeling van de vraag of het beschermingsniveau adequaat is, houdt de Commissie met name rekening met de volgende aspecten: a) de rechtsstatelijkheid, de eerbiediging van de mensenrechten en de fundamentele vrijheden, de toepasselijke algemene en sectorale wetgeving, onder meer inzake openbare veiligheid, defensie, nationale veiligheid en strafrecht en de toegang van overheidsinstanties tot persoonsgegevens, evenals de tenuitvoerlegging van die wetgeving, gegevensbeschermingsregels, beroepsregels en veiligheidsmaatregelen, met inbegrip van regels voor de verdere doorgifte van persoonsgegevens aan een ander derde land of een andere internationale organisatie die in dat land of die internationale organisatie worden nageleefd, precedenten in de rechtspraak, alsmede het bestaan van effectieve en afdwingbare rechten van betrokkenen en effectieve mogelijkheden om administratief beroep of beroep in rechte in te stellen voor betrokkenen wier persoonsgegevens worden doorgegeven; b) het bestaan en het effectief functioneren van een of meer onafhankelijke toezichthoudende autoriteiten in het derde land of waaraan een internationale organisatie is onderworpen, welke tot taak heeft of hebben de naleving van de gegevensbeschermingsregels te verzekeren en deze onder meer met passende handhavingsbevoegdheden te handhaven, betrokkenen bij de uitoefening van hun rechten bij te staan en te adviseren en met de toezichthoudende autoriteiten van de lidstaten samen te werken; en c) de internationale toezeggingen die het derde land of de internationale organisatie in kwestie heeft gedaan, of andere verplichtingen die voortvloeien uit juridisch bindende overeenkomsten of instrumenten, alsmede uit de deelname van dat derde land of die internationale organisatie aan multilaterale of regionale regelingen, in het bijzonder met betrekking tot de bescherming van persoonsgegevens. 3. De Commissie kan, na de beoordeling van de vraag of het beschermingsniveau adequaat is, door middel van een uitvoeringshandeling besluiten dat een derde land, een gebied of één of meerdere nader bepaalde sectoren in een derde land, of een internationale organisatie een passend beschermingsniveau in de zin van lid 2 van dit artikel waarborgt. De uitvoeringshandeling voorziet in een mechanisme voor periodieke toetsing, minstens om de vier jaar, waarbij alle relevante ontwikkelingen in het derde land of de internationale organisatie in aanmerking worden genomen. In de uitvoeringshandeling worden het territoriale en het sectorale toepassingsgebied vermeld, alsmede, in voorkomend geval, de in lid 2, punt b), van dit artikel genoemde toezichthoudende autoriteit(en). De uitvoeringshandeling wordt vastgesteld volgens de in artikel 93, lid 2, bedoelde onderzoeksprocedure.” 14 Artikel 46 van deze verordening, met als opschrift „Doorgiften op basis van passende waarborgen”, bepaalt in de leden 1 tot en met 3: „1. Bij ontstentenis van een besluit uit hoofde van artikel 45, lid 3, mag een doorgifte van persoonsgegevens aan een derde land of een internationale organisatie door een verwerkingsverantwoordelijke of een verwerker alleen plaatsvinden mits zij passende waarborgen bieden en betrokkenen over afdwingbare rechten en doeltreffende rechtsmiddelen beschikken. 2. De in lid 1 bedoelde passende waarborgen kunnen worden geboden door de volgende instrumenten, zonder dat daarvoor specifieke toestemming van een toezichthoudende autoriteit is vereist: a) een juridisch bindend en afdwingbaar instrument tussen overheidsinstanties of -organen; b) bindende bedrijfsvoorschriften overeenkomstig artikel 47; c) standaardbepalingen inzake gegevensbescherming die door de Commissie volgens de in artikel 93, lid 2, bedoelde onderzoeksprocedure zijn vastgesteld; d) standaardbepalingen inzake gegevensbescherming die door een toezichthoudende autoriteit zijn vastgesteld en die door de Commissie volgens de in artikel 93, lid 2, bedoelde onderzoeksprocedure zijn goedgekeurd; e) een overeenkomstig artikel 40 goedgekeurde gedragscode, samen met bindende en afdwingbare toezeggingen van de verwerkingsverantwoordelijke of de verwerker in het derde land om de passende waarborgen, onder meer voor de rechten van de betrokkenen, toe te passen; of f) een overeenkomstig artikel 42 goedgekeurd certificeringsmechanisme, samen met bindende en afdwingbare toezeggingen van de verwerkingsverantwoordelijke of de verwerker in het derde land om de passende waarborgen, onder meer voor de rechten van de betrokkenen, toe te passen. 3. Onder voorbehoud van de toestemming van de bevoegde toezichthoudende autoriteit kunnen de in lid 1 bedoelde passende waarborgen ook worden geboden door, met name: a) contractbepalingen tussen de verwerkingsverantwoordelijke of de verwerker en de verwerkingsverantwoordelijke, de verwerker of de ontvanger van de persoonsgegevens in het derde land of de internationale organisatie, of b) bepalingen die moeten worden opgenomen in administratieve regelingen tussen overheidsinstanties of -organen, waaronder afdwingbare en effectieve rechten van betrokkenen.” 15 Artikel 49 van diezelfde verordening, met als opschrift „Afwijkingen voor specifieke situaties”, bepaalt: „1. Bij ontstentenis van een adequaatheidsbesluit overeenkomstig artikel 45, lid 3, of van passende waarborgen overeenkomstig artikel 46, met inbegrip van bindende bedrijfsvoorschriften, kan een doorgifte of een reeks van doorgiften van persoonsgegevens aan een derde land of een internationale organisatie slechts plaatsvinden mits aan één van de volgende voorwaarden is voldaan: a) de betrokkene heeft uitdrukkelijk met de voorgestelde doorgifte ingestemd, na te zijn ingelicht over de risico’s die dergelijke doorgiften voor hem kunnen inhouden bij ontstentenis van een adequaatheidsbesluit en van passende waarborgen; b) de doorgifte is noodzakelijk voor de uitvoering van een overeenkomst tussen de betrokkene en de verwerkingsverantwoordelijke of voor de uitvoering van op verzoek van de betrokkene genomen precontractuele maatregelen; c) de doorgifte is noodzakelijk voor de sluiting of de uitvoering van een in het belang van de betrokkene tussen de verwerkingsverantwoordelijke en een andere natuurlijke persoon of rechtspersoon gesloten overeenkomst; d) de doorgifte is noodzakelijk wegens gewichtige redenen van algemeen belang; e) de doorgifte is noodzakelijk voor de instelling, uitoefening of onderbouwing van een rechtsvordering; f) de doorgifte is noodzakelijk voor de bescherming van de vitale belangen van de betrokkene of van andere personen, indien de betrokkene lichamelijk of juridisch niet in staat is zijn toestemming te geven; g) de doorgifte is verricht vanuit een register dat volgens het Unierecht of lidstatelijk recht is bedoeld om het publiek voor te lichten en dat door eenieder dan wel door iedere persoon die zich op een gerechtvaardigd belang kan beroepen, kan worden geraadpleegd, maar alleen voor zover in het geval in kwestie wordt voldaan aan de in Unierecht of lidstatelijk recht vastgestelde voorwaarden voor raadpleging. Wanneer een doorgifte niet op een bepaling van de artikelen 45 of 46, met inbegrip van de bepalingen inzake bindende bedrijfsvoorschriften, kon worden gegrond en geen van de afwijkingen voor een specifieke situatie als bedoeld in de eerste alinea van dit lid van toepassing zijn, mag de doorgifte aan een derde land of aan een internationale organisatie alleen plaatsvinden indien de doorgifte niet repetitief is, een beperkt aantal betrokkenen betreft, noodzakelijk is voor dwingende gerechtvaardigde belangen van de verwerkingsverantwoordelijke die niet ondergeschikt zijn aan de belangen of rechten en vrijheden van de betrokkene, en de verwerkingsverantwoordelijke alle omstandigheden in verband met de gegevensdoorgifte heeft beoordeeld en op basis van die beoordeling passende waarborgen voor de bescherming van persoonsgegevens heeft geboden. De verwerkingsverantwoordelijke informeert de toezichthouder over de doorgifte. De verwerkingsverantwoordelijke verstrekt de betrokkene naast de in de artikelen 13 en 14 bedoelde informatie, ook informatie met betrekking tot de doorgifte en de door hem nagestreefde dwingende gerechtvaardigde belangen. 2. Een doorgifte overeenkomstig lid 1, eerste alinea, onder g), mag geen betrekking hebben op alle persoonsgegevens of volledige categorieën van persoonsgegevens die in het register zijn opgeslagen. Wanneer een register bedoeld is om door personen met een gerechtvaardigd belang te worden geraadpleegd, kan de doorgifte slechts plaatsvinden op verzoek van die personen of wanneer de gegevens voor hen zijn bestemd. 3. Lid 1, eerste alinea, onder a), b) en c), en tweede alinea, zijn niet van toepassing op activiteiten die door overheidsinstanties worden verricht bij de uitoefening van hun openbare bevoegdheden. 4. Het in lid 1, eerste alinea, onder d), bedoelde openbaar belang moet zijn erkend bij een Unierechtelijke of nationaalrechtelijke bepaling die op de verwerkingsverantwoordelijke van toepassing is. 5. Bij ontstentenis van een adequaatheidsbesluit kunnen in Unierechtelijke of lidstaatrechtelijke bepalingen of bepalingen om gewichtige redenen van openbaar belang uitdrukkelijk grenzen worden gesteld aan de doorgifte van specifieke categorieën van persoonsgegevens aan een derde land of een internationale organisatie. De lidstaten stellen de Commissie in kennis van dergelijke bepalingen. 6. De verwerkingsverantwoordelijke of de verwerker staaft de beoordeling en de in lid 1, tweede alinea, van dit artikel bedoelde passende waarborgen in het artikel 30 bedoelde register.” 16 Artikel 51, lid 1, AVG luidt als volgt: „Elke lidstaat bepaalt dat één of meer onafhankelijke overheidsinstanties verantwoordelijk zijn voor het toezicht op de toepassing van deze verordening, teneinde de grondrechten en fundamentele vrijheden van natuurlijke personen in verband met de verwerking van hun persoonsgegevens te beschermen en het vrije verkeer van persoonsgegevens binnen de Unie te vergemakkelijken (‚toezichthoudende autoriteit’).” 17 Overeenkomstig artikel 55, lid 1, van deze verordening heeft „[e]lke toezichthoudende autoriteit […] de competentie om op het grondgebied van haar lidstaat de taken uit te voeren die haar overeenkomstig deze verordening zijn opgedragen en de bevoegdheden uit te oefenen die haar overeenkomstig deze verordening zijn toegekend”. 18 Artikel 57, lid 1, van die verordening is als volgt verwoord: „Onverminderd andere uit hoofde van deze verordening vastgestelde taken, verricht elke toezichthoudende autoriteit op haar grondgebied de volgende taken: a) zij monitort en handhaaft de toepassing van deze verordening; […] f) zij behandelt klachten van betrokkenen, of van organen, organisaties of verenigingen overeenkomstig artikel 80, onderzoekt de inhoud van de klacht in de mate waarin dat gepast is en stelt de klager binnen een redelijke termijn in kennis van de vooruitgang en het resultaat van het onderzoek, met name indien verder onderzoek of coördinatie met een andere toezichthoudende autoriteit noodzakelijk is; […]” 19 Artikel 58, leden 2 en 4, van diezelfde verordening bepaalt: „2. Elk toezichthoudende autoriteit heeft alle volgende bevoegdheden tot het nemen van corrigerende maatregelen: […] f) een tijdelijke of definitieve verwerkingsbeperking, waaronder een verwerkingsverbod, op te leggen; […] j) de opschorting van gegevensstromen naar een ontvanger in een derde land of naar een internationale organisatie gelasten. […] 4. Op de uitoefening van de bevoegdheden die uit hoofde van dit artikel aan de toezichthoudende autoriteit worden verleend, zijn passende waarborgen van toepassing, daaronder begrepen een doeltreffende voorziening in rechte en een eerlijke rechtsbedeling, zoals overeenkomstig het Handvest vastgelegd in het Unierecht en het lidstatelijke recht.” 20 Artikel 64, lid 2, AVG luidt: „Een toezichthoudende autoriteit, de voorzitter van het [Europees Comité voor gegevensbescherming (EDPB)] of de Commissie kunnen elk verzoeken dat aangelegenheden van algemene strekking of met rechtsgevolgen in meer dan één lidstaat worden onderzocht door het [EDPB] teneinde advies te verkrijgen, met name wanneer een bevoegde toezichthoudende autoriteit haar verplichtingen tot wederzijdse bijstand overeenkomstig artikel 61, of tot gezamenlijke werkzaamheden overeenkomstig artikel 62, niet nakomt.” 21 Artikel 65, lid 1, van deze verordening luidt: „Om te zorgen voor de correcte en consequente toepassing van deze verordening in individuele gevallen, stelt het [EDPB] een bindend besluit vast in de volgende gevallen: […] c) wanneer een bevoegde toezichthoudende autoriteit in de in artikel 64, lid 1, genoemde gevallen het [EDPB] niet om advies vraagt, of het krachtens artikel 64 uitgebrachte advies van het [EDPB] niet volgt. In dat geval kan elke betrokken toezichthoudende autoriteit of de Commissie de aangelegenheid meedelen aan het [EDPB].” 22 Artikel 77 van die verordening, met als opschrift „Recht om een klacht in te dienen bij een toezichthoudende