Guidance
NL

Versiegeschiedenis

guidelines doorgifte van persoonsgegevens tussen overheidsinstanties en -organen binnen en buiten de EER

European Data Protection Board
View source
Nov 21, 2025 edpb-guidelines-doorgifte van-persoonsgegevens-tussen overheidsinstanties-en--organen-binnen-en-b Source

Content

Richtsnoeren 2/2020 betreffende artikel 46, lid 2, punt a), en lid 3, punt b), van Verordening 2016/679 inzake doorgiften van persoonsgegevens tussen overheidsinstanties en overheidsorganen binnen en buiten de EER

Versie 2.0 Vastgesteld op 15 december 2020

Translations proofread by EDPB Members. This language version has not yet been proofread.

Versiegeschiedenis

Versie 2.0 15 december 2020 Vaststelling van de richtsnoeren na openbare raadpleging
Versie 1.0 18 februari 2020. Vaststelling van de richtsnoeren voor openbare raadpleging

Inhoudsopgave

1

General ............................................................................................................................................ 5

1.1 Purpose.................................................................................................................................... 5
1.2 General rules applicable to international transfers................................................................. 6
1.3 Definition of a public authority or body .................................................................................. 7
2 General Recommendations for the Appropriate Safeguards under both articles 46 (2) (a) and 46 (3) (b) GDPR................................................................................................................................ 7
2.1 Purpose and scope................................................................................................................... 8
2.2 Definitions................................................................................................................................ 8
2.3 Data protection principles ....................................................................................................... 8
2.3.1Purpose limitation principle ............................................................................................ 8
2.3.2Data accuracy and minimisation principles..................................................................... 9
2.3.3Storage limitation principle............................................................................................. 9 2.3.4Security and confidentiality of data .............................................................................. 10
2.4 Rights of the data subjects..................................................................................................... 10 2.4.1Right to Transparency ................................................................................................... 10
2.6 Sensitive data......................................................................................................................... 15 Redress mechanisms..............................................................................................................
2.9 15
information on article 46 GDPR ....................................................................................... 19
2.7
2.8 Supervision mechanisms........................................................................................................ 17
Termination clause ................................................................................................................ 18
3 Specific
3.1 Specific information on legally binding and enforceable instruments - Article 46 (2) (a) GDPR....................................................................................................................... 19 3.2 Specific information on administrative arrangements - Article 46 (3) (b) GDPR................... 19
4 Procedural questions..................................................................................................................... 22

Het Europees Comité voor gegevensbescherming

Gelet op artikel 70, lid 1, punt e), van Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (hierna 'AVG' genoemd),

Gelet op de EER-overeenkomst en in het bijzonder bijlage XI en protocol 37 van die overeenkomst, als gewijzigd bij Besluit nr. 154/2018 van het Gemengd Comité van de EER van 6 juli 2018 1 ,

Gelet op de artikelen 12 en 22 van zijn reglement van orde,

HEEFT DE VOLGENDE RICHTSNOEREN VASTGESTELD

1 Met 'lidstaten' worden in deze richtsnoeren de 'lidstaten van de EER' bedoeld.

1 ALGEMEEN

1.1 Doel

  1. In dit document worden richtsnoeren verstrekt betreffende de toepassing van artikel 46, lid 2, punt a), en lid 3, punt b), van de algemene verordening gegevensbescherming (AVG) inzake doorgiften van persoonsgegevens tussen overheidsinstanties of overheidsorganen (hierna samen 'overheidsorganen' genoemd) binnen de EER aan overheidsorganen in derde landen of aan internationale organisaties, voor zover daarop geen door de Europese Commissie vastgesteld adequaatheidsbesluit van toepassing is 2 . Overheidsorganen kunnen ervoor kiezen van deze mechanismen gebruik te maken, die volgens de AVG beter bij hun situatie passen, maar het staat hen ook vrij gebruik te maken van andere relevante instrumenten die de in artikel 46 AVG bedoelde passende waarborgen kunnen bieden.
  2. De richtsnoeren zijn bedoeld als aanwijzing voor de verwachtingen van het Europees Comité voor gegevensbescherming (hierna 'de EDPB' genoemd) betreffende de waarborgen die moeten worden geboden door een juridisch bindend en afdwingbaar instrument tussen overheidsorganen uit hoofde van artikel 46, lid 2, punt a), AVG of, onder voorbehoud van de toestemming van de bevoegde toezichthoudende autoriteit, door bepalingen die moeten worden opgenomen in administratieve regelingen tussen overheidsorganen uit hoofde van artikel 46, lid 3, punt b), AVG 3 . De EDPD beveelt de partijen sterk aan de richtsnoeren in een vroeg stadium te hanteren als referentie wanneer zij voornemens zijn dergelijke instrumenten of regelingen te sluiten of te wijzigen 4 .
  3. De richtsnoeren moeten worden gelezen in samenhang met andere, eerdere werkzaamheden van de EDPB (onder meer goedgekeurde documenten van zijn voorganger, de Groep gegevensbescherming artikel 29 5 ) betreffende de centrale kwesties over het territoriaal toepassingsgebied en de doorgifte van persoonsgegevens aan derde landen 6 . De richtsnoeren zullen worden herzien en indien nodig bijgewerkt, op basis van de praktische ervaring die wordt opgedaan bij de toepassing van de AVG.
  4. Deze richtsnoeren behandelen internationale doorgiften van gegevens tussen overheidsorganen die plaatsvinden om diverse redenen van administratieve samenwerking die binnen het toepassingsgebied van de AVG vallen. Bijgevolg en overeenkomstig artikel 2, lid 2, AVG, zijn ze niet bedoeld voor doorgiften op het gebied van openbare veiligheid, landsverdediging of staatsveiligheid. Bovendien behandelen deze richtsnoeren geen gegevensverwerking of doorgiften door bevoegde autoriteiten in het kader van het strafrecht, aangezien dit wordt geregeld aan de hand van een

2 Dat is bijvoorbeeld het geval voor Japanse overheidsorganen, waarop het adequaatheidsbesluit betreffende Japan niet van toepassing is aangezien dit uitsluitend betrekking heeft op organisaties in de particuliere sector.

3 In deze richtsnoeren wordt de term 'internationale overeenkomst' gebruikt voor juridisch bindende en afdwingbare instrumenten uit hoofde van artikel 46, lid 2, punt a), AVG en voor administratieve regelingen uit hoofde van artikel 46, lid 3, punt b), AVG.

afzonderlijk, specifiek instrument, de richtlijn gegevensbescherming bij rechtshandhaving 7 . Tot slot zijn de richtsnoeren uitsluitend gericht op doorgiften tussen overheidsorganen en behandelen ze dus geen doorgiften van persoonsgegevens van een overheidsorgaan naar een particuliere entiteit of van een particuliere entiteit naar een overheidsorgaan.

1.2 Algemene regels die van toepassing zijn op internationale doorgiften

  1. Overeenkomstig artikel 44 AVG moet degene die persoonsgegevens doorgeeft aan een derde land of een internationale organisatie voldoen aan hoofdstuk V AVG en daarnaast ook voldoen aan de voorwaarden die in de overige bepalingen van de AVG zijn vastgesteld. Elke verwerkingsactiviteit moet met name voldoen aan de beginselen inzake verwerking van persoonsgegevens in artikel 5 AVG, rechtmatig zijn overeenkomstig artikel 6 AVG en voldoen aan artikel 9 AVG als er sprake is van bijzondere categorieën van persoonsgegevens. Bijgevolg moet er een tweeledige test worden toegepast: ten eerste moet een rechtsgrondslag gelden voor de gegevensverwerking als zodanig, naast alle relevante bepalingen van de AVG, en ten tweede moeten de bepalingen van hoofdstuk V AVG worden nageleefd.
  2. In artikel 46 AVG wordt gespecificeerd: ' Bij ontstentenis van een besluit uit hoofde van artikel 45, lid 3, mag een doorgifte van persoonsgegevens aan een derde land of een internationale organisatie door een verwerkingsverantwoordelijke of een verwerker alleen plaatsvinden mits zij passende waarborgen bieden en betrokkenen over afdwingbare rechten en doeltreffende rechtsmiddelen beschikken'. Dergelijke passende waarborgen kunnen worden geboden aan de hand van een juridisch bindend en afdwingbaar instrument tussen overheidsorganen (artikel 46, lid 2, punt a), AVG) of, indien de bevoegde toezichthoudende autoriteit daarvoor toestemming geeft, door bepalingen die moeten worden opgenomen in administratieve regelingen tussen overheidsorganen, waaronder afdwingbare en effectieve rechten van betrokkenen (artikel 46, lid 3, punt b), AVG). Zoals het Hof van Justitie van de Europese Unie heeft verduidelijkt, moeten deze passende waarborgen kunnen verzekeren dat personen wier persoonsgegevens worden doorgegeven een beschermingsniveau genieten dat in grote lijnen overeenkomt met het binnen de EER gewaarborgde beschermingsniveau 8 .
  3. Naast deze oplossing en bij ontstentenis ervan biedt artikel 49 AVG ook een beperkt aantal specifieke situaties waarin internationale gegevensdoorgiften mogen plaatsvinden wanneer de Europese Commissie geen adequaatheidsbesluit heeft vastgesteld 9 . Eén afwijking in het bijzonder betreft doorgiften die noodzakelijk zijn wegens gewichtige redenen van openbaar belang, waarbij dat openbaar belang moet zijn erkend bij een Unierechtelijke of lidstaatrechtelijke bepaling die op de verwerkingsverantwoordelijke van toepassing is, ook in een geest van wederkerigheid op het gebied van internationale samenwerking 10 . Zoals toegelicht in eerdere richtsnoeren van de EDPB moeten de afwijkingen waarin artikel 49 AVG voorziet restrictief worden geïnterpreteerd en houden zij voornamelijk verband met incidentele en niet-repetitieve doorgiften 11 .

8 Hof van Justitie van de Europese Unie, zaak C-311/18, Data Protection Commissioner tegen Facebook Ireland en Maximillian Schrems ('Schrems II'), punt 96.

1.3 Definitie van een overheidsinstantie of overheidsorgaan

  1. In de AVG wordt geen definitie van een 'overheidsinstantie of overheidsorgaan' gegeven. De EDPB is van mening dat dit concept breed is opgevat en zowel overheidsorganen in derde landen als internationale organisaties bestrijkt 12 . Wat overheidsorganen in derde landen betreft, moet het concept worden vastgesteld uit hoofde van het interne recht. Overheidsorganen omvatten dienovereenkomstig regeringsinstanties op verschillende niveaus (bv. nationale, regionale en lokale overheden), maar kunnen ook andere publiekrechtelijke organen omvatten (bv. uitvoerende agentschappen, universiteiten, ziekenhuizen enz.) 13 . Volgens artikel 4, punt 26, AVG is een 'internationale organisatie' een organisatie en de daaronder vallende internationaalpubliekrechtelijke organen of andere organen die zijn opgericht bij of op grond van een overeenkomst tussen twee of meer landen.
  2. De EDPB stipt aan dat de toepassing van de AVG de bepalingen van het internationaal recht onverlet laat; zo ook de bepalingen betreffende de voorrechten en immuniteiten van internationale organisaties. Tegelijkertijd moet erop worden gewezen dat elk overheidsorgaan in de EER dat gegevens doorgeeft aan internationale organisaties zich moet houden aan de voorschriften van de AVG inzake doorgiften aan derde landen of internationale organisaties 14 .

2 ALGEMENE AANBEVELINGEN VOOR DE PASSENDE WAARBORGEN UIT HOOFDE VAN ARTIKEL 46, LID 2, PUNT a) EN LID 3, PUNT b), AVG

  1. In tegenstelling tot artikel 26, lid 2, van Richtlijn 95/46/EG voorziet artikel 46 AVG in aanvullende passende waarborgen als instrumenten voor de doorgiften tussen overheidsorganen:
  2. (i) een juridisch bindend en afdwingbaar instrument, artikel 46, lid 2, punt a), AVG; of
  3. (ii) bepalingen die moeten worden opgenomen in administratieve regelingen, artikel 46, lid 3, punt b), AVG.

Deze instrumenten en regelingen kunnen bilateraal of multilateraal zijn.

  1. In het volgende hoofdstuk worden enkele algemene aanbevelingen verstrekt die er mede voor kunnen zorgen dat juridisch bindende instrumenten of administratieve regelingen (hierna 'internationale overeenkomsten' genoemd) tussen overheidsorganen in overeenstemming zijn met de AVG.
  2. Hoewel artikel 46 en overweging 108 van de AVG geen specifieke aanwijzingen geven over de waarborgen die in dergelijke internationale overeenkomsten opgenomen moeten worden, heeft de EDPB, rekening houdend met artikel 44 AVG 15 en met recente rechtspraak van het Hof van Justitie 16 ,

12 Zie ook overweging 108 van de AVG.

15 Artikel 44 AVG luidt: 'Alle bepalingen van dit hoofdstuk worden toegepast opdat het door deze verordening voor natuurlijke personen gewaarborgde beschermingsniveau niet wordt ondermijnd.'

een lijst samengesteld van minimale waarborgen die moeten worden opgenomen in internationale overeenkomsten tussen overheidsorganen die vallen onder artikel 46, lid 2, punt a) of lid 3, punt b), AVG. Die waarborgen moeten ervoor zorgen dat het beschermingsniveau van natuurlijke personen uit hoofde van de AVG niet wordt ondermijnd wanneer hun persoonsgegevens naar een land buiten de EER worden doorgegeven en dat de betrokkenen een beschermingsniveau krijgen dat in grote lijnen overeenkomt met het beschermingsniveau dat binnen de EU door de AVG wordt gewaarborgd 17 .

  1. Volgens recente rechtspraak van het Hof van Justitie 18 behoort het tot de verantwoordelijkheid van het overheidsorgaan in een lidstaat dat de gegevens doorgeeft, zo nodig met de hulp van het overheidsorgaan dat de gegevens ontvangt, om te beoordelen of het door het EU-recht vereiste beschermingsniveau in het derde land wordt geëerbiedigd om te kunnen bepalen of de lijst met waarborgen die in de internationale overeenkomst zijn opgenomen in de praktijk kunnen worden nageleefd, rekening houdend met de mogelijke inmenging van het rechtsstelsel van dat derde land in de naleving van die waarborgen.
  2. In dit verband moet ook worden opgemerkt dat de waarborgen die in deze richtsnoeren zijn opgenomen sterker zijn als de internationale overeenkomsten voortbouwen op reeds bestaande elementen in het intern recht van een derde land of het interne reglement/regelgevingskader van een internationale organisatie.

2.1 Doel en toepassingsgebied

  1. Het toepassingsgebied van internationale overeenkomsten moet worden omschreven en de doelstellingen ervan moeten uitdrukkelijk en specifiek worden vastgelegd. Bovendien moeten de betrokken categorieën van persoonsgegevens duidelijk worden vermeld, evenals het soort verwerking van de persoonsgegevens die in het kader van de overeenkomst worden doorgegeven en verwerkt.

2.2 Definities

  1. Internationale overeenkomsten moeten definities van de basisbegrippen en rechten betreffende persoonsgegevens bevatten die van belang zijn voor de overeenkomst in kwestie. Een en ander moet stroken met de AVG. Dergelijke overeenkomsten moeten bijvoorbeeld, als daarnaar verwezen wordt, de volgende belangrijke definities bevatten: 'persoonsgegevens', 'verwerking van persoonsgegevens', 'verwerkingsverantwoordelijke', 'verwerker', 'ontvanger' en 'gevoelige gegevens'.

2.3 Beginselen inzake gegevensbescherming

  1. Internationale overeenkomsten moeten specifieke formuleringen bevatten waarmee wordt geëist dat de kernbeginselen inzake gegevensbescherming door beide partijen worden gewaarborgd.

2.3.1 Doelbindingsbeginsel

  1. In internationale overeenkomsten moeten de doeleinden zijn opgenomen waarvoor de persoonsgegevens zullen worden doorgegeven en verwerkt, met inbegrip van verenigbare doeleinden voor verdere verwerking. Daarnaast moet worden gewaarborgd dat de gegevens niet verder zullen worden verwerkt voor onverenigbare doeleinden. Verenigbare doeleinden zijn bijvoorbeeld opslag

18 Idem.

met het oog op archivering in het openbaar belang of verwerking met het oog op wetenschappelijk of historisch onderzoek of voor statistische doeleinden. Om meer duidelijkheid te scheppen, wordt aanbevolen om de specifieke doeleinden van de verwerking en doorgifte van de gegevens te vermelden in de internationale overeenkomst zelf.

  1. Om het risico van 'doelverschuiving' te voorkomen, moeten dergelijke overeenkomsten ook aangeven dat de doorgegeven gegevens niet mogen worden gebruikt voor andere doeleinden dan degene die uitdrukkelijk in de overeenkomst zijn vermeld, tenzij wanneer er wordt gehandeld zoals uiteengezet in het volgende punt.
  2. Als beide partijen bij de internationale overeenkomst het overheidsorgaan dat de gegevens ontvangt toelating willen geven om een ander verenigbaar gebruik te maken van de doorgegeven persoonsgegevens, is verder gebruik door het overheidsorgaan dat de gegevens ontvangt uitsluitend toegestaan als dit verenigbaar is met het oorspronkelijke gebruik en als dit vooraf is meegedeeld aan het overheidsorgaan dat de gegevens doorgeeft en dat hier om welbepaalde redenen tegen gekant kan zijn.

2.3.2 De beginselen 'juistheid' en 'gegevensminimalisering'

  1. In de internationale overeenkomst moet zijn vermeld dat de doorgegeven en verder verwerkte gegevens toereikend zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden doorgegeven en verder verwerkt.
  2. In de praktijk is dit gegevensminimaliseringsbeginsel belangrijk om te voorkomen dat persoonsgegevens worden doorgegeven wanneer zij ontoereikend of buitensporig zijn.
  3. Bovendien moeten de gegevens juist en up-to-date zijn, gelet op de doeleinden waarvoor zij worden verwerkt. Een internationale overeenkomst moet dan ook bepalen dat de partij die de gegevens doorgeeft zal garanderen dat de persoonsgegevens die in het kader van de overeenkomst worden doorgegeven juist en, waar van toepassing, up-to-date zijn. Bovendien moet in de overeenkomst zijn bepaald dat, als een van de partijen te weten komt dat er onjuiste of verouderde gegevens werden doorgegeven of worden verwerkt, deze partij de andere daarvan onverwijld over moet inlichten. Tot slot moet de overeenkomst waarborgen dat, wanneer bevestigd is dat de gegevens die werden doorgegeven of worden verwerkt onjuist zijn, elke partij die de gegevens verwerkt alle redelijke maatregelen zal treffen om de informatie te corrigeren of te wissen.

2.3.3 Opslagbeperkingsbeginsel

  1. De partijen moeten ervoor zorgen dat de internationale overeenkomst een clausule in verband met de gegevensbewaring bevat. In die clausule moet specifiek zijn opgenomen dat de persoonsgegevens niet voor onbepaalde tijd zullen worden bewaard, maar dat zij slechts gedurende de periode die noodzakelijk is voor de doeleinden waarvoor de gegevens werden doorgegeven en vervolgens verwerkt, worden bijgehouden in een vorm die het mogelijk maakt de betrokkenen te identificeren. Dit kan betekenen dat de gegevens worden opgeslagen zolang zij nodig zijn met het oog op archivering in het openbaar belang of met het oog op wetenschappelijk of historisch onderzoek of voor statistische doeleinden, op voorwaarde dat er passende technische en organisatorische maatregelen zijn getroffen waarmee de rechten en vrijheden van de betrokkenen worden gewaarborgd, zoals aanvullende technische maatregelen (bv. veiligheidsmaatregelen, pseudonimisering) en toegangsbeperkingen. Wanneer er nog geen maximale bewaringsperiode is vastgelegd in het interne recht van een land of in

het interne reglement/regelgevingskader van een internationale organisatie, moet die maximale bewaringsperiode worden vastgelegd in de tekst van de overeenkomst.

2.3.4 Veiligheid en vertrouwelijkheid van de gegevens

  1. De partijen moeten zich ertoe verbinden de veiligheid en vertrouwelijkheid van de persoonsgegevensverwerking en -doorgiften die zij uitvoeren te zullen garanderen.

De partijen moeten met name verzekeren dat zij passende technische en organisatorische maatregelen hebben getroffen om de persoonsgegevens te beschermen tegen accidentele of onrechtmatige toegang, vernietiging, verlies, wijziging of ongeoorloofde verstrekking van de gegevens. Deze maatregelen kunnen bijvoorbeeld versleuteling zijn, ook tijdens de doorgifte, pseudonimisering, de markering van informatie als persoonsgegevens die vanuit de EER worden doorgegeven, de beperking van wie toegang heeft tot de persoonsgegevens, voorzien in veilige opslag van persoonsgegevens of beleidsmaatregelen uitvoeren die bedoeld zijn om ervoor te zorgen dat de veiligheid en vertrouwelijkheid van de persoonsgegevens gehandhaafd blijft.

Het beveiligingsniveau moet worden bepaald met inachtneming van de risico's, de stand van de techniek en de bijbehorende kosten.

  1. In de internationale overeenkomst kan voorts worden bepaald dat, als een van de partijen op de hoogte is van een inbreuk in verband met de persoonsgegevens, deze de andere partij(en) daarvan zo spoedig mogelijk op de hoogte zal brengen en dat zij redelijke en passende middelen zal gebruiken om de inbreuk in verband met de persoonsgegevens te verhelpen en de mogelijke negatieve gevolgen ervan zoveel mogelijk zal indijken, onder meer door de betrokkene onverwijld te laten weten dat die inbreuk zich heeft voorgedaan, wanneer die inbreuk naar alle waarschijnlijkheid zal leiden tot een hoog risico voor de rechten en vrijheden van de betrokken natuurlijke persoon.

Aanbevolen wordt om het tijdschema voor de kennisgeving van een inbreuk in verband met persoonsgegevens en de procedures waarmee de betrokkene daarover wordt ingelicht in de internationale overeenkomst vast te stellen.

2.4 Rechten van de betrokkenen

  1. De internationale overeenkomst moet voorzien in afdwingbare rechten en doeltreffende rechtsmiddelen voor de betrokkenen, zoals bepaald in artikel 46, lid 1, en overweging 108 van de AVG.
  2. De rechten waarover de betrokkenen beschikken, met inbegrip van de specifieke toezeggingen die de partijen hebben gedaan om in die rechten te voorzien, moeten in de overeenkomst zijn opgenomen. Om doeltreffend te zijn, moet de internationale overeenkomst voorzien in mechanismen die de toepassing ervan in de praktijk garanderen. Bovendien moet voor elke inbreuk op de rechten van een betrokkene een passend rechtsmiddel kunnen worden ingeroepen.

2.4.1 Recht op transparantie

  1. De partijen moeten ervoor zorgen dat in de internationale overeenkomst de transparantieverplichtingen van de partijen in duidelijke bewoordingen beschreven zijn.
  2. Die verplichtingen moeten enerzijds een algemene informatieve mededeling bevatten waarin op zijn minst informatie wordt gegeven over de manier waarop en de reden(en) waarom de

overheidsorganen de persoonsgegevens kunnen verwerken en doorgeven, het desbetreffende instrument dat voor de doorgifte wordt gebruikt, de entiteiten waaraan die gegevens kunnen worden doorgegeven, de rechten waarover de betrokkenen beschikken en de toepasselijke beperkingen, de beschikbare verhaalmechanismen en contactgegevens voor het melden van een geschil of het indienen van een claim.

  1. Het is echter belangrijk hierbij aan te stippen dat, voor het overheidsorgaan dat de doorgifte uitvoert, een algemene informatieve vermelding op de website van dat overheidsorgaan niet zal volstaan. Het overheidsorgaan dat de doorgifte verricht, moet individuele informatie aan de betrokkenen bezorgen overeenkomstig de kennisgevingsvoorschriften die zijn bepaald in de artikelen 13 en 14 AVG 19 .

De internationale overeenkomst kan ook voorzien in bepaalde uitzonderingen op dergelijke individuele informatieverstrekking. Die uitzonderingen zijn beperkt en moeten overeenstemmen met de uitzonderingen waarin artikel 14, lid 5, AVG voorziet, bijvoorbeeld wanneer de betrokkene reeds over de informatie beschikt of wanneer het verstrekken van die informatie onmogelijk blijkt of onevenredig veel inspanningen zou vergen.

  1. De partijen moeten zich ertoe verbinden de internationale overeenkomst op verzoek aan de betrokkenen beschikbaar te zullen stellen en de internationale overeenkomst of de bepalingen waarin wordt voorzien in passende waarborgen openbaar te zullen maken op hun website. De tekst van de internationale overeenkomst mag, voordat een exemplaar ervan wordt verstrekt of voordat zij openbaar wordt gemaakt, zo worden geredigeerd dat gevoelige of andere vertrouwelijke informatie niet wordt vrijgegeven. Wanneer dat nodig is om de inhoud van de internationale overeenkomst inzichtelijk te maken voor de betrokkene, moeten de partijen daarvan een betekenisvolle samenvatting geven.

2.4.2 Recht op inzage, rectificatie, wissing en beperking van de verwerking en recht van bezwaar

  1. De internationale overeenkomst moet het recht van betrokkene waarborgen op informatie over en inzage in alle hem/haar betreffende persoonsgegevens die worden verwerkt alsook zijn/haar recht op rectificatie, wissing en beperking van de verwerking en, waar relevant, recht om bezwaar te maken tegen de gegevensverwerking vanwege redenen die met zijn of haar specifieke situatie verband houden.
  2. Wat het recht op inzage betreft, moet in de internationale overeenkomst worden vermeld dat personen ten aanzien van het ontvangende overheidsorgaan het recht hebben uitsluitsel te verkrijgen over het al dan niet verwerken van hen betreffende persoonsgegevens en, wanneer dat het geval is, om inzage te verkrijgen in die persoonsgegevens, alsook toegang tot specifieke informatie betreffende de verwerking, met inbegrip van de verwerkingsdoeleinden, de betrokken categorieën van persoonsgegevens, de ontvangers aan wie de persoonsgegevens worden verstrekt, de termijn gedurende welke de persoonsgegevens naar verwachting zullen worden opgeslagen en mogelijkheden om verhaal te halen.
  3. De overeenkomst moet voorts vermelden wanneer deze rechten kunnen worden ingeroepen en een beschrijving bevatten van de wijze waarop de betrokkenen deze rechten kunnen uitoefenen jegens beide partijen en van de wijze waarop de partijen op dergelijke verzoeken zullen ingaan. Wat wissing

betreft, kan in de internationale overeenkomst bijvoorbeeld worden vermeld dat de gegevens moeten worden gewist wanneer de informatie onrechtmatig werd verwerkt of niet langer noodzakelijk is voor de verwerking. Bovendien moet in de internationale overeenkomst worden bepaald dat de partijen tijdig en op redelijke wijze zullen antwoorden op verzoeken van betrokkenen. In de internationale overeenkomst kan ook worden vermeld dat de partijen passende maatregelen zullenkunnen treffen, zoals het aanrekenen van een redelijke vergoeding voor administratiekosten wanneer verzoeken van een betrokkene kennelijk ongegrond of buitensporig zijn, met name vanwege het repetitieve karakter ervan.

  1. De internationale overeenkomst moet ook een verplichting toewijzen aan het overheidsorgaan dat de gegevens doorgeeft, om aan de betrokkene, zodra diens persoonsgegevens zijn doorgegeven, onverwijld en binnen een vastgestelde passende termijn (bv. één maand) informatie te verstrekken over het gevolg dat is gegeven aan haar/zijn verzoek op grond van de rechten waarin de internationale overeenkomst voorziet. Tot slot moet, als de partijen geen gevolg geven aan het verzoek van de betrokkene, onverwijld en binnen een vastgestelde passende termijn (bv. binnen één maand na ontvangst van het verzoek) worden meegedeeld waarom het verzoek zonder gevolg is gebleven en moet er informatie worden gegeven over de mogelijkheid om een klacht in te dienen en beroep bij de rechter in te stellen.
  2. De internationale overeenkomst kan ook voorzien in bepaalde uitzonderingen op deze rechten. Zo kunnen er bijvoorbeeld uitzonderingen worden bepaald voor het recht op inzage en wissing, zoals de uitzonderingen waarin bij artikel 15, lid 4, en artikel 17, lid 3, AVG is voorzien. Evenzo kunnen uitzonderingen op individuele rechten worden bepaald wanneer persoonsgegevens worden verwerkt met het oog op wetenschappelijk of historisch onderzoek, voor statistische doeleinden of met het oog op archivering, voor zover die rechten de verwezenlijking van die specifieke doeleinden wellicht onmogelijk zouden maken of sterk zouden belemmeren en op voorwaarde dat er passende waarborgen zijn getroffen (bv. technische en organisatorische maatregelen, met inbegrip van pseudonimisering). Tot slot kan in de overeenkomst worden bepaald dat de partijen mogen weigeren gevolg te geven aan een verzoek dat overduidelijk ongegrond of buitensporig is.

2.4.3 Geautomatiseerde individuele besluitvorming

  1. Indien dit relevant is voor de overeenkomst in kwestie moeten internationale overeenkomsten als algemeen beginsel een clausule bevatten waarin is vermeld dat het ontvangende overheidsorgaan geen besluit zal nemen dat uitsluitend gebaseerd is op geautomatiseerde individuele besluitvorming, waaronder profilering, waaraan voor de betrokkene in kwestie rechtsgevolgen zijn verbonden of dat hem/haar anderszins in aanmerkelijke mate treft. Wanneer het doeleinde van de doorgifte de mogelijkheid bevat dat het ontvangende overheidsorgaan besluiten neemt die uitsluitend zijn gebaseerd op geautomatiseerde verwerking in de zin van artikel 22 AVG, mag dit uitsluitend gebeuren onder bepaalde voorwaarden die in de internationale overeenkomst worden uiteengezet, zoals de noodzaak om de uitdrukkelijke toestemming van de betrokkene te krijgen. Als het besluit niet aan die voorwaarden voldoet, moet de betrokkene het recht hebben om niet aan die verwerking te worden onderworpen. Wanneer volgens de internationale overeenkomst geautomatiseerde individuele besluitvorming is toegestaan, moeten in die overeenkomst in elk geval de nodige waarborgen zijn opgenomen, onder meer het recht op informatie over de specifieke redenen en de logica die aan het besluit ten grondslag liggen, het recht om onjuiste of onvolledige informatie te corrigeren, het recht om het besluit aan te vechten en het recht op menselijke tussenkomst.

2.4.4 Recht op verhaal

  1. De gewaarborgde rechten van de betrokkene moeten afdwingbaar en effectief zijn. Dit betekent dat de betrokkene toegang moet hebben tot verhaalmiddelen. In de delen 2.7 en 3 staan verschillende voorbeelden van manieren om een verhaalmechanisme aan te bieden.

2.4.5 Beperkingen op de rechten van de betrokkenen

  1. De internationale overeenkomst kan ook voorzien in bepaalde beperkingen op de rechten van betrokkenen. Deze beperkingen moeten stroken met de beperkingen beoogd in artikel 23 AVG. Een dergelijke beperking moet een noodzakelijke en evenredige maatregel zijn in een democratische samenleving ter waarborging van belangrijke doelstellingen van openbaar belang, overeenkomstig de doelstellingen die zijn opgesomd in artikel 23, lid 1, AVG, onder meer de rechten en vrijheden van anderen, nationale veiligheid, landsverdediging of de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten. Zij moet bij wet zijn vastgesteld of, als er sprake is van internationale organisaties, in de toepasselijke interne reglementering of het toepasselijke regelgevingskader zijn vastgelegd en mag uitsluitend gelden zolang de reden voor de beperking blijft bestaan.

2.5 Beperkingen op verdere doorgiften en het delen van gegevens (met inbegrip van bekendmaking en toegang voor de overheid)

  1. Verdere doorgiften door het ontvangende overheidsorgaan of de ontvangende internationale organisatie aan ontvangers die niet door de overeenkomst gebonden zijn, moeten in de regel specifiek uitgesloten worden door de internationale overeenkomst. Afhankelijk van het onderwerp en de specifieke omstandigheden kunnen de partijen het noodzakelijk achten om verdere doorgiften toe te staan. In dat geval moet de internationale overeenkomst, mits het doelbindingsbeginsel geëerbiedigd wordt 20 , erin voorzien dat dergelijke verdere doorgiften uitsluitend kunnen plaatsvinden op voorwaarde dat het overheidsorgaan dat de gegevens doorgeeft vooraf zijn uitdrukkelijke toestemming heeft gegeven en dat de ontvangende derde partij zich ertoe verbindt dezelfde beginselen inzake gegevensbescherming en dezelfde waarborgen te eerbiedigen als de beginselen en waarborgen die in de internationale overeenkomst zijn opgenomen. Dit moet een verbintenis omvatten dat aan de betrokkenen dezelfde rechten en waarborgen inzake gegevensbescherming wordt geboden als bepaald in de internationale overeenkomst om te garanderen dat het beschermingsniveau niet wordt verlaagd als de gegevens verder worden doorgegeven.
  2. In de regel moeten dezelfde waarborgen als voor verdere doorgiften gelden voor het delen van persoonsgegevens binnen hetzelfde land, d.w.z. dat de internationale overeenkomst dit verder delen moet uitsluiten en dat uitzonderingen in het algemeen maar toegestaan mogen zijn als het overheidsorgaan dat de gegevens doorgeeft vooraf zijn uitdrukkelijke toestemming heeft gegeven en dat de ontvangende derde partijen zich ertoe verbinden dezelfde beginselen inzake gegevensbescherming en dezelfde waarborgen te eerbiedigen als de beginselen en waarborgen die in de internationale overeenkomst zijn opgenomen.
  3. Aanbevolen wordt dat het ontvangende overheidsorgaan of de ontvangende internationale organisatie, alvorens de uitdrukkelijke toestemming te vragen van het overheidsorgaan dat de gegevens doorgeeft, voldoende informatie verstrekt over het soort persoonsgegevens dat het/zij voornemens is door te geven/te delen, de redenen en doeleinden die volgens hem/haar de doorgifte/het delen van de persoonsgegevens noodzakelijk maken en, als er sprake is van verdere

20 Zie hierboven onder 2.3.1.

  • doorgiften, de landen of internationale organisaties waaraan het/zij de persoonsgegevens verder denkt te zullen doorgeven zodat het mogelijk is de wetgeving van het derde land of, als er sprake is van internationale organisaties, de toepasselijke interne reglementering of het toepasselijke regelgevingskader te beoordelen.
  1. Indien het noodzakelijk is het uitwisselen van persoonsgegevens met een derde partij in hetzelfde land van het ontvangende overheidsorgaan of een andere internationale organisatie toe te staan, zou het delen van die persoonsgegevens in specifieke omstandigheden kunnen worden toegestaan ofwel met de voorafgaande en uitdrukkelijke toelating van het overheidsorgaan dat de gegevens doorgeeft, ofwel zolang als de ontvangende derde partij een bindende toezegging heeft gedaan om de in de internationale overeenkomst opgenomen beginselen en waarborgen te eerbiedigen.
  2. Bovendien zou de internationale overeenkomst uitzonderlijke omstandigheden kunnen bepalen waarin de verdere uitwisseling van de persoonsgegevens zou kunnen plaatsvinden zonder voorafgaande toestemming of zonder de bovenvermelde verbintenissen overeenkomstig de afwijkingen die worden opgesomd in artikel 49 AVG, bijvoorbeeld wanneer dit noodzakelijk zou zijn voor de bescherming van de vitale belangen van de betrokkene of van anderen of voor de instelling, uitoefening of onderbouwing van een rechtsvordering. Dergelijke uitzonderlijke omstandigheden zouden zich ook kunnen voordoen indien de verdere uitwisseling van de persoonsgegevens vereist is volgens het recht van de ontvangende partij, voor zover dit noodzakelijk is voor direct daarmee verband houdende gerechtelijke onderzoeken/procedures.
  3. In de gevallen die in de bovenstaande alinea worden genoemd, moet in de internationale overeenkomst duidelijk worden vermeld in welke specifieke en uitzonderlijke omstandigheden die gegevensuitwisseling is toegestaan. Het overheidsorgaan dat of de internationale organisatie die de persoonsgegevens ontvangt moet ook verplicht worden het overheidsorgaan dat de persoonsgegevens doorgeeft vooraf op de hoogte te brengen van de verdere doorgifte en informatie op te nemen over de uitgewisselde gegevens, de ontvangende derde partij en de rechtsgrondslag voor de gegevensuitwisseling. Het overheidsorgaan dat de persoonsgegevens doorgeeft moet op zijn beurt dergelijke kennisgevingen van het ontvangende overheidsorgaan of de ontvangende internationale organisatie bijhouden en deze informatie op verzoek kunnen verstrekken aan zijn toezichthoudende autoriteit. Wanneer het verstrekken van die kennisgeving voordat de gegevens worden uitgewisseld van invloed is op de bij wet opgelegde vertrouwelijkheidsverplichtingen, bv. om de geheimhouding van een onderzoek te bewaren, moet de specifieke informatie zo spoedig mogelijk na de uitwisseling worden verstrekt. In een dergelijk geval moet algemene informatie over het soort verzoeken dat gedurende een specifieke periode werd ontvangen, met inbegrip van informatie over de opgevraagde gegevenscategorieën, het orgaan dat de gegevens heeft opgevraagd en de rechtsgrondslag voor bekendmaking, op regelmatige tijdstippen worden bezorgd aan het orgaan dat de gegevens doorgeeft.
  4. In alle bovenvermelde scenario's mogen in de internationale overeenkomst alleen bekendmakingen van persoonsgegevens worden toegestaan aan andere overheidsorganen in het derde land van het ontvangende overheidsorgaan die niet verder gaan dan wat in een democratische samenleving noodzakelijk en evenredig is ter waarborging van belangrijke doelstellingen van openbaar belang die overeenstemmen met de doelstellingen die worden opgesomd in artikel 23, lid 1, AVG en overeenkomstig de rechtspraak van het Hof van Justitie. Om een mogelijke toegang met het oog op toezicht door overheidsorganen uit derde landen te beoordelen, moet het overheidsorgaan dat de gegevens doorgeeft rekening houden met de elementen die worden aangestipt in de vier Europese

essentiële garanties 21 . Deze omvatten de beschikbaarheid van doeltreffende voorzieningen in rechte voor betrokkenen in het derde land van het ontvangende overheidsorgaan indien overheidsorganen zich toegang verschaffen tot hun persoonsgegevens 22 . Wanneer er sprake is van doorgiften aan internationale organisaties, moet dergelijke toegang altijd in overeenstemming zijn met het internationaal recht en met name de voorrechten en immuniteiten van de internationale organisatie onverlet laten.

  1. Naargelang het geval kan het nuttig zijn te eisen dat er bij de internationale overeenkomst een bijlage wordt gevoegd waarin de wetten zijn opgesomd die de verdere uitwisseling, ook met het oog op toezicht, met andere overheidsorganen regelen in het land van bestemming. Alle wijzigingen aan deze bijlage moeten binnen een bepaalde termijn worden gemeld aan de partij die de gegevens doorgeeft.

2.6 Gevoelige gegevens

  1. Als een internationale overeenkomst voorziet in de doorgifte van gevoelige persoonsgegevens in de zin van artikel 9, lid 1, AVG, moeten er bijkomende waarborgen worden opgenomen die de specifieke risico's aanpakken en die moeten worden toegepast door het overheidsorgaan dat of de internationale organisatie die de gegevens ontvangt. Die waarborgen kunnen bijvoorbeeld beperkingen omvatten zoals inzagebeperkingen, beperkingen van de doeleinden waarvoor de gegevens mogen worden verwerkt, beperkingen op verdere doorgifte enz. of specifieke waarborgen, bijvoorbeeld bijkomende veiligheidsmaatregelen waarbij het personeel dat toegang krijgt tot deze gegevens een gespecialiseerde opleiding moet hebben gevolgd.

2.7 Verhaalmechanismen

  1. Teneinde afdwingbare en effectieve rechten van betrokkenen te garanderen, moet de internationale overeenkomst voorzien in een systeem waarbij de betrokkenen een beroep kunnen blijven doen op verhaalmechanismen nadat hun gegevens zijn doorgegeven aan een niet-EER-lidstaat of een internationale organisatie. Deze verhaalmechanismen moeten personen die worden geconfronteerd met niet-naleving van de bepalingen van het gekozen instrument een beroepsmogelijkheid bieden en betrokkenen van wie de persoonsgegevens vanuit de EER werden doorgegeven dus de mogelijkheid bieden om een klacht in te dienen over dergelijke niet-naleving en deze klacht te laten behandelen. Met name moet ervoor worden gezorgd dat de betrokkene zijn of haar klacht op doeltreffende wijze kan voorleggen aan de overheidsorganen die partij zijn bij de internationale overeenkomst en (onmiddellijk of nadat de desbetreffende partij werd aangesproken) kan voorleggen aan een onafhankelijk toezichtsmechanisme. In beginsel moet er bovendien een voorziening in rechte beschikbaar zijn.

  2. Ten eerste moet het ontvangende overheidsorgaan zich ertoe verbinden een mechanisme in te stellen waarmee het de klachten van betrokkenen in verband met de naleving van de overeengekomen waarborgen inzake gegevensbescherming doeltreffend en tijdig zal behandelen en oplossen. Bovendien moeten betrokkenen beschikken over de mogelijkheid om doeltreffend administratief verhaal te halen voor een onafhankelijk toezichtsorgaan, met inbegrip van, waar dit beschikbaar is, een onafhankelijke gegevensbeschermingsautoriteit 23 .

  3. Ten tweede moet de overeenkomst een voorziening in rechte mogelijk maken, met inbegrip van schadevergoeding - voor zowel materiële als immateriële schade - ten gevolge van de onrechtmatige verwerking van de persoonsgegevens. Als het niet mogelijk is een doeltreffende voorziening in rechte te garanderen, bijvoorbeeld wegens beperkingen in het interne recht of wegens de specifieke status van het ontvangende overheidsorgaan, bv. internationale organisaties, moet de internationale overeenkomst in alternatieve waarborgen voorzien. Deze alternatieve waarborgen moeten de betrokkene garanties bieden die in grote lijnen overeenkomen met de waarborgen die worden vereist volgens artikel 47 van het Handvest van de grondrechten van de Europese Unie (EUHandvest) 24 .

  4. In dat geval zou met de internationale overeenkomst een structuur kunnen worden opgezet die de betrokkene in staat stelt zijn of haar rechten af te dwingen buiten de rechtbank, bijvoorbeeld via quasirechterlijke, bindende mechanismen zoals arbitrage of alternatieve geschillenbeslechtingsmechanismen zoals bemiddeling, die een onafhankelijke beoordeling zouden garanderen en bindend zouden zijn voor het ontvangende overheidsorgaan 25 . Bovendien zou het overheidsorgaan dat de persoonsgegevens doorgeeft zich kunnen verbinden tot aansprakelijkheid voor schadevergoeding ten gevolge van de onrechtmatige verwerking van de persoonsgegevens die uit door de onafhankelijke toetsing blijken.

Uitzonderlijk zouden andere, evenzeer onafhankelijke en doeltreffende verhaalmechanismen door de overeenkomst ingesteld kunnen worden, bijvoorbeeld doeltreffende verhaalmechanismen die door internationale organisaties worden uitgevoerd.

  1. Voor alle bovenvermelde verhaalmechanismen moet de internationale overeenkomst voor de partijen de verplichting omvatten dat zij elkaar op de hoogte zullen brengen van de resultaten van de procedures, met name indien een klacht van een persoon wordt afgewezen of niet wordt opgelost.
  2. Het verhaalmechanisme moet worden gecombineerd met de mogelijkheid voor het overheidsorgaan dat de gegevens doorgeeft om de doorgifte van persoonsgegevens in het kader van de internationale overeenkomst op te schorten of te beëindigen wanneer de partijen er niet in slagen een minnelijke schikking te treffen in verband met het geschil totdat het overheidsorgaan van mening is dat de kwestie op bevredigende wijze is behandeld door het ontvangende overheidsorgaan. Die opschorting of beëindiging moet, als zij wordt uitgevoerd, vergezeld gaan van een verbintenis vanwege het ontvangende overheidsorgaan dat dit de persoonsgegevens zal terugzenden of verwijderen. Het overheidsorgaan dat de gegevens doorgeeft, moet de opschorting of beëindiging melden aan de bevoegde nationale toezichthoudende autoriteit.

Commissioner tegen Facebook Ireland en Maximillian Schrems ('Schrems II'), punt 96, punt 186 e.v.

2.8 Toezichtsmechanismen

  1. Om te garanderen dat is voldaan aan alle uit hoofde van de internationale overeenkomst gecreëerde verplichtingen moet de internationale overeenkomst voorzien in onafhankelijk toezicht aan de hand waarvan de correcte toepassing van de overeenkomst wordt gecontroleerd en verstoringen van de rechten waarin door de overeenkomst is voorzien worden gemonitord.
  2. Ten eerste moet de overeenkomst voorzien in intern toezicht met behulp waarvan de naleving van de overeenkomst wordt gewaarborgd. Elke partij bij de overeenkomst moet periodieke interne controles verrichten van de vastgestelde procedures en van de doeltreffende toepassing van de waarborgen waarin de overeenkomst voorziet. Tijdens de periodieke interne controles moet ook worden nagegaan of er in de wetgeving wijzigingen zijn aangebracht die zouden voorkomen dat de partij(en) zich houdt/houden aan de beginselen inzake gegevensbescherming en de waarborgen die in de internationale overeenkomst zijn opgenomen. Bovendien kan worden bepaald dat een partij bij de overeenkomst ook van een andere partij bij de overeenkomst kan verlangen dat deze een dergelijke beoordeling verricht. In de internationale overeenkomst moet zijn bepaald dat de partijen moeten reageren op vragen van de andere partij betreffende de doeltreffende toepassing van de waarborgen in de overeenkomst. Elke partij die een beoordeling verricht, moet de resultaten van de controles meedelen aan de andere partij(en) bij de overeenkomst. Idealiter moet een dergelijke kennisgeving ook worden gericht aan het onafhankelijke toezichtsmechanisme dat de overeenkomst regelt.
  3. Bovendien moet in de internationale overeenkomst de verplichting zijn opgenomen dat een partij de andere partij onverwijld op de hoogte brengt als zij om een of andere reden niet in staat is de waarborgen in de overeenkomst doeltreffend uit te voeren. In dat geval moet de internationale overeenkomst voorzien in de mogelijkheid dat het overheidsorgaan dat de gegevens doorgeeft de doorgifte van persoonsgegevens in het kader van de internationale overeenkomst aan het ontvangende overheidsorgaan opschort of beëindigt totdat het ontvangende overheidsorgaan aan het overheidsorgaan dat de doorgifte verricht meedeelt dat het opnieuw in staat is overeenkomstig de waarborgen te handelen. Het overheidsorgaan dat de gegevens doorgeeft moet de wijziging in de situatie evenals de opschorting van doorgiftes of de beëindiging van de overeenkomst melden aan de bevoegde nationale toezichthoudende autoriteit.
  4. Ten tweede moet de overeenkomst voorzien in onafhankelijk toezicht dat moet garanderen dat de partijen zich houden aan de in de overeenkomst vastgestelde bepalingen. Dit vloeit rechtstreeks voort uit het EU-Handvest 26 en het Europees Verdrag voor de rechten van de mens (EVRM) 27 overeenkomstig de rechtspraak van het Europees Hof voor de Rechten van de Mens (EHRM) en volgens de bepalingen die zijn vastgesteld in het primaire recht 28 evenals het bijbehorende jurisprudentierecht.

26 De artikelen 7, 8 en 47 van het EU-Handvest.

28 Artikel 6, Verdrag van Lissabon:

27 Artikel 8 EVRM.

'1. De Unie erkent de rechten, vrijheden en beginselen die zijn vastgesteld in het Handvest van de grondrechten van de Europese Unie van 7 december 2000, als aangepast op 12 december 2007 te Straatsburg, dat dezelfde rechtskracht als de Verdragen heeft.

De rechten, vrijheden en beginselen van het Handvest worden uitgelegd overeenkomstig de algemene bepalingen van titel VII van het Handvest betreffende de uitlegging en toepassing ervan, waarbij de in het Handvest bedoelde toelichtingen, waarin de bronnen van deze bepalingen vermeld zijn, terdege in acht genomen worden.

De bepalingen van het Handvest houden geenszins een verruiming in van de bevoegdheden van de Unie zoals bepaald bij de Verdragen.

  1. Het Hof van Justitie herhaalt sinds 2015 29 dat een onafhankelijk verhaal- en toezichtsmechanisme noodzakelijk is 30 . Evenzo heeft het EHRM er in zijn arresten vaak op gewezen dat elke inmenging in de uitoefening van het recht op privacy zoals dat verankerd is in artikel 8 EVRM moet worden onderworpen aan een doeltreffend, onafhankelijk en onpartijdig toezichtssysteem 31 .
  2. De overeenkomst zou bijvoorbeeld toezicht door een bevoegde toezichthoudende autoriteit kunnen inroepen, indien deze bestaat in het land van het overheidsorgaan dat de persoonsgegevens uit de EER ontvangt, ook al is in de AVG niet bepaald dat de bevoegde toezichthoudende autoriteit het externe toezichtsorgaan moet zijn. Bovendien zou in de overeenkomst de vrijwillige toezegging van de ontvangende partij kunnen worden opgenomen om samen te werken met de toezichthoudende autoriteiten van de EER.
  3. Wanneer er in het derde land of bij de internationale organisatie geen toezichthoudende autoriteit bestaat die specifiek belast is met het toezicht op het recht inzake gegevensbescherming, moeten er andere middelen worden gebruikt om een onafhankelijk, doeltreffend en onpartijdig toezichtsmechanisme vast te leggen. Het type onafhankelijk toezichtsmechanisme dat daarvoor wordt ingericht, kan afhankelijk zijn van de zaak in kwestie.
  4. De overeenkomst zou bijvoorbeeld kunnen verwijzen naar bestaande toezichthoudende autoriteiten in het derde land die niet specifiek belast zijn met de gegevensbescherming. Als er vanuit structureel of institutioneel oogpunt geen extern onafhankelijk toezicht kan worden gewaarborgd, bv. wegens de voorrechten en immuniteiten van bepaalde internationale organisaties, zou het toezicht daarnaast kunnen worden gewaarborgd met behulp van functioneel autonome mechanismen. Daarbij moet er sprake zijn van een orgaan dat weliswaar zelf geen extern orgaan is, maar zijn functies wel onafhankelijk uitoefent, d.w.z. zonder instructies, met voldoende personele, technische en financiële middelen en zo meer. De ontvangende partij is gebonden aan de besluiten van het toezichtsorgaan.

2.9 Beëindigingsclausule

  1. Met de internationale overeenkomst moet worden beoogd dat persoonsgegevens die krachtens de internationale overeenkomst vanuit de EER worden doorgegeven voordat de overeenkomst effectief beëindigd is, verder worden verwerkt volgens de bepalingen van de internationale overeenkomst.

  2. De Unie treedt toe tot het Europees Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden. Die toetreding wijzigt de bevoegdheden van de Unie, zoals bepaald in de Verdragen, niet.

  3. De grondrechten, zoals zij worden gewaarborgd door het Europees Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden en zoals zij voortvloeien uit de constitutionele tradities die de lidstaten gemeen hebben, maken als algemene beginselen deel uit van het recht van de Unie.'

3 SPECIFIEKE INFORMATIE OVER ARTIKEL 46 AVG

3.1 Specifieke informatie over juridisch bindende en afdwingbare instrumenten

- artikel 46, lid 2, punt a), AVG

  1. Volgens artikel 46, lid 2, punt a), AVG mogen EER-overheidsorganen de doorgiften naar overheidsorganen in een derde land of een internationale organisatie baseren op instrumenten die zij onderling zijn overeengekomen zonder voorafgaande toestemming van een toezichthoudende autoriteit. Die instrumenten moeten juridisch bindend en afdwingbaar zijn. Uit hoofde van deze bepaling mogen dan ook internationale verdragen, publiekrechtelijke verdragen of administratieve overeenkomsten met directe werking worden gebruikt.
  2. Elk juridisch bindend en afdwingbaar instrument moet de belangrijkste reeks beginselen inzake gegevensbescherming en rechten van de betrokkene als vereist door de AVG omvatten.
  3. De partijen zijn verplicht zich ertoe te verbinden toereikende waarborgen inzake gegevensbescherming vast te stellen voor de doorgifte van gegevens. Bijgevolg moet in de overeenkomst ook worden uiteengezet hoe het ontvangende overheidsorgaan de kernbeginselen inzake gegevensbescherming en gewaarborgde rechten van de betrokkene op alle doorgegeven persoonsgegevens zal toepassen om te garanderen dat het beschermingsniveau van natuurlijke personen krachtens de AVG niet wordt ondermijnd.
  4. Als het onmogelijk is om een doeltreffende voorziening in rechte te garanderen in juridisch bindende en afdwingbare instrumenten met als gevolg dat er alternatieve verhaalmechanismen moeten worden overeengekomen, moeten de EER-overheidsorganen overleg plegen met de bevoegde toezichthoudende autoriteit voordat zij die instrumenten overeenkomen.
  5. Hoewel de vorm van het instrument niet beslissend is zolang het juridisch bindend en afdwingbaar is, is de EDPB van mening dat de beste keuze zou zijn om meteen in het instrument reeds uitvoerige clausules in verband met gegevensbescherming op te nemen. Als deze oplossing wegens de specifieke omstandigheden niet haalbaar is, raadt de EDPB ten sterkste aan om in de tekst van het instrument ten minste een algemene clausule op te nemen waarin de beginselen inzake gegevensbescherming worden uiteengezet en in een bijlage bij het instrument de bepalingen en waarborgen in nader detail te vermelden.

3.2 Specifieke informatie over administratieve regelingen - artikel 46, lid 3, punt b), AVG

  1. In artikel 46, lid 3, punt b), AVG wordt ook voorzien in alternatieve instrumenten in de vorm van administratieve regelingen, bv. een memorandum van overeenstemming ('MoU'), dat bescherming biedt aan de hand van de verbintenissen die beide partijen zijn aangegaan om hun gemeenschappelijke regeling te doen gelden.

  2. In dit verband is in artikel 46, lid 1, en in overweging 108 van de AVG bepaald dat deze regelingen alleen mogen plaatsvinden mits de betrokkenen over afdwingbare rechten en doeltreffende rechtsmiddelen beschikken. Wanneer er waarborgen worden verstrekt in administratieve regelingen die niet juridisch bindend zijn, moet de toestemming van de bevoegde toezichthoudende autoriteit worden gevraagd.

  3. Er moet zorgvuldig worden overwogen of er al dan niet gebruik zal worden gemaakt van niet-juridisch bindende administratieve regelingen om te voorzien in waarborgen in de overheidssector, met het oog op het doeleinde van de verwerking en de aard van de gegevens in kwestie. Als rechten inzake gegevensbescherming en verhaalsrecht voor personen in de EER niet zijn vastgelegd in het interne recht van het derde land of de interne reglementering/het regelgevingskader van de internationale organisatie, moet de voorkeur worden gegeven aan het sluiten van een juridisch bindende overeenkomst. Ongeacht het type instrument dat wordt benut, moeten de getroffen maatregelen afdoende zijn om adequate tenuitvoerlegging en handhaving en adequaat toezicht te garanderen.

  4. In administratieve regelingen moeten specifieke stappen worden ondernomen om effectieve individuele rechten, verhaal en toezicht te garanderen. Om effectieve en afdwingbare rechten te garanderen moet een niet-bindend instrument meer bepaald verzekeringen bevatten van het overheidsorgaan dat de EER-persoonsgegevens ontvangt betreffende het feit dat zijn intern recht volledig voorziet in individuele rechten en dat deze rechten door EER-personen kunnen worden uitgeoefend onder dezelfde voorwaarden als de voorwaarden die gelden voor burgers en ingezetenen van het betrokken derde land. Hetzelfde geldt als er administratief en juridisch verhaal beschikbaar is voor EER-personen in het interne juridische kader van het ontvangende overheidsorgaan. Evenzo moeten internationale organisaties zekerheid verschaffen over het feit dat hun interne reglementering voorziet in individuele rechten en dat er verhaalmechanismen beschikbaar zijn.

  5. Als dat niet het geval is, moeten de individuele rechten worden gewaarborgd door middel van specifieke verbintenissen van de partijen, in combinatie met procedurele mechanismen die de doeltreffendheid ervan garanderen en die het individu verhaalsrecht geven. Deze specifieke verbintenissen en procedurele mechanismen moeten het in de praktijk mogelijk maken naleving te garanderen van het beschermingsniveau dat in grote lijnen overeenkomt met het beschermingsniveau dat in de EU door de AVG wordt gegarandeerd.

Dergelijke procedurele mechanismen kunnen bijvoorbeeld verbintenissen van de partijen omvatten om elkaar op de hoogte te houden van verzoeken van EER-personen en om geschillen of vorderingen tijdig te beslechten.

  1. Indien er voor dergelijke geschillen of vorderingen geen minnelijke schikking kan worden bereikt door de partijen zelf, moeten daarnaast alternatieve mechanismen de persoon in kwestie een onafhankelijke en doeltreffende beroepsmogelijkheid verschaffen, bijvoorbeeld door de persoon in kwestie gebruik te laten maken van een alternatief geschillenbeslechtingsmechanisme, zoals arbitrage of bemiddeling. Een dergelijk alternatief geschillenbeslechtingsmechanisme moet bindend zijn 32 .
  2. Afhankelijk van de zaak in kwestie moet in de administratieve overeenkomst een combinatie van alle of enkele van de bovenstaande maatregelen zijn vastgelegd teneinde een doeltreffende beroepsmogelijkheid te waarborgen. Andere maatregelen die niet in deze richtsnoeren zijn opgenomen, kunnen ook aanvaardbaar zijn op voorwaarde dat zij voorzien in een onafhankelijke en doeltreffende beroepsmogelijkheid.
  3. Elke administratieve regeling die overeenkomstig artikel 46, lid 3, punt b), AVG wordt uitgewerkt, zal per geval worden onderzocht door de bevoegde toezichthoudende autoriteit, in voorkomend geval gevolgd door de relevante EDPB-procedure. De bevoegde toezichthoudende autoriteit zal haar

Commissioner tegen Facebook Ireland en Maximillian Schrems ('Schrems II'), punt 189, punt 196 e.v.

onderzoek baseren op de algemene aanbevelingen die in deze richtsnoeren zijn uiteengezet, maar afhankelijk van het specifieke geval kan zij mogelijk ook meer waarborgen vragen.

4 PROCEDURELE VRAGEN

  1. Administratieve regelingen die zijn vastgesteld uit hoofde van artikel 46, lid 3, punt b), AVG zullen per geval worden onderzocht op grond van de vereiste dat de bevoegde toezichthoudende autoriteit toelating geeft en dat deze laatste, volgens artikel 46, lid 4, AVG het coherentiemechanisme uit hoofde van artikel 64, lid 2, AVG toepast. Wanneer alternatieve verhaalmechanismen in bindende en afdwingbare instrumenten worden opgenomen uit hoofde van artikel 46, lid 2, punt a), AVG, beveelt de EDPB aan om ook advies te vragen aan de bevoegde toezichthoudende autoriteit. De EDPB adviseert sterk om de bevoegde toezichthoudende autoriteit in een vroeg stadium te raadplegen.

Voor het Europees Comité voor gegevensbescherming De voorzitter

(Andrea Jelinek)

Footnotes

  1. Volgens artikel 96 AVG blijven overeenkomsten die zijn gesloten vóór 24 mei 2016 van kracht totdat zij worden gewijzigd, vervangen of ingetrokken.

  2. De werkgroep van gegevensbeschermingsinstanties van de EU die krachtens artikel 29 van Richtlijn 95/46/EG (de richtlijn gegevensbescherming) werd opgericht.

  3. Zie Groep gegevensbescherming artikel 29, Adequaatheidsreferentie (WP254 rev.01, goedgekeurd door de EDPB op 25 mei 2018), Richtsnoeren 2/2018 van de EDPB inzake afwijkingen op grond van artikel 49 van Verordening 2016/679 en Richtsnoeren 3/2018 van de EDPB over het territoriale toepassingsgebied

  4. Richtlijn (EU) 2016/680 van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en betreffende het vrije verkeer van die gegevens.

  5. Voor nadere informatie over artikel 49 en de wisselwerking ervan met artikel 46 in het algemeen, zie EDPB, Richtsnoeren 2/2018 inzake afwijkingen op grond van artikel 49 van Verordening 2016/679.

  6. Zie EDPB, Richtsnoeren 2/2018 inzake afwijkingen op grond van artikel 49 van Verordening 2016/679, blz. 10.

  7. Zie EDPB, Richtsnoeren 2/2018 inzake afwijkingen op grond van artikel 49 van Verordening 2016/679, blz. 5.

  8. Zie bijvoorbeeld de definities van 'openbaar lichaam' en 'publiekrechtelijke instelling' in artikel 2, punt 1 en punt 2, van Richtlijn 2003/98/EG van het Europees Parlement en de Raad van 17 november 2003 inzake het hergebruik van overheidsinformatie (PB L 345 van 31.12.2003, blz. 90).

  9. Zie EDPB, Richtsnoeren 3/2018 over het territoriale toepassingsgebied van de AVG, blz. 23.

  10. Hof van Justitie van de Europese Unie, arrest van 16 juli 2020 in zaak C-311/18, Data Protection Commissioner tegen Facebook Ireland Ltd. en Maximillian Schrems ('Schrems II').

  11. Hof van Justitie van de Europese Unie, arrest van 16 juli 2020 in zaak C-311/18, Data Protection Commissioner tegen Facebook Ireland en Maximillian Schrems ('Schrems II'), punt 105.

  12. Zie EDPB, Richtsnoeren inzake transparantie overeenkomstig Verordening (EU) 2016/679, WP 260 rev.01, blz. 13 tot en met 22.

  13. Zie Aanbevelingen 02/2020 van de EDPB over de Europese essentiële garanties voor surveillancemaatregelen.

  14. Zie Aanbevelingen 02/2020 van de EDPB, Garantie D, blz. 13 e.v.

  15. Zie ook deel 2.8 over toezichtsmechanismen.

  16. Hof van Justitie van de Europese Unie, arrest van 16 juli 2020 in zaak C-311/18, Data Protection

  17. Hof van Justitie van de Europese Unie, arrest van 6 oktober 2015 in zaak C-362/14, Maximillian Schrems tegen Data Protection Commissioner ('Schrems'), punten 41 en 95; Hof van Justitie van de Europese Unie, arrest van 16 juli 2020 in zaak C-311/18, Data Protection Commissioner tegen Facebook Ireland en Maximillian Schrems ('Schrems II'), punten 186,187,189, 195 e.v.

  18. Hof van Justitie van de Europese Unie, arrest van 6 oktober 2015 in zaak C-362/14, Maximillian Schrems tegen Data Protection Commissioner ('Schrems'), punten 41 en 95.

  19. Hof van Justitie van de Europese Unie, Advies 1/15 van 26 juli 2017 over het ontwerp van overeenkomst tussen Canada en de Europese Unie betreffende de doorgifte van persoonsgegevens van luchtreizigers van de Unie naar Canada, punten 228 e.v.; Hof van Justitie van de Europese Unie, Advies 1/17 van 30 april 2019 betreffende de brede economische en handelsovereenkomst tussen Canada enerzijds, en de Europese Unie en haar lidstaten anderzijds, punten 190 e.v.

  20. EHRM, 6 september 1978, Klass tegen Duitsland, punten 55 en 56. De eis afkomstig van het EHRM geldt ook voor elke vorm van inmenging in de artikelen 7 en 8 van het EU-Handvest, aangezien de betekenis en het toepassingsgebied van deze grondrechten volgens artikel 52, lid 3, van het EU-Handvest dezelfde moeten zijn als vastgelegd bij artikel 8 EVRM.

  21. Hof van Justitie van de Europese Unie, arrest van 16 juli 2020 in zaak C-311/18, Data Protection