Guidance
NL

Richtsnoeren 9/2020 inzake relevant en gemotiveerd bezwaar overeenkomstig Verordening 2016/679

European Data Protection Board
Nov 21, 2025 edpb-guidelines relevant-en-gemotiveerd bezwaar

Content

Richtsnoeren 9/2020 inzake relevant en gemotiveerd bezwaar overeenkomstig Verordening 2016/679

Versie 2.0

Vastgesteld op 9 maart 2021

Translations proofread by EDPB Members. This language version has not yet been proofread.

Versiegeschiedenis

Versie 1.0 8 oktober 2020 Vaststelling van de richtsnoeren voor openbare raadpleging
Versie 2.0 9 maart 2021 Vaststelling van de richtsnoeren na openbare raadpleging

Inhoudsopgave

1 ALGEMEEN....................................................................................................................................... 4
2 VOORWAARDEN WAARAAN EEN 'RELEVANT EN GEMOTIVEERD' BEZWAAR MOET VOLDOEN ... 6 VOORWAARDEN WAARAAN EEN 'RELEVANT EN GEMOTIVEERD' BEZWAAR MOET VOLDOEN ... 6
2.1 'Relevant' ............................................................................................................................... 6 'Relevant' ............................................................................................................................... 6
2.2 'Gemotiveerd' ........................................................................................................................ 7 'Gemotiveerd' ........................................................................................................................ 7
3 INHOUD VAN HET BEZWAAR........................................................................................................... 8 INHOUD VAN HET BEZWAAR........................................................................................................... 8
3.1 met Bestaan van een inbreuk op de AVG en/of de vraag of de voorgenomen maatregel strookt de AVG ......................................................................................................................................... 9 Bestaan van een inbreuk op de AVG en/of de vraag of de voorgenomen maatregel strookt de AVG ......................................................................................................................................... 9
3.1.1 Bestaan van een inbreuk op de AVG............................................................................... 9 Bestaan van een inbreuk op de AVG............................................................................... 9
3.1.2 Vraag of de in het ontwerpbesluit voorgenomen maatregel met betrekking tot de verwerkingsverantwoordelijke of de verwerker strookt met de AVG.......................................... 11 Vraag of de in het ontwerpbesluit voorgenomen maatregel met betrekking tot de verwerkingsverantwoordelijke of de verwerker strookt met de AVG.......................................... 11
3.2 Omvang van de risico's die het ontwerpbesluit inhoudt voor de grondrechten en de fundamentele vrijheden van betrokkenen en, indien van toepassing, voor het vrije verkeer van persoonsgegevens binnen de Unie................................................................................................... 12 3.2.1 Betekenis van 'omvang van de risico's' ....................................................................... 12
3.2.2 13 Risico's voor de grondrechten en de fundamentele vrijheden van betrokkenen ........
3.2.3 Risico's voor het vrije verkeer van persoonsgegevens binnen de Unie........................ 14

Het Europees Comité voor gegevensbescherming

Gezien artikel 70, lid 1, punt e), van Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (hierna 'AVG' genoemd),

Gezien de EER-overeenkomst en in het bijzonder bijlage XI en protocol 37 van die overeenkomst, als gewijzigd bij Besluit nr. 154/2018 van het Gemengd Comité van de EER van 6 juli 2018 1 ,

Gezien de artikelen 12 en 22 van zijn reglement van orde,

HEEFT DE VOLGENDE RICHTSNOEREN VASTGESTELD

1 ALGEMEEN

  1. In het kader van de in de AVG vastgestelde procedure voor samenwerking moeten de toezichthoudende autoriteiten 'alle relevante informatie met elkaar [uitwisselen]' en samenwerken 'teneinde tot een consensus proberen te komen' 2 . Deze verplichting tot samenwerking geldt voor alle stadia van de procedure, van de aanvang van de zaak tot de voltooiing van het volledige besluitvormingsproces. De in artikel 60 AVG vastgestelde procedure heeft dan ook uiteindelijk tot doel overeenstemming te bereiken over de uitkomst van de zaak. Wanneer tussen de toezichthoudende autoriteiten geen consensus wordt bereikt, is de EDPB op grond van artikel 65 AVG gemachtigd een bindend besluit vast te stellen. Dankzij informatie-uitwisseling en onderling overleg tussen de leidende toezichthoudende autoriteit en de betrokken toezichthoudende autoriteiten kan echter vaak al in het beginstadium van de zaak overeenstemming worden bereikt.
  2. Overeenkomstig artikel 60, leden 3 en 4, AVG moet de leidende toezichthoudende autoriteit aan de betrokken toezichthoudende autoriteiten een ontwerpbesluit voorleggen, waarna deze laatsten binnen een welbepaalde termijn (vier weken) een relevant en gemotiveerd bezwaar tegen het ontwerpbesluit kunnen indienen 3 . Na ontvangst van een relevant en gemotiveerd bezwaar heeft de leidende toezichthoudende autoriteit twee opties. Indien zij het relevante en gemotiveerde bezwaar afwijst of het niet relevant of niet gemotiveerd acht, onderwerpt zij de aangelegenheid binnen het coherentiemechanisme aan het Comité. Indien de leidende toezichthoudende autoriteit het ingediende bezwaar echter honoreert en een herzien ontwerpbesluit voorlegt, kunnen de betrokken toezichthoudende autoriteiten binnen een termijn van twee weken tegen dit herziene ontwerpbesluit een relevant en gemotiveerd bezwaar indienen.
  3. Indien de leidende toezichthoudende autoriteit het relevante en gemotiveerde bezwaar afwijst of het niet relevant of niet gemotiveerd acht en de aangelegenheid overeenkomstig artikel 65, lid 1, punt a), AVG aan het Comité onderwerpt, moet het Comité een bindend besluit vaststellen over de vraag of

3 De betrokken toezichthoudende autoriteiten kunnen eerder ingediende bezwaren intrekken.

2 Verordening 2016/679, hierna 'AVG' genoemd, artikel 60, lid 1.

  • het bezwaar 'relevant en gemotiveerd' is en, indien dat het geval is, over alle aangelegenheden die onderwerp van het desbetreffende bezwaar zijn.
  1. Bijgevolg is het begrip 'relevant en gemotiveerd bezwaar' een van de sleutelelementen om vast te stellen of er al dan niet sprake is van een consensus tussen de leidende toezichthoudende autoriteit en de betrokken toezichthoudende autoriteiten. Dit document heeft tot doel richtsnoeren te bieden in verband met dit begrip en een gemeenschappelijke interpretatie vast te stellen van de woorden 'relevant en gemotiveerd', met inbegrip van de elementen waarmee rekening moet worden gehouden bij de beoordeling of in een bezwaar 'duidelijk de omvang wordt aangetoond van de risico's die het ontwerpbesluit inhoudt' (artikel 4, punt 24, AVG).
  2. In artikel 4, punt 24, AVG wordt onder 'relevant en gemotiveerd bezwaar' verstaan een bezwaar tegen een ontwerpbesluit over het bestaan van een inbreuk op deze verordening of over de vraag of de voorgenomen maatregel met betrekking tot de verwerkingsverantwoordelijke of de verwerker strookt met deze verordening, waarin duidelijk de omvang wordt aangetoond van de risico's die het ontwerpbesluit inhoudt voor de grondrechten en de fundamentele vrijheden van betrokkenen en, indien van toepassing, voor het vrije verkeer van persoonsgegevens binnen de Unie '.
  3. Dit begrip fungeert als drempel wanneer betrokken toezichthoudende autoriteiten een bezwaar willen indienen tegen een (herzien) ontwerpbesluit dat de leidende toezichthoudende autoriteit overeenkomstig artikel 60 AVG wil vaststellen. Omdat onvoldoende vertrouwdheid met 'wat een relevant en gemotiveerd bezwaar vormt' kan leiden tot misverstanden en een incoherente toepassing door de toezichthoudende autoriteiten, heeft de EU-wetgever aangeraden dat de EDPB hierover richtsnoeren uitvaardigt (einde van overweging 124 AVG).
  4. Om aan alle elementen van de in artikel 4, punt 24, AVG vastgestelde drempel te voldoen, moet een betrokken toezichthoudende autoriteit in beginsel uitdrukkelijk elk element van de definitie met betrekking tot elk specifiek bezwaar vermelden. Daarom moet het bezwaar allereerst duidelijk maken hoe en waarom het ontwerpbesluit, volgens de betrokken toezichthoudende autoriteit, de inbreuk op de AVG niet op passende wijze aanpakt en/of niet voorziet in passende maatregelen ten aanzien van de verwerkingsverantwoordelijke of de verwerker, in het licht van het aangevoerde bewijs inzake de risico's die het ontwerpbesluit, in ongewijzigde vorm, inhoudt voor de rechten en vrijheden van betrokkenen en, indien van toepassing, voor het vrije verkeer van persoonsgegevens binnen de Unie . Wanneer een betrokken toezichthoudende autoriteit een bezwaar indient, moet zij elk deel van het ontwerpbesluit vermelden dat volgens haar tekortkomingen of fouten vertoont of waarin noodzakelijke elementen ontbreken en daarbij telkens verwijzen naar specifieke artikelen/leden of andere duidelijke indicaties. Zij moet ook aantonen waarom zij die kwesties 'relevant' acht, in de zin zoals hieronder aangegeven. De in het bezwaar opgenomen wijzigingsvoorstellen moeten tot doel hebben deze eventuele fouten te verhelpen.
  5. De gedetailleerdheid van het bezwaar en de grondigheid van de erin opgenomen analyse kunnen echter afhangen van de gedetailleerdheid van de inhoud van het ontwerpbesluit en van de mate waarin de betrokken toezichthoudende autoriteit betrokken is geweest bij het proces dat de leidende toezichthoudende autoriteit ertoe heeft gebracht het ontwerpbesluit uit te vaardigen. Bijgevolg is de norm 'relevant en gemotiveerd bezwaar' gebaseerd op de veronderstelling dat de leidende toezichthoudende autoriteit heeft voldaan aan haar verplichting om alle relevante informatie uit te wisselen 4 , zodat de betrokken toezichthoudende autoriteit of autoriteiten een diepgaand inzicht hebben in de zaak en bijgevolg een robuust en terdege gemotiveerd bezwaar kunnen indienen. In dit

4 Krachtens artikel 60, lid 1, AVG.

  • verband mag ook niet worden vergeten dat elke juridisch bindende maatregel van de toezichthoudende autoriteiten 'de redenen voor de maatregel [moet] bevatten' (zie overweging 129 AVG). De mate waarin de leidende toezichthoudende autoriteit de betrokken toezichthoudende autoriteit betrekt bij het proces dat tot het ontwerpbesluit leidt, kan daarom worden beschouwd als een element om de gedetailleerdheid van het relevante en gemotiveerde bezwaar op een meer flexibele manier te bepalen, indien blijkt dat de betrokken toezichthoudende autoriteit na dit proces over onvoldoende kennis van alle aspecten van de zaak beschikt.
  1. De EDPB wil eerst benadrukken dat alle bij de zaak betrokken toezichthoudende autoriteiten (leidende toezichthoudende autoriteit en betrokken toezichthoudende autoriteiten) er prioritair moeten naar streven tekortkomingen in de consensusvorming te verhelpen zodat een ontwerpbesluit kan worden opgesteld waarmee iedereen het eens is. Hoewel de EDPB het indienen van een bezwaar niet de meest wenselijke manier acht om onvoldoende samenwerking in de eerdere stadia van de éénloketprocedure te verhelpen, erkent het dat het een mogelijkheid is waarover de betrokken toezichthoudende autoriteiten beschikken. Dit is ook een laatste redmiddel om (vermeende) tekortkomingen te verhelpen in de mate waarin de leidende toezichthoudende autoriteit de betrokken toezichthoudende autoriteiten heeft betrokken bij het proces dat tot een op consensus gebaseerd ontwerpbesluit had moeten leiden, ook wat betreft de juridische argumenten en de omvang van de onderzoeken door de leidende toezichthoudende autoriteit in de desbetreffende zaak.
  2. Overeenkomstig de AVG moet de betrokken toezichthoudende autoriteit haar standpunt in verband met het ontwerpbesluit van de leidende toezichthoudende autoriteit rechtvaardigen door een bezwaar in te dienen dat 'relevant' en 'gemotiveerd' is. Daarbij is het van cruciaal belang voor ogen te houden dat de twee vereisten, 'gemotiveerd' en 'relevant', cumulatieve vereisten zijn, d.w.z. dat aan beide moet worden voldaan 5 . Overeenkomstig artikel 60, lid 4, AVG moet de leidende toezichthoudende autoriteit de aangelegenheid daarom aan het coherentiemechanisme van de EDPB onderwerpen wanneer zij van mening is dat het bezwaar niet voldoet aan ten minste een van de twee elementen 6 .
  3. De EDPB beveelt de toezichthoudende autoriteiten sterk aan het interne informatieen communicatiesysteem voor informatie-uitwisseling tussen de toezichthoudende autoriteiten te gebruiken om bezwaren in te dienen en informatie uit te wisselen 7 . Zij moeten duidelijk als dusdanig worden aangemerkt door gebruik te maken van de daartoe voorziene functies en instrumenten.

2 VOORWAARDEN WAARAAN EEN 'RELEVANT EN GEMOTIVEERD' BEZWAAR MOET VOLDOEN

2.1 'Relevant'

  1. Om als 'relevant' bezwaar te worden aangemerkt, moet er een rechtstreeks verband zijn tussen het bezwaar en de inhoud van het desbetreffende ontwerpbesluit 8 . In het bijzonder moet het bezwaar betrekking hebben op het bestaan van een inbreuk op de AVG of op de vraag of de voorgenomen

7 Zie het reglement van orde van de EDPB.

6 Krachtens artikel 60, lid 4, AVG onderwerpt de leidende toezichthoudende autoriteit, indien zij het relevante en gemotiveerde bezwaar afwijst, de aangelegenheid aan het in artikel 63 bedoelde coherentiemechanisme.

maatregel met betrekking tot de verwerkingsverantwoordelijke of de verwerker strookt met de AVG .

  1. Derhalve is het ingediende bezwaar 'relevant' wanneer het, indien het wordt gehonoreerd, een verandering teweegbrengt die tot een andersluidende conclusie leidt wat betreft het bestaan van een inbreuk op de AVG of de vraag of de voorgenomen maatregel met betrekking tot de verwerkingsverantwoordelijke of de verwerker, zoals voorgesteld door de leidende toezichthoudende autoriteit, strookt met de AVG. Er moet altijd een verband bestaan tussen de inhoud van het bezwaar en een dergelijke eventuele andersluidende conclusie, zoals hieronder uiteengezet. Hoewel met een bezwaar een verschil van mening over beide elementen kan worden aangegeven, volstaat het dat een betrokken toezichthoudende autoriteit het met één ervan oneens is om als relevant bezwaar te worden aangemerkt.
  2. Een bezwaar kan alleen als relevant worden aangemerkt indien het betrekking heeft op specifieke juridische en feitelijke elementen in het ontwerpbesluit van de leidende toezichthoudende autoriteit. Abstracte of algemene bezwaren of opmerkingen kunnen in deze context niet als relevant worden beschouwd. Kleine meningsverschillen over de bewoordingen of de juridische argumenten die geen verband houden met het eventuele bestaan van een inbreuk of de vraag of de voorgenomen maatregel met betrekking tot de verwerkingsverantwoordelijke of de verwerker strookt met de AVG, kunnen evenmin als relevant worden beschouwd.
  3. Tegen de juridische argumentatie die ten grondslag ligt aan de conclusies van de leidende toezichthoudende autoriteit in het ontwerpbesluit kan een bezwaar worden ingediend, maar alleen indien die argumentatie verband houdt met de conclusie betreffende het bestaan van een inbreuk of de correcte vaststelling van een inbreuk op de AVG of verband houdt met de vraag of de voorgenomen maatregel strookt met de AVG, en indien is voldaan aan alle elementen van de in artikel 4, punt 24, AVG vastgestelde drempel, zoals beschreven in dit document.

2.2 'Gemotiveerd'

  1. Om als 'gemotiveerd' 9 bezwaar te worden aangemerkt, moet in het bezwaar worden verduidelijkt en aangevoerd waarom een wijziging van het besluit wordt voorgesteld (d.w.z. de juridische/feitelijke fouten in het ontwerpbesluit van de leidende toezichthoudende autoriteit). In het bijzonder moet in het bezwaar worden aangetoond hoe de wijziging zou leiden tot een andersluidende conclusie over het bestaan van een inbreuk op de AVG of over de vraag of de voorgenomen maatregel met betrekking tot de verwerkingsverantwoordelijke of de verwerker strookt met de AVG.
  2. De betrokken toezichthoudende autoriteit moet een deugdelijke en terdege onderbouwde motivering van haar bezwaar verstrekken en moet daarvoor in het bijzonder juridische argumenten (zich baserend op het Unierecht en/of het relevante interne recht, waaronder wettelijke bepalingen, rechtspraak, richtsnoeren) of feitelijke elementen aanvoeren, indien van toepassing. De betrokken toezichthoudende autoriteit moet het feit of de feiten die tot een andersluidende conclusie leiden over de inbreuk op de AVG door de verwerkingsverantwoordelijke of de verwerker, of het aspect van het ontwerpbesluit dat naar haar mening gebrekkig/incorrect is, uiteenzetten.
  3. Bovendien is een bezwaar slechts 'gemotiveerd' indien de omvang van de risico's die het ontwerpbesluit inhoudt, erin 'duidelijk wordt aangetoond' , zoals beschreven in deel 3.2 hieronder. Hiertoe moet het bezwaar argumenten of rechtvaardigingen bevatten met betrekking tot de gevolgen

van de uitvaardiging van het besluit zonder de in het bezwaar voorgestelde wijzigingen en tot de manier waarop die gevolgen ernstige risico's kunnen inhouden voor de grondrechten en de fundamentele vrijheden van betrokkenen en, indien van toepassing, voor het vrije verkeer van persoonsgegevens binnen de Unie.

  1. Een bezwaar is voldoende gemotiveerd indien daarin op een coherente, duidelijke, nauwkeurige en gedetailleerde wijze wordt uiteengezet wat de redenen voor het bezwaar zijn . In het bezwaar moeten de essentiële elementen waarop de betrokken toezichthoudende autoriteit haar beoordeling heeft gebaseerd, duidelijk en nauwkeurig worden uiteengezet, evenals het verband tussen de verwachte gevolgen van het ontwerpbesluit (indien het zonder wijzigingen wordt uitgevaardigd) en de omvang van de verwachte risico's voor de grondrechten en de fundamentele vrijheden van betrokkenen en, indien van toepassing, voor het vrije verkeer van persoonsgegevens binnen de Unie . Bovendien moet de betrokken toezichthoudende autoriteit duidelijk aangeven met welke delen van het ontwerpbesluit zij het oneens is . In gevallen waarin het bezwaar gebaseerd is op het standpunt dat de leidende toezichthoudende autoriteit een belangrijk feit van de zaak of een bijkomende inbreuk op de AVG niet volledig heeft onderzocht, is het voldoende dat de betrokken toezichthoudende autoriteit die argumenten op een overtuigende en terdege onderbouwde manier voorlegt.
  2. De betrokken toezichthoudende autoriteit(en) moet(en) alle informatie (feiten, documenten, juridische argumenten) verstrekken waarop zij zich baseren/baseert, om haar/hun argumentatie effectief te kunnen presenteren. Dit is van fundamenteel belang om de omvang van het (eventuele) geschil af te bakenen. Dit houdt in dat de betrokken toezichthoudende autoriteit, in beginsel, moet proberen één enkel relevant en gemotiveerd bezwaar in te dienen gestaafd met al haar feitelijke en juridische argumenten, zoals hierboven beschreven. Binnen de in artikel 60, lid 4, AVG genoemde termijn kan de betrokken toezichthoudende autoriteit echter bijkomende informatie verstrekken over en ter staving van het ingediende bezwaar, ermee rekening houdend dat moet worden voldaan aan de criteria 'relevant' en 'gemotiveerd' .

Voorbeeld 1 : De betrokken toezichthoudende autoriteit dient een formeel bezwaar in, maar verstrekt de leidende toezichthoudende autoriteit enkele dagen later via het informatieen communicatiesysteem bijkomende informatie over de feiten van de zaak. De leidende toezichthoudende autoriteit mag alleen rekening houden met die informatie voor zover zij wordt verstrekt binnen de in artikel 60, lid 4, AVG vastgestelde termijn.

  1. Het is goede praktijk dat het bezwaar, indien mogelijk, ook een andersluidend voorstel bevat dat de leidende toezichthoudende autoriteit in overweging kan nemen, dat volgens de betrokken toezichthoudende autoriteit de vermeende tekortkomingen van het ontwerpbesluit kan verhelpen. Dit kan nuttig zijn om het bezwaar beter te verduidelijken in de desbetreffende context.

3 INHOUD VAN HET BEZWAAR

  1. Het bezwaar kan betrekking hebben op het bestaan van een inbreuk op de AVG en/of op de vraag of de voorgenomen maatregel met betrekking tot de verwerkingsverantwoordelijke of de verwerker strookt met de AVG. Het soort inhoud zal afhangen van het betrokken ontwerpbesluit van de leidende toezichthoudende autoriteit en van de omstandigheden van de zaak.
  2. Daarnaast moet in het bezwaar van de betrokken toezichthoudende autoriteit duidelijk de omvang worden aangetoond van de risico's die het ontwerpbesluit inhoudt voor de grondrechten en de

fundamentele vrijheden van betrokkenen en, indien van toepassing, voor het vrije verkeer van persoonsgegevens binnen de Unie. Het bestaan van een inbreuk en/of het feit dat de voorgenomen maatregel niet strookt met de AVG moet worden beoordeeld in het licht van de omvang van de risico's die het ontwerpbesluit - indien het ongewijzigd wordt gelaten - inhoudt voor de rechten en vrijheden van betrokkenen en, indien van toepassing, voor het vrije verkeer van persoonsgegevens.

3.1 Bestaan van een inbreuk op de AVG en/of de vraag of de voorgenomen maatregel strookt met de AVG

3.1.1 Bestaan van een inbreuk op de AVG

  1. In het eerste geval komt de inhoud van het bezwaar neer op een meningsverschil tussen de betrokken toezichthoudende autoriteit en de leidende toezichthoudende autoriteit over de vraag of, in de betrokken zaak, de activiteiten en verwerkingen van de verwerkingsverantwoordelijke of de verwerker al dan niet hebben geleid tot een inbreuk of inbreuken op de AVG, en tot welke inbreuk(en) in het bijzonder.
  2. In deze context moet 'inbreuk' worden uitgelegd als 'een inbreuk op een specifieke bepaling van de AVG'. Derhalve moeten de betrokken toezichthoudende autoriteiten hun bezwaren tegen het ontwerpbesluit rechtvaardigen en motiveren door te verwijzen naar bewijsmateriaal en feitelijke informatie die tussen de leidende toezichthoudende autoriteit en de betrokken toezichthoudende autoriteiten zijn uitgewisseld (wat in artikel 60 AVG 'relevante informatie' wordt genoemd). Deze eisen gelden voor elke inbreuk en elke betrokken bepaling afzonderlijk.

Voorbeeld 2: In het ontwerpbesluit staat vermeld dat de verwerkingsverantwoordelijke inbreuk heeft gemaakt op de artikelen 6, 7 en 14 AVG. De betrokken toezichthoudende autoriteit vindt niet dat er inbreuk is gemaakt op de artikelen 7 en 14 en is van mening dat er ook inbreuk is gemaakt op artikel 13 AVG.

Voorbeeld 3: De betrokken toezichthoudende autoriteit betoogt dat de leidende toezichthoudende autoriteit er geen rekening mee heeft gehouden dat de uitzondering voor huishoudelijke activiteiten niet van toepassing is op sommige door een verwerkingsverantwoordelijke uitgevoerde verwerkingsactiviteiten met betrekking tot het gebruik van beelden van videobewakingssystemen, en dat er daarom geen sprake is van een inbreuk op de AVG. Om haar bezwaar te rechtvaardigen, verwijst de betrokken toezichthoudende autoriteit naar artikel 2, lid 2, punt c), AVG, richtsnoeren 3/2019 van de EDPB inzake de verwerking van persoonsgegevens door middel van videoapparatuur en de rechtspraak van het Europees Hof van Justitie in zaak C-212/13 Ryneš.

  1. Een bezwaar over het bestaan van een inbreuk op de AVG kan ook een meningsverschil inhouden over de conclusies die moeten worden getrokken uit de bevindingen van het onderzoek. In het bezwaar kan bijvoorbeeld worden aangevoerd dat uit de bevindingen blijkt dat er inbreuk is gemaakt op een andere bepaling van de AVG dan (en/of bovenop) de inbreuken die al in het ontwerpbesluit van de leidende toezichthoudende autoriteit zijn geanalyseerd. De kans dat dit scenario zich voordoet, is echter kleiner wanneer de leidende toezichthoudende autoriteit, alvorens het ontwerpbesluit op te stellen, heeft voldaan aan de verplichting om samen te werken met de betrokken toezichthoudende autoriteiten en alle relevante informatie met hen uit te wisselen, zoals bepaald in artikel 60, lid 1, AVG.
  2. In sommige omstandigheden kunnen in een bezwaar zelfs lacunes in het ontwerpbesluit worden vastgesteld die verder onderzoek door de leidende toezichthoudende autoriteit rechtvaardigen. Indien in het onderzoek door de leidende toezichthoudende autoriteit bijvoorbeeld zonder geldige reden geen aandacht is besteed aan bepaalde kwesties die de klager heeft opgeworpen of die voortvloeien uit een door een betrokken toezichthoudende autoriteit gemelde inbreuk, kan een relevant en

gemotiveerd bezwaar worden ingediend omdat de leidende toezichthoudende autoriteit de klacht niet naar behoren heeft behandeld en de rechten van de betrokkene niet heeft beschermd. In dit verband moet er een onderscheid worden gemaakt tussen enerzijds onderzoeken uit eigen beweging en anderzijds onderzoeken naar aanleiding van klachten of meldingen van mogelijke inbreuken door de betrokken toezichthoudende autoriteiten. Bij procedures naar aanleiding van een klacht of een melding van een inbreuk door een betrokken toezichthoudende autoriteit wordt de reikwijdte van de procedure (d.w.z. de aspecten van de gegevensverwerking die een schending kunnen vormen) bepaald door de inhoud van de klacht of de melding door de betrokken toezichthoudende autoriteit: met andere woorden, door de aspecten die in de klacht of de melding worden vermeld. Bij onderzoeken uit eigen beweging moeten de leidende toezichthoudende autoriteit en de betrokken toezichthoudende autoriteiten tot een consensus proberen te komen over de reikwijdte van de procedure (d.w.z. de aspecten van de gegevensverwerking die worden onderzocht) voordat de procedure formeel wordt opgestart. Hetzelfde geldt voor gevallen waarin een toezichthoudende autoriteit die een klacht of een melding door een andere toezichthoudende autoriteit behandelt, van mening is dat een onderzoek uit eigen beweging ook noodzakelijk is om systematische nalevingsproblemen aan te pakken die verder reiken dan de specifieke klacht of melding.

  1. Zoals hierboven vermeld, mag het indienen van een bezwaar alleen worden gezien als een laatste redmiddel om een vermeende ontoereikende betrokkenheid van de betrokken toezichthoudende autoriteit(en) in de voorafgaande stadia van het proces te verhelpen. In het door de wetgever opgezette systeem is het de bedoeling dat de bevoegde toezichthoudende autoriteiten in een vroeger stadium tot een consensus komen over de reikwijdte van het onderzoek.
  2. Een bezwaar in verband met het bestaan van een inbreuk kan ook worden ingediend wanneer er onvoldoende feitelijke informatie wordt verstrekt, de desbetreffende zaak onvoldoende wordt beschreven of de beoordeling of argumentatie ontbreekt of ontoereikend is (met als gevolg dat de conclusie van de leidende toezichthoudende autoriteit in het ontwerpbesluit onvoldoende wordt bevestigd door de uitgevoerde beoordeling en het aangevoerde bewijsmateriaal, zoals vereist in artikel 58 AVG). Voorwaarde blijft dat wordt voldaan aan alle elementen van de in artikel 4, punt 24, AVG vastgestelde drempel en dat er een verband kan bestaan tussen een dergelijke vermeende ontoereikende analyse en de vaststelling van een inbreuk / de voorgenomen maatregel.
  3. Met een relevant en gemotiveerd bezwaar kunnen kwesties in verband met procedurele aspecten aan de orde worden gesteld voor zover deze leiden tot situaties waarin de leidende toezichthoudende autoriteit de in de AVG vastgestelde procedurele vereisten naast zich neer heeft gelegd en dit van invloed is op haar conclusie in het ontwerpbesluit.

Voorbeeld 4 : De toezichthoudende autoriteit van lidstaat YY is bevoegd om op te treden als leidende toezichthoudende autoriteit voor de grensoverschrijdende verwerking door verwerkingsverantwoordelijke CC met hoofdvestiging in YY. De bevoegde toezichthoudende autoriteit van lidstaat XX stelt de leidende toezichthoudende autoriteit (YY) in kennis van een klacht die bij de toezichthoudende autoriteit van XX is ingediend en alleen voor betrokkenen in XX wezenlijke gevolgen heeft, overeenkomstig artikel 56, leden 2 en 3, AVG. De leidende toezichthoudende autoriteit besluit de zaak te behandelen.

De toezichthoudende autoriteit van XX dient uit hoofde van artikel 56, lid 4, AVG bij de leidende toezichthoudende autoriteit een ontwerpbesluit in. De leidende toezichthoudende autoriteit stelt uit hoofde van artikel 60, lid 3, AVG een ontwerpbesluit op en legt het voor aan de betrokken toezichthoudende autoriteit. De toezichthoudende autoriteit van XX is van mening dat de leidende toezichthoudende autoriteit haar verplichting uit hoofde van artikel 56, lid 4, AVG niet is nagekomen

om bij het opstellen van haar ontwerpbesluit zo veel mogelijk rekening te houden met het ontwerp van de toezichthoudende autoriteit van XX, aangezien zij geen redenen aanvoert waarom zij is afgeweken van het ontwerpbesluit dat de toezichthoudende autoriteit van XX heeft ingediend.

Vervolgens dient de toezichthoudende autoriteit van XX een relevant en gemotiveerd bezwaar in waarin zij argumenten aanvoert die de andersluidende conclusie vermelden waartoe in het ontwerpbesluit zou zijn gekomen indien de leidende toezichthoudende autoriteit daarbij haar ontwerp had gevolgd, in termen van vaststelling van een inbreuk of van bepaling van de voorgenomen maatregelen met betrekking tot de verwerkingsverantwoordelijke, met de bedoeling de aangetoonde risico's te vermijden die het ontwerpbesluit inhoudt voor de grondrechten en de fundamentele vrijheden van betrokkenen en, indien van toepassing, voor het vrije verkeer van persoonsgegevens binnen de Unie.

  1. Een bezwaar uit hoofde van artikel 60, lid 4, en artikel 65, lid 1, punt a), AVG laat artikel 65, lid 1, punt b), AVG onverlet. Bijgevolg kan een meningsverschil over de competentie van de toezichthoudende autoriteit die als leidende toezichthoudende autoriteit optreedt, om een besluit uit te vaardigen in een bepaalde zaak, niet aan de orde worden gesteld door middel van een bezwaar uit hoofde van artikel 60, lid 4, AVG en valt dit buiten de werkingssfeer van artikel 4, punt 24, AVG. Anders dan het bezwaar uit hoofde van artikel 60, lid 4, AVG, is de EDPB van oordeel dat de procedure uit hoofde van artikel 65, lid 1, punt b), AVG in elk stadium van toepassing is.

3.1.2 Vraag of de in het ontwerpbesluit voorgenomen maatregel met betrekking tot de verwerkingsverantwoordelijke of de verwerker strookt met de AVG

  1. In dit tweede scenario komt het relevante en gemotiveerde bezwaar inhoudelijk neer op een meningsverschil over de concrete corrigerende maatregel die de leidende toezichthoudende autoriteit voorstelt of over een andere in het ontwerpbesluit voorgenomen maatregel.
  2. Meer in het bijzonder moet in het relevante en gemotiveerde bezwaar worden uiteengezet waarom de in het ontwerpbesluit voorgenomen maatregel niet in overeenstemming is met de AVG. Hiertoe moet de betrokken toezichthoudende autoriteit feitelijke elementen en/of juridische argumenten aanvoeren ter staving van de andere beoordeling van de situatie, door aan te geven wat voor de leidende toezichthoudende autoriteit een passende maatregel zou zijn om in het definitieve besluit op te nemen.

Voorbeeld 5 : De verwerkingsverantwoordelijke heeft zonder rechtsgrond gevoelige medische gegevens van de klager aan een derde verstrekt. In het ontwerpbesluit stelde de leidende toezichthoudende autoriteit voor de verwerkingsverantwoordelijke te berispen, hoewel de betrokken toezichthoudende autoriteit feitelijke elementen aanvoert waaruit blijkt dat de verwerkingsverantwoordelijke grote, structurele problemen kent met de naleving van de AVG (hij verstrekt bijvoorbeeld geregeld gegevens van zijn klanten aan derden zonder rechtsgrond). Daarom stelt zij voor dat een bevel om de verwerkingen in overeenstemming te brengen met de AVG, een tijdelijk verwerkingsverbod of een boete wordt opgelegd.

Voorbeeld 6 : Door een fout van een werknemer heeft de verwerkingsverantwoordelijke de voornamen, namen en telefoonnummers van zijn 100 000 klanten op zijn website bekendgemaakt. Deze persoonsgegevens waren twee dagen lang voor iedereen toegankelijk. Omdat de verwerkingsverantwoordelijke zo snel mogelijk heeft gereageerd, de fout heeft gemeld en alle klanten individueel op de hoogte heeft gebracht, was de leidende toezichthoudende autoriteit voornemens de verwerkingsverantwoordelijke alleen te berispen. Een betrokken toezichthoudende autoriteit is echter van mening dat, gezien de grote omvang van de inbreuk in verband met persoonsgegevens en de

mogelijke gevolgen/risico's ervan voor het privéleven van de klanten, er een boete moet worden opgelegd.

  1. Zoals neergelegd in de laatste zin van artikel 65, lid 1, punt a), AVG, heeft het bindend besluit van de EDPB betrekking op alle aangelegenheden die onderwerp zijn van het relevante en gemotiveerde bezwaar, met name in geval van een inbreuk. Overeenkomstig de vijfde zin van overweging 150 van de AVG kan het coherentiemechanisme ook worden gebruikt ter bevordering van een consequente toepassing van administratieve geldboeten. Bijgevolg kunnen in het bezwaar de elementen in vraag worden gesteld op basis waarvan het bedrag van de geldboete is berekend. Indien in de beoordeling van de EDPB in dit verband tekortkomingen worden vastgesteld in de argumenten die tot het opleggen van de betrokken boete hebben geleid, wordt de leidende toezichthoudende autoriteit gelast de boete te herzien en de vastgestelde tekortkomingen te verhelpen. De beoordeling hiervan door de EDPB moet gebaseerd zijn op gemeenschappelijke EDPB-normen die voortvloeien uit artikel 83, leden 1 en 2, AVG, en op de richtsnoeren voor de berekening van geldboeten.

Voorbeeld 7 : De betrokken toezichthoudende autoriteit is van mening dat, rekening houdend met de feiten van de zaak, de hoogte van de geldboete die de leidende toezichthoudende autoriteit in het ontwerpbesluit voornemens is op te leggen, niet doeltreffend, evenredig en afschrikkend is, zoals vereist in artikel 83, lid 1, AVG.

  • 3.2 Omvang van de risico's die het ontwerpbesluit inhoudt voor de grondrechten en de fundamentele vrijheden van betrokkenen en, indien van toepassing, voor het vrije verkeer van persoonsgegevens binnen de Unie
  • 3.2.1 Betekenis van 'omvang van de risico's'
  1. Het is belangrijk voor ogen te houden dat de werkzaamheden van de toezichthoudende autoriteiten tot doel hebben de grondrechten en de fundamentele vrijheden van betrokkenen te beschermen en het vrije verkeer van persoonsgegevens binnen de Unie te bevorderen (artikel 4, punt 24, artikel 51 en overweging 123 AVG).
  2. De verplichting om de omvang van de risico's aan te tonen die het ontwerpbesluit inhoudt (bv. door de erin opgenomen maatregelen of door het ontbreken van corrigerende maatregelen enz.) voor de rechten en vrijheden van betrokkenen en, indien van toepassing, voor het vrije verkeer van gegevens binnen de Unie, rust op de betrokken toezichthoudende autoriteit . De mate waarin de betrokken toezichthoudende autoriteiten dit kunnen aantonen, hangt ook af van de gedetailleerdheid van het ontwerpbesluit en van de oorspronkelijk informatieverstrekking door de leidende toezichthoudende autoriteit, zoals benadrukt in punt 8 hierboven.
  3. De term 'risico' wordt in meerdere delen van de AVG gebruikt en is in eerdere richtsnoeren van de EDPB 10 gedefinieerd als ' een scenario dat een gebeurtenis en de gevolgen ervan beschrijft, ingeschat in termen van ernst en waarschijnlijkheid '. In artikel 4, punt 24, AVG wordt verwezen naar de noodzaak om de 'omvang' van de risico's aan te tonen die het ontwerpbesluit inhoudt, m.a.w. om duidelijk te maken welke gevolgen het ontwerpbesluit zou hebben voor de beschermde waarden. Hiertoe moet de betrokken toezichthoudende autoriteit voldoende argumenten aanvoeren om uitdrukkelijk aan te tonen dat die risico's hoog en waarschijnlijk zijn voor de grondrechten en de fundamentele vrijheden van betrokkenen en, indien van toepassing, voor het vrije verkeer van gegevens binnen de Unie. De omvang van de risico's kan niet worden begrepen uit de juridische en/of feitelijke argumenten die de
  • betrokken toezichthoudende autoriteit aanvoert, maar moet uitdrukkelijk worden vastgesteld en uiteengezet in het bezwaar.
  1. Er moet worden benadrukt dat, terwijl in een relevant en gemotiveerd bezwaar altijd duidelijk de omvang moet worden aangetoond van de risico's die het ontwerpbesluit inhoudt voor de grondrechten en de fundamentele vrijheden van betrokkenen (zie deel 3.2.2 hieronder), de risico's voor het vrije verkeer van persoonsgegevens binnen de Europese Unie alleen moeten worden aangetoond 'indien van toepassing' (zie deel 3.2.3 hieronder).

3.2.2 Risico's voor de grondrechten en de fundamentele vrijheden van betrokkenen

  1. Het gaat hier om de eventuele impact van het ontwerpbesluit, in zijn geheel, op de grondrechten en de fundamentele vrijheden van betrokkenen. Dit kan betrekking hebben op de bevindingen van de leidende toezichthoudende autoriteit wat betreft de vraag of de verwerkingsverantwoordelijke of de verwerker inbreuk heeft gemaakt op de AVG en/of het opleggen van corrigerende maatregelen.
  2. Bij de beoordeling van het risico dat het ontwerpbesluit inhoudt, moet een andere benadering worden gehanteerd dan de benadering die een verwerkingsverantwoordelijke toepast bij de uitvoering van een gegevensbeschermingseffectbeoordeling om het risico van de voorgenomen verwerking vast te stellen. Het onderwerp van de beoordeling is immers compleet verschillend: namelijk de gevolgen van de conclusies die de leidende toezichthoudende autoriteit heeft getrokken, zoals uiteengezet in haar ontwerpbesluit, over de vraag of er al dan niet inbreuk is gemaakt op de AVG. Op basis van de conclusies van de leidende toezichthoudende autoriteit kunnen bepaalde maatregelen worden genomen (de 'voorgenomen maatregel'). Zoals reeds gezegd, moet de betrokken toezichthoudende autoriteit de risico's aantonen met betrekking tot het ontwerpbesluit in zijn geheel.
  3. In overweging 129 van de AVG wordt verduidelijkt dat ' [d]e bevoegdheden van de toezichthoudende autoriteiten [...] overeenkomstig passende in het Unierecht en het lidstatelijke recht bepaalde procedurele waarborgen, onpartijdig, behoorlijk en binnen een redelijke termijn [moeten] worden uitgeoefend' en dat '[e]lke maatregel [...] met name passend, noodzakelijk en evenredig [dient] te zijn met het oog op naleving van deze verordening en rekening houdend met de omstandigheden van elk individueel geval, het recht van iedere persoon te eerbiedigen om vóór het nemen van enige individuele maatregel die voor hem nadelige gevolgen zou hebben te worden gehoord, en overbodige kosten en buitensporige ongemakken voor de personen in kwestie te vermijden '.
  4. Daarom kan bij de beoordeling van de risico's die het ontwerpbesluit inhoudt voor de grondrechten en de fundamentele vrijheden van betrokkenen, onder meer rekening worden gehouden met de gepastheid, noodzaak en evenredigheid van de erin (al dan niet) voorgenomen maatregelen op basis van de bevindingen met betrekking tot het bestaan van een inbreuk en de eventuele door de verwerkingsverantwoordelijke of de verwerker uiteengezette corrigerende maatregelen.
  5. Daarnaast kunnen de risico's betrekking hebben op de gevolgen van het ontwerpbesluit voor de grondrechten en de fundamentele vrijheden van de betrokkenen van wie de persoonsgegevens door de verwerkingsverantwoordelijke of de verwerker zijn verwerkt, maar ook op de gevolgen voor de rechten en vrijheden van betrokkenen van wie de persoonsgegevens in de toekomst kunnen worden verwerkt, en op de mogelijke daling van het aantal toekomstige inbreuken op de AVG, indien de feiten van de zaak in die richting wijzen.

Voorbeeld 8 : In haar ontwerpbesluit was de leidende toezichthoudende autoriteit tot de conclusie gekomen dat de verwerkingsverantwoordelijke geen inbreuk had gemaakt op het beginsel van minimale gegevensverwerking, zoals neergelegd in artikel 5, lid 1, punt c), AVG. In haar bezwaar voert de betrokken toezichthoudende autoriteit feitelijke elementen en juridische argumenten aan waaruit

blijkt dat de verwerking door de verwerkingsverantwoordelijke effectief had geleid tot een inbreuk op artikel 5, lid 1, punt c), AVG en betoogt zij dat de verwerkingsverantwoordelijke moet worden berispt. Om de omvang van de risico's voor de grondrechten en de fundamentele vrijheden van betrokkenen aan te tonen, voert de betrokken toezichthoudende autoriteit aan dat het niet geven van een berisping wegens de schending van een fundamenteel beginsel ten eerste een gevaarlijk precedent zou scheppen omdat op die manier niet duidelijk wordt gemaakt dat de organisatie haar verwerkingsactiviteiten moet wijzigen, en ten tweede de betrokkenen van wie de gegevens door de verwerkingsverantwoordelijke worden en zullen worden verwerkt, in gevaar zou brengen.

3.2.3 Risico's voor het vrije verkeer van persoonsgegevens binnen de Unie

  1. Indien het bezwaar ook betrekking heeft op deze specifieke risico's, moet de betrokken toezichthoudende autoriteit verduidelijken waarom dit 'van toepassing' wordt geacht. Bovendien wordt een bezwaar dat risico's voor het vrije verkeer van persoonsgegevens, maar niet voor de rechten en vrijheden van betrokkenen aantoont, niet geacht te voldoen aan alle elementen van de in artikel 4, punt 24, AVG vastgestelde drempel.
  2. De noodzaak om het vrije verkeer van persoonsgegevens in de Unie noch te beperken, noch te verbieden om redenen die verband houden met de bescherming van natuurlijke personen ten aanzien van de verwerking van persoonsgegevens wordt uitdrukkelijk herhaald in de AVG 11 , die tot doel heeft geharmoniseerde gegevensbeschermingsregels in te voeren in de gehele Europese Unie en het vrije verkeer van persoonsgegevens binnen de Unie mogelijk te maken, en tegelijk de grondrechten en de fundamentele vrijheden van natuurlijke personen en met name hun recht op bescherming van persoonsgegevens, in hoge mate te beschermen.
  3. De risico's voor het vrije verkeer van persoonsgegevens binnen de Unie kunnen het gevolg zijn van allerlei maatregelen, waaronder besluiten van nationale toezichthoudende autoriteiten die ongerechtvaardigde beperkingen opleggen aan de opslag van gegevens (bv. bepalingen die een verwerkingsverantwoordelijke verplichten om bepaalde informatie in een bepaalde lidstaat op te slaan) en/of aan het vrije verkeer van persoonsgegevens tussen de lidstaten (bv. opschorting van gegevensstromen of oplegging van een tijdelijke of definitieve beperking, waaronder een verwerkingsverbod).
  4. Het vrije verkeer van persoonsgegevens binnen de Unie kan ook gevaar lopen wanneer er verwachtingen worden gecreëerd (of eisen opgelegd) inzake de manier waarop verwerkingsverantwoordelijken aan hun verplichtingen uit hoofde van de AVG moeten voldoen, namelijk op zo'n manier dat de van de verwerkingsverantwoordelijken verwachte acties aan een bepaalde regio binnen de EU worden gekoppeld (bv. door specifieke kwalificatievereisten).
  5. Daarnaast kan het vrije verkeer van persoonsgegevens binnen de Unie ook worden gehinderd indien de toezichthoudende autoriteiten zonder gerechtvaardigde reden verschillende besluiten nemen in identieke of vergelijkbare situaties (bv. in termen van sector of soort verwerking). Een gebrek aan uniformiteit kan het gelijke speelveld binnen de EU immers in gevaar brengen, tot tegenstrijdige situaties in de EU leiden en een risico van forum shopping teweegbrengen. In dit verband moet rekening worden gehouden met specifieke nationale kenmerken, zoals toegestaan door de AVG met betrekking tot bepaalde sectoren, zoals gezondheidszorg, journalistiek of archivering.

11 Artikel 1, lid 3, AVG.

Footnotes

  1. Verwijzingen naar 'lidstaten' in dit document moeten worden gelezen als verwijzingen naar 'lidstaten van de EER'.

  2. Zie de bewoordingen van artikel 60, lid 4, AVG.

  3. In de Oxford English Dictionary wordt 'relevant' gedefinieerd als ' bearing on or connected with the matter in hand; closely relating to the subject or point at issue; pertinent to a specified thing ' ('relevant, adj.' OED Online , Oxford University Press, juni 2020, www.oed.com/view/Entry/161893. Geraadpleegd op 24 juli 2020).

  4. In de Oxford English Dictionary wordt 'reasoned' gedefinieerd als 'characterised by or based on reasoning; carefully studied' ('reasoned, adj.2.' OED Online, Oxford University Press, juni 2020, www.oed.com/view/Entry/159078. Geraadpleegd op 24 juli 2020).

  5. Zie bijvoorbeeld WP 248 rev.01 Richtsnoeren voor gegevensbeschermingseffectbeoordelingen en bepaling of een verwerking 'waarschijnlijk een hoog risico inhoudt' in de zin van Verordening 2016/679.