Op 25 en 26 september ll. hebben de Europese gegevensbeschermingsautoriteiten, verzameld in het Europees Comité voor Gegevensbescherming (European Data Protection Board of EDPD), hun derde plenaire vergadering gehouden sedert de oprichting van het orgaan bij het inwerking treden van de GDPR. Tijdens deze derde plenaire vergadering werden enkele zeer interessante onderwerpen besproken, die een directe impact kunnen hebben op ondernemers in België.

Wat is de European Data Protection Board

De European Data Protection Board is de opvolger van wat vroeger bekend stond als “Working Party 29″. Het is het overlegorgaan tussen de verschillende gegevensbeschermingautoriteiten van de EU-lidstaten. De GDPR is immers een Europese verordening die een eengemaakt rechtssysteem voor dataverwerking tot stand moet brengen in de ganse EU, maar zulks is alleen mogelijk als er permanent overleg is tussen de lidstaten over lokale implementatie en impact van die GDPR, vanzelfsprekend. Het is dat overlegorgnaan dat eind september voor de derde keer formeel vergaderde en onderstaande punten op de agenda had.

EU-Japan adequaatheidsbesluit

De bestuursleden bespraken het EU-Japan ontwerp-adequaatheidsbesluit dat zij van Commissaris Věra Jourová hebben ontvangen en zijn gevraagd om een ​​mening te geven over. Het bestuur zal het ontwerpbesluit nu grondig herzien. De raad is vastbesloten om rekening te houden met de brede impact van het ontwerpbesluit inzake toereikendheid, en met de noodzaak om persoonsgegevens in de EU te beschermen. We hebben de voorbije weken op onze blogpagina’s al enkele keren bericht over een aantal niet-EU landen die de voorbije maanden gestart zijn met de voorbereiding van een “GDPR-achtige” wetgeving. Onder andere California en Brazilië werken aan wetgeving die de bescherming van de burger bij verwerking van zijn persoonsgegevens moet versterken. Dat is belangrijk voor Europese bedrijven die in die landen actief zijn of data uitwisselen met die landen. Zogenoemde “data export” buiten de EU is immers enkel mogelijk onder strikte voorwaarden en enkel als men kan garanderen dat de betreffende persoonsgegevens in dat derde landen een gelijkaardig niveau van bescherming zullen krijgen als binnen de EU. Eén van de makkelijkste manieren om data te exporteren is wanneer men dat doet naar een land dat opgenomen is op een lijst van de EU met “veilige” landen, landen die op basis van een “adequaatheidsbesluit” van de EU geacht worden een gelijkwaardig niveau van bescherming te bieden als de EU zelf. Die lijst is voorlopig zeer kort, amper 11 landen staan erop. Er staan heel wat weinig praktische “landen op als Jersey, Guernsey, Andorra of de Faroër eilanden en enkele meer “nuttige” bestemmingen als Argentinië, Canada, Israël of Zwitserland. Als data geëxporteerd wordt naar een land dat niet op deze korte lijst staat, zijn andere waarborgen nodig. Voor meer informatie daarover kan u steeds cotnact opnemen met ons team op info@siriuslegal.be. Het goede nieuws is nu dat de EU werkt aan een uitbreiding van deze lijst. Japan zou eraan toegevoegd worden en dit als rechtstreeks gevolg van recente handelsakkoorden met Japan én van het feit dat Japan zelf werkt aan een eigen “GDPR”, die de nodige waarborgen moet bieden. data exporteren naar en van Japan wordt dus in de toekomst wellicht eenvoudiger.

Data Protection Impact Assessment-standaarden

De GDPR voorziet dat in een aantal gevallen voorafgaand aan de verwerking van persoonsgegevens een zogenaamde Data Protection Impact Assessment moet plaatsvinden. Dat is het geval als er een aanwijsbaar “risico” voor de betrokken verbonden is aan de verwerking die men wil verrichten. De GDPR legt aan elk van de lidstaten de verplichting op om een lijst op te stellen van gevallen waarin een DPIA verplicht is, iets wat alle lidstaten inmiddels gedaan hebben. De EDPB heeft op har plenaire vergadering nu al deze nationale adviezen samen gelegd en op basis daarvan overeenstemming overeenstemming bereikt over een set gemeenschappelijke criteria voor DPIA’s in Europa. Deze lijsten vormen een belangrijk hulpmiddel voor de consistente toepassing van de GDPR in de hele EU. De EDPB ontving 22 nationale lijsten met een totaal van 260 verschillende soorten verwerking. De EDPB-voorzitter, Andrea Jelinek, zei: “Het is een enorme opgave geweest voor de leden van de raad en het secretariaat van de EDPB om al deze lijsten te onderzoeken en gemeenschappelijke criteria vast te stellen voor wat een DPIA teweegbrengt en wat niet. Het was een uitstekende gelegenheid voor de EDPB om de mogelijkheden en uitdagingen van consistentie in de praktijk te testen. De AVG vereist geen volledige harmonisatie of een ‘EU-lijst’, maar vereist wel meer consistentie, wat we in deze 22 adviezen hebben bereikt door overeenstemming te bereiken over een gemeenschappelijke visie. ‘

Richtlijnen voor territoriale reikwijdte

De EDPB nam nieuwe ontwerprichtsnoeren aan, die zullen bijdragen tot een gemeenschappelijke interpretatie van de territoriale werkingssfeer van de GDPR en verdere verduidelijking geven over de toepassing van de GDPR in verschillende situaties, met name wanneer de verantwoordelijke voor de verwerking of de verwerker buiten de EU is gevestigd, waaronder de aanwijzing van een vertegenwoordiger binnen de EU door deze bedrijven.

Vragen over GDPR of databescherming in het algemeen binnen en buiten de EU?