Resolutie van het Europees Parlement van 25 maart 2021 over het evaluatieverslag van de Commissie over de toepassing van de algemene verordening gegevensbescherming, twee jaar na de inwerkingtreding (2020/2717(RSP))
Resolutie van het Europees Parlement van 25 maart 2021 over het evaluatieverslag van de Commissie over de toepassing van de algemene verordening gegevensbescherming, twee jaar na de inwerkingtreding (2020/2717(RSP))
8.12.2021 | NL | Publicatieblad van de Europese Unie | C 494/129 |
P9_TA(2021)0111
Evaluatieverslag van de Commissie over de toepassing van de algemene verordening gegevensbescherming, twee jaar na de inwerkingtreding
Resolutie van het Europees Parlement van 25 maart 2021 over het evaluatieverslag van de Commissie over de toepassing van de algemene verordening gegevensbescherming, twee jaar na de inwerkingtreding (2020/2717(RSP))
(2021/C 494/11)
Het Europees Parlement,
— | gezien artikel 8 van het Handvest van de grondrechten van de Europese Unie, |
— | gezien artikel 16 van het Verdrag betreffende de werking van de Europese Unie, |
— | gezien Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming) (AVG) (1), |
— | gezien de verklaring van de Commissie van 24 juni 2020 over de mededeling van de Commissie aan het Europees Parlement en de Raad over gegevensbescherming als pijler van zeggenschap van de burger en de EU-aanpak van de digitale transformatie — twee jaar toepassing van de algemene verordening gegevensbescherming, |
— | gezien de mededeling van de Commissie aan het Europees Parlement en de Raad van 24 juni 2020 over gegevensbescherming als pijler van zeggenschap van de burger en de EU-aanpak van de digitale transformatie — twee jaar toepassing van de algemene verordening gegevensbescherming (COM(2020)0264), |
— | gezien de mededeling van de Commissie van 24 juli 2019, getiteld “Gegevensbeschermingsregels als basis voor vertrouwen in de EU en daarbuiten — een inventarisatie” (COM(2019)0374), |
— | gezien de bijdrage van het Europees Comité voor gegevensbescherming (EDPB) aan de evaluatie van de AVG uit hoofde van artikel 97, vastgesteld op 18 februari 2020 (2), |
— | gezien het eerste overzicht van het EDPB van de uitvoering van de AVG en de rol en middelen van de nationale toezichthoudende autoriteiten van 26 februari 2019 (3), |
— | gezien de richtsnoeren die het EDPB heeft vastgesteld uit hoofde van artikel 70, lid 1, onder e), van de AVG, |
— | gezien artikel 132, lid 2, van zijn Reglement, |
— | gezien de ontwerpresolutie van de Commissie burgerlijke vrijheden, justitie en binnenlandse zaken, |
A. | overwegende dat de algemene verordening gegevensbescherming sinds 25 mei 2018 van toepassing is; overwegende dat alle lidstaten, met uitzondering van Slovenië, nieuwe wetgeving hebben vastgesteld of hun nationale wetgeving inzake gegevensbescherming hebben aangepast; |
B. | overwegende dat volgens de enquête over de grondrechten die werd verricht door het Bureau van de Europese Unie voor de grondrechten, personen steeds beter bewust worden van hun rechten uit hoofde van de AVG; overwegende dat personen met problemen blijven kampen wanneer ze hun rechten proberen uit te oefenen, met name het recht op toegang, portabiliteit en betere transparantie, ondanks het feit dat organisaties maatregelen hebben getroffen om de uitoefening van de rechten van betrokkenen te vergemakkelijken; |
C. | overwegende dat toezichthoudende autoriteiten sinds het begin van de toepassing van de AVG een enorm toegenomen aantal klachten hebben ontvangen; overwegende dat hieruit blijkt dat betrokkenen zich meer bewust zijn van hun rechten en hun persoonsgegevens willen beschermen in overeenstemming met de algemene verordening gegevensbescherming; overwegende dat dit ook aantoont dat er nog steeds heel veel onrechtmatige gegevensverwerkingsactiviteiten plaatsvinden; |
D. | overwegende dat veel bedrijven de overgangsperiode tussen de inwerkingtreding van de AVG en het ogenblik waarop de AVG van toepassing werd, hebben gebruikt voor een “grote schoonmaak” van hun gegevens om na te gaan welke gegevensverwerking daadwerkelijk plaatsvindt en welke gegevensverwerking niet langer nodig of gerechtvaardigd zou zijn; |
E. | overwegende dat veel gegevensbeschermingsautoriteiten het huidige aantal klachten niet aankunnen; overwegende dat veel gegevensbeschermingsautoriteiten kampen met een gebrek aan personeel en middelen en over onvoldoende IT-deskundigen beschikken; |
F. | overwegende dat in de AVG wordt onderkend dat de regels betreffende de vrijheid van meningsuiting en van informatie, met inbegrip van journalistieke, academische, artistieke en/of literaire uitdrukkingsvormen, in de wetgeving van de lidstaten in overeenstemming moeten worden gebracht met het recht op bescherming van persoonsgegevens; overwegende dat volgens artikel 85 de wetgeving van de lidstaten moet voorzien in uitzonderingen bij het verwerken van gegevens voor journalistieke doeleinden of ten behoeve van academische, artistieke of literaire uitdrukkingsvormen indien deze noodzakelijk zijn om het recht op bescherming van persoonsgegevens in overeenstemming te brengen met de vrijheid van meningsuiting en van informatie; |
G. | overwegende dat de bescherming van journalistieke bronnen de hoeksteen vormt van de persvrijheid, zoals ook beklemtoond door het Europees Comité voor gegevensbescherming; overwegende dat de AVG niet mag dienen om tegen journalisten te worden gebruikt of de toegang tot informatie te beperken; overwegende dat zij in geen geval door nationale autoriteiten mag worden gebruikt om de mediavrijheid te onderdrukken; |
Algemene opmerkingen
1. | is verheugd over het feit dat de AVG een mondiale standaard voor de bescherming van persoonsgegevens is geworden en een factor van convergentie bij de ontwikkeling van normen is; is ingenomen met het feit dat de AVG de EU een voortrekkersrol heeft bezorgd in de internationale besprekingen over gegevensbescherming en dat een aantal derde landen hun wetgeving inzake gegevensbescherming heeft afgestemd op de AVG; wijst erop dat Verdrag 108 tot bescherming van personen met betrekking tot de geautomatiseerde verwerking van persoonsgegevens van de Raad van Europa is afgestemd op de AVG (“Verdrag 108+”) en reeds door 42 landen is ondertekend; verzoekt de Commissie en de lidstaten met klem dit momentum te benutten om op het niveau van de VN, de OESO, G8 en G20 aan te dringen op de vaststelling van internationale normen die zijn vormgegeven aan de hand van Europese waarden en beginselen, zonder afbreuk te doen aan de AVG; onderstreept dat een dominante Europese positie op dit gebied ons continent zou helpen de rechten van onze burgers beter te verdedigen, onze waarden en beginselen te waarborgen, betrouwbare digitale innovatie te bevorderen en de economische groei te versnellen door versnippering te vermijden; |
2. | concludeert twee jaar na de inwerkingtreding ervan dat de AVG een algemeen succes is gebleken, en is het met de Commissie eens dat het in dit stadium niet nodig is de wetgeving te actualiseren of te herzien; |
3. | onderkent dat de nadruk tot de volgende evaluatie van de Commissie moet blijven liggen op de verbetering van de tenuitvoerlegging en op maatregelen ter versterking van de handhaving van de AVG; |
4. | beseft dat een krachtige en doeltreffende handhaving van de AVG noodzakelijk is bij grote digitale platforms, geïntegreerde ondernemingen en andere digitale diensten, met name op het gebied van onlinereclame, microtargeting, profilering aan de hand van algoritmen, en de rangschikking, verspreiding en verveelvoudiging van inhoud; |
Rechtsgrond voor verwerking
5. | onderstreept dat alle zes de rechtsgronden voorzien in artikel 6 AVG geldige gronden zijn voor de verwerking van persoonsgegevens en dat eenzelfde verwerking onder meer dan één grondslag kan vallen; dringt er bij de toezichthoudende autoriteiten op aan te specificeren dat verwerkingsverantwoordelijken voor elke verwerking niet meer dan één rechtsgrond mogen gebruiken en dat zij moeten aangeven hoe elke rechtsgrond bij hun verwerkingsactiviteiten wordt toegepast; maakt zich zorgen over het feit dat verwerkingsverantwoordelijken vaak alle rechtsgronden van de AVG in hun privacybeleid vermelden zonder verdere toelichting en zonder te verwijzen naar de specifieke betrokken verwerking; begrijpt dat deze praktijk de mogelijkheden van betrokkenen en toezichthoudende autoriteiten belemmert om na te gaan of deze rechtsgronden passend zijn; herinnert eraan dat bijzondere categorieën van persoonsgegevens slechts mogen worden verwerkt op voorwaarde dat er uit hoofde van artikel 6 een rechtsgrond en uit hoofde van artikel 9 een afzonderlijke voorwaarde is vastgesteld; herinnert verwerkingsverantwoordelijken aan hun wettelijke verplichting om een gegevensbeschermingseffectbeoordeling te verrichten wanneer de gegevensverwerking waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen; |
6. | herinnert eraan dat vanaf het begin van de toepassing van de AVG onder “toestemming” elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting van de betrokkene wordt verstaan; onderstreept dat dit ook geldt voor de e-privacyrichtlijn; merkt op dat van geldige toestemming in de praktijk nog steeds niet altijd sprake is door het gebruik van misleidende interfaceontwerpen, alomtegenwoordige tracking en andere onethische praktijken; is bezorgd over het feit dat personen vaak onder financiële druk worden gezet om toestemming te geven in ruil voor kortingen of andere commerciële aanbiedingen, of dat zij gedwongen zijn toestemming te verlenen doordat het recht op toegang tot een dienst onderdeel is van koppelverkoop, hetgeen in strijd is met artikel 7 van de AVG; wijst op de geharmoniseerde regels van het EDPB over hetgeen geldige toestemming vormt, die een vervanging vormen van de verschillende interpretaties door de vele nationale gegevensbeschermingsautoriteiten en beogen versnippering van de digitale eengemaakte markt te voorkomen; wijst ook op de richtsnoeren van het EDPB en de Commissie, waarin wordt bepaald dat in gevallen waarin de betrokkene aanvankelijk toestemming heeft gegeven maar de persoonsgegevens verder worden verwerkt voor een ander doeleinde dan dat waarvoor de gegevens aanvankelijk zijn verzameld, de aanvankelijke toestemming geen rechtvaardiging kan vormen voor verdere verwerking, aangezien voor geldige toestemming vereist is dat deze geïnformeerd en specifiek is; neemt kennis van de aanstaande richtsnoeren van het EDPB over de verwerking van persoonsgegevens voor wetenschappelijk onderzoek, die duidelijkheid zullen verschaffen over de betekenis van overweging 50 van de AVG; |
7. | is bezorgd dat “gerechtvaardigd belang” heel vaak oneigenlijk vermeld wordt als rechtsgrond voor de verwerking; wijst erop dat de verwerkingsverantwoordelijken zich blijven beroepen op het gerechtvaardigde belang zonder de vereiste belangenafweging te maken, die een beoordeling van de grondrechten omvat; maakt zich met name zorgen over het feit dat sommige lidstaten nationale wetgeving goedkeuren waarin op basis van het gerechtvaardigde belang voorwaarden voor verwerking worden vastgesteld waarbij de belangen van de verwerkingsverantwoordelijke respectievelijk die van de betrokkenen worden afgewogen, hoewel de AVG elke verwerkingsverantwoordelijke ertoe verplicht deze belangenafweging slechts in individuele gevallen toe te passen en slechts in individuele gevallen van deze rechtsgrond gebruik te maken; maakt zich zorgen over het feit dat de interpretatie van “gerechtvaardigd belang” in sommige lidstaten overweging 47 niet eerbiedigt en de verwerking van gegevens op basis van gerechtvaardigde belangen feitelijk onmogelijk maakt; is ingenomen met het feit dat het EDPB reeds is begonnen met de werkzaamheden voor het actualiseren van het advies van de Groep gegevensbescherming artikel 29 over de toepassing van een gerechtvaardigd belang als rechtsgrond voor verwerking met het oog op het aanpakken van de problemen waarop in het verslag van de Commissie wordt gewezen; |
Rechten van betrokkenen
8. | benadrukt dat de uitoefening van de individuele rechten waarin de AVG voorziet, zoals gegevensportabiliteit of rechten in het kader van geautomatiseerde verwerking, met inbegrip van profilering, moet worden vergemakkelijkt; is ingenomen met de richtsnoeren van het EDPB met betrekking tot geautomatiseerde besluitvorming en gegevensportabiliteit; merkt op dat het recht op gegevensportabiliteit in verschillende sectoren niet volledig ten uitvoer wordt gelegd; verzoekt het EDPB onlineplatforms ertoe aan te sporen één loket op te zetten voor al hun onderliggende digitale platforms, van waaruit vragen van gebruikers kunnen worden doorgestuurd naar de correcte ontvanger; wijst erop dat de toepassing van het recht op anonimiteit overeenkomstig het beginsel van gegevensminimalisering doeltreffend de ongeoorloofde bekendmaking van gegevens, identiteitsdiefstal en andere vormen van misbruik van persoonsgegevens voorkomt; |
9. | wijst erop dat naleving van het recht van inzage vereist dat bedrijven gegevens verstrekken op een beknopte, transparante, begrijpelijke en vlot toegankelijke manier en dat zij een legalistische aanpak moeten vermijden wanneer zij kennisgevingen over gegevensbescherming opstellen; is bezorgd dat sommige bedrijven hun verplichtingen uit hoofde van artikel 12, lid 1, AVG nog steeds niet nakomen en de relevante informatie zoals aanbevolen door het EDPB, waaronder de lijst met namen van entiteiten waarmee zij gegevens uitwisselen, niet verstrekken; herinnert eraan dat de verplichting om eenvoudige en toegankelijke informatie te verstrekken bijzonder streng is wanneer er kinderen bij betrokken zijn; maakt zich zorgen over het wijdverspreide gebrek aan behoorlijk functionerende toegangsmechanismen voor betrokkenen; wijst erop dat personen vaak niet in staat zijn internetplatforms ertoe te dwingen inzage te bieden in hun eigen gedragsprofielen; is bezorgd dat bedrijven maar al te vaak het feit negeren dat afgeleide gegevens ook persoonsgegevens zijn, die onderworpen zijn aan alle waarborgen uit hoofde van de AVG; |
Kleine ondernemingen en organisaties
10. | constateert dat sommige belanghebbenden verklaard hebben dat de toepassing van de AVG een grote uitdaging is gebleken, met name voor kleine en middelgrote ondernemingen (kmo’s), startende ondernemingen, organisaties en verenigingen, waaronder scholen, clubs en genootschappen; merkt echter op dat veel rechten en plichten in de AVG niet nieuw zijn maar reeds van kracht waren uit hoofde van Richtlijn 95/46/EG (4), maar nauwelijks werden gehandhaafd; is van mening dat de AVG en de handhaving ervan niet tot onbedoelde effecten voor de naleving door kleinere ondernemingen moet leiden waarmee grote ondernemingen niet te maken krijgen; is van mening dat er meer steun, informatie en opleiding beschikbaar moet worden gesteld door de nationale autoriteiten en meer informatiecampagnes door de Commissie moeten worden gehouden om de kennis en het bewustzijn van de vereisten en het doeleinde van de AVG te vergroten en de kwaliteit van de uitvoering te verbeteren; |
11. | wijst erop dat er geen afwijkingen gelden voor kmo’s, startende ondernemingen, organisaties en verenigingen, waaronder scholen, clubs en genootschappen, en dat zij binnen het toepassingsgebied van de AVG vallen; verzoekt het EDPB daarom duidelijke informatie te verstrekken om verwarring over de interpretatie van de AVG te voorkomen, en een praktisch AVG-hulpmiddel te creëren om de toepassing van de AVG door kmo’s, startende ondernemingen, organisaties en verenigingen, waaronder scholen, clubs en genootschappen, met weinig risicovolle verwerkingsactiviteiten te vergemakkelijken; verzoekt de lidstaten voldoende middelen ter beschikking te stellen voor de gegevensbeschermingsautoriteiten zodat zij informatie over deze praktische hulpmiddelen kunnen verspreiden; spoort het EDPB aan modellen voor het privacybeleid te ontwikkelen die organisaties kunnen gebruiken om te laten zien dat zij de AVG in de praktijk daadwerkelijk naleven, zonder hun toevlucht te hoeven nemen tot dure diensten van derden; |
Handhaving
12. | spreekt zijn bezorgdheid uit over de ongelijke en soms ontbrekende handhaving van de AVG door de nationale gegevensbeschermingsautoriteiten meer dan twee jaar na het begin van de toepassing ervan, en betreurt derhalve dat de handhavingssituatie niet aanzienlijk is verbeterd vergeleken met de situatie onder Richtlijn 95/46/EG; |
13. | neemt er nota van dat in de eerste 18 maanden van toepassing van de AVG circa 275 000 klachten werden ingediend en 785 administratieve boetes werden opgelegd naar aanleiding van verschillende soorten overtredingen, maar wijst erop dat tot dusver slechts een zeer klein deel van de ingediende klachten is opgevolgd; is zich bewust van de problemen die door inbreuken in verband met persoonsgegevens worden veroorzaakt, en herinnert aan de huidige EDPB-richtsnoeren die duidelijkheid verschaffen over onder meer het tijdschema voor kennisgeving, communicatie met de betrokkenen en rechtsmiddelen; wijst erop dat een Europees standaardformulier voor de kennisgeving van inbreuken in verband met persoonsgegevens bevorderlijk kan zijn voor de harmonisatie van uiteenlopende nationale benaderingen; betreurt echter dat de hoogte van de boetes per lidstaat aanzienlijk verschilt en dat sommige boetes aan grote ondernemingen te laag zijn om het bedoelde afschrikkende effect in verband met inbreuken op de gegevensbescherming te sorteren; verzoekt de gegevensbeschermingsautoriteiten om de handhaving, vervolging en sanctionering van inbreuken op de gegevensbescherming te verbeteren en om de mogelijkheden die in de AVG worden geboden om boetes op te leggen en andere corrigerende maatregelen toe te passen, ten volle te benutten; beklemtoont dat een verbod op verwerking of de verplichting om persoonsgegevens te verwijderen die zijn verworven op een manier die niet overeenkomt met de AVG eenzelfde, zo niet sterker afschrikkend effect kan hebben dan boetes; verzoekt de Commissie en het EDPB de boetes te harmoniseren door middel van richtsnoeren en duidelijke criteria, zoals de conferentie van Duitse toezichthoudende autoriteiten heeft gedaan, teneinde de rechtszekerheid te vergroten en te voorkomen dat bedrijven zich vestigen op plaatsen waar de laagste boetes worden opgelegd; |
14. | is bezorgd over de duur van de onderzoeken van zaken door sommige gegevensbeschermingsautoriteiten en over de negatieve gevolgen daarvan voor de doeltreffende handhaving en het vertrouwen van de burgers; verzoekt de gegevensbeschermingsautoriteiten met klem zaken sneller af te handelen en alle mogelijkheden te benutten die door de AVG geboden worden, in het bijzonder wanneer er sprake is van systematische en aanhoudende inbreuken, met inbegrip van inbreuken met winstoogmerk en een groot aantal getroffen betrokkenen; |
15. | is bezorgd over het feit dat de toezichthoudende autoriteiten van 21 lidstaten van de in totaal 31 staten die de AVG toepassen, namelijk de lidstaten van de Europese Unie, de lidstaten van de Europese Economische Ruimte en het Verenigd Koninkrijk, expliciet hebben verklaard dat zij niet over voldoende personele, technische en financiële middelen, gebouwen en infrastructuur beschikken om doeltreffend hun taken uit te voeren en hun bevoegdheden uit te oefenen; maakt zich zorgen over het gebrek aan speciaal daarvoor bedoeld technisch personeel bij de meeste toezichthoudende autoriteiten in de EU, waardoor onderzoeken en handhaving worden bemoeilijkt; merkt met bezorgdheid op dat de toezichthoudende autoriteiten onder druk staan wegens de toenemende wanverhouding tussen hun verantwoordelijkheden om persoonsgegevens te beschermen en hun middelen om dat te doen; merkt op dat digitale diensten steeds complexer zullen worden gezien het toenemende gebruik van innovaties zoals artificiële intelligentie (waardoor problemen met de transparantie van de gegevensverwerking, vooral met betrekking tot leeralgoritmen, zullen worden verergerd); wijst er derhalve op dat het van belang is dat de toezichthoudende autoriteiten van de EU en het EDPB over voldoende financiële, technische en personele middelen beschikken om een toenemend aantal middelenintensieve en complexe zaken snel maar grondig te kunnen behandelen, en de samenwerking tussen de nationale gegevensbeschermingsautoriteiten te coördineren en te vergemakkelijken, om naar behoren toezicht te houden op de toepassing van de AVG, en om de grondrechten en fundamentele vrijheden te beschermen; uit zijn bezorgdheid over het feit dat ontoereikende middelen voor gegevensbeschermingsautoriteiten, met name wanneer hun middelen worden vergeleken met de inkomsten van grote IT-bedrijven, kunnen leiden tot afspraken over schikkingen, aangezien dit de kostprijs van langdurige en omslachtige procedures zou beperken; |
16. | verzoekt de Commissie de mogelijkheid na te gaan om grote multinationale technologiebedrijven voor hun eigen toezicht te laten betalen door middel van de invoering van een EU-digibelasting; |
17. | wijst met bezorgdheid op het feit dat het gebrek aan handhaving door de gegevensbeschermingsautoriteiten en het feit dat de Commissie niet ingrijpt om iets te doen aan het gebrek aan middelen van de gegevensbeschermingsautoriteiten, de burgers er individueel toe dwingt om voor handhaving te zorgen en kwesties in verband met gegevensbescherming voor de rechter te brengen; vindt het zorgwekkend dat rechtbanken soms opdracht geven om individuele eisers schadeloos te stellen zonder de betrokken organisatie of onderneming te gelasten een oplossing te bieden voor structurele problemen; is van mening dat particuliere handhaving wel kan leiden tot belangrijke jurisprudentie, maar dat dit geen vervangmiddel is voor handhaving door de gegevensbeschermingsautoriteiten of voor een ingrijpen van de Commissie om het gebrek aan middelen te verhelpen; betreurt het feit dat deze lidstaten inbreuk plegen op artikel 52, lid 4, AVG; verzoekt de lidstaten derhalve te voldoen aan hun wettelijke verplichting uit hoofde van artikel 52, lid 4, om voldoende financiële middelen toe te wijzen aan hun gegevensbeschermingsautoriteiten zodat zij hun werkzaamheden optimaal kunnen uitvoeren en kunnen zorgen voor een Europees gelijk speelveld bij de handhaving van de AVG; betreurt dat de Commissie nog geen inbreukprocedures heeft ingeleid tegen lidstaten die hun verplichtingen uit hoofde van de AVG niet zijn nagekomen, en dringt er bij de Commissie op aan dit onverwijld te doen; verzoekt de Commissie en het EDPB een follow-up te organiseren van de mededeling van de Commissie van 24 juni 2020 over de beoordeling van de werking en de handhaving van de AVG; |
18. | betreurt het dat de meerderheid van de lidstaten heeft besloten artikel 80, lid 2, van de AVG niet toe te passen; verzoekt alle lidstaten gebruik te maken van artikel 80, lid 2, en uitvoering te geven aan het recht om een klacht in te dienen en naar de rechter te stappen zonder daartoe door een betrokkene gemachtigd te zijn; verzoekt de lidstaten om verduidelijking van de positie van eisers tijdens rechtszaken in het nationale administratieve procesrecht dat van toepassing is op toezichthoudende autoriteiten; wijst erop dat dit moet verduidelijken dat de eisers tijdens de procedure niet beperkt zijn tot een passieve rol, maar dat zij in verschillende stadia moeten kunnen interveniëren; |
Samenwerking en samenhang
19. | wijst erop dat de zwakke handhaving met name blijkt in geval van grensoverschrijdende klachten, en betreurt dat de gegevensbeschermingsautoriteiten in 14 lidstaten niet over de juiste middelen beschikken om bij te dragen aan samenwerkings- en coherentiemechanismen; verzoekt het EDPB zijn inspanningen op te voeren om de correcte toepassing van de artikelen 60 en 63 van de AVG te waarborgen, en herinnert de toezichthoudende autoriteiten eraan dat zij in uitzonderlijke omstandigheden gebruik kunnen maken van de spoedprocedure van artikel 66 AVG, met name van de voorlopige maatregelen; |
20. | onderstreept dat het één-loketmechanisme belangrijk is omdat het rechtszekerheid biedt en de administratieve lasten van zowel bedrijven als burgers vermindert; maakt zich echter ernstig zorgen over de werking van dit mechanisme, met name in verband met de rol van de Ierse en Luxemburgse gegevensbeschermingsautoriteiten; merkt op dat deze gegevensbeschermingsautoriteiten verantwoordelijk zijn voor de behandeling van een groot aantal zaken, omdat tal van technologiebedrijven hun EU-hoofdzetel in Ierland en Luxemburg hebben gevestigd; maakt zich met name zorgen over het feit dat de Ierse gegevensbeschermingsautoriteit de meeste zaken doorgaans besluit met een schikking in plaats van een sanctie en dat zaken die in 2018 aan Ierland werden voorgelegd, nog niet eens het stadium van een ontwerpbesluit overeenkomstig artikel 60, lid 3, van de AVG hebben bereikt; verzoekt deze gegevensbeschermingsautoriteiten spoed te zetten achter hun lopende onderzoeken naar belangrijke zaken om de EU-burgers te laten zien dat gegevensbescherming een afdwingbaar recht is in de EU; wijst erop dat het welslagen van het “één-loketmechanisme” afhangt van de tijd en inspanningen die de gegevensbeschermingsautoriteiten kunnen besteden aan de behandeling van en samenwerking in verband met individuele grensoverschrijdende gevallen in het EDPB, en dat het gebrek aan politieke wil en middelen onmiddellijk gevolgen heeft voor de correcte werking van dit mechanisme; |
21. | merkt tegenstrijdigheden op tussen de richtsnoeren van de lidstaten en de richtsnoeren van het EDPB; wijst erop dat de nationale gegevensbeschermingsautoriteiten tot verschillende interpretaties van de AVG kunnen komen, met uiteenlopende toepassingen in de lidstaten tot gevolg; merkt op dat deze situatie zowel geografische voordelen als nadelen voor ondernemingen creëert; verzoekt de Commissie met klem te beoordelen of de nationale administratieve procedures een belemmering vormen voor de optimale werking van de samenwerking in het kader van artikel 60 AVG, alsook voor de doeltreffende toepassing ervan; verzoekt de gegevensbeschermingsautoriteiten te streven naar coherente interpretaties en richtsnoeren die via het EDPB worden gefaciliteerd; verzoekt het EDPB in het bijzonder de basiselementen vast te stellen van een gemeenschappelijke administratieve procedure om klachten in grensoverschrijdende zaken te behandelen in het kader van de samenwerking voorzien in artikel 60; dringt erop aan dat dit moet gebeuren onder inachtneming van gemeenschappelijke termijnen voor het verrichten van onderzoeken en het vaststellen van besluiten; verzoekt het EDPB het coherentiemechanisme te versterken en het verplicht te stellen voor elke aangelegenheid die algemeen van toepassing is of die grensoverschrijdende gevolgen heeft, teneinde een inconsistente aanpak en onsamenhangende besluiten van afzonderlijke gegevensbeschermingsautoriteiten te voorkomen, aangezien deze de eenduidige interpretatie en eenvormige toepassing van de AVG in gevaar kunnen brengen; is van mening dat deze gemeenschappelijke interpretatie, toepassing en richtsnoeren zullen bijdragen aan de totstandkoming en het welslagen van de digitale eengemaakte markt; |
22. | verzoekt het EDPB zijn vergaderingsagenda voorafgaand aan zijn vergaderingen bekend te maken en uitvoerigere samenvattingen van zijn vergaderingen te bezorgen aan het publiek en aan het Parlement; |
Versnippering van de uitvoering van de AVG
23. | betreurt dat het gebruik door de lidstaten van facultatieve specificatieclausules (bijv. verwerking in het algemeen belang of door overheidsinstanties op basis van de wetgeving van de lidstaat en de leeftijd waarop kinderen toestemming kunnen geven) schadelijk is geweest voor de verwezenlijking van volledige harmonisatie van de gegevensbescherming en voor het wegwerken van uiteenlopende marktvoorwaarden voor bedrijven in de gehele EU, en spreekt zijn bezorgdheid uit over het feit dat dit de kosten van de naleving van de AVG kan opdrijven; verzoekt het EDPB te komen met richtsnoeren over de manier waarop moet worden omgegaan met de uiteenlopende toepassing van facultatieve specificatieclausules in de lidstaten; verzoekt de Commissie haar bevoegdheden aan te wenden om in te grijpen in lidstaten waar nationale maatregelen, acties en besluiten ingaan tegen de geest, de doelstellingen en de tekst van de AVG, teneinde ongelijke bescherming voor burgers en marktverstoring te voorkomen; wijst er in dit verband op dat de lidstaten verschillende leeftijdsgrenzen hanteren voor ouderlijke toestemming; verzoekt de Commissie en de lidstaten derhalve te beoordelen wat de effecten van de versnippering zijn op de onlineactiviteiten van kinderen en hun onlinebescherming; benadrukt dat in het geval van strijdigheid tussen de nationale wetgeving van een lidstaat en de AVG de bepalingen van de AVG voorrang moeten hebben; |
24. | spreekt zijn ernstige bezorgdheid uit over het feit dat de overheidsinstanties van sommige lidstaten de AVG misbruiken om journalisten en niet-gouvernementele organisaties in hun werk te beknotten; is het volkomen eens met de Commissie dat gegevensbeschermingsvoorschriften geen nadelige gevolgen mogen hebben voor de vrijheid van meningsuiting en de vrijheid van informatie door een afschrikkend effect te sorteren of door te worden beschouwd als een manier om druk uit te oefenen op journalisten of hun bronnen te onthullen; is echter teleurgesteld dat de Commissie haar beoordeling betreffende de afweging van het recht op bescherming van persoonsgegevens enerzijds en de vrijheid van meningsuiting en van informatie anderzijds, zoals voorzien in artikel 85 AVG, nog steeds niet heeft voltooid; verzoekt de Commissie haar beoordeling van de nationale wetgeving in dit verband zo spoedig mogelijk te voltooien en alle beschikbare instrumenten, waaronder inbreukprocedures, te gebruiken om te waarborgen dat de lidstaten de AVG naleven en om versnippering van het gegevensbeschermingskader te beperken; |
Gegevensbescherming door ontwerp
25. | verzoekt de toezichthoudende autoriteiten de tenuitvoerlegging van artikel 25 inzake gegevensbescherming door ontwerp en door standaardinstellingen te evalueren, met name om te zorgen voor de technische en operationele maatregelen die nodig zijn om de beginselen van gegevensminimalisering en doelbinding toe te passen, en vraagt hen het effect vast te stellen dat deze bepaling heeft gehad op fabrikanten van verwerkingstechnologieën; is ingenomen met het feit dat het EDPB in oktober 2020 Richtsnoeren 4/2019 over gegevensbescherming door ontwerp en door standaardinstellingen ingevolge artikel 25 heeft vastgesteld, teneinde bij te dragen tot de juridische duidelijkheid van de begrippen; verzoekt de toezichthoudende autoriteiten tevens het passende gebruik van standaardinstellingen te beoordelen, zoals bepaald in artikel 25, lid 2, met inbegrip van het gebruik daarvan door grote aanbieders van onlinediensten; geeft de aanbeveling dat het EDPB richtsnoeren vaststelt om te bepalen onder welke specifieke voorwaarden en in welke (categorieën van) gevallen ICT-fabrikanten moeten worden beschouwd als verwerkingsverantwoordelijken volgens artikel 4, punt 7, in die zin dat zij de middelen voor de verwerking vaststellen; wijst erop dat praktijken in verband met gegevensbescherming nog steeds grotendeels afhankelijk zijn van handmatige taken en willekeurige formats, en dat ze wemelen van incompatibele systemen; verzoekt het EDPB richtsnoeren te ontwikkelen die bijdragen aan de praktische toepassing van gegevensbeschermingsvereisten, waaronder richtsnoeren voor gegevensbeschermingseffectbeoordelingen (artikel 35), gegevensbescherming door ontwerp en door standaardinstellingen (artikel 25), informatie aan betrokkenen (artikelen 12-14), de uitoefening van de rechten van betrokkenen (artikelen 15-18 en 20-21) en registers van verwerkingsactiviteiten (artikel 30); vraagt het EDPB om te waarborgen dat die richtsnoeren gemakkelijk toepasbaar zijn en ook kunnen worden gebruikt voor de communicatie van machine naar machine tussen betrokkenen, verwerkingsverantwoordelijken en gegevensbeschermingsautoriteiten (automatisering van de gegevensbescherming); verzoekt de Commissie de machineleesbare iconen overeenkomstig artikel 12, lid 8, ten behoeve van de informatieverstrekking aan betrokkenen te ontwikkelen in nauw overleg met het EDPB; spoort het EDPB en de toezichthoudende autoriteiten ertoe aan het volledige potentieel te benutten van artikel 21, lid 5, inzake geautomatiseerde procedés om bezwaar te maken tegen de verwerking van persoonsgegevens; |
Richtsnoeren
26. | verzoekt het EDPB de praktische toepassing van gegevensbeschermingsvereisten te harmoniseren door richtsnoeren te ontwikkelen, onder meer betreffende de noodzaak om de risico’s te beoordelen die verband houden met de informatie over gegevensverwerking voor de betrokkenen (artikelen 12-14), de uitoefening van de rechten van de betrokkenen (artikelen 15-18 en 20-21) en uitvoering van het verantwoordingsbeginsel; verzoekt het EDPB richtsnoeren uit te geven die verschillende praktijkvoorbeelden met rechtmatig gebruik van profilering indelen volgens hun risico voor de rechten en vrijheden van de betrokkenen, samen met aanbevelingen voor passende technische en organisatorische maatregelen, en met een duidelijke afbakening van illegale praktijkvoorbeelden; verzoekt het EDPB om Advies 5/2014 van 10 april 2014 over anonimiseringstechnieken van de Groep gegevensbescherming artikel 29 te herzien en een lijst op te stellen met ondubbelzinnige criteria om te komen tot anonimisering; spoort het EDPB aan de gegevensverwerking voor personeelszaken te verduidelijken; neemt nota van de conclusie van het EDPB dat de noodzaak om de aan gegevensverwerking gerelateerde risico’s te beoordelen, zoals voorzien in de AVG, moet worden gehandhaafd, aangezien de risico’s voor betrokkenen geen verband houden met de grootte van verwerkingsverantwoordelijken; dringt aan op een beter gebruik van het mechanisme op grond waarvan de Commissie het EDPB om advies kan vragen over aangelegenheden die onder de AVG vallen; |
27. | merkt op dat door de COVID-19-pandemie duidelijk gebleken is dat er behoefte is aan duidelijke richtsnoeren van gegevensbeschermingsautoriteiten en het EDPB over de passende uitvoering en handhaving van de AVG in het volksgezondheidsbeleid; herinnert in dit verband aan de Richtsnoeren 03/2020 inzake de verwerking van gezondheidsgegevens voor wetenschappelijk onderzoek in het kader van de COVID-19-uitbraak en aan de Richtsnoeren 04/2020 voor het gebruik van locatiegegevens en instrumenten voor contacttracering in het kader van de uitbraak van COVID-19; verzoekt de Commissie ervoor te zorgen dat de AVG volledig wordt nageleefd bij de totstandbrenging van de gemeenschappelijke Europese ruimte voor gezondheidsgegevens; |
Internationaal persoonsgegevensverkeer en internationale samenwerking
28. | benadrukt dat het belangrijk is om vrij verkeer van persoonsgegevens op internationaal niveau mogelijk te maken zonder het door de AVG gewaarborgde beschermingsniveau te verlagen; steunt de praktijk van de Commissie om gegevensbescherming en persoonsgegevensstromen los van handelsovereenkomsten te behandelen; is van mening dat internationale samenwerking op het gebied van gegevensbescherming en de convergentie van de desbetreffende regels naar de AVG het wederzijdse vertrouwen zal bevorderen, het inzicht in technologische en juridische uitdagingen zal verbeteren, en uiteindelijk grensoverschrijdende gegevensstromen die van groot belang zijn voor de internationale handel, zal vergemakkelijken; onderkent de realiteit van tegenstrijdige wettelijke voorschriften voor ondernemingen die gegevensverwerkingsactiviteiten verrichten in de EU en in rechtsgebieden van derde landen, met name de VS; |
29. | benadrukt dat adequaatheidsbesluiten geen politieke maar juridische besluiten behoren te zijn; pleit voor verdere inspanningen ter bevordering van mondiale rechtskaders die de doorgifte van gegevens mogelijk maken op basis van de AVG en Verdrag 108+ van de Raad van Europa; merkt tevens op dat belanghebbenden adequaatheidsbesluiten als een essentieel instrument voor dergelijke gegevensstromen beschouwen, aangezien zij deze niet koppelen aan aanvullende voorwaarden of machtigingen; wijst er echter op dat tot dusver slechts voor negen landen adequaatheidsbesluiten zijn vastgesteld, ook al hebben tal van andere derde landen onlangs nieuwe gegevensbeschermingswetten aangenomen met vergelijkbare regels en beginselen als die van de AVG; merkt op dat tot dusver geen enkel mechanisme dat de legale doorgifte van commerciële persoonsgegevens tussen de EU en de VS waarborgt, de juridische toets van het Hof van Justitie van de Europese Unie (HvJ-EU) heeft doorstaan; |
30. | is ingenomen met de vaststelling van het eerste wederzijdse adequaatheidsbesluit tussen de EU en Japan, waarmee het grootste gebied van vrije en veilige gegevensstromen ter wereld tot stand is gekomen; verzoekt de Commissie evenwel alle door het Parlement aangekaarte kwesties in aanmerking te nemen bij de eerste toetsing van dit instrument en de resultaten zo spoedig mogelijk openbaar te maken, aangezien de toetsing al in januari 2021 had moeten worden afgerond; |
31. | verzoekt de Commissie de reeks criteria bekend te maken die wordt gebruikt om te bepalen of een derde land geacht wordt een “in wezen gelijkwaardig” beschermingsniveau te bieden aan dat in de EU, met name wat betreft de toegang tot rechtsmiddelen en de toegang van de overheid tot gegevens; dringt erop aan dat de doeltreffende toepassing en naleving van de bepalingen in verband met doorgiften of bekendmakingen die niet bij Unierecht zijn toegestaan als bedoeld in artikel 48 van de AVG, met name wanneer autoriteiten in derde landen verzoeken om toegang tot persoonsgegevens in de Unie, worden gegarandeerd, en verzoekt het EDBP en de gegevensbeschermingsautoriteiten richtsnoeren te verstrekken en deze bepalingen te handhaven, met inbegrip van de beoordeling en ontwikkeling van mechanismen voor de doorgifte van persoonsgegevens; |
32. | verzoekt de Commissie gedelegeerde handelingen vast te stellen met het oog op de specificatie van de vereisten die in acht moeten worden genomen bij de toepassing van het certificeringsmechanisme voor gegevensbescherming ingevolge artikel 42, lid 1, om het gebruik daarvan bij internationale doorgiften te stimuleren, samen met bindende en afdwingbare toezeggingen van de verwerkingsverantwoordelijke of de verwerker in het derde land om de passende waarborgen, onder meer voor de rechten van de betrokkenen, toe te passen, zoals voorzien in artikel 46, lid 2, onder f); |
33. | herhaalt dat grootschalige surveillanceprogramma’s die het verzamelen van bulkgegevens omvatten, het vaststellen van adequaatheid onmogelijk maken; dringt er bij de Commissie op aan de conclusies van het Hof van Justitie van de Europese Unie in de zaken Schrems I (5), II (6) en Privacy International et al (2020) (7) toe te passen op alle herzieningen van adequaatheidsbesluiten evenals op lopende en toekomstige onderhandelingen; herinnert eraan dat doorgiften op grond van afwijkingen voor specifieke situaties, zoals voorzien in artikel 49 AVG, een uitzondering moeten blijven; is ingenomen met de richtsnoeren die het EDPB en de gegevensbeschermingsautoriteiten in dit verband hebben vastgesteld, en verzoekt hen zorg te dragen voor een consistente interpretatie bij de toepassing en controle van dergelijke afwijkingen overeenkomstig Richtsnoeren 2/2018 van het EDPB; |
34. | verzoekt de gegevensbeschermingsautoriteiten en de Commissie systematisch te beoordelen of in derde landen de gegevensbeschermingsregels in de praktijk worden toegepast, in overeenstemming met de rechtspraak van het Hof van Justitie; |
35. | dringt er bij de Commissie op aan onverwijld haar evaluatie van de op grond van de richtlijn van 1995 vastgestelde adequaatheidsbesluiten te publiceren; beklemtoont dat bij gebrek aan een adequaatheidsbesluit modelcontractbepalingen het breedst gebruikte instrument zijn voor internationale gegevensdoorgiften; merkt op dat het HvJ-EU Besluit 2010/87/EU over modelcontractbepalingen heeft bekrachtigd (8), maar daarbij eiste dat er een beoordeling wordt uitgevoerd van de mate van bescherming die van toepassing is op gegevens die aan derde landen worden doorgegeven, alsook van de relevante aspecten van het rechtssysteem van het desbetreffende derde land voor wat betreft de toegang van overheidsinstanties tot de doorgegeven persoonsgegevens; dringt er bij de Commissie op aan haar werkzaamheden in verband met de gemoderniseerde modelcontractbepalingen voor internationale gegevensoverdracht te versnellen om op internationaal niveau een gelijk speelveld te waarborgen voor kleine en middelgrote ondernemingen (kmo’s); is ingenomen met de publicatie door de Commissie van ontwerp-modelcontractbepalingen en de doelstelling om modelcontractbepalingen gebruikersvriendelijker te maken en aangewezen tekortkomingen van de huidige normen te verhelpen; |
36. | herinnert aan Richtsnoeren 1/2019 voor gedragscodes en toezichthoudende organen in de zin van Verordening (EU) 2016/679; erkent dat dit instrument momenteel onderbenut wordt, hoewel hiermee de naleving van de AVG wordt gewaarborgd wanneer het wordt gebruikt in combinatie met bindende en afdwingbare toezeggingen van de verwerkingsverantwoordelijke of de verwerker in het derde land om de passende waarborgen toe te passen; wijst erop dat dit instrument meer mogelijkheden biedt voor kmo’s en meer rechtszekerheid biedt in het kader van de internationale doorgifte van gegevens tussen verschillende sectoren; |
Toekomstige Uniewetgeving
37. | is van mening dat de AVG een solide wetgevingskader biedt voor opkomende technologieën, omdat die verordening technologieneutraal is; meent echter ook dat er aanvullende inspanningen nodig zijn om bredere aspecten van de digitalisering aan te pakken, zoals situaties waarin een monopolie of machtsonevenwicht bestaat ten gevolge van specifieke regelgeving, en om de AVG zorgvuldig af te stemmen op nieuwe wetgevingsinitiatieven om de samenhang te waarborgen en eventuele juridische lacunes te verhelpen; herinnert de Commissie aan haar verplichting ervoor te zorgen dat wetgevingsvoorstellen, bijvoorbeeld betreffende de wet inzake gegevensbeheer, de gegevenswet, de wet inzake digitale diensten en de wet inzake artificiële intelligentie, altijd volledig in overeenstemming zijn met de AVG en de richtlijn rechtshandhaving (9); is van mening dat de definitieve teksten die door de medewetgevers door middel van interinstitutionele onderhandelingen worden vastgesteld, volledig in overeenstemming moeten zijn met het acquis op het gebied van gegevensbescherming; betreurt echter dat de Commissie zelf in haar wetgevingsvoorstellen niet altijd een consistente benadering ten aanzien van gegevensbescherming hanteert; beklemtoont dat een verwijzing naar de toepassing van de AVG of de vermelding “behoudens de AVG” het voorstel niet automatisch in overeenstemming met de AVG brengt; verzoekt de Commissie om de Europese Toezichthouder voor gegevensbescherming (EDPS) en het EDPB te raadplegen indien de vaststelling van een wetgevingsvoorstel gevolgen heeft voor de bescherming van de rechten en vrijheden van burgers in verband met de verwerking van persoonsgegevens; verzoekt de Commissie bovendien om, wanneer zij voorstellen of aanbevelingen voorbereidt, de EDPS zo veel mogelijk te raadplegen om de samenhang van de regels inzake gegevensbescherming in heel de Unie te waarborgen, alsook om altijd een effectbeoordeling uit te voeren; |
38. | merkt op dat profilering, hoewel het volgens artikel 22 AVG uitsluitend is toegestaan onder strikte en nauw omschreven voorwaarden, in toenemende mate wordt gebruikt doordat de onlineactiviteiten van personen een vergaand inzicht bieden in hun persoonlijkheid en privéleven; merkt op dat nu profilering het mogelijk maakt het gedrag van gebruikers te manipuleren, het verzamelen en verwerken van persoonsgegevens betreffende het gebruik van digitale diensten en andere netwerkdiensten moet worden beperkt tot wat strikt noodzakelijk is om de dienst te leveren en de gebruikers te factureren; verzoekt de Commissie strenge sectorspecifieke gegevensbeschermingswetgeving voor gevoelige categorieën van persoonsgegevens voor te stellen waarvoor zij dat nog niet gedaan heeft; eist dat de AVG bij de verwerking van persoonsgegevens strikt gehandhaafd wordt; |
39. | dringt erop aan consumenten meer zeggenschap te geven, zodat zij weloverwogen beslissingen kunnen nemen over de privacy-effecten die het gebruik van nieuwe technologieën met zich meebrengt, alsook om een eerlijke en transparante verwerking te waarborgen door gebruiksvriendelijke mogelijkheden te bieden om de toestemming voor de verwerking van hun persoonsgegevens, zoals voorzien in de AVG, te verlenen en weer in te trekken; |
Richtlijn rechtshandhaving
40. | maakt zich zorgen dat de gegevensbeschermingsregels ten behoeve van de rechtshandhaving bijzonder inadequaat zijn om gelijke tred te houden met nieuwe bevoegdheden voor de rechtshandhaving; verzoekt de Commissie dan ook de richtlijn rechtshandhaving eerder te herzien dan in de richtlijn is vastgesteld en de herziening openbaar te maken; |
De e-privacy-verordening
41. | spreekt zijn ernstige bezorgdheid uit over de tekortkomende tenuitvoerlegging van de e-privacyrichtlijn (10) door de lidstaten in het licht van de door de AVG geïntroduceerde wijzigingen; verzoekt de Commissie haar beoordeling te bespoedigen en inbreukprocedures in te leiden tegen de lidstaten die de e-privacyrichtlijn niet naar behoren ten uitvoer hebben gelegd; maakt zich ernstig zorgen dat indien de herziening van de e-privacywetgeving jarenlange vertraging oploopt, dit zal leiden tot een versnipperd rechtslandschap in de Unie, met negatieve gevolgen voor zowel bedrijven als burgers; herinnert eraan dat de e-privacy-verordening (11) bedoeld was om de AVG aan te vullen en uit te werken, en dat de toepassing ervan moest samenvallen met de inwerkingtreding van de AVG; onderstreept dat de herziening van de regels inzake e-privacy niet mag leiden tot een verlaging van de huidige bescherming die geboden wordt door de AVG en de e-privacyrichtlijn; betreurt het feit dat de Raad er vier jaar over heeft gedaan om zijn onderhandelingspositie over het voorstel voor de e-privacy-verordening te bepalen, terwijl het Parlement zijn onderhandelingspositie al in oktober 2017 had bepaald; wijst erop dat de e-privacyregels van 2002 en 2009 moeten worden verscherpt om de bescherming van de grondrechten van de burgers te verbeteren en de rechtszekerheid voor bedrijven te versterken, in aanvulling op de AVG; |
o
o o
42. | verzoekt zijn Voorzitter deze resolutie te doen toekomen aan de Commissie, de Europese Raad, de regeringen en de nationale parlementen van de lidstaten, het Europees Comité voor gegevensbescherming en de Europese Toezichthouder voor gegevensbescherming. |
(1)PB L 119 van 4.5.2016, blz. 1.
(2) https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_ contributiongdprevaluation_20200218.pdf
(3) https://edpb.europa.eu/sites/edpb/files/files/file1/19_2019_edpb _written_report_to_libe_en.pdf
(4) Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (PB L 281 van 23.11.1995, blz. 31).
(5) Arrest van het Hof van Justitie van 6 oktober 2015, Maximillian Schrems tegen Data Protection Commissioner, C-362/14, ECLI:EU:C:2015:650.
(6) Arrest van het Hof van Justitie van 16 juli 2020, Data Protection Commissioner tegen Facebook Ireland Limited en Maximillian Schrems, C-311/18, ECLI:EU:C:2020:559.
(7) Arresten in zaak C-623/17, Privacy International, en in de gevoegde zaken C-511/18, La Quadrature du Net e.a. tegen Premier ministre e.a., C-512/18, French Data Network e.a., en C-520/18, Ordre des barreaux francophones et germanophone e.a.
(8) Besluit 2010/87/EU van de Commissie van 5 februari 2010 betreffende modelcontractbepalingen voor de doorgifte van persoonsgegevens aan in derde landen gevestigde verwerkers krachtens Richtlijn 95/46/EG van het Europees Parlement en de Raad, als gewijzigd bij Uitvoeringsbesluit (EU) 2016/2297 van de Commissie van 16 december 2016 (PB L 39 van 12.2.2010, blz. 5).
(9) Richtlijn (EU) 2016/680 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en betreffende het vrije verkeer van die gegevens en tot intrekking van Kaderbesluit 2008/977/JBZ van de Raad (PB L 119 van 4.5.2016, blz. 89).
(10) Richtlijn 2002/58/EG van het Europees Parlement en de Raad van 12 juli 2002 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie (PB L 201 van 31.7.2002, blz. 37).
(11) Voorstel voor een verordening van het Europees Parlement en de Raad met betrekking tot de eerbiediging van het privéleven en de bescherming van persoonsgegevens in elektronische communicatie, en tot intrekking van Richtlijn 2002/58/EG (COM(2017)0010).