1. GDPR
Het Schrems II arrest van het Europese Hof van Justitie van 16 juli 2020 zorgt al jarenlang voor kopzorgen van menige organisaties. Het arrest bracht opnieuw de strikte regeling rond doorgiften van persoonsgegevens buiten de Europese Economische Ruimte onder Hoofdstuk V GDPR onder de aandacht. Die regeling heeft een zeer ruim toepassingsgebied: elke mogelijke (actieve of passieve) toegang tot persoonsgegevens in een derde land of internationale organisatie. In onze gedigitaliseerde wereld is het dan ook een veelvoorkomend vraagstuk.
De strikte regeling vereist met name dat elke doorgifte van persoonsgegevens buiten de Europese Economische Ruimte gerechtvaardigd wordt door beroep te doen op een mechanisme onder Hoofdstuk V GDPR. De toepassing van die mechanismen is echter niet steeds eenduidig en eerder complex. Ook is de beslissingspraktijk van de Europese gegevensbeschermingsautoriteit van groot belang voor de interpretatie van de regels. Een uitgebreide uiteenzetting van het juridische kader en de historiek rond dit onderwerp kan u terugvinden in onze eerdere nieuwsbrieven:
https://monardlaw.be/nl/stories/ingelicht/revolutie-in-doorgiften-van-persoonsgegevens/
https://monardlaw.be/nl/stories/ingelicht/hoogste-gdpr-boete-ooit/
2. Data Governance Act
De Europese Unie is van oordeel dat er te veel obstakels bestaan om gegevens in het bezit van overheidslichamen en ondernemingen op een veilige en betrouwbare manier te delen binnen de EU. Voor die problematiek wil de Europese Unie een oplossing bieden door middel van de Data Governance Act, een EU verordening die tot doel heeft om hergebruik van gegevens van overheden te faciliteren, het delen van gegevens tussen ondernemingen te bewerkstelligen en het vrijwillig beschikbaar stellen van gegevens door individuen en organisaties te bevorderen binnen de EU. De belangrijkste pijlers van de Data Governance Act kunnen samengevat worden in enkele kernconcepten: hergebruik van overheidsgegevens op een veilige manier, data-altruïsme, neutrale en transparante databemiddelingsdiensten en de oprichting van beleidsstructuren en -instanties die toezien op de naleving van de Data Governance Act.
De Data Governance Act is van toepassing op zowel niet-persoonsgebonden als persoons-(gebonden) gegevens, maar verwijst specifiek naar het juridisch kader rond privacy en gegevensbescherming (in het bijzonder de GDPR). Dat juridisch kader heeft steeds voorrang op de bepalingen van de Data Governance Act voor wat betreft de bescherming van persoons-(gebonden) gegevens.
De Data Governance Act voorziet in een specifieke regeling rond internationale doorgifte van en toegang van niet-EU overheden tot niet-persoonsgebonden gegevens die in de EU worden bijgehouden. Het doel van die regeling is om onrechtmatige toegang tot niet-persoonsgebonden gegevens door niet-EU overheden tegen te gaan.
De Data Governance Act legt met name een verplichting op om alle passende technische, wettelijke en organisatorische (inclusief contractuele regelingen) maatregelen te treffen ter voorkoming van dergelijke internationale doorgifte van en toegang van de niet-EU overheid tot die gegevens, wanneer dat in strijd zou zijn met EU-recht of het nationale recht van de betrokken lidstaat. De Data Governance Act legt die verplichting op aan volgende partijen:
- Entiteiten aan wie het recht werd verleend om gegevens te hergebruiken onder hoofdstuk II van de Data Governance Act;
- Aanbieders voor databemiddelingsdiensten;
- Erkende organisaties voor data-altruïsme.
Wanneer een dergelijke internationale doorgifte of toegang van de overheid tot niet-persoonsgebonden gegevens in strijd zou kunnen zijn met Unie- of lidstatelijk recht, kan die doorgifte of toegang enkel plaatsvinden op grond van:
- Ofwel een bilaterale overeenkomst tussen het derde land en de Unie of de betrokken lidstaat; of
- Indien het derde land voorziet in een “adequaat beschermingsniveau” voor de niet-persoonsgebonden gegevens.
Doorgifte of toegang tot de niet-persoonsgebonden gegevens die op één van voorgaande gronden plaatsvindt, vereist in elk geval dat de betrokken entiteit tot wie het overheidsverzoek gericht is, louter de minimale hoeveelheid gegevens verstrekt die is toegestaan en de betrokken gegevenshouder in kennis gesteld wordt van het verzoek (behalve indien die kennisgeving de effectiviteit van een rechtshandhavingsactiviteit zou belemmeren).
3. Data Act
De Data Act is één van de instrumenten onder de EU Digitale Strategie die mee de onafhankelijke competitieve positie van de EU op het vlak van de gegevenseconomie moet verstevigen. Het toepassingsgebied van de Data Act is ruim en omkadert het gebruik, het verzamelen en de doorgiften van niet-persoonsgebonden gegevens. De Dataverordening heeft tot doel om “te zorgen voor eerlijke waardeverdeling uit data aan actoren in de data-economie en om de toegang tot en het gebruik daarvan te bevorderen”. Die doelstellingen tracht de Dataverordening te verwezenlijken door haar brede toepassingsgebied en geharmoniseerde regels binnen de gehele EU. De Europese Unie wil met andere woorden een belangrijkere positie verwerven ten aanzien van data, het zogenaamde nieuwe goud.
De Data Act voorziet in een quasi-identieke regeling inzake internationale gegevensdoorgiften als voorzien in de Data Governance Act. De verplichtingen worden in de Data Act echter opgelegd aan “aanbieders van dataverwerkingsdiensten”, d.w.z. “een digitale aan een klant aangeboden dienst die alomtegenwoordige en on-demand netwerktoegang mogelijk maakt tot een gedeelde pool van configureerbare, schaalbare en elastische computercapaciteit van gecentraliseerde, gedistribueerde of sterk gedistribueerde aard, die snel ter beschikking kan worden gesteld en worden vrijgegeven met minimale beheersinspanningen of tussenkomst van een dienstverlener”. Een “aanbieder van dataverwerkingsdiensten” komt dus veelal overeen met cloud dienstverleners.
De Data Act voorziet voor aanbieders van dataverwerkingsdiensten naast die quasi-identieke regeling ook in de mogelijkheid om het advies in te winnen van een nationale instantie of autoriteit om te bepalen of het verzoek van een niet-EU overheidsinstantie in overeenstemming is met de bepalingen van de Data Act. Die mogelijkheid kan de rechtszekerheid voor aanbieders van dataverwerkingsdiensten significant verhogen.
We kunnen de regeling inzake internationale gegevensdoorgiften onder de GDPR, de Data Governance Act en de Data Act als volgt samenvatten:
4. Conclusie
De introductie van de Data Governance Act en de Data Act maken het al gecompliceerde kader rond internationale gegevensdoorgiften onder de GDPR nog een stuk complexer. Hoewel de regelingen in de verschillende juridische instrumenten gelijkaardige doeleinden nastreven, hebben ze een verschillend toepassingsgebied en afwijkende verplichtingen en uitzonderingen. Het is dan ook voor elke organisatie noodzakelijk om haar internationale doorgiften in kaart te brengen en een analyse te maken van de rechtmatigheid daarvan.
Het Tech, Digital & Data team van Monard Law staat u graag bij voor al uw vragen betreffende de GDPR, de Data Governance Act, de Data Act en andere vragen met betrekking tot innovatieve technologieën, de EU Digitale Strategie en privacy en gegevensbescherming.
