Op 29 februari 2016 heeft de Europese Commissie meer details bekendgemaakt over de inhoud van het EU-VS Privacy Shield dat op 2 februari 2016 was aangekondigd.
Eerder berichtten wij al over het EU-VS Privacy Shield dat de leemte moet opvullen na de vernietiging van het Safe Harbour Framework in het Schrems-arrest van het Hof van Justitie van 6 oktober 2015.
Inmiddels bracht WP29 (de artikel 29 Working Party) op 3 februari 2016 een statement uit waarin zij alvast de vier garanties onderstreepte waaraan alle intelligence-activiteiten volgens haar zouden moeten voldoen:
- De verwerking moet gebeuren op basis van duidelijke, precieze en toegankelijke regels, wat inhoudt dat iedereen die redelijk geïnformeerd is, moet kunnen inschatten wat er met zijn of haar gegevens gebeurt wanneer ze worden doorgegeven buiten de Europese Economische Ruimte.
- Noodzakelijkheid en proportionaliteit in het licht van de nagestreefde legitieme doelstellingen moeten worden aangetoond: er moet een evenwicht worden gevonden tussen het doeleinde waarvoor gegevens worden verzameld en waarvoor toegang tot de gegevens wordt gezocht enerzijds en de rechten van het individu anderzijds.
- Er moet een onafhankelijk toezichtsmechanisme bestaan, dat zowel effectief als onpartijdig is. Dit kan zowel een rechtbank als een ander onafhankelijk orgaan zijn, zolang het orgaan maar voldoende bevoegdheid heeft om de noodzakelijke controles uit te voeren.
- Individuen moeten effectieve actiemogelijkheden hebben: iedereen moet het recht hebben om zijn of haar rechten te verdedigen voor een onafhankelijk orgaan.
Op 29 februari 2016 maakte de Europese Commissie in een meer dan 120 pagina's tellend document de inhoud van het EU-VS Privacy Shield bekend.
De documentatie die door de Europese Commissie werd gepubliceerd, bestaat uit:
- een ontwerp van adequacy decision van de Europese Commissie waarin als principe voorop gezet wordt dat de Verenigde Staten een adequaat beschermingsniveau bieden in de zin van artikel 25(2) van richtlijn 95/46/EC, wanneer persoonsgegevens aan ondernemingen in de Verenigde Staten worden doorgegeven die onder het nieuwe EU-VS Privacy Shield zelf-gecertifieerd zijn. Al die zelf-gecertifieerde ondernemingen zullen worden verzameld in een zogenaamde Privacy Shield List;
- een document met de EU-VS Privacy Shield-principes (annex II); en
- verschillende verklaringen en beloftes van US-officials (annex I en III – VII).
De tekst van het EU-VS Privacy Shield is nog niet officieel aangenomen en wordt de komende maanden nagekeken door de lidstaten en verschillende instanties zoals WP29, die het Shield zal beoordelen in het licht van de vier door haar geformuleerde garanties.
Er wordt verwacht dat het hele proces tegen eind juni 2016 zou moeten zijn afgerond.