De Data Privacy Framework in actie

AP 10 juli 2024, IT 4583 (Data Privacy Framework). De Autoriteit Persoonsgegevens heeft een nieuw beleid gepubliceerd dat uitvoering geeft aan het adequaatheidsbesluit van de Europese Commissie van 10 juli 2023 en de Amerikaanse Executive Order 14086 van 7 oktober 2022. Het beleid zet een klachtmechanisme uiteen voor het behandelen van klachten van betrokkenen in de EU en EER over vermeende onrechtmatige toegang tot, en gebruik van hun persoonsgegevens door Amerikaanse inlichtingendiensten.

De procedure is beknopt weergegeven als volgt. Klachten moeten worden ingediend bij de nationale toezichthoudende autoriteit van de EU/EER lidstaat die bevoegd is ten aanzien van de betreffende persoon (in Nederland is dat de Autoriteit Persoonsgegevens), aan de hand van het daarvoor verstrekte EU-klachtenformulier. De toezichthoudende autoriteit controleert vervolgens de identiteit van de individuele klager en bepaalt of de klacht voldoet aan de voorwaarden van de Amerikaanse wet. Bij goedkeuring wordt de klacht in versleutelde vorm toegezonden aan het Secretariaat van het Europees Comité voor gegevensbescherming (hierna: EDPB-secretariaat), die de klacht daarna doorstuurt aan de Amerikaanse Civil Liberties Protection Officer (hierna: CLPO). De CLPO zal de klacht voorts onderzoeken, waarop het via het EDPB-secretariaat tijdig een antwoord zal verstrekken aan de toezichthoudende autoriteit. Nadat de klager in kennis is gesteld van het besluit, krijgt de klager de mogelijkheid om daartegen in beroep te gaan bij de Data Protection Review Court (hierna: DPRC). De beroepsprocedure verloopt in dat geval via dezelfde route als de oorspronkelijke klacht. Het uiteindelijke besluit van de DPRC is bindend en definitief.