Welke specifieke regels gelden onder de GDPR/AVG voor de doorgifte van persoonsgegevens buiten Nederland?
Onder de Algemene verordening gegevensbescherming (AVG) gelden er bijzondere regels voor het doorgeven van persoonsgegevens naar het buitenland. Dus binnen en buiten de Europese Unie (EU). Onder de EU vallen de 27 lidstaten. Daarnaast zijn IJsland, Liechtenstein en Noorwegen onderdeel van de Europese Economische Ruimte (EER) en deze hebben ook de gegevensbeschermingsregels aanvaard.
De regels rondom persoonsgegevens binnen de EU
Binnen de EU geldt een eenduidig beschermingsniveau voor privacy, op basis van de AVG die sinds 25 mei 2018 van kracht is. De AVG is binnen de gehele EU van toepassing. De doorvoer van persoonsgegevens binnen de EU mag dus, mits volledig is voldaan aan de AVG. Dit geldt tevens voor IJsland, Liechtenstein en Noorwegen als landen van de EER.
De regels buiten de EU
Voor het doorgeven van persoonsgegevens naar derde landen of internationale organisaties geldt de hoofdregel dat er sprake moet zijn van ‘een passend beschermingsniveau’. Indien er geen passend beschermingsniveau is, dan is deze doorgifte uitsluitend toegestaan op grond van een van de genoemde wettelijke bepalingen uit hoofdstuk V van de AVG. Dit hoofdstuk ziet op de doorgiften van persoonsgegevens aan derde landen of internationale organisaties.
Waaruit kan een passend beschermingsniveau blijken?
Een passend beschermingsniveau kan onder meer blijken uit algemene beginselen inzake doorgifte, doorgifte op basis van een adequaatheidsbesluit (door de EC worden een aantal landen ook als veilig aangemerkt), doorgifte op basis van passende waarborgen, binding corporate rules en afwijkingen voor specifieke situaties en internationale verdragen. Het is in drie gevallen mogelijk om persoonsgegevens door te geven naar een derde land.
Ten eerste, als de Europese Commissie (EC) een adequaatheidsbesluit heeft genomen over een bepaald land. Een adequaatheidsbesluit is een besluit van de EC die zij neemt indien zij vaststelt dat de gegevensbescherming in een bepaald land van vergelijkbaar niveau is als de AVG. Indien de EC zo’n besluit genomen heeft over een bepaald land, is het dus niet meer nodig om aanvullende waarborgen te treffen als persoonsgegevens worden doorgegeven naar dit land.
Daarnaast is het ook mogelijk om persoonsgegevens door te geven naar een derde land door zogeheten passende waarborgen te treffen. Dit betekent dat er extra maatregelen worden genomen om persoonsgegevens te beschermen. Een aantal voorbeelden zijn het gebruiken van modelcontracten, het gebruik maken/zorgen voor een gedragscode of certificering of door het opstellen van ‘binding corporate rules’.
Wat als de voorgaande opties niet mogelijk zijn?
Als de voorgaande twee opties niet mogelijk zijn, is er ook nog een derde optie. In artikel 49 van de AVG staan een aantal specifieke uitzonderingen opgesomd. Waar in bijzondere gevallen een beroep opgedaan kan worden, zodat doorvoering van persoonsgegevens naar derde landen toch mogelijk is. Indien een derde land geen passend beschermingsniveau heeft en er geen beroep gedaan kan worden op een wettelijke uitzondering, is doorgifte naar dat land onrechtmatig en dus niet toegestaan. De Autoriteit Persoonsgegevens (AP) houdt toezicht op de doorgifte van persoonsgegevens naar derde landen door in Nederland gevestigde organisaties. Indien een organisatie toch onrechtmatig gegevens naar een derde land doorvoert, kan de AP een boete opleggen aan die organisatie.
Hoe zit het nu precies met doorgifte van persoonsgegevens naar de Verenigde Staten?
Doorgifte van persoonsgegevens aan de Verenigde Staten (VS), dit kan ook bijvoorbeeld al het geval zijn bij clouddiensten waarbij data wordt opgeslagen in de VS, mag sinds de ongeldigheidsverklaring van het EU-Privacy shield door het Europese Hof van Justitie (EHvJ) in het Schrems II-arrest uit 2020 slechts met aanvullende waarborgen.
Aan deze waarborgen kan bijvoorbeeld worden voldaan in de vorm van modelcontracten, een adequaatheidsbesluit of in de vorm van binding corporate rules waarin een bepaalde organisatie de waarborgen vastlegt voor de bescherming van persoonsgegevens in het geval van doorgifte naar landen zonder een passend beschermingsniveau.
Begin juli is de doorgifte van persoonsgegevens naar de VS vereenvoudigd door een door de EC vastgesteld adequaatheidsbesluit voor de VS. Aanvullende waarborgen voor persoonsgegevens zijn niet meer nodig. Dit adequaatheidsbesluit is gelieerd aan het EU-US Data Privacy Framework (DPF) dat in samenwerking tussen de EU en de VS is opgesteld. Bedrijven in de VS die zich aan het DPF hebben verbonden, moeten ook voldoen aan aanvullende verplichtingen uit de AVG. De vraag is wel hoe dit zal gaan uitpakken in de praktijk.
Nieuwe modelcontracten
Let goed op! In 2021 heeft de EC een aantal vernieuwde modelcontracten (standaard contracten die goedgekeurd zijn door de EC) geïntroduceerd voor de doorgifte van persoonsgegevens aan derde landen, waarbij een hoog niveau van gegevensbescherming wordt gewaarborgd en tevens rekening wordt gehouden met de Schrems II-uitspraak.
Het is overigens niet verplicht om deze modelcontracten te gebruiken. Echter, in dat geval is wel toestemming van de AP nodig voor het doorgeven van persoonsgegevens naar derde landen
Ziet u ook door alle internationale data de details niet meer? Neem dan vrijblijvend contact met ons op, wij kijken en denken met ons team vol specialisten graag u mee!
Meer weten? Advies nodig? Neem contact op!
Dit was slechts een deel van wat wij u kunnen vertellen. Meer weten?
Wij antwoorden graag, neem vrijblijvend contact op!
Blog reactie
"*" geeft vereiste velden aan