AVG Uitgediept #13: Doorgifte aan derde landen

Vanwege dezelfde privacy regelgeving in de EU-lidstaten, is de bescherming van de persoonsgegevens ook voldoende gewaarborgd als deze gegevens van de ene lidstaat naar de andere worden verzonden. Dit is anders als persoonsgegevens ter beschikking worden gesteld aan partijen in landen buiten de Europese Unie. Hierbij kunt u bijvoorbeeld denken aan de salarisadministratie die voor een wereldwijd opererend concern centraal in India wordt gevoerd; of een Canadese webshop die gegevens van klanten uit Nederland op een server in Canada bewaart. In dergelijke situaties dienen die ‘derde’ landen een passend/adequaat beschermingsniveau te kunnen waarborgen. Naast de EU lidstaten hebben ook Noorwegen, IJsland en Liechtenstein (landen uit de Europese Economische Ruimte; EER) zich verbonden aan het volledig toepassen van de AVG. Zij zijn hiermee gelijk te stellen met EU lidstaten voor wat betreft het adequate beschermingsniveau.

Of een derde land of internationale organisatie (dus buiten de EER) een dergelijk adequaat beschermingsniveau kan waarborgen wordt bepaald door de Europese Commissie. De Commissie let daarbij op aspecten zoals de rechtsstatelijkheid, eerbiediging van de mensenrechten en toepasselijke algemene en sectorale wetgeving in die landen. Ook is voor die afweging relevant of er in een derde land een onafhankelijke toezichthoudende autoriteit actief is. Inmiddels heeft de Europese Commissie een lijst opgesteld met landen met een adequaat beschermingsniveau. Deze lijst kan via dezelink worden geraadpleegd

Voor doorgifte aan de VS geldt een bijzonder regime, namelijk indien het voldoet aan de criteria van het door de Commissie vastgestelde Privacy Shield Framework. Op basis van dit framework dienen organisaties in de VS die zich hierbij hebben aangesloten, zich te houden aan de strenge regels om bescherming van persoonsgegevens afkomstig uit de EU te waarborgen.

Zonder een besluit van de Commissie over een adequaat beschermingsniveau, zijn er nog enkele andere mogelijkheden om data uit te wisselen met derde landen of internationale organisaties. Zo kan dat ook als er sprake is van passende waarborgen en de betrokkene afdwingbare rechten en doeltreffende rechtsmiddelen tot zijn beschikking heeft. De AVG geeft een opsomming onder welke condities daarvan sprake kan zijn.

Een andere mogelijkheid tot doorgifte zijn de zogeheten bindende bedrijfsvoorschriften (Binding Corporate Rules). Kort gezegd houdt dit in dat bedrijven (al dan niet in concernverband) regels vastleggen, die juridisch bindend zijn en gelden voor het gehele bedrijf of concern en die afdwingbare rechten toekennen aan betrokkenen (individuen van wie persoonsgegevens worden verwerkt) met betrekking tot de verwerking van de persoonsgegevens. De bevoegde autoriteit persoonsgegevens in een lidstaat kan deze voorschriften op verzoek van de organisatie goedkeuren. Bindende bedrijfsvoorschriften zijn interessant voor ondernemingen en organisaties die in veel verschillende (EU en niet EU) landen actief zijn, zodat uitwisseling van persoonsgegevens eenvoudiger kan plaatsvinden.

Tenslotte is het in specifieke situaties ook zonder de hiervoor genoemde waarborgen mogelijk om persoonsgegevens door te geven aan derde landen. De AVG benoemt verschillende voorwaarden voor toepassing van deze restcategorie, waaronder het geven van uitdrukkelijke toestemming door de betrokkene met de doorgifte, of de noodzaak van de doorgifte voor de uitvoering van een overeenkomst in het belang van de betrokkene.

Internationale doorgifte van persoonsgegevens binnen en buiten de EU, is aan de orde van de dag. Indien u hiermee te maken hebt, houd dan goed in de gaten dat doorgifte aan landen buiten de EER alleen is toegestaan indien aan specifieke waarborgen is voldaan. Neem gerust contact op met de specialisten privacy recht van Ten Holter Noordam advocaten als u hier meer informatie over wilt ontvangen.