Doorgifte van persoonsgegevens buiten de EU: Hoe bescherm ik privacy?

Schrems-II, Juridische achtergrond, Privacy Shield, buiten EER

Bij doorgifte van gegevens naar een organisatie buiten de EU / EER gelden aanvullende voorwaarden. De doorgifte (“exporteren”) van persoonsgegevens naar een land buiten de EER is alleen toegestaan als het beschermingsniveau bij de partij in het betreffende land minstens even hoog is als het niveau binnen de EU. Het is aan de verwerkingsverantwoordelijke om ervoor te zorgen dat een passend beschermingsniveau wordt gewaarborgd.

Er zijn verschillende manieren om dat te realiseren:

Doorgifte op basis van een “adequaatheidsbesluit”

Als een land buiten de EU in de nationale wetgeving een passend niveau van gegevensbescherming biedt, kan de Europese Commissie (EC) een “adequaatheidsbeslissing” nemen. De EC stelt dan vast dat de gegevensbescherming in dat land van een vergelijkbaar niveau is als de AVG.
Een adequaatheidsbesluit kan beperkt zijn tot een bepaalde sector of voorschrijven dat de partij in het buitenland zich committeert aan gedragsregels, die in een internationale overeenkomst zijn vastgelegd tussen de EU en het betreffende land.

Privacy Shield is een voorbeeld van een dergelijke internationale overeenkomst.

Doorgifte op basis van modelcontractbepalingen (SSC)

Als er geen sprake is van een adequaatheidsbeslissing, dan moeten er andere passende waarborgen zijn als een organisatie persoonsgegevens wil doorgeven aan een land buiten de EU. Dat kan met modelcontractbepalingen die door de Europese Commissie zijn vastgesteld.

De AVG stelt wel als voorwaarde dat wanneer een organisatie deze instrumenten wil gebruiken voor doorgifte, dit samen moeten gaan met bindende en afdwingbare toezeggingen van de partij in het derde land om de juiste waarborgen toe te passen.

Doorgifte op basis van bindende bedrijfsvoorschriften (BCR)

BCR zijn door de toezichthoudende autoriteit getoetste gedragsregels voor doorgifte van persoonsgegevens naar landen zonder adequaat beschermingsniveau (derde landen) wereldwijd die gelden binnen multinationals. Alle werknemers en entiteiten binnen het concern moeten zich houden aan de opgestelde bedrijfsvoorschriften.

Artikel 49 van de AVG biedt mogelijkheden om in een aantal specifieke gevallen persoonsgegevens door te geven aan een land waarvoor geen adequaatheidsbeslissing bestaat, bijvoorbeeld wanneer het gaat om een incidentele verwerking of wanneer er expliciete toestemming van de betrokkene is verkregen.

Dit artikel is onderdeel van de serie over de gevolgen van het Schrems-II arrest, waarin Privacy Shield ongeldig is verklaard.

Geplaatst 15-07-20