Bij doorgifte van gegevens naar een organisatie buiten de EU / EER gelden aanvullende voorwaarden. De doorgifte (“exporteren”) van persoonsgegevens naar een land buiten de EER is alleen toegestaan als het beschermingsniveau bij de partij in het betreffende land minstens even hoog is als het niveau binnen de EU. Het is aan de verwerkingsverantwoordelijke om ervoor te zorgen dat een passend beschermingsniveau wordt gewaarborgd.
Lees hier over de verschillende manieren om dat te realiseren.
Als een land buiten de EU in de nationale wetgeving een passend niveau van gegevensbescherming biedt, kan de Europese Commissie (EC) een “adequaatheidsbeslissing” nemen. De EC stelt dan vast dat de gegevensbescherming in dat land van een vergelijkbaar niveau is als de AVG.
Een adequaatheidsbesluit kan beperkt zijn tot een bepaalde sector of voorschrijven dat de partij in het buitenland zich committeert aan gedragsregels, die in een internationale overeenkomst zijn vastgelegd tussen de EU en het betreffende land.
Privacy Shield is een voorbeeld van een dergelijke internationale overeenkomst.
Als er geen sprake is van een adequaatheidsbeslissing, dan moeten er andere passende waarborgen zijn als een organisatie persoonsgegevens wil doorgeven aan een land buiten de EU. Dat kan met modelcontractbepalingen die door de Europese Commissie zijn vastgesteld.
De AVG stelt wel als voorwaarde dat wanneer een organisatie deze instrumenten wil gebruiken voor doorgifte, dit samen moeten gaan met bindende en afdwingbare toezeggingen van de partij in het derde land om de juiste waarborgen toe te passen.
BCR zijn door de toezichthoudende autoriteit getoetste gedragsregels voor doorgifte van persoonsgegevens naar landen zonder adequaat beschermingsniveau (derde landen) wereldwijd die gelden binnen multinationals. Alle werknemers en entiteiten binnen het concern moeten zich houden aan de opgestelde bedrijfsvoorschriften.
Artikel 49 van de AVG biedt mogelijkheden om in een aantal specifieke gevallen persoonsgegevens door te geven aan een land waarvoor geen adequaatheidsbeslissing bestaat, bijvoorbeeld wanneer het gaat om een incidentele verwerking of wanneer er expliciete toestemming van de betrokkene is verkregen.
Dit artikel is onderdeel van de serie over de gevolgen van het Schrems-II arrest, waarin Privacy Shield ongeldig is verklaard.
Wat mag je van ons verwachten als je kiest voor TrustBound GRC voor het registreren van je verwerkingen?
Ons platform werkt als een vliegwiel. Met pasklare templates heb je in korte tijd de basis op orde. Realtime rapportages geven bovendien snel zicht op de grootste risico’s.
TrustBound GRC is gericht op samenwerken. Medewerkers uit verschillende teams en disciplines worden verbonden door de eenduidige structuur en gemeenschappelijke doelen.
We staan voor je klaar, tijdens de implementatiefase én daarna. Bovendien wordt het TrustBound GRC Platform gedragen door een netwerk van gespecialiseerde Kennispartners, waardoor altijd hoogwaardige kennis beschikbaar is voor inhoudelijke vraagstukken.