Privacy Talk

Pdf versie Archief Schrijf je in
Uw business • December 2021

Verduidelijkingen van de EDPB over doorgifte van data naar derde landen

Wat u moet weten.

De doorgifte van persoonsgegevens van binnen de Europese Economische Ruimte (‘EER’) naar een derde land is enkel toegelaten wanneer uw onderneming kan garanderen dat de doorgegeven persoonsgegevens in dat derde land een bescherming genieten die gelijkwaardig is aan de bescherming binnen de EER. Hoe deze bescherming kan worden gegarandeerd, wordt bepaald in Hoofdstuk V van de Algemene Verordening Gegevensbescherming (‘AVG’) (zie deze Privacy Talk).

Het is dus van belang om precies te weten wanneer er sprake is van zo een doorgifte naar een derde land. Dit concept wordt niet in de AVG gedefinieerd. Het Europees Comité voor Gegevensbescherming (in het Engels European Data Protection Board of ‘EDPB’) heeft daarom in recente (ontwerp) richtsnoeren (in het Engels) de drie cumulatieve criteria uiteengezet die een verwerking kwalificeren als doorgifte naar een derde land:

  1. Ten eerste moet de onderneming die de persoonsgegevens exporteert voor deze verwerking (zij het als verwerkingsverantwoordelijke of verwerker) onder het territoriaal toepassingsgebied van de AVG vallen. Het kan dus niet alleen gaan om een onderneming die is gevestigd in de EER, maar ook om een onderneming die buiten de EER is gevestigd, voor zover zij haar goederen en diensten aanbiedt aan personen binnen de EER of het gedrag van personen binnen de EER monitort.
     
  2. Het is die onderneming (de gegevensexporteur) die de persoonsgegevens moet doorgeven. Situaties waarin de betrokkene zelf zijn of haar persoonsgegevens doorgeeft worden niet gezien als een ‘doorgifte’ waarop Hoofdstuk V van de AVG van toepassing is. Verder moeten de persoonsgegevens worden doorgegeven aan een andere (gezamenlijke) verwerkingsverantwoordelijke of verwerker.
     
  3. Deze gegevensimporteur moet in een derde land gevestigd zijn. Het maakt niet uit of de gegevensimporteur al dan niet binnen het territoriaal toepassingsgebied van de AVG valt.

Deze richtsnoeren bevestigen dus dat ook de doorgifte van persoonsgegevens aan een onderneming in een derde land die zelf onder het toepassingsgebied van de AVG valt, als een ‘doorgifte’ wordt beschouwd.

De richtsnoeren gaan helaas niet dieper in op het begrip ‘doorgifte’ zelf. Zij bevestigen dat de loutere toegang tot persoonsgegevens als een doorgifte moet worden beschouwd, maar geven geen andere voorbeelden, zoals bijvoorbeeld het plaatsen van collega’s of andere contactpersonen in kopie van een e-mail aan een onderneming die gevestigd is buiten de EER. In lijn met de Lindqvist rechtspraak van het Hof van Justitie dient dit wellicht niet als een doorgifte te worden beschouwd, maar een duidelijke bevestiging had welkom geweest.

Wat u moet doen.

Op basis van de drie criteria hierboven zal u moeten bepalen of een verwerking van uw onderneming een doorgifte naar een derde land uitmaakt. Vervolgens zal u voor deze verwerkingen moeten nagaan of de persoonsgegevens in dat derde land een gelijkwaardige bescherming genieten (zie deze Privacy Talk).

Hierbij moet u in het achterhoofd houden dat ook doorgiften binnen een groep van ondernemingen als een ‘doorgifte naar een derde land’ onder de AVG kunnen kwalificeren. De doorgifte van persoonsgegevens door een dochteronderneming binnen de EER naar haar moedervennootschap die bijvoorbeeld is gevestigd in India, moet worden gekwalificeerd als een doorgifte naar een derde land en valt zodoende onder de verplichtingen van Hoofdstuk V van de AVG.

Wanneer de doorgifte van persoonsgegevens zich niet voordoet tussen twee afzonderlijke entiteiten (elk een (gezamenlijke) verwerkingsverantwoordelijke of verwerker), is er dan weer geen sprake van een doorgifte. Indien bijvoorbeeld een werknemer van uw – in de EER-gevestigde – onderneming op zakenreis gaat buiten de EER en via zijn werkcomputer remote toegang krijgt tot de databanken van uw onderneming, is er geen sprake van een ‘doorgifte’. Uw werknemer wordt namelijk niet als verwerkingsverantwoordelijke beschouwd, maar maakt integraal deel uit van uw onderneming.

Dit gezegd zijnde, zelfs indien een verwerking van persoonsgegevens geen ‘doorgifte’ uitmaakt, is het aangewezen om er extra aandacht aan te besteden indien de verwerking plaatsvindt in een derde land. De AVG verplicht om passende technische en organisatorische (beveiligings)maatregelen te treffen die afgestemd zijn op de risico’s die gepaard gaan met de verwerking (Artikel 24 en Artikel 32 AVG). Het rechtstelsel van een derde land kan bijkomende risico’s met zich meebrengen (bijv. op het vlak van overheidsinmenging). Zo kan uw onderneming beslissen om bepaalde verwerkingen onmogelijk te maken, zoals bijvoorbeeld remote toegang tot bepaalde databanken vanuit bepaalde derde landen, ook al is er geen sprake van een doorgifte naar een derde land.

Raadpleeg onze website of contacteer een van onze medewerkers voor vragen of meer informatie:

Raadpleeg onze 'GDPR toolkit'

GDPR toolkit

Ontvang onze ‘Privacy Talk’ direct in uw mailbox

Schrijf je in

Ontdek de vorige uitgaven in het Archief

Archief
In the Picture - Februari 2025

Beter een goede gids voor de naleving van het mededingingsrecht
Books

Share Purchase Agreements - Belgian Law and Practice
Articles

Standpunt revisited: Kunnen notulen worden opgesteld in een andere taal dan één van de nationale talen?
More Newsletter

Log in op jouw account

Paswoord vergeten? Nog geen lid?

Paswoord vergeten?

Vraag een nieuw paswoord aan door jouw e-mailadres op te geven.

Log in op jouw account

Paswoord reset

Geef jouw nieuwe paswoord in.

Paswoord registratie

Geef een paswoord in om jouw persoonlijke webpagina te beschermen.

Activeer jouw account

Activeer jouw account door jouw e-mailadres op te geven.

Bedankt

Je zal een e-mail ontvangen met een link om een nieuw paswoord in te geven.

Close

Bedankt

Jouw nieuwe paswoord werd succesvol opgeslagen.

Close
Close

Cookies

This website uses cookies to improve your browsing experience and to better tailor the website to your preferences. For more information about cookies and the list of cookies used on this website, see our Cookie Statement.

Below you can indicate your cookie preferences:

ON

Essential cookies are cookies that are necessary for the correct functioning of the website (e.g., to avoid overload on the website, keeping it functional and accessible). These cookies can be placed without your consent.

ON

Functional cookies are cookies that are necessary to improve your browsing experience or to provide a functionality explicitly requested by you (e.g. remembering your settings). These cookies can also be placed without your consent.

Analytical cookies are cookies that collect information about how you use the website to improve search engine hits and the functioning of the website (e.g. we see how visitors move around the website when they are using it to ensure that visitors find what they are looking for easily). These cookies are only placed if you have given your consent.

Advertising cookies are cookies that collect information about your surf and search behaviour in order to offer you personalised advertising in ad spaces on websites based on your personal interests. These cookies are only placed if you have given your consent.

Social media cookies are cookies that make it possible to share certain features from the website on social media networks (e.g. Facebook). Furthermore, these cookies collect information about your surf and search behaviour on the website in order to offer you personalised promotions and advertising about our products on these social media networks. These cookies are only placed if you have given your consent. It is possible that these social media networks also use the information they collect through these cookies for their own purposes. You can find more information about this in the privacy statements of the respective social media networks.

   

You can always change these preferences via your Cookie preferences.