Privacy Talk

Pdf versie Archief Schrijf je in
Uw business • December 2021

Verduidelijkingen van de EDPB over doorgifte van data naar derde landen

Wat u moet weten.

De doorgifte van persoonsgegevens van binnen de Europese Economische Ruimte (‘EER’) naar een derde land is enkel toegelaten wanneer uw onderneming kan garanderen dat de doorgegeven persoonsgegevens in dat derde land een bescherming genieten die gelijkwaardig is aan de bescherming binnen de EER. Hoe deze bescherming kan worden gegarandeerd, wordt bepaald in Hoofdstuk V van de Algemene Verordening Gegevensbescherming (‘AVG’) (zie deze Privacy Talk).

Het is dus van belang om precies te weten wanneer er sprake is van zo een doorgifte naar een derde land. Dit concept wordt niet in de AVG gedefinieerd. Het Europees Comité voor Gegevensbescherming (in het Engels European Data Protection Board of ‘EDPB’) heeft daarom in recente (ontwerp) richtsnoeren (in het Engels) de drie cumulatieve criteria uiteengezet die een verwerking kwalificeren als doorgifte naar een derde land:

  1. Ten eerste moet de onderneming die de persoonsgegevens exporteert voor deze verwerking (zij het als verwerkingsverantwoordelijke of verwerker) onder het territoriaal toepassingsgebied van de AVG vallen. Het kan dus niet alleen gaan om een onderneming die is gevestigd in de EER, maar ook om een onderneming die buiten de EER is gevestigd, voor zover zij haar goederen en diensten aanbiedt aan personen binnen de EER of het gedrag van personen binnen de EER monitort.
     
  2. Het is die onderneming (de gegevensexporteur) die de persoonsgegevens moet doorgeven. Situaties waarin de betrokkene zelf zijn of haar persoonsgegevens doorgeeft worden niet gezien als een ‘doorgifte’ waarop Hoofdstuk V van de AVG van toepassing is. Verder moeten de persoonsgegevens worden doorgegeven aan een andere (gezamenlijke) verwerkingsverantwoordelijke of verwerker.
     
  3. Deze gegevensimporteur moet in een derde land gevestigd zijn. Het maakt niet uit of de gegevensimporteur al dan niet binnen het territoriaal toepassingsgebied van de AVG valt.

Deze richtsnoeren bevestigen dus dat ook de doorgifte van persoonsgegevens aan een onderneming in een derde land die zelf onder het toepassingsgebied van de AVG valt, als een ‘doorgifte’ wordt beschouwd.

De richtsnoeren gaan helaas niet dieper in op het begrip ‘doorgifte’ zelf. Zij bevestigen dat de loutere toegang tot persoonsgegevens als een doorgifte moet worden beschouwd, maar geven geen andere voorbeelden, zoals bijvoorbeeld het plaatsen van collega’s of andere contactpersonen in kopie van een e-mail aan een onderneming die gevestigd is buiten de EER. In lijn met de Lindqvist rechtspraak van het Hof van Justitie dient dit wellicht niet als een doorgifte te worden beschouwd, maar een duidelijke bevestiging had welkom geweest.

Wat u moet doen.

Op basis van de drie criteria hierboven zal u moeten bepalen of een verwerking van uw onderneming een doorgifte naar een derde land uitmaakt. Vervolgens zal u voor deze verwerkingen moeten nagaan of de persoonsgegevens in dat derde land een gelijkwaardige bescherming genieten (zie deze Privacy Talk).

Hierbij moet u in het achterhoofd houden dat ook doorgiften binnen een groep van ondernemingen als een ‘doorgifte naar een derde land’ onder de AVG kunnen kwalificeren. De doorgifte van persoonsgegevens door een dochteronderneming binnen de EER naar haar moedervennootschap die bijvoorbeeld is gevestigd in India, moet worden gekwalificeerd als een doorgifte naar een derde land en valt zodoende onder de verplichtingen van Hoofdstuk V van de AVG.

Wanneer de doorgifte van persoonsgegevens zich niet voordoet tussen twee afzonderlijke entiteiten (elk een (gezamenlijke) verwerkingsverantwoordelijke of verwerker), is er dan weer geen sprake van een doorgifte. Indien bijvoorbeeld een werknemer van uw – in de EER-gevestigde – onderneming op zakenreis gaat buiten de EER en via zijn werkcomputer remote toegang krijgt tot de databanken van uw onderneming, is er geen sprake van een ‘doorgifte’. Uw werknemer wordt namelijk niet als verwerkingsverantwoordelijke beschouwd, maar maakt integraal deel uit van uw onderneming.

Dit gezegd zijnde, zelfs indien een verwerking van persoonsgegevens geen ‘doorgifte’ uitmaakt, is het aangewezen om er extra aandacht aan te besteden indien de verwerking plaatsvindt in een derde land. De AVG verplicht om passende technische en organisatorische (beveiligings)maatregelen te treffen die afgestemd zijn op de risico’s die gepaard gaan met de verwerking (Artikel 24 en Artikel 32 AVG). Het rechtstelsel van een derde land kan bijkomende risico’s met zich meebrengen (bijv. op het vlak van overheidsinmenging). Zo kan uw onderneming beslissen om bepaalde verwerkingen onmogelijk te maken, zoals bijvoorbeeld remote toegang tot bepaalde databanken vanuit bepaalde derde landen, ook al is er geen sprake van een doorgifte naar een derde land.

Raadpleeg onze website of contacteer een van onze medewerkers voor vragen of meer informatie:

Close