Doorgifte persoonsgegevens | deel 1: wanneer is er sprake van doorgifte van persoonsgegevens naar derde landen?

  • event08-02-2022
  • schedule14:00
  • timer4 minuten

Maakt u gebruik van Amerikaanse ICT-leveranciers of heeft u klantgegevens staan op Amerikaanse servers? Let dan goed op. Recent besliste de Oostenrijkse privacy-toezichthouder (vergelijkbaar met de Nederlandse Autoriteit Persoonsgegevens) dat het doorgeven van persoonsgegevens naar de Verenigde Staten in het kader van het gebruik van Google Analytics in strijd is met de AVG, omdat er geen passend beschermingsniveau geboden kan worden. Deze beslissing werd genomen naar aanleiding van de Schrems II-uitspraak waarin het Europese Hof van Justitie oordeelde dat er uitsluitend persoonsgegevens mogen worden doorgegeven aan landen buiten de EER indien (gezien de wetgeving in het betreffende derde land) een passend beschermingsniveau gegarandeerd kan worden. Gelet op deze ontwikkelingen is het voor organisaties van belang om hun doorgifte van persoonsgegevens naar derde landen nog eens onder de loep te nemen. In deze blogreeks zullen we u meer informatie geven over (1) wanneer er sprake is van doorgifte van persoonsgegevens naar derde landen; (2) onder welke voorwaarden doorgifte plaats kan vinden; en (3) welke gevolgen de Schrems II-uitspraak met zich meebrengt (zoals het moeten uitvoeren van een Data Transfer Impact Assessment). In deze eerste blog zal de reikwijdte van het begrip ‘doorgifte van persoonsgegevens naar derde landen’ worden besproken.

Wat is doorgifte en waarom is dit voor uw organisatie relevant?

Er is sprake van ‘doorgifte van persoonsgegevens naar derde landen’ indien een organisatie persoonsgegevens doorgeeft aan landen buiten de EER (de EU-lidstaten plus Liechtenstein, Noorwegen en IJsland). Hierbij kan gedacht worden aan een organisatie die persoonsgegevens (bijvoorbeeld een klantenbestand of personeelsbestand) opslaat bij een Amerikaanse clouddienst (denk aan Amazone of Google). In dat geval moeten organisaties voldoen aan extra voorwaarden die worden genoemd in hoofdstuk V van de AVG. Deze extra voorwaarden moeten ervoor zorgen dat het door de AVG gewaarborgde beschermingsniveau niet wordt aangetast. Omdat er voor doorgifte extra voorwaarden gelden, is het van belang dat organisaties beoordelen of zij persoonsgegevens doorgeven naar derde landen. De AVG voorziet niet in een definitie van ‘doorgifte van persoonsgegevens naar een derde land’. Om deze reden heeft de European Data Protection Board (EDPB) op 18 november 2021 richtlijnen gepubliceerd waarin het criterium ‘doorgifte van persoonsgegevens naar derde landen’ nader wordt uitgelegd.

Drie cumulatieve voorwaarden om te kunnen spreken van doorgifte

De EPDB heeft vastgesteld dat er sprake is van doorgifte indien er wordt voldaan aan de volgende cumulatieve voorwaarden:

1. De verwerkingsverantwoordelijke of de verwerker valt onder de scope van de AVG

Het eerste vereiste om te kunnen spreken van doorgifte is dat een verwerkingsverantwoordelijke of verwerker onder de scope van de AVG valt. De territoriale scope is opgenomen in artikel 3 AVG. De AVG is van toepassing als de betreffende verwerkingsverantwoordelijke/verwerker is gevestigd in de EU (ongeacht of de verwerking ook in de EU plaatsvindt). Ook kan de AVG van toepassing zijn wanneer de verwerkingsverantwoordelijke/verwerker niet is gevestigd in de EU. Dit is het geval als goederen en diensten worden aangeboden aan betrokkenen in de EU of wanneer gedragingen van betrokkenen in de EU worden gemonitord. Hoewel niet genoemd in de richtlijnen van de EPDB, dient ook aan de materiële scope (artikel 2 AVG) voldaan te worden. Er moet sprake zijn van een verwerking van persoonsgegevens. Ook dienen de uitzonderingen genoemd in artikel 2 lid 2 AVG niet van toepassing te zijn (zoals het uitoefenen van een zuiver persoonlijke of huishoudelijke activiteit).

2. De verwerkingsverantwoordelijke/verwerker (exporteur) geeft persoonsgegevens door aan een andere verwerkingsverantwoordelijke/verwerker (importeur)

Het tweede vereiste is dat een partij die gekwalificeerd kan worden als verwerkingsverantwoordelijke of verwerker (de exporteur) gegevens doorgeeft aan een andere partij die tevens gekwalificeerd kan worden als verwerkingsverantwoordelijke of verwerker (de importeur). De verwerkingsverantwoordelijke is de partij die het doel van en de middelen voor de gegevensverwerking vaststelt. De verwerker is de partij die ten behoeve van (in opdracht van) een verwerkingsverantwoordelijke persoonsgegevens verwerkt. Voor meer informatie over de kwalificatie van verwerkingsverantwoordelijke of verwerker en praktijkvoorbeelden hiervan kunnen de richtlijnen 07/2020 van de EPDB worden geraadpleegd. De EDPB benadrukt dat er geen sprake is van doorgifte wanneer een betrokkene (degene wiens persoonsgegevens worden verwerkt) zelfstandig persoonsgegevens doorgeeft naar een organisatie in een derde land. Er is tevens geen sprake van doorgifte indien een werkgever gegevens uitwisselt met een werknemer (bijvoorbeeld wanneer een werknemer zich bevindt in een derde land en remote toegang heeft tot de database van zijn werkgever die is gevestigd in de EU). Hierbij dient opgemerkt te worden dat de gegevensuitwisseling tussen twee ondernemingen die behoren tot dezelfde bedrijfsgroep, wel als doorgifte gekwalificeerd kan worden. Dit betreffen immers aparte partijen met een eigen rol (verwerkingsverantwoordelijke of verwerker).

3. De importeur bevindt zich in een derde land of betreft een internationale organisatie

Tot slot is vereist dat de gegevensimporteur zich geografisch bevindt in een derde land of een internationale organisatie betreft. Hierbij is het niet van belang of de importeur onder de territoriale scope van artikel 3 AVG valt.

Welke gevolgen heeft de kwalificatie van doorgifte voor organisaties?

Wanneer een gegevensverwerking kan worden aangemerkt als een ‘doorgifte van persoonsgegevens naar derde landen’ is hoofdstuk V van de AVG van toepassing. Op grond van hoofdstuk V van de AVG mogen persoonsgegevens worden doorgegeven naar derde landen die volgens de Europese Commissie een adequaat beschermingsniveau bieden. Een actuele lijst van deze landen kan worden gevonden op de website van de Europese Commissie. Wanneer een dergelijk adequaatheidsbesluit ontbreekt, dan kan er uitsluitend nog doorgifte plaatsvinden wanneer de betreffende verwerkingsverantwoordelijke of verwerker passende waarborgen treft, zoals het sluiten van Standard Contractual Clauses (SCC’s) of het opstellen van Binding Corporate Rules (BCR’s). Hierover meer in het tweede deel van deze blogreeks.

Let op: naar aanleiding van de Schrems II-uitspraak moet er eerst een assessment worden uitgevoerd voordat gebruik kan worden gemaakt van de voornoemde instrumenten (SCC’s en BCR’s). In deel 3 van deze blogreeks zal de Schrems II-uitspraak en de Data Transfer Impact Assessment nader worden besproken.

Twijfelt u of uw organisatie persoonsgegevens doorgeeft aan derde landen of wilt u meer informatie over de extra voorwaarden die gelden voor doorgifte? Neem dan contact op met onze privacyrecht specialisten Hillie Lunter en Tom Klatter.

Uw eerste aanspreekpunt:

Tom Klatter

De moderne visie van Yspeert op de advocatuur, waarbij samenwerking voorop staat, past bij mij. Ik werk graag aan complexe vraagstukken om deze vervolgens samen met de cliënt op te lossen. Het bepalen van een gezamenlijk doel en het maken van duidelijke afspraken vind ik hierbij belangrijk. Als jurist heb ik ervaring in het bijstaan van zorginstellingen, overheidsinstanties, ondernemingen en particulieren. In mijn optiek verdient iedere casus een andere aanpak en is nauwe samenwerking essentieel. Mijn werkwijze is erop gericht om te laten zien dat de wet voldoende ruimte biedt voor creatieve oplossingen. Dit doe ik in de vorm van een helder en gestructureerd advies, waarbij de vertaalslag naar de praktijk van belang is. Niet uitsluitend een probleem analyseren, maar een pragmatische oplossing bieden is het devies.