Wanneer kan doorgifte van persoonsgegevens naar derde landen plaatsvinden?

Slaat uw organisatie klantgegevens op bij ICT-leveranciers die zijn gevestigd buiten de EU? Bijvoorbeeld bij Amerikaanse ICT-leveranciers als Amazone en Google? Let dan goed op. De doorgifte van persoonsgegevens naar deze landen kan alleen plaatsvinden als deze doorgifte is gebaseerd op een van de grondslagen genoemd in hoofdstuk V van de AVG. In de eerste blog in deze blogreeks hebben we besproken wanneer er sprake is van doorgifte van persoonsgegevens naar derde landen.

In deze tweede blog zullen we bespreken onder welke voorwaarden doorgifte van persoonsgegevens kan plaatsvinden.

Op 25 maart 2022 hebben de Europese Commissie en de Amerikaanse regering een principeakkoord bereikt over een nieuwe Trans-Atlantic Data Privacy Framework met betrekking tot de doorgifte van persoonsgegevens tussen de Europese Unie en de Verenigde Staten. Dit toekomstige Trans-Atlantic Data Privacy Framework dient de bezwaren die het Europese Hof van Justitie heeft geuit in de Schrems II-uitspraak weg te nemen. De onderhandelingen tussen Europese Unie en de Verenigde Staten moeten er uiteindelijk toe leiden dat er een nieuw adequaatheidsbesluit tot stand komt op grond waarvan organisaties persoonsgegevens kunnen doorgeven naar de Verenigde Staten. Tot die tijd zal de doorgifte van persoonsgegevens naar de Verenigde Staten op een andere grondslag plaats moeten vinden, denk aan het sluiten van standaardcontractbepalingen (SCC’s).

Wanneer organisaties persoonsgegevens doorgeven aan landen buiten de EER (de EU-lidstaten plus Liechtenstein, Noorwegen en IJsland), dan zullen zij zich moeten houden aan de voorwaarden die worden genoemd in Hoofdstuk V van de AVG. Er mogen op grond van artikel 45 AVG alleen persoonsgegevens worden doorgegeven aan derde landen die een passend beschermingsniveau bieden. Een actuele lijst van deze landen kan worden gevonden op de website van de Europese Commissie . Wanneer een adequaatheidsbesluit ontbreekt, kan er volgens artikel 46 AVG alleen nog doorgifte van persoonsgegevens plaatsvinden wanneer de betreffende verwerkingsverantwoordelijke of verwerker passende waarborgen treft.

De volgende doorgifte-instrumenten kunnen onder meer worden aangemerkt als passende waarborgen:

• Standaardcontractbepalingen, ook wel Standard Contractual Clauses (SCC’s) genoemd.
• Bindende bedrijfsvoorschriften waarin organisaties vastleggen hoe zij zorgen voor een passend beschermingsniveau.
• Goedgekeurde gedragscodes of goedgekeurde certificeringsmechanismen.

Een veelgebruikte instrument voor de doorgifte van persoonsgegevens naar landen buiten de EER is het sluiten van SCC’s. Hieronder een toelichting daarop.

De Europese Commissie heeft op 4 juni 2021 nieuwe SCC’s aangenomen. Deze vervangen de oude SCC’s. De nieuwe SCC’s kunnen via deze link worden geraadpleegd. Tot 27 september 2021 gold een overgangsperiode en konden ook de oude SCC’s nog worden gesloten. Vanaf 27 september 2021 hebben partijen die de oude SCC’s gebruiken 15 maanden de tijd om deze nieuwe SCC’s te sluiten die de oude vervangen.

Een groot verschil met de oude SCC’s is dat in de nieuwe SCC’s meerdere varianten van doorgiften zijn opgenomen, afhankelijk van de rol (verantwoordelijke/(sub)verwerker) die de betrokken partijen hebben. In het modelcontract kan worden gekozen voor de volgende modules:

1. doorgifte van persoonsgegeven tussen twee verwerkingsverantwoordelijken;
2. doorgifte van persoonsgegeven tussen verwerkingsverantwoordelijke en verwerker;
3. doorgifte van persoonsgegeven tussen twee (sub)verwerkers;
4. doorgifte van persoonsgegeven tussen (sub)verwerker en verwerkingsverantwoordelijke.

De nieuwe SCC’s houden tevens rekening met de Schrems II-uitspraak. Uitsluitend onder bepaalde voorwaarden (die worden genoemd in het modelcontract) kunnen SCC’s als grondslag voor de doorgifte van persoonsgegevens worden gebruikt.

Naar aanleiding van de Schrems II-uitspraak moet er eerst een assessment worden uitgevoerd voordat gebruik kan worden gemaakt van de doorgifte-instrumenten genoemd in artikel 46 AVG (zoals de SCC’s). In deel 3 van deze blogreeks zal de Schrems II-uitspraak en de Data Transfer Impact Assessment (“DTIA”)  nader worden besproken.

Bij afwezigheid van een adequaatheidsbesluit en de voornoemde passende waarborgen kunnen persoonsgegevens op grond van artikel 49 AVG in (zeer) specifieke situaties alsnog worden doorgegeven naar derde landen, bijvoorbeeld wanneer ‘de doorgifte noodzakelijk is voor de uitvoering van een overeenkomst tussen de betrokkene en de verwerkingsverantwoordelijke’. De European Data Protection Board (EDPB) heeft in haar richtsnoeren 2/2018 benadrukt dat deze uitzonderingen zeer restrictief moeten worden uitgelegd zodat deze uitzonderingen geen regel worden. Daarnaast moet de doorgifte van persoonsgegevens bij de meeste uitzonderingsgronden incidenteel en noodzakelijk zijn. De mogelijkheid om een beroep te doen op de uitzonderingen uit artikel 49 AVG is dus beperkt.

Wilt u meer informatie over de voorwaarden waaraan uw organisatie moet voldoen bij de doorgifte van persoonsgegevens naar derde landen? Wilt u dat wij een Data Transfer Impact Assessment voor uw organisatie uitvoeren? Neem dan contact op met onze privacyrecht specialisten Hillie Lunter en Tom Klatter.