Gegevensstromen houden niet zomaar op bij de grenzen van de Europese Unie. Wanneer persoonsgegevens worden doorgegeven aan landen buiten de EU kunnen er vragen opkomen of de verwerking een internationale doorgifte vormt. Om te helpen bij deze beoordeling heeft de European Data Protection Board onlangs nieuwe richtsnoeren aangenomen.
European Data Protection Board
De European Data Protection Board (EDPB) is een onafhankelijk orgaan dat bijdraagt aan de juiste toepassing van de regels uit de AVG. Eén van de belangrijkste taken van de EDPB is het verstrekken van richtlijnen en aanbevelingen. Hiermee beoogt de EDPB concepten uit de verordening op een uniforme manier in de hele EU te verduidelijken. Alle richtlijnen, aanbevelingen en best practices zijn op de website te vinden.
De nieuwe richtsnoeren behandelen de wisselwerking tussen de toepassing van artikel 3 en de bepalingen over internationale doorgiften volgens hoofdstuk V van de Algemene Verordening Gegevensbescherming (AVG).
Toepassingsgebied AVG
De AVG is met name van toepassing op gegevensverwerkingen binnen de EU omdat het een verordening vanuit de Europese Unie is. Er zijn echter ook situaties waarin de regels van de AVG nageleefd moeten worden, ondanks dat de verwerking buiten de EU plaatsvindt. Dit betekent dat de AVG van toepassing is op de verwerking van persoonsgegevens in het kader van activiteiten van een vestiging van een verwerkingsverantwoordelijke of verwerker in de gehele EU, ongeacht of de verwerking in de EU plaatsvindt. Artikel 3 van de AVG bepaalt wanneer dit het geval is:
- Verwerkingsverantwoordelijke of verwerker is in de EU gevestigd;
- Betrokkene bevindt zich in de EU;
- Verwerkingsverantwoordelijke is in gebied gebonden aan EU-recht gevestigd.
Meer informatie over het toepassingsgebied vindt u in de Richtsnoeren over het territoriale toepassingsgebied van de AVG die door de EDPB zijn gepubliceerd.
Richtsnoeren over internationale doorgiften
De AVG geeft geen wettelijke definitie van het begrip “doorgifte van persoonsgegevens aan een derde land of aan een internationale organisatie”. Daarom benoemen de nieuwe richtsnoeren drie cumulatieve criteria (wat betekent dat aan alle drie de criteria dient te zijn voldaan) die gegevensverwerking als een overdracht van persoonsgegevens naar een derde land of internationale organisatie kwalificeren:
- De verwerkingsverantwoordelijke is onderworpen aan de AVG voor de gegeven verwerking;
- Deze verwerkingsverantwoordelijke of verwerker (“exporteur”) openbaart door verzending of maakt op andere wijze persoonsgegevens onderworpen aan deze verwerking beschikbaar voor een andere verwerkingsverantwoordelijke, gezamenlijke verwerkingsverantwoordelijke of verwerker (“importeur”);
- De importeur bevindt zich in een derde land of is een internationale organisatie, ongeacht of deze importeur al dan niet onderworpen is aan de AVG met betrekking tot de gegeven verwerking in overeenstemming met artikel 3.
Gevolgen
Als aan alle bovenstaande criteria is voldaan, is er sprake van een “overdracht naar een derde land of naar een internationale organisatie”. Het gevolg hiervan is dat de verwerkingsverantwoordelijke of verwerker zich in een “overdracht”-situatie bevindt en moet voldoen aan de voorwaarden van hoofdstuk V AVG. Bovendien moet de doorgifte gekaderd worden, door gebruik te maken van de instrumenten die gericht zijn op de bescherming van persoonsgegevens nadat ze zijn doorgegeven aan een derde land of een internationale organisatie. Deze instrumenten omvatten bijvoorbeeld de erkenning van het bestaan van een passend beschermingsniveau in het derde land of de internationale organisatie waaraan de gegevens worden doorgegeven, zoals volgt uit artikel 45 AVG. Bovendien kunnen passende waarborgen op grond van artikel 46 AVG ten uitvoer worden gelegd wanneer een passend beschermingsniveau ontbreekt.
Decentrale overheden
De richtsnoeren van de EDPB kunnen decentrale overheden helpen bij het bepalen van de toepasselijkheid van de AVG. Dit is bijvoorbeeld relevant bij decentrale overheden die persoonsgegevens doorgeven aan het Verenigd Koninkrijk. Sinds de Brexit is dit een derde land en is de (internationale) doorgifte van persoonsgegevens alleen onder bepaalde voorwaarden mogelijk. Hierover kunt u meer lezen in deze praktijkvraag.
Bron
Richtsnoeren over de wisselwerking tussen de toepassing van artikel 3 en de bepalingen over internationale doorgiften volgens hoofdstuk V van de AVG, European Data Protection Board
Meer informatie
Algemene Verordening Gegevensbescherming, Kenniscentrum Europa Decentraal
Gegevensuitwisseling met derde landen, Kenniscentrum Europa Decentraal
AVG: richtsnoeren, aanbevelingen en best practices, European Data Protection Board