AVGB-update: Doorgifte van persoonsgegevens (buiten de EER) Inleiding

In deze AVGB-update staat de doorgifte van persoonsgegevens buiten de Europese Economische Ruimte (de EER) centraal.

Net als onder de huidige Richtlijn Bescherming Persoonsgegevens 95/46/EC (de Richtlijn) blijft de mogelijkheid tot doorgifte van persoonsgegevens aan landen buiten de EER beperkt. De Algemene Verordening Gegevensbescherming (de AVGB) introduceert echter aan aantal wijzigingen, waaronder nieuwe mogelijkheden voor de doorgifte van persoonsgegevens buiten de EER in specifieke situaties.

Passend beschermingsniveau

Als hoofdregel geldt dat de doorgifte van persoonsgegevens naar een land buiten de EER (ook wel een "derde land") slechts mag plaatsvinden indien het betreffende land een passend beschermingsniveau biedt.

De Europese Commissie (de Commissie) heeft de bevoegdheid om middels een adequaatheidsbesluit vast te stellen of een derde land, een gebied of een specifieke sector in een derde land, dan wel een internationale organisatie, een passend beschermingsniveau biedt voor de doorgifte van persoonsgegevens. Zodra de Commissie heeft vastgesteld dat een derde land een passend beschermingsniveau biedt, mogen persoonsgegevens worden doorgegeven aan dit land zonder nadere beschermingsmaatregelen dan wel specifieke autorisatie. De AVGB verplicht de Commissie om haar adequaatheidsbesluiten ten minste om de vier jaar te herzien.

Bij de beoordeling van de vraag of een derde land, een gebied dan wel specifieke sector of een internationale organisatie een adequaat beschermingsniveau biedt, houdt de Commissie onder andere rekening met de volgende aspecten:

  1. de rechtsstatelijkheid, de eerbiediging van mensenrechten en relevante wetgeving, onder andere met betrekking tot (de (verdere) doorgifte van) persoonsgegevens alsmede het bestaan van effectieve en afdwingbare rechten van betrokkenen;
  2. het bestaan en het effectief functioneren van één of meer onafhankelijke toezichthoudende autoriteiten, die tot taak heeft of hebben de naleving van de gegevensbeschermingsregels te verzekeren en te handhaven; en
  3. de internationale toezeggingen die het derde land of de internationale organisatie in kwestie heeft gedaan, dan wel andere verplichtingen die voortvloeien uit juridisch bindende overeenkomsten of instrumenten met betrekking tot de bescherming van persoonsgegevens.

De huidige adequaatheidsbesluiten die de Commissie op grond van de Richtlijn heeft vastgesteld (met name het besluit met betrekking tot het EU-VS-privacyschild) blijven van kracht totdat zij worden gewijzigd, vervangen of ingetrokken door de Commissie op grond van de AVGB.

De doorgifte van persoonsgegevens naar derde landen die geen adequaat beschermingsniveau bieden

Bij afwezigheid van een adequaatheidsbesluit van de Commissie, mogen persoonsgegevens louter naar een derde land worden doorgegeven indien (i) de verwerkingsverantwoordelijke of de verwerker passende waarborgen biedt en (ii) betrokkenen over afdwingbare rechten en doeltreffende rechtsmiddelen beschikken.

Deze passende waarborgen kunnen worden geboden door de volgende instrumenten zonder dat daarvoor akkoord van een toezichthoudende autoriteit vereist is:

  1. een juridisch bindend en afdwingbaar instrument tussen overheidsinstanties of -organen;
  2. bindende bedrijfsvoorschriften;
  3. door de Commissie vastgestelde standaardbepalingen inzake gegevensbescherming;
  4. door een toezichthoudende autoriteit vastgestelde en door de Commissie goedgekeurde standaardbepalingen inzake gegevensbescherming;
  5. goedgekeurde gedragscodes; en
  6. goedgekeurde certificeringsmechanismen.

Hieronder gaan wij in op de drie voor de praktijk meest relevante instrumenten.

Bindende bedrijfsvoorschriften

Bindende bedrijfsvoorschriften (Binding Corporate Rules, BCR's) door een multinationale groep van ondernemingen vastgestelde interne regels die zien op het wereldwijde beleid inzake de internationale doorgifte van persoonsgegevens binnen dezelfde groep van ondernemingen aan vestigingen in een derde land dat geen adequaat beschermingsniveau biedt.

Op grond van de AVGB moeten BCR's:

  1. worden goedgekeurd door de bevoegde (leidende) toezichthoudende autoriteit;
  2. juridisch bindend zijn voor, van toepassing zijn op en worden gehandhaafd door alle betrokken leden van de groep van ondernemingen;
  3. betrokkenen uitdrukkelijk afdwingbare rechten toekennen met betrekking tot de verwerking van hun persoonsgegevens; en
  4. specifieke informatie bevatten die onder andere ziet op: (a) de structuur en contactgegevens van de groepering van ondernemingen; (b) de gegevensdoorgiften, met inbegrip van de categorieën van persoonsgegevens; (c) het soort verwerking en de doeleinden daarvan; (d) het soort betrokkenen in kwestie; (e) de identificatie van het derde land of de derde landen in kwestie; (f) de toepassing van de algemene beginselen inzake gegevensbescherming; (g) de rechten van betrokkenen; (h) de aanvaarding door de op het grondgebied van een lidstaat gevestigde verwerkingsverantwoordelijke of verwerker van aansprakelijkheid voor alle inbreuken op de BCR's door een niet in de EER gevestigde onderneming van de groep; (i) de taken van de aangewezen functionaris voor gegevensbescherming; en (j) de klachtenprocedures.

Door de Commissie vastgestelde of goedgekeurde standaardbepalingen inzake gegevensbescherming

De doorgifte van persoonsgegevens naar een derde land dat geen adequaat beschermingsniveau biedt, is tevens toegestaan indien er gebruik wordt gemaakt van standaardbepalingen die zijn vastgesteld door de Commissie of door een toezichthoudende autoriteit (en vervolgens zijn goedgekeurd door de Commissie).

In de AVGB is expliciet opgenomen dat standaardbepalingen inzake gegevensbescherming in een bredere overeenkomst mogen worden verwerkt. Het is partijen toegestaan extra bepalingen en waarborgen toe te voegen, mits deze niet in tegenspraak zijn met de standaardbepalingen en geen afbreuk doen aan de grondrechten of de fundamentele vrijheden van de betrokkenen.

Het is partijen tevens toegestaan om contractuele bepalingen op ad hoc basis te gebruiken. Deze dienen echter wel voorafgaand aan de internationale doorgifte van persoonsgegevens door de toezichthoudende autoriteit te worden goedgekeurd.

Ad hoc contractsbepalingen mogen ook worden gebruikt, maar deze vergen voorafgaande toestemming van de toezichthoudende autoriteit voordat de doorgifte naar een derde land plaatsvindt.

De Commissie heeft momenteel drie sets van contractuele standaardbepalingen gepubliceerd: twee sets voor de doorgifte van persoonsgegevens van de verwerkingsverantwoordelijke gevestigd in de EER naar een verwerkingsverantwoordelijke gevestigd buiten de EER en één set voor de doorgifte van persoonsgegevens van de verwerkingsverantwoordelijke gevestigd in de EER naar een verwerker die gevestigd is buiten de EER. Er bestaan geen contractuele standaardbepalingen voor de grensoverschrijdende doorgifte van persoonsgegevens van verwerkers die gevestigd zijn in de EER naar sub-verwerkers die gevestigd zijn buiten de EER.

De op grond van de Richtlijn goedgekeurde contractuele standaardbepalingen blijven geldig, maar de AVGB laat de mogelijkheid open om deze in te trekken (en te vervangen door (een) nieuwe set(s) van goedgekeurde contractuele standaardbepalingen).

Goedgekeurde gedragscodes

Het gebruik van gedragscodes wordt onder de AVGB aangemoedigd, aangezien het als middel kan dienen om de naleving van de AVGB aan te tonen. Daarnaast kunnen gedragscodes als zodanig tevens dienen als een passende waarborg op grond waarvan internationale doorgifte van persoonsgegevens kan plaatsvinden.

Gedragscodes kunnen worden opgesteld door verenigingen of andere organen die verwerkingsverantwoordelijken of verwerkers vertegenwoordigen en dienen voorafgaand aan de doorgifte te worden goedgekeurd door de toezichthoudende autoriteit.

Het naleven van een goedgekeurde gedragscode in combinatie met toezeggingen van buiten de EER gevestigde verwerkingsverantwoordelijken of een verwerkers dat zij de betreffende passende waarborgen zullen bieden, kan bewijzen dat de buiten de EER gevestigde organisatie passende waarborgen heeft geïmplementeerd.

Afwijkingen in specifieke situaties

De AVGB bevat enkele afwijkingen op het verbod dat persoonsgegevens niet doorgegeven mogen worden aan derde landen die geen adequate gegevensbescherming bieden. Deze afwijkingen zijn grotendeels gelijk aan de afwijkingen die de Richtlijn kent. De afwijkingen gelden in de volgende gevallen:

  1. de betrokkene heeft uitdrukkelijk ingestemd met de voorgestelde doorgifte, na te zijn ingelicht over de risico's die dergelijke doorgiften voor hem kunnen inhouden door het ontbreken van een adequaatheidsbesluit en van passende waarborgen (met andere woorden, het is onvoldoende om slechts te vermelden dat de persoonsgegevens worden doorgegeven aan een derde land);
  2. de doorgifte is noodzakelijk voor de uitvoering van een overeenkomst tussen de betrokkene en de verwerkingsverantwoordelijke of voor de uitvoering van op verzoek van de betrokkene genomen precontractuele maatregelen;
  3. de doorgifte is noodzakelijk voor het sluiten, of de uitvoering van een in het belang van de betrokkene tussen de verwerkingsverantwoordelijke en een derde gesloten overeenkomst;
  4. de doorgifte is noodzakelijk wegens gewichtige redenen van algemeen belang;
  5. de doorgifte is noodzakelijk voor het instellen van, de uitoefening of onderbouwing van een rechtsvordering;
  6. de doorgifte is noodzakelijk voor de bescherming van de vitale belangen van de betrokkene of van andere personen, indien de betrokkene lichamelijk of juridisch niet in staat is zijn toestemming te geven;
  7. de doorgifte is verricht vanuit een register dat volgens het EU-recht of nationaal recht is bedoeld om het publiek voor te lichten en dat door eenieder dan wel door iedere persoon die zich op een gerechtvaardigd belang kan beroepen, kan worden geraadpleegd, maar alleen voor zover in het geval in kwestie wordt voldaan aan de in EU-recht of nationaal recht vastgestelde voorwaarden voor raadpleging.

In geval doorgifte van persoonsgegevens niet mogelijk is op grond van contractuele standaardbepalingen of BCR's en geen van de afwijkingen voor een specifieke situaties zoals hierboven beschreven van toepassing is, dan is doorgifte desalniettemin mogelijk indien:

  1. de doorgifte niet herhaaldelijk plaatsvindt;
  2. de doorgifte een beperkt aantal betrokkenen betreft;
  3. de doorgifte noodzakelijk is voor de behartiging van dwingende gerechtvaardigde belangen van de verwerkingsverantwoordelijke die zwaarder wegen dan de belangen of rechten en vrijheden van de betrokkenen;
  4. de verwerkingsverantwoordelijke alle omstandigheden in verband met de gegevensdoorgifte heeft beoordeeld en passende waarborgen voor de bescherming van persoonsgegevens heeft getroffen;
  5. de verwerkingsverantwoordelijke de toezichthoudende autoriteit informeert over de doorgifte.

Deze laatste afwijking biedt enige flexibiliteit, maar vereist tevens een zorgvuldige afweging van de omstandigheden van het geval alsmede een goede documentatie. Deze afwijking dient enkel bij wijze van uitzondering te worden toegepast.

Praktische aanbevelingen

Op het in strijd met de AVGB doorgeven van persoonsgegevens aan derde landen staan bestuursrechtelijke boetes van EUR 20.000.000 of, indien dit hoger is, 4% van de totale wereldwijde jaaromzet van de betreffende organisatie. Organisaties zullen er dan ook goed aan doen om hun grensoverschrijdende datastromen in kaart te brengen en te beoordelen of huidige mechanismen in overeenstemming zijn met de AVGB.

In het algemeen raden af om doorgiften van persoonsgegevens aan derde landen op toestemming van betrokkenen te baseren. Betrokkenen kunnen immers te allen tijde hun toestemming intrekken, hetgeen tot gevolg heeft dat er geen geldige grondslag meer bestaat voor de doorgifte van persoonsgegevens aan een derde land. Bovendien, aangezien gegevens steeds vaker in de cloud worden opgeslagen (waarvan de datacenters zich over de gehele wereld kunnen bevinden), kan intrekking van toestemming een ingewikkelde en tijdrovende puzzel worden. Indien mogelijk raden wij aan om internationale doorgifte van persoonsgegevens te baseren op passende waarborgen zoals de BCR's en contractuele standaardbepalingen inzake gegevensbescherming, of door persoonsgegevens op te slaan binnen de EER en doorgifte buiten de EER te vermijden.

Dentons is the world's first polycentric global law firm. A top 20 firm on the Acritas 2015 Global Elite Brand Index, the Firm is committed to challenging the status quo in delivering consistent and uncompromising quality and value in new and inventive ways. Driven to provide clients a competitive edge, and connected to the communities where its clients want to do business, Dentons knows that understanding local cultures is crucial to successfully completing a deal, resolving a dispute or solving a business challenge. Now the world's largest law firm, Dentons' global team builds agile, tailored solutions to meet the local, national and global needs of private and public clients of any size in more than 125 locations serving 50-plus countries. www.dentons.com.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.