Op deze pagina

Antwoord

In de huidige geglobaliseerde wereld zijn er grote hoeveelheden grensoverschrijdende overdrachten van persoonsgegevens, die soms op servers in verschillende landen worden opgeslagen. De bescherming die wordt geboden door de Algemene Verordening Gegevensbescherming (AVG) gaat mee met de gegevens, wat betekent dat de regels ter bescherming van persoonsgegevens van toepassing blijven, ongeacht waar de gegevens terechtkomen. Dit geldt ook wanneer gegevens worden doorgegeven aan een land dat geen lidstaat is van de EU (‘derde land’).

De AVG biedt verschillende instrumenten om gegevensoverdrachten van de EU naar een derde land te kaderen:

  • Soms kan een derde land door middel van een besluit van de Europese Commissie („adequaatheidsbesluit”) worden aangemerkt als een land met een passend beschermingsniveau, wat betekent dat gegevens kunnen worden overgedragen aan een ander bedrijf in dat derde land, zonder dat de gegevensexporteur verdere waarborgen hoeft te bieden of aan aanvullende voorwaarden hoeft te voldoen. Met andere woorden, de overdracht aan een „adequaat” derde land zal vergelijkbaar zijn met een overdracht van gegevens binnen de EU.
  • Bij gebrek aan een adequaatheidsbesluit kan de overdracht plaatsvinden door het bieden van passende waarborgen en op voorwaarde dat personen over afdwingbare rechten en doeltreffende rechtsmiddelen kunnen beschikken. Dergelijke passende waarborgen omvatten:
    • in het geval van een concern of een groepering van ondernemingen die een gezamenlijke economische activiteit beoefenen, mogen ondernemingen persoonsgegevens overdragen op basis van zogeheten bindende bedrijfsvoorschriften,
    • contractuele regelingen met de ontvanger van de persoonsgegevens, die bijvoorbeeld gebruikmaakt van de standaardcontractbepalingen die door de Europese Commissie zijn goedgekeurd,
    • aansluiting bij een gedragscode of certificeringsmechanisme, samen met het verkrijgen van bindende en afdwingbare toezeggingen van de ontvanger om passende waarborgen toe te passen om de overgedragen gegevens te beschermen.
  • Ten slotte kan, indien doorgifte is gepland van persoonsgegevens naar derde landen die niet onder een adequaatheidsbesluit vallen en waar passende waarborgen ontbreken, doorgifte plaatsvinden op basis van een aantal afwijkingen voor specifieke situaties, bijvoorbeeld wanneer een persoon uitdrukkelijk met de voorgestelde doorgifte heeft ingestemd nadat hij of zij alle nodige informatie over de risico's in verband met de doorgifte heeft ontvangen.

Voorbeeld

U bent een Frans bedrijf dat van plan is om diensten uit te breiden naar Zuid-Amerika, met name Argentinië, Uruguay en Brazilië. Allereerst dient u te controleren of die derde landen onder een adequaatheidsbesluit vallen. In dit geval zijn zowel Argentinië als Uruguay adequaat verklaard. U mag persoonsgegevens zonder extra waarborgen aan deze twee derde landen doorgeven. Doorgiften aan Brazilië, dat niet onder een adequaatheidsbesluit valt, moeten echter worden omkaderd met passende waarborgen.

Referenties

  • Hoofdstuk V (artikelen 44 tot 50) en overwegingen 101-116 van de AVG
  • Laatste werkdocument van de Groep gegevensbescherming artikel 29 over internationale doorgiften
    • Werkdocument over adequaatheidsreferentie (bijwerking van hoofdstuk Eén van WP 12), WP 254
    • Werkdocument met een tabel met elementen en beginselen uit bindende bedrijfsvoorschriften, WP 256
    • Werkdocument met een tabel met elementen en beginselen uit bindende bedrijfsvoorschriften voor de verwerker, WP 257
  • Zie voor referentie ook de mededeling van de Europese Commissie over de uitwisseling en bescherming van persoonsgegevens in een geglobaliseerde wereld1, 10 januari 2017

1COM(2017)7 final