Direct naar de inhoud

Welke regels gelden er als mijn organisatie gegevens overdraagt buiten de EU?

Antwoord

In de huidige geglobaliseerde wereld zijn er grote hoeveelheden grensoverschrijdende overdrachten van persoonsgegevens, die soms op servers in verschillende landen worden opgeslagen. De bescherming die wordt geboden door de Algemene Verordening Gegevensbescherming (AVG) gaat mee met de gegevens, wat betekent dat de regels ter bescherming van persoonsgegevens van toepassing blijven, ongeacht waar de gegevens terechtkomen. Dit geldt ook wanneer gegevens worden doorgegeven aan een land dat geen lidstaat is van de EU (‘derde land’).

De AVG biedt verschillende instrumenten om gegevensoverdrachten van de EU naar een derde land te kaderen:

  • Soms kan een derde land door middel van een besluit van de Europese Commissie („adequaatheidsbesluit”) worden aangemerkt als een land met een passend beschermingsniveau, wat betekent dat gegevens kunnen worden overgedragen aan een ander bedrijf in dat derde land, zonder dat de gegevensexporteur verdere waarborgen hoeft te bieden of aan aanvullende voorwaarden hoeft te voldoen. Met andere woorden, de overdracht aan een „adequaat” derde land zal vergelijkbaar zijn met een overdracht van gegevens binnen de EU.
  • Bij gebrek aan een adequaatheidsbesluit kan de overdracht plaatsvinden door het bieden van passende waarborgen en op voorwaarde dat personen over afdwingbare rechten en doeltreffende rechtsmiddelen kunnen beschikken. Dergelijke passende waarborgen omvatten:
    • in het geval van een concern of een groepering van ondernemingen die een gezamenlijke economische activiteit beoefenen, mogen ondernemingen persoonsgegevens overdragen op basis van zogeheten bindende bedrijfsvoorschriften,
    • contractuele regelingen met de ontvanger van de persoonsgegevens, die bijvoorbeeld gebruikmaakt van de standaardcontractbepalingen die door de Europese Commissie zijn goedgekeurd,
    • aansluiting bij een gedragscode of certificeringsmechanisme, samen met het verkrijgen van bindende en afdwingbare toezeggingen van de ontvanger om passende waarborgen toe te passen om de overgedragen gegevens te beschermen.
  • Ten slotte kan, indien doorgifte is gepland van persoonsgegevens naar derde landen die niet onder een adequaatheidsbesluit vallen en waar passende waarborgen ontbreken, doorgifte plaatsvinden op basis van een aantal afwijkingen voor specifieke situaties, bijvoorbeeld wanneer een persoon uitdrukkelijk met de voorgestelde doorgifte heeft ingestemd nadat hij of zij alle nodige informatie over de risico's in verband met de doorgifte heeft ontvangen.

Voorbeeld

U bent een Frans bedrijf dat van plan is om diensten uit te breiden naar Zuid-Amerika, met name Argentinië, Uruguay en Brazilië. Allereerst dient u te controleren of die derde landen onder een adequaatheidsbesluit vallen. In dit geval zijn zowel Argentinië als Uruguay adequaat verklaard. U mag persoonsgegevens zonder extra waarborgen aan deze twee derde landen doorgeven. Doorgiften aan Brazilië, dat niet onder een adequaatheidsbesluit valt, moeten echter worden omkaderd met passende waarborgen.

Referenties

1 COM(2017)7 final

Example

You're a French company intending to expand its services to South America, notably Argentina, Uruguay and Brazil. The first step would be to check whether those third countries are subject to an Adequacy Decision. In this case, both Argentina and Uruguay have been declared adequate. You’d be able to transfer personal data to those two third countries without any additional safeguards while for transfers to Brazil which is not the subject of Adequacy Decision, you’ll have to frame your transfers by providing appropriate safeguards.