GDPR Update: Transfer of Personal Data (outside the EEA) (Dutch)

by Dentons
Contact

Dentons

AVGB-update: Doorgifte van persoonsgegevens (buiten de EER)

Inleiding

In deze AVGB-update staat de doorgifte van persoonsgegevens buiten de Europese Economische Ruimte (de EER) centraal.

Net als onder de huidige Richtlijn Bescherming Persoonsgegevens 95/46/EC (de Richtlijn) blijft de mogelijkheid tot doorgifte van persoonsgegevens aan landen buiten de EER beperkt. De Algemene Verordening Gegevensbescherming (de AVGB) introduceert echter aan aantal wijzigingen, waaronder nieuwe mogelijkheden voor de doorgifte van persoonsgegevens buiten de EER in specifieke situaties.

Passend beschermingsniveau

Als hoofdregel geldt dat de doorgifte van persoonsgegevens naar een land buiten de EER (ook wel een “derde land”) slechts mag plaatsvinden indien het betreffende land een passend beschermingsniveau biedt.

De Europese Commissie (de Commissie) heeft de bevoegdheid om middels een adequaatheidsbesluit vast te stellen of een derde land, een gebied of een specifieke sector in een derde land, dan wel een internationale organisatie, een passend beschermingsniveau biedt voor de doorgifte van persoonsgegevens. Zodra de Commissie heeft vastgesteld dat een derde land een passend beschermingsniveau biedt, mogen persoonsgegevens worden doorgegeven aan dit land zonder nadere beschermingsmaatregelen dan wel specifieke autorisatie. De AVGB verplicht de Commissie om haar adequaatheidsbesluiten ten minste om de vier jaar te herzien.

Bij de beoordeling van de vraag of een derde land, een gebied dan wel specifieke sector of een internationale organisatie een adequaat beschermingsniveau biedt, houdt de Commissie onder andere rekening met de volgende aspecten:

  1. de rechtsstatelijkheid, de eerbiediging van mensenrechten en relevante wetgeving, onder andere met betrekking tot (de (verdere) doorgifte van) persoonsgegevens alsmede het bestaan van effectieve en afdwingbare rechten van betrokkenen;
  2. het bestaan en het effectief functioneren van één of meer onafhankelijke toezichthoudende autoriteiten, die tot taak heeft of hebben de naleving van de gegevensbeschermingsregels te verzekeren en te handhaven; en
  3. de internationale toezeggingen die het derde land of de internationale organisatie in kwestie heeft gedaan, dan wel andere verplichtingen die voortvloeien uit juridisch bindende overeenkomsten of instrumenten met betrekking tot de bescherming van persoonsgegevens.

De huidige adequaatheidsbesluiten die de Commissie op grond van de Richtlijn heeft vastgesteld (met name het besluit met betrekking tot het EU-VS-privacyschild) blijven van kracht totdat zij worden gewijzigd, vervangen of ingetrokken door de Commissie op grond van de AVGB.

De doorgifte van persoonsgegevens naar derde landen die geen adequaat beschermingsniveau bieden

Bij afwezigheid van een adequaatheidsbesluit van de Commissie, mogen persoonsgegevens louter naar een derde land worden doorgegeven indien (i) de verwerkingsverantwoordelijke of de verwerker passende waarborgen biedt en (ii) betrokkenen over afdwingbare rechten en doeltreffende rechtsmiddelen beschikken.

Deze passende waarborgen kunnen worden geboden door de volgende instrumenten zonder dat daarvoor akkoord van een toezichthoudende autoriteit vereist is:

  1. een juridisch bindend en afdwingbaar instrument tussen overheidsinstanties of -organen;
  2. bindende bedrijfsvoorschriften;
  3. door de Commissie vastgestelde standaardbepalingen inzake gegevensbescherming;
  4. door een toezichthoudende autoriteit vastgestelde en door de Commissie goedgekeurde standaardbepalingen inzake gegevensbescherming;
  5. goedgekeurde gedragscodes; en
  6. goedgekeurde certificeringsmechanismen.

Hieronder gaan wij in op de drie voor de praktijk meest relevante instrumenten.

Bindende bedrijfsvoorschriften

Bindende bedrijfsvoorschriften (Binding Corporate Rules, BCR’s) door een multinationale groep van ondernemingen vastgestelde interne regels die zien op het wereldwijde beleid inzake de internationale doorgifte van persoonsgegevens binnen dezelfde groep van ondernemingen aan vestigingen in een derde land dat geen adequaat beschermingsniveau biedt.

Op grond van de AVGB moeten BCR’s:

  1. worden goedgekeurd door de bevoegde (leidende) toezichthoudende autoriteit;
  2. juridisch bindend zijn voor, van toepassing zijn op en worden gehandhaafd door alle betrokken leden van de groep van ondernemingen;
  3. betrokkenen uitdrukkelijk afdwingbare rechten toekennen met betrekking tot de verwerking van hun persoonsgegevens; en
  4. specifieke informatie bevatten die onder andere ziet op: (a) de structuur en contactgegevens van de groepering van ondernemingen; (b) de gegevensdoorgiften, met inbegrip van de categorieën van persoonsgegevens; (c) het soort verwerking en de doeleinden daarvan; (d) het soort betrokkenen in kwestie; (e) de identificatie van het derde land of de derde landen in kwestie; (f) de toepassing van de algemene beginselen inzake gegevensbescherming; (g) de rechten van betrokkenen; (h) de aanvaarding door de op het grondgebied van een lidstaat gevestigde verwerkingsverantwoordelijke of verwerker van aansprakelijkheid voor alle inbreuken op de BCR’s door een niet in de EER gevestigde onderneming van de groep; (i) de taken van de aangewezen functionaris voor gegevensbescherming; en (j) de klachtenprocedures.

Door de Commissie vastgestelde of goedgekeurde standaardbepalingen inzake gegevensbescherming

De doorgifte van persoonsgegevens naar een derde land dat geen adequaat beschermingsniveau biedt, is tevens toegestaan indien er gebruik wordt gemaakt van standaardbepalingen die zijn vastgesteld door de Commissie of door een toezichthoudende autoriteit (en vervolgens zijn goedgekeurd door de Commissie).

In de AVGB is expliciet opgenomen dat standaardbepalingen inzake gegevensbescherming in een bredere overeenkomst mogen worden verwerkt. Het is partijen toegestaan extra bepalingen en waarborgen toe te voegen, mits deze niet in tegenspraak zijn met de standaardbepalingen en geen afbreuk doen aan de grondrechten of de fundamentele vrijheden van de betrokkenen.

Het is partijen tevens toegestaan om contractuele bepalingen op ad hoc basis te gebruiken. Deze dienen echter wel voorafgaand aan de internationale doorgifte van persoonsgegevens door de toezichthoudende autoriteit te worden goedgekeurd.

Ad hoc contractsbepalingen mogen ook worden gebruikt, maar deze vergen voorafgaande toestemming van de toezichthoudende autoriteit voordat de doorgifte naar een derde land plaatsvindt.

De Commissie heeft momenteel drie sets van contractuele standaardbepalingen gepubliceerd: twee sets voor de doorgifte van persoonsgegevens van de verwerkingsverantwoordelijke gevestigd in de EER naar een verwerkingsverantwoordelijke gevestigd buiten de EER en één set voor de doorgifte van persoonsgegevens van de verwerkingsverantwoordelijke gevestigd in de EER naar een verwerker die gevestigd is buiten de EER. Er bestaan geen contractuele standaardbepalingen voor de grensoverschrijdende doorgifte van persoonsgegevens van verwerkers die gevestigd zijn in de EER naar sub-verwerkers die gevestigd zijn buiten de EER.

De op grond van de Richtlijn goedgekeurde contractuele standaardbepalingen blijven geldig, maar de AVGB laat de mogelijkheid open om deze in te trekken (en te vervangen door (een) nieuwe set(s) van goedgekeurde contractuele standaardbepalingen).

Goedgekeurde gedragscodes

Het gebruik van gedragscodes wordt onder de AVGB aangemoedigd, aangezien het als middel kan dienen om de naleving van de AVGB aan te tonen. Daarnaast kunnen gedragscodes als zodanig tevens dienen als een passende waarborg op grond waarvan internationale doorgifte van persoonsgegevens kan plaatsvinden.

Gedragscodes kunnen worden opgesteld door verenigingen of andere organen die verwerkingsverantwoordelijken of verwerkers vertegenwoordigen en dienen voorafgaand aan de doorgifte te worden goedgekeurd door de toezichthoudende autoriteit.

Het naleven van een goedgekeurde gedragscode in combinatie met toezeggingen van buiten de EER gevestigde verwerkingsverantwoordelijken of een verwerkers dat zij de betreffende passende waarborgen zullen bieden, kan bewijzen dat de buiten de EER gevestigde organisatie passende waarborgen heeft geïmplementeerd.

Afwijkingen in specifieke situaties

De AVGB bevat enkele afwijkingen op het verbod dat persoonsgegevens niet doorgegeven mogen worden aan derde landen die geen adequate gegevensbescherming bieden. Deze afwijkingen zijn grotendeels gelijk aan de afwijkingen die de Richtlijn kent. De afwijkingen gelden in de volgende gevallen:

  1. de betrokkene heeft uitdrukkelijk ingestemd met de voorgestelde doorgifte, na te zijn ingelicht over de risico’s die dergelijke doorgiften voor hem kunnen inhouden door het ontbreken van een adequaatheidsbesluit en van passende waarborgen (met andere woorden, het is onvoldoende om slechts te vermelden dat de persoonsgegevens worden doorgegeven aan een derde land);
  2. de doorgifte is noodzakelijk voor de uitvoering van een overeenkomst tussen de betrokkene en de verwerkingsverantwoordelijke of voor de uitvoering van op verzoek van de betrokkene genomen precontractuele maatregelen;
  3. de doorgifte is noodzakelijk voor het sluiten, of de uitvoering van een in het belang van de betrokkene tussen de verwerkingsverantwoordelijke en een derde gesloten overeenkomst;
  4. de doorgifte is noodzakelijk wegens gewichtige redenen van algemeen belang;
  5. de doorgifte is noodzakelijk voor het instellen van, de uitoefening of onderbouwing van een rechtsvordering;
  6. de doorgifte is noodzakelijk voor de bescherming van de vitale belangen van de betrokkene of van andere personen, indien de betrokkene lichamelijk of juridisch niet in staat is zijn toestemming te geven;
  7. de doorgifte is verricht vanuit een register dat volgens het EU-recht of nationaal recht is bedoeld om het publiek voor te lichten en dat door eenieder dan wel door iedere persoon die zich op een gerechtvaardigd belang kan beroepen, kan worden geraadpleegd, maar alleen voor zover in het geval in kwestie wordt voldaan aan de in EU-recht of nationaal recht vastgestelde voorwaarden voor raadpleging.

In geval doorgifte van persoonsgegevens niet mogelijk is op grond van contractuele standaardbepalingen of BCR’s en geen van de afwijkingen voor een specifieke situaties zoals hierboven beschreven van toepassing is, dan is doorgifte desalniettemin mogelijk indien:

  1. de doorgifte niet herhaaldelijk plaatsvindt;
  2. de doorgifte een beperkt aantal betrokkenen betreft;
  3. de doorgifte noodzakelijk is voor de behartiging van dwingende gerechtvaardigde belangen van de verwerkingsverantwoordelijke die zwaarder wegen dan de belangen of rechten en vrijheden van de betrokkenen;
  4. de verwerkingsverantwoordelijke alle omstandigheden in verband met de gegevensdoorgifte heeft beoordeeld en passende waarborgen voor de bescherming van persoonsgegevens heeft getroffen;
  5. de verwerkingsverantwoordelijke de toezichthoudende autoriteit informeert over de doorgifte.

Deze laatste afwijking biedt enige flexibiliteit, maar vereist tevens een zorgvuldige afweging van de omstandigheden van het geval alsmede een goede documentatie. Deze afwijking dient enkel bij wijze van uitzondering te worden toegepast.

Praktische aanbevelingen

Op het in strijd met de AVGB doorgeven van persoonsgegevens aan derde landen staan bestuursrechtelijke boetes van EUR 20.000.000 of, indien dit hoger is, 4% van de totale wereldwijde jaaromzet van de betreffende organisatie. Organisaties zullen er dan ook goed aan doen om hun grensoverschrijdende datastromen in kaart te brengen en te beoordelen of huidige mechanismen in overeenstemming zijn met de AVGB.

In het algemeen raden af om doorgiften van persoonsgegevens aan derde landen op toestemming van betrokkenen te baseren. Betrokkenen kunnen immers te allen tijde hun toestemming intrekken, hetgeen tot gevolg heeft dat er geen geldige grondslag meer bestaat voor de doorgifte van persoonsgegevens aan een derde land. Bovendien, aangezien gegevens steeds vaker in de cloud worden opgeslagen (waarvan de datacenters zich over de gehele wereld kunnen bevinden), kan intrekking van toestemming een ingewikkelde en tijdrovende puzzel worden. Indien mogelijk raden wij aan om internationale doorgifte van persoonsgegevens te baseren op passende waarborgen zoals de BCR’s en contractuele standaardbepalingen inzake gegevensbescherming, of door persoonsgegevens op te slaan binnen de EER en doorgifte buiten de EER te vermijden.

DISCLAIMER: Because of the generality of this update, the information provided herein may not be applicable in all situations and should not be acted upon without specific legal advice based on particular situations.

© Dentons | Attorney Advertising

Written by:

Dentons
Contact
more
less

Dentons on:

Readers' Choice 2017
Reporters on Deadline

"My best business intelligence, in one easy email…"

Your first step to building a free, personalized, morning email brief covering pertinent authors and topics on JD Supra:
Sign up using*

Already signed up? Log in here

*By using the service, you signify your acceptance of JD Supra's Privacy Policy.
Custom Email Digest
Privacy Policy (Updated: October 8, 2015):
hide

JD Supra provides users with access to its legal industry publishing services (the "Service") through its website (the "Website") as well as through other sources. Our policies with regard to data collection and use of personal information of users of the Service, regardless of the manner in which users access the Service, and visitors to the Website are set forth in this statement ("Policy"). By using the Service, you signify your acceptance of this Policy.

Information Collection and Use by JD Supra

JD Supra collects users' names, companies, titles, e-mail address and industry. JD Supra also tracks the pages that users visit, logs IP addresses and aggregates non-personally identifiable user data and browser type. This data is gathered using cookies and other technologies.

The information and data collected is used to authenticate users and to send notifications relating to the Service, including email alerts to which users have subscribed; to manage the Service and Website, to improve the Service and to customize the user's experience. This information is also provided to the authors of the content to give them insight into their readership and help them to improve their content, so that it is most useful for our users.

JD Supra does not sell, rent or otherwise provide your details to third parties, other than to the authors of the content on JD Supra.

If you prefer not to enable cookies, you may change your browser settings to disable cookies; however, please note that rejecting cookies while visiting the Website may result in certain parts of the Website not operating correctly or as efficiently as if cookies were allowed.

Email Choice/Opt-out

Users who opt in to receive emails may choose to no longer receive e-mail updates and newsletters by selecting the "opt-out of future email" option in the email they receive from JD Supra or in their JD Supra account management screen.

Security

JD Supra takes reasonable precautions to insure that user information is kept private. We restrict access to user information to those individuals who reasonably need access to perform their job functions, such as our third party email service, customer service personnel and technical staff. However, please note that no method of transmitting or storing data is completely secure and we cannot guarantee the security of user information. Unauthorized entry or use, hardware or software failure, and other factors may compromise the security of user information at any time.

If you have reason to believe that your interaction with us is no longer secure, you must immediately notify us of the problem by contacting us at info@jdsupra.com. In the unlikely event that we believe that the security of your user information in our possession or control may have been compromised, we may seek to notify you of that development and, if so, will endeavor to do so as promptly as practicable under the circumstances.

Sharing and Disclosure of Information JD Supra Collects

Except as otherwise described in this privacy statement, JD Supra will not disclose personal information to any third party unless we believe that disclosure is necessary to: (1) comply with applicable laws; (2) respond to governmental inquiries or requests; (3) comply with valid legal process; (4) protect the rights, privacy, safety or property of JD Supra, users of the Service, Website visitors or the public; (5) permit us to pursue available remedies or limit the damages that we may sustain; and (6) enforce our Terms & Conditions of Use.

In the event there is a change in the corporate structure of JD Supra such as, but not limited to, merger, consolidation, sale, liquidation or transfer of substantial assets, JD Supra may, in its sole discretion, transfer, sell or assign information collected on and through the Service to one or more affiliated or unaffiliated third parties.

Links to Other Websites

This Website and the Service may contain links to other websites. The operator of such other websites may collect information about you, including through cookies or other technologies. If you are using the Service through the Website and link to another site, you will leave the Website and this Policy will not apply to your use of and activity on those other sites. We encourage you to read the legal notices posted on those sites, including their privacy policies. We shall have no responsibility or liability for your visitation to, and the data collection and use practices of, such other sites. This Policy applies solely to the information collected in connection with your use of this Website and does not apply to any practices conducted offline or in connection with any other websites.

Changes in Our Privacy Policy

We reserve the right to change this Policy at any time. Please refer to the date at the top of this page to determine when this Policy was last revised. Any changes to our privacy policy will become effective upon posting of the revised policy on the Website. By continuing to use the Service or Website following such changes, you will be deemed to have agreed to such changes. If you do not agree with the terms of this Policy, as it may be amended from time to time, in whole or part, please do not continue using the Service or the Website.

Contacting JD Supra

If you have any questions about this privacy statement, the practices of this site, your dealings with this Web site, or if you would like to change any of the information you have provided to us, please contact us at: info@jdsupra.com.

- hide
*With LinkedIn, you don't need to create a separate login to manage your free JD Supra account, and we can make suggestions based on your needs and interests. We will not post anything on LinkedIn in your name. Or, sign up using your email address.