Landen buiten Europa vaak geen passend beschermingsniveau

In het systeem van Europese privacywetgeving is het namelijk zo dat doorgifte van persoonsgegevens naar landen buiten de Europees Economische Ruimte (EER) in beginsel verboden is (art. 76 Wbp). Om te voorkomen dat gegevens terecht komen in landen waar de privacybescherming niet goed geregeld is, kunnen persoonsgegevens alleen doorgegeven worden als het derde land een ‘passend beschermingsniveau’ biedt. De Europese Commissie heeft onder andere van Zwitserland, Australië en Canada beslist dat dit het geval is.

BCRs als snellere route

Als een land niet op de lijst van goedgekeurde landen staat, dan kunnen persoonsgegevens onder bepaalde voorwaarden toch naar dat land doorgegeven worden. Eén van deze voorwaarden bestaat in de toestemming van de Minister van Justitie. Echter, het is voor een multinational (met vestigingen in diverse landen en dientengevolge uitwisseling van data tussen diverse landen) enorm tijdrovend en geldverspillend als  iedere keer weer toestemming gevraagd moet worden aan de Minister. Om die reden is er voor multinationals de optie om BCRs op te stellen, met daarin voorschriften met betrekking tot de omgang met persoonsgegevens binnen de (wereldwijde) organisatie. Deze BCRs moeten vervolgens bij één nationale privacytoezichthouder (in Nederland het CBP) neergelegd worden, die ze vervolgens gaat toetsen. Als deze privacytoezichthouder goedkeuring verleent, moeten daarna alle andere Europese toezichthouders instemmen met de BCRs. Een aantal landen (op dit moment 21, waaronder Engeland en Nederland), heeft echter besloten dat ze de opinie van de privacytoezichthouder van de aangesloten landen accepteren (‘mutual recognition’). Dit betekent dat bijvoorbeeld het Nederlandse CBP geen goedkeuring hoeft te verlenen aan BCRs die in Engeland zijn goedgekeurd.

Banken sluiten aan

Om terug te komen op de BCRs van American Express: de Britse toezichthouder heeft de BCRs goedgekeurd. Hiermee hebben de andere 20 aangesloten landen ook automatisch goedkeuring verleend. Dit betekent dat alleen de toezichthouders van de resterende landen zich nog moeten buigen over de BCRs van American Express. Als goedkeuring plaatsvindt is American Express de 31e multinational met goedgekeurde BCRs. Nummer 32 zou overigens de ABN AMRO Bank kunnen worden. Er loopt namelijk op dit moment een procedure tot goedkeuring bij het CBP.

Vragen?

Heeft u vragen over Privacy, neemt u dan contact op met, Natascha van Duuren, Advocaat/Partner IE/ICT-recht