Doorgifte aan derde landen

Belangrijk is dat voor doorgifte van gegevens naar een land binnen de Europese Unie (EU) andere regels gelden dan voor doorgifte naar een land buiten de EU (zogeheten ‘derde landen’). Binnen de EU mogen persoonsgegevens (mits aan de overige vereisten voldaan) namelijk vrijelijk worden doorgegeven, terwijl voor doorgifte naar derde landen sprake moet zijn van een beveiligingsniveau dat vergelijkbaar is met dat in de EU. Dit, om ervoor te zorgen dat het beveiligingsniveau in de EU niet wordt ondermijnd. De Algemene Verordening Gegevensbescherming (AVG) kent de volgende mogelijkheden om dit te waarborgen:

  • Doorgifte op basis van adequaatheidsbesluiten:

Het doorgeven van persoonsgegevens naar een derde land is op grond van de AVG ten eerste mogelijk als de Europese Commissie een zogenaamd adequaatheidsbesluit heeft aangenomen. In zo een besluit stelt de Commissie vast dat een derde land, een gebied, of een organisatie een passend beschermingsniveau biedt voor de doorgifte van persoonsgegevens.

  • Doorgifte op basis van passende waarborgen:

Op het moment dat er voor een bepaald derde land geen adequaatheidsbesluit geldt, zijn er nog andere mogelijkheden. Door bepaalde ‘passende waarborgen’ te bieden, kan toch nog worden bewerkstelligd dat doorgifte naar een dergelijk derde land is toegestaan. De in de AVG neergelegde passende waarborgen betreffen:

  • Standaard modelcontracten (de Europese commissie heeft drie soorten modelcontracten opgesteld, waarmee een passende waarborg wordt geboden);
  • Binding Corporate Rules (gedragscodes die multinationals zichzelf opleggen);
  • Goedgekeurde Codes of Conduct (bedoeld voor zelfregulering door bijvoorbeeld branche-organisaties);
  • Goedgekeurde certificeringsmechanismen.

Indien één van de bovenstaande maatregelen is genomen, is sprake van een passende waarborg en is doorgifte naar een derde land toegestaan.

UK wordt derde land

Op 9 januari 2018 heeft de Europese Commissie een ‘Notice to Stakeholders’ uitgegeven waarin zij aangeeft dat tenzij in een geratificeerde terugtrekkingsovereenkomst een andere datum wordt vastgesteld, het Verenigd Koninkrijk vanaf 30 maart 2019 een ‘derde land’ wordt. Tenzij een overgangsregeling zal worden opgenomen in de mogelijke intrekkingsovereenkomst, zijn vanaf die datum de EU-regels voor doorgifte van persoonsgegevens naar derde landen van toepassing. Vanaf dat moment zal er dus óf sprake moeten zijn van een adequaatheidsbesluit van de Europese Commissie, óf moeten er de bovengenoemde passende waarborgen worden geboden door de verantwoordelijke en verwerker van persoonsgegevens om gegevens te mogen doorgeven aan partijen gevestigd in het Verenigd Koninkrijk. Indien hier geen sprake van is, is doorgifte naar het Verenigd Koninkrijk slechts toegestaan indien sprake is van een wettelijke uitzondering (zoals ondubbelzinnige toestemming van de betrokkene (degene van wie persoonsgegevens worden verwerkt), indien doorgifte noodzakelijk is om een overeenkomst met de betrokkene uit te voeren, of vanwege een zwaarwegend algemeen belang.

Het is dan ook van groot belang om tijdig voor de officiële Brexit einddatum passende maatregelen te treffen in het geval uw organisatie persoonsgegevens doorgeeft naar een partij in het Verenigd Koninkrijk.

Vragen