Doorgifte persoonsgegevens
Op 28 juni 2021 heeft de Europese Commissie het adequaatheidsbesluit met het Verenigd Koninkrijk aangenomen. Daarmee wordt eindelijk - en net op tijd voor de deadline van 1 juli 2021! - duidelijkheid geboden op het gebied van gegevensbescherming na de brexit-deal die op 1 januari 2021 is ingegaan.
In het najaar van 2021 heeft het VK aangegeven dat het de Europese gegevensbeschermingsregels op enkele punten wil herzien. Dit zou de status 'land met adequaat of passend beschermingsniveau' kunnen ondermijnen.
In het najaar van 2021 heeft het VK aangegeven dat het de Europese gegevensbeschermingsregels op enkele punten wil herzien. Dit zou de status 'land met adequaat of passend beschermingsniveau' kunnen ondermijnen.
De Algemene Verordening Gegevensbescherming AVG
De AVG bevat regels voor het verwerken van persoonsgegevens, waarbij de nadruk ligt op het geautomatiseerd verwerken. Zeker bij de inzet van cloud computing hebben deze regels extra aandacht nodig.Het exporteren van persoonsgegevens: internationale doorgifte
Het exporteren van persoonsgegevens, ook wel (internationale) doorgifte genoemd, is een vorm van verwerking van persoonsgegevens. De gebruikelijke verwerkingsgrondslagen zijn hierop onverkort van toepassing (voor deze grondslagen zie: bescherming persoonsgegevens). Daarnaast zijn er in veel gevallen bijzondere voorwaarden van toepassing op de doorgifte van persoonsgegevens. Hierbij wordt onderscheid gemaakt tussen doorgifte naar een EU-lidstaat en doorgifte naar een land buiten de EU (eigenlijk: de EER, die naast de EU ook Noorwegen, Liechtenstein en IJsland omvat).Op de export van persoonsgegevens naar een EU-lidstaat zijn geen extra regels van toepassing. Daarentegen is doorgifte naar een land buiten de Europese Unie aan strenge regels onderworpen. Dit om een adequaat niveau van bescherming van de gegevens te waarborgen. Deze regels worden hieronder kort toegelicht.
Doorgifte buiten de EU + toereikend beschermingsniveau
Hoofdregel is dat persoonsgegevens uitsluitend mogen worden doorgegeven naar landen die een passend beschermingsniveau waarborgen. Via zogenoemde adequaatheidsbesluiten wordt door de Europese Commissie bepaald welke landen dit zijn. Zie de lijst van landen met passend beschermingsniveau.Voor de Verenigde Staten gold tot oktober 2015 een aparte regeling, feitelijk ook een adequaatheidsbesluit: Safe Harbor. Deze regeling werd vervangen door het EU-US Privacy Shield, dat op zijn beurt op 16 juli 2020 ongeldig werd verklaard (de zaak Schrems II).
Doorgifte buiten de EU + ontoereikend beschermingsniveau
Doorgifte naar landen die geen waarborg bieden voor een passend beschermingsniveau is slechts onder bepaalde voorwaarden mogelijk.
Eerst komen de passende waarborgen in aanmerking, waarvan de belangrijkste zijn:
-
Europese modelcontracten
Doorgifte is ook toegestaan als gebruik wordt gemaakt van modelcontracten die zijn goedgekeurd door de Europese Commissie. Ze zijn ook bekend onder de Engelse term standard contractual clauses.
Lees meer over de Europese modelcontracten. -
Binding Corporate Rules (BCR)
Dit betreft de gegevensuitwisseling binnen een concern met internationale vestigingen. Zie: uitgebreide informatie over Binding Corporate Rules Certificeringsmechanisme
Ook een zogenoemd AVG-certificaat kan in de nabije toekomst als doorgifte-instrument worden gebruikt, op basis van artikel 46 lid 2f.
Kan geen van bovengenoemde passende waarborgen worden toegepast, dan kan nog worden uitgeweken naar de zogenaamde afwijkingen voor specifieke situaties:
-
Uitdrukkelijke toestemming
De betrokkene (dit is degene wiens gegevens worden verwerkt) heeft voor de verwerking zijn uitdrukkelijke toestemming gegeven. -
Uitvoering overeenkomst met betrokkene
De doorgifte is noodzakelijk voor de uitvoering van een overeenkomst tussen de betrokkene en de verantwoordelijke. -
Uitvoering overeenkomst in het belang van betrokkene
Deze voorwaarde heeft betrekking op de uitvoering van een overeenkomst waarbij de betrokkene geen partij is, maar waarbij hij wel een belang heeft. -
Zwaarwegend algemeen belang of voor de instelling, uitvoering of verdediging van enig recht
Het belang van de betrokkene hoeft hiermee niet gediend te worden. -
Vitaal belang van betrokkene of van andere personen
Doorgifte is ook mogelijk als een vitaal belang van de betrokkene of andere personen in het geding is, bijvoorbeeld wanneer hij in levensgevaar verkeert. -
Bij wet ingestelde registers
Voorbeelden van dergelijke registers zijn het kadaster en het handelsregister, die ook kunnen worden geraadpleegd door personen buiten de Europese Unie.