Veel ondernemingen zijn afhankelijk van doorgifte van persoonsgegevens naar landen buiten de Europese Unie (EU). Deze datadoorgifte is echter niet altijd toegestaan. Onder de Algemene Verordening Gegevensbescherming (AVG) is doorgifte slechts toegestaan aan landen, bepaalde sectoren binnen deze landen of internationale organisaties, die ‘een passend beschermingsniveau’ bieden, of op grond van één van de andere bepalingen uit hoofdstuk 5 van de AVG. Gezien de grote omvang van het onderwerp beperkt deze blog zich tot het criterium van ‘een passend beschermingsniveau’ van artikel 45 AVG.
Adequate bescherming
Hoewel de privacyregels van de AVG slechts gelden voor de Europese Economische Ruimte (EER) – dit zijn alle landen van de EU plus Liechtenstein, IJsland en Noorwegen – mogen persoonsgegevens ook verstuurd worden naar derde landen, wanneer aan specifieke voorwaarden is voldaan. Het adequaatheidsbesluit op basis van artikel 45 AVG is hier een voorbeeld van. Een adequaatheidsbesluit wordt genomen door de Europese Commissie (EC) en bepaalt dat een specifiek derde land (of sector binnen dat land, of internationale organisatie) een passend niveau van bescherming van persoonsgegevens biedt door middel van zijn nationale wetgeving of op basis van internationale verplichtingen.
Als gevolg hiervan kunnen persoonsgegevens veilig uit de EER naar dat derde land worden doorgegeven, zonder dat er verdere waarborgen of machtigingen voor nodig zijn. Het bestaan van een adequaatheidsbesluit voor een derde land betekent overigens niet dat persoonsgegevens meteen verstuurd mogen worden naar partijen in dat land. Aan de overige eisen van de AVG en andere toepasselijke privacywetgeving, zoals bijvoorbeeld het bestaan van een verwerkersovereenkomst, moet nog steeds worden voldaan.
Een vergelijkbaar niveau van gegevensbescherming bieden
Om te voldoen aan de adequaatheidseis hoeven de privacyregels van een derde land niet exact hetzelfde te zijn als die van de AVG; het gaat erom dat het derde land een ‘vergelijkbaar niveau van gegevensbescherming’ biedt. Hierbij worden door de EC niet enkel de toepasselijke privacybepalingen beoordeeld, maar wordt bijvoorbeeld ook het toezicht op de naleving van deze regels bekeken. De Europese gegevensbeschermings-autoriteiten hebben een lijst met elementen opgesteld waarmee de EC rekening moet houden bij de beoordeling van de adequaatheid van gegevensbescherming van een derde land. Er moet onder meer gekeken worden naar:
- de mate van overheidsinmenging;
- de eerbiediging van de mensenrechten en de fundamentele vrijheden;
- de relevante wetgeving;
- het bestaan en de doeltreffende werking van een of meer onafhankelijke toezichthoudende autoriteiten; en
- de internationale verbintenissen die het derde land of de internationale organisatie is aangegaan.
Welke landen zijn al adequaat bevonden?
De EC heeft tot nu toe adequaatheidsbesluiten genomen voor de volgende landen: Andorra, Argentinië, Canada (ziet alleen op commerciële organisaties), Faeröer Eilanden, Guernsey, het Isle of Man, Israël, Jersey, Nieuw-Zeeland, Uruguay, de Verenigde Staten (gelimiteerd tot het Privacy Shield-framework) en Zwitserland. Daarnaast zijn met Zuid-Korea momenteel onderhandelingen aan de gang en zijn de onderhandelingen met Japan recent afgerond, waardoor de verwachting is dat een adequaatheidsbesluit voor dit land binnenkort rechtsgevolgen zal krijgen.
De lijst met landen – en dus ondernemingen – waaraan data mag worden doorgegeven wordt alsmaar groter; een goed teken voor bedrijven die afhankelijk zijn van verwerking van persoonsgegevens door partijen die in derde landen zijn gevestigd. Er zijn echter geen strikte regels omtrent de houdbaarheid van adequaatheidsbesluiten, waardoor eerdere besluiten nauwlettend in de gaten moeten worden gehouden. Het Europees Parlement en de Raad kunnen de EC namelijk te allen tijde verzoeken het adequaatheidsbesluit te handhaven, te wijzigen of in te trekken - op grond van een verminderd niveau van gegevensbescherming.
Een voorbeeld hiervan betreft de onlangs ontstane discussie of het EU-US Privacy Shield niet tijdelijk opgeschort moet worden wegens verminderde naleving en toezicht erop; een situatie die de Facebook- en Cambridge Analytica-schandalen aan het licht hebben gebracht. Als de EC besluit het Privacy Shield op te schorten, heeft dit als gevolg dat persoonsgegevens niet zomaar meer mogen worden doorgegeven. Het opschorten of intrekken van andere adequaatheidsbesluiten heeft eenzelfde gevolg. Alertheid wordt daarom aanbevolen.
Deze blog is geschreven in samenwerking met Viola de Boer.