Verplaatsing van persoonsgegevens naar landen buiten de EU

Het overdragen van persoonsgegevens binnen de Europese Unie (EU) levert, vanuit juridisch oogpunt, geen problemen op, aangezien de Algemene Verordening gegevensbescherming (AVG) in al deze landen van toepassing is en in deze landen dus wordt voldaan aan de beginselen en regelingen die hierin zijn vastgelegd. Dit vloeit voort uit het beginsel van vrij verkeer van gegevens binnen de EU. In de AVG zijn specifieke regels opgelegd met betrekking tot het verkeer van persoonsgegevens naar landen buiten de EU en naar internationale organisaties.

Voorwaarden voor verplaatsing van persoonsgegevens naar landen buiten de EU

Onder Europees recht is het van belang dat het land waarnaar de persoonsgegevens verplaatst worden, dat buiten de EU ligt, ook wel een ‘derde land’ genoemd, de persoonsgegevens voldoende kan beschermen. De verplaatsing van de persoonsgegevens naar een derde land, dient te voldoen aan de Europese regelgeving die hiervoor is vastgesteld. De Europese wet bevat drie mogelijkheden op basis waarvan een overdracht plaats mag vinden. Hieronder worden deze nader beschreven.

Adequaatheidsbesluit

Op basis van deze regeling, mag overdracht van persoonsgegevens naar een derde land plaatsvinden, indien er een speciaal besluit is genomen door de Europese Commissie, waarin is vastgelegd dat dit derde land, een deel hiervan, een bepaalde sector in dit land of een internationale organisatie verzekert dat er een adequaat niveau van bescherming van de persoonsgegevens plaatsvindt.

In dit besluit dient de Europese Commissie het volgende in overweging te nemen: het recht waaraan in die sector of dat gebied wordt voldaan, met inbegrip van onder andere mensenrechten, jurisprudentie, beroepsregels en veiligheidsmaatregelen, het bestaan van een effectief functionerend onafhankelijk orgaan dat toezicht houdt op het naleven van regels omtrent bescherming van persoonsgegevens, en bestaande internationale verplichtingen.

Overdracht met passende waarborgen

Indien er geen adequaatheidsbesluit is genomen door de Europese Commissie, is het nog steeds mogelijk om persoonsgegevens over te dragen. Dit kan alleen indien de verwerkingsverantwoordelijke of de verwerker passende waarborgen biedt en op voorwaarde dat er voor de betrokkene afdwingbare rechten omtrent zijn of haar persoonsgegevens en rechtsmiddelen beschikbaar zijn. Deze passende waarborgen kunnen worden verleend zonder dat een specifieke autorisatie van een toezichthoudende instantie verplicht is, middels een juridisch bindend en afdwingbaar instrument, bindende bedrijfsvoorschriften, standaardclausules inzake gegevensbescherming die zijn aangenomen door de Commissie of door een toezichthoudende instantie en zijn goedgekeurd door de commissie, goedgekeurde gedragsregels of een goedgekeurd certificatiemechanisme.

Situatie in afwijking van het adequaatheidsbesluit of overdracht met passende waarborgen

Indien zowel geen adequaatheidsbesluit is genomen door de Commissie én er geen sprake is of kan zijn van overdracht met passende waarborgen, kan enkel nog overdracht van persoonsgegevens naar een derde land plaatsvinden indien de betrokkene expliciet heeft toegestemd met de overdracht, de overdracht noodzakelijk is voor het uitvoeren van een contract op basis van toestemming of in het belang van de betrokkene, de overdracht noodzakelijk is in het publieke belang, het is noodzakelijk in het kader van het vestigen, uitoefenen of verdedigen van rechtsvorderingen, om levensbelangen te beschermen, of indien de overdracht plaatsvindt vanuit een register dat op basis van het recht van de EU of een van de lidstaten is bedoeld om het publiek te informeren en dit register kan worden geraadpleegd. Daarnaast mag een dergelijke overdracht van persoonsgegevens alleen plaatsvinden indien deze overdracht niet herhaaldelijk plaatsvindt, enkel een beperkt aantal personen betreft, het noodzakelijk is met het oog op dwingende legitieme belangen, er wordt beoordeeld of er passende maatregelen worden of zijn genomen om de persoonsgegevens te beschermen en de toezichthoudende instantie op de hoogte wordt gehouden evenals de betrokkene zelf.

Overdracht van persoonsgegevens naar de Verenigde Staten

Met betrekking tot het overdragen van persoonsgegevens naar de Verenigde Staten is een specifiek adequaatheidsbesluit van toepassing. Echter, dit adequaatheidsbesluit, momenteel het ‘Privacy Shield’, kent een flinke geschiedenis en wordt momenteel opnieuw onder de loep genomen.

Voor het inwerking treden van het Privacy Shield, bestond het ‘Safe Harbor-verdrag’, dat een lijst met Amerikaanse organisaties betrof die werden gezien als organisaties die voldoende bescherming van persoonsgegevens konden bieden en veilig met deze gegevens om zouden gaan. Dit Safe Harbor-verdrag is ongeldig verklaard in 2015. Erg belangrijk voor het ongeldigverklaring van het Safe Harbor-verdrag was het feit dat organisaties zich konden aansluiten bij dit verdrag door zelf te verklaren dat zij een adequaat niveau van bescherming van persoonsgegevens aanbieden.

Na het ongeldig verklaren van het Safe Harbor-verdrag, trad het Privacy Shield in werking. Ook dit is een adequaatheidsbesluit waarin bedrijven uit de Verenigde Staten zijn opgenomen die een adequaat niveau van bescherming van persoonsgegevens kunnen bieden. Momenteel wordt ook het Privacy Shield onder de loep genomen en bekritiseerd. Mogelijk wordt ook het Privacy Shield ongeldig verklaard.



Specialist verplaatsing van persoonsgegevens naar landen buiten de eu

Het verplaatsen van persoonsgegevens naar een derde land is in lijn met de AVG indien dit land de persoonsgegevens voldoende kan beschermen. Deze 'voldoende bescherming' kan op drie verschillende gronden gebaseerd worden.
Innovation / Growth / Commitment

Neem contact op

U kunt contact met ons opnemen door het invullen van ons contactformulier. Wij reageren zo spoedig mogelijk. Natuurlijk kunt u ons ook direct mailen of bellen.