Doorgifte buiten de EU zonder passende bescherming

Wanneer een niet-EU-land niet erkend wordt als aanbieder van een passend beschermingsniveau, zijn er enkele mogelijkheden om toch een gegevensdoorgifte te laten plaatsvinden: een modelovereenkomst van de EU afsluiten, bindende ondernemingsregels aannemen of een beroep doen op enkele wettelijk bepaalde uitzonderingen. Bedoeling van al deze mogelijkheden is juridische zekerheid verschaffen aan de economische actoren, zoals bedrijven.


Er bestaat immers een reeks afwijkingen die doorgifte mogelijk maken naar landen die geen passend beschermingsniveau bieden. Om de economische actoren juridische zekerheid te verschaffen, verplichten de EU-lidstaten de toepassing van deze afwijkingen op doorgiften naar derde landen die geen passend beschermingsniveau bieden, ook al zijn ze niet formeel erkend als landen met niet-passende bescherming. Een van deze afwijkingen is de mogelijkheid voor de verwerkingsverantwoordelijke om via een overeenkomst zelf passende bescherming te bieden. Zo kan bescherming geboden worden door middel van een overeenkomst die bindend is voor de persoon die de gegevens toezendt en voor degene die ze ontvangt, en die voldoende garanties bevat inzake gegevensbescherming.

De verwerkingsverantwoordelijke heeft twee mogelijkheden: modelovereenkomsten van de Europese Commissie of contractuele bepalingen voorgesteld door de onderneming.

1. Modelovereenkomsten van de Europese Commissie

Om de verwerkingsverantwoordelijken hierbij te helpen stelt de Europese Commissie modelovereenkomsten ter beschikking die automatisch beschouwd worden als voldoende waarborgen in het licht van de geldende regels voor gegevensbescherming.

Hier vindt u de beschikbare modelovereenkomsten:

  • overeenkomst voor doorgifte door een verwerkingsverantwoordelijke naar verwerkingsverantwoordelijke
    (eerste model 2001/497/CE);
  • overeenkomst voor doorgifte door een verwerkingsverantwoordelijke naar verwerkingsverantwoordelijke
    (tweede model 2004/915/CE);
  • overeenkomst voor doorgifte door een verwerkingsverantwoordelijke naar een verwerker
    (voor contracten vóór 15 mei 2010: 2002/16/CE (ENG); voor nieuwe contracten sinds 15 mei 2010: 2010/87/EU). Ter informatie: de Groep 29 heeft FAQ's opgesteld (WP176 (ENG)) over overeenkomsten die Beslissing 2010/87/EU volgen.

De voorafgaande aanmelding van modelovereenkomsten is niet langer vereist. Desalniettemin moet de verwerkingsverantwoordelijke of de verwerker deze steeds kunnen voorleggen op vraag van de Autoriteit.

2. Contractuele bepalingen voorgesteld door de onderneming

Als de verwerkingsverantwoordelijke niet kiest voor een modelovereenkomst van de Europese Commissie kan hij toch zijn eigen contractuele bepalingen (ad hoc) opstellen die voldoende waarborgen bieden voor gegevensbescherming. Deze bepalingen moeten in principe conform artikel 46.3 a) AVG door de GBA bekrachtigd worden en conform artikel 46.4 AVG onderworpen zijn aan het coherentiemechanisme. Dit wil zeggen dat deze bepalingen door de EDPB goedgekeurd zullen moeten worden.

Alle doorgiftes van persoonsgegevens die worden verricht buiten de Europese Unie moeten de betrokkenen een passende beschermingsniveau garanderen (art. 44 AVG)  Dit passend beschermingsniveau kan worden gegarandeerd met verschillende mechanismen waaronder de BCR  (art. 47 AVG).  De BCR stellen ondernemingen in staat om binnen eenzelfde ondernemingsgroep gegevens uit te wisselen buiten de Europese Uni, zonder dat beschermingsniveau voor de personen, als gewaarborgd door de AVG, in het gedrang komt.

Welke procedure moet gevolgd worden om de BCR te kunnen voorleggen?

Stap 1

U bent verwerkingsverantwoordelijke? Vul het formulier WP264
U bent verwerker? Vul het formulier WP265.

Stap 2

Onder afdeling 1 van het formulier WP264 of WP265, vermeld onder stap 1, moet u een "bevoegde" autoriteit aanduiden (art. 64 AVG) en uw keuze verantwoorden overeenkomstig de criteria vermeld onder punt 1.2 van WP263 rev. 01. U bezorgt de aangeduide autoriteit de informatie als opgelijst onder punt 1.5 van WP263 rev.01.

Stap 3
2 weken
(+ max 2 weken)

De aangeduide autoriteit neemt een beslissing over haar bevoegdheid. Desgevallend kan zij u bijkomende informatie vragen. Als zij zich bevoegd acht om de BCR te onderzoeken, licht zij de andere betrokken autoriteiten  in over haar beslissing. De betrokken autoriteiten hebben twee weken om over deze bevoegdheid bezwaren te uiten.

In een BCR-procedure, zijn de betrokken autoriteiten:

  • In het kader van de bindende bedrijfsvoorschriften voor de verwerkingsverantwoordelijke: alle autoriteiten van de landen van waaruit de aanvrager doorgiftes verricht.
  • In het kader van de bindende bedrijfsvoorschriften voor de verwerkers:  zijn alle autoriteiten betrokken.
1 maand Waneer de autoriteit die door de aanvrager werd aangeduid, meent dat zij niet bevoegd is, motiveert zij haar beslissing en beveelt ze in overleg met de andere betrokken autoriteiten een meer geschikte autoriteit aan.
Stap 4
Geen termijnen Als de betrokken autoriteiten binnen de twee maanden geen bezwaren hebben geuit over de bevoegdheid van de autoriteit die de aanvrager heeft aangeduid, wordt de aangeduide autorit aanzien als "bevoegd" om de BCR-procedure te leiden. Zij stelt een of twee ondersteunende autoriteiten aan (co-reviewer(s) - er worden twee ondersteunende autoriteiten aangeduid als 14 of meer dan 14 Lidstaten) en vervolgens start ze met het BCR-onderzoek uitgaande van de criteria opgelijst in WP256 (voor de verwerkingsverantwoordelijken) en in WP257 (voor de verwerkers).  
1 maand Wanneer de "bevoegde" autoriteit meent dat de BCR in overeenstemming zijn met de opgelijste criteria in de richtsnoeren in WP256 (voor de verwerkingsverantwoordelijken) en in WP257 (voor de verwerkers), bezorgt zij de BCR aan de ondersteunende autoriteiten (co-reviewer(s)). Vanaf de verzending van de BCR door de "bevoegde" autoriteit, heeft/ hebben de ondersteunende autoriteit(en) een maand om haar/hun eventuele bezwaren aangaande de overeenstemming met de regels aan de "bevoegde autoriteit" te bezorgen. Wanneer zij bezwaren hebben, zal de "bevoegde" autoriteit deze bezorgen aan de aanvrager.
Stap 5
Max 1 maand Wanneer de "bevoegde" autoriteit en de ondersteunende autoriteiten het erover eens zijn dat de BCR een passend beschermingsniveau bieden, bezorgt de "bevoegde" autoriteit de voorschriften aan alle betrokken autoriteiten voor hun eventuele commentaar en/of bezwaren. Deze raadpleging duurt niet langer dan een maand.
Geen termijnen Wanneer de toezichthoudende autoriteiten bezwaren hebben, zal de "bevoegde" autoriteit deze bezorgen aan de aanvrager.
Stap 6
8 weken
(+ max 6 weken)

Wanneer de betrokken DPA geen bezwaren uiten tegen de BCR, en het Algemeen Secretariaat de geconsolideerde beslissing goedkeurt, bezorgt de "bevoegde" autoriteit haar beslissing en de relevante informatie aan het Europees Comité voor Gegevensbescherming (hierna "ECG")  dat een advies uitbrengt overeenkomstig artikel 64.3 van de AVG en artikel 10 van zijn procedureregels, binnen een termijn van 8 weken, verlengbaar met 6 weken.

Geen a. Wanneer de ECG de BCR goedkeurt, kan de "bevoegde" autoriteit ze aannemen.
b. Als het ECG van oordeel is dat er amendementen nodig zijn, deelt de "bevoegde" autoriteit dit mee aan de aanvrager.
Stap 7
Geen
 

Wanneer de BCR zijn goedgekeurd door de "bevoegde" autoriteit, worden ze meegedeeld aan alle betrokken autoriteiten.

Wanneer de verwerkingsverantwoordelijke onvoldoende garanties biedt, bijvoorbeeld in een contract, Er bestaan ook bepaalde "uitzonderingen" waarmee gegevens kunnen worden overgezonden naar derde landen die enkel van toepassing zijn wanneer er geen vaststelling van gepastheid of passende waarborgen zijn inclusief bindende ondernemingsregels (artikel 49.1).

Dit is onder meer het geval wanneer de betrokkenen hun ondubbelzinnige toestemming geven voor overzending van hun gegevens aan een dergelijk land, wanneer overzending noodzakelijk is voor de tenuitvoerlegging van een overeenkomst met de betrokken persoon of wanneer de gegevens afkomstig zijn uit een openbaar register ter informatie van het publiek (bijvoorbeeld telefoongids, handelsregister). Deze uitzonderingen moeten op restrictieve wijze geïnterpreteerd worden en kunnen geen normaal kader vormen voor overzending van gegevens, vooral als dit massaal en herhaaldelijk gebeurt. Voor deze soort gegevensstromen is het aanbevolen om snel een contractuele oplossing te vinden. Dan gaat de bestemmeling van de gegevens immers een juridische verbintenis aan om de gegevens te beschermen en zijn er juridische garanties voor de burger.