Doorgifte buiten de EU zonder passende bescherming
Wanneer een niet-EU-land niet erkend wordt als aanbieder van een passend beschermingsniveau, bestaan er verscheidene mogelijkheden om toch een gegevensdoorgifte te laten plaatsvinden dankzij artikel 46 van de AVG: een modelovereenkomst ter beschikking gesteld door de Europese Commissie of het aannemen van bindende ondernemingsregels. Tevens bestaat de mogelijkheid om beroep te doen op wettelijk bepaalde afwijkingen die in artikel 49 van de AVG omschreven staan.
Opgelet, de verwerkingsverantwoordelijken en de verwerkers die als gegevensexporteurs optreden, moeten altijd per geval en zo nodig in samenwerking met de gegevensimporteur van het derde land nagaan of het rechtskader van het derde land de doeltreffendheid van de passende waarborgen die in de doorgifte-instrumenten van artikel 46 van de AVG zijn vervat, niet beperkt. Als het risico bestaat dat deze garanties niet doeltreffend zijn, kan de gegevensexporteur altijd "aanvullende maatregelen" opzetten om de doeltreffendheid van de garanties en een niveau van gegevensbescherming te waarborgen dat in wezen gelijkwaardig is aan het niveau dat binnen de Europese Unie wordt geboden.
Indien de garanties die door een van de doorgifte-instrumenten van artikel 46 van de AVG worden geboden, in het derde land niet worden of kunnen worden nageleefd en de bescherming van de doorgegeven gegevens, zoals vereist door het Unierecht, niet op een andere manier kan worden gewaarborgd, moet de in de EU gevestigde exporteur de overdracht zelf opschorten of beëindigen. Zo niet, dan moeten de nationale toezichthoudende autoriteiten dat doen als zij dat nodig achten.
Om gegevensexporteurs te helpen vaststellen in welke situaties de garanties die de doorgifte-instrumenten van artikel 46 van de AVG aanbieden, kunnen worden ondermijnd door het rechtskader van het derde land en om te bepalen welke aanvullende maatregelen moeten worden genomen, heeft de GBA binnen de EDPB bijgedragen aan de goedkeuring van Aanbeveling 01/2020 en Aanbeveling 02/2020.
Er bestaat immers een reeks afwijkingen die doorgifte mogelijk maken naar landen die geen passend beschermingsniveau bieden. Om de economische actoren juridische zekerheid te verschaffen, verplichten de EU-lidstaten de toepassing van deze afwijkingen op doorgiften naar derde landen die geen passend beschermingsniveau bieden, ook al zijn ze niet formeel erkend als landen met niet-passende bescherming. Een van deze afwijkingen is de mogelijkheid voor de verwerkingsverantwoordelijke om via een overeenkomst zelf passende bescherming te bieden. Zo kan bescherming geboden worden door middel van een overeenkomst die bindend is voor de persoon die de gegevens toezendt en voor degene die ze ontvangt, en die voldoende garanties bevat inzake gegevensbescherming.
De verwerkingsverantwoordelijke heeft twee mogelijkheden: modelovereenkomsten van de Europese Commissie of contractuele bepalingen voorgesteld door de onderneming.
1. Modelovereenkomsten van de Europese Commissie
Deze nieuwe bepalingen vervangen de "oude" besluiten (2001/497/EG en 2010/87/EU) en zorgen ervoor dat passende waarborgen kunnen worden ingesteld voor de doorgifte van gegevens naar een derde land dat niet onder een adequaatheidsbesluit valt. De bepalingen kunnen worden gebruikt om passende waarborgen te bieden voor de doorgifte van persoonsgegevens:
- door een verwerkingsverantwoordelijke die onder de AVG valt aan een verwerker;
- door een verwerkingsverantwoordelijke die onder de AVG valt aan een andere verwerkingsverantwoordelijke;
- door een verwerker die onder de AVG valt aan een verwerker;
- door een verwerker die onder de AVG valt aan een verwerkingsverantwoordelijke.
In geval van vragen, gelieve de FAQ over de contractuele bepalingen van de Europese Commissie te raadplegen.
Opgelet: deze bepalingen moeten alleen worden gebruikt als de gegevensimporteur niet onder het toepassingsgebied van de AVG valt. Bijvoorbeeld: een buiten de EU gevestigde verwerkingsverantwoordelijke die diensten binnen de Europese Unie aanbiedt en in dat kader gegevens verzamelt, zal geen standaardbepalingen tussen de gegevensexporteur en zichzelf hoeven op te stellen, aangezien deze laatste al onderworpen is aan de AVG. Als daarentegen de verwerkingsverantwoordelijke die in een derde land is gevestigd en waarop de AVG van toepassing is, gegevens aan een andere verwerkingsverantwoordelijke en/of verwerker buiten de Europese Unie doorgeeft, wordt hij "gegevensexporteur" en zal hij dus de bepalingen "verwerkingsverantwoordelijke aan verwerkingsverantwoordelijke" en/of "verwerkingsverantwoordelijke aan verwerker" moeten invoeren.
Tijdlijn
- De nieuwe bepalingen kunnen vanaf 27 juni 2021 worden gebruikt;
- De oude bepalingen kunnen vanaf 27 juni nog drie maanden in nieuwe contracten worden gebruikt;
- De oude bepalingen die momenteel in de contracten zijn opgenomen, blijven geldig gedurende 15 maanden vanaf 27 juni (ongeveer december 2022).
Samenvattend
De GBA benadrukt dat het belangrijk is om nu al kennis te nemen van de nieuwe bepalingen, die aan aanzienlijke aanpassing van de procedures voor verwerkingsverantwoordelijken en de verwerkers zullen vereisen, en om deze toe te passen.
De partijen bij de doorgifte moeten altijd kunnen aantonen dat deze contractbepalingen garanderen dat de doorgegeven persoonsgegevens van een niveau zijn dat in wezen gelijkwaardig is aan het niveau dat in de Europese Unie wordt gewaarborgd. Als deze garantie niet kan worden gegeven, mag de doorgifte niet plaatsvinden of moet hij worden opgeschort.
Deze bepalingen hoeven niet ter goedkeuring aan de GBA te worden voorgelegd, hun invoering en gebruik zijn gebaseerd op de verantwoordingsplicht ("accountability") van verwerkingsverantwoordelijken en verwerkers.
Als u vragen hebt over de invoering van deze bepalingen, aarzel dan om met ons contact op te nemen.
2. Contractuele bepalingen voorgesteld door de onderneming
Als de verwerkingsverantwoordelijke niet kiest voor een modelovereenkomst van de Europese Commissie kan hij toch zijn eigen contractuele bepalingen (ad hoc) opstellen die voldoende waarborgen bieden voor gegevensbescherming. Deze bepalingen moeten in principe conform artikel 46.3 a) AVG door de GBA bekrachtigd worden en conform artikel 46.4 AVG onderworpen zijn aan het coherentiemechanisme. Dit wil zeggen dat deze bepalingen door de EDPB goedgekeurd zullen moeten worden.
Neem voordat u een dergelijke aanvraag indient contact op met de GBA op het volgende adres: contact@apd-gba.be.
Er wordt een gesprek gepland met onze juristen om de procedure uit te leggen en de relevantie van uw project als doorgifte-instrument te bespreken.
Na deze bespreking kunt u het dossier desgevallend formeel indienen. Binnen de twee maanden na ontvangst van de formele aanvraag brengt de GBA de aanvrager desgevallend op de hoogte van de onvolledigheid van het dossier.
Elke doorgifte van persoonsgegevens vanuit de EU naar een derde land of naar een internationale organisatie moet de betrokkenen een passend beschermingsniveau garanderen (art. 44 van de AVG). Dit passende beschermingsniveau kan worden gegarandeerd door verschillende mechanismen, waaronder bindende bedrijfsvoorschriften (BCR) als bedoeld in artikel 47 van de AVG..
De BCR hebben voornamelijk betrekking op multinationale ondernemingen die gevestigd zijn in verschillende Europese landen en buiten de Europese Unie.
Lees hier hoe BCR bij de Gegevensbeschermingsautoriteit ingediend worden.
Er bestaan ook bepaalde "uitzonderingen" waarmee gegevens kunnen worden overgezonden naar derde landen die enkel van toepassing zijn wanneer er geen vaststelling van gepastheid of passende waarborgen zijn inclusief bindende ondernemingsregels (artikel 49.1).
Dit is onder meer het geval wanneer de betrokkenen hun ondubbelzinnige toestemming geven voor overzending van hun gegevens aan een dergelijk land, wanneer overzending noodzakelijk is voor de tenuitvoerlegging van een overeenkomst met de betrokken persoon of wanneer de gegevens afkomstig zijn uit een openbaar register ter informatie van het publiek (bijvoorbeeld telefoongids, handelsregister). Deze uitzonderingen moeten op restrictieve wijze geïnterpreteerd worden en kunnen geen normaal kader vormen voor overzending van gegevens, vooral als dit massaal en herhaaldelijk gebeurt. Voor deze soort gegevensstromen is het aanbevolen om snel een contractuele oplossing te vinden. Dan gaat de bestemmeling van de gegevens immers een juridische verbintenis aan om de gegevens te beschermen en zijn er juridische garanties voor de burger.
Overweegt u de doorgifte van persoonsgegevens buiten de EU? Volg de infografiek die is ontwikkeld door het Europees Comité voor gegevensbescherming (ook wel EDPB genoemd) om er zeker van te zijn dat u geen stappen hebt gemist:
