Doorgifte buiten de EU zonder passende bescherming

Wanneer een niet-EU-land niet erkend wordt als aanbieder van een passend beschermingsniveau, bestaan er verscheidene mogelijkheden om toch een gegevensdoorgifte te laten plaatsvinden dankzij artikel 46 van de AVG: een modelovereenkomst ter beschikking gesteld door de Europese Commissie of het aannemen van bindende ondernemingsregels. Tevens bestaat de mogelijkheid om beroep te doen op wettelijk bepaalde afwijkingen die in artikel 49 van de AVG omschreven staan.


Opgelet, de verwerkingsverantwoordelijken en de verwerkers die als gegevensexporteurs optreden, moeten altijd per geval en zo nodig in samenwerking met de gegevensimporteur van het derde land nagaan of het rechtskader van het derde land de doeltreffendheid van de passende waarborgen die in de doorgifte-instrumenten van artikel 46 van de AVG zijn vervat, niet beperkt. Als het risico bestaat dat deze garanties niet doeltreffend zijn, kan de gegevensexporteur altijd "aanvullende maatregelen" opzetten om de doeltreffendheid van de garanties en een niveau van gegevensbescherming te waarborgen dat in wezen gelijkwaardig is aan het niveau dat binnen de Europese Unie wordt geboden.

Indien de garanties die door een van de doorgifte-instrumenten van artikel 46 van de AVG worden geboden, in het derde land niet worden of kunnen worden nageleefd en de bescherming van de doorgegeven gegevens, zoals vereist door het Unierecht, niet op een andere manier kan worden gewaarborgd, moet de in de EU gevestigde exporteur de overdracht zelf opschorten of beëindigen. Zo niet, dan moeten de nationale toezichthoudende autoriteiten dat doen als zij dat nodig achten.

Om gegevensexporteurs te helpen vaststellen in welke situaties de garanties die de doorgifte-instrumenten van artikel 46 van de AVG aanbieden, kunnen worden ondermijnd door het rechtskader van het derde land en om te bepalen welke aanvullende maatregelen moeten worden genomen, heeft de GBA binnen de EDPB bijgedragen aan de goedkeuring van Aanbeveling 01/2020 en Aanbeveling 02/2020.

Er bestaat immers een reeks afwijkingen die doorgifte mogelijk maken naar landen die geen passend beschermingsniveau bieden. Om de economische actoren juridische zekerheid te verschaffen, verplichten de EU-lidstaten de toepassing van deze afwijkingen op doorgiften naar derde landen die geen passend beschermingsniveau bieden, ook al zijn ze niet formeel erkend als landen met niet-passende bescherming. Een van deze afwijkingen is de mogelijkheid voor de verwerkingsverantwoordelijke om via een overeenkomst zelf passende bescherming te bieden. Zo kan bescherming geboden worden door middel van een overeenkomst die bindend is voor de persoon die de gegevens toezendt en voor degene die ze ontvangt, en die voldoende garanties bevat inzake gegevensbescherming.

De verwerkingsverantwoordelijke heeft twee mogelijkheden: modelovereenkomsten van de Europese Commissie of contractuele bepalingen voorgesteld door de onderneming.

1. Modelovereenkomsten van de Europese Commissie

Deze nieuwe bepalingen vervangen de "oude" besluiten (2001/497/EG en 2010/87/EU) en zorgen ervoor dat passende waarborgen kunnen worden ingesteld voor de doorgifte van gegevens naar een derde land dat niet onder een adequaatheidsbesluit valt. De bepalingen kunnen worden gebruikt om passende waarborgen te bieden voor de doorgifte van persoonsgegevens:

  • door een verwerkingsverantwoordelijke die onder de AVG valt aan een verwerker;
  • door een verwerkingsverantwoordelijke die onder de AVG valt aan een andere verwerkingsverantwoordelijke;
  • door een verwerker die onder de AVG valt aan een verwerker;
  • door een verwerker die onder de AVG valt aan een verwerkingsverantwoordelijke.

Opgelet: deze bepalingen moeten alleen worden gebruikt als de gegevensimporteur niet onder het toepassingsgebied van de AVG valt. Bijvoorbeeld: een buiten de EU gevestigde verwerkingsverantwoordelijke die diensten binnen de Europese Unie aanbiedt en in dat kader gegevens verzamelt, zal geen standaardbepalingen tussen de gegevensexporteur en zichzelf hoeven op te stellen, aangezien deze laatste al onderworpen is aan de AVG. Als daarentegen de verwerkingsverantwoordelijke die in een derde land is gevestigd en waarop de AVG van toepassing is, gegevens aan een andere verwerkingsverantwoordelijke en/of verwerker buiten de Europese Unie doorgeeft, wordt hij "gegevensexporteur" en zal hij dus de bepalingen "verwerkingsverantwoordelijke aan verwerkingsverantwoordelijke" en/of "verwerkingsverantwoordelijke aan verwerker" moeten invoeren.

Tijdlijn

  • De nieuwe bepalingen kunnen vanaf 27 juni 2021 worden gebruikt;
  • De oude bepalingen kunnen vanaf 27 juni nog drie maanden in nieuwe contracten worden gebruikt;
  • De oude bepalingen die momenteel in de contracten zijn opgenomen, blijven geldig gedurende 15 maanden vanaf 27 juni (ongeveer december 2022).

Samenvattend

De GBA benadrukt dat het belangrijk is om nu al kennis te nemen van de nieuwe bepalingen, die aan aanzienlijke aanpassing van de procedures voor verwerkingsverantwoordelijken en de verwerkers zullen vereisen, en om deze toe te passen.

De partijen bij de doorgifte moeten altijd kunnen aantonen dat deze contractbepalingen garanderen dat de doorgegeven persoonsgegevens van een niveau zijn dat in wezen gelijkwaardig is aan het niveau dat in de Europese Unie wordt gewaarborgd. Als deze garantie niet kan worden gegeven, moet de doorgifte niet plaatsvinden of moet hij worden opgeschort.

Deze bepalingen hoeven niet ter goedkeuring aan de GBA te worden voorgelegd, hun invoering en gebruik zijn gebaseerd op de verantwoordingsplicht ("accountability") van verwerkingsverantwoordelijken en verwerkers.

Als u vragen hebt over de invoering van deze bepalingen, aarzel dan om met ons contact op te nemen.

2. Contractuele bepalingen voorgesteld door de onderneming

Als de verwerkingsverantwoordelijke niet kiest voor een modelovereenkomst van de Europese Commissie kan hij toch zijn eigen contractuele bepalingen (ad hoc) opstellen die voldoende waarborgen bieden voor gegevensbescherming. Deze bepalingen moeten in principe conform artikel 46.3 a) AVG door de GBA bekrachtigd worden en conform artikel 46.4 AVG onderworpen zijn aan het coherentiemechanisme. Dit wil zeggen dat deze bepalingen door de EDPB goedgekeurd zullen moeten worden.

Alle doorgiftes van persoonsgegevens die worden verricht buiten de Europese Unie moeten de betrokkenen een passende beschermingsniveau garanderen (art. 44 AVG)  Dit passend beschermingsniveau kan worden gegarandeerd met verschillende mechanismen waaronder de BCR  (art. 47 AVG).  De BCR stellen ondernemingen in staat om binnen eenzelfde ondernemingsgroep gegevens uit te wisselen buiten de Europese Uni, zonder dat beschermingsniveau voor de personen, als gewaarborgd door de AVG, in het gedrang komt.

Welke procedure moet gevolgd worden om de BCR te kunnen voorleggen?

Stap 1

U bent verwerkingsverantwoordelijke? Vul het formulier WP264
U bent verwerker? Vul het formulier WP265.

Stap 2

Onder afdeling 1 van het formulier WP264 of WP265, vermeld onder stap 1, moet u een "bevoegde" autoriteit aanduiden (art. 64 AVG) en uw keuze verantwoorden overeenkomstig de criteria vermeld onder punt 1.2 van WP263 rev. 01. U bezorgt de aangeduide autoriteit de informatie als opgelijst onder punt 1.5 van WP263 rev.01.

Stap 3
2 weken
(+ max 2 weken)

De aangeduide autoriteit neemt een beslissing over haar bevoegdheid. Desgevallend kan zij u bijkomende informatie vragen. Als zij zich bevoegd acht om de BCR te onderzoeken, licht zij de andere betrokken autoriteiten  in over haar beslissing. De betrokken autoriteiten hebben twee weken om over deze bevoegdheid bezwaren te uiten.

In een BCR-procedure, zijn de betrokken autoriteiten:

  • In het kader van de bindende bedrijfsvoorschriften voor de verwerkingsverantwoordelijke: alle autoriteiten van de landen van waaruit de aanvrager doorgiftes verricht.
  • In het kader van de bindende bedrijfsvoorschriften voor de verwerkers:  zijn alle autoriteiten betrokken.
1 maand Waneer de autoriteit die door de aanvrager werd aangeduid, meent dat zij niet bevoegd is, motiveert zij haar beslissing en beveelt ze in overleg met de andere betrokken autoriteiten een meer geschikte autoriteit aan.
Stap 4
Geen termijnen Als de betrokken autoriteiten binnen de twee maanden geen bezwaren hebben geuit over de bevoegdheid van de autoriteit die de aanvrager heeft aangeduid, wordt de aangeduide autorit aanzien als "bevoegd" om de BCR-procedure te leiden. Zij stelt een of twee ondersteunende autoriteiten aan (co-reviewer(s) - er worden twee ondersteunende autoriteiten aangeduid als 14 of meer dan 14 Lidstaten) en vervolgens start ze met het BCR-onderzoek uitgaande van de criteria opgelijst in WP256 (voor de verwerkingsverantwoordelijken) en in WP257 (voor de verwerkers).  
1 maand Wanneer de "bevoegde" autoriteit meent dat de BCR in overeenstemming zijn met de opgelijste criteria in de richtsnoeren in WP256 (voor de verwerkingsverantwoordelijken) en in WP257 (voor de verwerkers), bezorgt zij de BCR aan de ondersteunende autoriteiten (co-reviewer(s)). Vanaf de verzending van de BCR door de "bevoegde" autoriteit, heeft/ hebben de ondersteunende autoriteit(en) een maand om haar/hun eventuele bezwaren aangaande de overeenstemming met de regels aan de "bevoegde autoriteit" te bezorgen. Wanneer zij bezwaren hebben, zal de "bevoegde" autoriteit deze bezorgen aan de aanvrager.
Stap 5
Max 1 maand Wanneer de "bevoegde" autoriteit en de ondersteunende autoriteiten het erover eens zijn dat de BCR een passend beschermingsniveau bieden, bezorgt de "bevoegde" autoriteit de voorschriften aan alle betrokken autoriteiten voor hun eventuele commentaar en/of bezwaren. Deze raadpleging duurt niet langer dan een maand.
Geen termijnen Wanneer de toezichthoudende autoriteiten bezwaren hebben, zal de "bevoegde" autoriteit deze bezorgen aan de aanvrager.
Stap 6
8 weken
(+ max 6 weken)

Wanneer de betrokken DPA geen bezwaren uiten tegen de BCR, en het Algemeen Secretariaat de geconsolideerde beslissing goedkeurt, bezorgt de "bevoegde" autoriteit haar beslissing en de relevante informatie aan het Europees Comité voor Gegevensbescherming (hierna "ECG")  dat een advies uitbrengt overeenkomstig artikel 64.3 van de AVG en artikel 10 van zijn procedureregels, binnen een termijn van 8 weken, verlengbaar met 6 weken.

Geen a. Wanneer de ECG de BCR goedkeurt, kan de "bevoegde" autoriteit ze aannemen.
b. Als het ECG van oordeel is dat er amendementen nodig zijn, deelt de "bevoegde" autoriteit dit mee aan de aanvrager.
Stap 7
Geen
 

Wanneer de BCR zijn goedgekeurd door de "bevoegde" autoriteit, worden ze meegedeeld aan alle betrokken autoriteiten.

Wanneer de verwerkingsverantwoordelijke onvoldoende garanties biedt, bijvoorbeeld in een contract, Er bestaan ook bepaalde "uitzonderingen" waarmee gegevens kunnen worden overgezonden naar derde landen die enkel van toepassing zijn wanneer er geen vaststelling van gepastheid of passende waarborgen zijn inclusief bindende ondernemingsregels (artikel 49.1).

Dit is onder meer het geval wanneer de betrokkenen hun ondubbelzinnige toestemming geven voor overzending van hun gegevens aan een dergelijk land, wanneer overzending noodzakelijk is voor de tenuitvoerlegging van een overeenkomst met de betrokken persoon of wanneer de gegevens afkomstig zijn uit een openbaar register ter informatie van het publiek (bijvoorbeeld telefoongids, handelsregister). Deze uitzonderingen moeten op restrictieve wijze geïnterpreteerd worden en kunnen geen normaal kader vormen voor overzending van gegevens, vooral als dit massaal en herhaaldelijk gebeurt. Voor deze soort gegevensstromen is het aanbevolen om snel een contractuele oplossing te vinden. Dan gaat de bestemmeling van de gegevens immers een juridische verbintenis aan om de gegevens te beschermen en zijn er juridische garanties voor de burger.

Overweegt u de doorgifte van persoonsgegevens buiten de EU? Volg de infografiek die is ontwikkeld door het Europees Comité voor gegevensbescherming (ook wel EDPB genoemd) om er zeker van te zijn dat u geen stappen hebt gemist:

 

 

Interessante links