geactualiseerd i.f.v. de AVG

Via contractuele bepalingen

Indien het land waarnaar men gegevens wenst over te zenden geen passende waarborgen biedt voor de persoonsgegevens, betekent dit niet noodzakelijk dat iedere overzending onmogelijk is.

Inleiding
1. Modelovereenkomsten van de Europese Commissie
2. Contractuele bepalingen voorgesteld door de onderneming

Er bestaat immers een reeks afwijkingen die doorgifte mogelijk maken naar landen die geen passend beschermingsniveau bieden. Om de economische actoren juridische zekerheid te verschaffen, verplichten de EU-lidstaten de toepassing van deze afwijkingen op doorgiften naar derde landen die geen passend beschermingsniveau bieden, ook al zijn ze niet formeel erkend als landen met niet-passende bescherming. Een van deze afwijkingen is de mogelijkheid voor de verantwoordelijke voor de verwerking om via een overeenkomst zelf passende bescherming te bieden. Zo kan bescherming geboden worden door middel van een overeenkomst die bindend is voor de persoon die de gegevens toezendt en voor degene die ze ontvangt, en die voldoende garanties bevat inzake gegevensbescherming.

De verantwoordelijke voor de verwerking heeft twee mogelijkheden: modelovereenkomsten van de Europese Commissie of contractuele bepalingen voorgesteld door de onderneming.

Om de verantwoordelijken voor de verwerking hierbij te helpen stelt de Europese Commissie modelovereenkomsten ter beschikking die automatisch beschouwd worden als voldoende waarborgen in het licht van de geldende regels voor gegevensbescherming.

Hier vindt u de beschikbare modelovereenkomsten:

  • overeenkomst voor doorgifte door een verantwoordelijke voor de verwerking naar verantwoordelijke voor de verwerking
    (eerste model 2001/497/CE (ENG));
  • overeenkomst voor doorgifte door een verantwoordelijke voor de verwerking naar verantwoordelijke voor de verwerking
    (tweede model 2004/915/CE (ENG));
  • overeenkomst voor doorgifte door een verantwoordelijke voor de verwerking naar een verwerker
    (voor contracten vóór 15 mei 2010: 2002/16/CE (ENG); voor nieuwe contracten sinds 15 mei 2010: 2010/87/EU). Ter informatie: de Groep 29 heeft FAQ's opgesteld (WP176 (ENG)) over overeenkomsten die Beslissing 2010/87/EU volgen.

De voorafgaande aanmelding van modelovereenkomsten is niet langer vereist. Desalniettemin moet de verwerkingsverantwoordelijke of de verwerker deze steeds kunnen voorleggen op vraag van de Autoriteit.

Als de verantwoordelijke voor de verwerking niet kiest voor een modelovereenkomst van de Europese Commissie kan hij toch zijn eigen contractuele bepalingen (ad hoc) opstellen die voldoende waarborgen bieden voor gegevensbescherming. Deze bepalingen moeten in principe conform artikel 46.3 a) AVG door de GBA bekrachtigd worden en conform artikel 46.4 AVG onderworpen zijn aan het coherentiemechanisme. Dit wil zeggen dat deze bepalingen door de EDPB goedgekeurd zullen moeten worden.