Duidelijkheid over regels bij import van data uit de EU
Voor sommige organisaties die van buiten de Europese Unie (EU) direct persoonsgegevens verzamelen van mensen in de EU, is niet altijd duidelijk of zij die persoonsgegevens extra moeten beschermen. Het gaat om bedrijven waarop de Algemene verordening gegevensbescherming (AVG) direct van toepassing is via artikel 3 van de AVG. Om hier duidelijkheid over te scheppen, heeft de European Data Protection Board (EDPB) nieuwe guidelines ontwikkeld over internationale doorgifte van persoonsgegevens.
Met de Guidelines on the Interplay between the application of Article 3 and the provisions on international transfers as per Chapter V of the GDPR legt de EDPB uit wat de verhouding is tussen artikel 3 en hoofdstuk 5 van de AVG.
De EDPB geeft aan wat de definitie ‘doorgifte naar derde landen of internationale organisaties’ inhoudt. Als een datastroom onder deze definitie valt, moeten organisaties ervoor zorgen dat het beschermingsniveau van de AVG ‘meereist’ met de persoonsgegevens naar het buitenland.
De bescherming die mensen in de EU hebben onder de AVG en andere wetten, mag niet omzeild worden als hun gegevens de EU verlaten.
Maar ook als datastromen niet onder de definitie ‘doorgifte’ vallen, moeten organisaties volgens de EDPB zorgen voor bescherming van de gegevens. Dit betekent dat zij in de praktijk vrijwel dezelfde handelingen moeten verrichten als bij doorgifte.
Artikel 3 AVG
In artikel 3 van de AVG staat dat deze wet geldt voor:
- organisaties in de EU die persoonsgegevens verwerken, ongeacht of dit binnen of buiten de EU gebeurt;
- organisaties buiten de EU die online hun producten en diensten aanbieden en zich daarbij specifiek richten op mensen in de EU;
- organisaties die van buiten de EU het gedrag van mensen in de EU monitoren, zolang dit gedrag ook echt plaatsvindt in de EU.
Hoofdstuk 5 AVG
In hoofdstuk 5 van de AVG staat dat organisaties die persoonsgegevens vanuit de EU exporteren naar een land daarbuiten, dit alleen mogen doen als zij kunnen garanderen dat die persoonsgegevens veilig zijn in dat land.
Gegevens exporteren mag naar landen waarvan de Europese Commissie heeft besloten dat persoonsgegevens daar voldoende beschermd worden.
Ook kan het met een zogeheten doorgifte-instrument. Dat zorgt ervoor dat de Europese privacybescherming meereist met de data. Bijvoorbeeld een modelcontract, waarin de organisatie duidelijk vastlegt hoe deze de gegevens zal beschermen.
Doorgifte-instrument nodig?
Na de komst van de AVG is er onduidelijkheid ontstaan of een doorgifte-instrument nodig is voor organisaties waarvoor de AVG al direct geldt en die vanuit een land buiten de EU direct persoonsgegevens verzamelen van mensen in de EU.
Deze onduidelijkheid werd groter toen de Europese Commissie in 2021 nieuwe modelcontracten uitbracht. Daarin staat dat de modelcontracten niet van toepassing zijn op doorgiften naar data-importeurs waarop de AVG al direct van toepassing is.
De EDPB zegt nu dat er een doorgifte-instrument nodig is in deze situatie. En dat deze organisaties gebruik kunnen maken van ad-hoc-contractbepalingen (ook bekend als ad hoc contractual clauses) of modelcontracten speciaal voor deze situatie.
De Europese Commissie ontwikkelt op dit moment dat type modelcontract.
Wilt u reageren?
De guidelines staan nu open voor openbare consultatie. Heeft u opmerkingen of suggesties bij de guidelines? Dan kunt u deze tot en met 31 januari 2022 doorgeven aan de EDPB.