Doorgifte van persoonsgegevens binnen en buiten de EU

Doorgifte binnen de EU

Binnen de EU is het niveau van gegevensbescherming gelijk. Dat komt omdat alle EU lidstaten zich moeten houden aan de Algemene verordening gegevensbescherming (AVG). De EU is daarom één rechtsgebied bij de bescherming van persoonsgegevens. Geeft de HvA gegevens door van Nederland naar een ander EU-land? Dan hoeft de HvA alleen te voldoen aan de algemene eisen uit de AVG.

Doorgifte buiten de EU

Voor doorgifte van persoonsgegevens vanuit Nederland naar landen buiten de EU, zogeheten derde landen, gelden aparte regels. Derde landen zijn alle landen buiten de EU, met uitzondering van de landen in de Europese Economische Ruimte (EER). Dit zijn Noorwegen, Liechtenstein en IJsland. Deze drie landen kennen een gelijkwaardig niveau van bescherming van persoonsgegevens. Geeft de HvA gegevens door vanuit Nederland naar Noorwegen, Liechtenstein en IJsland? Dan hoeft de HvA alleen te voldoen aan de algemene eisen uit de AVG.

Hoofdregel doorgifte buiten de EU

De hoofdregel is dat de HvA persoonsgegevens alleen mag doorgeven naar derde landen met een passend beschermingsniveau. De Europese Commissie heeft besloten dat de volgende derde landen een passend beschermingsniveau bieden:

• Andorra
• Argentinië
• Canada (alleen commerciële organisaties)
• Faeröer Eilanden
• Guernsey
• Isle of Man
• Israël
• Japan
• Jersey
• Nieuw-Zeeland
• Uruguay
• Verenigde Staten (Let op: dit geldt alléén voor doorgifte van gegevens op grond van het door de Europese Commissie vastgestelde EU-VS privacyschild. Of als het gaat om Passenger Name Records (informatie van vliegtuigpassagiers doorgegeven aan de United States Bureau of Customs and Border Protection).
• Zwitserland.

Delen van persoonsgegevens naar de VS, mag dat?

In de Verenigde Staten (VS) bestaat geen algemene wetgeving voor de bescherming van persoonsgegevens. De VS hebben daarom geen passend beschermingsniveau. Dat betekent dat de HvA niet zonder meer persoonsgegevens mag doorgeven aan de VS. De HvA mag alleen persoonsgegevens doorgeven aan de VS als:

• de ontvangende partij zich op grond van het EU-VS privacyschild heeft gecertificeerd;
• er passende waarborgen zijn getroffen, zoals gebruikmaking van een modelcontract, Binding Corporate Rules (afspraken binnen een internationaal bedrijf met buitenlandse dochterondernemingen), goedgekeurde gedragscode of certificeringsmechanisme;
• er een geslaagd beroep wordt gedaan op de specifieke uitzonderingen.

Wanneer mag ik toch persoonsgegevens doorgeven naar een derde land zonder passend beschermingsniveau?

De HvA mag persoonsgegevens naar derde landen doorgeven ook wanneer geen sprake is van een derde land met een passend beschermingsniveau. Dat mag alleen wanneer:

• de doorgifte niet repetitief is (dus zich niet herhaald);
• een beperkt aantal betrokkenen betreft;
• noodzakelijk is voor dwingende gerechtvaardigde belangen van de verwerkingsverantwoordelijke die niet ondergeschikt zijn aan de belangen of rechten en vrijheden van de betrokkene en;
• de verwerkingsverantwoordelijke alle omstandigheden in verband met de gegevensdoorgifte heeft beoordeeld en op basis van die beoordeling passende waarborgen voor de bescherming van persoonsgegevens heeft geboden.

Welke modelcontracten zijn er voor doorgifte naar een derde land?

De Europese Commissie heeft 3 modelcontracten (ook wel standard contractual clauses of SCC's genoemd) goedgekeurd.

• Een modelcontract van de EC voor doorgifte tussen 2 verantwoordelijken waarbij de een gevestigd is binnen de Europese Unie (EU) en de ander daarbuiten, zie: Beschikking van de Commissie van 15 juni 2001 (2001/497/EG).
• Een door het bedrijfsleven opgesteld alternatief modelcontract voor de doorgifte tussen 2 verantwoordelijken waarbij de een gevestigd is binnen de EU en de ander daarbuiten, zie: Beschikking van de Commissie van 27 december 2004 (2004/915/EG).
• Een modelcontract voor doorgifte van een verantwoordelijke gevestigd binnen de EU naar een verwerker (degene die in opdracht van de verantwoordelijke persoonsgegevens verwerkt) in een derde land, zie Besluit van de Commissie van 5 februari 2010 (2010/87/EU).

Let op: gebruik de goedgekeurde modelovereenkomsten en breng geen wijzigingen of aanvullingen aan in de modelovereenkomsten, anders is voor doorgifte van persoonsgegevens buiten de EU toestemming nodig van de Autoriteit Persoonsgegevens.