Nieuwe blogreeks: Persoonsgegevens en 'derde landen'
Doorgifte van persoonsgegevens naar landen buiten de Europese Unie (EU) is niet zomaar toegestaan. Deze zogenaamde ‘derde landen’ moeten ten minste een ‘passend beschermingsniveau’ bieden. Maar wat betekent dit nou concreet voor jouw organisatie? In deze blogreeks onderzoeken we de mogelijkheden van doorgifte naar derde landen. Deze eerste inleidende post geeft een overzicht van de materie, de hierop volgende posts zullen dieper ingaan op doorgifte onder de privacyverordening, het EU-US Privacy Shield, standard contractual clauses (modelcontracten) en binding corporate rules (BCR’s).
Mogelijkheden onder de Wbp
“Persoonsgegevens die aan een verwerking worden onderworpen of die bestemd zijn om na hun doorgifte te worden verwerkt, worden slechts naar een land buiten de EU doorgegeven indien (…) dat land een passend beschermingsniveau waarborgt”.
Zo luidt een van de laatste artikelen van de Wet bescherming persoonsgegevens (Wbp). Landen die deel uitmaken van de Europese Economische Ruimte (EER) worden geacht dit passende beschermingsniveau te bieden. Dit zijn op moment van schrijven Noorwegen, Liechtenstein en IJsland. Wanneer een land geen passend beschermingsniveau biedt, is er een aantal omstandigheden in de Wbp opgenomen waaronder alsnog doorgifte kan plaatsvinden. Hieronder volgt een opsomming van alle mogelijkheden.
Wil je persoonsgegevens doorgeven aan landen buiten de EU of EER, dan is dit alleen toegestaan wanneer:
- Het beoogde derde land voorkomt op de door de Europese Commissie (EC) opgestelde lijst van landen met een passend beschermingsniveau;
- De betrokkene (degene wiens persoonsgegevens het betreft) daarvoor ondubbelzinnige toestemming heeft gegeven; De betrokkene moet wel geïnformeerd worden over het beschermingsniveau van het desbetreffende land en over wat je beoogt te gaan (laten) doen met de gegevens.
- Dit noodzakelijk is voor de uitvoer van een overeenkomst tussen betrokkene en verantwoordelijke; Denk bijvoorbeeld aan het verrichten van een internationale betaling of het boeken van een vliegticket.
- Dit noodzakelijk is voor het sluiten of uitvoeren van een overeenkomst, gesloten (of te sluiten) tussen de verantwoordelijke en een derde, in het belang van de betrokkene; Hierbij kun je bijvoorbeeld denken aan het herverzekeren van een door de betrokkene in Nederland afgesloten verzekering bij een verzekeringsmaatschappij in een derde land.
- Dit noodzakelijk is vanwege een zwaarwegend algemeen belang of voor de vaststelling, de uitvoering of de verdediging in rechte van enig recht;Bijvoorbeeld doorgifte van persoonsgegevens aan een in een derde land gevestigd incassobureau voor de aanvang van een gerechtelijke procedure.
- Dit noodzakelijk is ter garantie van een vitaal belang van de betrokkene, ofWanneer de betrokkene bijvoorbeeld in een ziekenhuis in het buitenland is opgenomen, is het van groot belang dat diens persoonsgegevens zo spoedig mogelijk aan dit ziekenhuis worden verstrekt.
- Dit geschiedt vanuit een register dat bij wet is ingesteld en dat door iedere persoon (die zich op een gerechtvaardigd belang kan beroepen), kan worden geraadpleegd, voor zover in het betreffende geval is voldaan aan de wettelijke voorwaarden; Denk hierbij bijvoorbeeld aan gegevens uit het handelsregister of Kadaster.
- Gebruik wordt gemaakt van een ongewijzigd modelcontract zonder aanvullingen; Op het moment van schrijven zijn er drie typen modelcontracten:
- doorgifte tussen twee verantwoordelijken waarbij de een gevestigd is binnen de EU en de ander daarbuiten, opgesteld door de EC;
- doorgifte tussen twee verantwoordelijken waarbij de een gevestigd is binnen de EU en de ander daarbuiten, opgesteld door het bedrijfsleven;
- doorgifte van een verantwoordelijke gevestigd binnen de EU naar een bewerker in een derde land, opgesteld door het EC.
- Een vergunning is afgegeven door de minister van Justitie. Hiervoor dien je een aanvraag in te dienen bij de Autoriteit Persoonsgegevens die op haar beurt de minister adviseert.
Tot slot kan er binnen een internationale organisatie of multinational gebruik worden gemaakt van BCR’s. In BCR’s worden door de organisatie waarborgen voor gegevensbescherming vastgelegd bij de doorgifte naar landen zonder passend beschermingsniveau. In een andere post in deze reeks wordt dieper ingegaan op BCR’s.
Mogelijkheden onder de privacyverordening
De Algemene Verordening Gegevensbescherming (AVG), of privacyverordening, wijdt het 5e hoofdstuk aan doorgifte van persoonsgegevens aan landen buiten de EU. De privacyverordening geeft de volgende mogelijkheden voor doorgifte:
- Doorgifte op basis van adequaatheidsbesluiten;
- Doorgifte op basis van passende waarborgen;
- Doorgifte op basis van BCR’s;
- Doorgifte in afwijkende specifieke situaties.
Blogreeks ‘doorgifte naar derde landen’
In deze blogreeks zullen de volgende onderwerpen nog gaan volgen:
- Doorgifte van persoonsgegevens onder de privacyverordening (hoofdstuk 5 van de privacyverordening);
- EU-US Privacy Shield;
- Modelcontracten (Standard contractual clauses);
- Binding Corporate Rules