Wanneer mag ik persoonsgegevens naar een land buiten de EU verzenden?

  • door mr. S. Hömann
  • 10 okt, 2018

Door de inwerkingtreding van de Algemene Verordening Gegevensverwerking (AVG) is het verwerken van persoonsgegevens een ‘hot topic’ geworden. De AVG – internationaal wordt over GDPR gesproken – heeft gezorgd voor uniforme privacy regelgeving binnen de Europese Unie (EU). Dit heeft als groot voordeel dat organisaties binnen de EU niet in ieder land met andere regelgeving te maken hebben.

Organisaties lopen nu echter tegen andere problemen aan. Hoe zit het immers met het verzenden van persoonsgegevens naar landen buiten de EU?

 

Passend beschermingsniveau

Allereerst is het voor organisaties mogelijk om persoonsgegevens door te geven in lijn met de AVG aan de landen die behoren tot de Europese Economische Ruimte (EER). Naast alle EU landen zijn dit Liechtenstein, Noorwegen en IJsland.

Voor de landen die buiten de EER vallen geldt de regel dat er in het land in kwestie sprake moet zijn van een passend beschermingsniveau. De Europese Commissie (EC) heeft op basis van artikel 45 AVG de bevoegdheid om het passend beschermingsniveau te toetsen en een adequaatheidsbesluit te nemen. Een besluitvormingsprocedure ziet er als volgt uit:

  1. een voorstel vanuit de EC
  2. een advies van de European Data Protection Board (EDPB)
  3. goedkeuring van de vertegenwoordigers van de EU-landen
  4. aanname van het besluit door de leden van de EC

 

Welke landen bieden momenteel een passend beschermingsniveau?

Vooralsnog heeft de EC geoordeeld dat de navolgende landen een passend beschermingsniveau bieden: Andorra, Argentinië, Canada (commerciële organisaties), Faeröer Eilanden, Guernsey, Israel, Isle of Man, Jersey, Nieuw-Zeeland, Zwitserland, Uruguay en de Verenigde Staten (beperkt tot het Privacy Shield framework). Daarnaast vinden er momenteel gesprekken plaats met Zuid-Korea en is de goedkeuringsprocedure met betrekking tot Japan op 5 september jl. van start gegaan (European Commission - Press release).

Is er geen sprake van een passend beschermingsniveau in het derde land, dan is doorgifte van persoonsgegevens slechts toegestaan op grond van één van de bepalingen uit Hoofdstuk V van de AVG of wanneer:

  • de doorgifte niet repetitief is;
  • een beperkt aantal betrokkenen betreft;
  • noodzakelijk is voor dwingende gerechtvaardigde belangen van de verwerkingsverantwoordelijke die niet ondergeschikt zijn aan de belangen of rechten en vrijheden van de betrokkene en;
  • de verwerkingsverantwoordelijke alle omstandigheden in verband met de gegevensdoorgifte heeft beoordeeld en op basis van die beoordeling passende waarborgen voor de bescherming van persoonsgegevens heeft geboden.

 

Resumerend

Kort en goed, bent u voornemens tot doorgifte van persoonsgegevens naar het buitenland? Bekijk in dat geval eerst of het betreffende land tot de EER behoort. Is dit niet het geval, bekijk dan of de EC een adequaatsbesluit heeft genomen met betrekking tot het land in kwestie. Is ook dit niet het geval dan kan doorgifte toch nog mogelijk zijn indien één van de uitzonderingen van toepassing is zoals opgenomen in Hoofdstuk V van de AVG dan wel voldaan wordt aan de hiervoor aangehaalde en besproken vier vereisten.

Heeft u vragen over het verzenden van persoonsgegevens naar het buitenland, neem dan geheel vrijblijvend contact op met één van onze specialisten op het gebied van privacyregelgeving.

Maurits & Hömann | Privacy Professionals

Zestiende plenaire vergadering EDPB

door Maurits & Hömann 17 december 2019
Agenda en notulen van de zestiende vergadering EDPB

Vijftiende plenaire vergadering EDPB

door Maurits & Hömann 17 december 2019
Agenda en notulen van de vijftiende vergadering EDPB

Veertiende plenaire vergadering EDPB

door Maurits & Hömann 17 december 2019
De agenda en notulen van de veertiende vergadering

Twaalfde plenaire vergadering EDPB

door Maurits & Hömann 10 juli 2019
Op 9 en 10 juli 2019 zijn de Europese privacy toezichthouders weer bijeen om een aantal belangrijke privacy vraagstukken te bespreken

Banken mogen betaalgegevens niet zomaar gebruiken voor reclame

door Maurits & Hömann 3 juli 2019
Banken teruggefloten door Autoriteit Persoonsgegevens met betrekking tot gebruik betaalgegevens voor direct-marketing aanbiedingen.

Wet Arbeidsmarkt in Balans (WAB) in aantocht

door Maurits & Hömann 17 juni 2019
Wet arbeidsmarkt in balans (WAB) in aantocht

Elfde plenaire vergadering EDPB

door 81934671b872bb5f26d278f492cab802591830ed 4 juni 2019
4 juni 2019 komen de Europese Privacy waakhonden weer bijeen om een aantal belangrijke privacy vraagstukken te bespreken

De Belgische AP (Gegevensbeschermingsautoriteit - GBA) legt haar eerste -bescheiden- AVG boete op.

door Maurits & Hömann 3 juni 2019
Hoewel de boete bescheiden is, is de boodschap dat niet: de bescherming van gegevens is een zaak van ons allen maar de verwerkingsverantwoordelijken moeten hun verantwoordelijkheid nemen, vooral als zij een overheidsmandaat hebben.

Artikel 82 AVG | Recht op schadevergoeding onder de AVG

door mr. S. Hömann 23 mei 2019
In dit artikel wordt de mogelijkheid besproken om schadevergoeding te vorderen bij de burgerlijke rechter.

Het gebruik van Standard Data Protection Clauses

door mr. S. Hömann 21 mei 2019
Doorgifte van persoonsgegevens buiten de Europese Unie mogelijk door gebruikmaking van modelcontracten/
Meer posts