Toepassingsgebied AVG
De AVG is met name van toepassing op gegevensverwerkingen binnen de EU omdat het een Europese verordening is. Er zijn echter ook situaties waarin de regels van de AVG nageleefd moeten worden ondanks dat de verwerking buiten de EU plaatsvindt. Artikel 3 van de AVG bepaalt wanneer dit het geval is. De regels van de AVG zijn van toepassing in drie situaties:
- De verwerkingsverantwoordelijke of de verwerker van de persoonsgegevens is in de EU gevestigd. Dit geldt ook wanneer de daadwerkelijke verwerking van de gegevens buiten de EU wordt uitgevoerd;
- De betrokkene bevindt zich in de EU, dat is degene van wie de persoonsgegevens worden verwerkt. Als de betrokkene zich in de EU bevindt, vallen zijn persoonsgegevens onder de AVG. Het kan echter zo zijn dat de verwerkingsverantwoordelijke buiten de EU is gevestigd. Dan moet er alsnog aan de AVG worden voldaan bij persoonsgegevens die:
- worden verwerkt in het kader van het aanbieden van goederen of diensten aan de betrokkene in de EU, of
- worden verwerkt in verband met het monitoren van het gedrag van een betrokkene in de EU;
- De verwerkingsverantwoordelijke is gevestigd in een gebied dat gebonden is aan EU-recht. De AVG is dus ook van toepassing op een verwerkingsverantwoordelijke die geen onderdeel is van een EU-lidstaat maar wel gevestigd is in een gebied die gebonden is aan het EU-recht. Hierbij kan bijvoorbeeld gedacht worden aan een diplomatieke vertegenwoordiging of consulaire post.
Meer informatie over het toepassingsgebied vindt u in de Richtsnoeren over het territoriale toepassingsgebied van de AVG die door de European Data Protection Board (EDPB) zijn gepubliceerd.
Ook voor persoonsgegevens die in landen buiten de EU worden opgeslagen of verwerkt kan de AVG dus van toepassing zijn. Deze landen worden namelijk gezien als een ‘derde land’. Het doorgeven van persoonsgegevens aan derde landen door decentrale overheden mag alleen onder bepaalde voorwaarden. Derde landen bieden namelijk niet altijd voldoende bescherming aan de persoonsgegevens.
Adequaatheidsbesluit derde landen
Doorgifte is alleen mogelijk wanneer het derde land een passend beschermingsniveau biedt. Voor een aantal derde landen, of sectoren binnen die landen, heeft de Europese Commissie daarom een adequaatheidsbesluit genomen. Daarmee geeft de Commissie aan dat dit land of de sector een passend beschermingsniveau van persoonsgegevens waarborgt volgens artikel 45 van de AVG. In dergelijke gevallen is er geen specifieke toestemming nodig voor de doorgifte en kunnen persoonsgegevens gewoon worden uitgewisseld. Tot dusver heeft de Commissie voor dertien landen een adequaatheidsbesluit genomen, waaronder voor Canada, Japan en Zwitserland. De procedure voor een adequaatheidsbesluit voor Zuid-Korea is nog onderweg.
Bij de beoordeling of een derde land een voldoende beschermingsniveau waarborgt, kijkt de Commissie onder andere naar:
- Rechtsstatelijkheid;
- De effectiviteit van onafhankelijke toezichthoudende autoriteiten die toezien op de naleving van gegevensbeschermingsregels;
- De internationale toezeggingen die het land heeft gedaan ten aanzien van de bescherming van persoonsgegevens.
Nu het Verenigd Koninkrijk geen onderdeel meer uitmaakt van de EU wordt het gezien als een derde land. Hierdoor is de AVG daar niet meer van toepassing en heeft de Europese Commissie twee adequaatheidsbesluiten aangenomen voor het VK. Lees hier meer over in deze praktijkvraag.
Privacy Shield Verenigde Staten
Voor gegevensuitwisseling met de Verenigde Staten had de Europese Commissie in 2016 een besluit genomen. Dit besluit gold niet voor het gehele land maar enkel voor organisaties die zich bij het zogeheten Privacy Shield hebben aangesloten.
Het adequaatheidsbesluit is in juli 2020 in de Schrems II-uitspraak echter ongeldig verklaard door het Europese Hof van Justitie. Dit betekent dat doorgifte van gegevens op basis van het Privacy Shield sinds de uitspraak van het Hof niet meer is toegestaan. Het Hof stelt dat het besluit onvoldoende bescherming biedt voor de gegevens van EU-burgers die op grond van het besluit naar de VS worden overgedragen.
De uitspraak van het Europese Hof betekent niet dat doorgifte van gegevens naar de VS is uitgesloten. Decentrale overheden kunnen nog steeds gegevens overgedragen in specifieke situaties zoals genoemd in artikel 49 AVG. Ook is het mogelijk om gegevens door te geven op grond van een modelcontract of bindende bedrijfsvoorschriften mits er sprake is van een beschermingsniveau dat gelijk is aan de bescherming in de EU. Meer informatie hier over staat ook op de website van de Autoriteit Persoonsgegevens (AP).
Hiervan is bijvoorbeeld sprake indien de Europese Commissie in een adequaatheidsbesluit vaststelt dat het betreffende derde land, of één of meerdere sectoren van dat land, een passend beschermingsniveau van de verwerking van persoonsgegevens biedt (artikel 45 AVG). In dergelijke gevallen is er geen specifieke toestemming nodig voor de doorgifte. Bij de beoordeling of een derde land een voldoende beschermingsniveau waarborgt, kijkt de Commissie onder andere naar rechtsstatelijkheid, de effectiviteit van onafhankelijke toezichthoudende autoriteiten en de internationale toezeggingen die het land heeft gedaan ten aanzien van de bescherming van persoonsgegevens.
Passende waarborgen derde landen
Wanneer voor een derde land geen adequaatheidsbesluit is genomen, is doorgifte mogelijk indien er passende waarborgen getroffen worden. Deze passende waarborgen moeten een adequaat beschermingsniveau verzekeren bij de doorgifte van persoonsgegevens. Daarnaast moeten de betrokkenen over afdwingbare rechten en doeltreffende rechtsmiddelen beschikken. In artikel 46 AVG worden de volgende passende waarborgen genoemd:
- Een juridisch bindend en afdwingbaar instrument tussen overheidsinstanties of -organen, zoals een overeenkomst of verdrag (artikel 46 lid 2 sub a AVG);
- Standaardcontractbepalingen, ook wel modelcontracten genoemd (artikel 46 lid 2 sub c en d AVG);
- Goedgekeurde gedragscodes of goedgekeurde certificeringsmechanismen gecombineerd met bindende en afdwingbare toezeggingen in het derde land om passende waarborgen toe te passen (artikel 46 lid 2 sub e en f AVG);
- Bindende bedrijfsvoorschriften waarin organisaties waarborgen vastleggen voor bescherming van persoonsgegevens. Deze bedrijfsvoorschriften vereisen vooraf goedkeuring van een bevoegde toezichthouder in de EU, bijvoorbeeld de AP (artikel 47 AVG).
Standaardcontractbepalingen
Standaardcontractbepalingen worden vastgesteld door de Europese Commissie of de AP en bieden bescherming aan persoonsgegevens bij doorgifte. In 2021 is er een nieuw modelcontract vastgesteld dat bestaat uit een algemeen gedeelte en de volgende vier modules:
- Doorgifte van verwerkingsverantwoordelijke naar verwerkingsverantwoordelijke;
- Doorgifte van verwerkingsverantwoordelijke naar verwerker;
- Doorgifte van (sub)verwerker naar (sub)verwerker;
- Doorgifte van (sub)verwerker naar verwerkingsverantwoordelijke.
Schrems II-uitspraak standaardcontractbepalingen
Het modelcontract houdt rekening met de Schrems II-uitspraak. Hierin heeft het Europees Hof van Justitie bepaald wanneer standaardcontractbepalingen een passend niveau bieden. Volgens het Hof moet er bij doorgifte van gegevens op basis van standaardcontractbepalingen sprake zijn van een beschermingsniveau dat in grote lijnen overeenkomt met het beschermingsniveau dat door EU-recht wordt geboden. De exporteur van gegevens moet dus per geval nagaan of het derde land voldoende passende bescherming biedt. Is dit niet het geval, dan kan de exporteur aanvullende maatregelen toevoegen aan de standaardcontractbepalingen. Ook kan de exporteur de overeenkomst opschorten of beëindigen bij ontoereikende bescherming.
Uitzonderingen
Wanneer er geen adequaatheidsbesluit is en passende waarborgen geen uitkomst bieden, kan doorgifte naar derde landen soms op grond van artikel 49 AVG plaatsvinden. Dit artikel bevat een lijst van uitzonderingen die doorgifte van gegevens naar derde landen in specifieke situaties mogelijk maken. Doorgifte is bijvoorbeeld mogelijk als de betrokkene uitdrukkelijk met de doorgifte heeft ingestemd of wanneer doorgifte noodzakelijk is wegens gewichtige redenen van algemeen belang.
Aanbevelingen voor doorgifte derde landen
Om hulp te bieden bij veilige doorgifte van persoonsgegevens aan derde landen heeft de EDPB aanbevelingen opgesteld. Hierin worden verschillende maatregelen genoemd die een aanvulling zijn op de passende waarborgen uit de AVG. Sinds de Schrems II-uitspraak moet namelijk per geval bekeken worden of een adequaat beschermingsniveau wordt geboden. Ontoereikende bescherming kan soms met behulp van aanvullende maatregelen opgelost worden. De aanbevelingen bevatten ook een stappenplan om na te gaan of er sprake is van adequate bescherming. Bovendien worden hierin enkele informatiebronnen genoemd die behulpzaam kunnen zijn bij het beoordelen van het beschermingsniveau in een derde land.
Het EDPB heeft ook richtsnoeren aangenomen voor de internationale doorgifte van persoonsgegevens. Deze richtsnoeren benoemen drie cumulatieve criteria die gegevensverwerking als een overdracht van persoonsgegevens naar een derde land of internationale organisatie kwalificeren:
- De verwerkingsverantwoordelijke is onderworpen aan de AVG voor de gegevensverwerking;
- Deze verwerkingsverantwoordelijke of verwerker (exporteur) openbaart door verzending of maakt op andere wijze persoonsgegevens onderworpen aan deze verwerking beschikbaar voor een andere verwerkingsverantwoordelijke, gezamenlijke verwerkingsverantwoordelijke of verwerker (importeur);
- De importeur bevindt zich in een derde land of is een internationale organisatie, ongeacht of deze importeur al dan niet onderworpen is aan de AVG met betrekking tot de gegeven verwerking in overeenstemming met artikel 3.