Op 18 november 2021 heeft de European Data Protection Board (“EDPB”) concept guidelines gepubliceerd. Deze guidelines zijn op 14 februari 2023 goedgekeurd. In de guidelines zijn criteria zijn opgenomen voor de toepassing van hoofdstuk 5 van de AVG. Aan de hand van de criteria kunnen partijen beoordelen of een bepaalde gegevensverwerking gekwalificeerd moet worden als doorgifte van persoonsgegevens naar derde landen. Indien dat laatste het geval is, moeten partijen voldoen aan de voorwaarden die in hoofdstuk 5 AVG zijn neergelegd.
Wat zijn de criteria voor toepassing van hoofdstuk 5 AVG?
De EDPB is de Europese organisatie die toeziet op de consequente toepassing en naleving van de AVG en bestaat uit vertegenwoordigers van nationale toezichthouders (waaronder de Autoriteit Persoonsgegevens). De EDPB heeft onderstaande criteria opgenomen voor de beoordeling of Hoofdstuk 5 AVG van toepassing is. Indien aan alle criteria wordt voldaan, is hoofdstuk 5 AVG van toepassing en is sprake van een doorgifte van persoonsgegevens naar derde landen.
1. De AVG is van toepassing op de verantwoordelijke en/of verwerker
In artikel 2 en 3 AVG is neergelegd wanneer de AVG (materieel en territoriaal) van toepassing is op de verwerking van persoonsgegevens. In de kern geldt dat de AVG van toepassing is op partijen die in de Europese Economische Ruimte (“EER”) zijn gevestigd. De EER bestaat uit EU-lidstaten en Liechtenstein, Noorwegen en IJsland. De AVG kan ook op andere gronden van toepassing zijn, maar gelet op de complexe materie ga ik daar binnenkort op in.
2. De exporteur geeft de persoonsgegevens door aan de importeur
Op basis van het tweede criterium moeten persoonsgegevens door de exporteur worden doorgegeven aan de importeur. Met de ‘exporteur’ wordt de verwerker of verantwoordelijke bedoeld die persoonsgegevens verwerkt waarop de AVG van toepassing is. Blijkt de AVG niet van toepassing te zijn op de gegevensverwerking door de exporteur, dan wordt niet aan het criterium voldaan. De exporteur geeft de persoonsgegevens vervolgens door aan een andere verwerker of verantwoordelijke die in een derde land is gevestigd (zie ook criterium 3).
Het moet dus gaan om een doorgifte van persoonsgegevens tussen een exporteur in de rol van verwerker of verantwoordelijke en een importeur in de rol van verwerker of verantwoordelijke. De EDPB benadrukt dat de doorgifte tussen een verantwoordelijke en betrokkene hier niet onder valt. Als voorbeeld wordt de situatie geschetst waarin een consument vanuit de EU online kleding koopt bij een aanbieder die zich in een derde land bevindt. De consument is geen verwerker of verantwoordelijke, maar een betrokkene. Dat leidt ertoe dat de consument geen exporteur is en niet aan het criterium wordt voldaan.
Een tweede interessant voorbeeld dat door de EDPB wordt gegeven gaat over de doorgifte tussen een werknemer en werkgever. Lange tijd bestond er onduidelijkheid over de vraag hoe de doorgifte van persoonsgegevens tussen een werkgever en werknemer gekwalificeerd moest worden. In het volgende voorbeeld geeft de EDPB daar helderheid over. Een werknemer van een bedrijf dat in Polen is gevestigd, reist voor zijn werk naar India. Vanuit India heeft de werknemer op afstand toegang (remote access) tot persoonsgegevens die in de database van het bedrijf staan opgeslagen. Deze doorgifte tussen een werkgever en werknemer kwalificeert de EDPB niet als doorgifte van persoonsgegevens naar derde landen. De EDPB stelt dat de werkgever een verantwoordelijke is, maar dat de werknemer dat niet is. De werknemer maakt onderdeel van het bedrijf waardoor de doorgifte van persoonsgegevens binnen hetzelfde bedrijf plaatsvindt.
Bovenstaande situatie moet worden onderscheiden van de situatie waarin persoonsgegevens worden gedeeld tussen verschillende bedrijven die onderdeel zijn van dezelfde groep. De verschillende bedrijven kunnen mogelijk als zelfstandige verwerkers of verantwoordelijke worden aangemerkt waardoor wel sprake is van een doorgifte van persoonsgegevens naar derde landen.
3. De importeur bevindt zich in een derde land of is een internationale organisatie
Met ‘derde landen’ wordt gedoeld op landen die geen onderdeel zijn van de van de Europese Economische Ruimte (“EER”). De EER bestaat uit EU-lidstaten en Liechtenstein, Noorwegen en IJsland. Aan dit criterium wordt voldaan indien de importeur zich in een derde land, zoals de Verenigde Staten, Australië of China bevindt.
Wat als hoofdstuk 5 AVG van toepassing is?
Indien aan alle criteria wordt voldaan is er sprake van een doorgifte van persoonsgegevens naar derde landen en is hoofdstuk 5 AVG van toepassing. In hoofdstuk 5 AVG worden voorwaarden gesteld aan de doorgifte naar derde landen. Zo geldt als voorwaarde dat partijen voor de doorgifte een grondslag nodig hebben. Deze grondslag kan bestaan uit:
- een adequaatheidsbesluit (art. 45 AVG)
- het nemen van passende waarborgen, zoals het gebruik van modelcontracten (Standard Contractual Clauses) of bindende bedrijfsvoorschriften (Binding Corporate Rules)(art. 46 AVG)
- uitzonderingen op basis van specifieke situaties (art. 49 AVG)
Hierbij merk ik op dat de grondslagen, en in het bijzonder de passende waarborgen, door het Schrems II-arrest strikter worden geïnterpreteerd waardoor het in de praktijk de nodige extra moeite kan kosten, en soms niet mogelijk blijkt te zijn, om de doorgifte op een grondslag te baseren (zie hier en hier voor meer informatie).
Heeft u vragen over internationale gegevensuitwisseling? Neem dan gerust contact op.