>>>Export van persoonsgegevens buiten de Europese Unie: de concrete aanpak (Eubelius)

Export van persoonsgegevens buiten de Europese Unie: de concrete aanpak (Eubelius)

Auteurs: Anneleen Van de Meulebroucke en Justine De Meersman (Eubelius)

Publicatiedatum: 21/12/2020

In het zogenaamde Schrems II-arrest sprak het Hof van Justitie zich op 16 juli 2020 uit over een aantal aspecten van de export van persoonsgegevens. Het Hof oordeelde onder meer dat verwerkingsverantwoordelijken die zich op modelcontractbepalingen willen beroepen, moeten nagaan of de wetgeving van het derde land buiten de Europese Economische Ruimte, een beschermingsniveau waarborgt dat in wezen gelijkwaardig is aan het in de Europese Economische Ruimte gewaarborgde niveau. Deze controle moet geval per geval gebeuren en waar nodig in samenwerking met de ontvanger van de gegevens in dat derde land. Indien een dergelijk beschermingsniveau niet wordt gewaarborgd, moet de gegevensexporteur ofwel de doorgifte van persoonsgegevens naar het derde land moet staken, ofwel naar aanleiding van een effectbeoordeling inzake de doorgifte van gegevens (“data transfer impact assessment”) aanvullende maatregelen nemen om een niveau van gegevensbescherming te waarborgen zoals vereist door het EU-recht.

Het Europees Comité voor Gegevensbescherming (ECGB) heeft op 10 november 2020 twee belangrijke ontwerpaanbevelingen (voorlopig enkel in het Engels beschikbaar) aangenomen om ondernemingen bij te staan bij de beoordeling (i) of het gegevensbeschermingskader van een derde land in wezen gelijkwaardig is aan het AVG-kader, en (ii) of, en in bevestigend geval, welke passende aanvullende maatregelen moeten worden genomen:

  • Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data; en
  • Recommendations 02/2020 on the European Essential Guarantees for surveillance measures.

Het ECGB bood geen snelle en eenvoudige oplossing, noch een one-size-fits-all-oplossing. Het kwam met een 6-stappenplan voor gegevensexporteurs, dat zij geval per geval moeten volgen vóór ze persoonsgegevens naar een derde land doorsturen.

Wat moet u doen (volgens Aanbeveling 01/2020?)

Stap 1 – Breng uw gegevensdoorgifte in kaart: breng alle doorgiften van gegevens naar derde landen in kaart (due diligence voor alle landen waarnaar persoonsgegevens worden verzonden) in een zogenaamde effectbeoordeling inzake de doorgifte van gegevens. Documenteer alle doorgiften van gegevens intern, bijvoorbeeld door gebruik te maken van het register van de verwerkingsactiviteiten.

Stap 2 – Identificeer de relevante instrumenten van doorgifte: identificeer voor elke doorgifte van gegevens het relevante instrument voor doorgifte van hoofdstuk V van de AVG (bijvoorbeeld standaardcontractbepalingen, afwijkingen, …). Indien de doorgifte van gegevens niet kan worden gebaseerd op een adequaatheidsbesluit waarbij een passend beschermingsniveau wordt vastgesteld of op een afwijking als bedoeld in artikel 49 van de AVG, moet de gegevensexporteur doorgaan met stap 3.
 

Stap 3 – Beoordeel of het instrument van doorgifte van artikel 46 van de AVG in het licht van alle omstandigheden doeltreffend is: Het selecteren van een artikel 46 AVG-instrument voor doorgifte (zoals modelcontractbepalingen of bindende bedrijfsvoorschriften) volstaat niet. De gegevensexporteur moet de doeltreffendheid van dit instrument voor de doorgifte beoordelen:

  • Indien er in het derde land wetgeving bestaat die afbreuk kan doen aan de doeltreffendheid van het instrument voor doorgifte van gegevens, moet de gegevensexporteur deze wetgeving onderzoeken op basis van de Europese essentiële garanties zoals die door het ECGB in zijn aanbeveling 02/2020 zijn vastgesteld. Deze aanbeveling bevat een kader van vier garanties om de gegevensexporteur te helpen te beoordelen of de wetgeving van een derde land (met inbegrip van eventuele toezichtmaatregelen van de overheid) kan worden beschouwd als een gerechtvaardigde inmenging in het recht op privacy en bescherming van persoonsgegevens overeenkomstig het Handvest van de grondrechten van de EU.

Deze vier garanties houden het volgende in:

  1. De verwerking moet gebaseerd zijn op duidelijke, precieze en toegankelijke regelgeving.
  2. De noodzakelijkheid en evenredigheid van de verwerking ten aanzien van de nagestreefde gerechtvaardigde doelstellingen moeten worden aangetoond.
  3. Er moet een onafhankelijk toezichtmechanisme voorhanden zijn.
  4. De betrokkene moet over doeltreffende rechtsmiddelen kunnen beschikken.
  • Indien er in het derde land geen wetgeving bestaat die afbreuk kan doen aan de doeltreffendheid van het instrument voor doorgifte van gegevens, moet de gegevensexporteur rekening houden met andere objectieve elementen waardoor de autoriteiten van het derde land toegang zouden kunnen vragen of krijgen tot de doorgegeven persoonsgegevens (bijvoorbeeld gerapporteerde incidenten, praktijken, wettelijke bevoegdheden en technische, financiële en personele middelen waarover de autoriteiten beschikken).

Stap 4 – Neem aanvullende maatregelen: indien uit het resultaat van de beoordeling in stap 3 blijkt dat de wetgeving van het derde land afbreuk kan doen aan de doeltreffendheid van het instrument voor doorgifte waarop een gegevensexporteur van plan is te vertrouwen, moet de gegevensexporteur aanvullende maatregelen nemen. Deze aanvullende maatregelen kunnen bestaan uit contractuele maatregelen waaraan de gegevensimporteur moet voldoen, technische maatregelen of organisatorische maatregelen.

Volgens het ECGB zijn contractuele en organisatorische maatregelen alleen niet voldoende, aangezien deze over het algemeen geen oplossing bieden tegen de toegang tot persoonsgegevens door overheidsinstanties. Technische maatregelen zijn de belangrijkste maatregelen om het vereiste beschermingsniveau te bereiken, waardoor de toegang van overheidsinstanties van derde landen tot persoonsgegevens ondoeltreffend wordt.

Stap 5 – Procedurele stappen als u doeltreffende aanvullende maatregelen hebt vastgesteld: deze procedurele stappen kunnen verschillen afhankelijk van het instrument voor de doorgifte van gegevens dat u gebruikt of van plan bent te gebruiken, bijvoorbeeld de gegevensexporteur moet met de bevoegde toezichthoudende autoriteit overleggen wanneer deze van plan is aanvullende maatregelen te nemen bovenop de modelcontractbepalingen wanneer deze maatregelen direct of indirect in strijd zijn met de modelcontractbepalingen.
 

Stap 6 – Evalueer opnieuw op passende tijdstippen: de gegevensexporteurs moeten op passende tijdstippen opnieuw beoordelen of het beschermingsniveau voor de gegevens die naar derde landen worden overgedragen nog steeds voldoende is en nagaan of er zich ontwikkelingen hebben voorgedaan of zullen voordoen die van invloed kunnen zijn op dat beschermingsniveau.

Deze ontwerpaanbevelingen, door het ECGB samengevat in onderstaand schema, zullen mogelijk nog aangepast worden, onder andere in het licht van een openbare raadpleging die afliep op 21 december 2020.

Nieuwe modelcontractbepalingen

Eén dag na de publicatie van de ontwerpaanbevelingen van het ECGB, op 12 november 2020, heeft de Europese Commissie een nieuw ontwerp van de modelcontractbepalingen gepubliceerd. 

Deze modelcontractbepalingen bevatten veel nieuwe bepalingen, zoals:

  • clausules om vier soorten doorgiften aan te pakken (tussen verwerkingsverantwoordelijken, van verwerkingsverantwoordelijke naar verwerker, van verwerker naar verwerkingsverantwoordelijke en tussen verwerkers);
  • docking-clausules om nieuwe partijen toe te laten;
  • de verplichting voor de gegevensexporteur om de effectbeoordeling van de doorgifte van de gegevens te documenteren;
  • de verplichting voor de gegevensexporteur om rekening te houden met de wetgeving en de praktijk in het derde land;
  • de verplichting voor de gegevensimporteur om de gegevensexporteur en de betrokkenen in kennis te stellen wanneer hij een bevel van een overheidsinstantie ontvangt om toegang te verlenen tot de gegevens, om de wettigheid van een dergelijk bevel te beoordelen, om verzoeken te documenteren en om documenten ter beschikking te stellen van de gegevensexporteur.

Deze ontwerpaanbevelingen zullen mogelijk nog aangepast worden, onder andere in het licht van een openbare raadpleging die liep tot 10 december 2020.

Na goedkeuring zal er een overgangsperiode van een jaar zijn om bedrijven in staat te stellen over te stappen op de nieuwe clausules en nieuwe overeenkomsten te ondertekenen.

Lees hier het originele artikel

2020-12-27T10:07:06+00:00 28 december 2020|Categories: Privacy recht|Tags: , |