Het opslaan van gegevens in de cloud is steeds gebruikelijker geworden. Er zijn tal van bedrijven die gespecialiseerd zijn in cloudcomputing en deze service op wereldwijde schaal aanbieden. Hoewel cloudcomputing vele voordelen heeft, zijn er ook aandachtspunten en dan met name in het licht van privacy en gegevensbescherming. Eén van de meest voor de hand liggende aandachtspunten is dat de gebruikte cloud wel eens buiten de Europese Unie (EU) zou kunnen zweven. De vraag is in dit geval hoe de rechten die de EU onder de Algemene verordening gegevensbescherming (Avg, ook wel General Data Protection Regulation, of GDPR) aan personen toekent, moeten worden gewaarborgd. Als algemene regel geldt dat doorgifte van persoonsgegevens aan landen buiten de Europese Economische Ruimte (EER)[1] op grond van de Avg niet is toegestaan. De hoofdregel kent echter tal van uitzonderingen, zodat doorgifte van persoonsgegevens onder bepaalde voorwaarden wel mogelijk is. Deze uitzonderingen hebben als algemeen uitgangspunt dat de rechten die de EU aan haar burgers (en volgens de Avg ook overige personen die zich op haar grondgebied bevinden) ook gewaarborgd dienen te worden, wanneer de persoonsgegevens van betrokkenen het territoir van de EER verlaten en verwerkt worden in een zogenaamd ‘derde land’. De uitzonderingen op de hoofdregel zijn, in volgorde van vermelding in de Avg:
- Het adequaatheidsbesluit;
- Passende waarborgen;
- Afwijkingen voor specifieke situaties.
Het adequaatheidsbesluit
De eerste en voornaamste uitzondering op de hoofdregel is het adequaatheidsbesluit. Dit besluit bestaat uit een oordeel van de Europese Commissie (EC) dat een derde land, een gebied of één of meerdere nader bepaalde sectoren in het derde land, of de internationale organisatie een passend beschermingsniveau waarborgt. Een lijst met adequaat bevonden derde landen, etc. is te vinden op de website van de EC.[2]
Passende waarborgen
Daar waar de EC geen adequaatheidsbesluit heeft afgegeven, zal doorgifte aan een derde land volgens de Avg mogelijk kunnen zijn op grond van passende waarborgen. Bijkomende voorwaarde is dat het derde land of de internationale organisatie de betrokkenen voorzien van afdwingbare rechten en doeltreffende rechtsmiddelen. Bindende bedrijfsvoorschriften zijn een sprekend voorbeeld van een instrument dat onder de passende waarborgen wordt geschaard.
Bindende bedrijfsvoorschriften (BCR)
Onder het gebruik van BCR is doorgifte van gegevens naar landen met een inadequaat beveiligingsniveau alsnog mogelijk. Zoals de naam reeds doet vermoeden, zijn BCR gedragscodes die binnen een concern of een groepering van ondernemingen verzekeren dat de gegevensdoorgifte plaatsvindt in overeenstemming met Europese (en eventueel nationale) wetgeving. Enkele voorwaarden die de Avg stelt aan BCR om in aanmerking te komen als passende waarborg voor doorgifte naar derde landen zijn:
- De BCR dienen juridisch bindend te zijn voor, van toepassing te zijn op en te worden gehandhaafd door alle betrokken leden van het concern;
- De BCR moeten betrokkenen uitdrukkelijk afdwingbare rechten toekennen.
De BCR komen in grofweg twee varianten voor:
- BCR voor verwerkingsverantwoordelijken;
- BCR voor bewerkers.
Afwijkingen voor specifieke situaties
In artikel 49 heeft de Avg een vangnet opgenomen dat doorgifte naar een derde land of een internationale organisatie in bepaalde gevallen alsnog mogelijk maakt. Het eerste lid van artikel 49 Avg noemt een aantal specifieke gevallen, waarin doorgifte naar een derde land alsnog mogelijk is. Een enkele uitzondering is voldoende grondslag om een doorgifte te bewerkstelligen. Mocht ook artikel 49 lid 1 Avg geen soelaas bieden, dan kent artikel 49 lid 2 Avg een laatste mogelijkheid op grond waarvan doorgifte eventueel mogelijk kan zijn. De voorwaarden die hiervoor gelden zijn onder meer dat er sprake is van een niet repetitieve doorgifte en dat het doorgifte aan een beperkt aantal betrokkenen betreft.
Nota bene
Het is overigens niet zo dat doorgifte van persoonsgegevens en de regulering hiervan een zuiver Europese aangelegenheid is. Naast de Avg moet bij doorgifte ook rekening worden gehouden met wet- en regelgeving van het ontvangende land inzake de bescherming van persoonsgegevens. Het zou immers zo kunnen zijn dat deze regimes op bepaalde punten andere en wellicht strengere eisen aan de verwerking van persoonsgegevens stellen dan de Avg.
Vragen over het artikel?
Maakt u ook gebruik van clouddiensten, of heeft u andere vragen over de doorgifte van persoonsgegevens naar landen buiten de EU, neem dan contact op met First Lawyers.
Bronvermelding
[1] De EU, Noorwegen, IJsland en Liechtenstein
[2] https://ec.europa.eu/info/strategy/justice-and-fundamental-rights/data-protection/data-transfers-outside-eu/adequacy-protection-personal-data-non-eu-countries_en