Voor sommige organisaties die van buiten de EU direct persoonsgegevens verzamelen van mensen in de EU, is niet altijd duidelijk of zij die persoonsgegevens extra moeten beschermen. Het gaat om bedrijven waarop de AVG direct van toepassing is. De European Data Protection Board (EDPB) heeft nieuwe richtlijnen ontwikkeld over internationale doorgifte van persoonsgegevens.
De EDPB geeft aan wat de definitie ‘doorgifte naar derde landen of internationale organisaties’ inhoudt. Als een datastroom onder deze definitie valt, moeten organisaties ervoor zorgen dat het beschermingsniveau van de AVG ‘meereist’ met de persoonsgegevens naar het buitenland.
De bescherming die mensen in de EU hebben onder de AVG en andere wetten, mag niet omzeild worden als hun gegevens de EU verlaten.
Maar ook als datastromen niet onder de definitie ‘doorgifte’ vallen, moeten organisaties volgens de EDPB zorgen voor bescherming van de gegevens. Dit betekent dat zij in de praktijk vrijwel dezelfde handelingen moeten verrichten als bij doorgifte.
Artikel 3 AVG
In artikel 3 van de AVG staat dat deze wet geldt voor:
- organisaties in de EU die persoonsgegevens verwerken, ongeacht of dit binnen of buiten de EU gebeurt;
- organisaties buiten de EU die online hun producten en diensten aanbieden en zich daarbij specifiek richten op mensen in de EU;
- organisaties die van buiten de EU het gedrag van mensen in de EU monitoren, zolang dit gedrag ook echt plaatsvindt in de EU.
Hoofdstuk 5 AVG
In hoofdstuk 5 van de AVG staat dat organisaties die persoonsgegevens vanuit de EU exporteren naar een land daarbuiten, dit alleen mogen doen als zij kunnen garanderen dat die persoonsgegevens veilig zijn in dat land.
Gegevens exporteren mag naar landen waarvan de Europese Commissie heeft besloten dat persoonsgegevens daar voldoende beschermd worden.
Ook kan het met een zogeheten doorgifte-instrument. Dat zorgt ervoor dat de Europese privacybescherming meereist met de data. Bijvoorbeeld een modelcontract, waarin de organisatie duidelijk vastlegt hoe deze de gegevens zal beschermen.
Doorgifte-instrument nodig?
Na de komst van de AVG is er onduidelijkheid ontstaan of een doorgifte-instrument nodig is voor organisaties waarvoor de AVG al direct geldt en die vanuit een land buiten de EU direct persoonsgegevens verzamelen van mensen in de EU.
Dee onduidelijkheid werd groter toen de Europese Commissie in 2021 nieuwe modelcontracten uitbracht. Daarin staat dat de modelcontracten niet van toepassing zijn op doorgiften naar data-importeurs waarop de AVG al direct van toepassing is.
De EDPB zegt nu dat er een doorgifte-instrument nodig is in deze situatie. En dat deze organisaties gebruik kunnen maken van ad-hoc-contractbepalingen (ook bekend als ad hoc contractual clauses) of modelcontracten speciaal voor deze situatie.
De Europese Commissie ontwikkelt op dit moment dat type modelcontract.