Spring naar content

Heb je input voor deze consultatie? Stuur deze dan voor 24 januari 2022 naar legal@ddma.nl.

Onzekerheid

Voor de duidelijkheid beginnen we nog eenmaal bij het begin. In Schrems II werd het adequaatheidsbesluit met de naam ‘Privacy Shield’ ongeldig verklaard door de hoogste Europese rechter. Gevolg hiervan was dat in één klap vrijwel al het dataverkeer naar de Verenigde Staten illegaal plaatsvond. De hoogste Europese rechter stelde dat de datadoorgifte nog steeds plaats kon vinden door onder andere SCC’s wanneer er vooraf een data transfer impact assessment (DTIA) wordt uitgevoerd en aanvullende waarborgen worden getroffen.

Reikhalzend werd er daarom uitgekeken naar de nieuwe SCC’s van de Europese Commissie. Maar (helaas) maakten deze modelcontracten de situatie nog ingewikkelder. De Europese Commissie stelde namelijk dat de SCC’s niet bedoeld zijn voor verwerkingen waarop de AVG al van toepassing is (krachtens artikel 3 lid 2 AVG). Dit zou betekenen dat voor een grote groep ontvangers geen SCC’s en aanvullende waarborgen nodig zijn omdat zij hun producten/diensten aanbieden binnen de Europese Unie en er daardoor geen sprake is van datadoorgifte. Hierdoor is er een vacuüm ontstaan waarin Europese organisaties niet weten waar ze aan toe zijn en zelfs hun doorgifte noodgedwongen hebben opgeschort. Daarom tracht de EDPB met deze guidelines duidelijkheid te geven op de vraag: wanneer is er sprake van datadoorgifte?

Drie criteria

Wanneer het duidelijk is of er sprake is van datadoorgifte, is het ook duidelijk of er een mechanisme voor doorgifte (zoals SCC’s of Binding Corporate Rules) nodig is volgens de AVG. Wel voegt de EDPB hieraan toe dat ook als er geen sprake is van doorgifte er nog steeds aanvullende waarborgen nodig kunnen zijn omdat er risico’s bestaan bij de verwerking. Maar goed, wanneer spreken we nou van een doorgifte? De EDPB geeft drie cumulatieve criteria waaraan moet worden voldaan:

  1. De AVG is van toepassing op de verwerking (de verwerkingsverantwoordelijke of verwerker is dus onderworpen aan de regels uit de AVG).
  2. De verwerkingsverantwoordelijke of verwerker (de gegevensexporteur) verzendt persoonsgegevens naar (of maakt op andere wijze persoonsgegevens beschikbaar voor) een andere (gezamenlijke) verwerkingsverantwoordelijke of (sub)verwerker (de gegevensimporteur).
  3. De gegevensimporteur is (geografisch gezien) in een land buiten de Europese Unie of is een internationale organisatie, ongeacht of deze gegevensimporteur al onderworpen is aan de AVG voor deze verwerking.

Wat direct opvalt is dat de EDPB in het derde criteria nadrukkelijk stelt dat het niet uitmaakt of de AVG ook al van toepassing is op de gegevensimporteur. Waar het in de nieuwe SCC’s er nog op leek dat deze niet nodig waren wanneer de AVG al van toepassing is op de gegegevensimporteur, haalt de EDPB deze beredenering onderuit en lijkt ze te zeggen: doorgifte is doorgifte.

Voorbeeld uit de Guideline:

Bedrijf A (een verwerkingsverantwoordelijke zonder vestiging in de EU) levert goederen en diensten aan de Europese markt. Europees bedrijf B verwerkt persoonsgegevens in opdracht van bedrijf A. Bedrijf B verzendt de persoonsgegevens vervolgens terug naar bedrijf A. Het verzenden van de persoonsgegevens door bedrijf B is onderworpen aan de AVG omdat deze plaatsvindt door een vestiging in de Europese Unie. De verwerking van bedrijf A is óók onderworpen aan de AVG omdat het zijn producten en diensten aanbiedt op de Europese markt. Echter: het verzenden van de persoonsgegevens door bedrijf B naar bedrijf A wordt gezien als een doorgifte omdat A zich bevindt in een land buiten de EU. Hierdoor zijn de aanvullende regels voor doorgifte van toepassing op deze verwerking.

Tweede criterium is meest ingewikkeld

Los van het feit dat het derde criterium het meeste opvalt, is het tweede criterium het meest ingewikkeld. Per verwerking moet worden gekeken naar de verschillende rollen die er zijn en of er sprake is van verzending naar een andere verwerkingsverantwoordelijke of verwerker. De EDPB heeft mede daarom 6 (!) voorbeelden opgenomen om hier duiding aan te geven. Zo is het versturen van persoonsgegevens op initiatief van de betrokkene zelf geen doorgifte. Dus het verstrekken van persoonsgegevens door een consument aan een Chinese webshop kan niet worden gezien als doorgifte. Overigens betekent dit niet dat de Chinese webshop zich niet aan de AVG hoeft te houden: ze bieden immers hun producten en diensten aan op de Europese markt. Hetzelfde geldt voor het verzenden van persoonsgegevens binnen een grensoverschrijdende organisatie zelf. Als hier geen sprake is van verschillende verwerkingsverantwoordelijken of verwerkers vindt er geen ‘doorgifte’ plaats. Maar dit neemt niet weg dat verschillende entiteiten binnen een internationale corporate wel aangemerkt kunnen worden als verschillende verwerkingsverantwoordelijken of verwerkers.

Conclusie

Ondanks dat het nog gaat om een consultatie, lijken deze Guidelines wat onzekerheid weg te nemen. Het wordt duidelijker wanneer er sprake is van datadoorgifte én wanneer je mechanismes, zoals SCC’s, in moet zetten om de data naar een land buiten de EU te versturen. Wat nog lastig blijft, is de vraag of je als organisatie kunt waarborgen dat er in het derde land AVG-gelijkwaardige bescherming wordt geboden. Toegang door bijvoorbeeld toezichthouders of andere autoriteiten in landen buiten de EU lijkt namelijk onmogelijk om uit te sluiten. Daarom is het belangrijk om bij iedere doorgifte het risico goed in te schatten door middel van een data transfer impact assessment (DTIA).

Ben je lid van DDMA en heb je een juridische vraag? Stuur een mailtje naar legal@ddma.nl.

Romar van der Leij

Legal counsel

Ook interessant

Lees meer
AVG |

Data delen met VS weer AVG-proof: Europese Commissie neemt opvolger Privacy Shield aan

Na lang wachten heeft de Europese Commissie vandaag een nieuw adequaatheidsbesluit voor doorgifte van persoonsgegevens naar de VS aangenomen. Met dit zogeheten Data Privacy Framework komt er een eind aan…
Lees meer
AVG |

Boete van 1 miljoen voor gebruik Google Analytics Tele2 Zweden

Er kan wederom een nieuw hoofdstuk worden toegevoegd aan het data delen met de VS-dossier. In Zweden zijn namelijk 4 organisaties aangesproken door de nationale privacytoezichthouder (IMY) vanwege hun gebruik…
Lees meer
AVG |

Recordboete voor Meta: wat betekent dit voor de marketingsector?

Maandag 22 mei bracht de Ierse Toezichthouder (DPC) naar buiten dat het Facebook’s moederbedrijf Meta de hoogste AVG-boete tot dusver oplegt: 1,2 miljard euro. Na ruim tweeëneenhalf jaar onderzoek concludeert…