Op grond van de Algemene verordening persoonsgegevens (AVG) gelden strenge voorwaarden voor de doorgifte van persoonsgegevens aan derde landen. Persoonsgegevens mogen slechts worden doorgegeven aan landen buiten de Europese Economische Ruimte (EER) op basis van één van de doorgifte-instrumenten zoals genoemd in de AVG en zónder dat afbreuk wordt gedaan aan de waarborgen in de AVG betreffende de bescherming van persoonsgegevens.
Doorgifte-instrumenten
De AVG kent verschillende instrumenten voor de doorgifte van persoonsgegevens aan derde landen. Uitgangspunt is dat doorgifte alleen mag plaatsvinden als er een adequaatheidsbesluit van de Europese Commissie aan de doorgifte ten grondslag ligt. Een adequaatheidsbesluit is een besluit waarin de Europese Commissie vaststelt dat het derde land een passend beschermingsniveau biedt.
Als geen adequaatheidsbesluit is genomen, dan kan doorgifte plaatsvinden op grond van passende waarborgen. In dat geval moet de doorgevende partij maatregelen nemen om het ontoereikende niveau van gegevensbescherming in een derde land te verhelpen. Misschien wel de bekendste vorm van passende waarborgen zijn de door de Europese Commissie goedgekeurde modelcontracten. Als de doorgifte van persoonsgegevens op basis van deze modelcontracten plaatsvindt, mag men ervan uitgaan dat de doorgifte in overeenstemming is met de AVG. Desondanks moeten partijen sinds de Schrems II-uitspraak van het Hof van Justitie ook in dat geval controleren of het land van bestemming afdoende waarborgen biedt voor de bescherming van persoonsgegevens. Dit leidt er in de praktijk toe dat individuele partijen op basis van eigen onderzoek moeten beoordelen of en in hoeverre het rechtsstelsel van het land van bestemming de (privacy)rechten van betrokkenen in voldoende mate beschermt.
EU-US Data Privacy Framework
Sinds 10 juli 2023 kunnen partijen weer gebruikmaken van een adequaatheidsbesluit voor de doorgifte van persoonsgegevens naar de VS. Het DPF vervangt de eerdere door het Hof van Justitie vernietigde Safe Harbour- en Privacy Shield-besluiten. Het DPF biedt in de EER gevestigde partijen de mogelijkheid om persoonsgegevens door te geven aan partijen in de VS zonder dat hiervoor modelcontracten hoeven te worden gebruikt en uitgebreide rechtsvergelijkende onderzoeken tussen de privacywetgeving in de EU en de VS hoeven te worden uitgevoerd.
Zelf-certificering
Uitgangspunt is dat partijen in de VS zich op vrijwillige basis committeren aan de (privacy-)beginselen zoals neergelegd in de DPF. Partijen kunnen er – al dan niet vanuit commercieel perspectief – zelf voor kiezen om de beginselen uit de DPF toe te passen en zich te onderwerpen aan het toezicht hierop door de Amerikaanse Federal Trade Commission of het Department of Transportation (voor gegevensuitwisseling door luchtvaartmaatschappijen). Het Department of Commerce houdt vervolgens in een openbare lijst bij welke Amerikaanse partijen zich aan het DPF hebben gecommitteerd en controleert op regelmatige basis of deze partijen de voorwaarden uit het DPF naleven.
Let op: doorgifte op grond van het DPF kan alléén plaatsvinden aan gecertificeerde partijen. Als een partij niet is opgenomen in de lijst van het Department of Commerce, dient doorgifte plaats te vinden op basis van passende waarborgen.
Beginselen DPF
De beginselen in het DPF komen in grote lijnen overeen met de bepalingen uit de AVG. Dit betekent onder meer dat:
- persoonsgegevens slechts mogen worden verwerkt voor een specifiek doel en niet meer persoonsgegevens mogen worden verwerkt dan noodzakelijk (dataminimalisatie);
- de rechten van betrokkenen onverkort moeten worden gehandhaafd;
- betrokkenen het recht moeten hebben om een klacht in te dienen bij de verwerkende partij of een door die partij aangewezen onafhankelijke geschilbeslechtingsorganisatie;
- betrokkenen moeten worden geïnformeerd over de wijze van verwerking van persoonsgegevens door de Amerikaanse partij;
- de voorwaarden uit het DPF ook moeten worden opgelegd aan eventuele (sub)verwerkers van de betreffende partij.
Hoe nu verder?
Sinds kort is het weer makkelijker om persoonsgegevens vanuit de EU door te geven aan partijen in de VS. Om persoonsgegevens op basis van het DPF door te mogen geven, is het van belang om te controleren of de ontvangende partij is geregistreerd bij het Amerikaanse Department of Commerce. Is dit het geval, dan zijn aanvullende contractuele bepalingen niet langer noodzakelijk.
Wilt u persoonsgegevens doorgeven aan een partij in de VS en bent u benieuwd aan welke voorwaarden de doorgifte moet voldoen? Neem dan contact op met Mayke van der Heijden-Linssen of een van onze andere specialisten van de expertise Privacy. Zij helpen u graag verder.