Het lijkt erop dat de doorgifte van persoonsgegevens dit jaar helemaal “hip en happening” is. Niet alleen heeft de Europese Commissie de - lang verwachte - geactualiseerde Modelcontractbepalingen (Standard Contractual Clauses - “SCC's”) gepubliceerd en is de lange weg naar de vaststelling van het adequaatheidsbesluit voor de Republiek Korea (Zuid-Korea) ingeslagen, ook heeft de Europese Commissie het adequaatheidsbesluit voor het Verenigd Koninkrijk vastgesteld. In dit blog gaan wij echter dieper in op de laatste aanbeveling die het Europees Comité voor gegevensbescherming (European Data Protection Board - “EDPB”) op 18 juni 2021 heeft aangenomen. Deze aanbeveling betreft maatregelen ter aanvulling op doorgifte-instrumenten teneinde naleving van het beschermingsniveau van persoonsgegevens in de EU te waarborgen. In november van vorig jaar hebben wij al wat informatie gegeven over de conceptversie van deze aanbeveling. In deze bijdrage zetten we de schijnwerper op de definitieve versie en de bijbehorende implicaties.
In juli vorig jaar zette het Hof van Justitie van de EU (“HvJ’) niet alleen een streep door het Privacy Shield-mechanisme, het nam ook de huidige SCC's onder de loep. Hoewel het HvJ deze standaardbepalingen geldig achtte, gaf het aan dat de gegevensexporteur voorafgaand aan de doorgifte dient te verifiëren of het derde land waarin de ontvangende partij zich bevindt, hetzelfde beschermingsniveau kan bieden als de AVG. Volgens het HvJ moesten bovendien, waar nodig, aanvullende maatregelen worden genomen.
Hierdoor bleven gegevensexporteurs en -importeurs met twee belangrijke vragen zitten:
Hoe weten we of een derde land in een beschermingsniveau kan voorzien dat voldoet aan de eisen? En:
Met welke maatregelen kunnen potentiële twijfels en gevaren worden weggenomen?
De EDPB heeft gepoogd deze - valide - vragen te beantwoorden.
Gegevensexporteurs dienen hun blik niet alleen te richten op de wetgeving die in het ontvangende land van kracht is, maar ook op de gangbare praktijken in dat land. Deze aanbeveling is aan de uiteindelijke versie van het document toegevoegd. Deze aanbeveling is met name relevant in het geval:
de wetgeving in het derde land officieel wel aan de Europese normen voldoet, maar in de praktijk duidelijk niet wordt nageleefd;
er, bij afwezigheid van relevante wetgeving in het derde land, sprake is van praktijken die niet stroken met de verplichtingen van de doorgifte-instrumenten;
de overgedragen gegevens en/of de importeur (mogelijk) onder de noemer “problematische wetgeving” vallen (d.w.z. inbreuk maken op de contractuele garantie dat het doorgifte-instrument een wezenlijk gelijkwaardig beschermingsniveau biedt en niet aan de Europese normen t.a.v. fundamentele rechten, noodzaak en evenredigheid voldoen).
Uit de aanbeveling volgt dat indien een van de eerste twee hierboven genoemde situaties zich voordoet en er geen adequate aanvullende maatregelen kunnen worden genomen, de doorgifte onmiddellijk moet worden opgeschort. Ten opzichte van de derde situatie neemt de EDPB een iets minder strikte houding aan: “u kunt besluiten (i) de doorgifte op te schorten, (ii) aanvullende maatregelen in te voeren teneinde met de doorgifte verder te gaan of, subsidiair, (iii) u kunt besluiten met de doorgifte door te gaan zonder aanvullende maatregelen te treffen indien u overweegt en in staat bent middels documentatie aan te tonen dat u geen aanleiding heeft om aan te nemen dat relevante en problematische wetgeving zo wordt uitgelegd en/of in de praktijk zo wordt toegepast dat uw gegevens en importeur daaronder vallen.
Hoe het ook zij, de beoordeling dient goed gedocumenteerd te worden en de gehele “keten van doorgiftes” te beslaan, dus ook alle verdere verwerkingen (onward transfers), bijvoorbeeld als verwerkers sub-verwerkers in de arm hebben genomen. Naast algemene onderdelen zoals de verwerkingsdoelen en relevante categorieën van persoonsgegevens, kan bijvoorbeeld ook de volgende informatie in de beoordeling worden betrokken:
De vraag of in het licht van wetgeving, praktijk en gedocumenteerde eerdere gevallen de overheidsinstanties van het derde land zich met of zonder medeweten van de gegevensimporteur toegang kunnen verschaffen tot de gegevens;
De vraag of in het licht van wetgeving, wettelijke bevoegdheden, ter beschikking staande technische, financiële en personele middelen en gedocumenteerde eerdere gevallen, de overheidsinstanties van het derde land zich via de gegevensimporteur of via de telecom-providers of communicatiekanalen toegang kunnen verschaffen tot de gegevens.
Aanvullende maatregelen dienen van geval tot geval te worden beoordeeld. Volgens de EDPB hoeft de beoordeling echter niet bij elke gelijkwaardige doorgifte onder gelijkwaardige omstandigheden opnieuw plaats te vinden. Bij de beoordeling of maatregelen geschikt zijn of niet, dienen de volgende factoren in acht te worden genomen:
de vorm waarin de gegevens worden doorgegeven (bijvoorbeeld versleuteld, gepseudonimiseerd, of platte tekst);
de aard van de gegevens;
de lengte en complexiteit van de keten van doorgifte; en
variabelen in de praktische toepassing van de wetten van het derde land.
De EDPB heeft daarnaast het een en ander verteld over de kwaliteit van de bronnen. De voor de beoordeling te gebruiken informatiebronnen moeten aan bepaalde vereisten voldoen. Zo moeten de bronnen:
betrekking hebben op de specifieke doorgifte en/of importeur en niet al te algemeen zijn;
objectief zijn en gebaseerd op empirisch bewijs en kennis, niet op aannames;
betrouwbaar zijn;
verifieerbaar zijn, aangezien de autoriteiten de informatie zo nodig moeten kunnen checken;
zich in het publieke domein bevinden of anderszins openbaar toegankelijk zijn.
Gedocumenteerde ervaringen van de importeur met relevante eerdere verzoeken van overheidsinstanties in het derde land om toegang te krijgen, mogen ook in de beoordeling worden meegenomen. Daar staat tegenover dat de afwezigheid van zulke eerdere verzoeken op zich in geen geval als doorslaggevende factor ten aanzien van de effectiviteit van het doorgifte-instrument kan worden beschouwd.
Hoewel de EDPB wat meer richtsnoeren heeft aangeleverd over hoe men doorgiftes zou moeten beoordelen, blijven we toch met wat zorgen zitten over de zeker niet denkbeeldige mogelijkheid van rechtmatige doorgiftes, zoals we in onze vorige blog over dit onderwerp al concludeerden. Het valt te begrijpen dat de toezichthoudende autoriteiten geen kant-en-klare voorbeeldsituaties kunnen leveren. Aan de andere kant is het wellicht te veel gevraagd om de beoordeling van zowel het toepasselijk recht als geschikte aanvullende maatregelen aan de gegevensexporteur (en -importeurs) over te laten.
Voor de te nemen stappen verwijzen wij naar onderstaande tabel.
Stappen |
Toelichting |
Actiepunten |
1. Ken uw doorgiftes |
De eerste stap houdt in dat u volledig op de hoogte bent van alle doorgiftes in uw organisatie. Deze stap is essentieel als u aan uw verplichtingen op grond van het verantwoordingsbeginsel wilt voldoen. |
|
2. Controleer de instrumenten voor doorgifte waar u mee werkt |
Sinds Schrems-II kunnen de volgende instrumenten worden gebruikt als basis voor doorgifte:
Daarnaast kan in een beperkt aantal gevallen, bijv. bij incidentele doorgiftes, een beroep worden gedaan op de uitzonderingen van artikel 49 AVG. |
|
3. Beoordelen doeltreffendheid van het instrument voor doorgifte tegen het licht van de omstandigheden |
Doeltreffend wil zeggen dat de doorgegeven persoonsgegevens in het derde land een beschermingsniveau genieten dat in feite gelijkwaardig is aan het in de EER gewaarborgde niveau. Dit is niet het geval als de gegevensimporteur niet aan diens verplichtingen onder het op grond van artikel 46 AVG gekozen doorgifte-instrument kan voldoen als gevolg van de in het derde land op de doorgifte toepasselijke wetgeving en praktijken. |
|
4. Aanvullende maatregelen |
Als uit stap 3 blijkt dat de wetgeving van het derde land van invloed is op de doeltreffendheid van het op grond van artikel 46 AVG gekozen instrument voor doorgifte, moet worden overwogen of aanvullende maatregelen bestaan, die - naast de waarborgen van het gekozen instrument voor doorgifte - nodig zijn om in het derde land de persoonsgegevens een gelijkwaardig beschermingsniveau te bieden als onder de AVG. Het EDPB maakt onderscheid tussen contractuele, technische en organisatorische maatregelen. Contractuele en organisatorische maatregelen bieden op zichzelf niet voldoende bescherming tegen inmenging in of toegang tot persoonsgegevens door overheidsinstanties in het derde land. |
|
5. Procedurele stappen |
Er zijn verschillende procedurele stappen te nemen in het geval u doeltreffende aanvullende maatregelen hebt vastgesteld. Dit hangt af van het doorgifte-instrument dat u op grond van artikel 46 AVG gebruikt of wil gebruiken. |
|
6. Continue herbeoordeling |
Op continue basis, zo mogelijk in overleg met gegevensimporteurs, moet worden nagegaan of er zich ontwikkelingen hebben voorgedaan (of zich naar verwachting zullen voordoen) in het derde land die van invloed kunnen zijn op de eerder gemaakte analyse van het beschermingsniveau en de op basis daarvan gemaakte beslissingen. De verantwoordingsplicht van artikel 5.2 AVG is een duurverplichting. |
- de gegevensimporteur de verplichtingen krachtens het doorgifte-instrument van artikel 46 AVG heeft geschonden of niet kan nakomen; of - de aanvullende maatregelen niet langer doeltreffend blijken in het betreffende derde land. |
Wilt u meer weten over doorgifte van persoonsgegevens? Robert van den Hoven van Genderen bespreekt dit onderwerp tijdens zijn lezing op de Kennismarkt van Data&Privacyweb op 7 december 2021.