Gegevensoverdrachten vrijgegeven maar gereguleerd

Fragment uit het boek van Bruno DUMAY: GDPR DECRYPTION – Voor managers, strategische afdelingen en medewerkers van bedrijven en organisaties – Voorwoord door Gaëlle MONTEILLER

Hoe verrassend het ook mag lijken in een geglobaliseerde economie, waar het idee van grenzen onverenigbaar lijkt met transacties via internet, is het door de EU verboden om persoonsgegevens voor verdere verwerking door te geven aan een derde land (dat wil zeggen een land buiten de Unie) zonder toestemming van een toezichthoudende autoriteit.

De AVG schaft de regeling van voorafgaande toestemming af. Er zijn echter bepaalde voorwaarden nodig om de doorgifte te laten plaatsvinden. De Commissie moet bij besluit hebben vastgesteld dat de ontvanger buiten de EU (land, gebied of sector van een land, internationale organisatie) "een passend beschermingsniveau waarborgt" (artikel 45-1). 

De 2e^en De eerste alinea van artikel 45 somt de criteria op die overeenkomen met dit passende beschermingsniveau, waaronder de rechtsstaat, de eerbiediging van de mensenrechten en fundamentele vrijheden, wetgeving, het daadwerkelijk bestaan van een onafhankelijke toezichthoudende autoriteit, internationale verbintenissen, enz. Indien de toetsing van deze criteria tot de conclusie leidt dat de maatregel in overeenstemming is met de Europese regels, stelt de Commissie een "uitvoeringshandeling" vast, die ten minste om de vier jaar wordt herzien (art. 45-3). Verder wordt gespecificeerd dat de Commissie de ontwikkelingen in derde landen voortdurend volgt (art. 45-4).

Doorgifte is echter mogelijk, altijd zonder voorafgaande toestemming, naar een bestemming die niet het voorwerp is geweest van een uitvoeringshandeling. Artikel 46 bepaalt immers dat een verwerkingsverantwoordelijke of een verwerker gegevens mag doorgeven "indien hij passende waarborgen biedt en op voorwaarde dat de betrokkenen over afdwingbare rechten en doeltreffende rechtsmiddelen beschikken" (art. 46-1).

Deze passende garanties kunnen op verschillende manieren worden geboden, waarvan we er al enkele hebben genoemd:

•  Een juridisch bindend en afdwingbaar instrument tussen overheidsinstanties of -organen;
•  Bindende bedrijfsvoorschriften (voor groepen van ondernemingen worden de bepalingen van deze voorschriften, die door de toezichthoudende autoriteit moeten worden goedgekeurd, gespecificeerd in artikel 47);
• Standaardclausules die door de Commissie zijn goedgekeurd, hetzij rechtstreeks, hetzij via een toezichthoudende autoriteit;
•  Een gedragscode of certificeringsmechanisme ‘vergezeld van een bindende en afdwingbare toezegging van de verwerkingsverantwoordelijke of de verwerker in het derde land om passende waarborgen toe te passen’ (art. 46-2).

Passende waarborgen voor de doorgifte kunnen, ditmaal na toestemming van de toezichthoudende autoriteit, op twee andere manieren worden geboden:

– Een overeenkomst tussen de verwerkingsverantwoordelijke of de onderaannemer met hun tegenhangers in het derde land;

– “Bepalingen die moeten worden opgenomen in administratieve regelingen tussen overheidsinstanties of overheidsorganen” (art. 46-3).

Elke overdracht is daarom verboden buiten een uitvoeringshandeling die een passend beschermingsniveau of specifieke waarborgen garandeert. Uitzonderingen zijn echter voorzien voor specifieke situaties zoals vermeld in artikel 49. Een overdracht is met name mogelijk:

– Wanneer de betrokkene zijn uitdrukkelijke toestemming heeft gegeven na op de hoogte te zijn gesteld van de betrokken risico’s; 

– In het kader van de uitvoering van een overeenkomst tussen de betrokkene en de verwerkingsverantwoordelijke (of in diens belang met een andere natuurlijke of rechtspersoon);

– Wanneer de doorgifte in het algemeen belang is, verband houdt met de handhaving van wettelijke rechten of noodzakelijk is om de vitale belangen van de betrokkene te beschermen.

Deze talrijke bepalingen met betrekking tot de doorgiftemogelijkheden tonen aan dat de initiatiefnemers van de AVG de bescherming van persoonsgegevens willen garanderen zonder de activiteiten van bedrijven en overheden te belemmeren. Door in de overgrote meerderheid van de gevallen de voorafgaande toestemming af te schaffen, zetten ze in op de verantwoordelijkheid van de actoren, wier werk controleerbaar moet zijn, volgens het bekende verantwoordingsbeginsel.