Moet ik mijn datacenters verhuizen naar Europa?

Vrije transfers van persoonsgegevens binnen de Europese Economische Ruimte (EER).

Binnen de Europese Economische Ruimte, bestaande uit de Europese Unie, Noorwegen, Ijsland en Liechtenstein, kunnen persoonsgegevens in principe vrij circuleren. De hele Europese Unie hanteert immers hetzelfde hoge beschermingsniveau van de persoongegevens.

Dataransfers buiten de Europse Economische Ruimte?

Van zodra persoonsgegevens de EER verlaten, gelden er andere regels.  Persoonsgegevens kunnen de EER verlaten, bijvoorbeeld wanneer zij worden opgeslagen op servers in derde landen of worden bewaard door gelieerde ondernemingen in derde landen.

Adequaatheidsbesluiten.

Voor een aantal landen heeft de Europese Commissie bepaald of deze landen een passend beschermingsniveau hebben.  De Commissie nam hiertoe zgn. “adequaatheidsbesluiten” aan.  Zij heeft hiertoe de bevoegdheid op grond van art. 45 GDPR.  Tot op heden heeft de Europese Commissie adequaatheidsbesluiten genomen voor de volgende landen:

• Andorra
• Argentinië
• Canada
• Faeröer Eilanden
• Guernsey
• Israël
• Japan
• Het Eiland Man
• Jersey
• Nieuw Zeeland
• Uruguay
• Verenigd Koninkrijk
• VS (onder de vorm van "EU-US-privacy Shield")
• Zuid-Korea
• Zwitserland

Deze landen vormen de zogenaamde "witte lijst".

Momenteel voert de Commissie gesprekken met Japan en Zuid-Korea. Onder de GDPR zal de Europese Commissie deze adequaatheidsbesluiten periodiek herbekijken.  De adequaatheidsbesluiten van de Europese Commissie kunnen worden aangevochten voor het Europese Hof van Justitie.

Voor de landen waarvoor er een adequaatheidsbesluit bestaat, geldt dezelfde vrijheid als voor de doorgifte van gegevens binnen de EER.  Voor het bewaren van persoonsgegevens op servers in Amerika is er bijgevolg geen probleem, maar de VS heeft toch een bijzondere plaats mbt de privacyregelgeving: zij fungeren eigenlijk niet op de "witte lijst" van de Europese Commissie, omdat de Amerikaanse wettelijke privacybescherming niet afdoende is), maar de Amerikaanse bedrijven die zijn aangesloten op het "EU-US Privacy Shield" worden geacht onder hetzelfde regime te vallen als de "witte lijst".

Wat met landen zonder adequaatheidsbesluit?

Doorgifte van data aan derde landen die niet op de "witte lijst" van de adequaatheidsbesluiten staan, is in principe verboden, tenzij in deze gevallen:

1. U heeft passende waarborgen genomen (art. 46 GDPR).
2. U beroept zich op een uitzonderingsgrond bepaald in art. 49 GDPR.

Passende waarborgen (art. 46 GDPR).

Onder “passende waarborgen” wordt verstaan, wanneer u zelf bijkomende maatregelen neemt om contractueel de nodige bescherming van persoonsgegevens te waarborgen en de betrokkenen over afdwingbare rechten en rechtsmiddelen beschikken.

Deze passende waarborgen worden onderverdeeld in twee categorieën:

a. Passende waarborgen waarvoor geen toestemming van de Privacycommissie nodig is:

Het gaat dan om de volgende systemen:

• Bindende bedrijfsvoorschriften (BCRs) zoals voorzien in art. 47 GDPR;
• Standaard Contractsbepalingen (SCCs) vastgesteld of goedgekeurd door de Europese Commissie;
• Gedragscodes;
• Certificeringen.

b. Passende waarborgen waarvoor wél de toestemming van de Privacycommissie nodig is:

• Ad hoc (eigen) contractsbepalingen;
• Administratieve regelingen tussen overheidsinstanties.

Wettelijke uitzonderingen (art. 49 GDPR).

Zonder adequaatheidsbesluit of passende maatregelen, zal u toch persoonsgegevens naar een derde land kunnen doorsturen in de volgende uitzonderlijke situaties:

• Ondubbelzinnige toestemming;
• Noodzakelijk voor de uitvoering van de overeenkomst tussen betrokkene en verantwoordelijke;
• Noodzakelijk voor de uitvoering van de overeenkomst in het belang van de betrokkene;
• Zwaarwegend algemeen belang of verdediging van een recht in rechte;
• Vrijwaring vitaal belang;
• De doorgifte is verricht vanuit een openbaar register.