Doorgifte buiten de EU met passende bescherming

Iedere verantwoordelijke voor de verwerking die persoonsgegevens buiten de Europese Unie wenst over te zenden, moet er zich eerst van vergewissen dat het land van bestemming een passend beschermingsniveau biedt. Indien het beschermingsniveau van het land van bestemming als passend beschouwd kan worden, kan de overzending gebeuren alsof het ging om een overzending binnen de Europese Unie.

Niettemin moeten altijd de algemene beginselen van de Privacywet (onder meer wettigheid, verenigbaarheid van de mededeling van de gegevens aan een derde met de oorspronkelijke verwerking, kennisgeving aan de betrokkenen) gerespecteerd worden.

De beoordeling van het passend karakter van het beschermingsniveau van landen buiten de Europese Unie gebeurt onder meer op basis van de algemene en sectorale wetgeving van het betrokken land en van de beroepsregels.

 

Krachtens artikel 21, § 2 van de Privacywet heeft de Koning de bevoegdheid om te bepalen voor welke categorieën van verwerkingen van persoonsgegevens en in welke omstandigheden de doorgifte van persoonsgegevens aan derde landen buiten de EU niet is toegestaan. De Koning heeft van deze mogelijkheid nog geen gebruik gemaakt. Uit de evolutie van de beslissingen van de Europese Commissie en de lidstaten kan echter worden afgeleid dat niet de derde landen noch bepaalde verwerkingen zonder passend beschermingsniveau worden geïdentificeerd ("zwarte lijst"), maar net die die wel degelijk zulke passende bescherming bieden ("witte lijst").

Welke landen bieden een passende beschermingsniveau?

De Europese Commissie heeft reeds het passend beschermingsniveau van de volgende landen erkend: Zwitserland, Canada (voor verwerkingen onderworpen aan de Canadese "Personal Information Protection and Electronic Documentation Act"), Andorra, Argentinië, de Verenigde Staten (voor bedrijven gecertificeerd door het EU-VS-schild betreffende de bescherming van persoonsgegevens of het "Privacy Shield"), Guernesey, het eiland Man, de Faeröereilanden, Jersey, Israël, Nieuw-Zeeland en Uruguay. De Europese Unie heeft ook internationale bilaterale overeekomsten ondertekend door het verzenden van gegevens over vliegtuigpassagiers (PNR) met Australië, Canada en de Verenigde Staten. Er werd ook een EU-VS-overeenkomst gesloten voor het gebruik van de financiële gegevens van SWIFT ten behoeve van de strijd tegen het terrorisme (Data and Terrorist Finance Tracking Programme - TFTP).

Meer specifiek, voor wat betreft de overdracht van gegevens voor commerciële doeleinden naar de Verenigde Staten, bracht de Europese Commissie op 26 juli 2000 haar beslissing uit betreffende de Safe Harbor beginselen. Maar op  6 oktober 2015 vernietigde Het Hof van Justitie van de Europese Unie evenwel deze beslissing met het arrest Schrems. De ondernemingen kunnen dus voor de juridische omkadering van hun gegevensdoorgiftes naar de Verenigde Staten niet langer uitsluitend naar die beslissing verwijzen. De beslissing werd echter vervangen door een nieuw adequaatheidsbesluit over het "Privacy Shield". Het "Privacy Shield" is operationeel sinds 1 augustus 2016.

Voor alle bijkomende informatie of voor de laatste bijwerkingen van de lijst met landen die een passend beschermingsniveau bieden, wordt ten stelligste aangeraden de website van de Europese Commissie te raadplegen.