Transfer en verwerking van persoonsgegevens binnen de Verenigde Staten
Wekelijks krijgt het MOA Expertise Center vragen binnen van aangesloten partners. De aard van de vragen is zeer verschillend. Voor het beantwoorden van de vragen worden interne en externe experts ingeschakeld. Er zijn doorgaans geen kosten aan verbonden. Dit keer een vraag over 'Transfer en verwerking van persoonsgegevens binnen de Verenigde Staten'.
Vraag:
Mag je persoonsgegevens buiten de EU bewaren, bijvoorbeeld in de VS en andere landen buiten de EU. En zijn er speciale mogelijkheden om die persoonsgegevens toch buiten de EU te bewaren?
Antwoord:
De regeling is ingewikkeld, met name voor landen waar geen ‘adequaat niveau van bescherming van persoonsgegevens’ wordt geboden.
Data opslag is een vorm van verwerken van persoonsgegevens waar de AVG/GDPR op van toepassing is. Het is van belang om na te gaan in welk land de persoonsgegevens worden verwerkt.
Hieronder een overzicht van oplossingen afhankelijk van het land waar de persoonsgegevens naar worden overgebracht:
1 Worden persoonsgegevens verwerkt binnen de EU en EEA (Noorwegen, Liechtenstein en IJsland) dan is er sprake van een adequaat beschermingsniveau en leggen partijen (Verwerkingsverantwoordelijke en verwerker) hun afspraken vast in een verwerkersovereenkomst.
2 De EU kan landen veilig verklaren, die landen hebben dan een adequaat beschermingsniveau. Het gaat om een gelimiteerde lijst van landen. Deze treft je hier aan: Adequacy decisions (europa.eu). Landen met een adequaat beschermingsniveau zijn: Andorra, Argentina, Canada (commercial organisations), Faroe Islands, Guernsey, Israel, Isle of Man, Japan, Jersey, New Zealand, Republic of Korea, Switzerland , the United Kingdom under the GDPR and the LED, and Uruguay as providing adequate protection. Met een verwerker in een dergelijk land wordt een verwerkersovereenkomst gesloten.
3 Instrument dat kan worden gebruikt is BCR (Business Corporate Rules) waarin binnen een corporate als verwerkingsverantwoordelijk wordt vastgelegd hoe wordt omgegaan met persoonsgegevens door het gehele concern binnen en buiten Eu, adequaat niveau of niet. Dit is een langjarig project. Advies is om die weg niet in te gaan, een BCR moet worden goedgekeurd door alle Europese Autoriteiten Persoonsgegevens, dat kost veel tijd.
4 De Verenigde Staten hebben geen adequaat niveau van bescherming van persoonsgegevens door verregaande bevoegdheden van de overheid tot toegang tot databases. Hoe zit de regeling met de Verenigde Staten in elkaar. Onder safe harbor en EU/US Privacyshield was het voor heen voldoende dat een bedrijf zich daar registreerde. De rechter heeft echter zowel safe harbor en privacyshield als onvoldoende beoordeeld en geeft dus geen adequaat niveau van bescherming.
De huidige regeling naar landen zonder adequaat niveau van bescherming (dus VS maar ook andere landen die niet hierboven zijn genoemd) is de volgende:
Tussen partijen moet een standard clauses document van de Europese Commissie onveranderd worden vastgesteld. Er zijn vier verschillende versies maar die zijn erg ingewikkeld, door elkaar gevlochten in een besluit van de EU commissie, zie : Standard Contractual Clauses (SCC) (europa.eu). Een van deze versies zal tussen de Verwerkingsverantwoordelijk in de EU en in dit geval met de Verwerker in de Verenigde Staten dienen te worden gesloten (let op de juiste versie verwerker buiten EU en verwerkingsverantwoordelijke binnen EU). Dat is een deel van de oplossing. Verder zal de Verwerkingsverantwoordelijke in de EU een Data Transfer Impact Assessment (DTIA) moeten uitvoeren. Daarbij worden de privacy-risico’s van de lokale wetgeving en technische maatregelen onderzocht. Zonder een uitgevoerde risico- analyse in de vorm van een DTIA zal de verwerking nooit geldig zijn of in ieder geval niet in voldoende mate kunnen worden aangetoond dat er een adequaat niveau van bescherming is. Het SCC contract samen met de DTIA moeten dan een adequaat niveau van bescherming opleveren. Let op dat een conclusie kan zijn dat alleen anonieme (persoons)gegevens buiten de EU kunnen worden overgebracht.
Voor de VS is de keuze erg zwart wit:
A Of DTIA doen en SCC contract sluiten, waarbij het zeer de vraag is of de partner in de VS een SCC contract wil sluiten en of de DTIA een voldoende beschermingsniveau zal opleveren.
B Lukt dit niet dan is overbrenging van data naar de EU aan de orde. Immers het EU|US privacyshield kan door de Amerikaanse partner niet gehanteerd worden omdat het Europese Hof dat ongeldig heeft verklaard.