Doorgifte van persoonsgegevens naar China

David Mulder
David Mulder Advocaat

In een recente zaak bij het Hof van Justitie van de Europese Unie (Schrems / Ierse Data Protection Commissioner), oordeelde het Hof dat de doorgifte van persoonsgegevens naar de Verenigde Staten op grond van het zogenaamde Safe Harbour-regime niet langer rechtmatig is. De regeling sloot namelijk niet uit dat Amerikaanse autoriteiten, zoals de NSA, onbeperkt toegang konden krijgen tot de inhoud van elektronische communicatie.

Volgens het Hof moet dit worden beschouwd als een aantasting van het grondrecht op eerbiediging van het privéleven, gewaarborgd door de grondrechten van de Europese Unie. Ook bleek Safe Harbour niet te voorzien in een regeling om beroep aan te tekenen bij een Amerikaanse rechter, indien iemands recht op eerbiediging van het privéleven was geschonden. Dat laatste zorgde ervoor dat Safe Harbour ook in strijd was met het recht op een fair trial.

Beschermingsniveau China onvoldoende

In de Europese Privacyrichtlijn is bepaald dat de doorgifte van persoonsgegevens naar landen buiten de EU slechts is toegestaan indien dat land een passend beschermingsniveau biedt. De Europese Commissie heeft de bevoegdheid om vast te stellen of dat het geval is. Hoewel het beschermingsniveau in bijvoorbeeld de VS niet passend werd geacht, heeft de Europese Commissie op 26 juli 2000 besloten dat doorgifte van persoonsgegevens naar organisaties in de VS wel is toegestaan als organisaties zich verbonden aan de Safe Harbour Privacy Principles. Hiermee verbonden ondernemingen zich vrijwillig aan bepaalde waarborgen ter bescherming van persoonsgegevens.

Met het ongeldig verklaren van deze Safe Harbour Privacy Principles is men in de VS weer terug bij af: het beschermingsniveau is onvoldoende. Dat geldt momenteel ook voor de situatie in China. Natuurlijk kan niet van elk land buiten de EU kan worden verlangd dat het hetzelfde beschermingsniveau biedt als de EU. Maar wel moeten tenminste de grondrechten en de fundamentele vrijheden, zoals neergelegd in het Handvest van de EU, worden gewaarborgd.

Dit betekent dat doorgifte van persoonsgegevens in dat geval aan nadere voorwaarden is onderworpen. Omdat het beschermingsniveau in China niet passend is, mogen persoonsgegevens niet zonder meer aan organisaties in China worden doorgegeven, ook niet als het bijvoorbeeld gaat om een Nederlandse vestiging van een organisatie in China. Dit zijn extra voorwaarden die naast de (strikte) voorwaarden gelden, die van toepassing zijn op de verwerking van persoonsgegevens.

Wat zijn de mogelijkheden?

Er zijn momenteel drie mogelijkheden op grond waarvan persoonsgegevens vanuit de EU aan organisaties in China mogen worden doorgegeven. De meest voor de hand liggende is dat degene op wie de persoonsgegevens betrekking hebben, daarvoor (uitdrukkelijke) toestemming geeft. Die toestemming is echter niet nodig als de doorgifte noodzakelijk is voor de uitvoering van een overeenkomst met de betrokkene, of als doorgifte noodzakelijk of wettelijk verplicht is vanwege een zwaarwegend algemeen belang of ter verdediging van een recht.

Een tweede mogelijkheid is door gebruik te maken van zogenaamde modelcontracten. De bepalingen van deze modelcontracten streven ernaar te waarborgen dat de verwerker de persoonsgegevens in een derde land, zoals China, voldoende vertrouwelijk behandelt.

Een derde mogelijkheid is door gebruik te maken van zogenaamde binding corporate rules. Op grond van de binding corporate rules verplicht een organisatie met vestigingen in meerdere landen (waaronder vestigingen buiten de EU) zich om binnen de gehele organisatie vertrouwelijk om te gaan met uit de EU afkomstige persoonsgegevens. Een organisatie mag persoonsgegevens op grond van de binding corporate rules verwerken, nadat het daarvoor toestemming heeft gekregen bij een van de nationale privacywaakhonden in de EU. Voor Nederland is dat het CBP (vanaf 1 januari 2016: Autoriteit Persoonsgegevens).

Zorg er dus voor dat de doorgifte van persoonsgegevens steeds goed is geregeld en zie erop toe dat ingeschakelde bewerkers (zoals cloud service providers) ook aan hun verplichtingen voldoen. Met de zaak Schrems zou zomaar wel eens een trend kunnen ontstaan waardoor meer klachten over de doorgifte van persoonsgegevens zullen volgen. Mede omdat de Autoriteit Persoonsgegevens vanaf 1 januari 2016 bevoegd zal zijn om (hoge) boetes op te leggen, is het zaak dat organisaties hier bovenop zitten.

Lees hier de blog.