Internationale gegevensoverdrachten onder de GDPR zijn altijd in de schaduw gebleven van twee historische arresten van het Hof van Justitie van de EU: Schrems I (2015), dat het Safe Harbor-kader nietig verklaarde, en Schrems II (2020), dat het EU-VS Privacy Shield nietig verklaarde en strenge voorwaarden oplegde aan het gebruik van Standaard Contractuele Clausules voor overdrachten naar landen met surveillancewetten die strijdig zijn met de EU-normen voor fundamentele rechten.
Het fundamentele probleem dat Schrems II heeft geïdentificeerd, is niet verdwenen: overdrachten van persoonsgegevens naar landen waarvan de overheidsinstanties over brede surveillancebevoegdheden beschikken, zonder effectief juridisch verhaal voor EU-betrokkenen, zijn vermoedelijk onverenigbaar met de GDPR-vereisten voor overdrachten. De beschikbare mechanismen — adequaatheidsbeslissingen, Standaard Contractuele Clausules met aanvullende maatregelen, Bindende Bedrijfsregels — moeten elk worden beoordeeld in het licht van de juridische realiteit van het bestemmingsland.
De belangrijkste ontwikkeling in internationale overdrachten na Schrems II was de vaststelling van de adequaatheidsbeslissing inzake het EU-VS Data Privacy Framework (DPF) door de Europese Commissie in juli 2023. Het DPF verving het nietig verklaarde Privacy Shield en biedt een adequaatheidsgrondslag voor overdrachten naar Amerikaanse organisaties die zich zelfcertificeren onder het DPF-kader, beheerd door het Amerikaanse Ministerie van Handel.
Het DPF adresseert het tekort aan fundamentele rechten dat in Schrems II werd geïdentificeerd via Executive Order 14086, dat nieuwe waarborgen instelt voor toegang van de Amerikaanse inlichtingengemeenschap tot EU-gegevens en een Data Protection Review Court opricht als verhaalmechanisme voor EU-betrokkenen. Of deze maatregelen de bezwaren van het HvJEU afdoende adresseren blijft een open vraag. Verwerkingsverantwoordelijken die op het DPF vertrouwen, dienen de juridische status ervan te monitoren en alternatieve overdrachtsmechanismen achter de hand te houden.
Voor overdrachten naar landen zonder adequaatheidsbeslissing blijven Standaard Contractuele Clausules (SCC's) het primaire overdrachtsmechanisme. De Europese Commissie publiceerde in juni 2021 bijgewerkte SCC's die de oude sets vervingen en nieuwe clausules toevoegden voor verwerker-naar-verwerker- en verwerker-naar-verwerkingsverantwoordelijke-overdrachten.
SCC's zijn na Schrems II geen zelfstandige nalevingsoplossing. Verwerkingsverantwoordelijken dienen een Transfer Impact Assessment (TIA) te verrichten voor het gebruik van SCC's voor overdrachten naar derde landen. De TIA beoordeelt of de wetten en praktijken van het bestemmingsland de gegevensimporteur toestaan te voldoen aan de verplichtingen van de SCC's. Wanneer de TIA een lacune identificeert, dient de verwerkingsverantwoordelijke aanvullende technische, contractuele of organisatorische maatregelen te implementeren om de lacune te dichten, of dient de overdracht op te schorten.
Bindende Bedrijfsregels (BCR's) zijn goedgekeurde gedragscodes voor intragroepsoverdrachten, goedgekeurd door een leidende gegevensbeschermingsautoriteit in de EU. Zij bieden een robuust maar administratief veeleisend overdrachtsmechanisme voor multinationale groepen. De GDPR voorziet ook in derogaties voor specifieke situaties — expliciete toestemming, uitvoering van een overeenkomst, rechtsvorderingen, vitale belangen, algemeen belang — maar deze zijn bedoeld als uitzonderingen voor specifieke overdrachten en niet als structurele grondslag voor reguliere internationale datastromen.
Voor Amerikaanse leveranciers die zich onder het DPF hebben zelfgecertificeerd, bestaat er nu een adequaatheidsbeslissing en zijn SCC's niet vereist voor de overdracht zelf. Het DPF dekt echter alleen gegevensoverdrachten naar gecertificeerde Amerikaanse organisaties: overdrachten naar Amerikaanse entiteiten die zich niet hebben zelfgecertificeerd, vereisen nog steeds SCC's of een ander overdrachtsmechanisme. Verwerkingsverantwoordelijken dienen de DPF-certificeringsstatus voor elke Amerikaanse leverancier te verifiëren voor zij op adequaatheid vertrouwen.
Een TIA is een gedocumenteerde analyse van de vraag of de wetten en praktijken van het derde land waarnaar gegevens worden overgedragen de ontvanger toestaan te voldoen aan zijn verplichtingen onder het gebruikte overdrachtsmechanisme. Het is vereist wanneer SCC's worden gebruikt als overdrachtsmechanisme voor een overdracht naar een derde land zonder adequaatstatus. De TIA dient landspecifiek en importeurspecifiek te zijn. Toezichthoudende autoriteiten hebben richtsnoeren en tools gepubliceerd ter ondersteuning van TIA-voorbereiding.
Ja, dezelfde mechanismen — adequaatheidsbeslissingen, SCC's met TIA, BCR's — zijn van toepassing op bijzondere categorieën persoonsgegevens. De vereisten van de GDPR voor de verwerking van bijzondere categorieën gegevens gelden echter ongeacht of de gegevens internationaal worden overgedragen: een rechtsgrond onder artikel 9 is vereist voor zowel de oorspronkelijke verwerking als de overdracht. Voor overdrachten van gezondheidsgegevens, biometrische gegevens of andere gevoelige categorieën naar niet-adequate landen, is de combinatie van een TIA en aanvullende technische maatregelen de gangbare nalevingsaanpak.
%402x.svg){kind=small}
%402x.svg){kind=icon}
%402x.svg){kind=icon}
