Werkgevers verwerken veel persoonsgegevens van werknemers. Denk bijvoorbeeld aan gegevens over de arbeidsovereenkomst, het salaris van de werknemer, ziekteverzuim, functioneren, etc. Deze gegevens worden doorgaans opgeslagen in een digitaal personeelsdossier. In sommige gevallen worden deze gegevens doorgegeven aan organisaties buiten de Europese Unie. Bijvoorbeeld omdat de werkgever gebruik maakt van een cloud service provider met een datacenter buiten de EU. Of omdat de werkgever onderdeel uitmaakt van een wereldwijd concern. Hoe verhoudt dit zich met de Algemene Verordening Gegevensbescherming (AVG) die per 25 mei 2018 van kracht is geworden? Waar moet u als werkgever rekening mee houden bij het doorgeven van gegevens over uw personeel aan organisaties buiten de EU?

In de AVG zijn regels opgenomen over het verwerken van persoonsgegevens. De AVG is een Europese verordening en is de opvolger van de Europese Privacyrichtlijn, die in 1995 was aangenomen en in Nederland was geïmplementeerd in onder meer de Wet bescherming persoonsgegevens (Wbp). De Privacyrichtlijn was bedoeld om de privacywetten in de verschillende EU-lidstaten te harmoniseren (met andere woorden: om de verschillen tussen lokale wetgeving weg te nemen) door de wetgeving over het verwerken van persoonsgegevens op Europees niveau te regelen. Omdat de Privacyrichtlijn was verouderd en omdat er nog steeds verschillen waren tussen de privacywetten van de verschillende EU-lidstaten heeft de Europese wetgever besloten een nieuwe wet in te voeren: de AVG. Hoewel de AVG op de meeste punten overeenkomt met de oude Privacyrichtlijn, zijn er ook enkele belangrijke verschillen. Zo kan de Autoriteit Persoonsgegevens (AP) – de toezichthoudende autoriteit in Nederland – op grond van de AVG veel hogere boetes dan opleggen dan voorheen.

Het doorgeven van persoonsgegevens aan andere (wel of niet EU-)organisaties is niet zonder meer toegestaan. Ten eerste moet de doorgifte verenigbaar zijn met het doel waarvoor de gegevens oorspronkelijk zijn verkregen (het beginsel van doelbinding).[1] Persoonsgegevens die zijn verwerkt in het kader van de personeelsadministratie mogen dus niet aan een andere partij worden verstrekt teneinde commerciële aanbiedingen te kunnen (laten) doen aan het personeel. Verder moet sprake zijn van een ‘wettelijke grondslag’ voor de doorgifte.[2] Daarvan kan sprake zijn als het doorgeven van de persoonsgegevens noodzakelijk is voor de uitvoering van de arbeidsovereenkomst (denk bijvoorbeeld aan het verstrekken van gegevens aan een externe salarisadministrateur). Daarnaast zal u als werkgever het personeel deugdelijk moeten informeren over het feit dat hun persoonsgegevens worden verstrekt aan derde partijen.[3] Dit gaat meestal via een aan het personeel verstrekte privacyverklaring.

Is aan de ‘standaard’-voorwaarden voor het rechtmatig kunnen verwerken van persoonsgegevens voldaan, dan mag u de verwerkte persoonsgegevens in beginsel doorgeven aan andere organisaties binnen de EU. Uitwisseling van persoonsgegevens binnen de EU is immers toegestaan. Met de AVG is beoogd – evenals met de Privacyrichtlijn – om het vrije verkeer van persoonsgegevens tussen de lidstaten te waarborgen.[4] Voor het doorgeven van persoonsgegevens aan organisaties buiten de EU gelden echter bijzondere regels. Wat zijn deze bijzondere regels?

Ten eerste kunnen persoonsgegevens worden doorgegeven aan niet-EU-lidstaten – zogenoemde ‘derde landen’ – als de Europese Commissie heeft besloten dat het betreffende land een passend beschermingsniveau biedt.[5] Zo’n besluit wordt in de AVG aangeduid als een adequaatheidsbesluit. In de AVG is omschreven hoe de Europese Commissie tot een dergelijk besluit kan komen en het adequaatheidsbesluit naderhand, indien nodig, kan intrekken, wijzigen of schorsen.[6]

Op dit moment heeft de Europese Commissie ten aanzien van slechts 12 derde landen een adequaatheidsbesluit genomen (zie de landenlijst). Een van de belangrijkste hiervan is de zogenoemde EU-US Privacy Shield beslissing, op grond waarvan persoonsgegevens mogen worden doorgegeven aan organisaties in de Verenigde Staten, mits deze organisaties zich hebben aangesloten bij het EU-US Privacy Shield. Welke organisaties hierbij zijn aangesloten, is te zien op de website van het Privacy Shield Framework.

Belangrijk te onthouden is dat landen die onderdeel vormen van de Europese Economische Ruimte (EER) maar geen lid zijn van de EU – op dit moment zijn dit Noorwegen, Liechtenstein en IJsland – niet worden beschouwd als ‘derde land’. Doorgifte van persoonsgegevens aan deze landen is in beginsel altijd toegestaan. Hiervoor is geen apart adequaatheidsbesluit vereist.

Is geen adequaatheidsbesluit genomen, dan kunnen persoonsgegevens alleen worden doorgegeven als de ontvangende organisatie passende waarborgen biedt en de betrokkenen (de personen van wie de gegevens worden doorgegeven) over afdwingbare rechten en doeltreffende rechtsmiddelen beschikken.[7] Aan deze vereisten kan op meerdere manieren worden voldaan. Een veel gekozen oplossing is om met de ontvangende organisatie in het derde land een overeenkomst te sluiten conform de door de Europese Commissie vastgestelde standaardcontractclausules (SCC’s).[8] De standaardcontractclausules zijn gepubliceerd op de website van de Europese Commissie.

Houd er rekening mee dat u de juiste standaardcontractclausules hanteert. De Europese Commissie heeft twee versies vastgesteld voor de situatie waarin u als verwerkingsverantwoordelijke persoonsgegevens verstrekt aan een andere organisatie buiten de EU die eveneens verwerkingsverantwoordelijke is ten aanzien van de persoonsgegevens. Denk bijvoorbeeld aan de situatie waarin een werkgever persoonsgegevens verstrekt aan een externe bedrijfsrechercheur om een onderzoek te verrichten binnen het bedrijf. De Europese Commissie heeft daarnaast een versie vastgesteld voor de situatie waarin u persoonsgegevens verstrekt aan een verwerker, bijvoorbeeld een clouddienstverlener die gegevens voor u opslaat. Zie de website van de Europese Commissie voor een duidelijke uitleg over het verschil tussen een verwerkingsverantwoordelijke en een verwerker.

De Europese Commissie heeft op dit moment nog geen standaardcontractclausules vastgesteld voor de situatie waarin een verwerker persoonsgegevens doorgeeft aan een subverwerker. De Artikel 29-werkgroep heeft hiervoor in haar advies uit 2014 wel een voorstel gedaan, maar de Europese Commissie heeft hierover (nog) geen officieel besluit genomen.

Passende waarborgen kunnen ook op andere manieren worden geboden, bijvoorbeeld door middel van implementatie van bindende bedrijfsvoorschriften (als persoonsgegevens worden uitgewisseld binnen een internationaal concern), aansluiting bij een door de AP of de Europese Commissie goedgekeurde gedragscode of door verkrijging van een certificaat van een officieel erkend certificeringsorgaan.[9]

Is geen adequaatheidsbesluit genomen en biedt de ontvangende organisatie evenmin passende waarborgen, zoals hiervoor beschreven, dan kunnen persoonsgegevens alleen in enkele uitzonderingssituaties worden doorgegeven aan derde landen. Bijvoorbeeld als de betrokkene uitdrukkelijk heeft ingestemd met de doorgifte en is gewezen op de risico’s die hiermee gepaard gaan.[10] Doorgifte kan ook gerechtvaardigd zijn als het voor de uitvoering van een overeenkomst met de betrokkene vereist is om persoonsgegevens door te geven aan een derde land.[11] Dat kan het geval zijn als in het kader van een overeenkomst een betaling plaatsvindt, welke betaling in het bancaire verkeer via een niet steeds te voorzien aantal landen verloopt.

Is ook geen van deze uitzonderingssituaties van toepassing, dan kunnen persoonsgegevens alleen worden doorgegeven als a) dit incidenteel is, b) een beperkt aantal betrokkenen treft, c) de belangen van de organisatie die de persoonsgegevens doorgeeft zwaarder wegen dan de belangen van de betrokkenen, en d) er tot slot passende waarborgen zijn getroffen om de privacy van de betrokkenen te garanderen. Let op dat u zowel de AP als de betrokkenen hierover moet informeren.

Uit een nieuwsbericht van de AP eind juni blijkt dat een groot deel (18%) van de sinds 25 mei 2018 bij de AP ingediende klachten betrekking heeft op het verstrekken van gegevens aan derden. Als werkgever is het belangrijk u hiervan goed bewust te zijn, te meer daar personeelsdossiers vaak gevoelige informatie bevatten. Hoewel de regels over het doorgeven van persoonsgegevens aan derde landen grotendeels overeenkomen met de regels hierover in de (inmiddels vervallen) Wbp, blijft het belangrijk om goed in kaart te brengen of uw organisatie voldoet aan deze (aangepaste) vereisten. Wij zijn u hierbij graag van dienst.