privacywetgeving: wat als u data doorstuurt buiten de EU?

De nieuwe GDPR-regels gelden niet alleen voor Europese bedrijven, maar zijn van toepassing voor alle bedrijven of organisaties buiten de EU die klantengegevens van Europese burgers gebruiken. Europese bedrijven die persoonsgegevens buiten de Europese Unie doorsturen, moet aan bijzondere regels voldoen. Dus ook als uw bedrijf gegevens deelt met niet-Europese bedrijven binnen of buiten de groep of holding.

Ook niet-Europese bedrijven moeten afdoende bescherming garanderen.

Grosso modo zijn er drie situaties mogelijk als u gegevens doorstuurt naar bedrijven buiten de Europese Unie.

  1. Het land van bestemming biedt afdoende bescherming
    Geeft uw bedrijf persoonsgegevens door aan bedrijven in landen met een passend beschermingsniveau – denk aan het USA ‘Privacy Shield’ – dan moet het niets ondernemen.
  1. Het land van bestemming biedt onvoldoende bescherming
    Geeft u data door naar bedrijven (buiten de eigen groep) in een ‘onbeschermd’ land, dan moet u met elk bedrijf in dat land passende waarborgen vastleggen.
    Zo kunt u een modelovereenkomst afsluiten. Maakt dat bedrijf deel uit van uw internationale groep, dan moet u beschermingsregels vastleggen die bindend zijn voor alle gegevenstransacties binnen de hele groep, de zgn. ‘binding corporate rules’.
  1. Uitzonderingen 
    Zonder modelovereenkomst is de gegevensdoorgifte naar derde landen uitzonderlijk toegestaan. Bijvoorbeeld om een vliegticket te reserveren of om een internationale betaling te doen via bank of creditcard.

Goed om weten: een bedrijf buiten de Europese Unie dat goederen of diensten levert aan Europese burgers moet ook voldoen aan de nieuwe Europese regels voor de verwerking van persoonsgegevens. Dus ook Amerikaanse of Chinese webwinkels die aan Belgen verkopen.

Een niet EU-bedrijf dat handelt met Europese burgers moet ook aan de GDPR-regels voldoen.

Lees ook de vijf andere artikels in onze reeks over de strengere Europese privacywet.

1. het doel en toepassing van de strengere privacyregels

2. ik verwerk persoonsgegevens, wat zijn mijn verplichtingen?

3. moet ik een data protection officer aanstellen?

4. beheer(s) uw dataleveranciers en -verwerkers

5. hoge boetes bij gegevenslek of privacyinbreuk


disclaimer
Randstad vindt het als grootste human resources-dienstverlener van het land belangrijk om op deze blog arbeidsmarktgerelateerde onderwerpen vanuit verschillende invalshoeken aan bod te laten komen. Dit wil niet zeggen dat we automatisch de standpunten onderschrijven van de specialisten die in onze publicaties het woord nemen.