Versiegeschiedenis

guidelines wisselwerking toepassing artikel 3 en hoofdstuk V AVG

European Data Protection Board

Nov 21, 2025 edpb-guidelines-wisselwerking-toepassing-artikel-3-en-hoofdstuk-v-avg

Content

Richtsnoeren 05/2021 over de wisselwerking tussen de toepassing van artikel 3 en de bepalingen inzake internationale doorgiften overeenkomstig hoofdstuk V van de AVG

Versie 2.0

Vastgesteld op 14 februari 2023

Translations proofread by EDPB Members.

This language version has not yet been proofread.

Versiegeschiedenis

Versie 2.0	14.2.2023	Vaststelling van de richtsnoeren na openbare raadpleging
Versie 1.0	18.11.2021	Vaststelling van de richtsnoeren vóór openbare raadpleging

SAMENVATTING

De AVG bevat geen juridische definitie van het begrip 'doorgifte van persoonsgegevens aan een derde land of aan een internationale organisatie'. Daarom verstrekt de EDPB deze richtsnoeren om te verduidelijken op welke scenario's de voorschriften van hoofdstuk V volgens hem moeten worden toegepast en heeft hij daartoe drie cumulatieve criteria vastgesteld waaraan een verwerkingsactiviteit moet voldoen om als een doorgifte te worden aangemerkt:

1. Een verwerkingsverantwoordelijke of een verwerker ('exporteur') valt voor de bepaalde verwerkingsactiviteit onder de AVG.
1. Persoonsgegevens die het voorwerp van deze verwerking zijn, worden door de exporteur door middel van doorzending verstrekt of op andere wijze ter beschikking gesteld aan een andere verwerkingsverantwoordelijke, gezamenlijke verwerkingsverantwoordelijke of verwerker ('importeur').
1. De importeur bevindt zich in een derde land (ongeacht of deze importeur al dan niet voor de bepaalde verwerkingsactiviteit overeenkomstig artikel 3 onder de AVG valt) of is een internationale organisatie.

Indien aan deze drie door de EDPB vastgestelde criteria is voldaan, is er sprake van een doorgifte en is hoofdstuk V van de AVG van toepassing. Dit betekent dat de doorgifte alleen kan plaatsvinden onder bepaalde voorwaarden, zoals in het kader van een adequaatheidsbesluit van de Europese Commissie (artikel 45) of door het bieden van passende waarborgen (artikel 46). De bepalingen van hoofdstuk V zijn erop gericht ervoor te zorgen dat persoonsgegevens na doorgifte aan een derde land of aan een internationale organisatie beschermd blijven.

Indien daarentegen niet aan de drie criteria wordt voldaan, is er geen sprake van doorgifte en is hoofdstuk V van de AVG niet van toepassing. In dit verband is het echter belangrijk eraan te herinneren dat de verwerkingsverantwoordelijke niettemin aan de andere bepalingen van de AVG moet voldoen en volledig verantwoordelijk blijft voor zijn verwerkingsactiviteiten, ongeacht waar deze plaatsvinden. Hoewel een bepaalde doorzending van gegevens mogelijk niet als een doorgifte in de zin van hoofdstuk V kan worden aangemerkt, kan een dergelijke verwerking immers met verhoogde risico's gepaard gaan omdat zij buiten de EU plaatsvindt, bijvoorbeeld vanwege strijdige nationale wetgeving of onevenredige overheidstoegang in het derde land. Deze risico's moeten in overweging worden genomen bij het nemen van maatregelen op grond van onder meer artikel 5 ('Beginselen inzake verwerking van persoonsgegevens'), artikel 24 ('Verantwoordelijkheid van de verwerkingsverantwoordelijke ') en artikel 32 ('Beveiliging van de verwerking') - om ervoor te zorgen dat een dergelijke verwerkingsactiviteit rechtmatig is overeenkomstig de AVG.

Deze richtsnoeren omvatten diverse voorbeelden van gegevensstromen naar derde landen, welke voorbeelden in een bijlage zijn geïllustreerd om nadere praktische richtsnoeren te geven.

Inhoudsopgave

Samenvatting........................................................................................................................3	Samenvatting........................................................................................................................3
1 Inleiding	........................................................................................................................5
2	Criteria voor de aanmerking van een verwerkingsactiviteit alseen doorgifte van persoonsgegevens aan een derde land of aan een internationale organisatie .................................7
2.1	Een verwerkingsverantwoordelijke of een verwerker('exporteur')valt voor de bepaalde verwerkingsactiviteit onder de AVG......................................................................................8
2.2 door	Persoonsgegevens die het voorwerp van deze verwerking zijn, worden door de exporteur middel van doorzending verstrekt of op andere wijze ter beschikking gesteld aaneen andere verwerkingsverantwoordelijke, gezamenlijke verwerkingsverantwoordelijke of verwerker ('importeur').....................................................................................................................8
2.3 Deimporteur bevindt zich in een derde land (ongeacht of deze importeur al dan niet voor de bepaalde verwerkingsactiviteit overeenkomstig artikel3 onder de AVG valt)of is een internationale organisatie..................................................................................................13	2.3 Deimporteur bevindt zich in een derde land (ongeacht of deze importeur al dan niet voor de bepaalde verwerkingsactiviteit overeenkomstig artikel3 onder de AVG valt)of is een internationale organisatie..................................................................................................13
3 Gevolgen	als er een doorgifte van persoonsgegevens plaatsvindt.........................................15
4 Waarborgendie moeten worden geboden wanneerpersoonsgegevens buiten de EER worden verwerkt, maar er geen doorgifte plaatsvindt...........................................................................17	4 Waarborgendie moeten worden geboden wanneerpersoonsgegevens buiten de EER worden verwerkt, maar er geen doorgifte plaatsvindt...........................................................................17

Het Europees Comité voor gegevensbescherming (hierna 'de EDPB' - European Data Protection Board - genoemd)

Gezien artikel 70, lid 1, punt e), van Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (hierna de 'AVG' of 'verordening' genoemd),

Gezien de EER-overeenkomst en in het bijzonder bijlage XI en protocol 37 bij die overeenkomst, als gewijzigd bij Besluit nr. 154/2018 van het Gemengd Comité van de EER van 6 juli 2018, 1

Gezien de artikelen 12 en 22 van zijn reglement van orde,

HEEFT DE VOLGENDE RICHTSNOEREN VASTGESTELD:

1 INLEIDING

Volgens artikel 44 van de AVG 2 zijn de voorwaarden van hoofdstuk V van de AVG van toepassing op 'persoonsgegevens die worden verwerkt of die zijn bestemd om na doorgifte aan een derde land of aan een internationale organisatie te worden verwerkt' 3 . Het overkoepelende doel van hoofdstuk V is om ervoor te zorgen dat het door de AVG gewaarborgde beschermingsniveau niet wordt ondermijnd wanneer persoonsgegevens worden doorgegeven 'aan derde landen of aan internationale organisaties' 4 .
De bepalingen van hoofdstuk V zijn er dus op gericht om ervoor te zorgen dat persoonsgegevens na doorgifte aan een derde land of aan een internationale organisatie beschermd blijven. Wanneer persoonsgegevens in de EU worden verwerkt, worden zij niet alleen beschermd door de regels van de AVG, maar ook door andere regels, zowel op EU-niveau als op het niveau van de lidstaten, welke regels in overeenstemming moeten zijn met de AVG (inclusief mogelijke afwijkingen daarin) en uiteindelijk ook met het Handvest van de grondrechten van de Europese Unie. Wanneer persoonsgegevens worden doorgezonden naar of beschikbaar worden gesteld aan entiteiten buiten het grondgebied van de EU of aan internationale organisaties, is het niveau van bescherming van de rechten en vrijheden

2 'Persoonsgegevens die worden verwerkt of die zijn bestemd om na doorgifte aan een derde land of aan een i nternationale organisatie te worden verwerkt, mogen slechts worden doorgegeven indien, onverminderd de overige bepalingen van deze verordening, de verwerkingsverantwoordelijke en verwerker aan de in dit hoofdstuk neergelegde voorwaarden hebben voldaan; dit geldt ook voor verdere doorgiften van persoonsgegevens vanuit het derde land of een internationale organisatie aan een ander derde land of een andere internationale organisatie.'

3 'internationale organisatie': een organisatie en de daaronder vallende internationaalpubliekrechtelijke organen of andere organen die zijn opgericht bij of op grond van een overeenkomst tussen twee of meer landen. 4 Behalve door overweging 101 wordt dit met name benadrukt door de tweede zin van artikel 44, die luidt: 'Alle bepalingen van dit hoofdstuk worden toegepast opdat het door deze verordening voor natuurlijke personen

gewaarborgde beschermingsniveau niet wordt ondermijnd.'

van personen waarschijnlijk niet in wezen gelijkwaardig aan het niveau dat door het overkoepelende rechtskader binnen de Unie wordt geboden.

De continuïteit van de bescherming kan op verschillende manieren worden gewaarborgd, bijvoorbeeld door het rechtskader van een derde land of een internationale organisatie ten gunste waarvan de Europese Commissie een adequaatheidsbesluit heeft genomen (artikel 45), of door een instrument tussen de exporteur en importeur van de gegevens, dat passende waarborgen biedt (artikel 46) 5 . Wanneer er een beroep wordt gedaan op een van de in artikel 46, AVG genoemde doorgifteinstrumenten, moet worden beoordeeld of dit een beschermingsniveau van de doorgegeven gegevens waarborgt dat in wezen gelijkwaardig is aan het niveau dat binnen de EU wordt gewaarborgd, of dat er aanvullende maatregelen moeten worden genomen 6 .
Wanneer een verwerkingsverantwoordelijke of een verwerker gegevens doorgeeft aan een importeur in een derde land waarvan de verwerking onder artikel 3, lid 2, AVG valt, kan de door de AVG geboden bescherming eveneens worden ondermijnd door het rechtskader dat op de importeur van toepassing is. Dit kan bijvoorbeeld het geval zijn wanneer het derde land regels inzake de toegang van de overheid tot persoonsgegevens heeft die verder gaan dan wat in een democratische samenleving noodzakelijk en evenredig is (ter waarborging van een van de belangrijke doelstellingen die ook in het recht van de Unie of van de lidstaten worden erkend, zoals de doelstellingen die in artikel 23, lid 1, AVG worden genoemd). De bepalingen in hoofdstuk V zijn er om dit risico te compenseren en het in artikel 3 omschreven territoriale toepassingsgebied van de AVG aan te vullen.
In de volgende afdelingen wordt deze wisselwerking tussen artikel 3 en de bepalingen van de AVG inzake internationale doorgiften in hoofdstuk V verduidelijkt. Het doel is de verwerkingsverantwoordelijken en verwerkers te helpen vaststellen of een verwerkingsactiviteit een doorgifte aan een derde land of een internationale organisatie vormt en of zij dus moeten voldoen aan de bepalingen van hoofdstuk V van de AVG. Deze verduidelijking is ook van belang voor een eenduidige interpretatie en toepassing van de AVG door de toezichthoudende autoriteiten.
Zoals in afdeling 4 nader wordt toegelicht, mag in geen geval uit het oog worden verloren dat, hoewel een bepaalde gegevensstroom die onder artikel 3 valt, niet altijd een doorgifte krachtens hoofdstuk V vormt, de verwerking van gegevens buiten de EU toch gepaard kan gaan met verhoogde risico's waarvoor waarborgen moeten worden overwogen. Ongeacht of de verwerking al dan niet in de EU plaatsvindt, moeten verwerkingsverantwoordelijken en verwerkers die voor een bepaalde verwerking onder de AVG vallen, altijd voldoen aan alle toepasselijke bepalingen van de AVG, zoals de verplichting op grond van artikel 32 om technische en organisatorische maatregelen te treffen waarbij onder meer rekening wordt gehouden met de risico's van de verwerking.

5 Wanneer de continuïteit van de bescherming niet door het gebruikte doorgifte-instrument kan worden gewaarborgd, bijvoorbeeld wanneer een adequaatheidsbesluit op grond van artikel 45 wordt ingetrokken, een

certificeringsmechanisme op grond van artikel 46, lid 2, punt f), niet langer geldig is of vastgestelde aanvullende maatregelen niet/niet langer doeltreffend zijn, moeten er maatregelen worden genomen om te voorkomen dat

het beschermingsniveau wordt ondermijnd en om ervoor te zorgen dat de verwerking in kwestie rechtmatig is, bv. door invoering van een ander doorgifte-instrument en/of doeltreffende aanvullende maatregelen.

2 CRITERIA VOOR DE AANMERKING VAN EEN VERWERKINGSACTIVITEIT ALS EEN DOORGIFTE VAN PERSOONSGEGEVENS AAN EEN DERDE LAND OF AAN EEN INTERNATIONALE ORGANISATIE

De AVG bevat geen juridische definitie van het begrip 'doorgifte van persoonsgegevens aan een derde land of aan een internationale organisatie' 7 en de toepasselijke rechtspraak is beperkt 8 . Het ontbreken van een definitie van doorgifte in de AVG leidt tot rechtsonzekerheid over het precieze toepassingsgebied van de uit hoofdstuk V voortvloeiende verplichtingen en de wisselwerking tussen artikel 3 en hoofdstuk V. Het is dus van essentieel belang dit begrip te verduidelijken.
Aangezien de EDPB overeenkomstig artikel 70, lid 1, punt b), AVG tot taak heeft de Europese Commissie te adviseren over alle aangelegenheden in verband met de bescherming van persoonsgegevens in de Unie, met inbegrip van alle aspecten van de verordening die volgens de EDPB nadere verduidelijking behoeven, verzoekt de EDPB de Europese Commissie in het kader van het verslag over de evaluatie en herziening van de AVG overeenkomstig artikel 97 bijzondere aandacht aan deze kwestie te besteden.
Aangezien artikel 70, lid 1, punt e), AVG de EDPB opdraagt richtsnoeren, aanbevelingen en beste praktijken uit te vaardigen om te bevorderen dat deze verordening consequent wordt toegepast, verstrekt de EDPB deze richtsnoeren om te verduidelijken op welke scenario's de voorschriften van hoofdstuk V volgens hem moeten worden toegepast. Daartoe heeft hij de volgende drie cumulatieve criteria vastgesteld voor de aanmerking van een verwerkingsactiviteit als een doorgifte:

1. Een verwerkingsverantwoordelijke of een verwerker ('exporteur') valt voor de bepaalde verwerkingsactiviteit onder de AVG.
1. Persoonsgegevens die het voorwerp van deze verwerking zijn, worden door de exporteur door middel van doorzending verstrekt of op andere wijze ter beschikking gesteld aan een andere verwerkingsverantwoordelijke, gezamenlijke verwerkingsverantwoordelijke of verwerker ('importeur').
1. De importeur bevindt zich in een derde land (ongeacht of deze importeur al dan niet voor de bepaalde verwerkingsactiviteit overeenkomstig artikel 3 onder de AVG valt) of is een internationale organisatie.

In dit verband is het belangrijk eraan te herinneren dat, overeenkomstig artikel 3, altijd moet worden beoordeeld of de AVG al dan niet van toepassing is met betrekking tot een bepaalde verwerkingsactiviteit en niet met betrekking tot een specifieke entiteit (bv. een onderneming) 9 .
De EDPB herinnert er tevens aan dat de toepassing van de AVG geen afbreuk doet aan de bepalingen van internationaal recht, zoals de bepalingen die betrekking hebben op de voorrechten en

7 Artikel 44, eerste zin.

immuniteiten van diplomatieke missies en consulaire posten buiten de EU, alsmede van internationale organisaties (ongeacht waar deze zich bevinden) 10 .

2.1 Een verwerkingsverantwoordelijke of een verwerker ('exporteur') valt voor de bepaalde verwerkingsactiviteit onder de AVG

Het eerste criterium vereist dat de betrokken verwerking voldoet aan de vereisten van artikel 3, AVG, d.w.z. dat een verwerkingsverantwoordelijke of verwerker voor de bepaalde verwerkingsactiviteit onder de AVG valt. Dit is nader toegelicht in de Richtsnoeren 3/2018 van de EDPB over het territoriale toepassingsgebied van de AVG (artikel 3).
Hierbij moet worden opgemerkt dat verwerkingsverantwoordelijken en verwerkers die niet in de EU zijn gevestigd, voor een bepaalde verwerking op grond van artikel 3, lid 2, onder de AVG kunnen vallen en dus aan hoofdstuk V moeten voldoen wanneer zij persoonsgegevens doorgeven aan een verwerkingsverantwoordelijke of verwerker in hetzelfde land of in een ander derde land dan wel aan een internationale organisatie, met dien verstande dat de verplichtingen op grond van de AVG niet verschillend zijn voor in de EU gevestigde verwerkingsverantwoordelijken/verwerkers en verwerkingsverantwoordelijken/verwerkers buiten de EU van wie de verwerking onder artikel 3, lid 2, valt.
Ook kan worden opgemerkt dat de AVG, met inbegrip van hoofdstuk V, van toepassing is op de verwerking van persoonsgegevens door ambassades en consulaten van EU-lidstaten die buiten de EU zijn gevestigd, aangezien die verwerking op grond van artikel 3, lid 3, onder het toepassingsgebied van de AVG valt 11 .
2.2 Persoonsgegevens die het voorwerp van deze verwerking zijn, worden door de exporteur door middel van doorzending verstrekt of op andere wijze ter beschikking gesteld aan een andere verwerkingsverantwoordelijke, gezamenlijke verwerkingsverantwoordelijke of verwerker ('importeur')
Het tweede criterium vereist dat de exporteur de gegevens door middel van doorzending verstrekt of op andere wijze ter beschikking stelt aan een andere verwerkingsverantwoordelijke of verwerker. De begrippen verwerkingsverantwoordelijke en verwerker zijn in de Richtsnoeren 07/2020 van de EDPB nader verduidelijkt. Hierbij mag niet uit het oog worden verloren dat de begrippen verwerkingsverantwoordelijke, gezamenlijke verwerkingsverantwoordelijke en verwerker functionele begrippen zijn in die zin dat zij zijn bedoeld om de verantwoordelijkheden toe te wijzen volgens de daadwerkelijke rol van de partijen, en autonome begrippen in die zin dat zij hoofdzakelijk overeenkomstig de EU-wetgeving inzake gegevensbescherming moeten worden geïnterpreteerd. Er is een analyse per geval van de betrokken verwerking en van de rol van de betrokken actoren noodzakelijk 12 .
Enkele voorbeelden van manieren waarop persoonsgegevens 'ter beschikking kunnen worden gesteld' zijn het aanmaken van een account, het verlenen van toegangsrechten tot een bestaand account, het 'bevestigen'/'aanvaarden' van een doeltreffend verzoek voor toegang op afstand, het inbouwen van een harde schijf of het verstrekken van een wachtwoord voor een bestand. Hierbij mag

10 Zie voetnoot 9, blz. 23.

11 Zie voetnoot 9, blz. 22.

'verwerker' in de AVG.

niet uit het oog worden verloren dat toegang op afstand vanuit een derde land (zelfs indien dit alleen gebeurt door middel van weergave van persoonsgegevens op een scherm, bijvoorbeeld in ondersteuningssituaties, voor probleemoplossing of voor administratieve doeleinden) en/of opslag in een door een dienstverlener aangeboden cloud buiten de EER ook als een doorgifte wordt beschouwd indien aan de drie in punt 9 genoemde criteria wordt voldaan 13 .

Omgekeerd is hoofdstuk V niet van toepassing op 'interne verwerking', d.w.z. wanneer gegevens niet door middel van doorzending worden verstrekt of op andere wijze ter beschikking worden gesteld aan een andere verwerkingsverantwoordelijke of verwerker, ook wanneer die verwerking buiten de EU plaatsvindt 14 . In dit geval blijft de verwerkingsverantwoordelijke of verwerker verantwoordelijk voor de verwerking, evenals voor de naleving van alle toepasselijke bepalingen en waarborgen van de AVG die rechtstreeks van toepassing zijn (zie ook afdeling 4 hieronder); zo kunnen toezichthoudende autoriteiten in de EER de AVG tegen deze entiteiten handhaven en betrokkenen verhaal halen in geval van schending van hun rechten.
Bovendien kan dit tweede criterium niet als vervuld worden beschouwd wanneer er geen verwerkingsverantwoordelijke of verwerker is die de gegevens aan een andere verwerkingsverantwoordelijke of verwerker doorzendt of ter beschikking stelt (d.w.z. geen 'exporteur'), zoals wanneer de gegevens rechtstreeks door de betrokkene 15 aan de ontvanger worden verstrekt.

Voorbeeld 1: Een verwerkingsverantwoordelijke in een derde land verzamelt gegevens rechtstreeks van een betrokkene in de EU (overeenkomstig artikel 3, lid 2, AVG)

14 Dit blijkt ook uit de benadering van artikel 46, AVG, dat verwijst naar contractuele/bilaterale instrumenten over de doorgifte die tussen verschillende als verwerkingsverantwoordelijken of verwerkers optredende entiteiten worden gesloten.

15 De betrokkene kan niet als verwerkingsverantwoordelijke of verwerker worden beschouwd. Dit volgt uit artikel 4, l i d 10, AVG, waarin een onderscheid wordt gemaakt tussen de verwerkingsverantwoordelijke/verwerker en de betrokkene. Een betrokkene die eigen persoonsgegevens doorgeeft, kan dus niet als een 'exporteur' worden beschouwd. Dit laat onverlet dat een natuurlijke persoon een verwerkingsverantwoordelijke/verwerker overeenkomstig artikel 4, leden 7 en 8, AVG kan zijn (bv. als een zelfstandige). Dit beperkt echter niet de bescherming die als verwerkingsverantwoordelijke/verwerker optredende natuurlijke personen genieten met betrekking tot hun eigen persoonsgegevens. Daarnaast is het belangrijk eraan te herinneren dat wanneer de verwerking van persoonsgegevens wordt uitgevoerd 'door een natuurlijke persoon bij de uitoefening van een zuiver persoonlijke of huishoudelijke activiteit', deze verwerking overeenkomstig artikel 2, lid 2, punt c), buiten het materiële toepassingsgebied van de AVG valt. Ten slotte moet worden opgemerkt dat persoonsgegevens die via cookies worden verstrekt, niet worden beschouwd als persoonsgegevens die rechtstreeks door de betrokkene worden verstrekt, maar als een doorzending door de exploitant van de website die door de betrokkene wordt bezocht.

derde land de AVG moeten toepassen, aangezien de verwerkingsactiviteiten onder artikel 3, lid 2, vallen 16 .

Voorbeeld 2: Een verwerkingsverantwoordelijke in een derde land verzamelt gegevens rechtstreeks van een betrokkene in de EU (overeenkomstig artikel 3, lid 2, AVG) en gebruikt voor sommige verwerkingsactiviteiten een verwerker buiten de EU

De in Italië woonachtige Maria voert haar voornaam, achternaam en postadres in op een formulier op een onlinekledingwebsite om haar bestelling af te ronden en de online aangeschafte jurk in haar woonplaats Rome bezorgd te krijgen. De onlinekledingwebsite wordt geëxploiteerd door een onderneming uit een derde land, die niet in de EU aanwezig is, maar zich specifiek op de EU-markt richt. Voor de verwerking van de via de website ontvangen bestellingen heeft de onderneming uit het derde land een verwerker buiten de EER ingeschakeld. In dit geval geeft de betrokkene (Maria) haar persoonsgegevens door aan de onderneming in het derde land en dit vormt geen doorgifte van persoonsgegevens aangezien de gegevens rechtstreeks door de verwerkingsverantwoordelijke worden verzameld, overeenkomstig artikel 3, lid 2, AVG. De verwerkingsverantwoordelijke zal dus op de verwerking van deze persoonsgegevens de AVG moeten toepassen. Voor zover de onderneming uit het derde land een verwerker buiten de EER inschakelt, zou een dergelijke verstrekking van de onderneming aan haar verwerker buiten de EER neerkomen op een doorgifte, en zal zij artikel 28 en de verplichtingen van hoofdstuk V moeten toepassen om ervoor te zorgen dat het door de AVG geboden beschermingsniveau niet wordt ondermijnd wanneer gegevens namens de onderneming door de verwerker buiten de EER worden verwerkt 17 .

Voorbeeld 3: Een verwerkingsverantwoordelijke in een derde land ontvangt gegevens rechtstreeks van een betrokkene in de EU (maar niet overeenkomstig artikel 3, lid 2, AVG) en gebruikt voor sommige verwerkingsactiviteiten een verwerker buiten de EU

De in Italië woonachtige Maria besluit een hotelkamer in New York te boeken via een formulier op de website van het hotel. De persoonsgegevens worden rechtstreeks verzameld door het hotel, dat zich niet op personen in de EER richt, en hen evenmin controleert. In dit geval vindt er geen doorgifte plaats, aangezien de gegevens rechtstreeks door de betrokkene worden verstrekt en rechtstreeks door de verwerkingsverantwoordelijke worden verzameld. Aangezien het hotel geen gerichte of controlerende activiteiten op personen in de EER uitvoert, is de AVG niet van toepassing, ook niet op verwerkingsactiviteiten die namens het hotel door verwerkers buiten de EER worden uitgevoerd.

Voorbeeld 4: Een platform in de EER verzamelt gegevens en zendt deze door naar een verwerkingsverantwoordelijke in een derde land

De in Italië woonachtige Maria boekt een hotelkamer in New York via een onlinereisbureau in de EER. De persoonsgegevens van Maria, die nodig zijn voor het boeken van de hotelkamer, worden door het onlinereisbureau in de EER als verwerkingsverantwoordelijke verzameld en doorgezonden naar het hotel dat de gegevens als afzonderlijke verwerkingsverantwoordelijke ontvangt. Bij het doorgeven van de persoonsgegevens aan het hotel in het derde land verricht het reisbureau in de EER een doorgifte van persoonsgegevens en is hoofdstuk V van de AVG van toepassing.

Voorbeeld 5: Een verwerkingsverantwoordelijke in de EU zendt gegevens naar een verwerker in een derde land

De in Oostenrijk gevestigde onderneming X verstrekt als verwerkingsverantwoordelijke persoonsgegevens van haar werknemers of klanten aan onderneming Z in een derde land, die deze gegevens als verwerker namens onderneming X verwerkt. In dit geval worden gegevens door een verwerkingsverantwoordelijke, die met betrekking tot de verwerking in kwestie onder de AVG valt, verstrekt aan een verwerker in een derde land. De gegevensverstrekking dient daarom als een doorgifte van persoonsgegevens aan een derde land te worden beschouwd, zodat hoofdstuk V van de AVG van toepassing is.

Hierbij moet worden opgemerkt dat artikel 44 van de AVG duidelijk bepaalt dat een doorgifte niet alleen door een verwerkingsverantwoordelijke maar ook door een verwerker kan worden verricht. Er is dus ook sprake van een doorgiftesituatie wanneer een verwerker (op grond van artikel 3, lid 1, of artikel 3, lid 2, voor een bepaalde verwerking, zoals hierboven uiteengezet) in opdracht van zijn verwerkingsverantwoordelijke gegevens naar een andere verwerker of zelfs naar een verwerkingsverantwoordelijke in een derde land zendt 18 . In die gevallen treedt de verwerker namens de verwerkingsverantwoordelijke op als gegevensexporteur en moet hij ervoor zorgen dat de bepalingen van hoofdstuk V bij de doorgifte in kwestie volgens de instructies van de verwerkingsverantwoordelijke worden nageleefd, met inbegrip van het gebruik van een geschikt doorgifte-instrument. Aangezien de doorgifte een verwerkingsactiviteit is die namens de verwerkingsverantwoordelijke wordt uitgevoerd, is de verwerkingsverantwoordelijke ook verantwoordelijk en mogelijk aansprakelijk op grond van hoofdstuk V, en moet hij er ook voor zorgen dat de verwerker voldoende waarborgen overeenkomstig artikel 28 biedt.

Voorbeeld 6: Een verwerker in de EU zendt gegevens terug naar zijn verwerkingsverantwoordelijke in een derde land

XYZ Inc., een verwerkingsverantwoordelijke zonder vestiging in de EU, zendt persoonsgegevens van werknemers/klanten, allemaal betrokkenen die niet in de EU zijn gevestigd, naar verwerker ABC Ltd. voor verwerking in de EU, namens XYZ. ABC zendt de gegevens weer naar XYZ. De verwerking door verwerker ABC valt onder de AVG voor verwerkerspecifieke verplichtingen op grond van artikel 3, lid 1, aangezien ABC in de EU gevestigd is. Aangezien XYZ een verwerkingsverantwoordelijke in een derde

land is, wordt de verstrekking van gegevens van ABC aan XYZ beschouwd als een doorgifte van persoonsgegevens en is hoofdstuk V dus van toepassing.

Voorbeeld 7: Een verwerker in de EU zendt gegevens naar een subverwerker in een derde land

De in Duitsland gevestigde onderneming A, die optreedt als verwerkingsverantwoordelijke, heeft de Franse onderneming B ingeschakeld om namens haar als verwerker op te treden. B wil een deel van de verwerkingsactiviteiten die zij namens A uitvoert, verder delegeren aan subverwerker C, een onderneming in een derde land, en dus gegevens naar C zenden. De verwerkingsactiviteiten van zowel A als van haar verwerker B worden uitgevoerd in hun vestigingen in de EU en vallen dus op grond van artikel 3, lid 1, onder de AVG, omdat de verwerking door C in een derde land wordt uitgevoerd. Het doorgeven van gegevens van verwerker B aan subverwerker C is dus een doorgifte aan een derde land, waarop hoofdstuk V van de AVG van toepassing is.

Zoals hierboven in punt 17 is vermeld, impliceert het tweede criterium dat het begrip 'doorgifte van persoonsgegevens aan een derde land of een internationale organisatie' alleen van toepassing is op verstrekkingen van persoonsgegevens waarbij twee verschillende (afzonderlijke) partijen (elk een verwerkingsverantwoordelijke, gezamenlijke verwerkingsverantwoordelijke of verwerker) betrokken zijn. Om van een doorgifte te kunnen spreken moeten er een verwerkingsverantwoordelijke of verwerker zijn die de gegevens verstrekt (de exporteur) en een andere verwerkingsverantwoordelijke of verwerker die de gegevens ontvangt of er toegang toe wordt gegeven (de importeur).

Voorbeeld 8: Een werknemer van een verwerkingsverantwoordelijke in de EU maakt een zakenreis naar een derde land

George, werknemer van de in Polen gevestigde onderneming A, reist voor een vergadering naar een derde land en neemt zijn laptop mee. Tijdens zijn verblijf in het buitenland zet George zijn computer aan en opent hij op afstand persoonsgegevens in de databanken van zijn onderneming om een memo af te werken. Bij het meenemen van de laptop en het verkrijgen van toegang op afstand tot persoonsgegevens vanuit een derde land, is geen sprake van een doorgifte van persoonsgegevens, aangezien George geen andere verwerkingsverantwoordelijke is, maar een werknemer, en dus een integraal onderdeel van de verwerkingsverantwoordelijke (A) 19 . De doorzending wordt dus binnen dezelfde verwerkingsverantwoordelijke (A) uitgevoerd. De verwerking, waaronder de toegang op afstand en de door George na verkrijging van toegang uitgevoerde verwerkingsactiviteiten, worden uitgevoerd door de Poolse onderneming, d.w.z. een in de Unie gevestigde verwerkingsverantwoordelijke die onder artikel 3, lid 1, AVG valt. Hierbij kan echter worden opgemerkt dat, indien George, in zijn hoedanigheid van werknemer van A, gegevens aan een andere verwerkingsverantwoordelijke of verwerker in het derde land zou zenden of ter beschikking zou stellen, de betrokken gegevensstroom zou neerkomen op een doorgifte overeenkomstig hoofdstuk V; van de exporteur (A) in de EU naar die importeur in het derde land.

Voorts wordt eraan herinnerd dat entiteiten die deel uitmaken van dezelfde ondernemingsgroep, mogelijk toch als afzonderlijke verwerkingsverantwoordelijken of verwerkers kunnen worden aangemerkt. In dat geval kan de verstrekking van gegevens tussen entiteiten die tot dezelfde

ondernemingsgroep behoren (intragroep-gegevensverstrekkingen) dus een doorgifte van persoonsgegevens vormen 20 .

Voorbeeld 9: Een dochteronderneming (verwerkingsverantwoordelijke) in de EU deelt gegevens met haar moederonderneming (verwerker) in een derde land

De Ierse onderneming X, een dochteronderneming van moederonderneming Y in een derde land, verstrekt onderneming Y persoonsgegevens van haar werknemers, die door de moederonderneming in het derde land in een gecentraliseerde HR-databank worden opgeslagen. In dit geval verwerkt (en verstrekt) de Ierse onderneming X de gegevens in haar hoedanigheid van werkgever en dus als verwerkingsverantwoordelijke, terwijl de moederonderneming een verwerker is. Onderneming X valt voor deze verwerking overeenkomstig artikel 3, lid 1, onder de AVG, en onderneming Y bevindt zich in een derde land. De verstrekking geldt dus als een doorgifte naar een derde land in de zin van hoofdstuk V van de AVG.

2.3 De importeur bevindt zich in een derde land (ongeacht of deze importeur al dan niet voor de bepaalde verwerkingsactiviteit overeenkomstig artikel 3 onder de AVG valt) of is een internationale organisatie

Het derde criterium vereist dat de importeur zich geografisch in een derde land bevindt (ongeacht of de betrokken verwerking onder het toepassingsgebied van de AVG valt) of een internationale organisatie is.
De EDPB benadrukt dat dit criterium ervoor moet zorgen dat het door de AVG gewaarborgde beschermingsniveau voor natuurlijke personen niet wordt ondermijnd wanneer persoonsgegevens niet langer binnen het rechtskader van de EER worden verwerkt (zie in dit verband de laatste zin van artikel 44 en overweging 101, AVG). Dit kan gebeuren omdat de AVG niet van toepassing is op de importeur voor de bepaalde verwerkingsactiviteit of omdat de persoonsgegevens, zelfs als de bepaalde verwerkingsactiviteit onder de AVG valt 21 , worden verwerkt door een importeur die buiten de EER is gevestigd en dus onder andere (conflicterende) rechtskaders kan vallen, bijvoorbeeld wat betreft eventuele onevenredige overheidstoegang tot persoonsgegevens. In dit verband zijn eventuele moeilijkheden bij het afdwingen van naleving van de AVG en het halen van verhaal bij buiten de EER gevestigde entiteiten dan ook relevante overwegingen.

21 Zoals hierboven is opgemerkt, is de vraag of de betreffende verwerking voldoet aan de vereisten van artikel 3, AVG, dat wil zeggen dat de importeur voor de bepaalde verwerkingsactiviteit onder de AVG valt, nader uitgewerkt in de Richtsnoeren 3/2018 van de EDPB over het territoriale toepassingsgebied van de AVG (artikel 3).

Voorbeeld 10: Een verwerker in de EU zendt gegevens terug naar zijn verwerkingsverantwoordelijke in een derde land

Onderneming A, een verwerkingsverantwoordelijke zonder vestiging in de EU, biedt goederen en diensten aan op de EU-markt. De Franse onderneming B verwerkt persoonsgegevens namens onderneming A. B zendt de gegevens weer terug naar A. De verwerking door verwerker B valt onder de AVG voor verwerkerspecifieke verplichtingen op grond van artikel 3, lid 1, aangezien zij plaatsvindt in het kader van de activiteiten van zijn vestiging in de EU. De verwerking door A valt ook onder de AVG, aangezien artikel 3, lid 2, van toepassing is op A. Aangezien A zich echter in een derde land bevindt, wordt de verstrekking van gegevens door B aan A beschouwd als een doorgifte naar een derde land en is hoofdstuk V dus van toepassing.

Voorbeeld 11: Toegang op afstand tot gegevens in de EU door een verwerker uit een derde land die optreedt namens verwerkingsverantwoordelijken in de EU

Een onderneming in een derde land (onderneming Z), zonder vestiging in de EU, biedt ondernemingen in de EU diensten als verwerker aan. Onderneming Z, die als verwerker namens verwerkingsverantwoordelijken in de EU optreedt, heeft, bijvoorbeeld voor ondersteuningsdoeleinden, toegang op afstand tot gegevens die in de EU zijn opgeslagen. Aangezien onderneming Z in een derde land is gevestigd, leidt deze toegang op afstand tot doorgiften van gegevens van de verwerkingsverantwoordelijken in de EU aan hun verwerker (onderneming Z) in een derde land overeenkomstig hoofdstuk V.

Een andere vermeldenswaardige situatie in dit verband is wanneer een verwerkingsverantwoordelijke in de EU gebruikmaakt van een verwerker in de EU die onder de wetgeving van een derde land valt en de mogelijkheid bestaat dat de verwerker verzoeken om overheidstoegang ontvangt en er dus een doorgifte van persoonsgegevens plaatsvindt als de verwerker gevolg geeft aan een dergelijk verzoek. In een dergelijke situatie mag niet worden vergeten dat volgens artikel 28, lid 1, en overweging 81 van de AVG de verwerkingsverantwoordelijken uitsluitend een beroep mogen doen op verwerkers die afdoende waarborgen bieden dat er technische en organisatorische maatregelen worden genomen die voldoen aan de voorschriften van de AVG. In dit verband verwijst de AVG niet alleen naar deskundigheid en middelen, maar ook naar betrouwbaarheid, welke betrouwbaarheid in twijfel kan worden getrokken indien de verwerker onder de wetgeving van een derde land valt, die hem kan beletten zijn verplichtingen als verwerker na te komen. De vraag of de verwerker voldoende waarborgen biedt, heeft ook betrekking op de rechtmatigheid van de verwerking en de eerbiediging van het beginsel van integriteit en vertrouwelijkheid waarvoor de verwerkingsverantwoordelijke op grond van artikel 5, lid 2, AVG verantwoordelijk is 22 .

Voorbeeld 12: Een verwerkingsverantwoordelijke in de EU gebruikt een verwerker in de EU die onder de wetgeving van een derde land valt

De als verwerkingsverantwoordelijke optredende Deense onderneming X schakelt de in de EU gevestigde onderneming Y in om namens haar als verwerker op te treden. Onderneming Y is een dochteronderneming van moederonderneming Z uit een derde land. Onderneming Y verwerkt de gegevens van onderneming X uitsluitend in de EU en niemand buiten de EU, waaronder moederonderneming Z, heeft toegang tot de gegevens. Bovendien volgt uit het contract tussen onderneming X en onderneming Y dat onderneming Y de persoonsgegevens uitsluitend zal verwerken in overeenstemming met gedocumenteerde instructies van onderneming X, tenzij door het EU-recht of het recht van een lidstaat dat op Y van toepassing is, anderszins wordt vereist. Onderneming Y valt echter onder wetgeving met extraterritoriale werking van een derde land, wat in dit geval betekent dat onderneming Y verzoeken om toegang van autoriteiten uit het derde land kan ontvangen. Aangezien onderneming Y zich niet in een derde land bevindt (maar een EU-onderneming is die onder artikel 3, lid 1, AVG valt), komt de verstrekking van gegevens door de verwerkingsverantwoordelijke onderneming X aan de verwerker onderneming Y niet neer op een doorgifte en is hoofdstuk V van de AVG niet van toepassing. Zoals vermeld, bestaat echter de mogelijkheid dat onderneming Y verzoeken om toegang ontvangt van autoriteiten uit het derde land en indien onderneming Y aan een dergelijk verzoek voldoet, zou deze verstrekking van gegevens worden beschouwd als een doorgifte krachtens hoofdstuk V. Wanneer onderneming Y in strijd met de instructies van de verwerkingsverantwoordelijke en dus met artikel 28, AVG aan een verzoek voldoet, wordt onderneming Y ten aanzien van die verwerking krachtens artikel 28, lid 10, AVG als een onafhankelijke verwerkingsverantwoordelijke beschouwd. In deze situatie moet verwerkingsverantwoordelijke onderneming X, alvorens de verwerker in te schakelen, deze omstandigheden beoordelen om ervoor te zorgen dat zij, zoals artikel 28, AVG voorschrijft, alleen verwerkers inschakelt die voldoende waarborgen bieden voor de uitvoering van passende technische en organisatorische maatregelen, zodat de verwerking plaatsvindt in overeenstemming met de AVG, met inbegrip van hoofdstuk V, en om te zorgen voor een overeenkomst of rechtshandeling waarin de verwerking door de verwerker wordt geregeld.

3 GEVOLGEN ALS ER EEN DOORGIFTE VAN PERSOONSGEGEVENS PLAATSVINDT

Indien aan alle door de EDPB vastgestelde criteria is voldaan, is er sprake van een 'doorgifte aan een derde land of een internationale organisatie'. Een doorgifte houdt dus in dat persoonsgegevens door een verwerkingsverantwoordelijke of verwerker (exporteur) die met betrekking tot de bepaalde verwerkingsactiviteit krachtens artikel 3 onder de AVG valt, worden verzonden of beschikbaar gesteld aan een andere verwerkingsverantwoordelijke of verwerker (importeur) in een derde land, ongeacht of deze importeur met betrekking tot de bepaalde verwerkingsactiviteit onder de AVG valt, of aan een internationale organisatie.
Dat betekent dat de exporteur moet voldoen aan de voorwaarden van hoofdstuk V en bij de doorgifte gebruik moet maken van een van de instrumenten die de persoonsgegevens beogen te beschermen nadat deze zijn doorgegeven aan een derde land of een internationale organisatie.
Deze instrumenten omvatten onder meer een door de Europese Commissie vastgesteld adequaatheidsbesluit waarbij het bestaan wordt erkend van een passend beschermingsniveau in het derde land of bij de internationale organisatie waaraan de gegevens worden doorgegeven (artikel 45)

of, indien een dergelijk passend beschermingsniveau ontbreekt, de uitvoering door de exporteur (verwerkingsverantwoordelijke of verwerker) van passende waarborgen als bedoeld in artikel 46 23 . Bovendien kunnen volgens artikel 49 persoonsgegevens in specifieke situaties en onder bepaalde voorwaarden aan een derde land of een internationale organisatie worden doorgegeven zonder dat er sprake is van een passend beschermingsniveau of de uitvoering van passende waarborgen 24 .

De belangrijkste typen doorgifte-instrumenten die in artikel 46 zijn opgesomd, zijn:

standaardcontractbepalingen;
bindende bedrijfsvoorschriften;
gedragscodes 25 ;
certificeringsmechanismen 26 ;
ad-hoc-contractbepalingen;
internationale overeenkomsten/administratieve regelingen 27 .

De inhoud van de waarborgen waarin de doorgifte-instrumenten voorzien, moet worden afgestemd op de situatie. De waarborgen die een verwerker voor een doorgifte van persoonsgegevens moet bieden zijn niet gelijk aan de waarborgen die een verwerkingsverantwoordelijke voor een doorgifte moet bieden 28 . Evenzo moet worden opgemerkt dat voor een doorgifte van persoonsgegevens aan een verwerkingsverantwoordelijke of verwerker in een derde land, die reeds voor de bepaalde verwerkingsactiviteit onder de AVG valt, de AVG al in haar geheel van toepassing is. Daarom moet voor een dergelijk scenario bij de ontwikkeling van de desbetreffende doorgifte-instrumenten op grond van artikel 46, namelijk standaardcontractbepalingen 29 of ad-hoc-contractbepalingen 30 , rekening worden

25 De EDPB heeft de Richtsnoeren 04/2021 voor gedragscodes als instrumenten voor doorgifte vastgesteld.

27 De EDPB heeft de Richtsnoeren 2/2020 betreffende artikel 46, lid 2, punt a), en lid 3, punt b), van Verordening 2016/679 i nzake doorgiften van persoonsgegevens tussen overheidsinstanties en overheidsorganen binnen en buiten de EER vastgesteld.

gehouden met de situatie van artikel 3, teneinde de AVG-verplichtingen niet te dupliceren, maar veeleer de elementen aan te pakken die specifiek verband houden met de risico's die samenhangen met het feit dat de importeur in een derde land is gevestigd, bijvoorbeeld om mogelijke conflicterende nationale wetten en overheidstoegang in het derde land aan te pakken, evenals de moeilijkheid om de naleving af te dwingen en verhaal te halen bij een entiteit buiten de EU. Die instrumenten moeten bijvoorbeeld betrekking hebben op de maatregelen die moeten worden genomen in geval van wetsconflicten tussen de wetgeving van derde landen en de AVG, evenals in geval van verzoeken van derde landen om doorgifte van gegevens. De EDPB stimuleert en is bereid mee te werken aan de ontwikkeling van een doorgifte-instrument, zoals een nieuwe reeks standaardcontractbepalingen overeenkomstig artikel 46, lid 2, punt c), in gevallen waarin de importeur voor de bepaalde verwerkingsactiviteit onder de AVG valt. De EDPB neemt er nota van dat de Europese Commissie heeft aangegeven dat zij bezig is met de ontwikkeling van een aanvullende reeks standaardcontractbepalingen voor dit scenario, waarin rekening zal worden gehouden met de voorschriften die reeds rechtstreeks van toepassing zijn op deze verwerkingsverantwoordelijken en verwerkers op grond van de AVG 31 .

Indien daarentegen niet aan de door de EDPB vastgestelde criteria wordt voldaan, is er geen sprake van doorgifte en is hoofdstuk V van de AVG niet van toepassing.

4 WAARBORGEN DIE MOETEN WORDEN GEBODEN WANNEER PERSOONSGEGEVENS BUITEN DE EER WORDEN VERWERKT, MAAR ER GEEN DOORGIFTE PLAATSVINDT

In het licht van de hierboven vastgestelde criteria moet, indien dezelfde verwerkingsverantwoordelijke of verwerker gegevens buiten de EU verwerkt zonder deze aan een andere verwerkingsverantwoordelijke of verwerker te verstrekken (bv. wanneer een werknemer van een verwerkingsverantwoordelijke uit de EU naar het buitenland reist en toegang tot de gegevens van die verwerkingsverantwoordelijke heeft terwijl hij zich in een derde land bevindt, of in geval van rechtstreekse verzameling bij personen in de EU overeenkomstig artikel 3, lid 2, AVG), de verwerkingsactiviteit niet worden beschouwd als een doorgifte overeenkomstig hoofdstuk V van de AVG. In dit verband mag evenwel niet uit het oog worden verloren dat de verwerkingsverantwoordelijke aan de AVG moet voldoen en volledig verantwoordelijk blijft voor zijn verwerkingsactiviteiten, ongeacht waar deze plaatsvinden. Dit betekent ook dat de verwerkingsverantwoordelijke of verwerker bijzondere aandacht moet besteden aan de rechtskaders van het derde land, die gevolgen kunnen hebben voor zijn vermogen om de AVG na te leven. Hoewel een bepaalde doorzending van gegevens mogelijk niet kan worden aangemerkt als een doorgifte naar een derde land in de zin van hoofdstuk V van de AVG, met inbegrip van het in voorbeeld 8 beschreven scenario, kan een dergelijke verwerking immers met verhoogde risico's gepaard blijven gaan omdat zij buiten de EU plaatsvindt, bijvoorbeeld vanwege strijdige nationale wetgeving of onevenredige overheidstoegang in een derde land. Deze risico's moeten worden overwogen bij het nemen van maatregelen om de naleving van de AVG te waarborgen, onder meer op grond van artikel 5

aantonen van naleving van de AVG met betrekking tot verwerkingsactiviteiten die op grond van artikel 3 onder de AVG vallen. Als zodanig kan met de naleving van beide soorten instrumenten rekening worden gehouden wanneer persoonsgegevens worden doorgegeven aan een verwerkingsverantwoordelijke of een verwerker in een derde land die onder de AVG valt.

('Beginselen inzake verwerking van persoonsgegevens'), artikel 24 ('Verantwoordelijkheid van de verwerkingsverantwoordelijke'), artikel 32 ('Beveiliging van de verwerking'), artikel 33 ('Melding van een inbreuk in verband met persoonsgegevens'), artikel 35 ('Gegevensbeschermingseffectbeoordeling'), artikel 48 ('Niet bij Unierecht toegestane doorgiften of verstrekkingen') enz.

Op grond van zijn verplichting om verantwoordelijkheid te nemen voor de naleving van de gegevensbeschermingsbeginselen en deze naleving te kunnen aantonen (artikel 5) en om technische en organisatorische maatregelen te treffen waarbij onder meer rekening wordt gehouden met de risico's van de verwerking overeenkomstig artikel 32 van de AVG, kan een verwerkingsverantwoordelijke heel goed tot de conclusie komen dat uitgebreide beveiligingsmaatregelen nodig zijn - of zelfs dat het niet rechtmatig zou zijn - om een specifieke verwerking in een derde land uit te voeren of voort te zetten, hoewel er geen sprake is van een doorgiftesituatie. Zodra in een doorgiftesituatie geen in wezen gelijkwaardig beschermingsniveau kan worden gewaarborgd, eist het HvJ-EU uiteindelijk dat de doorgifte wordt opgeschort of stopgezet 32 . In dit verband richt het Hof zich hoofdzakelijk op de risico's die een specifieke verwerkingsactiviteit meebrengt vanwege de grensoverschrijdende dimensie ervan. Deze vereisten zijn ook van belang bij de beoordeling van situaties waaraan soortgelijke risico's verbonden zijn (hoewel ze niet als doorgiften worden beschouwd) 33 , bv. in verband met onevenredige overheidstoegang door autoriteiten van derde landen. Een verwerkingsverantwoordelijke kan bijvoorbeeld tot het besluit komen dat werknemers hun laptop enz. niet naar bepaalde derde landen mogen meenemen. In dit verband moet, zoals hierboven is vermeld, worden benadrukt dat zodra de gegevens door middel van doorzending worden verstrekt of op andere wijze ter beschikking worden gesteld aan een andere verwerkingsverantwoordelijke of verwerker (die ook een overheidsinstantie is) in het derde land (bijvoorbeeld door een werknemer op zakenreis), de gegevensstroom in kwestie neerkomt op een doorgifte overeenkomstig hoofdstuk V.
Bovendien moet, wanneer een verwerkingsverantwoordelijke voornemens is om persoonsgegevens buiten de EU te verwerken (hoewel er geen doorgifte zal plaatsvinden), deze informatie in de regel aan personen worden verstrekt als onderdeel van de transparantieverplichtingen van de verwerkingsverantwoordelijke, bijvoorbeeld ter naleving van het beginsel van transparantie en behoorlijkheid, op grond waarvan verwerkingsverantwoordelijken personen ook moeten informeren over de risico's in verband met de verwerking 34 .
Samenvattend zijn verwerkingsverantwoordelijken en verwerkers wier verwerking onder de AVG valt, verantwoordelijk voor al hun verwerkingsactiviteiten, ongeacht waar deze plaatsvinden, en kan gegevensverwerking in derde landen verhoogde risico's met zich meebrengen, onder meer in verband met onevenredige overheidstoegang, welke risico's moeten worden geïdentificeerd en zorgvuldig moeten worden aangepakt voor de rechtmatigheid van een dergelijke verwerking overeenkomstig de AVG. De EDPB zal nagaan of er in dit verband aanvullende richtsnoeren nodig zijn met betrekking tot de waarborgen.

33 Hierbij kan worden opgemerkt dat de adequaatheidsstatus van een bepaald derde land ook van belang zou zijn bij een dergelijke beoordeling.

Data flow

Art.

3.1

GOPR

Art

3.2

GDPR

Art.

GDPR

BIJLAGE: ILLUSTRATIES VAN VOORBEELDEN 1-12

Data transfer

Not considered as data transfer

Chapter V GDPR

Controller

Processor

GDPR Articles and Chapters

Parent company and subsidiary company

Third country authority

EU / EEA area and limits

website

Art

Chap

00•

Art

3.2

Art.

Voorbeeld 1: Een verwerkingsverantwoordelijke in een derde land verzamelt gegevens rechtstreeks van een betrokkene in de EU (overeenkomstig artikel 3, lid 2, AVG)

De in Italië woonachtige Maria voert haar voornaam, achternaam en postadres in op een formulier op een onlinekledingwebsite om haar bestelling af te ronden en de online aangeschafte jurk in haar woonplaats Rome bezorgd te krijgen. De onlinekledingwebsite wordt geëxploiteerd door een onderneming uit een derde land, die niet in de EU aanwezig is, maar zich specifiek op de EU-markt richt. In dit geval geeft de betrokkene (Maria) haar persoonsgegevens door aan de onderneming in het derde land. Dit vormt geen doorgifte van persoonsgegevens aangezien de gegevens niet worden doorgegeven door een exporteur (verwerkingsverantwoordelijke of verwerker), maar rechtstreeks bij de betrokkene door de verwerkingsverantwoordelijke worden verzameld, overeenkomstig artikel 3, lid 2, AVG. Hoofdstuk V is dus niet van toepassing op dit geval. Niettemin zal de onderneming uit het derde land de AVG moeten toepassen, aangezien de verwerkingsactiviteiten onder artikel 3, lid 2, vallen.

000

Chap

Direct collection

Direct collection hap

Art.

Chap overeenkomstig artikel 3, lid 2, AVG. De verwerkingsverantwoordelijke zal dus op de verwerking van deze persoonsgegevens de AVG moeten toepassen. Voor zover de onderneming uit het derde land een verwerker buiten de EER inschakelt, zou een dergelijke verstrekking van de onderneming aan haar verwerker buiten de EER neerkomen op een doorgifte, en zal zij artikel 28 en de verplichtingen van hoofdstuk V moeten toepassen om ervoor te zorgen dat het door de AVG geboden beschermingsniveau niet wordt ondermijnd wanneer gegevens namens de onderneming door de verwerker buiten de EER worden verwerkt. GDPR

No EU target

Transfer

Art.

3.1

GDPR

Art.

3.1

GDPR

VOlI

Chap;

GDPR

Voorbeeld 4: Een platform in de EER verzamelt gegevens en zendt deze door naar een verwerkingsverantwoordelijke in een derde land

Voorbeeld 5: Een verwerkingsverantwoordelijke in de EU zendt gegevens naar een verwerker in een derde land

Remote access

Art.

Art chap.

3.1

Voorbeeld 6: Een verwerker in de EU zendt gegevens terug naar zijn verwerkingsverantwoordelijke in een derde land :Transfer

Company A (Controller)

Company B (Processor)

Company C (Sub-Processor)

Voorbeeld 7: Een verwerker in de EU zendt gegevens naar een subverwerker in een derde land

Chap

Remote access

Art.

3.1

Voorbeeld 8.1: Een werknemer van een verwerkingsverantwoordelijke in de EU maakt een zakenreis naar een derde land

George, werknemer van de in Polen gevestigde onderneming A, reist voor een vergadering naar een derde land en neemt zijn laptop mee. Tijdens zijn verblijf in het buitenland zet George zijn computer aan en opent hij op afstand persoonsgegevens in de databanken van zijn onderneming om een memo af te werken. Bij het meenemen van de laptop en het verkrijgen van toegang op afstand tot persoonsgegevens vanuit een derde land, is geen sprake van een doorgifte van persoonsgegevens, aangezien George geen andere verwerkingsverantwoordelijke is, maar een werknemer, en dus een integraal onderdeel van de verwerkingsverantwoordelijke (A). De doorzending wordt dus binnen dezelfde verwerkingsverantwoordelijke (A) uitgevoerd. De verwerking, waaronder de toegang op afstand en de door George na verkrijging van toegang uitgevoerde verwerkingsactiviteiten, worden uitgevoerd door de Poolse onderneming, d.w.z. een in de Unie gevestigde verwerkingsverantwoordelijke die onder artikel 3, lid 1, AVG valt.

Voorbeeld 8.2: Een werknemer van een verwerkingsverantwoordelijke in de EU maakt een zakenreis naar een derde land

George, werknemer van de in Polen gevestigde onderneming A, reist voor een vergadering naar een derde land en neemt zijn laptop mee. Tijdens zijn verblijf in het buitenland zet George zijn computer aan en opent hij op afstand persoonsgegevens in de databanken van zijn onderneming om een memo af te werken. Bij het meenemen van de laptop en het verkrijgen van toegang op afstand tot persoonsgegevens vanuit een derde land, is geen sprake van een doorgifte van persoonsgegevens, aangezien George geen andere verwerkingsverantwoordelijke is, maar een werknemer, en dus een integraal onderdeel van de verwerkingsverantwoordelijke (A). De doorzending wordt dus binnen dezelfde verwerkingsverantwoordelijke (A) uitgevoerd. De verwerking, waaronder de toegang op afstand en de door George na verkrijging van toegang uitgevoerde verwerkingsactiviteiten, worden uitgevoerd door de Poolse onderneming, d.w.z. een in de Unie gevestigde verwerkingsverantwoordelijke die onder artikel 3, lid 1, AVG valt. Hierbij kan echter worden opgemerkt dat, indien George, in zijn hoedanigheid van werknemer van A, gegevens aan een andere verwerkingsverantwoordelijke of verwerker in het derde land zou zenden of ter beschikking zou stellen, de betrokken gegevensstroom zou neerkomen op een doorgifte overeenkomstig hoofdstuk V; van de exporteur (A) in de EU naar die importeur in het derde land.

Chap

Company A (Controller)

Art.

3.1

Chap:

Art.

3.2

Chap

Voorbeeld 9: Een dochteronderneming (verwerkingsverantwoordelijke) in de EU deelt gegevens met haar moederonderneming (verwerker) in een derde land

Remote access = transfer

Art

3.1

SOPR

Art.

GOPR

Chap;

Chap

doer

Voorbeeld 10: Een verwerker in de EU zendt gegevens terug naar zijn verwerkingsverantwoordelijke in een derde land SDPR

GOPR

Access request

Storage in EU

Voorbeeld 11: Toegang op afstand tot gegevens in de EU door een verwerker uit een derde land die optreedt namens verwerkingsverantwoordelijken in de EU

Art.

3.1

Voorbeeld 12: Een verwerkingsverantwoordelijke in de EU gebruikt een verwerker in de EU die onder de wetgeving van een derde land valt

Footnotes

Verwijzingen naar de 'EU' en 'lidstaten' in dit document moeten worden opgevat als verwijzingen naar respectievelijk de 'EER' en 'EER-lidstaten'.
Zie de Aanbevelingen 01/2020 van de EDPB inzake maatregelen ter aanvulling op doorgifte-instrumenten teneinde naleving van het beschermingsniveau van persoonsgegevens in de Unie te waarborgen, Aanbevelingen 02/2020 van de EDPB over de Europese essentiële garanties voor surveillancemaatregelen en het arrest van het HvJ-EU van 16 juli 2020, Data Protection Commissioner/Facebook Ireland Ltd en Maximillian Schrems, C-311/18, EU:C:2020:559.
Zoals het arrest van het HvJ-EU van 6 november 2003, Bodil Lindqvist, C-101/01, EU:C:2003:596, volgens welk arrest een doorgifte een verwerkingsactiviteit is en er op grond van de oude Richtlijn 95/46 geen doorgifte aan een derde land plaatsvindt wanneer gegevens worden gepubliceerd op een website die is opgeslagen bij een in de EU gevestigde hosting provider.
Zie blz. 5 en de afdelingen 1-3 van de Richtsnoeren 3/2018 van de EDPB over het territoriale toepassingsgebied van de AVG (artikel 3).
Zie blz. 9 van de Richtsnoeren 07/2020 van de EDPB over de begrippen 'verwerkingsverantwoordelijke' en
Zie de Aanbevelingen 01/2020 van de EDPB inzake maatregelen ter aanvulling op doorgifte-instrumenten teneinde naleving van het beschermingsniveau van persoonsgegevens in de Unie te waarborgen, blz. 11, punt 13 en voetnoot 28.
Zie in dit verband overweging 23, waarin elementen worden genoemd die moeten worden beoordeeld om te bepalen of aan het doelgerichtheidscriterium van artikel 3, lid 2, punt a), AVG is voldaan.
Hierbij moet worden opgemerkt dat wanneer de verwerkingsactiviteiten door de verwerker verband houden met de doelgerichte activiteiten van de verwerkingsverantwoordelijke, de verwerker ook onder artikel 3, lid 2, AVG valt; zie blz. 20-22 van de Richtsnoeren 3/2018 van de EDPB over het territoriale toepassingsgebied van de AVG (artikel 3).
Artikel 28, lid 3, punt a), AVG verwijst naar de schriftelijke instructies van de verwerkingsverantwoordelijke 'onder meer met betrekking tot doorgiften van persoonsgegevens aan een derde land of een internationale organisatie'. Zie ook bepaling 8.1 van module drie in de bijlage bij het Uitvoeringsbesluit (EU) 2021/914 van de Commissie van 4 juni 2021 betreffende standaardcontractbepalingen voor de doorgifte van persoonsgegevens naar derde landen overeenkomstig Verordening (EU) 2016/679.
Zie punt 78 van de Richtsnoeren 07/2020 van de EDPB over de begrippen 'verwerkingsverantwoordelijke' en 'verwerker' in de AVG.
Wat de gegevensverwerking binnen een ondernemingsgroep betreft, moet bijzondere aandacht worden besteed aan de vraag of een vestiging als verwerkingsverantwoordelijke of verwerker kan optreden, bijvoorbeeld wanneer zij gegevens verwerkt namens de moederonderneming, zie punt 17 van de Richtsnoeren 07/2020 van de EDPB over de begrippen 'verwerkingsverantwoordelijke' en 'verwerker' in de AVG.
Zie ook punt 119 en 120 van de Richtsnoeren 07/2020 van de EDPB over de begrippen 'verwerkingsverantwoordelijke' en 'verwerker' in de AVG.
Zie in dit verband ook de Aanbevelingen 01/2020 van de EDPB inzake maatregelen ter aanvulling op doorgiftei nstrumenten teneinde naleving van het beschermingsniveau van persoonsgegevens in de Unie te waarborgen.
Zie de Richtsnoeren 2/2018 van de EDPB inzake afwijkingen op grond van artikel 49 van Verordening 2016/679.
De EDPB heeft Guidelines 07/2022 on Certification as a tool for transfers [Richtsnoeren 07/2022 voor certificering als instrument voor doorgifte] vastgesteld.
Zie bijvoorbeeld de verschillende waarborgen in module 1 en 3 in de bijlage bij het Uitvoeringsbesluit (EU) 2021/914 van de Commissie van 4 juni 2021 betreffende standaardcontractbepalingen voor de doorgifte van persoonsgegevens naar derde landen overeenkomstig Verordening (EU) 2016/679 (het 'uitvoeringsbesluit'). 29 De op 4 juni 2021 door de Europese Commissie aangenomen standaardcontractbepalingen bieden volgens artikel 1 van het uitvoeringsbesluit passende waarborgen voor onder de AVG vallende doorgiften van persoonsgegevens door exporteurs aan importeurs wier verwerking van de gegevens niet onder de AVG valt . Hierbij moet wordt opgemerkt dat dit betrekking heeft op het toepassingsgebied van de standaardcontractbepalingen en geen interpretatie geeft van het begrip doorgifte in hoofdstuk V van de AVG. 30 Hierbij moet wordt opgemerkt dat volgens artikel 40, lid 3, verwerkingsverantwoordelijken of verwerkers die niet onder de AVG vallen , gedragscodes kunnen naleven om de passende waarborgen overeenkomstig artikel 46, l i d 2, punt e), te bieden. Evenzo kunnen krachtens artikel 42, lid 2, certificeringsmechanismen en gegevensbeschermingszegels en -merktekens worden ingesteld om aan te tonen dat er passende waarborgen overeenkomstig artikel 46, lid 2, punt f), worden geboden door verwerkingsverantwoordelijken of verwerkers die niet onder de AVG vallen . Dit is waarom de EDPB momenteel standaardcontractbepalingen en adhocbepalingen heeft aangewezen als de beschikbare en meest toepasselijke doorgifte-instrumenten voor gegevensstromen naar importeurs die onder de AVG vallen. Niettemin spelen gedragscodes en certificeringen een belangrijke rol als instrumenten voor verwerkingsverantwoordelijken en verwerkers bij het waarborgen en
Zie https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/newstandard-contractual-clauses-questions-and-answers-overview\_en
Vgl. arrest HvJ-EU van 16 juli 2020, Data Protection Commissioner/Facebook Ireland Ltd, Maximillian Schrems, Zaak C-311/18, EU:C:2020:559, punt 135.
Zie de overwegingen 39 en 60 van de AVG en punt 10 van de Guidelines on Transparency under Regulation 2016/679 (wp260rev.01) van de Groep gegevensbescherming artikel 29.