De Europese privacywetgeving (AVG of GDPR) bevat strenge regels omtrent de doorgifte van persoonsgegevens naar derde landen, bijvoorbeeld wanneer een SaaS-leverancier je persoonsgegevens op een Amerikaanse server opslaat. De vraag stelt zich of deze regels ook van toepassing zijn als een werknemer tijdens een zakenreis in een derde land persoonsgegevens verwerkt.
AVG en de regels bij doorgifte van persoonsgegevens naar derde landen
In Europa hebben we een strenge privacywetgeving, bij de meesten bekend onder de benaming GDPR of AVG (Algemene Gegevensbescherming Verordening). Europese regelgeving zou echter nutteloos zijn als gegevens vervolgens in een ander land, met een minder strenge wetgeving, zouden worden verwerkt. Een Belgisch bedrijf zou bijvoorbeeld je persoonsgegevens op een Chinese server kunnen opslaan, waarbij de Chinese overheid het volgens Chinees recht kan inkijken. Dit kan niet de bedoeling zijn. Daarom bevat de AVG ook regels over de doorgifte van persoonsgegevens naar derde landen, dit zijn de landen buiten de EER (Europese Economische Ruimte).
De doorgifte van persoonsgegevens naar derde landen is enkel toegestaan in de specifieke gevallen die in het vijfde hoofdstuk van de AVG zijn voorzien. Daarnaast moet er een van de volgende transfermechanismes voorhanden zijn:
- De Europese Commissie moet voor het derde land een adequaatheidsbesluit hebben genomen, dit wil zeggen dat het derde land een niveau van gegevensbescherming biedt dat gelijkwaardig is aan dat van de EU
- Er moeten passende waarborgen worden geboden, bijvoorbeeld via contractuele clausules en certificeringen
In feite moet de verwerkingsverantwoordelijke dus nagaan of het derde land een passend beschermingsniveau kan garanderen. Indien dit niet het geval is, moeten er bijkomende maatregelen worden getroffen.
Raadplegen van persoonsgegevens tijdens een zakenreis in een derde land
Stel dat een werknemer van een Europese onderneming op zakenreis gaat naar een derde land. Deze werknemer heeft nu vanuit dat land toegang tot persoonsgegevens. Men stelt zich de vraag of er in dit geval sprake is van doorgifte van persoonsgegevens naar een derde land en of er dus rekening moet worden gehouden met de bovenstaande regels.
Dit is niet het geval, omdat de ontvanger van de persoonsgegevens een werknemer is. Zo’n werknemer is geen verwerkingsverantwoordelijke. Omdat er geen sprake is van een doorgifte naar een verwerkingsverantwoordelijke, zijn de regels inzake de doorgifte van persoonsgegevens naar derde landen niet van toepassing. Dit werd recent door de Gegevensbeschermingsautoriteit (GBA) bevestigd. Het gevolg is dat de werkgever de transfermechanismen niet hoeft te implementeren, zelfs niet als het derde land geen passend beschermingsniveau kan bieden.
Werkgever moet passende maatregelen treffen
Dit wil echter niet zeggen dat de werkgever zich nergens druk over hoeft te maken. Zo moet de werkgever uiteraard nog steeds trouw blijven aan de algemene principes van de AVG. De werkgever moet dus ook nog steeds over de veiligheid van de persoonsgegevens waken. Hij kan dit bijvoorbeeld doen door technische maatregelen als pseudonimisering of encryptie toe te passen. Daarnaast is het raadzaam om specifieke procedures op te stellen voor telewerk tijdens een zakenreis in een derde land. Op die manier worden werknemers bewust gemaakt van de gevaren die hieraan verbonden zijn en wordt voorkomen dat men bijvoorbeeld via een onbeveiligd publiek netwerk persoonsgegevens raadpleegt. Een werkgever moet dus nog steeds het nodige doen om de persoonsgegevens te beveiligen en riskeert in het andere geval sancties en schadeclaims.
