Europese organisaties hoeven geen persoonsgegevens te delen met overheden buiten Europa als hieraan geen internationale overeenkomst ten grondslag ligt. Bovendien moeten ze altijd voldoen aan de AVG-regels. De European Data Protection Board (EDPB) komt met richtlijnen die het makkelijker maken de juiste beslissing te nemen.
Het is niet vanzelfsprekend dat organisaties in de Europese Economische Ruimte (EER) moeten ingaan op verzoeken ontstaan uit een gerechtelijke uitspraak of besluit elders in de wereld. ‘EU-landen erkennen zo’n uitspraak of beslissing van een derde land namelijk niet automatisch’, schrijft de Autoriteit Persoonsgegevens (AP). De AP is namens Nederland lid van de EDPB, het samenwerkingsverband van privacytoezichthouders in de EER.
Guidelines bieden duidelijkheid
De nieuwe guidelines voor het delen van data buiten de EER (pdf) bieden duidelijkheid over situaties waarin Europese organisaties worden geconfronteerd met verzoeken van niet-EU-instanties, zoals rechtbanken of toezichthouders. Uitspraken of beslissingen van dergelijke autoriteiten mogen alleen worden opgevolgd als die in overeenstemming zijn met de gegevensbeschermingsregels en internationale afspraken. Zo moeten verzoeken voldoen aan de strikte eisen van de AVG, waaronder passende waarborgen voor internationale gegevensoverdracht.
Deze richtlijnen worden tot 27 januari 2025 ter consultatie aangeboden. Na deze periode stelt de EDPB de definitieve versie vast.
Eerder deze maand bleek dat de AP zelf machteloos staat om de AVG buiten de EU te handhaven. Met name in de VS staat de privacywaakhond nagenoeg machteloos. Zonder verdragen bestaan er vrijwel geen mogelijkheden om besluiten te effectueren. De bevoegdheden schieten tekort, terwijl ook het (laten) innen van boetes een struikelblok is.
