Voor sommige organisaties die van buiten de EU direct persoonsgegevens verzamelen van mensen in de EU, is niet altijd duidelijk of zij die persoonsgegevens extra moeten beschermen. Het gaat om bedrijven waarop de Algemene verordening gegevensbescherming (AVG) direct van toepassing is via artikel 3 van de AVG. Om hier duidelijkheid over te scheppen, heeft de European Data Protection Board (EDPB) nieuwe richtlijnen ontwikkeld over internationale doorgifte van persoonsgegevens.
Met de ‘Guidelines on the Interplay between the application of Article 3 and the provisions on international transfers as per Chapter V of the GDPR’ legt de EDPB uit wat de verhouding is tussen artikel 3 en hoofdstuk 5 van de AVG.
De EDPB geeft aan wat de definitie ‘doorgifte naar derde landen of internationale organisaties’ inhoudt. Als een datastroom onder deze definitie valt, moeten organisaties ervoor zorgen dat het beschermingsniveau van de AVG ‘meereist’ met de persoonsgegevens naar het buitenland. De bescherming die mensen in de EU hebben onder de AVG en andere wetten, mag niet omzeild worden als hun gegevens de EU verlaten.
Maar ook als datastromen niet onder de definitie ‘doorgifte’ vallen, moeten organisaties volgens de EDPB zorgen voor bescherming van de gegevens. Dit betekent dat zij in de praktijk vrijwel dezelfde handelingen moeten verrichten als bij doorgifte.