Ledentoegang
Ledentoegang

Telewerken in derde landen en gegevensbescherming: enkele aandachtspunten

Wanneer werknemers occasioneel of structureel telewerken in een land buiten de Europese Economische Ruimte (EER), zijn er enkele aandachtspunten in het kader van de Algemene Verordening Gegevensbescherming (AVG) waarmee rekening moet worden gehouden.

De toepasselijke regelgeving

Hoofdstuk V van de AVG regelt expliciet de doorgifte naar derde landen. Derde landen zijn alle landen die niet behoren tot de EER. De EER omvat alle landen van de Europese Unie plus IJsland, Liechtenstein en Noorwegen.

Het begrip ‘doorgifte’ wordt niet gedefinieerd in de AVG. Om aan deze rechtsonzekerheid tegemoet te komen, verduidelijkt de European Data Protection Board (EDPB) in haar richtsnoeren wanneer een verwerkingsactiviteit een doorgifte is:

  1. Een verwerkingsverantwoordelijke of een verwerker (‘exporteur’) valt voor de bepaalde verwerkingsactiviteit onder de AVG.
  2. Persoonsgegevens worden door de exporteur verstuurd of ter beschikking gesteld aan een andere verwerkingsverantwoordelijke, gezamenlijke verwerkingsverantwoordelijke of verwerker (‘mporteur’).
  3. De importeur bevindt zich in een derde land of is een internationale organisatie.

Als aan deze voorwaarden is voldaan is er sprake van een doorgifte en is hoofdstuk V van toepassing. Dat hoofdstuk moet ervoor zorgen dat persoonsgegevens die gedeeld worden met een derde land, hun bescherming onder de AVG niet verliezen. Een doorgifte is daarom enkel toegestaan als één van de volgende transfermechanismes aanwezig is:

  • een adequaatheidsbesluit van de Europese Commissie voor het betreffende derde land waarin de Europese Commissie erkent dat dit land een passend gegevensbeschermingsniveau biedt (op 20 september 2023 werd nog een nieuw adequaatheidsbesluit voor ondernemingen in de Verenigde Staten van Amerika gepubliceerd voor zover deze gecertificeerd zijn onder het Data Privacy Framework, maar ook voor bijvoorbeeld Canada, Japan,.. zijn er adequaatheidsbesluiten, al dan niet onder voorwaarden); of
  • passende waarborgen voorzien door verwerkingsverantwoordelijke of verwerker, zoals bijvoorbeeld standard contractual clauses (SCC), binding contractual rules (BCR), een gedragscode of een certificeringsmechanisme. Afhankelijk van de concrete situatie in het derde land, kan het hier noodzakelijk zijn dat er nog aanvullende maatregelen worden genomen zoals encryptie, pseudonomisatie,…; of
  • specifieke occasionele uitzonderingen, zoals bijvoorbeeld bij uitdrukkelijke geïnformeerde toestemming, ter bescherming van vitale belangen indien de betrokkene niet in staat is om toestemming te geven,…

Concreet voor telewerken in derde landen

Wat betekent het voorgaande als een werknemer bijvoorbeeld:

  • Telewerkt in een derde land en daar op zijn laptop de persoonsgegevens in de databanken van zijn werkgever raadpleegt om deze te verwerken in een presentatie voor zijn collega’s?

In principe is er in dat geval geen sprake van een doorgifte van persoonsgegevens. De werknemer wordt immers beschouwd als een integraal onderdeel van de verwerkingsverantwoordelijke, namelijk de werkgever. Dit is zo omdat hij als werknemer onder het rechtstreekse gezag van zijn werkgever gemachtigd is om de persoonsgegevens te verwerken en dus niet als verwerker of subverwerker kwalificeert. De doorzending van de persoonsgegevens gebeurt gewoon binnen dezelfde verwerkingsverantwoordelijke.

Hoofdstuk V mag dan misschien niet van toepassing zijn, de rest van de AVG blijft dit uiteraard wel. De werkgever van de telewerker zal dus de gepaste technische en organisatorische maatregelen moeten nemen om de gegevens te beschermen tegen het risico dat ze toegankelijk worden vanuit een land dat mogelijks niet dezelfde gegevensbeschermende waarborgen biedt.

  • telewerkt in een derde land en daar op zijn laptop de persoonsgegevens in de databanken van zijn werkgever raadpleegt om deze te verwerken in een presentatie voor het moederbedrijf van zijn werkgever?

Hier gaat het wel degelijk om een doorgifte van persoonsgegevens nu de gegevens aan een andere verwerkingsverantwoordelijke in het derde land worden verstrekt. Indien er geen adequaatheidsbesluit van toepassing is in het derde land, moet de werkgever passende waarborgen voorzien.

Het is noodzakelijk om als werkgever duidelijke instructies te geven aan werknemers die in derde landen werken met persoonsgegevens. Dit kan bijvoorbeeld in een interne privacy policy, al dan niet aangevuld met een ICT-policy.

Tot slot moet je ook verzekeren dat de gegevens van de telewerkende werknemer zelf beschermd worden en dat je de werknemer hierover moet informeren via een privacy notice.  

Claeys & Engels

An-Julie Van Dyck
Advocaat
Claeys & Engels

HR Top Jobs

Personeelsmanager – HR

UZ Leuven

Corporate HR & Payroll Officer

Acerta Sociaal Secretariaat

Meld je aan voor de nieuwsbrief

Nieuws te melden?

Tip

hier

onze redactie

Over ons

Het netwerk voor HR-professionals & peoplemanagers

Algemene voorwaarden

Contacteer ons

[email protected]

HR Square NV
Ottergemsesteenweg-Zuid 808 B 47
9000 Gent

Linkedin-in Facebook Instagram

Aanmelden

Als lid van HR Square hebt u ook de mogelijkheid de digitale versie alsook de archieven van het tijdschrift te raadplegen via onze website.

Ben jij klaar om helemaal mee te zijn in de wereld van HR? HR Square Nieuwsbrief brengt je tweewekelijks een overzicht van de belangrijkste feiten, trends en gebeurtenissen in HR-land.

Bovendien krijg je een handige lijst van must-attend HR-events, zodat je niets hoeft te missen.

Gratis in je mailbox. Het enige wat je hoeft te doen is je registreren!