2.8. Gegevensverkeer met landen buiten de Europese Unie

In beginsel, is de verzending van persoonsgegevens naar een land buiten de Europese Unie (EU) alleen toegestaan als dat land een vergelijkbare (adequate) bescherming biedt zoals die geldt binnen de EU, zo bepaald artikel 25 van 95/46/ EG. Het verkeer van persoonsgegevens is vrij binnen de 25 lidstaten van de EU en de drie landen van de European Economic Area (EEA), Noorwegen, Liechtenstein en IJsland. De Europese Commissie kan door middel van een officiële beslissing vaststellen of een land buiten de EU en EEA een adequaat niveau van bescherming van persoonsgegevens biedt. Het gevolg van zo'n beslissing is dat daardoor persoonsgegevens van de EU en EEA landen zonder dat verantwoordelijken extra beveiligingsmaatregelen hoeven te nemen, verzonden mogen worden naar dat land.

De Commissie heeft tot nu toe een dergelijke positieve beslissing genomen over Andorra, Argentinië, Canada, Bailiwick of Guernsey, The Isle of Man, Jersey, en Israel, Zwitserland, het US Safe Harborsysteem en over de verzending van gegevens van passagiers van vliegtuigen, de zogenaamde Passenger Name Record (PNR) aan het Bureau of Customs and Border Protection van het Department of Homeland Security van de Verenigde Staten.

Op 30 mei 2006 vonniste het Europese Hof van Justitie in Luxemburg in de gezamenlijke zaken C-317/04 en C318/04 (European Parliament vs. Council) echter dat de beslissing van de Commissie over de adequate bescherming van de PNR door het Department of Homeland Security van de Verenigde Staten niet valt binnen de reikwijdte van de Richtlijn 95/46/EG en dat derhalve het hof de beslissing hierover vernietigde. Het resultaat van deze beslissing was dat de passagiersgegevens niet meer na 30 september 2006 naar de Verenigde Staten mochten worden verzonden. Op 4 oktober werd opnieuw een tijdelijke overeenkomst tussen de EU en USA gesloten waarbij voorlopig verzending naar en gebruik van PNR door het Department of Homeland Security werd toegestaan.1 In juli 2007 is er een nieuwe definitieve overeenkomst tussen de EU en de USA gesloten over de verzending van PNR van vliegtuigen aan Department of Homeland Security.

Artikel 25 gaf ook aanleiding tot interpretatieproblemen. In het vonnis van 6 november 2003 van het Europese Hof van Justitie in de zaak C-101/2001 (Lindqvist) oordeelt het Hof in de 24^e overweging: "[...] there is no 'transfer [of data] to a third country' within the meaning of Article 25 of Directive 95/46 where an individual in a Member State loads personal data onto an internet page which is stored with his hosting provider which is established in that State or in another Member State, thereby making those data accessible to anyone who connects to the internet, including people in a third country".

Overeenkomstig Artikel 26(2) van Richtlijn 95/46/EG kan een Lidstaat een elektronische doorgifte of een reeks van doorgiften van persoonsgegevens aan een land toestaan dat geen passende bescherming in de zin van Artikel 25(2) kan bieden. De voorwaarde is dan wel dat de verantwoordelijke contractueel zich verplicht zelf te zorgen voor de adequate bescherming van de persoonsgegevens. De Europese Commissie heeft een aantal standaardclausules opgesteld die de doorgifte van persoonsgegevens mogelijk maakt. Tot dusver, keurde de EU Commissie twee verschillende sets van standaard contractuele clausules voor `controller-to-controller transfers' en een set aanvullende standaard contractuele clausules voor 'controller-to-processor transfers' goed.2