Telewerk in of een zakenreis naar een derde land - Doorgifte van persoonsgegevens?

De bepalingen inzake doorgifte van persoonsgegevens zijn niet van toepassing indien een werknemer van een in de EU gevestigde onderneming telewerk verricht in of op zakenreis gaat naar een land gelegen buiten de EU. De werkgever, als verwerkingsverantwoordelijke, blijft echter wel gehouden de algemene principes van de Algemene Gegevensbescherming Verordening (AVG) na te leven. 

Recap

Een doorgifte van persoonsgegevens naar landen buiten de Europese Economische Ruimte (EER), zogenaamde ‘derde landen’, is enkel toegestaan in de gevallen voorzien in Hoofstuk V van de AVG. Het gaat daarbij zowel om een ‘actieve’ doorgifte, als een ‘passieve’ doorgifte waarbij de gegevens vanuit een derde land toegankelijk zijn (bv. toegang tot een EU database door een Amerikaanse moedervennootschap).

Meer concreet is een dergelijke doorgifte enkel toegestaan als één van de volgende transfermechanismes voorhanden is:

  1. voor het derde land werd een adequaatheidsbesluit genomen door de Europese Commissie, waarbij deze laatste bevestigt dat dit land een passend niveau van gegevensbescherming biedt (gelijkwaardig aan dit van de EU);
  2. implementatie van passende waarborgen, zoals bv. standard contractual clauses, binding corporate rules, of gedragscodes en certificering, of
  3. specifieke occasionele uitzonderingen van toepassing op de situatie.

De verwerkingsverantwoordelijke of verwerker die gegevens doorstuurt moet, overeenkomstig de aanbevelingen van het Europees Comité voor Gegevensbescherming (beter gekend onder de Engelse afkorting EDPB – European Data Protection Board), in samenwerking met de ontvanger in het derde land nagaan of het derde land een passend beschermingsniveau kan garanderen. Indien dat niet het geval is, moeten bijkomende waarborgen worden genomen.  Meer informatie over het gebruik van ‘standard contractual clauses’ en de implementatie van bijkomende waarborgen kan u hier terugvinden.

Context

Indien een werknemer van een in de EU gevestigde onderneming op zakenreis gaat naar een derde land of daar telewerk verricht, en vanuit dat derde land via het netwerk van de werkgever toegang heeft tot persoonsgegevens van bv. collega’s, sollicitanten, (contactpersonen bij) klanten of andere personen, rijst de vraag of dergelijke toegang als een “doorgifte” van persoonsgegevens in het kader van de AVG moet worden beschouwd met de verplichtingen en beperkingen vandien.

De ontvanger van de persoonsgegevens is in dit geval een werknemer. Een werknemer heeft niet de hoedanigheid van verwerkingsverantwoordelijke of verwerker maar is daarentegen een persoon die onder het rechtstreeks gezag van de werkgever staat en binnen de limieten van de instructies, toelatingen en beperkingen die de werkgever oplegt, persoonsgegevens (waarvoor de werkgever de verwerkingsverantwoordelijke of verwerker is) kan verwerken. Aangezien er in dit geval dus geen sprake is van een doorgifte naar een verwerker of verwerkingsverantwoordelijke met een eigen verantwoordelijkheid onder de AVG, lijken de verplichtingen inzake doorgifte van persoonsgegevens naar derde landen hier geen toepassing te vinden.

De Gegevensbeschermingsautoriteit (GBA) bevestigde ons bovenstaand standpunt. Wanneer een werknemer van een in de EU gevestigde onderneming op zakenreis gaat naar of telewerk verricht in een derde land, van daaruit werk verricht en hierbij toegang heeft tot persoonsgegevens van de onderneming, gaat het om een verwerking die niet onder Hoofdstuk V van de AVG inzake doorgiftes van persoonsgegevens naar derde landen valt. De werknemer is in dergelijke situatie immers geen verwerkingsverantwoordelijke of verwerker. De verwerking die de werknemer uitvoert vindt daarentegen plaats binnen de context van de activiteiten van de onderneming, en onder het gezag van de onderneming.

De werkgever zal dus niet verplicht zijn één van voormelde transfermechanismes te implementeren, ook niet indien er voor dat derde land geen passend beschermingsniveau kan worden gegarandeerd.

De werkgever zal echter als verwerkingsverantwoordelijke (en eventueel ook als verwerker), uiteraard wel de algemene principes van de AVG moet naleven.

Zo moet de werkgever technische of organisatorische maatregelen nemen teneinde de veiligheid van de verwerking van de persoonsgegevens te beschermen. Naar analogie met de aanbevelingen van de EDPB kan hierbij gedacht worden aan encryptie of pseudonimisering als technische maatregelen. Als organisatorische maatregel is het aangewezen een specifiek te volgen procedure in geval van telewerk in of een zakenreis naar een derde land op te nemen in een interne policy. Het is immers belangrijk om de werknemers bewust te maken van de gevaren hieraan verbonden en hen duidelijke instructies geven (bv. geen toegang nemen tot het bedrijfsnetwerk en de informatie in bepaalde databases via onbeveiligde publieke netwerken).

Actiepunt

Het is belangrijk dat u ten allen tijde er goed zicht op hebt waar uw werknemers telewerken of toegang hebben tot bedrijfsgevoelige informatie, zeker indien deze informatie ook persoonsgegevens bevat. Zorg ervoor dat uw telewerk policy de nodige aandacht besteedt aan werken vanuit derde landen.

Let er bovendien op dat u voldoende technische en organisatorische maatregelen neemt om de veiligheid van de verwerking van de persoonsgegevens door werknemers vanuit een derde land te garanderen.

De Claeys & Engels Global Mobility en Data Protection teams staan klaar om te helpen bij verder vragen.