Waar geldt de GDPR?

De GDPR is van toepassing op alle lidstaten van de EU en EEA (IJsland, Noorwegen, en Liechtenstein).
De territoriale scope van de GDPR kent drie criteria.

  • Ten eerste zal de GDPR van toepassing zijn wanneer de verwerkingsverantwoordelijke of de verwerker van persoonsgegevens gevestigd is in de EU. Hierbij is het niet relevant of de verwerking zelf ook daadwerkelijk plaatsvindt in de EU.
  • Ten tweede zal de GDPR van toepassing zijn wanneer de verwerkingsverantwoordelijke of de verwerker van persoonsgegevens gevestigd is buiten de EU en:
    a. Goederen en of diensten levert aan betrokkene in de EU of
    b. Gedrag monitort van betrokkene in de EU.
    Bedrijven als Facebook, Google en Apple moeten zich dus ook houden aan de GDPR.
  • Ten derde zal de GDPR van toepassing zijn wanneer de verwerkingsverantwoordelijke of de verwerker van persoonsgegevens gevestigd is buiten de EU, maar waar de wetgeving van de lidstaten van toepassing is. Dit is bijvoorbeeld het geval bij ambassades.

De bescherming van persoonsgegevens is niet in alle landen hetzelfde geregeld. Persoonsgegevens doorgeven vanuit Nederland naar het buitenland mag daarom alleen als een land voldoende bescherming biedt. Binnen de EU is het niveau van gegevensbescherming gelijk. Dat komt omdat alle EU lidstaten zich moeten houden aan de GDPR. De EU is daarom één rechtsgebied bij de bescherming van persoonsgegevens. Dit bevordert de stroom van persoonsgegevens in de EU. Geeft een organisatie gegevens door van Nederland naar een ander EU-land of de EEA dan hoeft die organisatie alleen te voldoen aan de algemene eisen uit de AVG. Doorgifte van gegevens naar landen buiten de EU is alleen toegestaan indien dat land een passend niveau van privacybescherming waarborgt. Ga daarvoor na of de Minister van Justitie of de Europese Commissie iets heeft bepaald over het niveau van bescherming in dat land. De Verenigde Staten heeft bijvoorbeeld geen passend beschermingsniveau. Het doorgeven van gegevens is alleen mogelijk indien de verwerker gecertificeerd is conform het EU-VS Privacy Shield.