Ga naar de inhoud

Mijn medewerker wil graag werken van buiten de EU, mag dat van de AVG?

Workations, digital nomads, met het nieuwe werken gaan steeds meer medewerkers vanuit het buitenland aan de slag. Maar hoe zit dat precies als ze buiten de EU toegang hebben tot systemen met persoonsgegevens, is dat wel toegestaan?

In principe wel, in juridische zin is er namelijk geen sprake van een ‘overdracht van persoonsgegevens buiten de EU’. De club van Europese privacy toezichthouders (EDPB) bevestigd dit in hun richtlijnen over de wisselwerking tussen de toepassing van artikel 3 AVG (territoriaal toepassingsgebied) en de bepalingen inzake internationale doorgiften overeenkomstig Hoofdstuk V van de AVG. Voorbeeld 7 leest als volgt:

Een werknemer van een verwerkingsverantwoordelijke in de EU maakt een zakenreis naar een derde land. George, werknemer van de in Polen gevestigde onderneming A, reist voor een vergadering naar een derde land en neemt zijn laptop mee. Tijdens zijn verblijf in het buitenland zet George zijn computer aan en opent hij op afstand persoonsgegevens in de databanken van zijn onderneming om een memo af te werken. Bij het meenemen van de laptop en het verkrijgen van toegang op afstand tot persoonsgegevens vanuit een derde land, is geen sprake van een doorgifte van persoonsgegevens, aangezien George geen andere verwerkingsverantwoordelijke is, maar een werknemer, en dus een integraal onderdeel van de verwerkingsverantwoordelijke (A). De doorzending wordt dus binnen dezelfde verwerkingsverantwoordelijke (A) uitgevoerd. De verwerking, waaronder de toegang op afstand en de door George na verkrijging van toegang uitgevoerde verwerkingsactiviteiten, worden uitgevoerd door de Poolse onderneming, d.w.z. een in de Europese Unie gevestigde verwerkingsverantwoordelijke die onder artikel 3, lid 1, AVG valt. Hierbij kan echter worden opgemerkt dat, indien George, in zijn hoedanigheid van werknemer van A, gegevens aan een andere verwerkingsverantwoordelijke of verwerker in het derde land zou zenden of ter beschikking zou stellen, de betrokken gegevensstroom zou neerkomen op een doorgifte overeenkomstig hoofdstuk V; van de exporteur (A) in de EU naar die importeur in het derde land.

Met andere woorden: een medewerker kan op workation buiten de EU voor een verwerkingsverantwoordelijke in de EU werken met persoonsgegevens, mits hij die gegevens niet aan een andere verwerkingsverantwoordelijke of in dat land verwerker verstrekt. Dat remote werken buiten de EU op grond van de AVG mogelijk is, neemt natuurlijk niet weg dat je als werkgever toch werken vanuit bepaalde landen mag verbieden omdat het teveel risico met zich meebrengt. En je doet er sowieso goed aan om de zaak goed te beveiligen. Zorg ervoor dat je de laptop op afstand kan wissen bij diefstal en zorg dat de medewerker in jouw applicaties werkt en geen lokale kopieën opslaat. Bon voyage!