Grensoverschrijdende doorgifte van persoonsgegevens

Wat verstaan we onder grensoverschrijdende doorgifte van persoonsgegevens?

Het gaat over de doorgifte van persoonsgegevens vanuit een lidstaat van de Europese Unie naar een derde land dat geen lid is van de Europese Unie en ook geen lid is van de Europees Economische Ruimte.

Welke landen behoren tot de Europees Economische Ruimte?

Alle landen van de Europese Unie en drie lidstaten van de Europese Vrijhandelsassociatie (EVA): IJsland, Noorwegen en Liechtenstein.

Onder welke voorwaarden kan ik gegevens doorgeven binnen de Europese Unie of Europees Economische Ruimte?

Vanuit België en binnen de Europese Unie mogen gegevens vrij doorstromen, zolang de algemene principes van de Belgische privacywet wordt nageleefd. Ingevolge de Europese Richtlijn 95/46/EG hanteren de lidstaten bij het verwerken van persoonsgegevens immers hetzelfde beschermingsniveau. Bijgevolg is een doorgifte binnen de Europese Unie op dezelfde manier geregeld als een doorgifte in België en moeten de algemene principes van de wet worden gerespecteerd (onder meer eerbiediging van de wettigheid, verenigbaarheid van de doorgifte met de oorspronkelijke verwerking, kennisgeving aan de betrokkenen).

Onder welke voorwaarden kan ik gegevens doorgeven buiten de Europese Unie of Europees Economische Ruimte?

1 Doorgifte naar een land met een passend beschermingsniveau

Wanneer u gegevens uitvoert naar een derde land met een passend beschermingsniveau, kan de doorgifte gebeuren alsof het ging om een doorgifte tussen twee Belgische verantwoordelijken of naar een ander land van de Europese Unie. Toch moet u altijd de algemene beginselen van de wet eerbiedigen (onder meer wettigheid, verenigbaarheid van de mededeling van de gegevens aan een derde met de oorspronkelijke verwerking, kennisgeving aan de betrokkenen).

De beoordeling van het beschermingsniveau van land buiten de Europese Unie is onder meer gebaseerd op de algemene en sectorale wetgeving van het betrokken land en van de beroepsregels. Als u meer informatie wil over de lijst van landen met een passend beschermingsniveau, kunt u de website van de Europese Gegevensbeschermingsautoriteit raadplegen.

2 Contractuele oplossingen

Als het land waarnaar u gegevens wenst over te zenden niet voorkomt in de lijst van de Europese Gegevensbeschermingsautoriteit van landen met een passend beschermingsniveau, kan de verantwoordelijke voor de verwerking ook zelf een passende bescherming bieden via een overeenkomst. Zo kan de bescherming geboden worden door middel van een overeenkomst die bindend is voor de persoon die de gegevens toezendt en voor degene die ze ontvangt en die voldoende garanties bevat inzake gegevensbescherming. In België dient een dergelijke overeenkomst in principe toegestaan te worden bij Koninklijk Besluit na advies van de Autoriteit.

De Europese Gegevensbeschermingsautoriteit stelt ook verschillend soorten modelovereenkomsten ter beschikking die deze automatisch worden beschouwd als voldoende waarborgen biedend op het vlak van de gegevensbescherming. Het is interessant om gebruik te maken van die modelovereenkomsten omdat zij niet gemachtigd moeten worden met een Koninklijk Besluit. Een kopie van de overeenkomst moet niettemin naar de C o mmissie gestuurd worden zodat zij kan nagaan of zij in overeenstemmen met de modelovereenkomsten van de Europese Gegevensbeschermingsautoriteit.

De multinationals die gegevens willen doorgeven binnen hun groep, waarvan sommige leden zich buiten de Europese Economische Ruimte bevinden, in een land dat niet wordt erkend “als een passend beschermingsniveau biedend”, kunnen de gegevens ook voldoende beschermen via interne gedragscodes (Binding Corporate Rules). Deze codes voor gegevensbescherming worden bekrachtigd door de verschillende nationale gegevensbeschermingsautoriteiten die bij de doorgifte betrokken zijn (in België moet een Koninklijk Besluit worden genomen, na advies van de Autoriteit). Op de website van de Europese Gegevensbeschermingsautoriteit is ook een rubriek over interne gedragscodes te vinden (ENG).

3 De uitzonderingen

Bij gebrek aan een overeenkomst bestaan er nog bepaalde "uitzonderingen" die toelaten gegevens door te geven naar derde landen. Dit is ondermeer het geval wanneer de betrokkenen hun ondubbelzinnige toestemming geven voor de doorgifte van hun gegevens naar een dergelijk land, wanneer de doorgifte noodzakelijk is om een overeenkomst uit te voeren die met de betrokken persoon werd afgesloten of wanneer de gegevens afkomstig zijn uit een openbaar register ter informatie van het publiek (bijvoorbeeld telefoongids, handelsregister). Deze uitzonderingen moeten op een restrictieve wijze geïnterpreteerd worden en kunnen geen normaal kader vormen voor de gegevensdoorgifte, namelijk als deze massaal en repetitief zijn. Het is aangewezen om snel een contractuele oplossing te vinden die beduidend grotere waarborgen bieden voor de bescherming van de gegevens van de burgers.

Welke zijn de erkende landen met een passend beschermingsniveau?

De Europese Gegevensbeschermingsautoriteit heeft reeds het passend beschermingsniveau van de volgende landen erkend: Zwitserland, Canada (voor verwerkingen onderworpen aan de Canadese "Personal Information Protection and Electronic Documentation Act" ), Andorra, Argentinië, de Verenigde Staten (voor de gegevens van de luchtvaartpassagiers), Guernesey, het Eiland Man, de Faeröereilanden, Jersey, Australië (voor gegevens van luchtvaartpassagiers), Israël, Nieuw-Zeeland en Uruguay.

De Europese Gegevensbeschermingsautoriteit bracht op 26 juli 2000 haar beslissing uit betreffende de Safe Harbor beginselen. Maar op  6 oktober 2015 vernietigde Het Hof van Justitie van de Europese Unie evenwel deze beslissing met  het arrest Schrems.

De ondernemingen kunnen dus voor de juridische omkadering van hun gegevensdoorgiftes naar de Verenigde Staten niet langer uitsluitend naar die beslissing verwijzen.

Voor alle bijkomende informatie of voor de laatste bijwerkingen van de lijst met landen die een passend beschermingsniveau bieden, wordt ten stelligste aangeraden de website van de Europese Gegevensbeschermingsautoriteit te raadplegen.

Wat zijn modelovereenkomsten van de Europese Gegevensbeschermingsautoriteit en waar kan ik ze vinden?

Op dit ogenblik stelt de Europese Gegevensbeschermingsautoriteit vier soorten modelovereenkomsten ter beschikking. Deze modelovereenkomsten zijn beschikbaar op de website van de Europese Gegevensbeschermingsautoriteit.

Twee modellen zijn bedoeld voor de doorgifte van gegevens van verantwoordelijke voor de verwerking naar verantwoordelijke voor de verwerking (Beslissing 2001/497/EG en 2004/915/EG) en de twee andere modellen voor doorgifte door een verantwoordelijke voor de verwerking naar een verwerker (Beslissing 2002/16/EG, sinds 15 mei 2010 vervangen door Beslissing 2010/87/EU).

Krachtens artikel 7, paragraaf 2 van Beslissing 2010/87/EU, blijft een contract dat tussen een gegevensexporteur en een gegevensimporteur krachtens Beschikking 2002/16/EG vóór 15 mei 2010 is gesloten, van kracht zolang de doorgiften en de gegevensverwerkingsactiviteiten waarop het contract van toepassing is, ongewijzigd blijven. Anders moeten de partijen een nieuw contract afsluiten conform Beslissing 2010/87/EU.

Dit is het geval waneer bijlage 1 gewijzigd moet worden (wijziging van partijen, betrokken personen, gegevenscategorieën en verwerkingen). Op dat moment kunnen de partijen beslissen om een nieuw contract af te sluiten naar het model van Beslissing 2010/87/EU of het eerder ondertekende contract naar het model van Beslissing 2002/16/EG te behouden. Aangezien dit laatste model vervangen wordt door het nieuwe, zullen deze contracten echter niet meer worden beschouwd als modelovereenkomsten maar als een ad-hoc contract dat in principe moet worden goedgekeurd bij koninklijk besluit na advies van de Autoriteit.

De Groep gegevensbescherming artikel 29 heeft FAQ's uitgewerkt over modelovereenkomsten volgens Beslissing 2010/87/EU (WP176 (ENG)).

Onder welke Belgische nationale voorwaarden kunnen modelovereenkomsten van de Europese Gegevensbeschermingsautoriteit worden gebruikt?

De overeenkomsten die gebaseerd zijn op de modelovereenkomsten van de Europese Gegevensbeschermingsautoriteit, moeten niet door een Koninklijk Besluit worden goedgekeurd. Toch moet kopie van de overeenkomst naar de Autoriteit gestuurd worden zodat zij kan nagaan of ze overeenstemmen met de modelovereenkomsten van de Europese Gegevensbeschermingsautoriteit. Bovendien moeten deze verwerkingen in principe aangegeven worden in het openbaar register van de Autoriteit, behoudens uitzonderingen in functie van de toepasselijke regels inzake de aangiften.

Voor meer informatie kunt u het protocolakkoord betreffende contractuele bepalingen raadplegen dat werd afgesloten tussen de Autoriteit en de FOD Justitie op 25 juni 2013.

 

Onder welke nationale Belgische voorwaarden kunnen overeenkomsten worden gebruikt die niet conform de modelovereenkomsten van de Europese Gegevensbeschermingsautoriteit zijn?

In België moet een dergelijke overeenkomst worden goedgekeurd door een Koninklijk Besluit na advies van de Autoriteit.

Voor meer informatie kunt u het protocolakkoord betreffende contractuele bepalingen raadplegen dat op 25 juni 2013 werd afgesloten tussen de Autoriteit en de FOD Justitie.

Moet er goedkeuring worden gegeven voor het gebruik van de modelovereenkomsten van de Europese Gegevensbeschermingsautoriteit?

Nee. De Belgische wet moet worden begrepen in het licht van de Europese Richtlijn 96/46/EG en meer in het bijzonder van artikel 26.4. Dit artikel bepaalt dat de lidstaten de nodige maatregelen moeten treffen om zich in overeenstemming te brengen met de beslissingen van de Europese Gegevensbeschermingsautoriteit aangaande de modellen van contractuele bepalingen. De overeenkomsten die zich baseren op een van de modelovereenkomsten van de Europese Gegevensbeschermingsautoriteit moeten bijgevolg niet goedgekeurd worden door een Koninklijk Besluit.

Een kopie van de overeenkomst moet niettemin naar de Autoriteit gestuurd worden zodat zij kan nagaan of ze overeenstemt met het model van Europese Gegevensbeschermingsautoriteit. Bovendien moeten deze verwerkingen in principe aangegeven worden in het openbaar register van de Autoriteit, behoudens uitzonderingen in functie van de toepasselijke regels inzake de aangiften.

Wat verstaan we onder "Binding Corporate Rules" of "BCRs"?

Dit zijn de regels die multinationals uitwerken (zoals bijvoorbeeld een gedragscode) en die alle entiteiten en werknemers van de onderneming moeten naleven. Deze regels betreffen de internationale doorgifte van persoonsgegevens binnen de groep.

Wat moeten deze bindende ondernemingsregels of "BCRs" inhouden?

Op Europees niveau

De Groep Artikel 29 heeft verschillende werkdocumenten goedgekeurd waarin de verplichte inhoud van de bindende ondernemingsregels wordt omschreven. Het gaat om onderstaande documenten.

1. Bindende ondernemingsregels voor verantwoordelijken voor de verwerking

  • Working Document of 3/6/2003 relating to the Transfers of personal data to third countries: Applying Article 26 (2) of the EU Data Protection Directive to Binding Corporate Rules for International Data Transfers (WP74 (ENG));
  • Working Document of 14/4/2005 Establishing a Model Checklist Application for Approval of Binding Corporate Rules (WP108 (ENG)).

Voor een beter begrip van deze twee documenten heeft de Groep 29 ook een tabel goedkgekeurd met alle elementen die in een BCR opgenomen moeten zijn, waarin verwezen wordt naar WP74 en WP 108. Dit document heeft als titel:

  • Working Document setting up a table with the elements and principles to be found in Binding Corporate Rules (WP153 (ENG)).

De Groep Artikel 29 heeft overigens ook een geharmoniseerd Europees formulier opgesteld voor aanvragen voor goedkeuring van bindende ondernemingsregels voor verantwoordelijken voor de verwerking:

  • Recommendation 1/2007 of 14/4/2005 on the Standard Application for Approval of Binding Corporate Rules for the Transfer of Personal Data (WP133 (ENG)).

Om een beter idee te krijgen over de mogelijke structuur van BCR's, raden wij u aan het volgende document te lezen:

  • Working Document setting up a framework for the structure of Binding Corporate Rules (WP154 (ENG)).

Voor concrete antwoorden op vaak gestelde vragen van multinationals, ten slotte, kan u onderstaand document raadplegen:

  • Working Document on Frequently Asked Questions (FAQs) relating to Binding Corporate Rules (WP155 (ENG), dit document wordt vaak bijgewerkt).

Alle goedgekeurde documenten van de Groep Artikel 29 zijn terug te vinden op hun website

Op de website van de Europese Gegevensbeschermingsautoriteit is ook een aparte rubriek over BCR's te vinden (ENG).

Op Belgisch niveau

De vereisten zijn beschreven in het protocol dat werd overeengekomen tussen de FOD Justitie en de Autoriteit. Dit protocol is natuurlijk in ruime mate geïnspireerd op de vereisten op Europees niveau.

2. Bindende ondernemingsregels voor verwerkers

  • Working Document 02/2012 setting up a table with the elements and principles to be found in Processor Binding Corporate Rules (WP 195) (ENG)
  • Explanatory Document on the Processor Binding Corporate Rules (WP 204) (ENG)

De Groep 29 heeft ook een geharmoniseerd Europees formulier opgesteld voor aanvragen voor goedkeuring van bindende ondernemingsregels voor verwerkers.

  • Recommendation 1/2012 on the Standard Application form for Approval of Binding Corporate Rules for the Transfer of Personal Data for Processing Activities (WP 195a) (ENG)
Onder welke nationale Belgische voorwaarden kan gebruik worden gemaakt van bindende ondernemingsregels (of "Binding Corporate Rules" of "BCRs")?

Opdat de bindende ondernemingsregels worden erkend als voldoende garantie biedend op het vlak van eerbiediging van gegevensbescherming, moeten ze door de bevoegde nationale gegevensbeschermingsautoriteit worden goedgekeurd. De Groep Artikel 29 heeft voor dit doel een samenwerkingsprocedure tussen de verschillende nationale gegevensbeschermingsautoriteiten opgesteld. Dit biedt de multinational de mogelijkheid zijn aanvraag in te dienen bij één enkele nationale autoriteit die vervolgens met de andere betrokken Europese autoriteiten contact opneemt. Daarna wordt het ontwerp van bindende ondernemingsregels gezamenlijk onderzocht. Op die manier kunnen de verschillende autoriteiten komen tot coherente beslissingen over het ontwerp van bindende ondernemingsregels.

Deze samenwerkingsprocedure staat beschreven in een werkdocument van de Groep Artikel 29:

  • Working Document of 14/4/2005 Setting Forth a Co-Operation Procedure for Issuing Common Opinions on Adequate Safeguards Resulting From "Binding Corporate Rules" (WP107 (ENG)).

Bovendien zijn een aantal autoriteiten, waaronder België, een systeem van wederzijdse erkenning overeengekomen om geharmoniseerde standpunten te kunnen innemen, gebaseerd op onderling vertrouwen van de gegevensbeschermingsautoriteiten wanneer interne gedragscodes door drie van hen zijn onderzocht.

Zodra de Europese procedure volledig werd afgerond, kunnen de BCR's voorgelegd worden aan de verschillende nationale autoriteiten om hun machtiging te krijgen.

In België wordt nationale goedkeuring gegeven met een Koninklijk Besluit, na advies van de Autoriteit. In de praktijk stuurt de multinational na afsluiting van de Europese procedure per post of via e-mail het ontwerp van bindende ondernemingsregels naar de Autoriteit.

Als de Autoriteit van mening is dat het dossier volledig in orde is, brengt zij de multinational en de FOD Justitie hiervan op de hoogte. De FOD Justitie dient dan een officiële adviesaanvraag bij de Autoriteit in. Het advies wordt uitgebracht binnen de 60 dagen. In geval van een positief advies wordt het Koninklijk Besluit aangenomen door de minister van Justitie.

Meer informatie vindt u in het protocol overeengekomen door de FOD Justitie en de Autoriteit.

Moet er volgens de Autoriteit voorkeur worden gegeven aan het gebruik van de uitzonderingen of eerder aan contractuele oplossingen?

Het gebruik van uitzonderingen moet uitzonderlijk blijven en kan niet gelden als de gewone omkadering voor een gegevensdoorgifte, vooral als deze doorgifte massaal en repetitief plaatsvindt. Het is aangewezen om snel een contractuele oplossing te vinden die toelaat beduidend grotere waarborgen te bieden voor de bescherming van de gegevens van de burgers.

Moet er volgens de Autoriteit gekozen worden voor een contract of eerder voor de bindende ondernemingsregels (of "Binding Corporate Rules" of "BCRs")?

De verantwoordelijke voor de verwerking wordt hierin vrij gelaten. De bindende ondernemingsregels zijn vanzelfsprekend eerder bedoeld voor multinationals die een juridische oplossing willen vinden voor gegevensdoorgifte binnen hun groep.

Hieronder een tabel die een vergelijking maakt tussen de twee systemen:

BCRContract
Doel: voldoende garanties bieden als kader voor gegevensdoorgifte naar derde landen en dus de Privacywet nalevenIdem
Verplichte gedragscode binnen een bedrijvengroep Contract tussen twee juridische entiteiten die al dan niet tot dezelfde bedrijvengroep behoren
Creëren enkel een kader voor gegevensdoorgifte binnen de bedrijvengroepCreëert kader voor gegevensdoorgifte binnen en buiten de bedrijvengroep
Op maatOp maat of modelcontract van de Europese Gegevensbeschermingsautoriteit
Creëren per definitie een kader voor een groot aantal gegevensdoorgiften met verschillende doeleindenCreëert per definitie een kader voor specifieke gegevensdoorgiften
Per definitie slechts één gedragscode voor de hele bedrijvengroepIndien voor een groep: per definitie een vermenigvuldiging van contracten (wat soms vermeden wordt voor gegevensdoorgiften binnen een bedrijvengroep door contractbepalingen te integreren in een "Intra-Group Agreement")
Maken uniformisering mogelijk van het beleid voor de bescherming van persoonsgegevens binnen een bedrijvengroep-
Naast juridische verbintenissen rond privacyprincipes impliceren BCR ook concrete maatregelen die effectieve uitvoering van de regels garanderen (opleiding werknemers, privacy-audits, intern klachtenbehandelingssysteem, …)Is eerder beperkt tot juridische verbintenissen wat privacyprincipes betreft
Maken gegevensbescherming tot een van de ethische bezorgdheden van de bedrijvengroep en bevorderen externe communicatie van de groep daarover-

 

 

Welke zijn de uitzonderingen waarbij een grensoverschrijdende gegevensdoorgifte is toegestaan?

Als er geen overeenkomst is afgesloten, is de gegevensdoorgifte naar derde landen uitzonderlijk toegestaan in de volgende gevallen: wanneer de betrokkenen hun ondubbelzinnige toestemming geven voor de doorgifte van hun gegevens aan een dergelijk land, wanneer de doorgifte noodzakelijk is voor de tenuitvoerlegging van een overeenkomst met de betrokken persoon of wanneer de gegevens afkomstig zijn uit een openbaar register ter informatie van het publiek (bijvoorbeeld telefoongids, handelsregister). Deze uitzonderingen moeten op een restrictieve wijze geïnterpreteerd worden en kunnen geen normaal kader vormen voor de doorgifte van gegevens als deze massaal en repetitief zijn. Het is aangewezen om snel een contractuele oplossing te vinden die toelaat beduidend grotere waarborgen te bieden voor de bescherming van de gegevens van de burgers.

Meer informatie over de toepassing van de uitzonderingen is terug te vinden in het Werkdocument over een gemeenschappelijke interpretatie van artikel 26, lid 1, van Richtlijn 95/46/EG van 24 oktober 1995 (WP114). Dit document is terug te vinden op de website van de Groep Artikel 29.

Wat wordt bedoeld met conform de modelovereenkomsten van de Europese Gegevensbeschermingsautoriteit?

Met "conform de modelovereenkomsten van de Europese Gegevensbeschermingsautoriteit" wordt naar de volgende overeenkomsten verwezen:

  • overeenkomsten die identiek zijn aan de modelovereenkomsten goedgekeurd door de Europese Gegevensbeschermingsautoriteit en die aangevuld zijn op de specifiek daarvoor bedoelde plaatsen (bijlagen, namen van de partijen en andere specifieke punten, zoals clausule 5.b van modelovereenkomst 2001/497/EC enz.);
  • overeenkomsten die minimaal gewijzigd zijn (bijvoorbeeld interpunctie, vertaling) en waarvan de wijzigingen de betekenis noch het toepassingsgebied van de modelovereenkomsten wijzigen, en die ook geen afbreuk doen aan de fundamentele rechten en vrijheden van de betrokkenen;
  • modelovereenkomsten die ingevoegd zijn in een ruimere overeenkomst en toevoeging van andere, onder andere commerciële clausules, op voorwaarde dat zij niet direct of indirect indruisen tegen de modelovereenkomsten en dat zij geen afbreuk doen aan de fundamentele rechten en vrijhedenvan de betrokkenen.

Zie artikel 8 van het protocolakkoord tussen de FOD Justitie en de Autoriteit ondertekend op 25 juni 2013.