Article

EUROPEES RECHT – Verwerking van persoonsgegevens, R.D.C.-T.B.H., 2005/5, p. 558-561

EUROPEES RECHT

Verwerking van persoonsgegevens

De Europese Commissie keurt nieuwe standaardclausules voor de doorgifte van persoonsgegevens naar derde landen goed
Inleiding

Op 27 december 2004 heeft de Europese Commissie voor de derde maal een beschikking uitgevaardigd betreffende de invoering van alternatieve modelcontractbepalingen voor de doorgifte van persoonsgegevens naar derde landen (hierna “de Beschikking”) [1].

De Beschikking treedt in werking op 1 april 2005.

Op het einde van deze bijdrage geven wij een kort overzicht van de voornaamste bepalingen van de Beschikking. Niettemin vonden wij het aangewezen om tevens, en in eerste instantie, het kader te schetsen waarbinnen deze Beschikking gesitueerd dient te worden.

Achtergrond

Richtlijn 95/46/EG van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens [2] (hierna “de Richtlijn”) bevat een aantal bepalingen betreffende de doorgifte van persoons­gegevens naar derde landen. Het gaat hierbij om het ter kennis brengen van persoonsgegevens aan derden die niet in een EU-land gevestigd zijn [3]. Deze bepalingen werden in Belgisch recht omgezet met de Wet van 11 december 1998 [4] tot wijziging van de Wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (hierna “de Wet”).

De regels inzake de doorgifte van persoonsgegevens naar derde landen doen geen afbreuk aan de overige bepalingen uit de Richtlijn en de Wet. Dit impliceert dat de verantwoordelijke voor de verwerking, d.i. de natuurlijke persoon of de rechtspersoon die het doel en de middelen voor de verwerking van persoonsgegevens bepaalt, die persoonsgegevens naar een derde land wenst door te geven, de overige verplichtingen uit de Richtlijn en de Wet dient te respecteren (bv. de verplichting om de betrokkenen - wiens persoonsgegevens verwerkt worden - in te lichten over de doeleinden van de verwerking).

Passend beschermingsniveau

Volgens artikel 25, lid 1, van de Richtlijn (en art. 21, § 1, van de Wet) mogen persoonsgegevens die aan een verwerking onderworpen worden of die bestemd zijn om na doorgifte te worden verwerkt slechts naar een derde land worden doorgegeven indien dat land een passend beschermingsniveau waarborgt. Binnen de EU daarentegen kunnen persoonsgegevens vrij worden doorgegeven.

Met de regeling wilde de Europese wetgever enerzijds de internationale handel stimuleren door het grensoverschrijdend verkeer van persoonsgegevens mogelijk te maken en, anderzijds, vermijden dat het hoog en geharmoniseerd beschermingsniveau dat van toepassing is binnen de EU uitgehold zou worden bij een doorgifte naar derde landen die geen passend beschermingsniveau bieden.

Noch de Richtlijn, noch de Wet geven een definitie van het begrip “passend beschermingsniveau”.

1) Beoordeling door de verantwoordelijke voor de verwerking zelf

Beide wetteksten sommen evenwel een aantal omstandigheden op waarmee men rekening dient te houden om in een specifiek geval het door een derde land geboden beschermingsniveau te beoordelen. Zo dient men bij de doorgifte rekening te houden met de aard van de gegevens, het doeleinde en de duur van de voorgenomen verwerking(en), het land van herkomst en het land van eindbestemming, de algemene en sectorale rechtsregels die in het betrokken derde land gelden, alsook de beroepscodes en de veiligheidsmaatregelen die in die landen worden nageleefd.

Het is de verantwoordelijke voor de verwerking die, op grond van deze omstandigheden, dient te beoordelen of er in een specifiek geval sprake is van een passend beschermingsniveau en of hij derhalve de persoonsgegevens al dan niet kan doorgeven naar het desbetreffende derde land. Hij kan zich hierbij laten leiden door een aantal richtlijnen die op Europees niveau werden opgesteld [5].

2) Beoordeling door de Europese Commissie

Daarnaast voorziet artikel 25, lid 6, van de Richtlijn dat de Europese Commissie bevoegd is om het beschermings­niveau van een derde land te beoordelen. Zo heeft de Commissie reeds geoordeeld dat Zwitserland [6], Canada [7], Argentinië [8], Guernsey [9] en het eiland Man [10] een passend beschermingsniveau bieden. Bijgevolg kunnen persoonsgegevens in principe zonder bijkomende vereisten naar deze landen worden doorgegeven. Weliswaar kunnen de nationale bevoegde instanties onder bepaalde omstandigheden gegevensstromen naar importeurs in deze landen opschorten.

De Commissie heeft tevens geoordeeld dat persoonsgegevens naar de Verenigde Staten van Amerika kunnen doorgegeven worden op voorwaarde dat de Amerikaanse gegevens­importeur de zogenaamde Veilige Haven (“Safe Harbour”)-principes heeft onderschreven [11].

Deze beslissingen van de Commissie zijn bindend voor de Lidstaten en voor de verantwoordelijken voor de verwerking van persoonsgegevens binnen de EU. Een doorgifte van persoonsgegevens door een verantwoordelijke naar één van voormelde landen is derhalve toegestaan.

Geen passend beschermingsniveau

Indien het derde land geen passend beschermingsniveau biedt, dan is de doorgifte van persoonsgegevens naar dat land niet toegelaten. Op dit verbod zijn echter een aantal uitzonderingen geformuleerd.

1) Uitzonderingen voorzien in artikel 22, § 1, van de Wet

In eerste instantie mogen persoonsgegevens toch doorgegeven worden naar een derde land dat geen waarborgen voor een passend beschermingsniveau biedt indien:

    • “de betrokkene daarvoor zijn ondubbelzinnige toestemming heeft gegeven;
    • de doorgifte noodzakelijk is voor de uitvoering van een overeenkomst tussen de betrokkene en de verantwoordelijke voor de verwerking of voor de uitvoering van op verzoek van de betrokkene genomen contractuele maatregelen;
    • de doorgifte noodzakelijk is voor de sluiting of de uitvoering van een in het belang van de betrokkene tussen de verantwoordelijke voor de verwerking en een derde gesloten of te sluiten overeenkomst;
    • de doorgifte noodzakelijk of wettelijk verplicht is vanwege een zwaarwegend algemeen belang of voor de vaststelling, de uitoefening of de verdediging van een recht in rechte;
    • de doorgifte noodzakelijk is ter vrijwaring van het vitaal belang van de betrokkene;
    • de doorgifte geschiedt vanuit een openbaar register dat krachtens wettelijke of bestuursrechtelijke bepalingen bedoeld is om het publiek voor te lichten en dat door eenieder dan wel door iedere persoon die zich op een gerechtvaardigd belang kan beroepen, kan worden geraadpleegd, voor zover in het betrokken geval voldaan is aan de wettelijke voorwaarden voor raadpleging”.
    2) Aanwezigheid van voldoende waarborgen
    a) Individuele machtiging

    Artikel 22, § 1, in fine van de Wet voorziet dat de Koning, na advies van de Commissie voor de bescherming van de persoonlijke levenssfeer, machtiging kan verlenen voor een doorgifte van persoonsgegevens naar een derde land dat geen passend beschermingsniveau biedt. Voorwaarde is evenwel dat de verantwoordelijke voor de verwerking voldoende waarborgen biedt ten aanzien van de bescherming van de persoonlijke levenssfeer, de fundamentele rechten en vrijheden van personen, alsmede ten aanzien van de uitoefening van de daaraan verbonden rechten.

    De Wet specificeert niet wat onder “voldoende waarborgen” verstaan dient te worden. Wel geeft de wetgever aan dat dergelijke waarborgen met name kunnen voortvloeien uit passende contractuele bepalingen.

    Bijgevolg kan de exporteur van persoonsgegevens een overeenkomst afsluiten met de importeur van de gegevens en deze vervolgens voorleggen aan de bevoegde autoriteiten. Indien deze van oordeel zijn dat de overeenkomst voldoende waarborgen biedt, zal een machtiging tot doorgifte van de persoonsgegevens verleend worden.

    Daarnaast wordt tevens de mogelijkheid erkend om zogenaamde “binding corporate rules” (of bindende ondernemingsregels) op te stellen [12]. Deze oplossing is in eerste instantie gericht op multinationale ondernemingen. Bindende ondernemingsregels zijn gedragscodes waarbij de moedermaatschappij van een multinationale groep bepaalt onder welke voorwaarden persoonsgegevens binnen de groep kunnen doorgegeven worden. Of in een concreet geval het gebruik van bindende ondernemingsregels voor de doorgifte van persoonsgegevens voldoende waarborgen biedt, dient opnieuw beoordeeld te worden door de nationale autoriteiten die desgevallend een machtiging tot doorgifte zullen verlenen.

    Aangezien de Wet geen definitie geeft van voldoende waarborgen en de passende contractuele bepalingen slechts één mogelijkheid zijn (“met name”) is het niet uitgesloten dat andere ad hoc-oplossingen worden uitgedacht die tevens voldoende waarborgen bieden.

    b) Gebruik van modelcontractbepalingen goedgekeurd door de Europese Commissie

    Artikel 26, lid 4, van de Richtlijn laat de Europese Commissie toe te besluiten dat bepaalde modelcontractbepalingen voldoende waarborgen bieden. Dit betekent dat wanneer een gegevensexporteur en -importeur een beroep doen op deze standaardclausules, de doorgifte van persoonsgegevens is toegestaan. De Lidstaten zijn verplicht om zich naar de beslissingen van de Commissie te schikken.

    In 2001 heeft de Commissie twee types van modelcontractbepalingen goedgekeurd. De eerste bepalingen hebben betrekking op de doorgifte van persoonsgegevens door een verantwoordelijke gevestigd in de EU naar een verantwoordelijke in een derde land (hierna “het eerste modelcontract”) [13]. Het tweede type van standaardclausules is van toepassing op de doorgifte van persoonsgegevens door een verantwoordelijke gevestigd in de EU naar een verwerker in een derde land [14]. Deze laatste doorgiften vereisen niet dezelfde waarborgen omdat de verwerker uitsluitend namens de voor de verwerking verantwoordelijke optreedt.

    De standaardclausules hebben enkel betrekking op gegevensbescherming, hetgeen impliceert dat de exporteur en de importeur van de gegevens ook andere contractuele clausules in hun overeenkomst kunnen opnemen, voor zover deze niet strijdig zijn met het modelcontract.

    (i) Het eerste modelcontract

    Het eerste modelcontract bevat o.m. clausules inzake:

      • de verplichtingen van de partijen: zo bevat het modelcontract een aantal beginselen inzake gegevensbescherming (bv. specificiteit, kwaliteit en evenredigheid van de gegevens, transparantie), die door de gegevens­importeur moeten nageleefd worden;
      • de afdwingbaarheid door de betrokkenen: het modelcontract bevat een derdenbeding op grond waarvan de betrokkenen, die geen partij zijn bij de overeenkomst, de naleving van een aantal contractuele bepalingen kunnen vorderen;
      • de aansprakelijkheid van de contractpartijen: de gegevensexporteur en -importeur zijn hoofdelijk aansprakelijk voor door de betrokkenen geleden schade die voortvloeit uit een schending van de bepalingen die onder het derdenbeding vallen;
      • bemiddeling en rechtsmacht: in geval van een geschil tussen de betrokkene en één van de contractpartijen, heeft de betrokkene de keuze om het geschil te onderwerpen aan bemiddeling, arbitrage of de rechtbanken;
      • de samenwerking van de contractpartijen met de toezichthoudende autoriteiten;
      • de beëindiging van de clausules van het model­contract;
      • het toepasselijk recht: het modelcontract is onderworpen aan het recht van de Lidstaat van vestiging van de gegevensexporteur;
      • de verplichting om de voorwaarden van de clausules niet te wijzigen.

      De details van de doorgifte (zoals bv. de categorieën betrokkenen, de doeleinden van de doorgifte, de categorieën gegevens die worden doorgegeven en de bewaartermijn van de doorgegeven persoonsgegevens) dienen nader gespecificeerd te worden in een aanhangsel dat integraal deel uitmaakt van het modelcontract.

      (ii) Het tweede modelcontract

      Het eerste modelcontract, dat nog steeds gebruikt kan worden, maakt het voor ondernemingen gemakkelijker om persoonsgegevens naar een derde land door te geven.

      Niettemin heeft de Europese Commissie met haar Beschikking een tweede modelcontract goedgekeurd dat van toepassing is op de doorgifte van persoonsgegevens door een verantwoordelijke gevestigd in de EU naar een verantwoordelijke in een derde land. Dit tweede modelcontract is totstandgekomen op grond van onderhandelingen tussen de Europese Commissie en een coalitie van organisaties uit het bedrijfsleven. De bedrijfswereld drong hierop aan omdat zij van oordeel was dat het eerste modelcontract niet gebruiksvriendelijk genoeg was.

      Het nieuwe modelcontract bouwt grotendeels verder op het eerste modelcontract maar wijkt op een aantal punten hiervan af. De afwijkende clausules zijn voornamelijk in het voordeel van de in de EU gevestigde gegevensexporteur opgesteld.

      In eerste instantie is het regime van de hoofdelijke aansprakelijkheid van de gegevensexporteur en -importeur vervangen door een aansprakelijkheidsregime dat gebaseerd is op het beginsel van de nodige zorgvuldigheid (in de Beschikking ook als due diligence-verplichtingen omschreven). Dit beginsel betekent dat de gegevensexporteur redelijke inspanningen dient te leveren om vast te stellen dat de gegevensimporteur in staat is om zijn verplichtingen uit het modelcontract na te leven. Dergelijke redelijke inspanningen kunnen o.m. blijken uit het uitvoeren van een audit in de gebouwen van de gegevensimporteur. Er wordt tevens uitdrukkelijk bepaald dat elke contractpartij tegenover de andere partij aansprakelijk is voor schade die voortvloeit uit de niet-naleving van het modelcontract.

      In het tweede modelcontract is bovendien voorzien in een grotere betrokkenheid van de gegevensexporteur bij de behandeling van klachten van betrokkenen. Het modelcontract geeft de gegevensexporteur tevens de mogelijkheid om de doorgifte van persoonsgegevens aan de importeur tijdelijk op te schorten indien deze laatste het contract niet naleeft. Daarnaast kan de exporteur de overeenkomst beëindigen, o.m. indien de doorgifte gedurende meer dan één maand is opgeschort wegens contractuele tekortkoming van de importeur.

      Tot slot zijn een aantal beperkingen aangebracht aan het recht van toegang van de betrokkene tot de gegevens die over hem worden bijgehouden (bv. degene die de gegevens over de betrokkene bijhoudt, kan een verzoek tot toegang weigeren in geval van abusieve verzoeken zoals het herhaald en systematisch opvragen van informatie). Ook het recht van rectificatie, uitwissing en verzet kunnen beperkt worden.

      Als tegengewicht voor deze grotere flexibiliteit (en mogelijke beperking van de aansprakelijkheid van de gegevens­exporteur) kunnen de nationale autoriteiten de doorgifte van persoonsgegevens gemakkelijker opschorten of verbieden. Dit zal het geval zijn wanneer de gegevensexporteur geen passende stappen wil ondernemen om de gegevensimporteur aan het contract te houden of deze laatste weigert te goeder trouw samen te werken met de bevoegde nationale autoriteiten.

      [1] PB. L 385/74 van 29 december 2004.
      [2] PB. L 281/31 van 23 november 1995.
      [3] Deze regeling is bij uitbreiding van toepassing ten aanzien van de EER-Lidstaten Noorwegen, Liechtenstein en IJsland.
      [4] B.S. 3 februari 1999.
      [5] Zie o.m. Werkdocument WP 12 ”Doorgifte van persoonsgegevens naar derde landen: toepassing van de artikelen 25 en 26 van de EU-richtlijn betreffende gegevensbescherming”, goedgekeurd op 24 juli 1998 door de bij de Richtlijn ingestelde Groep 29 (zie art. 29 Richtlijn).
      [6] PB. L 215/1 van 25 augustus 2000.
      [7] PB. L 2/13 van 4 januari 2002. Canada is een bijzonder geval in die zin dat persoonsgegevens enkel kunnen doorgegeven worden naar Canadese gegevensimporteurs die onder de Canadese “Personal Information Protection and Electronic Documents Act” vallen.
      [8] PB. L 168/19 van 5 juli 2003.
      [9] PB. L 308/27 van 25 november 2003.
      [10] PB. L 151/48 van 30 april 2004.
      [11] PB. L 215/7 van 25 augustus 2000. Bovendien zijn specifieke regels van toepassing betreffende persoonsgegevens van vliegtuigpassagiers die aan de VSA worden doorgegeven.
      [12] Werkdocument WP 74 “Doorgifte van persoonsgegevens naar derde landen: toepassing van artikel 26 (2) van de EU-richtlijn betreffende gegevensbescherming op bindende ondernemingsregels voor internationale doorgiften van gegevens”, goedgekeurd op 3 juni 2003 door de Groep 29.
      [13] PB. L 181/19 van 4 juli 2001.
      [14] PB. L 6/52 van 10 januari 2002.