U bent hier: Home > In praktijk > Grensoverschrijdende doorgifte van persoonsgegevens

Hierover meer

Verwijzingen

Grensoverschrijdende doorgifte van persoonsgegevens

We weten nu dat onze gegevens veilig beschermd worden in ons eigen land. Hoe zit het nu als die gegevens worden doorgestuurd naar een ander land? Deze materie is nogal complex, maar we geven toch heel in het kort weer hoe de doorgifte van persoonsgegevens is geregeld.

Binnen deze pagina

Mijn gegevens worden doorgegeven naar een lidstaat van de Europese Unie
Mijn gegevens worden doorgegeven aan een land buiten de Europese Unie

Mijn gegevens worden doorgegeven naar een lidstaat van de Europese Unie

Uw persoonsgegevens kunnen vrij circuleren binnen de Europese Unie zolang de Belgische Privacywet wordt nageleefd. Door de Europese Richtlijn 95/46/EG hanteren de lidstaten immers hetzelfde beschermingsniveau bij verwerking van persoonsgegevens. Bijgevolg is doorgifte binnen de Europese Unie op dezelfde manier geregeld als doorgifte in België (onder meer eerbiediging van de wettigheid, verenigbaarheid van de mededeling met de oorspronkelijke verwerking, kennisgeving aan de betrokkenen).

Mijn gegevens worden doorgegeven aan een land buiten de Europese Unie

In principe is doorgifte enkel toegelaten naar landen die een passend beschermingsniveau bieden

Buiten de Europese Unie, en meer in het algemeen de Europese Economische Ruimte, mogen persoonsgegevens enkel worden overgezonden naar landen die een beschermingsniveau bieden gelijkwaardig aan dat op het grondgebied van de Europese Unie. Gelet op het gemak waarmee gegevens dankzij nieuwe technologieën circuleren, zou bij gebrek aan een dergelijke regel de uitgebreide bescherming die gewaarborgd wordt in de Europese Unie snel worden uitgehold.

Iedere verantwoordelijke voor de verwerking die persoonsgegevens buiten de Europese Unie wenst over te zenden, moet er zich eerst van vergewissen dat het land van bestemming een passend beschermingsniveau biedt. Indien het beschermingsniveau van het land van bestemming als passend beschouwd kan worden, kan de overzending gebeuren alsof het ging om een overzending tussen twee Belgische verantwoordelijken of naar een ander land van de Europese Unie. Niettemin moeten altijd de algemene beginselen van de wet (onder meer wettigheid, verenigbaarheid van de mededeling van de gegevens aan een derde met de oorspronkelijke verwerking, kennisgeving aan de betrokkenen) grespecteerd worden.

Het passend karakter van het beschermingsniveau van landen buiten de Europese Unie wordt bepaald door de Europese Commissie, onder meer op basis van de algemene en sectorale wetgeving van het betrokken land en van de beroepsregels. De Europese Commissie heeft reeds het passend beschermingsniveau van de volgende landen erkend: Zwitserland, Canada, Argentinië, de Verenigde Staten (indien de ontvanger van de gegevens in de Verenigde Staten de "Safe Harbor principles" heeft aanvaard), Guernesey en het eiland Man. Voor alle bijkomende informatie of voor de laatste bijwerkingen van de lijst met landen die een passend beschermingsniveau bieden, wordt ten stelligste aangeraden de website van de Europese Commissie te raadplegen.

Mogelijkheden van doorgifte naar landen die geen passend beschermingsniveau bieden

Voldoende waarborg via een overeenkomst

Indien het land waarnaar men gegevens wenst over te zenden niet voorkomt in de lijst van de Europese Commissie, betekent dit niet noodzakelijk dat iedere overzending onmogelijk is. De verantwoordelijke voor de verwerking kan immers eveneens via een overeenkomst zelf passende bescherming bieden. Zo kan bescherming geboden worden door middel van een overeenkomst die bindend is voor de persoon die de gegevens toezendt en voor degene die ze ontvangt, en die voldoende garanties bevat inzake gegevensbescherming. In België dient een dergelijke overeenkomst toegestaan te worden bij koninklijk besluit na advies van de Commissie voor de bescherming van de persoonlijke levenssfeer. Om de verantwoordelijken voor de verwerking hierbij te helpen stelt de Europese Commissie modelovereenkomsten ter beschikking die automatisch beschouwd worden als voldoende waarborgen op het gebied van gegevensbescherming. In België dienen overeenkomsten die de modelovereenkomst van de Europese Commissie overnemen in de praktijk niet " bekrachtigd" te worden bij koninklijk besluit. Zij dienen evenmin het voorwerp uit te maken van een machtiging door de Commissie. Een kopie van de overeenkomst zal niettemin aan de Commissie gestuurd moeten worden opdat zij zich zou kunnen vergewissen van de overeenstemming met de modelovereenkomsten van de Europese Commissie. Bovendien zullen deze verwerkingen in principe aangegeven moeten worden in het openbaar register van de Commissie, behoudens uitzonderingen op grond van de toepasselijke regels inzake de aangiften. Hier vindt u de beschikbare modelovereenkomsten:

overeenkomst voor doorgifte door een verantwoordelijke voor de verwerking naar verantwoordelijke voor de verwerking (eerste model 2001/497/CE (ENG));
overeenkomst voor doorgifte door een verantwoordelijke voor de verwerking naar verantwoordelijke voor de verwerking (tweede model 2004/915/CE (ENG));
overeenkomst voor doorgifte door een verantwoordelijke voor de verwerking naar een onderaannemer (2002/16/CE (ENG)).

Voor multinationals: voldoende waarborgen via interne gedragscodes (Binding Corporate Rules)

Als multinationals gegevensstromen willen opzetten binnen hun bedrijfsgroep en sommige leden daarvan bevinden zich buiten de Europese Economische Ruimte, kunnen zij eveneens voldoende waarborgen inzake gegevensbescherming bieden via interne gedragscodes (Binding Corporate Rules). Deze codes moeten bekrachtigd worden door de verschillende bij de stroom betrokken nationale gegevensbeschermingsautoriteiten (in België moet een koninklijk besluit worden aangenomen na advies van de Commissie voor de bescherming van de persoonlijke levenssfeer). Er werd een gecoördineerde Europese procedure ingesteld die de multinational de mogelijkheid biedt om zijn aanvraag in te dienen bij een nationale autoriteit die vervolgens contact zal opnemen met de andere betrokken Europese autoriteiten om een gezamenlijk onderzoek te voeren over het ontwerp van gedragscode en aldus te komen tot coherente beslissingen van de verschillende gegevensbeschermingsautoriteiten. Een standaardformulier voor het indienen van een verzoek tot machtiging (WP 133 (ENG)) is eveneens beschikbaar. Voor meer informatie over de vereisten voor goedkeuring van interne gedragscodes kunt u de werkdocumenten raadplegen die werden aangenomen door de Groep Artikel 29 (onder meer de documenten (ENG) WP74, WP107, WP108, WP153, WP154, WP155).

Uitzonderingen

Bij gebrek aan een overeenkomst bestaan er nog bepaalde "uitzonderingen" waarmee gegevens kunnen worden overgezonden naar derde landen. Dit is onder meer het geval wanneer de betrokkenen hun ondubbelzinnige toestemming geven voor overzending van hun gegevens aan een dergelijk land, wanneer overzending noodzakelijk is voor de tenuitvoerlegging van een overeenkomst met de betrokken persoon of wanneer de gegevens afkomstig zijn uit een openbaar register ter informatie van het publiek (bijvoorbeeld telefoongids, handelsregister). Deze uitzonderingen moeten op restrictieve wijze geïnterpreteerd worden en kunnen geen normaal kader vormen voor overzending van gegevens, vooral als dit massaal en herhaaldelijk gebeurt. Het is aanbevolen om snel een contractuele oplossing te vinden die beduidend grotere waarborgen biedt voor de bescherming van de gegevens van de burgers.

Lees ook onze FAQ: grensoverschrijdende doorgifte van persoonsgegevens