U bent hier: Home > In praktijk > Grensoverschrijdende doorgifte van persoonsgegevens

Hierover meer

Verwijzingen

Grensoverschrijdende doorgifte van persoonsgegevens

We weten nu dat onze gegevens veilig beschermd worden in ons eigen land. Hoe zit het nu als die gegevens worden doorgestuurd naar een ander land? Deze materie is nogal complex, maar we geven toch heel in het kort weer hoe de doorgifte van persoonsgegevens is geregeld.

Binnen deze pagina

Mijn gegevens worden doorgegeven naar een lidstaat van de Europese Unie
Mijn gegevens worden doorgegeven aan een land buiten de Europese Unie
Mogelijkheden van doorgifte naar landen die geen passend beschermingsniveau bieden

Mijn gegevens worden doorgegeven naar een lidstaat van de Europese Unie

Uw persoonsgegevens kunnen vrij circulerenvanuit België en binnen de Europese Unie zolang de algemene principes van de Belgische Privacywet worden nageleefd. Door de Europese Richtlijn 95/46/EG hanteren de lidstaten immers hetzelfde beschermingsniveau bij verwerking van persoonsgegevens. Bijgevolg is doorgifte binnen de Europese Unie op dezelfde manier geregeld als doorgifte in België en moeten de algemene principes van de wet gerespecteerd worden (onder meer eerbiediging van de wettigheid, verenigbaarheid van de mededeling met de oorspronkelijke verwerking, kennisgeving aan de betrokkenen).

Mijn gegevens worden doorgegeven aan een land buiten de Europese Unie

In principe is doorgifte enkel toegelaten naar landen die een passend beschermingsniveau bieden

Buiten de Europese Unie, en meer in het algemeen de Europese Economische Ruimte, mogen persoonsgegevens enkel worden overgezonden naar landen die een beschermingsniveau bieden gelijkwaardig aan dat op het grondgebied van de Europese Unie. Gelet op het gemak waarmee gegevens dankzij nieuwe technologieën circuleren, zou bij gebrek aan een dergelijke regel de uitgebreide bescherming die gewaarborgd wordt in de Europese Unie snel worden uitgehold.

Iedere verantwoordelijke voor de verwerking die persoonsgegevens buiten de Europese Unie wenst over te zenden, moet er zich eerst van vergewissen dat het land van bestemming een passend beschermingsniveau biedt. Indien het beschermingsniveau van het land van bestemming als passend beschouwd kan worden, kan de overzending gebeuren alsof het ging om een overzending tussen twee Belgische verantwoordelijken of naar een ander land van de Europese Unie. Niettemin moeten altijd de algemene beginselen van de wet (onder meer wettigheid, verenigbaarheid van de mededeling van de gegevens aan een derde met de oorspronkelijke verwerking, kennisgeving aan de betrokkenen) gerespecteerd worden.

De beoordeling van het passend karakter van het beschermingsniveau van landen buiten de Europese Unie gebeurt onder meer op basis van de algemene en sectorale wetgeving van het betrokken land en van de beroepsregels. Krachtens artikel 21, § 2 heeft de Koning de bevoegdheid om te bepalen voor welke categorieën van verwerkingen van persoonsgegevens en in welke omstandigheden de doorgifte van persoonsgegevens aan derde landen buiten niet is toegestaan. De Koning heeft van deze mogelijkheid nog geen gebruik gemaakt. Uit de evolutie van de beslissingen van de Europese Commissie en de lidstaten kan echter worden afgeleid dat niet de derde landen noch bepaalde verwerkingen zonder passend beschermingsniveau worden geïdentificeerd ("zwarte lijst"), maar net die die wel degelijk zulke passende bescherming bieden ("witte lijst").

De Europese Commissie heeft de bevoegdheid om vast te stellen dat een derde land een passend beschermingsnivieau biedt en heeft reeds het passend beschermingsniveau van de volgende landen erkend: Zwitserland, Canada (voor verwerkingen onderworpen aan de Canadese "Personal Information Protection and Electronic Documentation Act" en voor gegevens van luchtvaartpassagiers), Andorra, Argentinië, de Verenigde Staten (indien de ontvanger van de gegevens in de Verenigde Staten de "Safe Harbor principles" heeft aanvaard en voor gegevens van luchtvaartpassagiers), Guernesey, het eiland Man, de Faeröereilanden, Jersey, Australië (voor gegevens van luchtvaartpassagiers), IJsland, Liechtenstein en Israël. Voor alle bijkomende informatie of voor de laatste bijwerkingen van de lijst met landen die een passend beschermingsniveau bieden, wordt ten stelligste aangeraden de website van de Europese Commissie te raadplegen.

Mogelijkheden van doorgifte naar landen die geen passend beschermingsniveau bieden

Voldoende waarborgen via een overeenkomst

Indien het beschermingsniveau van het land waarnaar men gegevens wenst over te zenden niet door de Europese Commissie niet duidelijk wordt beschouwd als passend, betekent dit niet noodzakelijk dat iedere overzending onmogelijk is. Er bestaat immers een reeks afwijkingen die doorgifte mogelijk maken naar landen die geen passend beschermingsniveau bieden. Om de economische actoren juridische zekerheid te verschaffen, verplichten de EU-lidstaten de toepassing van deze afwijkingen op doorgiften naar derde landen die geen passend beschermingsniveau bieden, ook al zijn ze niet formeel erkend als landen met niet-passende bescherming. Een van deze afwijkingen is de mogelijkheid voor de verantwoordelijke voor de verwerking om via een overeenkomst zelf passende bescherming te bieden. Zo kan bescherming geboden worden door middel van een overeenkomst die bindend is voor de persoon die de gegevens toezendt en voor degene die ze ontvangt, en die voldoende garanties bevat inzake gegevensbescherming. In België dient een dergelijke overeenkomst in principe toegestaan te worden bij koninklijk besluit na advies van de Commissie voor de bescherming van de persoonlijke levenssfeer.

Om de verantwoordelijken voor de verwerking hierbij te helpen stelt de Europese Commissie modelovereenkomsten ter beschikking die automatisch beschouwd worden als voldoende waarborgen in het licht van de geldende regels voor gegevensbescherming. Daarom worden in België overeenkomsten die een van de de modelovereenkomsten van de Europese Commissie overnemen in de praktijk niet "bekrachtigd" bij koninklijk besluit. Zij maken evenmin het voorwerp uit van een machtiging door de Privacycommissie. Een kopie van de overeenkomst zal niettemin aan de privacycommissie gestuurd moeten worden opdat zij zich zou kunnen vergewissen van de overeenstemming met de modelovereenkomsten van de Europese Commissie. Bovendien zullen deze verwerkingen in principe aangegeven moeten worden in het openbaar register van de Privacycommissie, behoudens uitzonderingen op grond van de toepasselijke regels inzake de aangiften. Hier vindt u de beschikbare modelovereenkomsten:

overeenkomst voor doorgifte door een verantwoordelijke voor de verwerking naar verantwoordelijke voor de verwerking (eerste model 2001/497/CE (ENG));
overeenkomst voor doorgifte door een verantwoordelijke voor de verwerking naar verantwoordelijke voor de verwerking (tweede model 2004/915/CE (ENG));
overeenkomst voor doorgifte door een verantwoordelijke voor de verwerking naar een onderaannemer (voor contracten vóór 15 mei 2010: 2002/16/CE (ENG); voor nieuwe contracten sinds 15 mei 2010: 2010/87/EU). Ter informatie: de Groep 29 heeft FAQ's opgesteld (WP176 (ENG))over overeenkomsten die Beslissing 2010/87/EU volgen.

Als de verantwoordelijke voor de verwerking niet kiest voor een modelovereenkomst van de Europese Commissie kan hij toch een overeenkomst opstellen die voldoende waarborgen bieden voor gegevensbescherming. Deze overeenkomst moet in principe worden bekrachtigd met een koninklijk besluit getekend door de minister van Justitie, na advies van de Commissie voor de bescherming van de persoonlijke levenssfeer. De Privacycommissie en de FOD Justitie werken momenteel aan een protocolakkoord dat de inhoudelijke en procedurele regels vastlegt om deze manier van werken, vastgelegd in de Privacywet, mogelijk te maken.

Voor multinationals: voldoende waarborgen via interne gedragscodes (Binding Corporate Rules)

Als multinationals gegevensstromen willen opzetten binnen hun bedrijfsgroep en sommige leden daarvan bevinden zich buiten de Europese Economische Ruimte, kunnen zij eveneens voldoende waarborgen inzake gegevensbescherming bieden via interne gedragscodes (Binding Corporate Rules). Deze codes moeten bekrachtigd worden door de verschillende bij de stroom betrokken nationale gegevensbeschermingsautoriteiten. In België moet een koninklijk besluit worden aangenomen na advies van de Commissie voor de bescherming van de persoonlijke levenssfeer - zie het protocol overeengekomen tussen de FOD Justitie en de Commissie. Er werd een gecoördineerde Europese procedure ingesteld die de multinational de mogelijkheid biedt om zijn aanvraag in te dienen bij een nationale autoriteit (autoriteit die in dat geval de leiding heeft op Europees niveau) die vervolgens contact zal opnemen met de andere betrokken Europese autoriteiten om een gezamenlijk onderzoek te voeren over het ontwerp van gedragscode en aldus te komen tot coherente beslissingen van de verschillende gegevensbeschermingsautoriteiten. Bovendien zijn een aantal autoriteiten, waaronder België een systeem van wederzijdse erkenning overeengekomen om geharmoniseerde standpunten te kunnen innemen, gebaseerd op onderling vertrouwen van de gegevensbeschermingsautoriteiten wanneer interne gedragscodes door drie van hen zijn onderzocht. Een standaardformulier voor het indienen van een verzoek tot machtiging (WP 133 (ENG)) is eveneens beschikbaar. Voor meer informatie over de vereisten op Europees niveau voor goedkeuring van interne gedragscodes kunt u de werkdocumenten raadplegen die werden aangenomen door de Groep Artikel 29 (onder meer documenten (ENG) WP153, WP154, WP155 en basisdocumenten WP74, WP107, WP108). Er bestaat eveneens een rubriek over Binding Corporate Rules (ENG) op de website van de Europese Commissie.

Zodra de Europese procedure werd afgerond, kunnen de bindende ondernemingsregels ter goedkeuring worden voorgelegd aan de verschillende nationale autoriteiten.

In België stuurt de multinational per post of via e-mail het ontwerp van bindende ondernemingsregels naar de Commissie voor de bescherming van de persoonlijke levenssfeer.

Zodra de Commissie van mening is dat het dossier volledig in orde is, brengt zij de multinational en de FOD Justitie hiervan op de hoogte. De FOD Justitie dient dan een officiële adviesaanvraag bij de Commissie in. Het advies wordt uitgebracht binnen de 60 dagen. In geval van een positief advies wordt het Koninklijk Besluit aangenomen door de minister van Justitie.

Meer informatie vindt u in het protocol overeengekomen door de FOD Justitie en de Commissie.

Uitzonderingen

Bij gebrek aan een overeenkomst bestaan er nog bepaalde "uitzonderingen" waarmee gegevens kunnen worden overgezonden naar derde landen. Dit is onder meer het geval wanneer de betrokkenen hun ondubbelzinnige toestemming geven voor overzending van hun gegevens aan een dergelijk land, wanneer overzending noodzakelijk is voor de tenuitvoerlegging van een overeenkomst met de betrokken persoon of wanneer de gegevens afkomstig zijn uit een openbaar register ter informatie van het publiek (bijvoorbeeld telefoongids, handelsregister). Deze uitzonderingen moeten op restrictieve wijze geïnterpreteerd worden en kunnen geen normaal kader vormen voor overzending van gegevens, vooral als dit massaal en herhaaldelijk gebeurt. Het is aanbevolen om snel een contractuele oplossing te vinden die beduidend grotere waarborgen biedt voor de bescherming van de gegevens van de burgers.

Lees ook onze FAQ: grensoverschrijd ende doorgifte van persoonsgegevens