U bent hier: Home > Nieuw > In de kijker > De doorgifte van gegevens naar het buitenland

De doorgifte van gegevens naar het buitenland

Aangezien de criteria voor doorzending niet voor iedereen even duidelijk zijn, wenst de Commissie kort stil te staan bij wat toegelaten is als u persoonsgegevens vanuit België naar het buitenland wil doorgeven.

Binnen de Europese Unie mogen persoonsgegevens vrij circuleren, zolang de Belgische Privacywet maar wordt gerespecteerd. Deze wet is geïnspireerd op een Europese Richtlijn die ook werd omgezet door de andere lidstaten van de Europese Unie. Alle lidstaten kennen met andere woorden een gelijkaardig beschermingsniveau bij de verwerking van persoonsgegevens.

Buiten de Europese Unie en meer bepaald buiten de Europese Economische Ruimte (dit is de EU aangevuld met IJsland, Noorwegen en Liechtenstein) is het doorslaggevend criterium met name of het land al dan niet een “passend beschermingsniveau” biedt. Dit wordt beoordeeld door de Europese Commissie.

Zo heeft de Europese Commissie een lijst opgesteld van landen met een passend beschermingsniveau. Het gaat bijvoorbeeld om Canada, Argentinië en Zwitserland. Wat de Verenigde Staten betreft, dient de ontvanger in dit land de zogenaamde “Safe Harbor Principles” te hebben aanvaard voor kan worden gesproken van een “passend beschermingsniveau”.

Komt het land waar men de gegevens naartoe wil zenden niet voor op de lijst van de Europese Commissie, dan betekent dit niet noodzakelijk dat iedere overzending onmogelijk is. Zo kunnen voldoende garanties inzake gegevensbescherming geboden worden door middel van een overeenkomst die bindend is voor de persoon die de gegevens toezendt en voor degene die ze ontvangt. In principe moeten deze overeenkomsten in België bekrachtigd worden door een koninklijk besluit (FOD Justitie) na advies van de Commissie. De Europese Commissie heeft evenwel modelovereenkomsten ter beschikking die automatisch (dus zonder bekrachtiging via een koninklijk besluit) voldoende waarborgen bieden op het gebied van gegevensbescherming, zolang ze maar integraal worden overgenomen. Momenteel zijn er verschillende types van modelovereenkomsten. Een kopie van de concrete overeenkomst dient aan de Commissie te worden bezorgd, zodat zij zich kan vergewissen van de overeenstemming ervan met de modelovereenkomsten.

Multinationals die gegevensstromen wensen op te zetten binnen de groep waarvan de leden zich buiten de Europese Economische Ruimte bevinden, kunnen eveneens voldoende waarborgen inzake gegevensbescherming bieden via interne gedragscodes, zogenaamde “Binding Corporate Rules”. Dergelijke BCR’s moeten wel via een koninklijk besluit (FOD Justitie) bekrachtigd worden na advies van de Commissie.

Ten slotte bestaan er bij gebrek aan een passend beschermingsniveau en bij gebrek aan de reeds besproken overeenkomsten nog bepaalde uitzonderingen die toelaten gegevens over te zenden naar het buitenland. Dit is onder meer het geval wanneer de betrokkenen hun ondubbelzinnige toestemming geven voor deze overzending, wanneer doorzending noodzakelijk is voor de tenuitvoerlegging van een overeenkomst met de betrokken persoon of wanneer de gegevens afkomstig zijn uit een openbaar register ter informatie van het publiek (bijvoorbeeld een handelsregister). Deze uitzonderingen moeten op restrictieve wijze geïnterpreteerd worden en mogen geen normaal kader vormen voor de overzending van gegevens, zeker niet als de verwerking op grote schaal of herhaaldelijk plaatsgrijpt.