Doorgifte van persoonsgegevens naar het buitenland

De economische globalisering brengt alsmaar meer grensoverschrijdende gegevensdoorgiftes met zich mee. Er duiken steeds vaker bedrijven op die op regelmatige basis bepaalde van hun activiteiten laten verwerken door bedrijven die hun zetel hebben in een ander land (bijvoorbeeld de payroll, callcenters voor klanten, etc). In België moet diegene die de gegevens verwerkt, de zogeheten "verantwoordelijke voor de verwerking", er bij de ontvanger van de gegevens in het buitenland over waken dat de belangen van de betrokken persoon niet geschaad worden.

Welke procedure moet worden gevolgd ?

Persoonsgegevens mogen vrij circuleren op het grondgebied van de Europese Economische Ruimte. Die Ruimte bestaat uit de 27 lidstaten van de Europese Unie, plus IJsland, Noorwegen en Liechtenstein.

De Europese Commissie verleent daarnaast aan een aantal landen een passend beschermingsniveau dat gelijkaardig is aan dat van de Lidstaten. Het betreft hier Canada, Argentinië, het prinsdom Andorra, Jersey, Zwitserland, Israël, het eiland Man, de Faröereilanden en Guernesey.

Buiten die ruimte is gegevensdoorgifte onderworpen aan bijkomende garanties.

De verantwoordelijken voor de verwerking hebben verschillende middelen om aan die verplichtingen te voldoen. De Belgische wet eist met name de toestemming van de betrokken persoon voor de doorgifte en de daadwerkelijke noodzaak van een doorgifte om die verwerking te kunnen verrichten.

Ten behoeve van Europese verantwoordelijken voor de verwerking die gegevens buiten de Europese Unie willen doorgeven stelde de Europese Commissie een model op met bindende regels. Er bestaan 2 sets regels die betrekking hebben op gegevensdoorgifte tussen verantwoordelijken voor de verwerking en een set voor gegevensdoorgifte tussen een verantwoordelijke voor de verwerking en een gegevensverwerker.

Ook aan Amerikaanse ontvangers van gegevens die de "Safe Harbor principles" onderschrijft, wordt bij gegevensdoorgifte een voldoende beschermingsniveau toegekend.

Tot slot moeten in België bindende ondernemingsregels (in het Engels BCR: binding corporate rules), of een overeenkomst die werd opgesteld voor een gegevensdoorgifte buiten de Europese Unie, door een koninklijk besluit worden goedgekeurd na advies van de Privacycommissie.

U vindt meer uitleg over de doorgifte van gegevens onder de rubriek "In praktijk" – "Grensoverschrijdende doorgifte van persoonsgegevens".