1/3
Advies nr 42/2016 van 20 juli 2016
Betreft: Advies uit eigen beweging betreffende de bindende ondernemingsregels (Binding corporate rules of "BCR") van de multinationale onderneming SIEMENS (CO-A-2016-053)
De Commissie voor de bescherming van de persoonlijke levenssfeer;
Gelet op de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (hierna WVP), inzonderheid artikel 29;
Gelet op het verslag van Ivan Vandermeersch;
Brengt op 20 juli 2016 het volgend advies uit:
Advies 42 / 2016 - 2/3
I. CONTEXT VAN DE AANVRAAG
1. De Commissie wenst een advies te verstrekken over de bindende ondernemingsregels (Binding corporate rules of "BCR") van de onderneming SIEMENS en dit overeenkomstig het protocolakkoord dat op 13 juli 20111 werd afgesloten tussen de FOD Justitie en de Commissie.
2. Dit protocolakkoord definieert de elementen die in overweging moeten genomen worden om bindende ondernemingsregels (BCR) te kunnen beschouwen als voldoende waarborgen biedend in de zin van artikel 22, §1, 2de lid van de Wet van 8 december 1992 om een doorgifte van persoonsgegevens toe te staan naar een land buiten de Europese Unie dat geen passend beschermingsniveau voor persoonsgegevens biedt.
3. De BCR van de multinationale onderneming SIEMENS hebben het onderwerp gevormd van een Europese samenwerkingsprocedure na afloop waarvan zij beschouwd werden als conform aan de voorwaarden van de referentiedocumenten van de Werkgroep "artikel 29" voor gegevensbescherming2. De Commissie neemt er akte van dat de gegevens van het Belgische Rijksregister niet doorgegeven worden. De Commissie heeft er zich van verzekerd dat de BCR op de website van de multinationale onderneming SIEMENS transparant zijn. De Commissie heeft er zich ook van verzekerd dat er op basis van de BCR geen enkel gezondheidsgegeven wordt doorgegeven binnen de ondernemingen van de Siemensgroep, in het bijzonder door de Belgische onderneming Siemens Healthcare Diagnostics. De multinationale onderneming SIEMENS verduidelijkt dat (vrije vertaling) “Siemens Healthcare Diagnostics een leverancier is van producten en oplossingen zoals scanners en apparaten voor medische analyse; Siemens Healthcare Diagnostics verwerkt echter geen gezondheidsgegevens die zij verkregen via hun producten en oplossingen, het is altijd het ziekenhuis of het onderzoekslaboratorium die de gezondheidsgegevens verwerkt. De beschrijving van de flux is dus correct en geen enkel gezondheidsgegeven zal worden doorgegeven binnen de ondernemingsgroep Siemens op basis van de BCR.”
II. ONDERZOEK VAN DE BCR
4. De Commissie is van mening dat de BCR van de multinationale onderneming SIEMENS beantwoorden aan de voorwaarden zoals ze zijn opgesomd in titel IV van het protocolakkoord dat afgesloten werd tussen de FOD Justitie en de Commissie op 13 juli 20113. In dit protocolakkoord worden de voorwaarden, die door de Werkgroep "artikel 29" voor
1 Dit protocol is beschikbaar op de website van de Commissie
2 Werkdocumenten WP74, WP108, WP153 en WP155
3 Dit protocol is beschikbaar op de website van de Commissie
Advies 42 / 2016 - 3/3
gegevensbescherming in haar werkdocumenten WP74, WP108, WP153 en WP155 werden bepaald, omgezet naar het Belgisch niveau.
5. Deze waarborgen zijn bijgevolg voldoende in de zin van artikel 22, §1, 2de lid van de Wet van 8 december 1992 om een doorgifte van persoonsgegevens toe te staan naar een land buiten de Europese Unie dat geen passend beschermingsniveau voor persoonsgegevens biedt.
6. De Commissie wenst bovendien te benadrukken dat het feit dat er geopteerd werd voor het invoeren van bindende ondernemingsregels, een ernstige en globale inoverwegingneming impliceert van de kwestie van de gegevensbescherming in de schoot van een groep ondernemingen en duidelijk de voortdurende aandacht weerspiegelt van de multinationale onderneming SIEMENS voor de bescherming van dit fundamenteel recht wat door de Commissie natuurlijk naar waarde wordt geschat.
OM DEZE REDENEN,
Verstrekt de Commissie een gunstig advies over de bindende ondernemingsregels (BCR) van de multinationale onderneming SIEMENS en oordeelt dat de grensoverschrijdende doorgiften van persoonsgegevens, die uitgevoerd worden door de Belgische entiteiten van deze ondernemingen zoals beschreven in de bijlagen bij de BCR, naar entiteiten die gebonden zijn door deze BCR en gevestigd zijn in een land dat geen passend beschermingsniveau biedt, toegelaten zijn.
De Wnd. Administrateur, De Voorzitter,
(get.) An Machtens (get.) Willem Debeuckelaere