• No results found

ADVIES Nr 38 / 2003 van 25 september 2003

N/A
N/A
Info
Downloaden
Protected

Academic year: 2022

Share "ADVIES Nr 38 / 2003 van 25 september 2003"

Copied!
4
0
0

Bezig met laden.... (Bekijk nu de volledige tekst)

Download het nu ( 4 pagina )

Hele tekst

(1)

AD 38 / 2003 - 1 / 4

ADVIES Nr 38 / 2003 van 25 september 2003

O. Ref. : 10 / IP / 2003 / 309

BETREFT : Contractuele bepalingen met het oog op het wettigen van een doorgifte van persoonsgegevens naar een land dat geen lid is van de Europese Gemeenschap.

De Commissie voor de bescherming van de persoonlijke levenssfeer,

Gelet op de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens, in het bijzonder op artikel 22, 6°, § 2;

Gelet op het verzoek om advies van de Minister van Justitie d.d. 11 juni 2003;

Gelet op het verslag van de Voorzitter,

Brengt op 25 september 2003 volgend advies uit:

(2)

AD 38 / 2003 - 2 / 4

I. INLEIDING ---

Op 11 juni 2003 heeft de Minister van Justitie het advies van de Commissie gevraagd betreffende een overeenkomst tussen twee afdelingen van de groep General Electrics, die ertoe strekt de doorgifte te wettigen van persoonsgegevens betreffende bepaalde klanten en bedienden van de groep van België naar de Verenigde Staten in het kader van het beheer van de financiële diensten (“Trade Payable Services”).

Deze doorgifte geschiedt door een vaste afdeling van de groep General Electrics in België, “GE Capital Funding Services”, naar een onderaannemer in Connecticut, Verenigde Staten, de

“General Electric Capital Corporation”.

De problematiek van de doorgifte van persoonsgegevens naar een derde land, dat dus geen lidstaat is van de Europese Unie, is geregeld in de artikelen 21 en 22 van de wet van 8 december 1992. Een doorgifte naar een derde land dat geen adequaat beschermingsniveau biedt, kan slechts worden verricht krachtens een van de in artikel 22 van de wet opgesomde uitzonderingen.

In een van deze uitzonderingen is bepaald dat de Koning, na advies van de Commissie, machtiging kan verlenen voor een doorgifte indien de verantwoordelijke voor de verwerking voldoende waarborgen biedt ten aanzien van de bescherming van de persoonlijke levenssfeer, de fundamentele rechten en vrijheden van personen, alsmede ten aanzien van de uitoefening van de daaraan verbonden rechten; deze waarborgen kunnen met name voortvloeien uit passende contractuele bepalingen.

II. ONDERZOEK VAN DE CONTRACTUELE BEPALINGEN ---

De voor advies aan de Commissie voorgelegde contractuele bepalingen zijn grotendeels gebaseerd op standaardbepalingen die volgens de beschikking van de Europese Commissie d.d.

27 december 2001 1 een toereikend beschermingsniveau bieden en als dusdanig gelden voor de lidstaten van de Europese Unie.

Deze bepalingen hebben voornamelijk tot doel te waarborgen dat de importeur in een derde land het recht dat van toepassing is op de gegevensverwerking - het Belgisch recht in dit geval - in acht neemt en te zorgen voor passende waarborgen inzake de veiligheid van de verwerking. De onderaannemer mag de persoonsgegevens die hij krijgt immers enkel verwerken in opdracht van de verantwoordelijke voor de verwerking, in dit geval mits naleving van de Belgische wet betreffende de bescherming van de persoonlijke levenssfeer. 2

De Groep bedoeld in artikel 29 3 heeft het volgende onderstreept: “aan het uitbesteden van de verwerking van gegevens buiten de Gemeenschap kunnen in principe meer risico’s voor de persoonlijke levenssfeer van natuurlijke personen kleven dan aan verwerkingscontracten binnen de Gemeenschap. Doordat de gegevens zich fysiek in derde landen bevinden, is het aanzienlijk moeilijker om naleving van het contract of van de beslissingen van de toezichthoudende autoriteiten af te dwingen.

1 Beschikking van de Commissie 2002 / 16 / EC d.d. 27 december 2001 betreffende modelcontractbepalingen voor de doorgifte van persoonsgegevens naar in derde landen gevestigde verwerkers

2 Artikel 16, § 1, 4 ° en §3 van de wet.

3 Europese Groep van Commissarissen voor gegevensbescherming, opgericht bij artikel 29 van richtlijn 95/46 betreffende de bescherming van personen in verband met de verwerking van hun persoonsgegevens en het vrije verkeer van die gegevens.

(3)

AD 38 / 2003 - 3 / 4

[…] De beveiliging is het gebied waarop de verschillen tussen deze twee soorten gegevensdoorgiften het duidelijkst zijn. Aangezien artikel 17 alleen van toepassing is op verwerkers die in een lidstaat zijn gevestigd 4 , moet duidelijkheid worden verschaft over de vraag welke beveiligingsmaatregelen door de gegevensimporteur moeten worden getroffen en over de naleving van welke beveiligingsmaatregelen de gegevensexporteur moet toezien5 “.

De belangrijkste elementen van de door de Europese Commissie goedgekeurde bepalingen, zoals het beginsel van de derde rechthebbende (ten gunste van de personen van wie gegevens worden verwerkt) en het beginsel van de ruime aansprakelijkheid van de gegevensimporteur zijn opgenomen in de onderzochte bepalingen.

De verplichtingen voor de exporteur en de importeur van de gegevens zijn omschreven in bewoordingen die nagenoeg dezelfde zijn als die van de beschikking van de Europese Commissie.

Met betrekking tot de voorwaarden van de samenwerking tussen de partijen en de autoriteit voor de bescherming van de gegevens (de Commissie voor de bescherming van de persoonlijke levenssfeer) wordt in de ter goedkeuring voorgelegde tekst de mogelijkheid tot audit bij de importeur beperkt tot de gevallen waarin de exporteur zijn rol van vrijwaarder van de naleving van het recht door de importeur niet vervult:

“in exceptional cases where the Data Exporter refuses or is unable to instruct the Data Importer properly, with an imminent risk of grave harm to the Data Subject.”

Hoewel de tekst van de “modelbepalingen” van de Europese Commissie voorziet in meer mogelijkheden tot ruimere audits, is considerans 8 van de beschikking van de Commissie beperkend. Net zoals in de tekst die ons ter advies is voorgelegd, wordt hierin immers verwezen naar “buitengewone gevallen waarin de gegevensexporteurs niet in staat zijn of weigeren de gegevensimporteurs naar behoren te instrueren en het risico van ernstige schade voor de betrokkenen bestaat […] “.

Gelet op de opmerkingen in het inleidende deel van de beschikking van de Europese Commissie moet de formulering van de bepaling niet worden beschouwd als een merkelijke afzwakking van het beschermingniveau dat de overeenkomst biedt.

De beveiligingsmaatregelen in de bijlage bij de ter advies aan de Commissie voorgelegde overeenkomst zijn zowel van technische als van organisatorische aard. Zij zijn onder meer gericht op de controle van de fysieke toegang tot de plaatsen waar de gegevens worden verwerkt, de controle van het gebruik van de elektronische middelen voor gegevensverwerking, de selectie van de personen die toegang hebben tot de gegevens, de verificatie van de procedures voor de overdracht en de hantering van de gegevens, de vaststelling van regels en procedures voor de interne controle door de importeur en de voorwaarden waaronder bepaalde bedienden van de exporteur toezicht kunnen uitoefenen op de wijze waarop de importeur de persoonsgegevens verwerkt.

4 In het kader van een doorgifte van gegevens binnen de Europese Unie, moet de onderaannemer op het vlak van de veiligheid de regels naleven van het land waarin hij is gevestigd.

5 Advies 7/2001 van 13 september 2001 over de ontwerp-beschikking van de Commissie (versie van 31 augustus 2001) betreffende de modelcontractbepalingen voor de doorgifte van persoonsgegevens naar in derde landen gevestigde verwerkers krachtens artikel 26, lid 4 van Richtlijn 95/46/EG.

(4)

AD 38 / 2003 - 4 / 4

De Commissie heeft geen specifieke opmerkingen betreffende deze maatregelen.

OM DEZE REDENEN,

Brengt de Commissie een gunstig advies uit betreffende het beschermingsniveau dat de haar voorgelegde overeenkomst biedt voor de persoonsgegevens.

De secretaris, De voorzitter,

(get.) J. BARET (get.) P. THOMAS

Referenties

Download het nu ( PDF - 4 pagina - 15.41 KB )

GERELATEERDE DOCUMENTEN

ADVIES Nr 39 / 2003 van 25 september 2003

De Commissie meent dat de verwerking van gegevens inzake geslachtsverandering dienen beschouwd te worden als behorend tot de historiek en dat het bedoelde gegeven als dusdanig niet

ADVIES Nr 26 / 2003 van 12 juni 2003.

Het verzoek van de Minister van Binnenlandse Zaken strekt ertoe enerzijds de Algemene Directie van de Dienst Vreemdelingenzaken van de Federale Overheidsdienst Binnenlandse

ADVIES Nr 37 / 2003 van 28 augustus 2003.

Noch de beheerder van een private parking, noch de private concessionaris aan wie het beheer van het betalend parkeren op de openbare weg of in een openbare parking werd

ADVIES Nr 36 / 2003 van 17 juli 2003

Artikel 17 voorziet de mogelijkheid dat de Vlaamse regering ten behoeve van deze gegevensuitwisseling en registraties het gebruik van een unieke identificatiecode

ADVIES Nr 35 / 2003 van 17 juli 2003

Het ontwerpbesluit dat ter advies aan de Commissie wordt voorgelegd heeft tot doel het tweede luik te regelen van de gegevensoverdracht in het zogenaamde "Farmanet - uniek

ADVIES Nr 23 / 2003 van 12 mei 2003

BETREFT : Ontwerp van koninklijk besluit waarbij de diensten van het Vlaams Parlement gemachtigd worden toegang te hebben tot de informatiegegevens van het Rijksregister van

ADVIES Nr 34 / 2003 van 17 juli 2003

Het verzoek van de Minister van Justitie heeft betrekking enerzijds op het systeem van informatieverwerking voor de uitgesloten spelers aan de kansspelinrichtingen van klasse I

ADVIES Nr 15 / 2003 van 27 maart 2003

BETREFT : Wetsontwerp houdende oprichting van een Centraal Orgaan voor de Inbeslagneming en de Verbeurdverklaring en houdende bepalingen inzake het waardevast beheer van in