Nieuwe goedkeuringsprocedure voor contractuele standaardclausules bij grensoverschrijdende doorgifte van persoonsgegevens

Op 25 juni 2013 sloten de Federale Overheidsdienst Justitie en de Privacy commissie een protocolakkoord omtrent de nieuwe goedkeuringsprocedure voor contractuele waarborgen die Belgische bedrijven afsluiten met hun commerciële partners/ groepsvennootschappen die zich in een land bevinden dat niet behoort tot de EU en dat geen passend niveau voor bescherming van persoonsgegevens biedt om naar die partners/ groepsvennootschappen persoonsgegevens door te kunnen zenden. Het protocol zou Belgische bedrijven moeten toelaten om enerzijds gemakkelijker persoonsgegevens uit te wisselen met partners buiten de EU en anderzijds toch de adequate bescherming van die persoonsgegevens te waarborgen. Dit protocol vormt dan ook een mooie gelegenheid om kort de privacy regels inzake de doorgifte van persoonsgegevens vanuit België naar het buitenland toe te lichten.

Waarom is dit van belang voor mijn onderneming?

Enerzijds wordt er binnen internationale vennootschapsstructuren dagelijks persoonlijke data uitgewisseld van klanten, werknemers, etc. via gedeelde servers, databanken enz. Anderzijds wisselen ook KMO’s persoonsgegevens uit met buitenlandse ondernemingen wanneer zij b.v. beroep doen op cloud-oplossingen van buitenlandse Cloud Service Providers zoals b.v. Microsoft. Het is dan ook goed om te weten in welke situaties en onder welke voorwaarden men persoonsgegevens naar het buitenland mag doorsturen. De sancties voor overtredingen op de privacywet zijn immers niet mis: geldboetes tussen 600 EUR en 600.000 EUR en gevangenisstraffen tot twee jaar.

Wanneer is de Belgische Privacywet van toepassing?

Wanneer een bedrijf gevestigd is in België en zij in het kader van haar activiteiten verantwoordelijk is voor de verwerking van persoonsgegevens (zij bepaalt het doel en de middelen voor de verwerking van persoonsgegevens) zal zij moeten voldoen aan de bepalingen van de Belgische Privacywet.

Welke regels gelden voor de doorgifte van persoonsgegevens naar het buitenland?

EEZ

Binnen de Europese Economische Zone (EEZ = EU + IJsland, Liechtenstein en Noorwegen) kan een onderneming in principe zonder problemen persoonsgegevens uitwisselen vermits alle lidstaten de Europese Privacy Richtlijn van 1995 omgezet hebben in nationaal recht en dus een gepast niveau van bescherming van persoonsgegevens bieden.

Doorgifte naar landen met passend beschermingsniveau

Belgische ondernemingen mogen daarnaast persoonsgegevens uitwisselen met ondernemingen gevestigd in landen buiten de EU op voorwaarde dat die nationale wetgeving een passend beschermingsniveau voor persoonsgegevens waarborgt. In dit verband heeft de Europese Commissie volgende landen als landen met een passend beschermingsniveau beschouwd: Andorra, Argentinië, Australië, Canada, Zwitserland, Faeröer Eilanden, Guernsey, Israël, het eiland Man, Jersey, Nieuw-Zeeland en Uruguay.

De Verenigde Staten worden doorgaans niet beschouwd als een land dat een passend beschermingsniveau biedt, tenzij het bedrijf dat gevestigd is in de V.S. en de persoonsgegevens ontvangt de Safe Harbor Privacy Principles oftewel de Veilige Haven Privacybeginselen naleeft. Dit zijn een aantal principes betreffende de bescherming van persoonsgegevens overeengekomen tussen de Europese Commissie en het Amerikaans Departement voor Handel. Als Amerikaanse bedrijven bij het Amerikaans Departement voor Handel een verklaring afleggen dat zij akkoord gaan met deze beginselen en dat zij bereid zijn ze na te leven worden zij beschouwd als bedrijven die op vlak van gegevensbescherming voldoende waarborgen bieden (o.a. Amazon, Microsoft en Google hebben een dergelijke verklaring afgelegd).

Doorgifte naar landen met niet-passend beschermingsniveau

Ten slotte zijn er ook landen waarvan het privacy beschermingsniveau als onvoldoende wordt beschouwd. Dit zijn vaak net landen met een belangrijk economisch potentieel b.v. China. Toch is het voor bedrijven in België alsnog mogelijk persoonsgegevens naar deze landen door te geven indien de nodige waarborgen zijn vastgelegd in specifieke contractuele bepalingen die worden opgenomen in overeenkomsten voor overdracht van persoonsgegevens afgesloten tussen de Belgisch en de buitenlandse onderneming. De Europese Commissie heeft hiervoor “modelcontractbepalingen”  uitgevaardigd.

Wanneer de modelcontractbepalingen van de Europese Commissie werden gebruikt, had een onderneming in België tot voor kort geen voorafgaande toestemming nodig van de Privacy Commissie om over te gaan tot de uitwisseling van persoonsgegevens met een onderneming gevestigd in een land met een niet-passend beschermingsniveau. Het volstond om de overeenkomst door te sturen naar de Privacy Commissie. Indien werd afgeweken van de modelcontractbepalingen van de Europese Commissie moest men de goedkeuring van de minister van Justitie via een Koninklijk besluit afwachten.

Wat verandert er nu juist?

Het Protocol van 25 juni 2013 stelt een nieuwe goedkeuringsprocedure in werking die moet gevolgd worden wanneer een onderneming persoonsgegeven naar een land met een niet-passend beschermingsniveau wilt verzenden. Het één en ander hangt af van het gebruik van bovenvermelde modelcontractbepalingen van de Europese Commissie:

  • Gebruik van modelcontractbepalingen

Een onderneming moet nu wél het akkoord van de Privacy Commissie afwachten vooraleer zij overgaat tot uitwisseling van persoonsgegevens. De Privacy Commissie zal nagaan of geen afwijkingen van modelcontractbepalingen werden opgenomen en zal de onderneming haar goedkeuring sturen per aangetekende brief

  • Afwijkende contractbepalingen

De Privacy Commissie zal binnen de 60 dagen nagaan of de contractbepalingen die afwijken van de modelcontractbepalingen van de Europese Commissie voldoende privacy beschermingsniveau bieden. Indien voldoende waarborg wordt gegeven verwijst de Privacy Commissie de aanvraag door naar de Minister van Justitie die de goedkeuring in de vorm van een Koninklijk besluit zal geven.

Conclusie

Enerzijds valt het te betreuren dat wanneer men de modelcontractbepalingen van de Europese Commissie gebruikt bij de overdracht van persoonsgegevens naar landen met een niet passend beschermingsniveau, men nu wel op de voorafgaande toestemming van de Privacy Commissie dient te wachten, waar dit vroeger niet nodig was.

Anderzijds is het goede zaak dat de nieuwe goedkeuringsprocedure duidelijke timings en richtlijnen vooropstelt voor de Privacy Commissie in het geval een onderneming afwijkende contractbepalingen (wat vroeger niet het geval was). Wij raden in ieder geval aan om de modelcontractbepalingen van de Europese Commissie te gebruiken vermits men uiteraard veel sneller de goedkeuring van de Privacy Commissie zal krijgen dan dat een Koninklijk besluit zal afgekondigd worden.