Richtsnoeren 2/2018 inzake afwijkingen op grond van artikel 49 van Verordening 2016/679
guidelines afwijkingen van artikel 49
Content
Richtsnoeren 2/2018 inzake afwijkingen op grond van artikel 49 van Verordening 2016/679
Goedgekeurd op 25 mei 2018
Inhoudsopgave
| 1. ALGEMEEN........................................................................................................................................... 3 |
|---|
| 2. SPECIFIEKE INTERPRETATIE VAN DE BEPALINGEN VAN ARTIKEL 49 ................................................... 7 |
| 2.1 De betrokkene heeft uitdrukkelijk met de voorgestelde doorgifte ingestemd, na te zijn ingelicht over de risico's die dergelijke doorgiften voor hem kunnen inhouden bij ontstentenis van een adequaatheidsbesluit en van passende waarborgen - artikel 49, lid 1, onder a) .............................. 7 |
| 2.1.1 Toestemming moet uitdrukkelijk zijn..................................................................................... 7 |
| 2.1.2 Toestemming moet specifiek zijn voor de desbetreffende doorgifte/reeks doorgiften van gegevens.......................................................................................................................................... 8 |
| 2.1.3 Toestemming moet worden gegeven met kennis van zaken, met name betreffende de mogelijke risico's van de doorgifte.................................................................................................. 8 |
| 2.2 Noodzakelijke doorgifte voor de uitvoering van een overeenkomst tussen de betrokkene en de verwerkingsverantwoordelijke of voor de uitvoering van op verzoek van de betrokkene genomen precontractuele maatregelen - (artikel 49, lid 1, onder b)).............................................................. 10 |
| 2.3 Doorgifte die noodzakelijk is voor de sluiting of de uitvoering van een in het belang van de betrokkene tussen de verwerkingsverantwoordelijke en een andere natuurlijke persoon of rechtspersoon gesloten overeenkomst - (artikel 49, lid 1, onder c)) ............................................... 11 |
| 2.4 De doorgifte is noodzakelijk wegens gewichtige redenen van algemeen belang - (artikel 49, lid 1, onder d))................................................................................................................................... 12 |
| 2.5 De doorgifte is noodzakelijk voor de instelling, uitoefening of onderbouwing van een rechtsvordering - (artikel 49, lid 1, onder e)) ................................................................................... 13 |
| 2.6 De doorgifte is noodzakelijk voor de bescherming van de vitale belangen van de betrokkene of van andere personen, indien de betrokkene lichamelijk of juridisch niet in staat is zijn toestemming te geven - (artikel 49, lid 1, onder f))................................................................................................ 14 |
| 2.7. Doorgifte uit een openbaar register - (artikel 49, lid 1, onder g), en artikel 49, lid 2).............. 16 |
| 2.8. Dwingende gerechtvaardigde belangen - (artikel 49, lid 1, tweede alinea) .............................. 16 |
Het Europees Comité voor gegevensbescherming
Gezien artikel 70, lid 1, onder j), en lid 1, onder e), van Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG,
HEEFT DE VOLGENDE RICHTSNOEREN VASTGESTELD:
1. ALGEMEEN
Dit document is bedoeld als leidraad voor de toepassing van artikel 49 van de algemene verordening gegevensbescherming (AVG) 1 inzake afwijkingen in het kader van doorgiften van persoonsgegevens aan derde landen. In het document wordt voortgebouwd op het werk 2 dat reeds is verricht door de werkgroep van Europese autoriteiten inzake gegevensbescherming die werd opgericht op grond van artikel 29 van de richtlijn gegevensbescherming (de Groep artikel 29). Dit werk is overgenomen door het Europees Comité voor gegevensbescherming (EDPB) met betrekking tot centrale vragen die voortvloeien uit de toepassing van afwijkingen in de context van doorgiften van persoonsgegevens aan derde landen. Dit document zal worden herzien en indien nodig bijgewerkt, op basis van de praktische ervaring die wordt opgedaan bij de toepassing van de AVG. Bij de toepassing van artikel 49 moet er rekening mee worden gehouden dat overeenkomstig artikel 44 de gegevensexporteur die persoonsgegevens aan derde landen of internationale organisaties doorgeeft, ook aan de voorwaarden van de andere bepalingen van de AVG moet voldoen. Elke verwerkingsactiviteit moet voldoen aan de relevante bepalingen inzake gegevensbescherming, met name de artikelen 5 en 6. Bijgevolg moet een tweeledige test worden toegepast: ten eerste moet een rechtsgrondslag gelden voor de gegevensverwerking als zodanig, naast alle relevante bepalingen van de AVG, en ten tweede moeten de bepalingen van hoofdstuk V worden nageleefd. In artikel 49, lid 1, wordt gesteld dat in afwezigheid van een adequaatheidsbesluit of passende waarborgen, een doorgifte of een reeks doorgiften van persoonsgegevens aan een derde land of een internationale organisatie slechts onder bepaalde voorwaarden kan plaatsvinden. Tegelijkertijd vereist artikel 44 dat alle bepalingen van hoofdstuk V zodanig worden toegepast dat het door de AVG gewaarborgde beschermingsniveau voor natuurlijke personen niet wordt ondermijnd. Dit houdt ook in dat het gebruik van de afwijkingen van artikel 49 nooit mag leiden tot een situatie waarin inbreuk wordt gemaakt op de grondrechten 3 .
3 Groep artikel 29, WP 114, blz. 9, en het werkdocument van de Groep artikel 29 inzake surveillance van elektronische communicatie voor inlichtingen- en nationale veiligheidsdoeleinden (WP 228), blz. 39.
De Groep artikel 29 heeft er als voorganger van het EDPB lang voor gepleit om met betrekking tot doorgiften als beste praktijk een gelaagde aanpak aan te merken 4 waarbij eerst wordt gekeken of het derde land voorziet in een passend beschermingsniveau en wordt gewaarborgd dat de geëxporteerde gegevens in het derde land worden beschermd. Als het beschermingsniveau niet passend is in het licht van alle omstandigheden, moet de gegevensexporteur overwegen voor passende waarborgen te zorgen. Bijgevolg moeten gegevensexporteurs eerst zoeken naar mogelijkheden om de doorgifte te laten verlopen via één van de in de artikelen 45 en 46 van de AVG opgenomen mechanismen, en alleen als dat niet gaat, de in artikel 49, lid 1, vastgestelde afwijkingen gebruiken. Daarom zijn de afwijkingen op grond van artikel 49 uitzonderingen op het algemene beginsel dat persoonsgegevens alleen mogen worden doorgegeven aan derde landen als in het derde land een passend beschermingsniveau wordt geboden of indien passende waarborgen worden geboden en de betrokkenen uitvoerbare en effectieve rechten hebben zodat ze kunnen blijven profiteren van hun grondrechten en waarborgen 5 . Door dit feit en overeenkomstig de beginselen die ten grondslag liggen aan de Europese wetgeving 6 moeten de afwijkingen restrictief worden geïnterpreteerd, zodat de uitzondering niet de regel wordt 7 . Dit blijkt ook uit de formulering van de titel van artikel 49, waaruit kan worden opgemaakt dat afwijkingen zijn bedoeld voor specifieke situaties ("Afwijkingen voor specifieke situaties"). Wanneer gegevensexporteurs overwegen persoonsgegevens aan derde landen of internationale organisaties door te geven, moeten ze derhalve de voorkeur geven aan oplossingen die waarborgen dat betrokkenen ook na de doorgifte van hun gegevens blijven profiteren van de grondrechten en waarborgen waar ze recht op hebben met betrekking tot de verwerking van hun gegevens. Aangezien afwijkingen geen passende bescherming of passende waarborgen geven voor de doorgegeven persoonsgegevens en aangezien doorgiften op basis van een afwijking geen voorafgaande toestemming van de toezichthoudende autoriteiten vereisen, leidt de doorgifte van persoonsgegevens aan derde landen op basis van afwijkingen tot een verhoogd risico voor de rechten en vrijheden van de betrokkenen. Gegevensexporteurs moeten zich bewust zijn van het feit dat bij ontstentenis van een adequaatheidsbesluit in Unierechtelijke of lidstaatrechtelijke bepalingen of bepalingen om gewichtige redenen van openbaar belang uitdrukkelijk grenzen kunnen worden gesteld aan de doorgifte van specifieke categorieën van persoonsgegevens aan een derde land of een internationale organisatie (artikel 49, lid 5).
Incidentele en niet-repetitieve doorgiften
4 Groep artikel 29, WP 114, blz. 9
6 Groep artikel 29, WP 114, blz. 7
5 Overweging 114
Het EDPB merkt op dat in overweging 111 de term "incidenteel" wordt gebruikt en dat in artikel 49, lid 1, tweede alinea, in de afwijking op grond van "dwingende gerechtvaardigde belangen" de term "niet repetitief" wordt gebruikt. Deze termen duiden erop dat dergelijke doorgiften meer dan eens doch niet regelmatig - kunnen gebeuren en geen deel dienen uit te maken van de algemene aanpak, maar bijvoorbeeld, onder willekeurige, onbekende omstandigheden en met onregelmatige intervallen. Zo kan een gegevensdoorgifte die regelmatig plaatsvindt binnen een stabiele relatie tussen de gegevensexporteur en een bepaalde gegevensimporteur over het algemeen als systematisch en repetitief worden aangemerkt en dus niet als incidenteel en niet-repetitief gelden. Bovendien zal een doorgifte doorgaans bijvoorbeeld als niet-incidenteel of repetitief worden beschouwd wanneer de gegevensimporteur over het algemeen rechtstreekse toegang tot een gegevensbank wordt verleend (bv. via een interface naar een IT-applicatie). In overweging 111 wordt onderscheid gemaakt tussen de afwijkingen door uitdrukkelijk te vermelden dat de afwijkingen in het kader van een "overeenkomst' of van een "rechtsvordering" (artikel 49, lid 1, onder b), c) en e)) dienen te worden beperkt tot "incidentele" doorgiften, terwijl een dergelijke beperking niet bestaat bij de afwijking op grond van "uitdrukkelijke toestemming", de afwijking op grond van "gewichtige redenen van algemeen belang", de afwijking op grond van "vitale belangen" en de "register-afwijking' krachtens artikel 49, lid 1, onder respectievelijk a), d), f) en g). Niettemin moet worden benadrukt dat ook de afwijkingen die niet uitdrukkelijk beperkt zijn tot doorgiften die "incidenteel" of "niet repetitief" zijn, geïnterpreteerd moeten worden op een manier die niet strijdig is met het specifieke karakter van afwijkingen, zijnde uitzonderingen op de regel dat persoonsgegevens niet mogen worden doorgegeven aan een derde land, tenzij het een passend niveau van gegevensbescherming biedt of er voor passende waarborgen is gezorgd 8 .
Noodzakelijkheidstoets
Een overkoepelende voorwaarde voor het gebruik van verschillende afwijkingen is dat de gegevensdoorgifte "noodzakelijk" moet zijn voor een bepaald doeleinde. De noodzakelijkheidstoets moet worden toegepast om het mogelijke gebruik van de afwijkingen van artikel 49, lid 1, onder b), c), d), e) en f), te beoordelen. Deze toets vereist een evaluatie door de gegevensexporteur in de EU van de vraag of een doorgifte van persoonsgegevens als noodzakelijk kan worden beschouwd voor het specifieke doeleinde van de toe te passen afwijking. Meer informatie over de specifieke toepassing van de noodzakelijkheidstoets voor elk van de betrokken afwijkingen staat in de hierna volgende afdelingen.
Artikel 48 met betrekking tot afwijkingen
In artikel 48 van de AVG is een nieuwe bepaling opgenomen die in aanmerking moet worden genomen wanneer een doorgifte van persoonsgegevens wordt overwogen. In artikel 48 en de overeenkomstige overweging 115 wordt gesteld dat rechterlijke uitspraken en besluiten van een administratieve autoriteit van een derde land op zichzelf geen rechtmatige grond vormen voor gegevensdoorgiften naar derde landen. Daarom is een doorgifte naar aanleiding van een besluit van een autoriteit in een derde land alleen rechtmatig indien hij in overeenstemming is met de voorwaarden van hoofdstuk V 9 . In situaties waarin een internationale overeenkomst bestaat, zoals een verdrag inzake wederzijdse rechtshulp, zouden bedrijven in de EU over het algemeen rechtstreekse aanvragen moeten weigeren en de verzoekende autoriteit van het derde land moeten verwijzen naar het bestaande verdrag inzake wederzijdse rechtshulp of een bestaande overeenkomst.
9 Zie overweging 115, zin 4.
Dit begrip volgt tevens artikel 44, waarin een overkoepelend beginsel wordt vastgesteld dat van toepassing is op alle bepalingen van hoofdstuk V, om ervoor te zorgen dat het in het kader van de AVG gewaarborgde beschermingsniveau voor natuurlijke personen niet wordt ondermijnd .
2. SPECIFIEKE INTERPRETATIE VAN DE BEPALINGEN VAN ARTIKEL 49
2.1 De betrokkene heeft uitdrukkelijk met de voorgestelde doorgifte ingestemd, na te zijn ingelicht over de risico's die dergelijke doorgiften voor hem kunnen inhouden bij ontstentenis van een adequaatheidsbesluit en van passende waarborgen - artikel 49, lid 1, onder a)
De algemene voorwaarden waaraan moet worden voldaan om toestemming als geldig te kunnen beschouwen, worden vastgesteld in artikel 4, lid 11 10 , en artikel 7 van de AVG 11 . In een apart document, dat wordt onderschreven door het EDPB 12 , reikt de Groep artikel 29 richtsnoeren aan voor deze algemene voorwaarden voor toestemming. Deze voorwaarden gelden ook voor toestemming in de context van artikel 49, lid 1, onder a). Er zijn echter specifieke, aanvullende elementen nodig voordat toestemming als een geldige rechtsgrondslag voor internationale gegevensdoorgiften naar derde landen en internationale organisaties kan worden beschouwd, zoals bedoeld in artikel 49, lid 1, onder a), en in dit document zal daar dieper op in worden gegaan. Daarom moet deze afdeling (1) van de onderhavige richtsnoeren worden gelezen in samenhang met de richtsnoeren van de Groep artikel 29 over toestemming, onderschreven door het EDPB, waarin de interpretatie van de algemene voorwaarden en criteria voor toestemming in het kader van de AVG uitvoeriger wordt geanalyseerd 13 . Tevens moet worden opgemerkt dat overeenkomstig artikel 49, lid 3, overheidsinstanties zich niet op deze afwijking kunnen baseren bij de uitoefening van hun openbare bevoegdheden. In artikel 49, lid 1, onder a), wordt gesteld dat een doorgifte van persoonsgegevens naar een derde land of een internationale organisatie kan plaatsvinden bij ontstentenis van een adequaatheidsbesluit overeenkomstig artikel 45, lid 3, of van passende waarborgen overeenkomstig artikel 46, met inbegrip van bindende bedrijfsvoorschriften, mits: "de betrokkene (...) uitdrukkelijk met de voorgestelde doorgifte [heeft] ingestemd na te zijn ingelicht over de risico's die dergelijke doorgiften voor hem kunnen inhouden bij ontstentenis van een adequaatheidsbesluit en van passende waarborgen" .
2.1.1 Toestemming moet uitdrukkelijk zijn
Overeenkomstig artikel 4, lid 11, van de AVG moet toestemming op vrije, specifieke, geïnformeerde en ondubbelzinnige wijze worden gegeven. Met betrekking tot deze laatste voorwaarde is artikel 49, lid 1, onder a), strikter, aangezien hierin "uitdrukkelijke" toestemming wordt vereist. Deze vereiste is ook nieuw ten opzichte van artikel 26, lid 1, onder a), van Richtlijn 95/46/EG, waarin alleen "ondubbelzinnige" toestemming werd vereist. De AVG vereist uitdrukkelijke toestemming in situaties waarin zich bepaalde risico's inzake gegevensbescherming kunnen voordoen en derhalve een hoog individueel niveau van controle over persoonsgegevens vereist is, zoals het geval is voor de verwerking van bijzondere categorieën gegevens (artikel 9, lid 2, onder a)) en geautomatiseerde besluiten (artikel 22, lid 2, onder c)). Dergelijke bijzondere risico's komen ook voor in de context van internationale gegevensdoorgiften.
10 In artikel 4, lid 11, van de AVG wordt "toestemming' gedefinieerd als "elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling hem betreffende verwerking van persoonsgegevens aanvaardt".
11 Ook in de overwegingen 32, 33, 42 en 43 worden aanvullende richtsnoeren voor toestemming gegeven.
13 Idem.
Aanvullende adviezen voor de vereiste van uitdrukkelijke toestemming en voor de andere toepasselijke vereisten waaraan moet worden voldaan opdat toestemming als geldig wordt beschouwd, zijn te vinden in de richtsnoeren van de Groep artikel 29 over toestemming, die worden onderschreven door het EDPB 14 .
2.1.2 Toestemming moet specifiek zijn voor de desbetreffende doorgifte/reeks doorgiften van gegevens
Eén van de vereisten voor geldige toestemming is dat deze specifiek moet zijn. Om een geldige grond voor een gegevensdoorgifte te vormen overeenkomstig artikel 49, lid 1, onder a), moet toestemming derhalve specifiek worden gegeven voor de desbetreffende doorgifte of reeks doorgiften van gegevens.
Het element "specifiek" in de definitie van toestemming is bedoeld om een zekere mate van controle voor de gebruiker en transparantie voor de betrokkene te waarborgen. Dit element hangt tevens nauw samen met de vereiste dat toestemming "met kennis van zaken" moet worden gegeven.
Aangezien toestemming specifiek moet zijn, is het op het moment dat de gegevens worden verzameld soms onmogelijk om van de betrokkene voorafgaande toestemming voor een toekomstige doorgifte te verkrijgen. Indien bijvoorbeeld het bestaan en de specifieke omstandigheden van een doorgifte niet bekend zijn op het moment dat om toestemming wordt gevraagd, kunnen de gevolgen voor de betrokkene niet worden beoordeeld. Stel: een bedrijf in de EU verzamelt de gegevens van zijn klanten voor een specifiek doeleinde (levering van goederen), zonder op dat moment te overwegen deze gegevens aan een derde partij buiten de EU door te geven. Een paar jaar later wordt hetzelfde bedrijf echter aangekocht door een bedrijf dat niet in de EU gevestigd is en dat de persoonsgegevens van zijn klanten aan een ander bedrijf buiten de EU wil doorgeven. Om ervoor te zorgen dat deze doorgifte geldig is op grond van de afwijking in verband met toestemming, moet de betrokkene toestemming geven voor deze specifieke doorgifte op het moment dat de doorgifte is gepland. De toestemming die werd gegeven op het moment dat de gegevens door het bedrijf in de EU werden verzameld voor leveringsdoeleinden is niet voldoende om te rechtvaardigen dat deze afwijking wordt gebruikt voor een later geplande doorgifte van de persoonsgegevens buiten de EU.
De gegevensexporteur moet er daarom voor zorgen dat hij specifieke toestemming verkrijgt voordat de doorgifte wordt uitgevoerd, ook al gebeurt dit nadat de gegevens zijn verzameld. Deze vereiste hangt er ook mee samen dat toestemming met kennis van zaken moet worden gegeven. Het is mogelijk om de specifieke toestemming van een betrokkene vóór de doorgifte en op het moment dat de persoonsgegevens worden verzameld te verkrijgen mits deze specifieke doorgifte kenbaar wordt gemaakt aan de betrokkene en de omstandigheden van de doorgifte niet veranderen nadat de specifieke toestemming door de betrokkene is gegeven. Daarom moet de gegevensexporteur ervoor zorgen dat ook aan de eisen van afdeling 1.3 wordt voldaan.
2.1.3 Toestemming moet worden gegeven met kennis van zaken 15 , met name betreffende de mogelijke risico's van de doorgifte
Deze voorwaarde is met name belangrijk aangezien hiermee de algemene vereiste van het geven van toestemming "met kennis van zaken" (die geldt voor alle toestemmingen en is vastgelegd in artikel 4,
14 Idem.
Raadpleeg voor meer informatie de richtsnoeren over transparantie op grond van Verordening 2016/679 (WP 260).
15 De algemene transparantievereisten van de artikelen 13 en 14 van de AVG moeten ook worden nageleefd.
lid 11) versterkt en verder toegelicht wordt 16 . In het geval van toestemming als een rechtmatige basis overeenkomstig artikel 6, lid 1, onder a), voor een gegevensdoorgifte houdt de algemene vereiste van het geven van toestemming "met kennis van zaken' in dat de betrokkene op voorhand goed moet worden geïnformeerd over de specifieke omstandigheden van de doorgifte (d.w.z. de identiteit van de verwerkingsverantwoordelijke, het doel van de doorgifte, het soort gegevens, het bestaan van het recht om toestemming in te trekken, de identiteit of de categorieën van de ontvangers) 17 .
Naast deze algemene vereiste van het geven van toestemming "met kennis van zaken' ingeval persoonsgegevens worden doorgegeven aan een derde land op grond van artikel 49, lid 1, onder a), schrijft deze bepaling voor dat betrokkenen ook op de hoogte worden gesteld van de specifieke risico's die voortvloeien uit het feit dat hun gegevens zullen worden doorgegeven aan een land dat geen passende bescherming biedt en dat er niet wordt voorzien in passende waarborgen voor de bescherming van de gegevens. De verstrekking van deze informatie is absoluut noodzakelijk om de betrokkene in staat te stellen toestemming te geven met volledige kennis van deze specifieke feiten inzake de doorgifte. Wordt deze informatie niet verstrekt, dan is de afwijking derhalve niet van toepassing.
De informatie die aan de betrokkenen wordt verstrekt om toestemming voor de doorgifte van hun persoonsgegevens aan, in derde landen gevestigde, derde partijen te verkrijgen, moet ook alle ontvangers of categorieën van ontvangers omvatten, evenals alle landen waar de persoonsgegevens aan worden doorgegeven, het feit dat de toestemming de rechtmatige basis voor de doorgifte vormt en dat het derde land waar de gegevens aan worden doorgegeven geen passend niveau van gegevensbescherming biedt op basis van een besluit van de Europese Commissie 18 . Bovendien moet er, zoals hierboven vermeld, informatie worden verstrekt over de mogelijke risico's die bestaan voor de betrokkenen door de ontstentenis van passende bescherming en passende waarborgen in het derde land. Een dergelijke kennisgeving, die gestandaardiseerd kan worden, moet bijvoorbeeld de informatie bevatten dat het derde land misschien niet over een toezichthoudende autoriteit en/of beginselen inzake gegevensverwerking beschikt en/of dat betrokkenen geen rechten hebben in dit derde land. In het specifieke geval waarbij een doorgifte wordt uitgevoerd nadat de persoonsgegevens van de betrokkene zijn verzameld, moet de gegevensexporteur de betrokkene voordat de doorgifte plaatsvindt in kennis stellen van de doorgifte en de hieraan verbonden risico's, om zijn expliciete toestemming voor de "voorgestelde" doorgifte te verkrijgen.
Zoals uit de analyse hierboven blijkt, stelt de AVG hoge eisen aan het gebruik van de afwijking op grond van toestemming. Deze hoge eisen, samen met het feit dat de toestemming van een betrokkene op elk ogenblik kan worden ingetrokken, houden in dat toestemming wellicht geen haalbare langetermijnoplossing zal blijken te zijn voor doorgiften aan derde landen.
16
(WP 259).
Zie de richtsnoeren van de Groep artikel 29 over toestemming in het kader van Verordening 2016/679
17
18
Idem, bladzijde 13.
(artikel 13, lid 1, onder f), en artikel 14, lid 1, onder e)).
Deze laatstgenoemde vereiste vloeit ook voort uit de plicht om de betrokkenen in kennis te stellen
- 2.2 Noodzakelijke doorgifte voor de uitvoering van een overeenkomst tussen de betrokkene en de verwerkingsverantwoordelijke of voor de uitvoering van op verzoek van de betrokkene genomen precontractuele maatregelen - (artikel 49, lid 1, onder b))
In het licht van overweging 111 kunnen gegevensdoorgiften op grond van deze afwijking plaatsvinden " wanneer de doorgifte incidenteel en noodzakelijk is in het kader van een overeenkomst ( …)" 19 .
Hoewel de afwijkingen in verband met de uitvoering van een overeenkomst potentieel breed kunnen lijken, worden ze over het algemeen beperkt door de criteria van " noodzaak " en " incidentele doorgiften ".
Noodzaak van de gegevensdoorgifte
De " noodzakelijkheidstoets " 20 beperkt het aantal gevallen waarin artikel 49, lid 1, onder b), kan worden toegepast 21 . Hiervoor is een nauw en substantieel verband tussen de gegevensdoorgifte en het doeleinde van de overeenkomst nodig.
Deze afwijking kan bijvoorbeeld niet worden gebruikt wanneer een bedrijvengroep voor zakelijke doeleinden zijn betalingsfuncties en het personeelsbeleid voor al zijn personeel in een derde land heeft gecentraliseerd, aangezien er geen direct en objectief verband bestaat tussen de uitvoering van de arbeidsovereenkomst en een dergelijke doorgifte 22 . Andere gronden voor doorgifte die zijn voorzien in hoofdstuk V, zoals modelcontractbepalingen of bindende bedrijfsvoorschriften, kunnen echter passend zijn voor de specifieke doorgifte.
Anderzijds kan de doorgifte door reisbureaus van de persoonsgegevens van hun individuele klanten naar hotels of andere commerciële partners waarop een beroep wordt gedaan in het kader van de organisatie van het verblijf van deze klanten in het buitenland, noodzakelijk worden geacht voor de uitvoering van de overeenkomst die werd aangegaan tussen het reisbureau en de klant, aangezien er in dit geval een voldoende nauw en substantieel verband bestaat tussen de gegevensdoorgifte en het doel van de overeenkomst (de organisatie van de reis van de klant).
Deze afwijking kan niet worden toegepast op doorgiften van aanvullende informatie die niet noodzakelijk is voor de uitvoering van de overeenkomst of voor de uitvoering van precontractuele maatregelen waarom de betrokkene heeft gevraagd 23 ; derhalve zouden voor aanvullende gegevens andere instrumenten vereist zijn.
Incidentele doorgiften
Persoonsgegevens mogen alleen incidenteel op grond van deze afwijking worden doorgegeven 24 . Per geval moet worden vastgesteld of gegevensdoorgiften of een gegevensdoorgifte als " incidenteel " of " niet-incidenteel " moet worden aangemerkt.
19 Het criterium van "incidentele" doorgiften staat in overweging 111 en is van toepassing op de afwijkingen van artikel 49, lid 1, onder b), c) en e).
21 De "noodzakelijkheidsvereiste" komt ook terug in de afwijkingen in artikel 49, lid 1, onder c) tot en met f).
23 Meer in het algemeen mogen op grond van alle afwijkingen van artikel 49, lid 1, onder b) tot en met f), alleen de gegevens worden doorgegeven die nodig zijn voor het doel van de doorgifte.
Een doorgifte kan bijvoorbeeld als incidenteel worden beschouwd als de persoonsgegevens van een verkoopmanager, die in het kader van zijn arbeidsovereenkomst naar verschillende klanten in derde landen reist, naar die klanten worden gestuurd voor het organiseren van de vergaderingen. Een doorgifte kan ook als incidenteel worden beschouwd als een bank in de EU persoonsgegevens doorgeeft aan een bank in een derde land om een betalingsverzoek van een klant uit te voeren, zolang deze doorgifte niet plaatsvindt in het kader van een stabiele samenwerkingsrelatie tussen de twee banken.
Anderzijds worden doorgiften niet als "incidenteel" beschouwd in een situatie waarin een multinationale onderneming cursussen geeft in een opleidingscentrum in een derde land en systematisch de persoonsgegevens doorgeeft van de werknemers die een cursus volgen (bv. gegevens zoals naam en functie, maar mogelijks ook dieetwensen of mobiliteitsbeperkingen). Gegevensdoofgiften die regelmatig plaatsvinden in een stabiele relatie worden beschouwd als systematisch en repetitief en zijn dan ook niet meer "incidenteel" van karakter. Bijgevolg kunnen vele gegevensdoorgiften binnen een zakelijke relatie in dit geval niet op artikel 49, lid 1, onder b), worden gebaseerd.
Overeenkomstig artikel 49, leden 1 en 3, kan deze afwijking niet worden toegepast op activiteiten die door overheidsinstanties worden verricht in bij uitoefening van hun openbare bevoegdheden.
2.3 Doorgifte die noodzakelijk is voor de sluiting of de uitvoering van een in het belang van de betrokkene tussen de verwerkingsverantwoordelijke en een andere natuurlijke persoon of rechtspersoon gesloten overeenkomst - (artikel 49, lid 1, onder c))
De interpretatie van deze bepaling is per definitie gelijk aan die van artikel 49, lid 1, onder b); namelijk dat een doorgifte van gegevens naar een derde land of een internationale organisatie bij ontstentenis van een adequaatheidsbesluit overeenkomstig artikel 45, lid 3, of van passende waarborgen overeenkomstig artikel 46, alleen kan worden geacht onder de afwijking van artikel 49, lid 1, onder c), te vallen als die kan worden beschouwd als " noodzakelijk voor de sluiting of de uitvoering van een in het belang van de betrokkene tussen de verwerkingsverantwoordelijke of voor de uitvoering van een andere natuurlijke persoon of rechtspersoon gesloten overeenkomst ".
In overweging 111 staat dat gegevensdoorgiften niet alleen noodzakelijk zijn, maar ook alleen mogen plaatsvinden " wanneer de doorgifte incidenteel en noodzakelijk is in het kader van een overeenkomst (.. .)' Daarom mogen persoonsgegevens, los van de " noodzakelijkheidstoets ", ook in dit geval alleen in het kader van deze afwijking worden doorgegeven als de doorgifte incidenteel is.
Noodzaak van de gegevensdoorgifte en sluiting van de overeenkomst in het belang van de betrokkene
Wanneer een organisatie voor zakelijke doeleinden activiteiten zoals de loonadministratie uitbesteed heeft aan dienstverleners buiten de EU, vormt deze afwijking geen basis voor gegevensdoorgiften voor dergelijke doeleinden, aangezien er geen nauw en substantieel verband bestaat tussen de doorgifte en een overeenkomst die wordt gesloten in het belang van de betrokkene, ook al is het uiteindelijke doel van de doorgifte het beheer van de betaling van de werknemer 25 . Andere instrumenten voor doorgifte waarin hoofdstuk V voorziet, zoals modelcontractbepalingen of bindende bedrijfsvoorschriften, vormen mogelijks een geschiktere basis voor dergelijke doorgiften.
Incidentele doorgiften
Daarbij mogen persoonsgegevens alleen in het kader van deze afwijking worden doorgegeven als de doorgifte incidenteel is, zoals in het geval van de afwijking van artikel 49, lid 1, onder b). Derhalve moet dezelfde test worden uitgevoerd om te beoordelen of de desbetreffende doorgifte incidenteel is 26 .
Overeenkomstig artikel 49, leden 1 en 3, kan deze afwijking ten slotte niet worden toegepast op activiteiten die door overheidsinstanties worden verricht bij de uitoefening van hun openbare bevoegdheden 27 .
2.4 De doorgifte is noodzakelijk wegens gewichtige redenen van algemeen belang (artikel 49, lid 1, onder d))
Deze afwijking wordt meestal aangeduid als de afwijking om "gewichtige redenen van algemeen belang" en lijkt sterk op de bepaling die is opgenomen in artikel 26, lid 1, onder d), van Richtlijn 95/46/EG 28 , waarin staat dat een doorgifte alleen mag plaatsvinden wanneer deze noodzakelijk of wettelijk verplicht is vanwege een zwaarwegend algemeen belang.
Overeenkomstig artikel 49, lid 4, kunnen alleen de openbare belangen die erkend zijn bij een Unierechtelijke of nationaalrechtelijke bepaling die op de verwerkingsverantwoordelijke van toepassing is, tot de toepassing van deze afwijking leiden.
Voor de toepassing van deze afwijking is het echter niet voldoende dat om de gegevensdoorgifte wordt verzocht (bijvoorbeeld door een autoriteit van een derde land) voor een onderzoek dat een openbaar belang van een derde land dient, dat in abstracte zin ook in het recht van de EU of de betrokken lidstaat bestaat. Wanneer een autoriteit van een derde land bijvoorbeeld een gegevensdoorgifte nodig heeft voor een onderzoek ter bestrijding van terrorisme, is het loutere bestaan van wetgeving van de EU of een lidstaat die ook de bestrijding van terrorisme beoogt, niet voldoende om op een dergelijke doorgifte artikel 49, lid 1, onder d), toe te passen. Zoals door de Groep artikel 29, de voorloper van het EDPB, al is benadrukt in eerdere verklaringen 29 , geldt de afwijking alleen als uit een Unierechtelijke of nationaalrechtelijke bepaling die op de verwerkingsverantwoordelijke van toepassing is, ook kan worden opgemaakt dat dergelijke gegevensdoorgiften toegestaan zijn voor gewichtige redenen van algemeen belang, ook in een geest van wederkerigheid op het vlak van internationale samenwerking. Het bestaan van een internationale overeenkomst of een internationaal verdrag waarin een bepaalde doelstelling wordt erkend en wordt voorzien in internationale samenwerking om die doelstelling te bevorderen, kan een indicator vormen bij het beoordelen of er sprake is van een algemeen belang overeenkomstig artikel 49, lid 1, onder d), gesteld dat de EU of de lidstaten partij zijn bij die overeenkomst of dat verdrag.
Hoewel artikel 49, lid 1, onder d), voornamelijk bedoeld is om door overheidsinstanties te worden gebruikt, kunnen ook particuliere entiteiten zich erop beroepen. Dit wordt ondersteund door een paar van de voorbeelden die worden opgesomd in overweging 112, waarin zowel doorgiften door overheidsinstanties als doorgiften door particuliere entiteiten worden genoemd 30 .
29 Advies 10/2006 van de Groep artikel 29 inzake de verwerking van persoonsgegevens door de Society for Worldwide Interbank Financial Telecommunication (SWIFT) (WP 128), blz. 25.
30 " (...) internationale gegevensuitwisselingen tussen mededingingsautoriteiten, belasting- of douanediensten, financiële toezichthoudende autoriteiten, diensten met bevoegdheid op het gebied van de sociale zekerheid of de
Derhalve is de belangrijkste vereiste voor de toepasbaarheid van deze afwijking het vinden van een gewichtig algemeen belang en niet de aard van de organisatie (openbare, particuliere of internationale organisatie) die de gegevens doorgeeft en/of ontvangt.
Uit de overwegingen 111 en 112 blijkt dat deze afwijking niet is beperkt tot gegevensdoorgiften die "incidenteel" zijn 31 . Dit betekent echter niet dat de gegevensdoorgiften op basis van de afwijking op grond van een gewichtig algemeen belang in het kader van artikel 49, lid 1, onder d), op grote schaal en systematisch kan plaatsvinden. Liever moet het algemene beginsel worden geëerbiedigd dat de in artikel 49 bedoelde afwijkingen in de praktijk niet "de regel" mogen worden, maar beperkt moeten blijven tot specifieke situaties en elke gegevensexporteur moet ervoor zorgen dat de doorgifte voldoet aan de toets van strikte noodzakelijkheid 32 .
Wanneer doorgiften deel uitmaken van de gewone bedrijfsuitoefening of praktijk, dringt het EDPB er bij alle gegevensexporteurs (met name overheidsorganen 33 ) sterk op aan deze doorgiften te regelen door te zorgen voor passende waarborgen overeenkomstig artikel 46 in plaats van zich te verlaten op de afwijking bedoeld in artikel 49, lid 1, onder d).
2.5 De doorgifte is noodzakelijk voor de instelling, uitoefening of onderbouwing van een rechtsvordering - (artikel 49, lid 1, onder e))
Instelling, uitoefening of onderbouwing van een rechtsvordering
Op grond van artikel 49, lid 1, onder e), kunnen doorgiften plaatsvinden wanneer " de doorgifte (...) noodzakelijk (is) voor de instelling, uitoefening of onderbouwing van een rechtsvordering ". In overweging 111 wordt bepaald dat een doorgifte kan worden gedaan wanneer het "incidenteel en noodzakelijk is in het kader van een overeenkomst of van een rechtsvordering, ongeacht of het een gerechtelijke of een administratieve of buitengerechtelijke procedure betreft, waaronder procedures bij regelgevingsinstanties" . Hier valt een waaier aan activiteiten onder, bijvoorbeeld, in het kader van een strafrechtelijk of administratief onderzoek in een derde land (bv. in verband met antitrustwetgeving, corruptie, handel met voorkennis of gelijkaardige situaties), waarvoor de afwijking kan worden toegepast op een gegevensdoorgifte om zichzelf te verdedigen of om een vermindering of annulering van een boete te verkrijgen die bij wet wordt voorgeschreven, bijvoorbeeld in een antitrustonderzoek. Gegevensdoorgiften voor officiële procedures voor bewijsgaring en -uitwisseling in civiele procedures kunnen eveneens onder deze afwijking vallen. De afwijking kan ook betrekking hebben op acties van de gegevensexporteur om procedures in een derde land in te stellen, bijvoorbeeld het aanspannen van een rechtszaak of het aanvragen van goedkeuring van een fusie. De afwijking kan niet worden gebruikt voor de rechtvaardiging van een doorgifte van persoonsgegevens op basis van de loutere mogelijkheid dat juridische of formele procedures in de toekomst mogelijk zouden kunnen zijn.
Deze afwijking kan worden toegepast op activiteiten van overheidsinstanties bij de uitoefening van hun openbare bevoegdheden (artikel 49, lid 3).
De combinatie van de termen "rechtsvordering" en "procedure" houdt in dat de relevante procedure een rechtsgrond moet hebben, en dat er sprake moet zijn van een formeel, wettelijk bepaald proces,
volksgezondheid, bijvoorbeeld in geval van opsporing van contacten in het kader van de bestrijding van besmettelijke ziekten of met het oog op de terugdringing en/of uitbanning van doping in de sport.'
32 Zie ook blz. 3.
33 Bijvoorbeeld financiële toezichthoudende autoriteiten die gegevens uitwisselen in het kader van internationale doorgiften van persoonsgegevens voor administratieve samenwerkingsdoeleinden.
maar niet dat het noodzakelijkerwijs moet gaan om een juridische of administratieve procedure ("of enige buitengerechtelijke procedure"). Aangezien een doorgifte in het kader van een procedure moet worden gedaan, moet er een nauw verband bestaan tussen een gegevensdoorgifte en een specifieke procedure met betrekking tot de desbetreffende situatie. De theoretische toepasbaarheid van een bepaald soort procedure zou niet toereikend zijn.
Verwerkingsverantwoordelijken en gegevensverwerkers moeten zich ervan bewust zijn dat de nationale wetgeving ook zogenaamde "blokkeringswetten" kan bevatten, die de doorgifte van persoonsgegevens aan buitenlandse rechtbanken of andere buitenlandse officiële instanties verbieden of beperken.
Noodzaak van de gegevensdoorgifte
Op deze grond mag een gegevensdoorgifte alleen plaatsvinden wanneer die noodzakelijk is voor de instelling, uitoefening of onderbouwing van de rechtsvordering in kwestie. Deze " noodzakelijkheidstoets " vereist een nauw en substantieel verband tussen de desbetreffende gegevens en de specifieke vaststelling, uitoefening of onderbouwing van de rechtsvordering 34 . Het loutere belang van de autoriteiten van een derde land of de eventuele goede wil die bij de autoriteit van het derde land tot stand moet worden gebracht, zijn als zodanig ontoereikend.
Hoewel een gegevensexporteur geneigd kan zijn om alle mogelijke relevante persoonsgegevens door te geven naar aanleiding van een verzoek of om gerechtelijke procedures in te stellen, zou dit niet in overeenstemming zijn met deze afwijking, of meer algemeen met de AVG, waarin (overeenkomstig het beginsel van gegevensminimalisering) juist wordt benadrukt dat persoonsgegevens toereikend moeten zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doelstellingen waarvoor zij worden verwerkt.
Met betrekking tot gerechtelijke procedures heeft de Groep artikel 29, de voorloper van het EDPB, reeds een gelaagde aanpak uitgewerkt met betrekking tot de vraag of persoonsgegevens moeten worden doorgegeven, met inbegrip van de toepassing van dit beginsel. Als eerste stap moet zorgvuldig worden nagegaan of geanonimiseerde gegevens voldoende zouden zijn in de specifieke zaak. Indien dit niet het geval is, zou de doorgifte van gepseudonimiseerde gegevens overwogen kunnen worden. Indien het noodzakelijk is om persoonsgegevens naar een derde land te sturen, moet de relevantie ervan voor de desbetreffende zaak geëvalueerd worden, voordat de doorgifte plaatsvindt, opdat alleen een reeks echt noodzakelijke persoonsgegevens wordt doorgegeven en verstrekt.
Incidentele doorgifte
Dergelijke doorgiften moeten alleen worden gedaan als ze incidenteel zijn. Ga voor informatie over de definitie van incidentele doorgiften naar de afdeling over "incidentele" en "niet-repetitieve" doorgiften 35 . Gegevensexporteurs moeten elke specifieke zaak zorgvuldig evalueren.
2.6 De doorgifte is noodzakelijk voor de bescherming van de vitale belangen van de betrokkene of van andere personen, indien de betrokkene lichamelijk of juridisch niet in staat is zijn toestemming te geven - (artikel 49, lid 1, onder f))
De afwijking van artikel 49, lid 1, onder f), is uiteraard van toepassing wanneer gegevens worden doorgegeven in geval van een medische noodsituatie en wanneer wordt geoordeeld dat een dergelijke doorgifte direct noodzakelijk is om de nodige medische zorg te verlenen.
34 Overweging 111: "noodzakelijk is in het kader van een overeenkomst of van een rechtsvordering."
35 Blz. 4.
Het moet dus bijvoorbeeld wettelijk mogelijk zijn om gegevens (met inbegrip van bepaalde persoonsgegevens) door te geven als de betrokkene zich buiten de EU bevindt, buiten bewustzijn is en dringend medische hulp nodig heeft en alleen een exporteur (bv. zijn huisarts), die in een EU-lidstaat is gevestigd, deze gegevens kan verstrekken. In deze gevallen gaat de wet ervan uit dat het dreigende risico op ernstige schade voor de betrokkene zwaarder weegt dan overwegingen inzake gegevensbescherming. De doorgifte moet betrekking hebben op het individuele belang van de betrokkene of op dat van een andere persoon en, wanneer het medische gegevens betreft, noodzakelijk zijn voor een essentiële diagnose. Bijgevolg kan deze afwijking niet worden gebruikt om medische persoonsgegevens buiten de EU door te geven als de doorgifte niet bedoeld is om het specifieke geval van de betrokkene of dat van een andere persoon te behandelen, maar bijvoorbeeld om algemeen medisch onderzoek uit te voeren dat pas op enig moment in de toekomst resultaten zal opleveren. De AVG beperkt het gebruik van deze afwijking niet tot de fysieke integriteit van een persoon, maar laat ook ruimte om bijvoorbeeld de gevallen te overwegen waarin de mentale integriteit van een persoon moeten worden beschermd. In dit geval zou de betrokken persoon ook - fysiek of juridisch niet in staat zijn om zijn toestemming te geven voor de doorgifte van zijn persoonsgegevens. Bovendien mag de betrokkene wiens persoonsgegevens worden doorgegeven, specifiek niet - fysiek of juridisch - in staat zijn om zijn toestemming te geven voor deze doorgifte . Wanneer de betrokkene echter in staat is om een geldig besluit te nemen en om zijn toestemming kan worden gevraagd, kan deze afwijking niet gelden. Als de persoonsgegevens bijvoorbeeld nodig zijn om een uithuiszetting te voorkomen, zou dat niet onder deze afwijking vallen (hoewel huisvesting wordt beschouwd als een vitaal belang), aangezien de betrokken persoon zijn toestemming kan geven voor de doorgifte van zijn gegevens. Een lichamelijke of geestelijke onbekwaamheid, maar ook rechtsonbekwaamheid kunnen bepalend zijn voor het vermogen om een geldig besluit te nemen. Rechtsonbekwaamheid kan, zonder afbreuk te doen aan nationale vertegenwoordigingsmechanismen, bijvoorbeeld de zaak van een minderjarige betreffen. Een dergelijke rechtsonbekwaamheid moet - afhankelijk van de zaak - worden aangetoond, hetzij via een medisch attest waaruit de geestelijke onbekwaamheid van de betrokkene blijkt, hetzij via een overheidsdocument waarin de juridische situatie van de betrokkene wordt bevestigd. Gegevensdoorgiften aan een internationale humanitaire organisatie die nodig zijn om een opdracht in het kader van de Verdragen van Genève uit te voeren of met het oog op de naleving van het internationaal humanitair recht in gewapende conflicten, kunnen ook vallen onder artikel 49, lid 1, onder f), zie overweging 112. Nogmaals, in deze gevallen dient de betrokkene door een lichamelijke onbekwaamheid of rechtsonbekwaamheid niet in staat te zijn om toestemming te geven. De doorgifte van persoonsgegevens na het plaatsvinden van natuurrampen en in de context van het delen van persoonlijke informatie met instanties en personen in het kader van reddingsacties en terughaalmaatregelen (zoals familie van de slachtoffers van rampen alsook overheidsen hulpdiensten) kan in het kader van deze afwijking worden gerechtvaardigd. Dergelijke onvoorziene gebeurtenissen (overstromingen, aardbevingen, orkanen, enz.) kunnen de dringende doorgifte van bepaalde persoonsgegevens rechtvaardigen om bijvoorbeeld de locatie en de status van slachtoffers te bepalen. Er wordt van uitgegaan dat de betrokkene in dergelijke situaties niet in staat is om zijn toestemming voor de doorgifte van zijn gegevens te geven.
2.7. Doorgifte uit een openbaar register - (artikel 49, lid 1, onder g), en artikel 49, lid 2)
Artikel 49, lid 1, onder g), en artikel 49, lid 2, staan de doorgifte van persoonsgegevens uit registers onder bepaalde voorwaarden toe. Een register wordt in het algemeen gedefinieerd als een " (written) record containing regular entries of items or details " of als een official list or record of names or items " 36 , terwijl het in de context van artikel 49 zowel om een schriftelijk als een elektronisch register kan gaan.
Het register in kwestie moet overeenkomstig het recht van de Unie of het lidstatelijk recht bedoeld zijn om informatie aan het publiek te verstrekken. Daarom vallen particuliere registers (die onder de verantwoordelijkheid van particuliere organen vallen) buiten het toepassingsgebied van deze afwijking (bijvoorbeeld particuliere registers waarmee kredietwaardigheid wordt beoordeeld).
Het register moet vrij kunnen worden geraadpleegd door ofwel:
- a) het algemene publiek of
- b) alle personen die een gerechtvaardigd belang kunnen aantonen.
Dit zijn bijvoorbeeld bedrijfsregisters, registers van beroepsverenigingen, registers van strafrechtelijke veroordelingen, (grond)aankoopregisters of openbare voertuigregisters.
Naast de algemene vereisten met betrekking tot de opstelling van de registers zelf, geldt dat doorgiften uit deze registers enkel mogen plaatsvinden indien, en in zoverre, er in elk specifiek geval wordt voldaan aan de voorwaarden voor raadpleging die zijn vastgelegd in het recht van de Unie of het lidstatelijk recht (zie met betrekking tot deze algemene voorwaarden artikel 49, lid 1, onder g)).
Verwerkingsverantwoordelijken en gegevensverwerkers die persoonsgegevens krachtens deze afwijking willen doorgeven, moeten zich ervan bewust zijn dat een doorgifte geen betrekking mag hebben op alle persoonsgegevens of volledige categorieën van persoonsgegevens die in het register zijn opgeslagen (artikel 49, lid 2). Wanneer het gaat om een doorgifte uit een bij de wet ingesteld register dat bedoeld is voor raadpleging door personen met een gerechtvaardigd belang, mag de doorgifte alleen plaatsvinden op verzoek van deze personen of wanneer de gegevens voor hen zijn bestemd, rekening houdend met de belangen van de betrokkenen en hun grondrechten 37 . Gegevensexporteurs moeten bij het beoordelen van de vraag of de doorgifte passend is, per geval altijd rekening houden met de belangen en rechten van de betrokkene.
Het verdere gebruik van persoonsgegevens uit dergelijke registers, zoals hierboven beschreven, mag alleen plaatsvinden in overeenstemming met de toepasselijke wetgeving inzake gegevensbescherming.
Deze afwijking kan ook worden toegepast op activiteiten die overheidsinstanties in de uitoefening van hun openbare bevoegdheden verrichten (artikel 49, lid 3).
2.8. Dwingende gerechtvaardigde belangen - (artikel 49, lid 1, tweede alinea)
In artikel 49, lid 1, tweede alinea, wordt een nieuwe afwijking geïntroduceerd die eerder niet in de richtlijn was opgenomen. Onder een aantal specifieke, uitdrukkelijk vermelde voorwaarden kunnen
37 Overweging 111 van de AVG.
persoonsgegevens worden doorgegeven indien dit noodzakelijk is omwille van dwingende gerechtvaardigde belangen die door de gegevensexporteur worden nagestreefd. Deze afwijking wordt door de wet als laatste redmiddel gezien, aangezien zij alleen van toepassing is wanneer " een doorgifte niet op een bepaling van de artikelen 45 of 46, met inbegrip van de bepalingen inzake bindende bedrijfsvoorschriften, kon worden gegrond en geen van de afwijkingen voor een specifieke situatie (...) van toepassing zijn ". 38 Bij deze gelaagde aanpak met betrekking tot het gebruik van afwijkingen als grondslag voor doorgiften dient te worden nagegaan of het mogelijk is om een instrument voor doorgifte te gebruiken, zoals bedoeld in artikel 45 of 46, of een van de specifieke afwijkingen zoals bedoeld in artikel 49, lid 1, eerste alinea, alvorens toevlucht te nemen tot de afwijking van artikel 49, lid 1, tweede alinea. Deze aanpak kan volgens overweging 113 enkel worden gehanteerd in restgevallen en is afhankelijk van een aanzienlijk aantal voorwaarden die uitdrukkelijk bij wet zijn vastgelegd. Overeenkomstig het beginsel van de verantwoordingsplicht dat is verankerd in de AVG 39 , moet de gegevensexporteur in staat zijn om aan te tonen dat het niet mogelijk was om de gegevens door te geven op basis van passende waarborgen overeenkomstig artikel 46 en dat evenmin een van de afwijkingen in artikel 49, lid 1, eerste alinea, kon worden toegepast. Dit houdt in dat de gegevensexporteur kan staven dat hij hiertoe serieuze pogingen heeft ondernomen, rekening houdend met de omstandigheden van de gegevensdoorgifte. Dit kan bijvoorbeeld, en afhankelijk van het geval, door aan te tonen dat is nagegaan of de gegevensdoorgifte kan worden uitgevoerd op basis van de uitdrukkelijke toestemming van de betrokkene in het kader van artikel 49, lid 1, onder a). In sommige omstandigheden kan het gebruik van andere instrumenten echter praktisch niet mogelijk zijn. Sommige soorten passende waarborgen overeenkomstig artikel 46 kunnen bijvoorbeeld geen realistische optie zijn voor een gegevensexporteur die een kleine of middelgrote onderneming is. 40 Dit kan bijvoorbeeld ook het geval zijn wanneer de gegevensimporteur uitdrukkelijk heeft geweigerd om een overeenkomst voor gegevensoverdracht te sluiten op basis van modelbepalingen inzake gegevensbescherming (artikel 46, lid 2, onder c)) en er geen andere optie mogelijk is (met inbegrip van, afhankelijk van het geval, de keuze van een andere
"gegevensimporteur") - zie ook de alinea hieronder over "dwingende" gerechtvaardigde belangen.
Dwingende gerechtvaardigde belangen van de verwerkingsverantwoordelijke
Overeenkomstig de formulering van de afwijking moet de doorgifte noodzakelijk zijn voor de uitvoering van dwingende gerechtvaardigde belangen van de verwerkingsverantwoordelijke die niet ondergeschikt zijn aan de belangen of rechten en vrijheden van de betrokkene. Inachtneming van de belangen van een gegevensexporteur in zijn hoedanigheid van gegevensverwerker of van de belangen van de gegevensimporteur is niet relevant. Bovendien zijn alleen belangen die als "dwingend" worden erkend relevant, waardoor het toepassingsgebied van de afwijking gerechtvaardigde belang essentieel moet zijn voor de verwerkingsverantwoordelijke. Dit kan aanzienlijk wordt beperkt, aangezien niet alle denkbare "gerechtvaardigde belangen" in de zin van artikel 6, lid 1, onder f), hier van toepassing zijn. Er zal eerder een bepaalde hogere drempel van toepassing zijn, op grond waarvan het dwingende bijvoorbeeld het geval zijn als een verwerkingsverantwoordelijke de persoonsgegevens moet
38 Artikel 49, lid 1, tweede alinea, AVG.
40 Zo zijn bindende bedrijfsvoorschriften vaak geen haalbare optie voor kleine en middelgrote ondernemingen door de aanzienlijke administratieve investeringen die hiermee gepaard gaan.
39 Artikel 5, lid 2, en artikel 24, lid 1.
doorgeven om zijn organisatie of systemen te behoeden voor ernstige onmiddellijke schade of voor een strenge boete die zijn zaak ernstig zou schaden.
Niet-repetitief
Overeenkomstig de uitdrukkelijke formulering ervan, kan artikel 49, lid 1, tweede alinea, alleen worden toegepast op een doorgifte die niet-repetitief is 41 .
Beperkt aantal betrokkenen
Daarbij mag de doorgifte slechts op een beperkt aantal betrokkenen van toepassing zijn. Er is geen absolute drempel vastgesteld, aangezien die afhangt van de context, maar het aantal moet gepast klein zijn, rekening houdend met het desbetreffende soort doorgifte.
In de praktijk is de term "beperkt aantal betrokkenen" afhankelijk van het concrete geval. Als een verwerkingsverantwoordelijke bijvoorbeeld persoonsgegevens moet doorgeven om een uniek en ernstig beveiligingsincident op te sporen teneinde zijn organisatie te beschermen, zou de vraag in dit geval zijn van hoeveel werknemers de verwerkingsverantwoordelijke gegevens moet doorgeven met oog op dit dwingende gerechtvaardigde belang.
Wil de afwijking toepasbaar zijn, dan moet deze doorgifte derhalve niet van toepassing zijn op alle werknemers van de verwerkingsverantwoordelijke, maar op een beperkt aantal.
De "dwingende gerechtvaardigde belangen van de verwerkingsverantwoordelijke" afwegen tegen de "belangen of de rechten en vrijheden van de betrokkene" op basis van een beoordeling van alle omstandigheden rond de gegevensdoorgifte en in passende waarborgen voorzien
Als aanvullende vereiste moet het (dwingende) gerechtvaardigde belang van de verwerkingsverantwoordelijke worden afgewogen tegen de belangen of de rechten en vrijheden van de betrokkene. In dit opzicht vereist de wetgeving uitdrukkelijk dat de gegevensexporteur alle omstandigheden van de gegevensdoorgifte in kwestie evalueert en op basis van deze evaluatie voorziet in "passende waarborgen" met betrekking tot de bescherming van de doorgegeven gegevens. Deze vereiste benadrukt de speciale rol die waarborgen kunnen spelen bij het verminderen van ongewenste gevolgen voor de betrokkenen en bij het mogelijk wijzigen van de balans tussen rechten en belangen, zonder aan het belang van de verwerkingsverantwoordelijke voorbij te gaan 42 .
Met betrekking tot de belangen, rechten en vrijheden van de betrokkene waarmee rekening moet worden gehouden, moeten de mogelijke negatieve gevolgen, d.w.z. het risico van de gegevensoverdracht voor elk soort (gerechtvaardigd) belang van de betrokkene, zorgvuldig worden voorspeld en geëvalueerd, door rekening te houden met de waarschijnlijkheid en de ernst ervan. 43 In dit opzicht moet in het bijzonder rekening worden gehouden met elke mogelijke schade (fysieke en materiële, maar ook niet-materiële schade zoals reputatieverlies) 44 . Bij het beoordelen van deze risico's en van de maatregelen die onder de gegeven omstandigheden mogelijk als "passende
42
verwerkingsverantwoordelijke en die van de betrokkenen werd reeds door de Groep artikel 29 bedrukt in WP 217, blz. 31.
De belangrijke rol die waarborgen spelen bij het zorgen voor evenwicht tussen de belangen van de
waarborgen" voor de rechten en vrijheden van de betrokkene kunnen worden beschouwd, moet de gegevensexporteur met name rekening houden met de aard van de gegevens, het doel en de duur van de verwerking alsook de situatie in het land van herkomst, het derde land en, indien van toepassing, het land van de uiteindelijke bestemming van de doorgifte. 45 Verder vereist de wetgeving dat de gegevensexporteur aanvullende maatregelen als waarborgen toepast teneinde de vastgestelde risico's die door de gegevensoverdracht voor de betrokkene worden veroorzaakt tot een minimum te beperken. 46 Het gaat om een wettelijk verplichte vereiste, waaruit volgt dat de belangen die de verwerkingsverantwoordelijke heeft bij de doorgifte bij gebrek aan aanvullende waarborgen in elk geval wijken voor de belangen of de rechten en vrijheden van de betrokkene. 47 Wat betreft de aard van dergelijke waarborgen, is het niet mogelijk om algemene vereisten op te stellen die in dat opzicht in alle gevallen toepasselijk zijn. Een en ander zal sterk afhankelijk zijn van de specifieke gegevensdoorgifte in kwestie. Afhankelijk van het geval kan het gaan om maatregelen die garanderen dat de gegevens zo spoedig mogelijk na de doorgifte worden gewist, of die de doeleinden beperken waarvoor de gegevens na de doorgifte kunnen worden verwerkt. Bijzondere aandacht moet worden besteed aan de vraag of het wellicht toereikend is om gepseudonimiseerde of gecodeerde gegevens door te geven 48 . Bovendien moeten technische en organisatorische maatregelen worden onderzocht die ervoor moeten zorgen dat de doorgegeven gegevens niet voor andere doeleinden kunnen worden gebruikt dan de doeleinden die strikt door de gegevensexporteur werden bepaald.
Kennisgeving aan de toezichthoudende autoriteit
De plicht om de toezichthoudende autoriteit in kennis te stellen houdt niet in dat de doorgifte goedgekeurd moet worden door de toezichthoudende autoriteit, maar dient eerder als een aanvullende waarborg die de toezichthoudende autoriteit in staat stelt de gegevensdoorgifte te beoordelen (indien zij dit nodig acht) met betrekking tot de mogelijke gevolgen ervan voor de rechten en vrijheden van de betrokkenen. In het kader van de naleving van het beginsel van de verantwoordingsplicht wordt aanbevolen dat de gegevensexporteur alle relevante aspecten van de gegevensdoorgifte registreert, zoals de dwingende gerechtvaardigde belangen die worden nagestreefd, de "tegenstrijdige" belangen van het individu, de aard van de doorgegeven gegevens en het doel van de doorgifte.
Informatie verstrekken over de doorgifte en de nagestreefde dwingende gerechtvaardigde belangen van de betrokkene
45
46
Overweging 113
mogelijk niet in elk geval noodzakelijk zijn (zie het werkdocument van de Groep artikel 29 over ad-hoc
Hoewel dergelijke (aanvullende) maatregelen in de context van een "normale" wettelijke afwegingstoets contractuele ontwerpbepalingen "EU data processor to non-EU sub-processor" (WP 214), blz. 41), suggereert de
gegevensdoorgifte voldoen aan de "afwegingstoets" en derhalve toelaatbaar zijn op grond van deze afwijking.
formulering
47
mogelijk niet in elk geval noodzakelijk zijn (zie Advies 06/2014 van de Groep artikel 29 over het begrip van
artikel 49, lid 1,
tweede alinea,
dat aanvullende
maatregelen verplicht
zijn, wil de
Hoewel dergelijke (aanvullende) maatregelen in de context van een "normale" wettelijke afwegingstoets gerechtvaardigde belangen van de verwerkingsverantwoordelijke op grond van artikel 7 van Richtlijn 95/46/EG,
verplicht zijn, wil de gegevensdoorgifte voldoen aan de "afwegingstoets" en derhalve toelaatbaar zijn op grond
WP 217, blz. 41), suggereert de formulering van artikel 49, lid 1, tweede alinea, dat aanvullende maatregelen van deze afwijking.
48
hoc contractuele ontwerpbepalingen "EU data processor to non-EU sub-processor" (WP 214), blz. 41-43.
Zie voor meer voorbeelden van mogelijke waarborgen het werkdocument van de Groep artikel 29 over ad-
De verwerkingsverantwoordelijke moet de betrokkene in kennis stellen van de doorgifte en van de nagestreefde dwingende gerechtvaardigde belangen. Deze informatie moet worden verstrekt in aanvulling op de verplichte kennisgeving in het kader van de artikelen 13 en 14 van de AVG.
Voor het Europees Comité voor gegevensbescherming De voorzitter
(Andrea Jelinek)
20
Footnotes
Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming).
Groep artikel 29, werkdocument over een gemeenschappelijke interpretatie van artikel 26, lid 1, van Richtlijn 95/46/EG van 24 oktober 1995, 25 november 2005 (WP 114).
Zie reeds Groep artikel 29, WP 114, blz. 7. Het Europees Hof van Justitie heeft herhaaldelijk benadrukt dat "het fundamentele recht op bescherming van het privéleven [eist] dat de uitzonderingen op en beperkingen van de gegevensbescherming in voorgenoemde hoofdstukken van de richtlijn, binnen de grenzen van het strikt noodzakelijke blijven." (het arrest van 16 december 2008 in zaak C 73/07, Satakunnan Markkinapörssi en Satamedia , punt 56, het arrest van 9 november 2010 in gevoegde zaken C 92/09, Volker und Markus Schecke , en C 93/09, Hartmut Eifert , punt 77, het arrest Digital Rights , punt 52, en het arrest van 6 oktober 2015 in zaak C 362/14, Schrems , punt 92, en het arrest van 21 december 2016 in zaak C 203/15, Tele2 Sverige AB , punt 96). Zie ook het verslag over het aanvullend protocol bij Verdrag 108 inzake toezichthoudende autoriteiten en grensoverschrijdend verkeer van gegevens, artikel 2, lid 2, onder a), blz. 6, beschikbaar op https://www.coe.int/en/web/conventions/full-list/-/conventions/treaty/181.1)
Zie de richtsnoeren van de Groep artikel 29 over toestemming in het kader van Verordening 2016/679 (WP 259).
Zie ook Advies 06/2014 van de Groep artikel 29 over het begrip "gerechtvaardigd belang van de voor de verwerking verantwoordelijke" in artikel 7 van Richtlijn 95/46/EG (WP 217).
Bovendien zal dat niet als incidenteel worden beschouwd (zie hieronder).
Zie voor de algemene definitie van de term "incidenteel" bladzijde 4.
Bovendien zal de toepassing ervan niet als incidenteel worden beschouwd (zie hieronder).
Zie voor de algemene definitie van de term "incidenteel" bladzijde 4.
Zie voor meer informatie afdeling 1, blz. 5.
Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens.
Zie voor de algemene definitie van de term "incidenteel" blz. 4.
Merriam Webster Dictionary, https://www.merriam-webster.com/dictionary/register (22.01.2018); Oxford Dictionary https://en.oxforddictionaries.com/definition/register (22.1.2018).
Zie voor meer informatie over de term "niet-repetitief" blz. 4.
Zie overweging 75: " Het qua waarschijnlijkheid en ernst uiteenlopende risico voor de rechten en vrijheden van natuurlijke personen (…)" .
Zie overweging 75: " Het qua waarschijnlijkheid en ernst uiteenlopende risico voor de rechten en vrijheden van natuurlijke personen kan voortvloeien uit persoonsgegevensverwerking die kan resulteren in ernstige lichamelijke, materiële of immateriële schade."