Article 29 Working Party
2093-01/05/NL WP 114
Werkdocument over een gemeenschappelijke interpretatie van artikel 26, lid 1, van Richtlijn 95/46/EG van 24 oktober 1995
goedgekeurd op 25 november 2005
This Working Party was set up under Article 29 of Directive 95/46/EC. It is an independent European advisory body on data protection and privacy. Its tasks are described in Article 30 of Directive 95/46/EC and Article 14 of Directive 97/66/EC. The secretariat is provided by Directorate C (Civil Justice, Rights and Citizenship, Data Protection) of the European Commission’s Directorate-General of Justice, Freedom and Security, B-1049 Brussels, Belgium, Office No LX46 1/143 Internet address :
SAMENVATTING
Dit werkdocument bevat richtsnoeren voor de manier waarop artikel 26, lid 1, van Richtlijn 95/46 moet worden geïnterpreteerd en toegepast door voor de verwerking verantwoordelijken die gegevens willen doorgeven aan derde landen die geen passend beschermingsniveau bieden in de zin van artikel 25 van die richtlijn. De groep heeft dit document opgesteld omdat het haar zorgen baart dat artikel 26, lid 1, in de praktijk op verschillende manieren wordt uitgelegd, waardoor dit artikel niet op uniforme wijze wordt toegepast in de verschillende lidstaten. Ook de Europese Commissie heeft haar bezorgdheid hierover geuit in haar verslag van 2003 over de toepassing van Richtlijn 95/46. In dat verslag wijst zij erop dat noch een al te strenge aanpak ten aanzien van de bepalingen van de artikelen 25 en 26, noch een al te lakse houding (en dan met name tegenover artikel 26, lid 1,) zou beantwoorden aan het doel van de bepalingen: te zorgen voor een goed evenwicht tussen de bescherming van personen van wie de gegevens zullen worden doorgegeven aan landen zonder passend beschermingsniveau, enerzijds, en "de gerechtvaardigde wensen van de internationale handel en de realiteit van wereldomspannende telecommunicatienetwerken", anderzijds. In dit document wordt getracht het juiste midden tussen de hierboven genoemde belangen te vinden. Daarbij worden de afwijkingen van artikel 26, lid 1, onder andere verduidelijkt door middel van een nadere uitwerking van hoofdstuk 5 van werkdocument WP12 over internationale gegevensdoorgifte, dat de groep in juli 1998 heeft goedgekeurd. In deel 1 van het onderhavige document wordt in grote lijnen geschetst hoe deze bepalingen zich verhouden tot andere en hoe zij samen het gehele systeem van de richtlijn over internationale gegevensdoorgifte vormen. Vervolgens worden interpretatieaanwijzingen gegeven en aanbevelingen gedaan met betrekking tot artikel 26, lid 1, als geheel. Uitgangspunt hierbij is dat de bepalingen van artikel 26, lid 1, strikt moeten worden geïnterpreteerd. Een andere rode draad is dat de afwijkingen grotendeels betrekking hebben op gevallen waarin de risico's voor de betrokkene betrekkelijk gering zijn of waarin andere belangen prevaleren boven het recht op bescherming van de persoonlijke levenssfeer van de betrokkene. In deel 1 wordt verder ingegaan op deze interpretatie en worden een aantal aanbevelingen gedaan die de voor de verwerking verantwoordelijken ertoe moeten aanzetten in zoveel mogelijk situaties "passende bescherming" te waarborgen. In deel 2 worden richtsnoeren gegeven voor de interpretatie van elk van afwijkingen van artikel 26, lid 1. Daarbij worden in het bijzonder de begrippen "toestemming" en "uitvoering van een overeenkomst" verder uitgewerkt, omdat de voor de verwerking verantwoordelijken deze afwijking in de praktijk het meest gebruiken. De groep is ervan overtuigd dat dit document duidelijker kan maken hoe de voor de verwerking verantwoordelijken de afwijkingen van artikel 26, lid 1, kunnen en soms moeten gebruiken. De groep beschouwt dit document als een wezenlijk onderdeel van haar beleid inzake gegevensdoorgifte naar derde landen. Dit document dient dan ook te worden gelezen in combinatie met andere stukken van de groep, zoals die over de "binding corporate rules" ("BCR's", gedragscodes voor de verwerking van persoonsgegevens binnen - 2-
internationale concerns), modelcontractbepalingen en de gepastheid van beschermingsniveau in derde landen, met inbegrip van de veiligehavenbeginselen.
- 3-
het
DE GROEP VOOR DE BESCHERMING VAN PERSONEN IN VERBAND MET DE VERWERKING VAN PERSOONSGEGEVENS Opgericht bij Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995,
Gelet op artikel 29 en artikel 30, lid 1, onder c), en lid 3, van die richtlijn, Gelet op haar reglement en met name op artikel 12 en artikel 14 daarvan, heeft dit werkdocument goedgekeurd:
INLEIDING Dit document is bedoeld als nadere uitwerking van hoofdstuk 5 van werkdocument WP12 "Doorgifte van persoonsgegevens naar derde landen: toepassing van de artikelen 25 en 26 van de EU-richtlijn betreffende gegevensbescherming", dat op 24 juli 19982 door de groep is goedgekeurd en betrekking heeft op de interpretatie van artikel 26, lid 1, van Richtlijn 95/46/EG. Artikel 26, lid 1, bepaalt dat de voor de verwerking verantwoordelijke onder bepaalde voorwaarden in afwijking van het beginsel van "passende bescherming" dat is vervat in artikel 25 van de richtlijn, persoonsgegevens aan een derde land kan doorgeven. Op basis van de ervaring die is opgedaan sinds het document werd goedgekeurd, stelt de groep vast dat er uiteenlopende interpretaties van artikel 26, lid 1, zijn, waardoor deze bepalingen wellicht niet op uniforme wijze worden toegepast in de lidstaten. In haar conclusies in het verslag over de toepassing van de richtlijn gegevensbescherming heeft de Commissie dit ook gesignaleerd en erop gewezen dat er maatregelen moeten worden genomen3. In het verslag wordt gewezen op de grote verschillen tussen de wetgeving van de lidstaten inzake de toepassing van de artikelen 25 en 26 van de richtlijn en op het gevaar dat dit uiteindelijk kan leiden tot forumshopping, afhankelijk van de vraag hoe losjes deze bepalingen worden geïnterpreteerd4. Dit wordt bevestigd door de ervaringen van sommige nationale gegevensbeschermingsautoriteiten. Gezien de taken die aan de groep zijn opgedragen bij artikel 30, lid 1, onder a) van de richtlijn acht de groep het, in aansluiting op de conclusies van de Commissie in het 1
OJ L 281, 23.11.1995, p. 31, available at: http://europa.eu.int/comm/internal_market/privacy/law_en.htm 2
WP 12 "Doorgifte van persoonsgegevens naar derde landen: toepassing van de artikelen 25 en 26 van de EU-richtlijn betreffende gegevensbescherming" van 24 juli 1998. 3
First report on the implementation of the Data Protection Directive (95/46/CE) of 15 May 2003, COM(2003) 265 final.Eerste verslag over de toepassing van de Richtlijn gegevensbescherming (95/46/EG), van 15 mei 2003, COM(2003) 265 def.
4
Blz. 21 van het verslag: "Een al te lakse houding in sommige lidstaten is niet alleen in strijd met de richtlijn, maar houdt bovendien het risico in dat de bescherming in de EU in haar geheel wordt verzwakt, omdat gegevensstromen vanwege het door de richtlijn gewaarborgde vrije verkeer waarschijnlijk naar het "minst lastige" punt van uitvoer zullen worden geleid". - 4-
hierboven genoemde verslag, noodzakelijk de betrokken bepalingen nader toe te lichten en richtsnoeren te geven voor de interpretatie ervan.
1. ONDERLINGE VERHOUDING TUSSEN DE VERSCHILLENDE BEPALINGEN VAN RICHTLIJN 95/46 BETREFFENDE GEGEVENSDOORGIFTE, WAARONDER ARTIKEL 26, LID 1. 1.1 DE
BEPALINGEN VAN DE RICHTLIJN BETREFFENDE GEGEVENSDOORGIFTE NAAR DERDE LANDEN
Bij de interpretatie van artikel 26, lid 1, van Richtlijn 95/46/EG moet het algemene kader voor deze bepalingen in het oog worden gehouden, om te zorgen voor een consistente interpretatie van de bepalingen betreffende gegevensdoorgifte. Richtlijn 95/46/EG van 24 oktober 1005 biedt verschillende rechtsgronden voor de doorgifte van persoonsgegevens naar derde landen, waaronder die van artikel 26, lid 1: 1. Passend beschermingsniveau in het ontvangende land: in de eerste plaats is er het algemene beginsel dat is vastgelegd in artikel 25, lid 1, en dat inhoudt dat "persoonsgegevens (…) slechts naar een derde land mogen worden doorgegeven indien (…) dat land een passend beschermingsniveau waarborgt". Het gegevensbeschermingsniveau dient te worden beoordeeld met inachtneming van alle omstandigheden waarin een gegevensdoorgifte of een categorie gegevensdoorgiften plaatsvindt, waarbij in het bijzonder rekening wordt gehouden met een aantal in artikel 25, lid 2, genoemde elementen die van belang zijn voor de doorgifte. Overeenkomstig artikel 249 van het EG-Verdrag is de richtlijn verbindend ten aanzien van het te bereiken resultaat voor elke lidstaat waarvoor zij bestemd is, maar wordt aan de nationale instanties de bevoegdheid gelaten vorm en middelen te kiezen. De richtlijn legt de lidstaten de verplichting op ervoor te zorgen dat geen persoonsgegevens worden doorgegeven aan derde landen tenzij die een passend beschermingsniveau bieden, en bepaalt dat bij de beoordeling van het beschermingsniveau rekening moet worden gehouden met alle omstandigheden. In de richtlijn wordt echter geen instantie genoemd die moet worden belast met de beoordeling van de gepastheid van het gegevensbeschermingsniveau in derde landen. Het is dan ook mogelijk dat de lidstaten deze taak in hun nationale wetgeving hebben opgedragen aan de nationale gegevensbeschermingsautoriteiten, die mogelijk toestemming moeten geven voor de doorgifte van persoonsgegevens naar een bepaald derde land. Behalve deze mogelijkheid dat nationale instanties volgens het nationale recht het beschermingsniveau moeten beoordelen, kan de Europese Commissie ook dat beslissingen over het beschermingsniveau nemen op Europees niveau, waardoor een zekere meerwaarde ontstaat ten aanzien van de rechtszekerheid en de uniformiteit op het niveau van de Gemeenschap. Op grond van artikel 25, lid 6, kan de Commissie vaststellen dat bepaalde landen een passend beschermingsniveau bieden; naar deze landen kunnen dan persoonsgegevens worden doorgegeven zonder dat aan specifieke formele vereisten moet worden voldaan. Dit geldt nu voor gegevensdoorgifte naar ontvangers in Zwitserland, - 5-
Canada, Argentinië, Guernsey of het eiland Man, of wanneer de ontvanger een Amerikaanse onderneming is die zich verplicht heeft tot naleving van de veiligehavenbeginselen5. Deze rechtsgrond werd ook gebruikt voor de doorgifte van PNR-gegevens over vluchten van en naar de Verenigde Staten aan het Amerikaanse Bureau of Customs and Border Protection op grond van een beschikking van de Commissie waarover deze groep zich zeer kritisch heeft uitgelaten. 2. Voldoende waarborgen bij de ontvanger: in de tweede plaats kan een lidstaat volgens artikel 26, lid 2, toestemming geven voor een doorgifte of een categorie doorgiften van persoonsgegevens naar een derde land dat geen waarborgen voor een passend beschermingsniveau biedt, indien de voor de verwerking verantwoordelijke "voldoende waarborgen biedt ten aanzien van de bescherming van de persoonlijke levenssfeer, de fundamentele rechten en vrijheden van personen, alsmede ten aanzien van de uitoefening van de daaraan verbonden rechten". Volgens de laatste zin van artikel 26, lid 2, kunnen deze waarborgen "met name voortvloeien uit passende contractuele bepalingen". Om het gebruik van contractuele bepalingen te vergemakkelijken, heeft de Europese Commissie drie beschikkingen gegeven over modelcontractbepalingen, waarvan er twee de doorgifte van gegevens door een voor de verwerking verantwoordelijke naar een andere voor de verwerking verantwoordelijke regelen en de derde betrekking heeft op de doorgifte van gegevens door een voor de verwerking verantwoordelijke naar een verwerker6. Naast de mogelijkheid om gebruik te maken van contractbepalingen om voldoende waarborgen te garanderen, heeft de groep zich sinds 2003 ook actief beziggehouden met het mogelijke gebruik van "binding corporate rules", gedragscodes voor multinationals over de verwerking van persoonsgegevens7. 3. Afwijkingen van artikel 26, lid 1; in de derde plaats bepaalt artikel 26, lid 1, van de richtlijn dat doorgifte van persoonsgegevens naar een derde land dat geen waarborgen voor een passend beschermingsniveau biedt, mag plaatsvinden mits: a) de betrokkene daarvoor zijn ondubbelzinnige toestemming heeft gegeven, of b) de doorgifte noodzakelijk is voor de uitvoering van een overeenkomst tussen de betrokkene en de voor de verwerking verantwoordelijke of voor de
5
Informatie over deze landen en over het veiligehavensysteem zijn te vinden op: http://europa.eu.int/comm/internal_market/privacy/adequacy_fr.htm 6 Voor de doorgifte door een voor de verwerking verantwoordelijke aan een andere voor de verwerking verantwoordelijke heeft de Commissie op 15 juni 2001 een eerste reeks modelcontractbepalingen opgesteld; vervolgens heeft zij deze beschikking gewijzigd om er een nieuwe reeks alternatieve bepalingen aan toe te voegen (beschikking van 27 december 2004). Op 27 december 2001 heeft de Commissie een reeks modelcontractbepalingen opgesteld voor de doorgifte door een voor de verwerking verantwoordelijke aan een verwerker. Al deze bepalingen zijn te vinden op: http://europa.eu.int/comm/internal_market/privacy/modelcontracts_en.htm 7 Zie werkdocument WP 74 "Applying Article 26(2) of the EU Data Protection Directive to Binding Corporate Rules for International Data Transfers", dat de groep op 3 juni 2003 heeft goedgekeurd en de aanvullende documenten WP107 en WP108. - 6-
uitvoering van op verzoek van de betrokkene genomen precontractuele maatregelen; c) de doorgifte noodzakelijk is voor de sluiting of de uitvoering van een in het belang van de betrokkene tussen de voor de verwerking verantwoordelijke en een derde gesloten of te sluiten overeenkomst; d) de doorgifte noodzakelijk of wettelijk verplicht is vanwege zwaarwegend algemeen belang of voor de vaststelling, de uitoefening of de verdediging van een recht in rechte, e) de doorgifte ter bescherming van het vitale belang van de betrokkene noodzakelijk is; f) de doorgifte geschiedt vanuit een openbaar register dat krachtens wettelijke of bestuursrechtelijke bepalingen bedoeld is om het publiek voor te lichten en dat door een ieder dan wel door iedere persoon die zich op een gerechtvaardigd belang kan beroepen, kan worden geraadpleegd, voor zover in het betrokken geval is voldaan aan de wettelijke voorwaarden voor raadpleging. In de in de punten 1 en 2 genoemde gevallen vindt de doorgifte plaats op voorwaarden die garanderen dat de betrokkenen ook na de doorgifte bescherming blijven genieten bij de verwerking van hun gegevens. Deze bescherming vloeit voort uit de algemene wetgeving of de sectorale regels in het land waarin de ontvanger is gevestigd, of uit de waarborgen die de voor de verwerking verantwoordelijke in de Gemeenschap biedt, met name in het kader van bindende afspraken met de ontvanger over de verwerking van gegevens die aan dit derde land zijn doorgegeven. Maar daarnaast bevat artikel 26, lid 1, ook echte afwijkingen van het beginsel van passende bescherming dat in artikel 25 van de richtlijn is vervat. Deze uitzonderingen maken doorgifte naar derde landen die geen passende bescherming bieden mogelijk. Deze zouden a fortiori ook als rechtsgrond kunnen dienen in gevallen waarin het derde land wel een passend beschermingsniveau biedt, maar de gepastheid niet is beoordeeld. Hoewel het gebruik van de afwijkingen niet per definitie betekent dat het betrokken derde land geen passende bescherming biedt, betekent het evenmin dat dit wel het geval is. Voor degene wiens gegevens zijn doorgegeven, ook al is dat met zijn toestemming gebeurd, kan dit tot gevolg hebben dat absoluut geen sprake is van bescherming in het ontvangende land, ten minste niet in de zin van de bepalingen van artikel 25 of artikel 26, lid 2, van richtlijn 95/46. Vanwege dit belangrijke verschil in bescherming is het van belang dat deze verschillende rechtsgronden worden gebruikt op een manier die strookt met het gehele systeem waarvan zij deel uitmaken.
1.2 DE PLAATS VAN ARTIKEL 26, LID 1, IN HET SYSTEEM VAN DE RICHTLIJN Het naast elkaar plaatsen van de verschillende regels voor de doorgifte van persoonsgegevens kan een verkeerd beeld geven en gemakkelijk tot misverstanden leiden. Enerzijds zijn er de bepalingen van artikel 25, lid 1, artikel 25, lid 6, en artikel 26, lid 2, die ervoor moeten zorgen dat de doorgegeven persoonsgegevens ook na de doorgifte naar het land van bestemming passende bescherming blijven genieten. In deze gevallen kan de - 7-
doorgifte plaatsvinden omdat de wetgeving van het betrokken derde land passende bescherming biedt of omdat deze bescherming is gewaarborgd door modelcontractbepalingen of door andere waarborgen, zoals een overeenkomst, BCR's, onderschrijving van de veiligehavenbeginselen, enz. Zoals hierboven al eerder is opgemerkt, moet in een aantal lidstaten bovendien in bepaalde gevallen door de bevoegde nationale instantie toestemming worden gegeven voor de doorgifte (doorgaans door de gegevensbeschermingsautoriteiten). Anderzijds zijn er de bepalingen van artikel 26, lid 1, die de doorgifte van persoonsgegevens naar een derde land veel gemakkelijker maken. Volgens deze bepalingen hoeft de voor de verwerking verantwoordelijke die de doorgifte verricht niet te garanderen dat de ontvanger passende bescherming biedt, en is, in de landen waar die procedure bestaat, meestal ook geen voorafgaande toestemming van de bevoegde instantie nodig voor de doorgifte. Bovendien vereisen deze bepalingen niet van de ontvanger dat hij voldoet aan de voorschriften van de richtlijn voor de verwerking van de gegevens in het land van ontvangst (doel, beveiliging, recht op toegang, enz.). Wie naar de bewoordingen van de richtlijn kijkt, kan tot de conclusie komen dat er een aanzienlijk gebrek aan consistentie is tussen de diverse bepalingen over de doorgifte van persoonsgegevens naar derde landen. De achterliggende gedachte van het in artikel 25 verankerde beginsel van passende bescherming is tenslotte dat voor iedereen de fundamentele rechten en vrijheden die hij in verband met de verwerking van persoonsgegevens in de Europese Unie geniet, ook blijven gelden nadat deze gegevens zijn doorgegeven aan een derde land. Dit beginsel is ook bedoeld om te voorkomen dat de Europese wetgeving inzake de bescherming van persoonsgegevens wordt omzeild door de gegevens door te geven aan derde landen. Een van de verklaringen voor deze overduidelijke dualiteit is het feit dat de ontwikkeling van het internationale handelsverkeer soms flexibiliteit vereist bij de doorgifte van gegevens, met inbegrip van persoonsgegevens (zoals aangegeven in overweging 56 van de richtlijn). Een andere verklaring voor dit kennelijke gebrek aan consistentie kan zijn dat artikel 26, lid 1, is bedoeld voor een beperkt aantal gevallen waarin een uitzondering op de voor doorgifte naar derde landen vereiste passende bescherming nodig leek. Zoals de groep al heeft opgemerkt in WP12: "Deze afwijkingen, die precies zijn omschreven, hebben meestal betrekking op gevallen waar de risico’s voor de betrokkene vrij beperkt zijn of waar andere belangen (overheidsbelang of belang van de betrokkene zelf) belangrijker zijn dan de bescherming van de persoonlijke levenssfeer van de betrokkene. Als afwijkingen van een algemeen beginsel moeten zij restrictief worden geïnterpreteerd. Bovendien kunnen lidstaten in hun nationaal recht bepalen dat de afwijkingen in specifieke gevallen niet gelden. Dit kan bijvoorbeeld het geval zijn bij bijzonder kwetsbare groepen personen, zoals werknemers of patiënten." In de praktijk zijn voor de verwerking verantwoordelijken echter geneigd deze uitzonderingen als eerste optie te kiezen, ook als dat niet past bij het geval. Daarom wil de groep er in de eerste plaats voor zorgen dat de reikwijdte en de betekenis van artikel 26, lid 1, goed worden begrepen door alle betrokkenen, om te voorkomen dat de afwijkingen worden gebruikt in gevallen waarvoor ze niet zijn bedoeld. Daarvoor is - 8-
een duidelijke en gemeenschappelijke interpretatie van artikel 26, lid 1, zelf nodig en van de plaats van deze bepaling in de richtlijn als geheel. Uitgangspunt daarbij is, zoals de groep eerder in werkdocument WP 12 heeft gesteld, dat artikel 26, lid 1, strikt moet worden geïnterpreteerd. De groep wijst er in dit verband op dat deze redenering aansluit bij die van het aanvullend protocol bij Overeenkomst 108. In het verslag over dit protocol staat dat de partijen de vrijheid hebben om afwijkingen vast te stellen van het beginsel van een passend niveau van bescherming. De desbetreffende nationale bepalingen moeten echter wel in overeenstemming zijn met het inherente beginsel van het Europees recht dat uitzonderingsbepalingen restrictief moeten worden geïnterpreteerd zodat de uitzondering niet de regel wordt8. Deze strikte interpretatieregel is ook duidelijk terug te vinden in de jurisprudentie van het Europese Hof voor de rechten van de mens, dat de grondrechten nogal ruim interpreteert volgens het "nuttigeffectbeginsel" van de toegekende bescherming, teneinde de afwijkingen van dit beginsel te beperken. Het EHRM heeft dit beginsel in verschillende belangrijke zaken toegepast9. De groep bevestigt dan ook uitdrukkelijk haar eerder gegeven uitleg van artikel 26, lid 1, en licht deze interpretatie nader toe in deel 2 van dit werkdocument. De bepalingen van de richtlijn over de doorgifte van persoonsgegevens naar derde landen kunnen echter niet los van de andere bepalingen van de richtlijn worden toegepast. Zoals artikel 25, lid 1, uitdrukkelijk bepaalt, gelden deze bepalingen "onverminderd de naleving van de nationale bepalingen die zijn vastgesteld ter uitvoering van de andere bepalingen van deze richtlijn". Dit betekent dat ongeacht op grond van welke bepaling de doorgifte van gegevens naar een derde land ook plaatsvindt, de andere bepalingen van de richtlijn moeten worden nageleefd. Dit betekent in het bijzonder dat, overeenkomstig overweging 60 van de richtlijn, bij de doorgifte van gevoelige gegevens moet worden voldaan aan de vereisten van artikel 8 van de richtlijn. Dit kan inhouden dat een bepaalde doorgifte alleen op grond van artikel 26, lid 1, (indien toepasselijk) kan gebeuren, indien aan de voorwaarden van artikel 8 is voldaan. Met andere woorden: zelfs als in de nationale wetgeving geen gebruik is gemaakt van de mogelijkheid om de toepassing van artikel 26, lid 1, voor bepaalde categorieën gevallen te beperken, kunnen toch nog extra beperkingen voortvloeien uit de andere bepalingen van de richtlijn. De groep wijst er tevens op dat de beginselen dat de gegevens "eerlijk en rechtmatig moeten worden verwerkt" en dat het gebruik ervan niet "onverenigbaar" mag zijn met het doel waarvoor de gegevens zijn verkregen, die zijn vastgelegd in artikel 6, lid 1, onder a) en b), in dit verband van toepassing blijven. Dit kan inhouden dat de voor de verwerking verantwoordelijke verplicht is de betrokkene in te lichten over relevante informatie betreffende de doorgifte van gegevens naar een derde land, ook al schrijft artikel 10, artikel 11 of artikel 26, lid 1, dat niet voor. Evenzo kan het voorkomen dat een 8
Zie verslag over het aanvullend protocol bij Overeenkomst 108 betreffende toezichthoudende autoriteiten en grensoverschrijdend verkeer van gegevens; artikel 2, lid 2, onder a); dit document is te vinden op: http://conventions.coe.int/Treaty/EN/Reports/Html/181.htm 9 De zaak Delcourt (17 januari 19970) en de zaak Klass (6 september 1978). - 9-
betrokkene bezwaar maakt tegen de doorgifte van bepaalde gegevens om "zwaarwegende en gerechtvaardigde redenen die verband houden met zijn bijzondere situatie", zoals bepaald in artikel 14, onder a) van de richtlijn. Dit kan ook gelden voor persoonsgegevens die niet gevoelig zijn in de zin van artikel 8 van de richtlijn of in de zin van wat de betrokkene in een bepaalde situatie als gevoelige gegevens zou kunnen beschouwen (b.v. financiële gegevens, gegevens die kunnen leiden tot een negatieve beslissing van de werkgever, enz.).
1.3 AANBEVELINGEN
VOOR HET GEBRUIK VAN DE VERSCHILLENDE RECHTSGRONDEN DIE DE RICHTLIJN BIEDT VOOR DE DOORGIFTE VAN GEGEVENS
Onverminderd de algemene interpretatie van artikel 26, lid 1, in punt 1.2. van dit document en de specifieke interpretatie van elke afwijking in deel 2, zou de groep graag een aantal aanbevelingen doen voor de volgorde waarin de verschillende rechtsgronden die de richtlijn biedt voor de doorgifte van gegevens naar derde landen, zouden moeten worden gebruikt. Deze aanbevelingen zijn terug te vinden in hoofdstuk 5 van document WP12. Zij moeten voor de verwerking verantwoordelijken ertoe aanzetten in zoveel mogelijk situaties "passende bescherming" te garanderen. De groep heeft al eerder opgemerkt dat in de Europese Unie gevestigde voor de verwerking verantwoordelijken bij een geplande gegevensdoorgifte de voorkeur moeten geven aan oplossingen die de betrokkenen de garantie geven dat de fundamentele rechten en waarborgen die zij in verband met de verwerking van persoonsgegevens in de EU genieten, ook blijven gelden na de doorgifte van deze gegevens aan een derde land. Een goede manier van werken zou dan ook zijn dat een voor de verwerking verantwoordelijke bij een geplande gegevensdoorgifte eerst nagaat of het derde land een passend beschermingsniveau biedt en zich ervan vergewist dat de verstrekte gegevens in dat land zullen worden beschermd. In geval van export naar de VS kan de exporterende voor de verwerking verantwoordelijke de importeur aanmoedigen zich ertoe te verplichten de veiligehavenbeginselen na te leven. Indien het beschermingsniveau in het derde land onvoldoende is in het licht van alle omstandigheden die op de gegevensdoorgifte van invloed zijn, dient de voor de verwerking verantwoordelijke zich te baseren op artikel 26, lid 2, en dus passende waarborgen te bieden, bijvoorbeeld door middel van de modelcontractbepalingen of binding corporate rules. Alleen wanneer dit volstrekt niet praktisch en/of haalbaar is, kan de voor de verwerking verantwoordelijke overwegen gebruik te maken van de afwijkingen van artikel 26, lid 1. Hierbij aansluitend beveelt de groep aan de afwijkingen van artikel 26, lid 1, van de richtlijn bij voorkeur toe te passen in gevallen waarin het werkelijk niet zou passen of zelfs onmogelijk zou zijn om de gegevens door te geven op basis van artikel 26, lid 2. De groep zou het betreurenswaardig vinden wanneer een multinationale onderneming of een openbare instantie omvangrijke gegevensdoorgiften naar een derde land zou verrichten zonder gebruik te maken van een passend kader, terwijl de praktische middelen om de nodige bescherming te bieden wel voorhanden zijn (b.v. een contract, BCR's, een overeenkomst). -10-
Vooral om deze reden beveelt de groep aan dat doorgiften die als veel voorkomende, massale of structurele doorgiften kunnen worden beschouwd, zo mogelijk juist vanwege deze belangrijke kenmerken worden verricht binnen een specifiek juridisch kader (zoals een contract of binding corporate rules). De groep erkent echter ook dat er gevallen kunnen zijn waarin massale of veel voorkomende doorgiften op legitieme wijze plaatsvinden op grond van artikel 26, lid 1, wanneer een dergelijk juridisch kader in de praktijk niet mogelijk is, de risico's voor de betrokkene gering zijn en de artikelen 6, 7 en 8 in acht worden genomen. Een belangrijk voorbeeld hiervan zijn internationale geldovermakingen, die dagelijks en massaal plaatsvinden. Dus zelfs indien de doorgifte wel kan worden gebaseerd op een van de in artikel 26, lid 1, genoemde gevallen, beveelt de groep aan dat de voor de verwerking verantwoordelijke vanwege de bijkomende factoren zoals de omvang van de geplande doorgifte of de risico's voor de betrokkenen, een contract sluit of BCR's opstelt voor de doorgifte van persoonsgegevens. Ten slotte merkt de groep op dat het gebruik van de afwijkingen van artikel 26, lid 1, nooit mag leiden tot een situatie waarin inbreuk wordt gemaakt op de grondrechten. Toen deze afwijkingen van het beginsel van passende bescherming werden ingevoerd, ging de Europese wetgever ervan uit dat zij geoorloofd waren omdat zij als verenigbaar met de bescherming van de grondrechten en het vrije internationale gegevensverkeer werden beschouwd. Met andere woorden: de gevallen in artikel 26, lid 1, vormen weliswaar een afwijking van het beginsel dat het derde land passende bescherming moet waarborgen, maar niet van de regel dat de grondrechten moeten worden geëerbiedigd. De nationale gegevensbeschermingsautoriteiten dienen ervoor te zorgen dat het gebruik van deze afwijkingen niet leidt tot een inbreuk op de grondrechten van de betrokkene en strookt met een strikte interpretatie van deze afwijkingen. Deze autoriteiten kunnen in dit verband, indien daar voldoende reden voor bestaat, op elk gewenst moment optreden en aanbevelen dat de doorgifte van gegevens geschiedt op basis van passende waarborgen in de zin van artikel 62, lid 2, in plaats van op basis van de uitzonderingen van artikel 26, lid 1. 2. SPECIFIEKE INTERPRETATIE VAN DE BEPALINGEN VAN ARTIKEL 26, LID 1 Naast de algemene opmerkingen in deel 1 wil de groep ook een aantal richtsnoeren bieden ten aanzien van de specifieke betekenis van elk van de afwijkingen van artikel 26, lid 1. Deze richtsnoeren zijn opgesteld op basis van de ervaring van de groep en van de nationale gegevensbeschermingsautoriteiten op dit gebied, met als uitgangspunt dat de afwijkingen hun natuurlijke betekenis moeten houden, dus dat ze niet kunstmatig moeten worden beperkt of uitgebreid. 2.1 Toestemming (artikel 26, lid 1, onder a)) Artikel 26, lid 1, onder a) bepaalt dat doorgifte van persoonsgegevens naar een derde land dat geen waarborgen voor een passend beschermingsniveau biedt, mag plaatsvinden mits "de betrokkene daarvoor ondubbelzinnig toestemming heeft gegeven".
-11-
Zoals de groep al in werkdocument WP12 heeft aangegeven is het een belangrijk punt dat deze toestemming alleen geldig is als het gaat om een vrije, specifieke en op informatie berustende wilsuiting, zoals bedoeld in artikel 2, onder h) van de richtlijn. - Toestemming moet worden gegeven in de vorm van een duidelijke, ondubbelzinnige wilsuiting Het feit dat toestemming actief moet worden gegeven, is belangrijk omdat het de facto elk systeem waarbij de betrokkene alleen achteraf bezwaar kan maken tegen de doorgifte van gegevens, uitsluit: er moet specifieke toestemming worden gegeven voordat de doorgifte kan plaatsvinden. Indien twijfel bestaat over de vraag of de toestemming al dan niet is gegeven, is de afwijking niet van toepassing. In haar werkdocument WP12 verklaart de groep dan ook: "dit komt er meestal op neer dat deze afwijking niet geldt voor vele situaties waarin toestemming geacht wordt impliciet te zijn gegeven (bijvoorbeeld wanneer iemand van een doorgifte op de hoogte is gebracht en geen bezwaar heeft gemaakt)". In haar advies over de interpretatie van artikel 13 van de richtlijn over privacy en elektronische communicatie10, waarbij een uniform systeem voor op individuele personen gerichte direct marketing werd ingevoerd, heeft de groep richtsnoeren geformuleerd voor de interpretatie van het begrip "voorafgaande toestemming" in de context van elektronische communicatie, in het bijzonder op internet. Het is nuttig hier naar deze richtsnoeren te verwijzen, omdat de betrokkene in sommige gevallen on line om toestemming kan worden gevraagd. De groep heeft in het bijzonder aanbevolen op internetsites gebruik te maken van vakjes die de betrokkene moet aanvinken als teken dat hij vooraf toestemming verleent. Het gebruik van reeds aangevinkte vakjes strookt niet met de voorwaarde dat de toestemming een duidelijke, ondubbelzinnige wilsuiting moet zijn. - Toestemming moet uit vrije wil worden gegeven Toestemming van een betrokkene die niet de gelegenheid heeft gehad een echte keuze te maken of die voor een voldongen feit is geplaatst, kan niet als geldig worden beschouwd. Daarom heeft de groep de geldigheid van de toestemming voor de doorgifte van boekingsgegevens (PNR-gegevens) van Europese luchtvaartmaatschappijen aan de Amerikaanse autoriteiten ter discussie gesteld. Het viel immers te betwijfelen of passagiers uit vrije wil toestemming kunnen geven als luchtvaartmaatschappijen verplicht zijn de gegevens voor vertrek door te geven: passagiers die willen vliegen hebben dan geen echte keuze11. In dit geval wil de groep de aandacht vestigen op het feit dat moeilijk kan worden gesteld dat de betrokkene uit vrije wil toestemming geeft in een arbeidssituatie, omdat er sprake is van een hiërarchische verhouding tussen werkgever en werknemer12. In een dergelijke situatie is de toestemming geldig als de werknemer een reële mogelijkheid heeft gehad toestemming te weigeren zonder daar nadeel van te ondervinden, of zijn toestemming in 10
Advies 5/2004 betreffende ongewenste communicatie voor marketingdoeleinden in de context van artikel 13 van Richtlijn 2002/58/EG, WP90 van 27 februari 2004, punt 3.2. 11 Advies 6/2002 over de doorgifte van informatie van de passagierslijst en andere gegevens van luchtvaartmaatschappijen aan de Verenigde Staten. 12 Advies 8/2001 over de verwerking van persoonsgegevens in een arbeidssituatie, met samenvatting, van 13 september 2001. -12-
te trekken indien hij van gedachten verandert. In een dergelijke afhankelijkheidsverhouding kan de weigering of een aarzeling van de werknemer om toestemming te geven voor de doorgifte van persoonsgegevens de betrokkene materiële of immateriële schade berokkenen, en dat is volledig in strijd met de letter en de geest van de Europese wetgeving op het gebied van gegevensbescherming. De groep erkent echter, dat werkgevers in sommige gevallen moeten kunnen uitgaan van toestemming, bijvoorbeeld in een internationale organisatie waarin werknemers gebruik willen maken van mogelijkheden in derde landen. De groep verzoekt werkgevers bij de doorgifte van persoonsgegevens niet zonder meer te vertrouwen op de toestemming van hun werknemers, behalve wanneer vaststaat dat de betrokkene er geen nadeel van zou ondervinden als hij zou weigeren toestemming te geven voor de overdracht of zijn toestemming later zou willen intrekken, indien dat mogelijk zou zijn. Gezien de ervaringen is toestemming in gevallen van herhaalde of zelfs structurele doorgifte voor de voor de verwerking verantwoordelijken geen goede langetermijnbasis voor de verwerking van de betrokken gegevens. Met name wanneer de doorgifte zelf deel uitmaakt van de verwerking (b.v. bij centralisatie van een wereldwijde gegevensbank over arbeidskrachten, die door middel van continue en systematische gegevensdoorgifte operationeel moet worden gehouden), kunnen voor de verwerking verantwoordelijken voor onoverkomelijke problemen komen te staan indien één van de betrokkenen zijn toestemming zou intrekken. Strikt genomen zouden de gegevens over degene die zijn toestemming heeft ingetrokken, dan niet meer worden doorgegeven, anders zou de doorgifte gedeeltelijk met toestemming van de betrokkenen plaatsvinden, maar er zou een andere oplossing (contract, BCR's) moeten worden gezocht voor de gegevens betreffende degenen die hun toestemming hebben ingetrokken. Vertrouwen op de toestemming van de betrokkenen kan dus een "slechte goede oplossing" blijken te zijn: op het eerste gezicht eenvoudig, maar in werkelijkheid ingewikkeld en omslachtig.
- Toestemming moet specifiek zijn Bovendien is de toestemming van de betrokkene alleen geldig als rechtsgrond voor een mogelijke gegevensdoorgifte als de betrokkene specifiek toestemming heeft gegeven voor een bepaalde gegevensdoorgifte of categorie doorgiften. Omdat de toestemming voor een specifieke doorgifte moet gelden, is het soms onmogelijk om voorafgaande toestemming van de betrokken te krijgen voor een toekomstige doorgifte, bijvoorbeeld als op het moment dat de toestemming wordt gevraagd, niet duidelijk is wanneer en onder welke omstandigheden de doorgifte zal plaatsvinden en de gevolgen voor de betrokkene dus niet goed kunnen worden ingeschat. Zo kan een onderneming die voor een specifiek doel klantgegevens verkrijgt, deze klanten niet vooraf om toestemming vragen voor de doorgifte van hun gegevens aan een derde land op het moment dat de onderneming wordt overgenomen door een onderneming uit een derde land. Het is echter denkbaar dat iemand vooraf toestemming geeft voor de doorgifte van zijn gegevens aan een derde land, wanneer de details betreffende die doorgifte van tevoren vaststaan, met name wat het doel en de ontvangers betreft. -13-
- Toestemming moet op informatie berusten Dit is een zeer belangrijke voorwaarde. Zij houdt in dat de betrokkene naar behoren van tevoren op de hoogte moet worden gebracht van de omstandigheden waarin de doorgifte plaatsvindt (doel, identiteit en gegevens van de ontvanger(s), enz.), overeenkomstig het algemene loyaliteitsbeginsel. Daarbij moet de betrokkene ook op de hoogte worden gesteld van de specifieke risico's die voortvloeien uit het feit dat zijn gegevens worden doorgegeven naar een land dat geen passende bescherming biedt. Alleen als hij ook over deze informatie beschikt kan de betrokkene met kennis van zaken toestemming geven; als dat niet het geval is, is de afwijking niet van toepassing. De groep heeft geconstateerd dat het soms om praktische redenen moeilijk is toestemming te verkrijgen, in het bijzonder wanneer er geen direct contact is tussen de voor de verwerking verantwoordelijke en de betrokkenen (hoewel de in artikel 26, lid 2, geboden oplossing soms gemakkelijker toe te passen is). Welke praktische problemen zich ook voordoen, de voor de verwerking verantwoordelijke moet in alle gevallen kunnen aantonen dat hij toestemming van alle betrokkenen heeft verkregen en dat deze toestemming is gegeven op grond van voldoende nauwkeurige informatie, met inbegrip van informatie over het gebrek aan bescherming in het derde land. 2.2 Doorgifte die noodzakelijk is voor de uitvoering van een overeenkomst tussen de betrokkene en de voor de verwerking verantwoordelijke of voor de uitvoering van op verzoek van de betrokkene genomen precontractuele maatregelen (artikel 26, lid 1, onder b)) In haar werkdocument WP12 heeft de groep verklaard dat deze afwijkingen betreffende de uitvoering van een overeenkomst weliswaar vrij ruim lijken te zijn opgezet, maar dat zij in de praktijk worden beperkt door de voorwaarde inzake de "noodzakelijkheid". De groep is zich ervan bewust dat, los van de algemene interpretatie van artikel 26, lid 1, en van de verdere aanbevelingen in punt 1.3 van dit document, het aantal gevallen waarin gebruik kan worden gemaakt van de afwijkingen van artikel 26, lid 1, waarin sprake is van deze "noodzakelijkheid" (artikel 26, lid 1, onder b) tot e)), door deze "noodzakelijkheidstoets" wordt beperkt. Voor artikel 26, lid 1, onder b), geldt dat een gegevensdoorgifte naar een derde land dat geen passende bescherming biedt, alleen kan plaatsvinden op grond van de afwijking van artikel 26, lid 1, onder b) indien de doorgifte noodzakelijk wordt geacht voor de uitvoering van het betrokken contract of voor de uitvoering van op verzoek van de betrokkene genomen precontractuele maatregelen. Deze "noodzakelijkheidstoets" vereist een nauw en wezenlijk verband tussen de betrokkene en het doel van het contract. Bepaalde internationale concerns zouden graag gebruikmaken van deze uitzondering voor de doorgifte van gegevens over hun werknemers van een dochteronderneming naar het moederbedrijf, bijvoorbeeld om de salarisadministratie en het personeelsbeleid te centraliseren. Zij zijn van mening dat dergelijke doorgiften kunnen worden beschouwd als noodzakelijk voor de uitvoering van de arbeidsovereenkomst tussen de werknemer en -14-
de voor de verwerking verantwoordelijke. De groep vindt deze interpretatie te ver gaan omdat het zeer twijfelachtig is of het begrip arbeidsovereenkomst zo breed kan worden uitgelegd; er is immers geen rechtstreeks en objectief verband tussen de uitvoering van een arbeidsovereenkomst en een dergelijke gegevensdoorgifte. Een strikte interpretatie van deze uitzondering houdt in dat de doorgegeven gegevens werkelijk noodzakelijk moeten zijn voor de uitvoering van de overeenkomst of de precontractuele maatregelen. In haar PNR-advies van 24 oktober 2002 heeft de groep geweigerd het standpunt in te nemen dat dit van toepassing is op de doorgifte van gegevens over vliegtuigpassagiers aan de Amerikaanse autoriteiten, omdat deze van dien aard zijn dat een aantal ervan niet kan worden beschouwd als "noodzakelijk" voor de uitvoering van de vervoersovereenkomst13. Daarentegen zou deze afwijking een aanvaardbare rechtsgrond kunnen zijn voor de doorgifte, door reisagenten, van persoonsgegevens over individuele klanten aan hotels of andere commerciële partners die een rol spelen in de organisatie van het verblijf van de klant. Ten slotte kan deze afwijking niet worden toegepast voor de doorgifte van aanvullende informatie die niet noodzakelijk is voor het doel van de doorgifte, of op doorgiften voor een ander doel dan de uitvoering van de overeenkomst. Meer in het algemeen gesproken, laten de afwijkingen van artikel 26, lid 1, onder b) tot e) alleen toe dat gegevens die noodzakelijk zijn voor het doel van de doorgifte worden doorgegeven op basis van de afzonderlijke afwijkingen; voor aanvullende gegevens moet op een andere manier worden aangetoond dat sprake is van passende waarborgen.
2.3 Doorgifte die noodzakelijk is voor de sluiting of de uitvoering van een in het belang van de betrokkene tussen de voor de verwerking verantwoordelijke en een derde gesloten of te sluiten overeenkomst (artikel 26, lid 1, onder c)) De interpretatie van deze bepaling komt uiteraard overeen met die van de vorige, namelijk dat de doorgifte van gegevens naar een derde land dat geen passende bescherming waarborgt, alleen onder de afwijking van artikel 26, lid 1, onder c) valt indien de doorgifte werkelijk "noodzakelijk is voor de sluiting of de uitvoering van een in het belang van de betrokkene gesloten overeenkomst tussen de verantwoordelijke voor de verwerking en een derde", en beantwoordt aan de "noodzakelijkheidstoets". In dit geval vereist deze toets een nauw en wezenlijk verband tussen de belangen van de betrokkene en het doel van het contract. Sommige voor de verwerking verantwoordelijken hebben wel eens de wens geuit deze afwijking te gebruiken voor de doorgifte van gegevens over hun werknemers naar dienstverleners buiten de EU waaraan zij hun salarisadministratie hebben uitbesteed. Volgens hen zijn deze doorgiften niet alleen noodzakelijk voor de uitvoering van hun 13
Advies 6/2002 over de doorgifte van informatie van de passagierslijst en andere gegevens van luchtvaartmaatschappijen aan de Verenigde Staten. -15-
uitbestedingsovereenkomst maar ook in het belang van de betrokkene, omdat het beheer van het salaris van de betrokkene het doel is van de doorgifte. In dit geval is de groep echter van mening dat geen nauw en wezenlijk verband is aangetoond tussen het belang van de betrokkene en het doel van de overeenkomst en dat de afwijking niet kan worden toegepast. Ook zouden sommige internationale concerns graag gebruikmaken van deze uitzondering voor het beheer van optieregelingen voor bepaalde personeelsleden. Hierbij wordt vaak een beroep gedaan op in derde landen gevestigde financiële dienstverleners die zijn gespecialiseerd in het beheer van dergelijke regelingen. De concerns zijn van mening dat dergelijke doorgiften aan de dienstverlener kunnen worden verricht met het oog op de uitvoering van de overeenkomst tussen de dienstverlener en de voor de verwerking verantwoordelijke, in het belang van de begunstigde van de regeling. Indien een voor de verwerking verantwoordelijke zich voor dergelijke regelingen wil baseren op artikel 26, lid 1, onder c), moet hij volgens de groep, die twijfels heeft over de geldigheid van deze interpretatie, een gegevensbeschermingsinstantie ervan overtuigen dat de gegevens noodzakelijk zijn voor de uitvoering van de overeenkomst in de zin van de hierboven gegeven strikte interpretatie van de term "noodzakelijk". De groep wenst duidelijk te maken dat deze interpretatie geenszins een negatief oordeel inhoudt over de keuze van voor de verwerking verantwoordelijken om een beroep te doen op gegevensverwerkers in derde landen. De groep wil er alleen op wijzen dat in dergelijke gevallen beter gebruik kan worden gemaakt van een in artikel 26, lid 2, bedoeld instrument (in de praktijk een contract).
2.4 Doorgifte die noodzakelijk of wettelijk verplicht is vanwege zwaarwegend algemeen belang of voor de vaststelling, de uitoefening of de verdediging van een recht in rechte (artikel 26, lid 1, onder d)) De uitzonderingen van artikel 26, lid 1, onder d) moeten net zo strikt worden geïnterpreteerd als die van de vorige leden. De groep heeft al een restrictieve interpretatie gegeven van het begrip "zwaarwegend algemeen belang" in haar PNR-advies van 24 oktober 200314. Zij heeft het gebruik van deze uitzondering voor de doorgifte van gegevens over vliegtuigpassagiers aan de Amerikaanse autoriteiten vanwege een zwaarwegend algemeen belang om twee redenen verworpen: ten eerste was de noodzaak van de doorgifte niet aangetoond en ten tweede leek het onaanvaardbaar dat een eenzijdige beslissing van een derde land op grond van een zwaarwegend algemeen belang van dat land, zou moeten leiden tot regelmatige massale doorgifte van gegevens die onder de bescherming van de richtlijn vallen. Op dit punt hadden de opstellers van de richtlijn uiteraard alleen zwaarwegende openbare belangen voor ogen in de zin van de nationale wetgeving van toepassing op in de EU gevestigde voor de verwerking verantwoordelijken. Elke andere interpretatie zou het voor een buitenlandse instantie gemakkelijk maken de in richtlijn 95/46 gestelde voorwaarde van passende bescherming in het ontvangende land, te omzeilen.
14
Het hierboven genoemde advies 6/2002. -16-
Anderzijds zijn volgens overweging 58 van richtlijn 95/46 soms internationale gegevensuitwisselingen noodzakelijk "tussen belasting of douanediensten" of "tussen voor de sociale zekerheid bevoegde diensten". Deze specificatie, die kennelijk alleen betrekking heeft op onderzoek naar bepaalde gevallen, maakt duidelijk dat deze uitzondering alleen kan worden gebruikt indien de autoriteiten van een EU-lidstaat zelf belang hebben bij de doorgifte, en niet alleen een of meer autoriteiten van een derde land. De groep benadrukt dat ook het begrip "vaststelling, uitoefening of verdediging van een recht in rechte" strikt moet worden geïnterpreteerd. Stel dat het in een derde land gevestigde moederbedrijf van een multinational voor de rechter wordt gedaagd door een werknemer van het concern die op dat moment werkzaam is in een van de Europese dochterbedrijven. De uitzondering van artikel 26, lid 1, onder d) lijkt de onderneming de mogelijkheid te bieden de Europese dochteronderneming te verzoeken bepaalde gegevens over de werknemer door te geven indien deze gegevens noodzakelijk zijn voor de verdediging. Wat zeker niet kan, is dat deze uitzondering wordt gebruikt voor de doorgifte van alle werknemersdossiers naar het moederbedrijf op grond van de mogelijkheid dat het ooit tot een rechtszaak kan komen. Bovendien kan deze uitzondering alleen worden gebruikt als de regels voor strafrechtelijke of civiele procedures die voor dit soort internationale gevallen gelden, worden nageleefd, met name die welke voortvloeien uit de verdragen van Den Haag van 18 maart 1970 (bewijsverdrag)15 en van 25 oktober 1980 (Verdrag inzake de toegang tot de rechter)16. 2.5 Doorgifte die noodzakelijk is ter vrijwaring van het vitale belang van de betrokkene (artikel 26, lid 1, onder e)) De uitzondering van artikel 26, lid 1, onder e) is vanzelfsprekend van toepassing bij de doorgifte van gegevens in een medische noodsituatie, wanneer de gegevens noodzakelijk worden geacht voor het verlenen van de vereiste medische zorg. Het moet bijvoorbeeld wettelijk mogelijk zijn gegevens door te geven (inclusief bepaalde persoonsgegevens) als de betrokkene buiten bewustzijn is en dringend medische hulp nodig heeft terwijl alleen zijn eigen, in de EU gevestigde arts, deze gegevens kan verstrekken. Het zou absurd zijn in dergelijke gevallen nog andere voorwaarden te stellen voor de wettige doorgifte van gegevens. De doorgifte moet verband houden met het persoonlijk belang van de betrokkene en, als het om gezondheidsgegevens gaat, noodzakelijk zijn voor een essentiële diagnose. Deze uitzondering kan dan ook niet worden gebruikt voor de doorgifte van medische persoonsgegevens naar een buiten de EU gevestigde behandelaar die de gegevens niet zal gebruiken om het specifieke geval van de betrokkene te behandelen, maar bijvoorbeeld om algemeen medisch onderzoek te verrichten dat pas in de toekomst resultaat zal opleveren. In dergelijke gevallen moet worden beantwoord aan de vereisten van artikel 26, lid 2 van de richtlijn. 15
Verdrag van 18 maart 1970 inzake de verkrijging van bewijs in het buitenland in burgerlijke en in handelszaken. 16 Verdrag van 25 oktober 1980 inzake de toegang tot de rechter in internationale gevallen. -17-
2.6 Doorgifte vanuit een openbaar register (artikel 26, lid 1, onder f)) De uitzondering van artikel 26, lid 1, onder f), heeft betrekking op doorgiften "vanuit een openbaar register dat krachtens wettelijke of bestuursrechtelijke bepalingen bedoeld is om het publiek voor te lichten en dat door een ieder dan wel door iedere persoon die zich op een gerechtvaardigd belang kan beroepen, kan worden geraadpleegd, voor zover in het betrokken geval is voldaan aan de wettelijke voorwaarden voor raadpleging." Deze bepaling van de richtlijn is een logisch gevolg van het openbare karakter van de bedoelde registers, die vrij kunnen worden geraadpleegd. Als een register door iedereen in het land kan worden geraadpleegd of door iedereen die zich op een gerechtvaardigd belang kan beroepen, lijkt het logisch dat het ook kan worden geraadpleegd door iemand in een derde land. Deze vrijheid om gegevens door te geven kan echter niet absoluut zijn. Overweging 58 van de richtlijn stelt dat "bij een dergelijke doorgifte niet de totaliteit van de in dit register opgenomen gegevens of categorieën gegevens zou mogen worden verstrekt". Het zou niet stroken met de geest van artikel 26, lid 1, onder f), als deze rechtsgrond voor doorgifte zou worden gebruikt om de gehele inhoud van deze registers door te geven, met het risico dat het gebruik ervan door instanties of organisaties in derde landen er uiteindelijk toe zou kunnen leiden dat de registers worden gebruikt voor andere doeleinden dan waarvoor ze oorspronkelijk waren aangelegd. Overweging 58 stelt ook dat "wanneer een register bedoeld is voor raadpleging door personen met een gerechtvaardigd belang, de doorgifte slechts zou moeten kunnen plaatsvinden op verzoek van deze personen of wanneer de gegevens voor hen zijn bestemd". Deze uitzondering zou bijvoorbeeld, met inachtneming van het nationale recht, kunnen worden gebruikt door iemand die in een EU-lidstaat is geboren maar in een derde land verblijft, om uittreksels uit de burgerlijke stand van zijn geboorteplaats op te vragen als hij zich permanent wil vestigen in het land waar hij verblijft. In elk geval moet aan de nationale wettelijke en bestuursrechtelijke bepalingen van de EU-lidstaat waar het register is ingesteld, worden getoetst of deze uitzondering in bepaalde gevallen kan worden toegepast. Daarbij moet met name worden gekeken naar de definitie in deze wettelijke en bestuursrechtelijke bepalingen van de begrippen "bedoeld om het publiek voor te lichten" en "gerechtvaardigd belang", op basis waarvan de uitzondering zou kunnen worden toegepast.
-18-
3. CONCLUSIE Zoals in de inleiding werd opgemerkt, moet dit werkdocument richtsnoeren geven voor de interpretatie van de afwijkingen van artikel 26, lid 1, van Richtlijn 95/46/EG van 24 oktober 1995. In dit werkdocument blijft de groep bij het standpunt dat zij eerder in werkdocument WP12 heeft geformuleerd, dat alle afwijkingen van artikel 26, lid 1, strikt moeten worden geïnterpreteerd. Omdat internationale gegevensdoorgiften de afgelopen jaren hand over hand zijn toegenomen, zoals blijkt uit de dagelijkse praktijk van de nationale gegevensbeschermingsautoriteiten, acht de groep het noodzakelijk verdere aanbevelingen te doen voor de toepassing van deze bepalingen. Daarbij is de groep er in het bijzonder alert op dat de verschillende rechtsgronden die de richtlijn biedt voor de doorgifte van gegevens op samenhangende wijze worden gebruikt, en in ieder geval op een manier die het in artikel 25 van de richtlijn verankerde beginsel van passende bescherming niet ondermijnt. Daarom beveelt de groep aan dit document te lezen in samenhang met haar andere documenten over de doorgifte van gegevens, met name document WP74. De groep hoopt dat de voor de verwerking verantwoordelijken de aanbevelingen in dit document zullen volgen bij de toepassing van de afwijkingen van artikel 26, lid 1.
Gedaan te Brussel,
Voor de groep De voorzitter Peter Schaar
-19-
