BASISCURSUS functionaris voor de gegevensbescherming Leiden 9 juni 2006 Gerrit-Jan Zwenne & Anne-Wil Duthler
Gerrit -Jan Zwenne Gerrit-Jan • eLaw @Leiden eLaw@Leiden Universiteit Leiden • Bird & Bird Den Haag
Anne -Wil Duthler Anne-Wil • eLaw @Leiden eLaw@Leiden Universiteit Leiden • Duthler Associates Den Haag
programma OCHTEND OCHTEND
MIDDAG MIDDAG
Inleidingen enachtergronden achtergronden ••Inleiding Gerrit-JanZwenne Zwenne Gerrit-Jan Reikwijdteen entoepassing toepassing ••Reikwijdte vande deWbp WbpGerrit-Jan Gerrit-Jan van Zwenne Zwenne
Rechtenen enverplichtingen verplichtingen ••Rechten (vervolg)Anne-Wil Anne-WilDuthler Duthler (vervolg) Kwaliteits-en enbeveiligingsbeveiligings••KwaliteitsvereistenAnne-Wil Anne-WilDuthler Duthler vereisten
Regelsvoor voorde deverwerking verwerking ••Regels vanpersoonsgegevens persoonsgegevens van Gerrit-JanZwenne Zwenne Gerrit-Jan Rechtenen enverplichtingen verplichtingen ••Rechten Anne-WilDuthler Duthler Anne-Wil
Beheeren enonderhoud, onderhoud, ••Beheer compliancyen enaudits auditsAnneAnnecompliancy WilDuthler Duthler Wil FGen enCBP, CBP,handhaving handhavingen en ••FG rechtsbeschermingGerritGerritrechtsbescherming JanZwenne Zwenne Jan
inleiding en achtergronden
IND schond schond privacywet privacywet IND bij asielzoekers asielzoekers bij DEN HAAG HAAG 31 31 JAN. JAN. 03 03 Het Het ministerie ministerie van van Justitie Justitie heeft heeft DEN vorig jaar jaar stuctureel stuctureel de de Wet Wet bescherming bescherming vorig persoonsgegevens geschonden geschonden bij bij de de opslag opslag van van persoonsgegevens privacygevoelige persoons-gegevens persoons-gegevens over over asielzoekers. asielzoekers. privacygevoelige Dit blijkt blijkt uit uit een een interne interne notitie notitie van van de de Immigratie Immigratie en en Dit Naturalisatiedienst (IND) (IND) van van het het ministerie. ministerie. De De dienst dienst Naturalisatiedienst voldeed niet niet aan aan de de wettelijke wettelijke criteria criteria voor voor de de opslag opslag voldeed van vertrouwelijke vertrouwelijke gegevens. gegevens. De De dienst dienst verwacht verwacht van daardoor grote grote “politieke “politieke en en juridische juridische risico’s” risico’s” te te lopen, lopen, daardoor zo blijkt blijkt uit uit de de notitie notitie van van vorig vorig jaar jaar september. september. zo De rechten rechten van van de de asielzoekers asielzoekers bij bij de de opslag opslag van van hun hun De persoonsgegevens worden worden zo zo vaak vaak geschonden geschonden dat dat in in persoonsgegevens het rapport rapport de de vrees vrees wordt wordt uitgesproken uitgesproken dat dat de de het advocatuur voor voor de de IND IND kostbare kostbare en en tijdrovende tijdrovende advocatuur procedures zullen zullen aanspannen. aanspannen. procedures
Wat betekent privacy eigenlijk? eigenlijk
“to define the province of privacy distinctly is impossible” Stephen 1873
“the most striking thing about the right to privacy is that nobody seems to have any clear idea of what it is” Thompson 1975
“the concept of privacy is elusive and ill defined” defined Posner 1978
“Privacy is een dynamisch rechtsgoed Wel aan te duiden, nauwelijks te definiëren” Hirsch Ballin 1990
“The good news about privacy is that 84 percent of us are concerned about privacy. The bad news is that we do not know what we mean” Branscomb 1994
“privacy means many things to many people and different things in different contexts” Berman & Mulligan 1999
“the right to privacy is the right to be let alone” alone Samuel D. Warren & Louis D. Brandeis 1890
“the claim of individuals, groups or institutions to determine for themselves when, how and to what extent information about themselves is communicated to others” Alan F. Westin 1967
“Viewed in terms of the relation of the individual to social participation, privacy is the voluntary and temporary withdrawal of a person from the general society through physical or psychological means, either in a state of solitude or small group intimacy or, when among larger groups, in a condition of anonymity or reserve” Alan F. Westin 1967
“You have zero privacy anyway. Get over it” Scott McNealy
Privacy • relationele privacy
Vgl. Vgl. Westin: Westin: “viewed “viewed in in terms terms of of the the relation…” relation…”
– het recht om met rust te worden gelaten
› huisrecht
• communicatiegeheim – aanspraken m.b.t. vertrouwelijkheid van medium
› briefgeheim › telefoongeheim
• informationele privacy
Vgl. Vgl. Westin Westin “claims “claims of of individuals individuals to…” to…”
– aanspraken van individu om zelf te bepalen welke informatie over hem of haar ter beschikking komt van anderen
› de bescherming van persoonsgegevens
hoe en waarom? • informationele privacybescherming – veel meer gegevens worden verzameld, verzameld gegenereerd en verwerkt door computers en netwerken – wegvallen van impliciete technische waarborgen in ‘traditionele’ verwerkingstechnologieën – behoefte aan expliciete juridische waarborgen › zeggenschap bij betrokken personen › doelbinding, noodzakelijkheid › transparantie • datamining enz.
De privacywet
privacywetgeving • Mensenrechten 1948 art. 12 Universele Verklaring Rechten v/d Mens 1950 art. 8 EVRM 1966 art. 17 IVBPR (BUPO)
• Internationaal 1980 OECD-Guidelines 1981 Verdrag van Straatsburg
› ‘Conventie 108’
• Nationaal 1983 art. 10 Gw 1989 Wet persoonsregistraties (WPR)
• Europese Unie 1995 Richtlijn 95/46/EC 1998 implementatiedatum
› harmonisering › bandbreedte
• Wet bescherming persoonsgegevens (WBP) 2000 opvolger WPR 2001 inwerkingtreding
Grondwet (GW) • Art. 10 privacy-grondrecht – bescherming persoonlijke levenssfeer › behoudens beperkingen bij wet – wettelijke regels i.v.m. vastleggen en verstrekken persoonsgegevens – wettelijke regels inzake aanspraken personen op kennisneming persoonsgegevens
opdracht aan de wetgever
Richtlijn bescherming persoonsgegevens 95/46/EG • waarborgen bescherming – van de fundamentele rechten en vrijheden van natuurlijke personen, inzonderheid van het recht op persoonlijke levenssfeer
• wegnemen belemmeringen – m.b.t. vrije verkeer van persoonsgegevens tussen Lid-Staten om redenen die verband houden met deze bescherming
Wet bescherming persoonsgegevens (Wbp) • implementatie Richtlijn 95/46/EG – implementatietermijn 24 oktober 1998 – inwerkingtreding 1 september 2001
• kenmerken – gelaagd opgezet – met veel aandacht voor zelfregulering › door verzameldoel › in meldingen › in gedragscodes, enz – géén onderscheid overheid en particuliere sector
er zijn meer privacywetten • Telecommunicatiewet – ongevraagde elektronische communicatie (spam!) – geheime nummers en nummerherkenning – ‘spyware’ en ‘cookies’
• Wetboek van Strafrecht • Algemene wet inzake rijksbelastingen • Wet gelijke behandeling – ‘red lining’
• Wet geneeskundige behandelingsovereenkomst • Wet gemeentelijke basisadministratie • Wet Politieregisters • Wet openbaarheid van bestuur • enz.
hoofdrolspelers • betrokkene – degene op wie de gegevens betrekking hebben – natuurlijke persoon
• verantwoordelijke – heeft zeggenschap over doel en wijze van verwerking – natuurlijk persoon of rechtspersoon, of bestuursorgaan
• bewerker – bewerkt gegevens ten behoeve van verantwoordelijke zonder aan zijn of haar rechtstreeks gezag te zijn onderworpen
• CBP – d.w.z. College bescherming persoonsgegevens – toezichthouder m.b.t. verwerking persoonsgegevens
• FG – Functionaris voor de gegevensbescherming (‘privacyfunctionaris’)
functionaris • natuurlijke persoon – geen commissie o.i.d.
• toereikende kennis – over de organisatie – en over privacyrecht
• gemeld bij het cbp – opgenomen in lijst op cbp.nl
• jaarlijks verslag – ‘van werkzaamheden en bevindingen’
• voldoende betrouwbaar – geheimhoudingsplicht
• onafhankelijk – geen aanwijzingen van verantwoordelijke – en ontslagbescherming!
• intern toezichthouder – maar CBP blijft bevoegd
terughoudend opstelling CBP t.o.v. organisaties waar FG naar behoren functioneert
#
vragen?
reikwijdte en toepassing
WBP van toepassing op verwerking persoonsgegevens • persoonsgegevens – gegevens betreffende een geïdentificeerde of identificeerbare natuurlijke persoon
› naw-gegevens, e-mail, inlog-gegevens, hielprik, kilometerstand, postzegel, enz.
• verwerking – elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens
› verzamelen, ordenen, bewaren, wijzigen, opvragen, verzenden, gebruiken, vernietigen, enz
toepassing • verwerking van persoonsgegevens – geheel of gedeeltelijk geautomatiseerd – handmatig verwerking alleen voorzover de gegevens in ‘een bestand’ zijn opgenomen of daartoe zijn bestemd
• uitzonderingen
VerzorgingsVerzorgingstehuizen tehuizen e.d. e.d.
– verwerking t.b.v. persoonlijke of huishoudelijke doeleinden – Politiewet, Wet Gba, WJD, Kieswet enz
vestiging in Nederland • verwerking van persoonsgegevens in het kader van de activiteiten van een vestiging van een verantwoordelijke in Nederland • vraag – is de WBP ook van toepassing als gegevens in buitenland worden verwerkt t.b.v. activiteiten van vestiging in Nederland?
Art. 4 -1 WBP
géén vestiging in EU • gebruik van (al dan niet geautomatiseerde) middelen in Nederland – tenzij alleen gebruikt voor doorvoer van gegevens
• vraag – Wat als er géén vestiging is in Nederland maar wél elders in de EU?
Art. 4 -2 WBP
voorwaarden voor verwerking
'Advocaten weten dat ze fout zitten' Justitie vervolgt een handelsinformatie-bureau dat wordt beschouwd als een criminele organisatie. Maar ook de opdrachtgevers gaan niet vrijuit, vindt het College bescherming persoonsgegevens. DEN DEN HAAG, HAAG, 5 5 SEPT SEPT 04. 04. Het Het College College bescherming bescherming persoonsgegevens persoonsgegevens (CBP) (CBP) in in Den Den Haag Haag kan kan er er kort kort over over zijn. zijn. ,,Heel ,,Heel advocatend advocatend Nederland'' Nederland'' maakte maakte de de afgelopen afgelopen jaren jaren gebruik gebruik van van de de diensten diensten van van het het handelsinformatiebureau handelsinformatiebureau in in Zoetermeer. Zoetermeer. De De gegevensmakelaar gegevensmakelaar had had zich zich gespecialiseerd gespecialiseerd in in het het opsporen opsporen van van persoonlijke persoonlijke informatie informatie over over mensen mensen met met schulden schulden of of een een strafblad, strafblad, van van wie wie de de schuldeisers schuldeisers sofinummers sofinummers wilden wilden achterhalen, achterhalen, bankrekeningen, bankrekeningen, uitkeringen, uitkeringen, inkomens, inkomens, huurhuur- of of belastingschulden, belastingschulden, autobezit, autobezit, of of zelfs zelfs criminele criminele antecedenten. antecedenten. 'Verhaalsinformatie' 'Verhaalsinformatie' wordt wordt het het wel wel genoemd: genoemd: gegevens gegevens waarmee waarmee overheden, overheden, advocaten, advocaten, banken, banken, deurwaarders deurwaarders of of verzekeraars verzekeraars hun hun uitstaande uitstaande schulden schulden kunnen kunnen verhalen. verhalen.
wat mag met persoonsgegevens... • er moet sprake zijn van een verwerkingsgrond – toestemming, overeenkomst, gerechtvaardigd belang
Art. 8 WBP
• alléén verzamelen voor welbepaald doel – gerechtvaardigd, én – uitdrukkelijk omschreven
Art. 7 WBP
• niet verwerken voor onverenigbaar doel – doelbinding
Art. 9 WBP
• gegevens niet langer bewaren dan nodig
Art. 10 WBP
verwerking is toegestaan... • met ondubbelzinnige toestemming – ondubbelzinnig
› enkele aanvaarding van instemmingsbepaling in algemene voorwaarden is niet toereikend
– eerst informeren, dan toestemming vragen
› ‘informed consent’ – intrekken is ‘te allen tijd’ mogelijk
› maar dan kan de dienst (o.i.d.) misschien niet worden verleend…
– vrijwillig gegeven
› kan niet worden verondersteld in arbeidsverhoudingen! Art. Art. 8(a) 8(a) jo jo 1(i) 1(i) én én 55 -2 -2 WBP WBP
toestemming van minderjarigen • betrokkene jonger dan zestien jaren – of onder curatele of mentorschap
• toestemming wettelijk vertegenwoordiger vereist – i.p.v. van betrokkene Art. Art. 55 -1 -1 WBP WBP
e c i t o N y c a v i r P m o c . n o z a m A ctober 4, 2004 Last updated O
?
ou is y t u o b a n o ti a rm re how info a c u o y t a th s l do so w il o w n k e w m t o a .c n th o t z s a u m tr A ciate your re p p a e w d n A licy. By . o d p re y a c a h s v ri d p n r a u d o e s s u ce describe ti o n is h T . ly ib s n e ractices p e h t g in carefully and s t p e c c you are a , m o .c n o z a m a visiting olicy. P y c a iv r P is h t described in Does s r e m o t s u C t u o ation Ab m r o f n I l a n o s r e What P ther? onalize rs e p s u lp e h rs e Amazon.com Ga our custom m o fr rn a le e w n rience at e p The informatio x e g in p p o h s r prove you gather: e w n o ti a and continually im rm fo in f the types o re a re e ny information H a . re m o o st .c d n n a e iv ce Amazo e Us : We re ou Giv – Information Y ebsite… rtain types of … ce re o st you enter on our w d n a e iv ation: We rece rm fo n I c ti a m to – Au
verwerking is ook toegestaan... • uitvoering van overeenkomst – incl. ‘onderhouden normale klantrelatie’
• wettelijke verplichting – informatieplicht van banken en werkgevers aan fiscus
› bijv. art. 53 AWR
• ter vrijwaring vitale belangen – levensbedreigende situaties
› maar niet ter voorkoming van faillisement! Art. Art. 8(b)-(d) 8(b)-(d) WBP WBP
verwerking is verder toegestaan... • publiekrechtelijke taak bestuursorgaan – bijv. informatiebevoegdheid belastinginspecteur
• ter behartiging van een gerechtvaardigde belang van de verantwoordelijke… tenzij het privacy-belang van de betrokkene prevaleert – – – –
direct marketing fraudebestrijding voorkomen overkreditering (‘credit score’) enz. Art. Art. 8(e)-(f) 8(e)-(f) WBP WBP
proportionaliteit & subsidiariteit • privacyinbreuk niet onevenredig in verhouding met het doel waarvoor wordt verwerkt • verwerking alleen als verwerkingsdoel niet op andere (minder belastende wijze) kan worden bereikt
verzamelen • welbepaald, gerechtvaardigd en uitdrukkelijk omschreven doel – géén blanco volmacht
› dus niet ‘verantwoorde bedrijfsvoering’ maar bijvoorbeeld “...administratie t.b.v. betalingen en inning van vorderingen, daaronder mede begrepen het in handen van derden stellen van vorderingen..”
– van te voren vastgelegd
› › › ›
bijv. in het CBP-meldingsformulier en/of in de ‘Corporate Privacy Policy’ of in een privacy statement enz.
Art. Art. 77 WBP WBP
• verwerking niet onverenigbaar met verzameldoeleinden
#
doelbinding – verwantschap verzameldoel en verwerking – aard van de gegevens
› financieel, gezondheid, handicap, etniciteit enz.
– gevolgen van verwerking
› abonnementsweigering of
wetenschappelijk onder-zoek..?
– wijze van gegevensverkrijging
› van betrokkene zelf of van derden?
Art. Art. 99 WBP WBP
bewaren • gegevens bewaren zolang nodig t.b.v. doeleinden waarvoor ze zijn verzameld • bewaartermijnen
informatieblad informatieblad bewaartermijnen bewaartermijnen CBP CBP
– zolang er claims mogelijk zijn
› 5 jaar (art. 3:306 e.v. Bw) › 2 jaar (7:23-2 Bw) – wettelijke administratieplichten
› 7 jaar (art. 52 -4 Awr) – niet gemelde personeels- en salarisadministratie
› 2 jaar (art. 8 en 9 Vrijstellingsbesluit) Art. Art. 10 10 WBP WBP
beveiligen • passende technische en organisatorische maatregelen • maatregelen garanderen een passend beveiligingsniveau – rekening houdend met stand van techniek en kosten van tenuitvoerlegging – gelet op risico’s die verwerking en aard van te beschermen gegevens met zich meebrengen
• mede gericht op voorkoming onnodige verzameling en verdere verwerking Art. Art. 13 13 WBP WBP
Data protection watchdog distributes email mailing list 29-10-2004 The Dutch Data Protection Authority (Dutch DPA), which supervises the compliance with acts that regulate the use of personal data, was rather redfaced this week when it sent out a newsletter with all of the recipients in the Cc: field instead of the Bcc: field. DPA's news letter goes out to 4000 subscribers. The DPA, which supervises the compliance with the Dutch Personal Data Protection Act was lucky that 'only' a thousand subscribers received the letter, but it managed to make the mistake twice. In a message it apologised for sending the first letter, again putting all recipients to the Cc list, so a second apology had to be sent.
extra beperkingen voor « bijzondere gegevens » • • • • • • • •
levensovertuiging of godsdienst politieke gezindheid lidmaatschap vakbond ras seksuele leven gezondheid strafrechtelijke gegevens (e.d.) én sofinummer Art. Art. 16 16 WBP WBP Art. Art. 24 24 WBP WBP
verwerking « bijzondere gegevens » • verwerking van bijzondere gegevens is verboden, tenzij – met uitdrukkelijke toestemming (enz.), of – door bepaalde verwerkers en voor bepaalde doeleinden – enz... Art. Art. 16 16 t/m t/m 24 24 WBP WBP
« gegevens betreffende ras » verwerking mag • voorzover onvermijdelijk ter identificatie • voorzover nodig i.v.m. positieve discriminatie – alleen gegevens betreffende geboorteland van de betrokkene, van diens ouders of grootouders, – dan wel andere, bij wet vastgestelde criteria
› o.g.v. objectief kan worden bepaald of iemand tot een ›
minderheidsgroep behoort, en geen schriftelijk bezwaar van betrokkene Art. Art. 20 20 WBP WBP
intranet smoelenboek? pasfoto in personeelsdossier?
« gezondheidsgegevens »extra extra beperkingen voor voor verwerking mag tochbeperkingen erfelijkheidserfelijkheidsgegevens gegevens
• hulpverleners en instellingen voor gezondheidszorg of maatschappelijke dienstverlening – voor zover nodig voor goede behandeling of verzorging van de betrokkene – dan wel het beheer van de instelling of beroepspraktijk
• verzekeraars – voor beoordeling van verzekerde risico
› mits de betrokkene geen
• reclassering, raad voor kinderbescherming of voogdij-instellingen e.d. – voor zover nodig voor uitvoering van wettelijk taken
• bestuursorganen, pensioenfondsen, werkgevers e.d. – uitvoering wettelijke voorschriften, pensioenregelingen of cao’s enz. – reïntegratie van werknemers of uitkeringsgerechtigden i.v.m. ziekte of arbeidsongeschiktheid
bezwaar heeft gemaakt
– uitvoering verzekeringsovereenkomst
Art. Art. 21 21 WBP WBP
« vakbondslidmaatschap » verwerking mag toch • door de betreffende vakbond of de vakcentrale – voor zover dat gelet op de doelstelling van de vakbond of centrale noodzakelijk is – derdenverstrekking alléén met toestemming van betrokkene Art. Art. 20 20 WBP WBP
« strafrechtelijke gegevens e.d. » ‘harde’ ‘harde’ en en ‘zachte’ verwerking mag toch gegevens! ‘zachte’ gegevens!
• organen die krachtens de wet zijn belast met de toepassing van het strafrecht – politie, justitie enz.
• verantwoordelijken die gegevens hebben krachtens Wpolr of WJD • ten behoeve van derden – part. recherchebureau’s – passende specifieke waarborgen en voorafgaand onderzoek
› bijv. incidentenregisters
• verantwoordelijke die de gegevens ten eigen behoeve verwerkt – ter beoordeling van een verzoek van betrokkene om een beslissing over hem te nemen of aan hem een prestatie te leveren – bescherming van zijn belangen voor zover het gaat om strafbare feiten die tegen hem zijn gericht Art. Art. 22 22 WBP WBP
« bijzondere gegevens » verwerking mag hoe dan ook • uitdrukkelijke toestemming – wilsuiting in woord, schrift of gedrag tot uitdrukking gebracht
• verwerkingen t.b.v. wetenschappelijk onderzoek
• gegevens door betrokkene duidelijk openbaar gemaakt
– verwerking voor betreffende onderzoek of statistiek noodzakelijk, én
• vaststelling, uitoefening of verdediging in rechte • volkenrechtelijke verplichting • zwaarwegend algemeen belang – passende waarborgen, én – bij wet wordt bepaald of ontheffing Cbp
– onderzoek algemeen belang dient, én
Art. Art. 23 23
– uitdrukkelijke toestemming is onmogelijk of kost onevenredige inspanning, én – zodanige waarborgen dat de privacy van betrokkene niet onevenredig wordt geschaad
let op! persoonsnummers mogelijkheden
• nummer dat ter identificatie van betrokkene bij wet is voorgeschreven
van art. 23 gelden niet!
– sociaal fiscaal nummer (‘sofi-nr’) – burgerservice-nummer (‘BSN’)
• alléén gebruiken ter uitvoering van betreffende wet dan wel voor doeleinden bij de wet bepaald – belastingheffing enz.
• besluit gebruik sociaal fiscaal nummer – Stb. 2001, 687
Art. Art. 24 24
Verbod op voortijdig opvragen sofinummer door huisartsen 4 4 april april 2006 2006 Huisartsen Huisartsen mogen mogen niet niet het het sofinummer sofinummer bij bij hun hun patiënten patiënten opvragen, opvragen, vooruitlopend vooruitlopend op op de de invoering invoering van van het het Burgerservicenummer Burgerservicenummer (BSN) (BSN) in in de de zorg. zorg. De De Wet Wet bescherming bescherming persoonsgegevens persoonsgegevens verbiedt verbiedt dit. dit. Naar Naar aanleiding aanleiding van van een een grote grote hoeveelheid hoeveelheid vragen vragen en en klachten klachten heeft heeft het het CBP CBP er er bij bij de Landelijke Landelijke Huisartsen Huisartsen Vereniging Vereniging op op aangedrongen aangedrongen hun hun leden leden hierover hierover te te informeren. informeren. Het Het is is niet niet toegestaan toegestaan en en ook ook riskant riskant als als huisartsen huisartsen nu nu al al sofi-nrs. sofi-nrs. van patiënten patiënten opvragen. opvragen. Het Het risico risico bestaat bestaat dat dat er er een een onjuiste onjuiste koppeling koppeling tussen tussen sofinummer sofinummer en en patiënt patiënt plaatsvindt, plaatsvindt, met met mogelijk mogelijk de de vervuiling vervuiling van van patiëntendossiers patiëntendossiers als als gevolg gevolg en en gevaar gevaar voor voor de de betrokken betrokken patiënt. patiënt. In In het het wetsvoorstel wetsvoorstel Gebruik Gebruik BSN BSN in in de zorg zorg zijn zijn maatregelen maatregelen opgenomen opgenomen die die er er voor voor moeten moeten zorgen zorgen dat dat het het juiste juiste BSN BSN aan aan de de juiste juiste persoon persoon wordt wordt gekoppeld. gekoppeld.
doorgifte • binnen de EU – géén beperkingen intern gegevensverkeer
› wél voldoen aan Wbp
• buiten de EU – exportbeperkingen
waarom doorgifte-regels? • binnen de EU geharmoniseerde regels – overal min-of-meer gelijk beschermingsniveau – dus géén (weinig) oneigenlijke incentives om gegevens elders in de EU-te verwerken
• buiten de EU lagere beschermingsniveau’s – en dus lagere kosten en minder ‘gedoe’
• voorkomen ‘outsourcing’ gegevensverwerkingen naar ‘derde landen’ met minder bescherming – India, Filippijnen, China enz.
• verbod doorgifte gegevens, tenzij…
hoofdregel doorgifte • doorgifte alleen toegestaan naar derde landen met passend beschermingsniveau • besluiten EC – Zwitserland, Canada, Guernsey, Argentinie, enz – Verenigde Staten
› Safe Harbor › Passenger Data
géén passend beschermingsniveau in de VS • ingewikkeld stelsel van sector-regelgeving – financiële instellingen, telecom, enz. – op zowel federaal als staatsniveau – en zowel vrijwillige als meer bindende zelfregulering
• én vaak alléén bescherming voor VS-burgers
Safe Harbor • Cie. Beschikking 520/2000/EG – Safe Harbor biedt passende bescherming
• Safe Harbor List – o.a. Apple Computers, Hewlett Packard, Microsoft Corp. and its US subsidiairies, Kodak, Foot Locker, Tupperware Corp., Procter & Gamble & US affiliates, enz
http://w ov/s eb.ita.gov/s http://web.ita.g afeharbo afeharborr
Safe Harbor Principles • Notify – inviduals (i.e. data subjects) – about the purposes of collection and use of data
• Choice – opt-out for incompatible use or disclosure to third parties – opt-in for incompatible use or disclosure of sensitive data
• Onward transfer – to third parties – written agreement
› same protection level
• Access – Rights for individuals
› incl. correction rights
• Security – reasonable precautions
› protect from loss, misuse, unauthorized access, etc.
• Data Integrity – relevant
› for the purposes for which it is to be used
• Enforcement – sector – governmental
EC Standard Clauses • contractuele instrumenten – regels voor ‘data exporters’ en ‘data importers’ – goedgekeurd door Commissie – o.b.v. 26 (4) Richtlijn 95/46 voor concernverhoudingen B inding C orporate R ules Binding Corporate Rules Doc. No. 74 (Art. 29 WP)
uitzonderingen: doorgifte toch toegestaan • ondubbelzinnige toestemming van betrokkene – werknemer-werkgever relaties…?
• uitvoering overeenkomst met of in het belang van betrokkene – bancaire transactie – optieregeling werkgever…?
• zwaarwegend algemeen belang of verdediging in rechte van enig recht – holocaust slachtoffer-fonds
• vrijwaring van vitaal belang betrokkene – dus niet ter afwending faillissement
• wettelijk register
EHvJ 6 november 2003 Zaak C101/ 01
gegevens op website géén doorgifte! • ook niet wanneer die gegevens toegankelijk worden gemaakt voor personen uit derdelanden • want – “gezien de ontwikkeling van het internet ten tijde van de op-stelling van richtlijn 95/46 en het ontbreken van criteria voor het gebruik van internet […] kan niet worden aangenomen dat [dat] de bedoeling was” – alternatieve argumentaties
› uitgaan van de bedoeling van de doorgever › ‘ter beschikking stellen’ is niet hetzelfde als ‘doorgeven’
vragen?