- Lynn Pype - Griet Verfaillie
- verwerking van persoonsgegevens , gegevensexporteur , gegevensimporteur , verwerker , sub-verwerker , modelovereenkomst
Analyse
Bedrijven kiezen er veelal voor om de verwerking van persoonsgegevens, zoals bijvoorbeeld een
klantenbestand, uit te besteden aan bedrijven die zich niet in de Europese Unie bevinden en in
principe niet moeten beantwoorden aan de vereisten gesteld door de richtlijn “Bescherming
persoonsgegevens”.
Gevolg is dat de veiligheid van de behandeling van de persoonsgegevens in het gedrang kan komen.
De “doorgifte” van persoonsgegevens naar derde landen die niet over een passend beschermingsniveau
(inzake de behandeling van persoonsgegevens) beschikken wordt mogelijk gemaakt, o.a. door
bescherming via een overeenkomst die bindend is zowel ten aanzien van de gegevensexporteur als de
gegevensimporteur.
Om de veiligheid van de behandeling van de persoonsgegevens te waarborgen, heeft de Europese
Commissie in het verleden reeds een aantal modelovereenkomsten opgesteld, waarin de bepalingen uit
de Richtlijn “Bescherming persoonsgegevens”(1) contractueel worden opgenomen.(2)
De verantwoordelijkheden die door deze contracten worden opgelegd, verschillen naargelang de
hoedanigheid van de partijen.
Enerzijds is er de “Verantwoordelijke” van de persoonsgegevens. Dit is degene die de controle over
de persoonsgegevens heeft en die instructies geeft omtrent de verwerking ervan.
Vervolgens bestaat er de “Verwerker”. Deze handelt op instructie van de Verantwoordelijke.
Tenslotte kan er nog beroep gedaan worden op een “Sub-verwerker”, die als het ware in onder-aanneming van de Verwerker, opdrachten uitvoert.
De Modelovereenkomsten die nu reeds voorhanden zijn betreffen de relatie tussen de Europese Verantwoordelijke (Gegevensexporteur), en de niet-Europese Verantwoordelijke (Gegevensimporteur), alsook de relatie tussen de Europese Verantwoordelijke en de niet-Europese Verwerker en diens niet-Europese Sub-verwerker.
Er was bijgevolg nog geen specifieke Modelovereenkomst voorzien om de verhouding te regelen tussen een Europese Verwerker van persoonsgegevens en een niet-Europese Sub-verwerker. Nochtans is het niet ondenkbaar dat een Europese Verwerker ervoor kiest om een Sub-verwerker uit een derde land in te schakelen. Opdat ook deze relatie de nodige waarborgen zou voorzien, is er op 21 maart 2014 een voorstel gelanceerd om deze lacune te verhelpen.
De inhoud van de nieuwe Modelovereenkomst is gelijkaardig aan de Modelovereenkomsten die nu reeds gebruikt worden. Een van de belangrijkste kenmerken in deze overeenkomst is het beding ten behoeve van derden. Op grond hiervan kan een individu, wiens gegevens verwerkt worden, een vordering instellen indien een partij haar contractuele verplichtingen niet nakomt. Dit beding zorgt ervoor dat het individu (data-subject) in de eerste plaats de Gegevensexporteur kan aanspreken op zijn verantwoordelijkheid. Mocht deze niet meer bestaan, dan kan de Gegevensimporteur aangesproken worden en in laatste instantie de Sub-verwerker.
In de bestaande Modelovereenkomst was de Verantwoordelijke voor de verwerking van de persoonsgegevens steeds de Gegevensexporteur. In de nieuwe overeenkomst wordt voorzien dat de persoonsgegevens doorgegeven worden door de Verwerker.
Niettemin blijft de Verantwoordelijke in de eerste plaats aansprakelijk mocht een individu schade lijden door een foutieve handeling in de verwerking. Slechts indien de Verantwoordelijke niet langer zou bestaan, kan het individu zich richten naar de Gegevensexporteur-Verwerker en vervolgens naar de Gegevensimporteur-Verwerker.
Het betrokken individu kan zijn vordering tegen de Verantwoordelijke echter niet putten uit deze overeenkomst. Een beding ten gunste van derden brengt een driepartijenverhouding tot stand, en de Verantwoordelijke zou een vierde partij zijn, wat deze constructie niet toelaat. De aansprakelijkheid van de Verantwoordelijke en de vorderingsrechten van het betrokken individu zullen dus voortvloeien uit de kaderovereenkomst die de Verantwoordelijke aangaat met de Verwerker-exporteur.
Het afsluiten van een kaderovereenkomst is een verplichting die de Gegevensexporteur-Verwerker moet hebben vervuld, wil hij persoonsgegevens doorgeven aan een Gegevensimporteur-Verwerker. In deze kaderovereenkomst moet de Verantwoordelijke een reeks verplichtingen op zich nemen die de veiligheid van de verwerking moeten waarborgen.
Gelet op het feit dat de Verantwoordelijke geen partij is aan de nieuwe overeenkomst, zal hij er alle belang bij hebben om zijn Verwerkers duidelijke en expliciete instructies te geven omtrent de verwerking en onder welke omstandigheden een beroep mag gedaan worden op een Gegevensimporteur-Sub-verwerker. De Verantwoordelijke blijft immers het eerste aanspreekpunt.
Alleszins is het goed nieuws dat er een uniform juridisch kader zal voorzien worden voor de doorgifte van persoonsgegevens tussen Europese en niet-Europese Verwerkers. Dit voorstel zal nu behandeld worden door de Europese Commissie en pas als de Commissie een positief besluit uitvaardigt, kan er van de nieuwe modelovereenkomst gebruik worden gemaakt.
[1] Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens.
[2] Beschikking van de Commissie van 27 december 2004 tot wijziging van Beschikking 2001/497/EG betreffende de invoering van alternatieve modelcontractbepalingen voor de doorgifte van persoonsgegevens naar derde landen en Besluit van de Commissie van 5 februari 2010 betreffende modelcontractbepalingen voor de doorgifte van persoonsgegevens aan derde landen gevestigde verwerkers.
