Einde inhoudsopgave
Beschikking 2000/520/EG overeenkomstig Richtlijn 95/46/EG van het Europees Parlement en de Raad, betreffende de gepastheid van de bescherming geboden door de Veiligehavenbeginselen voor de bescherming van de persoonlijke levenssfeer en de daarmee verband houdende Vaak gestelde vragen, die door het ministerie van Handel van de Verenigde Staten zijn gepubliceerd
Bijlage I Veiligehavenbeginselen voor de bescherming van de persoonlijke levenssfeer
Geldend
Geldend vanaf 25-08-2000
- Redactionele toelichting
De datum van inwerkingtreding is de datum van het Publicatieblad.
- Bronpublicatie:
26-07-2000, PbEG 2000, L 215 (uitgifte: 25-08-2000, regelingnummer: 200/520/EG)
- Inwerkingtreding
25-08-2000
- Bronpublicatie inwerkingtreding:
26-07-2000, PbEG 2000, L 215 (uitgifte: 25-08-2000, regelingnummer: 200/520/EG)
- Vakgebied(en)
EU-recht / Bijzondere onderwerpen
op 21 juli 2000 gepubliceerd door het ministerie van Handel van de Verenigde Staten
De wetgeving van de Europese Unie betreffende de bescherming van de persoonlijke levenssfeer, de gegevensbeschermingsrichtlijn (‘de richtlijn’), is op 25 oktober 1998 in werking getreden. Volgens deze richtlijn mogen persoonsgegevens alleen naar niet-EU-lidstaten worden doorgegeven als deze een ‘passend’ beschermingsniveau van de persoonlijke levenssfeer bieden. De Verenigde Staten en de Europese Unie streven beide naar een betere bescherming van de persoonlijke levenssfeer van hun burgers, maar de Verenigde Staten hebben een andere benadering daarvan dan de Europese Unie. De aanpak van de Verenigde Staten is sectoraal en gebaseerd op een combinatie van wetgeving, regulering en zelfregulering. Gezien deze verschillen is bij veel organisaties in de Verenigde Staten onduidelijkheid ontstaan over de gevolgen van de door de Europese Unie geëiste ‘norm voor een passend beschermingsniveau’ voor de doorgifte van persoonsgegevens uit de Europese Unie naar de Verenigde Staten.
Om deze onduidelijkheid te verminderen en een beter voorspelbaar kader voor deze gegevensdoorgifte te bieden publiceert het ministerie van Handel dit document en de Vaak gestelde vragen (FAQ's) (‘de beginselen’) op grond van zijn wettelijke taak de internationale handel te bevorderen en te ontwikkelen. De beginselen zijn in samenspraak met het bedrijfsleven en het grote publiek opgesteld om de handel tussen de Verenigde Staten en de Europese Unie te vergemakkelijken. Ze zijn uitsluitend bedoeld om te worden gebruikt door organisaties in de Verenigde Staten die persoonsgegevens uit de Europese Unie ontvangen, om zo in aanmerking te komen voor de veilige haven en de hierdoor geboden veronderstelling van een ‘passend beschermingsniveau’. Omdat de beginselen uitsluitend voor dit specifieke doel zijn ontworpen, kunnen ze voor andere doeleinden ongeschikt zijn. De beginselen kunnen de nationale bepalingen ter uitvoering van de richtlijn, die van toepassing zijn op de verwerking van persoonsgegevens in de lidstaten, niet vervangen.
Organisaties besluiten geheel vrijwillig of zij voor de veilige haven in aanmerking willen komen; zij kunnen dit op verschillende manieren doen. Organisaties die hiertoe besluiten, moeten de beginselen naleven om de voordelen van de veilige haven te krijgen en te behouden, en in het openbaar verklaren dat zij dit doen. Een organisatie die deelneemt aan een zelfreguleringsprogramma op het gebied van de bescherming van de persoonlijke levenssfeer dat de beginselen naleeft, komt er dan ook voor in aanmerking. Organisaties kunnen ook in aanmerking komen door een eigen zelfreguleringsbeleid terzake te ontwikkelen, dat zij met de beginselen in overeenstemming brengen. Indien een organisatie zich voor de naleving van de beginselen volledig of gedeeltelijk op zelfregulering baseert, maar de zelf vastgestelde regels niet naleeft, moet tegen haar vervolging kunnen worden ingesteld overeenkomstig sectie 5 van de Federal Trade Commission Act, die oneerlijke en misleidende handelingen verbiedt, dan wel ingevolge een andere wet of regeling die dergelijke praktijken verbiedt (zie de bijlage voor de lijst van door de Europese Unie erkende officiële instanties in de Verenigde Staten). Bovendien kunnen organisaties waarop wettelijke of bestuursrechtelijke bepalingen met betrekking tot een effectieve bescherming van persoonsgegevens van toepassing zijn, eveneens voor de voordelen van de veilige haven in aanmerking komen. De voordelen van de veilige haven gelden vanaf de datum dat de organisatie die hiervoor in aanmerking wil komen bij het ministerie van Handel (of een door dit ministerie aangewezen instantie) meldt dat zij de beginselen naleeft (zelfcertificering) overeenkomstig de richtsnoeren die in de Vaak gestelde vragen over zelfcertificering zijn uiteengezet.
De naleving van de beginselen kan worden beperkt a) voorzover dit nodig is om aan de eisen van de nationale veiligheid, het algemeen belang en rechtshandhaving te voldoen; b) door wettelijke of bestuursrechtelijke bepalingen of rechtspraak die tegenstrijdige verplichtingen of uitdrukkelijke machtigingen scheppen, mits een organisatie die van een dergelijke machtiging gebruikmaakt, kan aantonen dat de niet-naleving van de beginselen beperkt is tot de mate die nodig is om de met de machtiging beoogde hogere legitieme belangen te waarborgen; of c) indien de richtlijn of de wetgeving van de betrokken lidstaat uitzonderingen of afwijkingen toestaat, mits deze ook in vergelijkbare contexten worden toegepast. In overeenstemming met het doel de bescherming van de persoonlijke levenssfeer te verbeteren, moeten organisaties ernaar streven deze beginselen volledig en op doorzichtige wijze toe te passen en in hun beleid inzake de bescherming van de persoonlijke levenssfeer aan te geven op welke gebieden er regelmatig op grond van punt b) uitzonderingen op de beginselen zullen worden toegestaan. Waar de beginselen en/of de wetgeving van de Verenigde Staten organisaties de mogelijkheid tot kiezen bieden, wordt daarom ook van hen verwacht dat zij waar mogelijk voor de hoogste mate van bescherming kiezen.
Organisaties kunnen de beginselen om praktische of andere redenen op iedere verwerking van gegevens toepassen, maar zij zijn hiertoe alleen verplicht nadat zij tot de veilige haven zijn toegetreden. Om voor de veilige haven in aanmerking te komen zijn organisaties niet verplicht de beginselen toe te passen op persoonlijke informatie in handmatig bijgehouden gegevensbestanden. Organisaties die van de veilige haven gebruik willen maken om informatie in handmatig bijgehouden gegevensbestanden uit de Europese Unie te kunnen ontvangen, moeten de beginselen toepassen op alle informatie die wordt doorgegeven nadat zij tot de veilige haven zijn toegetreden. Als een organisatie wil dat personeelsgegevens bestaande uit persoonlijke informatie, die vanuit de Europese Unie in het kader van een arbeidsverhouding worden doorgegeven, eveneens onder de voordelen van de veilige haven vallen, moet zij dit in haar verklaring aan het ministerie van Handel (of de door dit ministerie aangewezen instantie) aangeven en voldoen aan de vereisten die zijn neergelegd in de FAQ over zelfcertificering. Organisaties kunnen de in artikel 26 van de richtlijn verlangde waarborgen ook bieden wanneer zij in contracten met organisaties die gegevens uit de Europese Unie doorgeven, de beginselen als belangrijke bepalingen over de bescherming van de persoonlijke levenssfeer opnemen, zodra de andere bepalingen voor dergelijke modelcontracten door de Commissie en de lidstaten zijn goedgekeurd.
De wetgeving van de Verenigde Staten is van toepassing op vragen betreffende de interpretatie en naleving van de Veiligehavenbeginselen (inclusief de Vaak gestelde vragen) en het desbetreffende beleid van veiligehavenorganisaties inzake de bescherming van de persoonlijke levenssfeer, behalve als deze organisaties zich ertoe verplicht hebben om met de Europese gegevensbeschermingsautoriteiten samen te werken. Tenzij anders vermeld zijn in voorkomend geval alle bepalingen van de Veiligehavenbeginselen en de Vaak gestelde vragen van toepassing.
Persoonsgegevens en persoonlijke informatie zijn gegevens over een specifieke of een identificeerbare persoon die onder het toepassingsgebied van de richtlijn vallen, vanuit de Europese Unie door een organisatie in de Verenigde Staten worden ontvangen en in de een of andere vorm zijn vastgelegd.
Kennisgeving
Een organisatie moet particulieren in kennis stellen van de doeleinden waarvoor zij informatie over hen verzamelt en gebruikt, hoe particulieren voor vragen of klachten contact met de organisatie kunnen opnemen, aan welke derden de informatie bekend wordt gemaakt en welke keuzemogelijkheden en middelen de organisatie hen biedt om het gebruik en de bekendmaking van deze informatie te beperken. Deze kennisgeving moet in duidelijke en ondubbelzinnige bewoordingen worden gedaan als de betrokkenen voor de eerste keer wordt gevraagd de organisatie persoonlijke informatie te verstrekken of zo spoedig mogelijk daarna, maar in ieder geval voordat de organisatie dergelijke informatie gebruikt voor een ander doel dan waarvoor deze oorspronkelijk is verzameld of door de doorgevende organisatie is verwerkt, of voor de eerste keer aan een derde bekendmaakt (1).
Keuze
Een organisatie moet personen de mogelijkheid geven te kiezen of (zich ertegen te verzetten dat (opt-out)) hun persoonlijke informatie a) aan derden bekend zal worden gemaakt (1) of b) zal worden gebruikt voor een doel dat onverenigbaar is met het (de) doel(en) waarvoor deze informatie oorspronkelijk is verzameld of waarvoor de betrokkene achteraf zijn toestemming heeft gegeven. Aan de betrokkene moeten duidelijke en opvallende, direct beschikbare en betaalbare mechanismen worden geboden om deze keuze te maken.
Voor gevoelige informatie (d.w.z. persoonlijke informatie over de gezondheid, raciale of etnische afkomst, politieke opvattingen, godsdienstige of filosofische overtuigingen, lidmaatschap van een vakbond of informatie over het seksleven van de betrokkene) moet de betrokkene positief of expliciet de mogelijkheid krijgen ervoor te kiezen (toestemming te geven (opt-in)) dat de informatie aan een derde bekend wordt gemaakt of zal worden gebruikt voor een ander doel dan waarvoor deze oorspronkelijk is verzameld of waarvoor de betrokkene achteraf zijn toestemming heeft gegeven. Een organisatie moet in ieder geval alle informatie die zij van een derde ontvangt en die deze derde als gevoelig aanmerkt en behandelt, als gevoelig behandelen.
Verdere doorgifte
Wanneer een organisatie informatie bekendmaakt aan een derde, moet zij het kennisgevings- en het keuzebeginsel toepassen. Wanneer zij informatie wil doorgeven aan een derde die als haar vertegenwoordiger optreedt, zoals in de eindnoot wordt beschreven, mag dit indien zij zich er eerst van vergewist dat deze derde de Veiligehavenbeginselen onderschrijft, dan wel of de richtlijn of een andere vaststelling van gepastheid op hem van toepassing is, of indien zij een schriftelijke overeenkomst met deze derde aangaat waarin zij eist dat deze derde ten minste dezelfde bescherming van de persoonlijke levenssfeer biedt als de desbetreffende Veiligehavenbeginselen bieden. Indien de organisatie aan deze eisen voldoet, zal zij niet aansprakelijk worden gehouden (tenzij door de organisatie anders wordt overeengekomen) indien een derde partij waaraan de informatie is doorgegeven, deze verwerkt op een manier die strijdig is met eventuele restricties of verklaringen, tenzij de organisatie wist of had moeten weten dat de derde partij de informatie op een dergelijke manier zou verwerken, maar geen redelijke maatregelen heeft genomen om deze verwerking te voorkomen of stop te zetten.
Beveiliging
Organisaties die persoonlijke informatie verzamelen, bijhouden, gebruiken of verspreiden, moeten redelijke voorzorgsmaatregelen nemen om deze te beschermen tegen verlies, misbruik en ongeoorloofde toegang, bekendmaking, wijziging en vernietiging.
Integriteit van gegevens
Overeenkomstig de beginselen moet persoonlijke informatie relevant zijn voor de doeleinden waarvoor deze zal worden gebruikt. Een organisatie mag geen persoonlijke informatie verwerken op een wijze die onverenigbaar is met de doeleinden waarvoor deze is verzameld of waarmee de betrokkene achteraf heeft ingestemd. Voorzover dit voor deze doeleinden noodzakelijk is, moet een organisatie redelijke stappen ondernemen om ervoor te zorgen dat de gegevens betrouwbaar zijn voor het beoogde gebruik en dat ze correct, volledig en actueel zijn.
Toegang
Particulieren moeten toegang hebben tot de persoonlijke informatie die een organisatie over hen in bezit heeft, en deze informatie, voorzover deze onjuist is, kunnen corrigeren, wijzigen of verwijderen, tenzij de lasten of de kosten voor het verlenen van toegang niet in verhouding staan tot het gevaar voor de persoonlijke levenssfeer van de betrokkene, of tenzij de legitieme rechten van andere personen dan de betrokkene worden geschonden.
Rechtshandhaving
Een doeltreffende bescherming van de persoonlijke levenssfeer moet ook mechanismen omvatten om de naleving van de beginselen te garanderen, alsmede verhaalmogelijkheden voor degenen op wie de gegevens betrekking hebben indien de beginselen niet worden nageleefd, en gevolgen voor een organisatie die zich niet aan de beginselen houdt. Deze mechanismen moeten ten minste het volgende omvatten: a) direct beschikbare en betaalbare onafhankelijke verhaalmechanismen voor het onderzoek en de afhandeling, aan de hand van de beginselen, van klachten en geschillen van particulieren en de toekenning van schadevergoedingen wanneer het toepasselijke recht of de initiatieven van de particuliere sector hierin voorzien; b) vervolgprocedures om na te gaan of de attesten en verklaringen van bedrijven over hun beleid inzake de bescherming van de persoonlijke levenssfeer waar zijn en of het voorgelegde beleid terzake ook ten uitvoer is gebracht zoals het is voorgesteld; en c) verplichtingen om problemen op te lossen die ontstaan doordat de beginselen niet worden nageleefd door organisaties die hebben verklaard deze na te leven en gevolgen voor dergelijke organisaties. De sancties moeten zwaar genoeg zijn om naleving door de organisaties te garanderen.
Bijlage Lijst van door de Europese Unie erkende officiële instanties in de Verenigde Staten
De Europese Unie erkent de volgende overheidsinstanties in de Verenigde Staten als bevoegde instanties die klachten kunnen onderzoeken en na oneerlijke en misleidende praktijken herstel kunnen verkrijgen, alsmede schadeloosstelling voor de betrokkenen, indien de overeenkomstig de FAQ's ten uitvoer gelegde beginselen niet worden nagekomen:
- —
de Federal Trade Commission, krachtens haar bevoegdheid overeenkomstig sectie 5 van de Federal Trade Commission Act;
- —
het ministerie van Vervoer, krachtens zijn bevoegdheid overeenkomstig titel 49 van de United States Code, sectie 41712.
Voetnoten
Er is geen kennisgeving nodig als de informatie wordt bekendgemaakt aan een derde die optreedt als vertegenwoordiger van een organisatie om uit haar naam en in haar opdracht een of meer taken uit te voeren. Op een dergelijke bekendmaking is echter wel het beginsel van verdere doorgifte van toepassing.
Er is geen kennisgeving nodig als de informatie wordt bekendgemaakt aan een derde die optreedt als vertegenwoordiger van een organisatie om uit haar naam en in haar opdracht een of meer taken uit te voeren. Op een dergelijke bekendmaking is echter wel het beginsel van verdere doorgifte van toepassing.