Beschikking 2000/520/EG overeenkomstig Richtlijn 95/46/EG van het Europees Parlement en de Raad, betreffende de gepastheid van de bescherming geboden door de Veiligehavenbeginselen voor de bescherming van de persoonlijke levenssfeer en de daarmee verband houdende Vaak gestelde vragen, die door het ministerie van Handel van de Verenigde Staten zijn gepubliceerd:Bijlage II Vaak gestelde vragen (FAQ'S)

Bijlage II Vaak gestelde vragen (FAQ'S)

Geldend

Documentgegevens:

Geldend vanaf 25-08-2000

Redactionele toelichting: De datum van inwerkingtreding is de datum van het Publicatieblad.
Bronpublicatie:: 26-07-2000, PbEG 2000, L 215 (uitgifte: 25-08-2000, regelingnummer: 200/520/EG)
Inwerkingtreding: 25-08-2000
Bronpublicatie inwerkingtreding:: 26-07-2000, PbEG 2000, L 215 (uitgifte: 25-08-2000, regelingnummer: 200/520/EG)
Vakgebied(en): EU-recht / Bijzondere onderwerpen

FAQ 1 — Gevoelige gegevens

V: Moet een organisatie altijd toestemming geven voor de verwerking van gevoelige gegevens?

A: Nee, toestemming is niet vereist wanneer de verwerking: 1. van vitaal belang is voor de betrokkene of voor iemand anders; 2. noodzakelijk is om rechtsvorderingen geldend te maken of om zich tegen een rechtsvordering te verweren; 3. noodzakelijk is voor het verstrekken van medische zorg of het stellen van een diagnose; 4. door een stichting, een vereniging of een andere instelling zonder winstoogmerk die op politiek, levensbeschouwelijk, godsdienstig of vakbondsgebied werkzaam is, wordt verricht in het kader van haar rechtmatige activiteiten, mits de verwerking uitsluitend betrekking heeft op de leden van die instelling of op degenen die in verband met haar doelstellingen regelmatig contact met haar onderhouden, en de gegevens niet zonder de toestemming van de betrokkenen aan derden beschikbaar worden gesteld; 5. noodzakelijk is met het oog op de uitvoering van de arbeidsrechtelijke verplichtingen van de organisatie; of 6. betrekking heeft op gegevens waarvan duidelijk is dat ze door de betrokkene zelf openbaar zijn gemaakt.

FAQ 2 — Uitzonderingen voor journalistieke doeleinden

V: Gelden, gezien de in de grondwet van de Verenigde Staten neergelegde bescherming van de persvrijheid en de in de richtlijn neergelegde vrijstelling voor journalistiek materiaal, de Veiligehavenbeginselen ook voor persoonlijke informatie die is verzameld, bewaard of verspreid voor journalistieke doeleinden?

A: Wanneer de rechten van een vrije pers, die zijn opgenomen in het eerste amendement op de grondwet van de Verenigde Staten, botsen met de belangen van bescherming van de persoonlijke levenssfeer, moet op grond van het eerste amendement ten aanzien van de activiteiten van burgers of organisaties uit de Verenigde Staten een evenwicht tussen deze belangen worden gevonden. Persoonlijke informatie die wordt verzameld voor publicatie, uitzending of een andere vorm van openbare communicatie van journalistiek materiaal, ook al wordt dit niet gebruikt, en informatie uit eerder gepubliceerd materiaal dat via media-archieven wordt verspreid, is niet onderworpen aan de eisen van de Veiligehavenbeginselen.

FAQ 3 — Secundaire aansprakelijkheid

V: Zijn aanbieders van internetdiensten, telecommunicatiebedrijven of andere organisaties uit hoofde van de Veiligehavenbeginselen aansprakelijk voor informatie die zij namens een andere organisatie enkel overbrengen, routeren, schakelen of opslaan, maar die wellicht in strijd is met hun voorwaarden?

A: Nee. Evenmin als de richtlijn zelf voorziet de veilige haven in secundaire aansprakelijkheid. Wanneer een organisatie van een derde afkomstige informatie alleen doorgeeft, zonder de doeleinden en middelen van de verwerking van persoonlijke informatie vast te stellen, is zij niet aansprakelijk.

FAQ 4 — Investeringsbanken en accountants

V: De activiteiten van accountants en investeringsbankiers kunnen de verwerking van persoonsgegevens met zich brengen zonder dat de betrokkene dit weet of hiervoor toestemming heeft gegeven. Onder welke omstandigheden is dit volgens de beginselen van kennisgeving, keuze en toegang toelaatbaar?

A: Investeringsbankiers en accountants mogen alleen informatie verwerken zonder dat de betrokkene hiervan op de hoogte is voorzover, en gedurende de periode waarin, dit in verband met wettelijke verplichtingen of het openbaar belang noodzakelijk is, alsmede onder omstandigheden waarin toepassing van deze beginselen de legitieme belangen van de organisatie zou schaden. Deze legitieme belangen omvatten het toezicht op de naleving door bedrijven van hun wettelijke verplichtingen en wettelijk toegestane boekhoudactiviteiten, alsmede de noodzakelijke vertrouwelijkheid in verband met mogelijke aankopen, fusies, joint ventures of andere soortgelijke transacties uitgevoerd door investeringsbankiers of accountants.

FAQ 5 (1) — De rol van de gegevensbeschermingsautoriteiten

V: Hoe zullen bedrijven die toezeggen met de gegevensbeschermingsautoriteiten uit de Europese Unie te zullen samenwerken, deze toezeggingen doen en hoe zullen deze gestand worden gedaan?

A: In het kader van de veilige haven zijn organisaties uit de Verenigde Staten die persoonsgegevens uit de Europese Unie ontvangen, verplicht effectieve mechanismen aan te wenden om de naleving van de Veiligehavenbeginselen te waarborgen. Preciezer gezegd moeten zij, zoals vastgesteld in het rechtshandhavingsbeginsel, voorzien in a) verhaalmogelijkheden voor degenen op wie de gegevens betrekking hebben, b) vervolgprocedures om na te gaan of de attesten en verklaringen die zij over hun beleid inzake de bescherming van de persoonlijke levenssfeer hebben afgegeven, waar zijn, en c) verplichtingen om problemen op te lossen die ontstaan doordat organisaties de beginselen niet naleven, en consequenties hiervan voor dergelijke organisaties. Organisaties kunnen aan de punten a) en c) van het rechtshandhavingsbeginsel voldoen als zij zich houden aan te vereisten[lees: de vereisten] van deze FAQ voor de samenwerking met de gegevensbeschermingsautoriteiten.

Een organisatie kan zich ertoe verplichten met de gegevensbeschermingsautoriteiten samen te werken door in haar certificering voor de veilige haven bij het ministerie van Handel (zie FAQ 6 over zelfcertificering) te verklaren dat zij:

1.: ervoor kiest aan de verplichtingen van de punten a) en c) van het rechtshandhavingsbeginsel van de veilige haven te voldoen door te beloven met de gegevensbeschermingsautoriteiten samen te werken;
2.: met de gegevensbeschermingsautoriteiten zal samenwerken bij het onderzoek en de oplossing van klachten die in het kader van de veilige haven zijn ingediend; en
3.: gevolg zal geven aan elk door de gegevensbeschermingsautoriteiten verstrekt advies als deze van oordeel zijn dat de organisatie specifieke maatregelen moet nemen om aan de Veiligehavenbeginselen te voldoen, daaronder begrepen corrigerende en compenserende maatregelen ten gunste van personen die schade ondervinden door niet-naleving van de beginselen, en de gegevensbeschermingsautoriteiten schriftelijk zal bevestigen dat dergelijke maatregelen zijn genomen.

De gegevensbeschermingsautoriteiten zullen op de volgende wijze hun medewerking verlenen door informatie en advies te geven:

—: Het advies van de gegevensbeschermingsautoriteiten zal worden verstrekt via een informeel Europees panel van gegevensbeschermingsautoriteiten, dat onder meer zal helpen een geharmoniseerde en samenhangende aanpak te waarborgen.
—: Het panel zal aan de betrokken organisaties uit de Verenigde Staten advies verlenen over onopgeloste klachten van personen over de behandeling van persoonlijke informatie die vanuit de Europese Unie in het kader van de veilige haven is doorgegeven. Dit advies zal zo zijn opgesteld dat ervoor wordt gezorgd dat de Veiligehavenbeginselen correct worden toegepast en het zal de rechtsmiddelen noemen die volgens de gegevensbeschermingsautoriteiten de betrokkene(n) in aanmerking kan (kunnen) nemen.
—: Het panel zal dit advies uitbrengen naar aanleiding van verwijzingen door de betrokken organisaties en/of rechtstreeks van personen ontvangen klachten tegen organisaties die zich ertoe verplicht hebben om in het kader van de Veiligehavenbeginselen met de gegevensbeschermingsautoriteiten samen te werken. Het zal deze personen in eerste instantie aanmoedigen gebruik te maken van eventueel door de organisatie aangeboden interne regelingen voor de behandeling van klachten en hen hierbij zo nodig helpen.
—: Het panel zal pas advies uitbrengen nadat beide partijen in een geschil een redelijke kans hebben gekregen om commentaar te geven en alle gewenste bewijzen te leveren. Het zal proberen dit advies zo snel te geven als een eerlijke rechtsgang dit toelaat. In de regel zal het panel ernaar streven advies te verstrekken binnen 60 dagen na ontvangst van een klacht of verwijzing en zo mogelijk sneller.
—: Het panel zal de resultaten van zijn onderzoek van ingediende klachten openbaar maken als het dit gepast acht.
—: Het panel en de afzonderlijke gegevensbeschermingsautoriteiten zijn in generlei opzicht aansprakelijk voor het advies dat het panel geeft.

Organisaties die deze optie voor de oplossing van geschillen kiezen, moeten zich ertoe verplichten gevolg te geven aan het advies van de gegevensbeschermingsautoriteiten. Als een organisatie niet binnen 25 dagen nadat een advies is uitgebracht, gevolg geeft aan dit advies en hiervoor geen bevredigende verklaring geeft, zal het panel kennis geven van zijn voornemen om hetzij — in gevallen van bedrog of onjuiste verklaringen — de zaak voor te leggen aan de Federal Trade Commission of aan een andere instantie op federaal of staatsniveau met wettelijke bevoegdheden om dwangmaatregelen te nemen, hetzij te concluderen dat de samenwerkingsovereenkomst ernstig is geschonden en bijgevolg nietig is. In het laatste geval zal het panel het ministerie van Handel (of de door dit ministerie aangewezen instantie) hiervan op de hoogte brengen zodat de lijst van veiligehavendeelnemers dienovereenkomstig kan worden gewijzigd. Elke niet-nakoming van de verplichting om met de gegevensbeschermingsautoriteiten samen te werken, alsmede elke niet-naleving van de Veiligehavenbeginselen kan op grond van sectie 5 van de FTC-wet of andere soortgelijke wetten als misleidende praktijk worden gevolgd.

Organisaties die deze mogelijkheid kiezen, betalen een jaarlijkse vergoeding ter dekking van de administratieve kosten van het panel. Wanneer het panel verwijzingen of klachten tegen de betrokken organisatie in overweging neemt, kan het bovendien een vergoeding van de kosten van eventueel noodzakelijke vertalingen verlangen. De jaarlijkse vergoeding bedraagt maximaal 500 USD, maar zal lager zijn voor kleinere ondernemingen.

Gedurende een periode van drie jaar krijgen organisaties die tot de veilige haven toetreden de mogelijkheid om met de gegevensbeschermingsautoriteiten samen te werken. Voor afloop van deze periode zullen de gegevensbeschermingsautoriteiten deze regeling opnieuw bekijken als te veel organisaties uit de Verenigde Staten voor deze mogelijkheid kiezen.

FAQ 6 — Zelfcertificering

V: Hoe kan een organisatie zelf een verklaring afleggen (zelfcertificering) dat zij de Veiligehavenbeginselen onderschrijft?

A: De voordelen van de veilige haven zijn gegarandeerd vanaf de datum waarop een organisatie zelf aan het ministerie van Handel (of een door dit ministerie aangewezen instantie) verklaart de beginselen te onderschrijven (zelfcertificering). Hiervoor gelden de volgende richtsnoeren.

Voor zelfcertificering moet een organisatie die tot de veilige haven toetreedt een door een directielid ondertekende brief naar het ministerie van Handel (of de door dit ministerie aangewezen instantie) sturen, die ten minste de volgende informatie bevat:

1.

naam van de organisatie, postadres, e-mailadres, telefoon- en faxnummer;

2.

beschrijving van de activiteiten van de organisatie met betrekking tot de persoonlijke informatie die zij uit de Europese Unie ontvangt; en

3.

beschrijving van het beleid van de organisatie inzake de bescherming van de persoonlijke levenssfeer ten aanzien van dergelijke persoonlijke informatie, waaronder:

a): waar dit door het publiek kan worden geraadpleegd,
b): de datum van inwerkingtreding,
c): een instantie waartoe men zich kan wenden voor de behandeling van klachten, verzoeken om toegang en alle andere kwesties die zich voordoen in het kader van de veilige haven,
d): de officiële instantie die bevoegd is om tegen de organisatie ingediende claims in verband met eventuele oneerlijke of misleidende praktijken en schendingen van wetten of regelingen betreffende de bescherming van de persoonlijke levenssfeer te behandelen (en die wordt vermeld in de bijlage van de beginselen),
e): de naam van programma's ter bescherming van waaraan de organisatie deelneemt,
f): de wijze van controle (bv. intern, door derden) (2), en
g): het onafhankelijke verhaalmechanisme dat onopgeloste klachten kan onderzoeken.

Als een organisatie wil dat personeelsgegevens die vanuit de Europese Unie in het kader van een arbeidsverhouding zijn doorgegeven, eveneens onder de voordelen van de veilige haven vallen, kan zij dit doen indien er een officiële instantie is die bevoegd is tot de behandeling van tegen de organisatie ingebrachte klachten in verband met de in de bijlage van de beginselen vermelde personeelsgegevens. Bovendien moet zij dit in haar brief aangeven en verklaren zich ertoe te verplichten dat ze, waar FAQ 9 en FAQ 5 van toepassing zijn, in overeenstemming met deze FAQ's met de betrokken EU-autoriteit(en) zal samenwerken en dat ze het advies van deze autoriteiten zal naleven.

Het ministerie (of de door het ministerie aangewezen instantie) zal een lijst bijhouden van alle organisaties die dergelijke brieven indienen, en zo in het genot komen van de voordelen van de veilige haven, en de lijst bijwerken aan de hand van de jaarlijkse brieven en kennisgevingen die het ingevolge FAQ 11 ontvangt. Deze zelfcertificeringsbrieven moeten minstens eens per jaar worden ingediend. Anders wordt de organisatie van de lijst verwijderd en zijn de voordelen van de veilige haven niet langer gegarandeerd. Zowel de lijst als de door de organisaties ingediende verklaringen zullen voor het publiek toegankelijk worden gemaakt. Alle organisaties die zelf een verklaring met betrekking tot de veilige haven afleggen, moeten in de verklaringen die zij publiceren over hun beleid inzake de bescherming van de persoonlijke levenssfeer ook aangeven dat zij de Veiligehavenbeginselen onderschrijven.

Voor gegevens die worden ontvangen tijdens de periode waarin de organisatie de voordelen van de veilige haven geniet, is de verplichting de beginselen na te leven niet in de tijd beperkt; deze blijven op die gegevens van toepassing zolang de organisatie ze opslaat, gebruikt of openbaar maakt, zelfs indien de organisatie de veilige haven nadien om enigerlei reden verlaat.

Een organisatie die ten gevolge van een fusie of overname haar rechtspersoonlijkheid als zelfstandige onderneming zal verliezen, moet het ministerie van Handel (of een door dit ministerie aangewezen instantie) hiervan vooraf in kennis stellen. In deze kennisgeving moet ook worden vermeld of de overnemende onderneming of de onderneming die door de fusie ontstaat 1. onder de wetgeving die op de overname of fusie van toepassing is, nog steeds verplicht is zich aan de Veiligehavenbeginselen te houden of 2. verkiest de Veiligehavenbeginselen zelf te onderschrijven of andere garanties biedt, zoals een schriftelijke verklaring dat zij de Veiligehavenbeginselen zal naleven. Als noch 1 noch 2 van toepassing is, moeten alle gegevens die in het kader van de veilige haven zijn verkregen, onmiddellijk worden verwijderd.

Een organisatie hoeft de Veiligehavenbeginselen niet op alle persoonlijke informatie toe te passen, maar moet deze vanaf het moment van toetreding tot de veilige haven wel toepassen op alle uit de Europese Unie ontvangen persoonlijke informatie.

De Federal Trade Commission of een andere bevoegde overheidsinstantie kan actie ondernemen tegen iedere onjuiste verklaring aan het grote publiek met betrekking tot de naleving van de Veiligehavenbeginselen door een organisatie. Bij onjuiste verklaringen tegenover het ministerie van Handel (of de door dit ministerie aangewezen instantie) kan vervolging worden ingesteld op grond van de False Statements Act (18 U.S.C. § 1001).

FAQ 7 — Controle

V: Hoe voorzien organisaties in vervolgprocedures om na te gaan of de attesten en verklaringen die zij over hun beleid inzake de bescherming van de persoonlijke levenssfeer in het kader van de veilige haven afleggen, waar zijn en of dit beleid is uitgevoerd zoals het is voorgesteld en of het beantwoordt aan de Veiligehavenbeginselen?

A: Teneinde aan de controle-eisen van het rechtshandhavingsbeginsel te voldoen kan een organisatie de naleving van dergelijke attesten en verklaringen nagaan door zelfbeoordeling of door externe nalevingscontroles.

Bij de zelfbeoordelingsmethode moet uit de controle blijken dat het beleid van een organisatie inzake de bescherming van de persoonlijke levenssfeer bij uit de Europese Unie ontvangen persoonlijke informatie zorgvuldig en allesomvattend is, duidelijk wordt bekendgemaakt, volledig wordt uitgevoerd en toegankelijk is. Voorts moet blijken dat dit beleid in overeenstemming is met de Veiligehavenbeginselen, dat particulieren in kennis worden gesteld van interne regelingen voor de behandeling van klachten en van de onafhankelijke mechanismen om klachten in te dienen, dat de organisatie haar werknemers opleidt in de uitvoering van het beleid en dat er disciplinaire maatregelen tegen hen worden genomen indien zij dit niet doen, en dat er voorts interne procedures zijn om periodiek objectief na te gaan of het bovenstaande ook wordt nageleefd. Een verklaring ter controle van de zelfbeoordeling moet minstens eens per jaar door een directielid of een andere daartoe bevoegde vertegenwoordiger van de organisatie worden ondertekend en op verzoek aan particulieren of in het kader van een onderzoek of een klacht wegens niet-naleving ter beschikking worden gesteld.

Organisaties moeten hun informatiebestanden over de tenuitvoerlegging van hun beleid inzake de bescherming van de persoonlijke levenssfeer in het kader van de veilige haven bewaren en deze bij een onderzoek of een klacht wegens niet-naleving op verzoek ter beschikking stellen aan het onafhankelijke orgaan dat met het onderzoek van klachten belast is of de instantie die oneerlijke en misleidende praktijken moet onderzoeken.

Indien de organisatie voor een externe controle van de naleving heeft gekozen, moet hieruit blijken dat het beleid inzake de bescherming van de persoonlijke levenssfeer met betrekking tot uit de Europese Unie ontvangen persoonlijke informatie in overeenstemming is met de Veiligehavenbeginselen, dat het beleid wordt nageleefd en dat particulieren in kennis worden gesteld van de mechanismen om klachten in te dienen. De controlemethoden mogen zonder beperking audits, steekproeven, het gebruik van ‘valstrikken’ of het gebruik van technologische middelen omvatten. Een verklaring omtrent de uitvoering van de externe controle moet eens per jaar door de controleur of een directielid of een andere daartoe bevoegde vertegenwoordiger van de organisatie worden ondertekend en op verzoek aan particulieren of in het kader van een onderzoek of een klacht wegens niet-naleving ter beschikking worden gesteld.

FAQ 8 — Toegang

Toegangsbeginsel

Particulieren moeten toegang heben[lees: hebben] tot de persoonlijke informatie die een organisatie over hen in bezit heeft, en deze informatie, voorzover deze onjuist is, kunnen corrigeren, wijzigen of verwijderen, tenzij de lasten of de kosten voor het verlenen van toegang niet in verhouding staan tot het gevaar voor de persoonlijke levenssfeer van de betrokkene, of tenzij de legitieme rechten van andere personen dan de betrokkene worden geschonden.

V1: Is het recht op toegang absoluut?

A: Nee. Volgens de Veiligehavenbeginselen is het recht op toegang fundamenteel voor de bescherming van de persoonlijke levenssfeer. Met name geeft dit recht de betrokkene de mogelijkheid om de juistheid van de informatie die over hem wordt bijgehouden, na te gaan. Toch is op de verplichting die een organisatie heeft om toegang te verlenen tot de informatie die zij over een persoon in haar bezit heeft, het beginsel van evenredigheid of redelijkheid van toepassing en moet die verplichting daarom in sommige gevallen worden afgezwakt. De toelichting bij de richtsnoeren van de OESO inzake de bescherming van de persoonlijke levenssfeer uit 1980 toont duidelijk aan dat de verplichting tot toegangverlening voor een organisatie niet absoluut is. De verplichting betekent niet dat er een buitengewoon grondig onderzoek kan worden verricht zoals dat bijvoorbeeld het geval is bij een dagvaarding noch dat toegang moet worden verleend tot alle verschillende vormen waarin de informatie door de organisatie kan worden bewaard.

Uit ervaring is gebleken dat organisaties zich bij een verzoek van een particulier om toegang om te beginnen zouden moeten afvragen waarom de betrokkene zijn verzoek heeft ingediend. Indien een verzoek bijvoorbeeld in vage of algemene bewoordingen is gesteld, kan de organisatie beter een dialoog met de betrokkene aangaan om de achterliggende reden voor het verzoek beter te begrijpen, om aldus vast te stellen welke informatie wordt verlangd. De organisatie kan bijvoorbeeld nagaan met welke afdeling(en) van de organisatie de betrokkene contact heeft gehad en/of voor welk soort informatie (of het gebruik ervan) toegang wordt gevraagd. Particulieren behoeven een verzoek om toegang tot hun eigen gegevens echter niet te motiveren.

Kosten en lasten zijn belangrijke factoren die in overweging moeten worden genomen, maar zij kunnen niet de doorslag geven bij een beslissing over de redelijkheid van toegang. Indien de informatie bijvoorbeeld gebruikt wordt voor beslissingen die voor de betrokkene van groot belang zijn (zoals het weigeren of toekennen van belangrijke voordelen, zoals een verzekering, een hypotheek of een baan), dan moet de organisatie, in overeenstemming met de andere bepalingen van deze FAQ's, deze informatie ter beschikking stellen, ook al is dit vrij moeilijk of duur.

Indien de gevraagde informatie niet gevoelig is of niet wordt gebruikt voor beslissingen die voor de betrokkene van groot belang zijn (bv. niet-gevoelige marketinggegevens die worden gebruikt om te beslissen of al dan niet een catalogus naar de betrokkene wordt gestuurd), maar meteen beschikbaar is en zonder dat het veel kost kan worden gegeven, dan moet de organisatie toegang verlenen tot de feitelijke informatie die zij over de betrokkene bewaart. Deze informatie kan feiten omvatten die van de betrokkene zelf zijn verkregen, feiten die tijdens een transactie zijn verzameld of feiten over de betrokkene die van anderen afkomstig zijn.

Gezien het fundamentele karakter van toegang, mogen organisaties de toegang nooit zonder meer beperken. Als bijvoorbeeld bepaalde informatie moet worden beschermd, maar probleemloos kan worden gescheiden van andere informatie waarvoor toegang is gevraagd, moet de organisatie de beschermde informatie bewerken en de andere beschikbaar stellen. Indien een organisatie besluit dat de toegang in een bepaald geval moet worden ontzegd, dient zij de betrokkene uit te leggen waarom zij tot dit besluit is gekomen en een contactadres op te geven waar de betrokkene met vragen terecht kan.

V2: Wat is vertrouwelijke commerciële informatie en kunnen organisaties iemand de toegang ontzeggen om het vertrouwelijke karakter van de informatie te beschermen?

A: Vertrouwelijke commerciële informatie (‘confidential commercial information’, een term die in de Federal Rules of Civil Procedure gebruikt wordt ten aanzien van de inzage van stukken) is informatie die een organisatie tegen openbaarmaking beschermt, wanneer openbaarmaking concurrenten zou helpen. Het computerprogramma dat een organisatie gebruikt (bv. voor het opstellen van modellen) of de details van dat programma kunnen vertrouwelijke commerciële informatie zijn. Wanneer het mogelijk is vertrouwelijke commerciële informatie probleemloos te scheiden van andere informatie waarvoor toegang is gevraagd, moet de organisatie de vertrouwelijke commerciële informatie bewerken en de niet-vertrouwelijke informatie beschikbaar stellen. Organisaties kunnen iemand de toegang tot de informatie ontzeggen dan wel de toegang beperken wanneer anders hun eigen vertrouwelijke commerciële informatie (volgens bovenstaande definitie), zoals door de organisatie opgestelde marketingconclusies en classificaties, aan de dag zou komen, of de vertrouwelijke commerciële informatie van een andere organisatie voorzover op deze informatie een contractuele geheimhoudingverplichting van toepassing is in situaties waarin een dergelijke geheimhoudingsverplichting normaal wordt aangegaan of opgelegd.

V3: Betekent het verlenen van toegang dat een organisatie aan de betrokkenen hun persoonlijke informatie uit haar gegevensbanken ter beschikking moet stellen of moet de organisatie de betrokkenen toegang tot de gegevensbank zelf verlenen?

A: Toegang verlenen betekent dat de organisatie de betrokkenen de informatie ter beschikking moet stellen, niet dat hen toegang tot de gegevensbank van de organisatie zelf moet worden verleend.

V4: Moet een organisatie haar gegevensbanken zodanig herstructureren dat zij toegang kan verlenen?

A: Een organisatie behoeft alleen toegang tot door haar opgeslagen informatie te verlenen. Het toegangsbeginsel houdt geen verplichting in om bestanden met persoonlijke informatie te bewaren, te onderhouden, te reorganiseren of te herstructureren.

V5: Uit deze antwoorden blijkt dat in sommige omstandigheden de toegang kan worden ontzegd. Onder welke andere omstandigheden kan een organisatie particulieren de toegang tot hun persoonlijke informatie ontzeggen?

A: Dergelijke omstandigheden zijn beperkt en er moeten concrete redenen zijn om iemand de toegang te ontzeggen, bijvoorbeeld wanneer belangrijke openbare belangen, zoals de defensie of de nationale of openbare veiligheid, hiermee in strijd zijn. Indien persoonlijke informatie uitsluitend wordt verwerkt voor statistische of onderzoeksdoeleinden, kan de toegang eveneens worden geweigerd. Andere redenen om de toegang te weigeren of te beperken zijn:

a): belemmering van de uitvoering of de handhaving van de wet, inclusief het voorkomen, onderzoeken of opsporen van misdrijven, of van het recht op een eerlijk proces;
b): belemmering van civielrechtelijke procedures, inclusief het voorkomen of onderzoeken van rechtsvorderingen en opsporingen dienaangaande, of van het recht op een eerlijk proces;
c): openbaarmaking van persoonlijke informatie over derden, die niet kan worden bewerkt;
d): schending van beroepsrechten of -plichten die al dan niet voortvloeien uit de wet;
e): schending van de noodzakelijke geheimhouding van toekomstige of lopende onderhandelingen, bijvoorbeeld over de aankoop van beursgenoteerde ondernemingen;
f): conflict met veiligheidsonderzoeken of klachtenprocedures waarbij werknemers zijn betrokken;
g): aantasting van de geheimhouding die in een bepaalde periode noodzakelijk kan zijn in verband met personeelsbeleid en bedrijfsherstructurering;
h): aantasting van de geheimhouding die noodzakelijk kan zijn voor toezichthoudende of regulerende taken in verband met een gezond economisch of financieel beheer; of
i): andere omstandigheden waarin de lasten of de kosten van het verlenen van toegang in geen verhouding staan tot de hiermee behaalde voordelen of wanneer de gerechtvaardigde rechten en belangen van anderen worden geschaad.

Een organisatie die zich op een uitzondering beroept, moet aantonen dat die uitzondering van toepassing is (zoals normaal het geval is). Zoals hierboven reeds is gezegd, moeten de redenen voor het weigeren of beperken van de toegang aan de betrokkenen worden medegedeeld en moet hun een contactadres worden opgegeven waar zij met verdere vragen terecht kunnen.

V6: Kan een organisatie kosten in rekening brengen voor het verlenen van toegang?

A: Ja. In de richtsnoeren van de OESO wordt dit recht erkend, op voorwaarde dat het tarief niet te hoog is. Organisaties mogen dus voor het verlenen van toegang een redelijk tarief vragen. Dit kan trouwens nuttig zijn om herhaaldelijke en lastige verzoeken tegen te gaan.

Organisaties die openbaar beschikbare informatie verkopen, kunnen dus het voor hun organisatie gebruikelijke tarief in rekening brengen om aan de verzoeken tot toegang te voldoen. Particulieren kunnen echter ook toegang tot hun persoonsgegevens trachten te verkrijgen bij de organisatie die oorspronkelijk de gegevens heeft verzameld.

De toegang kan niet op kostengronden worden geweigerd als de betrokkene bereid is deze kosten te betalen.

V7: Moet een organisatie toegang verlenen tot persoonlijke informatie die uit openbare bestanden komt?

A: Ter verduidelijking, openbare bestanden zijn bestanden die door overheidsdiensten op alle mogelijke niveaus worden bewaard en die voor iedereen toegankelijk zijn. Het is niet nodig het toegangsbeginsel op deze informatie toe te passen, voorzover deze niet wordt gecombineerd met andere persoonlijke informatie, tenzij het hierbij gaat om kleine stukjes informatie uit niet-openbare bestanden die worden gebruikt om informatie uit openbare bestanden te indexeren of te organiseren. De voorwaarden die de bevoegde instanties voor raadpleging stellen, moeten evenwel worden nageleefd. Wanneer informatie uit openbare bestanden wordt gecombineerd met andere informatie uit niet-openbare bestanden (afgezien van bovengenoemd specifiek geval), dan moet een organisatie wel toegang tot al deze informatie verlenen, voorzover niet andere toegestane uitzonderingen op deze informatie van toepassing zijn.

V8: Moet het toegangsbeginsel worden toegepast op openbaar beschikbare persoonlijke informatie?

A: Net als voor informatie uit openbare bestanden (zie V7) is het niet nodig toegang te verlenen tot informatie die reeds voor iedereen beschikbaar is, voorzover deze niet wordt gecombineerd met niet-openbaar beschikbare informatie.

V9: Hoe kan een organisatie zich tegen herhaaldelijke of lastige verzoeken om toegang beschermen?

A: Een organisatie hoeft op dergelijke verzoeken niet in te gaan. Organisaties kunnen daartoe een redelijk tarief in rekening brengen en het aantal keren dat binnen een bepaalde periode aan verzoeken van een bepaalde persoon gevolg wordt gegeven, binnen redelijke grenzen beperken. Bij het vaststellen van deze beperkingen moet een organisatie rekening houden met factoren zoals de frequentie waarmee de informatie wordt bijgewerkt, het doel waarvoor de gegevens worden gebruikt en de aard van de informatie.

V10: Hoe kan een organisatie zich beschermen tegen frauduleuze verzoeken om toegang?

A: Een organisatie behoeft alleen toegang te verlenen wanneer het verzoek gepaard gaat met voldoende informatie om haar in staat te stellen de identiteit van de verzoeker vast te stellen.

V11: Is er een termijn waarbinnen een organisatie op verzoeken om toegang moet reageren?

A: Ja, organisaties moeten zonder buitensporige vertraging en binnen een redelijke termijn antwoord geven. Aan deze eis kan op verschillende manieren worden voldaan, zoals in de toelichting bij de richtsnoeren inzake de bescherming van de persoonlijke levenssfeer van de OESO uit 1980 is beschreven. De voor de verwerking verantwoordelijke die op regelmatige tijdstippen informatie aan de betrokkenen verstrekt, kan worden vrijgesteld van de verplichting meteen op elk verzoek te reageren.

FAQ 9 — Personeel

V1: Valt de overdracht van persoonlijke informatie die in het kader van een arbeidsverhouding is verzameld, van de Europese Unie naar de Verenigde Staten onder de veilige haven?

A: Ja, wanneer een EU-bedrijf persoonlijke informatie over zijn (voormalige of huidige) werknemers, die het in het kader van een arbeidsverhouding heeft verzameld, doorgeeft aan een moederbedrijf, dochterbedrijf of een niet-geaffilieerde dienstverlener in de Verenigde Staten die aan de veilige haven deelneemt, zijn de Veiligehavenbeginselen op deze doorgifte van toepassing. In deze gevallen was de nationale wetgeving van het EU-land waar de informatie werd verzameld, van toepassing op het verzamelen en verwerken van de doorgegeven informatie, zodat alle voorwaarden voor of restricties op de doorgifte die deze wetgeving stelt, in acht moeten worden genomen.

De Veiligehavenbeginselen zijn alleen van toepassing wanneer bestanden over individueel bepaalde personen worden doorgegeven of toegankelijk worden gemaakt. Statistische informatie die berust op geaggregeerde personeelsgegevens en/of gegevens die zijn geanonimiseerd of waarbij gebruik is gemaakt van pseudoniemen, geven geen aanleiding tot problemen in verband met de bescherming van de persoonlijke levenssfeer.

V2: Hoe zijn de kennisgevings- en keuzebeginselen op dergelijke informatie van toepassing?

A: Een organisatie in de Verenigde Staten die in het kader van de veilige haven personeelsgegevens uit de Europese Unie heeft ontvangen, mag deze informatie alleen in overeenstemming met het kennisgevings- en het keuzebeginsel aan derden bekend maken en/of voor andere doeleinden gebruiken. Wanneer een organisatie in de Verenigde Staten bijvoorbeeld van plan is persoonlijke informatie die in het kader van een arbeidsverhouding is verzameld, te gebruiken voor doeleinden die niet met de arbeidsrelatie te maken hebben, zoals commerciële mededelingen, moet zij de betrokkenen vooraf de keuze laten, tenzij dezen al toestemming hadden gegeven om de informatie voor dergelijke doeleinden te gebruiken. Bovendien mag hun keuze niet van invloed zijn op de carrièremogelijkheden van de werknemers noch mag deze straf tot gevolg hebben.

Voor sommige lidstaten geldt dat bepaalde algemeen geldende voorwaarden voor doorgifte een ander gebruik van dergelijke informatie uitsluit, zelfs wanneer de informatie naar een land buiten de Europese Unie is doorgegeven. Dergelijke voorwaarden moeten worden nageleefd.

Voorts moeten werkgevers zich redelijkerwijs inspannen om aan de wensen van hun werknemers inzake de bescherming van hun persoonlijke levenssfeer tegemoet te komen. Zij kunnen bijvoorbeeld de toegang tot gegevens beperken, sommige gegevens anonimiseren of codes of pseudoniemen gebruiken wanneer de echte namen in het onderhavige geval niet nodig zijn voor beleidsdoeleinden.

Voorzover en zolang het noodzakelijk is de legitieme belangen van een organisatie te beschermen in verband met bevorderingen, benoemingen of andere besluiten ten aanzien van de werknemers, hoeft een organisatie het kennis- en het keuzebeginsel niet toe te passen.

V3: Hoe wordt het toegangsbeginsel toegepast?

A: De FAQ's over toegang verschaffen richtsnoeren ten aanzien van de redenen op grond waarvan verzoeken om toegang tot personeelsgegevens kunnen worden afgewezen dan wel de toegang tot deze gegevens kan worden beperkt. Het spreekt vanzelf dat werkgevers in de Europese Unie er overeenkomstig de wetgeving van hun land voor moeten zorgen dat hun werknemers in de Europese Unie toegang hebben tot dergelijke informatie, ongeacht de plaats waar de gegevens worden verwerkt en opgeslagen. Overeenkomstig de Veiligehavenbeginselen moet een organisatie die dergelijke gegevens in de Verenigde Staten verwerkt, deze toegang direct of via de werkgever in de Europese Unie verlenen.

V4: Hoe werkt de rechtshandhaving voor personeelsgegevens in het kader van de Veiligehavenbeginselen?

A: Voorzover informatie alleen in het kader van een arbeidsverhouding wordt gebruikt, ligt de primaire verantwoordelijkheid voor de gegevens ten opzichte van de werknemer bij de onderneming in de Europese Unie. Hieruit volgt dat Europese werknemers die over schending van hun rechten inzake gegevensbescherming klagen en niet tevreden zijn met de resultaten van interne controle-, klachten- en beroepsprocedures (of elke andere toepasselijke klachtenprocedure in het kader van een overeenkomst met een vakbond), zich moeten wenden tot de bevoegde nationale gegevensbeschermingsautoriteit of arbeidsrechtbank. Dit geldt ook voor gevallen waarin het beweerde misbruik van de persoonlijke informatie in de Verenigde Staten heeft plaatsgehad en onder de verantwoordelijkheid valt van de organisatie uit de Verenigde Staten die de informatie van de werkgever heeft ontvangen, en niet onder die van de werkgever zelf. In dergelijke gevallen gaat het dus om een schending van de Veiligehavenbeginselen en niet van de nationale wetgeving tot uitvoering van de richtlijn. Dit is de efficiëntste manier om een oplossing te vinden voor de elkaar vaak overlappende rechten en verplichtingen uit hoofde van de lokale arbeidswetgeving en arbeidsovereenkomsten en de wetgeving ter bescherming van de persoonlijke levenssfeer.

Een aan de veilige haven deelnemende organisatie in de Verenigde Staten die gebruikmaakt van in het kader van een arbeidsverhouding vanuit de Europese Unie doorgegeven gegevens over het personeel in de Europese Unie en die wil dat dergelijke doorgiften onder de veilige haven vallen, moet zich er dus toe verplichten mee te werken aan onderzoeken van de bevoegde autoriteiten in de Europese Unie en hun advies in dergelijke gevallen op te volgen. De gegevensbeschermingsautoriteiten die met een dergelijke samenwerking instemmen, moeten de Europese Commissie en het ministerie van Handel hiervan in kennis stellen. Als een organisatie uit de Verenigde Staten die aan de veilige haven deelneemt, personeelsgegevens wil doorgeven vanuit een lidstaat waarvan de gegevensbeschermingsautoriteit niet met dergelijke doorgiften instemt, zijn de bepalingen van FAQ 5 van toepassing.

FAQ 10 — Artikel 17 — contracten

V: Is er een contract vereist wanneer gegevens alleen om ze te laten verwerken uit de Europese Unie naar de Verenigde Staten worden doorgegeven, ongeacht het feit of de verwerker al dan niet aan de veilige haven deelneemt?

A: Ja. De voor de verwerking verantwoordelijken in Europa moeten altijd een contract sluiten wanneer gegevens alleen voor verwerking worden doorgegeven, ongeacht of dit binnen de Europese Unie of daarbuiten gebeurt. De bedoeling van een contract is de bescherming van de belangen van de voor de verwerking verantwoordelijke, d.w.z. de persoon of de instantie die het doel van en de middelen voor de gegevensverwerking vaststelt en die jegens de betrokkene(n) de volle verantwoordelijkheid voor de gegevens draagt. In het contract worden dus behalve de uit te voeren verwerking de maatregelen gespecificeerd die noodzakelijk zijn om te garanderen dat de gegevens veilig zijn.

Een organisatie in de Verenigde Staten die aan de veilige haven deelneemt en persoonlijke informatie uit Europa alleen voor verwerking ontvangt, behoeft derhalve niet de beginselen op deze informatie toe te passen, omdat overeenkomstig de desbetreffende EU-regeling (die strenger kan zijn dan de overeenkomstige Veiligehavenbeginselen) de voor de gegevens verantwoordelijke in de Europese Unie hiervoor tegenover de betrokkene verantwoordelijk blijft.

Aangezien door de veiligehavendeelnemers passende bescherming wordt verleend, is er voor contracten met veiligehavendeelnemers, die alleen de verwerking van gegevens ten doel hebben, geen voorafgaande toestemming nodig (of deze toestemming wordt automatisch door de lidstaten verleend), hetgeen voor contracten met ontvangers die niet aan de veilige haven deelnemen of die geen passende bescherming bieden, wel vereist is.

FAQ 11 — Afhandeling van geschillen en rechtshandhaving

V: Hoe moet aan de in het rechtshandhavingsbeginsel gestelde eisen inzake de afhandeling van geschillen worden voldaan en hoe zal een organisatie in geval van permanente niet-naleving van de beginselen worden aangepakt?

A: Het rechtshandhavingsbeginsel stelt de eisen vast waaraan handhaving van de Veiligehavenbeginselen moet voldoen. Hoe aan de eisen van punt b) van het beginsel moet worden voldaan, wordt in FAQ 7 (Controle) uiteengezet. Deze FAQ 11 handelt over de punten a) en c), die beide onafhankelijke verhaalmechanismen vereisen. Deze mechanismen kunnen verschillende vormen hebben, maar moeten aan de eisen van het rechtshandhavingsbeginsel voldoen. Organisaties kunnen op de volgende wijze aan deze eisen voldoen: 1. door naleving van programma's van de particuliere sector inzake de bescherming van de persoonlijke levenssfeer, die de Veiligehavenbeginselen in hun voorschriften integreren en doeltreffende handhavingsmechanismen omvatten zoals die welke in het rechtshandhavingsbeginsel worden beschreven; 2. door zich te onderwerpen aan wettelijke of regulerende toezichthoudende autoriteiten die individuele klachten behandelen en geschillen afhandelen; of 3. door zich ertoe te verbinden met de gegevensbeschermingsautoriteiten in de Europese Gemeenschap of hun gemachtigde vertegenwoordigers samen te werken. Deze lijst is bedoeld ter illustratie en is niet uitputtend. De particuliere sector kan andere handhavingsmechanismen ontwikkelen mits deze aan de eisen van het rechtshandhavingsbeginsel en van de FAQ's voldoen. Er zij op gewezen dat de eisen van het rechtshandhavingsbeginsel een aanvulling zijn op de eis die is geformuleerd in de derde alinea van de inleiding op de beginselen, namelijk dat bepalingen die het resultaat zijn van zelfregulering moeten kunnen worden gehandhaafd op grond van sectie 5 van de Federal Trade Commission Act of een soortgelijke wet.

Verhaalmechanismen

De consumenten moeten worden aangemoedigd eventuele klachten met de desbetreffende organisatie te bespreken alvorens een beroep te doen op onafhankelijke verhaalmechanismen. De onafhankelijkheid van een verhaalmechanisme kan op verschillende wijzen worden aangetoond, bijvoorbeeld door een transparante samenstelling en financiering of door de gebleken ervaring. Zoals in het rechtshandhavingsbeginsel wordt geëist, moet het verhaalmechanisme voor particulieren direct beschikbaar en betaalbaar zijn. Instanties die geschillen afhandelen, moeten alle klachten van particulieren onderzoeken tenzij deze duidelijk ongegrond of onbeduidend zijn. Dit sluit niet uit dat de organisatie waar men verhaal moet halen, acceptatiecriteria vaststelt, maar deze moeten transparant en gerechtvaardigd zijn (bijvoorbeeld om klachten uit te sluiten die buiten het toepassingsgebied van het programma vallen of door een andere instantie moeten worden behandeld) en mogen er niet toe leiden dat de verplichting om gegronde klachten te onderzoeken, wordt ondermijnd. Bovendien moeten verhaalmechanismen particulieren die een klacht indienen, complete en direct beschikbare informatie verstrekken over de wijze waarop de procedure verloopt. Deze informatie moet ook betrekking hebben op de door het mechanisme overeenkomstig de Veiligehavenbeginselen toegepaste praktijken inzake de bescherming van de persoonlijke levenssfeer (3). Zij moeten ook meewerken bij de ontwikkeling van hulpmiddelen als gestandaardiseerde klachtenformulieren om de klachtenafhandelingsprocedure te vergemakkelijken.

Rechtsmiddelen en sancties

De rechtsmiddelen die de geschillenafhandelingsinstantie biedt, moeten ertoe leiden dat de gevolgen van de niet-naleving door de organisatie, voorzover mogelijk, ongedaan worden gemaakt of worden hersteld, dat de organisatie gegevens in de toekomst conform de beginselen zal verwerken en dat, waar nodig, de verwerking van de persoonsgegevens van de klager wordt stopgezet. De sancties moeten zwaar genoeg zijn om de naleving van de beginselen door de organisatie te waarborgen. Aan de hand van een scala van lichte tot zware sancties zullen geschillenafhandelingsinstanties op passende wijze kunnen reageren op in ernst variërende gevallen van niet-naleving. Tot de sancties moeten behoren bekendmaking van geconstateerde gevallen van niet-naleving en de eis gegevens in bepaalde omstandigheden te wissen (4). Andere mogelijke sancties zijn de opschorting en intrekking van een keurmerk, schadeloosstelling van personen voor verliezen die ze als gevolg van niet-naleving hebben geleden, en dwangmaatregelen. Particuliere geschillenafhandelingsinstanties en zelfregulerende instanties moeten in voorkomend geval de rechter of de terzake bevoegde overheidsinstantie in kennis stellen van de niet-inachtneming van hun uitspraken door veiligehavenorganisaties, en het ministerie van Handel (of de door dit ministerie aangewezen instantie) daarvan op de hoogte stellen.

Actie van de FTC

De FTC zal prioriteit geven aan zaken die haar door zelfregulerende organisaties voor de bescherming van de persoonlijke levenssfeer, zoals BBBOnline en TRUSTe, en de lidstaten van de Europese Unie in verband met niet-naleving van de Veiligehavenbeginselen worden voorgelegd, om na te gaan of er sprake is van schending van sectie 5 van de FTC Act, die oneerlijke of bedrieglijke handelspraktijken verbiedt. Als de FTC reden(en) heeft om aan te nemen dat sectie 5 werd geschonden, kan zij de zaak oplossen door een administratief verbod van de aangeklaagde praktijken te laten uitvaardigen, of door bij een federale rechtbank een klacht in te dienen, die als deze wordt aanvaard, kan resulteren in een uitspraak die hetzelfde effect sorteert. De FTC kan civielrechtelijk optreden wegens overtreding van een administratief verbod, dan wel civiel- of strafrechtelijk wegens niet-naleving van een uitspraak van een federale rechtbank. De FTC zal het ministerie van Handel van dergelijke acties in kennis stellen. Dit ministerie moedigt andere overheidsinstanties ertoe aan hem van het uiteindelijke resultaat van dergelijke verwijzingen of andere uitspraken in verband met de naleving van de Veiligehavenbeginselen in kennis te stellen.

Permanente niet-naleving

Als een organisatie voortdurend de beginselen overtreedt, komt ze niet langer in aanmerking voor de voordelen van de veilige haven. Er is sprake van permanente niet-naleving indien een organisatie die bij het ministerie van Handel (of de door dit ministerie aangewezen instantie) een zelfcertificeringsverklaring heeft ingediend, weigert zich te conformeren aan een definitieve uitspraak van een zelfregulerende of overheidsinstantie of indien een dergelijke instantie constateert dat een organisatie zich vaak niet aan de beginselen houdt en haar verklaring deze te zullen naleven niet langer geloofwaardig is. De organisatie moet het ministerie van Handel (of de door dit ministerie aangewezen instantie) daarvan dan onverwijld in kennis stellen. Als zij dit niet doet, kan op grond van de False Statements Act vervolging tegen deze organisatie worden ingesteld.

Indien het ministerie (of de door dit ministerie aangewezen instantie) ervan in kennis wordt gesteld dat een organisatie de beginselen voortdurend overtreedt, ongeacht of deze kennisgeving uitgaat van de organisatie zelf, van een zelfregulerende instantie of van een overheidsinstantie, zal het dit vermelden op de openbare lijst van organisaties die zelf hebben verklaard de veilige haven in acht te zullen nemen, evenwel met dien verstande dat het de organisatie die de beginselen niet heeft nageleefd, daarvan 30 dagen van tevoren in kennis heeft gesteld en de kans heeft gegeven om te reageren. Uit deze door het ministerie van Handel (of de door dit ministerie aangewezen instantie) bijgehouden openbare lijst blijkt dan ook welke organisaties verder voor de voordelen van de veilige haven in aanmerking komen en welke niet.

Een organisatie die zich bij een zelfregulerende instantie aansluit om opnieuw voor de veilige haven in aanmerking te komen, moet deze instantie volledige informatie over haar vroegere deelneming aan de veilige haven verstrekken.

FAQ 12 — Keuze — Tijdstip van verzet (opt-out)

V: Houdt het keuzebeginsel in dat een persoon zijn keuzerecht alleen aan het begin van een relatie kan uitoefenen of kan hij dit te allen tijde?

A: Het keuzebeginsel heeft ten doel ervoor te zorgen dat persoonlijke informatie wordt gebruikt en bekend wordt gemaakt op een manier die tegemoetkomt aan de verwachtingen en de keuzes van de betrokkene. Daarom moet deze te allen tijde de mogelijkheid hebben zich tegen het gebruik van zijn persoonlijke informatie voor direct marketing te verzetten; hij dient dit wel te doen binnen door de organisatie vastgestelde, redelijke termijnen, zodat de organisatie de tijd heeft gevolg aan de keuze te geven. Een organisatie kan ook eisen dat haar voldoende informatie wordt verstrekt ter bevestiging van de identiteit van de persoon die zich verzet. In de Verenigde Staten kunnen particulieren dit recht uitoefenen via een centraal verzetprogramma zoals de Direct Marketing Association's Mail Preference Service. Organisaties die hieraan deelnemen, moeten de beschikbaarheid van deze dienst voor consumenten die geen commerciële informatie wensen te ontvangen, bevorderen. In ieder geval moet de betrokkene een beroep kunnen doen op een direct beschikbaar en betaalbaar mechanisme om dit keuzerecht uit te oefenen.

Een organisatie kan ook informatie voor sommige direct-marketingactiviteiten gebruiken wanneer het praktisch onmogelijk is om de betrokkene de gelegenheid te geven verzet aan te tekenen voordat de informatie wordt gebruikt, op voorwaarde dat de organisatie de betrokkene meteen daarna (en op verzoek altijd) de mogelijkheid biedt om verdere ontvangst van direct-marketingmededelingen te weigeren (zonder dat dit voor de consument kosten met zich brengt) en op voorwaarde dat de organisatie tegemoetkomt aan de wensen van de betrokkene.

FAQ 13 — Reisinformatie

V: Wanneer mag informatie over boekingen van luchtvaartpassagiers en andere reisinformatie, bijvoorbeeld over bonusregelingen voor vaste klanten of hotelreserveringen, en speciale behandelingen, zoals aan religieuze vereisten aangepaste maaltijden of fysieke bijstand, aan organisaties buiten de Europese Unie worden doorgegeven?

A: Dergelijke informatie mag onder verschillende omstandigheden worden doorgegeven. Ingevolge artikel 26 van de richtlijn mogen persoonsgegevens ‘naar een derde land dat geen waarborgen voor een passend beschermingsniveau in de zin van artikel 25, lid 2, biedt’ worden doorgegeven op voorwaarde dat 1. dit noodzakelijk is om de door de passagier gevraagde diensten te leveren of voor de uitvoering van de vervoersovereenkomst, zoals een bonusregeling; of 2. de passagier op ondubbelzinnige wijze met de doorgifte heeft ingestemd. Organisaties in de Verenigde Staten die aan de veilige haven deelnemen, zorgen voor een adequate bescherming van persoonsgegevens en kunnen daarom gegevens vanuit de Europese Unie ontvangen zonder te voldoen aan deze voorwaarden of aan andere in artikel 26 van de richtlijn genoemde voorwaarden. Aangezien de veilige haven specifieke regels voor gevoelige informatie omvat, kan dergelijke informatie (die soms moet worden verzameld, bijvoorbeeld omdat een passagier fysieke bijstand nodig heeft) naar deelnemers aan de veilige haven worden doorgegeven. In alle gevallen moet de organisatie die de informatie doorgeeft, zich echter houden aan de wet van de EU-lidstaat waar zij actief is; deze kan onder meer bijzondere voorwaarden aan de behandeling van gevoelige gegevens stellen.

FAQ 14 — Farmaceutische en medische producten

V1: Zijn op persoonsgegevens die in de Europese Unie zijn verzameld en voor farmaceutisch onderzoek en/of voor andere doeleinden naar de Verenigde Staten zijn doorgegeven, de wetten van de lidstaten of de Veiligehavenbeginselen van toepassing?

A: De wetgeving van de lidstaten is van toepassing op de verzameling van de persoonsgegevens, alsmede op de verwerking voorzover die plaatsvindt vóór de doorgifte aan de Verenigde Staten. De Veiligehavenbeginselen zijn op de gegevens van toepassing vanaf het moment dat zij naar de Verenigde Staten zijn doorgegeven. Gegevens die voor farmaceutisch onderzoek en andere doeleinden worden gebruikt, moeten indien nodig worden geanonimiseerd.

V2: Persoonsgegevens uit specifiek medisch of farmaceutisch onderzoek spelen veelal een belangrijke rol bij later wetenschappelijk onderzoek. Als de voor een bepaald onderzoek verzamelde persoonsgegevens worden doorgegeven aan een veiligehavendeelnemer in de Verenigde Staten, mag deze de gegevens dan gebruiken voor nieuw wetenschappelijk onderzoek?

A: Ja, mits de betrokkene hiervan in eerste instantie op de juiste wijze van in kennis was gesteld en hij een keuzemogelijkheid had. Deze kennisgeving moet informatie bevatten over ieder specifiek gebruik van de gegevens in de toekomst, zoals periodieke follow-up, verwante studies of verkoopactiviteiten. Het spreekt voor zich dat niet ieder toekomstig gebruik van de gegevens kan worden voorzien, aangezien het nieuwe onderzoek waarvoor de gegevens zullen worden gebruikt, kan voortvloeien uit op grond van de oorspronkelijke gegevens verworven nieuwe inzichten, nieuwe medische ontdekkingen en vorderingen en de ontwikkeling van de volksgezondheid en regelgeving. In voorkomende gevallen moet de kennisgeving dan ook een toelichting bevatten waarin is aangegeven dat de persoonsgegevens voor toekomstig, nog niet te voorzien medisch en farmaceutisch onderzoek kunnen worden gebruikt. Als dit gebruik afwijkt van de algemene onderzoeksdoelstelling(en) waarvoor de gegevens oorspronkelijk zijn verzameld of waarvoor het individu later toestemming heeft gegeven, is opnieuw toestemming vereist.

V3: Wat gebeurt er met de gegevens van een deelnemer aan een klinische proef die zelf of op verzoek van de opdrachtgever zijn medewerking aan de proef opzegt?

A: Deelnemers kunnen op ieder moment hun medewerking aan een klinische proef opzeggen, of hiertoe worden verzocht. Alle gegevens die voorafgaand aan deze terugtrekking zijn verzameld, mogen toch, samen met de overige verzamelde gegevens, in de klinische proef worden verwerkt, mits de deelnemer hiervan op het moment dat hij in deelname toestemde, in kennis is gesteld.

V4: Producenten van geneesmiddelen en medische apparatuur mogen persoonsgegevens uit in de Europese Unie uitgevoerde klinische proeven met het oog op regelgeving en toezicht doorgeven aan instanties in de Verenigde Staten. Is een soortgelijke doorgifte ook toegestaan aan anderen, zoals ondernemingen en andere onderzoekers?

A: Ja, mits dit in overeenstemming is met de beginselen van kennisgeving en keuze.

V5: Met het oog op de objectiviteit mogen deelnemers, en vaak ook onderzoekers, bij veel klinische proeven niet weten welke behandeling iedere deelnemer ondergaat. Als dit wel het geval was, zouden de validiteit van het onderzoek en de resultaten in gevaar komen. Kunnen de deelnemers aan zulke klinische proeven (aangeduid als ‘blinde’ tests) tijdens de proef toegang krijgen tot de gegevens over hun behandeling?

A: Nee, de deelnemer hoeft geen toegang tot deze gegevens te krijgen indien deze beperking is aangegeven toen de deelnemer toestemde in deelname aan de proef en bekendmaking van dergelijke informatie de validiteit van het onderzoek in gevaar brengt. Toestemming in deelname aan de proef onder deze voorwaarden geldt als het afzien van het recht op toegang tot deze informatie. Na de voltooiing van de proef en de analyse van de resultaten, moeten de deelnemers desgewenst toegang tot hun gegevens krijgen. Zij moeten zich hiervoor in eerste instantie wenden tot de arts of andere zorgverstrekker door wie hij in het kader van de medische proef is behandeld en in tweede instantie tot de opdrachtgever van de proef.

V6: Moeten producenten van geneesmiddelen en medische apparatuur de Veiligehavenbeginselen met betrekking tot kennisgeving, keuze, verdere doorgifte en toegang in acht nemen wanneer zij maatregelen in verband met de controle op de veiligheid en doeltreffendheid van hun producten nemen, zoals rapportage van incidenten en het volgen van patiënten/proefpersonen die bepaalde geneesmiddelen of medische apparatuur (bv. een pacemaker) gebruiken?

A: Nee, voorzover de naleving van de beginselen samenvalt met de naleving van de wettelijke voorschriften. Dit geldt zowel voor de rapportage door bijvoorbeeld zorgverstrekkers aan producenten van geneesmiddelen en medische apparatuur als voor de rapportage door producenten van geneesmiddelen en medische apparatuur aan overheidsinstanties, zoals de Food and Drug Administration.

V7: De hoofdonderzoeker voorziet de onderzoeksgegevens altijd al bij de bron van een unieke code, zodat de identiteit van de individuen waarop de gegevens betrekking hebben geheim blijft. De farmaceutische bedrijven die de opdracht voor het onderzoek hebben gegeven, krijgen niet de beschikking over de sleutel. Deze is uitsluitend bij de onderzoeker bekend, zodat hij onder bepaalde omstandigheden (bv. als achteraf nog medische zorg nodig is) de betrokkene kan identificeren. Is een doorgifte van dusdanig gecodeerde gegevens van de Europese Unie naar de Verenigde Staten een doorgifte van persoonsgegevens waarop de Veiligehavenbeginselen van toepassing zijn?

A: Nee. Dit geldt niet als een doorgifte van persoonsgegevens waarop de beginselen van toepassing zijn.

FAQ 15 — Informatie uit openbare bestanden of openbaar beschikbare informatie

V: Moeten de beginselen van kennisgeving, keuze en verdere doorgifte worden toegepast op informatie uit openbare bestanden of openbaar beschikbare informatie?

A: Het is niet nodig de beginselen van kennisgeving, keuze en verdere doorgifte toe te passen op informatie uit openbare bestanden, op voorwaarde dat deze informatie niet is gecombineerd met informatie uit niet-openbare bestanden en alle voorwaarden die de bevoegde instanties voor raadpleging stellen, worden nageleefd.

In het algemeen is het evenmin nodig de beginselen van kennisgeving, keuze en verdere doorgifte toe te passen op openbaar beschikbare informatie, tenzij de Europese organisatie die de informatie doorgeeft, aangeeft dat voor deze informatie restricties gelden, op grond waarvan die beginselen in verband met het gebruik dat zij van de informatie wil maken door de organisatie moeten worden toegepast. Organisaties zijn niet aansprakelijk voor de manier waarop dergelijke informatie wordt gebruikt door degenen die de informatie uit gepubliceerd materiaal hebben verkregen.

Indien wordt geconstateerd dat een organisatie persoonlijke informatie opzettelijk in strijd met de beginselen openbaar heeft gemaakt, zodat zij of anderen van deze uitzonderingen kunnen profiteren, komt zij niet langer voor de veilige haven in aanmerking.

Toon alle voetnoten

Voetnoten

(1).

De opneming van deze FAQ in het pakket hangt af van de goedkeuring van de gegevensbeschermingsautoriteiten. Zij hebben de huidige tekst in de Groep van artikel 29 besproken en de meerderheid vindt deze aanvaardbaar, maar zij wensen slechts een definitief standpunt in te nemen in het kader van het algemene advies dat de Groep over het uiteindelijke pakket zal uitbrengen.

(2).

Zie FAQ 7 over controle.

(3).

Geschillenafhandelingsinstanties hoeven het rechtshandhavingsbeginsel niet in acht te nemen. Zij kunnen ook van de beginselen afwijken in geval van strijdige verplichtingen of een uitdrukkelijke machtiging bij de uitvoering van hun specifieke taken.

(4).

Geschillenafhandelingsinstanties moeten een discretionaire bevoegdheid hebben ten aanzien van de omstandigheden waarin zij deze sancties opleggen. Bij een eis gegevens te wissen moet onder meer rekening worden gehouden met de gevoeligheid van de gegevens en met het feit of een organisatie flagrant in strijd met de beginselen gegevens heeft verzameld of gebruikt, dan wel openbaar heeft gemaakt.