Privacy commissie versnelt procedure ‘privacyontract’

Privacycontracten voor de uitwisseling van persoonsgebonden gegevens met bedrijven buiten de EU worden voortaan vlotter afgehandeld dan zij een protocolakkoord tussen de Privacy commissie en de FOD Justitie.

De uitwisseling van gegevens tussen bedrijven binnen de Europese Unie, ook gegevens uit de persoonlijke levenssfeer, vormt geen probleem omdat in de verschillende lidstaten dezelfde (minimum) normen inzake databescherming en privacy worden gehanteerd. Voor de uitwisseling van gegevens uit de persoonlijke levenssfeer door Europese bedrijven met bedrijven buiten de EU (conform de wet van 8 december 1992), moet steevast een ‘privacycontract’ worden opgesteld met het oog op voldoende bescherming van die gegevens, dat vervolgens ook moet worden gepubliceerd als een koninklijk besluit (KB). Een omslachtige en mogelijks erg lange procedure, die bovendien onnodig veel informatie over een en ander in het KB zelf kan vrijgeven.

Hierin komt nu verandering dank zij een protocolakkoord dat op 25 juni ll. werd ondertekend door de FOD Justitie en de Privacy commissie, op initiatief van deze laatste. Voortaan moeten privacycontracten die in overeenstemming zijn met de door de Europese Commissie goedgekeurde modelcontractbepalingen, enkel nog worden voorgelegd aan de Privacy commissie. Als deze laatste de conformiteit bevestigt, is het contract van kracht vanaf de datum dat de Privacy commissie die beslissing betekent aan de aanvrager en volstaat een kopie van dat schrijven aan de FOD Justitie. De publicatie van een KB is niet noodzakelijk in dat geval, want “beschikkingen van de Europese Commissie zijn immers rechtstreeks van toepassing in het Belgisch recht en vergen geen uitvoeringsmaatregelen.”

Sneller maatwerk

Ook voor bedrijven die nood hebben aan een privacycontract op maat, versnelt de procedure. Het voorstel tot privacycontract zal immers door de Privacy commissie zelf worden getoetst en, mits voorzien van de nodige waarborgen voor de nodige bescherming van de persoonlijke levenssfeer, met een gunstig advies en een voorstel van (beknopt) KB aan de FOD Justitie worden overgemaakt. Deze verzorgt dan de publicatie in het Staatsblad. Zoniet brengt de commissie de aanvrager op de hoogte van de beginselen die in de contractuele bepalingen moeten worden hernomen.

De Privacy commissie beseft dat dit akkoord de bedrijven niet ontslaat van de noodzaak om hun voorbereidend werk goed uit te voeren, wat voor kleinere bedrijven allicht een klus is (zeker als ze zaken willen doen met grotere bedrijven buiten de EU). Maar, wordt onderstreept, iedereen is hierbij wel gelijk voor de wet en het is precies de bedoeling van de privacywetgeving om bedrijven te doen nadenken over precies welke informatie ze doorgeven aan wie, met welke doeleinden en opzet, met welke beperkingen en dies meer. Dank dit protocolakkoord zullen allicht ook meer bedrijven de stap zetten om dit in wezen verplicht privacycontract rond gegevens uit de persoonlijke levenssfeer aan te vragen. Niet alleen voorkomt dit mogelijke gevolgen van een overtreding, maar tevens biedt dit “meer juridische zekerheid voor zowel de personen van wie de gegevens worden doorgegeven als de betrokken bedrijven.”

Het protocolakkoord is meteen van kracht en de Privacy commissie onderstreept dat ze over de nodige middelen beschikt om deze dienst aan te bieden.