Beschikking van de Commissie

van 27 december 2004

tot wijziging van Beschikking 2001/497/EG betreffende de invoering van alternatieve modelcontractbepalingen voor de doorgifte van persoonsgegevens naar derde landen

(Kennisgeving geschied onder nummer C(2004) 5271)

(Voor de EER relevante tekst)

(2004/915/EG)

DE COMMISSIE VAN DE EUROPESE GEMEENSCHAPPEN,

Gelet op het Verdrag tot oprichting van de Europese Gemeenschap,

Gelet op Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens [1], en met name op artikel 26, lid 4,

Overwegende hetgeen volgt:

(1) Teneinde het gegevensverkeer vanuit de Gemeenschap te vergemakkelijken, is het wenselijk dat de voor de verwerking verantwoordelijken voor de wereldwijde doorgifte van gegevens over één stel regels inzake gegevensbescherming kunnen beschikken. Bij gebrek aan mondiale normen voor gegevensbescherming zijn modelcontractbepalingen een belangrijk instrument waarmee persoonsgegevens vanuit alle lidstaten volgens een gemeenschappelijk stel regels kunnen worden doorgegeven. In Beschikking 2001/497/EG van de Commissie van 15 juni 2001 betreffende modelcontractbepalingen voor de doorgifte van persoonsgegevens naar derde landen krachtens Richtlijn 95/46/EG [2] is daarom een stel modelcontractbepalingen vastgelegd waarmee passende garanties worden geboden voor de doorgifte van gegevens naar derde landen.

(2) Sinds de goedkeuring van deze beschikking is veel ervaring opgedaan. Daarnaast heeft een coalitie van organisaties uit het bedrijfsleven [3] een stel alternatieve modelcontractbepalingen voorgesteld om te komen tot een zelfde niveau van persoonsgegevensbescherming als dat geboden door de modelcontractbepalingen van Beschikking 2001/497/EG, maar met gebruikmaking van andere mechanismen.

(3) Aangezien het gebruik van modelcontractbepalingen voor de internationale doorgifte van gegevens vrijwillig is (er zijn volgens Richtlijn 95/46/EG immers nog diverse andere mogelijkheden voor de rechtmatige doorgifte van persoonsgegevens naar een derde land), moeten de gegevensexporteurs in de Gemeenschap en de gegevensimporteurs in een derde land de vrijheid hebben om te kiezen voor om het even welke reeks modelcontractbepalingen, of te opteren voor een andere wettelijke grondslag voor de doorgifte van gegevens. Aangezien echter elke reeks als geheel een model vormt, mogen de gegevensexporteurs deze reeks niet aanpassen en ook niet helemaal of gedeeltelijk met een andere op enigerlei wijze samenvoegen.

(4) De modelcontractbepalingen die door het bedrijfsleven zijn voorgesteld beogen het gebruik van contractbepalingen door bedrijven aan te moedigen door mechanismen als meer flexibele auditvereisten en gedetailleerdere regels voor het recht van toegang.

(5) Als alternatief voor het systeem van de hoofdelijke aansprakelijkheid waarin is voorzien bij Beschikking 2001/497/EG, biedt de hier voorgestelde reeks een aansprakelijkheidssysteem op basis van het beginsel van de "nodige zorgvuldigheid" ("due diligence"-verplichtingen), waarbij de gegevensexporteur en de gegevensimporteur in geval van een inbreuk op hun contractuele verplichtingen aansprakelijk zijn jegens de betrokkenen; de gegevensexporteur is ook aansprakelijk indien hij geen redelijke inspanning doet om zich ervan te vergewissen dat de gegevensimporteur in staat is om aan zijn wettelijke verplichtingen volgens de contractbepalingen te voldoen ("culpa in eligendo"); eventueel kan in dit geval de betrokkene een zaak aanspannen tegen de gegevensexporteur. De handhaving van bepaling I, punt b), van de nieuwe reeks modelcontractbepalingen is in dit verband van bijzonder belang, met name in verband met de mogelijkheid voor de gegevensexporteur om in de kantoren van de gegevensimporteur controles te verrichten of van de gegevensimporteur bewijzen te verlangen dat hij over voldoende financiële middelen beschikt om zijn verplichtingen na te komen.

(6) Wat de uitoefening betreft van rechten in verband met het derdenbeding door de betrokkenen, is voorzien in een grotere betrokkenheid van de gegevensexporteur bij de behandeling van hun klachten, waarbij de gegevensexporteur verplicht is met de gegevensimporteur contact op te nemen en indien nodig hem te dwingen zich binnen de normale termijn van één maand aan het contract te houden. Indien de gegevensexporteur weigert de gegevensimporteur aan het contract te houden en de schending door de gegevensimporteur voortduurt, kan de betrokkene van de gegevensimporteur eisen dat hij de bepalingen naleeft en hem uiteindelijk in een lidstaat voor de rechtbank dagen. Het aanvaarden van deze jurisdictie en de bereidheid om een besluit van een bevoegde rechtbank of gegevensbeschermingsautoriteit na te leven, doen geen afbreuk aan andere procedurerechten van gegevensimporteurs uit derde landen, zoals het recht om in beroep te gaan.

(7) Om echter te vermijden dat van deze extra flexibiliteit misbruik wordt gemaakt, moeten de gegevensbeschermingsautoriteiten de doorgifte van gegevens volgens de nieuwe reeks modelcontractbepalingen gemakkelijker kunnen opschorten of verbieden, wanneer de gegevensexporteur geen passende stappen wil ondernemen om de gegevensimporteur aan het contract te houden of deze laatste weigert te goeder trouw samen te werken met de bevoegde toezichthoudende gegevensbeschermingsautoriteiten.

(8) Het gebruik van modelcontractbepalingen geschiedt onverminderd de toepassing van nationale voorschriften die zijn goedgekeurd krachtens Richtlijn 95/46/EG of Richtlijn 2002/58/EG [4] betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie (richtlijn betreffende privacy en elektronische communicatie), met name wat betreft de verzending van commerciële boodschappen aan EU-burgers.

(9) Op deze basis kunnen de waarborgen van de voorgestelde modelcontractbepalingen als voldoende worden beschouwd overeenkomstig de bepaling van artikel 26, lid 2, van Richtlijn 95/46/EG.

(10) Er is rekening gehouden met het advies [5] over het niveau van bescherming dat door de voorgestelde modelcontractbepalingen wordt geboden, dat is uitgebracht door de Groep voor de bescherming van personen in verband met de verwerking van persoonsgegevens, opgericht krachtens artikel 29 van Richtlijn 95/46/EG.

(11) Het is aangewezen dat de Commissie drie jaar na de kennisgeving aan de lidstaten de toepassing van de wijzigingen op Beschikking 2001/497/EG evalueert.

(12) Beschikking 2001/497/EG wordt dienovereenkomstig gewijzigd.

(13) De in deze beschikking vervatte maatregelen zijn in overeenstemming met het advies van het bij artikel 31 van Richtlijn 95/46/EG ingestelde Comité,

HEEFT DE VOLGENDE BESCHIKKING GEGEVEN:

Artikel 1

Beschikking 2001/497/EG wordt als volgt gewijzigd:

1) De volgende alinea wordt toegevoegd aan artikel 1:

"De voor de verwerking verantwoordelijken kunnen kiezen uit reeks I of II uit de bijlage. Zij mogen de bepalingen echter niet wijzigen en ook geen afzonderlijke bepalingen of reeksen bepalingen combineren."

2) In artikel 4 worden de leden 2 en 3 vervangen door de volgende tekst:

"2. Indien de voor de verwerking verantwoordelijke passende garanties biedt op basis van de modelcontractbepalingen van reeks II in de bijlage, hebben de bevoegde gegevensbeschermingsautoriteiten, voor de toepassing van lid 1, op grond van hun bestaande bevoegdheid het recht de doorgifte van gegevens te verbieden of op te schorten in een van beide volgende gevallen:

a) bij weigering van de gegevensimporteur om te goeder trouw samen te werken met de gegevensbeschermingsautoriteiten, of om te voldoen aan de in het contract duidelijk omschreven verplichtingen;

b) bij weigering van de gegevensexporteur om passende maatregelen te treffen om de gegevensimporteur aan het contract te houden binnen de normale termijn van één maand na kennisgeving aan de gegevensexporteur door de bevoegde gegevensbeschermingsautoriteit.

Voor de toepassing van de eerste alinea houden weigering te kwader trouw of weigering door de gegevensimporteur om het contract na te leven niet die gevallen in waar de samenwerking of naleving in strijd zou zijn met op de gegevensimporteur toepasselijke vereisten van het nationale recht die niet verder gaan dan wat in een democratische samenleving op basis van een van de in artikel 13, lid 1, van Richtlijn 95/46/EG genoemde belangen noodzakelijk is, met name sancties waarin bij internationale en/of nationale instrumenten is voorzien, en vereisten inzake de aangifte van belastingen en de bestrijding van het witwassen van zwart geld.

Voor de toepassing van punt (a) van de eerste alinea kan samenwerking onder meer inhouden dat de gegevensimporteur zijn gegevensverwerkingssysteem openstelt voor controle of dat hij verplicht gehoor geeft aan het advies van de toezichthoudende gegevensbeschermingsautoriteit in de Gemeenschap.

3. Het verbod of de opschorting overeenkomstig de leden 1 en 2 wordt opgeheven, zodra de redenen voor het verbod of de opschorting niet meer bestaan.

4. Wanneer een lidstaat op grond van de leden 1, 2 en 3 maatregelen treft, stelt hij de Commissie onverwijld daarvan in kennis, waarna de Commissie de andere lidstaten hiervan op de hoogte brengt.".

3) In artikel 5 wordt de eerste zin vervangen door de volgende tekst:

"De Commissie evalueert de werking van deze beschikking op basis van de beschikbare informatie drie jaar na de kennisgeving ervan en van enige wijziging erop aan de lidstaten.".

4) De bijlage wordt als volgt gewijzigd:

1. Na de titel worden de woorden "REEKS I" ingevoegd.

2. De tekst in de bijlage bij deze beschikking wordt toegevoegd.

Artikel 2

Deze beschikking is van toepassing met ingang van 1 april 2005.

Artikel 3

Deze beschikking is gericht tot de lidstaten.

Gedaan te Brussel, 27 december 2004.

Voor de Commissie

Charlie McCreevy

Lid van de Commissie

--------------------------------------------------

[1] PB L 281 van 23.11.1995, blz. 31. Richtlijn gewijzigd bij Verordening (EG) nr. 1883/2003 (PB L 284 van 31.10.2003, blz. 1).

[2] PB L 181 van 4.7.2001, blz. 19.

[3] De Internationale Kamer van Koophandel (ICC), "Japan Business Council in Europe" (JBCE), "European Information and Communications Technology Association" (EICTA), het "EU-Committee" van de "American Chamber of Commerce In Belgium" (Amcham), de "Confederation of British Industry" (CBI), "International Communication Round Table" (ICRT) en de "Federation of European Direct Marketing Associations" (FEDMA).

[4] PB L 201 van 31.7.2002, blz. 37.

[5] Advies nr. 8/2003, beschikbaar op het volgende adres: http://europa.eu.int/comm/privacy

--------------------------------------------------

+++++ ANNEX 1 +++++