32002D0016

Beschikking van de Commissie

van 27 december 2001

betreffende modelcontractbepalingen voor de doorgifte van persoonsgegevens naar in derde landen gevestigde verwerkers krachtens Richtlijn 95/46/EG

(kennisgeving geschied onder nummer C(2001) 4540)

(Voor de EER relevante tekst)

(2002/16/EG)

DE COMMISSIE VAN DE EUROPESE GEMEENSCHAPPEN,

Gelet op het Verdrag tot oprichting van de Europese Gemeenschap,

Gelet op Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens(1), en met name op artikel 26, lid 4,

Overwegende hetgeen volgt:

(1) Overeenkomstig Richtlijn 95/46/EG moeten de lidstaten bepalen dat persoonsgegevens slechts naar een derde land mogen worden doorgegeven, indien dat land een passend niveau voor de bescherming van gegevens waarborgt en de wetgeving van de lidstaten ter uitvoering van de andere bepalingen van deze richtlijn al vóór de doorgifte wordt nageleefd.

(2) Volgens artikel 26, lid 2, van Richtlijn 95/46/EG mogen de lidstaten evenwel, mits bepaalde waarborgen worden geboden, toestemming geven voor een doorgifte of een categorie doorgiften van persoonsgegevens naar een derde land dat geen waarborgen voor een passend beschermingsniveau biedt. Deze waarborgen kunnen met name voortvloeien uit passende contractuele bepalingen.

(3) Overeenkomstig Richtlijn 95/46/EG dient het gegevensbeschermingsniveau te worden beoordeeld met inachtneming van alle omstandigheden die op de doorgifte van gegevens of op een categorie gegevensdoorgiften van invloed zijn. De bij de richtlijn ingestelde Groep voor de bescherming van personen in verband met de verwerking van persoonsgegevens(2) heeft richtsnoeren voor een dergelijke beoordeling vastgesteld(3).

(4) De modelcontractbepalingen betreffen uitsluitend de gegevensbescherming. Het staat de gegevensexporteur en de gegevensimporteur vrij, andere bepalingen over met de transactie verband houdende vraagstukken die zij voor het contract relevant achten, op te nemen, mits deze niet tegen de modelcontractbepalingen indruisen.

(5) Deze beschikking laat nationale toestemmingen die lidstaten krachtens nationale bepalingen ter uitvoering van artikel 26, lid 2, van Richtlijn 95/46/EG kunnen geven, onverlet. Zij strekt er slechts toe dat de lidstaten niet mogen weigeren de in deze beschikking opgenomen contractbepalingen als passende waarborgen te erkennen en heeft dus voor andere contractbepalingen geen gevolgen.

(6) De werkingssfeer van deze beschikking beperkt zich ertoe vast te stellen dat de erin opgenomen modelcontractbepalingen door voor de gegevensverwerking verantwoordelijken die in de Gemeenschap zijn gevestigd, kunnen worden gebruikt om voldoende waarborgen in de zin van artikel 26, lid 2, van Richtlijn 95/46/EG te bieden voor de doorgifte van persoonsgegevens naar in een derde land gevestigde verwerkers.

(7) Deze beschikking dient uitvoering te geven aan de in artikel 17, lid 3, van Richtlijn 95/46/EG vastgelegde verplichting en laat de inhoud van op grond van die bepaling gesloten contracten of vastgestelde wettelijke besluiten onverlet. Sommige modelcontractbepalingen, met name die met betrekking tot de verplichtingen van de gegevensexporteur, dienen echter te worden opgenomen om meer duidelijkheid te scheppen over de bepalingen die in een contract tussen een voor de verwerking verantwoordelijke en een verwerker kunnen worden opgenomen.

(8) De toezichthoudende autoriteiten van de lidstaten spelen een essentiële rol in dit contractmechanisme, door erop toe te zien dat persoonsgegevens na de doorgifte op passende wijze worden beschermd. In buitengewone gevallen waarin de gegevensimporteurs niet in staat zijn of weigeren de gegevensimporteurs naar behoren te instrueren en het risico van ernstige schade voor de betrokkenen bestaat, dienen de modelcontractbepalingen de toezichthoudende autoriteiten toe te staan de gegevensimporteurs te controleren en zo nodig voor de gegevensimporteurs bindende besluiten te nemen. De toezichthoudende autoriteiten dienen de bevoegdheid te behouden, een op basis van de modelcontractbepalingen gebaseerde doorgifte of categorie doorgiften te verbieden of op te schorten in de uitzonderlijke gevallen waarin wordt vastgesteld dat een doorgifte op contractuele grondslag in aanzienlijke mate afbreuk dreigt te doen aan de waarborgen en verplichtingen die de betrokkene een passende bescherming bieden.

(9) De Commissie zal in de toekomst ook onderzoeken of door bedrijfsorganisaties of andere belanghebbenden ingediende modelcontractbepalingen voor de doorgifte van persoonsgegevens aan verwerkers gevestigd in derde landen die niet een passend niveau voor gegevensbescherming waarborgen, voldoende waarborgen in de zin van artikel 26, lid 2, van Richtlijn 95/46/EG bieden.

(10) De verstrekking van persoonsgegevens aan een buiten de Gemeenschap gevestigde verwerker is een internationale, op grond van hoofdstuk IV van Richtlijn 95/46/EG beschermde doorgifte. Bijgevolg heeft deze beschikking geen betrekking op de doorgifte van persoonsgegevens door een in de Gemeenschap gevestigde voor de verwerking verantwoordelijke aan een buiten de Gemeenschap gevestigde voor de verwerking verantwoordelijke die onder de werkingssfeer van Beschikking 2001/497/EG van de Commissie van 15 juni 2001 betreffende modelcontractbepalingen voor de doorgifte van persoonsgegevens naar derde landen krachtens Richtlijn 95/46/EG(4) vallen.

(11) De modelcontractbepalingen dienen de technische en organisatorische beveiligingsmaatregelen vast te stellen die een passend beveiligingsniveau garanderen gelet op de risico's die de verwerking en de aard van de te beschermen gegevens met zich brengen, en die moeten worden getroffen door een verwerker die is gevestigd in een derde land dat geen passende bescherming biedt. De partijen dienen in het contract de technische en organisatorische beveiligingsmaatregelen te regelen die met inachtneming van het toepasselijke recht inzake gegevensbescherming, de stand van de techniek en de kosten van de tenuitvoerlegging noodzakelijk zijn om persoonsgegevens te beveiligen tegen vernietiging, hetzij bij ongeluk, hetzij onrechtmatig, tegen verlies, vervalsing, niet-toegelaten verspreiding of toegang dan wel tegen enige andere vorm van onwettige verwerking.

(12) Teneinde het gegevensverkeer vanuit de Gemeenschap te vergemakkelijken, is het wenselijk dat verwerkers die voor verscheidene voor de verwerking verantwoordelijken in de Gemeenschap gegevens verwerken, dezelfde technische en organisatorische beveiligingsmaatregelen mogen toepassen, ongeacht de lidstaat van oorsprong van de gegevensdoorgifte. Dit geldt vooral wanneer de gegevensimporteur vanuit verscheidene vestigingen van de gegevensexporteur in de Gemeenschap gegevens voor verdere verwerking ontvangt, in welk geval het recht van de aangewezen lidstaat van vestiging van toepassing dient te zijn.

(13) Het is dienstig vast te leggen welke informatie de partijen in ieder geval in het contract betreffende de doorgifte moeten verstrekken. De lidstaten dienen de mogelijkheid te behouden bijzonderheden vast te stellen inzake de informatie die de partijen moeten verstrekken. De werking van de onderhavige beschikking dient in het licht van de ervaring te worden beoordeeld.

(14) De gegevensimporteur dient de doorgegeven persoonsgegevens uitsluitend namens de gegevensexporteur te verwerken en zich daarbij te houden aan zijn instructies en de in de modelcontractbepalingen opgenomen verplichtingen. De gegevensimporteur dient met name geen persoonsgegevens aan een derde te verstrekken, tenzij aan bepaalde voorwaarden is voldaan. De gegevensexporteur dient de gegevensimporteur gedurende de periode waarin hij de gegevens verwerkt, opdracht te geven zich te houden aan zijn instructies, het toepasselijke recht inzake gegevensbescherming en de in de modelcontractbepalingen opgenomen verplichtingen. De doorgifte van persoonsgegevens aan buiten de Gemeenschap gevestigde verwerkers doet geen afbreuk aan het feit dat de gegevensverwerking in elk geval door het toepasselijke recht inzake gegevensbescherming dient te worden beheerst.

(15) De modelcontractbepalingen dienen niet alleen door de organisaties die partij bij het contract zijn afdwingbaar te zijn, maar ook door de betrokkenen, met name wanneer zij ten gevolge van niet-nakoming van het contract schade lijden.

(16) De betrokkene dient het recht te hebben een vordering in te stellen tegen, en indien nodig, vergoeding te ontvangen van de gegevensexporteur die voor de verwerking van de doorgegeven persoonsgegevens verantwoordelijk is. Bij wijze van uitzondering dient de betrokkene ook het recht te hebben een vordering in te stellen tegen, en indien nodig vergoeding te ontvangen van de gegevensimporteur in de gevallen waarin de gegevensimporteur een van zijn in bepaling 3, tweede alinea, bedoelde verplichtingen niet is nagekomen, wanneer de gegevensexporteur feitelijk is verdwenen, heeft opgehouden rechtens te bestaan of insolvent is geworden.

(17) Bij een geschil tussen de betrokkene die zich op het derdenbeding beroept en de gegevensimporteur, dat niet in der minne wordt geschikt, dient de gegevensimporteur ermee in te stemmen aan de betrokkene de keuze te geven tussen bemiddeling, arbitrage of een beroep op de rechter. In hoeverre de betrokkene een daadwerkelijke keuze heeft, dient af te hangen van de beschikbaarheid van betrouwbare en erkende bemiddelings- en arbitrageregelingen. Bemiddeling door de toezichthoudende autoriteit die in de lidstaat van vestiging van de gegevensexporteur over de gegevensbescherming waakt, dient een keuzemogelijkheid te zijn indien zij een dergelijke dienst verleent.

(18) Op het contract dient het recht van de lidstaat van vestiging van de gegevensexporteur van toepassing te zijn dat een derde begunstigde de mogelijkheid biedt de naleving van een contract af te dwingen. De betrokkenen dienen zich door een vereniging of een andere instelling te kunnen doen vertegenwoordigen, indien zij dat wensen en het nationale recht hiertoe de mogelijkheid biedt.

(19) De bij artikel 29 van Richtlijn 95/46/EG ingestelde Groep voor de bescherming van personen in verband met de verwerking van persoonsgegevens heeft over het beschermingsniveau dat door de in de bijlage opgenomen modelcontractbepalingen wordt geboden, een advies uitgebracht waarmee bij de voorbereiding van deze beschikking rekening is gehouden(5).

(20) De in deze beschikking vervatte maatregelen zijn in overeenstemming met het advies van het bij artikel 31 van Richtlijn 95/46/EG ingestelde comité,

HEEFT DE VOLGENDE BESCHIKKING GEGEVEN:

Artikel 1

De in de bijlage opgenomen modelcontractbepalingen worden geacht voldoende waarborgen te bieden ten aanzien van de bescherming van de persoonlijke levenssfeer, de fundamentele rechten en vrijheden van personen, alsmede ten aanzien van de uitoefening van de daaraan verbonden rechten in de zin van artikel 26, lid 2, van Richtlijn 95/46/EG.

Artikel 2

Deze beschikking betreft slechts de gepastheid van de bescherming die door de in de bijlage opgenomen modelcontractbepalingen voor de doorgifte van persoonsgegevens aan verwerkers wordt geboden. Zij laat de toepassing van andere nationale bepalingen ter uitvoering van Richtlijn 95/46/EG die betrekking hebben op de verwerking van persoonsgegevens in de lidstaten onverlet.

Deze beschikking is van toepassing op de doorgifte van persoonsgegevens door voor de verwerking verantwoordelijken die in de Gemeenschap zijn gevestigd, aan ontvangers buiten het grondgebied van de Gemeenschap die slechts als verwerkers optreden.

Artikel 3

Voor de toepassing van deze beschikking:

a) gelden de in Richtlijn 95/46/EG gegeven definities;

b) wordt onder "bijzondere categorieën gegevens" verstaan: de in artikel 8 van die richtlijn bedoelde gegevens;

c) wordt onder "toezichthoudende autoriteit" verstaan: de in artikel 28 van die richtlijn bedoelde autoriteit;

d) wordt onder "gegevensexporteur" verstaan: de voor de verwerking verantwoordelijke die de persoonsgegevens doorgeeft;

e) wordt onder "gegevensimporteur" verstaan: de in een derde land gevestigde verwerker die ermee instemt van de gegevensexporteur persoonsgegevens te ontvangen om deze na doorgifte namens de gegevensexporteur in overeenstemming met zijn instructies en de voorwaarden van deze beschikking te verwerken, en die niet aan een regeling van een derde land die passende bescherming biedt, is onderworpen;

f) wordt onder "toepasselijk recht inzake gegevensbescherming" verstaan: de wettelijke bepalingen tot waarborging van de fundamentele rechten en vrijheden van natuurlijke personen, en met name hun recht op bescherming van de persoonlijke levenssfeer ten aanzien van de verwerking van persoonsgegevens, die in de lidstaat van vestiging van de gegevensexporteur van toepassing zijn op een voor de verwerking verantwoordelijke;

g) wordt onder "technische en organisatorische beveiligingsmaatregelen" verstaan: maatregelen die tot doel hebben persoonsgegevens te beveiligen tegen vernietiging, hetzij bij ongeluk hetzij onrechtmatig, tegen verlies, vervalsing, niet-toegelaten verspreiding of toegang, met name wanneer de verwerking de doorzending van gegevens in een netwerk omvat, dan wel tegen enige andere vorm van onwettige verwerking.

Artikel 4

1. Onverminderd hun bevoegdheden maatregelen te treffen ter waarborging van de naleving van de krachtens de hoofdstukken II, III, V en VI van Richtlijn 95/46/EG vastgestelde nationale bepalingen, kunnen de bevoegde autoriteiten in de lidstaten hun bestaande bevoegdheden gebruiken om gegevensstromen naar derde landen te verbieden of op te schorten teneinde natuurlijke personen in verband met de verwerking van hun persoonsgegevens te beschermen, wanneer

a) wordt vastgesteld dat het recht waaraan de gegevensimporteur is onderworpen, hem vereisten waarmee van het toepasselijke recht inzake gegevensbescherming moet worden afgeweken, oplegt die verder gaan dan de beperkingen die in een democratische samenleving noodzakelijk zijn als bedoeld in artikel 13 van Richtlijn 95/46/EG, indien die vereisten in aanzienlijke mate afbreuk dreigen te doen aan de door het toepasselijke recht inzake gegevensbescherming en de modelcontractbepalingen geboden waarborgen, of

b) een bevoegde autoriteit heeft vastgesteld dat de gegevensimporteur de in de bijlage opgenomen contractbepalingen niet is nagekomen, of

c) het in aanzienlijke mate waarschijnlijk is dat de in de bijlage opgenomen modelcontractbepalingen niet worden of zullen worden nageleefd en bij verdere doorgifte het risico bestaat dat de betrokkenen ernstige schade wordt toegebracht.

2. Het verbod of de opschorting wordt opgeheven, zodra de redenen voor het verbod of de opschorting niet meer bestaan.

3. Wanneer een lidstaat op grond van de leden 1 en 2 maatregelen treft, stelt hij de Commissie daarvan onverwijld in kennis, waarna de Commissie de andere lidstaten hiervan in kennis stelt.

Artikel 5

Drie jaar na de kennisgeving van deze beschikking aan de lidstaten beoordeelt de Commissie de werking ervan op basis van de beschikbare informatie. Zij brengt verslag uit over de constateringen aan het krachtens artikel 31 van Richtlijn 95/46/EG ingestelde comité. Dit verslag omvat tevens alle gegevens die van invloed kunnen zijn op de beoordeling van de gepastheid van de modelcontractbepalingen in de bijlage en eventueel het bewijs dat deze beschikking op discriminerende wijze wordt toegepast.

Artikel 6

Deze beschikking is van toepassing met ingang van 3 april 2002.

Artikel 7

Deze beschikking is gericht tot de lidstaten.

Gedaan te Brussel, 27 december 2001.

Voor de Commissie

Frederik Bolkestein

Lid van de Commissie

(1) PB L 281 van 23.11.1995, blz. 31.

(2) De website van de groep is te vinden op het volgende adres:

http://europa.eu.int/comm/internal_market/en/dataprot/wpdocs/index.htm.

(3) WP 4 (5020/97): "Eerste richtsnoeren voor de doorgifte van persoonsgegevens naar derde landen - Voorstel inzake een methode voor de beoordeling van het passend karakter van het beschermingsniveau", een discussiedocument dat op 26 juni 1997 door de groep werd aangenomen.

WP 7 (5057/97): "Beoordeling van zelfregulering: wanneer komt zelfregulering door de industrie het beschermingsniveau van gegevens in geval van overdracht naar een derde land ten goede?", werkdocument dat op 14 januari 1998 door de groep werd aangenomen.

WP 9 (5005/98): "Voorlopig standpunt inzake het gebruik van contractuele bepalingen in het kader van de overdracht van persoonsgegevens naar derde landen", werkdocument dat op 22 april 1998 door de groep werd aangenomen.

WP 12: "Doorgifte van persoonsgegevens naar derde landen: toepassing van de artikelen 25 en 26 van de EU-richtlijn betreffende gegevensbescherming", werkdocument dat op 24 juli 1998 door de groep werd aangenomen. (Beschikbaar op website:

http://europa.eu.int/comm/internal_markt/en/dataprot/wpdocs/wp12nl.pdf van de Europese Commissie.)

(4) PB L 181 van 4.7.2001, blz. 19.

(5) Advies nr. 7/2001 dat op 13 september 2001 door de groep werd goedgekeurd (DG MARKT...) (beschikbaar op de Europawebsite van de Europese Commissie).

BIJLAGE

>PIC FILE= "L_2002006NL.005702.TIF">

>PIC FILE= "L_2002006NL.005801.TIF">

>PIC FILE= "L_2002006NL.005901.TIF">

>PIC FILE= "L_2002006NL.006001.TIF">

Aanhangsel 1

>PIC FILE= "L_2002006NL.006102.TIF">

Aanhangsel 2

>PIC FILE= "L_2002006NL.006202.TIF">