De presentatie wordt gedownload. Even geduld aub

De presentatie wordt gedownload. Even geduld aub

Overdracht van Persoonsgegevens naar Derde Landen Praktische Case Studies Thomas De Meese Advocaat Kunstlaan 27 - 1040 Brussel Tel : 02/231.17.99 - Fax.

Verwante presentaties


Presentatie over: "Overdracht van Persoonsgegevens naar Derde Landen Praktische Case Studies Thomas De Meese Advocaat Kunstlaan 27 - 1040 Brussel Tel : 02/231.17.99 - Fax."— Transcript van de presentatie:

1 Overdracht van Persoonsgegevens naar Derde Landen Praktische Case Studies
Thomas De Meese Advocaat Kunstlaan Brussel Tel : 02/ Fax : 02/

2 Inhoud Casus 1 Persoonsgegevens en due diligence in het kader van een internationale overname Doorgifte van klantenbestand na een internationale overname Casus 2

3 Persoonsgegevens en due diligence in het kader van een internationale overname
Casus 1

4 Due diligence Casus 1 Data ? werknemers EU klanten leveranciers
Company A Data ? Casus 1 Company B uit Japan wil Company A uit Europa overnemen. Zoals gebruikelijk wordt naar aanleiding van de overnamegesprekken een due diligence onderzoek gedaan. In deze context wenst Company B ook toegang te hebben tot gegevens betreffende het werknemersbestand, klantenbestand en leveranciersbestand van Company A. Deze bestanden bevatten evenwel persoonsgegevens. In welke mate kunnen deze persoonsgegevens ter beschikking worden gesteld? Mogen zij, onder elektronische vorm of op enige andere wijzenaar Japan worden doorgegeven? JAPAN Company B

5 Due diligence Casus 1 Data ? werknemers EU klanten leveranciers
Company A Data ? Casus 1 Company B uit Japan wil Company A uit Europa overnemen. Zoals gebruikelijk wordt naar aanleiding van de overnamegesprekken een due diligence onderzoek gedaan. In deze context wenst Company B ook toegang te hebben tot gegevens betreffende het werknemersbestand, klantenbestand en leveranciersbestand van Company A. Deze bestanden bevatten evenwel persoonsgegevens. In welke mate kunnen deze persoonsgegevens ter beschikking worden gesteld? Mogen zij, onder elektronische vorm of op enige andere wijzenaar Japan worden doorgegeven? JAPAN Company B

6 Due diligence Casus Vertrekpunt Verwerkingen : Bron :
Personeelsadministratie Loonadministratie Bron : werknemers zelf informatieverstrekking (art. 9§1) : in AO of op formulier waarmee gegevens worden verkregen; “behalve indien hij hiervan reeds op de hoogte is”.

7 Due diligence Casus Vertrekpunt Aangifte CBPL :
Personeelsadministratie : vrijstelling (art. 52 KB van 13 februari 2001) Loonadministratie : vrijstelling (artikel 51 KB van 13 februari 2001

8 Considerans n°60 Richtlijn 95/46/EG
“Overwegende dat doorgifte naar derde landen slechts mogelijk is met volledige inachtneming van de bepalingen welke de Lidstaten hebben vastgesteld ter uitvoering van deze richtlijn en met name (o.a.) van artikel 8” Uitgangspunt :Artikel 1§2 WBPL “verwerking = verstrekken door middel van doorzending, verspreiden of op enigerleid andere wijze ter beschikking stellen”. De doorgifte/ter beschikking stelling van de persoonsgegevens naar de Japanse overnemer, Company B, is dus een verwerking in de zin van artikel 1§2 van de wet en moet als dusdanig voldoen aan alle vereisten van de wet. Dezedoorgifte zal dus op zich moeten voldoen aan de finaliteits-, legitimiteits- en proportionaliteitsvereisten van de WBPL Daarom onderzoeken we eerst, los van de problematiek van de doorgifte aan een derde landen, in one casus, Japan, onder welke voorwaarden het mogelijk is om personeelsgegevens mee te delen aan een kandidaat overnemer in de context van een due diligence onderzoek. Vervolgens zullen wij nagaan of en in welke mate het mogelijk is deze gegevens ook daadwerkelijk naar Company B in Japan door te geven.

9 Compatibiliteitsvereiste
Art. 4§1, 2° WBPL (…) niet verder worden verwerkt op een wijze die, rekening houdend met alle relevante factoren, met name met de redelijke verwachtingen van de betrokkene, …, onverenigbaar is met die doeleinden. Vooreerst stelt zich de vraag of de mededeling aan de kandidaat overnemer (Company B) van de persoonsgegevens uit de personeels- en loonadministratie te verzoenen valt met deze oorspronkelijke finaliteit van deze verwerkingen, rekening houdend met alle relevante factoren en in het bijzonder met de redelijke verwachtingen dienaangaande van de WNer’s van Company A.

10 Compatibiliteitsvereiste
Art. 4§1, 2° WBPL (…) niet verder worden verwerkt op een wijze die, rekening houdend met alle relevante factoren, met name met de redelijke verwachtingen van de betrokkene, …, onverenigbaar is met die doeleinden. Bij de belangenafweging spelen de redelijke verwachtingen van de werknemers van A dus een sleutelrol. Opmerking : in onze casus betreft het een finaliteit van de verwerking dieniet voorafgaandelijk aan WN is meegedeeld. Dit is vanzelfsprekend van aard om een invloed te hebben op de ‘redelijke verwachtingen’ van deze WN. => belang van een correcte informatieverstrekking conform artikel 9§1 van de WBPL.

11 Compatibiliteitsvereiste Registratiekamer (NL) 2 november 1998
Art. 4§1, 2° WBPL Nevendoel ‘verstrekken van persoons-gegevens aan (potentiële) overnemers’ staat te ver af van de oorspronkelijke arbeidsverhouding . (De Registratiekamer is de voorloper van het huidige College Bescehrming Persoonsgegevens, het Nederlands equivalent van onze Commissie voor de Bescherming van de persoonlijke levenssfeer). De Registratiekamer oordeelde dat het nevendoel ‘verstrekken van persoonsgegevens aan (potentiële) overnemers’ te ver staat van de oorspronkelijke arbeidsverhouding (finaliteiten). Gevolg : er is sprake van een nieuwe verwerking die moet voldoen aan alle vereisten van de wet en o.a. art 4§1,1° en 5 (legitimeitsvereiste), art 9 (informatieverstrekking) en artikel 17 aangifte bij de CBPL.

12 Legitimiteitsvereisten
Art. 4§1, 2° WBPL Voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verkregen en verwerkt Doelstelling ‘mededeling aan kandidaat overnemers/fusiepartners in het kader van due diligence’ kan een legitiem doeleinde zijn.

13 Legitimiteitsvereisten
Art. 5 WBPL ondubbelzinnige toestemming noodzaak voor de uivoering van een overeenkomst waarbij betrokkene partij is wettelijke verplichting (…) gerechtvaardigd belang van de verantwoordelijke voor de verwerking of van de derde aan wie de gegevens worden verstrekt dat zwaarder doorweegt dan het belang en de rechten van de betrokkene op de bescherming van zijn persoonlijke levenssfeer. De toestemming van de WN moet vrij en specifiek zijn en op informatie berusten (artikel 1§8 van de WBPL). De confidentialiteit van de overnamegespekken tussen Company A en Company B maakt het moeilijk zoniet onmogelijk om dergelijke toestemming van de WN te bekomen. Doorgifte/mededeling aan Company B is als dusdanig niet noodzakelijk voor de uitvoering van een overeenkomst tussen de WN en Company A. Doorgifte van persoonsgegevens van Company A en potentiële overnemer Company B wordt niet opgelegd door een wettelijke bepaling. Enige mogelijkheid is dus de belangenafweging tussen de belangen van de WN en de belangen van de werkgever (Company A) en van de kandidaat overnemer (Company B)

14 Legitimiteitsvereisten
Art. 5 WBPL ondubbelzinnige toestemming noodzaak voor de uivoering van een overeenkomst waarbij betrokkene partij is wettelijke verplichting (…) gerechtvaardigd belang van de verantwoordelijke voor de verwerking of van de derde aan wie de gegevens worden verstrekt dat zwaarder doorweegt dan het belang en de rechten van de betrokkene op de bescherming van zijn persoonlijke levenssfeer Enige mogelijkheid is dus de belangenafweging tussen de belangen van de WN en de belangen van de werkgever (Company A) en van de kandidaat overnemer (Company B)

15 Proportionaliteitsvereiste
Art. 4§1, 3° WBPL Toereikend, terzake dienend en niet overmatig zijn gelet op de doeleinden van de verwerking. Naast de belangenafweging moet ook rekening worden gehouden met de wettelijke proportionaliteitsvereiste.

16 Legitimiteit & proportionaliteit
Dubbele test Belangenafweging Proportionaliteit . Hoe deze dubbele test in concreto moet worden toegepast is niet altijd even duidelijk. Er bestaat hierover weinig of geen rechtspraak. Het Nederlandse equivalent van de CBPL heeft evenwel de gelegenheid gehad om richtlijnen uit te stippelen naar aanleiding van een vraag die haar werd gesteld door een Nederlands advocaten- kantoor.

17 Legitimiteit & proportionaliteit Registratiekamer (NL) 2 november 1998
Belangen- afweging Belang van de werkgever weegt in dit geval niet op tegen het privacybelang van de werknemer Potentiële koper heeft in principe voldoende aan gegevens op gegaggregeerd niveau . Potentiële koper heeft in principe voldoende aan gegevens op gegaggregeerd niveau = combinatie van belangenafweging en proportionaliteit Propor- tionaliteit

18 Basisregel Belangen- afweging
Belang van de werknemer weegt het zwaarst Geen doorgifte aan Company B van tot personen herleidbare gegevens .

19 Uitzondering Belangen- afweging Propor- tionaliteit
Gerechtvaardige noodzaak werkgever (Company A) /overnemer (Company B) Beperking van het aantal ontvangers tot strikte minimum Geen vrijgave van meer gegevens dan strikt noodzakelijk Propor- tionaliteit .

20 Uitzondering Belangen- afweging Propor- tionaliteit
Lopende fraudeonderzoeken binnen Company A Claims wegens arbeidsongevallen bij company A Enkel advocaten van Company B die het due diligence onderzoek verrichten Propor- tionaliteit .

21 Uitzondering Belangen- afweging Propor- tionaliteit
Vervaldatum van het uitgavecontract met een auteur van bestsellers Company B zelf. Propor- tionaliteit .

22 Praktische problemen Art. 51 KB 13/02/01
“ (…) wanneer de gegevens uitsluitend worden gebruikt voor die loonadministratie en alleen worden meegedeeld aan de ontvangers die daartoe gerechtigd zijn (…)”

23 Praktische problemen Art. 51 KB 13/02/01
“ (…) wanneer de gegevens uitsluitend worden gebruikt voor die loonadministratie en alleen worden meegedeeld aan de ontvangers die daartoe gerechtigd zijn (…)” Vrijstelling laat geen mededeling aan Company B toe Mededeling van persoonsgegevens betreffende de WN aan Company B = schending van de voorwaarden van de vrijstelling.

24 Praktische problemen Art. 52 KB 13/02/01
“ De verwerkte persoonsgegevens (…) mogen alleen in het kader van de toepassing van een wets- of verordeningsbepaling of indien nodig voor de verwezenlijking van de doelstellingen van de verwerking aan derden worden meegedeeld”

25 Praktische problemen Art. 52 KB 13/02/01
“ De verwerkte persoonsgegevens (…) mogen alleen in het kader van de toepassing van een wets- of verordeningsbepaling of indien nodig voor de verwezenlijking van de doelstellingen van de verwerking aan derden worden meegedeeld” Vrijstelling laat geen mededeling aan Company B toe Mededeling van persoonsgegevens betreffende de WN aan Company B = schending van de voorwaarden van de vrijstelling.

26 Praktische problemen Oplossing? Nieuwe aangifte aan de CBPL
Mededeling van persoonsgegevens betreffende de WN aan Company B = schending van de voorwaarden van de vrijstelling.

27 Praktische problemen Art. 9§2 WBPL
Verplichting tot informatieverstrekking aan de betrokkene op het ogenblik van de eerste registratie of bij de eerste mededeling aan de derde ontvanger Mededeling van persoonsgegevens betreffende de WN aan Company B = schending van de voorwaarden van de vrijstelling.

28 Praktische problemen Art. 9§2 WBPL Art. 30 KB 13/02/01
Uitzondering op de verplichting tot informatieverstrekking : “wanneer de kennisgeving aan de betrokkene onmogelijk blijkt of onevenredig veel moeite kost” Informatieverstrekking bij eerste contactname Art. 30 KB 13/02/01 Mededeling van persoonsgegevens betreffende de WN aan Company B = schending van de voorwaarden van de vrijstelling.

29 Preventieve maatregelen?
Art. 5 WBPL Ondubbelzinnige toestemming in AO? Geen vrije toestemming in actuele of potentiële arbeidsrelatie Art. 27 KB 13/02/01 De toestemming van de WN moet vrij en specifiek zijn en op informatie berusten (artikel 1§8 van de WBPL). De confidentialiteit van de overnamegespekken maakt het moeilijk zoniet onmogelijk om dergelijke toestemming van de WN te bekomen. Algemene toestemming in AO? Is dit voldoene specifiek en op informatie berustend? Wet voorziet zelf uitdrukkelijk dat ‘categoriën ontvangers volstaat’. Belang : geen nieuwe toetsting art 5 WBPL vereist. Voor gevoelige gegevens is in de context van een actuele of potentiële arbeidsrelatie geen vrije toestemming mogelijk gelet op de tekst van artikel 27 van het KB : “Indien de verwerking van persoonsgegevens bedoeld in artikel 6 en 7 van de wet uitsluitend is toegestaan op grond van de schriftelijke toestemming van de betrokken persoon, is die verwerking verboden indien de verantwoordelijke voor de verwerking de huidige of potentiële werkgever van de betrokkene is of indien de betrokken persoon zich ten aanzien van de verantwoordelijke voor de verwerking in een afhankelijke positie bevindt, wat hem belet vrij zijn toestemming te verlenen. Dit verbod wordt opgeheven wanneer de verwerking erop gericht is de betrokken persoon een voordeel te verstrekken .” De legitimiteits- en proportionaliteitsvereisten blijven onverkort van toepassing

30 Preventieve maatregelen?
Art. 9§1 WBPL Informatieverstrekking bij het verkrijgen van de gegevens Artikel 9§1 WBPL schrijft de verplichting voor om de WN in te lichten over de categoriën ontvangers van de gegevens, behoudens indien dit niet noodzakelijk is om een eerlijke verwerking te waarborgen. Gelet op deze vereiste lijkt het in elk geval aangewezen : 1. Niet te steunen op de vrijstelling van de informatieverplichting wanneer de betrokkene reeds op de hoogte is van de te verstrekken gegevens (geldt niet in het kader van due diligence) 2. Potentiële overname of fusiekandidaten vermelden als categorie van ontvangers en de mededeling aan deze categorie als finaliteit van de verweking. 3. Te vermelden dat mededeling aan 3e landen die geen adequaat beschermingsniveau bieden mogelijk is. Alhoewel legitimeits en proportionaliteitsvereisten onverkort van toepassing blijven creert men meer juridische marge om te argumenteren dat ‘redelijke verwachtingen’ van de WN gerespecteerd worden => geen verplichting tot nieuwe bijkomende informatieverstrekking op het ogenblik van de due diligence.

31 Preventieve maatregelen?
Art. 17§1 WBPL Aangifte doen van uw personeelsadministratie en loonsadministratie bij de CBPL, ook indien u in aanmerking komt voor een vrijstelling. Met uitdrukkelijke vermelding van : mededeling aan kandidaat-overnemers als nevendoel kandidaat overnemers als potentiële ontvangers van de persoonsgegevens.

32 Japan Art. 21 WBPL Geen doorgifte van persoonsgegevens naar landen buiten de Europese Gemeenschap die geen passend beschermingsniveau bieden Quid nu van de mogelijkheid om de persoonsgegevens door te geven naar Company B in Japan zelf? Momenteel bieden slechts Zwitserland, Hongarije en Canada een adequaat beschermingsniveau + de VS voor die bedrijven die zijn toegetreden tot het ‘Safe Harbour’ mechanisme. Japan hoort daar niet bij.

33 Uitzonderingen Art. 22 WBPL Ondubbelzinnige toestemming
Uitvoering overeenkomst tussen werknemer en Company A Uitvoering overeenkomst tussen Company A en derde in het voordeel van werknemer Individuele machtiging door de Koning. Toestemming = toestemming met mededeling naar derde land dat geen adequaat beschermingsniveau biedt.

34 Uitzonderingen Beschikking 2001/497/EG
Standaard clausules om contractuele garanties te verkrijgen inzake een adequaat beschermingsniveau. Praktisch probleem : Clause 5(c) ‘to deal promptly and properly with all reasonable inquiries from the data exporter or the data subject relating to his processing of personal data subject to the transfer … Clause 5(e) ‘to make available to the data subject upon request a copy of the Clauses …” => plicht om redelijke verzoeken om informatie te beantwoorden en plicht om Clauses ter beschikking te stellen. Hoe valt dit te rijmen met de confidentialiteit van een due diligence onderzoek?

35 Samenvattend Preventief (Company A)
Correcte informatie aan de werknemers bij het inzamelen van de gegevens Toestemming in de AO Aangifte van de verwerkingen aan de CBPL Bij de aangifte, vermelding van potentiële fusie of overnamekandidaten als categorie van bestemmelingen.

36 Samenvattend Vóór due diligence (Company A/B)
TBDF contract overeenkomstig de clausules van het standaardcontract in bijlage bij Beschikking 2001/479/EG. Twijfels betreffende toestemming. Dus toch TBDF.

37 Samenvattend Tijdens due diligence (Company A/B) Basisregel :
Enkel doorgifte van gegaggregeerde, niet tot personen herleidbare gegevens. Uitzondering : specifieke noodzaak om persoonsgegevens door te geven beperking van het aantal ontvangers tot strikte minimum geen vrijgave van meer gegevens dan strikt noodzakelijk

38 Doorgifte van klanten- bestand na een inter- nationale overname
Casus

39 eBay-iBazar iBazar  Casus 2 EU Klantengegevens Opt out US
iBazar, een bedrijf dat veilingwebsites exploiteert in verschillende EU-landen, waaronder Nederland, is overgenomen door het Amerikaanse eBay. Om de overgang van iBazar-gebruikers naar het eBay-systeem zo geruisloos mogelijk te laten verlopen, wil eBay de klantgegevens van iBazar Nederland verplaatsen naar de Verenigde Staten. De doorgifte vindt plaats tenzij klanten bezwaar maken (‘opt-out'). De gegevens zullen in de VS pas gebruikt worden nadat de klant toestemming heeft gegeven (‘opt-in'). eBay is niet toegetreden tot de ‘safe harbor’ principes US

40 De klantengegevens betreffen hoofdzakelijk identificatiegegevens en facturatiegegevens.

41 Toestemming ‘Opt Out’ eBay Registratie- kamer (NL)
‘Opt out’ mogelijkheid = ondubbelzinnige toestemming in de zin van artikel 22,1° WBPL Toestemming veronderstelt “wilsuiting”. Registratie- kamer (NL) De Registratiekamer vindt hierin echter geen aanknopingspunten voor uw standpunt dat van toestemming sprake zou zijn bij een opt-out methode zoals uw cliënte die wil toepassen. Cruciaal is hierbij het ontbreken van de wilsuiting die is vereist gelet op de definitie van toestemming in artikel 2, onder h van de richtlijn.

42 Toestemming ‘Opt Out’ eBay Registratie- kamer (NL)
‘Opt out’ mogelijkheid = ondubbelzinnige toestemming in de zin van artikel 22,1° WBPL Toestemming veronderstelt “wilsuiting”. Registratie- kamer (NL) Standpunt registratiekamer is betwistbaar. Wilsuiting kan ook impliciet zijn. Enige vraag is of impliciete wilsuiting voldoende ondubbelzinnig is. Cfr de leer van de stilzwijgende aanvaarding in het verbintenissenrecht. Het moet gaat om een omstandig stilzwijgen dat niet anders kan worden geïnterpreteerd dan als een aanvaarding.

43 Overeenkomst iBazar- Klant
eBay Doorgifte is noodzakelijk voor de uitvoering van de overeenkomst tussen iBazar en de klant (art. 22,2° WBPL) Er bestaat geen overeenkomst Klant-eBay. Doorgifte is niet noodzakelijk voor de uitvoering van de overeenkomst Klant-iBazar. Registratie- kamer (NL) Naar het oordeel van de Registratiekamer kan een beroep op onderdeel b niet slagen. Van een overeenkomst tussen de gebruiker en eBay is immers geen sprake. Evenmin is gebleken dat de voorgenomen doorgifte noodzakelijk is voor het uitvoeren van de overeenkomst tussen de gebruiker en iBazar. De uitvoering was voorheen immers perfect mogelijk zonder doorgifte van de gegevens naar de US.

44 Overeenkomst iBazar- Klant
eBay Doorgifte is noodzakelijk voor de uitvoering van de overeenkomst tussen iBazar en de klant (art. 22,2° WBPL) Er bestaat geen overeenkomst Klant-eBay. Doorgifte is niet noodzakelijk voor de uitvoering van de overeenkomst Klant-iBazar. Registratie- kamer (NL)

45 Overeenkomst in belang Klant
eBay Doorgifte is in voordeel Klant (art. 22,3° WBPL) : privacyverklaring eBay biedt betere garanties Privacyverklaring kan niet gelijk worden gesteld met wetgeving eBay doet niet mee aan ‘Safe Harbor’ Overeenkomst eBay-iBazar is niet in het belang van de klant gesloten. Registratie- kamer (NL) Om twee redenen kan de Registratiekamer deze stelling niet volgen. Zij miskent het beschermingsniveau dat voortvloeit uit de richtlijn. Een privacyverklaring van een bedrijf is in beginsel vrijblijvend en biedt geen formele waarborgen. Zij biedt in de zin van de richtlijn geen adequaat niveau van privacybescherming. Juist met het oog hierop is het ‘safe harbor agreement' gesloten. Ook als het belang van de betrokkene bij de gegevensoverdracht niet ter discussie stond, zou een beroep op onderdeel c overigens niet kunnen slagen. Dit bevat namelijk de strikte voorwaarde dat de overeenkomst wordt gesloten in het belang van de betrokkene. Hiervan is geen sprake aangezien de overname van iBazar door eBay primair het commerciële belang van de contractpartijen dient.

46 Overeenkomst in belang Klant
eBay Doorgifte is in voordeel Klant (art. 22,3° WBPL) : privacyverklaring eBay biedt betere garanties Privacyverklaring kan niet gelijk worden gesteld met wetgeving eBay doet niet mee aan ‘Safe Harbor’ Overeenkomst eBay-iBazar is niet in het belang van de klant gesloten. Registratie- kamer (NL)

47 Toestemming ‘Opt in’ Registratie- kamer (NL)
Actief onderschrijven van statement : "… j'accepte : que mes coordonnées personnelles ainsi que mes informations de facturation soient transférées et traitées aux Etats-Unis"

48 Alternatieven Art 22 in fine WBPL Beschikking 2001/497/EG US Safe
Individuele machtiging in Lidstaten Contractuele garanties inzake een adequaat beschermingsniveau Garanties door zelfcontrole onder toezicht FTC Beschikking 2001/497/EG US Safe Harbor

49 Dank U


Download ppt "Overdracht van Persoonsgegevens naar Derde Landen Praktische Case Studies Thomas De Meese Advocaat Kunstlaan 27 - 1040 Brussel Tel : 02/231.17.99 - Fax."

Verwante presentaties


Ads door Google