Vergroot contrast

Doorgifte van persoonsgegevens binnen multinationale concerns

De Artikel 29-werkgroep heeft het document 'Transfers of personal data to third countries: Applying Article 26 (2) of the EU Data Protection Directive to Binding Corporate Rules for International Data Transfers' aangenomen. Het document biedt een eerste leidraad voor multinationals die interne gedragscodes, ‘binding corporate rules’ willen opstellen, op basis waarvan persoonsgegevens kunnen worden doorgegeven aan bedrijven binnen het concern die in derde landen zijn gevestigd, en bevat een aantal criteria waaraan deze gedragscodes moeten voldoen.

Interne gedragscodes bieden een extra mogelijkheid voor doorgifte naast de reeds bestaande manieren, zoals modelcontracten. Deze mogelijkheid biedt flexibiliteit aan multinationale ondernemingen, omdat de interne gedragscodes kunnen worden ingepast in de bestaande werkprocessen en managementstructuren binnen een organisatie. De praktische toepassing van privacyregels staat hierbij centraal.

In de interne gedragscodes zijn twee basiselementen aanwezig. Allereerst de binnen het concern geldende regels voor omgang met persoonsgegevens. Deze regels moeten vertaald zijn in praktische richtlijnen voor werknemers. Ten tweede moeten er voorschriften ontwikkeld worden die de effectieve naleving van de regels binnen de organisatie garanderen.

Doorgifte van persoonsgegevens

De Wet bescherming persoonsgegevens (Wbp), die sinds 1 september 2001 van kracht is, bevat regels over de doorgifte van persoonsgegevens naar landen buiten de Europese Unie. Hoofdregel is dat persoonsgegevens alleen mogen worden doorgegeven naar derde landen met een passend beschermingsniveau. Buiten die gevallen is doorgifte alleen toegestaan op basis van een wettelijke uitzondering of met vergunning van de Minister van Justitie. De afgifte van een vergunning vindt plaats nadat het CBP daarover advies heeft uitgebracht.