Op 31 januari 2020 verscheen aanbeveling 02/2020 van de Gegevensbeschermingsautoriteit (GBA) omtrent de draagwijdte van de verplichting voor de federale publieke sector om protocollen af te sluiten wanneer persoonsgegevens worden medegedeeld. In een vorige blog vertellen we je alles over deze aanbeveling.

In deze blog focussen we op de voorwaarden waaraan moet voldaan zijn opdat een protocol verplicht zou zijn. Wat is precies een federale overheid? En wat als de modaliteiten van een bepaalde gegevensuitwisseling al in de wet werden uitgeschreven? Hoeft dat dan nog, zo’n protocol?

1.  Vijf cumulatieve voorwaarden

Er zijn vijf cumulatieve voorwaarden waaraan moet worden voldaan opdat het afsluiten van een protocol verplicht is:

1. Het moet gaan om een federale overheid die persoonsgegevens meedeelt in de hoedanigheid van verwerkingsverantwoordelijke;
2. De mededeling gebeurt ofwel om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust (art. 6, 1. c) AVG) of is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen (art. 6, 1. e) AVG);
3. De modaliteiten van de mededeling zijn niet voorzien in een wet- of regelgevende norm;
4. De mededeling gebeurt systematisch of, indien dit niet het geval is, wordt gedaan aan personen of instellingen die niet gerechtigd zijn deze te verkrijgen krachtens een wettelijke opdracht;
5. De ontvanger van de mededeling bevindt zich in België en ontvangt de persoonsgegevens in de hoedanigheid van verwerkingsverantwoordelijke.

2.  Federale overheid

Het moet gaan om een federale overheid die handelt als verwerkingsverantwoordelijke. Het begrip ‘federale overheid’ omvat

• de federale staat;
• de rechtspersonen van publiek recht die van de federale staat afhangen (bv. de Nationale Bank);
• de rechtspersonen die zijn opgericht met het specifieke doel te voorzien in behoeften van algemeen belang die niet van industriële of commerciële aard zijn én waarvan hetzij de activiteiten in hoofdzaak door de federale staat of één of meer rechtspersonen van publiek recht die ervan afhangen, worden gefinancierd, hetzij het beheer onderworpen is aan toezicht door de federale staat of één of meer rechtspersonen van publiek recht die ervan afhangen, hetzij de leden van het bestuursorgaan, leidinggevend orgaan of toezichthoudend orgaan voor meer dan de helft door de federale staat of één of meer rechtspersonen van publiek recht die ervan afhangen zijn aangewezen (bv. Bpost, NMBS of Skeyes);
• de verenigingen bestaande uit één of meer van de zonet beschreven overheden.

Tussen twee private ondernemingen moet dus in geen enkel geval een protocol worden afgesloten aangezien een protocol slechts verplicht is wanneer de mededeler een federale overheid is. Een mededeling kan echter wel gebeuren aan een private onderneming, dus indien u als private onderneming persoonsgegevens ontvangt van een federale overheid is het mogelijk dat een protocol verplicht is. Hiervoor leest u best nog even verder.

3.  Grond van doorgifte is ofwel wettelijke verplichting ofwel taak in algemeen belang of uitoefening openbaar gezag

Het afsluiten van een protocol is verplicht wanneer de mededeling gebeurt ofwel om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust of noodzakelijk is voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen. Wanneer in zeer uitzonderlijk geval beroep wordt gedaan op een andere rechtsgrond, is het afsluiten van een protocol niet verplicht.

We brengen graag even in herinnering dat een mededeling van persoonsgegevens steeds moet berusten op een rechtsgrond en de zonet beschreven rechtsgronden zijn twee van de zes mogelijkheden. Overheden kunnen zich ook op andere rechtsgronden beroepen, nl. toestemming, uitvoering van een overeenkomst of bescherming van vitale belangen. De rechtsgrond van het gerechtvaardigd belang kan niet worden ingeroepen door een overheid bij de uitoefening van hun opdrachten van openbare dienst.

Daarnaast brengen we ook graag in herinnering dat een overheid enkel persoonsgegevens mag verwerken (en dus meedelen) wanneer deze mededeling noodzakelijk is voor het naleven van een verplichting die door of krachtens een wettelijke bepaling aan die overheid is opgelegd of als deze mededeling noodzakelijk is voor de uitvoering van een taak van algemeen belang die aan de overheid is toegewezen door of krachtens een wet. Een protocol kan nooit de rechtsgrondslag zijn voor de verwerking van persoonsgegevens.

De overgrote meerderheid van de verwerkingen van persoonsgegevens door een overheid, zullen dus berusten op de verwerkingsgrond van de wettelijke verplichting of de uitvoering van een taak in het algemeen belang of het openbaar gezag. Het kan echter niet volledig worden uitgesloten dat zoals reeds gezegd in bepaalde, zeer uitzonderlijke omstandigheden, een mededeling door een federale overheid toch kan berusten op een andere rechtsgrond. Een protocol zal hier echter niet noodzakelijk zijn.

4.  De modaliteiten van de mededeling zijn niet voorzien in een wet- of regelgevende norm

Wanneer een wet of andere regelgevende norm reeds uitdrukkelijk vastlegt aan wie persoonsgegevens worden doorgegeven, welke categorieën van persoonsgegevens worden doorgegeven, wanneer dit zal gebeuren en waarom, dan hoeft voor deze mededeling geen additioneel protocol te worden opgemaakt. Dit omdat de verwerking (en dus de mededeling) al voldoende in een algemene reglementering werd geregeld.

5.  De mededeling gebeurt systematisch of wordt gedaan aan personen of instellingen die niet gerechtigd zijn deze te verkrijgen krachtens een wettelijke opdracht

Een protocol is verplicht wanneer de mededeling systematisch gebeurt of wanneer de mededeling gedaan wordt aan personen/instellingen die niet gerechtigd zijn deze persoonsgegevens te verkrijgen krachtens een wettelijke opdracht. Dit betekent dat indien de mededeling punctueel en niet systematisch is, een protocol niet verplicht is, behalve indien deze gedaan wordt aan personen/instellingen die niet gerechtigd zijn deze persoonsgegevens te verkrijgen krachtens een wettelijke opdracht. Men spreekt van een punctuele mededeling wanneer deze eenmalig is. Elke mededeling die vaker gebeurt dan eenmalig, dient te worden geformaliseerd in een protocol.

Wanneer een mededeling van persoonsgegevens gebeurt aan personen of instellingen die niet gerechtigd zijn deze te verkrijgen krachtens een wettelijke opdracht, is een protocol steeds verplicht, ook al is deze doorgifte eenmalig.

6.  De ontvanger van de mededeling bevindt zich in België en ontvangt de persoonsgegevens in de hoedanigheid van verwerkingsverantwoordelijke

De ontvanger ontvangt de gegevens als verwerkingsverantwoordelijke

Opdat een protocol verplicht is, dient de ontvanger van de persoonsgegevens een verwerkingsverantwoordelijke te zijn. De verwerkingsverantwoordelijke is de partij die de doeleinden en de middelen van de verwerking bepaalt en die verwerkers kan inschakelen die op diens instructie handelen. De verwerkingsverantwoordelijke kan een overheidsinstantie of privé-organisatie zijn, maar dient dus steeds op te treden in de hoedanigheid van verwerkingsverantwoordelijke (en niet als verwerker, want dan is geen protocol vereist).

De verplichting om een overeenkomst af te sluiten wanneer persoonsgegevens worden meegedeeld, blijft echter overeind. Wanneer een federale overheid een verwerker inschakelt, zal hiermee een verwerkersovereenkomst moeten worden afgesloten die voldoet aan de voorwaarden zoals bepaald in de AVG. [1] Ook wanneer twee verwerkingsverantwoordelijken optreden als gezamenlijke verwerkingsverantwoordelijke, dient geen protocol maar een andere overeenkomst (in casu een gezamenlijke verwerkingsovereenkomst) te worden afgesloten.[2]

Bepaalde stromen zijn expliciet uitgesloten van het toepassingsgebied van art. 20 WVG dat de verplichting oplegt om een protocol af te sluiten indien aan de voorwaarden is voldaan. Dit zijn de stromen tussen politiediensten, stromen tussen inlichtingen- en veiligheidsdiensten en stromen naar de sociale zekerheidsinstellingen. Dit omdat mededelingen tussen politiediensten niet worden beschouwd als mededelingen naar een andere ontvanger maar als interne mededelingen, inlichtingen- en veiligheidsdiensten geen “ontvanger” zijn zoals gedefinieerd in de AVG en mededelingen aan sociale zekerheidsinstellingen moeten worden goedgekeurd door het informatieveiligheidscomité. We gaven dit graag even mee, een meer vergaande bespreking echter van deze uitzonderingen zou ons in het kader van deze uiteenzetting te ver leiden. Met vragen kunt u uiteraard steeds bij ons terecht.

De ontvanger bevindt zich in België

Wat de doorgifte naar het buitenland betreft: dergelijke mededeling is niet onderworpen aan de protocolverplichting omdat “het vrije verkeer van persoonsgegevens binnen de Unie niet wordt beperkt of verboden om redenen die verband houden met de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens”.[3] De AVG moet uiteraard wel nog steeds worden nageleefd, dus een ander soort overeenkomst die voldoet aan de vereisten gesteld in de AVG, zal nog steeds noodzakelijk zijn en daarnaast moeten ook de bepalingen van hoofdstuk V van de AVG, die handelen over doorgiften naar landen bij de E.E.R., worden nageleefd.

7.  Conclusie

Indien een federale overheid die optreedt als verwerkingsverantwoordelijke systematisch gegevens wil meedelen aan een andere partij die ook optreedt als verwerkingsverantwoordelijke en zich in België bevindt, is een protocol verplicht.

Voor een eenmalige uitwisseling is een protocol in principe niet verplicht, behalve wanneer de ontvanger een persoon of instelling is die niet gerechtigd is deze te verkrijgen krachtens een wettelijke opdracht.

Er zijn dus vele relaties denkbaar binnen dewelke een protocol verplicht zal zijn indien men persoonsgegevens wil uitwisselen. Op zoek naar meer informatie of hulp bij de opmaak van een protocol? Contacteer ons.

[1] Art. 28 AVG

[2] Aanbeveling 02/2020 van de Gegevensbeschermingsautoriteit betreffende de draagwijdte van de verplichting om een protocol te sluiten om de mededelingen van persoonsgegevens door de federale publieke sector te formaliseren

[3] Art. 1 AVG