← Terug naar "Omzendbrief nr. 714. - Verwerking van persoonsgegevens. - Herinnering aan het juridische kader en aanbevelingen "
| Omzendbrief nr. 714. - Verwerking van persoonsgegevens. - Herinnering aan het juridische kader en aanbevelingen | Circulaire n° 714. - Traitement des données à caractère personnel. - Rappel du cadre juridique et recommandations |
|---|---|
| FEDERALE OVERHEIDSDIENST BELEID EN ONDERSTEUNING 18 DECEMBER 2023. - Omzendbrief nr. 714. - Verwerking van persoonsgegevens. - Herinnering aan het juridische kader en aanbevelingen Aan de federale overheidsdiensten en de diensten die ervan afhangen, | SERVICE PUBLIC FEDERAL STRATEGIE ET APPUI 18 DECEMBRE 2023. - Circulaire n° 714. - Traitement des données à caractère personnel. - Rappel du cadre juridique et recommandations Aux services publics fédéraux et aux services qui en dépendent, au |
| het Ministerie van Defensie en de rechtspersonen van publiek recht die | Ministère de la Défense, ainsi qu'aux personnes morales de droit |
| behoren tot het federaal administratief openbaar ambt zoals bepaald in | public appartenant à la fonction publique administrative fédérale |
| artikel 1 van de wet van 22 juli 1993 houdende bepaalde maatregelen | telle que définie à l'article 1er de la loi du 22 juillet 1993 portant |
| inzake ambtenarenzaken. | certaines mesures en matière de fonction publique. |
| Geachte collega's, | Chers collègues, |
| Geachte mevrouw, | Madame, |
| Geachte heer, | Monsieur, |
| Deze omzendbrief beoogt het algemene juridische kader inzake | La présente circulaire entend rappeler le cadre juridique général en |
| bescherming van persoonsgegevens in herinnering te brengen en de | matière de protection des données à caractère personnelle, ainsi |
| bijzondere gevallen van publicatie van bestuurshandelingen met | qu'examiner les cas particuliers de la publication d'actes |
| individuele strekking en van verwerking van gegevens over gezondheid | administratifs à portée individuelle et du traitement de données |
| te onderzoeken. | concernant la santé. |
| 1. Algemeen juridisch kader | 1. Cadre juridique général |
| De Algemene Verordening Gegevensbescherming (hierna "AVG"), in werking | Le Règlement Général sur la Protection des Données (ci-après « RGPD |
| getreden op 25 mei 2018, stelt regels vast voor de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens. De AVG definieert persoonsgegevens als alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon. Voorbeelden hiervan zijn: een rijksregisternummer, een naam, een foto, een socialezekerheidsnummer, een nummerplaat, een postadres, een e-mailadres, een telefoonnummer, lokalisatiegegevens, een online identificator (bijvoorbeeld IP-adres), een spraakopname of elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit. De verwerking van persoonsgegevens is gedefinieerd als een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens. De verwerkingsverantwoordelijke is een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking vaststelt. De verwerkingsverantwoordelijke is verantwoordelijk voor de naleving van de volgende beginselen: 1° Rechtmatigheid, eerlijkheid en transparantie: persoonsgegevens moeten worden verwerkt op een wijze die rechtmatig, eerlijk en transparant is ten aanzien van de betrokkene; 2° Doelbinding: persoonsgegevens moeten voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en mogen vervolgens niet verder op een met die doeleinden onverenigbare wijze worden verwerkt; 3° Minimale gegevensverwerking: persoonsgegevens moeten toereikend zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor ze worden verwerkt; 4° Juistheid: persoonsgegevens moeten juist zijn en zo nodig worden geactualiseerd; 5° Beperking van de bewaring: persoonsgegevens moeten worden bewaard in een vorm die het mogelijk maakt de betrokkenen niet langer te identificeren dan noodzakelijk is voor de doeleinden waarvoor ze worden verwerkt; 6° Integriteit en vertrouwelijkheid: persoonsgegevens moeten door het nemen van passende technische of organisatorische maatregelen op een dusdanige manier worden verwerkt dat een passende beveiliging ervan gewaarborgd is, en dat ze onder meer beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging. 2. Bijzonder geval van publicatie van bestuurshandelingen met individuele strekking | »), entré en vigueur le 25 mai 2018, établit des règles relatives à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et des règles relatives à la libre circulation de ces données. Le RGPD définit les données à caractère personnel comme toute information se rapportant à une personne physique identifiée ou identifiable. A titre d'exemples, on peut citer : un numéro de registre national, un nom, une photo, un numéro de sécurité sociale, une plaque d'immatriculation, une adresse postale, une adresse e-mail, un numéro de téléphone, des données de localisation, un identifiant en ligne (adresse IP par exemple), un enregistrement vocal, ou encore les éléments spécifiques à l'identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale. Le traitement de données à caractère personnel est défini comme toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction. Le responsable du traitement est la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement. Le responsable du traitement est responsable du respect des principes suivants : 1° Licéité, loyauté, transparence : les données à caractère personnel doivent être traitées de manière licite, loyale et transparente au regard de la personne concernée ; 2° Limitation des finalités : les données à caractère personnel doivent être collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d'une manière incompatible avec ces finalités ; 3° Minimisation des données : les données à caractère personnel doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées ; 4° Exactitude : les données à caractère personnel doivent être exactes et, si nécessaire, tenues à jour ; 5° Limitation de la conservation : les données à caractère personnel doivent être conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ; 6° Intégrité et confidentialité : les données à caractère personnel doivent être traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite ou contre la perte, la destruction ou les dégâts d'origine accidentelle, à l'aide de mesures techniques ou organisationnelles appropriées. 2. Cas particulier de la publication d'actes administratifs à portée individuelle |
| a. Concrete toepassing De bestuurshandelingen met individuele strekking, zoals benoemings- en bevorderingsbesluiten, besluiten voor aanstelling in een managementfunctie, mobiliteits-, ontslag- en pensioneringsbesluiten enz. bevatten een reeks persoonsgegevens in de zin van de AVG. De publicatie van dergelijke besluiten wordt beschouwd als een verwerking van persoonsgegevens. Het is de tewerkstellende federale dienst die het doel van en de middelen voor deze verwerking vaststelt: hij is derhalve de verwerkingsverantwoordelijke van de persoonsgegevens. Derhalve gelden de beginselen van de AVG voor de tewerkstellende federale dienst, waaronder met name het beginsel van minimale gegevensverwerking. Dat houdt in dat de tewerkstellende federale dienst de publicatie van persoonsgegevens moet beperken tot het strikt noodzakelijke. | a. Application concrète Les actes administratifs à portée individuelle, tels que les arrêtés de nomination, de promotion, de désignation à une fonction de management, de mobilité, de démission, de mise à la retraite, etc. contiennent toute une série de données à caractère personnel au sens du RGPD. La publication de tels arrêtés est considérée comme un traitement de données à caractère personnel. C'est le service fédéral employeur qui détermine les finalités et les moyens de ce traitement : c'est donc lui le responsable du traitement des données à caractère personnel. Dès lors, les principes du RGPD s'imposent au service fédéral employeur, dont notamment le principe de minimisation des données à caractère personnel. Cela implique que le service fédéral employeur doit limiter la publication des données à caractère personnel à ce qui est strictement nécessaire. |
| b. Aanbevelingen | b. Recommandations |
| Benoemings- en bevorderingsbesluiten, besluiten voor aanstelling in | Les arrêtés de nomination, de promotion, de désignation à une fonction |
| een managementfunctie, mobiliteits-, ontslag- en | de management, de mobilité, de démission, de mise à la retraite, etc. |
| pensioneringsbesluiten enz. moeten in uittreksels worden gepubliceerd, | doivent être publiés par extraits, sans faire apparaitre des données à |
| zonder dat er overbodige persoonsgegevens in voorkomen, zoals het | caractère personnel superflues telles que le numéro de registre |
| rijksregisternummer, de redenen voor het ontslag (tuchtmaatregel, | national, les raisons de la démission (sanction disciplinaire, demande |
| verzoek van het personeelslid, enz.), het postadres, het | de l'agent, etc.), l'adresse postale, le numéro de sécurité sociale, |
| socialezekerheidsnummer enz. van de betrokkene. | etc. de la personne concernée. |
| De volgende persoonsgegevens kunnen echter worden opgenomen in de | En revanche, les données à caractère personnel suivantes peuvent être |
| uittreksels van de besluiten met individuele strekking: de voornaam, | reprises dans les extraits d'arrêtés à portée individuelle : le |
| de naam, het niveau, de klasse of de graad, de overheidsdienst, de | prénom, le nom, le niveau, la classe ou le grade, le service public, |
| functietitel en de taalrol. c. Uittrekselmodellen van benoemings-, mobiliteits-, bevorderings- en ontslagbesluiten De federale diensten die bestuurshandelingen met individuele strekking publiceren, kunnen de onderstaande uittrekselmodellen gebruiken, die in overeenstemming zijn met de AVG. Voor een benoemingsbesluit: Bij koninklijk besluit van [dd maand jjjj] wordt [Voornaam NAAM] benoemd tot rijksambtenaar in de klasse A[x] bij de [benaming overheidsdienst] in een betrekking van het Nederlandse/Franse taalkader, met ingang van [dd maand jjjj]. Voor een mobiliteitsbesluit: Bij koninklijk besluit van [dd maand jjjj] wordt [Voornaam NAAM], rijksambtenaar in de klasse A[x] bij de [benaming overheidsdienst], via federale mobiliteit overgeplaatst in een betrekking van de klasse A[x], met de titel van [titel] bij de [benaming overheidsdienst] in een betrekking van het Nederlandse/Franse taalkader, met ingang van [dd maand jjjj]. Voor een besluit voor bevordering door overgang naar een hoger niveau: Bij koninklijk besluit van [dd maand jjjj] wordt [Voornaam NAAM], bevorderd door overgang naar het hogere niveau in de klasse A1, met de titel van [titel], bij [benaming overheidsdienst], in een betrekking van het Nederlandse/Franse taalkader, met ingang van [dd maand jjjj]. Voor een ontslagbesluit: Bij koninklijk besluit van [dd maand jjjj] wordt [Voornaam NAAM], rijksambtenaar bij [benaming overheidsdienst] in de klasse A[x] met de titel van [titel], ontslag uit zijn/haar ambt verleend met ingang van | le titre de la fonction et le rôle linguistique. c. Modèles d'extraits d'arrêtés de nomination, de mobilité, de promotion et de démission Les services fédéraux qui publient des arrêtés à portée individuelle peuvent utiliser les modèles d'extraits ci-dessous, conformes au RGPD. Pour un arrêté de nomination : Par arrêté royal du [jj mois aaaa], [Prénom NOM], est nommé(e) agent de l'Etat dans la classe A[x] au [Dénomination Service public] dans un emploi du cadre linguistique français/néerlandais, à partir du [jj mois aaaa]. Pour un arrêté de mobilité : Par arrêté royal du [jj mois aaaa], [Prénom NOM], agent de l'Etat dans la classe A[x] au [Dénomination service public], est transféré(e), par mobilité fédérale, dans une fonction de la classe A[x] avec le titre d'/de [titre] au [Dénomination service public], dans un emploi du cadre linguistique français/néerlandais, à partir du [jj mois aaaa]. Pour un arrêté de promotion par accession à un niveau supérieur : Par arrêté royal du [jj mois aaaa], [Prénom NOM], est promu(e) au niveau supérieur dans la classe A1, avec le titre de/d'[titre], au [Dénomination service public] dans un emploi du cadre linguistique français/néerlandais, à partir du [jj mois aaaa]. Pour un arrêté de démission : Par arrêté royal du [jj mois aaaa], démission de ses fonctions est accordée à partir du [jj mois aaaa] à [Prénom NOM], agent de l'Etat au [Dénomination service public] dans la classe A[x] avec le titre |
| [dd maand jjjj]. | de/d'[titre]. |
| 3. Bijzonder geval van verwerking van gegevens over gezondheid | 3. Cas particulier du traitement des données concernant la santé |
| a. Specifiek juridisch kader | a. Cadre juridique spécifique |
| De personeelsleden van de federale diensten verwerken mogelijk | Les membres du personnel des services fédéraux sont susceptibles de |
| gegevens over gezondheid. Deze gegevens zijn persoonsgegevens omdat ze | traiter des données concernant la santé, celles-ci constituant des |
| elementen bevatten die eigen zijn aan de fysieke, fysiologische, | données à caractère personnel car elles contiennent des éléments |
| genetische of psychische identiteit van de betrokkene. | propres à l'identité physique, physiologique, génétique ou encore psychique de la personne concernée. |
| De verwerking van gegevens over gezondheid is in principe verboden | Le traitement des données concernant la santé est en principe interdit |
| door artikel 9 van de AVG. | par l'article 9 du RGPD. |
| Er zijn evenwel afwijkingen voorzien, met name wanneer "de verwerking | Toutefois, des dérogations sont prévues, notamment lorsque « le |
| noodzakelijk is met het oog op de uitvoering van verplichtingen en de | traitement est nécessaire aux fins de l'exécution des obligations et |
| uitoefening van specifieke rechten van de verwerkingsverantwoordelijke of de betrokkene op het gebied van het arbeidsrecht en het socialezekerheids- en socialebeschermingsrecht, voor zover zulks is toegestaan bij Unierecht of lidstatelijk recht of bij een collectieve overeenkomst op grond van lidstatelijk recht die passende waarborgen voor de grondrechten en de fundamentele belangen van de betrokkene biedt". De AVG staat de lidstaten toe om bijkomende voorwaarden te handhaven of te invoeren met betrekking tot genetische, biometrische gegevens of gegevens over gezondheid. | de l'exercice des droits propres au responsable du traitement ou à la personne concernée en matière de droit du travail, de la sécurité sociale et de la protection sociale, dans la mesure où ce traitement est autorisé par le droit de l'Union, par le droit d'un Etat membre ou par une convention collective conclue en vertu du droit d'un Etat membre qui prévoit des garanties appropriées pour les droits fondamentaux et les intérêts de la personne concernée ». Le RGPD autorise les Etats membres à maintenir ou introduire des conditions supplémentaires en ce qui concerne les données génétiques, biométriques ou concernant la santé. |
| België heeft van deze mogelijkheid gebruikgemaakt door artikel 9 van | La Belgique a utilisé cette possibilité en adoptant l'article 9 de la |
| de wet van 30 juli 2018 betreffende de bescherming van natuurlijke | loi du 30 juillet 2018 relative à la protection des personnes |
| personen met betrekking tot de verwerking van persoonsgegevens aan te | physiques à l'égard des traitements de données à caractère personnel, |
| nemen, dat bepaalt dat de verwerkingsverantwoordelijke de volgende maatregelen neemt tijdens de verwerking van gegevens over gezondheid: 1° de categorieën van personen die toegang hebben tot persoonsgegevens worden aangewezen door de verwerkingsverantwoordelijke of, in voorkomend geval, door de verwerker, met een nauwkeurige omschrijving van hun functie met betrekking tot de verwerking van de bedoelde gegevens. 2° de lijst van de aldus aangewezen categorieën van personen wordt ter beschikking gehouden van de bevoegde toezichthoudende autoriteit door de verwerkingsverantwoordelijke of, in voorkomend geval, door de verwerker. 3° hij zorgt ervoor dat de aangewezen personen door een wettelijke of statutaire verplichting, of door een evenwaardige contractuele bepaling ertoe gehouden zijn het vertrouwelijke karakter van de bedoelde gegevens in acht te nemen. | qui dispose que, lors du traitement de données concernant la santé, le responsable du traitement prend les mesures suivantes : 1° les catégories de personnes ayant accès aux données à caractère personnel, sont désignées par le responsable du traitement ou, le cas échéant, par le sous-traitant, avec une description précise de leur fonction par rapport au traitement des données visées ; 2° la liste des catégories des personnes ainsi désignées est tenue à la disposition de l'autorité de contrôle compétente par le responsable du traitement ou, le cas échéant, par le sous-traitant ; 3° il veille à ce que les personnes désignées soient tenues, par une obligation légale ou statutaire, ou par une disposition contractuelle équivalente, au respect du caractère confidentiel des données visées. |
| Ter herinnering: artikel 458 van het Strafwetboek bepaalt het volgende: "Geneesheren, heelkundigen, officieren van gezondheid, apothekers, vroedvrouwen en alle andere personen die uit hoofde van hun staat of beroep kennis dragen van geheimen die hun zijn toevertrouwd, en deze bekendmaken buiten het geval dat zij geroepen worden om in rechte (of voor een parlementaire onderzoekscommissie) getuigenis af te leggen en buiten het geval dat de wet, het decreet of de ordonnantie hen verplicht of toelaat die geheimen bekend te maken, worden gestraft met gevangenisstraf van een jaar tot drie jaar en een geldboete van honderd euro tot duizend euro of met een van die straffen alleen.". | Rappelons également que l'article 458 du Code pénal prévoit que « [l]es médecins, chirurgiens, officiers de santé, pharmaciens, sages-femmes et toutes autres personnes dépositaires, par état ou par profession, des secrets qu'on leur confie, qui, hors le cas où ils sont appelés à rendre témoignage en justice ou devant une commission d'enquête parlementaire et celui où la loi, le décret ou l'ordonnance les oblige ou les autorise à faire connaître ces secrets, les auront révélés, seront punis d'un emprisonnement d'un an à trois ans et d'une amende de cent euros à mille euros ou d'une de ces peines seulement. ». |
| Tot slot herinnert omzendbrief nr. 706 betreffende de hernieuwde | Enfin, la circulaire n° 706 concernant l'attention renouvelée pour le |
| aandacht voor het deontologisch kader voor federale ambtenaren aan de | cadre déontologique des fonctionnaires fédéraux rappelle le devoir de |
| noodzakelijke vertrouwelijkheidsplicht voor de federale ambtenaren, | confidentialité qui s'impose aux fonctionnaires fédéraux, qu'ils |
| ongeacht ze stagiair, contractueel of statutair zijn. | soient stagiaires, contractuels ou statutaires. |
| b. Voorbeeld inzake arbeidsongevallen | b. Exemple en matière d'accidents du travail |
| Een humanresourcesmanager die de aangifte van een arbeidsongeval en | Un gestionnaire en ressources humaines qui reçoit la déclaration |
| het bijbehorende medisch attest ontvangt, verwerkt persoonsgegevens | d'accident du travail et le certificat médical y attaché traite des |
| over gezondheid. | |
| De verwerking van dergelijke gegevens is noodzakelijk voor de | données à caractère personnel concernant la santé. |
| uitoefening van de rechten van de betrokkene op het vlak van het | Le traitement de telles données est nécessaire pour l'exercice des |
| arbeidsrecht, de sociale zekerheid en de sociale bescherming. Bovendien staan de wetgeving en de reglementering inzake arbeidsongevallen deze verwerking toe en verschaffen ze een kader hiervoor. Deze verwerking van gegevens over gezondheid is dus in overeenstemming met de AVG voor zover ze eveneens in acht neemt: 1° de drie bijkomende maatregelen voorzien in artikel 9 van de voormelde wet van 30 juli 2018; 2° alle beginselen van de AVG (rechtmatigheid, eerlijkheid, transparantie, doelbinding, minimale gegevensverwerking enz.). De Minister van Ambtenarenzaken, | droits de la personne concernée en matière de droit du travail, de la sécurité sociale et de la protection sociale. De plus, la législation et la réglementation en matière d'accident du travail autorisent et encadrent ce traitement. Ce traitement de données concernant la santé est donc conforme au RGPD, pour autant qu'il respecte également : 1° les trois mesures supplémentaires prévues par l'article 9 de la loi du 30 juillet 2018 précitée ; 2° l'ensemble des principes du RGPD (licéité, loyauté, transparence, limitation des finalités, minimisation des données, etc.). La Ministre de la Fonction publique, |
| P. DE SUTTER | P. DE SUTTER |