Bescherming van persoonsgegevens

Richtlijn 95/46/EG is op Europees niveau de referentietekst op het gebied van de bescherming van persoonsgegevens. De richtlijn voorziet in een regelgevingskader dat tot doel heeft een evenwicht tot stand te brengen tussen een hoog niveau van bescherming van de persoonlijke levenssfeer en het vrij verkeer van persoonsgegevens in de Europese Unie (EU). Daartoe worden in de richtlijn strenge beperkingen gesteld aan het verzamelen en het gebruik van persoonsgegevens en wordt verlangd dat in elke lidstaat een nationaal onafhankelijk orgaan wordt opgericht dat bevoegd is voor de supervisie van alle activiteiten die in verband staan met het verwerken van persoonsgegevens.

BESLUIT

Richtlijn 95/46/EG van het Europese Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens [Zie wijzigingsbesluiten].

SAMENVATTING

Deze richtlijn is van toepassing op gegevens die worden verwerkt met geautomatiseerde middelen (bijvoorbeeld een klantendatabase), en op gegevens die zijn opgenomen of bestemd zijn om te worden opgenomen in een niet geautomatiseerd bestand (traditionele papieren bestanden).

De richtlijn is niet van toepassing op de verwerking van gegevens:

• die door een natuurlijk persoon in activiteiten met uitsluitend persoonlijke of huishoudelijke doeleinden wordt verricht;
• die met het oog op de uitoefening van niet binnen de werkingssfeer van het Gemeenschapsrecht vallende activiteiten geschiedt, zoals de openbare veiligheid, defensie of de veiligheid van de staat.

De richtlijn beoogt de rechten en vrijheden van personen te beschermen bij de verwerking van persoonsgegevens door de belangrijkste criteria vast te stellen voor een rechtmatige verwerking en de kwaliteit van de gegevens.

Gegevensverwerking is alleen rechtmatig in de volgende gevallen:

• de betrokkene heeft ondubbelzinnig toestemming gegeven, of
• verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of
• verwerking is noodzakelijk om een wettelijke verplichting na te komen waaraan de voor de verwerking verantwoordelijke onderworpen is, of
• verwerking is noodzakelijk ter vrijwaring van een vitaal belang van de betrokkene, of
• verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of die deel uitmaakt van de uitoefening van het openbaar gezag die aan de voor de verwerking verantwoordelijke of de derde(n) is opgedragen, of
• verwerking is noodzakelijk voor de behartiging van het gerechtgevaardigde belang van de voor verwerking verantwoordelijke of van de derde(n), mits het belang of de fundamentele rechten en vrijheden van de betrokkene die aanspraak maakt op bescherming niet prevaleren.

De beginselen betreffende de kwaliteit van de gegevens, die moeten worden ingevoerd voor alle rechtmatige activiteiten op het gebied van gegevensverwerking, zijn de volgende:

• persoonsgegevens moeten eerlijk en rechtmatig worden verwerkt en voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verkregen. Zij moeten bovendien toereikend, ter zake dienend, niet-bovenmatig en nauwkeurig zijn en, zo nodig, worden bijgewerkt; ze moeten niet langer dan nodig worden bewaard en slechts voor de doeleinden waarvoor ze zijn verzameld;
• de bijzondere categorieën verwerkingen: moet worden verboden de verwerking van persoonsgegevens waaruit de raciale of etnische afkomst, de politieke opvattingen, de godsdienstige of levensbeschouwelijke overtuiging, of het lidmaatschap van een vakvereniging blijkt, alsook de verwerking van gegevens die de gezondheid of het seksuele leven betreffen. Met betrekking tot deze bepaling wordt op enkele punten voorbehoud gemaakt, bijvoorbeeld wanneer de verwerking noodzakelijk is ter verdediging van de vitale belangen van de betrokkene of voor de doeleinden van preventieve geneeskunde of medische diagnose.

De personen van wie de gegevens worden verwerkt, de betrokkenen, kunnen de volgende rechten uitoefenen:

• hun recht opinformatieverstrekking : de voor de verwerking verantwoordelijke moet aan de betrokkene, bij wie de betrokkene zelf betreffende gegevens worden verkregen, een aantal inlichtingen verstrekken (identiteit van de voor de verwerking verantwoordelijke, doeleinden van de verwerking, ontvangers van de gegevens, enz.);
• hun recht op toegang tot de gegevens: elke betrokkene moet het recht hebben om toegang van de voor de verwerking verantwoordelijke te verkrijgen;
• hun recht van verzet tegen de gegevensverwerking: de betrokkene moet het recht hebben zich om gerechtvaardigde redenen ertegen te verzetten dat hem betreffende gegevens het voorwerp van een verwerking vormen. Hij moet zich tevens kunnen verzetten, op verzoek en kosteloos, tegen de voorgenomen verwerking van gegevens met het oog op direct marketing. Ten slotte moet hij worden ingelicht voordat gegevens aan derden worden verstrekt voor direct marketing en moet hij het recht hebben zich tegen deze verstrekking te verzetten;

Andere relevante aspecten voor dataverwerking:

• de uitzonderingen en beperkingen op de rechten van de betrokkene: de reikwijdte van de beginselen betreffende de kwaliteit van de gegevens, de informatieverstrekking aan de betrokkene, het recht van toegang en de openbaarheid van de verwerkingen kan worden beperkt ter vrijwaring van, onder meer, de veiligheid van de staat, de landsverdediging, de openbare veiligheid, de vervolging van strafbare feiten, een belangrijk economisch en financieel belang van een lidstaat of van de EU, of de bescherming van de betrokkene;
• de vertrouwelijkheid en de beveiliging van de verwerking: eenieder die handelt onder het gezag van de voor de verwerking verantwoordelijke of van de verwerker alsmede de verwerker zelf, die toegang heeft tot persoonsgegevens, mag deze slechts in opdracht van de voor de verwerking verantwoordelijke verwerken. Voorts moet de voor de verwerking verantwoordelijke passende maatregelen ten uitvoer leggen om persoonsgegevens te beveiligen tegen vernietiging, hetzij per ongeluk, hetzij onrechtmatig, tegen verlies, vervalsing, niet-toegelaten verspreiding of toegang;
• de aanmelding van de verwerkingen bij een toezichthoudende autoriteit: de voor de verwerking verantwoordelijke moet bij de nationale toezichthoudende autoriteit aanmelding doen voordat wordt overgegaan tot een verwerking van gegevens. Na ontvangst van de aanmelding worden door de toezichthoudende autoriteit voorafgaande onderzoeken uitgevoerd naar eventuele risico's voor de rechten en vrijheden van de betrokkenen. Er moet worden gezorgd voor de openbaarheid van de verwerkingen en de toezichthoudende autoriteiten moeten een register van de aangemelde verwerkingen bijhouden.

Eenieder moet zich tot de rechter kunnen wenden wanneer de rechten die worden gegarandeerd door het op de betrokken verwerking toepasselijke nationale recht, geschonden worden. Bovendien heeft eenieder die schade heeft geleden ten gevolge van een onrechtmatige verwerking van zijn persoonsgegevens, het recht vergoeding van de geleden schade te verkrijgen.

De doorgifte van persoonsgegevens van een lidstaat naar een derde land dat een passend beschermingsniveau waarborgt, is toegestaan. Hoewel doorgifte wellicht niet plaatsvindt wanneer er geen passend beschermingsniveau wordt gewaarborgd, zijn er een aantal uitzonderingen op deze regel opgenomen in de richtlijn, bijv. de betrokkene geeft zelf toestemming voor de doorgifte, in het geval van het sluiten van een overeenkomst, het is noodzakelijk voor het openbaar gezag, maar ook bindende bedrijfsvoorschriften of modelcontractbepalingen die door de lidstaat zijn goedgekeurd.

De richtlijn beoogt de opstelling van nationale en communautaire gedragscodes aan te moedigen die bestemd zijn om bij te dragen tot de juiste toepassing van de nationale en communautaire bepalingen.

Iedere lidstaat bepaalt dat een of meer onafhankelijke autoriteiten worden belast met het toezicht op de toepassing op zijn grondgebied van de ter uitvoering van deze richtlijn door de lidstaten vastgestelde bepalingen.

Er wordt een Groep voor de bescherming van personen in verband met de verwerking van persoonsgegevens ingesteld die bestaat uit vertegenwoordigers van de nationale toezichthoudende autoriteiten, vertegenwoordigers van de voor de communautaire instellingen en organen opgerichte autoriteiten en een vertegenwoordiger van de Commissie.

GERELATEERDE BESLUITEN

UITVOERINGSVERSLAG

Mededeling van de Commissie aan het Europees Parlement en de Raad van 7 maart 2007 getiteld: „Over de follow-up van het Werkprogramma voor een betere toepassing van de richtlijn gegevensbescherming” [ COM(2007) 87 def.- Niet verschenen in het Publicatieblad].

In deze mededeling werd nagegaan welke werkzaamheden ter uitvoering van het Werkprogramma voor een betere toepassing van de Richtlijn gegevensbescherming uit het Eerste rapport over de toepassing van Richtlijn 95/46/EG zijn verricht. De Commissie wees erop dat de richtlijn beter werd toegepast, daar alle staten deze in nationaal recht hadden omgezet. Zij gaf aan dat de richtlijn niet gewijzigd behoefde te worden.

Bovendien zou zij:

• haar werkzaamheden met de lidstaten voortzetten en zonodig officiële inbreukprocedures inleiden;
• een interpretatieve mededeling voor enkele bepalingen van de richtlijn voorbereiden;
• de tenuitvoerlegging van het werkprogramma voortzetten;
• specifieke wetgeving op EU-niveau voorleggen wanneer zich op een bepaald gebied een belangrijke technologische ontwikkeling voordoet;
• haar samenwerking met externe partners, in het bijzonder de Verenigde Staten, voortzetten

Verslag van de Commissie van 15 mei 2003 getiteld: Eerste verslag over de toepassing van de Richtlijn gegevensbescherming (95/46/EG) [ COM(2003) 265 def. - Niet verschenen in het Publicatieblad].

In het verslag werd met name melding gemaakt van de resultaten van de besprekingen die de Commissie over de beoordeling van Richtlijn 95/46/EG heeft gevoerd met regeringen, instellingen, bedrijfs- en consumentenorganisaties, en de burgers. Uit de resultaten van het overleg bleek dat slechts weinig respondenten hebben gepleit voor herziening van de richtlijn. Bovendien heeft de Commissie na raadpleging van de lidstaten nota genomen van het feit dat de meeste lidstaten en ook de meeste nationale toezichthoudende autoriteiten het in het huidige stadium niet nodig achten de richtlijn te wijzigen.

Ondanks de vertragingen en leemten die bij de tenuitvoerlegging van de richtlijn zijn geconstateerd, heeft deze toch haar hoofddoel bereikt, namelijk de opheffing van belemmeringen voor het vrije verkeer van persoonsgegevens tussen de lidstaten. De Commissie was overigens van oordeel dat het doel dat bestaat in het garanderen van een hoog beschermingsniveau in de Gemeenschap is bereikt, daar de richtlijn enkele van de hoogste normen inzake gegevensbescherming ter wereld bevat.

Andere doelstellingen van het internemarktbeleid zijn evenwel minder goed verwezenlijkt. De verschillen tussen de wetgevingen van de lidstaten op het gebied van gegevensbescherming zijn nog steeds te groot. Deze verschillen verhinderen multinationale organisaties immers een pan-Europees beleid op het gebied van gegevensbescherming te ontwikkelen. De Commissie kondigde dan ook aan dat ze het nodige zou doen om deze situatie te verhelpen, waarbij zo veel mogelijk zal worden vermeden formele maatregelen te nemen.

Met betrekking tot het algemene niveau van naleving van de wetgeving inzake gegevensbescherming in de EU moet worden gewezen op drie problemen:

• rechtshandhaving met te weinig middelen;
• zeer fragmentarische naleving door de voor de verwerking verantwoordelijken;
• een blijkbaar laag niveau van geïnformeerdheid bij de betrokkenen over hun rechten, hetgeen de oorzaak kan zijn van het voorgaande verschijnsel.

Teneinde te zorgen voor een betere toepassing van de Richtlijn gegevensbescherming heeft de Commissie een werkprogramma goedgekeurd dat een aantal acties bevat die zullen plaatsvinden vanaf de goedkeuring van dit verslag tot eind 2004. Deze acties omvatten de volgende initiatieven:

• besprekingen met de lidstaten en de gegevensbeschermingsautoriteiten over de veranderingen die nodig zijn om de nationale wetgeving volledig in overeenstemming te brengen met de voorschriften van de richtlijn;
• deelneming van de kandidaat-lidstaten aan inspanningen om een betere en uniformere toepassing van de richtlijn tot stand te brengen;
• verbetering van de mededeling van alle wetgevingsbesluiten tot omzetting van de richtlijn;
• vereenvoudiging van de voorschriften voor internationale doorgiften;
• bevordering van privacyverbeterende technologieën;
• bevordering van zelfregulering en Europese gedragscodes.

RICHTLIJN BETREFFENDE PRIVACY EN ELEKTRONISCHE COMMUNICATIE

Richtlijn 2002/58/EG van het Europees Parlement en de Raad van 12 juli 2002 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie (richtlijn betreffende privacy en elektronische communicatie) [Publicatieblad L 201 van 31 juli 2002].

Deze richtlijn is in 2002 goedgekeurd tegelijk met een nieuw wetgevingsinstrument betreffende de sector elektronische communicatie. De richtlijn bevat bepalingen over een aantal min of meer gevoelige thema's, zoals het bewaren van verbindingsgegevens door de lidstaten ten behoeve van politiebewaking (opslag van gegevens), de verzending van ongewenste elektronische mededelingen, het gebruik van cookies en de vermelding van persoonsgegevens in openbare abonneelijsten.

In Verordening (EU) nr. 611/2013 staan maatregelen voor het melden van inbreuken in verband met persoonsgegevens door aanbieders van openbare elektronischecommunicatiediensten in het geval de persoonsgegevens van de klant zijn zoekgeraakt, gestolen of er op andere wijze inbreuk heeft plaatsgevonden.

Wanneer een inbreuk in verband met persoonsgegevens plaatsvindt, zijn aanbieders onder Richtlijn 2002/58/EG verplicht de bevoegde nationale autoriteiten op de hoogte te brengen van de inbreuk en ook, in bepaalde gevallen, de getroffen abonnees en andere personen. In Verordening (EU) 611/2013 zijn „technische uitvoeringsmaatregelen” vastgesteld om te verduidelijken hoe aan deze verplichtingen moet worden voldaan.

De aanbieders moeten onder andere:

• binnen 24 uur na ontdekking van de inbreuk de relevante bevoegde autoriteiten op de hoogte stellen van het incident, om de gevolgen zoveel mogelijk te beperken;
• rekening houden met het soort gegevens waarop inbreuk is gemaakt wanneer ze beoordelen of ze abonnees en andere personen op de hoogte moeten stellen, bijv. Als de gegevens betrekking hebben op financiële informatie, e-mailgegevens, internetlogbestanden, webbrowsegeschiedenis enz.;
• de bevoegde autoriteiten en/of relevante abonnees of andere personen voorzien van de details van het incident, het soort gegevens waar het om gaat en de maatregelen die zijn genomen om het probleem op te lossen.

MODELCONTRACTBEPALINGEN VOOR DE DOORGIFTE VAN GEGEVENS NAAR DERDE LANDEN

Beschikking 2004/915/EG van 27 december 2004 tot wijziging van Beschikking 2001/497/EG betreffende de invoering van alternatieve modelcontractbepalingen voor de doorgifte van persoonsgegevens naar derde landen [Publicatieblad L 385 van 29.12.2004].

De Europese Commissie heeft nieuwe modelcontractbepalingen goedgekeurd die de ondernemingen kunnen gebruiken om passende garanties te bieden bij de doorgifte van persoonsgegevens vanuit de EU naar derde landen. Deze nieuwe bepalingen zullen worden toegevoegd aan die welke reeds bestaan in het kader van de beschikking van de Commissie van juni 2001 (zie hierna).

Beschikking 2001/497/EG van de Commissie van 15 juni 2001 betreffende modelcontractbepalingen voor de doorgifte van persoonsgegevens naar derde landen krachtens Richtlijn 95/46/EG [Publicatieblad L 181 van 4.7.2001].

Bij deze beschikking worden de modelcontractbepalingen vastgesteld waarmee een passend beschermingsniveau wordt gewaarborgd voor persoonsgegevens die vanuit de EU aan derde landen worden doorgegeven. De beschikking verplicht de lidstaten te erkennen dat ondernemingen of organisaties die dergelijke modelbepalingen gebruiken in contracten betreffende de doorgifte van persoonsgegevens aan derde landen, een „passend beschermingsniveau” voor de gegevens waarborgen.

Besluit 2010/87/EU van de Commissie betreffende modelcontractbepalingen voor de doorgifte van persoonsgegevens aan in derde landen gevestigde verwerkers krachtens Richtlijn 95/46/EG van het Europees Parlement en de Raad (Publicatieblad L 39 van 12.2.2010)

Besluiten waarin de Commissie getuigt dat het beschermingsniveau van persoonsgegevens van derde landen voldoende is op basis van art. 25, lid 6: de Commissie heeft tot nu erkend dat de volgende landen/organisaties voldoende bescherming bieden: Andorra, Argentinië, Australië, Canada (commerciële organisaties), Zwitserland, Faeröer, Guernsey, Israël, Isle of Man, Jersey, Nieuw-Zeeland, Uruguay en de Safe Harbour Privacy Principles van het Amerikaanse ministerie van Economische Zaken.

BESCHERMING VAN GEGEVENS DOOR DE COMMUNAUTAIRE INSTELLINGEN EN ORGANEN

Verordening 45/2001/EG van het Europees Parlement en de Raad van 18 december 2000 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de communautaire instellingen en organen en betreffende het vrije verkeer van die gegevens [Publicatieblad L 8 van 12.1.2001].

Deze verordening heeft tot doel de bescherming van persoonsgegevens in het kader van de instellingen en organen van de Europese Unie te waarborgen. De tekst voorziet in:

• bepalingen die een hoog beschermingsniveau waarborgen voor persoonsgegevens die door de communautaire instellingen en organen worden verwerkt;
• de instelling van een onafhankelijke toezichthoudende autoriteit die toezicht moet houden op de toepassing van deze bepalingen.

Laatste bijwerking 08.03.2014