11.5.2012   

NL

Publicatieblad van de Europese Unie

C 136/1

1.

Op 29 november 2011 heeft de Commissie haar goedkeuring gehecht aan twee wetgevingsvoorstellen betreffende alternatieve geschillenbeslechting (hierna „de voorstellen”):

2.

Op 6 december 2011 werden het voorstel betreffende alternatieve beslechting van consumentengeschillen (Alternative Dispute Resolution — ADR) en het voorstel betreffende onlinebeslechting van consumentengeschillen (Online Dispute Resolution — ODR) aan de EDPS voorgelegd voor advies. Reeds voor de goedkeuring van de beide voorstellen was de EDPS informeel geraadpleegd en heeft hij hierover informele opmerkingen gemaakt. De EDPS is ingenomen met deze vroegtijdige raadpleging en met het feit dat in de voorstellen rekening is gehouden met het merendeel van de in deze opmerkingen gedane aanbevelingen.

3.

In dit advies wordt een analyse gemaakt van de in het kader van de voorstellen beoogde verwerking van persoonsgegevens en wordt toegelicht welke regelingen inzake gegevensbescherming zij bevatten. In het advies wordt vooral aandacht besteed aan het ODR-voorstel, omdat het voorziet in een gecentraliseerde verwerking van persoonsgegevens met betrekking tot consumentengeschillen via een onlineplatform.

4.

Alternatieve regelingen voor geschillenbeslechting bieden alternatieve oplossingen voor het beslechten van geschillen die veelal minder kosten met zich meebrengen en sneller verlopen dan een rechtszaak. Het ADR-voorstel moet ervoor zorgen dat in alle lidstaten van de EU entiteiten worden opgericht om grensoverschrijdende consumentengeschillen op te lossen die voortvloeien uit de verkoop van goederen of de verrichting van diensten in de EU.

5.

Het ODR-voorstel stoelt op de beschikbaarheid van dergelijke alternatieve regelingen voor de beslechting van consumentengeschillen in de hele EU. Het voorziet in de oprichting van een onlineplatform (hierna „het ODR-platform”) dat consumenten en ondernemers kunnen gebruiken om klachten over grensoverschrijdende onlinetransacties door te geven aan de bevoegde ADR-entiteit.

6.

De EDPS staat achter de doelstelling van de voorstellen en is verheugd dat bij de opstelling ervan van meet af aan rekening is gehouden met de beginselen van de gegevensbescherming.

7.

De EDPS is tevens verheugd dat in het ODR-voorstel (5) op de toepasselijkheid van de gegevensbeschermingswetgeving en in het ADR-voorstel (6) op de toepasselijkheid van de nationale wetgeving tot uitvoering van Richtlijn 95/46/EG wordt gewezen en dat in de voorstellen verwijzingen zijn opgenomen naar de raadpleging van de EDPS (7).

8.

Volgens het ODR-voorstel worden in verband met geschillen die via het ODR-platform worden gemeld gegevens verwerkt door drie soorten actoren:

In artikel 11, lid 4, is bepaald dat elk van deze actoren wordt beschouwd als voor de verwerking verantwoordelijke wat betreft de verwerking van gegevens in het kader van de uitvoering van hun taken.

9.

Vele van deze verantwoordelijken zouden echter belast kunnen zijn met de verwerking van dezelfde persoonsgegevens (9). Zo kunnen bijvoorbeeld gegevens met betrekking tot een bepaald via het ODR-platform gemeld geschil zowel door verschillende betrokken ODR-facilitators als door de bevoegde ADR-entiteit worden onderzocht. Ook kunnen deze gegevens door de Commissie worden verwerkt voor zover dat nodig is voor het functioneren en in stand houden van het ODR-platform.

10.

In dit verband is de EDPS ingenomen met het feit dat in overweging 20 van het ODR-voorstel wordt vermeld dat de gegevensbeschermingswetgeving voor al deze actoren geldt. In het dispositief van het ODR-voorstel dient evenwel op zijn minst te worden aangegeven aan welke verantwoordelijke voor de verwerking van gegevens de betrokkenen een verzoek om toegang tot of rectificatie, afscherming dan wel wissing van hun persoonsgegevens dienen te richten en welke verantwoordelijke in het geval van bepaalde inbreuken op de gegevensbeschermingswetgeving (bijvoorbeeld inbreuken op de beveiliging) ter verantwoording kan worden geroepen. De betrokkenen moeten hiervan tevens op de hoogte worden gebracht.

11.

Overeenkomstig artikel 11 van het ODR-voorstel mogen de via het ODR-platform verwerkte gegevens uitsluitend toegankelijk zijn voor:

12.

De EDPS is verheugd over deze beperking van de doeleinden waarvoor de persoonsgegevens kunnen worden verwerkt en van het recht van toegang tot de verwerkte gegevens. Evenwel is niet duidelijk of alle ODR-facilitators (het voorstel voorziet ten minste in 54) toegang zullen hebben tot persoonsgegevens in verband met elk willekeurig geschil. De EDPS beveelt aan te verduidelijken dat een ODR-facilitator uitsluitend toegang heeft tot de gegevens die nodig zijn om de in artikel 6, lid 2, omschreven taken te vervullen.

13.

Wat betreft de bewaringstermijn is de EDPS ingenomen met de bepaling van artikel 11, lid 3, volgens welke persoonsgegevens niet langer mogen worden bewaard dan nodig is voor de beslechting van het geschil en om te verzekeren dat de betrokkenen hun recht op toegang tot hun persoonsgegevens kunnen uitoefenen. Tevens is hij ingenomen met de verplichting om de gegevens uiterlijk 6 maanden na de datum van beëindiging van het geschil automatisch te wissen.

14.

Gezien de doelstelling van de voorstellen is het mogelijk dat persoonsgegevens met betrekking tot vermeende wetsovertredingen zullen worden verwerkt. Ook zouden gezondheidsgegevens kunnen worden verwerkt in verband met geschillen die voortvloeien uit de verkoop van goederen of de verrichting van diensten op het gebied van gezondheidszorg.

15.

Met betrekking tot de verwerking van gegevens via het ODR-platform kan derhalve een voorafgaande controle door de nationale autoriteiten voor gegevensbescherming en de EDPS noodzakelijk zijn, in overeenstemming met artikel 27 van Verordening (EG) nr. 45/2001 en in artikel 20 van Richtlijn 95/46/EG (11). Het is de EDPS bekend dat de Commissie zich bewust is van de noodzaak om vóór de inbedrijfstelling van het ODR-platform te beoordelen of de gegevensverwerking aan een voorafgaande controle moet worden onderworpen.

16.

De informatie die in het elektronische klachtenformulier (hierna „het formulier”) moet worden verstrekt, wordt in de bijlage bij het ODR-voorstel nader omschreven. Het gaat hierbij onder meer om persoonsgegevens van de partijen (naam, adres en, indien van toepassing, e-mailadres en internetadres) en gegevens die vereist zijn om te kunnen vaststellen welke ADR-entiteit bevoegd is voor de behandeling van de klacht (woonplaats van de consument op het tijdstip van bestelling van de goederen of diensten, het soort goederen of diensten waarop de klacht betrekking heeft, enz.).

17.

De EDPS is verheugd over de tekst van artikel 7, lid 6, die eraan herinnert dat alleen gegevens die nauwkeurig en relevant zijn voor en in een redelijke verhouding staan tot de doeleinden waarvoor zij worden verzameld, mogen worden verwerkt door middel van het elektronisch klachtenformulier en de daaraan gehechte documenten. De in de bijlage opgenomen lijst van gegevens is bovendien in overeenstemming met het doelbindingsbeginsel.

18.

De bedoelde lijst kan echter worden gewijzigd middels gedelegeerde handelingen, terwijl de modaliteiten van het elektronisch klachtenformulier door middel van uitvoeringshandelingen worden vastgesteld (12). De EDPS beveelt aan om in het voorstel te verwijzen naar het feit dat de EDPS moet worden geraadpleegd indien deze handelingen de verwerking van persoonsgegevens betreffen.

19.

De EDPS verwelkomt de bepalingen inzake de vertrouwelijkheid en beveiliging van gegevens. De in artikel 12 van het ODR-voorstel nader omschreven beveiligingsmaatregelen voorzien onder meer in een passende controle op de toegang tot gegevens, een beveiligingsplan en het beheer van beveiligingsincidenten.

20.

De EDPS beveelt aan om daarnaast een verwijzing op te nemen naar de noodzaak om een beoordeling van het effect op de persoonlijke levenssfeer (met inbegrip van een risicobeoordeling) uit te voeren en naar het feit dat de naleving van de gegevensbeschermingswetgeving en de beveiliging van gegevens het voorwerp van periodieke controle en verslaglegging moet zijn.

21.

Voorts wenst de EDPS eraan te herinneren dat bij de ontwikkeling van IT-instrumenten met het oog op de oprichting van het ODR-platform vanaf het eerste ontwerpstadium rekening moet worden gehouden met de bescherming van de privésfeer en persoonsgegevens (ingebouwde privacy), onder meer door instrumenten te integreren met behulp waarvan de gebruikers hun persoonsgegevens beter kunnen beschermen (zoals authenticatie en encryptie).

22.

De EDPS is ingenomen met overweging 21 van het ODR-voorstel, waarin wordt bepaald dat de betrokkenen over de verwerking van hun persoonsgegevens en hun desbetreffende rechten moeten worden geïnformeerd door middel van een openbaar te maken privacyverklaring. Deze verplichting om de betrokkenen te informeren moet echter ook worden opgenomen in het dispositief van het ODR-voorstel.

23.

Daarnaast moet de betrokkenen worden meegedeeld welke verantwoordelijke voor de verwerking van gegevens ervoor zorg draagt dat hun rechten in acht worden genomen. De privacyverklaring moet duidelijk zichtbaar zijn voor degene die het formulier invult.

24.

De EDPS is verheugd dat in de tekst rekening is gehouden met de beginselen van de gegevensbescherming, met name wat betreft de doelbinding en de beperking van de toegang tot persoonsgegevens, de beperking van de bewaringstermijn en de beveiligingsmaatregelen. Hij beveelt evenwel aan:

25.

De EDPS wenst er voorts aan te herinneren dat de verwerking van persoonsgegevens in het kader van het ODR-platform mogelijk moet worden onderworpen aan een voorafgaande controle door de EDPS en de nationale autoriteiten voor gegevensbescherming.