31.7.2012

NL

Publicatieblad van de Europese Unie

C 229/90

---

Advies van het Europees Economisch en Sociaal Comité over het voorstel voor een verordening van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (algemene verordening gegevensbescherming)

(COM(2012) 11 final — 2012/011 (COD))

2012/C 229/17

Algemeen rapporteur: de heer PEGADO LIZ

Het Europees Parlement en de Raad hebben op resp. 16 februari en 1 maart 2012 besloten het Europees Economisch en Sociaal Comité overeenkomstig artikel 304 van het VWEU te raadplegen over het

„Voorstel voor een verordening van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (algemene verordening gegevensbescherming”

COM(2012) 11 final — 2012/011 (COD).

De afdeling Werkgelegenheid, Sociale Zaken en Burgerschap werd op 21 februari 2012 door het bureau van het Comité met de voorbereidende werkzaamheden belast.

Het Europees Economisch en Sociaal Comité heeft gegeven de urgentie van de werkzaamheden tijdens zijn op 23 en 24 mei 2012 gehouden 481e zitting (vergadering van 23 mei 2012) de heer PEGADO LIZ als algemeen rapporteur aangewezen en onderstaand advies met 165 stemmen vóór en 34 tegen, bij 12 onthoudingen, goedgekeurd.

1.   Conclusies en aanbevelingen

1.1

Het Comité kan zich vinden in het door de Commissie ingeslagen pad, is het eens met de voorgestelde machtigingsgrondslag en is het op hoofdlijnen eens met de doelstellingen van het voorstel, die nauw aansluiten bij een eerder EESC-advies. Verder vindt het Comité dat verwerking en overdracht van gegevens op de interne markt moeten worden beperkt door het recht op bescherming van persoonsgegevens van artikel 8 van het Handvest van grondrechten en artikel 16, lid 2, van het VWEU.

1.2

Er is gekozen voor een verordening omdat die het beste rechtsinstrument zou zijn om de nagestreefde doelstellingen te verwezenlijken. Het Comité is hierover echter verdeeld en verzoekt de Commissie om beter te motiveren waarom dit instrument de voorkeur boven een richtlijn verdient of zelfs noodzakelijk zou zijn.

1.3	Ook betreurt het Comité dat de Commissie teveel uitzonderingen en beperkingen voorstelt ten aanzien van de vaststaande beginselen voor de bescherming van persoonsgegevens.

1.4

Het Comité is het met de Commissie eens dat in de context van de nieuwe digitale economie „individuele personen recht (hebben) op effectieve controle over hun persoonlijke gegevens”. Het Comité wenst ook dat dit recht zich uitstrekt tot de verschillende aanwendingen waarvoor individuele profielen worden opgesteld op basis van gegevens die met talloze (legale en soms illegale) middelen zijn verzameld en/of op verwerking van die gegevens zijn gebaseerd.

1.5	Aangaande grondrechten moet de harmonisatie op specifieke gebieden de lidstaten echter de vrijheid laten tot uitvaardiging van nieuwe regels of regels die gunstiger zijn dan die van het voorstel.

1.6	Ook heeft het Comité problemen met het nagenoeg systematisch beroep dat wordt gedaan op gedelegeerde handelingen die niet expliciet binnen de reikwijdte van artikel 290 van het VWEU vallen.

1.7

Daarentegen steunt het het streven naar een efficiënt institutioneel kader om ervoor te zorgen dat de voorschriften daadwerkelijk functioneren, en zulks zowel binnen bedrijven (de functionarissen voor gegevensbescherming) en bij overheidsinstanties van de lidstaten (de onafhankelijke toezichthoudende autoriteiten). Maar toch had het Comité graag gezien dat de Commissie een aanpak had gekozen die meer aansluit bij de werkelijke behoeften en verwachtingen van de burgers en meer systematiek vertoont in verband met de aard van bepaalde sectoren van economische en sociale activiteit.

1.8

Het voorstel kan op een groot aantal punten worden verbeterd en verfijnd, en het Comité geeft in dit advies nauwkeurige voorbeelden van artikelen waarin rechten beter kunnen worden gedefinieerd, de bescherming van de burgers in het algemeen en die van werknemers in het bijzonder kan worden opgevoerd, toestemming en rechtmatigheid van de verwerking beter kunnen worden omschreven, en vooral de functies van de gegevensbeschermingsfunctionarissen en bepalingen betreffende de verwerking van gegevens in arbeidsverhoudingen accurater kunnen worden geformuleerd.

1.9	Ook moeten er elementen aan het voorstel worden toegevoegd zoals vooral uitbreiding van het werkingsgebied, verwerking van gevoelige gegevens of groepsacties.

1.10

Verder dient de verordening expliciet van toepassing te zijn op zoekmachines die hun inkomsten goeddeels genereren uit gerichte reclame die mogelijk wordt gemaakt door de verzameling van de persoonsgegevens van hun bezoekers of zelfs van hun profielen. Hetzelfde geldt voor zoekmachines die opslagruimte aanbieden en soms ook software om gebruikersgegevens voor commerciële doeleinden te verzamelen („cloud computing”).

1.11

Hetzelfde geldt voor ook persoonlijke informatie die op sociale netwerken wordt gepubliceerd. Betrokkene zou op basis van het recht om te worden vergeten die informatie moeten kunnen wijzigen of laten wissen dan wel moeten kunnen vragen om verwijdering van zijn blog of van verwijzingen naar andere sites waar die informatie zeer vaak wordt gereproduceerd of becommentarieerd. Artikel 9 zou daartoe gewijzigd moeten worden.

1.12

Ten slotte verzoekt het Comité de Commissie om een aantal elementen, die het onaanvaardbaar acht, te heroverwegen. Het gaat daarbij om gevoelige zaken als de bescherming van kinderen, het recht van bezwaar, profilering, beperking van rechten, de drempel van 250 werknemers om een functionaris voor gegevensbescherming aan te wijzen en de wijze waarop het „éénloketsysteem” zou worden geregeld.

2.   Inleiding

2.1	Het Comité is onlangs geraadpleegd over het „Voorstel voor een verordening betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (algemene verordening gegevensbescherming)” (1).

2.2

Dit voorstel maakt deel uit van een „pakket” dat omvat: een inleidende mededeling (2), een voorstel voor een richtlijn (3) en een „Verslag van de Commissie aan het Europees Parlement, de Raad, het Europees Economisch en Sociaal Comité en het Comité van de Regio's op grond van artikel 29, lid 2, van het kaderbesluit van de Raad van 27 november 2008” (4). Het Comité is slechts over de ontwerpverordening geraadpleegd, terwijl dat ook met de ontwerprichtlijn het geval had moeten zijn.

2.3	Onderhavig voorstel (COM(2012) 11 final dus) bevindt zich op het snijpunt van twee van de belangrijkste juridische en economische beleidslijnen van de Unie.

2.3.1

Enerzijds is in artikel 8 van het Handvest van de grondrechten van de EU en in artikel 16, lid 1, van het VWEU voorgeschreven dat de bescherming van persoonsgegevens een grondrecht is, dat als zodanig uiteraard moet worden gewaarborgd. Deze bepalingen vormen dan ook het fundament van de Commissiemededelingen betreffende het programma van Stockholm en bijbehorend actieplan (5).

2.3.2

Anderzijds bestaat er de digitale strategie voor Europa, en die vraagt om versterking van de „internemarktdimensie” op het gebied van gegevensbescherming en vermindering van de administratieve lasten voor het bedrijfsleven.

2.4

De Commissie wil de beginselen van de geconsolideerde Richtlijn 95/46/EG betreffende de bescherming van persoonsgegevens actualiseren om de privacyrechten van personen in de digitale samenleving met alle netwerken van dien te garanderen. Zij streeft daarmee naar versterking van de rechten van de burgers, een solidere interne markt, een hoog niveau van gegevensbescherming op alle gebieden (inclusief gerechtelijke samenwerking op strafrechtelijk gebied), correcte tenuitvoerlegging van de desbetreffende regels, vergemakkelijking van grensoverschrijdende gegevensverwerking en universele beschermingsnormen.

3.   Algemene opmerkingen

3.1

Het Comité is het met de Commissie eens dat in de context van de nieuwe digitale economie „individuele personen recht (hebben) op effectieve controle over hun persoonlijke gegevens”. Het Comité wenst ook dat dit recht zich uitstrekt tot de verschillende aanwendingen waarvoor individuele profielen worden opgesteld op basis van gegevens die met talloze (legale en soms illegale) middelen zijn verzameld en/of op basis van de verwerking van die gegevens. Voorts is het Comité van mening dat verwerking en overdracht van gegevens op de interne markt onderworpen moeten zijn aan de beperkingen die uit het beschermingsrecht van artikel 8 van het Handvest van de grondrechten voortvloeien. Het gaat hier om een grondrecht dat in het institutionele recht van de Unie en in de rechtstelsels van de meeste lidstaten verankerd is.

3.2

Iedere burger of ingezetene van de Unie geniet qualitate qua de in het Handvest en de Verdragen neergelegde grondrechten. Die rechten zijn ook, en soms zelfs op constitutioneel niveau, in het recht van de lidstaten erkend. Andere rechten, zoals het beeldrecht of het recht op bescherming van het privéleven, vullen het recht op bescherming van gegevens over het individu aan en versterken dat recht. Het moet mogelijk zijn die rechten te doen respecteren door een internet site te vragen een persoonlijk profiel of een bestand te wijzigen of van de server te halen en, in geval van weigering, een rechterlijk bevelschrift te verkrijgen.

3.3

Het aanhouden van individuele gegevensbestanden is onontbeerlijk voor de overheid (6), personeelsbeheer door bedrijven, commerciële dienstverleners, (vak)verenigingen, politieke partijen, sociale sites en zoekmachines op internet. Maar ter wille van de bescherming van de persoonlijke levenssfeer van de legaal in de bestanden geregistreerde personen mogen die bestanden, die verschillende doeleinden hebben, slechts gegevens bevatten die essentieel voor hun respectieve doeleinden zijn en mogen zij niet zonder reden en rechtsbescherming via ICT worden gekoppeld. Het bestaan van een autoriteit die ongelimiteerd toegang zou hebben tot alle gegevens zou een risico voor de openbare vrijheden en privacy belichamen.

3.4	Gaat het om door privaatrechtelijke personen aangehouden bestanden voor marktonderzoek of bestanden van sociale sites, dan moeten de geregistreerden een recht hebben op toegang tot, correctie en zelfs wissing van hun bestand.

3.5

Wat met de wettelijke verplichtingen strokende en door publieke of particuliere administraties aangehouden bestanden betreft, dienen de erin opgenomen personen een toegangsrecht te hebben, alsook een recht op correctie in geval van vergissingen en zelfs op schrapping als de opname van de persoon in het bestand nutteloos is geworden (bijv.in een strafblad opgenomen amnestie of beëindiging van een arbeidsovereenkomst na de wettelijke bewaringstermijn).

3.6

Het algemene uitgangspunt van de Commissie verdient bijval: de doelstellingen van de geconsolideerde Richtlijn 95/46/CE staan nog altijd recht overeind, maar na 17 jaar moet de regeling toch grondig worden bijgesteld vanwege de technologische en maatschappelijke veranderingen die de digitalisering heeft meegebracht. Zo kent de richtlijn geen regeling voor een aantal aspecten van grensoverschrijdende informatie- en gegevensuitwisseling tussen administraties die in het kader van de politiële en gerechtelijke samenwerking belast zijn met de bestrijding van strafbare feiten en de tenuitvoerlegging van vonnissen. Deze kwestie wordt in het pakket „gegevensbescherming” van de ontwerprichtlijn behandeld, waarover het Comité niet is geraadpleegd.

3.7

Het Comité gaat dan in principe ook akkoord met vooral de volgende doelstellingen, die de bescherming van grondrechten dienen en nauw aansluiten bij het advies van het Comité ter zake van vooral (7): — uniforme regels voor een zo hoog mogelijk niveau van gegevensbescherming in de gehele Unie; — expliciete herbevestiging van het vrije verkeer van persoonsgegevens binnen de Unie; — afschaffing van verscheidene nutteloze administratieve verplichtingen (dat zou volgens de Commissie het bedrijfsleven jaarlijks ongeveer 2,3 miljard euro aan besparingen opleveren); — de verplichting voor bedrijven en andere organisaties om zo spoedig mogelijk (liefst binnen 24 uur) zware inbreuken betreffende persoonsgegevens bij de nationale toezichthoudende autoriteit aan te melden; — de mogelijkheid voor de burgers om zich tot die autoriteit te wenden en zulks zelfs wanneer hun gegevens door een in een derde land gevestigde onderneming worden verwerkt; — vergemakkelijking van de toegang van personen tot hun eigen gegevens, zoals in het kader van overdracht van persoonsgegevens tussen dienstverleners (recht op gegevensoverdraagbaarheid); — een „recht om te worden vergeten”, zodat de burgers kunnen rekenen op een beter beheer van de risico's aangaande de bescherming van online opgeslagen gegevens. Daarbij kunnen zij ook vragen om gegevens te laten wissen wanneer geen enkel legitieme reden opslag nog rechtvaardigt; — versterking van de rol van de onafhankelijke nationale gegevensbeschermingsautoriteiten zodat zij de EU-regelingen beter in hun lidstaat kunnen toepassen en doen naleven. Vooral zouden zij daarbij bedrijven die de regels schenden boetes kunnen opleggen die 1 miljoen euro of 2 % van de wereldwijde jaaromzet kunnen bedragen; — technologische neutraliteit en gelding daarvan voor alle soorten gegevensverwerking (geautomatiseerd dan wel met de hand); — verplichte effectbeoordelingen op het gebied van gegevensbescherming.

3.8

Het Comité kan zich vinden in de nadruk die op de bescherming van de grondrechten wordt gelegd en gaat volledig akkoord met de gekozen rechtsgrondslag die voor het eerst in de wetgeving wordt gebruikt. Ook vestigt het de aandacht op het grote belang van dit voorstel voor de voltooiing van de interne markt en de positieve impact op de Strategie 2020. Wat betreft de keuze voor een verordening is een deel van de leden van het Comité, ongeacht hun lidmaatschap van een bepaalde groep, het met de Commissie eens dat die het beste rechtsinstrument is om te zorgen voor uniforme toepassing en hetzelfde hoge niveau van gegevensbescherming in alle lidstaten. Een ander deel van de leden is van mening dat een richtlijn meer garanties biedt voor de naleving van het subsidiariteitsbeginsel en de bescherming van gegevens, en dat vooral in de lidstaten die reeds een hoger beschermingsniveau kennen dan door de Commissie wordt voorgesteld. Verder is het Comité zich ervan bewust dat ook de lidstaten verdeeld zijn over deze kwestie. De Commissie wordt dan ook verzocht om haar voorstel beter te motiveren door uitdrukkelijker aan te geven dat het met het subsidiariteitsbeginsel strookt en de redenen aan te duiden waarom een verordening noodzakelijk is om de nagestreefde doelstellingen te verwezenlijken.

3.8.1

Een verordening werkt direct, d.w.z. omzetting is niet vereist, en is integraal van toepassing in alle lidstaten en daarom wordt de aandacht van de Commissie erop gevestigd dat alle taalversies overeen moeten stemmen, hetgeen niet het geval is met het voorstel.

3.9

Bepaalde rechten worden door talloze uitzonderingen en beperkingen in wezen uitgehold en verdienen meer bescherming in het voorstel. Verder had de Commissie meer evenwicht moeten aanbrengen tussen de onderscheidenlijke belangen. Het risico bestaat namelijk dat er meer gewicht aan de internemarktdoelstellingen wordt toegekend en zulks ten koste van de doelstellingen van het grondrecht gegevensbescherming. Het Comité steunt in dit verband het advies van de Europese toezichthouder gegevensbescherming (8) op hoofdlijnen.

3.10

Ook had het Comité graag gezien dat de Commissie nauwere aansluiting had gezocht bij de behoeften en verlangens van de burgers en meer systematisch te werk was gegaan in het licht van de aard van een aantal soorten economische en sociale activiteiten en actoren zoals online handel, direct marketing, arbeidsverhoudingen, overheidsinstanties, toezicht en veiligheid, gegevensbeschermingsautoriteit, etc., en daarbij regelingen in het licht van de onderling zeer uiteenlopende aspecten van gegevensverwerking uit elkaar had gehouden.

3.11

In artikel 86 van het voorstel wordt een hele serie zeer belangrijke juridische en functioneringsaspecten overgelaten aan toekomstige gedelegeerde en uitvoeringshandelingen (26 in totaal en voor een onbepaalde duur). Dit gaat veel verder dan de limieten van artikel 290 van het VWEU (9) en de Commissiemededeling over de tenuitvoerlegging van dat artikel, en dat drukt op de veiligheid en rechtszekerheid van de regeling. Een aantal bevoegdheidsoverdrachten zou direct door de Europese wetgever moeten worden geregeld. Andere bevoegdheden kunnen bij de nationale toezichthouders of hun coördinatiestructuur op Europees niveau rusten (10). Dit zou de naleving van het subsidiariteitsbeginsel versterken en tot meer rechtszekerheid bijdragen.

3.12

Ten slotte begrijpt het Comité dat de Commissie zich in onderhavig voorstel beperkt tot de rechten van natuurlijke personen, die vormen namelijk een specifieke materie. Toch zou het graag zien dat zij ook aandacht gaat schenken aan de gegevens van individuele of collectieve juridische organisatievormen, en wel met name van die met rechtspersoonlijkheid.

4.   Bijzondere opmerkingen

De positieve punten

4.1   Het voorstel strookt met het onderwerp en de doelstellingen van Richtlijn 95/46/EG. Dat geldt met name voor een aantal definities, de kern van de beginselen voor de kwaliteit van de gegevens en de rechtmatigheid van de verwerking, verwerking van bepaalde specifieke soorten gegevens en een aantal rechten in verband met informatie over en toegang tot gegevens.

4.2   Verder komt de Commissie met goede innovatieve voorstellen aangaande fundamentele aspecten van nieuwe definities, nauwkeuriger geformuleerde toestemmingsvoorwaarden betreffende vooral kinderen, en de indeling van de nieuwe rechten zoals inzake rectificatie en wissen van gegevens, (vooral) het recht om te worden vergeten, het recht van bezwaar en profilering, en de zeer gedetailleerde verplichtingen voor de voor de verwerking verantwoordelijken en verwerkers, de veiligheid van de gegevens en het algemeen sanctiekader (voornamelijk administratief).

4.3   Voorts is het Comité ingenomen met het streven, een efficiënt institutioneel kader te creëren om doeltreffende tenuitvoerlegging van de regelingen te garanderen, en dat zowel binnen bedrijven (de functionarissen voor gegevensbescherming) als bij overheden (de onafhankelijke toezichthoudende autoriteiten). Bijval verdient ook de opvoering van de samenwerking tussen die autoriteiten en de Commissie (oprichting van een Europees comité voor gegevensbescherming). Wel wijst het Comité erop dat de bevoegdheden van de nationale en deels ook regionale toezichthouders in de lidstaten onaangetast dienen te blijven.

4.4   Ten slotte is het goed dat het opstellen van gedragscodes, certificering en het gebruik van gegevensbeschermingszegels en –merktekens worden gestimuleerd.

Wat beter kan

4.5   Artikel 3 – Geografisch toepassingsgebied

4.5.1   De toepassingsvoorwaarden van lid 2 zijn te beperkt. Daarbij valt te denken aan een in een derde land gevestigd pharmaceutisch bedrijf dat omwille van klinische testen toegang wil hebben tot de relevante gegevens van personen die in de Unie wonen.

4.6   Artikel 4 – Definities

4.6.1   „Toestemming”, de ultieme grondslag voor gegevensbescherming, moet nauwkeuriger worden gedefinieerd en dat geldt vooral voor de „ondubbelzinnige actieve handeling” (met name in de Franse versie).

4.6.2   „Overdracht van gegevens” wordt nergens gedefinieerd en dat moet in artikel 4 gebeuren.

4.6.3   Het woord „eerlijk” (artikel 5, onder a) moet worden gedefinieerd.

4.6.4   De notie „gegevens die duidelijk (…) openbaar zijn gemaakt” (artikel 9, lid 2, onder e) moet ook worden gedefinieerd. Gegevens die een persoon op een gegeven moment in alle vrijheid verstrekt, moeten onderworpen zijn aan het recht om te worden vergeten. Voorts moet worden aangegeven dat sociale netwerken ook onder deze voorschriften vallen, d.w.z. niet alleen wanneer zij zich openstellen voor profilering voor commerciële doeleinden.

4.6.5   Het in het gehele voorstel gebruikte woord „profilering” moet worden gedefinieerd.

4.7   Artikel 6 – Rechtmatigheid van de verwerking

4.7.1   De notie „voor de behartiging van de gerechtvaardigde belangen van de voor de verwerking verantwoordelijke” (lid 1, onder f)) zou niet door alle voorgaande alinea's worden bestreken en lijkt vaag en subjectief. Die notie moet in het voorstel worden gepreciseerd en niet worden overgelaten aan een gedelegeerde handeling (lid 5) en zulks temeer omdat alinea f) daar niet nader wordt uitgelegd (dit is belangrijk voor bijv. postdiensten en direct marketing (11)).

4.8   Artikel 7 – Toestemming

In lid 3 moet duidelijk worden aangegeven dat intrekking van toestemming iedere toekomstige verwerking belet en de rechtmatigheid van de verwerking pas vanaf het moment van intrekking teniet doet.

4.9   Artikel 14 – Informatieverstrekking

4.9.1   In lid 4, onder b), moet een maximumtermijn worden opgenomen.

4.10   Artikel 31 – Melding van een inbreuk aan de toezichthoudende autoriteit

4.10.1   Die melding vormt hoe dan ook een risico voor het functioneren van het systeem en uiteindelijk een belemmering voor het daadwerkelijk aansprakelijk stellen van overtreders.

4.11   Artikel 35 – Functionaris voor gegevensbescherming

4.11.1   De randvoorwaarden voor die functie moeten nauwkeuriger worden omschreven. Daarbij valt met name te denken aan ontslagbescherming en vooral na de periode wanneer betrokkene zijn functie heeft neergelegd, aan de aan duidelijke eisen verbonden basisvoorwaarden voor de uitoefening van die functie, aan de ontheffing van verantwoordelijkheid van de functionaris wanneer hij onregelmatigheden bij de werkgever of de nationale autoriteiten voor gegevensbescherming heeft gemeld, aan directe deelname van de personeelsvertegenwoordigers aan de aanwijzing van de functionaris en aan het recht van die vertegenwoordigers op regelmatige informatie over de vastgestelde problemen en de oplossing ervan (12). Ook moet worden aangegeven over welke middelen de functionaris beschikt.

4.12   Artikel 39 – Certificering

4.12.1   Certificering moet tot de taken van de Commissie behoren.

4.13   Artikelen 82 en 33 – Verwerking van gegevens in het kader van de arbeidsverhouding

4.13.1   In artikel 82 (evenals in artikel 20 – „profilering”) wordt de evaluatie van de voorschriften niet expliciet genoemd. Ook is niet aangegeven of de voorschriften ook op voornoemde functionaris van toepassing kunnen zijn. Verder zou het verbod van „profilering” in het kader van arbeidsverhoudingen ook worden uitgewerkt met betrekking tot de privacyeffectbeoordeling (artikel 33).

4.14   Artikelen 81, 82, 83 en 84

4.14.1   De passage „Binnen de grenzen van deze verordening …” zou moeten worden vervangen door „Op basis van deze verordening …”.

Wat ontbreekt

4.15   Toepassingsgebied

4.15.1   Aangaande grondrechten moet de harmonisatie op specifieke gebieden de lidstaten de vrijheid laten tot uitvaardiging van nieuwe regels of regels die gunstiger zijn dan die van het voorstel, zoals overigens reeds is voorzien in de artikelen 80-85.

4.15.2   IP-adressen moeten in de verordening zelf, bij de te beschermen persoonsgegevens, worden geregeld, en niet uitsluitend in de inleidende overwegingen.

4.15.3   Hetzelfde geldt voor zoekmachines, die hun opbrengsten meestal uit reclame halen en commercieel gebruikmaken van hun gebruikersgegevens.

4.15.4   Ook moet worden aangegeven dat sociale netwerken binnen de reikwijdte van de verordening vallen, en zulks niet alleen wanneer zij gebruikt worden voor profilering voor commerciële doeleinden.

4.15.5   Hetzelfde geldt ook voor bepaalde controle- en filtermechanismen op internet die bedoeld zouden zijn om namaak te bestrijden, maar die, zonder specifieke gerechtelijke toestemming, bepaalde gebruikers oormerken en al hun activiteiten controleren.

4.15.6   Voorts is het wenselijk dat alle instellingen en organen van de EU aan de verplichtingen van de verordening worden onderworpen.

4.16   Artikel 9 – Bijzondere categorieën persoonsgegevens

4.16.1   Hier is het het beste om speciale regelingen te maken in het licht van omstandigheden, situaties en doelstellingen van verwerking. Ook moet er in dit verband een verbod op „profilering” komen.

4.16.2   Verder dient het non-discriminatiebeginsel van toepassing te zijn op verwerking van gevoelige gegevens voor statistische doeleinden.

4.17   Op de volgende gebieden bestaan er (onbenutte) mogelijkheden:

—	deelname van de personeelsvertegenwoordigers, op alle niveaus binnen de lidstaten en op Europees niveau, aan het opstellen van „bindende bedrijfsvoorschriften”, waarvan de goedkeuring voortaan als voorwaarde zou gaan gelden voor internationale doorgifte van gegevens (artikel 43);

—	informatieverschaffing aan en raadpleging van de Europese ondernemingsraad over internationale doorgifte, met name aan derde landen, van gegevens over werknemers;

—	informatieverschaffing aan en deelname van de Europese sociale partners en de Europese NGO'S voor de bescherming van de consumenten en de rechten van de mens aan de aanwijzing van de leden van het „Europees comité voor gegevensbescherming”, dat de werkgroep „Artikel 29” moet vervangen;

—	informatieverschaffing aan en deelname van de nationale sociale partners en de nationale NGO'S voor de bescherming van de consumenten en de rechten van de mens aan de aanwijzing van de leden van de nationale autoriteiten voor gegevensbescherming (ook daarin is niet voorzien).

4.18   Artikelen 74 – 77 – Groepsacties betreffende onrechtmatige bestanden en schadevergoeding

4.18.1   De meeste schendingen van de rechten inzake gegevensbescherming zijn collectief van aard: het gaat niet om één persoon maar om een groep of het geheel van in een bestand opgenomen personen. De traditionele individuele beroepsprocedures zijn ontoereikend om dit soort schendingen aan te vechten. Krachtens artikel 76 hebben alle organen, organisaties of verenigingen die zich met de gegevensbeschermingsrechten in kwestie bezighouden het recht om namens één of meer betrokkenen de procedures van de artikelen 74 en 75 in te leiden. Maar dat geldt niet voor herstel of schadevergoeding want die kunnen luidens artikel 77 slechts door een individu worden gevorderd en daarmee is de deur gesloten voor een procedure waarin de organen, organisaties of verenigingen een collectief vertegenwoordigen of een groepsactie instellen.

4.18.2   Daarom herinnert het Comité eraan dat het er al jarenlang in verschillende adviezen op hamert dat het dringend noodzakelijk is dat de Unie een geharmoniseerde rechterlijke procedure voor groepsacties invoert. Die is op veel rechtsgebieden van de Unie nodig en bestaat overigens al in verscheidene lidstaten.

Wat onaanvaardbaar is

4.19   Artikel 8 – Kinderen

4.19.1   In artikel 4, onder 18), wordt een „kind” overeenkomstig de Conventie van New York gedefinieerd als iedere persoon jonger dan 18 jaar. Daarom is het onaanvaardbaar dat artikel 8, lid 1, een kind van 13 jaar de mogelijkheid biedt om „toestemming te geven” voor verwerking van zijn gegevens.

4.19.2   Voorts begrijpt het Comité dat er specifieke regels moeten komen voor mkb's, maar het is onaanvaardbaar dat de Commissie bij gedelegeerde handeling die bedrijven simpelweg kan vrijstellen van de verplichting om de rechten van kinderen te respecteren.

4.20   Artikel 9 – Bijzondere categorieën

4.20.1   Voorts is er geen enkele reden waarom kinderen „toestemming” kunnen geven voor de verwerking van hun gegevens betreffende nationaliteit, politieke opvattingen, religie, gezondheid, seksueel gedrag of strafrechtelijke veroordelingen (artikel 9, lid 2, onder a)).

4.20.2   Vrijwillig door betrokkene verstrekte gegevens, bijv. via Facebook, zouden ook beschermd moeten worden, zoals kan worden afgeleid uit artikel 9, lid 2, onder e), en in ieder geval aan het recht om te worden vergeten moeten worden onderworpen.

4.21   Artikel 13 – Rechten met betrekking tot ontvangers

4.21.1   De uizonderingsclausule aan het einde van het artikel („tenzij dit onmogelijk blijkt of onevenredig veel inspanning vergt”) is gewettigd noch aanvaardbaar.

4.22   Artikel 14 – Informatie

4.22.1   Lid 5, onder b) bevat dezelfde uitzonderingsclausule als in de vorige paragraaf geciteerd en is dus ook onaanvaardbaar.

4.23   Artikel 19, lid 1 – Recht van bezwaar

4.23.1   De vaag geformuleerde uitzonderingsclausule „dwingende legitieme gronden” is onaanvaardbaar en holt het recht van bezwaar uit.

4.24   Artikel 20 – Profilering

4.24.1   Het profileringsverbod mag niet tot geautomatiseerde verwerking beperkt blijven (13).

4.24.2   In lid 2, onder a) moet het woord „aangeboden” worden vervangen door „genomen”.

4.25   Artikel 21 – Beperkingen

4.25.1   De formulering van lid 1, onder c) is volstrekt onaanvaardbaar want deze bevat vage en ongedefinieerde noties als „economisch of financieel belang”, „monetaire, budgettaire en fiscale aangelegenheden” en zelfs „marktstabiliteit en –integriteit”. De laatste is toegevoegd aan Richtlijn 95/46/EG.

4.26   Artikelen 25, 28 en 35 – De drempel van 250 werknemers

4.26.1   Deze drempel is voorwaarde voor de toepasselijkheid van een aantal beschermingsbepalingen (bijv. met betrekking tot de functionaris voor gegevensbescherming), maar zou erin resulteren dat slechts minder dan 40 % van de werknemers van de bescherming zouden kunnen profiteren. Dezelfde drempel voor de documentatieverplichting zou ertoe leiden dat de grote meerderheid van de werknemers geen enkele controle zou kunnen uitoefenen op het gebruik van hun persoonsgegevens. Daarom stelt het Comité een lagere drempel voor, bijv. het aantal werknemers dat in het algemeen in de lidstaten wordt gehanteerd voor de verplichting orgaan voor de vertegenwoordiging van de belangen van het personeel in te stellen. Ook kan worden gedacht aan een andere objectieve aanpak die bijv. is gebaseerd op het aantal bestanden van beschermde gegevens die in een bepaald tijdvak worden verwerkt, en zulks ongeacht de omvang van het bedrijf of de dienst in kwestie.

4.27   Artikel 51 – Eenloketsysteem

4.27.1   Dit wordt voorgesteld om het de ondernemingen er gemakkelijker op te maken en de mechanismen voor gegevensbescherming van meer efficiëntie te voorzien, maar de gegevensbescherming voor de burgers in het algemeen en meer specifiek voor de werknemers kan er flink door worden aangetast. De huidige verplichting om doorgifte van persoonsgegevens aan een bedrijfsakkoord en aan goedkeuring door een nationale commissie voor gegevensbescherming (14) te onderwerpen, bestaat dan namelijk niet meer.

4.27.2   Verder lijkt dit systeem te strijden met beheersnabijheid en loopt de burger het risico dat hij zich niet meer kan wenden tot de controleautoriteit die het dichtst bij hem staat en voor hem het meest toegankelijk is.

4.27.3   Er bestaan dus gronden voor handhaving van de bevoegdheid van de autoriteit van de lidstaat waar klager is gevestigd.

---

(1)  COM(2012) 11 final

(2)  COM(2012) 9 final

(3)  COM(2012) 10 final

(4)  COM(2012) 12 final

(5)  Daarin wordt benadrukt dat de Unie „een integrale regeling voor de bescherming van persoonsgegevens (moet) ontwikkelen die geldt voor alle bevoegdheidsgebieden van de Unie” en „ervoor (moet) zorgen dat het grondrecht op bescherming van de persoonlijke levenssfeer consequent wordt toegepast”, en zulks dusdanig dat natuurlijke personen daadwerkelijk controle over hun gegevens hebben.

(6)  Zie EESC-advies over het „Hergebruik van overheidsinformatie”, PB C 191 van 29.06.2012, blz. 129.

(7)  Zie het EESC-advies in PB C 248 van 25 augustus 2011, blz. 123.

(8)  Advies over een „Data Protecting Package”, 7 maart 2012.

(9)  COM(2009) 673 definitief van 9 december 2009.

(10)  Overeenkomstig de kritiek van de Franse senaat i.v.m. subsidiariteit.

(11)  Er moeten nauwkeurigere voorschriften komen voor marktonderzoek via persoonlijk gerichte brieven want dat zou in het huidige voorstel verboden zijn, terwijl het toch om een weinig opdringerig en gericht onderzoek gaat.

(12)  Te denken valt aan periodieke verslaglegging door de functionaris aan die vertegenwoordigers of aan de door het personeel gekozen leden van, wanneer bestaand, een nationale of Europese raad van bestuur of toezicht.

(13)  Zie Aanbeveling CM/Rec(2010)13 van het Comité van Ministers van de Raad van Europa.

(14)  Het gaat met name om de onafhankelijke administratieve autoriteiten die zijn belast met goedkeuring van en toezicht op het samenstellen van persoonsbestanden. In de digitale samenleving, met betrekking tot sociale netwerken en gegeven de omvang van de uitwisseling van persoonsprofielen voor marktonderzoek zouden hun bevoegdheden juist moeten worden uitgebreid.

---

---