This document is an excerpt from the EUR-Lex website
Document 52012XX0630(01)
Executive summary EDPS Opinion of 7 March 2012 on the data protection reform package
Samenvatting van het EDPS-advies van 7 maart 2012 over het hervormingspakket gegevensbescherming
Samenvatting van het EDPS-advies van 7 maart 2012 over het hervormingspakket gegevensbescherming
PB C 192 van 30.6.2012, p. 7–15
(BG, ES, CS, DA, DE, ET, EL, EN, FR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
30.6.2012 |
NL |
Publicatieblad van de Europese Unie |
C 192/7 |
Samenvatting van het EDPS-advies van 7 maart 2012 over het hervormingspakket gegevensbescherming
(De volledige tekst van dit advies is te vinden op de website van de EDPS, http://www.edps.europa.eu (in het Engels, Frans en Duits))
2012/C 192/05
Op 25 januari 2012 heeft de Commissie een pakket voor de hervorming van de EU-voorschriften inzake gegevensbescherming aangenomen, met een voorstel voor een verordening waarin de algemene voorschriften inzake gegevensbescherming zijn vastgelegd en een voorstel voor een richtlijn betreffende gegevensbescherming in de rechtshandhaving.
Op 7 maart 2012 heeft de Europese Toezichthouder voor gegevensbescherming (EDPS) een advies aangenomen met uitvoerig commentaar op beide wetgevingsvoorstellen. De volledige tekst van het advies is te vinden op de website van de EDPS: http://www.edps.europa.eu
In dit advies schetst de EDPS kort de context van de voorstellen en wordt een algemene evaluatie gegeven.
De EDPS is ingenomen met de voorgestelde verordening, aangezien deze een enorme stap voorwaarts betekent voor de gegevensbescherming in Europa. De voorgestelde voorschriften versterken zowel de rechten van personen als de verantwoordingsplicht van voor de verwerking verantwoordelijken voor de wijze waarop persoonsgegevens worden behandeld. Voorts worden de rol en de bevoegdheden van nationale toezichthoudende autoriteiten (alleen en gezamenlijk) wezenlijk versterkt.
Het doet de EDPS vooral genoegen dat het instrument van een verordening wordt voorgesteld voor het vastleggen van de algemene voorschriften inzake gegevensbescherming. De ontwerpverordening wordt rechtstreeks van toepassing in de lidstaten en neemt een groot aantal uit de verschillende uitvoeringswetten van de lidstaten voortvloeiende complexiteiten en inconsistenties weg.
De EDPS is daarentegen ernstig teleurgesteld over de voorgestelde richtlijn betreffende gegevensbescherming in de rechtshandhavingssector. De EDPS betreurt dat de Commissie ervoor heeft gekozen om dit te regelen in een zelfstandig wetgevingsinstrument dat voorziet in een ontoereikend beschermingsniveau, dat veel lager is dan het niveau waarin wordt voorzien in de voorgestelde verordening.
Een positief element van de voorgestelde richtlijn is dat deze ook betrekking heeft op binnenlandse verwerking en daarom een breder toepassingsgebied heeft dan het huidige kaderbesluit. Deze verbetering heeft echter alleen toegevoegde waarde als de richtlijn het niveau van de gegevensbescherming op dit gebied substantieel verbetert, wat niet het geval is.
Het belangrijkste zwakke punt van het pakket als geheel is dat het geen oplossing biedt voor het ontbreken van volledigheid van de EU-voorschriften betreffende gegevensbescherming. Het pakket laat veel gegevensbeschermingsinstrumenten van de EU ongemoeid, zoals de gegevensbeschermingsvoorschriften voor EU-instellingen en -organen, maar ook alle specifieke instrumenten op het gebied van politiële en justitiële samenwerking in strafzaken, zoals het Prümbesluit en de voorschriften voor Europol en Eurojust. Bovendien bieden de voorgestelde instrumenten samen geen volledige oplossing voor feitelijke situaties die onder beide beleidsterreinen vallen, zoals het gebruik van PNR- of telecommunicatiegegevens voor rechtshandhavingsdoeleinden.
In de voorgestelde verordening is de relatie tussen het EU-recht en nationaal recht een horizontale aangelegenheid. Het voorstel vormt een grote stap in de totstandbrenging van één toepasselijk recht voor gegevensbescherming in de EU, maar laat niettemin meer ruimte voor het naast elkaar bestaan van en interactie tussen het EU-recht en nationaal recht dan op het eerste gezicht lijkt. De EDPS is van mening dat de wetgever dit zou moeten onderkennen.
Een tweede punt van algemeen belang vloeit voort uit de vele bepalingen die de Commissie de bevoegdheid geven om gedelegeerde of uitvoeringshandelingen aan te nemen. De EDPS verwelkomt deze aanpak voor zover deze bijdraagt tot de consistente toepassing van de verordening, maar heeft bedenkingen bij de mate waarin essentiële wettelijke bepalingen worden gedelegeerd. Verschillende van deze gedelegeerde bevoegdheden zouden moeten worden heroverwogen.
Op meer gedetailleerd niveau wijst de EDPS op de belangrijkste positieve elementen van de voorgestelde verordening. Dit zijn:
— |
de verduidelijking van het toepassingsgebied van de voorgestelde verordening; |
— |
de versterkte eisen betreffende transparantie tegenover de betrokkene en de versterking van het recht om bezwaar te maken; |
— |
de algemene verplichting voor de verantwoordelijken voor gegevensverwerking om te kunnen waarborgen en aantonen dat de bepalingen van de verordening zijn nageleefd; |
— |
de versterking van de positie en de rol van nationale toezichthoudende autoriteiten; |
— |
de hoofdlijnen van het consistentiemechanisme. |
De belangrijkste negatieve elementen van de voorgestelde verordening zijn:
— |
de nieuwe grond voor uitzonderingen op het doelbindingsbeginsel; |
— |
de mogelijkheden om basisbeginselen en -rechten in te perken; |
— |
de verplichting voor de voor verwerking verantwoordelijken om documentatie over alle verwerkingen bij te houden; |
— |
de doorgifte van gegevens naar derde landen in afwijking van de verordening; |
— |
de rol van de Commissie in het consistentiemechanisme; |
— |
het verplichte karakter van het opleggen van administratieve sancties. |
Wat betreft de richtlijn is de EDPS van mening dat het voorstel in veel opzichten niet voldoet aan de vereiste van een consistent en hoog niveau van gegevensbescherming. De richtlijn laat alle bestaande instrumenten op dit gebied ongemoeid, en in veel gevallen is er geen enkele rechtvaardiging voor het afwijken van de bepalingen van de voorschriften in de voorgestelde verordening.
De EDPS onderstreept dat hoewel er op het gebied van rechtshandhaving enkele specifieke voorschriften nodig zijn, elke afwijking van de algemene gegevensbeschermingsvoorschriften naar behoren moet worden gerechtvaardigd op basis van een zorgvuldige afweging van het algemene belang van rechtshandhaving en de grondrechten van burgers.
De EDPS maakt zich vooral zorgen over:
— |
het gebrek aan duidelijkheid in de formulering van het doelbindingsbeginsel; |
— |
het ontbreken van een verplichting voor de bevoegde autoriteiten om te kunnen aantonen dat de richtlijn is nageleefd; |
— |
de allesbehalve strenge voorwaarden voor doorgiften naar derde landen; |
— |
de te beperkte bevoegdheden van toezichthoudende autoriteiten. |
De EDPS doet de volgende aanbevelingen:
Aanbevelingen met betrekking tot het hele hervormingsproces
— |
Het tijdschema voor de tweede fase van het hervormingsproces zo spoedig mogelijk bekendmaken. |
— |
De voorschriften voor EU-instellingen en -organen in de voorgestelde verordening opnemen of ten minste ervoor zorgen dat op elkaar afgestemde voorschriften van kracht zijn wanneer de voorgestelde verordening van toepassing is. |
— |
Zo spoedig mogelijk een voorstel voor gemeenschappelijke voorschriften voor het gemeenschappelijk buitenlands en veiligheidsbeleid indienen, op basis van artikel 39 VEU. |
Aanbevelingen met betrekking tot de voorgestelde verordening
Horizontale aangelegenheden
— |
Een bepaling toevoegen om het territoriale toepassingsgebied van het nationaal recht in het kader van de verordening te verduidelijken. |
— |
De delegatie van bevoegdheden in artikel 31, leden 5 en 6, artikel 32, leden 5 en 6, artikel 33, leden 6 en 7, artikel 34, lid 2, onder a), en artikel 44, lid 1, onder d), en lid 7, heroverwegen. |
— |
Voorzien in passende en specifieke maatregelen voor micro-, kleine en middelgrote ondernemingen in slechts enkele geselecteerde uitvoeringshandelingen, en niet in de gedelegeerde handelingen van artikel 8, lid 3, artikel 14, lid 7, artikel 22, lid 4, en artikel 33, lid 6. |
— |
Het begrip „algemeen belang” verfijnen in elke bepaling waarin dit wordt gebruikt. In elke relevante bepaling van het voorstel zouden de specifieke algemene belangen die bij de voorgenomen verwerking in het geding zijn expliciet moeten worden vermeld (zie in het bijzonder overweging 87, artikel 17, lid 5, artikel 44, lid 1, onder d), en artikel 88, lid 1, onder b) en c)). Een aanvullende eis zou erin kunnen bestaan dat alleen in bijzonder dringende omstandigheden of om wettelijk vastgelegde dwingende redenen een beroep op de grond kan worden gedaan. |
Hoofdstuk I — Algemene bepalingen
— |
Artikel 2, lid 2, onder d): een criterium invoeren om onderscheid te maken tussen publieke en huishoudelijke activiteiten op basis van het onbepaalde aantal personen dat toegang tot de informatie heeft. |
— |
Artikel 2, lid 2, onder e): ervoor zorgen dat de uitzondering van toepassing is op bevoegde overheidsautoriteiten. Overweging 16 zou in overeenstemming moeten worden gebracht met artikel 2, lid 2, onder e). |
— |
Artikel 4, punten (1) en (2): in een overweging duidelijker toelichten dat zodra er een nauwe relatie tussen een identificatienummer en een persoon wordt vastgesteld, de gegevensbeschermingsbeginselen zullen worden toegepast. |
— |
Artikel 4, punt (13): de criteria voor het vaststellen van de belangrijkste vestiging van de relevante verantwoordelijke voor de verwerking verfijnen, rekening houdend met de „overheersende invloed” van een vestiging over andere, in nauw verband met de bevoegdheid om voorschriften inzake de bescherming van persoonsgegevens of voorschriften die relevant zijn voor gegevensbescherming ten uitvoer te leggen. Een alternatief zou zijn dat de definitie wordt toegespitst op de belangrijkste vestiging van de groep als geheel. |
— |
Nieuwe definities voor „doorgifte” en „beperking van de verwerking” toevoegen. |
Hoofdstuk II — Belangrijkste beginselen
— |
Artikel 6: een overweging toevoegen om verder te verduidelijken wat moet worden verstaan onder „een taak van algemeen belang of een taak die deel uitmaakt van de uitoefening van het openbaar gezag” in artikel 6, lid 1, onder e). |
— |
Artikel 6, lid 4: de bepaling schrappen of minstens beperken tot de verdere verwerking van gegevens voor onverenigbare doeleinden op basis van de in artikel 6, lid 1, onder a) en d), genoemde gronden. Dit zou een ook wijziging van overweging 40 noodzakelijk maken. |
— |
Een nieuwe bepaling toevoegen met betrekking tot de vertegenwoordiging van alle natuurlijke personen die onvoldoende handelingsbekwaam zijn of anderszins niet zelf kunnen handelen. |
— |
Artikel 9: in de bijzondere categorieën van gegevens, misdrijven en zaken die niet tot een veroordeling hebben geleid opnemen. De eis van toezicht door de overheid uitbreiden tot alle in artikel 9, lid 2, onder j), genoemde gronden. |
— |
Artikel 10: in overweging 45 explicieter verklaren dat de voor de verwerking verantwoordelijke zich niet mag beroepen op een mogelijk gebrek aan informatie om een verzoek om inzage te weigeren wanneer deze informatie door de betrokkene kan worden verstrekt om de toegang tot de gegevens mogelijk te maken. |
Hoofdstuk III — Rechten van de betrokkene
— |
Artikel 14: informatie opnemen over het bestaan van bepaalde verwerkingen die een bijzonder effect op personen hebben en over de gevolgen van deze verwerkingen voor personen. |
— |
Artikel 17: de bepaling verder uitwerken om de doelmatigheid ervan in de praktijk te waarborgen. Artikel 17, lid 3, onder d), schrappen. |
— |
Artikel 18: verduidelijken dat de uitoefening van het recht de verplichting van artikel 5, onder e), om de gegevens te verwijderen wanneer ze niet langer noodzakelijk zijn, onverlet laat. Ervoor zorgen dat artikel 18, lid 2, zich niet louter beperkt tot gegevens die door betrokkene op basis van toestemming of een overeenkomst zijn verstrekt. |
— |
Artikel 19: verduidelijken wat de voor de verwerking verantwoordelijke moet doen in geval van onenigheid met de betrokkene en in overeenstemming brengen met artikel 17, lid 1, onder c). In een overweging toelichten welke gronden kunnen worden beschouwd als „dwingende legitieme gronden”. |
— |
Artikel 20: het recht van personen om hun visie kenbaar te maken opnemen in artikel 20, lid 2, onder a), zoals dat ook is gebeurd in het huidige artikel 15 van Richtlijn 95/46/EG. |
— |
Artikel 21: gedetailleerde garanties invoeren dat in het nationaal recht de doelstellingen van de verwerking, de te verwerken categorieën persoonsgegevens, de specifieke doeleinden van de verwerking en de voor de verwerking gebruikte middelen, de voor de verwerking verantwoordelijke, de categorieën personen die bevoegd zijn om de gegevens te verwerken, de te volgen procedure voor de verwerking en de waarborgen tegen arbitraire bemoeienis door overheidsautoriteiten, worden gespecificeerd. Als aanvullende waarborg opnemen dat betrokkenen moeten worden geïnformeerd over een beperking en over hun recht om de kwestie aan de toezichthoudende autoriteit voor te leggen teneinde indirecte toegang te verkrijgen. In artikel 21 toevoegen dat de mogelijkheid om beperkingen toe te passen op de verwerking in verband met rechtshandhavingsdoeleinden door particuliere verantwoordelijken voor de verwerking, laatstgenoemden niet mag dwingen om andere gegevens te bewaren dan die welke strikt noodzakelijk zijn voor het oorspronkelijk nagestreefde doel, of om hun IT-architectuur te wijzigen. De grond van artikel 21, lid 1, onder e), schrappen. |
Hoofdstuk IV — De voor de verwerking verantwoordelijke en de verwerker
— |
Artikel 22: expliciet verwijzen naar het beginsel van democratische verantwoording, in elk geval in overweging 60. Artikel 22, leden 1 en 3 samenvoegen en expliciet vermelden dat maatregelen passend en doelmatig moeten zijn. Voorafgaand aan de specifieke verplichtingen van artikel 22, lid 2, een algemene bepaling opnemen waarin het begrip „beheerscontrole” wordt ontwikkeld, met inbegrip van de toewijzing van verantwoordelijkheden, de opleiding van personeel, adequate instructies en de eis dat de voor de verwerking verantwoordelijke minstens beschikt over een overzicht en een algemene inventaris van de onder zijn verantwoordelijkheid vallende verwerkingen. Een nieuw lid toevoegen waarin wordt bepaald dat wanneer een voor de verwerking verantwoordelijke besluit of wordt verplicht om regelmatig een activiteitenverslag te publiceren, dit verslag ook een beschrijving omvat van het beleid en de maatregelen als bedoeld in artikel 22, lid 1. |
— |
Artikel 23: in artikel 23, lid 2, en overweging 61 verwijzen naar het feit dat betrokkenen in beginsel de keuze moet worden gelaten om al dan niet toestemming te geven voor een breder gebruik van hun persoonsgegevens. |
— |
Artikel 25, lid 2, onder a): de uitzondering voor derde landen die een passend beschermingsniveau waarborgen schrappen. |
— |
Artikel 26: de verplichting van de verwerker om het beginsel van ingebouwde gegevensbescherming (gegevensbescherming „by design”) in aanmerking te nemen, toevoegen aan de lijst van artikel 26, lid 2. |
— |
Artikel 28: de uitzonderingen van artikel 28, lid 4 heroverwegen of schrappen. |
— |
Artikel 30: artikel 30 verduidelijken om de algemene verantwoordelijkheid van de voor de verwerking verantwoordelijke vast te leggen, en de verplichting van de voor de verwerking verantwoordelijke om binnen de organisatie voor informatiebeveiliging te zorgen toevoegen, met inbegrip van, waar nodig, de tenuitvoerlegging van een specifiek op de verrichte gegevensverwerking gericht informatiebeveiligingsbeleid. In artikel 30 een expliciete verwijzing naar de effectbeoordeling gegevensbescherming opnemen. |
— |
Artikelen 31 en 32: de criteria en eisen voor het vaststellen van een inbreuk, evenals de omstandigheden waarin een inbreuk in verband met persoonsgegevens moet worden gemeld, specificeren. De tijdslimiet in artikel 31 wijzigen van 24 uur in 72 uur. |
— |
Artikel 33: de lijst van verwerkingen van artikel 33, lid 2, onder b), c) en d), niet beperken tot verwerking op grote schaal. Artikel 33, lid 5, in overeenstemming brengen met overweging 73. Artikel 33, lid 6, beperken tot niet-essentiële elementen. Verduidelijken dat de omvang van een onderneming nooit een reden mag zijn voor de opheffing van de verplichting om een effectbeoordeling gegevensbescherming uit te voeren met betrekking tot verwerkingen die specifieke risico's met zich meebrengen. |
— |
Artikel 34: artikel 34, lid 1, verplaatsen naar hoofdstuk V van de voorgestelde verordening. |
— |
Artikelen 35 tot en met 37: in artikel 35, lid 1, de drempel van 250 werknemers verlagen en de werkingssfeer van artikel 35, lid 1, onder c), verduidelijken. Garanties toevoegen, in het bijzonder strengere voorwaarden voor het ontslag van de functionaris voor gegevensbescherming, en in artikel 36, lid 1, ervoor zorgen dat de functionaris voor gegevensbescherming toegang krijgt tot alle informatie en bedrijfsruimten die relevant zijn voor de uitvoering van zijn taken. In artikel 37, lid 1, onder a), de rol van de functionaris voor gegevensbescherming bij het vergroten van het bewustzijn opnemen. |
Hoofdstuk V — Doorgifte naar derde landen
— |
In overweging 79 verklaren dat de niet-toepasbaarheid van de verordening op internationale overeenkomsten zich alleen beperkt tot bestaande overeenkomsten. |
— |
Een overgangsclausule opnemen die voorziet in de herziening van deze internationale overeenkomsten binnen een bepaalde termijn om ze in overeenstemming te brengen met de verordening. |
— |
Artikel 41 (en overweging 82): verduidelijken dat in geval van een besluit waarbij het beschermingsniveau passend wordt verklaard, doorgiften alleen mogen plaatsvinden als passende garanties worden geboden of als ze onder de afwijkingen van artikel 44 vallen. |
— |
Artikel 42: ervoor zorgen dat de mogelijkheid om juridisch niet-bindende instrumenten te gebruiken om passende garanties te bieden duidelijk moet worden gerechtvaardigd en moet worden beperkt tot alleen gevallen waarbij de noodzaak om dit soort instrumenten te gebruiken is aangetoond. |
— |
Artikel 44 (en overweging 87): toevoegen dat de mogelijkheid om gegevens over te dragen alleen betrekking mag hebben op incidentele gevallen en moet zijn gebaseerd op een zorgvuldige beoordeling per geval van alle omstandigheden van de doorgifte. De verwijzing naar „passende garanties” in artikel 44, lid 1, onder h), en artikel 44, lid 3, vervangen of verduidelijken. |
— |
Overweging 90: de overweging veranderen in een materiële bepaling. Passende garanties opnemen voor deze gevallen, zowel gerechtelijke garanties als garanties voor gegevensbescherming. |
Hoofdstukken VI en VII — Onafhankelijke toezichthoudende autoriteiten, samenwerking en consistentie
— |
Artikel 48: in de benoemingsprocedure voor leden van toezichthoudende autoriteiten een rol voor de nationale parlementen opnemen. |
— |
Artikel 52, lid 1: opnemen van de taak om richtsnoeren voor het gebruik van de verschillende handhavingsbevoegdheden te ontwikkelen, indien nodig gecoördineerd op EU-niveau door het Europees Comité voor gegevensbescherming. Dit zou mogelijk ook kunnen worden opgenomen in artikel 66. |
— |
Artikel 58: in artikel 58, lid 6, het woord „onmiddellijk” vervangen door „onverwijld” en in artikel 58, lid 7 de termijn verlengen van een maand tot twee maanden/acht weken. |
— |
Artikel 58: meer gewicht geven aan de meerderheidsregel door ervoor te zorgen dat een verzoek van één autoriteit in stemming kan worden gebracht wanneer de desbetreffende aangelegenheid geen betrekking heeft op een van de maatregelen als bedoeld in artikel 58, lid 2. |
— |
Artikelen 59 en 60: de bevoegdheid van de Commissie beperken door schrapping van de mogelijkheid om een besluit van een nationale toezichthoudende autoriteit in een specifieke aangelegenheid door middel van een uitvoeringshandeling te annuleren. Ervoor zorgen dat de rol van de Commissie in een eerste fase bestaat in het in gang zetten van de conformiteitstoetsing door het Europees Comité voor gegevensbescherming, zoals voorzien in artikel 58, lid 4, en in een volgende fase in de bevoegdheid om adviezen aan te nemen. Een verwijzing naar een verdere procedure bij het Hof van Justitie invoegen, in de context van een inbreukprocedure of een verzoek om tijdelijke maatregelen, zoals een opschortingsbevel. |
— |
Artikel 66: toevoegen dat het Europees Comité voor gegevensbescherming in het kader van evaluaties van een passend beschermingsniveau wordt geraadpleegd. |
— |
De huidige evaluatie van het effect van het secretariaat van het Europees Comité voor gegevensbescherming heroverwegen wat betreft het beslag op financiële en menselijke middelen (zie de bijlage bij dit advies, die te vinden is op de website van de EDPS). |
Hoofdstuk VIII — Beroep, aansprakelijkheid en sancties
— |
Artikelen 73 en 76: duidelijkheid verschaffen over het mandaat dat de organisatie van de betrokkenen moet verkrijgen en de mate waarin dit formeel dient te gebeuren. Een bredere bepaling betreffende collectieve acties invoeren. |
— |
Artikel 74, lid 4: het type „zorg” van een betrokkene dat aanleiding voor een procedure kan vormen, beperken tot een preciezer geformuleerd risico van aantasting van de rechten van de betrokkene. |
— |
Artikel 75, lid 2: specificeren dat de afwijking niet van toepassing is op een overheidsautoriteit van een derde land. |
— |
Artikel 76, leden 3 en 4: een meer systematische informatieprocedure op het niveau van de gerechtelijke instanties opnemen. |
— |
De wisselwerking met de Brussel I-verordening verduidelijken. |
— |
De verenigbaarheid van het gebruik van informatie verkregen van een voor de verwerking verantwoordelijke (op basis van artikel 53) met het algemene recht om zichzelf niet te beschuldigen, verduidelijken. |
— |
Artikel 77: toevoegen dat een betrokkene zich voor een schadevergoeding altijd moet kunnen richten tot de voor de verwerking verantwoordelijke, ongeacht waar en hoe de schade is ontstaan. De onderlinge verdeling van de schadevergoeding tussen de voor de verwerking verantwoordelijke en de verwerker in het artikel opnemen zodra de aansprakelijkheid van elk van hen is vastgesteld. Toevoegen dat dit ook van toepassing is op de vergoeding van immateriële schade of smart. |
— |
Een bepaling invoeren waarin het begrip „één enkele economische eenheid” of „één enkele onderneming” wordt gebruikt, teneinde de groep aansprakelijk te kunnen stellen voor een door een dochteronderneming gepleegde inbreuk. |
— |
Artikel 79: een beoordelingsmarge voor toezichthoudende autoriteiten met betrekking tot administratieve sancties invoeren. Specificeren in welke omstandigheden administratieve sancties worden opgelegd. Ervoor zorgen dat niet-naleving van een specifiek bevel van een toezichthoudende autoriteit normaliter tot een zwaardere administratieve sanctie leidt dan één enkele inbreuk op dezelfde algemene bepaling. |
Hoofdstuk IX — Specifieke situaties op het gebied van gegevensverwerking
— |
Artikel 80: artikel 80 herformuleren en verklaren dat de lidstaten voorzien in uitzonderingen op of afwijkingen van de genoemde bepalingen van de verordening indien dit noodzakelijk is om het recht op gegevensbescherming te verzoenen met het recht op vrije meningsuiting. In de bepaling of in een overweging toevoegen dat bij het verzoenen van de twee grondrechten geen afbreuk mag worden gedaan aan de essentie van beide rechten. |
— |
Een materiële bepaling toevoegen betreffende de toegang van het publiek tot documenten, waarin wordt verklaard dat persoonsgegevens in documenten die bij overheidsinstanties of -organen berusten openbaar mogen worden gemaakt wanneer 1. hierin wordt voorzien in het EU-recht of het nationaal recht, 2. dit nodig is om het recht op gegevensbescherming te verzoenen met het recht van het publiek op toegang tot officiële documenten en 3. een goed evenwicht wordt bereikt tussen de verschillende rechten die in het geding zijn. |
— |
In artikelen 81, 82, 83 en 84 de bewoording „binnen de grenzen van deze verordening” vervangen door „onverminderd deze verordening”. |
— |
Artikel 81: artikel 81, leden 1 en 3, en artikel 9, lid 3, met elkaar in overeenstemming brengen en de werkingssfeer en de aard van artikel 81 verduidelijken. De eis van toestemming, de vaststelling van verantwoordelijkheden en de beveiligingseisen verder uitwerken. |
— |
Artikel 83: aanvullende garanties bij de verwerking van bijzondere categorieën gegevens opnemen. Duidelijk maken dat in artikel 83, lid 1, het uitgangspunt voor verwerking voor onderzoeksdoeleinden moet zijn dat deze verwerking wordt verricht met behulp van geanonimiseerde gegevens. Duidelijk maken wat wordt bedoeld met het woord „gescheiden” en ervoor zorgen dat gescheiden bewaring de betrokkenen daadwerkelijk beschermt. In artikel 83, lid 1, onder b), de zinsnede „gegevens waardoor informatie aan een geïdentificeerde of identificeerbare betrokkene kan worden toegekend” vervangen door „gegevens waardoor bepaalde informatie aan een betrokkene kan worden gekoppeld”. De beperking van rechten van personen door middel van gedelegeerde handelingen uitsluiten. |
Aanbevelingen met betrekking tot de voorgestelde richtlijn
Horizontale aangelegenheden
— |
Artikel 59: specifieke besluiten op het gebied van politiële en justitiële samenwerking in strafzaken zouden uiterlijk op het moment van de inwerkingtreding van de richtlijn moeten worden gewijzigd. |
— |
Een nieuwe bepaling toevoegen voor de invoering van een evaluatiemechanisme in het kader waarvan regelmatig op basis van feiten wordt beoordeeld of gegevensverwerkingsactiviteiten op bepaalde schaal feitelijk een noodzakelijke en evenredige maatregel vormen met het oog op de voorkoming, de opsporing, het onderzoek en de vervolging van strafbare feiten. |
— |
Een nieuwe bepaling toevoegen om ervoor te zorgen dat de doorgifte van persoonsgegevens door rechtshandhavingsautoriteiten aan andere overheidsinstanties of private partijen alleen is toegestaan onder specifieke en strikte voorwaarden. |
— |
Een nieuwe bepaling toevoegen met specifieke garanties ten aanzien van de verwerking van persoonsgegevens van kinderen. |
Hoofdstuk I en II — Algemene bepalingen en beginselen
— |
Artikel 3, lid 4: verder uitwerken, in overeenstemming met artikel 17, lid 5, van de voorgestelde verordening. |
— |
Artikel 4, onder b): in een overweging verduidelijken dat het begrip „onverenigbare wijze” eng moet worden uitgelegd. |
— |
Artikel 4, onder f): in overeenstemming brengen met artikel 5, onder f), van de voorgestelde verordening en de artikelen 18 en 23 dienovereenkomstig wijzigen. |
— |
Artikel 5: niet-verdachte personen als afzonderlijke categorie opnemen. De zinsnede „voor zover mogelijk” schrappen en de gevolgen van de categorisering specificeren. |
— |
Artikel 6: in de leden 1 en 2 de zinsnede „voor zover mogelijk” schrappen. |
— |
Artikel 7, onder a): hiervan een zelfstandige bepaling maken, die er in algemene zin voor zorgt dat alle verwerkingen plaatsvinden op grond van een wettelijke bepaling, om daarmee aan de eisen van het Handvest van de grondrechten van de EU en het EVRM te voldoen. |
— |
Artikel 7, onder b) tot en met d): vervangen door een aanvullende, afzonderlijke bepaling waarin de algemene belangen waarvoor een afwijking van het doelbindingsbeginsel kan worden toegestaan, uitputtend worden vermeld. |
— |
Een nieuwe bepaling toevoegen met betrekking tot de verwerking van persoonsgegevens voor historische, statistische of wetenschappelijke doeleinden. |
— |
Een verplichting voor de bevoegde autoriteit toevoegen om mechanismen in te stellen die ervoor zorgen dat er tijdslimieten worden vastgesteld voor het wissen van persoonsgegevens en voor periodieke evaluaties van de noodzaak van de opslag van de gegevens, met inbegrip van opslagtermijnen voor de verschillende categorieën persoonsgegevens en regelmatige controles van de kwaliteit ervan. |
— |
Artikel 8: de strikte bewoording van overweging 26 in artikel 8 opnemen. Opnemen welke maatregelen worden beschouwd als passende maatregelen die verwerkingen mogelijk maken die verder gaan dan wat de reguliere waarborgen toestaan. |
Hoofdstuk III — Rechten van de betrokkene
— |
Artikel 10: in artikel 10, leden 1 en 3, de zinsnede „alle redelijke maatregelen” schrappen. In artikel 10, lid 4, een expliciete tijdslimiet opnemen en verklaren dat de betrokkene uiterlijk een maand na de ontvangst van het verzoek wordt ingelicht. In artikel 10, lid 5, de bewoording „vexatoir” vervangen door „duidelijk buitensporig” en dit begrip toelichten in een overweging. |
— |
Een nieuwe bepaling toevoegen die de voor de verwerking verantwoordelijke verplicht om elke ontvanger aan wie de gegevens bekend zijn gemaakt in kennis te stellen van elke rectificatie, verwijdering of wijziging van de gegevens, al dan niet uitgevoerd overeenkomstig artikel 15 of artikel 16, tenzij dit onmogelijk blijkt of onevenredig veel moeite kost. |
— |
Artikelen 11 en 13: in artikel 11, lid 4, en artikel 13, lid 1, een zin toevoegen waarin wordt verklaard dat de voor de verwerking verantwoordelijke in elk specifiek geval op basis van concreet en individueel onderzoek moet beoordelen of gedeeltelijke of algehele beperking op basis van een van de genoemde gronden van toepassing is. Zorgen voor een beperkte uitleg van het toepassingsgebied van artikel 11, lid 5, en artikel 13, lid 2. In artikel 11, lid 4, en overweging 33 „achterwege te laten” schrappen. |
— |
Artikelen 15 en 16: gronden en voorwaarden voor het beperken van het recht van rectificatie en het recht om gegevens te laten wissen, toevoegen. |
— |
Artikel 16: in artikel 16, lid 3, in plaats van „markeert” de bewoording „beperkt de verwerking van” gebruiken. in artikel 16 opnemen dat de voor de verwerking verantwoordelijke verplicht is om de betrokkene te informeren voordat een beperking op de verwerking wordt opgeheven. |
Hoofdstuk IV — De voor de verwerking verantwoordelijke en de verwerker
— |
Artikel 18: verklaren, ook in artikel 4, onder f), dat de documentatie-eisen voortvloeien uit de algemene verplichting om de naleving van de richtlijn te kunnen aantonen. Een eis opnemen om informatie te bewaren uit hoofde van de wettelijke grond op basis waarvan de gegevens zijn doorgegeven, met een inhoudelijke toelichting wanneer de doorgifte is gebaseerd op artikel 35 of artikel 36. |
— |
Artikel 19: het begrip gegevensbescherming „by default” inhoudelijk vorm geven. |
— |
Artikel 23, lid 2: in overeenstemming brengen met 28, lid 2, van de voorgestelde verordening. |
— |
Artikel 24: de identiteit van de ontvangers van de gegevens opnemen. |
— |
Een nieuwe bepaling invoegen die de bevoegde autoriteit verplicht om een effectbeoordeling gegevensbescherming uit te voeren, tenzij tijdens het wetgevingsproces al een specifieke beoordeling is uitgevoerd die gelijkwaardig is aan een effectbeoordeling gegevensbescherming. |
— |
Artikel 26: meer in overeenstemming brengen met de in artikel 34, lid 2, van de voorgestelde verordening uiteengezette procedures. |
— |
Artikel 30: de kwestie van belangenconflicten behandelen en een ambtstermijn van ten minste twee jaar opnemen. |
— |
Artikel 31: voorzien in een passende administratieve bepaling waarin de onafhankelijke rol van de functionaris voor gegevensbescherming naar behoren in acht wordt genomen, in het bijzonder met het oog op het voorkomen van mogelijke ongelijke relaties of beïnvloeding door hoger geplaatste voor de verwerking verantwoordelijken. |
Hoofdstuk V — Doorgifte naar derde landen
— |
Artikel 33: de eis toevoegen dat de doorgifte slechts mag plaatsvinden indien de voor de verwerking verantwoordelijke in het derde land of de internationale organisatie een bevoegde autoriteit in de zin van de voorgestelde richtlijn is. |
— |
Artikel 35: artikel 35, lid 1, onder b), schrappen of ten minste de eis van voorafgaande toestemming door de toezichthoudende autoriteit opnemen. |
— |
Artikel 36: in een overweging verduidelijken dat een afwijking die wordt gebruikt om een doorgifte te rechtvaardigen eng moet worden uitgelegd en geen frequente, omvangrijke en structurele doorgifte van persoonsgegevens mogelijk mag maken; zelfs in een individueel geval mag grootschalige doorgifte van gegevens niet worden toegestaan en moet deze worden beperkt tot de gegevens die strikt noodzakelijk zijn. Aanvullende waarborgen opnemen, zoals de verplichting om de doorgiften specifiek te documenteren. |
— |
Artikelen 35 en 36: toevoegen dat bij een negatief besluit ten aanzien van een passend beschermingsniveau de doorgiften moeten worden gebaseerd op i) artikel 35, lid 1, onder a), indien er een juridisch bindende internationale overeenkomst is die de doorgifte mogelijk maakt onder bepaalde voorwaarden die een toereikende bescherming garanderen, of ii) de afwijkingen van artikel 36, onder a) of c). |
Hoofdstuk VI en VII — Toezichtmechanismen
— |
Artikel 44: in een overweging toelichten wat wordt verstaan onder „gerechtelijke taken”. |
— |
Artikel 46: de bevoegdheden van toezichthoudende autoriteiten ten aanzien van nationale politieautoriteiten in overeenstemming brengen met de bevoegdheden als neergelegd in het voorstel voor een verordening. Artikel 46, onder a), in overeenstemming brengen met artikel 53 van de voorgestelde verordening en de bewoording „zoals” in artikel 46, onder a) en b), wijzigen in „waaronder”. |
— |
Artikel 47: opnemen dat het jaarlijkse activiteitenverslag van de toezichthoudende autoriteit moet worden ingediend bij de nationale parlementen en openbaar moet worden gemaakt. |
— |
Artikel 48: in artikel 48 de bepalingen van artikel 55, leden 2 tot en met 7, van de voorgestelde verordening opnemen. |
— |
Ook in het toepassingsgebied van de voorgestelde richtlijn de noodzaak van een versterkt samenwerkingsmechanisme overwegen. |
[Verkorte versie. De volledige tekst van dit advies is te vinden op de website van de EDPS, http://www.edps.europa.eu (in het Engels, Frans en Duits)]
Gedaan te Brussel, 7 maart 2012.
Peter HUSTINX
Europese Toezichthouder voor gegevensbescherming