25.8.2011

NL

Publicatieblad van de Europese Unie

C 248/123

---

Advies van het Europees Economisch en Sociaal Comité over de mededeling van de Commissie aan het Europees Parlement, de Raad, het Europees Economisch en Sociaal Comité en het Comité van de Regio's — Een integrale aanpak van de bescherming van persoonsgegevens in de Europese Unie

(COM(2010) 609 definitief)

2011/C 248/21

Rapporteur: de heer MORGAN

De Europese Commissie heeft op 4 november 2010 besloten het Europees Economisch en Sociaal Comité overeenkomstig artikel 304 van het Verdrag betreffende de werking van de Europese Unie te raadplegen over de

Mededeling van de Commissie aan het Europees Parlement, de Raad, het Europees Economisch en Sociaal Comité en het Comité van de Regio's — Een integrale aanpak van de bescherming van persoonsgegevens in de Europese Unie

COM(2010) 609 definitief.

De afdeling Werkgelegenheid, sociale zaken, burgerschap, die met de voorbereidende werkzaamheden was belast, heeft haar advies hierover op 27 mei 2011 goedgekeurd.

Het EESC heeft tijdens zijn op 15 en 16 juni 2011 gehouden 472e zitting (vergadering van 16 juni 2011) onderstaand advies uitgebracht, dat met 155 stemmen vóór en 9 stemmen tegen, bij 12 onthoudingen, werd goedgekeurd.

1.   Conclusies en aanbevelingen

1.1   De EU-voorschriften voor gegevensbescherming zijn gebaseerd op Richtlijn 95/46/EG en de tweeledige doelstelling ervan werd als volgt geformuleerd:

(1)	De Lid-Staten waarborgen in verband met de verwerking van persoonsgegevens de bescherming van de fundamentele rechten en vrijheden van natuurlijke personen, inzonderheid van het recht op persoonlijke levenssfeer.

(2)	De Lid-Staten mogen het vrije verkeer van persoonsgegevens tussen lidstaten beperken noch verbieden om redenen die met de uit hoofde van lid 1 gewaarborgde bescherming verband houden.

Het is cruciaal dat deze doelstellingen in evenwicht met elkaar worden gebracht zodat zij niet strijden. Nieuwe wetgeving moet er in de eerste plaats op zijn gericht om beide doelstellingen te verwezenlijken.

1.2   Het Comité kan zich vinden in de mededeling, waarin de Commissie uiteenzet hoe zij Richtlijn 95/46/EG (de gegevensbeschermingsrichtlijn) wil actualiseren. De explosieve ontwikkeling van nieuwe technologie veroorzaakt momenteel een exponentiële toename van on-line-gegevensverwerking en dat vergt dezelfde verhoging van de bescherming van persoonsgegevens om te voorkomen dat er op grote schaal inbreuk op de persoonlijke levenssfeer wordt gemaakt. Het verzamelen, combineren en beheren van uit talloze bronnen afkomstige gegevens moet daarom zorgvuldig aan regels worden gebonden. De publieke sector houdt veel verschillende bestanden aan over de betrekkingen tussen de burgers en de staat. Voor welk doel dan ook moet gegevensvergaring tot een minimum worden beperkt en het dient verboden te worden om de verschillende gegevens in een „big brother”-databank te bundelen.

1.3   Tegelijkertijd is voorzichtigheid geboden. Wetgeving voor zakelijke activiteiten moet stabiel en voorspelbaar blijven. Het Comité steunt daarom een passende herziening van de gegevensbeschermingsrichtlijn.

1.4   Volgens de Commissie is een van de belangrijkste punten waarover belanghebbenden, met name multinationale ondernemingen, zich blijvend zorgen maken, dat de wetgeving van de lidstaten inzake gegevensbescherming onvoldoende geharmoniseerd is, in weerwil van een gemeenschappelijk wettelijk kader op EU-niveau. Het Comité stelt voor dat de nieuwe regels in de gehele Unie een consistentere bescherming van persoonsgegevens van werknemers bieden, en dat die regels ook een raamwerk vormen om de duidelijkheid en zekerheid op juridisch gebied te verhogen. Voorts kan het zich in dit verband met name vinden in de verplichte aanstelling van een onafhankelijke functionaris voor gegevensbescherming en het harmoniseren van diens taken en bevoegdheden.

1.5   Gegeven het mogelijke conflict tussen de privacy van het individu en de commerciële exploitatie van gegevens over hem en gegeven de grote belangen die op het spel staan, zal het individu steeds beter moeten weten waarom er gegevens over hem worden verzameld en hoe hij kan controleren wat er met die gegevens gedaan wordt. Daarom acht het Comité effectieve handhaving en correctiemogelijkheden een absolute voorwaarde voor een alomvattend herzieningsproject. En ook moet daarbij de grensoverschrijdende dimensie worden bestreken.

1.6   Voor EU-burgers dient binnen de Unie, ongeacht waar de gegevens zich bevinden, het recht van de lidstaat van de voor de verwerking verantwoordelijke het toepasselijk recht te zijn. Voor te beschermen personen, vooral werknemers en consumenten, moeten de gegevensbeschermingingsregels gelden van het land waar zij gewoonlijk verblijven.

1.7   De verwijzing naar kinderen is te oppervlakkig. Er dient speciale aandacht uit te gaan naar kwesties in verband met hun persoonlijke levenssfeer. Het zog. „recht om vergeten te worden”, dwz. het recht op het wissen van gegevens over als kind begane misstappen of van tienermisdrijven zou wel eens niet uit te oefenen kunnen zijn.

1.8   Verder moet de bestaande definitie van gevoelige gegevens worden uitgebreid omdat de categorieën van elektronische persoonsgegevens blijven groeien. Daarnaast maakt het Comité zich zorgen over het wijdverspreide en ongedifferentieerde gebruik van beveiligingscamera's. De voorschriften tegen misbruik van verkregen beelden moeten zeker worden aangescherpt. Middels GPRS verkregen gegevens over de verblijfplaats van een persoon belichamen een andere controversiële kwestie. Ook neemt het verzamelen van biometrische data toe. De definitie moet dergelijke nieuwe technologieën en methoden omvatten, maar dient dusdanig geformuleerd te zijn dat zij niet in de weg staat aan nieuwe technologische ontwikkelingen. Het zou nodig kunnen zijn om voor bepaalde gevallen beginselen vast te stellen. Overigens is het Comité voorstander van correct gebruik van deze nieuwe technologieën.

1.9   Het Comité beseft dat aan de politiële samenwerking tussen landen gevoeligheden kleven, maar acht het essentieel dat er altijd maximaal oog bestaat voor grondrechten, inclusief de bescherming van persoonsgegevens.

1.10   Het steunt het algemene streven van de Commissie naar een meer samenhangende toepassing van de gegevensbeschermingsregels van de Unie in alle lidstaten. Het stemt echter tot zorg dat wellicht nog niet alle 12 nieuwe lidstaten Richtlijn 95/46 volledig en efficiënt hebben omgezet.

1.11   Over het algemeen missen de nationale gegevensbeschermingsautoriteiten slagkracht, zijn ze overbelast en dient hun onafhankelijkheid te worden versterkt. Iedere nieuwe richtlijn zou het vereiste moeten bevatten dat die autoriteiten over de rechtspositie, het gezag en de middelen beschikken om hun werk te doen.

1.12   Gezien de bijdrage die de „Groep artikel 29” tot op heden heeft geleverd tot de bescherming van het individu op het gebied van verwerking van persoonsgegevens, blijft er een belangrijke rol voor haar weggelegd.

1.13   Tegen de achtergrond van de digitale agenda van de Unie wordt de Commissie verzocht, te overwegen een EU-autoriteit aan te stellen die kijkt naar de bredere maarschappelijke vertakkingen van Internet over een periode van 10 tot 20 jaar. De huidige regelingen voor de veiligheid van persoonsgegevens en cyber veiligheid in het algemeen raken door maatschappelijke ontwikkelingen achterhaald en voldoen dus steeds minder. Het Comité doet de suggestie om voor gegevensbescherming een toezichthouder voor de gehele Unie aan te stellen. De huidige toezichthouder houdt zich namelijk uitsluitend met de EU-instellingen bezig, maar er bestaat behoefte aan een toezichthouder die verantwoordelijk is voor de coördinatie tussen de lidstaten en operationele normen. Die zou dan deel moeten gaan uitmaken van een autoriteit die het Comité voor ogen heeft en die op een veel breder terrein actief zou zijn.

2.   Inleiding

2.1   Het Comité blijft zich scharen achter de beginselen waarop de gegevensbeschermingsrichtlijn was gebaseerd. Hieronder volgen in vereenvoudigde vorm en zonder commentaar delen van de tekst van de richtlijn. De beginselen in kwestie blijken duidelijk daaruit:

—

Artikel 6 De lidstaten schrijven voor dat de persoonsgegevens: (a) eerlijk en rechtmatig moeten worden verwerkt; (b) voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verkregen; (c) adequaat en relevant zijn en niet buiten verhouding staan tot de doeleinden waarvoor zij worden verzameld en/of waarvoor zij verder worden verwerkt; (d) nauwkeurig zijn en zo nodig worden bijgewerkt; (e) die het mogelijk maken de betrokkenen te identificeren niet langer mogen worden bewaard dan voor de verwezenlijking van de beoogde doeleinden noodzakelijk is.

—

Artikel 7 De lidstaten bepalen dat de verwerking van persoonsgegevens slechts mag geschieden indien: (a) de betrokkene daarvoor zijn ondubbelzinnige toestemming heeft verleend, of (b) verwerking noodzakelijk is voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of (c) verwerking noodzakelijk is om een wettelijke verplichting na te komen waaraan de voor de verwerking verantwoordelijke onderworpen is, of (d) verwerking noodzakelijk is ter vrijwaring van een vitaal belang van de betrokkene, of (e) verwerking noodzakelijk is voor de vervulling van een taak van algemeen belang, of (f) verwerking noodzakelijk is voor de behartiging van het gerechtvaardigde belang van de voor de verwerking verantwoordelijke.

—

Artikel 8 De lidstaten verbieden de verwerking van persoonsgegevens waaruit de raciale of etnische afkomst, de politieke opvattingen, de godsdienstige of levensbeschouwelijke overtuiging, of het lidmaatschap van een vakvereniging blijkt, alsook de verwerking van gegevens die de gezondheid of het seksleven betreffen.

2.2   Gedurende het laatste decennium zijn de zaken aanzienlijk gewijzigd door artikel 16 van het Verdrag van Lissabon en artikel 8 van het Handvest van grondrechten.

2.3   De Commissie wil in de mededeling haar aanpak schetsen van de modernisering van de EU-regelingen voor de bescherming van persoonsgegevens op alle terreinen waarop de Unie actief is. Zij heeft daarbij met name oog voor de uit mondialisering en nieuwe technologieën voortvloeiende uitdagingen. Zij wil het individu een hoog beschermingsniveau bieden betreffende gegevensverwerking op die terreinen.

2.4   Vandaag de dag gaat de wereldwijde informatie-uitwisseling gemakkelijker en sneller. Persoonsgegevens (e-mail, foto's, elektronische agenda's) kunnen met in Duitsland gesitueerde software in het VK worden gecreëerd, in India worden verwerkt, in Polen worden opgeslagen en in Spanje door een Italiaanse burger worden ingezien. Deze snelle toename van de mondiale informatiestromen vormt een grote uitdaging waar het gaat om de rechten van het individu op gegevensprivacy. De mensen worden dagelijks geraakt door gegevensbeschermingskwesties, inclusief de grensoverschrijdende dimensie ervan: op het werk, in contacten met overheden, bij het betrekken van goederen of diensten, op reis of tijdens het surfen op internet.

2.5   De Commissie zal in 2011 wetgeving voor de herziening van de gegevensbeschermingregelingen van de Unie voorstellen om die bescherming op al haar actieterreinen te versterken. Zulks inclusief wetshandhaving en misdaadpreventie en waarbij rekening met de specifieke kenmerken van die gebieden zal worden gehouden. Ook zal er worden gekeken naar maatregelen van niet-wetgevende aard zoals stimulering van zelfregulering en de haalbaarheid van EU-privacyzegels.

2.6   Verder zal de Commissie blijven toezien op correcte uitvoering van EU-recht op dit gebied. Worden de Unie-regels aangaande gegevensbescherming niet juist omgezet en toegepast, zal zij een actief inbreukbeleid voeren.

2.7   De integrale aanpak van gegevensbescherming kent de volgende hoofddoelstellingen:

—	versterking van de rechten van het individu;

—	verder uitwerken van de internemarktdimensie;

—	herziening van de voorschriften inzake gegevensbescherming in het kader van de politiële en justitiële samenwerking in strafzaken;

—	de wereldwijde dimensie van gegevensbescherming;

—	een betere institutionele regeling voor handhaving van de voorschriften inzake gegevensbescherming.

In de onderstaande afdelingen 3 -7 worden deze doelstellingen samengevat en geeft het EESC commentaar. De vetgedrukte kopjes volgen de Commissiemededeling en de schuingedrukte tekst is een samenvatting.

3.   Versterking van de rechten van het individu

3.1   In alle omstandigheden individuen een passende bescherming verzekeren

Het Handvest van grondrechten bevat een bepaling over het recht op bescherming van persoonsgegevens. De definitie van die gegevens bestrijkt alle informatie over een geïdentificeerde of identificieerbare persoon. De Commissie zal nagaan hoe een coherente toepassing van de regels inzake gegevensbescherming kan worden verzekerd, rekening houdend met de impact van nieuwe technologieën op de rechten en vrijheden van individuen en met inachtneming van het doel het vrije verkeer van persoonsgegevens binnen de interne markt te waarborgen.

3.1.1   Vrij verkeer van persoonsgegevens is noodzakelijk voor een soepel functionerende interne markt, maar kan een bedreiging vormen voor de vertrouwelijkheid van door ondernemingen over hun werknemers aangehouden gegevens. Daarom zijn er specifieke garanties nodig zoals de verantwoordingsplicht van voor de verwerking verantwoordelijken waar het gaat om multinationale gegevensuitwisseling en het gebruik van encryptie voor gevoeligere gegevens.

3.1.2   Er zij erop gewezen dat de werkgelegenheidsector niet alleen min of meer buiten onderhavige mededeling valt, maar ook geen voorwerp vormt van de discussie over gegevensbescherming in Europa. Hier moet worden uitgegaan van het toch reeds op Europees niveau verrichtte werk, met name van de door de „Groep artikel 29” gedane voorstellen.

3.2   Grotere transparantie voor de betrokkenen

Transparantie is een basisvoorwaarde, willen individuen controle kunnen uitoefenen over hun eigen gegevens en zich van een effectieve bescherming van hun persoonsgegevens kunnen verzekeren. De Commissie zal nadenken over een algemeen beginsel van transparante verwerking van persoonsgegevens, specifieke verplichtingen voor de voor verwerking verantwoordelijken, met name betreffende kinderen, standaardformulieren („privacyverklaringen”) en een verplichte kennisgeving bij een inbreuk in verband met persoonsgegevens.

3.2.1   Die standaardformulieren, wel op basis van vrijwillig gebruik, vallen toe te juichen omdat daarmee belangenconflicten kunnen worden voorkomen.

3.2.2   Transparantie betreft niet noodzakelijkerwijs eenzijdig opgelegde contractvoorwaarden. Het gaat meer om regels ten behoeve van betere bescherming tegen onredelijke voorwaarden.

3.2.3   De Commissie besteedt te weinig aandacht aan kwesties in verband met de persoonlijke levenssfeer van kinderen. Het zog. „recht om vergeten te worden”, dwz. het recht op het wissen van gegevens over als kind begane misstappen of van tienermisdrijven zou wel eens niet uit te oefenen kunnen zijn (zie par. 3.3.2).

3.2.4   In de nieuwe regels moet een duidelijk onderscheid worden gemaakt tussen de gegevensverwerker en de voor verwerking verantwoordelijke. Zulks om verwarring omtrent hun identiteit en hun rechten en plichten te vermijden.

3.2.5   Het Comité kan zich vinden in de verplichte inbreukmelding maar denkt niet dat die per se in alle sectoren hoeft te gelden.

3.3   Grotere zeggenschap over de eigen gegevens

Belangrijke voorwaarden zijn dat de verwerking wordt beperkt tot wat voor het beoogde doel noodzakelijk is (beginsel van minimalisering van de gegevensverwerking) en dat de betrokkenen daadwerkelijk zeggenschap behouden over hun eigen gegevens. De Commissie zal aandacht besteden aan het minimaliseringsbeginsel, verbetering van de toegangsrechten, correctie, wissen of afschermen van gegevens, het recht om te worden vergeten en het waarborgen van de expliciete rechten aangaande gegevensportabiliteit.

3.3.1   Algemeen gesproken, steunt het EESC iedere maatregel om privacy beter te beschermen. Het individu moet vrije toegang tot alle over hem verzamelde gegevens hebben. Vrije toegang tot kredietwaardigheidgegevens moet nog overdacht worden. Ongemotiveerde intrekking van toestemming en het recht om te worden vergeten zijn fundamenteel, maar in de eerste plaats zou de eerbiediging van de persoonlijke levenssfeer erbij gebaat zijn wanneer er minder gegevens zouden worden verzameld. De Commissie wordt dan ook verzocht om het voorgestelde beginsel van minimalisering van de gegevensverwerking in de praktijk te brengen.

3.3.2   Het recht „om te worden vergeten” klinkt mooi, maar is moeilijk te verwezenlijken. Staan gegevens eenmaal op internet, dan kunnen ze zich razendsnel verspreiden en de technologie is nog lang niet zo ver dat een schrapping volkomen absoluut is.

3.4   Bewustmaking

Bewustmaking moet worden gestimuleerd, alsook duidelijke verschaffing van informatie op websites over de rechten van het individu en de plichten van de voor de verwerking verantwoordelijken. Het gebrek aan besef speelt met name onder jongeren.

3.4.1   Vooral omdat de snelle uitbreiding van sociale netwerken niet gepaard is gegaan met besef bij de gebruikers van de gevolgen van de hoeveelheid gegevens die zij etaleren, zal gedragsverandering nog een heel karwei vormen. In principe zouden verplichte bewustmakingsberichten door iedere internetdienst een goede zaak zijn, maar dat kan problemen voor het bedrijfsleven opleveren. Nagedacht zou moeten worden over bewustmakingsprotocols per soort dienst - internethandel, ISP's, zoekmachines, sociale netwerken, enz.

3.4.2   Het Comité kan zich vinden in het voornemen van de Commissie om EU-middelen voor de ondersteuning van bewustmakingsacties ter beschikking te stellen. Het zou graag zien dat die middelen ook voor de acties van de sociale partners en organisaties van het maatschappelijk middenveld op nationaal en Europees niveau toegankelijk zijn.

3.5   Zorgen voor geïnformeerde en vrije toestemming

De Commissie zal onderzoeken hoe de regels inzake het verlenen van toestemming kunnen worden verduidelijkt en verbeterd.

3.5.1   De soorten toestemming moeten gekoppeld blijven aan het soort gegevens dat wordt verwerkt en niet aan het soort technologie dat wordt gebruikt. Wanneer via internet toestemming wordt gegeven, dan volgt er meestal echter geen ontvangstbevestiging en ook bestaan er vaak geen efficiënte mechanismen om de intrekking van de toestemming te registreren. Voorts kan het zijn dat het geven van toestemming gepaard gaat met het aanklikken van een vakje waardoor men verklaart akkoord te gaan met een hele serie voorwaarden, maar waarvan toestemming slechts een klein onderdeel is. Het zou dienstig zijn wanneer toestemming i.v.m. gegevenscontrole via een eenvoudig en separaat document wordt gegeven, zodat er sprake is van inhoudelijke, geïnformeerde en specifieke toestemming.

3.5.2   Verwerking van persoonsinformatie is cruciaal voor organisaties en bedrijven die hun activiteiten via het internet uitvoeren. De „default option” (de exploitant garandeert automatisch (d.w.z. stilzwijgend) de privacy van verstrekte gegevens is zonder meer gunstig voor de exploitant maar kan, indien deze oneerlijk wordt toepast, de klant schaden. Het gebruik van de optie moet worden verduidelijkt zodat alle exploitanten verplicht zijn hun klanten automatisch privacy te bieden als zij dat willen.

3.5.3   Een eerlijk contract is een voorwaarde voor uit vrije wil gegeven toestemming. Er moeten beginselen worden geformuleerd om oneerlijke handelspraktijken te voorkomen.

3.6   Bescherming van gevoelige gegevens

De Commissie zal overwegen om de definitie van „gevoelige gegevens” uit te breiden tot bijv. genetische gegevens en nadenken over verdere harmonisatie van de voorwaarden voor de verwerking van gevoelige gegevens.

3.6.1   De huidige definitie van gevoelige gegevens moet worden verduidelijkt omdat het aantal categorieën van elektronische gegevens over het individu alleen maar toeneemt. Het Comité maakt zich zorgen over het wijdverspreide en ongedifferentieerde gebruik van bewakingscamera's. Wetten die misbruik van de verkregen beelden aan banden leggen moeten worden gehandhaafd. Een andere omstreden kwestie zijn GPRS-data over de plaats waar het individu zich bevindt. Ook neemt de vergaring van biometrische gegevens toe. De definitie moet dergelijke nieuwe technologieën en methoden omvatten, maar dient dusdanig geformuleerd te zijn dat zij niet in de weg staat aan nieuwe technologische ontwikkelingen. Het zou nodig kunnen zijn om voor bepaalde gevallen beginselen vast te stellen. Overigens is het Comité voorstander van correct gebruik van deze nieuwe technologieën.

3.6.2   Ook moeten gevoelige gegevens beter worden beschermd en zou voor bepaalde gegevens encryptie verplicht moeten worden. Daarbij moeten de best mogelijke technologieën worden gebruikt. De voor de verwerking verantwoordelijken zouden aansprakelijk voor veiligheidslekken moeten zijn.

3.7   Corrigerende maatregelen en sancties doeltreffender maken

De Commissie zal nagaan of de bevoegdheid om een zaak bij de nationale rechter aanhangig te maken, kan worden uitgebreid en of er eventueel strafsancties voor ernstige inbreuken moeten worden ingevoerd.

3.7.1   Gegeven de mogelijke conflicten tussen de privacy van het individu enerzijds en de commerciële exploitatie van zijn persoonsgegevens en de op het spel staande grote belangen anderzijds moeten de mensen steeds beter weten waarom er gegevens over hen worden vergaard en hoe zij daarna controle kunnen uitoefenen. Daarom denkt het Comité dat doeltreffende opties voor handhaving en herstel cruciaal zijn voor een werkelijk „alomvattend” project. Voorts dient ook de grensoverschrijdende dimensie te worden afgedekt.

3.7.2   Onderzocht moet worden of er groepsacties kunnen worden ingesteld wanneer er sprake is van extreme beschermingsfouten. Ook moet worden gekeken naar mogelijkheden voor bedrijfs- en beroepsorganisaties en vakverenigingen om in individuele gevallen een zaak in te leiden.

4.   Verder uitwerken van de internemarktdimensie

4.1   Vergroten van de rechtszekerheid en scheppen van gelijke voorwaarden voor verantwoordelijken voor gegevensbescherming

Gegevensbescherming heeft in de EU een sterke internemarktdimensie. De Commissie zal onderzoeken hoe de EU-regelingen voor die bescherming verder kunnen worden geharmoniseerd.

4.1.1   Het strekt tot bezorgdheid dat Richtlijn 95/46 de lidstaten teveel ruimte laat met alle omzettingsproblemen van dien. Hier zou een verordening wellicht meer zekerheid hebben geboden. Harmonisatie moet gestalte krijgen aan de hand van een serie normen waarmee aan de in de Richtlijn gestelde vereisten kan worden voldaan.

4.1.2   In de mededeling wordt nergens melding gemaakt van werknemers en hun toegang tot de door hun werkgever aangehouden persoonsgegevens. Multinationals kunnen eventueel bestanden binnen en buiten de Unie aanhouden en daarom moeten in de nieuwe wetgeving de toegangsrechten van de werknemers duidelijk worden aangegeven.

4.2   De administratieve lasten verminderen

De Commissie zal verschillende mogelijkheden onderzoeken om het bestaande aanmeldingssysteem te vereenvoudigen en te harmoniseren, onder meer het opstellen van een eenvormig registratieformulier dat voor de hele EU zou kunnen gelden. Ook zouden aanmeldingen op internet kunnen worden gepubliceerd.

4.2.1   Het Comité steunt deze initiatieven volkomen.

4.3   Verduidelijken van de regels met betrekking tot het toepasselijke recht en de verantwoordelijkheid van de lidstaten

Het is voor de voor gegevensverwerking verantwoordelijken en voor de gegevensbeschermingsautoriteiten niet altijd duidelijk welke lidstaat verantwoordelijk is en welk recht moet worden toegepast wanneer er meerdere lidstaten betrokken zijn. De complexiteit neemt ook toe ten gevolge van de globalisering en de technologische ontwikkelingen. De Commissie zal onderzoeken hoe te komen tot een herziening en verduidelijking van de bestaande regels betreffende het toepasselijke recht om zo de rechtszekerheid te vergroten en de verantwoordelijkheid van de lidstaten duidelijker te omschrijven.

4.3.1   Voor EU-burgers en dient binnen de Unie, ongeacht waar de gegevens zich bevinden, het recht van de lidstaat van de voor de verwerking verantwoordelijke het toepasselijk recht te zijn. Voor te beschermen deelnemers aan de gegevensuitwisseling, met name werknemers en consumenten in de Unie, moeten materieel en procedureel de gegevensbeschermingsregels gelden van het land waar zij gewoonlijk verblijven.

4.4   Uitbreiden van de verantwoordelijkheid van de voor de verwerking verantwoordelijke

De Commissie zal nagaan hoe het best kan worden verzekerd dat de voor gegevensverwerking verantwoordelijken de facto een beleid voeren en mechanismen instellen om te bereiken dat de regels inzake gegevensbescherming worden nageleefd. Verder zal zij nadenken over het verplicht maken van de aanstelling van een onafhankelijke functionaris voor gegevensbescherming en het harmoniseren van diens taken en bevoegdheden en een effectbeoordeling uit een oogpunt van gegevensbescherming. Ook zal zij het gebruik van PET's en van de mogelijkheden om concrete invulling te geven aan het begrip „ingebouwde privacy” blijven promoten.

4.4.1   PET's en ingebouwde privacy bieden mogelijkheden om de vrijheid van handelen van de verwerkingsverantwoordelijken in te tomen. Die personen kunnen immers onder druk komen te staan door de commerciële prioriteiten van hun organisaties. De Commissie wordt dan ook dringend verzocht om verdere studie naar en ontwikkeling van deze instrumenten op te starten. Die kunnen er namelijk toe dienen om gegevensbescherming te verhogen en belangenconflicten uit de wereld te helpen. Het zou ideaal zijn als die instrumenten verplicht zouden worden.

4.4.2   Voor alle duidelijkheid: de voor verwerking verantwoordelijke dient verantwoordingsplichtig te zijn voor alle aspecten van de verwerking. Gaat het om onderaannemers of operaties in een ander land, dan moeten de privacyverplichtingen integraal in de overeenkomst worden opgenomen.

4.4.3   Voorts moet er in iedere lidstaat een professionele instelling bestaan die verantwoordelijk is voor de vaardigheden en certificering van de functionaris voor gegevensbescherming.

4.4.4   Ook moet de uitvoering van de hier besproken bepalingen stroken met de in par. 4.2 behandelde doelstelling (vereenvoudiging van de administratieve lasten voor de verantwoordelijken).

4.5   Aanmoediging van zelfregulering en onderzoek naar EU-certificeringsregelingen

De Commissie zal zoeken naar middelen om zelfregulering (zoals via het gebruik van gedragscodes) verder aan te moedigen en zal ook de haalbaarheid van EU-certificeringsregelingen bekijken.

4.5.1   Zoals in par. 3.7.1 opgemerkt, acht het Comité wetshandhaving en herstel cruciaal. De Commissievoorstellen verdienen aanbeveling in zoverre zij ertoe bijdragen om de enorme regelgevingslasten voor het bedrijfsleven te verlichten. Iedere lidstaat zou geld moeten uittrekken voor een compendium of richtsnoeren voor goede praktijken.

5.   Herziening van de voorschriften inzake gegevensbescherming in het kader van de politiële en justitiële samenwerking in strafzaken

Het EU-instrument voor de bescherming van persoonsgegevens in het kader van de politiële en justitiële samenwerking in strafzaken is Kaderbesluit 2008/977/JBZ. Het herbergt veel gebreken en dat kan directe gevolgen hebben voor de mogelijkheid van individuen om in deze context hun recht op gegevensbescherming uit te oefenen (d.w.z. te weten welke persoonsgegevens over hen worden verwerkt en uitgewisseld, door wie en met welk doel, en hoe zij hun rechten – bijv. het recht om hun gegevens in te zien – kunnen uitoefenen).

Ook zal de Commissie onderzoek doen naar de uitbreiding van de toepassing van de algemene regels inzake gegevensbescherming tot de politiële en justitiële samenwerking in strafzaken en de invoering van nieuwe regels voor bijv. verwerking van genetische gegevens. Ook wil zij een raadpleging houden over de herziening van de toezichtsregelingen op dit gebied en bekijken of het op de lange termijn noodzakelijk is om de diverse sectorspecifieke voorschriften te harmoniseren met het nieuwe algemene wettelijke kader voor gegevensbescherming.

5.1   Het Comité beseft dat aan de politiële samenwerking tussen landen gevoeligheden kleven, maar acht het essentieel dat er altijd maximaal oog bestaat voor grondrechten, inclusief de bescherming van persoonsgegevens. Het vreest namelijk dat fundamentele rechten vaak worden geschonden door, oneigenlijke, bezorgdheden over veiligheid. Het individu moet beter worden geïnformeerd over de methoden waarmee en de doelstellingen ten behoeve waarvan de autoriteiten persoonsgegevens vergaren via telefoonrekeningen, bankrekeningen, controles op luchthavens, enz.

6.   De wereldwijde dimensie van gegevensbescherming

6.1   De regels voor internationale doorgifte van gegevens verduidelijken en vereenvoudigen

De Commissie zal onderzoeken hoe het mogelijk is om:

—	de bestaande procedures voor de internationale doorgifte van gegevens te verbeteren en te harmoniseren om te komen tot een meer eenvormige en coherente EU-aanpak ten opzichte van derde landen en internationale organisaties,

—	beter de criteria en eisen te omschrijven die worden gehanteerd bij de beoordeling van het beschermingsniveau in een derde land of bij een internationale organisatie,

—	vaste onderdelen voor de gegevensbescherming door de EU vast te stellen die kunnen worden gebruikt voor internationale overeenkomsten.

6.1.1   Het Comité steunt deze waardevolle initiatieven en hoopt dat de Commissie voor overeenstemming in brede internationale kring kan zorgen. Zonder die eensgezindheid zou het haar voorstellen wel eens aan de nodige efficiëntie kunnen ontbreken.

6.2   Bevordering van universele beginselen

De Europese Unie moet een stuwende kracht blijven achter de ontwikkeling en de bevordering van internationale wettelijke en technische normen voor de bescherming van persoonsgegevens. Daarom zal de Commissie actief zijn op het gebied van internationale normalisatie en zulks in samenwerking met derde landen en internationale organisaties als de OESO.

6.2.1   Ook hier steunt het Comité de voorstellen. Gegeven de mondiale aard van internet moeten de regels en richtsnoeren van de respectieve continenten onderling verenigbaar zijn. Persoonsgegevens moeten grensoverschrijdend worden beschermd. Er bestaan reeds OESO-richtsnoeren en ook is er Conventie 108 van de Raad van Europa. Die conventie wordt momenteel herzien. De Commissie moet ervoor zorgen dat de nieuwe richtlijn met die conventie overeenstemt.

7.   Een betere institutionele regeling voor handhaving van de voorschriften inzake Gegevensbescherming

De Commissie zal onderzoeken:

—	hoe de rechtspositie en de bevoegdheid van de nationale gegevensbeschermingsautoriteiten kan worden verbeterd, verduidelijkt en geharmoniseerd;

—	hoe de samenwerking en coördinatie tussen gegevensbeschermingsautoriteiten kan worden verbeterd;

—

hoe kan worden gezorgd voor een meer eenvormige toepassing in de hele interne markt van de EU-regels inzake gegevensbescherming. Daarbij kan worden gedacht aan — uitbreiding van de rol van de nationale toezichthouders voor gegevensbescherming; — een betere coördinatie van hun werkzaamheden door de Groep artikel 29; — invoering van een mechanisme dat onder het gezag van de Commissie de eenvormigheid binnen de interne markt moet bewaken.

7.1   Zoals opgemerkt, is het Comité zeer gespitst op handhaving en correctie en daarom zijn deze voorstellen essentieel. Het kan zich vinden in de woorden „verbeterd, verduidelijkt en geharmoniseerd” en „samenwerking en coördinatie”. Hetzelfde geldt voor het algemene streven van de Commissie naar een meer eenvormige toepassing van de EU-regels inzake gegevensbescherming in alle lidstaten. Het stemt echter tot zorg dat wellicht nog niet alle 12 nieuwe lidstaten Richtlijn 95/46 volledig en doelmatig hebben omgezet.

7.2   Over het algemeen missen de nationale gegevensbeschermingsautoriteiten slagkracht, zijn ze overbelast en dient hun onafhankelijkheid te worden versterkt. Iedere nieuwe richtlijn zou het vereiste moeten bevatten dat die autoriteiten over de rechtspositie, het gezag en de middelen beschikken om hun werk te doen. Hun taken en middelen moeten op pan-Europese basis worden omschreven. Ook moet worden nagedacht over de aanstelling van een EU- supervisor voor gegevensbescherming aan te stellen.

7.3   Ten slotte: gezien de bijdrage die de „Groep artikel 29” tot op heden heeft geleverd tot de bescherming van het individu op het gebied van verwerking van persoonsgegevens, blijft er een belangrijke rol voor haar weggelegd.

---

---