Accept Refuse

EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Document 52011XX0726(01)

Advies van de Europese Toezichthouder voor gegevensbescherming over het voorstel voor een richtlijn van het Europees Parlement en de Raad tot wijziging van de Richtlijnen 89/666/EEG, 2005/56/EG en 2009/101/EG wat de koppeling van centrale, handels- en vennootschapsregisters betreft

OJ C 220, 26.7.2011, p. 1–11 (BG, ES, CS, DA, DE, ET, EL, EN, FR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

26.7.2011   

NL

Publicatieblad van de Europese Unie

C 220/1


Advies van de Europese Toezichthouder voor gegevensbescherming over het voorstel voor een richtlijn van het Europees Parlement en de Raad tot wijziging van de Richtlijnen 89/666/EEG, 2005/56/EG en 2009/101/EG wat de koppeling van centrale, handels- en vennootschapsregisters betreft

2011/C 220/01

DE EUROPESE TOEZICHTHOUDER VOOR GEGEVENSBESCHERMING,

Gezien het Verdrag betreffende de werking van de Europese Unie, met name artikel 16,

Gezien het Handvest van de grondrechten van de Europese Unie, met name de artikelen 7 en 8,

Gezien Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1),

Gezien het verzoek om een advies overeenkomstig artikel 28, lid 2, van Verordening (EG) nr. 45/2001 van het Europees Parlement en de Raad van 18 december 2000 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de communautaire instellingen en organen en betreffende het vrije verkeer van die gegevens (2),

HEEFT HET VOLGENDE ADVIES VASTGESTELD:

I.   INLEIDING

1.

Op 24 februari 2011 heeft de Europese Commissie een voorstel aangenomen voor een richtlijn van het Europees Parlement en de Raad tot wijziging van de richtlijnen 89/666/EEG, 2005/56/EG en 2009/101/EG wat de koppeling van centrale, handels- en vennootschapsregisters betreft (3) (hierna het „voorstel” genoemd) en vervolgens de Europese Toezichthouder voor gegevensbescherming (EDPS) geraadpleegd.

2.

De EDPS is verheugd dat hij in overeenstemming met artikel 28, lid 2, van Verordening (EG) nr. 45/2001 hieromtrent is geraadpleegd en dat naar dit advies wordt verwezen in de overwegingen van het voorstel.

1.1.   Doelstellingen van het voorstel

3.

Doel van het voorstel is het bevorderen en intensiveren van de grensoverschrijdende samenwerking en informatie-uitwisseling tussen ondernemingsregisters in de Europese Economische Ruimte, waarbij tegelijkertijd gestreefd wordt naar een grotere transparantie en betrouwbaarheid van de informatie die over de grenzen heen wordt verstrekt. Het invoeren van effectieve administratieve samenwerkingsprocedures met betrekking tot de ondernemingsregisters is cruciaal om het vertrouwen in de Europese interne markt te verbeteren, namelijk door een veiliger ondernemingsklimaat voor consumenten, crediteuren en andere zakelijke partners te waarborgen, de administratieve belasting te verminderen en de rechtszekerheid te vergroten. Het versterken van de samenwerking tussen ondernemingsregisters in Europa is met name van belang bij de administratieve procedures voor grensoverschrijdende fusies, de verplaatsing van zetels en het bijwerken van de registratie van buitenlandse bijkantoren wanneer er geen of beperkte samenwerkingsmechanismen bestaan.

4.

Tegen deze achtergrond wordt met dit voorstel beoogd om de drie bestaande richtlijnen in de volgende geest te wijzigen:

De wijzigingen in Richtlijn 2009/101/EG (4) zijn bedoeld om de grensoverschrijdende toegang tot officiële informatie te vergemakkelijken door i) een elektronisch netwerk van registers op te richten en ii) een gemeenschappelijke minimumreeks van actuele gegevens vast te stellen die langs elektronische weg via een gemeenschappelijk Europees meertalig platform/toegangspunt aan derden beschikbaar moeten worden gesteld;

De wijzigingen in Richtlijn 89/666/EEG (5) moeten waarborgen dat het ondernemingsregister waar een vennootschap staat ingeschreven aan alle registers in Europa waar buitenlandse bijkantoren van die vennootschap staan ingeschreven, actuele informatie verstrekt over de juridische status van het bedrijf;

De wijzigingen in Richtlijn 2005/56/EG (6) zijn bedoeld om het samenwerkingskader tussen ondernemingsregisters te verbeteren met het oog op de gegevensoverdracht bij procedures voor grensoverschrijdende fusies.

1.2.   Context van het voorstel

5.

Elke lidstaat maakt op nationaal, regionaal of lokaal niveau gebruik van ondernemingsregisters. In 1968 zijn er gemeenschappelijke regels vastgesteld voor minimumnormen voor de openbaarmaking (registratie en publicatie) van bedrijfsinformatie (7). Sinds 1 januari 2007 moeten lidstaten ook elektronische ondernemingsregisters bijhouden (8) en derden de mogelijkheid bieden om de inhoud van het register online te bekijken.

6.

De samenwerking tussen ondernemingsregisters uit verschillende lidstaten is expliciet voorgeschreven door een aantal Europese wetgevingsinstrumenten teneinde grensoverschrijdende fusies van kapitaalvennootschappen (9) te bevorderen, evenals de grensoverschrijdende verplaatsing van zetels van de Europese vennootschap (SE) (10) en van de Europese Coöperatieve Vennootschap (SCE) (11).

7.

In 1992 is er een samenwerkingsmechanisme op vrijwillige basis gecreëerd met betrekking tot ondernemingsregisters in Europa. Op dit moment combineert het zogeheten Europese ondernemingsregister (hierna „EBR” genoemd) (12) de officiële ondernemingsregisters van negentien lidstaten en van zes andere Europese landen. Tussen 2006 en 2009 heeft het EBR aan een onderzoeksproject met de titel BRITE (13) deelgenomen. Doel van het project was het ontwikkelen van een technologisch platform voor de interoperabiliteit van ondernemingsregisters in Europa. In de effectbeoordeling ter onderbouwing van het voorstel wordt echter aangegeven dat het EBR met aanzienlijke uitdagingen geconfronteerd wordt met betrekking tot zijn uitbreiding, financiering en bestuur: volgens die effectbeoordeling is het samenwerkingsmechanisme in zijn huidige vorm niet volledig afgestemd op de behoeften van potentiële gebruikers.

1.3.   Synergieën met andere initiatieven

8.

In de toelichting op het voorstel wordt opgemerkt dat het Europees portaal voor e-justitie (14) het centrale toegangspunt moet worden voor juridische informatie, juridische en overheidsinstellingen, registers, databanken en andere diensten in de EU. Daarnaast wordt bevestigd dat het voorstel een aanvulling op het e-justitie-project vormt en een bijdrage moet leveren aan het toegankelijker maken van bedrijfsinformatie via dit portaal.

9.

Uit de effectbeoordeling blijkt dat het informatiesysteem voor de interne markt (IMI) een ander project is dat mogelijk tot synergieën kan leiden (15). Het IMI is een elektronisch instrument dat is opgezet om de dagelijkse administratieve samenwerking tussen overheidsinstellingen te bevorderen in de context van de Dienstenrichtlijn (2006/123/EG) en de Richtlijn inzake beroepskwalificaties (2005/36/EG). Op dit moment wordt er gewerkt aan de uitbreiding van het IMI. Volgens de effectbeoordeling zou het IMI mede gebruikt kunnen worden ter ondersteuning van de handhaving van andere richtlijnen, ook op het gebied van het vennootschapsrecht.

II.   RELEVANTE BEPALINGEN VAN HET VOORSTEL

10.

Middels artikel 3 van het voorstel wordt Richtlijn 2009/101/EG op een aantal punten gewijzigd. Twee van die amendementen zijn van bijzonder belang voor de gegevensbescherming.

2.1.   Publicatie van informatie via een gemeenschappelijk Europees elektronisch platform/toegangspunt

11.

In artikel 2 van Richtlijn 2009/101/EG zoals die op dit moment van kracht is, wordt al bepaald dat er een bepaalde minimumhoeveelheid informatie in een ondernemingsregister in elke lidstaat openbaar gemaakt moet worden zodat derden de betreffende gegevens van bedrijven kunnen controleren. Zoals hierboven toegelicht onder punt 1.2, moeten lidstaten ook elektronische ondernemingsregisters bijhouden en derden online toegang geven tot de inhoud van die registers.

12.

In artikel 2 worden elf items genoemd met betrekking tot de primaire bedrijfsinformatie die verplicht openbaar gemaakt moeten worden, waaronder:

de oprichtingsakte, statuten en alle wijzigingen daarop;

het geplaatste kapitaal;

de boekhoudbescheiden;

alle verplaatsingen van de zetel van de vennootschap;

de ontbinding, een rechterlijke nietigheidsbeslissing, de benoeming van vereffenaars, de beëindiging van de liquidatie en de doorhaling in het register.

13.

Vanuit het perspectief van gegevensbescherming is het eveneens belangrijk dat artikel 2 ook „de benoeming, het aftreden alsmede de identiteit” (onderstreping toegevoegd) voorschrijft van de personen die i) de bevoegdheid hebben om de vennootschap te vertegenwoordigen en/of ii) anderszins deelnemen aan „het bestuur van, het toezicht of de controle op de vennootschap”.

14.

De lijst met items die op grond van artikel 2 verplicht openbaar gemaakt moeten worden, is in het voorstel niet veranderd. Daarnaast is ook niet nieuw dat alle lidstaten deze informatie op elektronische wijze openbaar moeten maken. Nieuw in het voorstel is wel dat de informatie die tot nu toe op gefragmenteerde wijze beschikbaar was (vaak slechts in lokale talen of via lokale websites), nu via een gemeenschappelijk Europees platform/toegangspunt eenvoudig en binnen een meertalige omgeving toegankelijk moet zijn.

15.

Te dien einde wordt voorgesteld om een nieuw artikel 3 bis in de richtlijn op te nemen waarin het navolgende wordt neergelegd: „De lidstaten dragen er zorg voor dat de in artikel 2 bedoelde akten en gegevens die bij hun register zijn neergelegd, op aanvraag langs elektronische weg door eenieder kunnen worden verkregen via één enkel Europees elektronisch platform dat vanuit elke lidstaat toegankelijk is.” De invulling van de details wordt in het voorstel overgelaten aan gedelegeerde handelingen.

2.2.   Interoperabiliteit en onderlinge koppeling van de ondernemingsregisters: opzetten van een elektronisch netwerk

16.

In het voorstel is ook de toevoeging van een nieuw artikel 4 bis aan diezelfde Richtlijn 2009/101/EG voorzien, waarin het volgende wordt bepaald: „De lidstaten nemen de nodige maatregelen om ervoor te zorgen dat de [ondernemingsregisters] interoperabel zijn en een elektronisch netwerk vormen”. Ook in dit geval moet de invulling van de details via gedelegeerde handelingen plaatsvinden.

2.3.   Bepalingen over gegevensbescherming

17.

Teneinde de punten van zorg op gegevensbeschermingsgebied te ondervangen voorziet het voorstel in alle drie te wijzigen richtlijnen in de toevoeging van een artikel over gegevensbescherming, waarin het volgende vereiste is neergelegd: „Op de verwerking van persoonsgegevens in het kader van deze richtlijn is het bepaalde in Richtlijn 95/46/EG […] van toepassing.”

III.   OPMERKINGEN EN AANBEVELINGEN VAN DE EDPS

3.1.   Inleiding: inspelen op de behoeften op het gebied van transparantie en privacy

18.

De EDPS deelt het standpunt van de Commissie dat i) het gebruik van ICT-technologieën de efficiëntie van de samenwerking met betrekking tot ondernemingsregisters kan vergroten en dat ii) een betere toegang tot de informatie in ondernemingsregisters tot een grotere transparantie kan leiden. Dat betekent dat de EDPS de doelstellingen van het voorstel ondersteunt en dat zijn opmerkingen tegen die constructieve achtergrond gelezen moeten worden.

19.

Tegelijkertijd benadrukt de EDPS dat een betere toegankelijkheid van persoonsgegevens ook grotere risico’s voor die gegevens met zich meebrengt. Hoewel het bijvoorbeeld eenvoudiger kan worden om eenduidig vast te stellen welke personen bepaalde bedrijven in rechte mogen vertegenwoordigen als hun privéadressen worden vermeld, zou dit ook een negatieve invloed kunnen hebben op de rechten van die personen met betrekking tot de bescherming van hun persoonsgegevens. Dat geldt met name voor persoonsgegevens die via internet in digitale vorm in meerdere talen op grote schaal eenvoudig toegankelijk zijn via een Europees platform/toegangspunt.

20.

Nog niet zo lang geleden werden persoonsgegevens uit ondernemingsregisters (bijvoorbeeld naam, adres en een kopie van de handtekening van een directeur) op papier en in een lokale taal verstrekt, vaak na een persoonlijk bezoek van de aanvrager aan een plaatselijk registratiekantoor. Het is belangrijk om te onderkennen dat deze situatie kwalitatief verschilt van een openbaarmaking van gegevens in digitale vorm via een nationaal elektronisch toegangspunt. De openbaarmaking van persoonsgegevens via eenvoudig toegankelijke Europese platforms/toegangspunten gaat nog een stap verder. Hierdoor wordt de toegankelijkheid van informatie weliswaar nog meer vergroot, maar zijn de risico’s voor de bescherming van de persoonsgegevens van de betrokken personen ook navenant groter.

21.

Tot die privacyrisico’s (als gevolg van de eenvoudige toegankelijkheid van gegevens in digitale vorm via een gemeenschappelijk elektronisch toegangspunt) behoren identiteitsdiefstal en andere criminele activiteiten, evenals het risico dat de informatie die openbaar is gemaakt, na „profilering” van de betreffende personen op illegale wijze door bedrijven voor commerciële doeleinden wordt verzameld en gebruikt op een wijze die oorspronkelijk niet in de bedoeling lag. Zonder adequate waarborgen kan de informatie ook aan anderen worden verkocht of met andere informatie worden gecombineerd en terug worden verkocht aan de overheid om gebruikt te worden voor onbedoelde en niet-openbare doeleinden (bijvoorbeeld voor het handhaven van de belastingwetgeving of voor andere strafrechtelijke of administratieve onderzoeken) zonder dat daarvoor een adequate rechtsgrondslag bestaat (16).

22.

Derhalve moet zorgvuldig worden beoordeeld welke persoonlijke informatie via het gemeenschappelijke Europese platform/toegangspunt beschikbaar gesteld moet worden en welke aanvullende waarborgen er qua gegevensbescherming moeten worden gehanteerd (met inbegrip van technische maatregelen om zoek- en downloadopties en data mining te beperken).

3.2.   Essentiële waarborgen voor de gegevensbescherming moeten in het voorstel zelf opgenomen worden en mogen niet via gedelegeerde handelingen worden geregeld

23.

Zoals eerder opgemerkt in de punten 2.1 en 2.2 hebben de voorgestelde artikelen 3 bis en 4 bis van Richtlijn 2009/101/EG een zeer algemeen karakter en worden veel belangrijke kwesties aan gedelegeerde handelingen overgelaten.

24.

Hoewel de EDPS onderkent dat een flexibele opstelling noodzakelijk is en er dus ook behoefte is aan gedelegeerde handelingen, moet worden benadrukt dat de vereiste waarborgen voor de gegevensbescherming essentiële elementen zijn die duidelijk, specifiek en direct in de tekst van de voorgestelde richtlijn moeten worden opgenomen. In dat opzicht kunnen die waarborgen niet worden aangemerkt als „niet-essentiële onderdelen” die in latere gedelegeerde handelingen geregeld kunnen worden op grond van het bepaalde in artikel 290 van het Verdrag betreffende de werking van de Europese Unie.

25.

De EDPS doet derhalve de aanbeveling om in het voorstel specifiekere bepalingen over gegevensbescherming op te nemen en niet te volstaan met een verwijzing naar Richtlijn 95/46/EG (zie de punten 3.4 tot en met 3.13). Vervolgens kunnen er aanvullende bepalingen met betrekking tot de uitvoering van specifieke waarborgen in gedelegeerde handelingen worden opgenomen na raadpleging van de EDPS en, waar van toepassing, de nationale instanties voor gegevensbescherming (zie onderstaande punten 3.5, 3.6, 3.8, 3.9, 3.10, 3.12 en 3.13).

3.3.   Andere essentiële elementen van de voorgestelde maatregelen moeten ook in het voorstel zelf worden verduidelijkt

26.

In het voorstel wordt niet alleen voorbijgegaan aan belangrijke waarborgen voor de gegevensbescherming, maar blijven ook andere vragen onbeantwoord. Meer in het bijzonder wordt het aan gedelegeerde handelingen overgelaten om essentiële aspecten vast te stellen van de wijze waarop de voorgestelde i) koppeling van ondernemingsregisters en ii) het openbaar maken van gegevens in praktijk gebracht moeten worden.

27.

Duidelijkheid over dergelijke essentiële onderdelen van het voorstel is een noodzakelijke voorwaarde om tot adequate waarborgen voor gegevensbescherming te kunnen komen. De EDPS beveelt dan ook aan om de uitwerking van die essentiële onderdelen in de voorgestelde richtlijn zelf op te nemen (zie onderstaande punten 3.4 en 3.5).

3.4.   Bestuur: de bestuurlijke taken, bevoegdheden en verantwoordelijkheden moeten in de voorgestelde richtlijn worden verduidelijkt

28.

Volgens het onderhavige voorstel moeten de regels voor het bestuur, het beheer, de werking en de vertegenwoordiging van het elektronische netwerk worden vastgesteld via gedelegeerde handelingen (17).

29.

In de effectbeoordeling en de toelichting wordt weliswaar gewag gemaakt van enkele synergieën met het IMI en het portaal voor e-justitie, maar de tekst van het voorstel maakt verder niet duidelijk hoe deze synergieën gerealiseerd moeten worden (bijvoorbeeld door een nieuwe opzet van het EBR, het gebruik van het IMI voor bepaalde gegevensuitwisselingen en/of het gebruik van het portaal voor e-justitie als het platform/toegangspunt voor het verstrekken van informatie uit de ondernemingsregisters aan het publiek).

30.

Ook andere opties worden niet uitgesloten, zoals het uitschrijven van een aanbesteding voor de gunning van het ontwikkelen en exploiteren van het elektronische netwerk. Voorts is niet duidelijk of de Commissie voor zichzelf een directe betrokkenheid voorziet bij de ontwikkeling en exploitatie van het systeem. Ook zouden vertegenwoordigers van de lidstaten bij de bestuurlijke structuur van het elektronische netwerk betrokken kunnen worden.

31.

Hoewel het voorstel in zijn huidige vorm „één enkel Europees elektronisch platform” (onderstreping toegevoegd) voorziet, wordt daarnaast niet uitgesloten dat de tekst later in de wetgevingsprocedure zal worden aangepast met het oog op een meer gedecentraliseerde structuur.

32.

De EDPS merkt bovendien op dat er in het onderhavige voorstel niet specifiek wordt ingegaan op de koppeling van de ondernemingsregisters met andere databanken (zoals bijvoorbeeld het kadaster of de burgerlijke stand), terwijl dit technisch absoluut tot de mogelijkheden behoort (een dergelijke koppeling wordt in een aantal lidstaten ook al in praktijk gebracht) (18).

33.

De keuze voor een van deze opties kan tot volledig verschillende bestuurlijke structuren voor het elektronische netwerk en het elektronische instrument voor de publieke verspreiding leiden. Dat brengt vervolgens weer andere taken en verantwoordelijkheden met zich mee voor de betrokken partijen, hetgeen ook weer tot verschillende taken en verantwoordelijkheden leidt vanuit het perspectief van gegevensbescherming.

34.

In dat opzicht benadrukt de EDPS dat het, in alle situaties waarin persoonsgegevens worden verwerkt, essentieel is om duidelijk vast te stellen welke partij verantwoordelijk is voor de verwerking. Dit wordt ook benadrukt in advies 1/2010 van de Groep gegevensbescherming artikel 29 over de concepten van de „voor de verwerking verantwoordelijke” en de „verwerker” (19). De belangrijkste reden waarom een duidelijke en ondubbelzinnige aanwijzing van de voor de verwerking verantwoordelijke zo cruciaal is, heeft te maken met het feit dat hierdoor bepaald wordt wie er voor de naleving van de gegevensbeschermingsregels verantwoordelijk is en welk recht hierop van toepassing is (20).

35.

In het advies van de Groep artikel 29 wordt hierover het navolgende opgemerkt: „Wanneer niet voldoende duidelijk is wie wat moet doen — bijvoorbeeld wanneer niemand verantwoordelijk is of er juist heel veel mogelijke verantwoordelijken zijn — bestaat uiteraard het risico dat er te weinig (of zelfs niets) gebeurt en dat de wettelijke bepalingen een dode letter blijven.”

36.

De EDPS benadrukt dat er vooral duidelijkheid nodig is in situaties waarin meerdere partijen in een samenwerkingsverband zijn betrokken. Dat is vaak het geval met Europese informatiesystemen die voor publieke doeleinden worden gebruikt en waarvan de verwerkingsdoeleinden in het EU-recht zijn gedefinieerd.

37.

Daarom beveelt de EDPS aan om in de tekst van de richtlijn zelf op een specifieke, duidelijke en ondubbelzinnige manier vast te leggen:

of het netwerk door de Commissie of door een derde geëxploiteerd wordt en of er sprake is van een gecentraliseerde of gedecentraliseerde structuur;

wat de taken en verantwoordelijkheden zijn van alle partijen die bij de gegevensverwerking en het bestuur van het elektronische netwerk betrokken zijn, waaronder de Commissie, de vertegenwoordigers van lidstaten, de beheerders van ondernemingsregisters in de lidstaten en derden; en

wat het verband is tussen de elektronische systemen zoals die in het voorstel zijn voorzien en andere initiatieven, zoals het IMI, het portaal voor e-justitie en het EBR.

38.

Vanuit het perspectief van gegevensbescherming dienen die verduidelijkingen ook specifiek en ondubbelzinnig te zijn om vast te stellen of een bepaalde partij op basis van de voorgestelde richtlijn aangemerkt dient te worden als een „voor de verwerking verantwoordelijke” of als een „verwerker”.

39.

In beginsel dient het voorstel er expliciet toe bij te dragen dat, zoals thans uit het onderhavige voorstel in zijn geheel afgeleid lijkt te moeten worden, de beheerders van ondernemingsregisters en de exploitant(-en) van het systeem als voor de gegevensverwerking verantwoordelijke aangemerkt dienen te worden met betrekking tot hun eigen activiteiten. Dat gezegd hebbende en overwegende dat in het huidige voorstel de bestuursstructuur niet wordt omschreven en ook niet wordt gedefinieerd wie er als exploitant(-en) van het elektronische systeem fungeert/fungeren, kan niet worden uitgesloten dat een of meer van de partijen die het elektronische systeem uiteindelijk in de praktijk exploiteert/exploiteren, veeleer als verwerker dan als een voor de verwerking verantwoordelijke actief zullen zijn. Die situatie zou zich met name kunnen voordoen indien deze activiteit wordt uitbesteed aan een derde die uitsluitend op basis van instructies handelt. Het lijkt er in ieder geval op dat zeker in elke lidstaat meerdere partijen verantwoordelijk voor de verwerking zullen blijven, te weten de partijen die de ondernemingsregisters beheren. Het feit dat hierbij andere (particuliere) partijen als exploitant, „distributeur” of anderszins betrokken kunnen zijn, brengt hierin geen verandering. Om de duidelijkheid en rechtszekerheid te waarborgen, moet dit aspect daarom in de voorgestelde richtlijn worden gespecificeerd.

40.

Niet in de laatste plaats moet in het voorstel ook specifieker en uitgebreider beschreven worden welke verantwoordelijkheden de betreffende taken met zich meebrengen. Zo moet bijvoorbeeld in het voorstel worden opgenomen dat de exploitant(en) moet/moeten waarborgen dat het systeem vanuit het oogpunt van gegevensbescherming op een privacyvriendelijke manier is opgezet.

41.

De EDPS merkt op dat al deze verduidelijkingen ook relevant zijn om vast te stellen welke toezichthoudende instanties op het gebied van gegevensbescherming bevoegd zijn en voor welk soort verwerking van persoonsgegevens die bevoegdheid geldt.

3.5.   De kaders en rechtsgrondslag voor de samenwerkingsprocedures voor gegevensstromen en administratieve activiteiten moeten in de voorgestelde richtlijn worden gedefinieerd

42.

In de huidige vorm lijkt het elektronische netwerk niet bedoeld om alle informatie in elk ondernemingsregister automatisch ter beschikking te stellen van alle andere ondernemingsregisters in iedere lidstaat: het voorstel schrijft uitsluitend voor dat de ondernemingsregisters aan elkaar gekoppeld en interoperabel dienen te zijn, waarmee de voorwaarden worden geschapen om een uitwisseling van en de toegang tot informatie in de toekomst mogelijk te maken. Met het oog op de rechtszekerheid moet in het voorstel toegelicht worden of deze veronderstelling correct is.

43.

Daarnaast wordt in het voorstel niet nader aangegeven welke samenwerkingsprocedures er via de gekoppelde ondernemingsregisters toegepast kunnen worden met betrekking tot gegevensstromen en administratieve procedures (21). Naar de EDPS begrijpt, is er enige flexibiliteit vereist om in te kunnen spelen op behoeften die zich in de toekomst kunnen voordoen. Dat gezegd hebbende is de EDPS van mening dat het essentieel is dat het voorstel het kader aangeeft van de samenwerkingsprocedures voor gegevensstromen en administratieve activiteiten die in de toekomst via het elektronische netwerk toegestaan zijn. Dit is met name van belang om te waarborgen dat i) de gegevensuitwisseling op basis van een solide rechtsgrondslag plaatsvindt, en ii) er adequate waarborgen voor de gegevenbescherming van kracht zijn.

44.

Volgens de EDPS moeten alle gegevensuitwisselingen of andere gegevensverwerkende activiteiten (bijvoorbeeld de openbaarmaking van persoonsgegevens via het gemeenschappelijke platform/toegangspunt) gebaseerd zijn op een bindende Europese wetgevingshandeling die op een solide rechtsgrondslag is aangenomen. Dit moet eenduidig worden vastgelegd in de voorgestelde richtlijn (22).

3.6.   Andere belangrijke kwesties die via gedelegeerde handelingen moeten worden geregeld, dienen eveneens in de voorgestelde richtlijn aan de orde te worden gesteld

45.

Daarnaast wordt in het voorstel aangegeven dat de volgende aspecten via gedelegeerde handelingen geregeld moeten worden (23):

de voorwaarden waaronder landen van buiten de Europese Economische Ruimte aan het elektronische netwerk kunnen deelnemen;

de minimumbeveiligingsnormen voor het elektronische netwerk; en

de vaststelling van normen inzake formaat, inhoud en beperkingen voor het opslaan en opzoeken van akten en gegevens om automatische gegevensuitwisseling mogelijk te maken.

46.

Met betrekking tot het eerste en tweede gedachtestreepje is de EDPS van mening dat er bepaalde essentiële waarborgen in de voorgestelde richtlijn zelf opgenomen moeten worden (zie onderstaande punten 3.12 en 3.13). De nadere uitwerking kan dan in gedelegeerde handelingen worden geregeld.

47.

Met betrekking tot de geautomatiseerde gegevensuitwisseling is de EDPS verheugd dat gedelegeerde handelingen op grond van het voorstel moeten zorgen voor „de vaststelling van normen inzake formaat, inhoud en beperkingen voor het opslaan en opzoeken van akten en gegevens om automatische gegevensuitwisseling mogelijk te maken.”

48.

Om in dit opzicht voor meer duidelijkheid te zorgen, beveelt de EDPS aan om in de voorgestelde richtlijn zelf duidelijk aan te geven dat het elektronische netwerk niet alleen i) per geval specifieke handmatige gegevensuitwisselingen tussen ondernemingsregisters (zoals neergelegd in een wetgevingshandeling van de EU bij bijvoorbeeld fusies of zetelverplaatsingen) mogelijk maakt, maar ook ii) een geautomatiseerde gegevensoverdracht (zoals neergelegd in een wetgevingshandeling van de EU bij bijvoorbeeld het bijwerken van de registratie van buitenlandse bijkantoren).

49.

Om de duidelijkheid nog verder te verbeteren, beveelt de EDPS daarnaast aan dat de voorgestelde tekst voor het relevante artikel 4 bis, lid 3, onder i), zodanig wordt aangepast dat i) gedelegeerde handelingen zowel handmatige als geautomatiseerde gegevensuitwisselingen volledig bestrijken, ii) alle verwerkingsoperaties met betrekking tot persoonsgegevens (dus niet alleen het opslaan en opzoeken van gegevens) onder het toepassingsgebied van die handelingen vallen, en iii) specifieke bepalingen voor de gegevensbescherming in gedelegeerde handelingen er bovendien voor zorgen dat de relevante waarborgen voor die gegevensbescherming in de praktijk worden toegepast.

50.

Ter illustratie zou artikel 4 bis, lid 3, onder i), als volgt aangepast kunnen worden:

„i)

het formaat, de inhoud en de beperkingen voor alle handmatige of geautomatiseerde gegevensverwerkende activiteiten die middels het netwerk plaatsvinden, met inbegrip van het uitwisselen, opslaan en opzoeken van informatie; evenals de eventueel noodzakelijke maatregelen om de praktische toepassing van de relevante waarborgen op het gebied van de gegevensbescherming te garanderen”.

3.7.   De categorieën verwerkte persoonsgegevens moeten beter uitgewerkt worden in de voorgestelde richtlijn

51.

Ter inleiding benadrukt de EDPS dat de namen (en eventueel andere gegevens, zoals privéadressen) van de vertegenwoordigers van bedrijven (en van andere personen die bij het bestuur van de onderneming zijn betrokken) uiteraard de meest voor de hand liggende gegevens vormen die door het elektronisch netwerk verwerkt en/of via het gemeenschappelijk elektronisch platform/toegangspunt openbaar gemaakt mogen worden, maar het zijn zeker niet de enige persoonsgegevens die in ondernemingsregisters opgeslagen zijn.

52.

In de eerste plaats kan een aantal van de documenten die in artikel 2 van Richtlijn 2009/101/EG worden genoemd (bijvoorbeeld de oprichtingsakte, de statuten en boekhoudkundige bescheiden), ook persoonsgegevens van andere individuen bevatten. Dat kunnen onder andere namen, adressen, eventuele identificatienummers en geboortedata zijn of zelfs scans van handtekeningen van uiteenlopende personen, met inbegrip van degenen die het bedrijf hebben opgericht, de aandeelhouders, advocaten, accountants, werknemers en notarissen.

53.

In de tweede plaats kunnen bedrijfsgegevens, wanneer ze aan de naam van een persoon worden gekoppeld (zoals een directeur), ook aangemerkt worden als persoonsgegevens die op die man of vrouw betrekking hebben. Als uit de gegevens van een ondernemingsregister bijvoorbeeld blijkt dat een bepaalde persoon deel uitmaakt van de raad van bestuur van een bedrijf in liquidatie, heeft die informatie ook specifiek betrekking op die persoon.

54.

Om duidelijkheid te scheppen over de aard van de te verwerken persoonsgegevens en te waarborgen dat de verwerkte gegevens evenredig zijn aan de doelstellingen van het voorstel, beveelt de EDPS aan om de verduidelijkingen over te nemen zoals die in dit punt 3.7 worden uiteengezet.

De term „identiteit van de personen” moet in de voorgestelde richtlijn verduidelijkt worden

55.

In artikel 2 van Richtlijn 2009/101/EG wordt niet gedefinieerd welke „gegevens” van de betreffende personen (vertegenwoordigers van het bedrijf en andere personen die bij het bestuur ervan betrokken zijn) openbaar gemaakt moeten worden.

56.

In de uiteenlopende taalversies van het voorstel komen aanzienlijke verschillen naar voren, alleen al met betrekking tot de vertaling van de term „identiteit van de personen”. Zo luidt de Franse vertaling „l’identité des personnes” (d.w.z. de identiteit van de personen), de Italiaanse vertaling „le generalità delle persone” (d.w.z. persoonsgegevens zoals voor- en achternaam), de Hongaarse vertaling „személyek adatai” (d.w.z. gegevens van de individuen), de Roemeense vertaling „identitatea persoanelor” (d.w.z. de identiteit van de personen) en staat er in het Nederlands „de identiteit van de personen”.

57.

Bovendien worden de privéadressen van directeuren en/of andere personen (zoals bepaalde aandeelhouders) in een aantal lidstaten standaard via internet openbaar gemaakt. In weer andere lidstaten wordt dergelijke informatie uit vertrouwelijkheidsoverwegingen (met inbegrip van de angst voor identiteitsdiefstal) niet openbaar gemaakt.

58.

De EDPS beveelt aan om artikel 2 van Richtlijn 2009/101/EG te wijzigen zodat duidelijk is welke persoonsgegevens (eventueel) naast de namen van de betrokken individuen (vertegenwoordigers van het bedrijf en andere personen die bij het bestuur ervan betrokken zijn) openbaar gemaakt moeten worden. Daarbij dient de noodzaak om transparantie en een correcte identificatie van de betreffende personen te bewerkstelligen zorgvuldig te worden afgewogen tegen andere concurrerende belangen, zoals de bescherming van de privacy van die personen (24).

59.

Indien hierover geen overeenstemming kan worden bereikt als gevolg van de verschillen in de nationale praktijken, dient artikel 2 in ieder geval zodanig gewijzigd te worden dat de navolgende gegevens openbaar gemaakt moeten worden: „de volledige naam van de betrokken personen, en — indien dit specifiek op grond van het nationaal recht is vereist — aanvullende gegevens die nodig zijn voor hun identificatie”. Hieruit blijkt duidelijk dat het verder een taak van de lidstaten is om in hun nationale wetgeving vast te leggen welke „gegevens” (eventueel) naast de namen openbaar gemaakt moeten worden en dat de publicatie van aanvullende gegevens slechts verplicht is indien dat noodzakelijk is voor de identificatie van de betreffende personen.

60.

Aangezien in artikel 2 slechts een overzicht wordt gegeven van minimuminformatie en er geen sprake is van een volledige harmonisering van de inhoud van ondernemingsregisters in Europa, zou de term „de identiteit van de personen” ook simpelweg vervangen kunnen worden door „de volledige namen van de personen”. Vervolgens kan elke lidstaat dan zelf beslissen welke aanvullende informatie (eventueel) openbaar moet worden gemaakt.

De formulering „het bestuur van, het toezicht of de controle op” moet verduidelijkt worden

61.

Op grond van artikel 2 van Richtlijn 2009/101/EG is eveneens de openbaarmaking van informatie vereist over personen die deelnemen aan „het bestuur van, het toezicht of de controle op” de vennootschap. Op basis van deze brede formulering is niet helemaal duidelijk of er ook informatie over aandeelhouders openbaar moet worden gemaakt, met name informatie over aandeelhouders die i) een aanzienlijk, sturend of controlerend belang houden dat hoger is dan een bepaalde drempel, of die ii) op grond van prioriteitsaandelen, specifieke contractuele regelingen of anderszins effectieve zeggenschap/controle over de vennootschap kunnen uitoefenen.

62.

De EDPS onderkent dat een brede formulering nodig is om de grote variëteit aan bestuurlijke ondernemingsstructuren te bestrijken die er op dit moment in de verschillende lidstaten bestaan voor vennootschappen met beperkte aansprakelijkheid. Dat gezegd hebbende blijft duidelijkheid over de categorieën personen van wie de gegevens openbaar gemaakt mogen worden, vanuit het perspectief van gegevensbescherming essentieel met het oog op de rechtszekerheid. De EDPS beveelt derhalve aan om in artikel 2 van Richtlijn 2009/101/EG te verduidelijken welke persoonsgegevens van aandeelhouders (eventueel) verplicht openbaar gemaakt moeten worden. Daarbij dient ook een evenredigheidsanalyse in overeenstemming met het arrest-Schecke (zie hierboven) te worden uitgevoerd.

Openbaarmaking van meer informatie dan verplicht is; zwarte lijsten

63.

In het voorstel is geen verplichting opgenomen om meer persoonsgegevens uit te wisselen of openbaar te maken dan de minimumhoeveelheid zoals neergelegd in artikel 2 van Richtlijn 2009/101/EG. Tegelijkertijd wordt ook niet uitgesloten dat lidstaten desgewenst kunnen verlangen dat hun ondernemingsregisters aanvullende persoonsgegevens verwerken of openbaar maken en dat zij dergelijke gegevens ook via het gemeenschappelijke Europese platform/toegangspunt beschikbaar stellen en/of uitwisselen met ondernemingsregisters in andere lidstaten.

64.

Met name met betrekking tot de „zwarte lijsten” ligt dit onderwerp heel gevoelig. In een aantal landen functioneren de elektronische registers de facto ook als een soort „zwarte lijst”. Dat betekent dat externe partijen via een elektronisch portaal informatie kunnen opzoeken over vertegenwoordigers van bedrijven die uit hun functie zijn gezet.

65.

Om hier duidelijkheid in te scheppen, beveelt de EDPS aan om in het voorstel aan te geven of en in welke mate lidstaten, mochten zij dat willen, uiteindelijk via het gemeenschappelijke portaal meer informatie openbaar mogen maken en/of onderling meer informatie mogen uitwisselen op basis van hun eigen nationale wetgeving. Ook in dit geval moet er op basis van de nationale wetgeving een uitgebreide evenredigheidsbeoordeling plaatsvinden (zie het arrest-Schecke, voetnoot 24 hierboven), waarbij ook de doelstellingen van de interne markt in aanmerking moeten worden genomen.

66.

Daarnaast stelt de EDPS voor om die bevoegdheden afhankelijk te maken van de betrokkenheid van de nationale instanties voor gegevensbescherming. Zo zou het gebruik van die bevoegdheden bijvoorbeeld alleen maar toegestaan kunnen worden na raadpleging van die instanties.

67.

Tot slot benadrukt de EDPS dat een eventuele Europese regeling om dergelijke „zwarte lijsten” verplicht te stellen, specifiek in de voorgestelde richtlijn opgenomen moet worden (25).

3.8.   Beperking tot uitdrukkelijk omschreven doeleinden: waarborgen tegen het harvesten van gegevens, data mining, het combineren van gegevens en overboard searches

68.

De EDPS beveelt aan om in de voorgestelde richtlijn specifiek aan te geven dat in alle gevallen waarin persoonsgegevens openbaar worden gemaakt dan wel indien die gegevens op een andere manier tussen ondernemingsregisters worden uitgewisseld, er adequate waarborgen moeten komen om te zorgen dat persoonsgegevens die voor transparantiedoeleinden beschikbaar zijn gesteld, niet misbruikt worden voor andere, niet met transparantie verband houdende doeleinden. De betreffende waarborgen zijn met name bedoeld ter bescherming tegen het harvesten van gegevens, data mining, het combineren van gegevens en overboard searches  (26).

69.

De EDPS benadrukt dat er in dit verband met name technologische en organisatorische maatregelen in overweging moeten worden genomen op basis van het beginsel van de ingebouwde privacy (zie onderstaand punt 3.14). De praktische uitvoering van deze waarborgen kan via gedelegeerde handelingen worden geregeld. De betreffende beginselen moeten echter in de voorgestelde richtlijn zelf opgenomen worden.

3.9.   Informeren van betrokkenen en transparantie

70.

De EDPS beveelt aan om in de voorgestelde richtlijn als specifiek vereiste op te nemen dat alle informatie in overeenstemming met de artikelen 10 en 11 van Richtlijn 95/46/EG (en, waar van toepassing, de corresponderende bepalingen van Verordening (EG) nr. 45/2001) op effectieve en gedetailleerde wijze aan de betrokkenen wordt verstrekt. Afhankelijk van de overeen te komen bestuurlijke structuur en de taken en verantwoordelijkheden van de verschillende betrokken partijen, moet in de voorgestelde richtlijn daarnaast expliciet worden voorgeschreven dat de beheerder van het systeem via zijn website een proactieve rol speelt bij het in kennis stellen van en het verstrekken van andere informatie aan betrokkenen, mede „namens” de ondernemingsregisters. De nadere uitwerking hiervan kan in gedelegeerde handelingen worden geregeld of, indien noodzakelijk, later opgenomen worden in het gegevensbeschermingsbeleid.

3.10.   Toegangsrechten, rectificaties en verwijderen van gegevens

71.

In het voorstel dient in ieder geval verwezen te worden naar de verplichting om (via gedelegeerde handelingen) een regeling tot stand te brengen op grond waarvan betrokkenen hun rechten kunnen uitoefenen. Daarnaast moet er verwezen worden naar de mogelijkheid om een module voor gegevensbescherming te creëren en naar eventuele ingebouwde privacyoplossingen voor de samenwerking tussen autoriteiten met betrekking tot toegangsrechten, evenals de mogelijkheid om betrokkenen, waar relevant, „in staat te stellen hun rechten af te dwingen”.

3.11.   Toepasselijk recht

72.

Aangezien niet uit te sluiten is dat ook de Commissie of een andere Europese instelling/instantie persoonsgegevens via het elektronisch netwerk zal verwerken (bijvoorbeeld door als exploitant van het netwerk op te treden of door het opzoeken van persoonsgegevens), moet er in het voorstel een verwijzing naar Verordening (EG) nr. 45/2011 worden opgenomen.

73.

Daarnaast dient duidelijk te worden aangegeven dat Richtlijn 95/46/EG niet alleen op ondernemingsregisters van toepassing is, maar ook op andere partijen die activiteiten uitvoeren op grond van de nationale wetgeving in de lidstaten, terwijl Verordening (EG) nr. 45/2001 op de Commissie en andere Europese instellingen/instanties van toepassing is.

3.12.   Doorgifte van persoonsgegevens aan derde landen

74.

Met betrekking tot de doorgifte van persoonsgegevens door de beheerder van een ondernemingsregister in de EU aan de beheerder van een ondernemingsregister in een derde land waar persoonsgegevens niet adequaat worden beschermd, benadrukt de EDPS allereerst dat het belangrijk is om onderscheid te maken tussen twee situaties:

gevallen waarin de persoonsgegevens reeds beschikbaar zijn in een openbaar register (zoals via het gemeenschappelijk Europees platform/toegangspunt), en

gevallen waarin de persoonsgegevens niet publiekelijk toegankelijk zijn.

75.

In de eerste situatie is er op grond van artikel 26, lid 1, onder f), van Richtlijn 95/46/EG onder bepaalde voorwaarden een uitzondering toegestaan wanneer „de doorgifte geschiedt vanuit een openbaar register”. Indien de beheerder van een ondernemingsregister in een Europees land een bepaalde reeks persoonsgegevens wil doorgeven aan een beheerder van een ondernemingsregister in een derde land (bijvoorbeeld in verband met de registratie van buitenlandse bijkantoren) en die gegevens reeds openbaar zijn, is die doorgifte toegestaan, ook als het betreffende land geen adequaat beschermingsniveau voor die gegevens biedt.

76.

Wat de tweede situatie betreft, beveelt de EDPS aan om in het voorstel te verduidelijken dat de doorgifte van gegevens die niet openbaar beschikbaar zijn aan instanties of personen in derde landen die geen adequate bescherming bieden, uitsluitend toegestaan is „indien de voor de verwerking verantwoordelijke voldoende waarborgen biedt ten aanzien van de bescherming van de persoonlijke levenssfeer, de fundamentele rechten en vrijheden van personen, alsmede ten aanzien van de uitoefening van de daaraan verbonden rechten”. Deze waarborgen kunnen met name voortvloeien uit passende contractuele bepalingen op grond van artikel 26, lid 2, van Richtlijn 95/46/EG (27). In gevallen waarin de doorgifte van gegevens aan derde landen systematisch betrekking heeft op gegevens uit ondernemingsregisters van twee of meer EU-landen, of indien er anderszins maatregelen op Europees niveau wenselijk zijn, moet er ook in Europees verband over de noodzakelijke contractuele bepalingen onderhandeld worden (artikel 26, lid 4).

77.

De EDPS benadrukt dat andere afwijkingen, zoals bijvoorbeeld op grond van artikel 26, lid 1, onder d), wanneer „de doorgifte noodzakelijk of wettelijk verplicht is vanwege een zwaarwegend algemeen belang of voor de vaststelling, de uitoefening of de verdediging van een recht in rechte”, niet gebruikt mogen worden om een systematische doorgifte van gegevens aan derde landen via het elektronische netwerk te rechtvaardigen.

3.13.   Verantwoordingsplicht en ingebouwde privacy

78.

De EDPS doet de aanbeveling om in het voorstel specifiek te verwijzen naar het beginsel van de verantwoordingsplicht (28), waarbij de nadruk wordt gelegd op de uitvoering van dat beginsel en een duidelijk kader wordt geschapen dat waarborgt dat de gegevensbeschermingverplichting op aantoonbare wijze wordt nagekomen. Dat kan onder andere worden gerealiseerd door:

het uitvoeren van een effectbeoordeling naar privacyaspecten (met inbegrip van een analyse van de veiligheidsrisico’s) vóórdat het systeem ontworpen wordt;

het vaststellen en, waar nodig, bijwerken van een beleid voor gegevensbescherming (uitvoeringsvoorschriften), inclusief een veiligheidsplan;

het uitvoeren van periodieke audits om te controleren of het beleid inzake gegevensbescherming en veiligheid adequaat functioneert en nageleefd wordt;

het openbaar maken van de resultaten van uitgevoerde audits (in ieder geval gedeeltelijk) om de belanghebbenden de verzekering te geven dat de regels op het gebied van gegevensbescherming in acht worden genomen; en

het melden van inbreuken op de gegevensbescherming en van andere veiligheidsincidenten.

79.

Ook wat de ingebouwde privacy (29) betreft, moet in het voorstel expliciet naar dit beginsel worden verwezen, onder vermelding van concrete maatregelen om de uitvoering ervan in praktijk te brengen. Meer in het bijzonder dient in het voorstel te worden aangegeven dat het elektronische netwerk veilig en solide van opzet moet zijn, wat betekent dat er standaard een breed scala aan privacywaarborgen in het systeem geïntegreerd moeten zijn, zoals:

een gedecentraliseerde structuur waarin gegevens uitsluitend in één enkele „master”-bron worden opgeslagen en elke „distributeur” alleen maar gegevens uit die „master”-bron ontvangt (om te waarborgen dat de gegevens actueel zijn);

geautomatiseerde processen die controleren of de informatie inconsistenties of fouten bevat;

beperkte zoekmogelijkheden waarbij uitsluitend naar gegevens kan worden gezocht die evenredig en adequaat zijn met het oog op de betreffende doelstelling;

andere waarborgen ter voorkoming/beperking van bulk downloading, data mining en overboard searches, en om te zorgen dat gegevens slechts voor specifieke doeleinden beschikbaar worden gesteld; waarborgen om te voorkomen/te beperken dat derden de zoekinterface gebruiken om gegevens te harvesten of personen te profileren (bijvoorbeeld „captcha” (30) of verplichte registratie voor betalingsdoeleinden);

een geïntegreerde systeemfunctionaliteit om het voor betrokkenen eenvoudiger te maken hun rechten op effectieve wijze uit te oefenen; geïntegreerde functionaliteiten in de ondernemingsregisters voor onderlinge coördinatie met betrekking tot toegangsverzoeken van betrokkenen;

procedures om op een veilige en privacyvriendelijke manier informatie te verwerken over aanvragers die gegevens uit het openbare register hebben gedownload; en

audit/traceer-mechanismen.

IV.   CONCLUSIES

80.

De EDPS ondersteunt de doelstellingen van het voorstel en zijn opmerkingen moeten dan ook tegen deze constructieve achtergrond worden gelezen.

81.

De EDPS benadrukt dat de noodzakelijke waarborgen voor de gegevensbescherming duidelijk en expliciet in de tekst van de richtlijn zelf moeten worden opgenomen, aangezien dat essentiële onderdelen zijn. Aanvullende bepalingen met betrekking tot de uitvoering van specifieke waarborgen kunnen vervolgens nader worden uitgewerkt in gedelegeerde handelingen.

82.

De onderwerpen bestuur, taken, bevoegdheden en verantwoordelijkheden moeten in de voorgestelde richtlijn aan de orde komen. Te dien einde moet in de voorgestelde richtlijn vastgesteld worden:

of het netwerk door de Commissie of door een derde geëxploiteerd wordt en of er sprake is van een gecentraliseerde of gedecentraliseerde structuur;

wat de taken en verantwoordelijkheden zijn van alle partijen die bij de gegevensverwerking en het bestuur van het elektronische netwerk betrokken zijn, waaronder de Commissie, de vertegenwoordigers van lidstaten, de beheerders van ondernemingsregisters in de lidstaten en derden;

wat het verband is tussen de elektronische systemen zoals die in het voorstel zijn voorzien en andere initiatieven, zoals het IMI, het portaal voor e-justitie en het EBR; en

welke specifieke en ondubbelzinnige criteria gehanteerd worden om vast te stellen of een bepaalde partij aangemerkt dient te worden als een „voor de verwerking verantwoordelijke” of als een „verwerker”.

83.

Alle gegevensuitwisselingen die via het elektronische netwerk verlopen, moeten gebaseerd zijn op een bindende Europese wetgevingshandeling die op een solide rechtsgrondslag is aangenomen. Dit moet eenduidig worden vastgelegd in de voorgestelde richtlijn.

84.

De bepalingen inzake het toepasselijk recht moeten worden verduidelijkt, met inbegrip van een verwijzing naar Verordening (EG) nr. 45/2001.

85.

Met betrekking tot de doorgifte van persoonsgegevens aan derde landen moet in het voorstel duidelijk worden aangegeven dat die doorgifte in beginsel, met uitzondering van de gevallen genoemd in artikel 26, lid 1, onder f), van Richtlijn 95/46/EG, uitsluitend aan instanties of personen in derde landen die geen adequate bescherming bieden kan geschieden indien de voor de verwerking verantwoordelijke voldoende waarborgen biedt ten aanzien van de bescherming van de persoonlijke levenssfeer, de fundamentele rechten en vrijheden van personen, alsmede ten aanzien van de uitoefening van de daaraan verbonden rechten. Deze waarborgen kunnen met name voortvloeien uit passende contractuele bepalingen op grond van artikel 26 van Richtlijn 95/46/EG.

86.

Daarnaast moet de Commissie zorgvuldig beoordelen welke technische en organisatorische maatregelen noodzakelijk zijn om te waarborgen dat de bescherming van de privacy en van gegevens in de architectuur van het elektronische netwerk „ingebouwd” is („ingebouwde privacy”) en dat er passende controlemechanismen gehanteerd worden die waarborgen dat de gegevensbeschermingsverplichting op aantoonbare wijze wordt nagekomen („verantwoordingsplicht”).

87.

Tot slot doet de EDPS nog de volgende aanbevelingen:

In de voorgestelde richtlijn zelf moet duidelijk worden aangegeven dat het elektronische netwerk niet alleen i) specifieke handmatige gegevensuitwisselingen tussen ondernemingsregisters mogelijk maakt, maar ook ii) een geautomatiseerde gegevensoverdracht. Het voorstel dient daarnaast zodanig te worden aangepast dat i) gedelegeerde handelingen zowel handmatige als geautomatiseerde gegevensuitwisselingen volledig bestrijken, ii) alle verwerkingsoperaties met betrekking tot persoonsgegevens (dus niet alleen het opslaan en opzoeken van gegevens) onder het toepassingsgebied van die handelingen vallen, en iii) specifieke bepalingen voor de gegevensbescherming in die gedelegeerde handelingen er bovendien voor zorgen dat de relevante waarborgen voor die gegevensbescherming in de praktijk worden toegepast;

In het voorstel moet artikel 2 van Richtlijn 2009/101/EG aangepast worden om duidelijk te maken welke persoonsgegevens (eventueel) naast de namen van de betrokken individuen openbaar gemaakt mogen worden. Daarbij dient de noodzaak om transparantie en een correcte identificatie van de betreffende personen te bewerkstelligen zorgvuldig te worden afgewogen tegen andere concurrerende belangen, zoals de bescherming van de privacy van die personen;

In het voorstel moet worden aangegeven of lidstaten uiteindelijk via het gemeenschappelijke portaal aanvullende informatie openbaar mogen maken (en/of onderling meer informatie mogen uitwisselen) op basis van hun eigen nationale wetgeving, waarbij extra waarborgen voor de gegevensbescherming in acht moeten worden genomen;

In de voorgestelde richtlijn moet expliciet worden vastgelegd dat persoonsgegevens die voor transparantiedoeleinden beschikbaar zijn gesteld, niet misbruikt mogen worden voor andere, niet met transparantie verband houdende doeleinden en dat er daartoe op basis van het beginsel van de ingebouwde privacy technologische en organisatorische maatregelen genomen dienen te worden;

In het voorstel moeten ook specifieke waarborgen worden opgenomen met betrekking tot het informeren van betrokkenen, evenals de verplichting om via gedelegeerde handelingen een regeling tot stand te brengen op grond waarvan die betrokkenen hun rechten kunnen uitoefenen.

Gedaan te Brussel, 6 mei 2011.

Giovanni BUTTARELLI

Adjunct-EDPS


(1)  PB L 281 van 23.11.1995, blz. 31.

(2)  PB L 8 van 12.1.2001, blz. 1.

(3)  Omwille van de duidelijkheid zullen de „centrale, handels- en vennootschapsregisters” in dit advies verder aangeduid worden als „ondernemingsregisters”.

(4)  Richtlijn 2009/101/EG van het Europees Parlement en de Raad van 16 september 2009 strekkende tot het coördineren van de waarborgen, welke in de lidstaten worden verlangd van de vennootschappen in de zin van de tweede alinea van artikel 48 van het Verdrag, om de belangen te beschermen zowel van de deelnemers in deze vennootschappen als van derden, zulks teneinde die waarborgen gelijkwaardig te maken (PB L 258 van 1.10.2009, blz. 11).

(5)  Elfde Richtlijn 89/666/EEG van de Raad van 21 december 1989 betreffende de openbaarmakingsplicht voor in een Lid-Staat opgerichte bijkantoren van vennootschappen die onder het recht van een andere staat vallen (PB L 395 van 30.12.1989, blz. 36).

(6)  Richtlijn 2005/56/EG van het Europees Parlement en de Raad van 26 oktober 2005 betreffende grensoverschrijdende fusies van kapitaalvennootschappen (PB L 310 van 25.11.2005, blz. 1).

(7)  Richtlijn 2009/101/EG, zie volledige verwijzing hierboven. In artikel 1 van deze richtlijn wordt het toepassingsgebied van de bepalingen van de richtlijn beperkt tot een „naamloze vennootschap, besloten vennootschap met beperkte aansprakelijkheid”.

(8)  Richtlijn 2003/58/EG van het Europees Parlement en de Raad van 15 juli 2003 tot wijziging van Richtlijn 68/151/EEG van de Raad met betrekking tot de openbaarmakingsvereisten voor bepaalde soorten ondernemingen (PB L 221 van 4.9.2003, blz. 13).

(9)  Richtlijn 2005/56/EG, zie volledige verwijzing hierboven.

(10)  Verordening (EG) nr. 2157/2001 van de Raad van 8 oktober 2001 betreffende het statuut van de Europese vennootschap (SE), (PB L 294 van 10.11.2001, blz. 1).

(11)  Verordening van de Raad (EG) nr. 1435/2003 van 18 augustus 2003 betreffende het statuut voor een Europese Coöperatieve Vennootschap (SCE), (PB L 207 van 18.8.2003, blz. 1).

(12)  http://www.ebr.org/

(13)  http://www.briteproject.eu

(14)  https://e-justice.europa.eu/home.do

(15)  http://ec.europa.eu/internal_market/imi-net/index_en.html

(16)  In de praktijk ontwikkelt zich een markt voor de verkoop van dit soort bedrijfsinformatie: dienstverleners op deze markt „scoren” de betrouwbaarheid van ondernemingen/personen op basis van informatie die via allerlei bronnen is verzameld, waaronder ondernemingsregisters, rechtbankgriffies en insolventieregisters.

(17)  Zie de voorgestelde tekst voor artikel 4 bis, lid 3, onder a), van Richtlijn 2009/101/EG.

(18)  Aangezien het onderhavige voorstel niet in een dergelijke koppeling voorziet, zal de EDPS dit onderwerp in deze fase verder niet aan de orde stellen in dit advies. Niettemin wil de EDPS erop wijzen dat, mocht een dergelijke koppeling overwogen worden, hiervoor een afzonderlijke evenredigheidsanalyse nodig kan zijn en dat tevens eventueel daaruit voortvloeiende extra waarborgen voor de gegevensbescherming moeten worden vastgesteld.

(19)  Zie artikel 2, onder d) en e), van zowel Richtlijn 95/46/EG als Verordening (EG) nr. 45/2001; zie ook advies 1/2010 van 16 februari 2010 van de Groep gegevensbescherming artikel 29 over de begrippen „voor de verwerking verantwoordelijke” en „verwerker” (WP169).

(20)  Aangezien de wetgeving op het gebied van gegevensbescherming in Europa niet volledig is geharmoniseerd, is de identiteit van degene die verantwoordelijk is voor de verwerking, relevant om vast te kunnen stellen welk nationaal recht van toepassing is. Daarnaast is het relevant om te bepalen of Richtlijn 95/46/EG dan wel Verordening (EG) nr. 45/2001 van toepassing is: indien de Commissie (mede-)verantwoordelijk is voor de verwerking van de gegevens, is Verordening (EG) nr. 45/2001 (ook) van toepassing (zie voor een nadere toelichting onderstaand punt 3.11).

(21)  Met uitzondering van (een bepaalde mate van) gegevensuitwisseling met het oog op grensoverschrijdende fusie, de verplaatsing van zetels en het bijwerken van de registraties van buitenlandse bijkantoren. Deze kwesties worden specifiek in het voorstel besproken.

(22)  Indien er een potentiële behoefte bestaat aan gegevensverwerking op een deel van de interne markt dat niet door een specifieke wetgevingshandeling van de Unie wordt bestreken, roept de EDPS — met het oog op een adequate rechtsgrondslag vanuit het perspectief van gegevensbescherming — op om nader onderzoek te verrichten naar de modaliteiten van een rechtskader dat specifieke bepalingen in de voorgestelde richtlijn en daaruit voortvloeiende gedelegeerde handelingen mogelijk maakt (eventueel in combinatie met algemene bepalingen in het Verdrag). Daarnaast moet in de voorgestelde richtlijn aangegeven worden of de ondernemingsregisters het elektronische netwerk en het gemeenschappelijke toegangspunt mogen gebruiken om persoonsgegevens uit te wisselen of openbaar te maken die niet zijn voorzien in een EU-wetgevingshandeling, maar die wel toegestaan of vereist zijn op grond van nationale wetgeving.

(23)  Zie de voorgestelde tekst voor artikel 4 bis, lid 3, van Richtlijn 2009/101/EG.

(24)  De evenredigheid dient met name beoordeeld te worden aan de hand van de criteria zoals vastgesteld door het Europees Hof van Justitie in het arrest Schecke en Eifert (arrest van 9 november 2010, gevoegde zaken C-92/09 en C-93/09; zie meer in het bijzonder de punten 81, 65 en 86). In dat arrest is door het EHvJ onderstreept dat afwijkingen en beperkingen met betrekking tot de bescherming van persoonsgegevens slechts toegepast mogen worden indien dit strikt noodzakelijk is. Daarnaast oordeelde het Hof dat de instellingen alternatieve vormen van bekendmaking moeten overwegen die in overeenstemming zijn met de doelstelling van een bepaalde bekendmaking, maar die tegelijkertijd het recht van de betrokkenen op eerbiediging van hun privéleven in het algemeen en op de bescherming van hun persoonsgegevens in het bijzonder, minder aantasten.

(25)  Aangezien het onderhavige voorstel niet in een dergelijke regeling voorziet, zal de EDPS dit onderwerp in deze fase verder niet aan de orde stellen in dit advies. Niettemin wil de EDPS erop wijzen dat, mocht een dergelijke regeling overwogen worden, hiervoor een afzonderlijke evenredigheidsanalyse nodig kan zijn en dat tevens eventueel daaruit voortvloeiende extra waarborgen voor de gegevensbescherming moeten worden vastgesteld.

(26)  Zie artikel 6, lid 1, onder b), van Richtlijn 95/46/EG en Verordening (EG) nr. 45/2001.

(27)  Indien de mogelijkheid bestaat dat de Commissie in bepaalde gevallen tot de partijen behoort die gegevens aan derde landen doorgeven, dient ook een verwijzing naar artikel 9, lid 1 en lid 7, van Verordening (EG) nr. 45/2001 opgenomen te worden.

(28)  Zie punt 7 van het advies van de EDPS van 14 januari 2011 over de mededeling van de Commissie aan het Europees Parlement, de Raad, het Economisch en Sociaal Comité en het Comité van de Regio’s getiteld „Integrale aanpak van de bescherming van persoonsgegevens in de EU” (http://www.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/Opinions/2011/11-01-14_Personal_Data_Protection_EN.pdf).

(29)  Idem.

(30)  Een „captcha” is een soort reactietest die binnen de gegevensverwerking wordt gebruikt om zeker te weten dat een respons niet door een computer is gegenereerd.


Top