Accept Refuse

EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Document 52013XX1207(05)

Samenvatting van het advies van de Europese Toezichthouder voor gegevensbescherming over het voorstel van de Commissie voor een verordening inzake de melding van voorvallen in de burgerluchtvaart en tot intrekking van Richtlijn 2003/42/EG, Verordening (EG) nr. 1321/2007 van de Commissie, Verordening (EG) nr. 1330/2007 van de Commissie en artikel 19 van Verordening (EU) nr. 996/2010

OJ C 358, 7.12.2013, p. 19–21 (BG, ES, CS, DA, DE, ET, EL, EN, FR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
OJ C 358, 7.12.2013, p. 14–14 (HR)

7.12.2013   

NL

Publicatieblad van de Europese Unie

C 358/19


Samenvatting van het advies van de Europese Toezichthouder voor gegevensbescherming over het voorstel van de Commissie voor een verordening inzake de melding van voorvallen in de burgerluchtvaart en tot intrekking van Richtlijn 2003/42/EG, Verordening (EG) nr. 1321/2007 van de Commissie, Verordening (EG) nr. 1330/2007 van de Commissie en artikel 19 van Verordening (EU) nr. 996/2010

(De volledige tekst van dit advies is beschikbaar in de Engelse, Franse en Duitse taal op de website van de Europese Toezichthouder voor gegevensbescherming: http://www.edps.europa.eu)

2013/C 358/11

1.   Inleiding

1.1.   Raadpleging van de EDPS

1.

Op 18 december 2012 heeft de Commissie een voorstel ingediend voor een verordening inzake de melding van voorvallen in de burgerluchtvaart en tot intrekking van Richtlijn 2003/42/EG, Verordening (EG) nr. 1321/2007 van de Commissie, Verordening (EG) nr. 1330/2007 van de Commissie en artikel 19 van Verordening (EU) nr. 996/2010 (hierna „het voorstel” genoemd) (1). Dit voorstel is op 8 januari 2013 ter raadpleging aan de EDPS toegezonden.

2.

De EDPS is ingenomen met het feit dat hij door de Commissie is geraadpleegd en dat een verwijzing naar dit advies is opgenomen in de preambule van het voorstel. De EDPS is voorafgaand aan de aanneming van het voorstel in de gelegenheid gesteld om informele opmerkingen bij de Commissie in te dienen.

1.2.   Doelstellingen en toepassingsgebied van het voorstel

3.

De drie door het voorstel in te trekken instrumenten organiseren op de volgende wijze de melding van voorvallen: Richtlijn 2003/42/EG (2) vereist van de lidstaten dat ze een systeem voor de melding van voorvallen (mandatory occurrence reporting system — MORS) opzetten. Deze wetgeving verplicht beroepsbeoefenaren in de luchtvaartsector melding te maken van voorvallen (3) in hun dagelijkse activiteiten via een door hun organisatie opgezet systeem (4). Daarnaast wordt de lidstaten verzocht om zelf informatie over voorvallen te verzamelen, op te slaan, te beschermen en onderling uit te wisselen. Deze wetgeving wordt aangevuld door twee uitvoeringsverordeningen: Verordening (EG) nr. 1321/2007 van de Commissie (5), die een Europees Centraal Register (ECR) instelt waarin alle door de lidstaten gemelde voorvallen in de burgerluchtvaart worden verzameld, en Verordening (EG) nr. 1330/2007 (6), die regels vaststelt voor de verspreiding van de informatie in het ECR.

4.

Het voorstel bouwt voort op Richtlijn 2003/42/EG om de bestaande systemen voor het melden van voorvallen in de burgerluchtvaart te verbeteren, zowel op nationaal als op Europees niveau. Onder meer de volgende wijzigingen worden voorgesteld:

ervoor zorgen dat alle relevante voorvallen worden gemeld en dat de gegevens van de gemelde voorvallen volledig en van goede kwaliteit zijn;

een vrijwillig meldingssysteem toevoegen aan het verplichte systeem;

niet alleen de lidstaten, maar ook organisaties verplichten om voorvallen te melden en de doorgifte van deze meldingen aan het ECR organiseren;

het melden van voorvallen aanmoedigen door middel van een geharmoniseerde bescherming tegen sancties van hogerhand of vervolging van individuen die voorvallen melden;

zorgen voor adequate toegang tot de informatie in het ECR.

1.3.   Doel van het advies van de EDPS

5.

Uit het voorstel volgt dat voorvallen door werknemers zullen worden gemeld aan hun organisaties, die deze meldingen vervolgens zullen opslaan in een gegevensbank en zullen melden aan hun aangewezen bevoegde autoriteiten of aan het Europees Agentschap voor de veiligheid van de luchtvaart (EASA). Deze autoriteiten zullen, samen met het EASA en de Commissie, informatie over voorvallen in de burgerluchtvaart toezenden aan het ECR, dat beheerd wordt door de Commissie. Daarnaast zal de Commissie gegevens verwerken met betrekking tot de belanghebbende partijen die om toegang tot de in het ECR opgeslagen informatie verzoeken.

6.

De EDPS erkent dat het doel van het voorstel niet is om de verwerking van persoonsgegevens te reguleren. De informatie die zal worden opgeslagen, gemeld en doorgegeven kan echter betrekking hebben op natuurlijke personen die direct of indirect identificeerbaar zijn, zoals melders, derden die betrokken zijn bij het gemelde voorval en belanghebbenden die om toegang tot de informatie verzoeken (7). De gemelde informatie zal mogelijk niet alleen betrekking hebben op technische problemen, maar ook, bijvoorbeeld, op gewelddadige passagiers, arbeidsongeschiktheid van bemanningsleden of gezondheidsincidenten (8).

7.

In het voorliggende advies zal daarom een analyse worden gegeven van de elementen van het voorstel die de verwerking van persoonsgegevens met zich meebrengen. Het advies bouwt voort op een eerder advies van de EDPS (9) over een van de verordeningen die door het voorstel worden ingetrokken (10).

4.   Conclusies

46.

De EDPS is verheugd over de aandacht die in het voorstel wordt besteed aan de bescherming van persoonsgegevens, met name door de verbintenis om een groot gedeelte van de in het kader van de melding van een voorval verwerkte gegevens te „anonimiseren”. Hij herinnert er echter aan dat de verwerkte gegevens nog steeds persoonsgegevens zullen zijn en is daarom ingenomen met de verwijzingen naar de toepasselijkheid van de EU-wetgeving inzake gegevensbescherming. De bescherming waarin in het voorstel wordt voorzien kan op zijn best gedeeltelijke anonimisering worden genoemd.

47.

De EDPS beveelt aan om het toepassingsgebied van de term „anonimisering” te verduidelijken. Hij stelt met name de volgende verbeteringen van de tekst voor:

In de preambule: verduidelijken dat de anonimisering als bedoeld in het voorstel relatief is en derhalve geen volledige anonimisering inhoudt. Voorts zou in de preambule, in overeenstemming met bovenstaande aanbevelingen, ook moeten worden toegelicht dat in verschillende contexten gedeeltelijke dan wel volledige anonimisering moet worden toegepast;

In artikel 16: specificeren dat ook de gegevens die beschikbaar zijn voor onafhankelijke verwerkers zo spoedig mogelijk moeten worden geanonimiseerd of gewist, tenzij de noodzaak van opslag van de gegevens wordt gerechtvaardigd, bijvoorbeeld om aan andere wettelijke verplichtingen van de organisaties te voldoen;

Om het toepassingsgebied van de anonimisering te verduidelijken beveelt de EDPS aan om in artikel 16, leden 1 en 2, „persoonsgegevens” te vervangen door „persoonlijke bijzonderheden” en een verwijzing toe te voegen naar de mogelijkheid van identificatie door middel van technische details, overeenkomstig artikel 2, punt 1;

Artikel 5, lid 6, geeft lidstaten en organisaties de mogelijkheid om aanvullende systemen voor het melden van voorvallen op te zetten. In het artikel zou gespecificeerd moeten worden dat ook deze informatie moet worden geanonimiseerd. De EDPS beveelt daarom aan om in artikel 16, lid 2, te verduidelijken dat persoonsgegevens in de overeenkomstig artikel 5, lid 6, opgezette systemen voor de verzameling en verwerking van veiligheidsinformatie eveneens moeten worden geanonimiseerd;

In artikel 13, lid 10: specificeren dat de informatie vóór publicatie ervan moet worden geanonimiseerd (11);

In artikel 11, lid 4: specificeren dat informatie die ter beschikking wordt gesteld van in bijlage III genoemde belanghebbenden en die niet betrekking heeft op hun eigen uitrusting, activiteiten of werkterrein, niet alleen moet worden geaggregeerd of deels geanonimiseerd, overeenkomstig artikel 11, lid 4, maar volledig moet worden geanonimiseerd.

48.

De EDPS beveelt aan om in het voorstel te specificeren wie de voor de verwerking verantwoordelijke van elke gegevensbank is. Ook beveelt hij aan om in de bijlagen I en II en in artikel 5, lid 6, alle categorieën te verwerken gegevens te omschrijven, en om artikel 7, lid 1, en artikel 11, lid 1, dienovereenkomstig te verduidelijken. Indien het niet mogelijk is om alle overeenkomstig artikel 7, lid 1, artikel 5, lid 3, artikel 5, lid 6, en artikel 11, lid 1 te verwerken voorvallen en gegevensvelden te specificeren, zou in deze artikelen ten minste moeten worden vermeld dat aanvullende informatie die door het voorstel niet verplicht wordt gesteld, geen bijzondere categorieën van gegevens als omschreven in artikel 8 van Richtlijn 95/46/EG en artikel 10 van Verordening (EG) nr. 45/2001 („gevoelige gegevens”) zou mogen bevatten.

49.

De EDPS beveelt tevens aan om de termijnen voor het bewaren van de gegevens in de gegevensbanken, de rechten van betrokkenen en de toe te passen beveiligingsmaatregelen te specificeren.

50.

In geval van doorgiften aan organisaties van derde landen of internationale organisaties zouden deze zich moeten verbinden aan de eerbiediging van adequate waarborgen die zouden moeten worden vastgelegd in een bindend instrument. Deze waarborgen zouden kunnen worden gebaseerd op de gegevensbeschermingsbeginselen die zijn vervat in de door de Commissie aangenomen modelcontractbepalingen voor de doorgifte van persoonsgegevens naar derde landen en zouden kunnen worden opgenomen in de bijlage bij het voorstel.

51.

Wat betreft de verwerking van gegevens van belanghebbenden die om toegang tot het ECR verzoeken, beveelt de EDPS aan om in het voorstel de gegevensbeschermingsmaatregelen te specificeren die van toepassing zullen zijn op de verwerking van gegevens die betrekking hebben op derden (bijvoorbeeld hoe lang de gegevens zullen worden bewaard nadat toegang is verleend of geweigerd en wie toegang heeft tot deze gegevens). Voorts zou het formulier in bijlage IV, behalve de verklaring inzake de toegang tot informatie (12), een privacyverklaring moeten omvatten.

52.

Tot slot zou de noodzakelijkheid van de verwerking van gevoelige gegevens op basis van een van de in artikel 8, leden 2 tot en met 4, van Richtlijn 95/46/EG en artikel 10, leden 2 tot en met 4, van Verordening (EG) nr. 45/2001 genoemde gronden in de preambule moeten worden gemotiveerd. Ook beveelt de EDPS aan om aanvullende waarborgen op te nemen met betrekking tot de verwerking van bijzondere categorieën van gegevens, zoals stringentere beveiligingsmaatregelen, het verbod om de desbetreffende categorieën van gegevens bekend te maken aan derden die niet zijn onderworpen aan de gegevensbeschermingswetgeving van de Unie, en het opleggen van beperkingen aan de bekendmaking aan andere belanghebbenden. Bovendien kan de verwerking van deze categorieën gegevens worden onderworpen aan een voorafgaande controle door de nationale gegevensbeschermingsautoriteiten van de EU-lidstaten en de EDPS.

Gedaan te Brussel, 10 april 2013.

Giovanni BUTTARELLI

Europese adjunct-toezichthouder voor gegevensbescherming


(1)  COM(2012) 776 final.

(2)  Richtlijn 2003/42/EG van het Europees Parlement en de Raad van 13 juni 2003 betreffende diensten op de interne markt (PB L 167 van 4.7.2003, blz. 23).

(3)  Een voorval is elke gebeurtenis die belangrijk is of kan zijn in het kader van de luchtvaartveiligheid, inclusief ongevallen en ernstige incidenten (zie artikel 2, punt 8, van het voorstel).

(4)  Het begrip „organisatie” wordt in het voorstel gedefinieerd als „elke organisatie die luchtvaartproducten en/of -diensten levert, inclusief exploitanten van luchtvaartuigen, goedgekeurde onderhoudsorganisaties, organisaties die verantwoordelijk zijn voor het typeontwerp en/of de productie van luchtvaartuigen, verleners van luchtvaartnavigatiediensten en gecertificeerde luchtvaartterreinen” (zie artikel 2, punt 9, van het voorstel).

(5)  Verordening (EG) nr. 1321/2007 van de Commissie van 12 november 2007 tot vaststelling van uitvoeringsbepalingen om informatie over voorvallen in de burgerluchtvaart op te nemen in een centraal register (PB L 294 van 13.11.2007, blz. 3).

(6)  Verordening (EG) nr. 1330/2007 van de Commissie van 24 september 2007 tot vaststelling van uitvoeringsregels voor de verspreiding onder belanghebbenden van informatie over voorvallen in de burgerluchtvaart (PB L 295 van 14.11.2007, blz. 7).

(7)  Voor het gebruik van persoonsgegevens, zie met name paragraaf 3.1 van het voorstel.

(8)  Zie bijlage I bij het voorstel: „Lijst van incidenten die moeten worden gemeld in het kader van de regeling voor verplichte melding van voorvallen”.

(9)  Zie het advies van de EDPS over het voorstel voor een verordening van het Europees Parlement en de Raad inzake onderzoek en preventie van ongevallen en incidenten in de burgerluchtvaart (PB C 132 van 21.5.2010, blz. 1).

(10)  Verordening (EU) nr. 996/2010 van het Europees Parlement en de Raad van 20 oktober 2010 inzake onderzoek en preventie van ongevallen en incidenten in de burgerluchtvaart en houdende intrekking van Richtlijn 94/56/EG, voor de EER relevante tekst (PB L 295 van 12.11.2010, blz. 35).

(11)  Dat wil zeggen, waarborgen dat de identiteit van personen niet kan worden achterhaald, rekening houdend met alle middelen die de voor verwerking verantwoordelijke of enige andere persoon waarschijnlijk en redelijkerwijs zal gebruiken.

(12)  Punt 7 van bijlage IV.


Top