26.7.2011   

NL

Publicatieblad van de Europese Unie

C 220/1

1.

Op 24 februari 2011 heeft de Europese Commissie een voorstel aangenomen voor een richtlijn van het Europees Parlement en de Raad tot wijziging van de richtlijnen 89/666/EEG, 2005/56/EG en 2009/101/EG wat de koppeling van centrale, handels- en vennootschapsregisters betreft (3) (hierna het „voorstel” genoemd) en vervolgens de Europese Toezichthouder voor gegevensbescherming (EDPS) geraadpleegd.

2.

De EDPS is verheugd dat hij in overeenstemming met artikel 28, lid 2, van Verordening (EG) nr. 45/2001 hieromtrent is geraadpleegd en dat naar dit advies wordt verwezen in de overwegingen van het voorstel.

3.

Doel van het voorstel is het bevorderen en intensiveren van de grensoverschrijdende samenwerking en informatie-uitwisseling tussen ondernemingsregisters in de Europese Economische Ruimte, waarbij tegelijkertijd gestreefd wordt naar een grotere transparantie en betrouwbaarheid van de informatie die over de grenzen heen wordt verstrekt. Het invoeren van effectieve administratieve samenwerkingsprocedures met betrekking tot de ondernemingsregisters is cruciaal om het vertrouwen in de Europese interne markt te verbeteren, namelijk door een veiliger ondernemingsklimaat voor consumenten, crediteuren en andere zakelijke partners te waarborgen, de administratieve belasting te verminderen en de rechtszekerheid te vergroten. Het versterken van de samenwerking tussen ondernemingsregisters in Europa is met name van belang bij de administratieve procedures voor grensoverschrijdende fusies, de verplaatsing van zetels en het bijwerken van de registratie van buitenlandse bijkantoren wanneer er geen of beperkte samenwerkingsmechanismen bestaan.

4.

Tegen deze achtergrond wordt met dit voorstel beoogd om de drie bestaande richtlijnen in de volgende geest te wijzigen:

5.

Elke lidstaat maakt op nationaal, regionaal of lokaal niveau gebruik van ondernemingsregisters. In 1968 zijn er gemeenschappelijke regels vastgesteld voor minimumnormen voor de openbaarmaking (registratie en publicatie) van bedrijfsinformatie (7). Sinds 1 januari 2007 moeten lidstaten ook elektronische ondernemingsregisters bijhouden (8) en derden de mogelijkheid bieden om de inhoud van het register online te bekijken.

6.

De samenwerking tussen ondernemingsregisters uit verschillende lidstaten is expliciet voorgeschreven door een aantal Europese wetgevingsinstrumenten teneinde grensoverschrijdende fusies van kapitaalvennootschappen (9) te bevorderen, evenals de grensoverschrijdende verplaatsing van zetels van de Europese vennootschap (SE) (10) en van de Europese Coöperatieve Vennootschap (SCE) (11).

7.

In 1992 is er een samenwerkingsmechanisme op vrijwillige basis gecreëerd met betrekking tot ondernemingsregisters in Europa. Op dit moment combineert het zogeheten Europese ondernemingsregister (hierna „EBR” genoemd) (12) de officiële ondernemingsregisters van negentien lidstaten en van zes andere Europese landen. Tussen 2006 en 2009 heeft het EBR aan een onderzoeksproject met de titel BRITE (13) deelgenomen. Doel van het project was het ontwikkelen van een technologisch platform voor de interoperabiliteit van ondernemingsregisters in Europa. In de effectbeoordeling ter onderbouwing van het voorstel wordt echter aangegeven dat het EBR met aanzienlijke uitdagingen geconfronteerd wordt met betrekking tot zijn uitbreiding, financiering en bestuur: volgens die effectbeoordeling is het samenwerkingsmechanisme in zijn huidige vorm niet volledig afgestemd op de behoeften van potentiële gebruikers.

8.

In de toelichting op het voorstel wordt opgemerkt dat het Europees portaal voor e-justitie (14) het centrale toegangspunt moet worden voor juridische informatie, juridische en overheidsinstellingen, registers, databanken en andere diensten in de EU. Daarnaast wordt bevestigd dat het voorstel een aanvulling op het e-justitie-project vormt en een bijdrage moet leveren aan het toegankelijker maken van bedrijfsinformatie via dit portaal.

9.

Uit de effectbeoordeling blijkt dat het informatiesysteem voor de interne markt (IMI) een ander project is dat mogelijk tot synergieën kan leiden (15). Het IMI is een elektronisch instrument dat is opgezet om de dagelijkse administratieve samenwerking tussen overheidsinstellingen te bevorderen in de context van de Dienstenrichtlijn (2006/123/EG) en de Richtlijn inzake beroepskwalificaties (2005/36/EG). Op dit moment wordt er gewerkt aan de uitbreiding van het IMI. Volgens de effectbeoordeling zou het IMI mede gebruikt kunnen worden ter ondersteuning van de handhaving van andere richtlijnen, ook op het gebied van het vennootschapsrecht.

10.

Middels artikel 3 van het voorstel wordt Richtlijn 2009/101/EG op een aantal punten gewijzigd. Twee van die amendementen zijn van bijzonder belang voor de gegevensbescherming.

11.

In artikel 2 van Richtlijn 2009/101/EG zoals die op dit moment van kracht is, wordt al bepaald dat er een bepaalde minimumhoeveelheid informatie in een ondernemingsregister in elke lidstaat openbaar gemaakt moet worden zodat derden de betreffende gegevens van bedrijven kunnen controleren. Zoals hierboven toegelicht onder punt 1.2, moeten lidstaten ook elektronische ondernemingsregisters bijhouden en derden online toegang geven tot de inhoud van die registers.

12.

In artikel 2 worden elf items genoemd met betrekking tot de primaire bedrijfsinformatie die verplicht openbaar gemaakt moeten worden, waaronder:

13.

Vanuit het perspectief van gegevensbescherming is het eveneens belangrijk dat artikel 2 ook „de benoeming, het aftreden alsmede de identiteit” (onderstreping toegevoegd) voorschrijft van de personen die i) de bevoegdheid hebben om de vennootschap te vertegenwoordigen en/of ii) anderszins deelnemen aan „het bestuur van, het toezicht of de controle op de vennootschap”.

14.

De lijst met items die op grond van artikel 2 verplicht openbaar gemaakt moeten worden, is in het voorstel niet veranderd. Daarnaast is ook niet nieuw dat alle lidstaten deze informatie op elektronische wijze openbaar moeten maken. Nieuw in het voorstel is wel dat de informatie die tot nu toe op gefragmenteerde wijze beschikbaar was (vaak slechts in lokale talen of via lokale websites), nu via een gemeenschappelijk Europees platform/toegangspunt eenvoudig en binnen een meertalige omgeving toegankelijk moet zijn.

15.

Te dien einde wordt voorgesteld om een nieuw artikel 3 bis in de richtlijn op te nemen waarin het navolgende wordt neergelegd: „De lidstaten dragen er zorg voor dat de in artikel 2 bedoelde akten en gegevens die bij hun register zijn neergelegd, op aanvraag langs elektronische weg door eenieder kunnen worden verkregen via één enkel Europees elektronisch platform dat vanuit elke lidstaat toegankelijk is.” De invulling van de details wordt in het voorstel overgelaten aan gedelegeerde handelingen.

16.

In het voorstel is ook de toevoeging van een nieuw artikel 4 bis aan diezelfde Richtlijn 2009/101/EG voorzien, waarin het volgende wordt bepaald: „De lidstaten nemen de nodige maatregelen om ervoor te zorgen dat de [ondernemingsregisters] interoperabel zijn en een elektronisch netwerk vormen”. Ook in dit geval moet de invulling van de details via gedelegeerde handelingen plaatsvinden.

17.

Teneinde de punten van zorg op gegevensbeschermingsgebied te ondervangen voorziet het voorstel in alle drie te wijzigen richtlijnen in de toevoeging van een artikel over gegevensbescherming, waarin het volgende vereiste is neergelegd: „Op de verwerking van persoonsgegevens in het kader van deze richtlijn is het bepaalde in Richtlijn 95/46/EG […] van toepassing.”

18.

De EDPS deelt het standpunt van de Commissie dat i) het gebruik van ICT-technologieën de efficiëntie van de samenwerking met betrekking tot ondernemingsregisters kan vergroten en dat ii) een betere toegang tot de informatie in ondernemingsregisters tot een grotere transparantie kan leiden. Dat betekent dat de EDPS de doelstellingen van het voorstel ondersteunt en dat zijn opmerkingen tegen die constructieve achtergrond gelezen moeten worden.

19.

Tegelijkertijd benadrukt de EDPS dat een betere toegankelijkheid van persoonsgegevens ook grotere risico’s voor die gegevens met zich meebrengt. Hoewel het bijvoorbeeld eenvoudiger kan worden om eenduidig vast te stellen welke personen bepaalde bedrijven in rechte mogen vertegenwoordigen als hun privéadressen worden vermeld, zou dit ook een negatieve invloed kunnen hebben op de rechten van die personen met betrekking tot de bescherming van hun persoonsgegevens. Dat geldt met name voor persoonsgegevens die via internet in digitale vorm in meerdere talen op grote schaal eenvoudig toegankelijk zijn via een Europees platform/toegangspunt.

20.

Nog niet zo lang geleden werden persoonsgegevens uit ondernemingsregisters (bijvoorbeeld naam, adres en een kopie van de handtekening van een directeur) op papier en in een lokale taal verstrekt, vaak na een persoonlijk bezoek van de aanvrager aan een plaatselijk registratiekantoor. Het is belangrijk om te onderkennen dat deze situatie kwalitatief verschilt van een openbaarmaking van gegevens in digitale vorm via een nationaal elektronisch toegangspunt. De openbaarmaking van persoonsgegevens via eenvoudig toegankelijke Europese platforms/toegangspunten gaat nog een stap verder. Hierdoor wordt de toegankelijkheid van informatie weliswaar nog meer vergroot, maar zijn de risico’s voor de bescherming van de persoonsgegevens van de betrokken personen ook navenant groter.

21.

Tot die privacyrisico’s (als gevolg van de eenvoudige toegankelijkheid van gegevens in digitale vorm via een gemeenschappelijk elektronisch toegangspunt) behoren identiteitsdiefstal en andere criminele activiteiten, evenals het risico dat de informatie die openbaar is gemaakt, na „profilering” van de betreffende personen op illegale wijze door bedrijven voor commerciële doeleinden wordt verzameld en gebruikt op een wijze die oorspronkelijk niet in de bedoeling lag. Zonder adequate waarborgen kan de informatie ook aan anderen worden verkocht of met andere informatie worden gecombineerd en terug worden verkocht aan de overheid om gebruikt te worden voor onbedoelde en niet-openbare doeleinden (bijvoorbeeld voor het handhaven van de belastingwetgeving of voor andere strafrechtelijke of administratieve onderzoeken) zonder dat daarvoor een adequate rechtsgrondslag bestaat (16).

22.

Derhalve moet zorgvuldig worden beoordeeld welke persoonlijke informatie via het gemeenschappelijke Europese platform/toegangspunt beschikbaar gesteld moet worden en welke aanvullende waarborgen er qua gegevensbescherming moeten worden gehanteerd (met inbegrip van technische maatregelen om zoek- en downloadopties en data mining te beperken).

23.

Zoals eerder opgemerkt in de punten 2.1 en 2.2 hebben de voorgestelde artikelen 3 bis en 4 bis van Richtlijn 2009/101/EG een zeer algemeen karakter en worden veel belangrijke kwesties aan gedelegeerde handelingen overgelaten.

24.

Hoewel de EDPS onderkent dat een flexibele opstelling noodzakelijk is en er dus ook behoefte is aan gedelegeerde handelingen, moet worden benadrukt dat de vereiste waarborgen voor de gegevensbescherming essentiële elementen zijn die duidelijk, specifiek en direct in de tekst van de voorgestelde richtlijn moeten worden opgenomen. In dat opzicht kunnen die waarborgen niet worden aangemerkt als „niet-essentiële onderdelen” die in latere gedelegeerde handelingen geregeld kunnen worden op grond van het bepaalde in artikel 290 van het Verdrag betreffende de werking van de Europese Unie.

25.

De EDPS doet derhalve de aanbeveling om in het voorstel specifiekere bepalingen over gegevensbescherming op te nemen en niet te volstaan met een verwijzing naar Richtlijn 95/46/EG (zie de punten 3.4 tot en met 3.13). Vervolgens kunnen er aanvullende bepalingen met betrekking tot de uitvoering van specifieke waarborgen in gedelegeerde handelingen worden opgenomen na raadpleging van de EDPS en, waar van toepassing, de nationale instanties voor gegevensbescherming (zie onderstaande punten 3.5, 3.6, 3.8, 3.9, 3.10, 3.12 en 3.13).

26.

In het voorstel wordt niet alleen voorbijgegaan aan belangrijke waarborgen voor de gegevensbescherming, maar blijven ook andere vragen onbeantwoord. Meer in het bijzonder wordt het aan gedelegeerde handelingen overgelaten om essentiële aspecten vast te stellen van de wijze waarop de voorgestelde i) koppeling van ondernemingsregisters en ii) het openbaar maken van gegevens in praktijk gebracht moeten worden.

27.

Duidelijkheid over dergelijke essentiële onderdelen van het voorstel is een noodzakelijke voorwaarde om tot adequate waarborgen voor gegevensbescherming te kunnen komen. De EDPS beveelt dan ook aan om de uitwerking van die essentiële onderdelen in de voorgestelde richtlijn zelf op te nemen (zie onderstaande punten 3.4 en 3.5).

28.

Volgens het onderhavige voorstel moeten de regels voor het bestuur, het beheer, de werking en de vertegenwoordiging van het elektronische netwerk worden vastgesteld via gedelegeerde handelingen (17).

29.

In de effectbeoordeling en de toelichting wordt weliswaar gewag gemaakt van enkele synergieën met het IMI en het portaal voor e-justitie, maar de tekst van het voorstel maakt verder niet duidelijk hoe deze synergieën gerealiseerd moeten worden (bijvoorbeeld door een nieuwe opzet van het EBR, het gebruik van het IMI voor bepaalde gegevensuitwisselingen en/of het gebruik van het portaal voor e-justitie als het platform/toegangspunt voor het verstrekken van informatie uit de ondernemingsregisters aan het publiek).

30.

Ook andere opties worden niet uitgesloten, zoals het uitschrijven van een aanbesteding voor de gunning van het ontwikkelen en exploiteren van het elektronische netwerk. Voorts is niet duidelijk of de Commissie voor zichzelf een directe betrokkenheid voorziet bij de ontwikkeling en exploitatie van het systeem. Ook zouden vertegenwoordigers van de lidstaten bij de bestuurlijke structuur van het elektronische netwerk betrokken kunnen worden.

31.

Hoewel het voorstel in zijn huidige vorm „één enkel Europees elektronisch platform” (onderstreping toegevoegd) voorziet, wordt daarnaast niet uitgesloten dat de tekst later in de wetgevingsprocedure zal worden aangepast met het oog op een meer gedecentraliseerde structuur.

32.

De EDPS merkt bovendien op dat er in het onderhavige voorstel niet specifiek wordt ingegaan op de koppeling van de ondernemingsregisters met andere databanken (zoals bijvoorbeeld het kadaster of de burgerlijke stand), terwijl dit technisch absoluut tot de mogelijkheden behoort (een dergelijke koppeling wordt in een aantal lidstaten ook al in praktijk gebracht) (18).

33.

De keuze voor een van deze opties kan tot volledig verschillende bestuurlijke structuren voor het elektronische netwerk en het elektronische instrument voor de publieke verspreiding leiden. Dat brengt vervolgens weer andere taken en verantwoordelijkheden met zich mee voor de betrokken partijen, hetgeen ook weer tot verschillende taken en verantwoordelijkheden leidt vanuit het perspectief van gegevensbescherming.

34.

In dat opzicht benadrukt de EDPS dat het, in alle situaties waarin persoonsgegevens worden verwerkt, essentieel is om duidelijk vast te stellen welke partij verantwoordelijk is voor de verwerking. Dit wordt ook benadrukt in advies 1/2010 van de Groep gegevensbescherming artikel 29 over de concepten van de „voor de verwerking verantwoordelijke” en de „verwerker” (19). De belangrijkste reden waarom een duidelijke en ondubbelzinnige aanwijzing van de voor de verwerking verantwoordelijke zo cruciaal is, heeft te maken met het feit dat hierdoor bepaald wordt wie er voor de naleving van de gegevensbeschermingsregels verantwoordelijk is en welk recht hierop van toepassing is (20).

35.

In het advies van de Groep artikel 29 wordt hierover het navolgende opgemerkt: „Wanneer niet voldoende duidelijk is wie wat moet doen — bijvoorbeeld wanneer niemand verantwoordelijk is of er juist heel veel mogelijke verantwoordelijken zijn — bestaat uiteraard het risico dat er te weinig (of zelfs niets) gebeurt en dat de wettelijke bepalingen een dode letter blijven.”

36.

De EDPS benadrukt dat er vooral duidelijkheid nodig is in situaties waarin meerdere partijen in een samenwerkingsverband zijn betrokken. Dat is vaak het geval met Europese informatiesystemen die voor publieke doeleinden worden gebruikt en waarvan de verwerkingsdoeleinden in het EU-recht zijn gedefinieerd.

37.

Daarom beveelt de EDPS aan om in de tekst van de richtlijn zelf op een specifieke, duidelijke en ondubbelzinnige manier vast te leggen:

38.

Vanuit het perspectief van gegevensbescherming dienen die verduidelijkingen ook specifiek en ondubbelzinnig te zijn om vast te stellen of een bepaalde partij op basis van de voorgestelde richtlijn aangemerkt dient te worden als een „voor de verwerking verantwoordelijke” of als een „verwerker”.

39.

In beginsel dient het voorstel er expliciet toe bij te dragen dat, zoals thans uit het onderhavige voorstel in zijn geheel afgeleid lijkt te moeten worden, de beheerders van ondernemingsregisters en de exploitant(-en) van het systeem als voor de gegevensverwerking verantwoordelijke aangemerkt dienen te worden met betrekking tot hun eigen activiteiten. Dat gezegd hebbende en overwegende dat in het huidige voorstel de bestuursstructuur niet wordt omschreven en ook niet wordt gedefinieerd wie er als exploitant(-en) van het elektronische systeem fungeert/fungeren, kan niet worden uitgesloten dat een of meer van de partijen die het elektronische systeem uiteindelijk in de praktijk exploiteert/exploiteren, veeleer als verwerker dan als een voor de verwerking verantwoordelijke actief zullen zijn. Die situatie zou zich met name kunnen voordoen indien deze activiteit wordt uitbesteed aan een derde die uitsluitend op basis van instructies handelt. Het lijkt er in ieder geval op dat zeker in elke lidstaat meerdere partijen verantwoordelijk voor de verwerking zullen blijven, te weten de partijen die de ondernemingsregisters beheren. Het feit dat hierbij andere (particuliere) partijen als exploitant, „distributeur” of anderszins betrokken kunnen zijn, brengt hierin geen verandering. Om de duidelijkheid en rechtszekerheid te waarborgen, moet dit aspect daarom in de voorgestelde richtlijn worden gespecificeerd.

40.

Niet in de laatste plaats moet in het voorstel ook specifieker en uitgebreider beschreven worden welke verantwoordelijkheden de betreffende taken met zich meebrengen. Zo moet bijvoorbeeld in het voorstel worden opgenomen dat de exploitant(en) moet/moeten waarborgen dat het systeem vanuit het oogpunt van gegevensbescherming op een privacyvriendelijke manier is opgezet.

41.

De EDPS merkt op dat al deze verduidelijkingen ook relevant zijn om vast te stellen welke toezichthoudende instanties op het gebied van gegevensbescherming bevoegd zijn en voor welk soort verwerking van persoonsgegevens die bevoegdheid geldt.

42.

In de huidige vorm lijkt het elektronische netwerk niet bedoeld om alle informatie in elk ondernemingsregister automatisch ter beschikking te stellen van alle andere ondernemingsregisters in iedere lidstaat: het voorstel schrijft uitsluitend voor dat de ondernemingsregisters aan elkaar gekoppeld en interoperabel dienen te zijn, waarmee de voorwaarden worden geschapen om een uitwisseling van en de toegang tot informatie in de toekomst mogelijk te maken. Met het oog op de rechtszekerheid moet in het voorstel toegelicht worden of deze veronderstelling correct is.

43.

Daarnaast wordt in het voorstel niet nader aangegeven welke samenwerkingsprocedures er via de gekoppelde ondernemingsregisters toegepast kunnen worden met betrekking tot gegevensstromen en administratieve procedures (21). Naar de EDPS begrijpt, is er enige flexibiliteit vereist om in te kunnen spelen op behoeften die zich in de toekomst kunnen voordoen. Dat gezegd hebbende is de EDPS van mening dat het essentieel is dat het voorstel het kader aangeeft van de samenwerkingsprocedures voor gegevensstromen en administratieve activiteiten die in de toekomst via het elektronische netwerk toegestaan zijn. Dit is met name van belang om te waarborgen dat i) de gegevensuitwisseling op basis van een solide rechtsgrondslag plaatsvindt, en ii) er adequate waarborgen voor de gegevenbescherming van kracht zijn.

44.

Volgens de EDPS moeten alle gegevensuitwisselingen of andere gegevensverwerkende activiteiten (bijvoorbeeld de openbaarmaking van persoonsgegevens via het gemeenschappelijke platform/toegangspunt) gebaseerd zijn op een bindende Europese wetgevingshandeling die op een solide rechtsgrondslag is aangenomen. Dit moet eenduidig worden vastgelegd in de voorgestelde richtlijn (22).

45.

Daarnaast wordt in het voorstel aangegeven dat de volgende aspecten via gedelegeerde handelingen geregeld moeten worden (23):

46.

Met betrekking tot het eerste en tweede gedachtestreepje is de EDPS van mening dat er bepaalde essentiële waarborgen in de voorgestelde richtlijn zelf opgenomen moeten worden (zie onderstaande punten 3.12 en 3.13). De nadere uitwerking kan dan in gedelegeerde handelingen worden geregeld.

47.

Met betrekking tot de geautomatiseerde gegevensuitwisseling is de EDPS verheugd dat gedelegeerde handelingen op grond van het voorstel moeten zorgen voor „de vaststelling van normen inzake formaat, inhoud en beperkingen voor het opslaan en opzoeken van akten en gegevens om automatische gegevensuitwisseling mogelijk te maken.”

48.

Om in dit opzicht voor meer duidelijkheid te zorgen, beveelt de EDPS aan om in de voorgestelde richtlijn zelf duidelijk aan te geven dat het elektronische netwerk niet alleen i) per geval specifieke handmatige gegevensuitwisselingen tussen ondernemingsregisters (zoals neergelegd in een wetgevingshandeling van de EU bij bijvoorbeeld fusies of zetelverplaatsingen) mogelijk maakt, maar ook ii) een geautomatiseerde gegevensoverdracht (zoals neergelegd in een wetgevingshandeling van de EU bij bijvoorbeeld het bijwerken van de registratie van buitenlandse bijkantoren).

49.

Om de duidelijkheid nog verder te verbeteren, beveelt de EDPS daarnaast aan dat de voorgestelde tekst voor het relevante artikel 4 bis, lid 3, onder i), zodanig wordt aangepast dat i) gedelegeerde handelingen zowel handmatige als geautomatiseerde gegevensuitwisselingen volledig bestrijken, ii) alle verwerkingsoperaties met betrekking tot persoonsgegevens (dus niet alleen het opslaan en opzoeken van gegevens) onder het toepassingsgebied van die handelingen vallen, en iii) specifieke bepalingen voor de gegevensbescherming in gedelegeerde handelingen er bovendien voor zorgen dat de relevante waarborgen voor die gegevensbescherming in de praktijk worden toegepast.

50.

Ter illustratie zou artikel 4 bis, lid 3, onder i), als volgt aangepast kunnen worden:

51.

Ter inleiding benadrukt de EDPS dat de namen (en eventueel andere gegevens, zoals privéadressen) van de vertegenwoordigers van bedrijven (en van andere personen die bij het bestuur van de onderneming zijn betrokken) uiteraard de meest voor de hand liggende gegevens vormen die door het elektronisch netwerk verwerkt en/of via het gemeenschappelijk elektronisch platform/toegangspunt openbaar gemaakt mogen worden, maar het zijn zeker niet de enige persoonsgegevens die in ondernemingsregisters opgeslagen zijn.

52.

In de eerste plaats kan een aantal van de documenten die in artikel 2 van Richtlijn 2009/101/EG worden genoemd (bijvoorbeeld de oprichtingsakte, de statuten en boekhoudkundige bescheiden), ook persoonsgegevens van andere individuen bevatten. Dat kunnen onder andere namen, adressen, eventuele identificatienummers en geboortedata zijn of zelfs scans van handtekeningen van uiteenlopende personen, met inbegrip van degenen die het bedrijf hebben opgericht, de aandeelhouders, advocaten, accountants, werknemers en notarissen.

53.

In de tweede plaats kunnen bedrijfsgegevens, wanneer ze aan de naam van een persoon worden gekoppeld (zoals een directeur), ook aangemerkt worden als persoonsgegevens die op die man of vrouw betrekking hebben. Als uit de gegevens van een ondernemingsregister bijvoorbeeld blijkt dat een bepaalde persoon deel uitmaakt van de raad van bestuur van een bedrijf in liquidatie, heeft die informatie ook specifiek betrekking op die persoon.

54.

Om duidelijkheid te scheppen over de aard van de te verwerken persoonsgegevens en te waarborgen dat de verwerkte gegevens evenredig zijn aan de doelstellingen van het voorstel, beveelt de EDPS aan om de verduidelijkingen over te nemen zoals die in dit punt 3.7 worden uiteengezet.

55.

In artikel 2 van Richtlijn 2009/101/EG wordt niet gedefinieerd welke „gegevens” van de betreffende personen (vertegenwoordigers van het bedrijf en andere personen die bij het bestuur ervan betrokken zijn) openbaar gemaakt moeten worden.

56.

In de uiteenlopende taalversies van het voorstel komen aanzienlijke verschillen naar voren, alleen al met betrekking tot de vertaling van de term „identiteit van de personen”. Zo luidt de Franse vertaling „l’identité des personnes” (d.w.z. de identiteit van de personen), de Italiaanse vertaling „le generalità delle persone” (d.w.z. persoonsgegevens zoals voor- en achternaam), de Hongaarse vertaling „személyek adatai” (d.w.z. gegevens van de individuen), de Roemeense vertaling „identitatea persoanelor” (d.w.z. de identiteit van de personen) en staat er in het Nederlands „de identiteit van de personen”.

57.

Bovendien worden de privéadressen van directeuren en/of andere personen (zoals bepaalde aandeelhouders) in een aantal lidstaten standaard via internet openbaar gemaakt. In weer andere lidstaten wordt dergelijke informatie uit vertrouwelijkheidsoverwegingen (met inbegrip van de angst voor identiteitsdiefstal) niet openbaar gemaakt.

58.

De EDPS beveelt aan om artikel 2 van Richtlijn 2009/101/EG te wijzigen zodat duidelijk is welke persoonsgegevens (eventueel) naast de namen van de betrokken individuen (vertegenwoordigers van het bedrijf en andere personen die bij het bestuur ervan betrokken zijn) openbaar gemaakt moeten worden. Daarbij dient de noodzaak om transparantie en een correcte identificatie van de betreffende personen te bewerkstelligen zorgvuldig te worden afgewogen tegen andere concurrerende belangen, zoals de bescherming van de privacy van die personen (24).

59.

Indien hierover geen overeenstemming kan worden bereikt als gevolg van de verschillen in de nationale praktijken, dient artikel 2 in ieder geval zodanig gewijzigd te worden dat de navolgende gegevens openbaar gemaakt moeten worden: „de volledige naam van de betrokken personen, en — indien dit specifiek op grond van het nationaal recht is vereist — aanvullende gegevens die nodig zijn voor hun identificatie”. Hieruit blijkt duidelijk dat het verder een taak van de lidstaten is om in hun nationale wetgeving vast te leggen welke „gegevens” (eventueel) naast de namen openbaar gemaakt moeten worden en dat de publicatie van aanvullende gegevens slechts verplicht is indien dat noodzakelijk is voor de identificatie van de betreffende personen.

60.

Aangezien in artikel 2 slechts een overzicht wordt gegeven van minimuminformatie en er geen sprake is van een volledige harmonisering van de inhoud van ondernemingsregisters in Europa, zou de term „de identiteit van de personen” ook simpelweg vervangen kunnen worden door „de volledige namen van de personen”. Vervolgens kan elke lidstaat dan zelf beslissen welke aanvullende informatie (eventueel) openbaar moet worden gemaakt.

61.

Op grond van artikel 2 van Richtlijn 2009/101/EG is eveneens de openbaarmaking van informatie vereist over personen die deelnemen aan „het bestuur van, het toezicht of de controle op” de vennootschap. Op basis van deze brede formulering is niet helemaal duidelijk of er ook informatie over aandeelhouders openbaar moet worden gemaakt, met name informatie over aandeelhouders die i) een aanzienlijk, sturend of controlerend belang houden dat hoger is dan een bepaalde drempel, of die ii) op grond van prioriteitsaandelen, specifieke contractuele regelingen of anderszins effectieve zeggenschap/controle over de vennootschap kunnen uitoefenen.

62.

De EDPS onderkent dat een brede formulering nodig is om de grote variëteit aan bestuurlijke ondernemingsstructuren te bestrijken die er op dit moment in de verschillende lidstaten bestaan voor vennootschappen met beperkte aansprakelijkheid. Dat gezegd hebbende blijft duidelijkheid over de categorieën personen van wie de gegevens openbaar gemaakt mogen worden, vanuit het perspectief van gegevensbescherming essentieel met het oog op de rechtszekerheid. De EDPS beveelt derhalve aan om in artikel 2 van Richtlijn 2009/101/EG te verduidelijken welke persoonsgegevens van aandeelhouders (eventueel) verplicht openbaar gemaakt moeten worden. Daarbij dient ook een evenredigheidsanalyse in overeenstemming met het arrest-Schecke (zie hierboven) te worden uitgevoerd.

63.

In het voorstel is geen verplichting opgenomen om meer persoonsgegevens uit te wisselen of openbaar te maken dan de minimumhoeveelheid zoals neergelegd in artikel 2 van Richtlijn 2009/101/EG. Tegelijkertijd wordt ook niet uitgesloten dat lidstaten desgewenst kunnen verlangen dat hun ondernemingsregisters aanvullende persoonsgegevens verwerken of openbaar maken en dat zij dergelijke gegevens ook via het gemeenschappelijke Europese platform/toegangspunt beschikbaar stellen en/of uitwisselen met ondernemingsregisters in andere lidstaten.

64.

Met name met betrekking tot de „zwarte lijsten” ligt dit onderwerp heel gevoelig. In een aantal landen functioneren de elektronische registers de facto ook als een soort „zwarte lijst”. Dat betekent dat externe partijen via een elektronisch portaal informatie kunnen opzoeken over vertegenwoordigers van bedrijven die uit hun functie zijn gezet.

65.

Om hier duidelijkheid in te scheppen, beveelt de EDPS aan om in het voorstel aan te geven of en in welke mate lidstaten, mochten zij dat willen, uiteindelijk via het gemeenschappelijke portaal meer informatie openbaar mogen maken en/of onderling meer informatie mogen uitwisselen op basis van hun eigen nationale wetgeving. Ook in dit geval moet er op basis van de nationale wetgeving een uitgebreide evenredigheidsbeoordeling plaatsvinden (zie het arrest-Schecke, voetnoot 24 hierboven), waarbij ook de doelstellingen van de interne markt in aanmerking moeten worden genomen.

66.

Daarnaast stelt de EDPS voor om die bevoegdheden afhankelijk te maken van de betrokkenheid van de nationale instanties voor gegevensbescherming. Zo zou het gebruik van die bevoegdheden bijvoorbeeld alleen maar toegestaan kunnen worden na raadpleging van die instanties.

67.

Tot slot benadrukt de EDPS dat een eventuele Europese regeling om dergelijke „zwarte lijsten” verplicht te stellen, specifiek in de voorgestelde richtlijn opgenomen moet worden (25).

68.

De EDPS beveelt aan om in de voorgestelde richtlijn specifiek aan te geven dat in alle gevallen waarin persoonsgegevens openbaar worden gemaakt dan wel indien die gegevens op een andere manier tussen ondernemingsregisters worden uitgewisseld, er adequate waarborgen moeten komen om te zorgen dat persoonsgegevens die voor transparantiedoeleinden beschikbaar zijn gesteld, niet misbruikt worden voor andere, niet met transparantie verband houdende doeleinden. De betreffende waarborgen zijn met name bedoeld ter bescherming tegen het harvesten van gegevens, data mining, het combineren van gegevens en overboard searches  (26).

69.

De EDPS benadrukt dat er in dit verband met name technologische en organisatorische maatregelen in overweging moeten worden genomen op basis van het beginsel van de ingebouwde privacy (zie onderstaand punt 3.14). De praktische uitvoering van deze waarborgen kan via gedelegeerde handelingen worden geregeld. De betreffende beginselen moeten echter in de voorgestelde richtlijn zelf opgenomen worden.

70.

De EDPS beveelt aan om in de voorgestelde richtlijn als specifiek vereiste op te nemen dat alle informatie in overeenstemming met de artikelen 10 en 11 van Richtlijn 95/46/EG (en, waar van toepassing, de corresponderende bepalingen van Verordening (EG) nr. 45/2001) op effectieve en gedetailleerde wijze aan de betrokkenen wordt verstrekt. Afhankelijk van de overeen te komen bestuurlijke structuur en de taken en verantwoordelijkheden van de verschillende betrokken partijen, moet in de voorgestelde richtlijn daarnaast expliciet worden voorgeschreven dat de beheerder van het systeem via zijn website een proactieve rol speelt bij het in kennis stellen van en het verstrekken van andere informatie aan betrokkenen, mede „namens” de ondernemingsregisters. De nadere uitwerking hiervan kan in gedelegeerde handelingen worden geregeld of, indien noodzakelijk, later opgenomen worden in het gegevensbeschermingsbeleid.

71.

In het voorstel dient in ieder geval verwezen te worden naar de verplichting om (via gedelegeerde handelingen) een regeling tot stand te brengen op grond waarvan betrokkenen hun rechten kunnen uitoefenen. Daarnaast moet er verwezen worden naar de mogelijkheid om een module voor gegevensbescherming te creëren en naar eventuele ingebouwde privacyoplossingen voor de samenwerking tussen autoriteiten met betrekking tot toegangsrechten, evenals de mogelijkheid om betrokkenen, waar relevant, „in staat te stellen hun rechten af te dwingen”.

72.

Aangezien niet uit te sluiten is dat ook de Commissie of een andere Europese instelling/instantie persoonsgegevens via het elektronisch netwerk zal verwerken (bijvoorbeeld door als exploitant van het netwerk op te treden of door het opzoeken van persoonsgegevens), moet er in het voorstel een verwijzing naar Verordening (EG) nr. 45/2011 worden opgenomen.

73.

Daarnaast dient duidelijk te worden aangegeven dat Richtlijn 95/46/EG niet alleen op ondernemingsregisters van toepassing is, maar ook op andere partijen die activiteiten uitvoeren op grond van de nationale wetgeving in de lidstaten, terwijl Verordening (EG) nr. 45/2001 op de Commissie en andere Europese instellingen/instanties van toepassing is.

74.

Met betrekking tot de doorgifte van persoonsgegevens door de beheerder van een ondernemingsregister in de EU aan de beheerder van een ondernemingsregister in een derde land waar persoonsgegevens niet adequaat worden beschermd, benadrukt de EDPS allereerst dat het belangrijk is om onderscheid te maken tussen twee situaties:

75.

In de eerste situatie is er op grond van artikel 26, lid 1, onder f), van Richtlijn 95/46/EG onder bepaalde voorwaarden een uitzondering toegestaan wanneer „de doorgifte geschiedt vanuit een openbaar register”. Indien de beheerder van een ondernemingsregister in een Europees land een bepaalde reeks persoonsgegevens wil doorgeven aan een beheerder van een ondernemingsregister in een derde land (bijvoorbeeld in verband met de registratie van buitenlandse bijkantoren) en die gegevens reeds openbaar zijn, is die doorgifte toegestaan, ook als het betreffende land geen adequaat beschermingsniveau voor die gegevens biedt.

76.

Wat de tweede situatie betreft, beveelt de EDPS aan om in het voorstel te verduidelijken dat de doorgifte van gegevens die niet openbaar beschikbaar zijn aan instanties of personen in derde landen die geen adequate bescherming bieden, uitsluitend toegestaan is „indien de voor de verwerking verantwoordelijke voldoende waarborgen biedt ten aanzien van de bescherming van de persoonlijke levenssfeer, de fundamentele rechten en vrijheden van personen, alsmede ten aanzien van de uitoefening van de daaraan verbonden rechten”. Deze waarborgen kunnen met name voortvloeien uit passende contractuele bepalingen op grond van artikel 26, lid 2, van Richtlijn 95/46/EG (27). In gevallen waarin de doorgifte van gegevens aan derde landen systematisch betrekking heeft op gegevens uit ondernemingsregisters van twee of meer EU-landen, of indien er anderszins maatregelen op Europees niveau wenselijk zijn, moet er ook in Europees verband over de noodzakelijke contractuele bepalingen onderhandeld worden (artikel 26, lid 4).

77.

De EDPS benadrukt dat andere afwijkingen, zoals bijvoorbeeld op grond van artikel 26, lid 1, onder d), wanneer „de doorgifte noodzakelijk of wettelijk verplicht is vanwege een zwaarwegend algemeen belang of voor de vaststelling, de uitoefening of de verdediging van een recht in rechte”, niet gebruikt mogen worden om een systematische doorgifte van gegevens aan derde landen via het elektronische netwerk te rechtvaardigen.

78.

De EDPS doet de aanbeveling om in het voorstel specifiek te verwijzen naar het beginsel van de verantwoordingsplicht (28), waarbij de nadruk wordt gelegd op de uitvoering van dat beginsel en een duidelijk kader wordt geschapen dat waarborgt dat de gegevensbeschermingverplichting op aantoonbare wijze wordt nagekomen. Dat kan onder andere worden gerealiseerd door:

79.

Ook wat de ingebouwde privacy (29) betreft, moet in het voorstel expliciet naar dit beginsel worden verwezen, onder vermelding van concrete maatregelen om de uitvoering ervan in praktijk te brengen. Meer in het bijzonder dient in het voorstel te worden aangegeven dat het elektronische netwerk veilig en solide van opzet moet zijn, wat betekent dat er standaard een breed scala aan privacywaarborgen in het systeem geïntegreerd moeten zijn, zoals:

80.

De EDPS ondersteunt de doelstellingen van het voorstel en zijn opmerkingen moeten dan ook tegen deze constructieve achtergrond worden gelezen.

81.

De EDPS benadrukt dat de noodzakelijke waarborgen voor de gegevensbescherming duidelijk en expliciet in de tekst van de richtlijn zelf moeten worden opgenomen, aangezien dat essentiële onderdelen zijn. Aanvullende bepalingen met betrekking tot de uitvoering van specifieke waarborgen kunnen vervolgens nader worden uitgewerkt in gedelegeerde handelingen.

82.

De onderwerpen bestuur, taken, bevoegdheden en verantwoordelijkheden moeten in de voorgestelde richtlijn aan de orde komen. Te dien einde moet in de voorgestelde richtlijn vastgesteld worden:

83.

Alle gegevensuitwisselingen die via het elektronische netwerk verlopen, moeten gebaseerd zijn op een bindende Europese wetgevingshandeling die op een solide rechtsgrondslag is aangenomen. Dit moet eenduidig worden vastgelegd in de voorgestelde richtlijn.

84.

De bepalingen inzake het toepasselijk recht moeten worden verduidelijkt, met inbegrip van een verwijzing naar Verordening (EG) nr. 45/2001.

85.

Met betrekking tot de doorgifte van persoonsgegevens aan derde landen moet in het voorstel duidelijk worden aangegeven dat die doorgifte in beginsel, met uitzondering van de gevallen genoemd in artikel 26, lid 1, onder f), van Richtlijn 95/46/EG, uitsluitend aan instanties of personen in derde landen die geen adequate bescherming bieden kan geschieden indien de voor de verwerking verantwoordelijke voldoende waarborgen biedt ten aanzien van de bescherming van de persoonlijke levenssfeer, de fundamentele rechten en vrijheden van personen, alsmede ten aanzien van de uitoefening van de daaraan verbonden rechten. Deze waarborgen kunnen met name voortvloeien uit passende contractuele bepalingen op grond van artikel 26 van Richtlijn 95/46/EG.

86.

Daarnaast moet de Commissie zorgvuldig beoordelen welke technische en organisatorische maatregelen noodzakelijk zijn om te waarborgen dat de bescherming van de privacy en van gegevens in de architectuur van het elektronische netwerk „ingebouwd” is („ingebouwde privacy”) en dat er passende controlemechanismen gehanteerd worden die waarborgen dat de gegevensbeschermingsverplichting op aantoonbare wijze wordt nagekomen („verantwoordingsplicht”).

87.

Tot slot doet de EDPS nog de volgende aanbevelingen: