19.6.2012   

NL

Publicatieblad van de Europese Unie

C 175/1

1.

Dit advies is onderdeel van een pakket van vier adviezen van de EDPS betreffende de financiële sector, die alle op dezelfde dag zijn aangenomen (3).

2.

Op 20 juli 2011 heeft de Commissie twee voorstellen met betrekking tot de herziening van de bankwetgeving aangenomen. Het eerste voorstel betreft een richtlijn betreffende de toegang tot de werkzaamheden van kredietinstellingen en het bedrijfseconomisch toezicht op kredietinstellingen en beleggingsondernemingen (de „voorgestelde richtlijn”) (4). Het tweede voorstel betreft een verordening betreffende prudentiële vereisten voor kredietinstellingen en beleggingsondernemingen (de „voorgestelde verordening”) (5). Deze voorstellen werden op dezelfde dag aan de EDPS toegezonden voor raadpleging. Op 18 november 2011 heeft de Raad van de Europese Unie de EDPS geraadpleegd over de voorgestelde richtlijn.

3.

De EDPS is voorafgaand aan de aanneming van de voorgestelde verordening informeel geraadpleegd. De EDPS merkt op dat verschillende van zijn opmerkingen in het voorstel in aanmerking zijn genomen.

4.

De EDPS verwelkomt het feit dat hij door de Commissie en de Raad is geraadpleegd en beveelt aan om in de preambule van de aangenomen instrumenten een verwijzing naar het onderhavige advies op te nemen.

5.

De voorgestelde wetgeving bestaat uit twee rechtsinstrumenten: een richtlijn betreffende de toegang tot de werkzaamheden van kredietinstellingen en het bedrijfseconomisch toezicht op kredietinstellingen en beleggingsondernemingen en een verordening betreffende prudentiële vereisten voor kredietinstellingen en beleggingsondernemingen. De beleidsdoelstellingen van de voorgestelde herziening zijn, kort samengevat, een soepele werking van de bankensector en herstel van het vertrouwen bij marktdeelnemers en het publiek. De voorgestelde instrumenten vervangen Richtlijn 2006/48/EG en Richtlijn 2006/49/EG, die dientengevolge zullen worden ingetrokken.

6.

De belangrijkste nieuwe elementen van de voorgestelde richtlijn zijn bepalingen met betrekking tot sancties, effectieve corporate government en bepalingen die moeten voorkomen dat er te veel op externe ratings wordt vertrouwd. Het doel van de voorgestelde richtlijn is in het bijzonder de invoering van een doeltreffende, evenredige en afschrikwekkende sanctieregeling, een passende personele werkingssfeer voor administratieve sancties, de bekendmaking van sancties en mechanismen die de melding van schendingen aanmoedigen. Voorts wordt met de voorgestelde richtlijn beoogd om de rechtskaders voor corporate governance te versterken en het overdreven vertrouwen op externe ratings te verminderen (6).

7.

De voorgestelde verordening is complementair aan de voorgestelde richtlijn door de vaststelling van uniforme en rechtstreeks toepasselijke prudentiële vereisten voor kredietinstellingen en beleggingsondernemingen. Zoals wordt verklaard in de toelichting, is de overkoepelende doelstelling van het initiatief ervoor te zorgen dat de effectiviteit van de regelgeving betreffende het kapitaal van instellingen in de EU wordt versterkt en dat negatieve gevolgen ervan voor het financiële stelsel binnen de perken worden gehouden (7).

8.

Hoewel de meeste bepalingen van de voorgestelde instrumenten betrekking hebben op de uitoefening van de werkzaamheden van kredietinstellingen, kan de tenuitvoerlegging en toepassing van het rechtskader in bepaalde gevallen van invloed zijn op de rechten van natuurlijke personen in verband met de verwerking van hun persoonsgegevens.

9.

Verschillende bepalingen van de voorgestelde richtlijn staan de uitwisseling van informatie tussen de bevoegde autoriteiten van de lidstaten en, mogelijk, met die van derde landen toe (8). Deze informatie kan heel goed betrekking hebben op natuurlijke personen, zoals de leden van het management van de kredietinstellingen, hun werknemers en aandeelhouders. Bovendien mogen de bevoegde autoriteiten krachtens de voorgestelde richtlijn rechtstreeks sancties opleggen aan personen en zijn ze verplicht om de opgelegde sancties bekend te maken, met inbegrip van de identiteit van de verantwoordelijke personen (9). Om de opsporing van schendingen te vergemakkelijken, omvatten de voorstellen de invoering van een verplichting voor de bevoegde autoriteiten om te voorzien in mechanismen die de melding van onregelmatigheden aanmoedigen (10). Voorts verplicht de voorgestelde verordening kredietinstellingen en beleggingsondernemingen om informatie over hun beloningsbeleid openbaar te maken, met inbegrip van de bedragen die worden betaald, uitgesplitst naar personeelscategorie en beloningsschaal (11). Al deze bepalingen kunnen voor de betrokken personen implicaties op het gebied van de bescherming van hun gegevens hebben.

10.

In het licht van het bovenstaande zal het onderhavige advies zich concentreren op de volgende aspecten van het pakket met betrekking tot de persoonlijke levenssfeer en de bescherming van gegevens: 1. de toepasselijkheid van de gegevensbeschermingswetgeving; 2. de doorgifte van gegevens aan derde landen; 3. het beroepsgeheim en het gebruik van vertrouwelijke informatie; 4. de verplichte bekendmaking van sancties; 5. mechanismen voor het melden van schendingen; 6. de bekendmakingseisen met betrekking tot het beloningsbeleid.

11.

Overweging 74 van de voorgestelde richtlijn bevat een verwijzing naar de volledige toepasselijkheid van de gegevensbeschermingswetgeving. Een verwijzing naar de volledige toepasselijkheid van de gegevensbeschermingswetgeving zou echter moeten worden opgenomen in een inhoudelijk artikel van de voorstellen. Een goed voorbeeld van een dergelijke inhoudelijke bepaling is te vinden in artikel 22 van het voorstel voor een verordening van het Europees Parlement en de Raad betreffende handel met voorwetenschap en marktmanipulatie (marktmisbruik) (12), waarin uitdrukkelijk als algemene regel wordt vastgesteld dat Richtlijn 95/46/EG en Verordening (EG) nr. 45/2001 van toepassing zijn op de verwerking van persoonsgegevens in het kader van het voorstel.

12.

Dit is met name relevant in verband met, bijvoorbeeld, de verschillende bepalingen inzake de uitwisseling van persoonsgegevens. Deze bepalingen zijn volkomen legitiem, maar moeten worden toegepast op een wijze die in overeenstemming is met de gegevensbeschermingswetgeving. Met name moet het risico worden vermeden dat ze kunnen worden uitgelegd als een „carte blanche” om allerlei soorten persoonsgegevens uit te wisselen. Een verwijzing naar de gegevensbeschermingswetgeving, ook in de inhoudelijke bepalingen, zou dat risico beduidend verminderen.

13.

De EDPS stelt daarom voor om een inhoudelijke bepaling op te nemen die vergelijkbaar is met die van artikel 22 van het voorstel voor een verordening van het Europees Parlement en de Raad betreffende handel met voorwetenschap en marktmanipulatie (marktmisbruik) (13), onderworpen aan de voorstellen die hij met betrekking tot dit voorstel heeft gedaan (14), waarbij nadruk wordt gelegd op de toepasselijkheid van de bestaande gegevensbeschermingswetgeving en de verwijzing naar Richtlijn 95/46/EG wordt verduidelijkt door te vermelden dat de bepalingen van toepassing zullen zijn overeenkomstig de nationale voorschriften tot uitvoering van Richtlijn 95/46/EG.

14.

Artikel 48 van de voorgestelde richtlijn bepaalt dat de Commissie de Raad voorstellen mag doen voor onderhandelingen over overeenkomsten met derde landen met als doel om te waarborgen dat de bevoegde autoriteiten van derde landen de inlichtingen verkrijgen die nodig zijn voor het toezicht op moederondernemingen met hoofdkantoor op hun grondgebied die een dochteronderneming hebben in een of meer lidstaten.

15.

Voor zover deze informatie persoonsgegevens bevat, zijn Richtlijn 95/46/EG en Verordening (EG) nr. 45/2001 volledig toepasbaar op de doorgifte van gegevens aan derde landen. De EDPS stelt voor om in artikel 48 te verduidelijken dat overeenkomsten in deze gevallen moeten voldoen aan de voorwaarden voor de doorgifte van persoonsgegevens aan derde landen die zijn neergelegd in hoofdstuk IV van Richtlijn 95/46/EG en in Verordening (EG) nr. 45/2001. Hetzelfde zou moeten gebeuren met artikel 56 over samenwerkingsovereenkomsten met bevoegde autoriteiten van derde landen die door lidstaten of de EBA worden gesloten.

16.

Voorts beveelt de EDPS aan, met het oog op de risico's die aan dergelijke doorgiften zijn verbonden, om specifieke waarborgen in te bouwen, zoals is gebeurd in artikel 23 van het voorstel voor een verordening van het Europees Parlement en de Raad betreffende handel met voorwetenschap en marktmanipulatie (marktmisbruik). In het advies van de EDPS over dit voorstel verwelkomt hij het gebruik van een bepaling die passende waarborgen omvat, zoals een beoordeling per geval, de verplichting voor de desbetreffende bevoegde autoriteit om zich te overtuigen van de noodzaak van de doorgifte en het bestaan van een passend beschermingsniveau voor persoonsgegevens in het derde land dat de persoonsgegevens ontvangt.

17.

Artikel 54 van de voorgestelde richtlijn bepaalt dat alle personen die werkzaam zijn of zijn geweest voor de bevoegde autoriteiten aan het beroepsgeheim gebonden zijn. De tweede alinea van artikel 54 houdt een verbod in om vertrouwelijke gegevens openbaar te maken, „behalve in een samengevatte of geaggregeerde vorm, zodat individuele kredietinstellingen niet kunnen worden geïdentificeerd (…).” Zoals het verbod is geformuleerd, is niet duidelijk of het ook betrekking heeft op de openbaarmaking van persoonsgegevens.

18.

De EDPS beveelt aan om het verbod op openbaarmaking van vertrouwelijke informatie als bedoeld in artikel 54, lid 1, tweede alinea, uit te breiden naar gevallen waarin natuurlijke personen identificeerbaar zijn (d.w.z. om het verbod niet alleen betrekking te laten hebben op „individuele kredietinstellingen”). Met andere woorden: de bepaling zou moeten worden geherformuleerd in de zin dat vertrouwelijke informatie niet bekend mag worden gemaakt, „behalve in een samengevatte of geaggregeerde vorm, zodat individuele kredietinstellingen en natuurlijke personen niet kunnen worden geïdentificeerd” (nadruk toegevoegd).

19.

Een van de belangrijkste doelstellingen van het voorgestelde pakket is om het rechtskader van de lidstaten wat betreft administratieve sancties en maatregelen te versterken en onderling aan te passen. De voorgestelde richtlijn voorziet in de bevoegdheid van de bevoegde autoriteiten om sancties op te leggen, niet alleen aan kredietinstellingen, maar ook aan de personen die materieel verantwoordelijk zijn voor de schending (15). Artikel 68 verplicht de lidstaten ervoor te zorgen dat de bevoegde autoriteiten alle sancties of maatregelen die bij schending van de bepalingen van de voorgestelde verordening of van de nationale voorschriften voor de tenuitvoerlegging van de voorgestelde richtlijn worden opgelegd zonder onnodige vertraging bekendmaken, waarbij informatie wordt verstrekt over de aard van de schending en de identiteit van de personen die ervoor verantwoordelijk zijn.

20.

De bekendmaking van sancties zou bijdragen aan een verbeterde afschrikkende werking, omdat feitelijke en potentiële plegers van inbreuken zouden worden ontmoedigd om inbreuken te plegen aangezien dit tot aanzienlijke reputatieschade zou kunnen leiden. Ook zou als gevolg hiervan de transparantie toenemen, omdat marktdeelnemers bewust zouden worden gemaakt van het feit dat een inbreuk door een bepaalde persoon is gepleegd (16). Deze verplichting wordt alleen beperkt wanneer bekendmaking de betrokken partijen onevenredige schade zou berokkenen, in welk geval de bevoegde autoriteiten de sancties zonder vermelding van namen bekendmaken.

21.

De EDPS is er niet van overtuigd dat de verplichte bekendmaking van sancties, zoals de bepaling nu is geformuleerd, voldoet aan de eisen van de gegevensbeschermingswetgeving zoals deze door het Hof van Justitie is uitgelegd in het arrest-Schecke  (17). De EDPS is van mening dat het doel, de noodzaak en de evenredigheid van de maatregel onvoldoende zijn aangetoond en dat in elk geval in toereikende waarborgen voor de rechten van personen had moeten worden voorzien.

22.

In het arrest-Schecke heeft het Hof van Justitie de bepalingen van een verordening van de Raad en een verordening van de Commissie waarin werd voorzien in de verplichte bekendmaking van informatie over de begunstigden van landbouwfondsen, inclusief de identiteit van de begunstigden en de ontvangen bedragen, nietig verklaard. In genoemd arrest oordeelt het Hof dat deze bekendmaking een verwerking is van persoonsgegevens in de zin van artikel 8, lid 2, van het Handvest van de grondrechten van de Europese Unie (het „Handvest”) en derhalve een aantasting van de bij de artikelen 7 en 8 van het Handvest toegekende rechten inhoudt.

23.

Na de vaststelling dat „uitzonderingen op en beperkingen van de bescherming van persoonsgegevens binnen de grenzen van het strikt noodzakelijke moeten blijven”, analyseerde het Hof het doel van de bekendmaking en de evenredigheid ervan. Daarbij concludeerde het Hof dat uit niets is gebleken dat de Raad en de Commissie bij de aanneming van de wetgeving andere methoden om de informatie bekend te maken, die consistent zijn met het doel van deze bekendmaking en een minder ingrijpende aantasting van de rechten van de begunstigden met zich meebrengen, in overweging hebben genomen.

24.

Artikel 68 van de voorgestelde richtlijn lijkt aan dezelfde tekortkomingen te lijden als die waarop het Hof van Justitie in het arrest-Schecke heeft gewezen. Daarbij moet in gedachte worden gehouden dat bij het beantwoorden van de vraag of een bepaling waarin de publieke bekendmaking van persoonlijke informatie wordt vereist in overeenstemming met de voorschriften inzake gegevensbescherming is, een duidelijk en welomschreven doel dat de voorgenomen bekendmaking moet dienen van cruciaal belang is. Alleen als er een duidelijk en welomschreven doel is, kan worden beoordeeld of de bekendmaking van de persoonsgegevens in kwestie feitelijk noodzakelijk en evenredig is (18).

25.

Na lezing van het voorstel en de begeleidende documenten (d.w.z. het effectbeoordelingsverslag), heeft de EDPS de indruk dat het doel, en dientengevolge de noodzaak, van deze maatregel niet duidelijk is vastgesteld. Terwijl in de overwegingen bij het voorstel niet op deze kwesties wordt ingegaan, wordt in het effectbeoordelingsverslag slechts verklaard dat de „bekendmaking van sancties een belangrijk element is van het ontmoedigende effect ervan op de adressaten en nodig is om ervoor te zorgen dat sancties een ontmoedigend effect op het algemene publiek hebben”. In het verslag wordt echter niet overwogen of minder ingrijpende methoden hetzelfde resultaat zouden kunnen garanderen, in de zin van een afschrikkende werking zonder aantasting van de privacyrechten van de betrokken personen. In het bijzonder wordt in het verslag niet uitgelegd waarom financiële of andersoortige sancties die de privacy niet aantasten onvoldoende zouden zijn.

26.

Bovendien lijken minder ingrijpende methoden om de informatie bekend te maken, zoals beperking van de informatie tot de identiteit van de kredietinstellingen of zelfs beoordeling per geval of bekendmaking noodzakelijk is, in het effectbeoordelingsverslag onvoldoende in aanmerking te worden genomen. Met name de laatstgenoemde optie lijkt op het eerste gezicht een meer evenredige oplossing, vooral omdat bekendmaking zelf een sanctie is krachtens artikel 67, lid 2, onder a), en artikel 69 bepaalt dat de bevoegde autoriteiten bij een besluit over de toepassing van sancties alle relevante omstandigheden in aanmerking moeten nemen (d.w.z. dat per geval een beoordeling moet worden gemaakt), zoals de ernst van de schending, de mate van persoonlijke verantwoordelijkheid, of er sprake is van eerdere overtredingen, de omvang van de verliezen die door derden worden geleden, enz. De verplichte bekendmaking van sancties in alle gevallen in de zin van artikel 68 strookt niet met de in de artikelen 67 en 69 beschreven sanctieregeling.

27.

In het effectbeoordelingsverslag worden slechts enkele paragrafen besteed aan de vraag waarom de optie om de bekendmaking per geval te beoordelen niet voldoet. Daarin wordt gesteld dat het aan de bevoegde autoriteiten overlaten „of de bekendmaking passend is” het afschrikwekkende effect van de bekendmaking zou verminderen (19). In de opvatting van de EDPS is het echter juist dit aspect — de mogelijkheid om het geval in het licht van de specifieke omstandigheden te beoordelen — dat deze oplossing een meer evenredige en daarom te verkiezen optie maakt boven verplichte bekendmaking in alle gevallen. Deze discretionaire bevoegdheid zou de bevoegde autoriteit bijvoorbeeld de mogelijkheid bieden om niet tot bekendmaking over te gaan wanneer de schending minder ernstig is, de schending geen significante schade heeft veroorzaakt, de betrokken partij met de autoriteiten meewerkt, enz.

28.

De voorgestelde richtlijn had moeten voorzien in toereikende waarborgen om een billijk evenwicht tussen de verschillende in het geding zijnde belangen te bereiken. In de eerste plaats zijn waarborgen nodig in verband met het recht van de beschuldigde personen om het besluit bij de rechter aan te vechten en het beginsel van het vermoeden van onschuld. In de tekst van artikel 68 hadden in dit verband specifieke formuleringen moeten worden opgenomen die de bevoegde autoriteiten verplichten passende maatregelen te nemen met het oog op zowel de situatie dat het besluit afhankelijk is van de uitkomst van een beroepsprocedure als de situatie dat het besluit uiteindelijk door een rechter nietig is verklaard (20).

29.

In de tweede plaats zou de voorgestelde richtlijn ervoor moeten zorgen dat de rechten van de betrokkenen op proactieve wijze worden gerespecteerd. De EDPS waardeert het feit dat de definitieve versie van het voorstel voorziet in de mogelijkheid om bekendmaking te vermijden indien dit onevenredige schade zou veroorzaken. Een proactieve aanpak moet echter met zich meebrengen dat betrokkenen van tevoren in kennis worden gesteld van het feit dat het besluit om hun een sanctie op te leggen bekend zal worden gemaakt en dat ze krachtens artikel 14 van Richtlijn 95/46/EG het recht hebben om zich om zwaarwegende en gerechtvaardigde redenen te verzetten tegen de bekendmaking (21).

30.

In de derde plaats is het in de praktijk voorstelbaar, hoewel in de voorgestelde richtlijn niet wordt gespecificeerd via welk medium de informatie bekend moet worden gemaakt, dat de informatie in de meeste landen op internet bekend zal worden gemaakt. Aan bekendmaking op internet zijn specifieke vraagstukken en risico's verbonden, in het bijzonder in verband met de noodzaak om ervoor te zorgen dat de informatie niet langer online toegankelijk is dan nodig is en dat de gegevens niet kunnen worden gemanipuleerd of gewijzigd. Het gebruik van externe zoekmachines brengt ook het risico met zich mee dat de informatie uit de context wordt gehaald en door en naar buiten het internet wordt geleid op manieren die moeilijk beheersbaar zijn (22).

31.

Gezien het bovenstaande moeten de lidstaten worden verplicht ervoor te zorgen dat persoonsgegevens van de betrokken personen slechts gedurende een redelijke periode online toegankelijk worden gehouden, waarna ze systematisch moeten worden verwijderd (23). Daarnaast moeten de lidstaten worden verplicht om voor toereikende beveiligingsmaatregelen en waarborgen te zorgen, met name om bescherming te bieden tegen de risico's die zijn verbonden aan het gebruik van externe zoekmachines (24).

32.

De EDPS is van mening dat de bepaling inzake de verplichte bekendmaking van sancties — zoals deze op dit moment is geformuleerd — niet in overeenstemming is met het grondrecht op privacy en gegevensbescherming. De wetgever zou de noodzaak van het voorgestelde systeem zorgvuldig moeten beoordelen en moeten nagaan of de bekendmakingsverplichting verder gaat dan nodig is om het nagestreefde doel van algemeen belang te verwezenlijken en of er minder restrictieve maatregelen kunnen worden genomen om hetzelfde doel te verwezenlijken. Afhankelijk van het resultaat van deze evenredigheidstoetsing zou de bekendmakingsverplichting in elk geval moeten worden ondersteund door toereikende waarborgen voor de eerbiediging van het beginsel van het vermoeden van onschuld, het recht van verzet van de betrokken personen, de beveiliging/juistheid van gegevens en de verwijdering ervan na een passende tijdsperiode.

33.

Artikel 70 van de voorgestelde richtlijn heeft betrekking op mechanismen voor het melden van schendingen, ook wel klokkenluidersregelingen genoemd. Hoewel deze systemen een doelmatig handhavingsinstrument kunnen vormen, zijn er vanuit het oogpunt van gegevensbescherming belangrijke vraagstukken aan verbonden (25). De EDPS is ingenomen met het feit dat het voorstel specifieke, op nationaal niveau verder te ontwikkelen waarborgen bevat voor de bescherming van personen die melding van vermeende schendingen maken, en meer in het algemeen voor de bescherming van persoonsgegevens. De EDPS is zich ervan bewust dat in de voorgestelde richtlijn alleen de belangrijkste elementen van de door de lidstaten ten uitvoer te leggen regeling worden uiteengezet. Desalniettemin wil de EDPS aandacht vragen voor de volgende aanvullende punten.

34.

De EDPS wijst erop, zoals hij dat ook in andere adviezen heeft gedaan (26), dat een specifieke verwijzing naar de noodzaak om de vertrouwelijkheid van de identiteit van klokkenluiders en informanten te eerbiedigen zou moeten worden ingevoerd. De EDPS onderstreept dat de positie van de klokkenluider een gevoelige is. Personen die dit soort informatie verstrekken moet worden gegarandeerd dat hun identiteit onder voorwaarde van vertrouwelijkheid wordt verwerkt, met name tegenover de persoon van wie een vermeende overtreding wordt gemeld (27). De vertrouwelijkheid van de identiteit van klokkenluiders zou in alle fasen van de procedure moeten worden gegarandeerd, zolang dit niet in strijd is met de nationale voorschriften waarmee gerechtelijke procedures worden gereguleerd. Met name bestaat de mogelijkheid dat de identiteit bekend moet worden gemaakt in het kader van nader onderzoek of een daaropvolgende, als gevolg van het onderzoek ingestelde gerechtelijke procedure (ook als is vastgesteld dat er opzettelijk valse verklaringen over hem/haar zijn afgelegd) (28). Gezien het bovenstaande beveelt de EDPS aan om in artikel 70, lid 2, onder b), de volgende bepaling toe te voegen: „de vertrouwelijkheid van de identiteit van deze personen moet in alle fasen van de procedure worden gegarandeerd, tenzij bekendmaking vereist wordt door het nationaal recht in het kader van nader onderzoek of een daaropvolgende gerechtelijke procedure”.

35.

De EDPS wijst verder op het belang om passende voorschriften vast te stellen om de toegangsrechten van beschuldigde personen te garanderen, die nauw verband houden met de rechten van verdediging (29). De procedures voor de ontvangst van meldingen en de follow-up daarvan als bedoeld in artikel 70, lid 2, onder a), moeten ervoor zorgen dat het recht van verdediging van de beschuldigde personen, zoals het recht om te worden geïnformeerd, het recht van toegang tot het onderzoeksdossier en het vermoeden van onschuld, adequaat worden geëerbiedigd en alleen worden beperkt voor zover dat noodzakelijk is (30). De EDPS stelt in dit verband voor om in de voorgestelde richtlijn ook de bepaling van artikel 29, onder d), van het voorstel van de Commissie voor een verordening van het Europees Parlement en de Raad betreffende handel met voorwetenschap en marktmanipulatie (marktmisbruik) op te nemen; deze bepaling verplicht de lidstaten tot de aanneming van „passende procedures om het recht van verdediging van een beschuldigde persoon te waarborgen, alsmede het recht om voorafgaand aan de aanneming van een besluit dat betrekking op hem heeft te worden gehoord en het recht op een effectief beroep in rechte tegen besluiten of maatregelen die op hem betrekking hebben”.

36.

Tot slot, met betrekking tot artikel 70, lid 2, onder c), is de EDPS ingenomen met het feit dat deze bepaling van de lidstaten de bescherming van persoonsgegevens vereist, zowel van de beschuldigende als van de beschuldigde persoon, in overeenstemming met de beginselen van Richtlijn 95/46/EG. De EDPS stelt echter voor om de zinsnede „de beginselen van” te schrappen teneinde de verwijzing naar de richtlijn meer omvattend en bindend te maken. Wat betreft de noodzaak om bij de praktische tenuitvoerlegging van de regelingen de gegevensbeschermingswetgeving te eerbiedigen, wenst de EDPS met name de door de Groep Gegevensbescherming artikel 29 in zijn advies van 2006 betreffende klokkenluidersregelingen geformuleerde aanbevelingen te onderstrepen. Bij de tenuitvoerlegging van nationale regelingen moeten de betrokken entiteiten onder meer rekening houden met de noodzaak om het evenredigheidsbeginsel te respecteren door, voor zover mogelijk, de categorieën van personen die kunnen worden beschuldigd en de schendingen waarvan ze kunnen worden beschuldigd te beperken, evenals met de noodzaak om geïdentificeerde en vertrouwelijke meldingen te bevorderen ten opzichte van anonieme meldingen, de noodzaak om de identiteit van klokkenluiders bekend te maken wanneer ze opzettelijk valse verklaringen afleggen en de noodzaak om zich te houden aan strikte bewaringsperioden voor de gegevens.

37.

De EDPS doet de volgende aanbevelingen: