20.7.2017 |
NL |
Publicatieblad van de Europese Unie |
C 234/3 |
Samenvatting van het advies van de Europese Toezichthouder voor gegevensbescherming over het voorstel voor een Europese verordening betreffende privacy en elektronische communicatie („e-privacyverordening”)
(De volledige tekst van dit advies is beschikbaar in het Engels, Frans en Duits op de EDPS-website: www.edps.europa.eu)
(2017/C 234/03)
Dit advies omschrijft het standpunt van de EDPS inzake het voorstel voor een verordening betreffende privacy en elektronische communicatie, waarmee de e-privacyrichtlijn zal worden vervangen en ingetrokken.
Zonder de e-privacyverordening zou het privacy- en gegevensbeschermingskader van de EU onvolledig zijn. Hoewel de algemene verordening gegevensbescherming een grote verworvenheid is, hebben wij een specifiek wetgevingsinstrument nodig ter bescherming van het recht op eerbiediging van het privéleven dat door artikel 7 van het Handvest van de grondrechten wordt gegarandeerd, waarvan vertrouwelijkheid van communicatie een essentieel onderdeel is. Derhalve verwelkomt en ondersteunt de EDPS het voorstel, dat precies daarop gericht is. De EDPS verwelkomt ook het gekozen wetgevingsinstrument, d.w.z. een verordening die rechtstreeks toepasselijk is en bijdraagt aan een hoger niveau van harmonisatie en consistentie. Hij verwelkomt de ambitie om een hoog beschermingsniveau te bieden zowel wat betreft de inhoudelijke gegevens als de metagegevens en steunt de doelstelling om de geheimhoudingsplicht uit te breiden tot een breder dienstenaanbod — met inbegrip van de zogeheten „over-the-top”-diensten (OTT’s) — hetgeen de technologische voortgang weerspiegelt. Hij overweegt ook dat het besluit om alleen aan gegevensbeschermingsautoriteiten handhavingsbevoegdheden toe te kennen, en de beschikbaarheid van de samenwerkings- en conformiteitstoetsen binnen het toekomstige Europees Comité voor de Gegevensbescherming (EDPB), zullen bijdragen aan een meer consistente en effectieve handhaving in de gehele EU.
Tegelijkertijd betwijfelt de EDPS of het voorstel in zijn huidige vorm zijn belofte om een hoog niveau van bescherming van privacy in elektronische communicatie kan waarmaken. We hebben een nieuw wetgevingskader voor e-privacy nodig, maar dat moet wel intelligenter, duidelijker en krachtiger zijn. Er moet nog veel werk worden verzet: de complexiteit van de regels, zoals in het voorstel uiteengezet, is ontmoedigend. Communicatie wordt opgeknipt in metagegevens, inhoudelijke gegevens, data verzonden door terminaluitrusting. Elk daarvan heeft recht op een ander niveau van vertrouwelijkheid en voor elk daarvan gelden andere uitzonderingen. Deze complexiteit kan het risico meebrengen van — mogelijk onbedoelde — hiaten in de bescherming.
Over de meeste definities waar het voorstel op stoelt, wordt onderhandeld en besloten in het kader van een ander wetgevingsinstrument: het Europees wetboek voor elektronische communicatie. Er is momenteel geen juridische rechtvaardiging om de twee instrumenten zo nauw met elkaar te verbinden en de concurrentie- en marktgerichte definities uit het wetboek zijn eenvoudigweg niet geschikt voor hun doel in de context van grondrechten. De EDPS pleit derhalve voor opname van een serie noodzakelijke definities in de e-privacyverordening, met inachtneming van de beoogde reikwijdte en doelstellingen daarvan.
Tevens moeten wij bijzondere aandacht besteden aan de vraag naar de verwerking van elektronische communicatiegegevens door andere verwerkers dan aanbieders van elektronische-communicatiediensten. De aanvullende bescherming die aan communicatiegegevens wordt geboden, zou zinloos zijn indien deze eenvoudig te omzeilen is door de gegevens bijvoorbeeld aan derden over te dragen. Ook dient er gewaarborgd te worden dat de e-privacyregels geen lagere beschermingsstandaard toestaan dan die welke in de algemene verordening gegevensbescherming is verankerd. Overeenkomstig de algemene verordening gegevensbescherming dient de toestemming van gebruikers bijvoorbeeld „echt” te zijn, waarbij de gebruikers een vrije keuze wordt geboden. Er mogen geen „trackingmuren” meer zijn. Daarnaast dienen de nieuwe regels ook strikte eisen te stellen aan „privacy by design” en „privacy by default”. Ten slotte bespreekt de EDPS in dit advies ook andere urgente kwesties, met inbegrip van de beperkingen in de omvang van de rechten.
1. INLEIDING EN ACHTERGROND
Dit advies („advies”) wordt gegeven naar aanleiding van een verzoek van de Europese Commissie („Commissie”) aan de Europese Toezichthouder voor gegevensbescherming („EDPS”), als onafhankelijke toezichthoudende autoriteit en onafhankelijk adviesorgaan, tot het uitbrengen van een advies over het voorstel voor een verordening betreffende privacy en elektronische communicatie (1) („het voorstel”). Het voorstel is bedoeld om Richtlijn 2002/58/EG betreffende de eerbiediging van de persoonlijke levenssfeer en elektronische communicatie in te trekken en te vervangen („de e-privacyrichtlijn”) (2). De Commissie heeft ook de Groep gegevensbescherming artikel 29 (WP29) om een advies verzocht, waaraan de EDPS als gewoon lid heeft bijgedragen (3).
Dit advies is een vervolg op ons voorlopige advies 5/2016 inzake de herziening van de e-privacyrichtlijn (2002/58/EG) (4), uitgebracht op 22 juli 2016. Mogelijk volgen in latere fasen van de wetgevingsprocedure nog verdere adviezen van de EDPS.
Het voorstel is één van de kerninitiatieven van de Strategie voor de digitale eengemaakte markt (5), die is gericht op de versterking van het vertrouwen in en de veiligheid van digitale diensten in de EU, met als zwaartepunt het realiseren van een hoog beschermingsniveau voor burgers en het creëren van een gelijk speelveld voor alle marktpartijen in de EU.
Met het voorstel wordt beoogd de e-privacyrichtlijn te moderniseren en te actualiseren als onderdeel van een bredere inspanning om een samenhangend en geharmoniseerd wettelijk kader voor gegevensbescherming in Europa te realiseren. De e-privacyrichtlijn vormt een nadere specificatie van en aanvulling op Richtlijn 95/46/EG (6), die wordt vervangen door de recentelijk vastgestelde algemene verordening gegevensbescherming (7).
De EDPS vat eerst in hoofdstuk 2 zijn belangrijkste opmerkingen over het voorstel samen, waarbij het zwaartepunt op de positieve aspecten van het voorstel ligt. Vervolgens bespreekt de EDPS in hoofdstuk 3 zijn andere belangrijke zorgen en worden aanbevelingen gegeven hoe deze kunnen worden weggenomen. Andere bedenkingen en aanbevelingen voor verdere verbeteringen staan omschreven in de bijlage bij dit advies, waarin het voorstel in meer detail wordt besproken. Het wegnemen van de zorgen die in dit advies en de bijlage daarbij worden besproken en het verder verbeteren van de tekst van de e-privacyverordening zou niet alleen helpen om de eindgebruikers en andere betrokkenen beter te beschermen, maar zou ook meer rechtszekerheid voor alle betrokken belanghebbenden introduceren.
4. CONCLUSIES
De EDPS verwelkomt het voorstel van de Commissie voor een gemoderniseerde, geactualiseerde en versterkte e-privacyverordening. Hij deelt de visie dat er nog steeds specifieke regels nodig zijn ter bescherming van de vertrouwelijkheid en veiligheid van elektronische communicatie in de EU en tot aanvulling en specificatie van de eisen van de algemene verordening gegevensbescherming. Hij is ook van mening dat wij eenvoudige, gerichte en technologisch neutrale wetsbepalingen nodig hebben, die een sterke, slimme en effectieve bescherming bieden voor de voorzienbare toekomst.
De EDPS verwelkomt de uitgesproken ambitie om een hoog beschermingsniveau te bieden voor zowel de gegevens zelf als de metagegevens, met name de belangrijke positieve elementen omschreven in hoofdstuk 2.1.
Hoewel hij het voorstel verwelkomt, blijft de EDPS bezorgd over een aantal bepalingen die het risico meebrengen dat ze de bedoeling ondermijnen van de Commissie om een hoog niveau van bescherming van privacy in elektronische communicatie te garanderen. De EDPS heeft met name de volgende belangrijke bedenkingen:
— |
de definities in het voorstel moeten niet afhankelijk zijn van de afzonderlijke wetgevingsprocedure inzake de richtlijn tot vaststelling van het Europees wetboek voor elektronische communicatie (8) („het voorstel voor een EWEC”); |
— |
de bepalingen inzake de toestemming van de eindgebruiker dienen te worden versterkt. Er dient toestemming te worden gevraagd van de personen die gebruikmaken van de diensten, ongeacht of zij zich daarop geabonneerd hebben, en van alle partijen bij de communicatie. Daarnaast dienen ook betrokkenen die geen partij zijn bij de communicatie te worden beschermd; |
— |
er dient te worden gewaarborgd dat de relatie tussen de algemene verordening gegevensbescherming en de e-privacyverordening geen mazen voor de bescherming van persoonsgegevens biedt. Persoonsgegevens verzameld op basis van de toestemming van de eindgebruiker of een andere rechtsgrond op grond van de e-privacyverordening mogen vervolgens niet verder worden verwerkt buiten de reikwijdte van die toestemming of uitzondering op een rechtsgrond die anders beschikbaar zou kunnen zijn op grond van de algemene verordening gegevensbescherming, maar niet op grond van de e-privacyverordening; |
— |
het voorstel vertoont een gebrek aan ambitie als het gaat om de zogeheten „trackingmuren” (ook bekend als „cookiemuren”). De toegang tot websites mag niet afhankelijk worden gesteld van dwang die uitgeoefend wordt op een persoon om „toestemming” te geven voor tracking via websites. Met andere woorden: de EDPS roept de wetgevers op om waarborgen te treffen dat de toestemming echt vrijelijk wordt gegeven; |
— |
Het voorstel verzuimt ervoor te zorgen dat browsers (en andere op de markt gebrachte software die elektronische communicatie mogelijk maakt) standaard zodanig worden ingesteld dat de digitale voetstappen van natuurlijke personen niet worden getraceerd; |
— |
de uitzonderingen op de tracering van de plaats van de terminaluitrusting zijn te ruim en missen adequate waarborgen; |
— |
het voorstel voorziet in de mogelijkheid voor lidstaten om beperkingen in te voeren; deze vragen om specifieke waarborgen. |
De belangrijkste zorgen — samen met aanbevelingen over hoe deze kunnen worden weggenomen- zijn in dit advies omschreven. Afgezien van onze algemene opmerkingen en belangrijke punten van zorg die in het hoofdgedeelte van dit advies worden vermeld, geeft de EDPS ook enkele verdere — en soms meer technische — commentaren en aanbevelingen over het voorstel in een bijlage, met name ter vergemakkelijking van het werk van de wetgevers en andere belanghebbenden die de tekst tijdens het wetgevingsproces verder willen verbeteren. Ten slotte wijzen wij ook op het belang van een snelle verwerking van dit belangrijke dossier door de wetgevers om te waarborgen dat de e-privacyverordening, zoals voorzien is, in werking kan treden op 25 mei 2018, de datum waarop de algemene verordening bescherming zelf ook van toepassing wordt.
Het belang van de vertrouwelijkheid van communicatie, zoals neergelegd in artikel 7 van het Handvest, wordt met de groeiende rol van elektronische communicatie in onze maatschappij en economie alleen maar groter. De in dit advies geschetste waarborgen vormen een cruciale factor bij het realiseren van de strategische langetermijndoelstellingen die de Commissie in haar Strategie voor de digitale eengemaakte markt heeft geformuleerd.
Gedaan te Brussel, 24 april 2017.
Giovanni BUTTARELLI
Europese Toezichthouder voor gegevensbescherming
(1) Voorstel voor een verordening van het Europees Parlement en de Raad met betrekking tot de eerbiediging van het privéleven en de bescherming van persoonsgegevens in elektronische communicatie, en tot intrekking van Richtlijn 2002/58/EG (richtlijn betreffende privacy en elektronische communicatie), COM(2017) 10 definitief, 2017/0003 (COD).
(2) Richtlijn 2002/58/EG van het Europees Parlement en de Raad van 12 juli 2002 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie (PB L 201 van 31.7.2002, blz. 37).
(3) WP29 advies 1/2017 inzake de voorgestelde verordening voor de e-privacyverordening (2002/58/EG) (WP247), vastgesteld op 4 april 2017. Zie ook WP29 advies 3/2016 inzake de evaluatie en herziening van de e-privacyrichtlijn (2002/58/EG) (WP240), vastgesteld op 19 juli 2016.
(4) Zie https://secure.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/Opinions/2016/16-07-22_Opinion_ePrivacy_EN.pdf
(5) Strategie voor een digitale eengemaakte markt voor Europa, Mededeling van de Commissie aan het Europees Parlement, de Raad, het Europees Economisch en Sociaal Comité en het Comité van de Regio’s van 6 mei 2015 (COM(2015) 192 definitief), beschikbaar op: http://eur-lex.europa.eu/legal-content/NL/TXT/PDF/?uri=CELEX:52015DC0192&from=NL
(6) Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (PB L 281 van 23.11.1995, blz. 31).
(7) Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming) (PB L 119 van 4.5.2016, blz. 1), beschikbaar op: http://eur-lex.europa.eu/legal-content/NL/TXT/PDF/?uri=OJ:L:2016:119:FULL
(8) Voorstel voor een richtlijn van het Europees Parlement en de Raad tot vaststelling van het Europees wetboek voor elektronische communicatie, COM(2016) 590 definitief/2, 2016/0288(COD) van 12.10.2016.