Home

Mededeling van de Commissie aan het Europees Parlement en de Raad over de follow-up van het Werkprogramma voor een betere toepassing van de richtlijn gegevensbescherming

Mededeling van de Commissie aan het Europees Parlement en de Raad over de follow-up van het Werkprogramma voor een betere toepassing van de richtlijn gegevensbescherming

Mededeling van de Commissie aan het Europees Parlement en de Raad over de follow-up van het Werkprogramma voor een betere toepassing van de richtlijn gegevensbescherming /* COM/2007/0087 def. */


[pic] | COMMISSIE VAN DE EUROPESE GEMEENSCHAPPEN |

Brussel, 7.3.2007

COM(2007) 87 definitief

MEDEDELING VAN DE COMMISSIE AAN HET EUROPEES PARLEMENT EN DE RAAD

over de follow-up van het Werkprogramma voor een betere toepassing van de Richtlijn gegevensbescherming

MEDEDELING VAN DE COMMISSIE AAN HET EUROPEES PARLEMENT EN DE RAAD

over de follow-up van het Werkprogramma voor een betere toepassing van de Richtlijn gegevensbescherming

(Voor de EER relevante tekst)

Richtlijn 95/46/EG[1] is een mijlpaal in de geschiedenis van de bescherming van persoonsgegevens als een grondrecht, waarvoor het pad is geëffend door Conventie 108 van de Raad van Europa[2]. In het eerste, overeenkomstig artikel 33 van de richtlijn opgestelde verslag over de toepassing ervan[3] concludeerde de Commissie dat er geen wijzigingen van de wetgeving nodig waren, maar dat er inspanningen dienden te worden geleverd en dat er aanzienlijke ruimte was om de toepassing van de richtlijn te verbeteren.

In het verslag was een Werkprogramma voor een betere toepassing van de Richtlijn gegevensbescherming opgenomen. In deze mededeling wordt nagegaan welke werkzaamheden ter uitvoering van dat programma zijn uitgevoerd, hoe de situatie momenteel is en wat de vooruitzichten zijn om in het licht van artikel 8 van het Europees Handvest van de grondrechten, dat het recht op bescherming van de persoonsgegevens erkent, op bepaalde beleidsterreinen resultaten te boeken.

De Commissie is van oordeel dat de richtlijn een algemeen juridisch kader vormt dat intrinsiek adequaat en technologieneutraal is. Het geharmoniseerde stel regels dat in de gehele EU een hoge mate van bescherming van persoonsgegevens waarborgt, heeft de burgers, het bedrijfsleven en de overheid aanzienlijke voordelen opgeleverd. Het beschermt burgers tegen voortdurende bewaking of tegen discriminerende behandeling op grond van informatie die over hen wordt bewaard. Het vertrouwen van consumenten dat persoonlijke gegevens die zij bij transacties verstrekken, niet zullen worden misbruikt, is een voorwaarde voor de ontwikkeling van de elektronische handel ( e-commerce ). Bedrijven werken binnen de Gemeenschap en administraties werken samen zonder dat zij ervoor moeten vrezen dat hun internationale activiteiten worden verstoord omdat de persoonsgegeven die zij daarbij onderling moeten uitwisselen op de plaats van verzending of op de plaats van ontvangst niet beschermd worden.

De Commissie zal erop blijven toezien dat de richtlijn wordt toegepast, met alle belanghebbenden samenwerken om nationale verschillen verder te reduceren en onderzoeken of er behoefte is aan sectorspecifieke wetgeving om de gegevensbeschermingsbeginselen op nieuwe technologieën toe te passen en tegemoet te komen aan vragen in verband met de openbare veiligheid.

1. HET VERLEDEN: DE RESULTATEN VAN HET WERKPROGRAMMA

Sinds de publicatie van het eerste verslag zijn werkzaamheden verricht op de volgende 10 actieterreinen[4]:

Actieterrein 1: overleg met lidstaten en gegevensbeschermingsautoriteiten

De Commissie voert een "gestructureerde dialoog" met de lidstaten over de omzetting in nationaal recht. In het kader daarvan wordt de wet- en regelgeving van de lidstaten grondig geanalyseerd en vinden er gesprekken plaats met de nationale autoriteiten om die wet- en regelgeving volledig in overeenstemming te brengen met de bepalingen van de richtlijn.

Actieterrein 2: kandidaat-lidstaten betrekken bij de inspanningen voor een betere en meer uniforme toepassing van de richtlijn

Vertegenwoordigers van deze staten hebben voorafgaand aan de toetreding deelgenomen aan vergaderingen van het bij artikel 31 van de richtlijn ingestelde Comité van vertegenwoordigers van de lidstaten, zoals zij sedert 2002 dedenvoor de vergaderingen van de Groep gegevensbescherming artikel 29[5]. De Commissie werkte intussen nauw samen met hun autoriteiten voor de invoering van nationale wet- en regelgeving, en verstrekte advies voor de afstemming daarvan op het acquis om het aantal formele inbreukprocedures tot een minimum te beperken.

Actieterrein 3: de aanmelding van omzettingswetten en –regels en van krachtens artikel 26, lid 2, van de richtlijn gegeven toestemmingen verbeteren

De gestructureerde dialoog waarvan sprake bij actieterrein 1 heeft de Commissie een duidelijker en vollediger beeld verschaft van de nationale omzettingsmaatregelen, met inbegrip van secundaire en sectorspecifieke wetgeving. In een schrijven aan de lidstaten van augustus 2003 heeft zij gemeenschappelijke criteria voorgesteld voor een pragmatische aanpak van de aanmeldingen als bedoeld in artikel 26, lid 3, van de richtlijn. Dit heeft geleid tot een toename van het aantal aanmeldingen door sommige lidstaten. De publicatie van een selectie van belangrijke nationale beleidsnota's, besluiten en aanbevelingen op de website van de Commissie heeft geleid tot een intensievere uitwisseling van beproefde methoden en kennis tussen nationale autoriteiten.

Actieterrein 4: handhaving

In een verklaring over rechtshandhaving heeft de Groep het beginsel goedgekeurd van op Europese schaal gesynchroniseerde handhavingsacties in de lidstaten en criteria vastgesteld voor de aanwijzing van zaken die voor onderzoek in aanmerking komen. In maart 2006 stelden de nationale gegevensbeschermingsautoriteiten een gezamenlijk onderzoek in naar de verwerking van persoonsgegevens in de sector van de particuliere ziektekostenverzekeraars.

Actieterrein 5: kennisgeving en openbaarmaking van verwerkingshandelingen

De Groep heeft hierover een verslag opgesteld waarin de huidige situatie in de lidstaten wordt beschreven en aanbevelingen worden gedaan die gelijklopen met die van de Commissie. Aansluitend is het Vademecum on Notification Requirements uitgebracht, waarmee werd beoogd een volledig overzicht van de verschillende nationale regels en praktische richtsnoeren aan de voor de verwerking verantwoordelijken te geven.

Actieterrein 6: een beter geharmoniseerde informatieverstrekking

In aansluiting op de analyse van de wet- en regelgeving in de lidstaten door de Commissie in het kader van de gestructureerde dialoog heeft de Groep een behoefte aan harmonisatie geconstateerd en naar een gemeenschappelijke benadering voor een pragmatische oplossing gezocht. De Groep heeft ten behoeve van de voor de verwerking verantwoordelijken richtsnoeren gegeven met betrekking tot relevante concrete gevallen, de inhoud en de vorm van de informatieverstrekking, en modellen voor privacyverklaringen met een getrapte opmaak en mededelingen betreffende de doorgifte van PNR-gegevens.

Actieterrein 7: vereenvoudiging van de regels voor internationale doorgiften

a) meer gebruik maken van gelijkwaardigheidsbeschikkingen op grond van artikel 25, lid 6, ten aanzien van derde landen

De Commissie heeft sedert de publicatie van het Werkprogramma een aantal gelijkwaardigheidsbeschikkingen goedgekeurd. Er is geconstateerd dat Argentinië, Guernsey en het eiland Man een passend niveau van bescherming waarborgen.

Daarnaast heeft de Commissie de toepassing van eerder genomen gelijkwaardigheidsbeschikkingen geëvalueerd. De diensten van de Commissie hebben in 2004 een verslag over de werking van de veiligehavenregeling ("Safe Harbour") en aansluitend een informatienota en een standaardformulier voor klachten bij het gegevensbeschermingspanel uitgebracht. Daarop volgend werd in oktober 2006 samen met de Groep en het Amerikaanse ministerie van Handel een belangrijke conferentie over internationale doorgiften van persoonsgegevens georganiseerd. Voorts is de toepassing van de gelijkwaardigheidsbeschikking betreffende Zwitserland en Canada geëvalueerd.

b) meer besluiten op grond van artikel 26, lid 4, waardoor marktdeelnemers meer keuze inzake modelcontractbepalingen hebben

De Commissie heeft een besluit genomen waarbij van een aantal nieuwe contractbepalingen wordt erkend dat zij passende waarborgen bieden voor de doorgifte van gegevens aan instanties die gegevens verwerken in derde landen. De betrokken bepalingen waren voorgesteld door een groep representatieve bedrijfsverenigingen, waaronder de Internationale Kamer van Koophandel. De diensten van de Commissie hebben in 2006 tevens een eerste verslag uitgebracht over de tenuitvoerlegging van de eerdere besluiten van de Commissie inzake contractbepalingen.

c) de rol van bindende bedrijfsvoorschriften voor het waarborgen van een passend beschermingsniveau bij doorgiften van persoonsgegevens binnen bedrijven

De Groep heeft na voorbereidend werk in 2003 en 2004 twee sleuteldocumenten goedgekeurd. In het eerste wordt een procedure vastgesteld voor samenwerking tussen nationale toezichthoudende autoriteiten met het oog op het uitbrengen van gemeenschappelijke standpunten over de gepastheid van waarborgen geboden door bindende bedrijfsvoorschriften. Het tweede bevat een standaardcontrolelijst die voor de gegevensverwerking verantwoordelijken kunnen gebruiken om de gepastheid van waarborgen geboden door bindende bedrijfsvoorschriften vast te stellen.

d) meer uniformiteit in de interpretatie van artikel 26, lid 1, van de richtlijn

De Groep heeft een advies goedgekeurd waarin belangrijke stuurinformatie wordt verstrekt voor het gebruik van de afwijkingen van het beginsel van een passend beschermingsniveau in derde landen.

Actieterrein 8: aanmoediging van privacybevorderende technologieën

Van de werkzaamheden die de Commissie en de Groep in 2003 en 2004 hebben ondernomen, is de neerslag te vinden in de komende mededeling van de Commissie over privacybevorderende technologieën (PET's), waarin het toekomstige beleid wordt uiteengezet.

Actieterrein 9: bevordering van zelfregulering en Europese gedragscodes

De Groep heeft de Europese gedragscode van FEDMA, de Europese federatie voor direct marketing, goedgekeurd. Het betreft hier een belangrijke mijlpaal. Andere initiatieven hebben helaas geen soortgelijke codes van vergelijkbare kwaliteit opgeleverd. De Europese sociale partners zijn er ondanks de eerder geboekte vooruitgang evenmin in geslaagd een Europees akkoord te sluiten over de bescherming van persoonsgegevens in de verhouding werkgever-werknemer.

Actieterrein 10: bewustmaking

Via een Eurobarometerenquête is ernaar gepeild hoe de Europese bevolking en het bedrijfsleven denken over privacy. Daaruit is in hoofdzaak gebleken dat de burgers bezorgd zijn over privacyvraagstukken, maar onvoldoende op de hoogte van de bestaande regels en procedures om hun rechten te beschermen.

2. HET HEDEN: OVERZICHT VAN DE MANIER WAAROP DE RICHTLIJN WORDT TOEGEPAST

De richtlijn wordt beter toegepast

De richtlijn is nu in alle lidstaten in nationaal recht omgezet. Over het algemeen zijn alle belangrijke bepalingen omgezet in de geest van de richtlijn.

De in het kader van het Werkprogramma ondernomen acties hebben een positief resultaat opgeleverd en aanzienlijk bijgedragen tot een betere toepassing van de richtlijn in de gehele Gemeenschap. De deelneming van de nationale toezichthoudende autoriteiten voor gegevensbescherming via de Groep heeft daarbij een doorslaggevende rol gespeeld.

In sommige lidstaten is de omzetting nog onvolledig

De grondige analyse van de gegevensbeschermingswet- en regelgeving van de lidstaten in het kader van de gestructureerde dialoog, aansluitend op de voorbereidende werkzaamheden voor het eerste verslag van de Commissie in 2003, heeft een verhelderend inzicht verschaft in de manier waarop de richtlijn in de Gemeenschap is omgezet. Een aantal juridische vragen en twijfels omtrent de verenigbaarheid van sommige nationale bepalingen en werkwijzen met de richtlijnbepalingen zijn opgehelderd.

Uit de gestructureerde dialoog is tevens gebleken dat een aantal belangrijke bepalingen in sommige lidstaten niet zijn omgezet. In andere gevallen is de omzetting of de praktijk niet in overeenstemming met de richtlijn of gaat zij de vrijheid die aan de lidstaten is gelaten te buiten.

Een belangrijk punt van aandacht betreft de naleving van de bepaling dat de toezichthoudende autoriteiten voor gegevensbescherming hun taken in volledige onafhankelijkheid vervullen en daartoe over de nodige bevoegdheden en middelen beschikken. De betrokken autoriteiten zijn een sluitstuk van het beschermingssysteem dat de richtlijn beoogt, en elk verzuim om hun onafhankelijkheid en bevoegdheden te waarborgen heeft verreikende negatieve gevolgen voor het toezicht op de naleving van de gegevensbeschermingswet- en regelgeving.

De Commissie onderzoekt en vergelijkt alle gevallen waarin onjuiste of onvolledige omzetting wordt vermoed om te verzekeren dat deze coherent worden aangepakt. Sommige lidstaten hebben de tekortkomingen in de wet- en regelgeving erkend en zich ertoe verbonden de nodige verbeteringen aan te brengen, wat door de Commissie sterk wordt toegejuicht. Andere problemen en bekommernissen zijn aan de orde gesteld in klachten van burgers. In gevallen waarin inbreuken op de Gemeenschapswetgeving blijven bestaan, zal de Commissie als hoedster van de Verdragen formele inbreukprocedures tegen de betrokken lidstaten inleiden op grond van artikel 226 van het EG-Verdrag. Een aantal van dergelijke procedures is reeds aanhangig gemaakt.

In sommige gevallen zijn er ongelijkheden binnen de grenzen van de vrijheid die de richtlijn laat

De richtlijn bevat een aantal bepalingen die ruim geformuleerd zijn en uitdrukkelijk of impliciet enige speelruimte aan de lidstaten laten wat de nationale omzettingsbesluiten betreft. Binnen de grenzen daarvan kunnen ongelijkheden voorkomen in de nationale wet- en regelgevingen[6]. Die ongelijkheden zijn niet groter dan in andere sectoren van economische activiteit en zijn een logisch gevolg van de vrijheid.

Maar die ongelijkheden vormen geen probleem voor de interne markt

De Commissie heeft een studie - “Economic evaluation of the Data Protection Directive (95/46/EC)”[7] - besteld om de economische impact van de richtlijn op voor de verwerking verantwoordelijken te meten. Daaruit is gebleken dat de implementatiekosten van de richtlijn, ondanks enige verschillen, bescheiden zijn te noemen voor het bedrijfsleven.

Grotere convergentie zou ongetwijfeld wenselijk zijn en bevorderlijk voor positieve initiatieven zoals vereenvoudiging, zelfregulering of het gebruik van bindende bedrijfsvoorschriften. De klachten die de Commissie heeft ontvangen bevatten evenwel geen bewijs dat ongelijkheden tussen de lidstaten binnen de grenzen van de vrijheid die de richtlijn laat, de goede werking van de interne markt belemmeren of het vrije verkeer van gegevens beperken wegens een gebrekkige of ontbrekende bescherming in het land van oorsprong of het land van bestemming. De mededinging tussen particuliere marktdeelnemers wordt ook niet door beperkingen of tekortkomingen in het land van vestiging verstoord. Ongelijkheden tussen de lidstaten beletten ondernemingen niet om in een andere lidstaat activiteiten te ontplooien of zich daar te vestigen. Zij doen evenmin afbreuk aan het engagement van de Europese Unie en haar lidstaten voor de bescherming van de grondrechten.

De richtlijn beantwoordt met andere woorden aan haar doelstellingen: het vrije verkeer van persoonsgegevens binnen de interne markt en terzelfder tijd een hoog niveau van bescherming in de Gemeenschap waarborgen.

De regels zijn intrinsiek adequaat

De vraag kan worden gesteld of de juridische oplossingen die de richtlijn biedt, afgezien van harmonisatie, zelf aangepast zijn aan wat er op het spel staat.

Er is kritiek geuit op sommige bepalingen. De aanmelding/informatieverstrekking is volgens sommigen een last, maar is van grote waarde voor de personen op wie de gegevens betrekking hebben ("de betrokkenen"), om het besef bij de voor de verwerking verantwoordelijken te vergroten en als hulpmiddel voor het toezicht door de autoriteiten. Internet, nieuwe interactiemogelijkheden voor betrokkenen en toegang tot diensten die in derde landen worden aangeboden, doen vragen rijzen met betrekking tot de regels voor de bepaling van het toepasselijke recht of voor de doorgifte van gegevens aan derde landen, vragen waarover de jurisprudentie maar gedeeltelijk uitsluitsel heeft gegeven[8]. De RFID-technologie (Radio Frequency Identification) werpt fundamentele vragen op inzake de reikwijdte van de gegevensbeschermingsregels en het begrip "persoonsgegevens". Vanuit het oogpunt van de toepassing van de in de richtlijn vervatte beginselen is bijzondere aandacht geboden wat de combinatie van geluid- en beeldgegevens met automatische herkenning betreft.

Een vergelijkbaar debat is in de Raad van Europa gevoerd over de vraag of de in Conventie 108 neergelegde beginselen nog relevant waren in deze tijd. De algemene opvatting is dat de beginselen nog altijd valabel zijn en een bevredigende oplossing bieden.

Aanpassing aan de ontwikkeling van de technologie

De Commissie vindt dat de richtlijn technologieneutraal is en dat de erin vervatte beginselen en bepalingen voldoende algemeen zijn om zinvol te kunnen worden toegepast op nieuwe technologieën en situaties. Wel kan het hier en daar noodzakelijk zijn de algemene regels te vertalen in specifieke richtsnoeren of voorschriften om rekening te houden met de bijzondere kenmerken van die technologieën.

Zo wordt Richtlijn 95/46/EG door Richtlijn 2002/58/EG gepreciseerd en gecompleteerd wat de verwerking van persoonsgegevens in de sector elektronische communicatie betreft, om het vrije verkeer van die gegevens en van elektronischecommunicatieapparatuur en –diensten in de Gemeenschap te waarborgen. De betrokken richtlijn wordt momenteel onderzocht in het kader van de algemene evaluatie van de regelgeving voor elektronische communicatie.

De Groep heeft zich intensief beziggehouden met technologische aangelegenheden, zoals ongewenste mededelingen ("spam"), e-mailfilters en de verwerking van verkeersgegevens voor factureerdoeleinden of van locatiegegevens voor dienstverleningen met toegevoegde waarde. Aan de RFID-technologie is een aantal workshops gewijd en een openbare raadpleging door de diensten van de Commissie in verband met de privacy- en veiligheidsaspecten.

Rekening houden met de eisen van het algemeen belang

De balans tussen enerzijds de bescherming van de grondrechten en vrijheden van het individu en anderzijds de eisen van het algemeen belang wordt in de richtlijn geregeld door twee soorten bepalingen.

De eerste sluit een aantal aangelegenheden van de werkingssfeer van de richtlijn uit, zoals artikel 3, waar het gaat om " de openbare veiligheid, defensie, de veiligheid van de Staat (waaronder de economie van de Staat, wanneer [de] verwerkingen in verband staan met vraagstukken van Staatsveiligheid), en de activiteiten van de Staat op strafrechtelijk gebied ". Het Hof van Justitie heeft verduidelijkt dat de verwerking voor doeleinden van openbare veiligheid en wetshandhaving niet binnen de werkingssfeer van de richtlijn valt[9]. Om tegemoet te komen aan de behoefte aan een gemeenschappelijk stel EU-gegevensbeschermingsregels heeft de Commissie een voorstel goedgekeurd over de bescherming van persoonsgegevens die worden verwerkt in het kader van de politiële en justitiële samenwerking in strafzaken[10], ter flankering van haar voorstel betreffende de uitwisseling van informatie volgens het beschikbaarheidsbeginsel[11]. De EU heeft op dit gebied een internationale overeenkomst met de VS gesloten om het gebruik van PNR-gegevens (passagiersnaamgegevens) in de strijd tegen het terrorisme te regelen[12].

Een tweede soort bepaalt dat de lidstaten de reikwijdte van de gegevensbeschermingsbeginselen mogen beperken, zoals in artikel 13 het geval is, "indien dit noodzakelijk is ter vrijwaring van [de lijst van zwaarwegende openbare belangen die vervolgens wordt opgesomd]". Dergelijke beperkingen kunnen bijvoorbeeld nodig zijn ter bestrijding van criminaliteit of ter bescherming van de volksgezondheid in noodsituaties. Andere bepalingen van de richtlijn staan, met beperkingen, soortgelijke uitzonderingen toe. Het Hof van Justitie heeft verduidelijkt dat oorspronkelijk voor "commerciële doeleinden" verzamelde gegevens daarna uitsluitend onder de in voornoemd artikel gestelde voorwaarden voor andere doeleinden, van algemeen belang, mogen worden gebruikt. Bovendien zijn de aan de nationale wetgever opgelegde beperkingen gelijkwaardig aan die van artikel 8 van het Europees Verdrag tot bescherming van de rechten van de mens en is de jurisprudentie van het Europees Hof voor de rechten van de mens van primordiaal belang. [13]. Deze ruimte voor de lidstaten om te beoordelen wat een "noodzakelijke maatregel" en een "zwaarwegend algemeen belang" is, is per definitie een aanzienlijke bron van ongelijkheid tussen de nationale wet- en regelgevingen.

Slechts in een beperkt aantal sectoren zijn de betrokken beperkingen geharmoniseerd; een recent voorbeeld daarvan is Richtlijn 2006/24/EG[14] betreffende de bewaring van gegevens, waarvoor de Commissie een groep van deskundigen wil samenstellen om de moeilijkheden, zoals de omzetting in nationaal recht, te bespreken.

Zonder afbreuk te doen aan het grondrecht

De Commissie verbindt zich ertoe bij al haar voorstellen rekening te houden met het Handvest van de grondrechten. De richtlijn stelt hoge eisen wat betreft de eerbiediging van het in artikel 8 van het Handvest vervatte recht op bescherming van persoonsgegevens en fungeert voor alle wetgeving van de Gemeenschap op verschillende terreinen als toetssteen voor de bescherming van de persoonlijke levenssfeer.

3. DE TOEKOMST: IN HET VOORUITZICHT GESTELDE WERKZAAMHEDEN

Tegen de hierboven geschetste achtergrond wil de Commissie een beleid voeren dat op de volgende elementen is gestoeld.

De ratificatie van het grondwettelijk verdrag kan nieuwe perspectieven openen

Het grondwettelijk verdrag zou op dit gebied een enorme impact hebben. Het in artikel 8 van het Handvest van de grondrechten neergelegde recht op bescherming van persoonsgegevens zou worden verankerd in artikel II-68. Daarnaast zou bij artikel I-51 een specifieke, autonome rechtsgrondslag voor wetgevingsbesluiten van de Unie op dit gebied worden ingesteld, hetgeen het pad zou effenen voor de goedkeuring van besluiten die in alle sectoren van toepassing zijn. De huidige indeling in "pijlers" en de bij artikel 3 van de richtlijn opgelegde beperkingen zouden niet langer een probleem vormen. De Commissie heeft er evenwel nadrukkelijk op gewezen dat er, totdat de situatie aangaande het ratificatieproces van het grondwettelijk verdrag duidelijk is, binnen het kader van de huidige verdragen behoefte is aan efficiëntere procedures op het beleidsterrein Vrijheid, veiligheid en recht[15].

De richtlijn behoeft niet te worden gewijzigd

Om de hierboven uiteengezette redenen is de Commissie van oordeel dat de Richtlijn gegevensbescherming een algemeen juridisch kader vormt dat beantwoordt aan de oorspronkelijke doelstellingen, namelijk de werking van de interne markt en een hoog niveau van bescherming in de Gemeenschap waarborgen. De richtlijn geeft gestalte aan het grondrecht op bescherming van persoonsgegevens. De naleving van de richtlijnbepalingen moet de individuele burger vertrouwen inboezemen wat de verwerking van op hem betrekking hebbende gegevens betreft, hetgeen een essentiële voorwaarde is voor de ontwikkeling van de e-economie. Zij is een ijkpunt voor initiatieven op een aantal beleidsterreinen. Het rechtskader is technologieneutraal en blijft een bron van adequate antwoorden op met de technologie verband houdende vragen.

De Commissie is bijgevolg niet van plan wetgevingsvoorstellen tot wijziging van de richtlijn in te dienen.

De Commissie blijft erop toezien dat de voorschriften nationaal en internationaal goed toegepast worden

Sommige onverenigbaarheden van de nationale wet- en regelgevingen zijn het gevolg van een onjuiste of onvolledige omzetting van de bepalingen van de richtlijn. Vertrekkend van de informatie die in het kader van de gestructureerde dialoog met de lidstaat of van klachten van burgers is verzameld, zal de Commissie met de lidstaten blijven samenwerken en waar nodig formele inbreukprocedures inleiden om tot een gelijk speelveld voor alle lidstaten te komen.

De Commissie vraagt de lidstaten ook nadrukkelijk erop toe te zien dat de nationale omzettingswetten naar behoren worden toegepast. Terzelfder tijd zal zij de ontwikkelingen in internationale fora, zoals de Raad van Europa, de OESO en de VN, blijven volgen en daaraan bijdragen om ervoor te zorgen dat de verbintenissen die de lidstaten aangaan sporen met hun verplichtingen uit hoofde van de richtlijn.

Over sommige bepalingen zal door de Commissie een interpretatienota worden uitgebracht

De inzake de tenuitvoerlegging van sommige bepalingen van de richtlijn geconstateerde problemen waarvoor een formele inbreukprocedure kan worden ingeleid, komen overeen met een bepaalde opvatting van de Commissie inzake de betekenis van die bepalingen en de correcte toepassing ervan, rekening houdende met de jurisprudentie en met de uitlegging door de Groep.

Die opvattingen zullen duidelijk worden uiteengezet in een mededeling-interpretatienota.

Alle betrokken partijen zullen door de Commissie worden aangemoedigd om de nationale ongelijkheden te verkleinen

Daartoe zullen verschillende werkzaamheden worden verricht.

– De uitvoering van het Werkprogramma wordt voortgezet

De in 2003 geschetste maatregelen waren toen geschikt om de toepassing van de richtlijn te verbeteren en zijn dat ook nu nog.

De werkzaamheden in het kader van het Werkprogramma zullen worden voortgezet; de betrokkenheid van alle belanghebbenden is een stevige basis om aan een betere toepassing van de beginselen van de richtlijn te werken.

– De Groep moet meer bijdragen aan de harmonisatie

Voor de Groep, waarin de nationale toezichthouders voor gegevensbescherming verenigd zijn, is een sleutelrol weggelegd om de toepassing beter en samenhangender te maken. Dit orgaan heeft dan ook tot taak " elke kwestie betreffende de toepassing van de ter uitvoering van deze richtlijn vastgestelde nationale bepalingen te bestuderen, teneinde bij te dragen tot een homogene toepassing daarvan ". Het heeft reeds nuttig werk geleverd om in de lidstaten te komen tot een uniforme toepassing van essentiële bepalingen, zoals die betreffende grensoverschrijdend gegevensverkeer of het begrip "persoonsgegevens".

Om hun deelneming aan de Groep optimaal te benutten, zouden de gegevensbeschermingsautoriteiten ervoor moeten zorgen dat de praktijk in hun respectieve lidstaten afgestemd wordt op de gemeenschappelijke lijn die in de Groep wordt uitgestippeld.

De uitdagingen van de nieuwe technologieën aangaan

De in de richtlijn neergelegde beginselen zijn nog altijd valabel en behoeven niet te worden gewijzigd. De snelle en grootschalige ontwikkeling van nieuwe informatie- en communicatietechnologieën maakt evenwel specifieke adviezen en richtsnoeren met betrekking tot de praktische toepassing van de beginselen noodzakelijk. Door steeds geavanceerdere technologie kan informatie steeds sneller wereldwijd circuleren. Technologie maakt het evenwel ook mogelijk om gegevens beter te beschermen waar zulks nodig is. Zij maakt betere controle maakt en vergemakkelijkt het doorzoeken van bestanden. Relevante gegevens kunnen sneller en vlotter worden opgezocht. Dankzij de technologie kunnen gegevens die niet mogen worden doorgegeven, van andere worden afgezonderd en sneller en doeltreffender dan vroeger worden afgeschermd.

Op dit gebied kan de Groep veel en nuttig werk verrichten. De werkzaamheden in het kader van de internet-task force moeten worden voortgezet, en de Groep moet zich blijven beijveren voor een gemeenschappelijke benadering van de nationale toezichthouders voor gegevensbescherming om de tenuitvoerlegging van de nationale wet- en regelgevingen te harmoniseren, in het bijzonder wat het toepasselijke recht en het grensoverschrijdende gegevensverkeer betreft.

Wanneer wordt geconstateerd dat een bepaalde technologie voortdurend vragen doet rijzen wat de toepassing van de gegevensbeschermingsbeginselen betreft en het grootschalige gebruik ervan of de mogelijke afbreuk aan de privacy ingrijpendere maatregelen vereist, zou de Commissie sectorspecifieke wetgeving op EU-niveau kunnen voorstellen om de beginselen toe te passen rekening houdende met de bijzondere kenmerken en behoeften van de betrokken technologie. Voor deze benadering is gekozen in Richtlijn 2002/58/EG betreffende elektronische communicatie en de persoonlijke levenssfeer.

De aan de gang zijnde evaluatie van deze richtlijn en de eerder vermelde mededeling inzake de RFID-technologie zijn misschien een gelegenheid om zich te beraden op de behoefte aan wijziging van de richtlijn of aan specifieke regels voor gegevensbeschermingsproblemen die worden opgeworpen door internet- of RFID-technologie.

Een coherent antwoord geven op vragen in verband met het gebruik van gegevens voor doeleinden van algemeen belang, in het bijzonder veiligheidsdoeleinden

Er dienen twee fundamentele vereisten met elkaar te worden verzoend: effectief het hoofd bieden aan bedreigingen voor met name de veiligheid van de Europese burgers en terzelfder tijd de eerbiediging van de grondrechten, waaronder het recht op bescherming van persoonsgegevens, waarborgen. Er worden over personen heel wat gegevens verzameld en er zijn talrijke activiteiten waarbij sporen van persoonsgegevens worden achtergelaten en opgeslagen. Gegevens mogen slechts voor andere redenen dan die waarvoor zij oorspronkelijk waren verzameld, worden gebruikt mits daarvoor uitdrukkelijk toestemming is gegeven. Dergelijk gebruik moet in een democratische samenleving gerechtvaardigd en noodzakelijk zijn in het algemeen belang, bijvoorbeeld om terreur en georganiseerde misdaad te bestrijden.

Bij het streven naar het juiste evenwicht tussen het waarborgen van de veiligheid en het beschermen van onaantastbare grondrechten ziet de Commissie toe op de bescherming van persoonsgegevens die is verankerd in artikel 8 van het Handvest van de grondrechten. Zoals in een geglobaliseerde wereld onmisbaar is, werkt de EU samen met externe partners. In het bijzonder hebben de EU en de VS een permanente trans-Atlantische dialoog waarbij over het delen van informatie en het beschermen van persoonsgegevens in het kader van de wetshandhaving wordt gesproken.

De Commissie zal de toepassing van de richtlijn opnieuw onder de loep nemen wanneer de in deze mededeling uiteengezette maatregelen genomen zijn.

[1] Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (PB L 281 van 23.11.1995, blz. 31), hierna "de richtlijn" genoemd.

[2] Overeenkomst ETS nr. 108, hierna "Conventie 108".

[3] Eerste verslag over de toepassing van de Richtlijn gegevensbescherming (95/46/EG), van 15 mei 2003, COM(2003) 265 def.

[4] Het eerste verslag van de Commissie en alle publiek toegankelijke documenten in verband met het werkprogramma zijn te vinden ophttp://ec.europa.eu/justice_home/fsj/privacy/lawreport/index_en.htm

[5] De bij artikel 29 van de richtlijn ingestelde Groep voor de bescherming van personen in verband met de verwerking van persoonsgegevens, hierna kortweg "de Groep" te noemen.

[6] Overweging 9 van de richtlijn.

[7] http://ec.europa.eu/justice_home/fsj/privacy/docs/studies/economic_evaluation_en.pdf

[8] Zaak C-101/01 ("Lindqvist"), arrest van 6 november 2003.

[9] Gevoegde zaken C-317/04 en C-318/04 ("PNR"-gegevens), arrest van 30 mei 2006.

[10] COM(2005) 475 def. van 4.10.2005.

[11] COM(2005) 490 def. van 12.10.2005.

[12] PB L 298 van 27.10.2006, blz. 29.

[13] Gevoegde zaken C-465/00, C-138/01 en C-139/01 ("Rechnungshof"), arrest van 20 mei 2003.

[14] PB L 105 van 13.4.2006, blz. 54.

[15] COM(2006) 331 def. van 28.6.2006.