Advies van de Europese Toezichthouder voor gegevensbescherming inzake de mededeling van de Commissie aan het Europees Parlement en de Raad over de follow-up van het werkprogramma voor een betere toepassing van de richtlijn gegevensbescherming
Advies van de Europese Toezichthouder voor gegevensbescherming inzake de mededeling van de Commissie aan het Europees Parlement en de Raad over de follow-up van het werkprogramma voor een betere toepassing van de richtlijn gegevensbescherming
27.10.2007 | NL | Publicatieblad van de Europese Unie | C 255/1 |
Advies van de Europese Toezichthouder voor gegevensbescherming inzake de mededeling van de Commissie aan het Europees Parlement en de Raad over de follow-up van het werkprogramma voor een betere toepassing van de richtlijn gegevensbescherming
(2007/C 255/01)
DE EUROPESE TOEZICHTHOUDER VOOR GEGEVENSBESCHERMING,
Gelet op het Verdrag tot oprichting van de Europese Gemeenschap, en met name op artikel 286,
Gelet op het Handvest van de grondrechten van de Europese Unie, en met name op artikel 8,
Gelet op Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens(1),
Gelet op Verordening (EG) nr. 45/2001 van het Europees Parlement en de Raad van 18 december 2000 inzake de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de communautaire instellingen en organen en betreffende het vrije verkeer van die gegevens(2), en met name op artikel 41,
BRENGT HET VOLGENDE ADVIES UIT:
I. INLEIDING
1. | Op 7 maart 2007 werd de mededeling van de Commissie aan het Europees Parlement en de Raad over de follow-up van het werkprogramma voor een betere toepassing van de richtlijn gegevensbescherming(3) door de Commissie aan de EDPS toegezonden. Overeenkomstig artikel 41 van Verordening (EG) nr. 45/2001 brengt de EDPS dit advies uit. |
2. | In de mededeling wordt nog eens het belang van Richtlijn 95/46/EG(4) als mijlpaal voor de bescherming van persoonsgegevens onderstreept, en worden de richtlijn en de uitvoering ervan besproken in drie hoofdstukken: het verleden, het heden en de toekomst. De voornaamste conclusie van de mededeling is dat de richtlijn geen wijziging behoeft. De uitvoering van de richtlijn moet verder worden verbeterd met behulp van andere, merendeels niet-bindende, beleidsinstrumenten. |
3. | In dit EDPS-advies wordt de structuur van de mededeling gevolgd. En belangrijker: de EDPS deelt de hoofdconclusie van de Commissie dat de richtlijn niet gewijzigd hoeft te worden. |
4. | De EDPS neemt dit standpunt echter ook om pragmatische redenen in. De uitgangspunten voor de EDPS zijn de volgende:
|
5. | Deze uitgangspunten zijn essentieel, aangezien bedacht moet worden dat de richtlijn in een dynamische context functioneert. Ten eerste is de Europese Unie aan veranderingen onderhevig: de vrije informatiestroom tussen de lidstaten onderling en tussen de lidstaten en derde landen heeft aan belang gewonnen en zal een steeds belangrijker gegeven worden. Ten tweede is de samenleving aan veranderingen onderhevig. De informatiemaatschappij evolueert en krijgt steeds meer trekken van een gecontroleerde samenleving(5). Dit impliceert een steeds sterkere noodzaak van doeltreffende bescherming van persoonsgegevens teneinde op geheel bevredigende wijze te reageren op deze nieuwe werkelijkheid. |
II. DE PERSPECTIEVEN VAN HET ADVIES
6. | In zijn beoordeling van de mededeling zal de EDPS met name aandacht besteden aan de volgende perspectieven, die in verband met de genoemde wijzigingen van belang zijn:
|
III. HET VERLEDEN EN HET HEDEN
7. | Het eerste verslag over de uitvoering van de richtlijn gegevensbescherming, van 15 mei 2003, bevatte een werkprogramma voor een betere uitvoering van de Richtlijn gegevensbescherming met een lijst van tien initiatieven die in 2003 en 2004 moesten worden ontplooid. In de mededeling wordt beschreven hoe elk van die acties is uitgevoerd. |
8. | Aan de hand van de analyse van de in het kader van het werkprogramma verrichte werkzaamheden wordt in de mededeling een positieve beoordeling gegeven van de verbeteringen in de uitvoering van de richtlijn. De beoordeling door de Commissie, zoals samengevat in de kopjes van hoofdstuk 2 („het heden”) van de mededeling luidt in grote lijnen dat de richtlijn beter wordt toegepast, hoewel de omzetting in sommige lidstaten nog onvolledig is; er zijn nog enkele ongelijkheden, maar die vallen binnen de grenzen van de vrijheid die de richtlijn laat, en vormen hoe dan ook geen echt probleem voor de interne markt. De door de richtlijn geboden wettelijke oplossingen zijn voldoende adequaat gebleken voor het waarborgen van het grondrecht van gegevensbescherming. Tegelijkertijd boden ze de mogelijkheid tot aanpassing aan de ontwikkeling van de technologie en aan de eisen van het algemeen belang. |
9. | De EDPS deelt in hoofdlijnen deze positieve beoordeling. Meer bepaald erkent de EDPS het aanzienlijke werk dat is verricht op het gebied van grensoverschrijdende gegevensstromen: beschikkingen inzake een passend niveau van gegevensbescherming in derde landen, nieuwe modelcontractbepalingen, de aanneming van bindende bedrijfsvoorschriften, het beraad over meer uniformiteit in de interpretatie van artikel 26, lid 1, van de richtlijn en de verbetering in kennisgevingen krachtens artikel 26, lid 2: al deze zaken leiden tot vergemakkelijking van internationale doorgiften van persoonsgegevens. De jurisprudentie van het Hof van Justitie(6) heeft echter laten zien dat er op dit cruciale terrein nog het nodige moet worden gedaan om ontwikkelingen op technologisch gebied en inzake de rechtshandhaving in aanmerking te nemen. |
10. | De mededeling toont daarnaast dat handhaving en bewustmaking van wezenlijk belang zijn voor het bevorderen van een betere uitvoering, en dat op die gebieden nog meer kan worden gedaan. Bovendien vormen de uitwisseling van beste praktijken en harmonisatie op het gebied van kennisgevingen en informatiebepalingen geslaagde precedenten voor het afbouwen van bureaucratie en kostenverlaging voor bedrijven. |
11. | Voorts bevestigt de analyse van het verleden dat er zonder de inbreng van een breed scala van stakeholders geen verbeteringen kunnen worden bereikt. De Commissie, de gegevensbeschermingsautoriteiten en de lidstaten zijn centrale actoren in de meeste van de verrichte acties. De rol van de privésector krijgt echter een steeds groter belang, met name bij de bevordering van zelfregulering en Europese gedragscodes en bij de ontwikkeling van privacybevorderende technologieën (PET's). |
IV. DE TOEKOMST
A. De conclusie: nu geen wijziging van de richtlijn
12. | Er zijn verscheidene redenen om het eens te zijn met de conclusie van de Commissie dat in de huidige omstandigheden en op korte termijn geen voorstel tot wijziging van de richtlijn hoeft te worden overwogen. |
13. | De Commissie geeft in feite twee redenen voor het trekken van die conclusie. Ten eerste is het potentieel van de richtlijn niet ten volle benut. Er zijn nog aanzienlijke verbeteringen mogelijk in de uitvoering van de richtlijn in de rechtsstelsels van de lidstaten. Ten tweede wordt gesteld dat, hoewel de richtlijn de lidstaten speelruimte laat, er geen aanwijzingen zijn dat verschillen binnen die speelruimte reële problemen voor de interne markt vormen. |
14. | Om die twee redenen formuleert de Commissie haar conclusie als volgt. Zij verklaart waarvoor de richtlijn bedoeld is — in de eerste plaats vertrouwen verzekeren — en stelt vervolgens dat de richtlijn een ijkpunt vormt, technologieneutraal is en een bron van solide en adequate antwoorden blijft(7). |
15. | De EDPS stemt in met de wijze waarop deze conclusie is geformuleerd, maar is van mening dat deze conclusie verder kan worden versterkt door haar nog op twee andere grondslagen te baseren.
|
De aard van de richtlijn
16. | Het grondrecht van natuurlijke personen op bescherming van hun persoonsgegevens wordt erkend in artikel 8 van het Handvest van de grondrechten van de Unie, en is onder meer vastgelegd in Verdrag 108 van de Raad van Europa van 28 januari 1981 tot bescherming van personen met betrekking tot de geautomatiseerde verwerking van persoonsgegevens. In wezen vormt de richtlijn een kader bestaande uit de hoofdbestanddelen van de bescherming van dit grondrecht, dat de in genoemd verdrag vervatte rechten en vrijheden verduidelijkt en versterkt(8). |
17. | Een grondrecht beoogt een burger in alle omstandigheden te beschermen in een democratische samenleving. De hoofdbestanddelen van een dergelijk grondrecht mogen niet gemakkelijk worden veranderd vanwege ontwikkelingen in de samenleving of op grond van politieke voorkeuren van regeringen aan de macht. Zo kunnen bedreigingen voor de samenleving door terroristische organisaties in specifieke gevallen bijvoorbeeld een afwijkend effect sorteren, omdat er aanzienlijker ingrepen in de grondrechten van personen vereist kunnen zijn, maar ze mogen onder geen beding de essentiële bestanddelen van het recht zelf aantasten noch een privépersoon de uitoefening van dat recht ontzeggen of hem daarin onrechtmatig beperken. |
18. | Het tweede kenmerk van de richtlijn is dat zij de vrije informatiestroom in de interne markt wil bevorderen. Ook deze tweede doelstelling kan als fundamenteel worden aangemerkt binnen een zich steeds sterker ontwikkelende interne markt zonder binnengrenzen. Harmonisatie van essentiële bepalingen van het nationaal recht is een van de voornaamste instrumenten om die interne markt tot stand te brengen en te doen functioneren. Dat voedt het wederzijdse vertrouwen van de lidstaten in elkaars nationale rechtsstelsels. Ook om die redenen moet over eventuele wijzigingen zorgvuldig worden nagedacht. Wijzigingen zouden het wederzijdse vertrouwen kunnen schaden. |
19. | Een derde kenmerk van de richtlijn is dat zij beschouwd moet worden als een algemeen kader waarop specifieke rechtsinstrumenten zijn gegrondvest. Tot die specifieke rechtsinstrumenten behoren maatregelen ter uitvoering van het algemene kader, alsmede specifieke kaders voor specifieke sectoren. Richtlijn 2002/58/EG betreffende privacy en elektronische communicatie(9) is zo'n specifiek kader. Indien mogelijk, dienen veranderingen in de samenleving te leiden tot wijzigingen in uitvoeringsmaatregelen of specifieke rechtskaders, maar niet in het algemene kader waarop die berusten. |
Het wetgevingsbeleid van de Unie
20. | Volgens de EDPS is de conclusie om de richtlijn nu niet te wijzigen ook een logisch gevolg van de algemene beginselen van goed bestuur en een goed wetgevingsbeleid. Wetgevingsvoorstellen — ongeacht of ze nieuwe gebieden van communautair optreden behelzen dan wel bestaande wettelijke regelingen wijzigen — moeten alleen worden ingediend indien de noodzaak en de evenredigheid ervan genoegzaam zijn aangetoond. Er moet geen wetgevingsvoorstel worden ingediend indien hetzelfde resultaat bereikt kan worden door andere, minder verstrekkende instrumenten te gebruiken. |
21. | In de huidige omstandigheden zijn de noodzaak en de evenredigheid van een wijziging van de richtlijn niet aangetoond. De EDPS memoreert dat de richtlijn voorziet in een algemeen kader voor gegevensbescherming binnen het Gemeenschapsrecht. Zij dient enerzijds de rechten en vrijheden van personen, met name het privacyrecht, in samenhang met de verwerking van persoonsgegevens te beschermen, en anderzijds de vrije stroom van persoonsgegevens in de interne markt te waarborgen. |
22. | Een dergelijk algemeen kader moet niet worden gewijzigd zolang het in de lidstaten niet volledig is uitgevoerd, tenzij er duidelijke aanwijzingen bestaan dat de doelstellingen van de richtlijn binnen het huidige kader niet haalbaar zijn. Naar het oordeel van de EDPS heeft de Commissie — naar de huidige omstandigheden — adequaat geargumenteerd dat het potentieel van de richtlijn niet ten volle is benut (zie hoofdstuk III van dit advies). Ook is er geen reden om aan te nemen dat de doelstellingen binnen het huidige kader niet verwezenlijkt konden worden. |
B. Op langere termijn lijken wijzigingen onvermijdelijk
23. | Ook in de toekomst moet worden gewaarborgd dat de beginselen van gegevensbescherming aan natuurlijke personen een doeltreffende bescherming bieden, waarbij rekening wordt gehouden met de dynamische context waarin de richtlijn functioneert (zie punt 5 van dit advies), alsook met de gezichtspunten van punt 6 van dit advies: verbetering van de uitvoering, interactie met technologie, wereldwijde privacy en rechtsmacht, gegevensbescherming en rechtshandhaving, en een Hervormingsverdrag. Deze noodzaak van volledige toepassing van de beginselen van gegevensbescherming stelt de randvoorwaarden voor toekomstige wijzigingen in de richtlijn. De EDPS memoreert nog eens dat wijziging van de richtlijn op langere termijn onvermijdelijk lijkt. |
24. | Wat de inhoud van toekomstige maatregelen betreft, noemt de EDPS nu al enkele elementen die hij van essentieel belang acht in een toekomstig systeem voor gegevensbescherming binnen de Europese Unie. Daarbij gaat het onder meer om het volgende:
|
25. | In de mededeling wordt in verband met de uitdagingen van nieuwe technologieën melding gemaakt van de aan de gang zijnde evaluatie van Richtlijn 2002/58/EG en van de mogelijke noodzaak van meer specifieke regelgeving voor de aanpak van gegevensbeschermingsvraagstukken die het gevolg zijn van nieuwe technologieën zoals internet en RFID(10). De EDPS juicht deze evaluatie en verdere acties toe, ofschoon die volgens hem niet alleen verband moeten houden met technologische ontwikkelingen, maar ook de dynamische context in zijn geheel in aanmerking moeten nemen. In een langetermijnperspectief moet ook Richtlijn 95/46/EG daarbij worden betrokken. Bovendien moet er in dit verband gerichter worden gewerkt. Jammer genoeg heeft de mededeling een open einde:
De EDPS geeft de Commissie in overweging die punten te specificeren. |
V. VOORUITZICHTEN VOOR TOEKOMSTIGE WIJZIGINGEN
A. Volledige toepassing
26. | Voordat in de toekomst wijzigingen worden aangebracht moeten eerst de huidige bepalingen van de richtlijn volledig worden toegepast. Volledige toepassing begint met nakoming van de wettelijke verplichtingen van de richtlijn. In de mededeling wordt vermeld(11) dat een aantal belangrijke bepalingen van de richtlijn in sommige lidstaten niet is omgezet. In dat verband wordt met name verwezen naar bepalingen betreffende de onafhankelijkheid van de toezichthoudende autoriteiten. Het is de taak van de Commissie om op de naleving toe te zien, en, waar zij zulks passend acht, haar bevoegdheden krachtens artikel 226 EG uit te oefenen. |
27. | De Commissie is voornemens over sommige bepalingen een interpretatieve nota uit te brengen, met name over de bepalingen waarmee een formele inbreukprocedure kan worden ingeleid uit hoofde van artikel 226 EG. |
28. | Daarnaast introduceert de richtlijn andere mechanismen ter verbetering van de uitvoering. Met name de in artikel 30 van de richtlijn vermelde taken van de Groep van artikel 29 dienen hiertoe. Die zijn bedoeld om in de lidstaten de toepassing van gegevensbescherming op een hoog en geharmoniseerd niveau te bevorderen in aanvulling op hetgeen strikt noodzakelijk is om de verplichtingen van de richtlijn te vervullen. In die rol heeft de Groep in de loop der jaren een groot aantal adviezen en andere documenten uitgebracht. |
29. | Naar de mening van de EDPS behelst volledige toepassing van de richtlijn ook de volgende twee elementen:
De EDPS benadrukt dat beide elementen duidelijk van elkaar onderscheiden moeten worden vanwege de verschillende juridische gevolgen en de daarmee samenhangende verantwoordelijkheden. Als vuistregel moet gelden dat de Commissie de volledige verantwoordelijkheid op zich neemt voor het eerste element, en de Groep het voortouw neemt wat het tweede element betreft. |
30. | Een ander, fijnmaziger onderscheid dat moet worden gemaakt betreft de instrumenten die beschikbaar zijn om een betere uitvoering van de richtlijn te bewerkstelligen. Hiertoe behoren:
|
31. | De EDPS geeft de Commissie in overweging om bij het uitstippelen van haar beleid op basis van deze mededeling duidelijk te vermelden hoe zij die verschillende instrumenten zal gebruiken. De Commissie zou in dat verband ook haar verantwoordelijkheden en die van de Groep duidelijk moeten afbakenen. Afgezien daarvan staat het buiten kijf dat een goede samenwerking tussen de Commissie en de Groep in alle omstandigheden een voorwaarde voor succes is. |
B. Interactie met technologie
32. | Uitgangspunt is dat de bepalingen van de richtlijn technologisch neutraal zijn geformuleerd. In de mededeling wordt de nadruk op technologische neutraliteit gekoppeld aan een reeks technologische ontwikkelingen, zoals internet, in derde landen verleende toegangsdiensten, RFID en de combinatie van geluids- en beeldgegevens met automatische herkenning. Er worden twee soorten acties onderscheiden. Ten eerste, specifieke adviezen en richtsnoeren voor de toepassing van beginselen op het gebied van gegevensbescherming in een veranderende technologische omgeving met een belangrijke rol voor de Groep en haar internet-task force(13). Ten tweede zou sectorspecifieke wetgeving door de Commissie zelf kunnen worden voorgesteld. |
33. | De EDPS verwelkomt deze aanpak als een belangrijke eerste stap. Maar op langere termijn moeten er misschien andere, meer ingrijpende maatregelen worden genomen. De gelegenheid van deze mededeling kan worden aangegrepen als beginpunt van een dergelijke langetermijnaanpak. De EDPS stelt voor om als follow-up van de mededeling de discussie over deze aanpak te openen. Zo'n aanpak zou uit de volgende elementen kunnen bestaan: |
34. | In de eerste plaats werkt interactie met technologieën altijd in twee richtingen. Enerzijds kunnen nieuwe, zich ontwikkelende technologieën wijzigingen in het rechtskader voor gegevensbescherming vergen. Anderzijds kan de noodzaak van doeltreffende bescherming van persoonsgegevens nieuwe beperkingen of passende waarborgen in verband met de toepassing van bepaalde technologieën vereisen, hetgeen een nog verstrekkender consequentie is. Het is echter ook mogelijk nieuwe technologieën doeltreffend toe te passen en in te zetten op een manier die bevorderlijk is voor de persoonlijke levenssfeer. |
35. | Ten tweede kunnen er enkele specifieke beperkingen nodig zijn indien nieuwe technologieën door regeringsinstellingen worden gebruikt bij de uitoefening van hun openbare taken. Een goed voorbeeld daarvan zijn de besprekingen over interoperabiliteit en toegang, die worden gevoerd in het kader van de ruimte van vrijheid, veiligheid en recht in verband met de uitvoering van het Haags Programma(14). |
36. | Ten derde is er een tendens naar een veel ruimer gebruik van biometrisch materiaal, zoals — maar niet uitsluitend — DNA-materiaal. De specifieke problematiek aangaande het gebruik van persoonsgegevens die van dit materiaal worden afgeleid, kan zijn weerslag hebben op de wetten inzake gegevensbescherming. |
37. | Ten vierde moet worden onderkend dat de samenleving zelf aan het veranderen is en steeds meer trekken krijgt van een gecontroleerde samenleving(15). Over deze ontwikkeling moet een fundamenteel debat worden gevoerd. In zo'n debat zouden centrale vragen zijn of deze ontwikkeling onvermijdelijk is, of het de taak van de Europese wetgever is om daarin in te grijpen en aan deze ontwikkeling beperkingen op te leggen, of en hoe de Europese wetgever doeltreffende maatregelen zou kunnen nemen, enz. |
C. Wereldwijde privacy en rechtsmacht
38. | Het perspectief van wereldwijde privacy en rechtsmacht krijgt beperkte aandacht in de mededeling. Het enige voornemen dat de Commissie in dit verband uitspreekt is dat zij de ontwikkelingen in internationale fora zal blijven volgen en daaraan zal blijven bijdragen om erop toe te zien dat de verbintenissen die de lidstaten aangaan, sporen met hun verplichtingen uit hoofde van de richtlijn. Afgezien daarvan worden in de mededeling enkele activiteiten vermeld die worden verricht ter vereenvoudiging van de vereisten voor internationale doorgiften (zie hoofdstuk III van dit advies). |
39. | De EDPS betreurt het dat dit perspectief geen prominentere plaats heeft gekregen in de mededeling. |
40. | Thans voorziet hoofdstuk IV van de richtlijn (artikelen 25 en 26) in een bijzondere regeling voor de doorgifte van gegevens naar derde landen, bovenop de algemene voorschriften voor gegevensbescherming. Die bijzondere regeling is in de loop der jaren uitgewerkt om een billijk evenwicht te bereiken tussen enerzijds de bescherming van personen wier gegevens naar derde landen worden doorgegeven, en anderzijds de vereisten van de internationale handel en de realiteit van wereldwijde telecommunicatienetwerken. De Commissie en de Groep(16), maar ook bijvoorbeeld de Internationale Kamer van Koophandel hebben er veel aan gedaan om dit systeem te doen functioneren door middel van gelijkwaardigheidsbeschikkingen, modelcontractbepalingen, bindende bedrijfsvoorschriften, enz. |
41. | Voor de toepasselijkheid van het systeem op internet, was het arrest van het Hof van Justitie in de zaak Lindqvist(17) van speciaal belang. Het Hof wijst erop dat informatie op internet overal toegankelijk is, en bepaalt dat het plaatsen van gegevens op een internetpagina als zodanig, ook al worden die gegevens daardoor beschikbaar voor personen in derde landen met de technische middelen om er toegang toe te verkrijgen, niet als een doorgifte naar een derde land mag worden beschouwd. |
42. | Dit systeem, dat een logisch en noodzakelijk gevolg is van de territoriale beperkingen van de Europese Unie, zal geen volledige bescherming bieden aan het Europese gegevenssubject in een netwerkmaatschappij waar fysieke grenzen aan belang inboeten (zie de voorbeelden in punt 6 van dit advies): de informatie op internet is overal toegankelijk, maar de Europese wetgever heeft niet overal rechtsmacht. |
43. | De uitdaging zal erin bestaan praktische oplossingen te vinden door middel waarvan in de behoefte aan bescherming van de Europese gegevenssubjecten kan worden voorzien, ondanks de territoriale beperkingen van de Europese Unie en haar lidstaten. In zijn commentaar op de mededeling van de Commissie over een strategie voor de externe dimensie van de ruimte van vrijheid, veiligheid en recht heeft de EDPS de Commissie er reeds toe aangespoord zich proactief op te stellen bij de bevordering van de bescherming van persoonsgegevens op internationaal niveau door steun te verlenen aan bilaterale en multilaterale benaderingen met derde landen en samenwerking met andere internationale organisaties(18). |
44. | Dergelijke praktische oplossingen zijn onder andere:
|
45. | Geen van die oplossingen is nieuw. Er is echter een visie vereist over de vraag hoe die methoden zo doeltreffend mogelijke kunnen worden toegepast, alsmede over de vraag hoe ervoor kan worden gezorgd dat de gegevensbeschermingsnormen — die in de Europese Unie als grondrechten zijn gekwalificeerd — ook in een wereldwijde netwerkmaatschappij doeltreffend zijn. De EDPS verzoekt de Commissie om samen met de meest relevante stakeholders aan het ontwikkelen van zo'n visie te beginnen. |
D. Rechtshandhaving
46. | In de mededeling wordt uitvoerig aandacht besteed aan de eisen van het publieke belang, met name veiligheid. Er wordt ingegaan op artikel 3, lid 2, van de richtlijn en de uitlegging van deze bepaling door het Hof in het PNR-arrest(19), alsmede op artikel 13 van de richtlijn, dat onder meer verband houdt met de jurisprudentie van het Europees Hof voor de rechten van de mens. In de mededeling wordt voorts benadrukt dat de Commissie bij het streven naar een evenwicht tussen het waarborgen van de veiligheid en het beschermen van onaantastbare grondrechten erop toeziet dat persoonsgegevens worden beschermd conform artikel 8 EVRM. Dat is ook het uitgangspunt voor de trans-Atlantische dialoog met de Verenigde Staten van Amerika. |
47. | Volgens de EDPS is het van belang dat de Commissie in zo duidelijke bewoordingen de verplichtingen van de Unie krachtens artikel 6 VEU herhaalt om de grondrechten te eerbiedigen, zoals die worden gewaarborgd door het EVRM. Die verklaring van de Commissie is nog van groter belang nu de Europese Raad heeft besloten dat het Handvest van de grondrechten van de Europese Unie uit hoofde van het Hervormingsverdrag bindende rechtskracht krijgt. Artikel 8 van het Handvest bepaalt dat een ieder recht heeft op bescherming van de hem betreffende persoonsgegevens. |
48. | Het is algemeen bekend dat het toenemend gebruik van persoonsgegevens door de rechtshandhaving bij de bestrijding van criminaliteit — en zeker bij de strijd tegen het terrorisme —, het risico met zich meebrengt dat het beschermingsniveau voor de burger daalt tot zelfs beneden het niveau dat wordt gewaarborgd door artikel 8 EVRM en/of Verdrag nr. 108 van de Raad van Europa(20). Deze bedenkingen vormden een hoofdbestanddeel van het derde advies van de EDPS over het op 27 april 2007 ingediende voorstel voor een kaderbesluit van de Raad over de bescherming van persoonsgegevens die worden verwerkt in het kader van de politiële en justitiële samenwerking in strafzaken. |
49. | Het is in dit verband essentieel dat het door de richtlijn geboden beschermingsniveau als grondslag voor de bescherming van de burger wordt gebruikt, óók in samenhang met de vereisten van de rechtshandhaving. Het EVRM en Verdrag nr. 108 voorzien in een minimumniveau, maar bieden niet de vereiste nauwkeurigheid. Bovendien waren er extra maatregelen nodig om de burger passende bescherming te bieden. Die noodzaak was een van de hoofdredenen voor de aanneming van de richtlijn in 1995(21). |
50. | Het is evenzeer van belang dat dit niveau van bescherming daadwerkelijk wordt gewaarborgd in alle situaties waarin er voor rechtshandhavingsdoeleinden persoonsgegevens worden verwerkt. Hoewel deze mededeling geen betrekking heeft op gegevensverwerking in de derde pijler, wordt terecht ingegaan op de situatie waarin voor commerciële doeleinden verzamelde (en verwerkte) gegevens voor rechtshandhavingsdoeleinden worden gebruikt. Dit wordt steeds gebruikelijker nu politiewerk in toenemende mate berust op de beschikbaarheid van informatie die in het bezit is van derden. Richtlijn 2006/24/EG(22) kan worden gezien als de duidelijkste illustratie van deze tendens: deze richtlijn verplicht aanbieders van elektronische communicatiediensten ertoe gegevens die zij voor commerciële doeleinden hebben verzameld (en opgeslagen), (langer) op te slaan voor rechtshandhavingsdoeleinden. Volgens de EDPS moet ten volle worden gegarandeerd dat binnen het toepassingsgebied van de richtlijn verzamelde en verwerkte persoonsgegevens naar behoren worden beschermd wanneer zij worden gebruikt ten behoeve van het openbaar belang, en in het bijzonder voor veiligheid of terrorismebestrijding. In sommige gevallen kunnen laatstgenoemde doeleinden echter buiten het bereik van de richtlijn vallen. |
51. | Deze opmerkingen geven aanleiding tot de volgende voorstellen aan de Commissie:
|
E. De mogelijke situatie in het kader van het Hervormingsverdrag
52. | In haar mededeling stipt de Commissie de — enorme — impact van het grondwettelijk verdrag voor de gegevensbescherming aan. Dat verdrag — thans Hervormingsverdrag genaamd — zal namelijk van cruciaal belang daarvoor zijn. Het verdrag zal het einde van de pijlerstructuur betekenen, het bieden van gegevensbescherming (thans artikel 286 EG) zal worden verduidelijkt en het Handvest van de grondrechten van de Unie, met in artikel 8 een bepaling over gegevensbescherming, wordt een bindend instrument. |
53. | In het mandaat voor de Intergouvernementele Conferentie (IGC) wordt speciale aandacht besteed aan gegevensbescherming. In punt 19, onder f), worden in wezen drie dingen gezegd. Ten eerste zullen de algemene voorschriften inzake gegevensbescherming geen afbreuk doen aan de specifieke voorschriften die worden vastgesteld in het kader van de titel betreffende het GBVB (de huidige tweede pijler), ten tweede zal er een verklaring betreffende de bescherming van persoonsgegevens op het gebied van politiële en justitiële samenwerking in strafzaken (de huidige derde pijler) worden aangenomen, en ten derde zullen in de desbetreffende protocollen specifieke punten worden opgenomen betreffende de specifieke positie van afzonderlijke lidstaten (dit element houdt hoofdzakelijk verband met het specifieke standpunt van het Verenigd Koninkrijk inzake politiële en justitiële samenwerking in strafzaken). |
54. | Met name het tweede element (de verklaring) zal in de IGC verduidelijking behoeven. De gevolgen van het einde van de pijlerstructuur en de mogelijke toepasselijkheid van de richtlijn op politiële en justitiële samenwerking in strafzaken dienen naar behoren overdacht te worden, teneinde de grootst mogelijke toepassing van de in de richtlijn besloten beginselen inzake gegevensbescherming te kunnen waarborgen. In dit bestek kan nu niet uitvoeriger hierop worden ingegaan. De EDPS heeft het voorzitterschap van de IGC een brief met voorstellen voor de verklaring toegezonden(25). |
VI. INSTRUMENTEN VOOR BETERE TOEPASSING
A. Algemeen
55. | In de mededeling wordt verwezen naar een reeks mogelijke instrumenten en acties voor een betere toepassing van de richtlijn in de toekomst. De EDPS wenst deze van commentaar te voorzien en daarnaast andere, bijkomende instrumenten te verkennen die niet worden vermeld in de mededeling. |
B. Sectoriële wetgeving
56. | In bepaalde gevallen kunnen specifieke wetgevende maatregelen op EU-niveau nodig zijn. Met name sectoriële wetgeving kan noodzakelijk blijken om de beginselen van de richtlijn aan te passen aan vraagstukken die worden opgeworpen door bepaalde technologieën, zoals het geval was met de richtlijnen betreffende de persoonlijke levenssfeer in de telecommunicatiesector. Het gebruik van specifieke wetgeving dient zorgvuldig overwogen te worden op gebieden als de toepassing van RFID-technologieën. |
C. Inbreukprocedures
57. | Het krachtigste instrument dat in de mededeling wordt genoemd is de inbreukprocedure. In de mededeling wordt één specifiek probleem gesignaleerd: de onafhankelijkheid van de gegevensbeschermingsautoriteiten en hun bevoegdheden. Andere vraagstukken worden alleen in het algemeen aangestipt. De EDPS deelt de opvatting dat inbreukprocedures een essentieel en onvermijdelijk instrument zijn indien lidstaten de richtlijn niet volledig toepassen, met name wanneer men bedenkt dat er sinds de termijn voor de uitvoering van de richtlijn inmiddels haast negen jaar zijn verstreken en dat de in het werkprogramma opgenomen gestructureerde dialoog reeds heeft plaatsgevonden. Tot op heden is er echter nog geen inbreuk op Richtlijn 95/46/EG voor het Hof van Justitie gebracht. |
58. | Een vergelijkende analyse van alle gevallen waarin onjuiste of onvolledige omzetting wordt vermoed(26), en een interpretatieve nota kunnen wel degelijk meer samenhang brengen in de rol van de Commissie als hoedster van de Verdragen. Het ontwikkelen van deze instrumenten, dat wellicht een zekere tijd en inzet zal vergen, mag echter niet leiden tot vertraging van inbreukprocedures op gebieden waar een onjuiste omzetting of praktijk reeds duidelijk door de Commissie is vastgesteld. |
59. | Daarom spoort de EDPS de Commissie ertoe aan om waar dat nodig is, een betere uitvoering van de richtlijn na te streven door middel van inbreukprocedures. De EDPS zal daarvoor zijn interventiebevoegdheden voor het Hof van Justitie uitoefenen om, waar zulks van toepassing is, op te treden in inbreukprocedures met betrekking tot de uitvoering van Richtlijn 95/46/EG of van andere rechtsinstrumenten inzake bescherming van persoonsgegevens. |
D. Interpretatieve nota
60. | In de mededeling wordt ook melding gemaakt van een interpretatieve nota over enkele bepalingen, waarin de Commissie een toelichting zal geven bij haar interpretatie van bepalingen van de richtlijn waarvan de uitvoering problematisch is gebleken en die dus aanleiding kunnen geven tot inbreukprocedures. De EDPS is in dat verband verheugd over het feit dat de Commissie de bevindingen van de Groep over die interpretatie in aanmerking zal nemen. Het is immers van essentieel belang om bij het opstellen van die interpretatieve nota naar behoren het standpunt van de Groep in aanmerking te nemen en de Groep te raadplegen, opdat laatstgenoemde haar ervaringen met de toepassing van de richtlijn op nationaal niveau kan aandragen. |
61. | Voorts bevestigt de EDPS dat hij ertoe bereid is de Commissie in alle aangelegenheden in verband met de bescherming van persoonsgegevens te adviseren. Dat geldt ook voor instrumenten als Commissiemededelingen, die niet bindend zijn, maar de bedoeling hebben het Commissiebeleid inzake bescherming van persoonsgegevens te omschrijven. Deze adviserende rol kan, wat mededelingen betreft, alleen doeltreffend zijn als de EDPS wordt geraadpleegd voordat de interpretatieve nota wordt aangenomen(27). De adviserende rol van zowel de Groep van artikel 29 als de EDPS zal de interpretatieve nota een meerwaarde geven, terwijl de Commissie toch in alle onafhankelijkheid besluit over het formeel openen van inbreukprocedures in verband met de uitvoering van de richtlijn. |
62. | De EDPS is verheugd over het feit dat de interpretatieve nota enkel een beperkt aantal artikelen zal betreffen, zodat de aandacht naar gevoeligere onderwerpen kan uitgaan. Met het oog daarop wijst de EDPS de Commissie op de volgende onderwerpen, die in de interpretatieve nota speciale aandacht verdienen:
|
E. Andere, niet-bindende instrumenten
63. | Middels andere, niet-bindende instrumenten moet krachtdadig worden gewerkt aan het ontwikkelen van de naleving van gegevensbeschermingsbeginselen, met name in nieuwe technologische omgevingen. Die maatregelen moeten voortbouwen op het begrip „ingebouwde privacy”, waarbij erop wordt toegezien dat bij de ontwikkeling en de opbouw van de architectuur van nieuwe technologieën naar behoren rekening wordt gehouden met de gegevensbeschermingsbeginselen. Bevordering van privacy-eerbiedigende technologische producten dient centraal te staan in een context waarin „ubiquitous computing” (alomtegenwoordige gegevensverwerking) snel om zich heen grijpt. |
64. | Nauw daarmee verbonden is de noodzaak om het scala van stakeholders bij de handhaving van het gegevenbeschermingsrecht uit te breiden. Enerzijds is de EDPS een krachtig pleitbezorger van de fundamentele rol van de gegevensbeschermingsautoriteiten bij de handhaving van de beginselen van de richtlijn, waarvoor zij ten volle gebruik maken van hun bevoegdheden, alsmede van de coördinatiemogelijkheden in de Groep van artikel 29. Een doeltreffender handhaving van de richtlijn is ook een van de doelstellingen van het „initiatief van Londen”. |
65. | Anderzijds benadrukt de EDPS dat het wenselijk is particuliere handhaving van de gegevensbeschermingsbeginselen te bevorderen door zelfregulering en concurrentie. De bedrijfstak zou ertoe moeten worden aangemoedigd de gegevensbeschermingsbeginselen in de praktijk te brengen en te concurreren met het ontwikkelen van privacy-eerbiedigende producten en diensten als manier om de marktpositie uit te breiden, door beter in te spelen op de verwachtingen van privacybewuste consumenten. Een goed voorbeeld daarvoor kan bestaan in privacyzegels die kunnen worden gehecht aan producten en diensten die een certificering hebben ondergaan(29). |
66. | Het EDPS vestigt daarnaast de aandacht van de Commissie op andere instrumenten, die, hoewel ze niet worden genoemd in de mededeling, van nut kunnen blijken voor een betere uitvoering van de richtlijn. Voorbeelden van zulke instrumenten die de gegevensbeschermingsautoriteiten zouden helpen bij een betere handhaving van het gegevensbeschermingsrecht zijn:
|
F. Andere instrumenten, voor de langere termijn
67. | Als laatste punt verwijst de EDPS naar andere instrumenten die niet worden genoemd in de mededeling, maar die ofwel in overweging kunnen worden genomen voor een toekomstige wijziging van de richtlijn, ofwel een plaats kunnen krijgen in andere horizontale wetgeving.
|
G. Een betere afbakening van de verantwoordelijkheden van de interinstitutionele actoren, met name de Groep van artikel 29
68. | Verschillende interinstitutionele actoren hebben verantwoordelijkheden in verband met de uitvoering van de richtlijn. De toezichthoudende autoriteiten in de lidstaten zijn krachtens artikel 28 van de richtlijn verantwoordelijk voor het toezicht op de toepassing van de nationale bepalingen ter omzetting van de richtlijn in de lidstaten. Artikel 29 voorziet in de Groep van toezichthoudende autoriteiten en artikel 30 vermeld de taken daarvan. Krachtens artikel 31 staat een comité van vertegenwoordigers van de regeringen van de lidstaten de Commissie bij op het gebied van de uitvoeringsmaatregelen op Gemeenschapsniveau (een comitologie-comité). |
69. | De noodzaak van een betere afbakening van de verantwoordelijkheden van de verschillende actoren doet zich in het bijzonder gevoelen bij (de activiteiten van) de Groep. Artikel 30, lid 1, vermeldt vier taken van de Groep, die in hoofdlijnen bestaan in het bestuderen van de toepassing van de richtlijn op nationaal vlak met het oog op uniformiteit, en in het adviseren over ontwikkelingen op Gemeenschapsniveau: beschermingsniveau, wetgevingsvoorstellen en gedragscodes. Uit die opsomming blijkt de brede verantwoordelijkheid van de Groep op het gebied van gegevensbescherming, die bovendien wordt geïllustreerd door de documenten die de Groep in de loop der jaren heeft uitgebracht. |
70. | Volgens de mededeling is voor de Groep „een sleutelrol weggelegd om de toepassing beter en samenhangender te maken”. De EDPS is het hartgrondig met deze stelling eens, maar acht het daarnaast noodzakelijk enkele specifieke elementen van de verantwoordelijkheden toe te lichten. |
71. | Ten eerste wordt er in de mededeling op aangedrongen dat de Groep meer moet bijdragen aan de harmonisatie, aangezien de nationale autoriteiten ervoor moeten zorgen dat de praktijk in hun respectieve lidstaten afgestemd wordt op de gemeenschappelijke lijn(30). De EDPS waardeert het oogmerk van deze opmerking, maar waarschuwt voor verwarring van de verantwoordelijkheden. Het is krachtens artikel 211 EG de taak van de Commissie om toe te zien op de naleving in de lidstaten, met inbegrip van de naleving door de toezichthoudende autoriteiten. De Groep kan als onafhankelijk adviesorgaan niet verantwoordelijk worden gesteld voor de opvolging van haar adviezen door de nationale autoriteiten. |
72. | Ten tweede dient de Commissie zich bewust te zijn van de verschillende rollen die zij in de Groep vervult, aangezien zij niet alleen lid is van de Groep, maar ook het secretariaat ervan verzorgt. In die tweede rol als secretariaat dient zij de Groep zo te ondersteunen dat die onafhankelijk haar werk kan doen. Dat betekent in wezen twee dingen: de Commissie moet de vereiste middelen verschaffen, en het secretariaat moet de instructies van de Groep en haar voorzitter opvolgen wat betreft zowel de inhoud en het toepassingsgebied van de werkzaamheden van de Groep als de aard van de resultaten ervan. Meer in het algemeen mogen de werkzaamheden van de Commissie ter vervulling van haar andere taken krachtens het EG-recht geen gevolgen hebben voor haar beschikbaarheid als secretariaat. |
73. | Ten derde zou de Commissie, alhoewel de keuze van de prioriteiten van de Groep bij de Groep zelf berust, kunnen aangeven wat zij van de Groep verwacht en hoe zij denkt dat de beschikbare middelen het best kunnen worden aangewend. |
74. | Ten vierde betreurt de EDPS het dat de mededeling geen duidelijke aanwijzingen bevat over de afbakening van de rollen tussen de Commissie en de Groep. Hij verzoekt de Commissie een nota met dergelijke aanwijzingen aan de Groep voor te leggen. De EDPS doet de volgende voorstellen voor onderwerpen die in die nota aan de orde zouden kunnen komen:
|
VII. CONCLUSIES
75. | De EDPS deelt de hoofdconclusie van de Commissie dat de richtlijn op korte termijn geen wijziging behoeft. Die conclusie zou kunnen worden onderbouwd door haar tevens te laten berusten op de aard van de richtlijn en op het wetgevingsbeleid van de Unie. |
76. | De uitgangspunten voor de EDPS zijn de volgende:
|
77. | Tot de hoofdelementen van de toekomstige wijzigingen behoren:
|
78. | De EDPS geeft de Commissie in overweging de volgende punten te specificeren: een tijdschema voor de activiteiten van hoofdstuk 3 van de mededeling; een termijn voor een volgend verslag over de toepassing van de richtlijn; een toetsingskader met het oog op de meetbaarheid van de verwezenlijking van de geplande activiteiten; aanwijzingen omtrent de werkwijze op langere termijn. |
79. | De EDPS begroet de technologieaanpak als een belangrijke eerste stap en stelt voor om te beginnen aan de besprekingen over een aanpak op lange termijn, met onder meer een fundamenteel debat over de ontwikkeling van een gecontroleerde samenleving. Ook heeft hij waardering voor de aan de gang zijnde evaluatie van Richtlijn 2002/58/EG en de mogelijke noodzaak van specifiekere bepalingen om vraagstukken in verband met gegevensbescherming op te lossen die worden opgeworpen door nieuwe technologieën als internet en RFID. Bij die acties moet de dynamische context in zijn geheel in aanmerking worden genomen, en in een langetermijnperspectief ook Richtlijn 95/46/EG worden betrokken. |
80. | De EDPS betreurt het dat het perspectief van wereldwijde privacy en rechtsmacht een beperkte plaats heeft gekregen in de mededeling, en vraagt om praktische oplossingen om de behoefte aan bescherming van de Europese gegevenssubjecten te verenigen met de territoriale beperkingen van de Europese Unie en haar lidstaten, zoals: verder ontwikkelen van een mondiaal kader voor gegevensbescherming; verder ontwikkelen van een bijzondere regeling voor de doorgifte van gegevens naar derde landen; internationale overeenkomsten inzake jurisdictie of soortgelijke overeenkomsten met derde landen; investeren in mechanismen voor wereldwijde naleving, zoals de toepassing van bindende bedrijfsvoorschriften door multinationale ondernemingen. De EDPS verzoekt de Commissie om samen met de meest relevante stakeholders aan het ontwikkelen van een visie over dit perspectief te beginnen. |
81. | Inzake rechtshandhaving geeft de EDPS de Commissie het volgende in overweging:
|
82. | Volledige uitvoering van de richtlijn betekent 1) dat erop wordt toegezien dat de lidstaten volledig hun verplichtingen krachtens het Europees recht vervullen, en 2) dat er ten volle gebruik wordt gemaakt van andere, niet-bindende instrumenten die bevorderlijk kunnen zijn voor een hoog en geharmoniseerd niveau van gegevensbescherming. De EDPS verlangt van de Commissie dat zij duidelijk aangeeft hoe zij de verschillende instrumenten zal gebruiken en hoe zij haar eigen verantwoordelijkheden afbakent ten opzichte van die van de Groep. |
83. | Wat die instrumenten betreft:
|
84. | De EDPS verzoekt de Commissie om aan de Groep een nota voor te leggen met duidelijke aanwijzingen over de afbakening van de rollen tussen de Commissie en de Groep, waarin de volgende vraagstukken aan de orde komen:
|
85. | De gevolgen van het Hervormingsverdrag dienen naar behoren overdacht te worden, om de grootst mogelijke toepassing van de in de richtlijn besloten beginselen inzake gegevensbescherming te kunnen waarborgen. De EDPS heeft het voorzitterschap van de IGC een brief met voorstellen ter zake toegezonden. |
Gedaan te Brussel, 25 juli 2007.
Peter HUSTINX
Europese Toezichthouder voor gegevensbescherming