Advies van de Europese Toezichthouder voor gegevensbescherming over Besluit 2011/141/EU van de Commissie tot wijziging van Beschikking 2007/76/EG betreffende het systeem voor samenwerking op het gebied van consumentenbescherming ( „SSCB” ) en over Aanbeveling 2011/136/EU van de Commissie over richtsnoeren voor de tenuitvoerlegging van de regels inzake gegevensbescherming in het SSCB
Advies van de Europese Toezichthouder voor gegevensbescherming over Besluit 2011/141/EU van de Commissie tot wijziging van Beschikking 2007/76/EG betreffende het systeem voor samenwerking op het gebied van consumentenbescherming ( „SSCB” ) en over Aanbeveling 2011/136/EU van de Commissie over richtsnoeren voor de tenuitvoerlegging van de regels inzake gegevensbescherming in het SSCB
23.7.2011 | NL | Publicatieblad van de Europese Unie | C 217/18 |
Advies van de Europese Toezichthouder voor gegevensbescherming over Besluit 2011/141/EU van de Commissie tot wijziging van Beschikking 2007/76/EG betreffende het systeem voor samenwerking op het gebied van consumentenbescherming („SSCB”) en over Aanbeveling 2011/136/EU van de Commissie over richtsnoeren voor de tenuitvoerlegging van de regels inzake gegevensbescherming in het SSCB
2011/C 217/06
DE EUROPESE TOEZICHTHOUDER VOOR GEGEVENSBESCHERMING,
Gezien het Verdrag betreffende de werking van de Europese Unie, met name artikel 16,
Gezien het Handvest van de grondrechten van de Europese Unie, met name de artikelen 7 en 8,
Gezien Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens(1),
Gezien het verzoek om een advies overeenkomstig artikel 28, lid 2, van Verordening (EG) nr. 45/2001 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de communautaire instellingen en organen en betreffende het vrije verkeer van die gegevens(2),
HEEFT HET VOLGENDE ADVIES VASTGESTELD:
I. INLEIDING
1. | Op 1 maart 2011 heeft de Europese Commissie een besluit aangenomen houdende wijziging van Besluit 2007/76/EG over het SSCB (hierna de „tweede SCB-herziening” genoemd)(3). Op diezelfde datum heeft de Commissie eveneens een aanbeveling aangenomen over richtsnoeren voor de tenuitvoerlegging van de regels inzake gegevensbescherming in het SSCB (hierna de „SCB-richtsnoeren” genoemd)(4). In overeenstemming met artikel 28, lid 2, van Verordening (EG) nr. 45/2001 zijn beide documenten ter raadpleging aan de Europese Toezichthouder voor gegevensbescherming voorgelegd (hierna de „EDPS” genoemd). |
2. | Het SSCB is een IT-systeem dat door de Commissie is ontwikkeld en wordt beheerd in overeenstemming met Verordening (EG) nr. 2006/2004 inzake samenwerking op het gebied van consumentenbescherming (hierna de „SCB-verordening” genoemd). Het SSCB bevordert de samenwerking tussen de „bevoegde autoriteiten” op het gebied van gegevensbescherming in de lidstaten van de EU en de Commissie ter zake inbreuken op vooraf vastgestelde Europese richtlijnen en verordeningen. De SCB-verordening is van toepassing op inbreuken met een grensoverschrijdend karakter die schadelijk zijn voor de „collectieve belangen van consumenten”. |
3. | In het kader van die samenwerking wisselen de SSCB-gebruikers informatie uit, met inbegrip van persoonsgegevens. Deze persoonsgegevens kunnen betrekking hebben op directeuren of werknemers van een verkoper of leverancier die van een inbreuk worden verdacht, op de verkoper of leverancier zelf (indien het een natuurlijk persoon betreft) of op derden, zoals consumenten of personen die een klacht hebben ingediend. |
4. | Het systeem is opgezet als een veilig en betrouwbaar instrument voor de communicatie tussen bevoegde autoriteiten enerzijds en als databank anderzijds. De bevoegde autoriteiten gebruiken het SSCB om informatie op te vragen die nuttig kan zijn voor het onderzoeken van een zaak(5) of om ondersteuning te vragen bij de handhaving van de wet- en regelgeving(6) („verzoeken om wederzijdse bijstand”). Daarnaast kunnen de bevoegde autoriteiten ook een waarschuwing sturen om andere bevoegde autoriteiten op de hoogte te stellen van een vermeende inbreuk(7). Het SSCB bevat ook nog andere functionaliteiten, zoals een kennisgevingssysteem(8) en een forum om gegevens uit te wisselen die niet specifiek op een zaak betrekking hebben. |
5. | In het onderhavige advies gaat de EDPS nader in op een aantal gegevensbeschermingskwesties die verband houden met het juridisch kader van het SSCB, waarbij de aandacht met name op de onlangs aangenomen tweede SCB-herziening gericht wordt. Daarnaast zal de EDPS een inventarisatie maken van de vooruitgang tot nu toe en een aantal openstaande punten van zorg en overwegingen met het oog op de toekomst aan de orde stellen. Tot slot zal de EDPS een aantal voorschriften van de SCB-richtsnoeren bespreken. |
6. | Parallel aan dit advies (dat is vastgesteld overeenkomstig artikel 28, lid 2, van Verordening (EG) nr. 45/2001), verstrekt de EDPS in zijn toezichthoudende capaciteit ook een advies inzake voorafgaande controles (op grond van artikel 27 van diezelfde verordening). Dat laatstgenoemde advies bevat een uitgebreidere beschrijving van het SSCB en de daaruit voortvloeiende verwerking van persoonsgegevens. In het advies inzake voorafgaande controles legt de EDPS de nadruk op specifieke maatregelen die op praktisch, technisch en organisatorisch niveau genomen moeten worden om de naleving van de gegevensbescherming binnen het SSCB te verbeteren. Gezien het feit dat de SCB-richtsnoeren nauw verband houden met deze specifieke maatregelen, wordt in het advies inzake voorafgaande controles ook nader ingegaan op bepaalde voorschriften in die richtsnoeren. |
II. JURIDISCH KADER VAN HET SSCB
7. | De EDPS is verheugd dat het SSCB op een solide rechtsgrondslag is gebaseerd, met name dankzij de verordening die door de Raad en het Parlement is vastgesteld. Daarnaast vindt de EDPS het een goede zaak dat die rechtsgrondslag in de loop der tijd is uitgebreid met specifiekere voorschriften, mede om nog openstaande problemen op het gebied van de gegevensbescherming op te lossen. Voorts is de EDPS verheugd dat Beschikking 2007/76/EG van de Commissie van 22 december 2006 ter uitvoering van de SCB-verordening (hierna de „SCB-uitvoeringsbeschikking” genoemd) is aangenomen en vervolgens op 17 maart 2008 is gewijzigd, hetgeen recentelijk nogmaals op 1 maart 2011 is gebeurd middels de tweede SCB-herziening. Tot slot is de EDPS verheugd dat de Commissie de SCB-richtsnoeren heeft vastgesteld die specifiek bedoeld zijn voor het aanpakken van kwesties op het gebied van de gegevensbescherming. |
8. | Hoewel de EDPS het betreurt dat hij ten tijde van de eerste goedkeuring van de SCB-verordening en de SCB-uitvoeringsbeschikking niet is geraadpleegd, is hij verheugd over het feit dat de Commissie zijn advies wel heeft ingewonnen bij de vaststelling van de twee wijzigingen op de SCB-uitvoeringsbeschikking en in het kader van de SCB-richtsnoeren. De EDPS acht het daarnaast een goede zaak dat de Commissie in een eerder stadium ook de Groep voor de bescherming van personen in verband met de verwerking van persoonsgegevens, opgericht ingevolge artikel 29 van Richtlijn 95/46/EG (hierna de „Groep artikel 29” genoemd), heeft geraadpleegd. Deze groep heeft op 21 september 2007 haar advies nr. 6/2007 (WP 139) uitgebracht. Bovendien verwelkomt de EDPS het feit dat er in de overwegingen van de SCB-richtsnoeren naar de betreffende raadplegingen wordt verwezen. |
9. | De EDPS merkt op dat i) de Commissie de aanbevelingen van de EDPS zoals die in eerdere informele uitwisselingen zijn gedaan, evenals de aanbevelingen van de Groep artikel 29 in haar advies nr. 6/2007 zorgvuldig in overweging heeft genomen, en dat ii) veel van deze aanbevelingen opgevolgd zijn bij de verdere ontwikkeling van het juridisch kader van de SSCB en/of op praktisch, technisch en organisatorisch niveau. De opmerkingen van de EDPS in het onderhavige advies en in het advies inzake voorafgaande controle moeten tegen deze positieve achtergrond gelezen worden. |
III. GEGEVENSBESCHERMINGSKWESTIES IN VERBAND MET DE TWEEDE SCB-HERZIENING
3.1. Bewaren van persoonsgegevens in het SSCB
3.1.1. Inleiding
10. | Als opmerking vooraf wijst de EDPS erop dat de kwestie betreffende het afsluiten van zaken en de bewaringstermijnen in de SCB-verordening niet adequaat en uitgebreid genoeg is geregeld(9). |
11. | In feite worden in de SCB-verordening slechts twee specifieke voorwaarden genoemd voor het verwijderen van gegevens en geen enkele met betrekking tot het afsluiten van zaken(10). In de eerste plaats is voorgeschreven dat, indien een waarschuwing „ongegrond blijkt te zijn”, de bevoegde autoriteit deze dient in te trekken en dat de Commissie de betreffende informatie onverwijld uit de databank moet verwijderen. In de tweede plaats is voorgeschreven dat, indien een bevoegde autoriteit de Commissie in overeenstemming met artikel 8, lid 6, in kennis stelt van de beeindiging van een inbreuk, de opgeslagen gegevens na een periode van vijf jaar gewist moeten worden. |
12. | In de SCB-verordening wordt geen enkele reden gegeven voor de bewaringstermijn van vijf jaar. Daarnaast wordt er ook niet nader gespecificeerd hoe en wanneer beoordeeld moet worden of een waarschuwing „ongegrond” is. Bovendien is in de SCB-verordening ook niets vastgelegd over de termijn gedurende welke informatie in de databank bewaard moet worden in gevallen die niet door de twee hierboven aangeduide voorschriften worden bestreken (in de verordening wordt bijvoorbeeld niet aangegeven hoe lang verzoeken om wederzijdse bijstand in de databank bewaard moeten worden indien deze niet tot een geslaagde handhavingsactie hebben geleid om de inbreuk te beëindigen). |
13. | De EDPS is verheugd dat middels de SCB-uitvoeringsbeschikking, zoals gewijzigd, en de SCB-richtsnoeren getracht wordt om de situatie te verduidelijken. Dat gezegd hebbende, heeft de EDPS nog steeds een aantal twijfels over de regels voor het afsluiten van zaken en de gegevensbewaring in het SSCB, zoals hieronder nader besproken zal worden in de punten 3.1.2 tot en met 3.1.4. |
14. | De EDPS beveelt aan om deze twijfels in het kader van de volgende herziening van het juridisch kader van de SSCB weg te nemen via een aanpassing van de SCB-uitvoeringsbeschikking dan wel — bij voorkeur — via een wijziging van de SCB-verordening zelf. |
15. | Totdat een dergelijke aanpassing van de wetgeving kan worden uitgevoerd, beveelt de EDPS aan om de twijfels over de bewaringstermijnen op praktisch, technisch en organisatorisch niveau aan te pakken en om hieromtrent ook duidelijke regels op te nemen in het document „Netwerk voor de samenwerking op het gebied van de consumentenbescherming: operationele richtsnoeren”, waarnaar hierna in punt 3.1.2 wordt verwezen. |
3.1.2. Tijdig afsluiten van zaken
16. | In de tweede SCB-herziening wordt geen einddatum gegeven waarop een zaak afgesloten moet worden die naar aanleiding van een verzoek om wederzijdse bijstand (een informatie- of een handhavingsverzoek) in gang is gezet. |
17. | In zijn advies inzake voorafgaande controles neemt de EDPS kennis van een aantal pragmatische maatregelen waarmee de Commissie op dit moment bezig is om te zorgen dat slapende zaken tijdig worden afgesloten. |
18. | In dit advies doet de EDPS de aanbeveling om maximumtermijnen vast te stellen voor informatie- en handhavingsverzoeken. Deze dienen in de volgende herziening van het juridisch kader nader te worden gespecificeerd. De termijnen moeten gekoppeld worden aan de aard van de zaak en aan de feitelijke activiteit. Tegelijkertijd moeten de voorschriften de bevoegde autoriteiten voldoende flexibiliteit bieden om een zaak op grond van goede redenen te verlengen teneinde te waarborgen dat zaken niet te vroeg worden afgesloten, omdat het bijvoorbeeld meer tijd kan vergen om een ingewikkelde zaak goed af te ronden. |
19. | Met dat doel voor ogen beveelt de EDPS aan om het document „Netwerk voor de samenwerking op het gebied van de consumentenbescherming: operationele richtsnoeren” als uitgangspunt te gebruiken, welk document op 6 december 2010 door het SCB-comité is goedgekeurd. In de operationele richtsnoeren worden onder punt 2.7 („Fasen en tijdschema in een SCB-zaak”) gangbare informatiestromen e.d. in SCB-zaken besproken met de aanbeveling om informatieverzoeken gemiddeld binnen een periode van één tot drie maanden af te handelen. Het verwerken van handhavingsverzoeken zou volgens de operationele richtsnoeren gemiddeld binnen een periode van zes tot negen maanden haalbaar moeten zijn (behalve in geval van een rechterlijk bevel of een beroep tegen een administratief besluit waar één jaar of langer een meer realistische inschatting is). |
3.1.3. Waarschuwingen
20. | In de tweede SCB-herziening wordt onder punt 2.2.2 van de bijlage bij de SCB-uitvoeringsbeschikking een nieuwe alinea toegevoegd met de eis dat „gegronde” waarschuwingen vijf jaar nadat ze zijn uitgebracht, uit de databank worden verwijderd (wat „ongegronde” waarschuwingen betreft, is in de bestaande voorschriften al voorzien in een verwijdering van gegevens nadat een waarschuwing „ongegrond blijkt te zijn”). |
21. | Om deze nieuwe regel in perspectief te plaatsen, benadrukt de EDPS dat het een van zijn belangrijkste prioriteiten is om te voorkomen dat persoonsgegevens langer dan noodzakelijk in de SSCB-databank worden opgeslagen. Dit is een gevoelige kwestie, met name met betrekking tot waarschuwingen (waarbij van een groter aantal ontvangers sprake is dan bij bilaterale uitwisselingen). Binnen die waarschuwingen zelf liggen met name de waarschuwingen die betrekking hebben op vermeende inbreuken bijzonder gevoelig. In de praktijk komt het ontbreken van een duidelijke termijn voor het open houden van een waarschuwing erop neer dat sommige waarschuwingen onnodig lang geactiveerd blijven (namelijk net zo lang als de periode waarin niet ondubbelzinnig is aangetoond dat zij ongegrond zijn). Dergelijke acties die gebaseerd zijn op onbevestigde vermoedens brengen niet alleen aanzienlijke risico’s voor de fundamentele rechten op het gebied van de gegevensbescherming met zich mee, maar ook voor andere grondrechten, zoals het uitgangspunt dat iemand onschuldig is totdat het tegendeel bewezen is. |
22. | Tegen deze achtergrond is de EDPS verheugd dat er voor waarschuwingen een bewaringstermijn is vastgesteld. De EDPS is echter wel van mening dat de Commissie niet op adequate wijze heeft gerechtvaardigd dat een bewaringstermijn van vijf jaar evenredig is. Derhalve beveelt de EDPS de Commissie aan om een evenredigheidsbeoordeling uit te voeren teneinde de bewaringstermijn voor waarschuwingen opnieuw te evalueren. In beginsel dienen waarschuwingen veel eerder uit de databank verwijderd te worden, tenzij een waarschuwing van een (vermeende) inbreuk tot een verzoek om wederzijdse bijstand heeft geleid en het grensoverschrijdende onderzoek of de handhavingsactie nog niet is afgerond. De bewaringstermijn dient lang genoeg te zijn om alle autoriteiten die de waarschuwing hebben ontvangen, in staat te stellen om te bepalen of zij verdere onderzoeksmaatregelen of handhavingsacties willen ondernemen en of zij via het SSCB een verzoek om wederzijdse bijstand willen indienen; die periode moet echter tevens kort genoeg zijn om de risico’s te minimaliseren dat waarschuwingen gebruikt worden voor het maken van „zwarte lijsten” of voor data mining. |
23. | In dit licht beveelt de EDPS de Commissie aan om het juridisch kader zodanig te herzien dat gewaarborgd wordt dat waarschuwingen uiterlijk zes maanden na het uploaden in het SSCB verwijderd worden, tenzij een langere bewaringstermijn gerechtvaardigd kan worden. |
24. | Hierdoor moet er met name voor worden gezorgd dat, in gevallen waarin een vermoeden onbevestigd blijft (of zelfs niet eens nader is onderzocht), onschuldige personen die met het vermoeden in verband zijn gebracht, niet gedurende een onnodig lange periode op een „zwarte lijst” staan of als „onder verdenking” worden aangemerkt. Dat zou immers niet in overeenstemming zijn met artikel 6, lid 1, onder e), van Richtlijn 95/46/EG. |
25. | Die beperking is ook noodzakelijk met het oog op het waarborgen van het beginsel van de gegevenskwaliteit (zie artikel 6, lid 1, onder d) van Richtlijn 95/46/EG) en andere belangrijke rechtsbeginselen. Dit zou niet alleen kunnen leiden tot een adequater beschermingsniveau voor individuele personen, maar ook tot een effectievere behandeling van de relevante zaken door handhavingsfunctionarissen. |
3.1.4. Bewaringstermijn voor afgesloten verzoeken om wederzijdse bijstand
26. | In de tweede SCB-herziening is in punt 2.15 van de bijlage bij de SCB-uitvoeringsbeschikking een nieuwe alinea toegevoegd met de eis dat „alle overige informatie met betrekking tot verzoeken om wederzijdse bijstand overeenkomstig artikel 6 (van Verordening (EG) nr. 2006/2004) vijf jaar na afsluiting van de zaak uit de databank verwijderd (moet worden)”. |
27. | Wanneer het herziene punt 2.15 in samenhang wordt gelezen met de bestaande tekst, blijkt dat alle informatie-uitwisselingen op grond van artikel 6 gedurende vijf jaar na afsluiting van een zaak bewaard moeten blijven, behalve indien:
|
28. | Zoals nader toegelicht in het advies inzake voorafgaande controles, lijkt de standaardtermijn voor het bewaren van gegevens in het SSCB na het afsluiten van een zaak (op een aantal specifieke uitzonderingen na) voor zowel informatie- als handhavingsverzoeken vijf jaar te zijn. |
29. | De tekst van de SCB-uitvoeringsbeschikking zoals gewijzigd door de tweede SCB-herziening, lijkt niet volledig consistent met de SCB-verordening te zijn. Zo wordt er meer in het bijzonder in artikel 10, lid 2, van de SCB-verordening een onderscheid gemaakt tussen enerzijds uitgewisselde informatie die tot een geslaagde handhaving leidt (d.w.z. zaken waarin de inbreuk is beëindigd als een gevolg van de genomen handhavingsmaatregelen) en anderzijds informatie die niet tot een geslaagde handhaving heeft geleid. In eerstgenoemde gevallen is een bewaringstermijn van vijf jaar voorzien nadat een zaak is afgesloten. In het laatste geval zijn er geen specifieke voorschriften geformuleerd (behalve dat ongegronde waarschuwingen ingetrokken en gewist moeten worden). |
30. | Met andere woorden, er wordt in de SCB-verordening een bewaringstermijn van vijf jaar voorgeschreven na het afsluiten van een zaak, maar dan wel op voorwaarde dat er zodanige handhavingsmaatregelen zijn genomen dat de inbreuk is beëindigd. |
31. | Hoewel de EDPS twijfels heeft over het doel en de evenredigheid van het bewaren van gegevens gedurende een termijn van vijf jaar na het afsluiten van een zaak (zie in dit verband de opmerkingen onder punt 3.1.4), heeft het onderscheid tussen zaken die als gevolg van een succesvolle handhaving zijn afgesloten en zaken waarin dat niet het geval is, een bepaalde logica vanuit het perspectief van de gegevensbescherming. Het gedurende een langere periode bewaren van gegevens uitsluitend op basis van vermoedens leidt in potentie veel eerder tot onnauwkeurigheden en behelst ook het risico dat er inbreuk op andere juridische beginselen wordt gemaakt. Dat betekent dat er in het algemeen geconstateerd kan worden dat het bewaren van dergelijke gegevens gedurende een lange periode veel eerder tot gegevensbeschermingskwesties leidt dan het bewaren van gegevens inzake concrete inbreuken die adequaat aangetoond zijn en waarbij handhavingsacties zijn genomen. |
32. | In tegenstelling tot de SCB-verordening lijkt de SCB-uitvoeringsbeschikking (zoals gewijzigd) in sommige gevallen wel een bewaringstermijn van vijf jaar te hanteren voor informatie die niet tot geslaagde handhavingsmaatregelen heeft geleid. |
33. | Op basis van de SCB-uitvoeringsbeschikking lijkt een informatieverzoek dat tot een waarschuwing, maar niet tot een handhavingsactie heeft geleid, gedurende vijf jaar na de „afsluiting van de zaak” in het systeem bewaard te moeten worden. |
34. | Het lijkt er dus op dat de SCB-verordening en de SCB-uitvoeringsbeschikking op dit gebied uitgangspunten hanteren die enigszins uit elkaar lopen. Hoewel de SCB-uitvoeringsbeschikking in bepaalde mate een weerspiegeling vormt van de voorschriften van de SCB-verordening, worden in die uitvoeringsverordening ook belangrijke aanvullende regels voor het bewaren van gegevens geïntroduceerd. Een toelichting op de regelgeving is op zichzelf weliswaar een goede zaak, maar de EDPS trekt in dit geval de rechtmatigheid van het vaststellen van langere bewaringstermijnen in twijfel voor zover die termijnen niet al in de SCB-verordening zelf zijn voorgeschreven. Dit leidt namelijk tot aanvullende beperkingen op het fundamentele recht op gegevensbescherming, en wel via uitvoeringswetgeving die haaks staat op de SCB-verordening en de geldende wet- en regelgeving op het gebied van de gegevensbescherming. |
35. | Gezien bovenstaande afwegingen beveelt de EDPS de Commissie aan om het juridisch kader te herzien en opnieuw te overwegen of de bewaringstermijn van vijf jaar ook voor die gevallen moet gelden waarin geen geslaagde handhaving heeft plaatsgevonden zoals is voorgeschreven in de SCB-verordening. |
36. | De EDPS is verder verheugd dat er in de SCB-richtsnoeren getracht wordt om het doel van de gegevensopslag na het afsluiten van een zaak nader te specificeren. Het gaat immers om een belangrijk aspect waaraan noch in de SCB-verordening, noch in de tweede SCB-herziening aandacht wordt besteed. Meer in het bijzonder wordt in de SCB-richtsnoeren het navolgende bepaald: „Gedurende de bewaringstermijn mag handhavingspersoneel dat werkt voor de bevoegde autoriteit die een zaak aanvankelijk in behandeling had, de zaak inzien om verbanden te leggen met mogelijk herhaalde inbreuken, wat bijdraagt tot een betere en efficiëntere handhaving.(11)” |
37. | Hoewel deze toelichting dus positief is, is de EDPS, gezien het ontbreken van een verdere onderbouwing van de noodzaak voor deze inzageperiode, niet overtuigd van de evenredigheid en adequaatheid van het doel om een bewaringstermijn van vijf jaar te rechtvaardigen. Derhalve doet de EDPS de Commissie de aanbeveling om:
|
3.2. Toegang van de Commissie tot SSCB-gegevens
38. | De EDPS is verheugd dat in de tweede SCB-herziening (door de introductie van een nieuw punt 4.3 in de bijlage bij de SCB-uitvoeringsbeschikking) de toegang van de Commissie tot gegevens in het SSCB nader wordt toegelicht en dat die toegang duidelijk en specifiek beperkt is tot de mogelijkheden die in de SCB-verordening zijn neergelegd. De EDPS is met name verheugd dat de Commissie geen toegang heeft tot vertrouwelijke communicatie-uitwisselingen tussen bevoegde autoriteiten in de lidstaten, zoals uitwisselingen in verband met verzoeken om wederzijdse bijstand. |
39. | Die duidelijkheid en beperking is met name van belang gezien het feit dat een gebrek aan duidelijkheid tot een situatie geleid zou kunnen hebben waarin de Commissie mogelijk toegang heeft tot informatie, met inbegrip van persoonsgegevens, die uitsluitend bestemd is voor de bevoegde autoriteiten van de lidstaten. |
40. | Onder punt 5 van de SCB-richtsnoeren wordt over die toegang het volgende opgemerkt: „Deze toegang wordt de Commissie verleend zodat zij toezicht kan houden op de toepassing van de SCB-verordening en de in de bijlage van de SCB-verordening genoemde wetgeving inzake gegevensbescherming, en statische gegevens kan verzamelen in verband met de uitvoering van deze taken.” |
41. | Dat betekent overigens niet dat de Commissie toegang moet hebben tot alle gegevensuitwisselingen in het SSCB tussen lidstaten. |
42. | De EDPS wil in dit verband juist benadrukken dat de toegang tot databanken zoals het SSCB onder de definitie van het verwerken van persoonsgegevens valt. Op grond van artikel 5, onder a), van Verordening (EG) nr. 45/2001 (relevant voor de toegangsrechten van de Commissie met betrekking tot het SSCB) mogen instellingen uitsluitend persoonsgegevens verwerken indien dat noodzakelijk is voor het uitvoeren van een taak van algemeen belang, mits dat gebeurt op grond van de verdragen of secundaire wetgeving. |
43. | De EDPS sluit zich aan bij deze vereisten — die rechtstreeks voortvloeien uit het recht op gegevensbescherming zoals verankerd in het Europese Verdrag tot bescherming van de rechten van de mens en de artikelen 7 en 8 van het Handvest van de grondrechten van de Europese Unie — die ertoe strekken dat de Commissie uitsluitend toegang kan krijgen tot de informatiesystemen van lidstaten indien dit is vastgelegd in specifieke wettelijke bepalingen op basis van een volledig adequate rechtsgrondslag (doorgaans de gewone wetgevingsprocedure). Rechtszekerheid en transparantie zijn de twee onderliggende waarden die verklaren waarom een specifieke en betrouwbare rechtsgrondslag voor de toegangsrechten van de Commissie van speciaal belang is om de fundamentele rechten van burgers te waarborgen met betrekking tot de gegevensbescherming. |
44. | Noch de algemene controlerende functie van de Commissie in haar hoedanigheid als „hoedster van het Verdrag” noch de verplichting van de lidstaten om op loyale wijze samen te werken, is specifiek genoeg om de Commissie toegang te verlenen tot databanken die persoonsgegevens bevatten. Loyale samenwerking houdt in dat lidstaten — onder bepaalde omstandigheden — op verzoek informatie aan de Commissie verstrekken of wanneer zij hiertoe op grond van een specifiek voorschrift verplicht zijn. Dit betekent echter niet dat de Commissie ook toegang tot de databanken van de lidstaten zou moeten krijgen. |
45. | In dit kader benadrukt de EDPS daarnaast dat de toegang van de Commissie tot informatie betreffende de verzoeken om wederzijdse bijstand of handhaving op grond van de SCB-verordening is uitgesloten. In de artikelen 6 en 8 van de SCB-verordening worden uitsluitend de aangezochte instanties en niet de Commissie als ontvangers van deze gegevens aangewezen. |
3.3. Speciale gegevenscategorieën in het SSCB
46. | De EDPS is verheugd dat in de tweede SCB-herziening (door de introductie van een nieuw punt 4.4 in de bijlage bij de SCB-uitvoeringsbeschikking) een bepaling is opgenomen over het verwerken van speciale gegevenscategorieën in het SSCB. De EDPS is met name verheugd dat de verwerking middels die bepaling wordt beperkt tot gevallen waarin „het niet mogelijk is op andere wijze” aan de verplichtingen uit hoofde van de SCB-verordening te voldoen, op voorwaarde dat „de verwerking van dergelijke gegevens krachtens Richtlijn 95/46/EG is toegestaan”. |
IV. INGEBOUWDE PRIVACY EN VERANTWOORDINGSPLICHT
47. | Na de bespreking in deel III van specifieke kwesties als gevolg van de tweede SCB-herziening, wil de EDPS in de delen IV tot en met VI de aandacht van de Commissie op een aantal andere punten vestigen die met het oog op de verdere ontwikkeling van het juridische kader van het SSCB in overweging genomen moeten worden. |
4.1. Ingebouwde privacy
48. | De EDPS spoort de Commissie en andere Europese instellingen al gedurende enige tijd aan om technologische en organisatorische maatregelen vast te stellen teneinde de gegevensbescherming en veiligheid als fundamenteel onderdeel te integreren in het ontwerp en de uitvoering van hun respectieve informatiesystemen („ingebouwde privacy”)(12). |
49. | Hoewel de EDPS onderkent dat er al een aantal maatregelen op dit vlak is genomen, hetgeen toe te juichen valt, verdient het niettemin aanbeveling dat de Commissie op uitgebreide schaal analyseert welke andere ingebouwde privacymaatregelen er nog in de systeemarchitectuur van het SSCB geïntegreerd kunnen worden. Daarbij zouden onder andere de volgende aspecten overwogen en in praktijk gebracht kunnen worden:
|
4.2. Verantwoordingsplicht
50. | Met het oog op het beginsel van de „verantwoordingsplicht”(13) beveelt de EDPS daarnaast aan om hiervoor een duidelijk kader te creëren waardoor de naleving van de gegevensbescherming op aantoonbare wijze gewaarborgd wordt. Dat kan worden gerealiseerd door onder andere:
|
V. OVERDRACHT VAN PERSOONSGEGEVENS BUITEN DE EUROPESE UNIE
5.1. Bilaterale overeenkomsten
51. | In artikel 14, lid 2, van de SCB-verordening is bepaald dat een bevoegde autoriteit informatie die in het kader van die verordening is verstrekt, ook aan een instantie van een derde land mag verstrekken uit hoofde van een bilaterale bijstandsovereenkomst met dat derde land, mits i) de bevoegde autoriteit die de informatie aanvankelijk heeft verstrekt, daarmee instemt en ii) dit in overeenstemming is met de communautaire wetgeving inzake gegevensbescherming. |
52. | In de artikelen 25 en 26 van Richtlijn 95/46/EG zijn enkele aanvullende voorwaarden vastgelegd voor de gegevensoverdracht naar derde landen. Die voorwaarden zijn bedoeld om te zorgen dat de gegevens ook in het buitenland adequaat beschermd worden. Daarnaast wordt er in een aantal uitzonderingen voorzien. De uitvoering en interpretatie van de voorschriften in Richtlijn 95/46/EG kunnen per lidstaat verschillen. |
53. | Gezien het bovenstaande kan de EDPS zich aansluiten bij de voorwaarden die in de SCB-verordening zijn opgenomen, te weten dat een overdracht van gegevens naar derde landen onderworpen is aan zowel i) de instemming van de bevoegde autoriteit die de informatie aanvankelijk heeft verstrekt, als aan ii) de geldende communautaire wetgeving inzake gegevensbescherming. |
54. | De EDPS is ook verheugd dat in de SCB-richtsnoeren de aanbeveling wordt gedaan dat in alle bilaterale overeenkomsten inzake wederzijdse bijstand afdoende garanties voor de gegevensbescherming worden opgenomen (tenzij dat derde land waarborgen biedt voor een adequate bescherming van persoonsgegevens). Indien vereist, moet een dergelijke overeenkomst ook aan de desbetreffende toezichthoudende instantie voor gegevensbescherming kenbaar worden gemaakt. |
55. | Dat gezegd hebbende, moet geconstateerd worden dat de regelingen zoals neergelegd in de SCB-verordening niet ideaal zijn. De toepassing ervan is bijvoorbeeld ingewikkeld: een bevoegde autoriteit die besluit over het al dan niet versturen van informatie naar een derde land, moet niet alleen rekening houden met de bilaterale overeenkomst van haar eigen lidstaat met het derde land, de nationale wetgeving op het gebied van de gegevensbescherming en de eigen beoordeling van de adequaatheid van de gegevensoverdracht naar het betreffende derde land op basis van die nationale wetgeving, maar moet ook in aanmerking nemen of de andere betrokken bevoegde autoriteiten die een bijdrage aan het dossier hebben geleverd (dat kunnen er meer dan één zijn), de vereiste toestemming op basis van hun eigen wetgeving op het gebied van de gegevensbescherming hebben gegeven. |
56. | Vanuit het perspectief van de gegevensbescherming leidt deze complexiteit tot onzekerheden over de rechten van de betrokkenen en met name tot onzekerheden over de voorwaarden die gehanteerd worden om zijn of haar gegevens naar het buitenland te verzenden. De betrokkenen kunnen ook niet optimaal vertrouwen op een solide en geharmoniseerde Europese wetgeving op het gebied van de gegevensbescherming. Vanuit de optiek van de bevoegde autoriteiten vormt deze complexiteit daarnaast een belemmering voor de samenwerking tussen die autoriteiten en brengt dit tevens een extra administratieve belasting met zich mee. |
57. | Gezien bovenstaande overwegingen is de EDPS voorstander van EU-overeenkomsten met waarborgen voor een adequate gegevensbescherming. Die overeenkomsten moeten tegelijkertijd voorkomen dat er heterogene criteria worden toegepast aangezien dit tot een grotere administratieve belasting van de bevoegde autoriteiten zou leiden. |
5.2. EU-overeenkomsten
58. | In aanvulling op de mogelijkheid voor bilaterale samenwerking zoals die in artikel 14 is voorzien, is in artikel 18 van de SCB-verordening met betrekking tot internationale overeenkomsten het navolgende bepaald: „De Gemeenschap werkt op de door deze verordening bestreken gebieden samen met derde landen en met de bevoegde internationale organisaties. De regelingen voor samenwerking, met inbegrip van de uitwerking van regelingen voor wederzijdse bijstand, kunnen het voorwerp zijn van overeenkomsten tussen de Gemeenschap en de betrokken derde landen.” |
59. | Op basis van de in punt 5.1 toegelichte redenen ondersteunt de EDPS het initiatief van de Commissie om, ter vervanging van de bestaande bilaterale regelingen, EU-overeenkomsten met adequate waarborgen voor de gegevensbescherming af te sluiten die op Europees niveau geharmoniseerd zijn. |
60. | De steun voor die EU-overeenkomsten is echter afhankelijk van de toezegging van de Commissie en de Europese wetgevers dat zij het hoogst mogelijke beschermingsniveau voor de uitwisseling van persoonsgegevens met derde landen zullen waarborgen. De gevolgen van internationale samenwerkingsovereenkomsten met derde landen moeten zorgvuldig overwogen worden vanuit het perspectief van de gegevensbescherming. Er moeten duidelijke regels voor die gegevensuitwisselingen worden vastgesteld en adequate waarborgen voor de gegevensbescherming. In dat verband dient de EDPS en, waar relevant, de betreffende nationale toezichthouders geraadpleegd te worden. |
61. | Hoewel er in artikel 18 van de SCB-verordening niet specifiek wordt ingegaan op de kwestie van een directe toegang tot het SSCB door autoriteiten van derde landen, zou dit technisch mogelijk moeten zijn. De EDPS staat niet bij voorbaat afwijzend tegenover de integratie van nieuwe functionaliteiten in het SSCB waardoor bevoegde autoriteiten uit derde landen een strikt beperkte en selectieve toegang tot het systeem krijgen middels een specifiek daartoe ontworpen mechanisme (communicatiekanaal en interface). Dit zou de efficiëntie van de samenwerking zeker ten goede kunnen komen. |
62. | Dat gezegd hebbende, brengt een dergelijke directe toegang weer extra risico’s met zich mee, hetgeen betekent dat er specifiek aandacht besteed moet worden aan de gevolgen voor de gegevensbescherming en aan de noodzakelijke technische/organisatorische regelingen en waarborgen. Alle technologische functionaliteiten die nodig zijn, moeten op basis van de „ingebouwde privacybeginselen” worden ontwikkeld. Ook de veiligheid dient een duidelijke prioriteit te krijgen. Tot slot dienen de EDPS en, waar relevant, de betreffende nationale toezichthouders geraadpleegd te worden. |
VI. „CONSUMENTENRECHTEN OP HET GEBIED VAN GEGEVENSBESCHERMING” EN EEN INTENSIEVERE SAMENWERKING (VIA HET SSCB) TUSSEN GEGEVENSBESCHERMINGSINSTANTIES
63. | Mits de aanbevelingen van de EDPS worden opgevolgd (met inbegrip van de aanbevelingen in het advies inzake voorafgaande controles), is het EDPS ervan overtuigd dat het SSCB een effectief instrument kan zijn dat bevorderlijk is voor de gegevensbescherming en voor de grensoverschrijdende handhaving in geval van inbreuken op de consumentenrechten op de interne markt. |
64. | Door de ontwikkeling van de elektronische handel en het toenemend gebruik door consumenten van elektronische communicatienetwerken voor uiteenlopende producten en diensten, zullen steeds meer gegevens van personen worden verwerkt zodra zij zich als consument op de interne markt begeven. Dat betekent dat consumenten ook in toenemende mate met inbreuken op hun rechten op het gebied van de gegevensbescherming geconfronteerd kunnen worden. Er is derhalve ook behoefte aan een effectieve samenwerking tussen gegevensbeschermingsinstanties om dergelijke inbreuken te beëindigen. |
65. | Tot de meest voorkomende inbreuken op „consumentenrechten op het gebied van de gegevensbescherming” behoren ongevraagde commerciële berichten (spam), identiteitsdiefstal, illegale profilering, onrechtmatige reclame op basis van surfgedrag (behavioural advertising) en gegevensinbreuken (veiligheidsinbreuken). |
66. | Gezien het feit dat het aantal inbreuken met een grensoverschrijdend karakter waarschijnlijk zal toenemen in de huidige informatiemaatschappij, spoort de EDPS de Commissie aan om mogelijke wetgevingsmaatregelen te bestuderen ter bescherming van „consumentenrechten op het gebied van de gegevensbescherming” en ter bevordering van de grensoverschrijdende samenwerking tussen bevoegde autoriteiten (zowel op het gebied van de gegevens- als de consumentenbescherming). |
67. | Naast het afwegen van alternatieve mogelijkheden dient met name zorgvuldig bestudeerd te worden of gegevensbeschermingsinstanties een op maat gemaakte toegang tot het SSCB moeten krijgen, niet alleen met het oog op hun onderlinge samenwerking, maar ook ter bevordering van de samenwerking met andere bevoegde autoriteiten die reeds toegang hebben tot het SSCB. |
68. | De toegangsrechten van gegevensbeschermingsinstanties moeten absoluut beperkt blijven tot de rechten die nodig zijn om de taken binnen hun bevoegdheidsterreinen en in overeenstemming met de vastgestelde synergieën uit te kunnen voeren. Uiteraard moet daarbij ook gewaarborgd worden dat het kader voor de participatie van gegevensbeschermingsinstanties zodanig van opzet is dat er op adequate wijze recht wordt gedaan aan hun onafhankelijkheid. |
VII. CONCLUSIES
69. | De EDPS is verheugd dat het SSCB op een rechtsgrondslag is gebaseerd die tevens specifieke waarborgen op het gebied van de gegevensbescherming met zich meebrengt. Om eventuele resterende gegevensbeschermingskwesties aan te pakken, merkt de EDPS op dat onderstaande beknopte aanbevelingen in aanmerking zouden moeten worden genomen bij de volgende herziening van het juridisch kader van het SSCB. |
70. | In de tussentijd kunnen aanvullende maatregelen op praktisch, technisch en organisatorisch niveau (zoals aanbevolen in het advies inzake voorafgaande controles) voor een gedeeltelijke oplossing zorgen om de betreffende kwesties tijdelijk op te lossen. In afwachting van een aanpassing van de wetgeving kan een aantal wijzigingen ook via de operationele SSCB-richtsnoeren geïntroduceerd worden. |
71. | Wat de bewaringstermijn betreft, beveelt de EDPS aan i) om verzoeken om wederzijdse bijstand binnen duidelijk gedefinieerde termijnen af te sluiten; ii) om waarschuwingen binnen zes maanden nadat ze zijn gegeven, in te trekken en te verwijderen tenzij het onderzoek of de handhaving nog loopt (en tenzij een langere bewaringstermijn gerechtvaardigd is); en iii) dat de Commissie niet alleen het doel en de evenredigheid toelicht van de noodzaak om alle gegevens verband houdende met gesloten zaken gedurende nog eens vijf jaar te bewaren, maar dat zij die termijn ook opnieuw in overweging neemt. |
72. | Daarnaast is de EDPS verheugd dat in de tweede SCB-herziening een duidelijker standpunt is ingenomen over de toegang door de Commissie tot gegevens in het SSCB. De EDPS is met name verheugd dat de Commissie geen toegang heeft tot vertrouwelijke communicatie-uitwisselingen tussen de bevoegde autoriteiten in de lidstaten, zoals informatie in het kader van verzoeken om wederzijdse bijstand. |
73. | De EDPS is ook verheugd dat in de tweede SCB-herziening een bepaling is opgenomen met het oog op de verwerking van speciale gegevenscategorieën in het SSCB. |
74. | Aanvullend beveelt de EDPS de Commissie aan om opnieuw te beoordelen welke extra technische en organisatorische maatregelen er mogelijk zijn om te waarborgen dat de privacy- en gegevensbescherming in de systeemarchitectuur van het SSCB geïntegreerd worden („ingebouwde privacy”) en om te zorgen dat er adequate controles gehanteerd worden om op aantoonbare wijze de naleving van de regelgeving op het gebied van de gegevensbescherming te waarborgen („verantwoordingsplicht”). |
75. | Indien er een EU-overeenkomst tussen de Europese Unie en derde landen wordt gesloten ter regulering van de samenwerking op het gebied van de consumentenbescherming, moeten de gevolgen van deze regelingen bovendien nauwkeurig bestudeerd worden en dienen er duidelijke regels voor de betreffende gegevensuitwisselingen vastgesteld te worden waarbij de gegevensbescherming op adequate wijze gewaarborgd wordt. |
76. | Tot slot beveelt de EDPS de Commissie aan de mogelijke synergieën te onderzoeken in de gevallen waarin gegevensbeschermingsinstanties zich bij de gebruikersgemeenschap van het SSCB kunnen aansluiten met het oog op samenwerking bij de handhaving van „consumentenrechten op het gebied van de gegevensbescherming”. |
Gedaan te Brussel, 5 mei 2011.
Giovanni BUTTARELLI
Europese adjunct-toezichthouder voor gegevensbescherming