332
WETGEVING
OKTOBER 2013 TV CR
Naar nieuwe Europese regels voor gegevensbescherming
H.R. KRANENBORG*
1 * Mr. Herke Kranenborg is als vrijwillig wetenschappelijk medewerker verbonden aan het Instituut voor Europees Recht van de K.U. Leuven en was voorheen werkzaam bij de Europese Toezichthouder voor Gegevensbescherming. De bijdrage is op persoonlijke titel geschreven. De tekst werd afgerond op 30 juli 2013. De bijdrage vormt een verkorte en bijgewerkte versie van een artikel dat verscheen in het juli/augustusnummer van SEW 2013. 1 Richtlijn 95/46/EG van 24 oktober 1995, Pb EG 1995 L 281/31. 2 Zie art. 2, onder a, Richtlijn 95/46/EG. 3 Dit was de conclusie van twee evaluatierapporten over de Wbp, zie Zwenne e.a. 2007 en Winter e.a. 2008. 4 Dit volgt uit de twee evaluatierapporten. 5 Zie resp. COM(2012)11 en COM(2012)10. Beide voorstellen werden begeleid door een Mededeling van de Commissie getiteld ‘Privacywaarborging in het online tijdperk: een Europees gegevensbeschermingskader voor de 21e eeuw’, COM(2012)9. Verder bevatte het pakket een evaluatierapport over Kaderbesluit 2008/977/JBZ (waarover hieronder meer), COM(2012)12 en een impact assessment, SEC(2012)72. Zie over de aanloop naar de voorstellen Kranenborg & Verhey 2011, par. 4.3.
Inleiding
De Nederlandse Wet Bescherming Persoonsgegevens (Wbp) vormt de omzetting van Richtlijn 95/46/EG.1 Deze richtlijn stamt nog uit een tijd dat Internet en mobiele telefonie in hun kinderschoenen stonden. Tegenwoordig heeft bijna iedereen in Nederland vanuit huis toegang tot Internet, en heeft bijna iedereen tenminste één mobiele telefoon of smartphone. Google, Facebook, Twitter, cloud computing: alles draait om het vergaren, opslaan en delen van informatie, veelal informatie die herleidbaar is tot een geïdentificeerd of identificeerbare natuurlijke persoon, oftewel: persoonsgegevens.2 Hoewel de materiële basisbeginselen nog steeds overeind staan, zijn de regels aan modernisering toe.3 De explosieve toename van gegevensverwerking, vaak grensoverschrijdend, vraagt om een grotere uniformiteit en ook om een vereenvoudiging van regels, op zijn minst binnen Europa. De effectiviteit van de regels staat onder druk: er bestaat een gat tussen wet en praktijk en het toezicht op de naleving van de regels schiet tekort. 4 Om deze redenen, maar ook vanwege de ontstane wildgroei aan specifieke Europese regelgeving over gegevensbescherming, presenteerde de Europese Commissie op 25 januari 2012 een ambitieus herzieningspakket met voorstellen voor een verordening ter vervanging van Richtlijn 95/46/EG (‘de ontwerpverordening’) en een richtlijn met regels voor gegevensverwerking door politiële en justitiële autoriteiten (‘de ontwerprichtlijn’).5
2
Naar een uniform rechtskader?
Naast Richtlijn 95/46/EG is er nog veel andere Europese regelgeving op het gebied van gegevensbescherming. Dit heeft deels te maken met het
WETGEVING
333
feit dat voor regels over gegevensbescherming geen eenduidige rechtsgrondslag in de Verdragen was opgenomen. De regels zijn vastgesteld per beleidsterrein. Richtlijn 95/46/EG is gebaseerd op de algemene rechtsgrondslag voor regels ter totstandbrenging van de interne markt.6 Dezelfde grondslag is gekozen voor de ePrivacy-Richtlijn (Richtlijn 2002/58/EG) die Richtlijn 95/46/EG aanvult voor de elektronische-communicatiesector.7 Voor de Europese instellingen, voor zover gebaseerd op de voormalige eerste pijler van de EU, werd Verordening (EG) Nr. 45/2001 aangenomen die de regels uit de toen bestaande wetgeving omzette voor het Europese niveau en de Europese Toezichthouder voor Gegevensbescherming (EDPS) in het leven riep.8 Gegevensbescherming in de politiële en justitiële sector is gebaseerd op de voormalige derde pijler van het EU-Verdrag.9 De gegevensbeschermingsregels werden op dat beleidsterrein per specifieke activiteit vastgelegd.10 In 2008 werd een ‘overkoepelend’ kaderbesluit aangenomen voor gegevensverwerking op het terrein van politiële en justitiële samenwerking (Kaderbesluit 2008/977/JBZ).11 Dit instrument hield echter alle bestaande specifieke Europese wetgeving in stand en had alleen betrekking op grensoverschrijdende gegevensverwerkingen.12 De ontwerprichtlijn moet dit kaderbesluit vervangen. Met het Verdrag van Lissabon werd de situatie gewijzigd. In art. 16 VWEU is één specifieke rechtsgrondslag gecreëerd voor regels over gegevensbescherming voor alle activiteiten die binnen het toepassingsgebied van het recht van de Unie vallen. Dit bood de gelegenheid om meer uniformiteit in het rechtsgebied aan te brengen.13 Hoewel een integrale aanpak van bescherming van persoonsgegevens in de Europese Unie een centrale doelstelling was toen de Commissie haar plannen in 2010 aankondigde, kan met de huidige voorstellen moeilijk gesproken worden van een grote uniformering.14 Een verordening in plaats van een richtlijn zou de uniformiteit van het EUkader voor gegevensbescherming ten goede moeten komen. Een verordening is immers rechtstreeks van toepassing en zal de bestaande inconsistenties tussen de omzettingswetgeving van de lidstaten teniet doen. Het daadwerkelijk effect hangt echter wel af van de ruimte die de verordening laat voor nationale wetgeving, waarover hieronder meer. Ook het voorstel om de ontwerprichtlijn, in tegenstelling tot Kaderbesluit 2008/977/JBZ, ook op interne situaties van toepassing te laten zijn, impliceert grotere uniformiteit van regels binnen de lidstaten op dit terrein.15 Maar, de keuze voor twee zelfstandige instrumenten (één met algemene regels voor gegevensverwerking en één met regels voor politiële en justitiele gegevensverwerking) draagt niet direct bij aan de integrale aanpak van
6 Art. 95 EG-Verdrag, het huidige art. 114 VWEU. 7 Zie Richtlijn 2002/58/EG van 12 juli 2002, Pb EG 2002 L201/37, zoals gewijzigd door Richtlijn 2009/136/EG van 25 november 2009, Pb EU 2009 L337/11. Richtlijn 2006/24/EG over het bewaren van telefoniegegevens vormt een uitzondering op de ePrivacy Richtlijn en is eveneens gebaseerd op het voormalige art. 95 EG-Verdrag. Richtlijn 2006/24/EG van 15
TV CR OKTOBER 2013
wetgeving
maart 2006, Pb EG 2006 L105/54. 8 Verordening (EG) Nr. 45/2001 van 18 december 2000, Pb EG 2001 L 8/1, gebaseerd op art. 286 EG-Verdrag. EDPS staat voor European Data Protection Supervisor en is de meest gebruikte af korting. 9 Art. 30(1)(b) van het voormalige EU-Verdrag. 10 Bijv. ten aanzien van de uitwisseling van gegevens of de oprichting van grootschalige databanken. Zie bijv. Raadsbesluit 2008/615/JBZ van 23 juni 2008 (‘Prüm’) en Verordening (EG) Nr. 1987/2006 van 20 december 2006 (‘SIS-II’), Pb EU 2006 L 381/4.
334
11 Kaderbesluit 2008/977/JBZ van 27 november 2008, Pb EU 2008 L 350/60. 12 Zie over het Kaderbesluit Hijmans & Scirocco 2009. 13 Alleen voor gegevensbeschermingsregels voor het Gemeenschappelijk Buitenlands en Veiligheidsbeleid geldt een andere besluitvormingsprocedure, zie art. 39 EU, waarin is bepaald dat in afwijking van art. 16, tweede lid, VWEU de Raad alleen een besluit vaststelt. 14 Mededeling van 4 november 2010, COM(2010)609. 15 Zie de Mededeling van 25 januari 2012, p. 9/10. 16 Zie het conceptrapport over de ontwerprichtlijn van het LIBE-Comité van 20 december 2012, PE\501.928v02-00, amendementen 58 en 162. Het LIBEComité, het Comité voor Burgerlijke Vrijheden, Justitie en Binnenlandse Zaken, is het Parlementscomité dat leidend is in deze wetgevingsprocedure. 17 Zie art. 61 lid 1 ontwerprichtlijn. 18 De beschrijving van de twee voorstellen is verre van uitputtend. Zie over de ontwerpverordening ook Hijmans 2012 en De Hert & Papakonstantinou 2012a. Zie over de ontwerprichtlijn Van der Jagt 2012 en De Hert & Papakonstantinou 2012b. 19 Deze thema’s volgen uit de eerdergenoemde Commissie Mededelingen uit 2010 en 2012. 20 Art. 7 ontwerpverordening. 21 Zie art. 4 lid 8 ontwerpverordening. 22 Zie overweging 25 ontwerpverordening. 23 Zie art. 6 lid 1 onderdeel a en art. 7 ontwerpverordening.
WETGEVING
OKTOBER 2013 TV CR
het rechtsgebied, met name omdat geen duidelijke regels worden voorgesteld voor situaties waarin private actoren, zoals vliegmaatschappijen, banken of telefoonmaatschappijen, gegevens delen met politie of justitie en die daarmee binnen het bereik van beide instrumenten vallen.16 Dat de Commissie ondanks de gewijzigde constitutionele structuur van de Unie toch een zelfstandige richtlijn voor de politiële en justitiële sector voorstelde, lijkt voornamelijk ingegeven door politiek pragmatisme. Met de ambitie om ook interne gegevensverwerking op dit terrein onder de reikwijdte van de regels te laten vallen, kon, gezien de beoogde politieke weerstand, het onderwerp beter losgekoppeld worden van de algemene ontwerpverordening, om de overlevingskans daarvan te vergroten. En na ruim anderhalf jaar discussie is het geen geheim dat de ontwerprichtlijn in de Raad inderdaad op weinig animo van de lidstaten kan rekenen. Ook het feit dat alle genoemde secundaire wetgeving onaangetast blijft, leidt vooralsnog niet tot een integrale aanpak. De ePrivacy-Richtlijn zal naast de nieuwe verordening blijven bestaan en pas in een tweede fase worden Verordening (EG) Nr. 45/2001 en alle specifieke wetgeving op het terrein van politiële en justitiële samenwerking onder de loep genomen.17
3
De voorstellen in hoofdlijnen18
3.1 De ontwerpverordening De Commissie heeft haar voorstel rond een aantal thema’s gegroepeerd19: - versterking van de positie van de betrokkene (d.w.z. degene wiens persoonsgegevens worden verwerkt); - versterking van de rol van de verantwoordelijke (d.w.z. degene die het doel van de verwerking bepaalt en die zorg moet dragen voor de naleving van de regels) en vermindering van administratieve lasten; - verbetering van de handhaving van de gegevensbeschermingsregels; - verbetering van de mondiale dimensie van gegevensbescherming. Versterking van de positie van de betrokkene De eisen voor toestemming van de betrokkene als rechtvaardige grondslag voor verwerking worden versterkt.20 De toestemming van de betrokkene moet uitdrukkelijk zijn gegeven.21 Stilzwijgende toestemming, bijvoorbeeld als een door de verantwoordelijke al aangevinkte optie niet door de betrokkene ongedaan wordt gemaakt, kan niet meer als toestemming worden beschouwd.22 De verantwoordelijke moet in staat zijn te bewijzen dat de betrokkene heeft ingestemd met de verwerking.23 Toestemming kan niet gelden als grondslag voor verwerking als tussen de betrokkene en de verantwoordelijke een substantieel ongelijkwaardige verhouding
WETGEVING
335
bestaat, zoals tussen een werkgever en een werknemer.24 Tot slot wordt de betrokkene het recht toegekend om toestemming in te trekken.25 Het intrekken van toestemming heeft geen invloed op de rechtmatigheid van de verwerking die voor die tijd op die grond plaatsvond. De rechten en plichten ten aanzien van de transparantie van gegevensverwerking worden verduidelijkt. De verantwoordelijke krijgt de plicht om een transparant en makkelijk toegankelijk gegevensverwerkingsbeleid te voeren en de betrokkenen in duidelijke en begrijpelijke taal in te lichten over gegevensverwerkingen.26 Welke informatie aan de betrokkene moet worden verschaft bij het verzamelen van gegevens of op verzoek, is in vergelijking met de huidige regels nader gespecificeerd.27 Nieuw is de algemene plicht voor de verantwoordelijke om datalekken te melden.28 Drie rechten van de betrokkene zijn door de Commissie als nieuw bestempeld: het recht om vergeten te worden (the right to be forgotten), het recht op overdraagbaarheid van gegevens (the right to data portability) en het recht om niet aan profiling te worden onderworpen.29 Het recht om vergeten te worden is gestoeld op het bestaande recht om gegevens te laten verwijderen als de verwerking niet (meer) in overeenstemming is met de regels.30 Het recht wordt aangevuld met de mogelijkheid te eisen dat als de gegevens publiek zijn gemaakt door de verantwoordelijke deze alle redelijke maatregelen moet treffen om derden te informeren dat de betrokkene wenst dat haar of zijn gegevens worden verwijderd. Dit ziet vooral op verspreiding van informatie via Internet. Aan het nuttig effect van het opnemen van dit recht wordt getwijfeld.31 Als een filmpje via Internet ruim verspreid is, zal het moeilijk worden om alle links en kopieën verwijderd te krijgen. Het recht op data portability is geïnspireerd op de succesvolle EU-regeling die nummeroverdraagbaarheid bij mobiele telefonie introduceerde.32 De gedachte is dat ieder persoon in staat zou moeten zijn om haar of zijn persoonsgegevens van, bijvoorbeeld, het ene sociale netwerk naar het andere sociale netwerk over te hevelen. Dit is echter een stuk gecompliceerder dan bij de overdracht van alleen het mobiele nummer. Zo zullen gegevens van ‘vrienden’ niet automatisch overgedragen kunnen worden.33 Voor zover de intentie is om een grotere interoperabiliteit van systemen te bewerkstelligen, wordt het opnemen van het recht echter toegejuicht.34 In Richtlijn 95/46/EG wordt eenieder het recht toegekend niet aan individuele besluitvorming te worden onderworpen die louter gebaseerd is op een geautomatiseerde gegevensverwerking bestemd om bepaalde aspecten van de persoonlijkheid van de betrokkenen te evalueren, zoals beroepsprestaties of kredietwaardigheid.35 Nagenoeg dezelfde tekst is in de ontwerpverordening overgenomen in het artikel dat over profiling gaat.36 Wel wordt in plaats van een ‘besluit’ over een ‘maatregel’ gesproken. Er is
24 Art. 7 lid 4 en overweging 34 ontwerpverordening. 25 Art. 4 lid 3 ontwerpverordening. 26 Art. 11 ontwerpverordening. 27 Art. 14 en 15 ontwerpverordening. 28 Zie art. 31 en 32 ontwerpverordening. 29 Zie art. 17, 18 en 20 ontwerpverordening. 30 Art. 12 onderdeel b Richtlijn 95/46/EG en art. 17 lid 2 ontwerpverordening. Zie over het recht om vergeten te worden ook de conclusie van AG Jääskinen van 25 juni 2013, Google Spain, zaak C-131/12, n.n.g., deel VII. De AG noemt het voorgestelde recht om vergeten te worden een belangrijke juridische vernieuwing en wijst op de aanzienlijke tegenstand waarop het voorstel op dit punt is gestuit, zie punt 110 van de conclusie. 31 Zie bijv. het Advies van de EDPS van 7 maart 2012 (hierna: ‘EDPS-advies 7 maart 2012’), te vinden op http://www.edps. europa.eu >> ‘EU data protection reform’, punt 148. Zie over de praktische haalbaarheid van het recht ook het Rapport van het Europees Agentschap voor Netwerk- en Informatiebeveiliging (ENISA) van 20 november 2012, te vinden via http://www. enisa.europa.eu. 32 Zie art. 30 van Richtlijn 2002/22/EG van 7 maart 2002, Pb EG 2002 L 108/51. 33 Zie Van der Sloot 2012, p. 255. 34 Zie De Hert & Papakonstantinou 2012a, par. 8. 35 Vergelijk art. 15 Richtlijn 95/46/EG. 36 Zie ook Van der Sloot 2012, p. 256-257. Zie over art. 15 Richtlijn 95/46/EG uitgebreid Groothuis 2004.
TV CR OKTOBER 2013
336
WETGEVING
OKTOBER 2013 TV CR
verder toegevoegd dat profiling nooit op basis van louter bijzondere categorieën van gegevens (o.a. gegevens betreffende geloof, seksuele geaardheid en ras) mag plaatsvinden.37 Aan de voorwaarden waaronder profiling alsnog is toegestaan is toegevoegd dat dit ook met instemming van de betrokkene mag gebeuren. Een belangrijk verschil in vergelijking met Richtlijn 95/46/EG is dat de uitzonderingsgronden exclusief zijn.
37 Zie art. 20 lid 3 ontwerpverordening. 38 Art. 22 lid 1 en 3 ontwerpverordening. Zie over de verantwoordingsplicht uitgebreid Advies 3/2010 van de Artikel 29 Werkgroep van 13 juli 2010, te vinden via http://ec.europa.eu/ justice/data-protection/ article-29. 39 Zie art. 22 lid 2 ontwerpverordening. 40 Zie art. 28-37 ontwerpverordening.
Versterking rol van de verantwoordelijke en vermindering van administratieve lasten In de ontwerpverordening is verder een verantwoordingsplicht voor de verantwoordelijke opgenomen: hij moet een beleid voeren en maatregelen instellen om te verzekeren en te kunnen aantonen dat hij in overeenstemming met de regels handelt.38 De algemene meldingsplicht van voorgenomen gegevensverwerkingen bij de toezichthouder wordt afgeschaft. Omdat de verantwoordelijke in beginsel zelf kan beslissen welke maatregelen nodig zijn, biedt deze verantwoordingsplicht een zekere flexibiliteit die tot grotere naleving van de regels en een vermindering van de administratieve lasten zou moeten leiden. De verantwoordelijke moet zich op verzoek kunnen verantwoorden tegenover de toezichthouder die beoordeelt of met de maatregelen het resultaat inderdaad wordt bereikt. De verantwoordingsplicht krijgt een nadere uitwerking in vijf specifieke verplichtingen39: - het bijhouden van documentatie die op verzoek aan de toezichthouder getoond moet kunnen worden; - het treffen van bepaalde veiligheidsmaatregelen; - het verrichten van een Data Protection Impact Assessment (DPIA) voor bepaalde gegevensverwerkingen die een bijzonder risico met zich meebrengen; - het melden van bepaalde gegevensverwerkingen bij de toezichthouder; - het aanstellen van een functionaris voor gegevensbescherming. Met deze vijf verplichtingen wordt de beoogde flexibiliteit onder de verantwoordingsplicht ingeperkt. Dit gaat nog verder doordat deze verplichtingen op hun beurt weer verder zijn uitgewerkt. 40 Daarnaast wordt de Commissie ten aanzien van de vijf verplichtingen gemachtigd nadere regels vast te leggen. Versterking van toezicht op de naleving Art. 8 van het EU-Grondrechtenhandvest, waarin het recht op bescherming van persoonsgegevens is neergelegd, en art. 16 VWEU vereisen dat toezicht op de naleving van de gegevensbeschermingsregels wordt uitgeoefend door onafhankelijke autoriteiten. Richtlijn 95/46/EG vereist dat de toezichthouders hun taken in ‘volledige onafhankelijkheid’ kunnen
TV CR OKTOBER 2013
WETGEVING
uitoefenen. 41 Het Hof van Justitie heeft dit breed uitgelegd: toezichthouders moeten ‘vrij zijn van elke – rechtstreekse of indirecte – beïnvloeding van buitenaf die hun beslissingen zou kunnen sturen’. 42 In de ontwerpverordening zijn de voorwaarden voor het bereiken van onafhankelijkheid gedetailleerd uitgewerkt. 43 Daarbij is duidelijk inspiratie ontleend aan de bepalingen uit Verordening (EG) Nr. 45/2001 over de EDPS. 44 Er worden eisen gesteld aan de personen die als toezichthouder optreden, aan de middelen die aan de toezichthouder worden toegewezen en aan de benoemings- en het ontslagprocedure van de leden van de toezichthouder. 45 Ook de taken en bevoegdheden van de toezichthouder zijn uitgebreid weergegeven. 46 Nieuw is de bevoegdheid van de toezichthouder om ten aanzien van een gedetailleerde lijst van overtredingen administratieve boetes op te leggen. De boetes kunnen oplopen tot één miljoen Euro, of twee procent van de wereldwijde omzet van een onderneming. 47 De Commissie wil hiermee bereiken dat naleving van de regels in het bedrijfsleven serieus wordt genomen en niet met kleine geldsommen kan worden ‘afgekocht’. Op de hoogte van de boetes is vanuit het bedrijfsleven, uiteraard, kritiek geleverd. Een andere verandering is de introductie van een consistentiemechanisme en de oprichting van een Europese Comité voor Gegevensbescherming (ECG), de opvolger van de huidige Artikel 29 Werkgroep die alle nationale toezichthouders en de EDPS verenigt. 48 De Commissie wil voor ondernemingen die activiteiten verrichten in meerdere lidstaten, een éénloketsysteem invoeren. De toezichthouder van de lidstaat waar de onderneming zijn belangrijkste vestiging heeft wordt de leidende autoriteit voor dergelijke verantwoordelijken. 49 De toezichthoudende autoriteiten worden verplicht samen te werken.50 In bepaalde gevallen, of op verzoek van een van de toezichthouders wordt een zaak voorgelegd aan het ECG.51 Als een kwestie aan het ECG is voorgelegd komt via een gedetailleerd neergelegde procedure het ECG tot een advies waarmee de (leidende) nationale toezichthouder rekening moet houden.52 Gedurende de procedure kan ook de Commissie een advies uitvaardigen waarmee de toezichthouder zo veel mogelijk rekening moet houden.53 Als de toezichthouder tegen het advies van het ECG en/of de Commissie in wil gaan, moet hij dit melden. In feite neemt de Commissie het dan van het ECG over. De Commissie kan de voorgenomen maatregel van de nationale autoriteit schorsen en uiteindelijk, eventueel, via een uitvoeringshandeling zelf een bindende beslissing nemen.54
337
41 Art. 28 Richtlijn 95/46/EG. 42 HvJ EU 16 oktober 2012, Commissie/Oostenrijk, zaak C-614/10, n.n.g., r.o. 41. Zie ook HvJ EU 9 maart 2010, Commissie/Duitsland, zaak C-518/07, Jur. 2010, I-1885. Een derde zaak over de onaf hankelijkheid van de Hongaarse toezichthouder was op het moment van schrijven nog aanhangig, zie HvJ EU, Commissie/Hongarije, zaak C-288/12. 43 Zie art. 46-50 ontwerpverordening. 44 Zie art. 42-48 Verordening (EG) Nr. 45/2001. 45 Art. 47-50 Verordening (EG) Nr. 45/2001. 46 Zie art. 51-54 ontwerpverordening. 47 Zie art. 53 lid 4 en 79 lid 6 ontwerpverordening. 48 Zie hoofdstuk VII ontwerpverordening. 49 Art. 51 ontwerpverordening. 50 Art. 55-56 ontwerpverordening. 51 Art. 58 ontwerpverordening. 52 Art. 58 lid 8 ontwerpverordening. 53 Art. 59 ontwerpverordening. 54 Art. 60 en 62 ontwerpverordening.
338
WETGEVING
OKTOBER 2013 TV CR
Verbetering van de mondiale dimensie van gegevensbescherming Artikel 4 van Richtlijn 95/46/EG bepaalt dat de nationale wet van een lidstaat van toepassing is als de verantwoordelijke een vestiging in de lidstaat heeft.55 De nationale wet kan alsnog van toepassing zijn als gebruik wordt gemaakt van al dan niet geautomatiseerde middelen die zich op het grondgebied van de lidstaat bevinden.56 Dit laatste criterium lijkt zijn beste tijd te hebben gehad. De apparatuur waarmee gegevens worden doorgegeven of opgeslagen kan zich tegenwoordig fysiek over de gehele wereld bevinden. In de ontwerpverordening is daarom voor een andere aanpak gekozen. De verordening is van toepassing als de verantwoordelijke een vestiging heeft in de Unie, en anders als de verwerking het aanbieden van goederen of diensten aan betrokkenen in de Unie betreft, of als het om het monitoren van hun gedrag gaat.57 Door de opkomst van Internet is het strikte regime uit Richtlijn 95/46/ EG, waarin doorgifte aan een derde land alleen mag plaatsvinden als dat land een passend beschermingsniveau biedt, onder druk komen te staan. Toch is in de ontwerpverordening het regime slechts in beperkte mate verruimd. Het vereiste van een passend beschermingsniveau wordt minder centraal gesteld en wordt nu meer gepresenteerd als een van de mogelijke voorwaarden waaronder doorgifte is toegestaan. De alternatieven krijgen meer aandacht. Deze alternatieven zijn doorgifte onder passende waarborgen in een bindend instrument, doorgifte binnen concerns die onderworpen zijn aan goedgekeurde binding corporate rules en doorgifte op basis van een van de opgesomde uitzonderingsgronden.58
55 Art. 4 lid 1 onderdeel a Richtlijn 95/46/EG. 56 Zie art. 4 lid 1 onderdeel c Richtlijn 95/46/EG. Zie over art. 4 Richtlijn 95/46/EG Zwenne & Erents 2009 en de eerdergenoemde conclusie van AG Jääskinen van 25 juni 2013. 57 Zie art. 3 lid 1 en 2 ontwerpverordening. 58 Zie resp. art. 42, 43 en 44 ontwerpverordening. 59 Zie de Mededeling van 2012, p. 10. 60 Ibid., p. 11. 61 Zie EDPS-advies 7 maart 2012, hoofdstuk III.
3.2 De ontwerprichtlijn De Commissie wil met de richtlijn voor de politiële en justitiële sector een hoog gegevensbeschermingsniveau vaststellen dat tegelijk tegemoet komt aan de bijzonder eisen van het terrein.59 Het wederzijds vertrouwen van de politiële en justitiële autoriteiten moet versterkt worden om het vrij verkeer van gegevens en de samenwerking tussen die autoriteiten te bevorderen.60 De ontwerprichtlijn heeft dezelfde opbouw als de ontwerpverordening maar bevat in de uitwerking van de verschillende hoofdstukken belangrijke afwijkingen die het beschermingsniveau in vergelijking met de ontwerpverordening omlaag halen. In een uiterst kritisch commentaar merkte de EDPS op dat men bij gegevensverwerking door de politie en justitie, gezien de inbreuk die het maakt op betrokken persoon, juist een hoger beschermingsniveau zou verwachten.61 Op veel punten vormt de richtlijn het zwakke broertje van de ontwerpverordening. De afzwakking van de regels kan volgens de EDPS in veel gevallen niet gerechtvaardigd worden door het specifieke karakter van het terrein. Om
TV CR OKTOBER 2013
WETGEVING
339
een voorbeeld te geven, het is moeilijk in te zien waarom bevoegde autoriteiten volledig vrijgesteld zouden moeten zijn van de verplichting een Data Protection Impact Assessment (DPIA) te verrichten. Verder worden de regels voor doorgifte naar derde landen afgezwakt, worden bevoegdheden van de toezichthouder disproportioneel ingeperkt en is er geen consistentiemechanisme voorzien.
4
Het wetgevingsproces
Tegen de tijd dat deze bijdrage ter perse komt, zullen de onderhandelingen tussen het Parlement en de Raad in volle gang zijn. Op het moment van schrijven is men nog bezig met de eigen standpuntbepaling. De belangen zijn groot, de lobby intens en de voorgestelde aanpassingen talrijk. In het Parlement werden in het eerste stadium bijna 4000 amendementen geteld. Verder is er een gigantisch aantal voetnoten in Raadsdocumenten waarin de artikelsgewijze bespreking wordt gereflecteerd. De beoogde aanpassingen betreffen nagenoeg alle bepalingen en zijn soms zeer technisch van aard. Hieronder wordt volstaan met het uitlichten van drie meer algemene onderwerpen waarover al in een vroeg stadium discussie werd gevoerd. Een verordening: welke ruimte voor nationale wetgeving? In een ingezonden stuk in de Süddeutsche Zeitung betoogde rechter Masing van het Duitse Constitutionele Hof dat doordat de uitwerking van het fundamentele recht op gegevensbescherming middels een verordening volledig naar het Europees niveau wordt getild, de grondrechten in de Duitse constitutie en daarmee ook de rol van het Constitutionele Hof op dit terrein aan waarde zouden verliezen.62 De verordening zou immers uitgelegd moeten worden in het licht van de grondrechten uit het EUGrondrechtenhandvest. Ingeval van twijfel over de uitleg van de nieuwe verordening in relatie tot deze grondrechten zouden Duitse rechters zich voor de interpretatie van de nieuwe verordening tot het Hof van Justitie moeten wenden.63 Burgers zouden daarbij de mogelijkheid van een Verfassungsbeschwerde verliezen. Het stuk leidde tot discussie, maar raakte geleidelijk op de achtergrond, mede door de bezwaren die Duitsland in de Raad had uitgesproken ten aanzien van de reikwijdte van de ontwerpverordening. De regering vreesde dat de verordening de grote hoeveelheid nationale wetgeving voor gegevensbescherming in de publieke sector die in Duitsland ter omzetting van Richtlijn 95/46/EG van kracht is, opzij zou zetten. Daarom bepleitte
62 Zie het ingezonden stuk van J. Masing, ‘Ein Abscheid von den Grundrechten’, in de Süddeutsche Zeitung van 9 januari 2012. 63 Zie hierover ook Hijmans 2012.
340
64 Zie ook de analyse van de EDPS in het advies van 7 maart 2012, par. II.2.a. 65 Zie art. 6 lid 1 onderdelen c en e en art. 6 lid 4 ontwerpverordening. 66 Zie art. 21 ontwerpverordening. 67 Art. 49 ontwerpverordening en zie ook art. 46 lid 3 ontwerpverordening. 68 Zie hoofdstuk IX van de ontwerpverordening. 69 Zie het EDPS-advies 7 maart 2012, pt. 70. 70 Zie het conceptrapport over de ontwerpverordening van het LIBE-Comité van 17 december 2012, PE501.927v02-00, amendement 344.
WETGEVING
OKTOBER 2013 TV CR
zij aparte regels voor de private en voor de publieke sector, waarbij deze laatste in een richtlijn zouden worden neergelegd. Dit soort bezwaren doet de vraag rijzen in hoeverre de ontwerpverordening nationale wetgeving nog toestaat. Het blijkt dat de verordening op verschillende manieren verstrengeld zal zijn met nationale wetgeving en duidelijk niet alle nationale, meer specifieke gegevensbeschermingswetgeving opzij zal zetten64: - bepaalde grondslagen voor gegevensverwerking hebben een nationale wettelijke basis nodig65; - lidstaten kunnen middels een wettelijke maatregel onder voorwaarden bepaalde rechten en plichten beperken66; - het instellen van een toezichthouder is voorzien bij nationale wet67; - voor een aantal specifieke terreinen wordt in hoofdstuk IX van de ontwerpverordening lidstaten de mogelijkheid gelaten nadere wetgeving aan te nemen; dit betreft de vrijheid van meningsuiting, de gezondheidssector, de arbeidscontext, historisch, statistisch en wetenschappelijk onderzoek, beroepsgeheim en bestaande regels voor kerken en religieuze organisaties.68 Hoofdstuk IX van de ontwerpverordening is een hoofdstuk om in de gaten te houden. Uiteraard verdient vanuit het oogpunt van uniformiteit dergelijke specifieke nationale wetgeving niet de voorkeur. Hoe meer gronden onder dit hoofdstuk worden gebracht, hoe meer de huidige obstakels veroorzaakt door diverse nationale wetgeving zullen blijven bestaan. Tegelijkertijd komt het wel tegemoet aan kritiek over de ‘vereuropeanisering’ van het gegevensbeschermingsrecht. Aan het Duitse bezwaar zou verder tegemoet kunnen worden gekomen door opname van een specifiek artikel dat specificerende wetgeving voor de publieke sector toestaat zolang dit de belangen van de betrokkenen dient en geen effect heeft op de interne markt.69 Een voorbeeld hiervan is een wet die voorschrijft dat een overheidsinstantie de betrokkene elk jaar een overzicht geeft van de persoonsgegevens die die instantie in bezit heeft. Het LIBE-Comité van het Parlement heeft dit idee niet overgenomen, maar kwam wel terug op het commentaar van Masing en stelde voor een grondrechtenclausule aan hoofdstuk IX toe te voegen.70 Deze moet verzekeren dat het nationale gegevensbeschermingsniveau niet wordt ondermijnd bij de toepassing van de verordening. De clausule zou bepalen dat de taken van nationale rechterlijke instanties ten aanzien van de bescherming van fundamentele rechten niet door de verordening worden aangetast. Hoewel deze bepaling in eerste instantie sympathiek oogt, moet vermeden worden dat een achterdeur wordt geopend voor divergerende
TV CR OKTOBER 2013
WETGEVING
341
nationale uitleg van de regels. Dat zou het doel en de werking van de verordening als zodanig kunnen ondermijnen. De vele gedelegeerde en uitvoeringsbevoegdheden van de Commissie Onder de ontwerpverordening krijgt de Commissie in 47 gevallen gedelegeerde of uitvoeringsbevoegdheden toebedeeld. Hierop is door het Parlement en de Raad kritiek geleverd.71 De Artikel 29 Werkgroep wees erop dat met zoveel nadere regelgeving de rechtszekerheid ten aanzien van het fundamentele recht op bescherming van persoonsgegevens op het spel zou komen te staan.72 De Commissie voerde in reactie hierop aan dat de bevoegdheden nodig zijn om te voorkomen dat de verordening zelf ‘overly prescriptive’ zou worden.73 Bovendien bieden de gedelegeerde bevoegdheden de mogelijkheid om op flexibele wijze technologische ontwikkelingen te adresseren zonder dat de verordening daarvoor aangepast zou moeten worden.74 Ten slotte is de Commissie niet verplicht de bevoegdheden daadwerkelijk te gebruiken en zal zij in de meeste gevallen alleen als laatste redmiddel naar dergelijke bevoegdheden grijpen.75 In de artikelsgewijze behandeling van de bevoegdheden, wordt de discussie op meer juridisch niveau gevoerd, maar doordat sinds het Verdrag van Lissabon de criteria rondom de delegatie van bevoegdheden nog onvoldoende zijn uitgekristalliseerd, vermengt de politieke discussie zich alsnog met de juridische discussie. Het is niet altijd duidelijk wat als een ‘essentieel element’ moet worden beschouwd (art. 290 VWEU).76 Verder liggen het aanvullen van wetgeving (art. 290 VWEU) en het neerleggen van eenvormige voorwaarden voor de uitvoering van die wetgeving (art. 291 VWEU) vaak dicht tegen elkaar. De verschillende criteria worden door de betrokken partijen niet eenduidig toegepast. Het Europees Comité voor Gegevensbescherming Op de eerder beschreven uitvoeringsbevoegdheid van de Commissie om in het kader van het consistentiemechanisme een beslissing van een nationale toezichthouder opzij te zetten is door de EDPS, de Artikel 29 Werkgroep en het Grondrechtenagentschap van de EU (FRA) fundamentele kritiek geleverd.77 Ook het Europees Parlement lijkt geen heil te zien in deze vergaande bevoegdheid van de Commissie.78 De kern van de kritiek is dat de bevoegdheid van de Commissie de onafhankelijkheid van de toezichthouder in gevaar brengt. Dat de Commissie de hoedster van de verdragen is, en in zekere zin zelf onafhankelijk, rechtvaardigt niet dat zij een dergelijke bevoegdheid krijgt. Als sprake is van een structureel probleem met de uitspraken van een toezichthouder in een lidstaat voorziet
71 Zie LIBE Werkdocument 3 van 8 oktober 2012, PE497.803v01-00, p. 3 en hoofdstuk II van het progressierapport van het Deense voorzitterschap in de tweede helft van 2012, 16525/1/12. 72 Zie Advies 1/2012 van de Artikel 29 Werkgroep van 23 maart 2012, te vinden via http:// ec.europa.eu/justice/data-protection/article-29, p. 7. Zie ook Advies 8/2012 en Werkdocument 1/2013 van de Artikel 29 Werkgroep van 5 oktober 2012 en 22 januari 2013, te vinden via http://ec.europa.eu/justice/data-protection/article-29. 73 Toespraak van Eurocommissaris Reding van 3 mei 2012, speech/12/316. 74 Ibid. 75 Zie pt. 5 van het progressierapport van het Deense voorzitterschap. 76 HvJ EU 5 september 2012, Europees Parlement/Raad, zaak C-355/10, n.n.g. 77 Zie het EDPS advies van 7 maart 2012, pt. 248-252, Advies 1/2012 van de Artikel 29 Werkgroep, p. 7 en het advies van het Agentschap voor Fundamentele Rechten van 1 oktober 2012, FRA Opinion – 2/2012, pt. 104. 78 Zie het conceptrapport over de ontwerpverordening van LIBE van 17 december 2012, amendementen 294-296.
342
WETGEVING
OKTOBER 2013 TV CR
het Verdrag in een ander mechanisme om het Europees recht af te dwingen, te weten de inbreukprocedure. Als de Commissie niet in staat zou zijn bindende beslissingen te nemen in individuele gevallen, kunnen er echter ingewikkelde situaties ontstaan. In verschillende lidstaten kan door toezichthouders alsnog verschillend worden opgetreden, waarbij een eventuele gang naar de rechter tegen een besluit van de (leidende) toezichthouder de vraag oproept welke rechter precies bevoegd is. De oplossing hiervoor zou kunnen zijn het ECG bindende bevoegdheden te geven. Dat de onafhankelijke toezichthouders gezamenlijk in het ECG een nationale autoriteit een beslissing kunnen opleggen, levert niet dezelfde problemen op als wanneer deze bevoegdheid de Commissie zou toekomen. Alle betrokken toezichthouders zijn aan de beslissing van het ECG gebonden, wat de uniformiteit ten goede komt. En, tegen een bindende beslissing van het ECG zou een rechtstreeks beroep mogelijk worden voor het Gerecht in Luxemburg. De Commissie zal echter niet enthousiast zijn over het opgeven van haar bevoegdheid. Maar ook de toezichthouders zelf lijken niet al te enthousiast over deze oplossing.79 Het impliceert immers dat ook zij een deel van hun bevoegdheid moeten inleveren.
5
Tot slot
Met de ontwerpverordening heeft de Commissie een ambitieus voorstel op tafel gelegd dat een robuuste aanzet vormt voor de verdere wetgevingsprocedure. Het zal nog een hele opgave worden om tot een verordening te komen die hetzelfde ambitieniveau heeft. De belangen zijn zoals gezegd groot. Daardoor is er echter ook grote druk om het project te doen slagen. Er bestaat namelijk algemene consensus dat de huidige regels aan herziening toe zijn. De zaken liggen anders met de ontwerprichtlijn voor de politiële en justitiële sector. Niet alleen vormt het voorstel, zoals gezegd, het zwakke broertje van de ontwerpverordening, het enthousiasme in de Raad voor nieuwe regels is uitermate gering. Het Parlement steunt nieuwe regels voor de politiële en justitiële sector en doet voorstellen het beschermingsniveau verder te verhogen. Het is de vraag of het voorstel de eindstreep zal halen.
79 Zie Advies 1/2012 van de Artikel 29 Werkgroep, p. 20.
TV CR OKTOBER 2013
WETGEVING
Literatuur Groothuis 2004 M. Groothuis, Beschikken en digitaliseren: over normering van de elektronische overheid (diss. Leiden), Den Haag: Sdu Uitgevers 2004 De Hert & Papakonstantinou 2012a P. de Hert & V. Papakonstantinou, ‘The proposed data protection Regulation replacing Directive 95/46/EC: A sound system for the protection of individuals’, CLSR 2012, p. 130-142 De Hert & Papakonstantinou 2012b P. de Hert en V. Papakonstantinou, ‘The police and criminal justice data protection directive: comment and analysis’, SCL Forum 2012, p. 1-5 Hijmans & Scirocco 2009 H. Hijmans & A. Scirocco, ‘Shortcomings in EU data protection in the third and the second pillars. Can the Lisbon Treaty be expected to help?’, CMLRev. 2009, p. 1485-1525 Hijmans 2012 H. Hijmans, ‘Nieuwe Europese regels voor privacy: Commissie stelt pakket voor om gegevens ook in het informatietijdperk te beschermen’, NTER 2012, p. 132-139 Van der Jagt 2012 F.C. van der Jagt, ‘De ontwerprichtlijn gegevensbescherming opsporing en vervolging, P&I 2012, p. 118-126 Kranenborg & Verhey 2011 H.R. Kranenborg & L.F.M. Verhey, Wet bescherming persoonsgegevens in Europees perspectief, Deventer: Kluwer 2011 Van der Sloot 2012 B. van der Sloot, ‘De nieuwe consumentenrechten in de Algemene verordening gegevensbescherming: vergeten worden, dataportabiliteit en profilering’, TvC 2012, p. 253-254 Winter e.a. 2008 H.B. Winter e.a., Wat niet weet wat niet deert. Een evaluatieonderzoek naar de werking van de Wet bescherming persoonsgegevens in de praktijk, september 2008, Kamerstukken II 2008/09, 31 051, nr. 4 Zwenne e.a. 2007 G.-J. Zwenne e.a., Eerste fase evaluatie Wet bescherming persoonsgegevens, december 2007, Kamerstukken II 2006/07, 31 051, nr. 1 Zwenne & Erents 2009 G.-J. Zwenne & G.C.J. Erents, ‘Reikwijdte Wbp: enige opmerkingen over de uitleg van art. 4, eerste lid, Wbp’, P&I 2009, p. 60-67
343
