Multidisciplinaire verzameling per rechtsonderwerp
Becommentarieerde wetgeving Samen met De Larcier Wetboeken vormen zij het rijke aanbod inzake wetgeving
“
Valérie Verbruggen is juridisch adviseur bij de Commissie voor de bescherming van de persoonlijke levenssfeer, in het bijzonder bevoegd voor internationale zaken. Afgestudeerd aan de Université libre de Bruxelles en gespecialiseerd in internationaal publiek recht en mensenrechten (Leiden (Nederland) en Université catholique de Louvain), was ze eerder advocate aan de balie van Brussel en assistente bij de coördinatie van het netwerk van de Europese Unie van onafhankelijke experts in fundamentele rechten, voorganger van het Agentschap van de Europese Unie voor fundamentele rechten.
KLDUIPRIV ISBN 978-2-8044-4794-6
www.larcier.com • www.stradalex.com
Graphisme : Geluck-Suykens, d’Andrimont
wet EN duiding thema fundamentele
Handige verzameling van de basisteksten per rechtstak
Persoonsgegevens, proportionaliteitsbeginsel, verantwoordelijke voor de verwerking, beveiligingsplicht, recht op toegang en op informatie, binding corporate rules, privacy by design… zoveel sleutelbegrippen uit de Wet van 8 december 1992 voor de bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens en uit de toepassing ervan, maken het moeilijk om ze al na een eerste lezing te bevatten. De Commissie voor de bescherming van de persoonlijke levenssfeer (CBPL) biedt daarom, via de pen van de auteur, voor elke bepaling van de “Wet Verwerking Persoonsgegevens” (WVP), een selectie aan van normatieve, jurisprudentiële, en dogmatische referenties, die van nut zullen zijn om die bepalingen in de juiste context te plaatsen, ze dynamisch te interpreteren en praktisch toe te passen. De opzet van dit documentair werk is resoluut internationaal. Zo werd een inventaris opgemaakt van de essentiële regelgevingen inzake bescherming van persoonsgegevens die uitgaan van de Verenigde naties, de OESO, De Raad van Europa en de Europese Unie (EU), van een honderdtal adviezen van de Werkgroep van het Artikel 29 van de EU maar ook van de jurisprudentie van het Hof van Justitie van Luxemburg en het Europees Hof voor Rechten van de Mens. Juristen, advocaten, magistraten, onderzoekers maar ook andere beroepsgroepen die de WVP moeten toepassen, zullen hier eveneens verwijzingen vinden naar het koninklijk besluit van 13 februari 2001 en het Huishoudelijk Reglement van de CBPL. Twee teksten die onontbeerlijk zijn voor een totaalbenadering van het Belgisch normatief kader inzake persoonsgegevensverwerkingen.
Wet verwerking persoonsgegevens 2011
Wet verwerking persoonsgegevens 2011
larcier WET EN DUIDING
larcier WET EN DUIDING
larcier WET EN DUIDING
Wet verwerking persoonsgegevens
(Wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens)
2011
Valérie Verbruggen
Inhoudsopgave
Inhoudsopgave INLEIDING Voorwoord . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
INDEX 1
...................................................
METHODOLOGIE INHOUD en METHODOLOGIE . . . . . . . . . . . . . . . . . . . . . .
BIJLAGEN 3
WET 8 DECEMBER 1992 Wet 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (B.S., 18 maart 1993). . . . . . . . . . . . . .
247
9
Wet 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (B.S., 18 maart 1993). . . . . . . . . . . . . .
259
Huish. Regl. 11 april 2007 – Commissie voor de bescherming van de persoonlijke levenssfeer (B.S., 10 mei 2007)
276
K.B. 13 februari 2001 ter uitvoering van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (B.S., 13 maart 2001). . . . . . . . . . . . . . . . .
282
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
i
Inhoudsopgave
Inhoudsopgave HOOFDSTUK I Begripsomschrijvingen, beginsel en werkingssfeer Artikel 1. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . begripsomschrijvingen en definities. . . . . . . . . . . . . . . . . . persoonsgegevens. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . betrokkene . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . identiteit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . verwerking . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . bestand . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . verantwoordelijke voor de verwerking . . . . . . . . . . . . . . . verwerker . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . derde . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ontvanger . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . toestemming van de betrokkene. . . . . . . . . . . . . . . . . . . . . Artikel 2. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . beginsel: recht op bescherming van persoonlijke levenssfeer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Artikel 3. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . toepassingsgebied WVP . . . . . . . . . . . . . . . . . . . . . . . . . . . . toepassing: persoonsgegevens voor een bestand . . . . . . algemene uitzondering: privégebruik . . . . . . . . . . . . . . . . specifieke uitzondering: journalistieke, artistieke of literaire doeleinden: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . gegevens van publieke aard: artikel 6, 7 en 8 WVP niet van toepassing. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9, § 1 en 9, § 2: journalistieke, artistieke of literaire doeleinden . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . specifieke uitzondering: veiligheid van de staat . . . . . . . specifieke uitzondering: politie . . . . . . . . . . . . . . . . . . . . . . witwassen geld . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . specifieke uitzondering: Centrum vermiste kinderen. . . Artikel 3bis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . territoriale toepassing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . vaste vestiging op Belgisch grondgebied. . . . . . . . . . . . . . geen vaste vestiging op het grondgebied EU . . . . . . . . . .
9 9 9 9 9 20 23 24 27 28 28 28 30 31 33 35 35 35 39 39 42 44 49 50 50 51 51 51 52
HOOFDSTUK II Algemene voorwaarden voor de rechtmatigheid van de verwerking van persoonsgegevens Artikel 4. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . vereisten verwerking persoonsgegevens . . . . . . . . . . . . . . wettigheidsbeginsel (legaliteitsbeginsel). . . . . . . . . . . . . . eerlijkheidsbeginsel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . finaliteitsbeginsel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
55 55 55 55 57
verdere verwerking . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . latere verwerking voor historische, statistische of wetenschappelijke doeleinden . . . . . . . . . . . . . . . . . . . . . . . . . proportionaliteitsbeginsel. . . . . . . . . . . . . . . . . . . . . . . . . . . nauwkeurig en volledig . . . . . . . . . . . . . . . . . . . . . . . . . . . . . bewaartermijn . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . nalevingsplicht van de verantwoordelijke voor de verwerking . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Artikel 5 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ondubbelzinnige toestemming . . . . . . . . . . . . . . . . . . . . . . ex-contractu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ex-lege . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . vitaal belang. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . openbaar belang of gezag. . . . . . . . . . . . . . . . . . . . . . . . . . . afgewogen en gerechtvaardigd belang . . . . . . . . . . . . . . . Artikel 6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . gevoelige persoonsgegevens . . . . . . . . . . . . . . . . . . . . . . . . principe: verbod verwerking. . . . . . . . . . . . . . . . . . . . . . . . . uitzonderingen op het verbod van het verwerken van gevoelige gegevens. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . bij schriftelijke toestemming die steeds intrekbaar is . . . arbeidsrechterlijke verplichting . . . . . . . . . . . . . . . . . . . . . . vitaal belang. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . persoonsgegevens leden vereniging. . . . . . . . . . . . . . . . . . zelf duidelijk geopenbaarde gegevens . . . . . . . . . . . . . . . . ter verdediging in rechte . . . . . . . . . . . . . . . . . . . . . . . . . . . . wetenschappelijk onderzoek . . . . . . . . . . . . . . . . . . . . . . . . sociale zekerheid . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . openbare statistiek . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . geneeskunde . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . voor publiek belang door wet . . . . . . . . . . . . . . . . . . . . . . . geheimhoudingsplicht geneeskunde . . . . . . . . . . . . . . . . . bijzondere voorwaarden verwerking gevoelige gegevens bij KB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Artikel 7 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . gezondheidsgegevens . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . verbod verwerking gezondheidsgegevens. . . . . . . . . . . . . uitzonderingen op verwerkingsverbod . . . . . . . . . . . . . . . bij schriftelijke toestemming betrokkene steeds intrekbaar arbeidsrechterlijke verplichting . . . . . . . . . . . . . . . . . . . . . . sociale zekerheid . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . zwaarwegend algemeen belang door wet verplicht . . . . vitaal belang. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . zelf duidelijk geopenbaarde gegevens . . . . . . . . . . . . . . . . ter verdediging in rechte . . . . . . . . . . . . . . . . . . . . . . . . . . . . geneeskunde . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . wetenschappelijk onderzoek . . . . . . . . . . . . . . . . . . . . . . . . bijzondere voorwaarden bij KB . . . . . . . . . . . . . . . . . . . . . . beroepsgeheimhouding . . . . . . . . . . . . . . . . . . . . . . . . . . . . inzameling bij betrokkene. . . . . . . . . . . . . . . . . . . . . . . . . . . voorwaarden inzameling . . . . . . . . . . . . . . . . . . . . . . . . . . .
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
57 57 64 69 70 76 80 80 82 83 86 86 91 98 99 99 100 101 102 102 103 103 103 104 104 104 104 104 104 105 105 106 106 108 109 110 110 110 111 111 111 112 112 113 113 114 114
iii
Inhoudsopgave
Artikel 8 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
114
gerechtelijke persoonsgegevens. . . . . . . . . . . . . . . . . . . . .
115
verbod verwerking. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
115
toegelaten verwerking . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
115
ter uitoefening van een taak onder toezicht van gerechtelijke overheid . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
116
doel door of krachtens wet vastgesteld. . . . . . . . . . . . . . .
116
voor beheer eigen geschillen. . . . . . . . . . . . . . . . . . . . . . . .
118
bijzondere voorwaarden . . . . . . . . . . . . . . . . . . . . . . . . . . .
120
HOOFDSTUK III Rechten van de betrokkene Artikel 9 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
121
informatieverplichting van de verantwoordelijke bij opname persoonsgegevens . . . . . . . . . . . . . . . . . . . . . . . . . . .
122
kennisgeving aan de betrokkene bij opname persoonsgegevens . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
122
informatie betrokken persoon . . . . . . . . . . . . . . . . . . . . . .
125
indirecte verzameling . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
125
vrijstelling van kennisgeving. . . . . . . . . . . . . . . . . . . . . . . .
127
Artikel 10 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
128
inzagerecht van de betrokkene. . . . . . . . . . . . . . . . . . . . . .
129
inzagerecht gezondheidsgegevens . . . . . . . . . . . . . . . . . .
137
herhaalde vragen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
137
Artikel 11. (opgeheven) . . . . . . . . . . . . . . . . . . . . . . . . . . . .
138
Artikel 12 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
138
verbeteringsrecht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
139
recht van verzet tegen verwerking gevoelige gegevens
139
uitwissing. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
141
Artikel 12bis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
142
geautomatiseerde besluitvorming . . . . . . . . . . . . . . . . . . .
143
beginsel: verbod . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
143
uitzonderingen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
143
Artikel 13 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
144
onrechtstreekse toegang . . . . . . . . . . . . . . . . . . . . . . . . . . .
145
Artikel 14 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
146
Artikel 15 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
147
Artikel 15bis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
147
burgerlijke aansprakelijkheid . . . . . . . . . . . . . . . . . . . . . . .
147
HOOFDSTUK IV Vertrouwelijkheid en beveiliging van de verwerking Artikel 16 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
148
beveiliging . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
148
verplichtingen van de verantwoordelijke ten overstaan van de verwerker . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
148
technische en organisatorische beveiliging. . . . . . . . . . .
149
iv
HOOFDSTUK V Voorafgaande aangifte en openbaarheid van de verwerkingen Artikel 17 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . voorafgaande aangifte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . uitzonderingen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . inhoud aangifte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . aangifte wijziging en stopzetting . . . . . . . . . . . . . . . . . . . . vrijstelling van aangifte voor bepaalde categorieën. . . . betaling bijdrage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Artikel 17bis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . bijzondere categorieën van verwerking . . . . . . . . . . . . . . bijzondere risico’s. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . aangestelde voor de gegevensbescherming. . . . . . . . . . . Artikel 18 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . openbaar register . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Artikel 19 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . onderzoeksrecht van de Commissie. . . . . . . . . . . . . . . . . . bestand verwerking van persoonsgegevens. . . . . . . . . . . Artikel 20 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . specifieke aangifte door of krachtens wet . . . . . . . . . . . .
156 157 158 158 159 159 162 163 163 163 163 165 165 166 166 166 166 167
HOOFDSTUK VI Doorgifte van persoonsgegevens naar landen buiten de Europese Gemeenschap Artikel 21 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . landen met passend beschermingsniveau . . . . . . . . . . . . KB verboden doorgifte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Artikel 22 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . uitzondering op verbod doorgifte . . . . . . . . . . . . . . . . . . . afwezigheid van passend beschermingsniveau . . . . . . . toestemming . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . uitvoering van een overeenkomst . . . . . . . . . . . . . . . . . . . uitvoering van een contract - derden. . . . . . . . . . . . . . . . . zwaarwegend algemeen belang . . . . . . . . . . . . . . . . . . . . . verdediging in rechte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . vitaal belang . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . openbaar register . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . voldoende waarborgen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . contractuele bepalingen. . . . . . . . . . . . . . . . . . . . . . . . . . . . bindende ondernemingsregels . . . . . . . . . . . . . . . . . . . . . . internationaal akkoord . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
167 168 174 174 175 175 175 177 179 180 180 181 182 183 183 188 190
HOOFDSTUK VII Commissie voor de bescherming van de persoonlijke levenssfeer Artikel 23 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
197
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
Inhoudsopgave
instelling van de Commissie. . . . . . . . . . . . . . . . . . . . . . . . . instelling bij Kamer van Volksvertegenwoordigers. . . . . zetel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Artikel 24 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . onafhankelijkheid. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Artikel 25 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . vervanging van een commissaris . . . . . . . . . . . . . . . . . . . . Artikel 26 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . voorzitterschap . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . voorzitter. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ondervoorzitter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Artikel 27 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Artikel 28 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . reglement van orde – quorum – wijze van beslissen . . . Artikel 29 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . advies. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Artikel 30 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . bevoegdheid aanbeveling . . . . . . . . . . . . . . . . . . . . . . . . . . . Artikel 31 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . bevoegdheid behandeling van klachten . . . . . . . . . . . . . . procedure . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Artikel 31bis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . sectorale comités. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . sectorale comités binnen Commissie: oprichting . . . . . . samenstelling: 2X3 leden . . . . . . . . . . . . . . . . . . . . . . . . . . . procedure . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . werking . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . KB 17 december 2003 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Artikel 32 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . controle- en onderzoeksbevoegdheid . . . . . . . . . . . . . . . . beroep op deskundige . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . onderzoek ter plaatse. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . officier van gerechtelijke politie. . . . . . . . . . . . . . . . . . . . . . opeisen documenten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . toegang tot alle plaatsen. . . . . . . . . . . . . . . . . . . . . . . . . . . . aangifte misdrijven PdK . . . . . . . . . . . . . . . . . . . . . . . . . . . . jaarverslag . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . geschillenbeslechting door rechtbank eerste aanleg . . . Artikel 32bis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Artikel 33 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . beroepsgeheim . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Artikel 34 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . begroting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . bestuursplan . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Artikel 35 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . overgangsregeling . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Artikel 36 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
197
sectorale comités. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
237
197
sectoraal comité federale overheid . . . . . . . . . . . . . . . . . . .
237
197 197 201 201 201
Artikel 37. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
242
201
Artikel 38. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
242
201
Artikel 39. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
242
201
Artikel 40. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
242
203
Artikel 41. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
242
203
Artikel 42. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
243
203
Artikel 43. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
243
Strafwetboek . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
243
203 204 206
HOOFDSTUK IX Slotbepalingen
206 208 208 210
Artikel 44. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
243
sectoriële regels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
244
gedragscode . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
244
Artikel 45. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
245
vernietiging gegevens oorlogstijd . . . . . . . . . . . . . . . . . . . .
245
Artikel 46. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
245
Artikel 47. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
245
232
Artikel 48. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
245
233
Artikel 49. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
245
233
Artikel 50. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
245
233
Artikel 51. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
245
233
Artikel 52. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
245
214 215 215 215 216 216 229
233 233
INDEX
234 235
verwijzing naar andere wetgeving . . . . . . . . . . . . . . . . . . .
247
235
internationale wetgeving . . . . . . . . . . . . . . . . . . . . . . . . . . .
247
235
adviezen van de Groep 29 . . . . . . . . . . . . . . . . . . . . . . . . . .
250
236
studies en verslagen van de Raad van Europa . . . . . . . . .
254
236
rechtspraak van eerste aanleg van de Europese Gemeenschappen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
254
rechtspraak van het Hof van Justitie van de Europese Gemeenschappen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
254
rechtspraak van het Europees Hof voor de Rechten van de Mens . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
255
235
236 236 236 237 237
BIJLAGEN
HOOFDSTUK VIIbis Sectorale comités Artikel 36bis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
HOOFDSTUK VIII Strafbepalingen
198
237
wet van 8 december 1992. . . . . . . . . . . . . . . . . . . . . . . . . . .
259
huishoudelijk reglement van de CBPL . . . . . . . . . . . . . . . .
276
koninklijk besluit van 13 februari 2001 . . . . . . . . . . . . . . .
282
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
v
Inleiding
INLEIDING Voorwoord . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
VOORWOORD De wet van 8 december 1992 tot bescherming van persoonsgegevens is het werkinstrument bij uitstek van de Commissie voor de bescherming van de persoonlijke levenssfeer. Zowel de commissarissen van de Commissie als de juristen van haar secretariaat1 buigen zich dagelijks over een vijftigtal artikelen; ze maken er gebruik van, ze passen ze toe en interpreteren de grondbeginsels, nuances en subtiliteiten maar ze denken ook na over de onduidelijkheden en tekortkomingen. Al achttien jaar lang vormt de wet van 8 december 1992, samen met haar aanvullend koninklijk besluit van 13 februari 2001, hét denkschema waarbinnen de adviezen op verzoek van de wetgevende kamers en regeringen worden voorbereid, de klachten door de Commissie als bemiddelaar worden behandeld, en ook de machtigingen voor sommige verwerkingen van persoonsgegevens worden verleend. Deze wet vormt daarnaast ook de basis voor alle antwoorden op vragen van de burger om informatie. Deze wet die uit macht der gewoonte de «privacywet» wordt genoemd is echter geen geïsoleerd juridisch instrument. Zij ligt in het verlengde van internationale teksten, goedgekeurd met meerderheid van stemmen, door instellingen zoals de Verenigde Naties, de Organisatie voor Economische Samenwerking en Ontwikkeling (OESO), de Raad van Europa (COE) en de Europese Unie (EU). Omdat ze ontsproten is uit de Europese richtlijn 95/46/EG betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens die op haar beurt het Verdrag 108 van de Raad van Europa voor de bescherming van personen ten opzichte van de geautomatiseerde verwerking van persoonsgegevens verduidelijkt en verder aanvult, is het vanzelfsprekend dat de privacywet verankerd ligt in de internationale — en vooral de Europese — regelgevende dynamiek inzake verwerkingen van persoonsgegevens. Deze instellingen hebben hun grondtekst over de bescherming van persoonsgegevens zeer dikwijls aangevuld met een interpretatief instrumentarium, aanvullende protocollen of sectorale regelgevingen. Binnen de Europese Unie onthouden we vooral de kostbare bijdrage op het vlak van interpretatie en harmonisatie van de richtlijn — en daardoor ook van de omgezette nationale wetgeving — van de Werkgroep van het artikel 29 waarin de Commissie voor de bescherming van de persoonlijke levenssfeer samen met haar Europese collega’s vertegenwoordigd is. Stapsgewijs en als logisch gevolg van de bekrachtiging als fundamenteel recht door het Handvest van grondrechten van de 1.
Het initiatief voor de voorliggende codex werd opgezet door Willem Debeuckelaere, Voorzitter van de Commissie voor de bescherming van de persoonlijke levenssfeer en werd uitgewerkt met medewerking van Bea Reyns en Thierry Claessens, daarbij geholpen door de vertalers, allen werkzaam in de schoot van de Commissie. Onze dank gaat naar hen uit. Er bestaat overigens een Franse versie van deze codex.
1
Unie, hebben ontwikkelden de Rechtbank van eerste aanleg en het Hof van Justitie van de Europese Gemeenschappen een jurisprudentie inzake bescherming van de persoonlijke levenssfeer. Ook het Hof van Straatsburg bouwt, op basis van artikel 8 van het Europees Verdrag voor rechten van de mens, reeds vele jaren aan een dynamische en leerrijke jurisprudentie. Ook het werk van het Raadgevend Comité van het Verdrag nr. 108, dat belast is met de goede uitvoering van dit Verdrag (T-PD) moet worden vermeld. Het is die overvloed aan informatie die ons heeft aangezet om in deze geannoteerde versie, voor elk van de bepalingen van de privacywet te verwijzen naar een aantal nuttige — zowel normatieve als jurisprudentiële — bronnen die deze bepalingen terug in hun context plaatsen en zo bijdragen tot een beter begrip en juiste interpretatie van de privacywet. De opzet van deze geannoteerde versie is volstrekt internationaal. Er werd daarin geen jurisprudentie opgenomen van de hoven en rechtbanken van de rechterlijke noch van de Commissie voor de bescherming van de persoonlijke levenssfeer werd jurisprudentie opgenomen die voorspruit uit haar advies, aanbevelings of machtigingsbevoegdheid. Sommigen zullen dit ongetwijfeld betreuren. Het spreekt vanzelf dat deze geannoteerde versie van de wet regelmatig moet worden bijgewerkt2. Vergeleken met 30 december 2010 bevat ze nu anderen bronnen. Ooit zal misschien ook werk worden gemaakt van de uitgebreide jurisprudentie van de Commissie voor de bescherming van de persoonlijke levenssfeer en de voorbereidende werkzaamheden van de wet en bijhorende amendementen. Er moesten keuzes worden gemaakt en wat voorligt is niet exhaustief. In eerste fase werden 7 rubrieken weerhouden (zie «Inhoud en Methodologie» hierna): • Huishoudelijk reglement van de Commissie voor de bescherming van de persoonlijke levenssfeer; • Koninklijk besluit van 13 februari 2001; • Verwijzingen door de Privacywet naar andere wetgeving; • Internationale wetgeving; • Adviezen van de Werkgroep van het artikel 29 (Groep 29); • Verslagen en studies van de Raad van Europa; • Jurisprudentie van het Hof van Justitie van de Europese Unie; • Jurisprudentie van het Europees Hof voor rechten van de mens;
Dit werk is opgezet als bronnengids en werd overigens niet vanuit een analytisch doch uitsluitend documentair perspectief gerealiseerd. Zo wordt geen enkele analyse gemaakt en worden de geciteerde bronnen niet becommentarieerd. 2.
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
Een elektronische versie — waarvan de lay-out licht verschilt — van voorliggende geannoteerde codex is te vinden op de website van de Commissie voor de bescherming van de persoonlijke levenssfeer http//www.privacycommission.be
1
Inleiding
Wij laten het aan de lezer over om zich met behulp van de geciteerde en eventueel andere bronnen, een mening te vormen. Bijvoorbeeld, niettegenstaande bepaalde voorschriften uit de privacywet rechtstreeks geïnspireerd zijn op het Verdrag 108 en de Europese richtlijn 95/46/EG, zijn ze toch niet volledig identiek en kan hun interpretatie verschillen. Vandaag beraden velen zich over een Europees reglementair kader dat beter is afgestemd op de problemen die de
2
bescherming van de persoonlijke levenssfeer en persoonsgegevens met zich meebrengen. Het is in die context dat wij hopen dat deze bronnengids zal bijdragen tot een betere reglementaire kennis van de bescherming van de persoonlijke levenssfeer ten aanzien van de verwerking van persoonsgegevens en tot nut kan zijn voor beschouwingen over dit voortdurend evoluerend en boeiend rechtsdomein. Wij wensen u een boeiende ontdekkingstocht.
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
Methodologie
METHODOLOGIE INHOUD en METHODOLOGIE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
INHOUD EN METHODOLOGIE Deze geannoteerde versie van de privacywet bevat zeven rubrieken. Op de hiernavolgende bladzijden wordt voor iedere rubriek uiteengezet waarom voor deze rubrieken werd gekozen («Waarom deze rubriek?»), wat de inhoud ervan is («Wat kan ik onder deze rubriek vinden?»), en waar en hoe de documenten waarnaar wordt verwezen en
3
waarvan een relevant uittreksel of samenvatting wordt gegeven, kunnen geraadpleegd worden («Waar kan ik deze documenten terugvinden?»). Elke uiteenzetting wordt afgesloten met een korte toelichting over de Index. In de Nederlandstalige tekst van deze geannoteerde versie worden de bronteksten in het Engels vermeld als de officiële Nederlandstalige vertaling ontbreekt.
HET KONINKLIJK BESLUIT VAN 13 FEBRUARI 2001 Waarom een rubriek «Koninklijk besluit van 13 februari 2001»? In de aanloop naar de goedkeuring van de wet van 8 december 1992 werden een zeker aantal complementaire koninklijke besluiten genomen. Het koninklijk besluit van 13 februari 2001 (KB van 13 februari 2001) is de samensmelting van 15 koninklijke besluiten die op dat ogenblik bestonden.
Wat kan ik onder deze rubriek vinden? Het KB van 13 februari 2001 omschrijft onder welke voorwaarden sommige bepalingen van de privacywet moeten worden toegepast: Voorbeelden – Het koninklijk besluit voegt toe dat bij de verwerking van gevoelige persoonsgegevens over de gezondheid of gerechtelijke gegevens de verantwoordelijke voor de verwerking bijkomende maatregelen moet nemen, meer bepaald de aanduiding van de categorieën personen die gemachtigd zijn toegang te hebben dot deze gegevens alsook
hun onderwerping aan een vertrouwelijkheidsverplichting (artikelen 25 en 26). Deze artikelen 25 en 26 van het KB van 13 februari 2001 zijn de weergave van de artikelen 6, 7 en 8 van de privacywet die respectievelijk handelen over de verwerking van gevoelige gegevens betreffende de gezondheid en gerechtelijke gegevens. – De artikelen 37 tot 46 van hetzelfde koninklijk besluit vervolledigen artikel 13 van de privacywet met een omschrijving van de manier waarop de onrechtstreekse toegang – in tegenstelling tot de algemene regel van rechtstreekse toegang – tot bepaalde persoonsgegevens mag plaatsvinden. Zij vervolledigen de interpretatie van deze bepaling.
Waar kan ik het koninklijk besluit van 13 februari 2001 vinden? Het koninklijk besluit is gevoegd bij de geannoteerde versie van de wet (zie «Bijlagen»). Het koninklijk besluit kan geraadpleegd worden op de website van de Commissie voor de bescherming van de persoonlijke levenssfeer: http://www.privacycommission.be – rubriek «Wetgeving».
HET HUISHOUDELIJK REGLEMENT VAN DE COMMISSIE VOOR DE BESCHERMING VAN DE PERSOONLIJKE LEVENSSFEER Waarom een rubriek «Huishoudelijk reglement»?
Voorbeelden
Zoals de privacywet vereist, heeft de Commissie voor de bescherming van de persoonlijke levenssfeer een Huishoudelijk reglement goedgekeurd. Het eerste reglement (1995-2007) werd recent (mei 2007) vervangen door een geamendeerde versie waarin enerzijds rekening wordt gehouden met de verworven werkervaring van de Commissie en anderzijds met de integratie van de sectorale comités binnen haar instelling. Het Huishoudelijk reglement omschrijft de rol van de Commissie, haar bevoegdheden en de manier waarop zij die bevoegdheden moet uitoefenen.
– De artikelen 29 en 30 van de privacywet vertrouwen aan de Commissie een advies- en aanbevelingsbevoegdheid toe over elke kwestie vallend binnen het toepassingsgebied van de wet van 8 december 1992. Bijgevolg wordt hierbij verwezen naar het Huishoudelijk reglement. Dit reglement geeft een duidelijke toelichting over de manier waarop elke adviesaanvraag wordt behandeld en elke aanbevelingsprocedure wordt georganiseerd. – Ook de manier waarop klachten worden behandeld (artikel 31 van de privacywet), waarin de Commissie een bemiddelende rol speelt, wordt door de voorschriften van het Huishoudelijk reglement verder aangevuld.
Wat kan ik onder deze rubriek vinden? Er wordt vooral verwezen naar uittreksels uit het Huishoudelijk reglement daar waar de voorschriften bepaalde bevoegdheden toekennen aan de Commissie.
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
3
Methodologie
Waar kan ik het Huishoudelijk reglement terugvinden? Het Huishoudelijk reglement is gevoegd bij de geannoteerde versie van de wet (zie «Bijlagen»). Het koninklijk be-
sluit kan geraadpleegd worden op de wetsite van de Commissie voor de bescherming van de persoonlijke levenssfeer: http://www.privacycommission.be – rubriek «Wetgeving».
VERWIJZING NAAR ANDERE WETGEVING Waarom een rubriek «Verwijzing naar ander wetgeving»? De wet van 8 december 1992 moet worden toegepast in diverse en gevarieerde contexten. Soms achtte de wetgever het nuttig dat haar voorschriften wijken voor andere normen die specifiek aangepast zijn aan de ene of andere context. Deze voorschriften worden immers geïntegreerd in het bestaand wetgevend corpus waarnaar zij soms verwijst en co-existeren met de andere specifieke wetgevingen waarmee zij nauw verbonden zijn.
Wat kan ik onder deze rubriek vinden? In de rubriek «verwijzing naar andere wetgeving» worden de bepalingen van andere wetgeving weergegeven waarnaar de privacywet uitdrukkelijk verwijst. Voorbeelden – Artikel 10, § 2 van de privacywet regelt het recht op toegang tot persoonsgegevens betreffende de gezondheid, onverminderd artikel 9, § 2 van de wet van 22 augustus 2002 betreffende de rechten van de patiënt. Om het de lezer gemakkelijker te maken en bij te dragen aan de verstaanbaarheid van de tekst wordt artikel 9, § 2 van die wet weergegeven. – Als gevolg van een wijziging aan de privacywet in 2003 werden sectorale comités opgericht binnen de Commissie.
Dit wordt bekrachtigd met de artikelen 31bis en 36bis van de privacywet. Het is echter vooral in de specifieke wetgeving tot oprichting van die comités en in dit geval het uitvoerend koninklijk besluit, dat hun samenstelling, bevoegdheden en werking nauwkeurig worden omschreven. Bijgevolg worden onder de artikelen 31bis en 36bis van de privacywet de relevante tekstgedeelten van die reglementeringen weergegeven – zoals de wet van 8 augustus 1983 tot regeling van een Rijksregister van de natuurlijke personen of het koninklijk besluit van 17 december 2003 – om er maar enkele van te citeren.
Waar kan ik «de andere wetgevingen» terugvinden? Deze wetgeving kan geraadpleegd worden op de website van de Commissie voor de bescherming van de persoonlijke levenssfeer (http://www.privacycommission.be – rubriek «Wetgeving»). Deze wetgeving waarnaar de privacywet verwijst is ook altijd beschikbaar via de zoekmachine van de FOD Justitie op het volgend adres: http:// www.just.fgov.be/index_nl.htm - «Belgisch Staatsblad»).
Index De chronologische index van de wetgeving waarnaar wordt verwezen, is terug te vinden op de laatste bladzijden van deze geannoteerde versie.
INTERNATIONALE WETGEVING Waarom een rubriek «Internationale wetgeving»? De privacywet is geen geïsoleerd juridisch instrument. Zij sluit aan op een internationale regelgevende dynamiek, meer bepaald, inzake verwerking van persoonsgegevens en breder nog, inzake de bescherming van het fundamenteel recht op privacy. De instrumenten die aan deze bescherming bijdragen, of ze nu goedgekeurd werden op het niveau van de Verenigde Naties, de OESO, de Raad van Europa of de Europese Unie, zijn waardevolle bronnen voor wie zich interesseert in het ontstaan maar ook in de toekomst van de normering inzake bescherming van persoonsgegevens. De privacywet is de omzetting van de richtlijn 95/46/EG en de toepassing van bepaalde van haar bepalingen – bijvoorbeeld deze over de grensoverschrijdende gegevensstroom – is nauw verweven met de besluitvorming op niveau van de Europese instellingen. Het is logisch dat deze geannoteerde versie ernaar verwijst.
4
Wat kan ik onder deze rubriek vinden? Enkele voorbeelden – Artikel 2 van de privacywet stelt het volgende: «Iedere natuurlijke persoon heeft in verband met de verwerking van persoonsgegevens die op hem betrekking hebben, recht op bescherming van zijn fundamentele rechten en vrijheden, inzonderheid op bescherming van zijn persoonlijke levenssfeer». Teksten zoals het Internationaal pact voor burgerlijke en politieke rechten (artikel 17), het Europees verdrag voor de rechten van de mens (artikel 8) of het Handvest voor fundamentele rechten van de Europese Unie (artikelen 7 en 8) die het fundamenteel recht op bescherming van het privéleven bekrachtigen, worden bijgevolg vermeld onder deze algemene verklaring. – De beweegredenen van een wettige verwerking waarvan sprake in artikel 5 van de privacywet zijn geïnspireerd op die van artikel 7 van de richtlijn 95/46/EG; er wordt bijgevolg naar verwezen. – Artikel 21 van de privacywet machtigt de doorgifte van gegevens naar landen die geen deel uitmaken van de Europese Unie voor zover die landen een passend bescher-
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
Methodologie
mingsniveau kunnen waarborgen voor de doorgegeven persoonsgegevens. Dientengevolge worden onder artikel 21 van de privacywet de beslissingen vermeld waarmee de Europese Commissie erkent dat de ene of andere staat een passend beschermingsniveau waarborgt.
Waar kan ik de bronnen vermeld onder deze rubriek terugvinden?
De meeste interessante documenten over gegevensbescherming van de Europese Unie kunnen geraadpleegd worden vertrekkende vanuit de homepagina van de Raad van Europa – http://ec.europa.eu/justice/policies/privacy/ index en.htm – de rubriek «Affaires juridiques/Legal Affairs» – «Coopération juridique/Legal Cooperation» – «protection des données/Data protection».
Index
De lezer wordt verwezen naar de websites die in de index worden vermeld. De Raad van Europa heeft een speciale bladzijde «Protection des données à caractère personnel» waar de belangrijkste bronteksten en werkzaamheden van de Raad van Europa kunnen worden bekeken: http://www.coe.int/ t/dghl/standardsetting/dataprotection/Default_en.asp
Een chronologische index van de teksten, goedgekeurd door de verschillende internationale referentie-instellingen waarnaar verwezen wordt in deze geannoteerde versie van de privacywet, is terug te vinden op het einde van dit document.
DE ADVIEZEN VAN DE WERKGROEP VAN HET ARTIKEL 29 (GROEP 29) Waarom een rubriek «Advies van de Groep 29»? In de Groep 29 zijn de gegevensbeschermingsautoriteiten van de 27 lidstaten van de Europese Unie en de Europese toezichthouder voor gegevensbescherming vertegenwoordigd. De Commissie voor de bescherming van de persoonlijke levenssfeer neemt in die hoedanigheid deel aan deze werkgroep die onder meer moet bijdragen aan een geharmoniseerde toepassing van de richtlijn 95/46/EG.
Wat kan ik onder deze rubriek vinden? Tijdens de 13 jaar dat hij in werking is (1997-2010) gaf de Werkgroep ongeveer 180 adviezen, werkdocumenten, aanbevelingen en resoluties over verschillende onderwerpen zoals de bescherming van persoonsgegevens op het internet, binnen een werkrelatie of in het kader van terrorismebestrijding. Naast vele andere onderwerpen werden ook de onderwerpen biometrie, en RFID-technologie besproken. In deze geannoteerde versie van de privacywet wordt verwezen naar meer dan negentig documenten die door de Groep 29 werden goedgekeurd. Van elk advies wordt een korte samenvatting gegeven of een punt aangehaald dat relevant is voor de geannoteerde bepaling. Zodoende wordt de lezer de weg gewezen en gestimuleerd zich verder in het onderwerp te verdiepen door het advies integraal door te nemen.
– Artikel 7, § 2 van de privacywet beschrijft onder welke voorwaarden een verwerking van persoonsgegevens betreffende de gezondheid mag plaatsvinden. Bij deze bepaling wordt verwezen naar het advies van de Groep 29 over de elektronische medische dossiers.
Waar kan ik de adviezen van de Groep 29 vinden? De adviezen, werkdocumenten, aanbevelingen en resoluties van de Groep 29 zijn te raadplegen op het volgend adres: http://www.ec.europa.eu/justice_home/fsj/privacy/workinggroup/index.en.htm Deze documenten zijn bijna altijd beschikbaar in alle werktalen van de Europese Unie. Als de Franstalige of de Nederlandstalige versie ontbreekt, is er steeds een Engelse – de taal waarin de teksten in eerste instantie worden opgesteld – versie beschikbaar 1 . De homepagina van de Groep bevat verschillende rubrieken die de geïnteresseerde lezer kan inkijken. Op die manier krijgt hij alle informatie omtrent zijn leden, de procedureregels, jaarverslagen, etc. Om de werkzaamheden van de Groep te raadplegen klik op «Documents adoptés/Documents adopted». De documenten zijn per jaar geïnventariseerd. U vindt het gewenste document met een eenvoudige klik op het jaar waarin het document werd goedgekeurd en door te klikken op het document in de lijst die verschijnt.
Voorbeelden
Index
– Artikel 1, § 1 van de privacywet definieert het begrip «persoonsgegeven». Deze definitie is rechtstreeks geïnspireerd op het artikel 2a) van de richtlijn 95/46/EG. In 2007 keurde de Groep 29 een werkdocument goed dat het begrip «persoonsgegeven» bekrachtigt: wat houdt dit begrip in? Wat zijn de wezenlijke elementen van deze definitie? Hoe moet ze worden toegepast? Bijgevolg wordt bij artikel 1 § 1 van de privacywet naar dit artikel verwezen.
De chronologische index van de teksten van de Groep 29 waarnaar in deze geannoteerde versie van de privacywet wordt verwezen vindt u op het einde van dit document. 1.
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
De vertalingen worden progressief online gezet. Om het document in de taal van zijn keuze te kunnen raadplegen wordt de lezer verzocht om regelmatig de wetsite van de Werkgroep te bezoeken.
5
Methodologie
DE VERSLAGEN EN STUDIES VAN DE RAAD VAN EUROPA Waarom een rubriek «Verslagen en Studies van de Raad van Europa»? Het Raadgevend Comité van het Verdrag 108 van de Raad van Europa voor de bescherming van personen ten opzichte van de geautomatiseerde verwerking van persoonsgegevens (T-PD) heeft de volgende opdrachten: formuleren van voorstellen die de toepassing van het Verdrag moet vergemakkelijken of verbeteren; uitbrengen van adviezen over elke kwestie betreffende de toepassing van het Verdrag. Het Comité mag ook beroep doen op deskundigen die zich moeten beraden over een specifieke problematiek die betrekking heeft op de bescherming van persoonsgegevens en de toepassing van het Verdrag 108. De werkzaamheden van het Comité zijn evenzeer nuttige bronnen omdat de begrippen die in het Verdrag 108 worden bekrachtigd, zijn overgenomen, weliswaar gedetailleerder, in de richtlijn 95/46/EG die werd omgezet in de privacywet.
Wat kan ik onder deze rubriek vinden? Alle werkzaamheden zitten gegroepeerd onder de rubriek «Verslagen en Studies van de Raad van Europa». Voorbeelden – Het advies van het Raadgevend Comité van het Verdrag 108 (T-PD) over het begrip «verwerking» en «verant-
woordelijke voor de verwerking» wordt vermeld onder het artikel 1, 2de en 4de lid van de privacywet die respectievelijk de begrippen «verwerking» en «verantwoordelijke voor de verwerking» definiëren. – In de artikelen 6, 7 en 8 van de privacywet die handelen over gevoelige gegevens sensu lato, wordt verwezen naar de Studie van de heer SIMITIS over gevoelige gegevens.
Waar kan ik de Verslagen en Studies van de Raad van Europa terugvinden? De Verslagen en Studies van de Raad van Europa kunnen in het Frans en in het Engels geraadpleegd worden op de website van de Raad van Europa op het adres: http:// www.coe.int/t/f/affaires_juridiques/ coop%E9ration_juridique/Protection_des_donn%E9es (pagina gewijd aan de gegevensbescherming). Klik op de rubriek «Documents» en vervolgens op «Reports and studies by experts» en op «Reports and studies of Data protection Committees».
Index De chronologische index van de Verslagen en Studies van de Raad van Europa waarnaar wordt verwezen in deze geannoteerde versie van de privacywet is terug te vinden op eind van dit document.
RECHTSPRAAK VAN HET HOF VAN JUSTITIE VAN DE EUROPESE UNIE Waarom een rubriek «Rechtspraak van het Hof van Justitie van de Europese Unie»? De rechtbank van eerste aanleg en het Hof van Justitie van Luxemburg zijn vanzelfsprekend bevoegd om zich naar aanleiding van een geschil uit te spreken over de bepalingen van de richtlijn 95/46/EG en de omvang van het toepassingsgebied ervan te omschrijven. Hun rechtspraak is essentieel voor een goede verstaanbaarheid en correcte toepassing van die begrippen van de richtlijn en derhalve van de nationale bepalingen die de omzetting ervan zijn.
Wat kan ik onder deze rubriek vinden? De relevante uittreksels van enkele arresten ter zake van de Rechtbank van eerste aanleg en het Hof van Justitie worden weergegeven bij de desbetreffende bepalingen van de privacywet. Voorbeeld – In het arrest Bodil Lindqvist oordeelt het Hof dat wanneer op een internetpagina wordt verwezen naar diverse
personen die geïdentificeerd worden hetzij via hun naam, hetzij via andere middelen, dit zonder twijfel een «verwerking van persoonsgegevens» betreft. Bijgevolg wordt naar deze rechtspraak verwezen in de artikelen 1 §§ 1 en 2 van de privacywet, die respectievelijk het begrip «persoonsgegeven» en «verwerking» definiëren.
Waar kan ik de arresten van het Hof van Justitie van de Europese Unie vinden? De rechtspraak van de Rechtbank van eerst aanleg en het Hof van Justitie van Luxemburg is te vinden via de zoekmachine http://www.curia.europa.eu
Index De chronologische index van de arresten van de Rechtbank van eerste aanleg het van het Hof van Justitie van de Europese Unie waarnaar wordt verwezen in deze geannoteerde versie van de privacywet is te vinden op het einde van dit document.
RECHTSPRAAK VAN HET EUROPEES HOF VOOR DE RECHTEN VAN DE MENS Waarom een rubriek «rechtspraak van het Europees Hof voor de rechten van de mens»? Overeenkomstig de rechtspraak van het Europees Hof
6
die stelt dat het Verdrag een «levend instrument» is heeft het Hof, vertrekkende van artikel 8 dat het recht op bescherming van het privéleven bevestigt, een omvangrijke jurisprudentie opgebouwd met betrekking tot de bescher-
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
Methodologie
ming van persoonsgegevens. Het zijn vooral het rechtmatigheidsbeginsel en het proportionaliteitsbeginsel die bijzondere aandacht krijgen.
Waar kan ik de arresten vinden van het Europees Hof voor de rechten van de mens?
Wat kan ik onder deze rubriek vinden?
De arresten van het Hof van Straatsburg zijn te vinden op de website van het Hof op het volgend adres: http:// www.echr.coe.int/echr
Het Secretariaat van het Raadgevend Comité van het Verdrag 108 (T-PD) selecteerde een zestigtal arresten die handelen over persoonsgegevens. Deze selectie diende als basis voor de arresten waarnaar wordt verwezen bij de bepalingen van de privacywet. De beschouwingen in die arresten zijn nauw verwant met die bepalingen. Voorbeelden – Krachtens het arrest Rotaru t. Roemenië omschrijft het Hof nauwkeurig wat begrepen moet worden onder «inmenging bepaald door de wet». Bijgevolg wordt naar dit arrest verwezen bij artikel 5 van de privacywet dat handelt over de rechtmatigheid van een verwerking. – Het arrest Segersted-Wiberg en anderen t. Zweden: dit arrest gaat onder meer over de vraag wanneer, gelet op zijn bevoegdheden, de Zweedse autoriteit voor gegevensbescherming kan beschouwd worden als een overheid die een daadwerkelijke beroepsmogelijkheid biedt, zoals bedoeld in artikel 13 van het Europees Verdrag voor de rechten van de mens. Dit arrest wordt vermeld in de marge van de artikelen van de privacywet die handelen over de bevoegdheden van de Commissie.
Om de arresten te raadplegen: klik op «Jurisprudence/ Case law». Met de zoekmachine van de Hof kunt u ook opzoekingen verrichten op basis van meerdere criteria. Er werd reeds gezegd dat het Secretariaat van het Raadgevend Comité van het Verdrag 108 (T-PD) de belangrijkste arresten inventariseerde over de bescherming van personen ten opzichte van de verwerking van persoonsgegevens. Dat resulteerde in een Compendium van de rechtspraak. Dit Compendium bevat voor elk geselecteerd arrest de relevante fragmenten uit het corpus van het arrest en het dispositief dat door het Hof werd aangenomen. Het wordt regelmatig bijgewerkt. Dit Compendium is beschikbaar bij de Raad van Europa.
Index De chronologische index van de arresten van het Europees Hof voor de rechten van de mens waarnaar verwezen wordt in deze geannoteerde versie van de privacywet is terug te vinden op einde van dit document.
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
7
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 1)
WET 8 DECEMBER 1992 Wet 8 december 1992 – Verwerking persoonsgegevens (WVP) . . . . . . . . . . . . . . . . . . . . . .
9
Wet 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (B.S., 18 maart 1993) HOOFDSTUK I
BEGRIPSOMSCHRIJVINGEN, BEGINSELEN EN WERKINGSSFEER Art. 1. }1[§ 1. Voor de toepassing van deze wet wordt onder «persoonsgegevens» iedere informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon verstaan, hierna «betrokkene» genoemd; als identificeerbaar wordt beschouwd een persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificatienummer of van één of meer specifieke elementen die kenmerkend zijn voor zijn of haar fysieke, fysiologische, psychische, economische, culturele of sociale identiteit. § 2. Onder «verwerking» wordt verstaan elke bewerking of elk geheel van bewerkingen met betrekking tot persoonsgegevens, al dan niet uitgevoerd met behulp van geautomatiseerde procédés, zoals het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op enigerlei andere wijze ter beschikking stellen, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van persoonsgegevens. § 3. Onder «bestand» wordt verstaan elk gestructureerd geheel van persoonsgegevens die volgens bepaalde criteria toegankelijk zijn, ongeacht of dit geheel gecentraliseerd dan wel gedecentraliseerd is of verspreid op een functioneel of geografisch bepaalde wijze. § 4. Onder «verantwoordelijke voor de verwerking» wordt de natuurlijke persoon of de rechtspersoon, de feitelijke vereniging of het openbaar bestuur verstaan die alleen of samen met anderen het doel en de middelen voor de verwerking van persoonsgegevens bepaalt. Indien het doel en de middelen voor de verwerking door of krachtens een wet, een decreet of een ordonnantie zijn bepaald, is de verantwoordelijke voor de verwer-
king de natuurlijke persoon, de rechtspersoon, de feitelijke vereniging of het openbaar bestuur die door of krachtens de wet, het decreet of de ordonnantie als de voor de verwerking verantwoordelijke wordt aangewezen. § 5. Onder «verwerker» wordt de natuurlijke persoon, de rechtspersoon, de feitelijke vereniging of het openbaar bestuur verstaan die ten behoeve van de voor de verwerking verantwoordelijke persoonsgegevens verwerkt, met uitsluiting van de personen die onder rechtstreeks gezag van de verantwoordelijke voor de verwerking gemachtigd zijn om de gegevens te verwerken. § 6. Onder «derde» wordt de natuurlijke persoon, de rechtspersoon, de feitelijke vereniging of het openbaar bestuur verstaan, niet zijnde de betrokkene, noch de verantwoordelijke voor de verwerking, noch de verwerker, noch de personen die onder rechtstreeks gezag van de verantwoordelijke of de verwerker gemachtigd zijn om de gegevens te verwerken. § 7. Onder «ontvanger» wordt de natuurlijke persoon, de rechtspersoon, de feitelijke vereniging of het openbaar bestuur verstaan, aan wie de gegevens worden meegedeeld, ongeacht of het al dan niet een derde betreft; administratieve of gerechtelijke instanties aan wie gegevens kunnen worden meegedeeld in het kader van een bijzondere onderzoeksprocedure worden evenwel niet beschouwd als ontvangers. § 8. Onder «toestemming van de betrokkene», wordt elke vrije, specifieke en op informatie berustende wilsuiting verstaan, waarmee de betrokkene of zijn wettelijke vertegenwoordiger aanvaardt dat persoonsgegevens betreffende de betrokkene worden verwerkt.]1 }1. – Vervangen bij art. 2 wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001)
BEGRIPSOMSCHRIJVINGEN EN DEFINITIES PERSOONSGEGEVENS BETROKKENE IDENTITEIT
§ 1 Begripsomschrijvingen en definities, persoonsgegevens, betrokkene en identiteit Persoonsgegevens 1. INTERNATIONALE WETGEVING – Artikel 2 a) van het Verdrag nr. 108 van de Raad van Europa tot bescherming van personen ten opzichte van de geautomatiseerde verwerking van persoonsgegevens (1981): onder "persoonsgegevens" wordt verstaan: iedere informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. – Explanatory Report of the Convention No.108 - punten 28 en 29: "Identifiable persons" means a person who can be easily identified: it does not cover identification of persons by means of very sophisticated methods. The
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
9
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 1)
notion of "data subject" expresses the idea that a person has a subjective right with regard to information about himself, even where this is gathered by others (cfr. de zegswijze data subject). – Recommendation No.R(99)5 of the Committee of Ministers to member states for the protection of privacy on the internet: Guidelines for the protection of individuals with regard to the collection and processing of personal data on information highways (1999): het e-mailadres is een persoonsgegeven. – Artikel 2 a) van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): onder: "persoonsgegevens" wordt verstaan, iedere informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon, hierna "betrokkene" te noemen; als identificeerbaar wordt beschouwd een persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificatienummer of van één of meer specifieke elementen die kenmerkend zijn voor zijn of haar fysieke, fysiologische, psychische, economische, culturele of sociale identiteit. – Overweging 26 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): overwegende dat de beschermingsbeginselen moeten gelden voor elk gegeven betreffende een geïdentificeerde of identificeerbare persoon; dat, om te bepalen of een persoon identificeerbaar is, moet worden gekeken naar alle middelen waarvan mag worden aangenomen dat zij redelijkerwijs door degene die voor de verwerking verantwoordelijk is dan wel door enig ander persoon in te zetten zijn om genoemde persoon te identificeren; dat de beschermingsbeginselen niet van toepassing zijn op gegevens die op zodanige wijze anoniem zijn gemaakt dat de persoon waarop ze betrekking hebben niet meer identificeerbaar is; dat de gedragscodes in de zin van artikel 27 een nuttig instrument kunnen zijn om een indicatie te geven omtrent de middelen waarmee de gegevens anoniem kunnen worden gemaakt en kunnen worden bewaard in een vorm die identificatie van de betrokkene niet langer mogelijk maakt. – International Standards on the Protection of Personal Data and Privacy (2009) (The Madrid Resolution): resolutie goedgekeurd op 5 november 2009 door de Internationale Conferentie van de commissarissen voor de bescherming van gegevens en de privacy. Principe nr. 2 : Definities : a. “Personal data” means any information relating to an identified natural person or a person who may be identified by means reasonably likely to be used.
2. ADVIEZEN VAN DE GROEP 29 – Groep 29, Aanbeveling 1/2001 over beoordelingsgegevens betreffende werknemers (22 maart 2001WP 42): volgens de definitie in artikel 2 a) van de Richtlijn 95/46/EG wordt onder persoonsgegevens verstaan, iedere informatie betreffende een geïdentificeerde of identificeerbaar natuurlijke persoon, zoals gegevens over de fysieke, fysiologische, psychische, economische, culturele of sociale identiteit. De omvang van deze definitie houdt in dat onder persoonsgegevens niet uit objectieve factoren voortvloeiende informatie vallen die kunnen worden gecontroleerd en gerectificeerd, maar ook elk ander element, elke andere informatie of omstandigheid die een informatie-inhoud heeft die iets toevoegt aan de kennis betreffende een geïdentificeerde of identificeerbare persoon. Persoonsgegevens kunnen daarom ook worden aangetroffen in subjectieve beoordelingen en evaluaties, die inderdaad elementen kunnen bevatten die specifiek zijn voor de fysieke, fysiologische, psychische, economische, culturele of sociale identiteit van betrokkenen. Dit geldt ook wanneer een beoordeling of evaluatie in punten of een rangschikking is samengevat of door middel van andere beoordelingscriteria wordt uitgedrukt. Dit kan van bijzonder belang zijn wanneer de verwerking van persoonsgegevens wordt verricht om de geschiktheid van de werknemer voor een bepaalde post te evalueren, wat zou kunnen leiden tot discriminatie of op basis van onvolledige informatie tot een onjuiste beoordeling van de werknemer. Het feit dat ingevolge het intern recht enkele van deze subjectieve gegevens niet altijd toegankelijk zijn en kunnen worden gerectificeerd, of slechts door invoeging van een nota of opmerking van betrokkenen, belet niet dat het desgevallend, met het oog op de doorzichtigheid van de verwerking en de uitoefening van het recht van toegang, verbetering, schrapping en verzet, persoonsgegevens zijn, zoals bedoeld in de Richtlijn 95/46/EG. – Groep 29, Advies 3/99 betreffende Overheidsinformatie en de bescherming van persoonsgegevens. Bijdrage aan de raadpleging naar aanleiding van het groenboek van de Europese Commissie getiteld "Overheidsinformatie: een essentiële hulpbron voor Europa", COM (1998) 585 (3 mei 1999 - WP 20). – Groep 29, Advies 7/2003 inzake het hergebruik van overheidsinformatie en de bescherming van persoonsgegevens (12 december 2003 - WP 83): uit deze twee adviezen onthouden we voornamelijk dat de regels inzake gegevensbescherming van toepassing zijn op persoonsgegevens die openbaar werden gemaakt, zelfs indien, het gebruik van de term "publicy available" a priori beantwoordt aan het concept dat openbaar gemaakte gegevens door dit feit beschikbaar zouden zijn voor elk gebruik, zelfs indien het finaliteitsbeginsel niet past bij het adjectief "beschikbaar". Dit document wil dat wordt nagedacht over de omvang die de bescherming van persoonsgegevens inneemt en die, zodra die gegevens betrekking hebben op natuurlijke personen, essentieel is wanneer men er zich toe verbindt de toegang tot de gegevens van de openbare sector te vergemakkelijken. Het document brengt kort de problematiek ter sprake van de gegevensbanken met justitiële beslissingen en de
10
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 1)
problematiek van de nieuwe technologieën die bijdragen aan een versterking van de gegevensbescherming (technische toegangsvoorwaarden moeten bijdragen aan de eerbiediging van het finaliteitsbeginsel en het gebruik bevorderen van technische hulpmiddelen die beletten dat de hand kan worden gelegd op online beschikbare gegevens). En tenslotte komt het commercieel gebruik van openbare gegevens aan bod. – Groep 29, Werkdocument over biometrie (1 augustus 2003 - WP 80): het document beschrijft eerst enkele biometrische toepassingen om daarna de toepassing van de Richtlijn 95/46/EG op die technologieën te analyseren. De Groep wijst erop dat gelet op de definitie die de Richtlijn geeft aan persoonsgegevens, de biometrische identificatiemaatregelen of hun numerieke versie in modelvorm in de meeste gevallen persoonsgegevens zijn. Aangaande het finaliteits- en proportionaliteitsbeginsel is het aangewezen om eerst het doeleinde duidelijk te definiëren waarvoor er biometrische informatie wordt verzameld en verwerkt. De werkgroep is van mening dat wanneer voor de toegangscontrole gebruik wordt gemaakt van biometrische systemen die betrekking hebben op fysiologische kenmerken die geen sporen nalaten (bijvoorbeeld de handomtrek, maar geen digitale vingerafdrukken) of biometrische systemen die betrekking hebben op fysiologische kenmerken die wel sporen nalaten maar waarvan de gegevens niet worden geregistreerd in een geheugen dat wordt bijgehouden door een andere persoon dan de betrokken persoon, minder risico met zich mee brengt voor de bescherming van de fundamentele rechten en vrijheden van de persoon. Ook de problematiek rond het risico op hergebruik wordt erin besproken alsook het feit dat de biometrische gegevens behoren tot de categorie gevoelige gegevens. Voorts gaat het over de unieke identificatie, de gedragscodes en het gebruik van technologieën die de bescherming van de privacy versterken. – Groep 29, Werkdocument over de problematiek van bescherming van gegevens verbonden aan RFID-technologie (radio-identificatie) (19 januari 2005 - WP 105) (geen officiële Nederlandse vertaling): naast andere elementen bespreekt het document de toepasbaarheid van de Richtlijn op het verzamelen van gegevens via RFID-technologie. Het toepassingsgebied van de Richtlijn "Gegevensbescherming" dekt de verwerking van alle persoonsgegevens. Die Richtlijn definieert heel breed het begrip "persoonsgegevens" dat "alle informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon" bevat. De vraag kan worden gesteld of dit betekent dat de Richtlijn "Gegevensbescherming" wel noodzakelijk moet worden toegepast wanneer gegevens via RFID-technologie worden verzameld. Algemeen gezien hangt het antwoord af van de toepassing van de concrete, specifieke radio-identificatietechnologie, en meer in het bijzonder van het feit of de toepassing van de specifieke RFID een verwerking omvat van persoonsgegevens, zoals gedefinieerd in de algemene Richtlijn Gegevensbescherming. – Groep 29, Advies 4/2007 over het begrip persoonsgegeven (20 juni 2007 - WP 136). In dit advies geeft de Groep 29 richtsnoeren over de manier waarop het begrip persoonsgegevens moet worden geïnterpreteerd in de Richtlijn 95/46/EG en de verwante communautaire wetgeving alsook de toepassing ervan in diverse situaties. De Groep heeft in dit document richtsnoeren geformuleerd over de manier waarop het begrip "persoonsgegeven" in de Richtlijn 95/46/EG en de daarmee samenhangende communautaire wetgeving, in verschillende situaties moet worden opgevat en toegepast. Als algemene notie heeft de Groep geconstateerd dat de Europese wetgever de bedoeling had een brede inhoud te geven aan het begrip persoonsgegeven maar niet zonder er grenzen aan te stellen. Men mag niet vergeten dat het doel van de in de Richtlijn vervatte regels is om op het gebied van de verwerking van persoonsgegevens de fundamentele rechten en vrijheden van personen te beschermen, met name het recht op de persoonlijke levenssfeer. Die regels waren daarom bedoeld voor situaties waarin de rechten van personen in gevaar zouden kunnen komen en derhalve moesten worden beschermd. De reikwijdte van de regels voor gegevensbescherming mocht niet te ver worden opgerekt, maar ook moest worden voorkomen dat het begrip persoonsgegevens onterecht zou worden ingeperkt. In de Richtlijn wordt daarom de werkingssfeer vastgelegd, worden bepaalde activiteiten daarvan uitgesloten en wordt bij de toepassing van de regels op activiteiten die binnen het toepassingsgebied liggen enige flexibiliteit toegestaan. Voor de totstandkoming van een passend evenwicht bij die toepassing wordt een belangrijke rol gespeeld door de gegevensbeschermingsautoriteiten (zie hoofdstuk II). De analyse van de Groep gaat uit van de vier voornaamste "bouwstenen" die in de definitie van "persoonsgegeven" kunnen worden onderscheiden: "iedere informatie" "betreffende" "een geïdentificeerde of identificeerbare" "natuurlijke persoon". Deze elementen zijn onderling nauw vervlochten en van elkaar afhankelijk, en zijn in combinatie bepalend voor de vraag of een gegeven als "persoonsgegeven" moet worden beschouwd. De analyse wordt geïllustreerd met voorbeelden uit de praktijk van de Europese nationale gegevensbeschermingsautoriteiten. - Het eerste element - "iedere informatie" - geeft ervan blijk dat een ruime definitie van het begrip is nagestreefd, waarbij de aard of de inhoud van de informatie en de technische vorm ervan geen rol spelen. Dit betekent dat zowel objectieve als subjectieve informatie over een persoon, in welke hoedanigheid ook, als persoonsgegeven kan worden beschouwd, ongeacht het technische medium waarin die informatie is vervat. In het advies wordt ook aandacht besteed aan biometrische gegevens en aan het juridische onderscheid met monsters van menselijk weefsel waarvan die gegevens kunnen worden afgeleid (zie hoofdstuk III, punt 1). - Het tweede element - "betreffende" - is tot dusver vaak over het hoofd gezien. Het speelt echter een cruciale rol voor het bepalen van de inhoudelijke reikwijdte van het begrip, met name met betrekking tot voorwerpen en nieuwe technologieën. Het advies onderscheidt drie alternatieve aspecten - "inhoud", "doel" en "resultaat" - aan de hand waarvan wordt bepaald of informatie een persoon "betreft". Dit dekt tevens informatie die een duidelijk gevolg kan hebben voor de wijze waarop iemand wordt behandeld of beoordeeld (zie hoofdstuk III, punt 2).
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
11
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 1)
- Bij het derde element - "geïdentificeerd of identificeerbaar" - gaat het met name om de voorwaarden waarop een persoon als "identificeerbaar" kan worden beschouwd, en wordt vooral aandacht besteed aan de "middelen waarvan mag worden aangenomen dat zij redelijkerwijs door degene die voor de verwerking verantwoordelijk is dan wel door enig ander persoon in te zetten zijn". De specifieke context en omstandigheden van een geval spelen bij die analyse een belangrijke rol. Het advies gaat ook in op gepseudonimiseerde gegevens en op het gebruik van met een code aangeduide gegevens bij statistisch of farmaceutisch onderzoek (zie hoofdstuk III, punt 3). - Bij het vierde element - "natuurlijke persoon" - wordt ingegaan op de vereiste dat "persoonsgegevens" levende personen dienen te betreffen. In het advies worden raakvlakken besproken met gegevens over overledenen, ongeboren kinderen en rechtspersonen (zie hoofdstuk III, punt 4). – Groep 29, Advies 8/2007 over het niveau van de persoonsgegevensbescherming op Jersey (9 oktober 2007, WP 141): persoonsgegevens zijn "data that relate to a living individual who can be identified: - from those data; or - from those data and other information that is in the possession of, or is likely to come into the possession of, the relevant data controller; and includes any expression of opinion about an individual who can be so identified and any indication of the intentions of the data controller or any other person in respect of an individual who can be so identified." De werkgroep stelt vast dat deze definitie niet overeenkomt met die van de richtlijn. Meer bepaald vereist de wet van Jersey dat een persoon wordt geïdentificeerd aan de hand van informatie die in het bezit is of waarschijnlijk in het bezit zal komen van de desbetreffende persoon die voor de verwerking verantwoordelijk is. Dit is niet conform het bepaalde in artikel 2 van de richtlijn, inhoudende: "als identificeerbaar wordt beschouwd een persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificatienummer of van een of meer specifieke elementen die kenmerkend zijn voor zijn of haar fysieke, fysiologische, psychische, economische, culturele of sociale identiteit". Voorts stelt de Richtlijn in overweging 26 dat "om te bepalen of een persoon identificeerbaar is, moet worden gekeken naar alle middelen waarvan mag worden aangenomen dat zij redelijkerwijs door degene die voor de verwerking verantwoordelijk is dan wel door enig ander persoon in te zetten zijn om genoemde persoon te identificeren". Dit betekent dat ingeval informatie betrekking heeft op een persoon die niet enkel door de voor de verwerking verantwoordelijke maar ook door andere personen kan worden geïdentificeerd, deze informatie uit hoofde van de richtlijn beschermd zou zijn, terwijl de wet van Jersey de informatie enkel bescherming biedt indien de nadere gegevens over de persoon waarschijnlijk in het bezit zullen komen van degene die voor de verwerking verantwoordelijk is. Ten aanzien van de term "relate" in de definitie verdient de uitspraak van het Britse Court of Appeal in de zaak Durant bijzondere aandacht. In die uitspraak heeft het Court of Appeal een tweetal punten aangedragen die van nut kunnen zijn ingeval onduidelijk is of gegevens gerelateerd zijn aan ("relate to") een persoon en dus persoonsgegevens ("personal data") zijn in de zin van de Britse gegevensbeschermingswet. Het gaat erom of de gegevens in substantiële mate als persoonsgegevens kunnen worden aangemerkt ("biographical in a significant sense"), en of de focus van de informatie ("the focus of the information") op de betrokkene ligt. Deze punten zelf maken deel uit van een beschouwing in meer algemene zin bij twijfel omtrent de vraag of de informatie gegevens behelst die gevolgen hebben voor de privacy van de betrokkene ("affecting the data subject's privacy"). Gezien de nauwe banden van het rechtsstelsel van Jersey en zijn Engelse tegenhanger met het Court of Appeal van Jersey, waarin Engelse advocaten werkzaam zijn, is het mogelijk dat de jurisprudentie ter zake wordt gevolgd. Voor zover de interpretatie in kwestie het begrip persoonsgegevens in de zin van de richtlijn beperkt, kan een en ander de feitelijke bescherming die de wetgeving op Jersey voor persoonsgegevens biedt, in de weg staan. – Groep 29, Advies 1/2008 over gegevensbescherming en zoekmachines (4 april 2008, WP 148): in haar advies over het begrip "persoonsgegeven" (WP 136) heeft de werkgroep de definitie van persoonsgegeven toegelicht. Iemands zoekgeschiedenis vormt een persoonsgegeven indien de betrokkene identificeerbaar is. Hoewel IP-adressen in de meeste gevallen niet direct door zoekmachines kunnen worden geïdentificeerd, kan identificatie door een derde worden verwezenlijkt. Internetaanbieders beschikken over IP-adresgegevens. Rechtshandhavingsautoriteiten en nationale veiligheidsdiensten kunnen toegang tot deze gegevens verkrijgen en in bepaalde Lid-Staten hebben ook particuliere partijen hier via civiele procedures toegang toe verkregen. Zo zullen in de meeste gevallen - ook bij dynamische IP-adrestoewijzing - de nodige gegevens beschikbaar zijn om de gebruiker(s) van het IP-adres te identificeren. De werkgroep stelde in WP 136: "Tenzij de internetdienstverlener dus met absolute zekerheid gegevens van nietidentificeerbare gebruikers kan onderscheiden, zal hij alle IP-informatie voor alle zekerheid als persoonsgegevens moeten behandelen. Deze overwegingen zullen ook van toepassing worden op exploitanten van zoekmachines". Cookies - Wanneer een cookie een unieke gebruikersidentificatiecode bevat, vormt deze code duidelijk een persoonsgegeven. Door het gebruik van permanente cookies of soortgelijke middelen met een unieke gebruikersidentificatiecode kunnen gebruikers van een bepaalde computer zelfs worden getraceerd wanneer zij zich bedienen van dynamische IP-adressen. Met de door deze middelen gegenereerde gedragsgegevens kunnen de persoonlijke kenmerken van de betrokkene nog specifieker in beeld worden gebracht. Dit sluit aan bij de fundamentele logica van het dominante bedrijfsmodel. – Groep 29, Advies 2/2008 over de herziening van Richtlijn 2002/58/EG betreffende privacy en elektronische communicatie (e-Privacyrichtlijn), (15 mei 2008, WP 150): de Groep is verheugd over het feit dat definitie en
12
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 1)
reikwijdte van de term "persoonsgegevens" in het voorstel geheel verenigbaar zijn met de dienovereenkomstige definitie in de Richtlijn gegevensbescherming en onderstreept dat iedere beperking van de reikwijdte van de definitie "persoonsgegevens" in de ePrivacy-richtlijn zou leiden tot een lacune in de bescherming van personen op een gebied dat de kern van elektronische communicatie vormt - en dientengevolge ook van de informatiemaatschappij en diensten op het gebied van e-bestuur (eGovernment) die gebruik maken van elektronische diensten - en derhalve uit het oogpunt van privacy volledig onaanvaardbaar zou zijn. IP-adressen - De Groep van artikel 29 herinnert eraan dat, in de meeste gevallen - ook bij dynamische IPadrestoewijzing - de nodige gegevens beschikbaar zullen zijn om de gebruiker(s) van het IP-adres te identificeren. De Groep stelde in WP 1367 "tenzij de internetdienstverlener dus met absolute zekerheid gegevens van niet-identificeerbare gebruikers kan onderscheiden, hij alle IP-informatie voor alle zekerheid als persoonsgegevens zal moeten behandelen". Deze overwegingen zullen ook van toepassing worden op exploitanten van zoekmachines (WP 148). – Groep 29, Opinion 1/2009 on the proposals amending Directive 2002/58/EC on privacy and electronic communications (e-Privacy Directive), (10 februari 2009, WP 159). IP addresses - In this respect, it re-emphasises its earlier Opinion17 that unless the service provider "is in a position to distinguish with absolute certainty that the data correspond to users that cannot be identified, it will have to treat all IP information as personal data, to be on the safe side". IP addresses relate to identifiable persons in most cases. Identifiability means identifiable by the access provider or by other means, with the help of additional identifiers such as cookies or in interactions with internet services with which the data subject is identified explicitly or implicitly. Recital 26 of the Data Protection Directive clearly specifies that to determine if a person is identifiable, "account should be taken of all the means likely reasonably to be used either by the controller or by any other person to identify the said person". The definition of personal data in the Data Protection Directive refers to data 'relating' to a person, and IP addresses are commonly used to distinguish between users to whom should be applied a different treatment for example in the context of targeted advertisement serving or profile creation. – Groep 29, Advies 6/2009 over het beschermingsniveau van persoonsgegevens in Israël (1 december 2009, WP 165): de Werkgroep bevestigt in haar analyse dat de definitie van het begrip "informatie", vermeld onder artikel 7 van de Israëlische wet betreffende de bescherming van de persoonlijke levenssfeer niet conform de richtlijn is. Immers, dit artikel bepaalt dat "onder informatie moet worden begrepen de gegevens over de persoonlijkheid, de persoonlijke situatie, het privéleven, de gezondheidstoestand, de economische situatie, de professionele kwalificaties, de opvattingen en de geloofsovertuigingen". Deze definitie dekt bepaalde categorieën van gegevens niet en maakt het niet mogelijk te weten of krachtens de wet op de bescherming van de persoonlijke levenssfeer de informatie over een niet-geïdentificeerde maar identificeerbare persoon beschermd zou zijn. – Groep 29, Advies 2/2010 over online reclame op basis van surfgedrag (‘behavioural advertising’) (WP 171 – 22 juni 2010): krachtens dit advies merkt de Groep gegevensbescherming artikel 29 op dat de methoden van reclame op basis van op surfgedrag die in dit Advies worden beschreven, ook de verwerking van persoonsgegevens behelzen, zoals vastgesteld door artikel 2 van Richtlijn 95/46/EG en volgens de interpretatie van de Groep gegevensbescherming artikel 29. Dit heeft een aantal redenen: i) Op surfgedrag gebaseerde reclame brengt normaal gesproken het verzamelen van IP-adressen en de verwerking van unieke identificatoren (aan de hand van de cookie) met zich mee. Het gebruik van dergelijke voorzieningen met een unieke identificator maakt het mogelijk gebruikers van een specifieke computer te volgen, zelfs wanneer er dynamische Ipadressen worden gebruikt. Met andere woorden, dergelijke voorzieningen maken het mogelijk dat betrokkenen worden ‘geschift’, ook als hun echte namen niet bekend zijn. ii) Verder heeft de voor reclame op basis van surfgedrag verzamelde informatie betrekking op (ofwel: zij gaat over) de karakteristieken of het gedrag van een particulier en wordt zij gebruikt om die bepaalde particulier te beïnvloeden. Deze zienswijze wordt verder bevestigd indien rekening wordt gehouden met de mogelijkheid dat profielen elk moment worden verbonden met onmiddellijk identificeerbare, door de betrokkene geleverde informatie, zoals informatie die bij registratie wordt gevraagd. Andere scenario’s die kunnen leiden tot identificeerbaarheid, zijn fusies, gegevensverlies en de toenemende beschikbaarheid op het internet van persoonsgegevens in combinatie met IP-adressen.
3. RECHTSPRAAK VAN HET EUROPESE HOF VAN JUSTITIE – Europees Hof van Justitie, Arrest van 6 november 2003, Bodil Linqvist (prejudiciële vragen), - Zaak C-101/01. Feiten Eind 1998 heeft Lindqvist thuis op haar eigen computer internetpagina's gecreëerd, zodat gemeenteleden die hun belijdenis wilden doen, gemakkelijk de door hen benodigde informatie konden opvragen. Op haar verzoek heeft de webmaster van de website van de Kerk van Zweden op die website een link naar die pagina's geplaatst. De bedoelde pagina's bevatten informatie over Lindqvist en 18 van haar collega's in de kerkgemeente, waaronder hun volledige naam of soms alleen hun voornaam. Bovendien beschreef Lindqvist in licht humoristische bewoordingen de werkzaamheden van haar collega's en hun liefhebberijen. In een aantal gevallen werden hun gezinssituatie, hun telefoonnummer en andere gegevens vermeld. Verder heeft zij verteld dat een van haar collega's haar voet had bezeerd en met gedeeltelijk ziekteverlof was.
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
13
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 1)
Met zijn eerste vraag wenst de verwijzende rechter te vernemen of het vermelden van verschillende personen op een internetpagina met hun naam of anderszins, bijvoorbeeld met hun telefoonnummer of informatie over hun werksituatie en hun hobby's, een geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens in de zin van artikel 3, lid 1, van Richtlijn 95/46 vormt. Antwoord van het Hof Het in artikel 3, lid 1, van Richtlijn 95/46 gebezigde begrip persoonsgegevens omvat volgens de definitie in artikel 2, sub a, daarvan iedere informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. Hieronder valt vanzelfsprekend iemands naam tezamen met zijn telefoonnummer of gegevens over zijn werksituatie en zijn liefhebberijen. – Europees Hof van Justitie, Arrest van 20 mei 2003, Rechnungshof c. Osterreichischer Rundfunk en anderen, Gevoegde zaken C-465/00, C-138/01 en C-139/01. De in gedingen gerezen vragen tussen enerzijds het Rechnungshof (de Rekenkamer) en een groot aantal organen waarover deze instantie toezicht uitoefent, en anderzijds tussen C. Neukomm en J. Lauermann en hun werkgever, de Österreichische Rundfunk (hierna: ÖRF), een publiekrechtelijke radio-omroep, betreffen de verplichting van rechtspersonen die onder toezicht van het Rechnungshof staan, deze laatste gegevens te verstrekken over salarissen en pensioenen, ingeval deze een bepaald plafond overschrijden, die zij aan hun werknemers en gepensioneerden uitbetalen, met vermelding van de naam van de begunstigden, ten behoeve van de opstelling van een jaarverslag waarvan inzage wordt verleend aan de Nationalrat, de Bundesrat alsmede de Landtagen, en dat ter beschikking wordt gesteld van het grote publiek (hierna: verslag). Met hun eerste vraag wensen de verwijzende rechterlijke instanties in wezen te vernemen of Richtlijn 95/46 aldus moet worden uitgelegd, dat zij zich verzet tegen een nationale regelgeving als die aan de orde in de hoofdgedingen, welke een controleorgaan van de staat verplicht, gegevens over het inkomen van werknemers van aan zijn toezicht onderworpen organen te verzamelen en door te geven met het oog op openbaarmaking, wanneer dat inkomen een bepaald plafond overschrijdt. Om te beginnen zij vastgesteld dat de in de hoofdgedingen aan de orde zijnde gegevens, die zowel betrekking hebben op de door bepaalde rechtspersonen uitgekeerde salarissen als op de ontvangers ervan, persoonsgegevens vormen in de zin van artikel 2, sub a, van Richtlijn 95/46, aangezien het gaat om informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. De inschrijving en het gebruik ervan door het betrokken orgaan, alsmede de doorgifte ervan aan het Rechnungshof, dat ze opneemt in een verslag dat bestemd is voor mededeling aan verschillende politieke instanties en voor ruime verspreiding, vormen een verwerking van persoonsgegevens in de zin van artikel 2, sub b, van die Richtlijn. – HvJ EG, arrest van 16 december 2008, Tietosuojavaltuutettu tegen Satakunnan Markkinapörssi Oy en Satamedia Oy, In zaak C-73/07. Hoofdgeding en prejudiciële vragen 25. Markkinapörssi vergaart al jaren bij de Finse belastingautoriteiten openbare gegevens, met als doel elk jaar uittreksels uit die gegevens te publiceren in de regionale edities van de krant Veropörssi. 26. De informatie in die publicaties omvat de voor- en achternaam van ongeveer 1,2 miljoen natuurlijke personen met een inkomen boven een bepaald bedrag, alsmede op 100 EUR nauwkeurig de hoogte van hun inkomen uit kapitaal en arbeid en gegevens over hun vermogensbelasting. Deze informatie wordt meegedeeld in de vorm van een alfabetische lijst per gemeente en per inkomenscategorie. 27. Volgens de verwijzingsbeslissing verklaart Markkinapörssi dat de gepubliceerde persoonsgegevens desverzocht kosteloos uit de krant Veropörssi kunnen worden verwijderd. 28. De krant bevat weliswaar ook artikelen, samenvattingen en advertenties, maar het belangrijkste doel ervan is het publiceren van persoonlijke belastinggegevens. 29. Markkinapörssi heeft de in Veropörssi gepubliceerde persoonsgegevens op cd-rom verstrekt aan Satamedia, dat tot hetzelfde concern behoort, voor verspreiding per sms. Daartoe hebben de twee vennootschappen een overeenkomst gesloten met een mobiel telefoonbedrijf, dat voor rekening van Satamedia een sms-dienst heeft opgezet waarmee de gebruikers van een mobiele telefoon tegen betaling van ongeveer 2 EUR op hun toestel een sms kunnen ontvangen met de in Veropörssi gepubliceerde informatie. Desverzocht worden de persoonsgegevens uit deze dienst verwijderd. 30. De tietosuojavaltuutettu en de tietosuojalautakunta, de Finse instanties belast met de gegevensbescherming, zien toe op de verwerking van persoonsgegevens en zijn beslissingsbevoegd onder de in de wet inzake persoonsgegevens gestelde voorwaarden. 31. Na klachten van particulieren over schending van hun privéleven verzocht de tietosuojavaltuutettu die belast was met het onderzoek naar de activiteiten van Markkinapörssi en Satamedia op 10 maart 2004 aan de tietosuojalautakunta, deze bedrijven te verbieden voort te gaan met deze verwerking van persoonsgegevens. (...).
14
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 1)
De eerste vraag 35. Om te beginnen moet worden vastgesteld dat de in deze vraag bedoelde gegevens, die bestaan uit de vooren achternaam van bepaalde natuurlijke personen met een inkomen boven een bepaald bedrag, alsmede onder meer op 100 EUR nauwkeurig de hoogte van hun inkomen uit arbeid en kapitaal, persoonsgegevens zijn in de zin van artikel 2, sub a, van de richtlijn, aangezien het gaat om "informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon" (zie ook arrest van 20 mei 2003, Österreichischer Rundfunk e.a., C-465/00, C-138/01 en C-139/01, Jurispr. blz. I-4989, punt 64).
4. RECHTSPRAAK VAN HET EUROPEES HOF VOOR DE RECHTEN VAN DE MENS – Copland t. Verenigd Koninkrijk van 3 april 2007, verzoek nr. 62617/00: artikel 8 van het Verdrag - e-mails. The applicant complained about the monitoring of her Telephone calls, e-mail correspondence and internet usage under Articles 8 and 13. Aangaande het toepassingsgebied van het begrip "persoonlijke levenssfeer", stelt het arrest dat "according to the Court's case-law, telephone calls from business premises are prima facie covered by the notions of "private life" and "correspondence" for the purposes of Article 8§1. It follows logically that e-mails sent from work should be similarly protected under Article 8, as should information derived from the monitoring of personal internet usage" (§41). Het Hof bevestigt haar jurisprudentie die stelt dat "storing of personal data relating to private life of an individual also falls within the application of article 8§1" (§43). Tot slot concludeert het Hof dat de controlemaatregelen op de werkplaats in onderhavig geval door gebrek aan een wettelijke basis een schending inhoudt van artikel 8 van het Europees verdrag van de rechten van de mens en omschrijft dit als volgt: "The Court would not exclude that the monitoring of an employee's use of a telephone, e-mail or internet at the pace of work may be considered "necessary in a democratic society" in certain situations in pursuit of a legitimate aim".
Identificatie Naast de bronnen die hierboven zijn vermeld bij de rubriek "persoonsgegevens", handelen hiernavolgende bronnen meer in het bijzonder over de identificatie- coderings- en anonimiseringprocedure.
1. KONINKLIJK BESLUIT VAN 13 FEBRUARI 2001 – Artikel 1 alinea's 3, 4 en 5 van het Koninklijk besluit van 13 februari 2001 ter uitvoering van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (2001): het koninklijk besluit maakt een onderscheid tussen: 3° gecodeerde persoonsgegevens: persoonsgegevens die slechts door middel van een code in verband kunnen worden gebracht met een geïdentificeerd of identificeerbaar persoon; 4° niet-gecodeerde persoonsgegevens: andere dan gecodeerde persoonsgegevens; 5° anonieme gegevens: gegevens die niet met een geïdentificeerd of identificeerbaar persoon in verband kunnen worden gebracht en derhalve geen persoonsgegevens zijn.
2. INTERNATIONALE WETGEVING – Recommendation No.R(89)2 of the Committee of Ministers to Member States on the protection of personal data used for employment purposes (1989) - (punt 1.3.): an individual shall not be regarded as "identifiable" if identification requires an unreasonable amount of time, cost and manpower. – Recommendation No.R(97)5 of the Committee of Ministers to Member States on the protection of medical data (1997) - (artikel 1): the expression "personal data" covers any information relating to an identified or identifiable individual. An individual shall not be regarded as "identifiable" if identification requires an unreasonable amount of time and manpower. In cases where the individual is not identifiable, the data are referred to as anonymous. – Explanatory Memorandum of the Recommendation No.R(97)5 of the Committee of Ministers to Member States on the protection of medical data (1997) - (punt 36): the definition of "personal data", which follows the definition in the convention as interpreted in the explanatory report to that convention, has already been used in many of the sectoral recommendations adopted by the Committee of Ministers in the field of data protection. However, with relation to some preceding recommendations, the drafters of the recommendation considered that in view of the developments in computer technology, the aspect of "costs" was no longer a reliable criterion for determining whether an individual was identifiable or not. – Recommendation No.R(2002)9 of the Committee of Ministers to Member States on the protection of personal data collected and processed for insurance purposes (2002) - (punt 1.a)): "personal data" covers any information relating to an identified or identifiable individual ("data subject"). An individual should not be regarded as "identifiable" of identification requires an unreasonable amount of time and manpower .
3. ADVIEZEN VAN DE GROEP 29 – Groep 29, Aanbeveling 3/97: anonimiteit op internet (3 december 1997 - WP 6): het document start met algemene beschouwingen over anonieme gegevens als middel om de eerbiediging van de privacy de waarbor-
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
15
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 1)
gen. De noodzaak van anonimiteit gaat verder dan specifieke gevallen - zoals forums waar slachtoffers van seksueel misbruik van gedachten kunnen wisselen, alcoholverslaafde personen of personen voor wie de anonimiteit bijdraagt aan een grotere vrijheid van meningsuiting (totalitaire regimes). Door het simpele feit dat ze bestaan zijn de transactionele identificeerbare gegevens een instrument om het profiel van de gebruikers te bepalen en om hun gedrag te observeren. De belangrijkste conclusies van dit document zijn: - de mogelijkheid om anoniem te blijven is voor de particulier essentieel zodat hij online zijn privacy kan beschermen die hij momenteel offline geniet. - anonimiteit is niet in alle omstandigheden op zijn plaats. Om te bepalen wanneer de "anonimiteitsoptie" wel of niet is aangewezen, moeten de fundamentele rechten op privacy en op vrije meningsuiting zorgvuldig worden afgewogen met andere belangrijke doelstellingen van algemeen belang zoals de misdaadpreventie. Als de overheid wettelijke beperkingen oplegt ten aanzien van het recht op anonimiteit of de technische middelen om dit te vrijwaren (bv. de beschikbaarheid van encryptieproducten), moet zij er steeds over waken dat de maatregelen evenredig zijn en niet restrictiever dan nodig voor de bescherming van een specifiek algemeen belang in een democratische maatschappij. - indien het mogelijk is, moet het evenwicht dat voor andere communicatietechnieken werd bereikt ook voor de aangeboden diensten op het internet worden gehandhaafd. - het versturen van elektronische berichten, passief surfen op websites en de aankoop van de meeste goederen en diensten via het internet zijn activiteiten die anoniem moeten kunnen gebeuren. - er moet een zekere controle kunnen worden uitgeoefend op de inhoud die individuele gebruikers op online publieke forums (nieuwsgroepen enz.) plaatsen, maar een identificatieplicht is veelal onevenredig en ondoenbaar. Andere oplossingen moeten hier de voorkeur krijgen. - anonieme toegangsmogelijkheden tot Internet (bv. openbare Internetkiosken, vooraf betaalde toegangskaarten) en anonieme betaalmiddelen zijn twee pijlers waarop echte online-anonimiteit rust. De implementatie van deze conclusies vergt maatregelen op verschillende niveaus: op het vlak van regelgeving, op economisch vlak, op technologisch vlak en op het vlak van bewustmaking van de internetgebruiker, de toegangs- en dienstenleveranciers en de IT-industrie. – Zie ook Groep 29, Advies 4/2007 over het begrip persoonsgegeven (20 juni 2007 - WP 136). De samenvatting van dit advies vindt u hierboven. "Anonieme gegevens" zoals bedoeld in de Richtlijn kunnen worden gedefinieerd als informatie betreffende een natuurlijke persoon die niet kan worden geïdentificeerd, noch door de verantwoordelijke voor de verwerking, noch door een andere persoon, rekening houdende met alle middelen waarvan mag worden aangenomen dat zij redelijkerwijs door degene die voor de verwerking verantwoordelijk is dan wel door enig ander persoon in te zetten zijn voor de identificatie van de betrokkene. "Geanonimiseerde gegevens" zijn dan anonieme gegevens betreffende een persoon die eerder identificeerbaar was, maar nu niet meer kan worden geïdentificeerd. In overweging 26 wordt hierover gesteld "dat de beschermingsbeginselen niet van toepassing zijn op gegevens die op zodanige wijze anoniem zijn gemaakt dat de persoon waarop ze betrekking hebben niet meer identificeerbaar is". De beoordeling of de gegevens identificatie van de betrokkene mogelijk maken en of de informatie als anoniem kan worden beschouwd, is ook in dit geval afhankelijk van de omstandigheden. Per geval moet dit worden bekeken, met name of de voor identificatie redelijkerwijs in te zetten middelen aanwezig zijn zoals omschreven in overweging 26. Dit is met name relevant voor statistische informatie, wanneer de informatie weliswaar wordt gepresenteerd als geaggregeerde gegevens, maar de oorspronkelijke steekproef niet voldoende groot is en andere gegevens identificatie van betrokkenen mogelijk maken. – Groep 29, Advies 1/2008 over gegevensbescherming en zoekmachines (4 april 2008, WP 148): als er geen gerechtvaardigde grond is voor verwerking of voor gebruik dat verder gaat dan de welomschreven gerechtvaardigde doeleinden, moeten de exploitanten van zoekmachines de persoonsgegevens wissen. In plaats van ze te wissen, mogen zoekmachines gegevens ook anonimiseren. Alleen in het geval van volledig onomkeerbare anonimisering is de richtlijn gegevensbescherming niet van toepassing. Zelfs wanneer een IP-adres en cookie worden vervangen door een unieke identificatiecode, is het mogelijk om personen op grond van de correlatie tussen opgeslagen zoekopdrachten te identificeren. Wordt ervoor gekozen de gegevens te anonimiseren in plaats van te wissen, dan dienen de gebruikte methoden derhalve zorgvuldig te worden overwogen en strikt te worden toegepast. Dit kan meebrengen dat delen van de zoekgeschiedenis worden verwijderd om te voorkomen dat de gebruiker die de betrokken zoekopdrachten heeft gegeven, indirect kan worden geïdentificeerd. Anonimisering van gegevens dient het absoluut onmogelijk te maken om personen te identificeren, zelfs niet door geanonimiseerde informatie van de exploitant te combineren met informatie van een andere partij (zoals een internetdienstverlener). Momenteel verkorten sommige exploitanten van zoekmachines IP-adressen door het laatste octet weg te laten, waardoor dus wel informatie over het ISP of subnet van de gebruiker bewaard blijft, maar de betrokkene niet direct identificeerbaar is. De activiteit kan dan van de IP-adressen afkomstig zijn. Wellicht is dit niet altijd voldoende om anonimiteit te waarborgen.
16
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 1)
4. VERSLAGEN EN STUDIES VAN DE RAAD VAN EUROPA – Raad van Europa, Application of Convention 108 to the profiling mechanism: Some ideas for the future work of the consultative committee (T-PD), By Jean-Marc Dinant, Christophe Lazaro, Yves Poullet, Nathalie Lefever, Antoinette Rouvroy (2008).
Het ongeboren kind 1. INTERNATIONALE WETGEVING – Recommendation No.R(97)5 of the Committee of Ministers to Member States on the protection of medical data (1997) - (punten 4.5 en 4.6): medical data concerning unborn children should be considered as personal data and enjoy a protection comparable to the protection of the medical data of a minor. Unless otherwise provided for by domestic law, the holder of parental responsibilities may act as the person legally entitled to act for the unborn child, the latter being a data subject. Zie ook in dezelfde zin punt 4.5. van Recommendation No.R(2002)9 of the Committee of Ministers to Member States on the protection of personal data collected and processed for insurance purposes (2002). – Explanatory Memorandum of the Recommendation No.R(97)5 of the Committee of Ministers to Member States on the protection of medical data (1997) - (punten 86 tot 88): 86. The protection of the medical data of the unborn child, with a view to the protection of its privacy once it is born, raises specific questions, of in particular, an ethical nature, which are beyond the scope of this recommendation. 87. When drafting principles 4.5 and 4.6, the principal concern of the drafters of the recommendation was not to establish parental authority, but rather to ensure that a child's medical data were not "public" at the time of its birth. In the absence of a generally accepted legal rule on when an unborn child can be considered to be a person, the drafters of the recommendation were of the opinion that measures should be taken to ensure the protection of the medical data of a child which had been collected and processed before its birth, and that therefore the unborn child should be protected in a way similar to the protection of the medical data of a child after its birth. For example, this may be achieved by considering data of the unborn child to be the personal data of the mother. This requirement is confirmed in Principle 4.5. 88. Following the trend in family law in the member states, the drafters of the recommendation concluded in Principle 4.6 that unless domestic law provides otherwise, the holders of parental responsibilities of the future child should be entitled to act on behalf of the unborn child as a data subject. It was understood that in the exercise of the rights of access to and rectification of the medical data of the unborn child, the interests of the mother must be duly taken into account. Zie ook de punten 49 en 50 van Recommendation No.R(2002)9 of the Committee of Ministers to Member States on the protection of personal data collected and processed for insurance purposes (2002).
2. ADVIEZEN VAN DE GROEP 29 – Groep 29, Advies 4/2007 over het begrip persoonsgegeven (20 juni 2007 - WP 136). De samenvatting van dit advies vindt u hierboven. In hoeverre de regels voor gegevensbescherming vóór de geboorte al van toepassing zijn, hangt af van het standpunt dat in de nationale rechtsstelsels wordt ingenomen ten aanzien van de bescherming van ongeboren kinderen. Met name in het erfrecht hanteren sommige Lid-Staten het beginsel dat verwekte, maar nog niet geboren kinderen als reeds geboren worden beschouwd waar het gaat om het ontvangen van voordelen (en dus een erfenis of schenking kunnen krijgen), mits zij later ook daadwerkelijk geboren worden. In andere Lid-Staten bieden bepaalde rechtsregels specifieke bescherming, wanneer aan dezelfde voorwaarde is voldaan. Om te bepalen of de nationale wetgeving inzake gegevensbescherming ook informatie betreffende ongeboren kinderen beschermt, moet rekening worden gehouden met de algemene aanpak die het nationale rechtsstelsel hanteert, en met het feit dat het doel van de regels voor gegevensbescherming is personen te beschermen. Een tweede vraag wordt opgeworpen door de overweging dat de algemene aanpak van het rechtsstelsel uitgaat van de veronderstelling dat de situatie van ongeboren kinderen beperkt blijft tot de duur van de zwangerschap. Er wordt geen rekening gehouden met de omstandigheid dat deze situatie in feite langer kan duren, bijvoorbeeld waar het gaat om ingevroren embryo's. Tot slot kan een specifieke juridische respons te vinden zijn in bepalingen over voortplantingstechnieken, waarin het gebruik van medische of genetische informatie over embryo's wordt geregeld.
Minderjarigen 1. ADVIEZEN VAN DE GROEP 29 – Groep 29, Working Document 1/2008 on the protection of children's personal data (General guidelines and the special case of schools) (18 februari 2008, WP 147) en Groep 29, Advies 2/2009 over de bescherming van persoonsgegevens van kinderen (Algemene richtlijnen en het bijzondere geval van scholen), (11 februari 2009, WP 160). The relevant Directives on data protection, i.e. 95/46/EC and 2002/58/EC, do not explicitly mention the privacy rights of minors. These legal instruments apply to all natural persons, but there are no specific provisions relating to issues particular to children. However, this does not mean that children do not have any right to
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
17
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 1)
privacy and that they fall outside the scope of the said Directives. According to the wording of the Directives themselves, they shall apply to any "natural person", and therefore include children. Given the Directive's limited personal and material scope, a number of questions as to the protection of children's privacy within the framework of the Directive remains. This is because most of the provisions do not take direct account of the particularities of children's lives. Problems arise with regard to the degree of individual maturity of a child as well as the requirement for representation in legal acts. The data protection needs of children must take into account two important aspects. These are, firstly, the varying levels of maturity which determine when children can start dealing with their own data and, secondly, the extent to which representatives have the right to represent minors in cases where the disclosure of personal data would prejudice the best interests of the child.
2. RECHTSPRAAK VAN HET EUROPEES HOF VOOR DE RECHTEN VAN DE MENS – K.U. t. Finland, van 2 december 2008, verzoek nr. 2872/02. De eiser maakt zijn beklag over het feit dat over hem een seksueel getint bericht werd gepubliceerd op een datingsite en dat de Finse wetgeving die toen van toepassing was de politie en de rechtbanken niet toeliet om de toegangsleverancier te verplichten de auteur van het bericht te identificeren. Hij beroept zich op de artikelen 8 (recht op eerbiediging van het privé-, en gezinsleven) en 13 (recht op een daadwerkelijk beroep). – S. en Marper t. Verenigd Koninkrijk, van 4 december 2008, verzoek nr. 30562/04 en 30566/04. De eisers klagen over de het feit dat de autoriteiten hun digitale vingerafdrukken, celweefselstalen en DNA-profielen bewaren na een vonnis, respectievelijk vrijspraak en een klassering zonder gevolg met betrekking tot een strafrechtelijk onderzoek dat naar hen werd gevoerd. Zij beroepen zich op de artikelen 8 (recht op eerbiediging van het privé-, en gezinsleven) en artikel 14 (discriminatie op grond van religieuze overtuiging bij de uitoefening van het recht op eerbiediging van het gezinsleven).
Overleden persoon 1. INTERNATIONALE WETGEVING – Explanatory Report of the Convention No.108 - (punt 45): the meaning of the term "personal data concerning health" has been carefully studied by the Committee of Experts on Data Protection in connection with its work on medical data banks. It includes information concerning the past, present and future, physical or mental health of an individual. The information may refer to a person who is sick, healthy or deceased. (...)
2. ADVIEZEN VAN DE GROEP 29 – Groep 29, Advies 4/2007 over het begrip persoonsgegeven (20 juni 2007 - WP 136). De samenvatting van dit advies vindt u hierboven. Informatie over overleden personen wordt dus in beginsel niet beschouwd als persoonsgegevens waarop de regels van de Richtlijn van toepassing zijn, aangezien overledenen civielrechtelijk geen natuurlijke personen meer zijn. Gegevens betreffende overledenen kunnen echter in bepaalde gevallen indirect nog enige bescherming genieten. Ten eerste is het mogelijk dat degene die verantwoordelijk is voor de gegevensverwerking, niet kan nagaan of de betrokkene nog leeft of inmiddels is overleden. Ook wanneer hij daartoe wel in staat is, kan het zijn dat gegevens over overledenen op dezelfde wijze worden verwerkt als gegevens betreffende levende personen. Aangezien de verantwoordelijke voor de verwerking, wat gegevens over levende personen betreft, volgens de Richtlijn onderworpen is aan de verplichting tot bescherming van de gegevens, is het voor hem waarschijnlijk eenvoudiger om gegevens over overledenen eveneens volgens de regels voor gegevensbescherming te verwerken, in plaats van de twee soorten gegevens gescheiden te houden. Ten tweede kan het zijn dat informatie over overledenen daarnaast ook betrekking heeft op andere levende personen. Het gegeven dat de overleden persoon X aan hemofilie leed, wijst er bijvoorbeeld op dat de zoon dezelfde ziekte heeft, aangezien deze wordt doorgegeven door een gen op het X-chromosoom. Wanneer informatie over overledenen dus tegelijkertijd levende personen betreft en daardoor als persoonsgegeven in de zin van de Richtlijn geldt, geniet die informatie over een overleden persoon indirect de bescherming die de bepalingen van de Richtlijn bieden. Ten derde kan informatie over overledenen specifieke bescherming genieten op grond van andere regels dan de gegevensbeschermingswetgeving, die de grenzen afbakenen van wat sommigen "personalitas praeterita" noemen. De vertrouwelijkheidsplicht van medisch personeel eindigt niet met de dood van de patiënt. De nationale wetgeving inzake het portretrecht en ter bescherming tegen eerroof kan ook de nagedachtenis van de doden in bescherming nemen. Ten vierde verzet niets zich ertegen dat een Lid-Staat de draagwijdte van de nationale wettelijke regeling houdende uitvoering van de bepalingen van Richtlijn 95/46/EG uitbreidt tot niet binnen de werkingssfeer daarvan vallende gebieden, voor zover geen enkele andere bepaling van gemeenschapsrecht daaraan in de weg staat, zoals het Hof van Justitie heeft opgemerkt. Het is mogelijk dat een nationale wetgever de bepalingen van
18
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 1)
de nationale wetgeving inzake gegevensbescherming ook van toepassing verklaart op de verwerking van gegevens betreffende overledenen, indien een rechtmatig belang zulks rechtvaardigt.
3. RECHTSPRAAK VAN HET EUROPEES HOF VOOR DE RECHTEN VAN DE MENS – Jaggi t. Zwitserland van 13 juli 2006: de verzoeker beklaagt er zich over dat hij geen DNA-analyse heeft kunnen laten uitvoeren op een overleden persoon om te bepalen of het hier ging om zijn biologische vader. Hij voert aan dat hierdoor artikel 8 van de EVRM werd geschonden. Het Hof is van oordeel dat het recht op identiteit, waaronder het recht om zijn afkomst te kennen, integraal deel uitmaakt van het begrip persoonlijke levenssfeer (§37). Het Hof meent dat de personen die hun afkomst trachten te achterhalen een vitaal belang hebben, beschermd door het Verdrag, om die informatie te bekomen die onontbeerlijk is om de waarheid te ontdekken omtrent hun persoonlijke identiteit. Tezelfdertijd mag niet worden vergeten dat de noodzaak om derden te beschermen de mogelijkheid kan uitsluiten om deze derden te dwingen zich te onderwerpen aan welke analyse dan ook, onder meer aan een DNA-test. Het Hof moet hier onderzoeken of bij de afweging van de tegenstrijdige belangen voor een juist evenwicht werd gezorgd (§38). Aangaande de eerbiediging van de persoonlijke levenssfeer van de overledene verwijst het Hof naar haar jurisprudentie in de zaak Erfenis van Kresten Filtenborg Mortensen t. Denemarken (15 mei 2006) waarin werd vastgesteld dat de persoonlijke levenssfeer van de overledene wiens DNA moest worden afgenomen niet kon worden geschonden door na zijn overlijden een verzoek voor dergelijke afname in te dienen (§ 42). In onderhavig geval concludeert het Hof dat gezien de omstandigheden en het overwegend belang die voor de verzoeker op het spel staat, de Zwitserse overheid de persoonlijke levenssfeer van de betrokkene niet heeft geëerbiedigd waarop hij krachtens het Verdrag recht had.
Rechtspersonen 1. INTERNATIONALE WETGEVING – Guidelines of the United Nations for the Regulation of Computerized Personal Data Files (1990) - (10) Field of application: the present principles should be made applicable, in the first instance, to all public and private computerized files as well as, by means of optional extension and subject to appropriate adjustments, to manual files. Special provision, also optional, might be made to extend all or part of the principles to files on legal persons particularly when they contain some information on individuals. – Recommendation No.R(2002)9 of the Committee of Ministers to Member States on the protection of personal data collected and processed for insurance purposes (2002) - (artikel 2.4.): member states may extend the application of the principles set out in this Recommendation to the collection and processing of data relating to groups of persons, associations, foundations, companies, corporations and any other bodies consisting directly or indirectly of individuals, wether or not such bodies possess legal personality. Zie ook punt 2.4. van Recommendation No.R(97)18 of the Committee of Ministers to Member States concerning the protection of personal data collected and processed for statistical purposes (1997). Zie ook punt 1.3. van Recommendation No.R(83)10 of the Committee of Ministers to Member States on the protection of personal data used for scientific research and statistics (1983). Deze aanbeveling is echter vandaag vervangen door de Aanbeveling 5(97)18 over de bescherming van persoonsgegevens verzameld en verwerkt voor statistische doeleinden (30 september 1997). – Overweging 24 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995). Overwegende dat deze Richtlijn niet van invloed is op regelingen inzake de bescherming van rechtspersonen in verband met de verwerking van persoonsgegevens die op hen betrekking hebben.
2. ADVIEZEN VAN DE GROEP 29 – Zie ook Groep 29, Advies 4/2007 over het begrip persoonsgegeven (20 juni 2007 - WP 136). De samenvatting van dit advies vindt u hierboven. Aangezien in de definitie van persoonsgegevens slechts naar natuurlijke personen wordt verwezen, valt informatie betreffende rechtspersonen in beginsel niet onder de Richtlijn en geldt de bescherming die de Richtlijn biedt niet voor rechtspersonen. Bepaalde regels inzake gegevensbescherming kunnen echter in bepaalde omstandigheden indirect toch van toepassing zijn op informatie betreffende ondernemingen of rechtspersonen. Sommige bepalingen van Richtlijn 2002/58/EG inzake e-privacy gelden ook voor rechtpersonen. In artikel 1 van die Richtlijn wordt bepaald: "2. Voor de doelstellingen van lid 1 vormen de bepalingen van deze Richtlijn een specificatie van en een aanvulling op Richtlijn 95/46/EG. Bovendien voorzien zij in bescherming van de rechtmatige belangen van abonnees die rechtspersonen zijn." In de artikelen 12 en 13 wordt de toepassing van sommige bepalingen inzake abonneelijsten en ongewenste communicatie dan ook uitgebreid tot rechtspersonen. Volgens de criteria die in dit document zijn uiteengezet, kan informatie over rechtspersonen ook op eigen merites worden beschouwd als informatie "betreffende" natuurlijke personen. Dat kan het geval zijn als de naam van de rechtspersoon is afgeleid van de naam van een natuurlijke persoon. Een ander geval kan zich voordoen bij bedrijfse-mail, die normaliter wordt gebruikt door een specifieke werknemer, of bij informatie over een klein bedrijf (rechtens eerder een voorwerp dan een rechtspersoon) die ook iets zegt over het gedrag van de eigenaar. Wanneer infor-
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
19
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 1)
matie over een rechtspersoon of een bedrijf op grond van de criteria "inhoud", "doel" of "resultaat" kan worden beschouwd als informatie "betreffende" een natuurlijke persoon, geldt in al deze gevallen dat deze informatie als persoonsgegeven moet worden beschouwd en dat de regels voor gegevensbescherming van toepassing moeten zijn. Het Hof van Justitie heeft duidelijk gesteld dat niets zich ertegen verzet dat een Lid-Staat de draagwijdte van de nationale wettelijke regeling houdende uitvoering van de bepalingen van de Richtlijn uitbreidt tot niet binnen de werkingssfeer daarvan vallende gebieden, voor zover geen enkele andere bepaling van gemeenschapsrecht daaraan in de weg staat. Sommige Lid-Staten, zoals Italië, Oostenrijk en Luxemburg, hebben de toepassing van sommige bepalingen van de nationale wetgeving houdende uitvoering van de Richtlijn (zoals de bepalingen inzake beveiligingsmaatregelen) dan ook uitgebreid tot de verwerking van gegevens betreffende rechtspersonen. Zoals ook geldt voor informatie over overleden personen, kunnen praktische overwegingen van de voor de verwerking verantwoordelijke er toe leiden dat de regels voor gegevensbescherming de facto ook worden toegepast op gegevens over rechtspersonen. Wanneer de voor de verwerking verantwoordelijke zonder onderscheid gegevens over zowel natuurlijke personen als rechtspersonen verzamelt en deze gegevens in dezelfde gegevensverzamelingen opneemt, kunnen de mechanismen voor gegevensverwerking en het auditingsysteem zo zijn opgezet dat aan de regels voor gegevensbescherming wordt voldaan. Het is voor degene die voor de verwerking verantwoordelijk is wellicht zelfs eenvoudiger de regels voor gegevensbescherming gewoon op alle gegevens in zijn bestanden toe te passen en niet uit te zoeken welke gegevens natuurlijke personen betreffen en welke rechtspersonen.
Geluid en beeld 1. INTERNATIONALE WETGEVING – Artikel 33 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995). De Commissie zal met name de toepassing van deze Richtlijn op de verwerking van geluid- en beeldgegevens betreffende natuurlijke personen nagaan. – Overwegingen 14 en 15 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): (14) overwegende dat, gezien het belang van de in het kader van de informatiemaatschappij aan de gang zijnde ontwikkelingen inzake de technieken voor het opvangen, doorsturen, manipuleren, registreren, bewaren of mededelen van geluid- en beeldgegevens betreffende natuurlijke personen, deze Richtlijn ook van toepassing zal moeten zijn op verwerkingen die op deze gegevens betrekking hebben; (15) overwegende dat verwerkingen die op dergelijke gegevens betrekking hebben slechts onder deze Richtlijn vallen als zij geautomatiseerd zijn of als de betrokken gegevens zijn opgeslagen of zullen worden opgeslagen in een bestand dat gestructureerd is volgens specifieke persoonscriteria teneinde een gemakkelijke toegang tot de betrokken persoonsgegevens mogelijk te maken. Zie ook overweging 16 (zie hieronder bij de bespreking van artikel 3).
2. RECHTSPRAAK VAN HET EUROPEES HOF VOOR DE RECHTEN VAN DE MENS – Murray t. Verenigd Koninkrijk van 28 oktober 1994, serie A, nr. 300-A (geen schending van het Verdrag). Betreffende een persoon verdacht van terrorisme, binnendringen en huiszoeking in zijn woonst met het oog op zijn arrestatie; inbewaringstelling van zijn persoonlijke gegevens en foto's zonder zijn toestemming. – Krone Verlag Gmbh & Cie KG t. Oostenrijk van 26 februari 2002, verzoek nr. 34315/96 (schending van artikel 10 van het Verdrag). Veroordeling van een firma als eisende partij voor het publiceren van foto's van een politicus. – Perry t. Verenigd Koninkrijk van 17 juli 2003, verzoek nr. 63737/00 (schending van artikel 8 van het Verdrag). Cameraregistratie door de politie voor identificatie- en vervolgingsdoeleinden. – Sciacca t. Italië van 11 januari 2005, verzoek nr. 50774/99. De verzoeker beweert dat door het verspreiden van zijn foto ter gelegenheid van een persconferentie die werd georganiseerd door het politieparket en financiële politie zijn recht op eerbiediging van zijn privéleven werd geschonden. Hij roept artikel 8 in (recht op eerbiediging van het privéleven) van het Verdrag. – Von Hannover t. Duitsland van 28 juli 2005, verzoek nr. 59320/00. Het publiceren van foto's van een openbare persoonlijkheid genomen zonder zijn medeweten. VERWERKING
§ 2 Verwerking 1. INTERNATIONALE WETGEVING – Artikel 2 c) van het Verdrag nr. 108 van de Raad van Europa tot bescherming van personen ten opzichte van de geautomatiseerde verwerking van persoonsgegevens (1981): "geautomatiseerde verwerking" omvat: de volgende geheel of gedeeltelijk langs geautomatiseerde weg uitgevoerde bewerkingen: opslag van gegevens, toepassing van logische en/ of rekenkundige bewerkingen op die gegevens; het wijzigen, uitwissen, opvragen en verspreiden van die gegevens.
20
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 1)
– Explanatory Report of the Convention No.108 - (punt 31): subject to the provisions of Articles 5.a (eerlijke en rechtmatig verkrijging en verwerking) and 12 (grensoverschrijdende flux), the collection of information falls outside the notion of "processing". In view of the rapid development of data processing technology it was found advisable to formulate a fairly general definition of "automatic data processing", capable of flexible interpretation. "Dissemination" is a broad term which covers both disclosure of information to a person (or several persons) and enabling persons to consult the information. Opmerking: de sectoriële aanbevelingen die na het Verdrag 108 werden goedgekeurd binnen de Raad van Europa zit de verzameling in het begrip verwerking vervat. – Recommendation No.R(2002)9 of the Committee of Ministers to Member States on the protection of personal data collected and processed for insurance purposes (2002) - (artikel 1 e)): "communication" refers to the act of making personal data accessible to third parties, regardless of the means or media used. – Recommendation No.R(2002)9 of the Committee of Ministers to Member States on the protection of personal data collected and processed for insurance purposes (2002) - (artikel 2.3.): no personal data should be processed in a non-automated manner in order to avoid applying the principles of this Recommendation. Zie in dezelfde zin: Recommendation No.R(97)18 of the Committee of Ministers to Member States concerning the protection of personal data collected and processed for statistical purposes (1997) - (punt 2.3.). – Artikel 2 b) van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): elke bewerking of elk geheel van bewerkingen met betrekking tot persoonsgegevens, al dan niet uitgevoerd met behulp van geautomatiseerde procédés, zoals het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op enigerlei andere wijze ter beschikking stellen, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens. – Overweging 27 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): overwegende dat de bescherming van personen zowel op automatische als op niet-automatische verwerking van toepassing is; dat de reikwijdte van deze bescherming in feite niet afhankelijk mag zijn van de gebruikte technieken, omdat zulks ernstig gevaar voor ontduiking zou opleveren; dat niettemin wat de nietautomatische verwerking betreft alleen bestanden en geen ongestructureerde dossiers onder de Richtlijn vallen; dat met name de inhoud van een bestand moet zijn gestructureerd volgens specifieke criteria met betrekking tot personen, welke criteria de persoonsgegevens gemakkelijk toegankelijk maken; dat overeenkomstig de definitie in artikel 2, onder c), de verschillende criteria waarmee de elementen van een gestructureerd geheel van persoonsgegevens en de verschillende criteria die de toegang tot dit geheel van gegevens regelen door de Lid-Staten zelf kunnen worden bepaald; dat dossiers of een verzameling dossiers, evenals de omslagen ervan, die niet volgens specifieke criteria gestructureerd zijn in geen geval onder de toepassingssfeer van de onderhavige Richtlijn vallen. – International Standards on the Protection of Personal Data and Privacy (2009) (The Madrid Resolution): resolutie goedgekeurd op 5 november 2009 door de Internationale Conferentie van de commissarissen voor de bescherming van gegevens en de privacy. Principe nr. 2: Definities: b. “Processing” means any operation or set of operations, automated or not, which is performed on personal data, such as collection, storage, use, disclosure or deletion.
2. VERSLAGEN EN STUDIES VAN DE RAAD VAN EUROPA – Raad van Europa, Opinion of the T-PD on the interpretation of the concepts of automatic processing and controller of the file in the context of worldwide telecommunications networks (maart 2007).
3. RECHTSPRAAK VAN HET EUROPESE HOF VAN JUSTITIE – Europees Hof van Justitie, Arrest van 6 november 2003, Bodil Linqvist (prejudiciële vragen), - Zaak C-101/01. Feiten Eind 1998 heeft Lindqvist thuis op haar eigen computer internetpagina's gecreëerd, zodat gemeenteleden die hun belijdenis wilden doen, gemakkelijk de door hen benodigde informatie konden opvragen. Op haar verzoek heeft de webmaster van de website van de Kerk van Zweden op die website een link naar die pagina's geplaatst. De bedoelde pagina's bevatten informatie over Lindqvist en 18 van haar collega's in de kerkgemeente, waaronder hun volledige naam of soms alleen hun voornaam. Bovendien beschreef Lindqvist in licht humoristische bewoordingen de werkzaamheden van haar collega's en hun liefhebberijen. In een aantal gevallen werden hun gezinssituatie, hun telefoonnummer en andere gegevens vermeld. Verder heeft zij verteld dat één van haar collega's haar voet had bezeerd en met gedeeltelijk ziekteverlof was. Met zijn eerste vraag wenst de verwijzende rechter te vernemen of het vermelden van verschillende personen op een internetpagina met hun naam of anderszins, bijvoorbeeld met hun telefoonnummer of informatie over
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
21
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 1)
hun werksituatie en hun hobby's, een geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens in de zin van artikel 3, lid 1, van Richtlijn 95/46 vormt. Bij het Hof ingediende opmerkingen 20. Volgens Lindqvist is het niet aannemelijk dat de loutere vermelding van iemands naam of van persoonsgegevens in een tekst op een internetpagina een geautomatiseerde gegevensverwerking is. Daarentegen kan de vermelding van die gegevens in een keyword van de meta tags van een internetpagina, waardoor indexering mogelijk is en die pagina met een zoekmachine kan worden gevonden, wel een dergelijke verwerking vormen. 21. De Zweedse regering stelt dat het begrip geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens als bedoeld in artikel 3, lid 1, van Richtlijn 95/46 alle elektronische, dus digitale, verwerkingen omvat. Wanneer een persoonsgegeven met een computer wordt verwerkt, bijvoorbeeld met een tekstverwerkingsprogramma of via plaatsing van dat gegeven op een internetpagina, valt de verwerking daarvan onder Richtlijn 95/46. 22. De Nederlandse regering voert aan dat het plaatsen van persoonsgegevens op een internetpagina geschiedt met behulp van een computer en een server, hetgeen een belangrijk kenmerk van automatisering is, zodat moet worden aangenomen dat er sprake is van een geautomatiseerde verwerking van die gegevens. 23. De Commissie stelt dat Richtlijn 95/46 van toepassing is op alle verwerkingen van persoonsgegevens als bedoeld in artikel 3 daarvan, ongeacht welke technische middelen worden gebruikt. De terbeschikkingstelling van persoonsgegevens op internet is derhalve aan te merken als geheel of gedeeltelijk geautomatiseerde verwerking, mits er geen technische beperkingen zijn waardoor de verwerking uitsluitend handmatig kan geschieden. Een internetpagina valt derhalve door haar aard onder de werkingssfeer van Richtlijn 95/46. Antwoord van het Hof 25. Het begrip verwerking van die gegevens in artikel 3, lid 1, van Richtlijn 95/46 omvat volgens de definitie in artikel 2, sub b, daarvan elke bewerking of elk geheel van bewerkingen met betrekking tot persoonsgegevens, al dan niet uitgevoerd met behulp van geautomatiseerde procédés. Laatstgenoemde bepaling noemt een aantal voorbeelden van die bewerkingen, waaronder verstrekken door middel van doorzending, verspreiden of op enigerlei andere wijze ter beschikking stellen van gegevens. Bijgevolg moet het plaatsen van persoonsgegevens op een internetpagina als een dergelijke verwerking worden aangemerkt. 26. Verder moet nog worden uitgemaakt of dit een geheel of gedeeltelijk geautomatiseerde verwerking is. In dit verband moet worden opgemerkt dat het plaatsen van informatie op een internetpagina volgens de thans toegepaste technische en elektronische procedures betekent, dat die pagina wordt geüploaded op een server en dat de nodige handelingen worden verricht om die pagina toegankelijk te maken voor degenen die een internetverbinding hebben gemaakt. Die handelingen worden ten minste gedeeltelijk geautomatiseerd verricht. 27. Derhalve moet op de eerste vraag worden geantwoord, dat het vermelden van verschillende personen op een internetpagina met hun naam of anderszins, bijvoorbeeld met hun telefoonnummer of informatie over hun werksituatie en hun liefhebberijen, als een geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens in de zin van artikel 3, lid 1, van Richtlijn 95/46 is aan te merken. – HvJ EG, arrest van 16 december 2008, Tietosuojavaltuutettu tegen Satakunnan Markkinapörssi Oy en Satamedia Oy, In zaak C-73/07. Hoofdgeding en prejudiciële vragen 25. Markkinapörssi vergaart al jaren bij de Finse belastingautoriteiten openbare gegevens, met als doel elk jaar uittreksels uit die gegevens te publiceren in de regionale edities van de krant Veropörssi. 26. De informatie in die publicaties omvat de voor- en achternaam van ongeveer 1,2 miljoen natuurlijke personen met een inkomen boven een bepaald bedrag, alsmede op 100 EUR nauwkeurig de hoogte van hun inkomen uit kapitaal en arbeid en gegevens over hun vermogensbelasting. Deze informatie wordt meegedeeld in de vorm van een alfabetische lijst per gemeente en per inkomenscategorie. 27. Volgens de verwijzingsbeslissing verklaart Markkinapörssi dat de gepubliceerde persoonsgegevens desverzocht kosteloos uit de krant Veropörssi kunnen worden verwijderd. 28. De krant bevat weliswaar ook artikelen, samenvattingen en advertenties, maar het belangrijkste doel ervan is het publiceren van persoonlijke belastinggegevens. 29. Markkinapörssi heeft de in Veropörssi gepubliceerde persoonsgegevens op cd-rom verstrekt aan Satamedia, dat tot hetzelfde concern behoort, voor verspreiding per sms. Daartoe hebben de twee vennootschappen een overeenkomst gesloten met een mobiel telefoonbedrijf, dat voor rekening van Satamedia een sms-dienst heeft opgezet waarmee de gebruikers van een mobiele telefoon tegen betaling van ongeveer 2 EUR op hun toestel een sms kunnen ontvangen met de in Veropörssi gepubliceerde informatie. Desverzocht worden de persoonsgegevens uit deze dienst verwijderd. 30. De tietosuojavaltuutettu en de tietosuojalautakunta, de Finse instanties belast met de gegevensbescherming, zien toe op de verwerking van persoonsgegevens en zijn beslissingsbevoegd onder de in de wet inzake persoonsgegevens gestelde voorwaarden.
22
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 1)
31. Na klachten van particulieren over schending van hun privéleven verzocht de tietosuojavaltuutettu die belast was met het onderzoek naar de activiteiten van Markkinapörssi en Satamedia op 10 maart 2004 aan de tietosuojalautakunta, deze bedrijven te verbieden voort te gaan met deze verwerking van persoonsgegevens. (...). De eerste vraag 35. Om te beginnen moet worden vastgesteld dat de in deze vraag bedoelde gegevens, die bestaan uit de vooren achternaam van bepaalde natuurlijke personen met een inkomen boven een bepaald bedrag, alsmede onder meer op 100 EUR nauwkeurig de hoogte van hun inkomen uit arbeid en kapitaal, persoonsgegevens zijn in de zin van artikel 2, sub a, van de richtlijn, aangezien het gaat om "informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon" (zie ook arrest van 20 mei 2003, Österreichischer Rundfunk e.a., C-465/00, C-138/01 en C-139/01, Jurispr. blz. I-4989, punt 64). 36. Vervolgens kan worden volstaan met de constatering dat reeds uit lezing van de definitie in artikel 2, sub b, van de richtlijn duidelijk wordt dat de in deze vraag bedoelde activiteit valt binnen de definitie van "verwerking van persoonsgegevens" in de zin van deze bepaling van de richtlijn. 37. Bijgevolg moet op de eerste vraag worden geantwoord dat artikel 3, lid 1, van de richtlijn aldus moet worden uitgelegd dat, wanneer gegevens over het inkomen uit arbeid en kapitaal en over het vermogen van natuurlijke personen: - op basis van openbare documenten van overheidsinstanties worden verzameld en met het oog op openbaarmaking bewerkt; - in alfabetische volgorde en naar inkomenscategorie, in de vorm van uitvoerige, per gemeente gerangschikte lijsten als drukwerk openbaar worden gemaakt; - op een cd-rom ter verwerking voor commerciële doeleinden worden verstrekt; - in het kader van een sms-dienst worden gebruikt, waarbij gebruikers van een mobiele telefoon na verzending van een sms met de naam en de woonplaats van een bepaalde persoon naar een bepaald nummer, als antwoord gegevens over het inkomen uit arbeid en kapitaal van deze persoon alsook over zijn vermogen kunnen verkrijgen, dit moet worden beschouwd als "verwerking van persoonsgegevens" in de zin van deze bepaling. – HvJ EG, arrest van 29 januari 2008, Productores de Música de España (Promusicae) tegen Telefónica de España SAU, In zaak C-275/06. Hoofdgeding en prejudiciële vraag 29. Promusicae is een vereniging zonder winstoogmerk waarvan de leden producenten en uitgevers van muzikale en audiovisuele opnamen zijn. Bij brief van 28 november 2005 heeft zij bij de Juzgado de lo Mercantil nº 5 de Madrid een verzoek ingediend om voorlopige maatregelen te gelasten tegen Telefónica, een handelsvennootschap die met name actief is als internetprovider. 30. Promusicae heeft verzocht om Telefónica te gelasten, de identiteit en het adres te verstrekken van bepaalde personen aan wie zij internettoegang verschaft en van wie het "IP-adres" en de datum en het uur waarop zij met internet verbonden zijn geweest, bekend is. Volgens Promusicae gebruiken deze personen het zogenaamde "peer-to-peer"- of "p2p"-programma "KaZaA", dat dient voor het uitwisselen van bestanden, en verlenen zij via de gedeelde map van hun personal computer toegang tot muzieknummers waarvan de exploitatierechten toebehoren aan de leden van Promusicae. (...). Verwerking van persoonlijke gegevens 45. Verder wordt niet betwist dat de door Promusicae gevorderde mededeling van de naam en het adres van bepaalde gebruikers van KaZaA impliceert dat persoonsgegevens ter beschikking worden gesteld, dat wil zeggen volgens de definitie van artikel 2, sub a, van richtlijn 95/46 - informatie betreffende geïdentificeerde of identificeerbare natuurlijke personen (zie in die zin arrest van 6 november 2003, Lindqvist, C-101/01, Jurispr. blz. I-12971, punt 24). Deze verstrekking van informatie die volgens Promusicae door Telefónica wordt opgeslagen - wat deze laatste niet betwist - vormt een verwerking van persoonsgegevens in de zin van artikel 2, eerste alinea, van richtlijn 2002/58, gelezen in samenhang met artikel 2, sub b, van richtlijn 95/46. Vastgesteld dient dus te worden dat deze informatieverstrekking binnen de werkingssfeer van richtlijn 2002/58 valt, met dien verstande dat de verenigbaarheid van de opslag zelf van de gegevens met de vereisten van de richtlijn in het hoofdgeding niet aan de orde is. BESTAND
§ 3 Bestand 1. INTERNATIONALE WETGEVING – Artikel 2 b) van het Verdrag nr. 108 van de Raad van Europa tot bescherming van personen ten opzichte van de geautomatiseerde verwerking van persoonsgegevens (1981): onder "geautomatiseerd bestand" wordt verstaan: iedere verzameling gegevens die langs geautomatiseerde weg wordt verwerkt.
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
23
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 1)
– Explanatory Report of the Convention No.108 - (punt 30): the definition covers not only data files consisting of compact sets of data, but also sets of data which are geographically distributed and are brought together via computer links for purposes of processing. – Artikel 2 c) van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): "bestand van persoonsgegevens", hierna "bestand" te noemen, elk gestructureerd geheel van persoonsgegevens die volgens bepaalde criteria toegankelijk zijn, ongeacht of dit geheel gecentraliseerd dan wel gedecentraliseerd is of verspreid op een functioneel of geografisch bepaalde wijze. – Overweging 27 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): overwegende dat met name de inhoud van een bestand moet zijn gestructureerd volgens specifieke criteria met betrekking tot personen, welke criteria de persoonsgegevens gemakkelijk toegankelijk maken; dat overeenkomstig de definitie in artikel 2, onder c), de verschillende criteria waarmee de elementen van een gestructureerd geheel van persoonsgegevens en de verschillende criteria die de toegang tot dit geheel van gegevens regelen door de Lid-Staten zelf kunnen worden bepaald; dat dossiers of een verzameling dossiers, evenals de omslagen ervan, die niet volgens specifieke criteria gestructureerd zijn in geen geval onder de toepassingssfeer van de onderhavige Richtlijn vallen.
2. ADVIEZEN VAN DE GROEP 29 – Groep 29, Advies 8/2007 over het niveau van de persoonsgegevensbescherming op Jersey (9 oktober 2007, WP 141): De wet van Jersey hanteert dezelfde bepaling als de gegevensbeschermingswet van het Verenigd Koninkrijk uit 1988, die restrictief is toegepast in de jurisprudentie voortvloeiend uit de uitspraak van het Engelse Court of Appeal in de zaak Durant v. Financial Services Authority6. Het Court of Appeal stelde vast dat "a 'relevant filing system' for the purposes of the Act, is limited to a system: 1) in which the files forming part of it are structured or referenced in such a way as to clearly indicate at the outset of the search whether specific information capable of amounting to personal data of an individual requesting it under section 7 is held within the system and, if so, in which file or files it is held; and 2) which has, as part of its own structure or referencing mechanism, a sufficiently sophisticated and detailed means of readily indicating whether and where in an individual file or files specific criteria or information about the applicant can be readily located". De werkgroep benadrukt dat deze uitlegging restrictiever is dan die uit de richtlijn, waarin onder een 'bestand' wordt verstaan elk gestructureerd geheel van persoonsgegevens die volgens bepaalde criteria toegankelijk zijn, ongeacht of dit geheel gecentraliseerd dan wel gedecentraliseerd is of verspreid op een functioneel of geografisch bepaalde wijze, en in overweging 27 wordt vastgesteld dat de inhoud van een bestand gestructureerd moet zijn volgens specifieke criteria met betrekking tot personen, welke criteria de persoonsgegevens gemakkelijk toegankelijk maken. In gevallen waarin het bestand is opgezet volgens specifieke criteria met betrekking tot personen, welke criteria de persoonsgegevens gemakkelijk toegankelijk maken, doch waarbij er niet aan de door het Court of Appeal gestelde voorwaarden wordt voldaan (bijvoorbeeld wanneer de informatie over een persoon wordt bewaard in een bestand zonder onderliggende mappen die het soort informatie aanduiden die erin is opgeslagen), zou de informatie in kwestie derhalve niet onderworpen zijn aan de beschermingsregeling van de wet, terwijl die wel onder de gegevensbeschermingsvoorschriften van de richtlijn moet vallen. Gezien de nauwe banden van het rechtsstelsel van Jersey en zijn Engelse tegenhanger met het Court of Appeal van Jersey, waarin Engelse advocaten werkzaam zijn, is het mogelijk dat de jurisprudentie ter zake wordt gevolgd. De mate waarin dit soort minder gestructureerde handmatige bestanden waarschijnlijk door een EU-Lid-Staat naar Jersey wordt doorgegeven, is evenwel beperkt. Deze situatie vormt dan ook geen ernstig beletsel voor het oordeel dat de wet van Jersey toereikende bescherming biedt met betrekking tot het hanteren van handmatige registratiesystemen. VERANTWOORDELIJKE VOOR DE VERWERKING
§ 4 Verantwoordelijke voor de verwerking 1. INTERNATIONALE WETGEVING – Artikel 2 d) van het Verdrag nr. 108 van de Raad van Europa tot bescherming van personen ten opzichte van de geautomatiseerde verwerking van persoonsgegevens (1981): onder "houder van een bestand" wordt verstaan: de natuurlijke persoon of rechtspersoon, de overheidsinstantie, de dienst of enig ander lichaam dat volgens het nationale recht de bevoegdheid heeft te beslissen welk doel het geautomatiseerde bestand moet dienen, welke categorieën persoonsgegevens dienen te worden opgeslagen en welke bewerkingen hierop zullen worden toegepast. – Explanatory Report of the Convention n°108 - (punt 32): by "controller of the file" the convention means only the person or body ultimately responsible for the file, not persons who carry out the operations according to the instructions given by the controller of the file. – Artikel 2 d) van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): "voor de verwerking verantwoordelijke", de natuurlijke of rechtspersoon, de overheidsin-
24
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 1)
stantie, de dienst of enig ander lichaam die, respectievelijk dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt; wanneer het doel van en de middelen voor de verwerking worden vastgesteld bij nationale of communautaire wettelijke of bestuursrechtelijke bepalingen, kan in het nationale of communautaire recht worden bepaald wie de voor de verwerking verantwoordelijke is of volgens welke criteria deze wordt aangewezen. – Overweging 47 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): overwegende dat, wanneer een bericht dat persoonsgegevens bevat, wordt verzonden via een telecommunicatie- of elektronische postdienst waarvan het enige doel is dit soort berichten door te geven, het de persoon is van wie het bericht uitgaat, en niet degene die de dienst aanbiedt, die normaliter zal worden beschouwd als verantwoordelijk voor de verwerking van de in het bericht vervatte persoonsgegevens; dat evenwel de personen die deze diensten aanbieden normaliter zullen worden beschouwd als verantwoordelijk voor de verwerking van de aanvullende persoonsgegevens die noodzakelijk zijn voor de werking van de dienst. – International Standards on the Protection of Personal Data and Privacy (2009) (The Madrid Resolution): resolutie goedgekeurd op 5 november 2009 door de Internationale Conferentie van de commissarissen voor de bescherming van gegevens en de privacy. Principe nr. 2: Definities: d. “Responsible person” means any natural person or organization, public or private which, alone or jointly with others, decides on the processing. – International Standards on the Protection of Personal Data and Privacy (2009) (The Madrid Resolution): resolutie goedgekeurd op 5 november 2009 door de Internationale Conferentie van de commissarissen voor de bescherming van gegevens en de privacy. Principe nr. 11 : Accountability principle: The responsible person shall: a. Take all the necessary measures to observe the principles and obligations set out in this Document and in the applicable national legislation, and b. Have the necessary internal mechanisms in place for demonstrating such observance both to data subjects and to the supervisory authorities in the exercise of their powers, as established in section 23.
2. ADVIEZEN VAN DE GROEP 29 – Groep 29 - Opinion 7/2007 on data protection issues related to the Internal market Information System (IMI) (WP 140 - 21 septembre 2007). In dit advies bespreekt de Groep 29 onder meer het begrip medeverantwoordelijke van de verwerking. De relevante tekstgedeelten volgen hierna (blz. 7 van de Engelse versie): Given that there are different roles and various actors in the IMI system, it is necessary to establish for which kind of processing each of these actors is considered to be the "data controller". The controller is defined in Article 2(d) of the data protection Directive as "the natural or legal person, public authority, agency or any other body which alone or jointly with others determines the purposes and means of the processing of personal data. (...). The Competent Authorities and the Commission must have an explicit understanding of shared responsibility for the storage and deletion of data. A document setting out the framework between the controller and processor for these processing acts will need to be drafted. This document must clearly identify the tasks and responsibilities of the parties. The structure of IMI creates an unusually complex network of controllers and processors. Accordingly, it is necessary to understand that the responsibilities of each party may vary with the nature of each individual action, and that it may not always be clear whether an actor is a controller or a processor. Of course, regardless of this distinction, all parties that control or process data must maintain the level of data security and comply with the data processing principles identified by the Data Protection Directive (...). Zie ook voor een ander voorbeeld van complexe constructie verantwoordelijke voor de verwerking/verwerker: Groep 29, Opinion 6/2007 on data protection issues related to the Consumer protection Cooperation System (CPCS) (21 septembre 2007 - WP 139). – Groep 29, Advies 1/2008 over gegevensbescherming en zoekmachines (4 april 2008, WP 148): een exploitant van een zoekmachine die gebruikersgegevens verwerkt, waaronder IPadressen en/of permanente cookies met een unieke identificatiecode, valt onder de materiële werkingssfeer van de definitie van "voor verwerking verantwoordelijke", aangezien hij in feite bepaalt waarvoor en hoe deze gegevens worden verwerkt. De grote zoekmachines zijn multinationaal van opzet: vaak is het hoofdkantoor buiten de EER gevestigd, worden wereldwijd diensten aangeboden en zijn er bij de verwerking van de persoonsgegevens verschillende bijkantoren en eventueel derde partijen betrokken. Hierdoor is discussie ontstaan over de vraag wie er dient te worden aangemerkt als verantwoordelijk voor de verwerking van persoonsgegevens. De werkgroep zou het verschil willen benadrukken tussen de definities in de wetgeving inzake gegevensbescherming en de vraag aan de orde willen stellen of de wetgeving in een bepaalde situatie van toepassing is. Een exploitant van een zoekmachine die persoonsgegevens verwerkt, zoals logs met individueel identificeerbare zoekgeschiedenissen, wordt beschouwd als de voor de verwerking van deze persoonsgegevens verantwoordelijke, ongeacht de jurisdictie. – Groep 29, Advies 5/2009 over online sociale netwerken (12 juni 2009, WP 163): aanbieders van sociale netwerkdiensten - Aanbieders van sociale netwerkdiensten zijn voor de verwerking verantwoordelijken in de zin van de richtlijn gegevensbescherming. Zij verstrekken de middelen voor de verwerking van gebruikersgegevens en bieden alle fundamentele diensten betreffende gebruikersbeheer aan (bijvoorbeeld het openen en verwijderen van accounts). Aanbieders van sociale reclame- en marketingdoeleinden, waaronder advertenties van derden.
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
25
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 1)
Aanbieders van applicaties - Aanbieders van applicaties kunnen eveneens voor de verwerking verantwoordelijken zijn, indien zij applicaties ontwikkelen die als aanvulling op de applicaties van de sociale netwerkdienst functioneren, en gebruikers besluiten een dergelijke applicatie te gebruiken. Gebruikers - In de meeste gevallen worden de gebruikers beschouwd als "betrokkenen". De richtlijn legt aan natuurlijke personen die persoonsgegevens verwerken in het kader van "activiteiten met uitsluitend persoonlijke of huishoudelijke doeleinden" niet de verplichtingen van een voor de verwerking verantwoordelijke op (de vrijstelling voor huishoudelijk gebruik). – Groep 29, Advies 1/2010 over de begrippen "voor de verwerking verantwoordelijke" en "verwerker" (16 februari 2010, WP 169): de Groep concludeert in dit advies dat het begrip " "voor de verwerking verantwoordelijke" en zijn raakvlakken met het begrip"gegevensverwerker" een cruciale rol spelen in de tenuitvoerlegging van Richtlijn 95/ 46/EG, omdat aan de hand van deze begrippen wordt uitgemaakt wie verantwoordelijk is voor de naleving van de regelgeving met betrekking tot gegevensbescherming, op welke wijze betrokkenen hun rechten kunnen uitoefenen, welk nationaal recht van toepassing is en hoe effectief gegevensbeschermingsautoriteiten hun werk kunnen doen. Organisatiedifferentiatie in zowel de publieke als de private sector, de ontwikkeling van ICT en de mondialisering van gegevensverwerking maken de wijze waarop persoonsgegevens worden verwerkt steeds gecompliceerder en vragen om verduidelijking van deze begrippen, zodat een effectieve toepassing en de praktische naleving kunnen worden gewaarborgd. Het begrip "voor de verwerking verantwoordelijke" is autonoom, in die zin dat het met name dient te worden geïnterpreteerd volgens de communautaire wetgeving voor gegevensbescherming. Daarnaast is het functioneel, in die zin dat het bedoeld is om de verantwoordelijkheden te leggen op de plaats waar ook de feitelijke invloed ligt, en dus eerder op een feitelijke dan op een formele analyse gebaseerd is. De definitie in de richtlijn is opgebouwd uit drie hoofdonderdelen: het personele aspect ("de natuurlijke of rechtspersoon, de overheidsinstantie, de dienst of enig ander lichaam"); de mogelijkheid van gezamenlijke verantwoordelijkheid ("die, respectievelijk dat, alleen of tezamen met anderen"); de wezenlijke aspecten waarmee de voor de verwerking verantwoordelijke van andere partijen kan worden onderscheiden ("het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt"). Een onderzoek van deze onderdelen leidt tot de volgende hoofduitkomsten: - De bevoegdheid om "de doelen en de middelen vast te stellen..." kan voortvloeien uit verschillende juridische en/of feitelijke omstandigheden: een expliciete wettelijke bevoegdheid, wanneer de voor de verwerking verantwoordelijke bij wet wordt aangesteld of de opdracht of plicht tot het verzamelen en verwerken van bepaalde gegevens bij wet is geregeld, gemeenrechtelijke bepalingen of bestaande traditionele rollen waarbij normaliter sprake is van een bepaalde verantwoordelijkheid binnen bepaalde organisaties (bijvoorbeeld de werkgever met betrekking tot gegevens van zijn werknemer), feitelijke omstandigheden en andere feiten (waaronder contractuele betrekkingen, daadwerkelijke zeggenschap van een partij, zichtbaarheid jegens betrokkenen enz.). Wanneer geen van deze bovengenoemde categorieën van toepassing is, moet de aanstelling van een voor de verwerking verantwoordelijke als nietig worden beschouwd. Een partij die geen juridische of feitelijke invloed heeft op de vaststelling van de wijze waarop persoonsgegevens worden verwerkt, kan namelijk niet als voor de verwerking verantwoordelijk worden beschouwd. Wie het "doel" van de verwerking vaststelt, wordt (de facto) aangemerkt als voor de verwerking verantwoordelijk. Het vaststellen van de "middelen" voor de verwerking kan echter door de voor de verwerking verantwoordelijke worden gedelegeerd voor wat betreft technische of organisatorische aspecten. Punten van wezenlijk belang, die een centrale rol vervullen voor de rechtmatigheid van de verwerking - zoals de vraag welke gegevens moeten worden verwerkt, hoe lang zij moeten worden bewaard, wie toegang tot die gegevens heeft enz. - dienen echter door de voor de verwerking verantwoordelijke te worden vastgesteld. - Het personele aspect van de definitie heeft betrekking op het brede scala van betrokkenen die de rol van voor de verwerking verantwoordelijke kunnen vervullen. Vanuit het strategische oogpunt van het beleggen van verantwoordelijkheden dient er echter de voorkeur aan gegeven te worden de onderneming of instantie zelf als voor de verwerking verantwoordelijk te beschouwen, en niet een specifieke persoon binnen de onderneming of de instantie. De onderneming of instantie is uiteindelijk verantwoordelijk voor de verwerking van gegevens en de verplichtingen die voortvloeien uit de wetgeving voor gegevensbescherming, tenzij duidelijk blijkt dat een natuurlijke persoon verantwoordelijk is, bijvoorbeeld wanneer een natuurlijke persoon die bij een onderneming of overheidsinstantie werkzaam is gegevens voor zijn of haar eigen doelen buiten de onderneming gebruikt. - De mogelijkheid van gezamenlijke verantwoordelijkheid houdt rekening met het steeds toenemende aantal situaties waarin verschillende partijen als voor de verwerking verantwoordelijke optreden. Deze gezamenlijke verantwoordelijkheid dient op dezelfde wijze te worden beoordeeld als de "individuele" verantwoordelijkheid. Daarbij dient een inhoudelijke en functionele benadering te worden gevolgd, en met name te worden bezien of de wezenlijke aspecten van de middelen door meer dan een partij worden vastgesteld. Wanneer van gezamenlijke verantwoordelijkheid sprake is, hebben partijen bij het vaststellen van doelen van, en middelen voor de verwerking niet altijd een even grote rol en inbreng. In dit advies zijn vele voorbeelden opgenomen van verschillende vormen van gezamenlijke verantwoordelijkheid. Wanneer niet elke partij evenveel zeggenschap heeft, is ook niet elke partij in dezelfde mate verantwoordelijk en aansprakelijk, en zeker niet in alle gevallen kan wor-
26
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 1)
den aangenomen dat er sprake is van een "gezamenlijke en hoofdelijke" aansprakelijkheid. Bovendien is het goed mogelijk dat in complexe systemen met meerdere partijen de toegang tot persoonsgegevens en de uitoefening van andere rechten van betrokkenen op verschillende niveaus door verschillende partijen kan worden gewaarborgd. Groep 29, Advies 2/2010 over online reclame op basis van surfgedrag (‘behavioural advertising’) (WP 171 – 22 juni 2010): krachtens dit advies wijst de Groep erop dat wanneer reclame op basis van surfgedrag de verwerking van persoonsgegevens behelst, spelen de aanbieders van advertentienetwerken ook de rol van verantwoordelijke voor gegevensverwerking. Dit is van groot belang, in zoverre dat aanvullende verplichtingen die voortvloeien uit de toepassing van Richtlijn 95/46/EG, van toepassing zullen zijn. Aanbieders van advertentienetwerken hebben volledige controle over doel en middel van het verwerkingsproces. Ze ‘huren’ ruimte op websites van uitgevers om advertenties te plaatsen: ze stellen cookiegerelateerde informatie in en/of leze die, ze verzamelen de IP-adressen en mogelijke andere gegevens die de browser wellicht onthult. Verder gebruiken de aanbieders van advertentienetwerken de op het internet verzamelde informatie over het surfgedrag van internetgebruikers om profielen samen te stellen en de advertenties te selecteren en af te leveren die op basis van dit profiel zullen worden getoond. In dit scenario treden ze duidelijk op als verantwoordelijke voor gegevensverwerking. Aangaande de verdelers vermeldt de Groep samenvattend, dat de uitgevers zich er zouden bewust van moeten zijn dat wanneer zij overeenkomsten aangaan met advertentienetwerken waardoor de persoonsgegevens van hun bezoekers in handen vallen van aanbieders van advertentienetwerken, ze enige verantwoordelijkheid dragen jegens hun bezoekers. De reikwijdte van deze verantwoordelijkheid, waaronder ook de mate waarin zij verantwoordelijke voor gegevensverwerking worden, zou van geval tot geval moeten worden geanalyseerd, met inachtneming van de contractueel overeengekomen bijzondere voorwaarden voor de samenwerking met aanbieders van advertentienetwerken. Daarom zouden in de overeenkomsten tussen uitgevers en aanbieders van advertentienetwerken de taken en verantwoordelijkheden van beide partijen moeten worden vastgesteld, in het licht van hun samenwerking, zoals deze in de overeenkomst staat beschreven. En tot slot benadrukt de Groep aangaande de adverteerders dat wanneer een betrokkene doorklikt op een advertentie en de website van een adverteerder bezoekt, de adverteerder kan nagaan welke campagne tot het doorklikken heeft geleid. Als de adverteerder de doelgroepinformatie (bijv. bepaalde demografische gegevens zoals ‘jonge moeders’ of een doelgroep zoals ‘fanatieke sportliefhebber’) vindt en die combineert met het surfgedrag van de betrokkene op de site of met de registratiegegevens, dan is de adverteerder voor dit deel van de gegevensverwerking een onafhankelijke verantwoordelijke voor gegevensverwerking. Groep 29, Advies 3/2010 over het verantwoordingsbeginsel (WP 173 – 13 juli 2010): de groep wijst erop dat de EU-beginselen en -verplichtingen op het gebied van gegevensbescherming komen vaak onvoldoende tot uitdrukking in concrete interne maatregelen en praktijken. Zolang gegevensbescherming niet behoort tot de gedeelde waarden en praktijken binnen een organisatie, en er niet uitdrukkelijk verantwoordelijken voor worden aangewezen, blijven er aanzienlijke risico’s bestaan voor een doeltreffende naleving, en zullen incidenten met betrekking tot gegevensbescherming zich naar alle waarschijnlijkheid blijven voordoen. Om gegevensbescherming in de praktijk te bevorderen moet het regelgevingskader van de EU worden uitgebreid met aanvullende mechanismen. Het doel van dit advies is de Commissie te adviseren over de wijze waarop de richtlijn gegevensbescherming gewijzigd moet worden om het beoogde effect te bereiken. In dit advies wordt in het bijzonder een concreet voorstel gedaan voor een verantwoordingsbeginsel dat de voor de verwerking verantwoordelijken ertoe verplicht passende en doeltreffende maatregelen te nemen om te waarborgen dat de beginselen en verplichtingen die in de richtlijn zijn vastgelegd worden nageleefd en om op verzoek van de toezichthoudende autoriteiten aan te kunnen tonen dat dit het geval is. Dit moet ertoe bijdragen dat gegevensbescherming wordt vertaald van ‘de theorie naar de praktijk’ en moet de gegevensbeschermingsautoriteiten helpen bij de uitoefening van hun toezichthoudende en handhavende taken. In het advies worden suggesties gedaan die ervoor moeten zorgen dat het verantwoordingsbeginsel enerzijds rechtszekerheid biedt en anderzijds differentiatie toestaat (d.w.z. dat het mogelijk moet zijn om de vaststelling van de concrete maatregelen die moeten worden genomen af te stemmen op de risico’s die de verwerking en het soort te verwerken gegevens met zich brengen). Vervolgens wordt de invloed besproken die een dergelijk beginsel zou kunnen hebben op andere terreinen, met inbegrip van internationale doorgiften van gegevens, aanmeldingsvereisten, sancties, en op termijn ook de ontwikkeling van certificeringsprogramma’s of keurmerken.
3. VERSLAGEN EN STUDIES VAN DE RAAD VAN EUROPA – Raad van Europa, Opinion of the T-PD on the interpretation of the concepts of automatic processing and controller of the file in the context of worldwide telecommunications networks (maart 2007). VERWERKER
§ 5 Verwerker 1. INTERNATIONALE WETGEVING – Artikel 2 e) van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): "verwerker", de natuurlijke of rechtspersoon, de overheidsinstantie, de dienst of enig ander lichaam die, respectievelijk ten behoeve van de voor de verwerking verantwoordelijke persoonsgegevens verwerkt.
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
27
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 1)
2. ADVIEZEN VAN DE GROEP 29 – Groep 29, Advies 1/2010 over de begrippen "voor de verwerking verantwoordelijke" en "verwerker" (16 februari 2010, WP 169): de Groep concludeert in dit advies dat het begrip "verwerker", waarvan het bestaan afhangt van een besluit van de voor de verwerking verantwoordelijke, die kan besluiten om gegevens binnen zijn eigen organisatie te verwerken of de verwerking daarvan geheel of gedeeltelijk aan een externe organisatie te delegeren. De twee centrale voorwaarden om een partij als verwerker te kunnen aanmerken zijn dus enerzijds dat het een aparte rechtspersoon is, die los van de voor de verwerking verantwoordelijke staat, en anderzijds dat deze partij persoonsgegevens namens die voor de verwerking verantwoordelijke verwerkt. Deze verwerking kan zich beperken tot een zeer specifieke taak of context of ruimte laten voor een zekere mate van handelingsvrijheid ten aanzien van de wijze waarop de belangen van de voor de verwerking verantwoordelijke kunnen worden gediend, waarbij de verwerker de meest geschikte technische en organisatorische middelen kan kiezen. Daarnaast is de rol van verwerker niet gekoppeld aan de aard van een partij die persoonsgegevens verwerkt maar wel afhankelijk van zijn concrete activiteiten in een specifiek kader en met betrekking tot specifieke gehelen van gegevens of bewerkingen. Criteria die een nuttige rol kunnen vervullen bij het vaststellen van de hoedanigheid van de diverse bij de verwerking betrokken partijen zijn de mate waarin de voor de verwerking verantwoordelijke tevoren opdrachten heeft gegeven, de bewaking door de voor de verwerking verantwoordelijke van de kwaliteit van de dienst, de zichtbaarheid voor betrokkenen, de deskundigheid van de partijen en de autonome beslissingsbevoegdheid waarover de diverse partijen nog beschikken. International Standards on the Protection of Personal Data and Privacy (2009) (The Madrid Resolution): resolutie goedgekeurd op 5 november 2009 door de Internationale Conferentie van de commissarissen voor de bescherming van gegevens en de privacy. Principe nr. 2 : Definities : e. “Processing service provider” means any natural person or organization, other than the responsible person that carries out processing of personal data on behalf of such responsible person. DERDE
§ 6 Derde 1. INTERNATIONALE WETGEVING – Artikel 2 f) van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): "derde", de natuurlijke of rechtspersoon, de overheidsinstantie, de dienst of enig ander lichaam, niet zijnde de betrokkene, noch de voor de verwerking verantwoordelijke, noch de verwerker, noch de personen die onder rechtstreeks gezag van de voor de verwerking verantwoordelijke of de verwerker gemachtigd zijn om de gegevens te verwerken.
2. ADVIEZEN VAN DE GROEP 29 – Groep 29, Advies 1/2010 over de begrippen "voor de verwerking verantwoordelijke" en "verwerker" (16 februari 2010, WP 169): krachtens dit advies besluit de Groep dat de categorie "derden" betrekking heeft op elke actor die geen enkele wettelijkheid noch machtiging bezit (die eventueel zou kunnen voortvloeien uit bijvoorbeeld zijn rol van verantwoordelijke voor de verwerking, of van gegevensverwerker of zijn personeelslid) om persoonsgegevens te verwerken. ONTVANGER
§ 7 Ontvanger 1. INTERNATIONALE WETGEVING – Artikel 2 g) van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): "ontvanger", de natuurlijke of rechtspersoon, de overheidsinstantie, de dienst of enig ander lichaam aan wie, respectievelijk waaraan de gegevens worden meegedeeld, ongeacht of het al dan niet een derde betreft; instanties waaraan gegevens kunnen worden meegedeeld in het kader van een bijzondere onderzoeksopdracht worden evenwel niet beschouwd als ontvangers. TOESTEMMING VAN DE BETROKKENE
§ 8 Toestemming van de betrokkene Toestemming - kwaliteit 1. INTERNATIONALE WETGEVING – Recommendation No. R(97)5 of the Committee of Ministers to Member States on the protection of medical data (1997) - (6.1.): where the data subject is required to give his/her consent, this consent should be free, express and informed.
28
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 1)
– Recommendation No. R(2002)9 of the Committee of Ministers to Member States on the protection of personal data collected and processed for insurance purposes (2002) - (artikel 6): 6.1. When data subjects are asked to give their consent, it must be freely given, specific and informed. Moreover, it must be unambiguous or, in the case of sensitive data, explicit (...). Er kunnen echter gevallen zijn waar het intern recht niet toestaat dat de toestemming geldt als voldoende rechtmatig voor een verzameling of verwerking. – Artikel 2 h) van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): "toestemming van de betrokkene", elke vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat hem/haar betreffende persoonsgegevens worden verwerkt.
2. ADVIEZEN VAN DE GROEP 29 – Groep 29, Werkdocument betreffende de gevolgen van het eCall-initiatief vanuit het oogpunt van bescherming van gegevens en van de persoonlijke levenssfeer (26 september 2006 - WP 125): de toestemming moet vrij zijn en terug kunnen worden ingetrokken. De toestemming wordt niet als vrij beschouwd als de betrokken persoon verklaart een bepaling te aanvaarden in een contract waarvan de bepalingen niet onderhandelbaar zijn (artikel 7 a) van de Richtlijn). – Groep 29, Working Document 1/2008 on the protection of children's personal data (General guidelines and the special case of schools) (18 februari 2008, WP 147) en Groep 29, Advies 2/2009 over de bescherming van persoonsgegevens van kinderen (Algemene richtlijnen en het bijzondere geval van scholen) (11 februari 2009, WP 160): Adapting to the degree of maturity of the child - Since the child is a person who is still developing, the exercise of their rights - including those relating to data protection - must adapt to their level of physical and psychological development. Not only are children in the process of developing, but they have a right to this development. The way in which this process is managed in the legal system varies from state to state, but in any society children should be treated in accordance with their level of maturity. Where consent is concerned, the solution can progress from mere consultation of the child, to a parallel consent of the child and the representative, and even to the sole consent of the child if he or she is already mature. Right to be consulted - Children gradually become capable of contributing to decisions made about them. As they grow, they should be consulted more regularly about the exercise of their rights, including those relating to data protection. This duty of consultation consists of taking into account - though not necessarily submitting to - the child's own opinions. Such a criterion is clearly stated in the Recommendation of the Committee Ministers of the Council of Europe. This right to be consulted could apply to various different matters, such as geolocation, use of children's images and others. – Groep 29, Working Document 1/2008 on the protection of children's personal data (General guidelines and the special case of schools) (18 februari 2008, WP 147) en Groep 29, Advies 2/2009 over de bescherming van persoonsgegevens van kinderen (Algemene richtlijnen en het bijzondere geval van scholen) (11 februari 2009, WP 160). The right of access is normally exercised by the representative of the child, but always in the interest of the child. Depending on the degree of maturity of the child, it can be exercised in his/her place or together with him/her. In some cases the child may also be entitled to exercise his/her rights alone. When very personal rights are concerned (as for instance in the health field), children could even ask their doctors not to divulge their medical data to their representatives. This might be the case if a teenager has given sexual data to a physician or a help line explicitly excluding the representatives from such information. It might also be the case if the child does not trust his or her representatives and contacts the youth welfare service, for example, when consuming drugs, or feeling suicidal. The question arises whether representatives may have access to such details, and whether the child may object. To assess whether the children's right to privacy prevails over the representatives' right to access, the interests of all parties involved have to be carefully balanced. In this balancing exercise, the best interest of the child is of special importance. In the case of access to medical data, the appreciation of the practitioner might be relevant to assess the opportunity of access by the representatives. As a general comment, the criteria for the conditions of access will be not only the age of the child, but also whether or not the data concerned were provided by the parents or by the child - which is also an indication of his/her degree of maturity and autonomy. – Groep 29, Advies 3/2008 over het ontwerp voor een internationale standaard inzake de bescherming van de persoonlijke levenssfeer in het kader van de wereldantidopingcode (1 augustus 2008, WP 156): de Groep wijst erop dat "redelijke inspanningen om deze toestemming te verkrijgen" geen geldige vervanging zijn van de toestemming zelf.
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
29
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 2)
Volgens artikel 6.1 van de ontwerpstandaard dienen de antidopingorganisaties de toestemming van de sporter en van zijn begeleidend personeel te verkrijgen, teneinde hun gegevens rechtmatig te kunnen verwerken. De Groep is van oordeel dat een dergelijke toestemming niet voldoet aan artikel 2, onder h), van de richtlijn gegevensbescherming. Toestemming wordt daarin gedefinieerd als "elke vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat hem/haar betreffende persoonsgegevens worden verwerkt". De toestemming tot het verwerken van gegevens die zijn verzameld in het kader van de uitvoering van de verplichtingen op grond van de wereldantidopingcode is noch vrij, noch op informatie berustend. Gezien de sancties die verbonden zijn aan weigering van de deelnemers om zich aan de verplichtingen van de code (mededeling van lokalisatiegegevens, dopingcontroles) te onderwerpen, kan de Groep niet aannemen dat de toestemming in welke zin dan ook vrijelijk wordt gegeven. – Groep 29, Tweede advies 4/2009 over de Internationale Standaard van het Wereldantidopingagentschap (WADA) voor de bescherming van de persoonlijke levenssfeer en persoonsgegevens, aanverwante bepalingen van de WADA-code en andere privacyvraagstukken in de context van de bestrijding van doping in de sport door het WADA en (nationale) antidopingorganisaties (6 februari 2009, WP 162). De Groep blijft van mening dat de bepalingen inzake toestemming niet voldoen aan de vereisten van artikel 2, onder h), van Richtlijn 95/46/EG, waarin toestemming aldus wordt gedefinieerd: "elke vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat hem/haar betreffende persoonsgegevens worden verwerkt". Gezien de sancties en consequenties die verbonden zijn aan weigering van de deelnemers om zich aan de verplichtingen van de code (bijvoorbeeld de verstrekking van verblijfsgegevens) te onderwerpen, kan de Groep niet aannemen dat de toestemming in welke zin dan ook vrijelijk wordt gegeven.
Vertegenwoordiging - onbekwaam 1. INTERNATIONALE WETGEVING – Recommendation No. R(2002)9 of the Committee of Ministers to Member States on the protection of personal data collected and processed for insurance purposes (2002) - (artikel 6): 6.2. When personal data concern persons with no legal capacity and when domestic law does not permit the data subject to act on his/her own behalf, consent is required of his/her legal representative or an authority or any other person of body appointed by law. If, in accordance with Principle 5.5 above, data subjects with no legal capacity have been informed of the intention to collect and process data concerning them, their wishes should be taken into consideration, provided that this is not contrary to domestic law. Zie ook Recommendation No. R(97)5 of the Committee of Ministers to Member States on the protection of medical data (1997) - (point 6.3.). – Recommendation No. R(97)5 of the Committee of Ministers to Member States on the protection of medical data (1997) - (punt 6.3.): if a legally incapacitated person is capable of understanding, he/she should be informed before his/her data are collected or processed. (5.5.).
2. ADVIEZEN VAN DE GROEP 29 – Groep 29, Working Document 1/2008 on the protection of children's personal data (General guidelines and the special case of schools) (18 februari 2008, WP 147) en Groep 29, Advies 2/2009 over de bescherming van persoonsgegevens van kinderen (Algemene richtlijnen en het bijzondere geval van scholen) (11 februari 2009, WP 160): children require legal representation to exercise most of their rights. However, this does not mean that the representative's status has any absolute or unconditional priority over the child's - because the child's best interest can sometimes confer upon the rights relating to data protection which may override the wishes of parents or representatives. Nor does the need for representation imply that children should not, from a certain age, be consulted on matters relating to them. If the processing of a child's data began with the consent of their representative, the child concerned may, on attaining majority, revoke the consent. But if he wishes the processing to continue, it seems that the data subject need give explicit consent wherever this is required. For example, if a representative has given explicit consent to the inclusion of his child (the data subject) in a clinical trial, then upon attaining majority, the controller must make sure he still has a valid basis to process the personal data of the data subject. He must in particular consider obtaining the explicit consent of the data subject himself in order for the trial to continue, because sensitive data are involved. On this issue, it must be remembered that the rights to data protection belong to the child, and not to their representatives, who simply exercise them.
Art. 2. }1[Iedere natuurlijke persoon heeft in verband met de verwerking van persoonsgegevens die op hem betrekking hebben, recht op bescherming van zijn fun-
30
damentele rechten en vrijheden, inzonderheid op bescherming van zijn persoonlijke levenssfeer.]1 }1. – Vervangen bij art. 3 wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001)
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 2)
BEGINSEL: RECHT OP BESCHERMING VAN PERSOONLIJKE LEVENSSFEER
Beginsel: recht op bescherming van persoonlijke levenssfeer 1. INTERNATIONALE WETGEVING – Artikel 12 van de Universele Verklaring van de Rechten van de Mens (UVRM - 1948): niemand zal onderworpen worden aan willekeurige inmenging in zijn persoonlijke aangelegenheden, in zijn gezin, zijn tehuis of zijn briefwisseling, noch aan enige aantasting van zijn eer of goede naam. Tegen een dergelijke inmenging of aantasting heeft eenieder recht op bescherming door de wet. – Internationaal Verdrag inzake Burgerrechten en Politieke Rechten (BUPO verdrag - 1966): niemand mag worden onderworpen aan willekeurige of onwettige inmenging in zijn privéleven, zijn gezinsleven, zijn huis en zijn briefwisseling, noch aan onwettige aantasting van zijn eer en goede naam. Eenieder heeft recht op bescherming door de wet tegen zodanige inmenging of aantasting. – Zie ook: General Comment No. 16: (Art. 17 BUPO-verdrag) van het Human Rights Committee. The Human Rights Committee preciseert onder meer wat men verstaat onder "arbitrary or unlawful interference with his privacy, family, home or correspondence". – Artikel 8 van het Verdrag tot Bescherming van de Rechten van de Mens en de Fundamentele Vrijheden (EVRM - 1950): § 1. Eenieder heeft recht op respect voor zijn privéleven, zijn familie- en gezinsleven, zijn woning en zijn correspondentie. § 2. Geen inmenging van enig openbaar gezag is toegestaan in de uitoefening van dit recht, dan voor zover bij de wet is voorzien en in een democratische samenleving noodzakelijk is in het belang van de nationale veiligheid, de openbare veiligheid of het economisch welzijn van het land, het voorkomen van wanordelijkheden en strafbare feiten, de bescherming van de gezondheid of de goede zeden of voor de bescherming van de rechten en vrijheden van anderen. – Artikel 1 van het Verdrag nr. 108 van de Raad van Europa tot bescherming van personen ten opzichte van de geautomatiseerde verwerking van persoonsgegevens (1981): dit Verdrag heeft tot doel op het grondgebied van elke Partij aan iedere natuurlijke persoon, ongeacht zijn nationaliteit of verblijfplaats, de eerbiediging van zijn rechten en fundamentele vrijheden te waarborgen en met name zijn recht op persoonlijke levenssfeer ten opzichte van de geautomatiseerde verwerking van persoonsgegevens hem betreffend ("databescherming"). – RECOMMENDATION NO. R(89)2 OF THE COMMITTEE OF MINISTERS TO MEMBER STATES ON THE PROTECTION OF PERSONAL DATA USED FOR EMPLOYMENT PURPOSES (1989): respect for the privacy and human dignity, in particular the possibility of exercising social and individual relations at the place of work, of the employee should be safeguarded in the collection and use of personal data for employment purposes. – Artikel 1 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): de Lid-Staten waarborgen in verband met de verwerking van persoonsgegevens, overeenkomstig de bepalingen van deze Richtlijn, de bescherming van de fundamentele rechten en vrijheden van natuurlijke personen, inzonderheid van het recht op persoonlijke levenssfeer. – Overweging 2 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): overwegende dat de systemen voor de verwerking van gegevens ten dienste van de mens staan; dat zij de fundamentele rechten en vrijheden en inzonderheid de persoonlijke levenssfeer van natuurlijke personen, ongeacht hun nationaliteit of verblijfplaats, moeten eerbiedigen en tot de economische en sociale vooruitgang, tot de ontwikkeling van het handelsverkeer en tot het welzijn van de individuen moeten bijdragen. – Overwegingen 10 en 11 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): (10) Overwegende dat met de nationale wetgevingen betreffende de verwerking van persoonsgegevens de eerbiediging moet worden gewaarborgd van de fundamentele rechten en vrijheden, en met name van het recht op bescherming van de persoonlijke levenssfeer, dat tevens in artikel 8 van het Europese Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden en in de algemene beginselen van het Gemeenschapsrecht is erkend; dat derhalve de onderlinge aanpassing van deze wetgevingen niet tot een verzwakking van de aldus geboden bescherming mag leiden, maar juist erop gericht moet zijn een hoog beschermingsniveau in de Gemeenschap te waarborgen. (11) Overwegende dat de in deze Richtlijn vervatte beginselen met betrekking tot de bescherming van de rechten en de vrijheden van personen, inzonderheid van de persoonlijke levenssfeer, de beginselen van het Verdrag van de Raad van Europa van 28 januari 1981 tot bescherming van personen ter zake van de geautomatiseerde verwerking van persoonsgegevens verduidelijken en versterken; – Artikels 7 en 8 van het Handvest van de grondrechten van de Europese Unie (2000): Artikel 7: Eenieder heeft recht op eerbiediging van zijn privéleven, zijn familie- en gezinsleven, zijn woning en zijn communicatie.
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
31
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 2)
Artikel 8: 1. Eenieder heeft recht op bescherming van de hem betreffende persoonsgegevens. 2. Deze gegevens moeten eerlijk worden verwerkt, voor bepaalde doeleinden en met toestemming van de betrokkene of op basis van een andere gerechtvaardigde grondslag waarin de wet voorziet. Eenieder heeft recht op toegang tot de over hem verzamelde gegevens en op rectificatie daarvan. 3. Een onafhankelijke autoriteit ziet toe op de naleving van deze regels. – Toelichtend rapport bij het Handvest van de grondrechten (toelichting over de volledige tekst van het Handvest, zoals weergegeven in het document CHARTE 4487/00 CONVENT 50 (doc van Presidium): dit artikel baseert zich op artikel 286 van het verdrag tot oprichting van de Europese Gemeenschap en op de Richtlijn 85/ 46/EG van het Europees Parlement en de Raad betreffende de bescherming van de natuurlijke personen ten opzichte van de verwerking van persoonsgegevens en het vrije verkeer van die gegevens (J.O. nr. L 281 van 23 november 1995), maar ook op artikel 8 van de het Europees Verdrag voor rechten van de mens en de Overeenkomst van de Raad van Europa voor de bescherming van personen ten opzichte van de geautomatiseerde verwerking van persoonsgegevens van 28 januari 1981, geratificeerd door alle Lid-Staten. Het recht op bescherming van persoonsgegevens vindt zijn uitvoering in de voorwaarden vastgesteld in de bovenvermelde Richtlijn en kan ingeperkt worden onder de voorwaarden bepaald in artikel 52 van het Handvest. – Verdrag betreffende de werking van de Europese Unie, Artikel 16: 1. Eenieder heeft recht op bescherming van zijn persoonsgegevens. 2. Het Europees Parlement en de Raad stellen volgens de gewone wetgevingsprocedure de voorschriften vast betreffende de bescherming van natuurlijke personen ten aanzien van de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie, alsook door de Lid-Staten, bij de uitoefening van activiteiten die binnen het toepassingsgebied van het recht van de Unie vallen, alsmede de voorschriften betreffende het vrij verkeer van die gegevens. Op de naleving van deze voorschriften wordt toezicht uitgeoefend door onafhankelijke autoriteiten. International Standards on the Protection of Personal Data and Privacy (2009) (The Madrid Resolution): resolutie goedgekeurd op 5 november 2009 door de Internationale Conferentie van de commissarissen voor de bescherming van gegevens en de privacy. Principe nr. 6: Principle of lawfulness and fairness: 1. Personal data must be fairly processed, respecting the applicable national legislation as well as the rights and freedoms of individuals as set out in this Document and in conformity with the purposes and principles of the Universal Declaration of Human Rights and the International Covenant on Civil and Political Rights. 2. In particular, any processing of personal data that gives rise to unlawful or arbitrary discrimination against the data subject shall be deemed unfair.
2. ADVIEZEN VAN DE GROEP 29 – Groep 29, Aanbeveling 4/99 over de opname van het grondrecht op gegevensbescherming in de Europese grondrechten (7 december 1999 - WP 26): de Groep 29 verklaart in dit document dat het ten volle het initiatief van Europese raad ondersteunt om een gemeenschappelijk handvest voor de grondrechten op te stellen. De Groep merkt op dat sommige Europese landen de bescherming van gegevens als grondrecht hebben opgenomen in hun Grondwet. De arresten van het Europees Hof voor de Rechten van de Mens bepalen en omschrijven duidelijk het begrip grondrecht en baseren zich daarvoor op het recht op bescherming van persoonsgegevens zoals dat in verschillende mensenrechten is vervat. Het artikel 286 van het Verdrag betreffende de Europese Unie bepaalde dat de besluiten van de Gemeenschap inzake gegevensbescherming met ingang van 1 januari 1999 van toepassing zijn op de Europese organen en instellingen. Door de gegevensbescherming in de Europese grondrechten te verankeren, wordt de toepassing ervan tot de volledige Unie uitgebreid en het toenemende belang van gegevensbescherming in de informatiemaatschappij erkend. – Groep 29, Resolution on the 2nd European Data Protection Day, (5 december 2007, WP 144): the fundamental right to privacy and in particular the right to informational self determination remain the lifeblood of our modern information societies even in times where the fight against terrorism and organised crime makes it harder to strike the right balance between security demands and the protection of individual rights. A transparent citizen will never be compatible with human dignity. The fight against terrorism and organised crime is necessary and justified. Personal information might be a useful tool in this fight but can't be considered a panacea to solve the challenges resulting from terrorism and international crime. For that reason, any measures aimed at curtailing the freedom of citizens have to be proportionate and effective. It is one of the essential duties of the data protection community not only to warn of dangers that restrictive measures proposed by law enforcement agencies might pose, but to show alternatives which are less intrusive and more privacy enhancing. For that reason in the past, the Art. 29 Working Party has always favoured tools such as privacy enhancing technologies (PETs) which mitigate the impact privacy intrusive measures might have and will continue to do so in the future. The pseudonymisation of personal data is one example how personal information can be processed without encroaching on individuals' privacy. Technical solutions that strike the right balance between security demands on the one hand and the right to privacy on the other are available and must be harnessed wherever possible. The further promotion of such modern techniques and a constructive dialogue with all stakeholders will remain among the crucial tasks of the data protection community. In a democratic society nobody should feel constantly spied on or moni-
32
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 3)
tored wherever they are. The increasing appetite of law enforcement agencies to collect and store data of citizens for later use is a worrying development. Personal data and often even sensitive information of millions of innocent citizens who are under no suspicion are retained for many years to come and allow for the reconstruction of their communication and travel patterns. The general retention of telecommunications traffic data by telecommunications companies and the debate on a European system for the collection and storage of passenger data are only two examples which clearly illustrate this dangerous encroachment on the private sphere of EU citizens. Other initiatives in this field foresee the collection of fingerprints, or aim to monitor the road movements of drivers. The European Data Protection Commissioners also stress their indispensable role as guardians of privacy in modern information-based societies. Their complete independence is crucial and not open to debate if they want to fulfil their important tasks and serve the best interest of their citizens. – Groep 29, Working Document 1/2008 on the protection of children's personal data (General guidelines and the special case of schools), (18 februari 2008, WP 147) en Groep 29, Advies 2/2009 over de bescherming van persoonsgegevens van kinderen (Algemene richtlijnen en het bijzondere geval van scholen), (11 februari 2009, WP 160): art. 16 of the UN Convention on the Rights of the Child provides that no child shall be subject to arbitrary or unlawful interference with his or her privacy, family, home or correspondence, nor to unlawful attacks on his or her honour and reputation. The relevant Directives on data protection, i.e. 95/46/EC and 2002/58/EC, do not explicitly mention the privacy rights of minors. These legal instruments apply to all natural persons, but there are no specific provisions relating to issues particular to children. However, this does not mean that children do not have any right to privacy and that they fall outside the scope of the said Directives. According to the wording of the Directives themselves, they shall apply to any "natural person", and therefore include children.
3. RECHTSPRAAK VAN HET EUROPESE HOF VAN JUSTITIE – Europees Hof van Justitie, Arrest van 20 mei 2003, Rechnungshof c. Osterreichischer Rundfunk en anderen, Gevoegde zaken C-465/00, C-138/01 en C-139/01. De in gedingen gerezen vragen tussen enerzijds het Rechnungshof (de Rekenkamer) en een groot aantal organen waarover deze instantie toezicht uitoefent, en anderzijds tussen C. Neukomm en J. Lauermann en hun werkgever, de Österreichische Rundfunk (hierna: ÖRF), een publiekrechtelijke radio-omroep, betreffen de verplichting van rechtspersonen die onder toezicht van het Rechnungshof staan, deze laatste gegevens te verstrekken over salarissen en pensioenen, ingeval deze een bepaald plafond overschrijden, die zij aan hun werknemers en gepensioneerden uitbetalen, met vermelding van de naam van de begunstigden, ten behoeve van de opstelling van een jaarverslag waarvan inzage wordt verleend aan de Nationalrat, de Bundesrat alsmede de Landtagen, en dat ter beschikking wordt gesteld van het grote publiek (hierna: verslag). Met hun eerste vraag wensen de verwijzende rechterlijke instanties in wezen te vernemen of Richtlijn 95/46 aldus moet worden uitgelegd, dat zij zich verzet tegen een nationale regelgeving als die aan de orde in de hoofdgedingen, welke een controleorgaan van de staat verplicht, gegevens over het inkomen van werknemers van aan zijn toezicht onderworpen organen te verzamelen en door te geven met het oog op openbaarmaking, wanneer dat inkomen een bepaald plafond overschrijdt. Antwoord van het Hof 68. Bovendien moet Richtlijn 95/46/EG, voorzover zij de verwerking regelt van persoonsgegevens die afbreuk kunnen doen aan de fundamentele vrijheden, inzonderheid het recht op persoonlijke levenssfeer, noodzakelijkerwijs worden uitgelegd op basis van de grondrechten, die volgens vaste rechtspraak integrerend deel uitmaken van de algemene rechtsbeginselen welker eerbiediging het Hof verzekert (zie met name het arrest van 6 maart 2001, Connolly/Commissie, C-274/99P, Jurispr. blz. I-1611, punt 37).
Art. 3. }1[§ 1. Deze wet is van toepassing op elke geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, alsmede op elke niet-geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen. § 2. Deze wet is niet van toepassing op de verwerking van persoonsgegevens die door een natuurlijk persoon in activiteiten met uitsluitend persoonlijke of huishoudelijke doeleinden wordt verricht. § 3. a) De artikelen 6, 7 en 8 zijn niet van toepassing op verwerkingen van persoonsgegevens voor uitsluitend journalistieke, artistieke of literaire doeleinden wanneer de verwerking betrekking heeft op persoonsgegevens die kennelijk publiek zijn gemaakt door de betrokken persoon of die in nauw verband staan met het
publiek karakter van de betrokken persoon of van het feit waarin die persoon betrokken is. b) Artikel 9, § 1, is niet van toepassing op verwerkingen van persoonsgegevens voor uitsluitend journalistieke, artistieke of literaire doeleinden wanneer de toepassing ervan de verzameling van gegevens bij de betrokken persoon in het gedrang zou brengen. Artikel 9, § 2, is niet van toepassing op verwerkingen van persoonsgegevens voor uitsluitend journalistieke, artistieke of literaire doeleinden wanneer de toepassing ervan tot één of meer van de volgende gevolgen zou leiden: – door de toepassing wordt de verzameling van gegevens in het gedrang gebracht; – door de toepassing wordt een voorgenomen publicatie in het gedrang gebracht;
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
33
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 3)
– de toepassing zou aanwijzingen verschaffen over de bronnen van informatie. c) De artikelen 10 en 12 zijn niet van toepassing op verwerkingen van persoonsgegevens voor uitsluitend journalistieke, artistieke of literaire doeleinden in de mate dat de toepassing ervan een voorgenomen publicatie in het gedrang zou brengen of aanwijzingen zou verschaffen over de bronnen van informatie. d) De artikelen 17, § 3, 9° en 12°, § 4 en § 8, evenals de artikelen 18, 21 en 22 zijn niet van toepassing op verwerkingen van persoonsgegevens voor uitsluitend journalistieke, artistieke of literaire doeleinden. § 4. De artikelen 6 tot 10, 12, 14, 15, 17, 17bis, eerste lid, 18, 20 en 31, §§ 1 tot 3, zijn niet van toepassing op de verwerkingen van persoonsgegevens door de Veiligheid van de Staat, door de Algemene Dienst inlichting en veiligheid van de Krijgsmacht, door }2[de overheden bedoeld in de artikelen 15, 22ter en 22quinquies van de wet van 11 december 1998 betreffende de classificatie en de veiligheidsmachtigingen, veiligheidsattesten en veiligheidsadviezen en het beroepsorgaan opgericht bij wet van 11 december 1998 tot oprichting van een beroepsorgaan inzake veiligheidsmachtigingen, veiligheidsattesten en veiligheidsadviezen]2, door de veiligheidsofficieren en door het Vast Comité van Toezicht op de inlichtingendiensten en de Dienst Enquêtes ervan, }3 [en door het Coördinatieorgaan voor de dreiginganalyse]3 indien die verwerkingen noodzakelijk zijn voor de uitoefening van hun opdrachten. § 5. De artikelen 9, 10, § 1, en 12 zijn niet van toepassing: 1° op de verwerkingen van persoonsgegevens beheerd door openbare overheden met het oog op de uitoefening van hun opdrachten van gerechtelijke politie; 2° op de verwerkingen van persoonsgegevens beheerd door de politiediensten bedoeld in artikel 3 van de wet van 18 juli 1991 tot regeling van het toezicht op politie- en inlichtingendiensten, met het oog op de uitoefening van hun opdrachten van bestuurlijke politie; 3° op de verwerkingen van persoonsgegevens beheerd, met het oog op de uitoefening van hun opdrachten van bestuurlijke politie, door andere openbare overheden die aangewezen zijn bij een in ministerraad overlegd koninklijk besluit, na advies van de Commissie voor de bescherming van de persoonlijke levenssfeer; 4° op de verwerkingen van persoonsgegevens die noodzakelijk zijn geworden ten gevolge van de toepassing van de wet van 11 januari 1993 tot voorkoming van het gebruik van het financiële stelsel voor het witwassen van geld; 5° op de verwerking van persoonsgegevens beheerd door het Vast Comité van Toezicht op de politiediensten en de Dienst Enquêtes ervan met het oog op de uitoefening van hun wettelijke opdrachten. § 6. De artikelen 6, 8, 9, 10, § 1, en 12 zijn niet van toepassing na een machtiging door de Koning bij een in ministerraad overlegd besluit, op de verwerkingen beheerd door het Europees Centrum voor vermiste en seksueel uitgebuite kinderen, hierna genoemd «het Centrum», instelling van openbaar nut die is opgericht bij akte van 25 juni 1997 en erkend bij koninklijk besluit
34
van 10 juli 1997 voor de ontvangst, de overzending aan de gerechtelijke overheid en de opvolging van gegevens betreffende personen die ervan verdacht worden in een bepaald dossier van vermissing of seksuele uitbuiting, een misdaad of wanbedrijf te hebben begaan. Dit besluit bepaalt de duur en de voorwaarden van de machtiging na advies van de Commissie voor de bescherming van de persoonlijke levenssfeer. Het Centrum kan geen bestand houden betreffende personen die ervan verdacht worden een misdaad of wanbedrijf te hebben begaan of van veroordeelde personen. De raad van beheer van het Centrum wijst onder de personeelsleden van het Centrum een aangestelde voor de gegevensverwerking aan die kennis heeft van het beheer en de bescherming van persoonsgegevens. De uitoefening van zijn taken mag voor de aangestelde geen nadelen ten gevolge hebben. Hij mag in het bijzonder, niet ontslagen of als aangestelde vervangen worden wegens de uitoefening van de taken die hem zijn toevertrouwd. De Koning bepaalt bij een in ministerraad overlegd besluit na advies van de Commissie voor de bescherming van de persoonlijke levenssfeer de taken van de aangestelde en de wijze waarop deze worden uitgevoerd, alsmede de wijze waarop het Centrum verslag dient uit te brengen aan de Commissie voor de bescherming van de persoonlijke levenssfeer over de verwerking van persoonsgegevens in het kader van de verleende machtiging. De personeelsleden en degenen die voor het Centrum persoonsgegevens verwerken, zijn tot geheimhouding verplicht. Elke schending van die geheimhoudingsplicht wordt gestraft overeenkomstig het bepaalde in artikel 458 van het Strafwetboek. In het raam van zijn ondersteunende taken inzake de opsporing van de als vermist of ontvoerd opgegeven kinderen, kan het Centrum alleen telefoongesprekken opnemen wanneer de oproeper hierover geïnformeerd wordt en voor zover hij zich daartegen niet heeft verzet.]1 }4 [§ 7. De artikelen 6 tot 10, § 1, en 12, zijn niet van toepassing op de verwerkingen beheerd door het Europees Centrum voor vermiste en seksueel uitgebuite kinderen, hierna genoemd «het Centrum», instelling van openbaar nut die is opgericht bij akte van 25 juni 1997 en erkend bij koninklijk besluit van 10 juli 1997, met het oog op het verrichten van de taken vastgesteld door of krachtens de overeenkomst inzake het profiel en de monitoring van de trajecten van de niet-begeleide minderjarige asielaanvragers gesloten tussen de Belgische Staat en het Centrum. Deze bepaling treedt in werking op 1 januari 2003 en verstrijkt op }5[31 december 2003]5.]4 }1. – Vervangen bij art. 4 wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001) }2. – § 4 gewijzigd bij art. 7 wet 3 mei 2005, B.S., 27 mei 2005, inwerkingtreding: 7 juni 2005 (art. 6 K.B. 3 juni 2005, B.S., 7 juni 2005) }3. – § 4 gewijzigd bij art. 15 wet 10 juli 2006, B.S., 20 juli 2006, inwerkingtreding: 1 december 2006 (art. 18) }4. – § 7 toegevoegd bij art. 29, zoals ingevoegd bij art. 479 Programmawet (I) 24 december 2002, B.S., 31 december 2002, err., B.S., 7 februari 2003 }5. – § 7, lid 2, gewijzigd bij art. 32 Programmawet 5 augustus 2003, B.S., 7 augustus 2003, err., B.S., 9 september 2003
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 3)
TOEPASSINGSGEBIED WVP TOEPASSING: PERSOONSGEGEVENS VOOR EEN BESTAND
§ 1. Toepassingsgebied WVP, toepassing: persoonsgegevens voor een bestand Opmerking: voor het begrip "bestand" wordt verwezen naar artikel 1 § 3.
1. INTERNATIONALE WETGEVING – Guidelines of the United Nations for the Regulation of Computerized Personal Data Files (1990) - (10) Field of application: the present principles should be made applicable, in the first instance, to all public and private computerized files as well as, by means of optional extension and subject to appropriate adjustments, to manual files (...). – Artikel 3 a) van het Verdrag nr. 108 van de Raad van Europa tot bescherming van personen ten opzichte van de geautomatiseerde verwerking van persoonsgegevens (1981): de Partijen verbinden zich dit Verdrag toe te passen op de geautomatiseerde bestanden van persoonsgegevens en op de geautomatiseerde verwerking van persoonsgegevens in de openbare en particuliere sector. – Recommendation No. R(89)2 of the Committee of Ministers to Member States on the protection of personal data used for employment purposes (1989): manual processing of data should not be used by employers in order to avoid the principles contained in this recommendation. De meeste sectoriële aanbevelingen van de Raad van Europa bevatten een vergelijkbare bepaling. (Zie bvb.: Recommendation No. R(2002) 9 of the Committee of Ministers to Member States on the protection of personal data collected and processed for insurance purposes (2002) - (artikel 2.3.)). – Artikel 3 § 1 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): de bepalingen van deze Richtlijn zijn van toepassing op de geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, alsmede op de niet-geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen. – International Standards on the Protection of Personal Data and Privacy (2009) (The Madrid Resolution): resolutie goedgekeurd op 5 november 2009 door de Internationale Conferentie van de commissarissen voor de bescherming van gegevens en de privacy. Principe nr. 3 : Scope of application: 1. This Document is aimed in its application at any processing of personal data, wholly or partly by automatic means, or otherwise in a structured manner, and carried out in the public or the private sector. ALGEMENE UITZONDERING: PRIVÉGEBRUIK
§ 2. Algemene uitzondering: privégebruik 1. INTERNATIONALE WETGEVING – Artikel 3 § 2 derde lid van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): de bepalingen van deze Richtlijn zijn niet van toepassing op de verwerking van persoonsgegevens die door een natuurlijk persoon in activiteiten met uitsluitend persoonlijke of huishoudelijke doeleinden wordt verricht. – Overweging 12 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): overwegende dat de beginselen inzake bescherming moeten gelden voor alle verwerkingen van persoonsgegevens zodra de werkzaamheden van de voor de verwerking verantwoordelijke binnen de werkingssfeer van het Gemeenschapsrecht vallen; dat dit niet geldt voor de verwerking van gegevens door een natuurlijke persoon in activiteiten met uitsluitend persoonlijke of huishoudelijke doeleinden, bijvoorbeeld correspondentie en het bijhouden van adressenbestanden. – International Standards on the Protection of Personal Data and Privacy (2009) (The Madrid Resolution): resolutie goedgekeurd op 5 november 2009 door de Internationale Conferentie van de commissarissen voor de bescherming van gegevens en de privacy. Principe nr. 3: Scope of application: 2. Applicable national legislation may lay down that the provisions of this Document do not apply to the processing of personal data by a natural person in the course of activities related exclusively to his/her private and family life.
2. ADVIEZEN VAN DE GROEP 29 – Groep 29, Advies 5/2009 over online sociale netwerken (12 juni 2009, WP 163): in dit advies kreeg de Groep 29 de gelegenheid om m.b.t. sociale netwerken zijn interpretatie te geven van het begrip "persoonlijke en huishoudelijke doeleinden". Gebruikers - In de meeste gevallen worden de gebruikers beschouwd als "betrokkenen". De richtlijn legt aan natuurlijke personen die persoonsgegevens verwerken in het kader van "activiteiten met uitsluitend persoonlijke of huishoudelijke doeleinden" niet de verplichtingen van een voor de verwerking verantwoordelijke op (de vrijstelling voor huishoudelijk gebruik). In bepaalde omstandigheden kan het voorkomen dat de activitei-
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
35
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 3)
ten van de gebruiker van een sociale netwerkdienst niet onder deze vrijstelling vallen, en kan de gebruiker worden geacht bepaalde verantwoordelijkheden van een voor de verwerking verantwoordelijke op zich te hebben genomen. Enkele van deze omstandigheden worden hieronder besproken. Doel en aard - Een groeiende trend bij sociale netwerkdiensten is de verschuiving van Web 2.0 voor amusement naar Web 2.0 voor productiviteit en diensten. Daarvan is sprake wanneer de activiteiten van gebruikers van sociale netwerkdiensten niet meer alleen persoonlijke of huishoudelijke doeleinden dienen, maar zich uitstrekken tot gebruik van deze diensten als samenwerkingsplatform voor een organisatie of bedrijf. De vrijstelling geldt niet wanneer een gebruiker van sociale netwerkdiensten namens een bedrijf of organisatie optreedt of de diensten gebruikt voor commerciële, politieke of charitatieve doeleinden. De gebruiker geldt in zo'n geval wel degelijk ten volle als de "voor de verwerking verantwoordelijke", die persoonsgegevens verstrekt aan een andere voor de verwerking verantwoordelijke (de sociale netwerkdienst) en aan derden (andere gebruikers en mogelijk nog andere voor de verwerking verantwoordelijken die tot de gegevens toegang hebben). De gebruiker moet in zulke omstandigheden de toestemming hebben van de betrokkenen, of een van de rechtsgrondslagen die de richtlijn gegevensbescherming biedt, moet van toepassing zijn. De toegang tot gegevens (profielgegevens, berichtjes, verhalen e.d.) van een gebruiker is doorgaans beperkt tot door de gebruiker zelf gekozen contactpersonen. In sommige gevallen verzamelen gebruikers echter een groot aantal contactpersonen, die ze misschien niet allemaal echt kennen. Een groot aantal contactpersonen kan een aanwijzing vormen dat de vrijstelling voor huishoudelijk gebruik niet geldt en de gebruiker dus als "voor de verwerking verantwoordelijke" moet worden beschouwd. Toegang tot profielgegevens - Sociale netwerkdiensten moeten zorgen voor privacyvriendelijke en kosteloze standaardinstellingen die de toegang beperken tot zelf gekozen contactpersonen. Wanneer profielinformatie ook toegankelijk is voor anderen dan zelfgekozen contactpersonen, zoals wanneer een profiel voor alle leden van een sociale netwerkdienst toegankelijk is of de gegevens kunnen worden geïndexeerd door zoekmachines, is er sprake van toegang buiten de persoonlijke of huishoudelijke sfeer. Ook wanneer een gebruiker er weloverwogen voor kiest toegang te verlenen aan personen buiten de kring van zelfgekozen "vrienden", is er sprake van de status van voor de verwerking verantwoordelijke. In dat geval gelden in feite dezelfde wettelijke regels als wanneer iemand via een ander technologisch platform persoonsgegevens op het web openbaar maakt. In een aantal Lid-Staten betekent het ontbreken van toegangsbeperkingen (en daardoor het openbare karakter) dat de richtlijn gegevensbescherming van toepassing is en de internetgebruiker de status van voor de verwerking verantwoordelijke heeft. Er zij aan herinnerd dat, ook als de ontheffing voor huishoudelijk gebruik niet van toepassing is, een gebruiker van sociale netwerkdiensten voor andere ontheffingen in aanmerking kan komen, zoals de ontheffing voor journalistieke of voor artistieke of literaire doeleinden. In dergelijke gevallen dient een afweging te worden gemaakt tussen de vrijheid van meningsuiting en het recht op bescherming van de persoonlijke levenssfeer. Verwerking van gegevens van derden door gebruikers - De geldigheid van de ontheffing voor huishoudelijk gebruik wordt ook beperkt doordat de rechten van derden moeten worden gewaarborgd, met name wanneer het om gevoelige gegevens gaat. Ook wanneer de ontheffing voor huishoudelijk gebruik van toepassing is, kan een gebruiker bovendien algemeen civiel- of strafrechtelijk aansprakelijk zijn (bijvoorbeeld in het geval van smaad, aansprakelijkheid uit onrechtmatige daad wegens schending van persoonlijkheidsrechten, strafrechtelijke aansprakelijkheid).
3. RECHTSPRAAK VAN HET EUROPESE HOF VAN JUSTITIE – 3.1. Europees Hof van Justitie, Arrest van 6 november 2003, Bodil Linqvist (prejudiciële vragen), - Zaak C-101/ 01. Feiten Eind 1998 heeft Lindqvist thuis op haar eigen computer internetpagina's gecreëerd, zodat gemeenteleden die hun belijdenis wilden doen, gemakkelijk de door hen benodigde informatie konden opvragen. Op haar verzoek heeft de webmaster van de website van de Kerk van Zweden op die website een link naar die pagina's geplaatst. De bedoelde pagina's bevatten informatie over Lindqvist en 18 van haar collega's in de kerkgemeente, waaronder hun volledige naam of soms alleen hun voornaam. Bovendien beschreef Lindqvist in licht humoristische bewoordingen de werkzaamheden van haar collega's en hun liefhebberijen. In een aantal gevallen werden hun gezinssituatie, hun telefoonnummer en andere gegevens vermeld. Verder heeft zij verteld dat een van haar collega's haar voet had bezeerd en met gedeeltelijk ziekteverlof was. Met zijn derde vraag wenst de verwijzende rechter in wezen te vernemen of een verwerking van persoonsgegevens als bedoeld in de eerste vraag, valt onder één van de uitzonderingen van artikel 3, lid 2, van Richtlijn 95/46/EG. Bij het Hof ingediende opmerkingen 30. Lindqvist stelt dat een particulier die met gebruikmaking van zijn vrijheid van meningsuiting internetpagina's creëert in het kader van een activiteit zonder winstoogmerk of van zijn hobby, geen economische activiteit uitoefent en dus niet onder de toepassing van het gemeenschapsrecht valt. Mocht het Hof een andere opvatting zijn toegedaan, dan rijst de vraag of Richtlijn 95/46/EG geldig is, want in dat geval zou de gemeenschapswetgever met de vaststelling van die Richtlijn de bevoegdheden hebben overschreden die hem bij artikel
36
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 3)
100 A EG-Verdrag (thans, na wijziging, artikel 95 EG) zijn verleend. Immers, de harmonisatie van de wetgevingen die de instelling en de werking van de interne markt betreffen, kan niet als rechtsgrondslag dienen voor communautaire maatregelen die het recht van particulieren op vrijheid van meningsuiting op internet regelen. 31. De Zweedse regering voert aan dat de Zweedse wetgever bij de omzetting van Richtlijn 95/46 in nationaal recht ervan is uitgegaan dat de verwerking van persoonsgegevens door een natuurlijk persoon, die bestaat in de doorgifte van die gegevens aan een onbepaald aantal personen, bijvoorbeeld via internet, niet kon worden aangemerkt als activiteit met uitsluitend persoonlijke of huishoudelijke doeleinden in de zin van artikel 3, lid 2, tweede streepje, van Richtlijn 95/46/EG. Daarentegen sluit deze regering niet uit dat de uitzondering van artikel 3, lid 2, eerste streepje, betrekking heeft op gevallen waarin een natuurlijk persoon persoonsgegevens op een internetpagina openbaar maakt enkel in het kader van de uitoefening van zijn vrijheid van meningsuiting en zonder enige band met een beroepsmatige of commerciële activiteit. 32. Volgens de Nederlandse regering valt een geautomatiseerde verwerking van gegevens als de onderhavige onder geen van de uitzonderingen van artikel 3, lid 2, van Richtlijn 95/46. Wat meer in het bijzonder de uitzondering van het tweede streepje van artikel 3, lid 2, betreft, merkt die regering op dat wie een internetpagina creëert, de daarop geplaatste gegevens ter kennis brengt van een in beginsel onbepaalde groep personen. 33. De Commissie voert aan dat een internetpagina als die waarom het in het hoofdgeding gaat, niet kan worden geacht buiten de werkingssfeer van Richtlijn 95/46 te vallen krachtens artikel 3, lid 2, van die Richtlijn, maar, gelet op het doel van die pagina, een creatie voor artistieke of literaire doeleinden in de zin van artikel 9 van die Richtlijn is. 34. Artikel 3, lid 2, eerste streepje, van Richtlijn 95/46 kan volgens de Commissie op twee verschillende manieren worden uitgelegd. Volgens de ene uitlegging is de strekking van die bepaling beperkt tot de als voorbeelden aangehaalde gebieden, namelijk de activiteiten die voornamelijk vallen onder wat men de tweede en de derde pijler pleegt te noemen. Volgens de andere uitlegging is de uitoefening van alle niet onder het gemeenschapsrecht vallende activiteiten van de werkingssfeer van Richtlijn 95/46 uitgesloten. 35. De Commissie stelt dat het gemeenschapsrecht zich niet beperkt tot de economische activiteiten die verband houden met de vier fundamentele vrijheden. Uit de rechtsgrondslag van Richtlijn 95/46, het doel ervan, artikel 6 EU, het Handvest van de grondrechten van de Europese Unie dat op 18 december 2000 te Nice is afgekondigd (PB C 364, blz. 1), en het Verdrag van de Raad van Europa van 28 januari 1981 tot bescherming van personen ten aanzien van de geautomatiseerde verwerking van persoonsgegevens, moet volgens haar worden afgeleid, dat die Richtlijn beoogt het vrije verkeer van persoonsgegevens als de uitoefening van niet alleen een economische maar ook van een sociale activiteit in het kader van de integratie en de werking van de interne markt te regelen. 36. Bovendien zou een algemene uitsluiting van de werkingssfeer van Richtlijn 95/46 van internetpagina's die geen commercieel of dienstenelement bevatten, tot ernstige afbakeningsproblemen kunnen leiden. Een groot aantal internetpagina's met persoonsgegevens die bedoeld zijn om bepaalde personen in een kwaad daglicht te stellen, zou dan buiten de werkingssfeer van die Richtlijn kunnen vallen. Antwoord van het Hof 37. In artikel 3, lid 2, van Richtlijn 95/46 worden twee uitzonderingen op de werkingssfeer daarvan gemaakt. 38. De eerste uitzondering betreft de verwerking van persoonsgegevens die met het oog op de uitoefening van niet binnen de werkingssfeer van het gemeenschapsrecht vallende activiteiten geschieden zoals die bedoeld in de titels V en VI van het Verdrag betreffende de Europese Unie, en in ieder geval de verwerking van gegevens die betrekking hebben op de openbare veiligheid, defensie, de veiligheid van de staat (waaronder de economie van de staat, wanneer deze verwerkingen in verband staan met vraagstukken van staatsveiligheid), en de activiteiten van de staat op strafrechtelijk gebied. 39. Daar de in het hoofdgeding betrokken activiteiten van Lindqvist in wezen niet economisch waren maar te maken hadden met vrijwilligerswerk en religieuze activiteiten, moet worden onderzocht of zij zijn aan te merken als verwerkingen van persoonsgegevens die met het oog op de uitoefening van niet binnen de werkingssfeer van het gemeenschapsrecht vallende activiteiten geschieden in de zin van artikel 3, lid 2, eerste streepje van Richtlijn 95/46. 40. Het Hof heeft ter zake van Richtlijn 95/46, die op artikel 100 A van het Verdrag is gebaseerd, reeds beslist dat voor een beroep op die rechtsgrondslag niet vereist is, dat in elke situatie die valt onder een op deze grondslag gebaseerde handeling een daadwerkelijk verband met het vrije verkeer tussen Lid-Staten bestaat (zie arrest van 20 mei 2003, Österreichischer Rundfunk e.a., C-465/00, C-138/01 en C-139/01, Jurispr. blz. I-4989, punt 41 en aldaar aangehaalde rechtspraak). 41. Iedere andere uitlegging brengt het gevaar met zich mee dat de grenzen van de werkingssfeer van die Richtlijn bijzonder onzeker en vaag worden, hetgeen strijdig zou zijn met de voornaamste doelstelling van de Richtlijn, namelijk de harmonisatie van de wettelijke en bestuursrechtelijke bepalingen van de Lid-Staten teneinde de belemmeringen van de werking van de interne markt die voortvloeien uit de verschillen tussen nationale wetgevingen weg te nemen (arrest Österreichischer Rundfunk e.a., reeds aangehaald, punt 42). 42. In die omstandigheden mag de uitdrukking niet binnen de werkingssfeer van het gemeenschapsrecht vallende activiteiten niet in dier voege worden uitgelegd, dat van geval tot geval moet worden nagegaan of de betrokken specifieke activiteit het vrije verkeer tussen Lid-Staten rechtstreeks beïnvloedt.
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
37
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 3)
43. De in artikel 3, lid 2, eerste streepje, van Richtlijn 95/46 als voorbeeld genoemde activiteiten (te weten de activiteiten bedoeld in de titels V en VI van het Verdrag betreffende de Europese Unie, alsmede de verwerkingen die betrekking hebben op de openbare veiligheid, defensie, de veiligheid van de staat, en de activiteiten op strafrechtelijk gebied) zijn telkens specifieke activiteiten van de staten of de overheidsdiensten en hebben met de activiteiten van particulieren niets van doen. 44. Derhalve moet ervan worden uitgegaan dat de activiteiten die in artikel 3, lid 2, eerste streepje, van Richtlijn 95/46 als voorbeeld worden genoemd, dienen tot afbakening van het toepassingsgebied van de daarin geregelde uitzondering, zodat die uitzondering enkel geldt voor activiteiten die daarin dus uitdrukkelijk zijn vermeld of die in dezelfde categorie kunnen worden ondergebracht (eiusdem generis). 45. Vrijwilligerswerk of religieuze activiteiten, zoals door Lindqvist zijn uitgeoefend, zijn niet gelijk te stellen met de in artikel 3, lid 2, eerste streepje, van Richtlijn 95/46 genoemde activiteiten en vallen dus niet onder die uitzondering. 46. Met betrekking tot de tweede uitzondering van artikel 3, lid 2, tweede streepje, van Richtlijn 95/46 zijn in punt 12 van de considerans van die Richtlijn de correspondentie en het bijhouden van adressenbestanden genoemd als voorbeelden van verwerking van gegevens door een natuurlijke persoon in activiteiten met uitsluitend persoonlijke of huishoudelijke doeleinden. 47. Die uitzondering moet derhalve aldus worden uitgelegd, dat zij uitsluitend betrekking heeft op activiteiten die tot het persoonlijke of gezinsleven van particulieren behoren, hetgeen klaarblijkelijk niet het geval is met de verwerking van persoonsgegevens die bestaat in hun openbaarmaking op internet waardoor die gegevens voor een onbepaald aantal personen toegankelijk worden gemaakt. – HvJ EG, arrest van 16 december 2008, Tietosuojavaltuutettu tegen Satakunnan Markkinapörssi Oy en Satamedia Oy, In zaak C-73/07. Hoofdgeding en prejudiciële vragen 25. Markkinapörssi vergaart al jaren bij de Finse belastingautoriteiten openbare gegevens, met als doel elk jaar uittreksels uit die gegevens te publiceren in de regionale edities van de krant Veropörssi. 26. De informatie in die publicaties omvat de voor- en achternaam van ongeveer 1,2 miljoen natuurlijke personen met een inkomen boven een bepaald bedrag, alsmede op 100 EUR nauwkeurig de hoogte van hun inkomen uit kapitaal en arbeid en gegevens over hun vermogensbelasting. Deze informatie wordt meegedeeld in de vorm van een alfabetische lijst per gemeente en per inkomenscategorie. 27. Volgens de verwijzingsbeslissing verklaart Markkinapörssi dat de gepubliceerde persoonsgegevens desverzocht kosteloos uit de krant Veropörssi kunnen worden verwijderd. 28. De krant bevat weliswaar ook artikelen, samenvattingen en advertenties, maar het belangrijkste doel ervan is het publiceren van persoonlijke belastinggegevens. 29. Markkinapörssi heeft de in Veropörssi gepubliceerde persoonsgegevens op cd-rom verstrekt aan Satamedia, dat tot hetzelfde concern behoort, voor verspreiding per sms. Daartoe hebben de twee vennootschappen een overeenkomst gesloten met een mobiel telefoonbedrijf, dat voor rekening van Satamedia een sms-dienst heeft opgezet waarmee de gebruikers van een mobiele telefoon tegen betaling van ongeveer 2 EUR op hun toestel een sms kunnen ontvangen met de in Veropörssi gepubliceerde informatie. Desverzocht worden de persoonsgegevens uit deze dienst verwijderd. 30. De tietosuojavaltuutettu en de tietosuojalautakunta, de Finse instanties belast met de gegevensbescherming, zien toe op de verwerking van persoonsgegevens en zijn beslissingsbevoegd onder de in de wet inzake persoonsgegevens gestelde voorwaarden. 31. Na klachten van particulieren over schending van hun privéleven verzocht de tietosuojavaltuutettu die belast was met het onderzoek naar de activiteiten van Markkinapörssi en Satamedia op 10 maart 2004 aan de tietosuojalautakunta, deze bedrijven te verbieden voort te gaan met deze verwerking van persoonsgegevens. (...). Toepassingsveld van de richtlijn 38. Met zijn vierde vraag, die als tweede moet worden besproken, wenst de verwijzende rechter in wezen te vernemen of de verwerking van persoonsgegevens als bedoeld in vraag 1, sub c en d, betreffende naambestanden die enkel informatie bevatten welke reeds als zodanig is gepubliceerd in de media, binnen de werkingssfeer van de richtlijn valt. 39. Ingevolge artikel 3, lid 2, van de richtlijn is de richtlijn in twee gevallen niet op de verwerking van persoonsgegevens van toepassing. 40. Het eerste geval betreft de verwerking van persoonsgegevens die met het oog op de uitoefening van niet binnen de werkingssfeer van het gemeenschapsrecht vallende activiteiten geschiedt, zoals die bedoeld in de titels V en VI van het Verdrag betreffende de Europese Unie, en in ieder geval verwerkingen die betrekking hebben op de openbare veiligheid, defensie, de veiligheid van de staat (waaronder de economie van de staat, wanneer deze verwerkingen in verband staan met vraagstukken van staatsveiligheid), en de activiteiten van de staat op strafrechtelijk gebied. 41. Deze in artikel 3, lid 2, eerste streepje, van de richtlijn als voorbeeld genoemde activiteiten zijn in alle gevallen specifieke activiteiten van de staten of van overheidsdiensten en hebben niets van doen met de gebieden waarop particulieren activiteiten ontplooien. Zij dienen tot afbakening van de reikwijdte van de daarin ge-
38
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 3)
regelde uitzondering, zodat die uitzondering enkel geldt voor activiteiten die daarin aldus uitdrukkelijk zijn vermeld of die in dezelfde categorie kunnen worden ondergebracht (eiusdem generis) (zie arrest van 6 november 2003, Lindqvist, C-101/01, Jurispr. blz. I-12971, punten 43 en 44). 42. De in vraag 1, sub c en d, genoemde verwerking van persoonsgegevens is echter een activiteit van particuliere ondernemingen. Dit is geen activiteit in een door de overheid ingesteld kader dat betrekking heeft op de openbare veiligheid. Dergelijke activiteiten kunnen dan ook niet op één lijn worden gesteld met die van artikel 3, lid 2, van de richtlijn (zie in die zin arrest van 30 mei 2006, Parlement/Raad, C-317/04 en C-318/04, Jurispr. blz. I-4721, punt 58). 43. Wat het tweede geval betreft, genoemd in het tweede streepje van deze bepaling, zijn in punt 12 van de considerans van de richtlijn, dat betrekking heeft op deze uitzondering, correspondentie en het bijhouden van adressenbestanden genoemd als voorbeeld van gegevensverwerking door een natuurlijk persoon in activiteiten met een uitsluitend persoonlijk of huishoudelijk doel. 44. Deze tweede uitzondering moet dus in die zin worden uitgelegd dat zij uitsluitend betrekking heeft op activiteiten die tot het persoonlijk of gezinsleven van particulieren behoren (zie arrest Lindqvist, punt 47). Dit is duidelijk niet het geval met betrekking tot de activiteiten van Markkinapörssi en Satamedia, die tot doel hebben, de verzamelde gegevens ter kennis te brengen van een onbestemd aantal personen. 45. Derhalve moet worden geconcludeerd dat de in vraag 1, sub c en d, bedoelde verwerking van persoonsgegevens niet behoort tot de in artikel 3, lid 2, van de richtlijn genoemde gevallen. 46. Overigens moet erop worden gewezen dat de richtlijn geen verdere beperking van haar werkingssfeer toelaat. 47. In dit verband merkt de advocaat-generaal in punt 125 van haar conclusie op dat artikel 13 van de richtlijn slechts uitzonderingen toestaat op enkele richtlijnbepalingen, waaronder niet artikel 3. 48. Ten slotte moet worden opgemerkt dat door een algemene afwijking van de toepassing van de richtlijn voor gepubliceerde informatie, deze richtlijn grotendeels zinloos zou worden. De Lid-Staten zouden dan immers gegevens slechts behoeven te publiceren om ze aan de bescherming van de richtlijn te onttrekken. 49. Derhalve moet op de vierde vraag worden geantwoord dat de verwerking van persoonsgegevens als bedoeld in vraag 1, sub c en d, betreffende bestanden van de overheid met persoonsgegevens die enkel informatie bevatten welke reeds als zodanig is gepubliceerd in de media, binnen de werkingssfeer van de richtlijn valt. SPECIFIEKE UITZONDERING: JOURNALISTIEKE, ARTISTIEKE OF LITERAIRE DOELEINDEN GEGEVENS VAN PUBLIEKE AARD: ARTIKEL 6, 7 EN 8 WVP NIET VAN TOEPASSING
§ 3, a), Specifieke uitzondering: journalistieke, artistieke of literaire doeleinden: gegevens van publieke aard: artikel 6, 7 en 8 WVP niet van toepassing 1. INTERNATIONALE WETGEVING – Artikel 9 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): de Lid-Staten voorzien voor de verwerking van persoonsgegevens voor uitsluitend journalistieke of voor artistieke of literaire doeleinden in uitzonderingen op en afwijkingen van de bepalingen van Hoofdstuk II van de Richtlijn (algemene voorwaarden voor de rechtmatigheid van de verwerking van persoonsgegevens) en van de hoofdstukken IV (doorgifte van persoonsgegevens naar derde landen) en VI (Toezichthoudende autoriteit) uitsluitend voor zover deze nodig blijken om het recht op persoonlijke levenssfeer te verzoenen met de regels betreffende de vrijheid van meningsuiting. – Overweging 17 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): overwegende dat wat betreft verwerkingen van geluid- en beeldgegevens voor journalistieke, literaire of artistieke doeleinden, met name in de audiovisuele sector, de beginselen van de Richtlijn, met een aantal beperkingen overeenkomstig artikel 9 van toepassing zijn. – Overweging 37 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): overwegende dat voor de verwerking van persoonsgegevens voor journalistieke, artistieke of literaire, en met name audiovisuele, doeleinden moet worden voorzien in uitzonderingen op of beperkingen van bepalingen van deze Richtlijn, voor zover deze noodzakelijk zijn om de fundamentele rechten van de persoon te verzoenen met de vrijheid van meningsuiting, inzonderheid de vrijheid om inlichtingen te ontvangen of te verstrekken, zoals die met name bij artikel 10 van het Europese Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden wordt gewaarborgd; dat het derhalve de taak van de Lid-Staten is om in het kader van de afweging tussen fundamentele rechten de noodzakelijke uitzonderingen en beperkingen vast te stellen ten aanzien van de algemene maatregelen inzake de rechtmatigheid van de gegevensverwerking, de overdracht van gegevens naar derde landen alsmede de bevoegdheden van de controlerende instanties; dat zulks evenwel de Lid-Staten er niet toe mag bewegen te voorzien in uitzonderingen op de maatregelen om de beveiliging van de verwerking te garanderen; dat ten minste aan de op dit gebied bevoegde toezichthoudende instantie tevens bepaalde bevoegdheden a posteriori moeten worden verleend, zoals het op gezette tijden indienen van een verslag of het in rechte optreden.
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
39
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 3)
2. ADVIEZEN VAN DE GROEP 29 – Groep 29, Aanbeveling 1/97 Wetgeving inzake gegevensbescherming en de media (25 februari 1997 - WP1): in deze aanbeveling geeft de Groep 29 nuttig advies over de interpretatie van artikel 9 van de Richtlijn. Dit artikel vermeldt dat de Lid-Staten bepaalde vrijstellingen en uitzonderingen kunnen voorzien op de reglementering inzake gegevensbescherming indien de persoonsgegevens worden verwerkt voor journalistieke doeleinden of voor artistieke of literaire uitdrukkingsvrijheid. In het eerste deel van het document worden enige algemene aspecten van de toepassing van de wetgeving inzake gegevensbescherming op de media uiteengezet, waarbij ook aandacht wordt besteed aan de wetgevingsgeschiedenis van artikel 9 van de Richtlijn. Het oorspronkelijke voorstel van de Commissie bepaalde immers dat de Lid-Staten de mogelijkheid kregen om te voorzien in afwijkingen op de bepalingen van de Richtlijn voor de pers en audiovisuele media. Deze mogelijkheid veranderde vervolgens in een verplichting. Het document eindigt met een lijst overwegingen waarin wordt gesteld dat bij de evaluatie van de afwijkingen die in toepassing van artikel 9 van de Richtlijn werden bepaald er steeds in het achterhoofd moet worden gehouden dat: - de wetgeving inzake de bescherming van gegevens in beginsel van toepassing is op de media. Uitzonderingen en vrijstellingen kunnen uitsluitend worden vastgesteld ten aanzien van hoofdstuk II inzake de algemene voorwaarden voor de rechtmatigheid van de verwerking van gegevens, hoofdstuk IV inzake de doorgifte van gegevens aan derde landen en hoofdstuk VI betreffende de bevoegdheden van toezichthoudende autoriteiten; - alle uitzonderingen en vrijstellingen op grond van artikel 9 in overeenstemming moeten zijn met het evenredigheidsbeginsel; - uitzonderingen en vrijstellingen krachtens artikel 9 wellicht niet nodig zijn wanneer de flexibiliteit van andere bepalingen van de Richtlijn of de uitzonderingen uit hoofde van andere specifieke bepalingen reeds een bevredigend evenwicht mogelijk maken tussen de persoonlijke levenssfeer en de vrijheid van meningsuiting; - artikel 9 van de Richtlijn het recht respecteert van natuurlijke personen op vrijheid van meningsuiting. Uitzonderingen en vrijstellingen uit hoofde van dit artikel kunnen niet worden toegekend aan de media of aan journalisten als zodanig, maar uitsluitend aan eenieder die gegevens verwerkt voor journalistieke doeleinden; - de uitzonderingen en vrijstellingen slechts betrekking kunnen hebben op gegevensverwerking voor journalistieke (redactionele) doeleinden, met inbegrip van elektronische uitgaven. Elke andere vorm van gegevensverwerking door journalisten of de media is onderworpen aan de gewone bepalingen van de Richtlijn. Dit onderscheid is vooral van belang voor elektronische uitgaven. De verwerking van abonneegegevens voor facturering of voor direct marketing (met inbegrip van de verwerking van gegevens door de media voor profielschetsen) valt onder de gewone regeling voor de bescherming van gegevens; - de Richtlijn een evenwicht vereist tussen twee fundamentele vrijheden. Bij de beoordeling of beperkingen van de rechten en verplichtingen, welke voortvloeien uit de Richtlijn, evenredig zijn met het doel van de bescherming van de vrijheid van meningsuiting, moet bijzondere rekening worden gehouden met de specifieke garanties die personen genieten in relatie tot de media. Beperkingen van het recht van toegang en rectificatie voorafgaand aan publicatie kunnen slechts evenredig zijn voor zover de natuurlijke personen een recht van antwoord of rectificatie van onjuiste informatie hebben na publicatie; - de natuurlijke personen in elk geval moeten kunnen gebruik maken van doeltreffende mogelijkheden om in beroep te gaan bij schending van hun rechten. Bij de beoordeling of vrijstellingen of afwijkingen evenredig zijn, moet rekening worden gehouden met de geldende ethische en beroepsgebonden verplichtingen van journalisten en met de vormen van toezicht in het kader van de zelfregulering van deze beroepsgroep. – Groep 29, Advies 1/2008 over gegevensbescherming en zoekmachines (4 april 2008, WP 148): de werkgroep is zich ervan bewust dat zoekmachines in de wereld van online-informatie een speciale rol spelen. De communautaire wetgeving inzake gegevensbescherming en de wetten van de diverse Lid-Staten moeten het juiste evenwicht vinden tussen enerzijds de bescherming van het recht op een privéleven en de bescherming van persoonsgegevens, en anderzijds de vrije informatiestroom en het fundamentele recht op vrijheid van meningsuiting. Artikel 9 van de richtlijn over gegevensbescherming moet ervoor zorgen dat dit evenwicht ten aanzien van de media wordt gevonden in de wetgeving van de Lid-Staten. Verder heeft het Europees Hof van Justitie duidelijk gemaakt dat grenzen aan de vrijheid van meningsuiting die volgen uit de toepassing van beginselen op het gebied van gegevensbescherming in overeenstemming moeten zijn met de wetgeving en moeten voldoen aan het evenredigheidsbeginsel (Lindqvist t. Suède, punten 88 tot 90).
3. VERSLAGEN EN STUDIES VAN DE RAAD VAN EUROPA – Raad van Europa, Data protection and media (1990).
4. RECHTSPRAAK VAN HET EUROPESE HOF VAN JUSTITIE – Cemalettin Canli t. Turkije, van 18 november 2008, verzoek nr. 22427/04. De eiser protesteert tegen het feit dat de politie een dossier over hem bijhoudt en de publicatie in de nationale pers van zaken die nefaste gevolgen had op zijn privéleven. Hij beroept zich op artikel 8 (recht op eerbiediging van het privé-, en gezinsleven), 6 §2 (vermoeden van onschuld) en 13 (recht op een daadwerkelijk beroep).
40
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 3)
5. RECHTSPRAAK VAN HET EUROPESE HOF VOOR DE RECHTEN VAN DE MENS – HvJ EG, arrest van 16 december 2008, Tietosuojavaltuutettu tegen Satakunnan Markkinapörssi Oy en Satamedia Oy, In zaak C-73/07. 7. De verhouding tussen de bescherming van persoonsgegevens en de vrijheid van meningsuiting is geregeld in artikel 9 van de richtlijn, "Verwerking van persoonsgegevens en vrijheid van meningsuiting", en wel als volgt: "De Lid-Staten voorzien voor de verwerking van persoonsgegevens voor uitsluitend journalistieke of voor artistieke of literaire doeleinden in uitzonderingen op en afwijkingen van de bepalingen van dit hoofdstuk en van de hoofdstukken IV en VI uitsluitend voor zover deze nodig blijken om het recht op persoonlijke levenssfeer te verzoenen met de regels betreffende de vrijheid van meningsuiting." 8. In dit verband is in punt 37 van de considerans van de richtlijn overwogen: "(37) [...] dat voor de verwerking van persoonsgegevens voor journalistieke, artistieke of literaire, en met name audiovisuele, doeleinden moet worden voorzien in uitzonderingen op of beperkingen van bepalingen van deze richtlijn, voor zover deze noodzakelijk zijn om de fundamentele rechten van de persoon te verzoenen met de vrijheid van meningsuiting, inzonderheid de vrijheid om inlichtingen te ontvangen of te verstrekken, zoals die met name bij artikel 10 van het Europese Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden wordt gewaarborgd; dat het derhalve de taak van de Lid-Staten is om in het kader van de afweging tussen fundamentele rechten de noodzakelijke uitzonderingen en beperkingen vast te stellen ten aanzien van de algemene maatregelen inzake de rechtmatigheid van de gegevensverwerking, de overdracht van gegevens naar derde landen alsmede de bevoegdheden van de controlerende instanties; dat zulks evenwel de Lid-Staten er niet toe mag bewegen te voorzien in uitzonderingen op de maatregelen om de beveiliging van de verwerking te garanderen; dat ten minste aan de op dit gebied bevoegde toezichthoudende instantie tevens bepaalde bevoegdheden a posteriori moeten worden verleend, zoals het op gezette tijden indienen van een verslag of het in rechte optreden". (...). Hoofdgeding en prejudiciële vragen 25. Markkinapörssi vergaart al jaren bij de Finse belastingautoriteiten openbare gegevens, met als doel elk jaar uittreksels uit die gegevens te publiceren in de regionale edities van de krant Veropörssi. 26. De informatie in die publicaties omvat de voor- en achternaam van ongeveer 1,2 miljoen natuurlijke personen met een inkomen boven een bepaald bedrag, alsmede op 100 EUR nauwkeurig de hoogte van hun inkomen uit kapitaal en arbeid en gegevens over hun vermogensbelasting. Deze informatie wordt meegedeeld in de vorm van een alfabetische lijst per gemeente en per inkomenscategorie. 27. Volgens de verwijzingsbeslissing verklaart Markkinapörssi dat de gepubliceerde persoonsgegevens desverzocht kosteloos uit de krant Veropörssi kunnen worden verwijderd. 28. De krant bevat weliswaar ook artikelen, samenvattingen en advertenties, maar het belangrijkste doel ervan is het publiceren van persoonlijke belastinggegevens. 29. Markkinapörssi heeft de in Veropörssi gepubliceerde persoonsgegevens op cd-rom verstrekt aan Satamedia, dat tot hetzelfde concern behoort, voor verspreiding per sms. Daartoe hebben de twee vennootschappen een overeenkomst gesloten met een mobiel telefoonbedrijf, dat voor rekening van Satamedia een sms-dienst heeft opgezet waarmee de gebruikers van een mobiele telefoon tegen betaling van ongeveer 2 EUR op hun toestel een sms kunnen ontvangen met de in Veropörssi gepubliceerde informatie. Desverzocht worden de persoonsgegevens uit deze dienst verwijderd. 30. De tietosuojavaltuutettu en de tietosuojalautakunta, de Finse instanties belast met de gegevensbescherming, zien toe op de verwerking van persoonsgegevens en zijn beslissingsbevoegd onder de in de wet inzake persoonsgegevens gestelde voorwaarden. 31. Na klachten van particulieren over schending van hun privéleven verzocht de tietosuojavaltuutettu die belast was met het onderzoek naar de activiteiten van Markkinapörssi en Satamedia op 10 maart 2004 aan de tietosuojalautakunta, deze bedrijven te verbieden voort te gaan met deze verwerking van persoonsgegevens. (...). 50. Met zijn tweede vraag wenst de verwijzende rechter in wezen te vernemen of artikel 9 van de richtlijn aldus moet worden uitgelegd dat de in vraag 1, sub a tot en met d, genoemde activiteiten betreffende gegevens uit documenten die volgens de nationale wetgeving openbaar zijn, moeten worden beschouwd als verwerking van persoonsgegevens uitsluitend voor journalistieke doeleinden. De verwijzende rechter geeft verder aan, te willen vernemen of het voor de beoordeling van belang is dat het hoofddoel van deze verwerking de openbaarmaking van die gegevens is. (...). 56. Om rekening te houden met het belang dat de vrijheid van meningsuiting in elke democratische samenleving toekomt, is het in de eerste plaats noodzakelijk, de daarmee samenhangende begrippen, waaronder het begrip journalistiek, ruim te interpreteren. In de tweede plaats, om tot een evenwichtige afweging tussen de beide fundamentele rechten te komen, eist het fundamentele recht op bescherming van het privéleven dat de uitzonderingen op en beperkingen van de gegevensbescherming in bovengenoemde hoofdstukken van de richtlijn, binnen de grenzen van het strikt noodzakelijke blijven. (...).
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
41
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 3)
58. In de eerste plaats, zoals de advocaat-generaal in punt 65 van haar conclusie heeft opgemerkt en zoals blijkt uit de voorgeschiedenis van de richtlijn, gelden de in artikel 9 van de richtlijn neergelegde ontheffingen en uitzonderingen niet alleen voor mediaondernemingen maar voor alle in de journalistiek werkzame personen. 59. In de tweede plaats sluit het feit dat een publicatie van openbare gegevens is verbonden met een winstgevend doel niet a priori uit, dat deze is te beschouwen als een activiteit "uitsluitend voor journalistieke doeleinden". Zoals Markkinapörssi en Satamedia in hun opmerkingen en de advocaat-generaal in punt 82 van haar conclusie opmerken, is elke onderneming met haar activiteiten uit op winst. Een zeker commercieel succes kan zelfs de conditio sine qua non zijn voor het voortbestaan van professionele journalistiek. 60. In de derde plaats moet rekening worden gehouden met de ontwikkeling en de verveelvoudiging van middelen voor communicatie en informatieverspreiding. Zoals is opgemerkt, met name door de Zweedse regering, is de drager waarmee de verwerkte gegevens worden overgedragen, of dit nu klassieke dragers zijn zoals papier of elektromagnetische golven, dan wel elektronische zoals internet, niet bepalend voor de beoordeling of het gaat om een activiteit "uitsluitend voor journalistieke doeleinden". 61. Uit de voorgaande overwegingen volgt dat activiteiten als die in het hoofdgeding, die betrekking hebben op gegevens afkomstig uit documenten die volgens de nationale wetgeving openbaar zijn, kunnen worden aangemerkt als "journalistieke activiteiten", indien zij de bekendmaking aan het publiek van informatie, meningen of ideeën tot doel hebben, ongeacht het overdrachtsmedium. Deze activiteiten zijn niet voorbehouden aan mediaondernemingen en kunnen een winstoogmerk hebben. 62. Op de tweede vraag moet dus worden geantwoord dat artikel 9 van de richtlijn aldus moet worden uitgelegd dat de in vraag 1, sub a tot en met d, bedoelde activiteiten, die betrekking hebben op gegevens afkomstig uit documenten die volgens de nationale wetgeving openbaar zijn, moeten worden beschouwd als verwerking van persoonsgegevens "uitsluitend voor journalistieke doeleinden" in de zin van die bepaling, indien die verwerking als enig doel heeft de bekendmaking aan het publiek van informatie, meningen of ideeën. Het staat aan de nationale rechter om te beoordelen of dit het geval is. 9, § 1 EN 9, § 2: JOURNALISTIEKE, ARTISTIEKE OF LITERAIRE DOELEINDEN
§ 3, b), 9, § 1 en 9, § 2: journalistieke, artistieke of literaire doeleinden 1. RECHTSPRAAK VAN HET EUROPESE HOF VAN JUSTITIE – HvJ EG, arrest van 16 december 2008, Tietosuojavaltuutettu tegen Satakunnan Markkinapörssi Oy en Satamedia Oy, In zaak C-73/07. 7. De verhouding tussen de bescherming van persoonsgegevens en de vrijheid van meningsuiting is geregeld in artikel 9 van de richtlijn, "Verwerking van persoonsgegevens en vrijheid van meningsuiting", en wel als volgt: "De Lid-Staten voorzien voor de verwerking van persoonsgegevens voor uitsluitend journalistieke of voor artistieke of literaire doeleinden in uitzonderingen op en afwijkingen van de bepalingen van dit hoofdstuk en van de hoofdstukken IV en VI uitsluitend voor zover deze nodig blijken om het recht op persoonlijke levenssfeer te verzoenen met de regels betreffende de vrijheid van meningsuiting." 8. In dit verband is in punt 37 van de considerans van de richtlijn overwogen: "(37) [...] dat voor de verwerking van persoonsgegevens voor journalistieke, artistieke of literaire, en met name audiovisuele, doeleinden moet worden voorzien in uitzonderingen op of beperkingen van bepalingen van deze richtlijn, voor zover deze noodzakelijk zijn om de fundamentele rechten van de persoon te verzoenen met de vrijheid van meningsuiting, inzonderheid de vrijheid om inlichtingen te ontvangen of te verstrekken, zoals die met name bij artikel 10 van het Europese Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden wordt gewaarborgd; dat het derhalve de taak van de Lid-Staten is om in het kader van de afweging tussen fundamentele rechten de noodzakelijke uitzonderingen en beperkingen vast te stellen ten aanzien van de algemene maatregelen inzake de rechtmatigheid van de gegevensverwerking, de overdracht van gegevens naar derde landen alsmede de bevoegdheden van de controlerende instanties; dat zulks evenwel de Lid-Staten er niet toe mag bewegen te voorzien in uitzonderingen op de maatregelen om de beveiliging van de verwerking te garanderen; dat ten minste aan de op dit gebied bevoegde toezichthoudende instantie tevens bepaalde bevoegdheden a posteriori moeten worden verleend, zoals het op gezette tijden indienen van een verslag of het in rechte optreden". (...). Hoofdgeding en prejudiciële vragen 25. Markkinapörssi vergaart al jaren bij de Finse belastingautoriteiten openbare gegevens, met als doel elk jaar uittreksels uit die gegevens te publiceren in de regionale edities van de krant Veropörssi. 26. De informatie in die publicaties omvat de voor- en achternaam van ongeveer 1,2 miljoen natuurlijke personen met een inkomen boven een bepaald bedrag, alsmede op 100 EUR nauwkeurig de hoogte van hun inkomen uit kapitaal en arbeid en gegevens over hun vermogensbelasting. Deze informatie wordt meegedeeld in de vorm van een alfabetische lijst per gemeente en per inkomenscategorie. 27. Volgens de verwijzingsbeslissing verklaart Markkinapörssi dat de gepubliceerde persoonsgegevens desverzocht kosteloos uit de krant Veropörssi kunnen worden verwijderd.
42
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 3)
28. De krant bevat weliswaar ook artikelen, samenvattingen en advertenties, maar het belangrijkste doel ervan is het publiceren van persoonlijke belastinggegevens. 29. Markkinapörssi heeft de in Veropörssi gepubliceerde persoonsgegevens op cd-rom verstrekt aan Satamedia, dat tot hetzelfde concern behoort, voor verspreiding per sms. Daartoe hebben de twee vennootschappen een overeenkomst gesloten met een mobiel telefoonbedrijf, dat voor rekening van Satamedia een sms-dienst heeft opgezet waarmee de gebruikers van een mobiele telefoon tegen betaling van ongeveer 2 EUR op hun toestel een sms kunnen ontvangen met de in Veropörssi gepubliceerde informatie. Desverzocht worden de persoonsgegevens uit deze dienst verwijderd. 30. De tietosuojavaltuutettu en de tietosuojalautakunta, de Finse instanties belast met de gegevensbescherming, zien toe op de verwerking van persoonsgegevens en zijn beslissingsbevoegd onder de in de wet inzake persoonsgegevens gestelde voorwaarden. 31. Na klachten van particulieren over schending van hun privéleven verzocht de tietosuojavaltuutettu die belast was met het onderzoek naar de activiteiten van Markkinapörssi en Satamedia op 10 maart 2004 aan de tietosuojalautakunta, deze bedrijven te verbieden voort te gaan met deze verwerking van persoonsgegevens. (...). 50. Met zijn tweede vraag wenst de verwijzende rechter in wezen te vernemen of artikel 9 van de richtlijn aldus moet worden uitgelegd dat de in vraag 1, sub a tot en met d, genoemde activiteiten betreffende gegevens uit documenten die volgens de nationale wetgeving openbaar zijn, moeten worden beschouwd als verwerking van persoonsgegevens uitsluitend voor journalistieke doeleinden. De verwijzende rechter geeft verder aan, te willen vernemen of het voor de beoordeling van belang is dat het hoofddoel van deze verwerking de openbaarmaking van die gegevens is. (...). 56. Om rekening te houden met het belang dat de vrijheid van meningsuiting in elke democratische samenleving toekomt, is het in de eerste plaats noodzakelijk, de daarmee samenhangende begrippen, waaronder het begrip journalistiek, ruim te interpreteren. In de tweede plaats, om tot een evenwichtige afweging tussen de beide fundamentele rechten te komen, eist het fundamentele recht op bescherming van het privéleven dat de uitzonderingen op en beperkingen van de gegevensbescherming in bovengenoemde hoofdstukken van de richtlijn, binnen de grenzen van het strikt noodzakelijke blijven. (...). 58. In de eerste plaats, zoals de advocaat-generaal in punt 65 van haar conclusie heeft opgemerkt en zoals blijkt uit de voorgeschiedenis van de richtlijn, gelden de in artikel 9 van de richtlijn neergelegde ontheffingen en uitzonderingen niet alleen voor mediaondernemingen maar voor alle in de journalistiek werkzame personen. 59. In de tweede plaats sluit het feit dat een publicatie van openbare gegevens is verbonden met een winstgevend doel niet a priori uit, dat deze te beschouwen is als een activiteit "uitsluitend voor journalistieke doeleinden". Zoals Markkinapörssi en Satamedia in hun opmerkingen en de advocaat-generaal in punt 82 van haar conclusie opmerken, is elke onderneming met haar activiteiten uit op winst. Een zeker commercieel succes kan zelfs de conditio sine qua non zijn voor het voortbestaan van professionele journalistiek. 60. In de derde plaats moet rekening worden gehouden met de ontwikkeling en de verveelvoudiging van middelen voor communicatie en informatieverspreiding. Zoals is opgemerkt, met name door de Zweedse regering, is de drager waarmee de verwerkte gegevens worden overgedragen, of dit nu klassieke dragers zijn zoals papier of elektromagnetische golven, dan wel elektronische zoals internet, niet bepalend voor de beoordeling of het gaat om een activiteit "uitsluitend voor journalistieke doeleinden". 61. Uit de voorgaande overwegingen volgt dat activiteiten als die in het hoofdgeding, die betrekking hebben op gegevens afkomstig uit documenten die volgens de nationale wetgeving openbaar zijn, kunnen worden aangemerkt als "journalistieke activiteiten", indien zij de bekendmaking aan het publiek van informatie, meningen of ideeën tot doel hebben, ongeacht het overdrachtsmedium. Deze activiteiten zijn niet voorbehouden aan mediaondernemingen en kunnen een winstoogmerk hebben. 62. Op de tweede vraag moet dus worden geantwoord dat artikel 9 van de richtlijn aldus moet worden uitgelegd dat de in vraag 1, sub a tot en met d, bedoelde activiteiten, die betrekking hebben op gegevens afkomstig uit documenten die volgens de nationale wetgeving openbaar zijn, moeten worden beschouwd als verwerking van persoonsgegevens "uitsluitend voor journalistieke doeleinden" in de zin van die bepaling, indien die verwerking als enig doel heeft de bekendmaking aan het publiek van informatie, meningen of ideeën. Het staat aan de nationale rechter om te beoordelen of dit het geval is.
§ 3, c) - d), Specifieke uitzondering: journalistieke, artistieke of literaire doeleinden 1. INTERNATIONALE WETGEVING – Artikel 9 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): de Lid-Staten voorzien voor de verwerking van persoonsgegevens voor uitsluitend journalistieke of voor artistieke of literaire doeleinden in uitzonderingen op en afwijkingen van de bepalingen van Hoofdstuk II van de Richtlijn (algemene voorwaarden voor de rechtmatigheid van de verwerking van persoonsgegevens) en van de hoofdstukken IV (doorgifte van persoonsgegevens naar derde landen) en VI (Toe-
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
43
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 3)
zichthoudende autoriteit) uitsluitend voor zover deze nodig blijken om het recht op persoonlijke levenssfeer te verzoenen met de regels betreffende de vrijheid van meningsuiting. – Overweging 17 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): overwegende dat wat betreft verwerkingen van geluid- en beeldgegevens voor journalistieke, literaire of artistieke doeleinden, met name in de audiovisuele sector, de beginselen van de Richtlijn, met een aantal beperkingen overeenkomstig artikel 9 van toepassing zijn. – Overweging 37 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): overwegende dat voor de verwerking van persoonsgegevens voor journalistieke, artistieke of literaire, en met name audiovisuele, doeleinden moet worden voorzien in uitzonderingen op of beperkingen van bepalingen van deze Richtlijn, voor zover deze noodzakelijk zijn om de fundamentele rechten van de persoon te verzoenen met de vrijheid van meningsuiting, inzonderheid de vrijheid om inlichtingen te ontvangen of te verstrekken, zoals die met name bij artikel 10 van het Europese Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden wordt gewaarborgd; dat het derhalve de taak van de Lid-Staten is om in het kader van de afweging tussen fundamentele rechten de noodzakelijke uitzonderingen en beperkingen vast te stellen ten aanzien van de algemene maatregelen inzake de rechtmatigheid van de gegevensverwerking, de overdracht van gegevens naar derde landen alsmede de bevoegdheden van de controlerende instanties; dat zulks evenwel de Lid-Staten er niet toe mag bewegen te voorzien in uitzonderingen op de maatregelen om de beveiliging van de verwerking te garanderen; dat ten minste aan de op dit gebied bevoegde toezichthoudende instantie tevens bepaalde bevoegdheden a posteriori moeten worden verleend, zoals het op gezette tijden indienen van een verslag of het in rechte optreden.
2. ADVIEZEN VAN DE GROEP 29 – Groep 29, Aanbeveling 1/97 Wetgeving inzake gegevensbescherming en de media (25 februari 1997 - WP1): (zie de samenvatting van het advies hierboven onder artikel 3 § 3 a)).
3. VERSLAGEN EN STUDIES VAN DE RAAD VAN EUROPA – Raad van Europa, Data protection and media (1990).
4. RECHTSPRAAK VAN HET EUROPEES HOF VOOR DE RECHTEN VAN DE MENS – Fressoz en Roire t. Frankrijk van 21 januari 1999, de gebundelde arresten en vonnissen 1999-I (schending van het artikel 10 van het Verdrag). Veroordeling voor geheimhouding van fotokopies van fiscale documenten (belastingbrief), als gevolg van een publicatie van een gedetailleerd artikel over de salarisevolutie van de voorzitter van een autobedrijf in het satirisch weekblad "le Canard". – Krone Verlag Gmbh & Cie KG t. Oostenrijk van 26 februari 2002, verzoek nr. 34315/96 (schending van artikel 10 van het Verdrag). Veroordeling van een firma als eisende partij voor het publiceren van foto's van een politicus. – A. t. Verenigd Koninkrijk van 17 december 2002, verzoek nr. 35373/97 (geen schending van het Verdrag). Persoonlijke informatie verstrekt door en kwetsende opmerkingen geuit door een gedeputeerde die vervolgens werden gepubliceerd in de lokale en nationale kranten. – Cemalettin Canli t. Turkije, van 18 november 2008, verzoek nr. 22427/04. De eiser protesteert tegen het feit dat de politie een dossier over hem bijhoudt en de publicatie in de nationale pers van zaken die nefaste gevolgen had op zijn privéleven. Hij beroept zich op artikel 8 (recht op eerbiediging van het privé- en gezinsleven), 6 § 2 (vermoeden van onschuld) en 13 (recht op een daadwerkelijk beroep). SPECIFIEKE UITZONDERING: VEILIGHEID VAN DE STAAT
§ 4. Specifieke uitzondering: veiligheid van de staat 1. VERWIJZING NAAR ANDERE WETGEVING – Wet van 10 juli 2006 betreffende de analyse van de dreiging, B.S., 20 juli 2006. – Wet van 11 december 1998 betreffende de classificatie en de veiligheidsmachtigingen, veiligheidsattesten en veiligheidsadviezen, B.S., 7 mei 1999. 1.1. Artikel 15: De Koning wijst de collegiale overheid of overheden aan, die bevoegd is of zijn om de veiligheidsmachtigingen af te geven of in te trekken. Die overheid of overheden worden hierna "de veiligheidsoverheid" genoemd. In afwijking van het eerste lid kunnen de volgende overheden de toestemming van de Koning krijgen om de door deze wet aan de veiligheidsoverheid toegewezen bevoegdheden uit te oefenen: 1. de administrateur-generaal van de Veiligheid van de Staat of, in geval van verhindering, de adjunct-administrateur-generaal, voor de personeelsleden van die dienst en voor de kandidaten voor een betrekking binnen die dienst;
44
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 3)
2. de chef van de Algemene Dienst inlichting en veiligheid van de Krijgsmacht, of een door hem afgevaardigde hoofdofficier, voor de personen die onder de minister van Landsverdediging ressorteren en voor de kandidaten voor een betrekking binnen het ministerie van Landsverdediging. 1.2. Artikel 22ter De veiligheidsoverheid bedoeld in artikel 15, eerste lid, is bevoegd om de veiligheidsattesten af te leveren of in te trekken. In afwijking van het eerste lid kunnen de volgende overheden deze bevoegdheid uitoefenen wanneer het de toegang tot lokalen, gebouwen of terreinen betreft waarvoor zij verantwoordelijk zijn of wanneer het evenementen betreft die zij zelf organiseren: 1. de voorzitter van de Nationale Veiligheidsoverheid; 2. de administrateur-generaal van de Veiligheid van de Staat of een door hem aangewezen ambtenaar van niveau 1; 3. de chef van de Algemene Dienst inlichting en veiligheid van de Krijgsmacht, of een door hem aangewezen hoofdofficier; 4. de directeur-generaal van het Federaal Agentschap voor nucleaire controle of een door hem aangewezen ambtenaar van niveau 1; 5. de commissaris-generaal van de federale politie of een door hem aangewezen officier evenals de korpschef van de lokale politie of een door hem aangewezen officier; 6. de directeur-generaal van de Algemene Directie Crisiscentrum van de Federale Overheidsdienst Binnenlandse Zaken of een door hem aangewezen ambtenaar van niveau 1. Elk van deze overheden houdt een register bij van de door haar verrichte veiligheidsverificaties en de genomen beslissingen. De in dit register opgenomen gegevens en hun bewaartijd worden bepaald door de Koning na advies van de Commissie tot bescherming van de persoonlijke levenssfeer. 1.3. Artikel 22quinquies § 1. Behoudens in die gevallen waarin bijzondere wetten voorzien in de raadpleging van een inlichtingen-, veiligheids- of politiedienst, kan een administratieve overheid, voorafgaandelijk, beslissen dat voor de toelating tot de uitoefening van een bepaald beroep, functie, opdracht of mandaat, of voor de toelating tot de toegang tot bepaalde lokalen, gebouwen of terreinen, evenals voor het bezit van een bepaalde vergunning, licentie of toelating een in artikel 22sexies bedoelde veiligheidsverificatie wordt uitgevoerd door de overheid bedoeld in artikel 15, eerste lid. Deze beslissing kan slechts genomen worden wanneer de uitoefening van een beroep, een functie, een opdracht of mandaat, of de toegang tot lokalen, gebouwen of terreinen, of van het bezit van een vergunning, een licentie of een toelating door een niet-geëigend gebruik schade kan toebrengen aan de verdediging van de onschendbaarheid van het nationaal grondgebied en van de militaire defensieplannen, de vervulling van de opdrachten van de strijdkrachten, de inwendige veiligheid van de Staat, met inbegrip van het domein van de kernenergie, en het voortbestaan van de democratische en grondwettelijke orde, de uitwendige veiligheid van de Staat en de internationale betrekkingen van België, het wetenschappelijk en economisch potentieel van het land, de veiligheid van de Belgische onderdanen in het buitenland of de werking van de besluitvormingsorganen van de Staat. De beslissing van de administratieve overheid wordt met redenen omkleed en ter kennis gebracht van de overheid bedoeld in artikel 15, eerste lid, en van de betrokken personen. De kennisgeving aan de betrokken personen gebeurt ten laatste op het moment dat zij zich kandidaat stellen voor een beroep, een functie, een opdracht of mandaat, of een aanvraag indienen voor toegang tot lokalen, gebouwen of terreinen, of voor het bezit van een vergunning, een licentie of een toelating. De overheid bedoeld in artikel 15, eerste lid, maakt haar met redenen omkleed veiligheidsadvies over aan de administratieve overheid die hierom verzocht. Indien binnen de voorgeschreven termijn geen advies werd verleend, stelt de administratieve overheid de veiligheidsoverheid in gebreke om een advies te verlenen binnen de termijn die zij bepaalt. Indien bij het verstrijken van de termijn geen antwoord werd gegeven, wordt het veiligheidsadvies geacht positief te zijn. Indien het veiligheidsadvies negatief is, moet de administratieve overheid die erom verzocht heeft, dit advies, met redenen omkleed overeenkomstig artikel 22, vijfde lid, in voorkomend geval samen met haar voorstel van beslissing, aan de betrokken persoon meedelen bij een ter post aangetekende brief. § 2. De overheid bedoeld in artikel 15, eerste lid, kan later een nieuw advies uitbrengen op basis van gegevens en inlichtingen zoals bedoeld in artikel 22sexies. Zij deelt dit advies mee aan de bevoegde administratieve overheid die een nieuwe beslissing kan nemen. De betrokken persoon kan aan de bevoegde administratieve overheid op ieder moment schriftelijk te kennen geven dat hij niet langer het voorwerp wil uitmaken van een veiligheidsverificatie. De bevoegde administratieve overheid brengt dit ter kennis van de overheid bedoeld in artikel 15, eerste lid, en kan een nieuwe beslissing nemen. § 3. De nadere regels en de diverse termijnen bedoeld in de §§ 1 en 2 worden door de Koning bepaald.
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
45
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 3)
§ 4. In afwijking van de §§ 1 en 2 duidt de Koning de veiligheidsoverheid aan die gemachtigd is om voorafgaandelijk aan de aflevering van luchthavenidentificatiebadges een veiligheidsverificatie bedoeld in artikel 22sexies uit te voeren en een veiligheidsadvies te verstrekken volgens de nadere regels die hij bepaalt
2. INTERNATIONALE WETGEVING – Artikel 3 § 2 eerste lid van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): de bepalingen van deze Richtlijn zijn niet van toepassing op de verwerking van persoonsgegevens (1) die met het oog op de uitoefening van niet binnen de werkingssfeer van het Gemeenschapsrecht vallende activiteiten geschiedt zoals die bedoeld in de titels V en VI van het Verdrag betreffende de Europese Unie en in ieder geval verwerkingen die betrekking hebben op de openbare veiligheid, defensie, de veiligheid van de Staat (waaronder de economie van de Staat, wanneer deze verwerkingen in verband staan met vraagstukken van Staatsveiligheid), en de activiteiten van de Staat op strafrechtelijk gebied (...). – Overwegingen 13 en 16 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): (13) overwegende dat de in de titels V en VI van het Verdrag betreffende de Europese Unie bedoelde activiteiten met betrekking tot openbare veiligheid, defensie, staatsveiligheid en de activiteiten van de Staat op strafrechtelijk gebied niet onder de toepassingssfeer van het Gemeenschapsrecht vallen, onverminderd de verplichtingen die de Lid-Staten hebben uit hoofde van de artikelen 56, lid 2, 57 en 100 A van het Verdrag; dat de voor de economie van een Staat noodzakelijke verwerking van persoonsgegevens, niet onder deze Richtlijn valt indien deze verwerking verband houdt met de Staatsveiligheid. (16) Overwegende dat verwerkingen van geluid- en beeldgegevens, zoals gegevens van videobewaking, niet binnen de werkingssfeer van deze Richtlijn vallen als deze verwerkingen plaatsvinden met het oog op de openbare veiligheid, de defensie, de veiligheid van de Staat en de activiteiten van de Staat op strafrechtelijk gebied of met het oog op de uitoefening van andere activiteiten die niet onder het Gemeenschapsrecht vallen. – Artikel 13 § 1 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): de Lid-Staten kunnen wettelijke maatregelen treffen ter beperking van de reikwijdte van de in artikel 6, lid 1, artikel 10, artikel 11, lid 1, artikel 12 en artikel 21 bedoelde rechten en plichten indien dit noodzakelijk is ter vrijwaring van: a) de veiligheid van de Staat; b) de landsverdediging; c) de openbare veiligheid; d) het voorkomen, het onderzoeken, opsporen en vervolgen van strafbare feiten of schendingen van de beroepscodes voor gereglementeerde beroepen; e) een belangrijk economisch en financieel belang van een Lid-Staat of van de Europese Unie, met inbegrip van monetaire, budgettaire en fiscale aangelegenheden; f) een taak op het gebied van controle, inspectie of regelgeving, verbonden, ook al is dit incidenteel, met de uitoefening van het openbaar gezag in de onder c), d) en e), bedoelde gevallen; g) de bescherming van de betrokkene of van de rechten en vrijheden van anderen. – Overwegingen 43 en 44 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): (43) overwegende dat de Lid-Staten ook het recht van toegang en informatie alsmede bepaalde verplichtingen van de voor de verwerking verantwoordelijke mogen beperken voor zover zulks nodig is om bijvoorbeeld de staatsveiligheid, de defensie, de openbare veiligheid, een zwaarwegend economisch of financieel belang van een Lid-Staat of van de Unie te vrijwaren en om strafbare feiten of schending van de beroepscode door een beoefenaar van een gereglementeerd beroep op te sporen en te vervolgen; dat wat de uitzonderingen en beperkingen betreft, de noodzakelijke taken op het gebied van controle, inspectie of regelgeving op de drie voornoemde gebieden met betrekking tot de openbare veiligheid, het economisch of financieel belang en de strafvervolging moeten worden opgesomd; dat deze opsomming van taken op die drie gebieden de rechtmatigheid van uitzonderingen en beperkingen om redenen van staatsveiligheid en defensie onverlet laten. (44) Overwegende dat de Lid-Staten door het Gemeenschapsrecht gehouden kunnen zijn om van de bepalingen van deze Richtlijn met betrekking tot het recht van toegang, de informatie van personen en de kwaliteit van de gegevens af te wijken teneinde een of meer van bovengenoemde doeleinden in acht te nemen. – Recommendation No. R(89)2 of the Committee of Ministers to Member States on the protection of personal data used for employment purposes (1989) - (punt 1.5.): this recommendation does not, to the extent necessary for the protection of state security, public safety and the suppression of criminal offences, apply to confidential information collected or held by employers for employment purposes on persons recruited for posts or who work in jobs closely related to these matters.
46
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 3)
3. RECHTSPRAAK VAN HET EUROPESE HOF VAN JUSTITIE – Europees Hof van Justitie, arrest van 30 mei 2006, het Europees Parlement tegen de Raad van de Europese Unie en tegen de Commissie van de Europese Gemeenschappen, gevoegde zaken C-317/04 en C-318/04 (arrest PNR) 54. Volgens artikel 3, lid 2, eerste streepje, van de Richtlijn is deze niet van toepassing op de verwerking van persoonsgegevens die met het oog op de uitoefening van niet binnen de werkingssfeer van het gemeenschapsrecht vallende activiteiten geschiedt zoals die bedoeld in de titels V en VI van het Verdrag betreffende de Europese Unie, en in ieder geval verwerkingen die betrekking hebben op de openbare veiligheid, defensie, de veiligheid van de staat en de activiteiten van de staat op strafrechtelijk gebied. 55. De beschikking geldt enkel voor PNR-gegevens die aan het CBP worden doorgegeven. Blijkens overweging 6 van deze beschikking zijn de vereisten inzake deze doorgifte gebaseerd op een wet die door de Verenigde Staten in november 2001 is goedgekeurd, en op uitvoeringsvoorschriften die door het CBP krachtens die wet zijn vastgesteld. Volgens overweging 7 van de beschikking heeft de desbetreffende wetgeving van de Verenigde Staten betrekking op een grotere veiligheid en op de voorwaarden waaronder personen het land mogen binnenkomen en verlaten. Volgens overweging 8 steunt de Gemeenschap de Verenigde Staten ten volle in de strijd tegen het terrorisme binnen de grenzen van het gemeenschapsrecht. Naar luid van overweging 15 van de beschikking zullen de PNR-gegevens uitsluitend worden gebruikt ter voorkoming en bestrijding van terrorisme en aanverwante misdrijven, andere zware misdrijven, waaronder georganiseerde misdaad, die van grensoverschrijdende aard zijn, alsook het ontvluchten van een aanhoudingsbevel of arrestatie wegens die misdrijven. 56. De doorgifte van de PNR-gegevens aan het CBP is derhalve een verwerking die betrekking heeft op de openbare veiligheid en de activiteiten van de staat op strafrechtelijk gebied. 57. Hoewel de PNR-gegevens aanvankelijk door luchtvaartmaatschappijen worden verzameld in het kader van een onder het gemeenschapsrecht vallende activiteit, namelijk de verkoop van een vliegticket dat recht geeft op een dienstverlening, is de in de beschikking bedoelde gegevensverwerking van geheel andere aard. Zoals in punt 55 van dit arrest reeds in herinnering is gebracht, beoogt deze beschikking namelijk niet een verwerking die noodzakelijk is voor een dienstverrichting, maar een verwerking die noodzakelijk wordt geacht voor het waarborgen van de openbare veiligheid en voor de wetshandhaving. 58. In punt 43 van het arrest Lindqvist, dat de Commissie in haar verweerschrift heeft aangevoerd, overwoog het Hof dat de in artikel 3, lid 2, eerste streepje, van de Richtlijn als voorbeeld genoemde activiteiten telkens specifieke activiteiten van de staten of de overheidsdiensten zijn en niets van doen hebben met de gebieden waarop particulieren activiteiten ontplooien. Daaruit volgt evenwel niet dat op grond van het feit dat de PNR-gegevens door particuliere marktdeelnemers voor commerciële doeleinden zijn verzameld en het deze laatste zijn die ze doorgeven naar een derde land, de doorgifte in kwestie niet binnen de werkingssfeer van deze bepaling valt. Deze doorgifte geschiedt immers binnen een door de overheid ingesteld kader dat betrekking heeft op de openbare veiligheid. 59. Uit een en ander volgt dat de beschikking betrekking heeft op een verwerking van persoonsgegevens in de zin van artikel 3, lid 2, eerste streepje, van de Richtlijn. Deze beschikking valt dus niet binnen de werkingssfeer van de Richtlijn. – Rechtbank van eerste aanleg van de Europese Unie (2de kamer), arrest van 12 december 2006, 2006, Organisatie van Volksmujahedeen van Iran tegen Raad van de Europese Unie, Zaak T-228/02. Dit arrest is een antwoord op het verzoek van de Organisatie van Moedjahedin van het Iraanse volk tegen het gemeenschappelijk standpunt aangenomen door de Raad van de Europese Unie krachtens hetwelk deze organisatie op de lijst staat van groepen en entiteiten die ervan verdacht worden deel uit te maken van een "terroristische beweging" en waarvan naast andere maatregelen de fondsen moeten bevroren worden. In dit verband zij erop gewezen dat het Europees Hof voor de rechten van de mens weliswaar erkent dat het gebruik van vertrouwelijke informatie noodzakelijk kan blijken te zijn wanneer de nationale veiligheid op het spel staat, maar dat dit volgens hem niet betekent dat de nationale instanties aan elke controle van de nationale rechters ontsnappen, wanneer zij stellen dat de zaak met de nationale veiligheid of het terrorisme te maken heeft (zie EHRM, arrest Chahal v. Verenigd Koninkrijk, punt 135 supra, § 131, en de aldaar aangehaalde rechtspraak, en arrest Öcalan v. Turkije van 12 maart 2003, nr. 46221/99, (§ 156).
4. RECHTSPRAAK VAN HET EUROPEES HOF VOOR DE RECHTEN VAN DE MENS – Turek t. Slovakije van 14 februari 2006, verzoek nr. 57986/00. De verzoeker klaagt erover dat hij is geregistreerd als medewerker van het vroeger Tsjecho-Slowaaks communistisch veiligheidsbureau, over de uitgifte van een veiligheidsbevoegdheid en het feit dat zijn actie om zijn inschrijving als medewerker in vraag te stellen werd afgewezen. Hij roept de artikelen 8 (recht op eerbiediging van het gezins- en privéleven) en 6 § 1 (recht op een rechtvaardig proces) in. – Rotaru t. Roemenië van 4 mei 2000, verzoek nr. 28341/95 (schending van de artikelen 8 en 13 van het Verdrag). Het bewaren en gebruiken van persoonsgegevens en de onmogelijkheid om de exactheid ervan te bewijzen. Het Hof herinnert eraan dat zowel het opslaan van gegevens betreffende de persoonlijke levensfeer van een individu als het gebruik ervan en het weigeren van de mogelijkheid ze te weerleggen een inbreuk zijn op zijn privacy gewaarborgd door artikel 8 §1 van het Verdrag (Arrest Leander § 48, Kopp t. Zwitserland § 53 en Amann t. Zwitserland §§ 69 en 80).
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
47
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 3)
47. Omdat hier een uitzondering wordt gemaakt op een recht dat door het Verdrag wordt gewaarborgd, vereist deze paragraaf een strikte interpretatie. Hoewel het Hof erkent dat in een democratische maatschappij het bestaan van inlichtingendiensten legitiem kan zijn, herinnert zij eraan dat het geheim toezicht op burgers volgens het Verdrag slechts aanvaardbaar is wanneer dit strikt noodzakelijk is voor het behoud van de democratische instellingen (Klass. § 42). 48. Opdat er geen schending zou zijn van artikel 8 moet dergelijke tussenkomst door een "wet worden bepaald", voor een doel van algemeen belang ten opzichte van paragraaf 2 en meer nog, noodzakelijk zijn om zijn doel te bereiken in een democratische samenleving (...). 52. Het Hof herinnert aan haar onveranderlijke jurisprudentie die stelt dat de woorden "bepaald door de wet" niet alleen vereisen dat de gewraakte maatregel een basis moet hebben in het interne recht maar ook de kwaliteit van de wet in kwestie beogen: zo moet die toegankelijk en voorzienbaar zijn voor de rechtszoekende (Amann § 50) (...). 54. Het Hof acht de vereiste van toegankelijkheid van de wet vervuld zodra de wet (...) werd gepubliceerd in het officieel journaal (...). 55. Over de voorzienbaarheidsvereiste herinnert het Hof eraan dat een regel "voorzienbaar" is wanneer die in duidelijke taal is geschreven zodat het voor iedere persoon mogelijk is om met behulp van helder advies zijn handelwijze daaraan af te stellen. Het Hof benadrukt hoe belangrijk dit concept is bij het geheim toezicht: (vrije vertaling) "....het zinsdeel "bepaald door de wet" beperkt zich niet tot het intern recht, maar gaat ook over de kwaliteit van de "wet"; het moet verenigbaar zijn met de preëminentie van de wet, vermeld in de preambule van het Verdrag (...). Hieruit volgt dat - en dit blijkt uit het onderwerp en het doel van artikel 8 - dat het intern recht een zekere bescherming moet bieden tegen eigenmachtige inbreuken van de overheid op de door paragraaf 1 gewaarborgde rechten (...). Welnu, het gevaar op eigenmachtig optreden stelt zich bijzonder duidelijk daar waar de uitvoerende macht in het geheim handelt (...). Aangezien door de geheime toezichtmaatregel op communicaties zowel de betrokkene als het publiek geen controle meer hebben, gaat de "wet" in tegen de preëminentie van het recht wanneer de beoordelingsbevoegdheid die aan de executieve werd toegekend onbeperkt is. Bijgevolg moet de wet - rekening houdend met het gerechtvaardigd doel dat wordt nagestreefd - de omvang en de manier waarop dergelijke bevoegdheid wordt uitgeoefend klaar en duidelijk worden omschreven zodat aan het individu een passende bescherming kan worden geboden tegen eigenmachtig optreden". 56. De kwaliteit van de juridische regels moet worden onderzocht, meer bepaald moet worden nagegaan of het intern recht de voorwaarden waaronder de inlichtingendiensten informatie over het privéleven van de verzoeker kunnen opslaan en gebruiken, nauwkeurig genoeg heeft vastgesteld. (...). 57. Welnu, er is geen enkele bepaling in het interne recht die de in acht te nemen beperkingen vaststelt bij de uitoefening van deze prerogatieven. Zo definieert de wet noch het soort informatie dat kan worden bewaard, noch de categorieën van personen die het voorwerp kunnen uitmaken van een toezichtmaatregel zoals de inzameling en bewaring van gegevens, noch de omstandigheden waaronder deze maatregelen kunnen worden genomen en ook niet de te volgen procedure. Ook legt deze wet geen beperking op inzake anciënniteit of bewaartermijn van de bijgehouden gegevens. (...) Het Hof merkt op dat dit artikel geen enkele uitdrukkelijke en gedetailleerde bepaling bevat over de personen die gemachtigd zijn om de dossiers te raadplegen, de aard van de dossiers, de te volgen procedure en het gebruik dat gemaakt kan worden van de verkregen informatie. (...). 59. Het Hof wil er zich ook van overtuigen dat er passende en toereikende garanties tegen misbruiken bestaan omdat een geheim toezichtsysteem dat bedoeld is om de nationale veiligheid te beschermen het risico met zich meebrengt dat de democratie met de bedoeling ze te verdedigen wordt ondermijnd en zelfs vernietigd (Klass §§ 4950). De geheime toezichtsystemen zijn enkel verenigbaar met artikel 8 van het Verdrag als ze garanties bevatten, vastgesteld door de wet, die van toepassing zijn bij de controle op de activiteiten van de betrokken diensten. De controleprocedures moeten zo goed mogelijk de waarden van een democratische samenleving eerbiedigen, meer bepaald de preëminentie van het recht waarnaar de preambule van het Verdrag uitdrukkelijk verwijst. Dit houdt onder meer in dat een executieve die inbreuk pleegt op de rechten van het individu, onderworpen is aan een doeltreffende controle, die normaal gezien wordt verzekerd - ten minste als laatste middel - door de rechterlijke macht omdat die de beste garanties op onafhankelijkheid, onpartijdigheid en regelmatige procedure kunnen bieden (KLass, § 55). – Association for European integration and human rights and Ekimdzhiev c. Bulgarie van 28 juni 2007 een vereniging voor de verdediging van de rechten van de mens en een natuurlijk persoon laken de wetgeving betreffende de geheime diensten van de Bulgaarse staat: (...). Het Hof onderzoekt nauwgezet de voorzienbaarheid en de verenigbaarheid van de Bulgaarse wet met de preëminentie van het recht. Het Hof verduidelijkt meer bepaald de garanties die dit soort wetgeving moet bevatten: 75. In the context of covert measures of surveillance, the law must be sufficiently clear in its terms to give citizens an adequate indication of the conditions and circumstances in which the authorities are empowered to resort to this secret and potentially dangerous interference with the right to respect for private life and correspondence (see, among other authorities, Malone, cited above, p. 32, § 67; Valenzuela Contreras v. Spain, judgment of 30 July 1998, Reports 1998-V, p. 1925, § 46 (iii); and Khan v. the United Kingdom, no. 35394/97, § 26, ECHR 2000-V). In view of the risk of abuse intrinsic to any system of secret surveillance, such measures must be based on a law that is particularly precise. It is essential to have clear, detailed rules on the subject, especially
48
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 3)
as the technology available for use is continually becoming more sophisticated (see Kruslin, p. 23, § 33; Huvig, p. 55, § 32; Amann, § 56 in fine; and Weber and Saravia, § 93, all cited above). 76. To ensure the effective implementation of the above principles, the Court has developed the following minimum safeguards that should be set out in statute law to avoid abuses: the nature of the offences which may give rise to an interception order; a definition of the categories of people liable to have their communications monitored; a limit on the duration of such monitoring; the procedure to be followed for examining, using and storing the data obtained; the precautions to be taken when communicating the data to other parties; and the circumstances in which data obtained may or must be erased or the records destroyed (see Weber and Saravia, cited above, § 95, with further references). Vervolgens vestigt het Hof de aandacht hoofdzakelijk op het ontbreken van een onafhankelijke controle en van enige informatieverstrekking aan de betrokken persoon. 84. It thus seems that during the initial stage, when surveillance is being authorised, the SSMA, if strictly adhered to - in particular, if care is taken not to stretch the concept of "national security" beyond its natural meaning (see Christie, cited above, p. 134; and, mutatis mutandis, Al-Nashif v. Bulgaria, no. 50963/99, § 124, 20 June 2002) -, provides substantial safeguards against arbitrary or indiscriminate surveillance. However, the Court must also examine whether such safeguards exist during the later stages, when the surveillance is actually carried out or has already ended. On this point, it notes the following elements. 85. Unlike the system of secret surveillance under consideration in the case of Klass and Others (cited above, p. 31, § 70; see also Weber and Saravia, § 57), the SSMA does not provide for any review of the implementation of secret surveillance measures by a body or official that is either external to the services deploying the means of surveillance or at least required to have certain qualifications ensuring his independence and adherence to the rule of law. Under the SSMA, no one outside the services actually deploying special means of surveillance verifies such matters as whether these services in fact comply with the warrants authorising the use of such means, or whether they faithfully reproduce the original data in the written record. Similarly, there exists no independent review of whether the original data is in fact destroyed within the legal ten-day time-limit if the surveillance has proved fruitless (see, as examples to the contrary, Klass and Others, p. 11, § 20; and Weber and Saravia, § 100; and Aalmoes and Others, all cited above). On the contrary, it seems that all these activities are carried out solely by officers of the Ministry of Internal Affairs (see paragraphs 18, 21 and 22 above). It is true that the Code of 1974 provided, in its Article 111b § 6, that the judge who had issued a surveillance warrant had to be informed when the use of special means of surveillance has ended. So does Article 175 § 6 of the Code of 2005. It is also true that there is an obligation under section 19 of the SSMA to inform the issuing judge when the use of special means of surveillance has been discontinued before the end of the authorised period (see paragraphs 38 and 42 above). However, the texts make no provision for acquainting the judge with the results of the surveillance and do not command him or her to review whether the requirements of the law have been complied with. Moreover, it appears that the provisions of the Codes of 1974 and 2005 are applicable only in the context of pending criminal proceedings and do not cover all situations envisaged by the SSMA, such as the use of special means of surveillance to protect national security. Voy. Également les §§ qui suivent: 86-94. – Zie ook de beslissing van het Hof over de ontvankelijkheid in de zaak Weber en Saravia t. Duitsland van 29 juni 2006 (bestaat alleen in het Engels). In deze zaak wordt de wetgeving betreffende de uitzonderingen op de vertrouwelijkheid van correspondentie en telecommunicaties in vraag gesteld die werd goedgekeurd in het kader van de strijd tegen het terrorisme. SPECIFIEKE UITZONDERING: POLITIE
§ 5, 1°-3°, Specifieke uitzondering: politie 1. VERWIJZING NAAR ANDERE WETGEVING – Artikel 3 van de Wet van 18 juli 1991 tot regeling van het toezicht op politie- en inlichtingendiensten en op het Coördinatieorgaan voor de dreigingsanalyse B.S., 26 juli 1991: in deze wet wordt verstaan onder politiediensten, naast de lokale politie en de federale politie, de diensten die ressorteren onder de overheden en instellingen van openbaar nut, waarvan de leden met de hoedanigheid van officier van gerechtelijke politie of van agent van gerechtelijke politie zijn bekleed.
2. INTERNATIONALE WETGEVING – Artikel 13 § 1 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): de Lid-Staten kunnen wettelijke maatregelen treffen ter beperking van de reikwijdte van de in artikel 6, lid 1 (Beginselen betreffende de kwaliteit van de gegevens), artikel 10 (Informatieverstrekking in geval van verkrijging van gegevens bij de betrokkene), artikel 11, lid 1 1 (Informatieverstrekking aan de betrokkene wanneer de gegevens niet bij de betrokkene zijn verkregen), artikel 12 (Recht van toegang) en artikel 21 (Openbaarheid van de verwerkingen) bedoelde rechten en plichten indien dit noodzakelijk is ter vrijwaring van:
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
49
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 3)
a) de veiligheid van de Staat; b) de landsverdediging; c) de openbare veiligheid; d) het voorkomen, het onderzoeken, opsporen en vervolgen van strafbare feiten of schendingen van de beroepscodes voor gereglementeerde beroepen; e) een belangrijk economisch en financieel belang van een Lid-Staat of van de Europese Unie, met inbegrip van monetaire, budgettaire en fiscale aangelegenheden; f) een taak op het gebied van controle, inspectie of regelgeving, verbonden, ook al is dit incidenteel, met de uitoefening van het openbaar gezag in de onder c), d) en e), bedoelde gevallen; g) de bescherming van de betrokkene of van de rechten en vrijheden van anderen. – Overwegingen 43 en 44 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): (43) overwegende dat de Lid-Staten ook het recht van toegang en informatie alsmede bepaalde verplichtingen van de voor de verwerking verantwoordelijke mogen beperken voor zover zulks nodig is om bij voorbeeld de staatsveiligheid, de defensie, de openbare veiligheid, een zwaarwegend economisch of financieel belang van een Lid-Staat of van de Unie te vrijwaren en om strafbare feiten of schending van de beroepscode door een beoefenaar van een gereglementeerd beroep op te sporen en te vervolgen; dat wat de uitzonderingen en beperkingen betreft, de noodzakelijke taken op het gebied van controle, inspectie of regelgeving op de drie voornoemde gebieden met betrekking tot de openbare veiligheid, het economisch of financieel belang en de strafvervolging moeten worden opgesomd; dat deze opsomming van taken op die drie gebieden de rechtmatigheid van uitzonderingen en beperkingen om redenen van staatsveiligheid en defensie onverlet laten. (44) Overwegende dat de Lid-Staten door het Gemeenschapsrecht gehouden kunnen zijn om van de bepalingen van deze Richtlijn met betrekking tot het recht van toegang, de informatie van personen en de kwaliteit van de gegevens af te wijken teneinde een of meer van bovengenoemde doeleinden in acht te nemen. – Recommendation No. R(87)15 of the Committee of Ministers to Member States regulating the use of personal data in the police sector (1987) en de evaluatieverslagen van de aanbeveling (1994), (1998) en (2002).
3. VERSLAGEN EN STUDIES VAN DE RAAD VAN EUROPA – Raad van Europa, Report on the Impact of Data Protection Principles on Judicial Data in Criminal Matters including in the framework of Judicial Co-operation in Criminal Matters (2002). – Raad van Europa, Third evaluation of Recommendation N° R(87)15 regulating the use of personal data in the police sector (2002). – Raad van Europa, Paper outlining the T-PD's initial remarks concerning a proposal for a council framework decision on the protecdtion of personal data processed in the framework of palice and judicial co-operation in criminal (20 maart 2007). 4. RECHTSPRAAK VAN HET EUROPEES HOF VOOR DE RECHTEN VAN DE MENS – Leander t. Zweden van 26 maart 1987, serie A, nr. 116 (schending van de artikelen 8, 10 en 13 van het Verdrag). Gebruikmaking van inlichtingen bewaard in een register van de geheime politie voor het onderzoek naar de geschiktheid van een persoon voor een functie die van belang is voor de nationale veiligheid. WITWASSEN GELD
§ 5, 4°, Specifieke uitzondering: witwassen geld 1. VERWIJZING NAAR ANDERE WETGEVING – Wet van 11 januari 1993 tot voorkoming van het gebruik van het financiële stelsel voor het witwassen van geld en de financiering van terrorisme, B.S., 9 februari 2003. SPECIFIEKE UITZONDERING: CENTRUM VERMISTE KINDEREN
§ 6 Specifieke uitzondering: Centrum vermiste kinderen (Child Focus) 1. VERWIJZING NAAR ANDERE WETGEVING – Akte van 25 juni 1997 en Koninklijk besluit van 10 juli 1997. – Artikel 458 van het Strafwetboek: Geneesheren, heelkundigen, officieren van gezondheid, apothekers, vroedvrouwen en alle andere personen die uit hoofde van hun staat of beroep kennis dragen van geheimen die hun zijn toevertrouwd, en deze bekendmaken buiten het geval dat zij geroepen worden om in rechte (of voor een parlementaire onderzoekscommissie) getuigenis af te leggen en buiten het geval dat de wet hen verplicht die geheimen bekend te maken, worden gestraft met gevangenisstraf van acht dagen tot zes maanden en met geldboete van honderd euro tot vijfhonderd euro.
50
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 3bis) }1
[Art. 3bis. Deze wet is van toepassing:
1° op de verwerking van persoonsgegevens die wordt verricht in het kader van de effectieve en daadwerkelijke activiteiten van een vaste vestiging van de verantwoordelijke voor de verwerking op het Belgisch grondgebied of op een plaats waar de Belgische wet uit hoofde van het internationaal publiekrecht van toepassing is; 2° op de verwerking van persoonsgegevens door een verantwoordelijke die geen vaste vestiging op het grondgebied van de Europese Gemeenschap heeft, indien voor de verwerking van persoonsgegevens gebruik gemaakt
wordt van al dan niet geautomatiseerde middelen die zich op het Belgisch grondgebied bevinden, andere dan degene die uitsluitend aangewend worden voor de doorvoer van de persoonsgegevens over het Belgisch grondgebied. In de in het vorige lid onder 2° bedoelde omstandigheden moet de verantwoordelijke voor de verwerking een op het Belgisch grondgebied gevestigde vertegenwoordiger aanwijzen, onverminderd rechtsvorderingen die tegen de verantwoordelijke zelf kunnen worden ingesteld.]1 }1. – Ingevoegd bij art. 5 wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001)
TERRITORIALE TOEPASSING VASTE VESTIGING OP BELGISCH GRONDGEBIED
Lid 1, 1°, Territoriale toepassing, vaste vestiging op Belgisch grondgebied 1. INTERNATIONALE WETGEVING – Artikel 4 § 1 a) van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): elke Lid-Staat past zijn nationale, ter uitvoering van deze Richtlijn vastgestelde bepalingen toe op de verwerking van persoonsgegevens indien die wordt verricht in het kader van de activiteiten van een vestiging op het grondgebied van de Lid-Staat van de voor de verwerking verantwoordelijke; wanneer dezelfde verantwoordelijke een vestiging heeft op het grondgebied van verscheidene Lid-Staten, dient hij de nodige maatregelen te treffen om ervoor te zorgen dat elk van die vestigingen voldoet aan de verplichtingen die worden opgelegd door de toepasselijke nationale wetgeving. – Artikel 4 § 1 b) van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): elke Lid-Staat past zijn nationale, ter uitvoering van deze Richtlijn vastgestelde bepalingen toe op de verwerking van persoonsgegevens indien de voor de verwerking verantwoordelijke niet gevestigd is op het grondgebied van de Lid-Staat, maar in een plaats waar de nationale wet uit hoofde van het internationale publiekrecht van toepassing is. – Overwegingen 18 en 19 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): (18) overwegende dat om te voorkomen dat een persoon wordt uitgesloten van de bescherming waarop hij krachtens deze Richtlijn recht heeft, alle verwerkingen van persoonsgegevens in de Gemeenschap moeten worden uitgevoerd overeenkomstig de wetgeving van een van de Lid-Staten; dat in dit verband de verwerking die wordt uitgevoerd door een persoon namens een voor de verwerking verantwoordelijke die in een Lid-Staat is gevestigd, door het recht van die Staat dient te worden geregeld. (19) overwegende dat de vestiging op het grondgebied van een Lid-Staat het effectief en daadwerkelijk uitoefenen van activiteiten door een vaste vestiging veronderstelt; dat de rechtsvorm van een dergelijke vestiging, of het nu gaat om een bijkantoor of om een dochteronderneming met rechtspersoonlijkheid, hier niet doorslaggevend is; dat, wanneer een en dezelfde voor de verwerking verantwoordelijke gevestigd is op het grondgebied van verscheidene Lid-Staten, met name door middel van een dochteronderneming, hij dient te waarborgen, in het bijzonder om elke vorm van wetsontduiking te voorkomen, dat elk van de vestigingen voldoet aan de verplichtingen die het nationale recht aan de activiteiten stelt.
2. ADVIEZEN VAN DE GROEP 29 – Groep 29, Werkdocument betreffende de internationale toepassing van de gegevensbeschermingswetgeving van de EU op de verwerking van persoonsgegevens op internet door websites van buiten de EU (30 mei 2002 - WP 56). Vestiging: de plaats waar de verantwoordelijke voor de verwerking is gevestigd, betekent dat daar de activiteit op een normale duurzame manier wordt uitgeoefend en moet, in overeenstemming met de jurisprudentie van het Hof van Justitie van de Europese Gemeenschappen, worden vastgesteld. Volgens het Hof houdt het begrip vestiging in dat via een vaste vestiging voor onbepaalde duur een economische activiteit daadwerkelijk wordt uitgeoefend. Aan deze eis is ook voldaan wanneer een bedrijf voor een bepaalde periode is opgericht. De plaats van vestiging van een bedrijf dat diensten via een website aanbiedt, is niet de plaats waar de website ondersteunende technologie zich bevindt, noch de plaats waarop de website toegankelijk is, maar de plek waar het bedrijf zijn activiteiten uitoefent. – Groep 29, Advies 1/2008 over gegevensbescherming en zoekmachines (4 april 2008, WP 148): artikel 4 van de richtlijn gegevensbescherming heeft betrekking op de toepasbaarheid van de nationale wetgeving inzake gege-
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
51
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 3bis)
vensbescherming. De werkgroep heeft verdere aanwijzingen verschaft over de bepalingen van artikel 4 in haar "Werkdocument betreffende de internationale toepassing van de gegevensbeschermingswetgeving van de EU op de verwerking van persoonsgegevens op internet door websites van buiten de EU" (zie hierboven). Deze bepaling heeft twee oogmerken. Het eerste is te voorkomen dat er gaten vallen in het bestaande systeem van gegevensbescherming in de EU of dat het systeem wordt omzeild. Het tweede is te voorkomen dat op dezelfde verwerkingsactie de wetten van meer dan één EU-Lid-Staat van toepassing kunnen zijn. Vanwege het transnationale karakter van de door zoekmachines gegenereerde gegevensstromen gaat de werkgroep specifiek in op deze twee aspecten. De verwerking door persoonsgegevens van een exploitant van een zoekmachine die gevestigd is in een of meer Lid-Staten en er al zijn diensten levert, valt beslist onder de richtlijn over gegevensbescherming. Er zij op gewezen dat de gegevensbeschermingsregels in dit geval niet beperkt zijn tot betrokkenen (personen waarop de gegevens betrekking hebben) op het grondgebied of met de nationaliteit van een van de Lid-Staten. Vestiging op het grondgebied van een Lid-Staat (EER) - Volgens artikel 4, lid 1, onder a), dient de wetgeving inzake gegevensbescherming van een Lid-Staat te worden toegepast wanneer de voor de verwerking verantwoordelijke bepaalde persoonsgegevens verwerkt "in het kader van de activiteiten van een vestiging" van de betrokken verantwoordelijke op het grondgebied van een Lid-Staat. Als uitgangspunt dient een specifieke actie waarbij persoonsgegevens worden verwerkt te worden genomen. Zoals de werkgroep al heeft aangegeven in haar vorige werkdocument13, veronderstelt het begrip 'vestiging' het effectief en daadwerkelijk uitoefenen van activiteiten door een vaste vestiging. Of dit het geval is, dient te worden vastgesteld overeenkomstig de jurisprudentie van het Hof van Justitie van de Europese Gemeenschappen. De rechtsvorm van de vestiging - een bijkantoor, een dochteronderneming met rechtspersoonlijkheid of een agentschap van een derde partij - is niet bepalend. Wel moeten de persoonsgegevens worden verwerkt "in het kader van de activiteiten" van de vestiging. Dit houdt in dat de vestiging ook een relevante rol moet spelen bij de specifieke verwerkende handeling. Dit is duidelijk het geval wanneer: - een vestiging verantwoordelijk is voor relaties met gebruikers van de zoekmachine in een bepaald rechtsgebied; - een exploitant van een zoekmachine in een Lid-Staat (EER) een kantoor vestigt dat betrokken is bij het verkopen van gerichte advertenties aan de inwoners van het betreffende land/advertenties gericht op de inwoners van het betreffende land; - de vestiging van een exploitant van een zoekmachine rechterlijke beslissingen naleeft en/of gehoor geeft aan rechtshandhavingsverzoeken van de bevoegde autoriteiten van een Lid-Staat met betrekking tot gebruikersgegevens. Het is de verantwoordelijkheid van de exploitant van de zoekmachine om duidelijk te maken in hoeverre er vestigingen op het grondgebied van Lid-Staten betrokken zijn bij de verwerking van persoonsgegevens. Als er een nationale vestiging betrokken is bij het verwerken van gebruikersgegevens, is artikel 4, lid 1, onder a), van de richtlijn over gegevensbescherming van toepassing. Groep 29, Opinion 8/2010 on applicable law (WP 179 – 16 december 2010): this opinion clarifies the scope of application of Directive 95/46/EC and in particular its article 4, which determines which national data protection law(s) adopted pursuant to the Directive may be applicable to the processing of personal data. The opinion also highlights some areas for possible further improvement. With regard to article 4(1)a, the reference to “an” establishment means that the applicability of a member State’s law will be triggered by the location of an establishment of the controller in hat member State, and other Member State’s laws could be triggered by the location of other establishments of that controller in those Member States. To trigger the application of the national law, the notion of the “context of activities” of the establishment is decisive. It implies that the establishment of the controller is involved in activities implying the processing of personal data, taking into consideration its degree of involvement in the processing activities, the nature of the activities and the need to guarantee effective data protection. GEEN VASTE VESTIGING OP HET GRONDGEBIED EU
Lid 1, 2° en lid 2 Geen vaste vestiging op het grondgebied van de Europese Unie 1. INTERNATIONALE WETGEVING – Artikel 4 § 1 c) van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): elke Lid-Staat past zijn nationale, ter uitvoering van deze Richtlijn vastgestelde bepalingen toe op de verwerking van persoonsgegevens indien de voor de verwerking verantwoordelijke persoon niet gevestigd is op het grondgebied van de Gemeenschap en voor de verwerking van persoonsgegevens gebruik maakt van al dan niet geautomatiseerde middelen die zich op het grondgebied van genoemde Lid-Staat bevinden, behalve indien deze middelen op het grondgebied van de Europese Gemeenschap slechts voor doorvoer worden gebruikt. – Artikel 4 § 2 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): in de in lid 1, onder c) (gebruikmaking van de middelen die op het grondgebied van de Europese Unie worden aangewend zonder vestiging) bedoelde omstandigheden moet de voor de verwerking verant-
52
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 3bis)
woordelijke een op het grondgebied van de betrokken Lid-Staat gevestigde vertegenwoordiger aanwijzen, onverminderd rechtsvorderingen die tegen de voor de verwerking verantwoordelijke zelf kunnen worden ingesteld. – Overweging 20 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): overwegende dat de vestiging in een derde land van de voor de verwerking verantwoordelijke de bescherming van personen waarin de onderhavige Richtlijn voorziet, niet in de weg mag staan; dat in dit geval de verwerking moet worden geregeld door het recht van de Lid-Staat waarin de gebruikte middelen zich bevinden, en dat gewaarborgd moet worden dat de rechten en verplichtingen waarin de onderhavige Richtlijn voorziet, in de praktijk worden geëerbiedigd.
2. ADVIEZEN VAN DE GROEP 29 – Groep 29, Werkdocument betreffende de internationale toepassing van de gegevensbeschermingswetgeving van de EU op de verwerking van persoonsgegevens op internet door websites van buiten de EU (30 mei 2002 - WP 56): dit document verduidelijkt de draagwijdte van artikel 4 van de Richtlijn 95/46/EG en beschrijft hoe dit artikel moet worden geïnterpreteerd. In artikel 4 komen de gevallen ter sprake waarbij het recht op verwerkingen van persoonsgegevens toegepast moet worden. Er wordt een onderscheid gemaakt tussen enerzijds situaties waarbij de grensoverschrijdende elementen beperkt blijven tot de Lid-Staten van de EU of met een grondgebied buiten de geografische grenzen van de Europese Unie, maar waarbij de wetgeving van een Lid-Staat van toepassing is op grond van het internationaal publiek recht en anderzijds situaties waarbij bij het verwerken elementen zijn betrokken die verder gaan dan de grenzen van de Europese Unie. Wat de situaties betreft binnen de Gemeenschap is het doeleinde van de Richtlijn tweevoudig: het vermijden van juridische lacunes en de toepassing van meerdere nationale wetgevingen. Aangezien de Richtlijn zelf het vraagstuk behandelt van de toepasselijke wetgeving is het niet nodig dat een beroep wordt gedaan op andere bestaande criteria van internationaal privaatrecht. De Richtlijn gebruikt het criterium van de plaats van vestiging van de verantwoordelijke voor de verwerking of het land van herkomst. De toepassing van het beginsel van het land van herkomst is gerechtvaardigd op een interne markt waar nationale gegevensbeschermingswetten dezelfde bescherming bieden dankzij de harmonisatie van de gegevensbeschermingsrechten van personen en de verplichtingen van de verantwoordelijken voor de verwerking. De situatie is anders wanneer het gaat om verwerkingen waarbij een verantwoordelijke in een derde land is betrokken. In dit geval werd besloten terug te grijpen naar een van de klassieke verbandsfactoren, namelijk de band tussen de handeling en een rechtssysteem, hetzij het land van de plaats waar de gebruikte middelen zich bevinden. De bedoeling van deze bepaling bestaat erin dat een persoon niet zonder bescherming zou zijn indien de verwerking in zijn land plaatsvindt, alleen omdat de verantwoordelijke voor de verwerking niet op het grondgebied van de Gemeenschap is gevestigd. Het is namelijk niet noodzakelijk dat de persoon een EU-burger moet zijn, of in de EU fysiek aanwezig moet zijn of er verblijven. De Richtlijn maakt geen onderscheid op basis van nationaliteit of plaats. Verantwoordelijke voor de verwerking die gebruik maakt van hulpmiddelen: aangaande de verantwoordelijke voor de verwerking gaat het hier over het algemeen begrip vervat in de Richtlijn (2d). De definitie zegt niets over de vestigingsplaats van de verantwoordelijke voor de verwerking. Zij is alomvattend omdat alle verwerkingen aan een of meerdere verantwoordelijken voor de verwerking moeten worden toegeschreven. "Gebruik maken van middelen" voor het verwerken van persoonsgegevens veronderstelt dat de verantwoordelijke voor de verwerking een activiteit uitoefent en een specifiek doel nastreeft. Wat nu de "middelen"/"equipment" betreft geeft de Groep PC's, terminals en servers op als voorbeelden. De middelen kunnen al dan niet geautomatiseerd zijn, als ze maar niet uitsluitend voor de doorvoer of informatie via het grondgebied van de Gemeenschap worden gebruikt. Een "typisch" voorbeeld waarbij middelen alleen voor doorvoer worden gebruikt zijn de telecommunicatienetwerken (backbones, kabels, enzovoorts) die onderdeel vormen van het internet en waarover de internetcommunicaties plaatsvinden vanaf het punt van vertrek tot de bestemming. Het is dus niet noodzakelijk dat de verantwoordelijke voor de verwerking een totale controle uitoefent op de middelen. De mate waarin de middelen de verantwoordelijke ter beschikking staan kan variëren. De noodzakelijke mate van beschikbaarheid wordt bereikt wanneer de verantwoordelijke bepaalt op welke manier de middelen worden gebruikt en zodoende relevante beslissingen neemt over de inhoud van de gegevens en de methode van de verwerking. Met andere woorden, de verantwoordelijke bepaalt welke gegevens op welke wijze en voor welk doel worden verzameld, opgeslagen, doorgegeven, gewijzigd, enzovoorts. De Groep is van mening dat het begrip "gebruikmaken" twee elementen impliceert: een vorm van activiteit die door de verantwoordelijke wordt uitgeoefend en het voornemen persoonsgegevens te verwerken. Dit betekent dat niet elk "gebruik" van "middelen" in de Europese Unie tot toepassing van de Richtlijn leidt. Het vraagstuk van de beschikbaarheid mag zowel in het geval van de verantwoordelijke als van de betrokkene niet verward worden met de vraag wie de middelen bezit of er eigenaar van is. De Richtlijn hecht dan ook helemaal geen belang aan het vraagstuk van de eigendom van de middelen. Het document bespreekt ook nog enkele aspecten van de procedure en geeft meerdere praktische voorbeelden: de Cookies, JavaScripts, banners en andere gelijkaardige toepassingen. – Groep 29, Advies 1/2008 over gegevensbescherming en zoekmachines (4 april 2008, WP 148): artikel 4 van de richtlijn gegevensbescherming heeft betrekking op de toepasbaarheid van de nationale wetgeving inzake gegevensbescherming. De werkgroep heeft verdere aanwijzingen verschaft over de bepalingen van artikel 4 in haar "Werkdocument betreffende de internationale toepassing van de gegevensbeschermingswetgeving van de EU
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
53
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 3bis)
op de verwerking van persoonsgegevens op internet door websites van buiten de EU12". Deze bepaling heeft twee oogmerken. Het eerste is te voorkomen dat er gaten vallen in het bestaande systeem van gegevensbescherming in de EU of dat het systeem wordt omzeild. Het tweede is te voorkomen dat op dezelfde verwerkingsactie de wetten van meer dan één EU-Lid-Staat van toepassing kunnen zijn. Vanwege het transnationale karakter van de door zoekmachines gegenereerde gegevensstromen gaat de werkgroep specifiek in op deze twee aspecten. Wanneer de exploitant van de zoekmachine een voor de verwerking verantwoordelijke is die niet in de EER is gevestigd, is de communautaire wetgeving inzake gegevensbescherming in twee gevallen toch van toepassing. Ten eerste, wanneer de exploitant van de zoekmachine een vestiging heeft in een Lid-Staat, overeenkomstig artikel 4, lid 1, onder a). Ten tweede, wanneer de zoekmachines gebruikmaken van apparatuur die zich op het grondgebied van een LidStaat bevindt, overeenkomstig artikel 4, lid 1, onder c). In het laatste geval moet volgens artikel 4, lid 2, de exploitant van de zoekmachine een op het grondgebied van de betrokken Lid-Staat gevestigde vertegenwoordiger aanwijzen. Toegepast op een specifieke zoekmachine met een buiten de EER gevestigd hoofdkantoor, moet worden vastgesteld of bij de verwerking van gebruikersgegevens vestigingen op het grondgebied van een Lid-Staat betrokken zijn. Vestiging - Zoals de werkgroep al heeft aangegeven, veronderstelt het begrip 'vestiging' het effectief en daadwerkelijk uitoefenen van activiteiten door een vaste vestiging. Of dit het geval is, dient te worden vastgesteld overeenkomstig de jurisprudentie van het Hof van Justitie van de Europese Gemeenschappen. De rechtsvorm van de vestiging - een bijkantoor, een dochteronderneming met rechtspersoonlijkheid of een agentschap van een derde partij - is niet bepalend. Wel moeten de persoonsgegevens worden verwerkt "in het kader van de activiteiten" van de vestiging. Dit houdt in dat de vestiging ook een relevante rol moet spelen bij de specifieke verwerkende handeling. Dit is duidelijk het geval wanneer: – een vestiging verantwoordelijk is voor relaties met gebruikers van de zoekmachine in een bepaald rechtsgebied; – een exploitant van een zoekmachine in een Lid-Staat (EER) een kantoor vestigt dat betrokken is bij het verkopen van gerichte advertenties aan de inwoners van het betreffende land/advertenties gericht op de inwoners van het betreffende land; – de vestiging van een exploitant van een zoekmachine rechterlijke beslissingen naleeft en/of gehoor geeft aan rechtshandhavingsverzoeken van de bevoegde autoriteiten van een Lid-Staat met betrekking tot gebruikersgegevens. Exploitanten van zoekmachines die niet in de EER zijn gevestigd, dienen hun gebruikers te informeren over de omstandigheden waarin zij aan de richtlijn over gegevensbescherming dienen te voldoen, hetzij wegens vestiging, hetzij wegens het gebruik van apparatuur. Gebruik van apparatuur ('middelen') - Zoekmachines die op het grondgebied van een Lid-Staat (EER) middelen gebruiken voor de verwerking van persoonsgegevens vallen ook onder de wetgeving inzake gegevensbescherming van de betrokken Lid-Staat. De wetgeving inzake gegevensbescherming van een Lid-Staat is ook van toepassing wanneer "de voor de verwerking verantwoordelijke persoon [...] voor de verwerking van persoonsgegevens gebruik maakt van al dan niet geautomatiseerde middelen die zich op het grondgebied van genoemde Lid-Staat bevinden, behalve indien deze middelen op het grondgebied van de Europese Gemeenschap slechts voor doorvoer worden gebruikt." Bij het exploiteren van zoekmachines van buiten de EU kunnen datacentra op het grondgebied van een LidStaat worden ingezet voor het opslaan en verwerken van persoonsgegevens op afstand. Andere soorten middelen zouden kunnen bestaan uit het gebruik van pc's, terminals en servers. Het gebruik van cookies en soortgelijke software door een online-dienstverlener kan ook worden beschouwd als het gebruik van middelen op het grondgebied van de Lid-Staat, en de wetgeving inzake gegevensbescherming van de betreffende Lid-Staat is er dan ook op van toepassing. Het onderwerp is besproken in het reeds genoemde werkdocument (WP56). Volgens deze tekst "kan de PC van de gebruiker beschouwd worden als een middel in de zin van artikel 4, lid 1, onder c) van Richtlijn 95/46/EG. Het middel bevindt zich op het grondgebied van de LidStaat. De voor de verwerking verantwoordelijke heeft besloten dit middel te gebruiken voor de verwerking van persoonsgegevens en, zoals in de vorige alinea's is uiteengezet, kunnen verschillende technische operaties plaatsvinden zonder het toezicht van de betrokkene/de gebruiker. De verantwoordelijke beschikt over het middel van de gebruiker en dit middel wordt niet alleen gebruikt voor de doorvoer door het grondgebied van de Gemeenschap." – Groep 29, Advies 5/2009 over online sociale netwerken (12 juni 2009, WP 163): de richtlijn gegevensbescherming is in de meeste gevallen van toepassing op aanbieders van sociale netwerkdiensten, ook als hun hoofdkantoor buiten de EER is gevestigd. Voor nadere richtsnoeren inzake de vestigingsplaats en het gebruik van apparatuur als zaken die voor de toepasselijkheid van de richtlijn bepalend zijn, en de regels die dan gelden voor de verwerking van IP-adressen en het gebruik van cookies, verwijst de Groep Artikel 29 naar haar eerdere advies over zoekmachines (zie hoger).
54
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 4)
– Groep 29, Opinion 8/2010 on applicable law (WP 179 – 16 december 2010): this opinion clarifies the scope of application of Directive 95/46/EC and in particular its article 4, which determines which national data protection law(s) adopted pursuant to the Directive may be applicable to the processing of personal data. The opinion also highlights some areas for possible further improvement. With regard to the “use of equipment” provision in article 4(1)c, which may entail the application of the Directive to controllers not established in the EU/ EEA territory, the opinion clarifies that it should apply in those cases where there is no establishment in the EU/ EEA which would trigger the application of Article 4(1)a or where the processing is not carried out in the context of such an establishment. The opinion also notes that a broader interpretation of the notion of equipment – justified by its expression by “means” in other EU languages – may in some cases result in European data protection law being applicable where the processing in question has no real connection with the EU/EEA.
HOOFDSTUK II }1
[ALGEMENE VOORWAARDEN VOOR DE RECHTMATIGHEID VAN DE VERWERKING VAN PERSOONSGEGEVENS]1
}1. Opschrift vervangen bij art. 6 wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001) }1 troffen om de gegevens die, uitgaande van de doelein-
Art. 4. [§ 1. Persoonsgegevens dienen:
1° eerlijk en rechtmatig te worden verwerkt; 2° voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden te worden verkregen en niet verder te worden verwerkt op een wijze die, rekening houdend met alle relevante factoren, met name met de redelijke verwachtingen van de betrokkene en met de toepasselijke wettelijke en reglementaire bepalingen, onverenigbaar is met die doeleinden. Onder de voorwaarden vastgesteld door de Koning na advies van de Commissie voor de bescherming van de persoonlijke levenssfeer, wordt verdere verwerking van de gegevens voor historische, statistische of wetenschappelijke doeleinden niet als onverenigbaar beschouwd; 3° toereikend, terzake dienend en niet overmatig te zijn, uitgaande van de doeleinden waarvoor zij worden verkregen of waarvoor zij verder worden verwerkt; 4° nauwkeurig te zijn en, zo nodig, te worden bijgewerkt; alle redelijke maatregelen dienen te worden ge-
den waarvoor zij worden verkregen of waarvoor zij verder worden verwerkt, onnauwkeurig of onvolledig zijn, uit te wissen of te verbeteren; 5° in een vorm die het mogelijk maakt de betrokkenen te identificeren, niet langer te worden bewaard dan voor de verwezenlijking van de doeleinden waarvoor zij worden verkregen of verder worden verwerkt, noodzakelijk is. De Koning voorziet, na advies van de Commissie voor de bescherming van de persoonlijke levenssfeer, in passende waarborgen voor persoonsgegevens die, langer dan hiervoor bepaald, voor historische, statistische of wetenschappelijke doeleinden worden bewaard. § 2. Op de verantwoordelijke voor de verwerking rust de plicht om voor de naleving van het bepaalde in § 1 zorg te dragen.]1 }1. – Vervangen bij art. 7 wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001)
Overtreden strafbaar gesteld: zie art. 39, 1°, 40, 41 WVP VEREISTEN VERWERKING PERSOONSGEGEVENS WETTIGHEIDSBEGINSEL (LEGALITEITSBEGINSEL) EERLIJKHEIDSBEGINSEL
§ 1, 1°, Vereisten verwerking persoonsgegevens, wettigheidsbeginsel (legaliteitsbeginsel) en eerlijkheidsbeginsel Eerlijkheidsbeginsel en wettigheidsbeginsel 1. INTERNATIONALE WETGEVING – Guidelines of the United Nations for the Regulation of Computerized Personal Data Files (1990) - (1) Principle of lawfulness and fairness: information about persons should not be collected or processed in unfair or unlawful ways, nor should it be used for ends contrary to the purposes and principles of the Charter of the United Nations. – Artikel 5 a) van het Verdrag nr. 108 van de Raad van Europa tot bescherming van personen ten opzichte van de geautomatiseerde verwerking van persoonsgegevens (1981): persoonsgegevens die langs geautomatiseerde weg worden verwerkt, dienen op eerlijke en wettige wijze te worden verkregen en verwerkt. – Artikel 6 § 1 a) van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): de Lid-Staten bepalen dat de persoonsgegevens eerlijk en rechtmatig moeten worden verwerkt. – Overweging 28 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): overwegende dat elke verwerking van persoonsgegevens ten opzichte van de betrokkenen eerlijk en rechtmatig dient te geschieden (...). – Overweging 38 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
55
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 4)
die gegevens (1995): overwegende dat eerlijke verwerking van gegevens veronderstelt dat de betrokkenen van het bestaan van de verwerkingen op de hoogte kunnen zijn en, wanneer van hen gegevens worden verkregen, daadwerkelijk en volledig worden ingelicht over de omstandigheden waaronder deze gegevens worden verkregen. – Recommendation No. R(99)5 of the Committee of Ministers to member states for the protection of privacy on the internet (1999): guidelines for the protection of individuals with regard to the collection and processing of personal data on information highways (1999): deze Richtlijnen beschrijven de principes van een gedragscode inzake privacybescherming die door de gebruikers en leveranciers van internetdiensten moeten worden nageleefd. – International Standards on the Protection of Personal Data and Privacy (2009) (The Madrid Resolution): resolutie goedgekeurd op 5 november 2009 door de Internationale Conferentie van de commissarissen voor de bescherming van gegevens en de privacy. Principe nr.6: Principle of lawfulness and fairness: 1. Personal data must be fairly processed, respecting the applicable national legislation as well as the rights and freedoms of individuals as set out in this Document and in conformity with the purposes and principles of the Universal Declaration of Human Rights and the International Covenant on Civil and Political Rights. 2. In particular, any processing of personal data that gives rise to unlawful or arbitrary discrimination against the data subject shall be deemed unfair.
Modaliteit: voorkeur voor verzameling bij de persoon (rechtstreekse verzameling - zie ook artikel 9 van de privacywet)
1. INTERNATIONALE WETGEVING – Recommendation No.R(89)2 of the Committee of Ministers to Member States on the protection of personal data used for employment purposes (1989) - (punt 4): 4.1. Personal data should in principle be obtained from the individual employee. The individual concerned should be informed when it is appropriate to consult sources outside the employment relationship. 4.3. In the course of a recruitment procedure, the data collected should be limited to such as are necessary to evaluate the suitability of prospective candidates and their career potential. In the course of such a procedure, personal data should be obtained solely from the individual concerned. Subject to provisions of domestic law, sources other than the individual may only be consulted with his consent or if he has been informed in advance of this possibility. – Recommendation No.R(97)5 of the Committee of Ministers to Member States on the protection of medical data (1997) - (punt 4.2.): medical data shall in principle be obtained from the data subject. They may only be obtained from other sources if in accordance with Principles 4, 6 and 7 of this recommendation and if this is necessary to achieve the purpose of the processing or if the data subject is not in a position to provide the data.
2. ADVIEZEN VAN DE GROEP 29 – Groep 29, Aanbeveling inzake bepaalde minimumeisen voor het online verzamelen van persoonsgegevens in de Europese Unie, (17 mei 2001 - WP 43): deze aanbeveling, die een vervolg is op de twee bovenvermelde documenten, heeft als doel een bijdrage te leveren aan de doeltreffende en consistente toepassing van de nationale bepalingen die in overeenstemming met de Richtlijnen aangaande bescherming van persoonsgegevens zijn goedgekeurd, en wel door concrete aanwijzingen te verstrekken over de manier waarop de regels van de Richtlijnen dienen te worden toegepast bij de meest gangbare soorten verwerkingen die via internet plaatsvinden. Er worden 3 aanbevelingen onderscheiden: - Aanbevelingen voor de te verstrekken informatie bij het verzamelen van persoonsgegevens binnen de grenzen van de Lid-Staten van de Europese Unie. Welke informatie moet worden verstrekt en op welk moment en hoe moet dat gebeuren? - Aanbevelingen inzake andere rechten en verplichtingen. - Het verzamelen van adressen voor direct marketing via e-mail en de toezending van nieuwsbrieven. – Groep 29, Working Document 1/2008 on the protection of children's personal data (General guidelines and the special case of schools), (18 februari 2008, WP 147) en Groep 29, Advies 2/2009 over de bescherming van persoonsgegevens van kinderen (Algemene richtlijnen en het bijzondere geval van scholen), (11 februari 2009, WP 160): the duty to process personal data in accordance with the principle of fairness (Art. 6a) must be interpreted strictly when it concerns a child. As a child is not yet completely mature, controllers must be aware of this, and act with the utmost good faith when processing their data.
56
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 4)
FINALITEITSBEGINSEL VERDERE VERWERKING LATERE VERWERKING VOOR HISTORISCHE STATISTISCHE OF WETENSCHAPPELIJKE DOELEINDEN
§ 1, 2°, Vereisten verwerking persoonsgegevens, finaliteitsbeginsel, latere verwerking voor historische, statistische of wetenschappelijke doeleinden Finaliteitsbeginsel en verdere verwerking 1. INTERNATIONALE WETGEVING – Guidelines of the United Nations for the Regulation of Computerized Personal Data Files (1990) - (3) Principle of the purpose-specification: the purpose which a file is to serve and its utilization in terms of that purpose should be specified, legitimate and, when it is established, receive a certain amount of publicity or be brought to the attention of the person concerned, in order to make it possible subsequently to ensure that: a) All the personal data collected and recorded remain relevant and adequate to the purposes so specified; b) None of the said personal data is used or disclosed, except with the consent of the person concerned, for purposes incompatible with those specified; c) The period for which the personal data are kept does not exceed that which would enable the achievement of the purposes so specified. – Artikel 5 b) van het Verdrag nr. 108 van de Raad van Europa tot bescherming van personen ten opzichte van de geautomatiseerde verwerking van persoonsgegevens (1981): persoonsgegevens die langs geautomatiseerde weg worden verwerkt, dienen te worden opgeslagen voor duidelijk omschreven en gerechtvaardigde doeleinden en niet te worden gebruikt op een wijze die onverenigbaar is met die doeleinden. – Explanatory Report of the Convention n°108 - (punt 41): the reference to "purposes" in litterae b and c indicates that it should not be allowed to store data for undefined purposes. The way in which the legitimate purpose is specified may vary in accordance with national legislation. – Recommendation No. R(89)2 of the Committee of Ministers to Member States on the protection of personal data used for employment purposes (1989) - (punt 4): 4.2. Personal data collected by employers for employment purposes should be relevant and not excessive, bearing in mind the type of employment as well as the evolving information needs of the employer. 4.3. In the course of a recruitment procedure, the data collected should be limited to such as are necessary to evaluate the suitability of prospective candidates and their career potential. In the course of such a procedure, personal data should be obtained solely from the individual concerned. Subject to provisions of domestic law, sources other than the individual may only be consulted with his consent or if he has been informed in advance of this possibility. 4.4. Recourse to tests, analyses and similar procedures designed to assess the character or personality of the individual should not take place without his consent or unless domestic law provides other appropriate safeguards. If he so wishes, he should be informed of the results of these tests. – Artikel 6 § 1 b) van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): de Lid-Staten bepalen dat de persoonsgegevens voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden moeten worden verkregen en vervolgens niet worden verwerkt op een wijze die onverenigbaar is met die doeleinden. Verdere verwerking van de gegevens voor historische, statistische of wetenschappelijke doeleinden wordt niet als onverenigbaar beschouwd, mits de Lid-Staten passende garanties bieden. – Recommendation No.R (86) 1 of the Committee of Ministers to Member States on the protection of personal data used for social security purposes (1986) - (punt 4): 4.1. Personal data obtained by a social security institution for the accomplishment of a certain task may be used for other social security purposes within its competence. 4.2. Exchange of personal data between social security institutions should be permissible to the extent necessary for the accomplishment of their tasks. 4.3. Personal data should not be communicated outside the framework of social security for other than social security purposes except with the informed consent of the person concerned or in accordance with other guarantees laid down by domestic law. – Recommendation No. R(97)5 of the Committee of Ministers to Member States on the protection of medical data (1997): genetic data - (punten 4.7 e.v.): 4.7. Genetic data collected and processed for preventive treatment, diagnosis or treatment of the data subject or for scientific research should only be used for these purposes or to allow the data subject to take a free and informed decision on these matters.
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
57
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 4)
4.8. Processing of genetic data for the purpose of a judicial procedure or a criminal investigation should be the subject of a specific law offering appropriate safeguards. The data should only be used to establish whether there is a genetic link in the framework of adducing evidence, to prevent a real danger or to suppress a specific criminal offence. In no case should they be used to determine other characteristics which may be linked genetically. 4.9. For purposes other than those provided for in Principles 4.7 and 4.8, the collection and processing of genetic data should, in principle, only be permitted for health reasons and in particular to avoid any serious prejudice to the health of the data subject or third parties. However, the collection and processing of genetic data in order to predict illness may be allowed for in cases of overriding interest and subject to appropriate safeguards defined by law. – International Standards on the Protection of Personal Data and Privacy (2009) (The Madrid Resolution): resolutie goedgekeurd op 5 november 2009 door de Internationale Conferentie van de commissarissen voor de bescherming van gegevens en de privacy. Principe nr.7: Purpose specification principle 1. The processing of personal data should be limited to the fulfillment of the specific, explicit and legitimate purposes of the responsible person. 2. The responsible person should not carry out any processing that is non-compatible with the purposes for which personal data were collected, unless he has the unambiguous consent of the data subject.
2. ADVIEZEN VAN DE GROEP 29 – Groep 29, Advies 5/2000 over Het gebruik van openbare abonneelijsten voor omgekeerd zoeken of zoeken met meervoudige criteria (Omgekeerde abonneelijsten) (13 juli 2000 - WP 33): de Groep stelt vast dat het aantal elektronische telefoonlijsten toeneemt. Een van de belangrijkste innovaties van de elektronische uitgaven is dat er gemakkelijk en goedkoop extra mogelijkheden voor de verwerking van de informatie uit de abonneelijsten kunnen worden aangeboden. Deze producten bieden onder andere de mogelijkheid om omgekeerd of met meervoudige criteria te zoeken. Aangezien de persoonsgegevens uit openbare abonneelijsten nu gebruikt worden voor omgekeerd zoeken of zoeken met meervoudige criteria, is er sprake van een nieuw doeleinde en moeten de verantwoordelijken voor de gegevensverwerking de betrokkenen daarover inlichten. Daarnaast moet die verwerking voldoen aan een van de vastgestelde criteria in artikel 7 van de Richtlijn 95/46/EG. De specifieke en geïnformeerde toestemming van de abonnee is vereist vooraleer zijn gegevens aan ieder type van openbare abonneelijst worden toegevoegd, die zal dienen voor omgekeerd zoeken of zoeken met multicriteria. Ontbreekt die toestemming dan is de verwerking onwettig. – Groep 29, Advies 3/2001 over het beschermingsniveau van de Australische wet 2000 tot wijziging (particuliere sector) van de privacywet (26 januari 2001 - WP 40): in haar analyse uit de werkgroep haar bezorgdheid over het feit dat bepaalde sectoren en activiteiten zijn uitgesloten van de door de wet geboden bescherming, onder meer de inlichtingen over werknemers. De werkgroep wijst erop dat de inlichtingen over werknemers dikwijls gevoelige informatie bevat en dat er geen enkele reden is om ze uit te sluiten van ten minste een bescherming van die gevoelige informatie. De Groep wijst er eveneens op dat de Australische wet de mogelijkheid biedt om informatie te gebruiken of bekend te maken voor een secundair doel wanneer het gebruik of de bekendmaking bij of uit kracht van wet is vereist of toegestaan. Volgens de Groep is het aanvaardbaar te voorzien in een uitzondering wanneer organisaties met strijdige juridische verplichtingen worden geconfronteerd, maar het uitbreiden van de uitzondering tot alle opties die door sectorspecifieke wetten - bestaande en toekomstige worden geboden, dreigt de rechtszekerheid te ondermijnen en de basisbescherming uit te hollen (...) – Groep 29, Advies 2/2003 over de toepassing van de gegevensbeschermingsbeginselen op de Whois directories (13 juni 2003 - WP 76): het document onderzoekt de verschillende problemen op het vlak van gegevensbescherming die gepaard gaan met de Whois directories, en meer in het bijzonder de finaliteitsproblematiek. De Groep benadrukt dat het doel van de Whois directories niet kan worden uitgebreid tot andere doelstellingen alleen maar omdat dit door sommige potentiële gebruikers van de bestanden wenselijk wordt geacht. De Groep herinnert eraan dat het feit dat persoonsgegevens openbaar beschikbaar zijn niet betekent dat de bepalingen van de gegevensbeschermingsRichtlijn niet meer op die gegevens van toepassing zijn (zie hierover de definitie van persoonsgegevens in artikel 1 §1 van de privacywet). – Groep 29, Working Document 1/2009 on pre-trial discovery for cross border civil litigation (11 februari 2009, WP 158): article 6 of the Directive provides that personal data must be processed fairly and lawfully, collected for specified, explicit and legitimate purposes and not used for incompatible purposes. The personal data must be adequate, relevant and not excessive in relation to the purposes for which they are collected and/or further processed. In relation to litigation there is a tension in the discovery process in seeking a balance between the perceived need of the parties to obtain all information prior to then determining its relevance to the issues within the litigation and the rights of the individuals where their personal data is included within the information sought as part of the litigation process. It is clear from the US civil procedure rules and the principles expounded by the Sedona Conference that the approach of both the US and the EU legal systems place importance on the proportionality and the balance of the rights of the different interests. There is a duty upon the data controllers involved in litigation to take such steps as are appropriate (in view of the sensitivity of the data in question and of alternative sources of the information) to limit the discovery of personal data to that which is objectively relevant to the issues being litigated. There are various stages to this filtering activity including determining the information that is relevant to the case, then moving on to assessing the extent to which this includes personal data. Once personal data has been identified, the data controller would need to consider
58
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 4)
whether it is necessary for all of the personal data to be processed, or for example, could it be produced in a more anonymised or redacted form. Where the identity of the individual data subject's is not relevant to the cause of action in the litigation, there is no need to provide such information in the first instance. However, at a later stage it may be required by the court which may give rise to another "filtering" process. In most cases it will be sufficient to provide the personal data in a pseudonymised form with individual identifiers other than the data subject's name. When personal data are needed the "filtering" activity should be carried out locally in the country in which the personal data is found before the personal data that is deemed to be relevant to the litigation is transferred to another jurisdiction outside the EU. The Working Party recognises that this may cause difficulties in determining who is the appropriate person to decide on the relevance of the information taking into account the strict time limits laid down in the US Federal Rules of Civil Procedure to disclose the information requested. Clearly it would have to be someone with sufficient knowledge of the litigation process in the relevant jurisdiction. It may be that this would require the services of a trusted third party in a Member State who does not have a role in the litigation but has the sufficient level of independence and trustworthiness to reach a proper determination on the relevance of the personal data. Throughout the discovery process including freezing, the Working Party would urge the parties to the litigation to involve the data protection officers from the earliest stage. – Groep 29, Tweede advies 4/2009 over de Internationale Standaard van het Wereldantidopingagentschap (WADA) voor de bescherming van de persoonlijke levenssfeer en persoonsgegevens, aanverwante bepalingen van de WADA-code en andere privacyvraagstukken in de context van de bestrijding van doping in de sport door het WADA en (nationale) antidopingorganisaties (6 februari 2009, WP 162): de specifieke doeleinden van de gegevensverwerking die in het kader van de code plaatsvindt, moeten worden gedefinieerd en nader omschreven. Het is niet voldoende om uitsluitend te verwijzen naar de gegevensverwerking door antidopingorganisaties "in het kader van hun antidopingactiviteiten" (artikel 4.1 van de privacystandaard) en een formulering te gebruiken als in artikel 5.1 van die standaard ("Antidopingorganisaties mogenenkel persoonsgegevens verwerken wanneer dat noodzakelijk en aangewezen is om te voldoen aan hun verplichtingen krachtens de code en de internationale standaarden"). – Groep 29, Advies 2/2010 over online reclame op basis van surfgedrag (‘behavioural advertising’) (WP 171 – 22 juni 2010): de Groep herinnert eraan dat in artikel 6 van Richtlijn 95/46/EG diverse beginselen zijn opgenomen die moeten worden geëerbiedigd door de verantwoordelijke voor gegevensverwerking. De volgende beginselen zijn vooral van belang: de Groep gegevensbescherming artikel 29 is er zich van bewust dat profielen die worden verzameld en gebruikt voor reclame op basis van surfgedrag, ook voor andere doeleinden dan reclame kunnen worden gebruikt. Zij kunnen worden gebruikt voor de ontwikkeling van nieuwe diensten, waarvan de aard nog niet kan worden vastgesteld. Het bovenvermelde is echter afhankelijk gemaakt van de naleving van artikel 6, lid 1, onder b) waarin het doelbindingsbeginsel is opgenomen. Dit beginsel houdt een verbod in op de verwerking van persoonsgegevens die niet verenigbaar is met de rechtmatige, oorspronkelijke doel van het verzamelen. Met andere woorden, onverenigbaar tweede gebruik van informatie die is verzameld en opgeslagen ten behoeve van reclame op basis van surfgedrag, zou in tegenspraak zijn met artikel 6, lid 1, onder b) van Richtlijn 95/46/EG. Wanneer bijvoorbeeld advertentienetwerken een deel van een groep bedrijven vormen die verscheidene diensten leveren, dan kan het advertentienetwerk gegevens die zijn verzameld ten behoeve van reclame op basis van surfgedrag, niet gebruiken voor andere diensten (tenzij kan worden aangetoond dat de doeleinden verenigbaar zijn). Om dezelfde redenen mogen advertentienetwerken de verzamelde informatie die voor bovengenoemde reclamedoeleinden is gebruikt, niet aanvullen met andere informatie. Indien aanbieders van advertentienetwerken ten behoeve van reclame op basis van surfgedrag verzamelde informatie willen gebruiken voor secundaire, onverenigbare doeleinden, bijvoorbeeld voor gecombineerde diensten, hebben ze aanvullende rechtsgrondslagen nodig om dat te doen, ex artikel 7 van Richtlijn 95/46/EG. Zij zullen hiertoe betrokkenen moeten informeren en in de meeste gevallen toestemming dienen te verkrijgen ex Artikel 7 onder a).
(Latere) verwerking voor onderzoeks- en statistische doeleinden 1. KONINKLIJK BESLUIT VAN 13 FEBRUARI 2001 – Artikels 2 tot 24 (Hoofdstuk II) van het Koninklijk besluit van 13 februari 2001 ter uitvoering van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (2001)
Algemene principes – Artikel 2: de latere verwerking van persoonsgegevens voor historische, statistische of wetenschappelijke doeleinden wordt geacht in overeenstemming te zijn met artikel 4, § 1, 2°, tweede zin, van de wet wanneer zij wordt verricht onder de voorwaarden gesteld in dit hoofdstuk. De bewaring van persoonsgegevens voor historische, statistische of wetenschappelijke doeleinden, die is bedoeld in artikel 4, § 1, 5°, tweede zin, van de wet, is toegestaan onder de voorwaarden gesteld in dit hoofdstuk. – Artikel 3: de latere verwerking van persoonsgegevens voor historische, statistische of wetenschappelijke doeleinden vindt plaats aan de hand van anonieme gegevens.
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
59
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 4)
– Artikel 4: indien een latere verwerking van anonieme gegevens niet de mogelijkheid biedt de historische, statistische of wetenschappelijke doeleinden te verwezenlijken, mag de verantwoordelijke voor de latere verwerking voor historische, statistische of wetenschappelijke doeleinden overeenkomstig de bepalingen van afdeling 2 van dit hoofdstuk gecodeerde persoonsgegevens verwerken. In dat geval vermeldt hij in de aangifte betreffende de verwerking die hij overeenkomstig artikel 17 van de wet doet, waarom de latere verwerking van anonieme gegevens niet de mogelijkheid biedt de historische, statistische of wetenschappelijke doeleinden te verwezenlijken. – Artikel 5: indien een latere verwerking van gecodeerde gegevens niet de mogelijkheid biedt de historische, statistische of wetenschappelijke doeleinden te verwezenlijken, mag de verantwoordelijke voor de latere verwerking overeenkomstig afdeling 3 van dit hoofdstuk niet-gecodeerde persoonsgegevens verwerken. In dat geval vermeldt hij in de aangifte betreffende de verwerking die hij overeenkomstig artikel 17 van de wet doet, waarom de latere verwerking van gecodeerde gegevens niet de mogelijkheid biedt de historische, statistische of wetenschappelijke doeleinden te verwezenlijken. – Artikel 6: de verantwoordelijke voor de latere verwerking van persoonsgegevens voor historische, statistische of wetenschappelijke doeleinden mag geen handelingen verrichten die zijn gericht op de omzetting van anonieme gegevens in persoonsgegevens of van gecodeerde persoonsgegevens in niet-gecodeerde persoonsgegevens.
Verwerking van gecodeerde persoonsgegevens – Artikel 7: persoonsgegevens worden gecodeerd alvorens later op enigerlei wijze voor historische, statistische of wetenschappelijke doeleinden te worden verwerkt. – Artikel 8: ingeval de verantwoordelijke voor de verwerking van persoonsgegevens verzameld voor bepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden die persoonsgegevens later verwerkt voor historische, statistische of wetenschappelijke doeleinden of die verwerking toevertrouwt aan een verwerker, worden die persoonsgegevens voorafgaand aan de latere verwerking ervan gecodeerd, hetzij door de verantwoordelijke voor de verwerking, hetzij door de verwerker, hetzij door een intermediaire organisatie. In dit laatste geval wordt de intermediaire organisatie beschouwd als een verwerker in de zin van artikel 1, § 5, van de wet. – Artikel 9: ingeval de verantwoordelijke voor de verwerking van persoonsgegevens verzameld voor bepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden deze persoonsgegevens aan een derde meedeelt met het oog op een latere verwerking voor historische, statistische of wetenschappelijke doeleinden, worden die persoonsgegevens voorafgaand aan die mededeling gecodeerd door de verantwoordelijke voor de verwerking of door een intermediaire organisatie. In dit laatste geval wordt de intermediaire organisatie beschouwd als een verwerker in de zin van artikel 1, § 5, van de wet. – Artikel 10: ingeval verscheidene verantwoordelijken voor verwerkingen van persoonsgegevens verzameld voor bepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden aan dezelfde derde(n) persoonsgegevens meedelen met het oog op de latere verwerking ervan voor historische, statistische of wetenschappelijke doeleinden, worden die persoonsgegevens voorafgaand aan die mededeling gecodeerd door een intermediaire organisatie. In dit geval wordt de intermediaire organisatie beschouwd als een verantwoordelijke voor de verwerking in de zin van artikel 1, § 4, van de wet. – Artikel 11: de intermediaire organisatie is onafhankelijk van de verantwoordelijke voor de latere verwerking van de persoonsgegevens voor historische, statistische of wetenschappelijke doeleinden. – Artikel 12: de verantwoordelijke voor de verwerking van persoonsgegevens verzameld voor bepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden en de intermediaire organisatie die gegevens coderen met het oog op de latere verwerking ervan voor historische, statistische of wetenschappelijke doeleinden, nemen de gepaste technische en organisatorische maatregelen om te beletten dat gecodeerde gegevens in niet-gecodeerde worden omgezet. – Artikel 13: de verantwoordelijke voor de verwerking van persoonsgegevens verzameld voor bepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden en de intermediaire organisatie kunnen gecodeerde gegevens slechts meedelen met het oog op de latere verwerking ervan voor historische, statistische of wetenschappelijke doeleinden tegen overlegging door de verantwoordelijke voor de latere verwerking van het ontvangbewijs van een volledige aangifte uitgereikt door de Commissie overeenkomstig artikel 17, § 2, van de wet. – Artikel 14: de verantwoordelijke voor de verwerking van persoonsgegevens verzameld voor bepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden of de intermediaire organisatie moeten voorafgaand aan de codering van de gegevens bedoeld in de artikelen 6 tot 8 van de wet aan de betrokken persoon volgende gegevens meedelen: - de identiteit van de verantwoordelijke voor de verwerking; - de verwerkte categorieën van persoonsgegevens; - de herkomst van de gegevens;
60
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 4)
- een precieze omschrijving van de historische, statistische of wetenschappelijke doeleinden van de verwerking; - de personen of de categorieën van personen voor wie de persoonsgegevens bestemd zijn, het bestaan van een recht op raadpleging van zijn eigen persoonsgegevens, alsook van een recht op verbetering ervan, het bestaan van een recht van verzet in hoofde van de betrokken persoon. – Artikel 15: de verantwoordelijke voor de verwerking van persoonsgegevens verzameld voor bepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden en de intermediaire organisatie moeten de verplichting opgelegd in artikel 14 van dit besluit niet nakomen indien deze verplichting onmogelijk blijkt of onevenredig veel moeite kost en zij zich hebben gedragen naar de procedure bepaald in artikel 16 van dit besluit. De verantwoordelijke voor de verwerking van persoonsgegevens verzameld voor bepaalde, uitdrukkelijk omschreven doeleinden en de intermediaire organisatie moeten de verplichting opgelegd in artikel 14 van dit besluit niet nakomen indien de intermediaire organisatie een administratieve overheid is die door of krachtens de wet de uitdrukkelijke opdracht heeft om persoonsgegevens samen te brengen en te coderen, en hierbij onderworpen is aan door of krachtens de wet vastgelegde specifieke maatregelen die de bescherming van de persoonlijke levenssfeer tot doel hebben. – Artikel 16: de verantwoordelijke voor de verwerking van persoonsgegevens verzameld voor bepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden of de intermediaire organisatie die de gegevens bedoeld in de artikelen 6 tot 8 van de wet wenst te coderen zonder voorafgaande kennisgeving aan de betrokken persoon, vult de aangifte die hij krachtens artikel 17 van de wet moet verrichten aan met de volgende gegevens: 1° de precieze omschrijving van de historische, statistische of wetenschappelijke doeleinden van de verwerking; 2° de redenen ter verantwoording van de verwerking van persoonsgegevens bedoeld in de artikelen 6 tot 8 van de wet; 3° de redenen waarom aan de betrokken persoon de gegevens vermeld in artikel 14 niet kunnen worden meegedeeld of de onevenredigheid van de moeite nodig om zulks te doen; 4° de categorieën van personen van wie persoonsgegevens bedoeld in de artikelen 6 tot 8 van de wet worden verwerkt; 5° de personen of de categorieën van personen die de persoonsgegevens kunnen raadplegen; 6° de herkomst van de gegevens. De Commissie deelt binnen een termijn van vijfenveertig werkdagen te rekenen van de ontvangst van de aangifte aan de verantwoordelijke voor de verwerking of aan de intermediaire organisatie een aanbeveling mee, eventueel vergezeld van bijkomende voorwaarden die bij de latere verwerking van de gecodeerde persoonsgegevens bedoeld in de artikelen 6 tot 8 van de wet voor historische, statistische of wetenschappelijke doeleinden in acht moeten worden genomen. De termijn bepaald in het tweede lid kan eenmaal met vijfenveertig werkdagen worden verlengd. De Commissie deelt voor afloop van de eerste termijn aan de verantwoordelijke voor de verwerking mee dat zij deze verlengt. Indien de Commissie na afloop van de in dit artikel bedoelde termijnen geen aanbeveling heeft meegedeeld, wordt het verzoek geacht te zijn aanvaard. De Commissie maakt de aanbeveling bekend in het register bedoeld in artikel 18 van de wet. – Artikel 17: de verantwoordelijke voor de verwerking moet elke wijziging in de gegevens die hij aan de Commissie heeft meegedeeld overeenkomstig artikel 16 van dit besluit, aan de Commissie melden.
Verwerking van niet-gecodeerde persoonsgegevens – Artikel 18: alvorens niet-gecodeerde persoonsgegevens later voor historische, statistische of wetenschappelijke doeleinden te verwerken, verstrekt de verantwoordelijke voor de latere verwerking aan de betrokken persoon volgende gegevens: 1° de identiteit van de verantwoordelijke voor de verwerking; 2° de verwerkte categorieën van persoonsgegevens; 3° de herkomst van de gegevens; 4° een precieze omschrijving van de historische, statistische of wetenschappelijke doeleinden van de verwerking; 5° de personen of categorieën van personen voor wie de persoonsgegevens bestemd zijn; 6° het bestaan van een recht op raadpleging van zijn eigen persoonsgegevens, alsook van een recht op verbetering ervan; 7° het bestaan van de verplichting om aan de betrokken persoon voorafgaandelijk toestemming te vragen voor de verwerking van niet-gecodeerde persoonsgegevens voor historische, statistische of wetenschappelijke doeleinden. – Artikel 19: de betrokken persoon moet uitdrukkelijk zijn toestemming geven voor de verwerking van hem betreffende niet-gecodeerde persoonsgegevens voor historische, statistische of wetenschappelijke doeleinden vooraleer zij wordt aangevat.
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
61
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 4)
– Artikel 20: de verantwoordelijke voor de latere verwerking van niet-gecodeerde persoonsgegevens voor historische, statistische of wetenschappelijke doeleinden moet de verplichtingen opgelegd in de artikelen 18 en 19 van dit besluit niet nakomen: 1° indien de latere verwerking voor historische, statistische of wetenschappelijke doeleinden beperkt blijft tot nietgecodeerde persoonsgegevens die kennelijk door betrokkene zelf publiek zijn gemaakt of die in nauw verband staan met het publiek karakter van betrokkene of van de feiten waarbij deze laatste betrokken is of is geweest; of 2° indien de nakoming van deze verplichtingen onmogelijk blijkt of onevenredig veel moeite kost en hij zich heeft gedragen naar de procedure bepaald in artikel 21 van dit besluit. – Artikel 21: de verantwoordelijke voor de latere verwerking van niet-gecodeerde persoonsgegevens voor historische, statistische of wetenschappelijke doeleinden die de gegevens wenst te verwerken zonder voorafgaande kennisgeving aan en toestemming van de betrokken persoon, vult daartoe de aangifte vereist op grond van artikel 17 van de wet aan met de volgende gegevens: 1° de precieze omschrijving van de historische, statistische of wetenschappelijke doeleinden van de verwerking; 2° de redenen die de verwerking van niet-gecodeerde persoonsgegevens noodzakelijk maken; 3° de redenen waarom aan de betrokken persoon geen toestemming met kennis van zaken kan worden gevraagd of de onevenredigheid van de inspanningen nodig om die toestemming te verkrijgen; 4° de categorieën personen over wie niet-gecodeerde persoonsgegevens worden verwerkt; 5° de personen of categorieën van personen die de niet-gecodeerde persoonsgegevens kunnen raadplegen; 6° de herkomst van de gegevens. De Commissie richt binnen een termijn van vijfenveertig werkdagen te rekenen van de ontvangst van de aangifte een aanbeveling aan de verantwoordelijke voor de latere verwerking, zulks eventueel vergezeld van bijkomende voorwaarden die bij de latere verwerking van de niet-gecodeerde persoonsgegevens voor historische, statistische of wetenschappelijke doeleinden in acht moeten worden genomen. De termijn bepaald in het tweede lid kan eenmaal met vijfenveertig werkdagen worden verlengd. De Commissie deelt voor afloop van de eerste termijn aan de verantwoordelijke voor de latere verwerking mee dat zij de eerste termijn verlengt. Indien de Commissie voor afloop van de in dit artikel bedoelde termijnen geen aanbeveling heeft meegedeeld, wordt het verzoek geacht te zijn aanvaard. De Commissie maakt haar aanbeveling bekend in het register bedoeld in artikel 18 van de wet. – Artikel 22: elke wijziging in de gegevens die de verantwoordelijke voor de verwerking overeenkomstig artikel 21 van dit besluit aan de Commissie heeft meegedeeld, moet door deze laatste vooraf aan de Commissie worden gemeld.
Bekendmaking van de resultaten van de verwerking – Artikel 23: de resultaten van de verwerking voor historische, statistische of wetenschappelijke doeleinden mogen niet worden bekendgemaakt in een vorm die de identificatie van de betrokken persoon mogelijk maakt tenzij: 1° deze laatste daartoe zijn toestemming heeft gegeven en de persoonlijke levenssfeer van derden niet wordt geschonden; of 2° de bekendmaking van niet-gecodeerde persoonsgegevens beperkt blijft tot gegevens die kennelijk door betrokkene zelf publiek zijn gemaakt of die in nauw verband staan met het publiek karakter van betrokkene of van de feiten waarbij deze laatste betrokken is of is geweest.
Uitzonderingen – Artikel 24: hoofdstuk II van dit besluit is niet van toepassing op de diensten en overheden bedoeld in artikel 3, § 4, van de wet die een latere verwerking voor historische, statistische of wetenschappelijke doeleinden verrichten.
2. INTERNATIONALE WETGEVING – Recommendation N° R (97) 18 of the Committee of Ministers to Member States concerning the protection of personal data collected and processed for statistical purposes (1997). – Recommendation No.R (83) 10 on the protection of personal data used for scientific research and statistics (1983): de aanbeveling nr. R (97) 18 hieronder vervangt de aanbeveling nr. R(83)10 voor wat betreft de verzameling en verwerking van persoonsgegevens voor statistische doeleinden. Het toepassingsgebied van aanbeveling R(83)10 is dus beperkt tot wetenschappelijk onderzoek. – Recommendation N°R(97)5 of the Committee of Ministers to Member States on the protection of medical data (1997) - (punt 12 wetenschappelijk onderzoek):
62
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 4)
12.1. Whenever possible, medical data used for scientific research purposes should be anonymous. Professional and scientific organisations as well as public authorities should promote the development of techniques and procedures securing anonymity. 12.2. However, if such anonymisation would make a scientific research project impossible, and the project is to be carried out for legitimate purposes, it could be carried out with personal data on condition that: a. the data subject has given his/her informed consent for one or more research purposes; or b. when the data subject is a legally incapacitated person incapable of free decision, and domestic law does not permit the data subject to act on his/her own behalf, his/her legal representative or an authority, or any person or body provided for by law, has given his/her consent in the framework of a research project related to the medical condition or illness of the data subject; or c. disclosure of data for the purpose of a defined scientific research project concerning an important public interest has been authorised by the body or bodies designated by domestic law, but only if: i. the data subject has not expressly opposed disclosure; and ii. despite reasonable efforts, it would be impracticable to contact the data subject to seek his consent; and iii. the interests of the research project justify the authorisation; or d. the scientific research is provided for by law and constitutes a necessary measure for public health reasons. 12.3. Subject to complementary provisions determined by domestic law, health-care professionals entitled to carry out their own medical research should be able to use the medical data which they hold as long as the data subject has been informed of this possibility and has not objected. 12.4. As regards any scientific research based on personal data, the incidental problems, including those of an ethical and scientific nature, raised by respect of the provisions of the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data should also be examined in the light of other relevant instruments. 12.5. Personal data used for scientific research may not be published in a form which enables the data subjects to be identified, unless they have given their consent for the publication and publication is permitted by domestic law. – Artikel 6 § 1 b) van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): de Lid-Staten bepalen dat de persoonsgegevens voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden moeten worden verkregen en vervolgens niet worden verwerkt op een wijze de onverenigbaar is met die doeleinden. Verdere verwerking van de gegevens voor historische, statistische of wetenschappelijke doeleinden wordt niet als onverenigbaar beschouwd, mits de Lid-Staten passende garanties bieden; – Overweging 29 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): overwegende dat de latere verwerking van persoonsgegevens voor historische, statistische of wetenschappelijke doeleinden in het algemeen niet wordt beschouwd als onverenigbaar met de doeleinden waarvoor zij eerder werden verzameld, mits de Lid-Staten passende garanties bieden; dat deze garanties met name moeten voorkomen dat de gegevens worden gebruikt voor het nemen van maatregen of besluiten die tegen een bepaalde persoon gericht zijn. – Artikel 4 § 1 b) van de Verordening (EG) nr. 45/2001 van het Europees Parlement en de Raad van 18 december 2000 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de communautaire instellingen en organen en betreffende het vrije verkeer van die gegevens (2000): de persoonsgegevens moeten voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verkregen en mogen vervolgens niet op een met die doeleinden onverenigbare wijze worden verwerkt. Verdere verwerking van de gegevens voor historische, statistische of wetenschappelijke doeleinden wordt niet als onverenigbaar beschouwd, mits de verantwoordelijke voor de verwerking passende garanties biedt, met name om te waarborgen dat de gegevens niet voor andere doeleinden zullen worden verwerkt en dat zij niet gebruikt zullen worden ter ondersteuning van maatregelen of besluiten betreffende een bepaalde persoon
3. VERSLAGEN EN STUDIES VAN DE RAAD VAN EUROPA – Raad van Europa, Application of Convention 108 to the profiling mechanism: Some ideas for the future work of the consultative committee (T-PD), By Jean-Marc Dinant, Christophe Lazaro, Yves Poullet,Nathalie Lefever, Antoinette Rouvroy. (2008)
4. RECHTSPRAAK VAN HET EUROPEES HOF VOOR DE RECHTEN VAN DE MENS – Gillberg t. Zweden, arrest van 2 november 2010 (verzoek nr. 41723/06). De strafrechtelijke veroordeling van een professor omdat hij weigerde toegang te verlenen tot de onderzoeken die werden gevoerd op een hyperactief kind was gerechtvaardigd – verzoek om toegang van andere onderzoekers – wetenschappelijk onderzoek – garanties op vertrouwelijkheid van de patiëntengegevens – verdere verwerking
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
63
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 4)
PROPORTIONALITEITSBEGINSEL
§ 1, 3°, Vereisten verwerking persoonsgegevens, proportionaliteitsbeginsel 1. INTERNATIONALE WETGEVING – Guidelines of the United Nations for the Regulation of Computerized Personal Data Files (1990) - (2) Principle of accuracy: persons responsible for the compilation of files or those responsible for keeping them have an obligation to conduct regular checks on the accuracy and relevance of the data recorded and to ensure that they are kept as complete as possible in order to avoid errors of omission and that they are kept up to date regularly or when the information contained in a file is used, as long as they are being processed. – Artikel 5 c) van het Verdrag nr. 108 van de Raad van Europa tot bescherming van personen ten opzichte van de geautomatiseerde verwerking van persoonsgegevens (1981): persoonsgegevens die langs geautomatiseerde weg worden verwerkt, dienen toereikend, ter zake dienend en niet overmatig te zijn, uitgaande van de doeleinden waarvoor zij worden opgeslagen. – Recommendation No. R(89)2 of the Committee of Ministers to Member States on the protection of personal data used for employment purposes (1989) - (punt 4): 4.2. Personal data collected by employers for employment purposes should be relevant and not excessive, bearing in mind the type of employment as well as the evolving information needs of the employer. 4.3. In the course of a recruitment procedure, the data collected should be limited to such as are necessary to evaluate the suitability of prospective candidates and their career potential (...). – Artikel 6 § 1 c) van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): de Lid-Staten bepalen dat de persoonsgegevens toereikend, ter zake dienend en niet bovenmatig moeten zijn, uitgaande van de doeleinden waarvoor zij worden verzameld of waarvoor zij vervolgens worden verwerkt; – Overweging 28 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): (...) dat de verwerking met name adequate en ter zake dienende, gegevens moet betreffen die met de doeleinden stroken en dat deze doeleinden expliciet en geoorloofd moeten zijn en moeten zijn vastgesteld bij het verzamelen van de gegevens; dat de doelstellingen van latere verwerkingen niet onverenigbaar mogen zijn met de oorspronkelijk omschreven doelen; – International Standards on the Protection of Personal Data and Privacy (2009) (The Madrid Resolution): resolutie goedgekeurd op 5 november 2009 door de Internationale Conferentie van de commissarissen voor de bescherming van gegevens en de privacy. Principe nr. 8: Proportionality Principle: 1. The processing of personal data should be limited to such processing as is adequate, relevant and not excessive in relation to the purposes set out in the previous section. 2. In particular, the responsible person should make reasonable efforts to limit the processed personal data to the minimum necessary.
2. ADVIEZEN VAN DE GROEP 29 2.1. Data retention – De Groep 29 sprak zich reeds herhaaldelijk uit over de verplichting gegevens te bewaren, onder meer om cybercriminaliteit en terrorisme te bestrijden. Dit onderwerp wordt verder becommentarieerd in het 4de lid van dit artikel - dat handelt over de proportionaliteit van de bewaartermijn - waarnaar de lezer wordt verwezen.
2.2. Biometrie – Groep 29, Werkdocument over de biometrie (1 augustus 2003 - WP 80): het document beschrijft enkele biometrische toepassingen alvorens de toepassing van de Richtlijn 95/46/EG op deze technologieën te analyseren. Betreffende het finaliteits- en proportionaliteitsbeginsel: in de eerste plaats moet het doel klaar en duidelijk worden vastgesteld waarvoor de biometrische gegevens worden verzameld en verwerkt. De werkgroep is van mening dat wat toegangscontrole betreft het gebruik van biometrische systemen gebaseerd op fysieke kenmerken die geen sporen achterlaten (bv. vorm van de hand maar niet de vingerafdrukken) of biometrische systemen die gebaseerd zijn op fysieke kenmerken die weliswaar sporen achterlaten maar die niet op een drager zijn opgeslagen die in het bezit is van een andere persoon dan de betrokkene, minder risico's opleveren voor de bescherming van de fundamentele rechten en vrijheden van personen. Verder wordt in de tekst nog besproken: het risico op hergebruik, het feit dat biometrische gegevens tot de categorie gevoelige gegevens behoren, het uniek identificatiemiddel, de gedragscodes en het gebruik van technologieën die de bescherming van de privacy verhogen.
2.3. Minderjarigen – Groep 29, Working Document 1/2008 on the protection of children's personal data (General guidelines and the special case of schools), (18 februari 2008, WP 147) en Groep 29, Advies 2/2009 over de bescherming van persoonsgegevens van kinderen (Algemene richtlijnen en het bijzondere geval van scholen), (11 februari 2009, WP 160): the principle set out in the Art. 6c) of Directive 95/46/EC provides that only adequate, relevant and
64
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 4)
non-excessive data can be collected and processed. When applying the principles of Art. 6c), controllers should pay special attention to the situation of the child, as they must respect their best interests at all times.
2.4. Minimisation - PET's (Privacy Enhancing Technologies) – Groep 29, Advies 2/2008 over de herziening van Richtlijn 2002/58/EG betreffende privacy en elektronische communicatie (e-Privacyrichtlijn), (15 mei 2008, WP 150): de Groep van artikel 29 bepleit de toepassing van het beginsel van gegevensminimalisering en de ontplooiing van technologieën ter bevordering van de persoonlijke levenssfeer door voor de verwerking verantwoordelijken. De Groep roept de Europese wetgevers ertoe op regelgeving in te voeren voor versterking van dit beginsel, door de overwegingen 9 en 30 van de ePrivacy-richtlijn in een nieuw lid van artikel 1 van deze richtlijn te herhalen.
2.5. Pre-trial – Groep 29, Working Document 1/2009 on pre-trial discovery for cross border civil litigation (11 februari 2009, WP 158): controllers in the European Union have no legal ground to store personal data at random for an unlimited period of time because of the possibility of litigation in the United States however remote this may be. The US rules on civil procedure only require the disclosure of existing information. If the controller has a clear policy on records management which provides for short retention periods based on local legal requirements it will not be found at fault with US law. It should be noted that even in the United States there has recently been a tendency to adopt restrictive retention policies to reduce the likelihood of discovery requests. Any such retention of data for purposes of future litigation may only justified under Article 7(c) or 7(f) of Directive 95/46.
2.6. Sociale netwerken – Groep 29, Advies 5/2009 over online sociale netwerken (12 juni 2009, WP 163). Overeenkomstig artikel 6, lid 1, onder c), van de richtlijn gegevensbescherming moeten de persoonsgegevens "toereikend, ter zake dienend en niet bovenmatig [...] zijn, uitgaande van de doeleinden waarvoor zij worden verzameld of waarvoor zij vervolgens worden verwerkt". In dit verband kan worden opgemerkt dat sociale netwerkdiensten bepaalde identificatiegegevens over hun leden moeten registreren, maar dat er geen reden is om de werkelijke naam van deze leden op internet te publiceren. Sociale netwerkdiensten moeten dus zorgvuldig overwegen of zij zich kunnen veroorloven om hun gebruikers te dwingen onder hun werkelijke naam actief te zijn in plaats van met een pseudoniem. Er zijn goede argumenten om gebruikers wat dit betreft een keuze te bieden; bovendien is dat in ten minste één Lid-Staat wettelijk verplicht. Dit geldt des te meer voor sociale netwerkdiensten met een groot aantal leden.
2.7. RFID – Groep 29, Advies 5/2010 betreffende het voorstel van de industrie voor een effectbeoordelingskader wat betreft de bescherming van de persoonlijke levenssfeer en persoonsgegevens bij RFID-toepassingen (WP 175 – 13 juli 2010): de groep benadrukt dat hoewel het voorgestelde kader hier en daar verwijzingen bevat naar risicobeoordeling (voornamelijk in de inleidende delen), er nergens uitdrukkelijk wordt vereist dat de RFID-exploitant risico's voor de persoonlijke levenssfeer van RFID-toepassingen moet identificeren of blootleggen". Dit maakt het onmogelijk om "de stappen die zijn genomen om deze risico's aan te pakken, te beoordelen". Integendeel, volgens het voorgestelde kader moet de RFID-exploitant enkel een lijst opstellen met de diverse beschermingsen controlemaatregelen die zijn genomen om de persoonlijke levenssfeer en persoonsgegevens in de RFIDtoepassing te beschermen. Dit kan niet worden beschouwd als een afdoend middel om de RFID-exploitant of de bevoegde overheid de redelijke zekerheid te geven dat de voorgestelde maatregelen volstaan voor of evenredig zijn met de gelopen risico's, aangezien de risico's nooit zijn geïdentificeerd.
3. VERSLAGEN EN STUDIES VAN DE RAAD VAN EUROPA – Raad van Europa, Progress report on the application of the principles of Convention 108 to the collection and processing of biometric data (2005); – Raad van Europa, The introduction and use of personal identification numbers: the data protection issues (1991).
4. RECHTSPRAAK VAN HET EUROPESE HOF VAN JUSTITIE – Europees Hof van Justitie, Arrest van 20 mei 2003, Rechnungshof c. Osterreichischer Rundfunk en anderen, Gevoegde zaken C-465/00, C-138/01 en C-139/01. De in gedingen gerezen vragen tussen enerzijds het Rechnungshof (de Rekenkamer) en een groot aantal organen waarover deze instantie toezicht uitoefent, en anderzijds tussen C. Neukomm en J. Lauermann en hun werkgever, de Österreichische Rundfunk (hierna: ÖRF), een publiekrechtelijke radio-omroep, betreffen de verplichting van rechtspersonen die onder toezicht van het Rechnungshof staan, deze laatste gegevens te verstrekken over salarissen en pensioenen, ingeval deze een bepaald plafond overschrijden, die zij aan hun werk-
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
65
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 4)
nemers en gepensioneerden uitbetalen, met vermelding van de naam van de begunstigden, ten behoeve van de opstelling van een jaarverslag waarvan inzage wordt verleend aan de Nationalrat, de Bundesrat alsmede de Landtagen, en dat ter beschikking wordt gesteld van het grote publiek (hierna: verslag). Met hun eerste vraag wensen de verwijzende rechterlijke instanties in wezen te vernemen of Richtlijn 95/46 aldus moet worden uitgelegd, dat zij zich verzet tegen een nationale regelgeving als die aan de orde in de hoofdgedingen, welke een controleorgaan van de staat verplicht, gegevens over het inkomen van werknemers van aan zijn toezicht onderworpen organen te verzamelen en door te geven met het oog op openbaarmaking, wanneer dat inkomen een bepaald plafond overschrijdt. 74. Vastgesteld zij dat de eenvoudige opslag door de werkgever van nominatieve gegevens betreffende de aan zijn personeel betaalde salarissen, als zodanig weliswaar geen inmenging in de persoonlijke levenssfeer vormt, maar dat de mededeling van die gegevens aan een derde, in casu een overheidsorgaan, afbreuk doet aan het recht op eerbiediging van de persoonlijke levenssfeer van de betrokkenen, ongeacht het latere gebruik van de aldus meegedeelde gegevens, en een inmenging in de zin van artikel 8 EVRM vormt. 75. Voor de vaststelling van een dergelijke inmenging is van weinig belang, of de meegedeelde gegevens al dan niet gevoelig zijn en of de betrokkenen door die inmenging enig nadeel hebben ondervonden (zie in die zin arrest Amann v. Zwitserland, reeds aangehaald, § 70). Het volstaat dat de werkgever gegevens inzake het door een werknemer of een gepensioneerde ontvangen inkomen aan een derde heeft meegedeeld. De rechtvaardiging van de inmenging 76. Een inmenging als vermeld in punt 74 van het onderhavige arrest schendt artikel 8 EVRM, behalve indien zij bij de wet is voorzien, één of meer van de in lid 2 van deze bepaling genoemde legitieme doelstellingen nastreeft en in een democratische samenleving noodzakelijk is om dat doel of die doelstellingen te bereiken. (...). 81. Blijkens de verwijzingsbeschikking in zaak C-465/00 heeft artikel 8 BezBegrBVG tot doel op de betrokken rechtspersonen druk uit te oefenen opdat zij de salarissen binnen redelijke perken houden. De Oostenrijkse regering merkt meer in het algemeen op dat de door die bepaling voorziene inmenging tot doel heeft te waarborgen, dat overheidsgelden spaarzaam en doeltreffend worden gebruikt. Dit streven vormt een legitieme doelstelling, zowel in de zin van artikel 8, lid 2, EVRM, dat spreekt van het economisch welzijn van het land, als van artikel 6, lid 1, sub b, van Richtlijn 95/46, dat verwijst naar welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden. 82. Thans moet nog worden nagegaan of de betrokken inmenging in een democratische samenleving noodzakelijk is om het nagestreefde legitieme doel te bereiken. 83. Volgens het Europees Hof voor de rechten van de mens houdt het bijvoeglijk naamwoord noodzakelijk in de zin van artikel 8, lid 2, EVRM in dat een dwingende maatschappelijke behoefte aan de orde is en dat de maatregel evenredig is aan het nagestreefde legitieme doel (zie met name EHRM, arrest Gillow/Verenigd Koninkrijk van 24 november 1986, serie A, nr. 109, § 55). Bovendien beschikken de nationale autoriteiten over een beoordelingsruimte waarvan de omvang niet alleen afhangt van de doelstelling, maar ook van de aard van de inmenging (zie EHRM, arrest Leander/Zweden van 26 maart 1987, série A, nr. 116, § 59). 84. In die zin moet het belang van de Republiek Oostenrijk bij een optimaal gebruik van de overheidsgelden, in het bijzonder de plafonnering van salarissen tot redelijke bedragen, worden afgewogen tegen de zwaarwichtigheid van de aantasting van het recht op persoonlijke levenssfeer van de betrokken personen. 85. Om een goed gebruik van de overheidsgelden te kunnen controleren, moeten het Rechnungshof en de diverse parlementaire organen onmiskenbaar het bedrag van de personeelskosten binnen de verschillende openbare organen kennen. Daar komt bij dat in een democratische samenleving de belastingplichtigen en de publieke opinie in het algemeen het recht hebben, geïnformeerd te worden over het gebruik van overheidsinkomsten, met name op het gebied van personeelskosten. De samenbrenging van die gegevens in het verslag draagt bij tot het openbare debat over een vraagstuk van algemeen belang en dient dus het openbaar belang. 86. Niettemin rijst de vraag of de vermelding van de naam van de betrokken personen met het ontvangen inkomen evenredig is aan het nagestreefde legitieme doel en of de voor het Hof ter rechtvaardiging van die openbaarmaking aangevoerde gronden relevant en toereikend zijn. (...). 87. Vastgesteld zij, dat volgens de door de verwijzende rechters voorgestane uitlegging artikel 8 BezBegrBVG voorschrijft dat de namen van de betrokken personen met het ontvangen inkomen openbaar moeten worden gemaakt ingeval dat inkomen een bepaald bedrag overschrijdt, niet alleen ten aanzien van personen die een functie uitoefenen waarvoor de salarisschaal voor het publiek toegankelijk is, maar ten aanzien van alle personen die een salaris ontvangen van een aan toezicht van het Rechnungshof onderworpen rechtspersoon. Dergelijke informatie wordt bovendien niet alleen aan het Rechnungshof en, via dit laatste, aan de verschillende parlementaire organen meegedeeld, maar ook op ruime schaal onder het publiek verspreid. 88. Het staat aan de verwijzende rechterlijke instanties om na te gaan of een dergelijke openbaarmaking noodzakelijk is en evenredig is aan de doelstelling, de salarissen binnen aanvaardbare grenzen te houden, en inzonderheid om na te gaan of deze doelstelling niet op even doeltreffende wijze had kunnen worden bereikt door enkel gegevens te verstrekken aan de toezichthoudende organen. Daarbij is het ook de vraag of het niet voldoende zou zijn het grote publiek enkel gegevens te verstrekken over de salarissen en andere geldelijke voordelen waarop personeelsleden van de betrokken overheidsorganen contractueel of statutair aanspraak kun-
66
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 4)
nen maken, maar niet over bedragen die elk personeelslid tijdens het betrokken jaar daadwerkelijk heeft ontvangen en waarvan een - variabele - fractie kan afhangen van de gezins- en persoonlijke situatie. (...). 89. Wat de zwaarwichtigheid van de aantasting van het recht op persoonlijke levenssfeer van de betrokken personen betreft, is het niet uitgesloten dat deze personen schade lijden omdat openbaarmaking van hun inkomen uit arbeid negatieve gevolgen heeft, inzonderheid voor hun vooruitzichten op een dienstbetrekking bij andere, al dan niet in Oostenrijk gevestigde ondernemingen, die niet onder toezicht van het Rechnungshof staan. 90. Geconcludeerd moet worden dat de inmenging die voortvloeit uit de toepassing van een nationale regelgeving zoals die aan de orde in de hoofdgedingen, slechts gerechtvaardigd kan zijn uit hoofde van artikel 8, lid 2, EVRM, voorzover de ruime verspreiding niet alleen van het bedrag van het jaarinkomen, ingeval dit een bepaald plafond overschrijdt, van de werknemers van rechtspersonen die onder toezicht van het Rechnungshof staan, maar tevens van de namen van de personen die dat inkomen ontvangen, zowel noodzakelijk als passend is ter bereiking van het doel, de salarissen binnen aanvaardbare grenzen te houden, hetgeen door de verwijzende rechterlijke instanties moet worden beoordeeld. – Europees Hof van Justitie, Arrest van 20 mei 2003, Rechnungshof c. Osterreichischer Rundfunk en anderen, Gevoegde zaken C-465/00, C-138/01 en C-139/01. De in gedingen gerezen vragen tussen enerzijds het Rechnungshof (de Rekenkamer) en een groot aantal organen waarover deze instantie toezicht uitoefent, en anderzijds tussen C. Neukomm en J. Lauermann en hun werkgever, de Österreichische Rundfunk (hierna: ÖRF), een publiekrechtelijke radio-omroep, betreffen de verplichting van rechtspersonen die onder toezicht van het Rechnungshof staan, deze laatste gegevens te verstrekken over salarissen en pensioenen, ingeval deze een bepaald plafond overschrijden, die zij aan hun werknemers en gepensioneerden uitbetalen, met vermelding van de naam van de begunstigden, ten behoeve van de opstelling van een jaarverslag waarvan inzage wordt verleend aan de Nationalrat, de Bundesrat alsmede de Landtagen, en dat ter beschikking wordt gesteld van het grote publiek (hierna: verslag). Met hun tweede vraag wensen de verwijzende rechterlijke instanties te vernemen of de bepalingen van Richtlijn 95/46 die in de weg staan van een nationale regelgeving zoals die aan de orde in de hoofdgedingen, rechtstreekse werking hebben in dier voege dat een particulier er zich voor de nationale rechterlijke instanties op kan beroepen om de toepassing van die regelgeving te verhinderen. 101. Bijgevolg moet op de tweede vraag worden geantwoord dat de artikelen 6, lid 1, sub c, en 7, sub c en e, van Richtlijn 95/46 rechtstreekse werking hebben in dier voege, dat een particulier er zich voor de nationale rechterlijke instanties op kan beroepen om de toepassing van met deze artikelen strijdige bepalingen van nationaal recht te verhinderen. – HvJ EG, arrest van 29 januari 2008, Productores de Música de España (Promusicae) tegen Telefónica de España SAU, In zaak C-275/06. Hoofdgeding en prejudiciële vraag 29. Promusicae is een vereniging zonder winstoogmerk waarvan de leden producenten en uitgevers van muzikale en audiovisuele opnamen zijn. Bij brief van 28 november 2005 heeft zij bij de Juzgado de lo Mercantil nº 5 de Madrid een verzoek ingediend om voorlopige maatregelen te gelasten tegen Telefónica, een handelsvennootschap die met name actief is als internetprovider. 30. Promusicae heeft verzocht om Telefónica te gelasten, de identiteit en het adres te verstrekken van bepaalde personen aan wie zij internettoegang verschaft en van wie het "IP-adres" en de datum en het uur waarop zij met internet verbonden zijn geweest, bekend is. Volgens Promusicae gebruiken deze personen het zogenaamde "peer-to-peer"- of "p2p"-programma "KaZaA", dat dient voor het uitwisselen van bestanden, en verlenen zij via de gedeelde map van hun personal computer toegang tot muzieknummers waarvan de exploitatierechten toebehoren aan de leden van Promusicae. 31. Promusicae heeft voor de verwijzende rechter gesteld dat de gebruikers van KaZaA zich schuldig maken aan oneerlijke mededinging en de intellectuele-eigendomsrechten schenden. Zij heeft dus de mededeling van bovengenoemde gegevens gevorderd om tegen de betrokkenen civiele procedures te kunnen instellen. 32. Bij beschikking van 21 december 2005 heeft de Juzgado de lo Mercantil nº 5 de Madrid het verzoek om voorlopige maatregelen van Promusicae ingewilligd. 33. Telefónica heeft tegen deze beschikking verzet aangetekend. Zij stelt dat volgens de LSSI de door Promusicae gevraagde gegevens slechts mogen worden verstrekt in het kader van een strafrechtelijk onderzoek of wanneer dit nodig is ter waarborging van de openbare veiligheid en de landsverdediging, maar niet in het kader van een civiele procedure of als voorlopige maatregel voorafgaand aan een dergelijke procedure. Volgens Promusicae daarentegen dient artikel 12 LSSI in overeenstemming met verschillende bepalingen van de richtlijnen 2000/31, 2001/29 en 2004/48 en met de artikelen 17, lid 2, en 47 van het Handvest te worden uitgelegd, die de Lid-Staten niet de mogelijkheid bieden om de verplichting tot verstrekking van de betrokken gegevens te beperken tot de in deze wet met name genoemde gevallen.
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
67
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 4)
34. In deze omstandigheden heeft de Juzgado de lo Mercantil nº 5 de Madrid de behandeling van de zaak geschorst en het Hof de volgende prejudiciële vraag gesteld: "Kunnen de Lid-Staten volgens het gemeenschapsrecht en meer in het bijzonder de artikelen 15, lid 2, en 18 van richtlijn [2000/31], artikel 8, leden 1 en 2, van [richtlijn 2001/29], artikel 8 van richtlijn [2004/48] en de artikelen 17, lid 2, en 47 van het Handvest van de grondrechten van de Europese Unie bepalen dat operatoren van elektronische-communicatienetwerken en -diensten, telecomproviders en hostingproviders de verbindings- en verkeersgegevens betreffende elektronische communicaties die tijdens de verstrekking van een dienst van de informatiemaatschappij tot stand zijn gebracht, slechts ten behoeve van een strafrechtelijk onderzoek of ter waarborging van de openbare veiligheid en de landsverdediging, en dus niet ten behoeve van civiele procedures, dienen te bewaren en ter beschikking te stellen?" (...). 45. Verder wordt niet betwist dat de door Promusicae gevorderde mededeling van de naam en het adres van bepaalde gebruikers van KaZaA impliceert dat persoonsgegevens ter beschikking worden gesteld, dat wil zeggen - volgens de definitie van artikel 2, sub a, van richtlijn 95/46 - informatie betreffende geïdentificeerde of identificeerbare natuurlijke personen (zie in die zin arrest van 6 november 2003, Lindqvist, C-101/01, Jurispr. blz. I-12971, punt 24). Deze verstrekking van informatie die volgens Promusicae door Telefónica wordt opgeslagen - wat deze laatste niet betwist - vormt een verwerking van persoonsgegevens in de zin van artikel 2, eerste alinea, van richtlijn 2002/58, gelezen in samenhang met artikel 2, sub b, van richtlijn 95/46. 46. Vastgesteld dient dus te worden dat deze informatieverstrekking binnen de werkingssfeer van richtlijn 2002/58 valt, met dien verstande dat de verenigbaarheid van de opslag zelf van de gegevens met de vereisten van de richtlijn in het hoofdgeding niet aan de orde is. (...). 49. Verder bepaalt artikel 15, lid 1, van richtlijn 2002/58 dat de Lid-Staten wettelijke maatregelen kunnen treffen ter beperking van de reikwijdte van met name de verplichting om het vertrouwelijke karakter van de verkeersgegevens te garanderen, indien dat in een democratische samenleving noodzakelijk, redelijk en proportioneel is ter waarborging van de nationale veiligheid, dat wil zeggen de staatsveiligheid, de landsverdediging, de openbare veiligheid, of het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten of van onbevoegd gebruik van het elektronische-communicatiesysteem als bedoeld in artikel 13, lid 1, van richtlijn 95/46. 50. Artikel 15, lid 1, van richtlijn 2002/58 biedt de Lid-Staten dus de mogelijkheid om uitzonderingen vast te stellen op de krachtens artikel 5 van deze richtlijn op hen rustende principiële verplichting om het vertrouwelijke karakter van persoonsgegevens te garanderen. 51. Geen van deze uitzonderingen lijkt evenwel betrekking te hebben op situaties waarin civiele procedures dienen te worden ingesteld. Zij betreffen immers enerzijds de nationale veiligheid, de landsverdediging en de openbare veiligheid, die behoren tot het specifieke activiteitendomein van de staten of de overheidsdiensten, dat met de activiteiten van particulieren niets van doen heeft (zie in die zin arrest Lindqvist, reeds aangehaald, punt 43), en anderzijds de vervolging van strafrechtelijke inbreuken. (...). 53. Evenwel dient te worden vastgesteld dat artikel 15, lid 1, van richtlijn 2002/58 de opsomming van bovengenoemde uitzonderingen afsluit met een uitdrukkelijke verwijzing naar artikel 13, lid 1, van richtlijn 95/46. Volgens deze bepaling kunnen de Lid-Staten wettelijke maatregelen treffen ter beperking van de verplichting om persoonsgegevens vertrouwelijk te behandelen, indien dit noodzakelijk is voor de bescherming van de rechten en vrijheden van anderen. Aangezien artikel 15, lid 1, van richtlijn 2002/58 niet preciseert om welke rechten en vrijheden het gaat, moet deze bepaling aldus worden uitgelegd dat hieruit de wil van de wetgever blijkt om noch de bescherming van het eigendomsrecht, noch gevallen waarin de houders van auteursrechten ter bescherming van dit eigendomsrecht een civiele procedure instellen, van de werkingssfeer ervan uit te sluiten. 54. Vastgesteld dient dus te worden dat richtlijn 2002/58 niet uitsluit dat de Lid-Staten de verplichting opleggen om in het kader van een civiele procedure persoonsgegevens mee te delen. 55. Artikel 15, lid 1, van deze richtlijn kan evenwel niet aldus worden uitgelegd dat het de Lid-Staten dwingt om in de daarin genoemde gevallen een dergelijke verplichting op te leggen. (...). 65. Het onderhavige verzoek om een prejudiciële beslissing werpt aldus de vraag op hoe de vereisten inzake de bescherming van verschillende grondrechten, namelijk enerzijds het recht op eerbiediging van de persoonlijke levenssfeer en anderzijds het recht op bescherming van de eigendom en het recht op een doeltreffend beroep, met elkaar kunnen worden verzoend. (...). 68. Bij de omzetting van bovengenoemde richtlijnen moeten de Lid-Staten niettemin erop toezien dat zij zich baseren op een uitlegging daarvan die het mogelijk maakt een juist evenwicht tussen de verschillende door de communautaire rechtsorde beschermde grondrechten te verzekeren. Bij de tenuitvoerlegging van de maatregelen ter omzetting van deze richtlijnen moeten de autoriteiten en de rechterlijke instanties van de Lid-Staten vervolgens niet alleen hun nationale recht conform deze richtlijnen uitleggen, maar er ook op toezien dat zij zich niet baseren op een uitlegging van deze richtlijnen die in conflict zou komen met deze grondrechten of de andere algemene beginselen van gemeenschapsrecht, zoals het evenredigheidsbeginsel (zie in die zin arrest Lindqvist, reeds aangehaald, punt 87, en arrest van 26 juni 2007, Ordre des barreaux francophones et germanophone e.a., C-305/05, nog niet gepubliceerd in de Jurisprudentie, punt 28).
68
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 4)
– HvJ EG , beschikking van het Hof van 19 februari 2009, LSG-Gesellschaft zur Wahrnehmung von Leistungsschutzrechten GmbH tegen Tele2 Telecommunication GmbH, In zaak C-557/07. 24. Met zijn tweede vraag, die eerst moet worden behandeld, wenst de verwijzende rechter in wezen te vernemen of het gemeenschapsrecht, met name artikel 8, lid 3, van richtlijn 2004/48, gelezen in samenhang met de artikelen 6 en 15 van richtlijn 2002/58, zich ertegen verzet dat de Lid-Staten de verplichting opleggen, persoonsgebonden verkeersgegevens aan particuliere derden door te geven met het oog op de civielrechtelijke vervolging van inbreuken op het auteursrecht. 25. Het antwoord op die vraag kan duidelijk worden afgeleid uit de rechtspraak van het Hof. 26. In punt 53 van het arrest Promusicae heeft het Hof immers geoordeeld dat één van de uitzonderingen van artikel 15, lid 1, van richtlijn 2002/58, dat uitdrukkelijk naar artikel 13, lid 1, van richtlijn 95/46 verwijst, betrekking heeft op de maatregelen die noodzakelijk zijn voor de bescherming van de rechten en vrijheden van anderen. Aangezien richtlijn 2002/58 niet preciseert om welke rechten en vrijheden het gaat, moet zij aldus worden uitgelegd dat hieruit de wil van de gemeenschapswetgever blijkt om noch de bescherming van het eigendomsrecht, noch gevallen waarin de houders van auteursrechten ter bescherming van dit eigendomsrecht een civiele procedure instellen, van de werkingssfeer ervan uit te sluiten. 27. Het Hof heeft daaruit in de punten 54 en 55 van het arrest Promusicae afgeleid dat richtlijn 2002/58, met name artikel 15, lid 1, daarvan, niet uitsluit dat de Lid-Staten de verplichting opleggen om in het kader van een civiele procedure persoonsgegevens mee te delen, maar dat zij de Lid-Staten evenmin dwingt om een dergelijke verplichting op te leggen. 28. Het Hof heeft overigens gepreciseerd dat diverse vereisten ervoor zorgen dat de vrijheid van de Lid-Staten om het recht op eerbiediging van het privéleven of het eigendomsrecht de overhand te geven, kleiner is. Zo dienen de Lid-Staten er bij de omzetting van de richtlijnen 2000/31, 2001/29, 2002/58 en 2004/48 acht op te slaan dat zij zich baseren op een uitlegging daarvan die het mogelijk maakt een juist evenwicht tussen de verschillende door de communautaire rechtsorde beschermde grondrechten te verzekeren. Bij de tenuitvoerlegging van de maatregelen ter omzetting van deze richtlijnen moeten de autoriteiten en de rechterlijke instanties van de Lid-Staten bovendien niet alleen hun nationale recht conform deze richtlijnen uitleggen, maar er ook acht op slaan dat zij zich niet baseren op een uitlegging van deze richtlijnen die in conflict zou komen met de grondrechten of de andere algemene beginselen van gemeenschapsrecht, zoals het evenredigheidsbeginsel (arrest Promusicae, reeds aangehaald, punt 70). 29. Op de tweede vraag moet dus worden geantwoord dat het gemeenschapsrecht, met name artikel 8, lid 3, van richtlijn 2004/48, gelezen in samenhang met artikel 15, lid 1, van richtlijn 2002/58, zich er niet tegen verzet dat de Lid-Staten de verplichting opleggen, persoonsgebonden verkeersgegevens aan particuliere derden door te geven met het oog op de civielrechtelijke vervolging van inbreuken op het auteursrecht. Het gemeenschapsrecht vereist echter dat de Lid-Staten er bij de omzetting van de richtlijnen 2000/31, 2001/29, 2002/58 en 2004/48 acht op slaan dat zij zich baseren op een uitlegging daarvan die het mogelijk maakt een juist evenwicht tussen de verschillende aan de orde zijnde grondrechten te verzekeren. Bij de tenuitvoerlegging van de maatregelen ter omzetting van deze richtlijnen moeten de autoriteiten en de rechterlijke instanties van de LidStaten bovendien niet alleen hun nationale recht conform deze richtlijnen uitleggen, maar er ook acht op slaan dat zij zich niet baseren op een uitlegging van deze richtlijnen die in conflict zou komen met deze grondrechten of de andere algemene beginselen van gemeenschapsrecht, zoals het evenredigheidsbeginsel. NAUWKEURIG EN VOLLEDIG
§ 1, 4°, Vereisten verwerking persoonsgegevens, nauwkeurig en volledig 1. INTERNATIONALE WETGEVING – Artikel 5 d) van het Verdrag nr. 108 van de Raad van Europa tot bescherming van personen ten opzichte van de geautomatiseerde verwerking van persoonsgegevens (1981): persoonsgegevens die langs geautomatiseerde weg worden verwerkt, dienen nauwkeurig te zijn en, zonodig, te worden bijgewerkt. – Artikel 6 § 1 d) van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): de Lid-Staten bepalen dat de persoonsgegevens nauwkeurig dienen te zijn en, zo nodig, dienen te worden bijgewerkt; alle redelijke maatregelen dienen te worden getroffen om de gegevens die, uitgaande van de doeleinden waarvoor zij worden verzameld of waarvoor zij vervolgens worden verwerkt, onnauwkeurig of onvolledig zijn, uit te wissen of te corrigeren; – Recommendation No. R(89)2 of the Committee of Ministers to Member States on the protection of personal data used for employment purposes (1989) - (punt 5): 5.2. the data stored should be accurate, where necessary kept up to date, and represent faithfully the situation of the employee. They should not be stored or coded in a way that would infringe an employee's rights by allowing him to be characterised or profiled without his knowledge.
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
69
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 4)
5.3. where judgmental data are stored relating to the performance or potential of individual employees, such data should be based on fair and honest evaluations and must not be insulting in the way they are formulated: – International Standards on the Protection of Personal Data and Privacy (2009) (The Madrid Resolution): resolutie goedgekeurd op 5 november 2009 door de Internationale Conferentie van de commissarissen voor de bescherming van gegevens en de privacy. Principe nr. 9: Data quality Principle: 1. The responsible person should at all times ensure that personal data are accurate, as well as sufficient and kept up to date in such a way as to fulfill the purposes for which they are processed.
2. ADVIEZEN VAN DE GROEP 29 – Groep 29, Working Document 1/2008 on the protection of children's personal data (General guidelines and the special case of schools), (18 februari 2008, WP 147) en Groep 29, Advies 2/2009 over de bescherming van persoonsgegevens van kinderen (Algemene richtlijnen en het bijzondere geval van scholen), (11 februari 2009, WP 160): according to Art. 6d) of the Directive 95/46/EC, "data must be accurate and, where necessary, kept up to date. Every reasonable step must be taken to ensure that data that are inaccurate or incomplete, having regard to the purpose for which they were collected or for which they are further processed, are erased or rectified". In view of children's constant development, data controllers will need to pay particular attention to the duty to keep personal data up-to-date. BEWAARTERMIJN
§ 1, 5°, Vereisten verwerking persoonsgegevens, Bewaartermijn 1. INTERNATIONALE WETGEVING – Artikel 5 e) van het Verdrag nr. 108 van de Raad van Europa tot bescherming van personen ten opzichte van de geautomatiseerde verwerking van persoonsgegevens (1981): persoonsgegevens die langs geautomatiseerde weg worden verwerkt, dienen te worden bewaard in een zodanige vorm, dat de betrokkene hierdoor niet langer te identificeren is dan strikt noodzakelijk is voor het doel waarvoor de gegevens zijn opgeslagen. – Explanatory Report of the Convention n°108 - (punt 42): the requirement appearing under littera e concerning the time-limits for the storage of data in their name-linked form does not mean that data should after some time be irrevocably separated from the name of the person to whom they relate, but only that it should not be possible to link readily the data and the identifiers. – Recommendation No.R(86)1 of the Committee of Ministers to Member States on the protection of personal data used for social security purposes (1986) - (punt 9): 9.1. Personal data should not be held by a social security institution for a period longer than is justified by the accomplishment of its task or is required in the interest of the person concerned. 9.2. Storage periods should be laid down in respect of each category of benefit having regard to the particular features of that benefit, the data necessary for determining other types of benefit and the sensitivity of the personal data which it involves. 9.3. Where, however, in the interests of historical research, scientific research or statistics it is desirable to conserve personal data that are no longer used for social security purposes, the data should whenever possible be rendered anonymous. If it should prove necessary to keep the data in an identifiable form, adequate security measures should be taken within the bodies ultimately handling such data. – Recommendation No.R(97)5 of the Committee of Ministers to Member States on the protection of medical data (1997) - (punt 10): 10.1. In general, medical data shall be kept no longer than necessary to achieve the purpose for which they were collected and processed. 10.2. When, in the legitimate interest of public health, medical science, the person in charge of the medical treatment or the controller of the file, in order to enable him/her to defend or exercise a legal claim, or for historical or statistical reasons, it proves necessary to conserve medical data that no longer serve their original purpose, technical arrangements shall be made to ensure their correct conservation and security, taking into account the privacy of the patient. 10.3. On the request of the data subject, his/her medical data should be erased - unless they have been made anonymous or there are overriding and legitimate interests, in particular those stated in Principle 10.2 not to do so, or there is an obligation to keep the data on record. – Artikel 6 § 1 e) van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): de Lid-Staten bepalen dat de persoonsgegevens in een vorm die het mogelijk maakt de betrokkenen te identificeren, niet langer mogen worden bewaard dan voor de verwezenlijking van de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt, noodzakelijk is. De Lid-Staten voorzien in passende waarborgen voor persoonsgegevens die langer dan hierboven bepaald voor historische, statistische of wetenschappelijke doeleinden worden bewaard.
70
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 4)
– Recommendation No. R(2002)9 of the Committee of Ministers to Member States on the protection of personal data collected and processed for insurance purposes (2002) - (punt 13): 13.1. Where personal data are no longer necessary for the accomplishment of the purposes for which they were collected and processed by the controller, they should be deleted. This principle also applies where a decision is taken to refuse insurance coverage. If they must nevertheless be conserved for purposes of scientific research or statistics, or other purposes provided for by law, they should be conserved separately and be accessible only for these purposes subject to appropriate safeguards. 13.2. In determining the period of conservation of data, accounts should be taken in particular of the need to retain data for the period necessary for the purpose of defending legal actions or for furnishing proof of transations or for justifying a decision to refuse insurance coverage. – Artikel 4 § 1 e) van de Verordening (EG) nr. 45/2001 van het Europees Parlement en de Raad van 18 december 2000 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de communautaire instellingen en organen en betreffende het vrije verkeer van die gegevens (2000): de persoonsgegevens mogen in een vorm die het mogelijk maakt de betrokkenen te identificeren, niet langer worden bewaard dan noodzakelijk is voor de verwezenlijking van de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt. De communautaire instellingen of organen zorgen ervoor dat persoonsgegevens die voor historische, statistische of wetenschappelijke doeleinden langer dan de bedoelde periode moeten worden bewaard, ofwel alleen zo worden bewaard, dat zij anoniem worden, ofwel, indien zulks niet mogelijk is, alleen worden bewaard op voorwaarde dat de identiteit van de betrokkenen versleuteld wordt. De gegevens mogen in geen geval gebruikt worden voor andere dan historische, statistische of wetenschappelijke doeleinden. – International Standards on the Protection of Personal Data and Privacy (2009) (The Madrid Resolution): resolutie goedgekeurd op 5 november 2009 door de Internationale Conferentie van de commissarissen voor de bescherming van gegevens en de privacy. Principe nr. 9: Data quality Principle: 2. The responsible person shall limit the period of retention of the processed personal data to the minimum necessary. Thus, when personal data are no longer necessary to fulfill the purposes which legitimized their processing they must be deleted or rendered anonymous.
2. ADVIEZEN VAN DE GROEP 29 2.1. Zoekmachines – Groep 29, Advies 1/2008 over gegevensbescherming en zoekmachines (4 april 2008, WP 148): het bewaren van persoonsgegevens en de betreffende bewaringsperiode dienen echter altijd te worden gerechtvaardigd (met concrete en relevante argumenten) en tot een minimum te worden beperkt. Dit om de doorzichtigheid te verbeteren, te zorgen voor eerlijke verwerking en te waarborgen dat de gegevensopslag in verhouding staat tot het doeleinde dat haar rechtvaardigt. Hiertoe nodigt de werkgroep de exploitanten van zoekmachines uit om het beginsel van "ingebouwde privacy" in praktijk te brengen, waardoor de bewaringstermijn verder kan worden bekort. Voorts meent de werkgroep dat een kortere bewaringstermijn het vertrouwen van gebruikers in de dienst zal vergroten, hetgeen een belangrijk concurrentievoordeel oplevert. In elk geval dienen de exploitanten van zoekmachines gebruikers te informeren over het toepasselijke opslagbeleid voor alle soorten gebruikersgegevens die zij verwerken. Als er geen gerechtvaardigde grond is voor verwerking of voor gebruik dat verder gaat dan de welomschreven gerechtvaardigde doeleinden, moeten de exploitanten van zoekmachines de persoonsgegevens wissen. In plaats van ze te wissen, mogen zoekmachines gegevens ook anonimiseren. Alleen in het geval van volledig onomkeerbare anonimisering is de richtlijn gegevensbescherming niet van toepassing. Zelfs wanneer een IP-adres en cookie worden vervangen door een unieke identificatiecode, is het mogelijk om personen op grond van de correlatie tussen opgeslagen zoekopdrachten te identificeren. Wordt ervoor gekozen de gegevens te anonimiseren in plaats van te wissen, dan dienen de gebruikte methoden derhalve zorgvuldig te worden overwogen en strikt te worden toegepast. Dit kan meebrengen dat delen van de zoekgeschiedenis worden verwijderd om te voorkomen dat de gebruiker die de betrokken zoekopdrachten heeft gegeven, indirect kan worden geïdentificeerd. Anonimisering van gegevens dient het absoluut onmogelijk te maken om personen te identificeren, zelfs niet door geanonimiseerde informatie van de exploitant te combineren met informatie van een andere partij (zoals een internetdienstverlener). Momenteel verkorten sommige exploitanten van zoekmachines IPv4-adressen door het laatste octet weg te laten, waardoor dus wel informatie over het ISP of subnet van de gebruiker bewaard blijft, maar de betrokkene niet direct identificeerbaar is. De activiteit kan dan van 254 IP-adressen afkomstig zijn. Wellicht is dit niet altijd voldoende om anonimiteit te waarborgen.
2.2. Online reclame op basis van surfgedrag – Groep 29, Advies 2/2010 over online reclame op basis van surfgedrag (‘behavioural advertising’) (WP 171 – 22 juni 2010): de Groep vestigt de aandacht op artikel 6, lid 1, onder e) dat vereist dat gegevens worden verwijderd wanneer zij niet langer nodig zijn voor de doeleinden waarvoor ze zijn verzameld (behoudbeginsel). Naleving van dit beginsel vereist dat de informatieopslag wordt beperkt. Bedrijven moeten daarom termijnen waarbin-
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
71
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 4)
nen gegevens worden behouden specificeren en eerbiedigen. Hieruit volgt dat informatie over het gedrag van gebruikers moet worden vernietigd als deze niet langer nodig is om een profiel te ontwikkelen. Onbepaalde of al te lange bewaartermijnen zijn in strijd met artikel 6, lid 1, onder e) van de richtlijn. De Groep gegevensbescherming artikel 29 heeft vastgesteld dat bewaartermijnen van grote aanbieders van advertentienetwerken verschillen. Sommige bedrijven hanteren een onbepaalde periode en andere beperken de bewaartermijnen tot drie maanden. Daarom roept de Groep gegevensbescherming artikel 29 aanbieders van advertentienetwerken op een beleid in te stellen waarbij informatie die bij elke lezing van een cookie wordt verzameld, onmiddellijk wordt verwijderd of anoniem gemaakt, zodra er geen noodzaak meer is om die te bewaren. Elke verantwoordelijke voor gegevensverwerking behoort de noodzaak van een gegeven bewaarperiode te kunnen rechtvaardigen. De Groep gegevensbescherming artikel 29 roept aanbieders van advertentienetwerken op redenen te geven voor de bewaarperiode die zij noodzakelijk achten voor de doeleinden van de gegevensverwerking.
2.3. Data retention De Groep 29 sprak zich reeds herhaaldelijk uit over de verplichting om gegevens te bewaren, voor onder meer het bestrijden van cybercriminaliteit en terrorisme. Die verschillende adviezen zijn hieronder geïnventariseerd. – Groep 29, Aanbeveling 2/99 betreffende de bescherming van de persoonlijke levenssfeer in het kader van de interceptie van telecommunicatieverkeer (3 mei 1999 - WP 18). – Groep 29, Aanbeveling 3/99 over de bewaring van verkeersgegevens door Internetdienstenaanbieders voor wetshandhavingsdoeleinden (7 september 1999 - WP 25). – Groep 29, Advies 7/2000 over het door de Europese Commissie ingediende voorstel voor een Richtlijn van het Europees Parlement en de Raad betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie (12 november 2000 - WP 36). – Groep 29, Advies 4/2001 over het ontwerp-verdrag van de Raad van Europa inzake cybercriminaliteit (22 maart 2001 - WP 41). – Groep 29, Advies 9/2001 over de mededeling van de Commissie "De informatiemaatschappij veiliger maken door de informatie-infrastructuur beter te beveiligen en computercriminaliteit te bestrijden" (5 november 2001 - WP 51). – Groep 29, Advies 10/2001 betreffende de behoefte aan een evenwichtige aanpak in de strijd tegen Terrorisme (14 december 2001 - WP 53). – Groep 29, Advies 5/2002 over de verklaring van de Europese functionarissen voor gegevensbescherming tijdens de internationale conferentie van Cardiff (9-11 september 2002) over het verplicht systematisch bewaren van telecommunicatieverkeersgegevens (11 oktober 2002 - WP 64). – Groep 29, Advies 1/2003 over de opslag van verkeersgegevens ten behoeve van facturering (29 januari 2003 - WP69) – Groep 29, Advies 9/2004 betreffende het ontwerp van kaderbesluit over de bewaring van verwerkte en opgeslagen gegevens in verband met publiekelijk ter beschikking staande elektronische communicatiediensten of gegevens op openbare communicatienetwerken met het oog op preventie, onderzoek, opsporing en vervolging van misdaden met inbegrip van terrorisme (voorstel ingediend door Frankrijk, Ierland, Zweden en Groot-Brittannië, document van de raad 8958/04 van 28 april 2004) (9 november 2004 - WP 99) (geen officiële Nederlandse vertaling): dit advies onderzoekt of het ontwerp van kaderbesluit conform is aan de normen van artikel 8 van het Europese Verdrag voor de rechten van de mens. Hiervoor onderzoekt de Werkgroep of de bewaring van informatie, zoals bedoeld in het ontwerp van kaderbesluit conform is aan artikel 8 om het afluisteren/onderscheppen van communicaties te kunnen rechtvaardigen. De criteria zijn een wettelijke basis, de noodzaak van de maatregel in een democratische samenleving en de conformiteit met de wettelijke doeleinden, opgesomd in het Verdrag. De Werkgroep besluit dat - binnen het juridisch kader dat in artikel 8 werd omschreven - het verplicht bewaren van elk soort gegeven bij elke gebruikmaking van telecommunicatiediensten voor doeleinden van openbare orde, onder de voorwaarden zoals voorzien in het ontwerp van kaderbesluit niet aanvaardbaar is. – Groep 29, Advies 4/2005 over het voorstel voor een Richtlijn van het Europees Parlement en de Raad betreffende de bewaring van gegevens die zijn verwerkt in verband met het aanbieden van openbare elektronische communicatiediensten en tot wijziging van Richtlijn 2002/58/EG (COM(2005) 438 definitief van 21.9.2005) (21 oktober 2005 - WP 113). In dit advies werden meerdere bedenkingen gemaakt: bewaring van verkeersgegevens raakt aan het onschendbare, fundamentele recht op vertrouwelijke communicatie; er moet een urgente noodzaak bestaan om dat fundamentele recht in te perken; het inperken mag slechts in uitzonderlijke gevallen worden toegestaan en het dient vergezeld te gaan van de nodige garanties. Dit advies definieert 20 specifieke te overwegen garanties, met name voor wat betreft de vereisten die van toepassing zijn voor de bestemmeling en op de latere verwerking van gegevens, de noodzakelijke machtigingen en controles, de maatregelen die van toepassing zijn op de dienstverleners op het vlak van veiligheid en logische scheiding van gegevens, het vaststellen van de betrokken gegevenscategorieën alsook de actualisering ervan en de noodzaak om inhoudelijke gegevens uit te sluiten. – Groep 29, Advies 3/2006 inzake Richtlijn 2006/24/EG van het Europees Parlement en de Raad betreffende de bewaring van gegevens die worden gegenereerd of verwerkt in verband met het aanbieden van openbare elektronische communicatiediensten of van openbare communicatienetwerken en tot wijziging van Richtlijn 2002/58/EG (25 maart 2006 - WP 119): het besluit om communicatiegegevens te bewaren ter bestrijding van ernstige strafbare
72
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 4)
feiten vervat in de Richtlijn 2006/24/EG betreffende de bewaring van gegevens die worden gegenereerd of verwerkt in verband met het aanbieden van openbare elektronische communicatiediensten of van openbare communicatienetwerken, is zonder weerga. Het heeft gevolgen voor het dagelijks leven van alle Europese burgers en kan de fundamentele waarden en vrijheden die zij genieten en waarderen, in gevaar brengen. Het is daarom van het allergrootste belang dat de omzetting van de Richtlijn in iedere Lid-Staat wordt begeleid door maatregelen die de inbreuk op de persoonlijke levenssfeer beperken. Om een uniforme tenuitvoerlegging van deze tekst te bewerkstelligen is de G29 van mening dat de Lid-Staten ten minste de volgende garanties zouden moeten inbouwen: een precieze beschrijving van de doeleinden voor bewaring; de beperking van de te bewaren gegevens (gegevensminimalisering); de toegang tot de bewaarde gegevens beperken tot slechts de wethandhavingsautoriteiten; geen datamining; een daadwerkelijke onafhankelijke controle van machtigingen voor toegang; scheiding van de systemen bedoeld voor de opslag voor doeleinden van openbare orde en systemen die gebruikt worden voor commerciële doeleinden en ten slotte het treffen van passende veiligheidsmaatregelen (zie het advies WP 119).
2.4. Minderjarigen – Groep 29, Working Document 1/2008 on the protection of children's personal data (General guidelines and the special case of schools), (18 februari 2008, WP 147) en Groep 29, Advies 2/2009 over de bescherming van persoonsgegevens van kinderen (Algemene richtlijnen en het bijzondere geval van scholen), (11 februari 2009, WP 160): in this regard, one must keep in mind the "droit à l'oubli" which covers any data subject including, especially, children. Art. 6e) of the Directive must be applied accordingly. Because children are developing, the data relating to them change, and can quickly become outdated and irrelevant to the original purpose of collection. Data should not be kept after this happens.
2.5. Pre-trial – Groep 29, Working Document 1/2009 on pre-trial discovery for cross border civil litigation (11 februari 2009, WP 158): controllers in the European Union have no legal ground to store personal data at random for an unlimited period of time because of the possibility of litigation in the United States however remote this may be. The US rules on civil procedure only require the disclosure of existing information. If the controller has a clear policy on records management which provides forshort retention periods based on local legal requirements it will not be found at fault with US law. It should be noted that even in the United States there has recently been a tendency to adopt restrictive retention policies to reduce the likelihood of discovery requests. Any such retention of data for purposes of future litigation may only justified under Article 7(c) or 7(f) of Directive 95/46.
3. RECHTSPRAAK VAN HET EUROPEES HOF VOOR DE RECHTEN VAN DE MENS – Segerstedt-Wiberg en anderen t. Zweden van 6 juni 2006, verzoek nr. 62332/00. Het bewaren van bepaalde informatie over de verzoekers en weigering om ze te informeren over deze inlichtingen. – Copland t. Verenigd Koninkrijk van 3 april 2007, verzoek nr. 62617/00. Artikel 8 van het Verdrag - e-mails. The applicant complained about the monitoring of her Telephone calls, e-mail correspondence and internet usage under Articles 8 and 13. Aangaande het toepassingsgebied van het begrip "persoonlijke levenssfeer", verduidelijkt het arrest dat "according to the Court's case-law, telephone calls from business premises are prima facie covered by the notions of "private life" and "correspondence" for the purposes of Article 8 § 1. It follows logically that e-mails sent from work should be similarly protected under Article 8, as should information derived from the monitoring of personal internet usage" (§ 41). Het Hof bevestigt haar jurisprudentie die stelt "storing of personal data relating to private life of an individual also falls within the application of article 8 § 1" (§ 43). Wat de controlemaatregelen op de werkplaats betreffen, concludeert het Hof dat bij gebrek aan wettelijke basis hier artikel 8 van het Verdrag voor de rechten van de mens is geschonden: "The Court would not exclude that the monitoring of an employee's use of a telephone, e-mail or internet at the pace of work may be considered "necessary in a democratic society" in certain situations in pursuit of a legitimate aim". – S. en Marper t. Verenigd Koninkrijk, van 4 december 2008, verzoek nr. 30562/04 en 30566/04. De eisers klagen over de het feit dat de autoriteiten hun digitale vingerafdrukken, celweefselstalen en DNA-profielen bewaren na een vonnis, respectievelijk vrijspraak en een klassering zonder gevolg met betrekking tot een starrechtelijk onderzoek dat naar hen werd gevoerd. Zij beroepen zich op de artikelen 8 (recht op eerbiediging van het privé- en gezinsleven) en artikel 14 (discriminatie op grond van religieuze overtuiging bij de uitoefening van het recht op eerbiediging van het gezinsleven)
4. RECHTSPRAAK VAN HET EUROPESE HOF VAN JUSTITIE – HvJ EG, arrest van 7 mei 2009 (verzoek om een prejudiciële beslissing ingediend door de Raad van State (Nederland) - College van burgemeester en wethouders van Rotterdam tegen M. E. E. Rijkeboer, In zaak C 553/07 1. Het verzoek om een prejudiciële beslissing betreft de uitlegging van artikel 12, sub a, van richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke per-
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
73
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 4)
sonen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (PB L 281, blz. 31; hierna: "richtlijn"). 2. Dit verzoek is ingediend in het kader van een geding tussen Rijkeboer en het College van burgemeester en wethouders van Rotterdam (hierna: "College") over de gedeeltelijke weigering van dit College om hem toegang te verlenen tot informatie over de verstrekking van zijn persoonsgegevens aan derden in de twee jaar voorafgaand aan zijn verzoek om informatie. (...). Hoofdgeding en prejudiciële vraag 23. Bij brief van 26 oktober 2005 verzocht Rijkeboer het College om opgave van alle verstrekkingen van hem betreffende informatie uit de gemeentelijke basisadministratie aan derden in de twee jaren voorafgaand aan zijn verzoek. Hij wenste te vernemen aan wie informatie was verstrekt en welke informatie daarbij was meegedeeld. Rijkeboer, die naar een andere gemeente was verhuisd, wenste in het bijzonder te vernemen aan wie zijn vroegere adres was meegedeeld. 24. Bij besluiten van 27 oktober en 29 november 2005 wees het College dit verzoek slechts gedeeltelijk toe door hem overeenkomstig artikel 103, lid 1, Wet GBA slechts informatie te verstrekken over de periode van één jaar voorafgaand aan zijn verzoek. 25. Verstrekking van gegevens vindt plaats volgens het "Logisch Ontwerp GBA". Het gaat hierbij om een geautomatiseerd systeem, dat is opgezet door het ministerie van Binnenlandse Zaken en Koninkrijkrelaties. Uit het verzoek om een prejudiciële beslissing blijkt dat de door Rijkeboer opgevraagde gegevens die ouder waren dan één jaar voorafgaand aan zijn verzoek, automatisch waren verwijderd, wat in overeenstemming zou zijn met artikel 110 Wet GBA. (...). 27. De Rechtbank wees dat beroep toe op grond dat de beperking van het recht om in kennis te worden gesteld van de aan de ontvangers meegedeelde gegevens tot één jaar voorafgaand aan het verzoek, zoals vastgesteld in artikel 103, lid 1, Wet GBA, niet verenigbaar is met artikel 12 van de richtlijn. De Rechtbank oordeelde voorts dat de in artikel 13 van deze richtlijn bedoelde uitzonderingen niet van toepassing zijn. (...). 29. Daarop heeft de Raad van State de behandeling van de zaak geschorst en het Hof de volgende prejudiciële vraag gesteld: "Verdraagt de in de wet voorziene beperking van de verstrekking van gegevens tot één jaar, voorafgaande aan het desbetreffende verzoek, zich met artikel 12, [...] sub a, van [de richtlijn], al dan niet gelezen in verbinding met artikel 6, lid 1, sub e, van deze richtlijn en het evenredigheidsbeginsel?" (...). Beantwoording van de prejudiciële vraag 31. Derhalve moet de vraag van de verwijzende rechter aldus worden begrepen dat die erop gericht is, uit te maken of ingevolge de richtlijn, met name artikel 12, sub a, ervan, het recht van een persoon op toegang tot informatie over de ontvangers of de categorieën ontvangers van hem betreffende persoonsgegevens en over de inhoud van de meegedeelde gegevens kan worden beperkt tot de periode van één jaar voorafgaand aan zijn verzoek om toegang. 32. De verwijzende rechter vestigt de aandacht op twee bepalingen van de richtlijn, te weten artikel 6, lid 1, sub e, betreffende de bewaring van persoonsgegevens, en artikel 12, sub a, betreffende het recht op toegang tot die gegevens. Daarentegen beroepen de verwijzende rechter noch de partijen die opmerkingen bij het Hof hebben ingediend, zich op de in artikel 13 van de richtlijn neergelegde uitzonderingen. 33. Artikel 6 van de richtlijn ziet op de kwaliteit van de gegevens. Ingevolge lid 1, sub e, daarvan moeten de LidStaten bepalen dat persoonsgegevens niet langer worden bewaard dan voor de verwezenlijking van de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt, noodzakelijk is. De gegevens moeten dus worden uitgewist wanneer deze doeleinden zijn bereikt. 34. Artikel 12, sub a, van de richtlijn bepaalt dat de Lid-Staten de betrokkene een recht op toegang verlenen tot zijn persoonsgegevens en tot de informatie over de ontvangers en de categorieën ontvangers van die gegevens, zonder daarbij een termijn te vermelden. 35. Deze twee artikelen strekken dus tot bescherming van de betrokkene. De verwijzende rechter wenst te vernemen of er tussen deze twee artikelen een verband bestaat in die zin dat het recht op toegang tot informatie over de ontvangers of de categorieën ontvangers van persoonsgegevens en over de inhoud van de verstrekte gegevens kan afhangen van de bewaringstermijn voor die gegevens. (...). 45. Om uit te maken of artikel 12, sub a, van de richtlijn een dergelijke beperking in de tijd al dan niet toestaat, moet dit artikel worden uitgelegd in het licht van de strekking ervan gezien tegen de achtergrond van de doelstellingen van de richtlijn. 46. Volgens artikel 1 ervan beoogt de richtlijn in verband met de verwerking van persoonsgegevens de fundamentele rechten en vrijheden van natuurlijke personen, inzonderheid hun persoonlijke levenssfeer, te beschermen en zo het vrije verkeer van deze gegevens tussen de Lid-Staten mogelijk te maken. 47. Het belang van de bescherming van de persoonlijke levenssfeer wordt onder de aandacht gebracht in de punten 2 en 10 van de considerans van de richtlijn en benadrukt in de rechtspraak van het Hof (zie in die zin reeds aangehaalde arresten Österreichischer Rundfunk e.a., punt 70, en Lindqvist, punten 97 en 99, alsmede
74
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 4)
arresten van 29 januari 2008, Promusicae, C-275/06, Jurispr. blz. I-271, punt 63, en 16 december 2008, Satakunnan Markkinapörssi en Satamedia, C-73/07, nog niet gepubliceerd in de Jurisprudentie, punt 52). 48. Zoals voortvloeit uit punt 25 van de considerans van de richtlijn, moeten voorts de beginselen van deze bescherming enerzijds tot uiting komen in de verplichtingen die aan de personen die de verwerkingen uitvoeren, worden opgelegd, verplichtingen die met name betrekking hebben op de kwaliteit van de gegevens - welke het voorwerp is van artikel 6 van de richtlijn -, en anderzijds in het feit dat aan personen wier gegevens het voorwerp van verwerkingen zijn, het recht wordt verleend om daarvan in kennis te worden gesteld, tot die gegevens toegang te krijgen, de rectificatie ervan te verlangen en zelfs om zich in bepaalde omstandigheden tegen verwerking te verzetten. 49. Dit recht op eerbiediging van de persoonlijke levenssfeer impliceert dat de betrokkene zich ervan kan vergewissen dat zijn persoonsgegevens juist en rechtmatig worden verwerkt, dat wil met name zeggen dat de hem betreffende basisgegevens juist zijn en dat zij worden verstrekt aan gemachtigde ontvangers. Zoals in punt 41 van de considerans van de richtlijn wordt uiteengezet, moet de betrokkene over het recht beschikken om toegang te verkrijgen tot de gegevens die het voorwerp van een verwerking vormen en hemzelf betreffen, zodat hij de nodige controles kan verrichten. 50. In dit verband voorziet artikel 12, sub a, van de richtlijn in een recht op toegang tot de basisgegevens en tot de informatie over de ontvangers of de categorieën ontvangers van die gegevens. 51. Dit recht op toegang is noodzakelijk opdat de betrokkene de in artikel 12, sub b en c, van de richtlijn bedoelde rechten kan uitoefenen, te weten, in het geval dat zijn gegevens niet conform de richtlijn zijn verwerkt, het recht om van de voor de verwerking verantwoordelijke gedaan te krijgen dat deze zijn gegevens rectificeert, uitwist of afschermt (sub b), of derden aan wie de gegevens zijn meegedeeld, van die rectificatie, uitwissing of afscherming in kennis stelt, tenzij zulks onmogelijk blijkt of onevenredig veel moeite kost (sub c). 52. Dit recht op toegang is ook noodzakelijk om de betrokkene de mogelijkheid te bieden tot uitoefening van het in artikel 14 van de richtlijn bedoelde recht om zich tegen de verwerking van zijn persoonsgegevens te verzetten of van het in de artikelen 22 en 23 daarvan neergelegde recht om zich tot de rechter te wenden wanneer hij schade lijdt. 53. Met betrekking tot het recht op toegang tot informatie over de ontvangers of de categorieën ontvangers van de basisgegevens en over de inhoud van de verstrekte gegevens, preciseert de richtlijn niet of dit recht geldt voor het verleden, en evenmin in voorkomend geval, voor welke periode in het verleden. 54. Dienaangaande zij vastgesteld dat om de nuttige werking van de in de punten 51 en 52 van dit arrest genoemde bepalingen te waarborgen, dit recht noodzakelijkerwijs voor het verleden moet gelden. Anders zou de betrokkene zijn recht om gegevens waarvan hij vermoedt dat zij onrechtmatig of onjuist zijn, te laten rectificeren, uitwissen of afschermen, en om zich met het oog op vergoeding van de geleden schade tot de rechter te wenden, niet doeltreffend kunnen uitoefenen. 55. De vraag rijst hoever dit recht zich in het verleden uitstrekt. 56. Het Hof heeft al geoordeeld dat de bepalingen van de richtlijn betrekkelijk algemeen zijn, aangezien zij voor een groot aantal zeer uiteenlopende situaties moet gelden, en dat de richtlijn regels bevat die door een zekere soepelheid worden gekenmerkt en het in tal van gevallen aan de Lid-Staten overlaat, de bijzonderheden te regelen of een keuze uit verschillende mogelijkheden te maken (zie arrest Lindqvist, reeds aangehaald, punt 83). Het Hof heeft dus erkend dat de Lid-Staten bij de uitvoering van de richtlijn in velerlei opzichten over manoeuvreerruimte beschikten (zie arrest Lindqvist, reeds aangehaald, punt 84). Deze manoeuvreerruimte, die met betrekking tot de uitvoering van artikel 12, sub a, van de richtlijn blijkt te bestaan, is evenwel niet onbeperkt. 57. De vaststelling van een termijn in verband met het recht op toegang tot informatie over de ontvangers of de categorieën ontvangers en over de inhoud van de verstrekte gegevens moet de betrokkene in staat stellen om de verschillende bij de richtlijn voorziene en in de punten 51 en 52 van het onderhavige arrest weergegeven rechten uit te oefenen. 58. Zonder daarom doorslaggevend te zijn, kan de bewaringsduur van de basisgegevens een nuttige parameter vormen. 59. De werkingssfeer van de richtlijn is namelijk zeer ruim, zoals het Hof reeds heeft erkend (zie reeds aangehaalde arresten Österreichischer Rundfunk e.a., punt 43, en Lindqvist, punt 88), en de daarin bedoelde persoonsgegevens zijn van uiteenlopende aard. De bewaringsduur van die gegevens, die volgens artikel 6, lid 1, sub e, van de richtlijn afhankelijk is van de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt, kan dus variëren. Wanneer de bewaringstermijn voor de basisgegevens zeer lang is, kan het belang van de betrokkene om gebruik te maken van de in punt 57 van het onderhavige arrest genoemde mogelijkheden om de voor de verwerking verantwoordelijke in te schakelen en zich tot de rechter te wenden, in een aantal gevallen afnemen. Wanneer bijvoorbeeld dergelijke gegevens aan een groot aantal ontvangers worden verstrekt of zeer frequent aan een kleiner aantal ontvangers worden meegedeeld, kan de verplichting om informatie over de ontvangers of de categorieën ontvangers en over de inhoud van de verstrekte gegevens gedurende een zo lange tijd te bewaren, een buitensporige last vormen voor de voor de verwerking verantwoordelijke. 60. De richtlijn verlangt evenwel niet dat de Lid-Staten de voor de verwerking verantwoordelijke dergelijke lasten opleggen.
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
75
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 4)
61. Zo wordt in artikel 12, sub c, van de richtlijn een uitdrukkelijk voorbehoud gemaakt bij de verplichting van die verantwoordelijke om derden aan wie de gegevens zijn meegedeeld, in kennis te stellen van elke rectificatie, uitwissing of afscherming, namelijk wanneer zulks onmogelijk blijkt of onevenredig veel moeite kost. 62. Ook volgens andere passages van de richtlijn kan rekening worden gehouden met het onevenredige karakter van een aantal maatregelen. Met betrekking tot de verplichting tot informatieverstrekking aan de betrokkene heet het in punt 40 van de considerans van de richtlijn dat hierbij in aanmerking mag worden genomen om hoeveel betrokkenen het gaat en hoe oud de gegevens zijn. Ingevolge artikel 17 van de richtlijn, dat betrekking heeft op de beveiliging van de verwerking, bepalen de Lid-Staten verder dat de voor de verwerking verantwoordelijke technische en organisatorische maatregelen ten uitvoer dient te leggen die, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau garanderen gelet op de risico's die de verwerking en de aard van te beschermen gegevens met zich brengen. 63. Soortgelijke overwegingen zijn ook relevant wanneer het gaat om de vaststelling van een termijn voor het recht op toegang tot informatie over de ontvangers of de categorieën ontvangers en over de inhoud van de verstrekte gegevens. Behalve de in punt 57 van het onderhavige arrest aangevoerde overwegingen, kunnen de Lid-Staten dus nog andere parameters in aanmerking nemen, met name de nationaalrechtelijke bepalingen inzake de termijn voor het instellen van een vordering, het meer of minder gevoelige karakter van de basisgegevens, de bewaringsduur van deze gegevens en het aantal betrokken ontvangers. 64. Het staat bijgevolg aan de Lid-Staten, met betrekking tot informatie over de ontvangers of de categorieën ontvangers en over de inhoud van de verstrekte gegevens, een termijn vast te stellen voor de bewaring daarvan en te voorzien in een toegang daartoe die een juist evenwicht vormen tussen, enerzijds, het belang van de betrokkene bij de bescherming van zijn persoonlijke levenssfeer, met name door uitoefening van het recht op rectificatie, uitwissing en afscherming van de gegevens wanneer die niet conform de richtlijn zijn verwerkt, alsmede van het recht om verzet aan te tekenen en om zich tot de rechter te wenden, en, anderzijds, de last die de verplichting tot bewaring van deze informatie inhoudt voor de voor de verwerking verantwoordelijke. 65. Bij de vaststelling van die termijn moet voorts ook rekening worden gehouden met de uit artikel 6, sub e, van de richtlijn voortvloeiende verplichting om te bepalen dat persoonsgegevens in een vorm die het mogelijk maakt de betrokkenen te identificeren, niet langer mogen worden bewaard dan voor de verwezenlijking van de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt, noodzakelijk is. 66. In het onderhavige geval vormt een regeling waarbij informatie over de ontvangers of de categorieën ontvangers van de gegevens en over de inhoud van de verstrekte gegevens slechts één jaar wordt bewaard en de toegang tot die informatie dienovereenkomstig wordt beperkt, terwijl de basisgegevens veel langer worden bewaard, geen juist evenwicht tussen het belang en de verplichting in kwestie, tenzij wordt aangetoond dat een langere bewaring van deze informatie een buitensporige last zou vormen voor de voor de verwerking verantwoordelijke. Het staat evenwel aan de nationale rechter, in het licht van de in de vorige punten uiteengezette overwegingen de nodige controles te verrichten. 67. Gelet op het voorgaande, kan het argument van een aantal Lid-Staten niet worden aanvaard dat de toepassing van de artikelen 10 en 11 van de richtlijn de verlening voor het verleden van een recht op toegang tot informatie over de ontvangers of de categorieën ontvangers als bedoeld in artikel 12, sub a, van de richtlijn, overbodig maakt. 68. Vastgesteld zij namelijk dat die artikelen 10 en 11 de voor de verwerking verantwoordelijke of diens vertegenwoordiger verplichtingen opleggen om in een aantal omstandigheden de betrokkene met name informatie te verstrekken over de ontvangers of de categorieën ontvangers van de gegevens. De voor de verwerking verantwoordelijke of diens vertegenwoordiger moet deze informatie eigener beweging aan de betrokkene verstrekken, met name bij de verkrijging van de gegevens of, wanneer de gegevens niet rechtstreeks bij de betrokkene zijn verkregen, op het moment van de registratie van de gegevens of eventueel wanneer deze gegevens aan een derde worden meegedeeld. 69. Deze bepalingen leggen dus andere verplichtingen op dan artikel 12, sub a, van de richtlijn. Bijgevolg beperken zij geenszins de aan de Lid-Staten opgelegde verplichting om te bepalen dat de voor de verwerking verantwoordelijke gehouden is, de betrokkene toegang te verlenen tot informatie over de ontvangers of de categorieën ontvangers en over de verstrekte gegevens, wanneer deze beslist, het hem krachtens dit artikel 12, sub a, verleende recht op toegang uit te oefenen. De Lid-Staten moeten maatregelen treffen tot omzetting in nationaal recht van, enerzijds, de bepalingen van de artikelen 10 en 11 van de richtlijn inzake de verplichting tot informatieverstrekking, en, anderzijds, de bepalingen van artikel 12, sub a, van de richtlijn, zonder dat eerstgenoemde bepalingen de uit de laatstgenoemde bepalingen voortvloeiende verplichtingen kunnen afzwakken. NALEVINGSPLICHT VAN DE VERANTWOORDELIJKE VOOR DE VERWERKING
§ 2 Vereisten verwerking persoonsgegevens, nalevingsplicht van de verantwoordelijke voor de verwerking 1. INTERNATIONALE WETGEVING – Artikel 9 1) en 2) van het Verdrag nr. 108 van de Raad van Europa tot bescherming van personen ten opzichte van de geautomatiseerde verwerking van persoonsgegevens (1981): van het in de artikelen 5 (kwaliteit van de
76
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 4)
gegevens), 6 en 8 van, dit Verdrag bepaalde kan worden afgeweken, indien de wet in een dergelijke afwijking voorziet en het hier een maatregel betreft die in een democratische samenleving noodzakelijk is ten behoeve van: - de bescherming van de veiligheid van de Staat, de openbare veiligheid, de geldelijke belangen van de Staat of de bestrijding van strafbare feiten; - de bescherming van de betrokkene en van de rechten en vrijheden van anderen. – Artikel 6 § 2 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): op de voor de verwerking verantwoordelijke rust de plicht om voor de naleving van het bepaalde in artikel 6 § 1 zorg te dragen (beginselen betreffende de kwaliteit van de gegevens - zie artikel 4 § 1 van de WVP).
Voorbeelden van doeleinden (artikel 4 §1)
Verzekering 1. INTERNATIONALE WETGEVING – Recommendation No.R(2002)9 of the Committee of Ministers to Member States on the protection of personal data collected and processed for insurance purposes (2002): for "insurance purposes" comprises any operation involving the collection and processing of personal data relating to cover for a risk, in particular under a policy or an insurance contract. Over het finaliteitsbeginsel: zie artikel 4.4.
2. ADVIES VAN DE GROEP 29 – Groep 29, (vrije vertaling ) Rapport 1/2007 over de eerste gemeenschappelijke actie voor tenuitvoerlegging: evaluatie en volgende fases (WP 137 - 20 juni 2007). In het eerste rapport over de implementatie van de Richtlijn verzocht de Europese Commissie de Groep 29 om regelmatig de beste manier ter sprake te brengen voor het doen naleven van de Richtlijn, om sectoraal onderzoek op communautair vlak te voeren en te proberen de normen ter zake vast te leggen. Zodoende wordt een overzicht verkregen van de tenuitvoerlegging en kan advies worden gegeven aan de verschillende sectoren over hoe de eerbiediging van de Richtlijn op de minst belastende manier kan worden verbeterd. In dit rapport worden conclusies getrokken uit het eerste onderzoek over de verwerkingen van persoonsgegevens (betreffende de gezondheid) dat werd gevoerd op niveau van de Europese Unie door de particuliere verzekeringsmaatschappijen. Naast de conclusies van het onderzoek zelf, worden in het document de goedgekeurde methodologie en de strategie voor toekomstige onderzoeken voor een eerste keer geëvalueerd.
Direct marketing 1. INTERNATIONALE WETGEVING – Recommendation No.R (85) 20 of the Committee of Ministers to Member States on the protection of personal data used for the purposes of direct marketing (1985): the guidelines in this appendix apply to the use of personal data for direct marketing purposes when such data are undergoing automatic processing. "Direct marketing" comprises all activities which make it possible to offer goods or services or to transmit any other messages to a segment of the population by post, telephone or other direct means aimed at informing or soliciting a response from the data subject as well as any service ancillary thereto.
2. ADVIES VAN DE GROEP 29 – Groep 29, Advies 3/2003 over de Europese gedragscode van de FEDMA voor het gebruik van persoonsgegevens bij direct marketing (13 juni 2003 – WP 77): de Groep is van oordeel dat de FEDMA-gedragscode (die als bijlage bij dit advies is gevoegd) in overeenstemming is met de gegevensbeschermingrichtlijn en daaraan voldoende meerwaarde geeeft omdat hij voldoende gericht is op de specifieke gegevensbeschermingskwesties in de direct-marketingsector en voldoende duidelijk oplossingen biedt voor de problemen die aan de orde zijn. De code beantwoordt dan ook aan de eisen die in artikel 27 van de richtlijn zijn geformuleerd. (zie infra artikel 44 van de WVP). – Groep 29, Advies 4/2010 over de Europese gedragscode van FEDMA voor het gebruik van persoonsgegevens in het kader van direct marketing (WP 174 – 13 juli 2010): De Groep heeft in juni 2003 advies uitgebracht over de Europese gedragscode van FEDMA voor het gebruik van persoonsgegevens in het kader van direct marketing. De Groep wees er op dat een algemene code zoals deze niet alle specifieke problemen die inherent zijn aan de online wereld kan oplossen en verzocht FEDMA derhalve een bijlage bij de code te maken waarin deze vraagstukken worden behandeld. In deze bijlage zou met name de bescherming van minderjarigen aan bod moeten komen, die op dit gebied vooral kwetsbaar zijn. Het advies vermeldt de structuur van de bijlage en onderzoekt de verenigbaarheid ervan met de richtlijn 95/46/EG.
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
77
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 4)
Betaling INTERNATIONALE WETGEVING – Recommendation No.R(90)19 of the Committee of Ministers to member states on the protection of personal data used for payment and other related operations (1990): the principles contained in this recommendation apply to the automated processing of personal data linked to the provision of means of payment and of their use for payment or other related operations. In addition, these principles apply to all parties involved in those operations (beneficiaries, bodies providing means of payment and communications network operators).
Wetenschappelijk onderzoek INTERNATIONALE WETGEVING – Recommendation No.R(83)10 on the protection of personal data used for scientific research and statistics (1983): de aanbeveling nr. R (97) 18 hieronder vervangt de aanbeveling nr. R(83)10 voor wat betreft de verzameling en verwerking van persoonsgegevens voor statistische doeleinden. Het toepassingsgebied van aanbeveling R(83)10 is dus beperkt tot wetenschappelijk onderzoek.
Statistieken INTERNATIONALE WETGEVING – Recommendation No.R(97)18 of the Committee of Ministers to Member States concerning the protection of personal data collected and processed for statistical purposes (1997): for "statistical purposes" refers to any operation of collection and processing of personal data necessary for statistical surveys or for the production of statistical results.
Sociale zekerheid INTERNATIONALE WETGEVING – Recommendation No.R(86)1 of the Committee of Ministers to Member States on the protection of personal data used for social security purposes (1986) - (punt 1.2.): the expression "social security purposes" comprises all the tasks which social security institutions perform in regard to the following categories of benefits: sickness and maternity benefits; invalidity benefits; old-age benefits; survivors' benefits; benefits in respect of occupational injuries and diseases; death grants; unemployment benefits;family benefits.
Werk 1. INTERNATIONALE WETGEVING – Recommendation No.R(89)2 of the Committee of Ministers to Member States on the protection of personal data used for employment purposes (1989) 1.3. The expression "employment purposes" concerns the relations between employers and employees which relate to recruitment of employees, fulfilment of the contract of employment, management, including discharge of obligations laid down by law or laid down in collective agreements, as well as planning and organisation of work. 1.4. Unless provisions of domestic law exist to the contrary, the principles of this recommendation apply, where appropriate, to the activities of employment agencies, whether in the public or private sector, which collect and use personal data so as to enable a contract of employment to be established between the persons registered with them and prospective employers.
2. ADVIEZEN VAN DE GROEP 29 De werkgroep bracht meerdere adviezen uit over de problemen inzake gegevensbescherming die zich zouden kunnen voordoen op het werk. – Groep 29, Aanbeveling 1/2001 over beoordelingsgegevens betreffende werknemers (22 maart 2001 - WP 42). – Groep 29, Advies 8/2001 over gegevensverwerking in de werkomgeving (13 september 2001 - WP 48). – Groep 29, Werkdocument over de controle op elektronische communicatie op het werk (29 mei 2002 - WP 55). – Groep 29, Advies 1/2006 over de toepassing van de EU-gegevensbeschermingsregels op interne klokkenluidersregelingen in de sfeer van boekhouding, interne boekhoudcontrole, auditing en bestrijding van omkoping en van bancaire en financiële criminaliteit (1 februari 2006 - WP 117): op 1 februari 2006 bracht de Groep 29 een advies uit over de toepassing van de gegevensbeschermingsregels op interne klokkenluidersregelingen in de sfeer van boekhouding, interne boekhoudcontrole, auditing en bestrijding van omkoping en van bancaire en financiële criminaliteit. Alhoewel in het huidig stadium slechts deze domeinen worden vooropgesteld, besliste de Groep om de problematiek verder uit te diepen om te kunnen bepalen of de gegevensbeschermingsregels van de Unie verenigbaar zijn met interne klokkenluidersregelingen in andere domeinen, zoals bijvoorbeeld in de sfeer van personeelsbeleid, gezondheid en veiligheid van werknemers, of bijvoorbeeld milieu-inbreuken. De Groep wijst er onder andere op dat toepassing van de EU-gegevensbeschermingsregels op klokkenluidersregelingen impliceert dat nauwlettend wordt toegezien op de bescherming van de persoon tegen wie in een klacht beschuldigingen worden geuit. Een correcte toepassing van
78
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 4)
de regels inzake gegevensbescherming op de klokkenluidersregelingen zal er toe bijdragen dat het risico vermindert dat de betrokkene het slachtoffer wordt van stigmatisatie nog voordat de betrokkene er weet van heeft dat tegen hem/haar een klacht is ingediend en voordat de gegrondheid van de gerapporteerde feiten is onderzocht. Vervolgens analyseert de Groep de verenigbaarheid van de klokkenluidersregelingen met de gegevensbeschermingsregels met inbegrip van de toelaatbaarheid ervan. Aangaande de toepassingen van het kwaliteits- en proportionaliteitsbeginsel voor gegevens dringt de Groep aan op een beperking van het aantal personen dat vermeende onregelmatigheden mag rapporteren via een klokkenluidersregeling en een beperking van het aantal personen tegen wie een klacht kan worden ingediend via een klokkenluidersregeling. De Groep vindt geïdentificeerde, vertrouwelijke rapportering verkieslijker dan anonieme meldingen. En tenslotte benadrukt de Groep de noodzakelijke proportionaliteit en exactheid van de verzamelde en verwerkte gegevens en de naleving van strikt gelimiteerde termijnen voor de bewaring van de gegevens. Ook de rechten van de betrokken personen - melders en beschuldigden - worden besproken.
3. RECHTSPRAAK VAN HET EUROPEES HOF VOOR DE RECHTEN VAN DE MENS – Niemietz t. Duitsland van 16 december 1992, serie A, nr. 251-B (schending van artikel 8 van het Verdrag). Huiszoeking in het kabinet van een advocaat in het kader van strafrechtelijke vervolging tegen een derde. Over het bestaan van inmenging (§ 29) Het Hof is van oordeel dat het niet mogelijk en niet noodzakelijk is om het begrip "persoonlijke levenssfeer" exhaustief te definiëren. Het zou echter te restrictief zijn om de persoonlijke levenssfeer te beperken tot een "intieme kring" waar ieder naar eigen goeddunken zijn eigen leven kan leiden volledig afgescheiden van de buitenwereld. Eerbieding van de persoonlijke levenssfeer omvat in zekere mate ook het recht van het individu om relaties aan te knopen met zijn medemens. Daarnaast blijkt er geen enkele principiële reden te zijn om bij deze interpretatiewijze van het begrip "persoonlijke levenssfeer" de professionele of commerciële activiteiten uit te sluiten: het is tenslotte op het werk dat de meerderheid van de mensen veel, ja zelfs het meest gelegenheid heeft om hun banden met de buitenwereld nauwer aan te halen. Een feit dat door de Commissie wordt benadrukt en bevestigd: bij iemands bezigheden kan niet altijd het onderscheid worden gemaakt tussen datgene dat tot zijn professionele bezigheden behoort en wat niet (...) Over de noodzaak van inmenging in een democratische samenleving Zeker, het strafbaar feit dat de oorzaak is van de huiszoeking kan niet zonder meer als ondergeschikt belang gecatalogeerd worden. Het huiszoekingsbevel werd echter in zeer vage bewoordingen geformuleerd: het beval zonder enige beperking de opsporing en inbeslagname van "documenten" die de identiteit onthullen van de auteur van de beledigende brief; dit punt is van bijzonder belang wanneer, zoals in Duitsland, de huiszoeking wordt verricht in het kabinet van een advocaat zonder speciale procedurele garanties, zoals de aanwezigheid van een onafhankelijke waarnemer. Meer nog: gelet op de aard van de voorwerpen die daadwerkelijk werden onderzocht, schendt het onderzoek het beroepsgeheim dermate dat ze in dit geval disproportioneel blijkt te zijn; het is raadzaam om zich hier te herinneren dat in het geval van een advocaat een dergelijke inmenging gevolgen kan hebben voor de goede werking van justitie en dus voor de rechten gewaarborgd door artikel 6 (...). – Halford t. Verenigd Koninkrijk van 25 juni 1997, de gebundelde arresten en vonnissen, 1997-III (schending van de artikelen 8 en 13 van het Verdrag). Afluisteren van telefoongesprekken via een intern telecommunicatiesysteem van de politie en via een openbaar netwerk; ontbreken van reglementering in het nationaal recht. – Copland t. Verenigd Koninkrijk van 3 april 2007, verzoek nr. 62617/00. Artikel 8 van het Verdrag - e-mails. The applicant complained about the monitoring of her Telephone calls, e-mail correspondence and internet usage under Articles 8 and 13. Over het toepassingsgebied van het begrip "persoonlijke levenssfeer", verduidelijkt het arrest dat: (...) "according to the Court's case-law, telephone calls from business premises are prima facie covered by the notions of "private life" and "correspondence" for the purposes of Article 8 § 1. It follows logically that e-mails sent from work should be similarly protected under Article 8, as should information derived from the monitoring of personal internet usage" (§ 41). La Cour confirme sa jurisprudence selon laquelle "storing of personal data relating to private life of an individual also falls within the application of article 8 § 1" (§ 43). Aangaande de controlemaatregelen op de werkplaats stelt het Hof tot slot dat in dit geval bij gebrek aan een wettelijke basis het artikel 8 van het Verdrag van de rechten van de mens is geschonden en verduidelijkt dat: "The Court would not exclude that the monitoring of an employee's use of a telephone, e-mail or internet at the place of work may be considered "necessary in a democratic society" in certain situations in pursuit of a legitimate aim".
Camerabewaking 1. ADVIEZEN VAN DE GROEP 29 – Groep 29, Werkdocument over de verwerking van persoonsgegevens met videobewaking (25 november 2002 - WP 67) Videobewaking – Groep 29, Advies 4/2004 over de verwerking van persoonsgegevens met videobewaking (11 februari 2004 - WP 89). Videobewaking. Volgend op de volksraadpleging van de Groep over haar werkdocument in 2002-2003 (zie het zevende jaarverslag van de Groep, punt 1.3.7) bracht de Groep haar officieel advies uit over de verwerking van persoonsgegevens met videobewaking. De Werkgroep herinnert eraan dat met uitzondering van de uitdrukkelijk ver-
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
79
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 5)
melde gevallen in de Richtlijn 95/46/EG (meer bepaald de verwerkingen voor openbare veiligheid, landsverdediging en veiligheid van de Staat, of voor activiteiten op strafrechtelijk gebied of activiteiten die niet vallen onder het toepassingsgebied van het gemeenschappelijk recht, de verwerkingen die verricht worden door een natuurlijke persoon voor uitsluitend persoonlijke en huishoudelijke activiteiten, of uitsluitend voor journalistieke, literaire of artistieke verwerkingen), de verwerking van persoonsgegevens met een videobewaking binnen het toepassingsgebied valt van de Richtlijn 95/46/EG, en bijgevolg om geoorloofd te zijn, de beginselen van de Richtlijn in acht moet nemen. De Groep onderstreept eveneens dat het belangrijk is dat de Lid-Staten ten behoeve van de activiteiten van producenten, dienstenaanbieders en -leveranciers, en onderzoekers richtsnoeren verstrekken voor de ontwikkeling van technologieën, software en apparatuur die beantwoorden aan de beginselen die in dit document zijn opgenomen.
2. VERSLAGEN EN STUDIES VAN DE RAAD VAN EUROPA – Raad van Europa, Protection of personal data with regard to surveillance (2000) and Guiding principles for the protection of individuals with regard to the collection and processing of data by means of video surveillance, by Mr. Giovanni BUTTARELLI. – Raad van Europa, Report containing guiding principles for the protection of individuals with regard to the collection and processing of data by means of video surveillance (2003)
Art. 5. }1[Persoonsgegevens mogen slechts verwerkt worden in één van de volgende gevallen: a) wanneer de betrokkene daarvoor zijn ondubbelzinnige toestemming heeft verleend; b) wanneer de verwerking noodzakelijk is voor de uitvoering van een overeenkomst waarbij de betrokkene partij is of voor de uitvoering van maatregelen die aan het sluiten van die overeenkomst voorafgaan en die op verzoek van de betrokkene zijn genomen; c) wanneer de verwerking noodzakelijk is om een verplichting na te komen waaraan de verantwoordelijke voor de verwerking is onderworpen door of krachtens een wet, een decreet of een ordonnantie; d) wanneer de verwerking noodzakelijk is ter vrijwaring van een vitaal belang van de betrokkene; e) wanneer de verwerking noodzakelijk is voor de vervulling van een taak van openbaar belang of die deel uit-
maakt van de uitoefening van het openbaar gezag, die is opgedragen aan de verantwoordelijke voor de verwerking of aan de derde aan wie de gegevens worden verstrekt; f) wanneer de verwerking noodzakelijk is voor de behartiging van het gerechtvaardigde belang van de verantwoordelijke voor de verwerking of van de derde aan wie de gegevens worden verstrekt, mits het belang of de fundamentele rechten en vrijheden van de betrokkene die aanspraak maakt op bescherming uit hoofde van deze wet, niet zwaarder doorwegen. De Koning kan, bij een in ministerraad overlegd besluit, na advies van de Commissie voor de bescherming van de persoonlijke levenssfeer, nader bepalen in welke gevallen de onder f) bedoelde voorwaarde niet geacht wordt te zijn vervuld.]1 }1. – Vervangen bij art. 8 wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001)
GRONDEN TOT VERWERKING Overtreden strafbaar gesteld: zie art. 39; 2°, 40 en 41 WVP ONDUBBELZINNIGE TOESTEMMING
Lid 1, a), Gronden tot verwerking, ondubbelzinnige toestemming 1. INTERNATIONALE WETGEVING – Recommendation No.R(2002)9 of the Committee of Ministers to Member States on the protection of personal data collected and processed for insurance purposes (2002) - (punt 6.1.): however, there may be circumstances in which domestic law does not permit consent to be considered as a sufficient basis for lawfulness of collection or processing – Artikel 7 a) van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): de Lid-Staten bepalen dat de verwerking van persoonsgegevens slechts mag geschieden indien de betrokkene daarvoor zijn ondubbelzinnige toestemming heeft verleend, of – Overweging 30 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): overwegende dat de verwerking van persoonsgegevens bovendien slechts geoorloofd kan zijn, indien zij plaatsvindt met toestemming van de betrokkene (...). – International Standards on the Protection of Personal Data and Privacy (2009) (The Madrid Resolution): resolutie goedgekeurd op 5 november 2009 door de Internationale Conferentie van de commissarissen voor de bescherming van gegevens en de privacy. Principe nr. 12: General principle of legitimacy: 1. As a general rule, personal data may only be processed in one of the following situations: a. After obtaining the free, unambiguous and informed consent of the data subject (…). 2. The responsible person shall provide simple, fast and efficient procedures that allow data subjects to withdraw their consent at any time and that shall not entail undue delay or cost, nor any gain whatsoever for the responsible person.
80
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 5)
2. ADVIEZEN VAN DE GROEP 29 – Groep 29, Advies 1/2008 over gegevensbescherming en zoekmachines (4 april 2008, WP 148): de exploitanten van zoekmachines die gepersonaliseerde reclame willen aanbieden om hun inkomsten te vergroten, zien in artikel 7, onder a), van de richtlijn (toestemming) of artikel 7, onder b), van de richtlijn (uitvoering van een overeenkomst) wellicht een grond voor de gerechtvaardigde verwerking van bepaalde persoonsgegevens. Deze praktijk kan echter moeilijk worden gerechtvaardigd voor gebruikers die zich niet uitdrukkelijk hebben ingeschreven op basis van specifieke informatie over het doel van de gegevensverwerking. De werkgroep geeft duidelijk de voorkeur aan het anonimiseren van gegevens. – Groep 29, Working Document 1/2009 on pre-trial discovery for cross border civil litigation (11 februari 2009, WP 158): in order for the pre-trial discovery procedure to take place lawfully, the processing of personal data needs to be legitimate and to satisfy one of the grounds set out in Article 7 of the Data Protection Directive. In addition, for transfers to another jurisdiction the requirements of Article 26 would have to be met in order to provide a basis for such transfer. There appear to be three relevant grounds, namely consent of the data subject, that the compliance with the pre-trial discovery requirements is necessary for compliance with a legal obligation under Article 7(c) or further purposes of a legitimate interest pursued by the controller or by the third party to whom the data are disclosed under Article 7(f). For the reasons set out below the Working Party considers that in most cases consent is unlikely to provide a proper ground for such processing. Consent - Whilst consent is a ground for processing under Article 7, the Working Party considers that it is unlikely that in most cases consent would provide a good basis for processing. Article 2(h) defines data subject's consent as "any freely given specific and informed indication of his [the data subject's] wishes by which the data subject signifies his agreement to personal data relating to him being processed". The main argument underlying the US jurisprudence since the Aérospatiale case is that if a company has chosen to do business in the United States or involving US counterparts it has to follow the US Rules on Civil Procedure. However, very often the data subjects such as customers and employees of this company do not have this choice or have not been involved in the decision to do business in or relating to the United States. Similarly, valid consent means that the data subject must have a real opportunity to withhold his consent without suffering any penalty, or to withdraw it subsequently if he changes his mind. This can particularly be relevant if it is employee consent that is being sought. As the Article 29 Working Party states in its paper on the interpretation of Article 26(1): "relying on consent may...prove to be a 'false good solution', simple at first glance but in reality complex and cumbersome" – Groep 29, Working Document 1/2008 on the protection of children's personal data (General guidelines and the special case of schools), (18 februari 2008, WP 147) en Groep 29, Advies 2/2009 over de bescherming van persoonsgegevens van kinderen (Algemene richtlijnen en het bijzondere geval van scholen), (11 februari 2009, WP 160): directive 95/46/EC sets out fundamental principles in data protection which the Member States have to abide by and implement. With regard to the privacy rights of children, Art. 7 and 8 are of major importance as they state the criteria for making data processing legitimate. First of all, processing can be allowed if the person concerned has given his unambiguous consent. The meaning of the word "consent" is clarified in Art. 2 (h) of the Directive. In other words, it must be informed and free. – Groep 29, Advies 2/2010 over online reclame op basis van surfgedrag (‘behavioural advertising’) (WP 171 – 22 juni 2010): in het advies wordt in de eerste plaats opgemerkt dat de degenen die advertentienetwerken aanbieden, gebonden zijn aan artikel 5, lid 3, van de ePrivacy Richtlijn, op grond waarvan het plaatsten van cookies of soortgelijke voorzieningen op de eindapparatuur voor telecommunicatie van gebruikers niet is toegestaan zonder de toestemming van de gebruikers, die zij verlenen op basis van volledige informatie. In het advies wordt opgemerkt dat de instellingen van momenteel beschikbare browsers en weigeringsmechanismen slechts in een zeer beperkt aantal gevallen toestemming verlenen. In het advies wordt aanbieders van advertentienetwerken gevraagd om voorafgaande weigeringsmechanismen in te stellen die vereisen dat de betrokkenen actief bevestigen dat ze bereid zijn cookies of soortgelijke voorzieningen te ontvangen en ermee akkoord gaan dat hierbij hun surfgedrag wordt gevolgd, teneinde op maat gesneden advertenties aangeboden te krijgen. In het advies wordt gesteld dat de enkele toestemming van gebruikers om een cookie te ontvangen ook kan inhouden dat zij hiermee aanvaarden dat de cookies worden gelezen en hun browsergedrag dus wordt gevolgd. Om aan de eisen van artikel 5, lid 3, te voldoen zou het dus niet nodig zijn toestemming te vragen voor het raadplegen van elke cookie. Om ervoor te zorgen dat betrokkenen zich ervan bewust blijven dat ze worden gevolgd, moeten aanbieders van advertentienetwerken echter i) een tijdslimiet stellen aan de toestemming; ii) de mogelijkheid bieden deze toestemming eenvoudig te herroepen en iii) zichtbare instrumenten instellen waarop te zien is waar het volgen plaatsvindt. Deze benadering ondervangt het probleem dat gebruikers worden overladen met tal van berichten en zorgt ervoor dat het sturen van cookies en het daaruit voortvloeiende volgen van surfgedrag op het internet om advertenties op maat te kunnen aanbieden slechts plaatsvindt met op basis van volledige informatie verleende toestemming van de betrokkenen.
3. RECHTSPRAAK VAN HET EUROPESE HOF VAN JUSTITIE Europese Commissie t. the Bavarian Lager Co Ltd van 29 juni 2010 (zaak C-28/08) (punten 75 tot 79): 75. Ongeacht of dit is geschied onder de oude regeling van richtlijn 95/46 of onder de regeling van de verordeningen nr. 45/2001 en nr. 1049/2001, is de Commissie terecht nagegaan of de betrokkenen hun toestemming hadden gegeven voor de openbaarmaking van de op hen betrekking hebbende persoonsgegevens.
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
81
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 5)
76. Vastgesteld moet worden dat de Commissie, door van het litigieuze document de versie openbaar te maken waarin de vijf namen van de deelnemers aan de vergadering van 11 oktober 1996 waren geschrapt, niet de bepalingen van verordening nr. 1049/2001 heeft geschonden en zich in voldoende mate aan haar transparantieverplichting. heeft gehouden 77. Door te eisen dat Bavarian Lager voor de vijf personen die niet uitdrukkelijk toestemming hebben gegeven, de noodzaak van de doorgifte van deze persoonsgegevens aantoont, heeft de Commissie gehandeld in overeenstemming met artikel 8, sub b, van verordening nr. 45/2001. 78. Aangezien Bavarian Lager geen enkele uitdrukkelijke en legitieme rechtvaardigingsgrond en evenmin enig overtuigend argument tot staving van de noodzaak van de doorgifte van deze persoonsgegevens heeft aangevoerd, heeft de Commissie de verschillende belangen van de betrokken partijen niet tegen elkaar kunnen afwegen. De Commissie heeft evenmin kunnen nagaan of er geen reden bestond om aan te nemen dat door deze doorgifte de rechtmatige belangen van de betrokkenen worden geschaad, zoals artikel 8, sub b, van verordening nr. 45/2001 voorschrijft. 79. Uit het voorgaande volgt dat de Commissie het verzoek om toegang tot het volledige proces-verbaal van de vergadering van 11 oktober 1996 terecht heeft geweigerd.
4. RECHTSPRAAK VAN HET EUROPEES HOF VOOR DE RECHTEN VAN DE MENS – K.U. t. Finland, van 2 december 2008, verzoek nr. 2872/02. De eiser maakt zijn beklag over het feit dat over hem een seksueel getint bericht werd gepubliceerd op een datingsite en dat de Finse wetgeving die toen van toepassing was de politie en de rechtbanken niet toeliet om de toegangsleverancier te verplichten de auteur van het bericht te identificeren. Hij beroept zich op de artikelen 8 (recht op eerbiediging van het privé- en gezinsleven) en 13 (recht op een daadwerkelijk beroep). EX-CONTRACTU
Lid 1, b), gronden tot verwerking, Ex-contractu 1. INTERNATIONALE WETGEVING – Artikel 7 b) van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): de Lid-Staten bepalen dat de verwerking van persoonsgegevens slechts mag geschieden indien de verwerking noodzakelijk is voor de uitvoering van een overeenkomst waarbij de betrokkene partij is of voor het nemen van precontractuele maatregelen naar aanleiding van een verzoek van de betrokkene. – Overweging 30 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): overwegende dat de verwerking van persoonsgegevens slechts geoorloofd kan zijn, (...) indien ze noodzakelijk is voor de sluiting of uitvoering van een overeenkomst die de betrokkene bindt. – International Standards on the Protection of Personal Data and Privacy (2009) (The Madrid Resolution): resolutie goedgekeurd op 5 november 2009 door de Internationale Conferentie van de commissarissen voor de bescherming van gegevens en de privacy. Principe nr. 12: General principle of legitimacy: 1. As a general rule, personal data may only be processed in one of the following situations: c. Where the processing is necessary for the maintenance or the performance of a legal relationship between the responsible person and the data subject.
2. ADVIEZEN VAN DE GROEP 29 – Groep 29, Advies 1/2008 over gegevensbescherming en zoekmachines (4 april 2008, WP 148). Verwerking kan ook noodzakelijk zijn voor de uitvoering van een overeenkomst waarbij de betrokkene partij is of voor het nemen van precontractuele maatregelen naar aanleiding van een verzoek van de betrokkene. Zoekmachines mogen op basis van deze rechtsgrond persoonsgegevens verzamelen die een gebruiker vrijwillig verstrekt om zich in te schrijven voor een bepaalde dienst, zoals een gebruikersaccount. Deze grond, die op toestemming lijkt, kan ook worden gebruikt voor de verwerking van een aantal welbepaalde categorieën persoonsgegevens van geverifieerde gebruikers voor welbepaalde gerechtvaardigde doeleinden. Veel internetbedrijven voeren ook aan dat een gebruiker de facto een contractuele relatie aangaat door gebruik te maken van op hun website aangeboden diensten, zoals een zoekvenster. Deze algemene aanname strookt echter niet met de strikte beperking van noodzaak die de richtlijn vereist. Artikel 7, onder b), van de richtlijn: "... het noodzakelijk is voor de uitvoering van een overeenkomst waarbij de betrokkene partij is of voor het nemen van precontractuele maatregelen naar aanleiding van een verzoek van de betrokkene". Gepersonaliseerde reclame - De exploitanten van zoekmachines die gepersonaliseerde reclame willen aanbieden om hun inkomsten te vergroten, zien in artikel 7, onder a), van de richtlijn (toestemming) of artikel 7, onder b), van de richtlijn (uitvoering van een overeenkomst) wellicht een grond voor de gerechtvaardigde verwerking van bepaalde persoonsgegevens. Deze praktijk kan echter moeilijk worden gerechtvaardigd voor gebruikers die zich niet uitdrukkelijk hebben ingeschreven op basis van specifieke informatie over het doel van de gegevensverwerking. De werkgroep geeft duidelijk de voorkeur aan het anonimiseren van gegevens.
82
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 5)
EX-LEGE
Lid 1, c), gronden tot verwerking, Ex-lege 1. INTERNATIONALE WETGEVING – Artikel 7 c) van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): de verwerking van persoonsgegevens mag slechts geschieden indien de verwerking noodzakelijk is om een wettelijke verplichting na te komen waaraan de voor de verwerking verantwoordelijke onderworpen is. – Overweging 30 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): overwegende dat de verwerking van persoonsgegevens slechts geoorloofd kan zijn, (...) indien ze noodzakelijk is voor de eerbiediging van een wettelijke verplichting. – International Standards on the Protection of Personal Data and Privacy (2009) (The Madrid Resolution): resolutie goedgekeurd op 5 november 2009 door de Internationale Conferentie van de commissarissen voor de bescherming van gegevens en de privacy. Principe nr. 12: General principle of legitimacy: 1. As a general rule, personal data may only be processed in one of the following situations: d. Where the processing is necessary for complying with an obligation imposed on the responsible person by the applicable national legislation, or is carried out by a public authority where necessary for the legitimate exercise of its powers.
2. ADVIEZEN VAN DE GROEP 29 – Groep 29, Working Document 1/2009 on pre-trial discovery for cross border civil litigation (11 februari 2009, WP 158): in order for the pre-trial discovery procedure to take place lawfully, the processing of personal data needs to be legitimate and to satisfy one of the grounds set out in Article 7 of the Data Protection Directive. In addition, for transfers to another jurisdiction the requirements of Article 26 would have to be met in order to provide a basis for such transfer. There appear to be three relevant grounds, namely consent of the data subject, that the compliance with the pre-trial discovery requirements is necessary for compliance with a legal obligation under Article 7(c) or further purposes of a legitimate interest pursued by the controller or by the third party to whom the data are disclosed under Article 7(f). An obligation imposed by a foreign legal statute or regulation may not qualify as a legal obligation by virtue of which data processing in the EU would be made legitimate. However, in individual Member States there may exist a legal obligation to comply with an Order of a Court in another jurisdiction seeking such discovery. – Groep 29, Tweede advies 4/2009 over de Internationale Standaard van het Wereldantidopingagentschap (WADA) voor de bescherming van de persoonlijke levenssfeer en persoonsgegevens, aanverwante bepalingen van de WADAcode en andere privacyvraagstukken in de context van de bestrijding van doping in de sport door het WADA en (nationale) antidopingorganisaties (6 februari 2009, WP 162): de verwerking zou eventueel kunnen worden gebaseerd op artikel 7, onder c), en artikel 8, lid 4, van de richtlijn, mits de toepasselijke wetgeving antidopingorganisaties toestaat dergelijke verwerkingen te verrichten. Als wordt uitgegaan van artikel 8, lid 4, moet de nationale wetgeving of het besluit van de toezichthoudende autoriteit passende waarborgen bieden voor de bescherming van de persoonlijke levenssfeer en voor gegevensbescherming, en moet er sprake zijn van een zwaarwegend nationaal algemeen belang. Volgens artikel 8, lid 4, is een zwaarwegend belang van een derde derhalve niet voldoende.
3. RECHTSPRAAK VAN HET EUROPESE HOF VAN JUSTITIE – Europees Hof van Justitie, Arrest van 20 mei 2003, Rechnungshof c. Osterreichischer Rundfunk en anderen, Gevoegde zaken C-465/00, C-138/01 en C-139/01. Zie ook de commentaar van dit arrest onder artikel 4 c) (proportionaliteit). De in gedingen gerezen vragen tussen enerzijds het Rechnungshof (de Rekenkamer) en een groot aantal organen waarover deze instantie toezicht uitoefent, en anderzijds tussen C. Neukomm en J. Lauermann en hun werkgever, de Österreichische Rundfunk (hierna: ÖRF), een publiekrechtelijke radio-omroep, betreffen de verplichting van rechtspersonen die onder toezicht van het Rechnungshof staan, deze laatste gegevens te verstrekken over salarissen en pensioenen, ingeval deze een bepaald plafond overschrijden, die zij aan hun werknemers en gepensioneerden uitbetalen, met vermelding van de naam van de begunstigden, ten behoeve van de opstelling van een jaarverslag waarvan inzage wordt verleend aan de Nationalrat, de Bundesrat alsmede de Landtagen, en dat ter beschikking wordt gesteld van het grote publiek (hierna: verslag). Met hun tweede vraag wensen de verwijzende rechterlijke instanties te vernemen of de bepalingen van Richtlijn 95/46 die in de weg staan van een nationale regelgeving zoals die aan de orde in de hoofdgedingen, rechtstreekse werking hebben in dier voege dat een particulier er zich voor de nationale rechterlijke instanties op kan beroepen om de toepassing van die regelgeving te verhinderen. 101. Bijgevolg moet op de tweede vraag worden geantwoord dat de artikelen 6, lid 1, sub c, en 7, sub c en e, van Richtlijn 95/46 rechtstreekse werking hebben in dier voege, dat een particulier er zich voor de natio-
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
83
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 5)
nale rechterlijke instanties op kan beroepen om de toepassing van met deze artikelen strijdige bepalingen van nationaal recht te verhinderen. – HvJ EG, arrest van 29 januari 2008, Productores de Música de España (Promusicae) tegen Telefónica de España SAU, In zaak C-275/06. Hoofdgeding en prejudiciële vraag 29. Promusicae is een vereniging zonder winstoogmerk waarvan de leden producenten en uitgevers van muzikale en audiovisuele opnamen zijn. Bij brief van 28 november 2005 heeft zij bij de Juzgado de lo Mercantil nº 5 de Madrid een verzoek ingediend om voorlopige maatregelen te gelasten tegen Telefónica, een handelsvennootschap die met name actief is als internetprovider. 30. Promusicae heeft verzocht om Telefónica te gelasten, de identiteit en het adres te verstrekken van bepaalde personen aan wie zij internettoegang verschaft en van wie het "IP-adres" en de datum en het uur waarop zij met internet verbonden zijn geweest, bekend is. Volgens Promusicae gebruiken deze personen het zogenaamde "peer-to-peer"- of "p2p"-programma "KaZaA", dat dient voor het uitwisselen van bestanden, en verlenen zij via de gedeelde map van hun personal computer toegang tot muzieknummers waarvan de exploitatierechten toebehoren aan de leden van Promusicae. 31. Promusicae heeft voor de verwijzende rechter gesteld dat de gebruikers van KaZaA zich schuldig maken aan oneerlijke mededinging en de intellectuele-eigendomsrechten schenden. Zij heeft dus de mededeling van bovengenoemde gegevens gevorderd om tegen de betrokkenen civiele procedures te kunnen instellen. 32. Bij beschikking van 21 december 2005 heeft de Juzgado de lo Mercantil nº 5 de Madrid het verzoek om voorlopige maatregelen van Promusicae ingewilligd. 33. Telefónica heeft tegen deze beschikking verzet aangetekend. Zij stelt dat volgens de LSSI de door Promusicae gevraagde gegevens slechts mogen worden verstrekt in het kader van een strafrechtelijk onderzoek of wanneer dit nodig is ter waarborging van de openbare veiligheid en de landsverdediging, maar niet in het kader van een civiele procedure of als voorlopige maatregel voorafgaand aan een dergelijke procedure. Volgens Promusicae daarentegen dient artikel 12 LSSI in overeenstemming met verschillende bepalingen van de richtlijnen 2000/31, 2001/29 en 2004/48 en met de artikelen 17, lid 2, en 47 van het Handvest te worden uitgelegd, die de Lid-Staten niet de mogelijkheid bieden om de verplichting tot verstrekking van de betrokken gegevens te beperken tot de in deze wet met name genoemde gevallen. 34. In deze omstandigheden heeft de Juzgado de lo Mercantil nº 5 de Madrid de behandeling van de zaak geschorst en het Hof de volgende prejudiciële vraag gesteld: "Kunnen de Lid-Staten volgens het gemeenschapsrecht en meer in het bijzonder de artikelen 15, lid 2, en 18 van richtlijn [2000/31], artikel 8, leden 1 en 2, van [richtlijn 2001/29], artikel 8 van richtlijn [2004/48] en de artikelen 17, lid 2, en 47 van het Handvest van de grondrechten van de Europese Unie bepalen dat operatoren van elektronische-communicatienetwerken en -diensten, telecomproviders en hostingproviders de verbindings- en verkeersgegevens betreffende elektronische communicaties die tijdens de verstrekking van een dienst van de informatiemaatschappij tot stand zijn gebracht, slechts ten behoeve van een strafrechtelijk onderzoek of ter waarborging van de openbare veiligheid en de landsverdediging, en dus niet ten behoeve van civiele procedures, dienen te bewaren en ter beschikking te stellen?" (...). 45. Verder wordt niet betwist dat de door Promusicae gevorderde mededeling van de naam en het adres van bepaalde gebruikers van KaZaA impliceert dat persoonsgegevens ter beschikking worden gesteld, dat wil zeggen volgens de definitie van artikel 2, sub a, van richtlijn 95/46 - informatie betreffende geïdentificeerde of identificeerbare natuurlijke personen (zie in die zin arrest van 6 november 2003, Lindqvist, C-101/01, Jurispr. blz. I-12971, punt 24). Deze verstrekking van informatie die volgens Promusicae door Telefónica wordt opgeslagen - wat deze laatste niet betwist - vormt een verwerking van persoonsgegevens in de zin van artikel 2, eerste alinea, van richtlijn 2002/58, gelezen in samenhang met artikel 2, sub b, van richtlijn 95/46. Vastgesteld dient dus te worden dat deze informatieverstrekking binnen de werkingssfeer van richtlijn 2002/58 valt, met dien verstande dat de verenigbaarheid van de opslag zelf van de gegevens met de vereisten van de richtlijn in het hoofdgeding niet aan de orde is. (...). 49. Verder bepaalt artikel 15, lid 1, van richtlijn 2002/58 dat de Lid-Staten wettelijke maatregelen kunnen treffen ter beperking van de reikwijdte van met name de verplichting om het vertrouwelijke karakter van de verkeersgegevens te garanderen, indien dat in een democratische samenleving noodzakelijk, redelijk en proportioneel is ter waarborging van de nationale veiligheid, dat wil zeggen de staatsveiligheid, de landsverdediging, de openbare veiligheid, of het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten of van onbevoegd gebruik van het elektronische-communicatiesysteem als bedoeld in artikel 13, lid 1, van richtlijn 95/ 46. 50. Artikel 15, lid 1, van richtlijn 2002/58 biedt de Lid-Staten dus de mogelijkheid om uitzonderingen vast te stellen op de krachtens artikel 5 van deze richtlijn op hen rustende principiële verplichting om het vertrouwelijke karakter van persoonsgegevens te garanderen. 51. Geen van deze uitzonderingen lijkt evenwel betrekking te hebben op situaties waarin civiele procedures dienen te worden ingesteld. Zij betreffen immers enerzijds de nationale veiligheid, de landsverdediging en de openbare veiligheid, die behoren tot het specifieke activiteitendomein van de staten of de overheidsdiensten,
84
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 5)
dat met de activiteiten van particulieren niets van doen heeft (zie in die zin arrest Lindqvist, reeds aangehaald, punt 43), en anderzijds de vervolging van strafrechtelijke inbreuken. (...). 53. Evenwel dient te worden vastgesteld dat artikel 15, lid 1, van richtlijn 2002/58 de opsomming van bovengenoemde uitzonderingen afsluit met een uitdrukkelijke verwijzing naar artikel 13, lid 1, van richtlijn 95/46. Volgens deze bepaling kunnen de Lid-Staten wettelijke maatregelen treffen ter beperking van de verplichting om persoonsgegevens vertrouwelijk te behandelen, indien dit noodzakelijk is voor de bescherming van de rechten en vrijheden van anderen. Aangezien artikel 15, lid 1, van richtlijn 2002/58 niet preciseert om welke rechten en vrijheden het gaat, moet deze bepaling aldus worden uitgelegd dat hieruit de wil van de wetgever blijkt om noch de bescherming van het eigendomsrecht, noch gevallen waarin de houders van auteursrechten ter bescherming van dit eigendomsrecht een civiele procedure instellen, van de werkingssfeer ervan uit te sluiten. 54. Vastgesteld dient dus te worden dat richtlijn 2002/58 niet uitsluit dat de Lid-Staten de verplichting opleggen om in het kader van een civiele procedure persoonsgegevens mee te delen. 55. Artikel 15, lid 1, van deze richtlijn kan evenwel niet aldus worden uitgelegd dat het de Lid-Staten dwingt om in de daarin genoemde gevallen een dergelijke verplichting op te leggen. (...). 65. Het onderhavige verzoek om een prejudiciële beslissing werpt aldus de vraag op hoe de vereisten inzake de bescherming van verschillende grondrechten, namelijk enerzijds het recht op eerbiediging van de persoonlijke levenssfeer en anderzijds het recht op bescherming van de eigendom en het recht op een doeltreffend beroep, met elkaar kunnen worden verzoend. (...). 68. Bij de omzetting van bovengenoemde richtlijnen moeten de Lid-Staten niettemin erop toezien dat zij zich baseren op een uitlegging daarvan die het mogelijk maakt een juist evenwicht tussen de verschillende door de communautaire rechtsorde beschermde grondrechten te verzekeren. Bij de tenuitvoerlegging van de maatregelen ter omzetting van deze richtlijnen moeten de autoriteiten en de rechterlijke instanties van de Lid-Staten vervolgens niet alleen hun nationale recht conform deze richtlijnen uitleggen, maar er ook op toezien dat zij zich niet baseren op een uitlegging van deze richtlijnen die in conflict zou komen met deze grondrechten of de andere algemene beginselen van gemeenschapsrecht, zoals het evenredigheidsbeginsel (zie in die zin arrest Lindqvist, reeds aangehaald, punt 87, en arrest van 26 juni 2007, Ordre des barreaux francophones et germanophone e.a., C-305/05, nog niet gepubliceerd in de Jurisprudentie, punt 28). – HvJ EG, beschikking van het Hof van 19 februari 2009, LSG-Gesellschaft zur Wahrnehmung von Leistungsschutzrechten GmbH tegen Tele2 Telecommunication GmbH, In zaak C-557/07. 24. Met zijn tweede vraag, die eerst moet worden behandeld, wenst de verwijzende rechter in wezen te vernemen of het gemeenschapsrecht, met name artikel 8, lid 3, van richtlijn 2004/48, gelezen in samenhang met de artikelen 6 en 15 van richtlijn 2002/58, zich ertegen verzet dat de Lid-Staten de verplichting opleggen, persoonsgebonden verkeersgegevens aan particuliere derden door te geven met het oog op de civielrechtelijke vervolging van inbreuken op het auteursrecht. 25. Het antwoord op die vraag kan duidelijk worden afgeleid uit de rechtspraak van het Hof. 26. In punt 53 van het arrest Promusicae heeft het Hof immers geoordeeld dat één van de uitzonderingen van artikel 15, lid 1, van richtlijn 2002/58, dat uitdrukkelijk naar artikel 13, lid 1, van richtlijn 95/46 verwijst, betrekking heeft op de maatregelen die noodzakelijk zijn voor de bescherming van de rechten en vrijheden van anderen. Aangezien richtlijn 2002/58 niet preciseert om welke rechten en vrijheden het gaat, moet zij aldus worden uitgelegd dat hieruit de wil van de gemeenschapswetgever blijkt om noch de bescherming van het eigendomsrecht, noch gevallen waarin de houders van auteursrechten ter bescherming van dit eigendomsrecht een civiele procedure instellen, van de werkingssfeer ervan uit te sluiten. 27. Het Hof heeft daaruit in de punten 54 en 55 van het arrest Promusicae afgeleid dat richtlijn 2002/58, met name artikel 15, lid 1, daarvan, niet uitsluit dat de Lid-Staten de verplichting opleggen om in het kader van een civiele procedure persoonsgegevens mee te delen, maar dat zij de Lid-Staten evenmin dwingt om een dergelijke verplichting op te leggen. 28. Het Hof heeft overigens gepreciseerd dat diverse vereisten ervoor zorgen dat de vrijheid van de Lid-Staten om het recht op eerbiediging van het privéleven of het eigendomsrecht de overhand te geven, kleiner is. Zo dienen de Lid-Staten er bij de omzetting van de richtlijnen 2000/31, 2001/29, 2002/58 en 2004/48 acht op te slaan dat zij zich baseren op een uitlegging daarvan die het mogelijk maakt een juist evenwicht tussen de verschillende door de communautaire rechtsorde beschermde grondrechten te verzekeren. Bij de tenuitvoerlegging van de maatregelen ter omzetting van deze richtlijnen moeten de autoriteiten en de rechterlijke instanties van de Lid-Staten bovendien niet alleen hun nationale recht conform deze richtlijnen uitleggen, maar er ook acht op slaan dat zij zich niet baseren op een uitlegging van deze richtlijnen die in conflict zou komen met de grondrechten of de andere algemene beginselen van gemeenschapsrecht, zoals het evenredigheidsbeginsel (arrest Promusicae, reeds aangehaald, punt 70). 29. Op de tweede vraag moet dus worden geantwoord dat het gemeenschapsrecht, met name artikel 8, lid 3, van richtlijn 2004/48, gelezen in samenhang met artikel 15, lid 1, van richtlijn 2002/58, zich er niet tegen verzet dat de Lid-Staten de verplichting opleggen, persoonsgebonden verkeersgegevens aan particuliere derden door te geven met het oog op de civielrechtelijke vervolging van inbreuken op het auteursrecht. Het gemeenschapsrecht vereist echter dat de Lid-Staten er bij de omzetting van de richtlijnen 2000/31, 2001/29, 2002/58
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
85
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 5)
en 2004/48 acht op slaan dat zij zich baseren op een uitlegging daarvan die het mogelijk maakt een juist evenwicht tussen de verschillende aan de orde zijnde grondrechten te verzekeren. Bij de tenuitvoerlegging van de maatregelen ter omzetting van deze richtlijnen moeten de autoriteiten en de rechterlijke instanties van de LidStaten bovendien niet alleen hun nationale recht conform deze richtlijnen uitleggen, maar er ook acht op slaan dat zij zich niet baseren op een uitlegging van deze richtlijnen die in conflict zou komen met deze grondrechten of de andere algemene beginselen van gemeenschapsrecht, zoals het evenredigheidsbeginsel. VITAAL BELANG
Lid 1, d), gronden tot verwerking, vitaal belang 1. INTERNATIONALE WETGEVING – Artikel 7 d) van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): de Lid-Staten bepalen dat de verwerking van persoonsgegevens slechts mag geschieden indien de verwerking noodzakelijk is ter vrijwaring van een vitaal belang van de betrokkene. – Overweging 31 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): overwegende dat de verwerking van persoonsgegevens ook als geoorloofd moet worden beschouwd wanneer zij wordt uitgevoerd ter bescherming van een belang dat voor het leven van de betrokkene essentieel is; – International Standards on the Protection of Personal Data and Privacy (2009) (The Madrid Resolution): resolutie goedgekeurd op 5 november 2009 door de Internationale Conferentie van de commissarissen voor de bescherming van gegevens en de privacy. Principe nr. 12 : General principle of legitimacy: 1. As a general rule, personal data may only be processed in one of the following situations:e. Where there are exceptional situations that threaten the life, health or security of the data subject or of another person. OPENBAAR BELANG OF GEZAG
Lid 1, e), gronden tot verwerking, openbaar belang of gezag 1. INTERNATIONALE WETGEVING – Artikel 7 e) van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): de verwerking van persoonsgegevens slechts mag geschieden indien de verwerking noodzakelijk is voor de vervulling van een taak van algemeen belang of die deel uitmaakt van de uitoefening van het openbaar gezag die aan de voor de verwerking verantwoordelijke of de derde aan wie de gegevens worden verstrekt, drager is opgedragen. – Overweging 32 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): overwegende dat de Lid-Staten moeten vaststellen of de voor de verwerking verantwoordelijke die belast is met een taak van algemeen belang dan wel met een taak in het kader van de uitoefening van het openbaar gezag een openbaar bestuur of een andere publiekrechtelijke of privaatrechtelijke persoon, zoals een beroepsvereniging, moet zijn; – International Standards on the Protection of Personal Data and Privacy (2009) (The Madrid Resolution): resolutie goedgekeurd op 5 november 2009 door de Internationale Conferentie van de commissarissen voor de bescherming van gegevens en de privacy. Principe nr. 12 : General principle of legitimacy: 1. As a general rule, personal data may only be processed in one of the following situations: d. Where the processing is necessary for complying with an obligation imposed on the responsible person by the applicable national legislation, or is carried out by a public authority where necessary for the legitimate exercise of its powers.
2. ADVIEZEN VAN DE GROEP 29 – Groep 29, Tweede advies 4/2009 over de Internationale Standaard van het Wereldantidopingagentschap (WADA) voor de bescherming van de persoonlijke levenssfeer en persoonsgegevens, aanverwante bepalingen van de WADA-code en andere privacyvraagstukken in de context van de bestrijding van doping in de sport door het WADA en (nationale) antidopingorganisaties (6 februari 2009, WP 162): de Groep is van mening dat artikel 7, onder E), van Richtlijn 95/46/EG een rechtsgrondslag voor de verwerking kan bieden, mits de antidopingorganisaties een publieke status hebben en een duidelijk gedefinieerde publieke taak die hen krachtens de nationale wetgeving toestaat de noodzakelijke gegevens te verwerken om deze taak te vervullen, met inachtneming van de voorschriften van de richtlijn, zoals die in de nationale wetgeving zijn omgezet.
86
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 5)
3. RECHTSPRAAK VAN HET EUROPESE HOF VAN JUSTITIE – Europees Hof van Justitie, Arrest van 20 mei 2003, Rechnungshof c. Osterreichischer Rundfunk en anderen, Gevoegde zaken C-465/00, C-138/01 en C-139/01. Zie ook de commentaar van dit arrest onder artikel 4 c) (proportionaliteit). De in gedingen gerezen vragen tussen enerzijds het Rechnungshof (de Rekenkamer) en een groot aantal organen waarover deze instantie toezicht uitoefent, en anderzijds tussen C. Neukomm en J. Lauermann en hun werkgever, de Österreichische Rundfunk (hierna: ÖRF), een publiekrechtelijke radio-omroep, betreffen de verplichting van rechtspersonen die onder toezicht van het Rechnungshof staan, deze laatste gegevens te verstrekken over salarissen en pensioenen, ingeval deze een bepaald plafond overschrijden, die zij aan hun werknemers en gepensioneerden uitbetalen, met vermelding van de naam van de begunstigden, ten behoeve van de opstelling van een jaarverslag waarvan inzage wordt verleend aan de Nationalrat, de Bundesrat alsmede de Landtagen, en dat ter beschikking wordt gesteld van het grote publiek (hierna: verslag). Met hun tweede vraag wensen de verwijzende rechterlijke instanties te vernemen of de bepalingen van Richtlijn 95/46 die in de weg staan van een nationale regelgeving zoals die aan de orde in de hoofdgedingen, rechtstreekse werking hebben in dier voege dat een particulier er zich voor de nationale rechterlijke instanties op kan beroepen om de toepassing van die regelgeving te verhinderen. 101. Bijgevolg moet op de tweede vraag worden geantwoord dat de artikelen 6, lid 1, sub c, en 7, sub c en e, van Richtlijn 95/46 rechtstreekse werking hebben in dier voege, dat een particulier er zich voor de nationale rechterlijke instanties op kan beroepen om de toepassing van met deze artikelen strijdige bepalingen van nationaal recht te verhinderen. – HvJ EG, arrest van 29 januari 2008, Productores de Música de España (Promusicae) tegen Telefónica de España SAU, In zaak C-275/06. Hoofdgeding en prejudiciële vraag 29. Promusicae is een vereniging zonder winstoogmerk waarvan de leden producenten en uitgevers van muzikale en audiovisuele opnamen zijn. Bij brief van 28 november 2005 heeft zij bij de Juzgado de lo Mercantil nº 5 de Madrid een verzoek ingediend om voorlopige maatregelen te gelasten tegen Telefónica, een handelsvennootschap die met name actief is als internetprovider. 30. Promusicae heeft verzocht om Telefónica te gelasten, de identiteit en het adres te verstrekken van bepaalde personen aan wie zij internettoegang verschaft en van wie het "IP-adres" en de datum en het uur waarop zij met internet verbonden zijn geweest, bekend is. Volgens Promusicae gebruiken deze personen het zogenaamde "peer-to-peer"- of "p2p"-programma "KaZaA", dat dient voor het uitwisselen van bestanden, en verlenen zij via de gedeelde map van hun personal computer toegang tot muzieknummers waarvan de exploitatierechten toebehoren aan de leden van Promusicae. 31. Promusicae heeft voor de verwijzende rechter gesteld dat de gebruikers van KaZaA zich schuldig maken aan oneerlijke mededinging en de intellectuele-eigendomsrechten schenden. Zij heeft dus de mededeling van bovengenoemde gegevens gevorderd om tegen de betrokkenen civiele procedures te kunnen instellen. 32. Bij beschikking van 21 december 2005 heeft de Juzgado de lo Mercantil nº 5 de Madrid het verzoek om voorlopige maatregelen van Promusicae ingewilligd. 33. Telefónica heeft tegen deze beschikking verzet aangetekend. Zij stelt dat volgens de LSSI de door Promusicae gevraagde gegevens slechts mogen worden verstrekt in het kader van een strafrechtelijk onderzoek of wanneer dit nodig is ter waarborging van de openbare veiligheid en de landsverdediging, maar niet in het kader van een civiele procedure of als voorlopige maatregel voorafgaand aan een dergelijke procedure. Volgens Promusicae daarentegen dient artikel 12 LSSI in overeenstemming met verschillende bepalingen van de richtlijnen 2000/31, 2001/29 en 2004/48 en met de artikelen 17, lid 2, en 47 van het Handvest te worden uitgelegd, die de Lid-Staten niet de mogelijkheid bieden om de verplichting tot verstrekking van de betrokken gegevens te beperken tot de in deze wet met name genoemde gevallen. 34. In deze omstandigheden heeft de Juzgado de lo Mercantil nº 5 de Madrid de behandeling van de zaak geschorst en het Hof de volgende prejudiciële vraag gesteld: "Kunnen de Lid-Staten volgens het gemeenschapsrecht en meer in het bijzonder de artikelen 15, lid 2, en 18 van richtlijn [2000/31], artikel 8, leden 1 en 2, van [richtlijn 2001/29], artikel 8 van richtlijn [2004/48] en de artikelen 17, lid 2, en 47 van het Handvest van de grondrechten van de Europese Unie bepalen dat operatoren van elektronische-communicatienetwerken en -diensten, telecomproviders en hostingproviders de verbindings- en verkeersgegevens betreffende elektronische communicaties die tijdens de verstrekking van een dienst van de informatiemaatschappij tot stand zijn gebracht, slechts ten behoeve van een strafrechtelijk onderzoek of ter waarborging van de openbare veiligheid en de landsverdediging, en dus niet ten behoeve van civiele procedures, dienen te bewaren en ter beschikking te stellen?" (...). 45. Verder wordt niet betwist dat de door Promusicae gevorderde mededeling van de naam en het adres van bepaalde gebruikers van KaZaA impliceert dat persoonsgegevens ter beschikking worden gesteld, dat wil zeggen volgens de definitie van artikel 2, sub a, van richtlijn 95/46 - informatie betreffende geïdentificeerde of identificeer-
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
87
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 5)
bare natuurlijke personen (zie in die zin arrest van 6 november 2003, Lindqvist, C-101/01, Jurispr. blz. I-12971, punt 24). Deze verstrekking van informatie die volgens Promusicae door Telefónica wordt opgeslagen - wat deze laatste niet betwist - vormt een verwerking van persoonsgegevens in de zin van artikel 2, eerste alinea, van richtlijn 2002/58, gelezen in samenhang met artikel 2, sub b, van richtlijn 95/46. Vastgesteld dient dus te worden dat deze informatieverstrekking binnen de werkingssfeer van richtlijn 2002/58 valt, met dien verstande dat de verenigbaarheid van de opslag zelf van de gegevens met de vereisten van de richtlijn in het hoofdgeding niet aan de orde is. (...). 49. Verder bepaalt artikel 15, lid 1, van richtlijn 2002/58 dat de Lid-Staten wettelijke maatregelen kunnen treffen ter beperking van de reikwijdte van met name de verplichting om het vertrouwelijke karakter van de verkeersgegevens te garanderen, indien dat in een democratische samenleving noodzakelijk, redelijk en proportioneel is ter waarborging van de nationale veiligheid, dat wil zeggen de staatsveiligheid, de landsverdediging, de openbare veiligheid, of het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten of van onbevoegd gebruik van het elektronische-communicatiesysteem als bedoeld in artikel 13, lid 1, van richtlijn 95/46. 50. Artikel 15, lid 1, van richtlijn 2002/58 biedt de Lid-Staten dus de mogelijkheid om uitzonderingen vast te stellen op de krachtens artikel 5 van deze richtlijn op hen rustende principiële verplichting om het vertrouwelijke karakter van persoonsgegevens te garanderen. 51. Geen van deze uitzonderingen lijkt evenwel betrekking te hebben op situaties waarin civiele procedures dienen te worden ingesteld. Zij betreffen immers enerzijds de nationale veiligheid, de landsverdediging en de openbare veiligheid, die behoren tot het specifieke activiteitendomein van de staten of de overheidsdiensten, dat met de activiteiten van particulieren niets van doen heeft (zie in die zin arrest Lindqvist, reeds aangehaald, punt 43), en anderzijds de vervolging van strafrechtelijke inbreuken. (...). 53. Evenwel dient te worden vastgesteld dat artikel 15, lid 1, van richtlijn 2002/58 de opsomming van bovengenoemde uitzonderingen afsluit met een uitdrukkelijke verwijzing naar artikel 13, lid 1, van richtlijn 95/46. Volgens deze bepaling kunnen de Lid-Staten wettelijke maatregelen treffen ter beperking van de verplichting om persoonsgegevens vertrouwelijk te behandelen, indien dit noodzakelijk is voor de bescherming van de rechten en vrijheden van anderen. Aangezien artikel 15, lid 1, van richtlijn 2002/58 niet preciseert om welke rechten en vrijheden het gaat, moet deze bepaling aldus worden uitgelegd dat hieruit de wil van de wetgever blijkt om noch de bescherming van het eigendomsrecht, noch gevallen waarin de houders van auteursrechten ter bescherming van dit eigendomsrecht een civiele procedure instellen, van de werkingssfeer ervan uit te sluiten. 54. Vastgesteld dient dus te worden dat richtlijn 2002/58 niet uitsluit dat de Lid-Staten de verplichting opleggen om in het kader van een civiele procedure persoonsgegevens mee te delen. 55. Artikel 15, lid 1, van deze richtlijn kan evenwel niet aldus worden uitgelegd dat het de Lid-Staten dwingt om in de daarin genoemde gevallen een dergelijke verplichting op te leggen. (...). 65. Het onderhavige verzoek om een prejudiciële beslissing werpt aldus de vraag op hoe de vereisten inzake de bescherming van verschillende grondrechten, namelijk enerzijds het recht op eerbiediging van de persoonlijke levenssfeer en anderzijds het recht op bescherming van de eigendom en het recht op een doeltreffend beroep, met elkaar kunnen worden verzoend. (...). 68. Bij de omzetting van bovengenoemde richtlijnen moeten de Lid-Staten niettemin erop toezien dat zij zich baseren op een uitlegging daarvan die het mogelijk maakt een juist evenwicht tussen de verschillende door de communautaire rechtsorde beschermde grondrechten te verzekeren. Bij de tenuitvoerlegging van de maatregelen ter omzetting van deze richtlijnen moeten de autoriteiten en de rechterlijke instanties van de Lid-Staten vervolgens niet alleen hun nationale recht conform deze richtlijnen uitleggen, maar er ook op toezien dat zij zich niet baseren op een uitlegging van deze richtlijnen die in conflict zou komen met deze grondrechten of de andere algemene beginselen van gemeenschapsrecht, zoals het evenredigheidsbeginsel (zie in die zin arrest Lindqvist, reeds aangehaald, punt 87, en arrest van 26 juni 2007, Ordre des barreaux francophones et germanophone e.a., C-305/05, nog niet gepubliceerd in de Jurisprudentie, punt 28). – HvJ EG, beschikking van het Hof van 19 februari 2009, LSG-Gesellschaft zur Wahrnehmung von Leistungsschutzrechten GmbH tegen Tele2 Telecommunication GmbH, In zaak C-557/07. 24. Met zijn tweede vraag, die eerst moet worden behandeld, wenst de verwijzende rechter in wezen te vernemen of het gemeenschapsrecht, met name artikel 8, lid 3, van richtlijn 2004/48, gelezen in samenhang met de artikelen 6 en 15 van richtlijn 2002/58, zich ertegen verzet dat de Lid-Staten de verplichting opleggen, persoonsgebonden verkeersgegevens aan particuliere derden door te geven met het oog op de civielrechtelijke vervolging van inbreuken op het auteursrecht. 25. Het antwoord op die vraag kan duidelijk worden afgeleid uit de rechtspraak van het Hof. 26. In punt 53 van het arrest Promusicae heeft het Hof immers geoordeeld dat één van de uitzonderingen van artikel 15, lid 1, van richtlijn 2002/58, dat uitdrukkelijk naar artikel 13, lid 1, van richtlijn 95/46 verwijst, betrekking heeft op de maatregelen die noodzakelijk zijn voor de bescherming van de rechten en vrijheden van anderen. Aangezien richtlijn 2002/58 niet preciseert om welke rechten en vrijheden het gaat, moet zij aldus worden uitgelegd dat hieruit de wil van de gemeenschapswetgever blijkt om noch de bescherming van het eigendomsrecht, noch gevallen waarin de houders van auteursrechten ter bescherming van dit eigendomsrecht een civiele procedure instellen, van de werkingssfeer ervan uit te sluiten.
88
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 5)
27. Het Hof heeft daaruit in de punten 54 en 55 van het arrest Promusicae afgeleid dat richtlijn 2002/58, met name artikel 15, lid 1, daarvan, niet uitsluit dat de Lid-Staten de verplichting opleggen om in het kader van een civiele procedure persoonsgegevens mee te delen, maar dat zij de Lid-Staten evenmin dwingt om een dergelijke verplichting op te leggen. 28. Het Hof heeft overigens gepreciseerd dat diverse vereisten ervoor zorgen dat de vrijheid van de Lid-Staten om het recht op eerbiediging van het privéleven of het eigendomsrecht de overhand te geven, kleiner is. Zo dienen de Lid-Staten er bij de omzetting van de richtlijnen 2000/31, 2001/29, 2002/58 en 2004/48 acht op te slaan dat zij zich baseren op een uitlegging daarvan die het mogelijk maakt een juist evenwicht tussen de verschillende door de communautaire rechtsorde beschermde grondrechten te verzekeren. Bij de tenuitvoerlegging van de maatregelen ter omzetting van deze richtlijnen moeten de autoriteiten en de rechterlijke instanties van de Lid-Staten bovendien niet alleen hun nationale recht conform deze richtlijnen uitleggen, maar er ook acht op slaan dat zij zich niet baseren op een uitlegging van deze richtlijnen die in conflict zou komen met de grondrechten of de andere algemene beginselen van gemeenschapsrecht, zoals het evenredigheidsbeginsel (arrest Promusicae, reeds aangehaald, punt 70). 29. Op de tweede vraag moet dus worden geantwoord dat het gemeenschapsrecht, met name artikel 8, lid 3, van richtlijn 2004/48, gelezen in samenhang met artikel 15, lid 1, van richtlijn 2002/58, zich er niet tegen verzet dat de Lid-Staten de verplichting opleggen, persoonsgebonden verkeersgegevens aan particuliere derden door te geven met het oog op de civielrechtelijke vervolging van inbreuken op het auteursrecht. Het gemeenschapsrecht vereist echter dat de Lid-Staten er bij de omzetting van de richtlijnen 2000/31, 2001/29, 2002/58 en 2004/48 acht op slaan dat zij zich baseren op een uitlegging daarvan die het mogelijk maakt een juist evenwicht tussen de verschillende aan de orde zijnde grondrechten te verzekeren. Bij de tenuitvoerlegging van de maatregelen ter omzetting van deze richtlijnen moeten de autoriteiten en de rechterlijke instanties van de LidStaten bovendien niet alleen hun nationale recht conform deze richtlijnen uitleggen, maar er ook acht op slaan dat zij zich niet baseren op een uitlegging van deze richtlijnen die in conflict zou komen met deze grondrechten of de andere algemene beginselen van gemeenschapsrecht, zoals het evenredigheidsbeginsel. – HvJ EG, Arrest van 16 december 2008, Heinz Huber tegen Bundesrepublik Deutschland, In zaak C-524/06. Het verzoek om een prejudiciële beslissing betreft de uitlegging van artikel 12, lid 1, EG, gelezen in samenhang met de artikelen 17 EG en 18 EG, van artikel 43, lid 1, EG en van artikel 7, sub e, van richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (PB L 281, blz. 31). Dit verzoek is ingediend in het kader van een geschil tussen H. Huber, een in Duitsland wonende Oostenrijker, en de Bundesrepublik Deutschland, vertegenwoordigd door het Bundesamt für Migration und Flüchtlinge (federaal bureau voor migratie en vluchtelingen; hierna: "Bundesamt"), over het verzoek van Huber tot verwijdering van de hem betreffende gegevens uit het centraal register buitenlanders (Ausländerzentralregister; hierna: "AZR"). 45. Derhalve valt de verwerking van persoonsgegevens voor de toepassing van de wetgeving inzake het verblijfsrecht en voor statistiekdoeleinden binnen de werkingssfeer van richtlijn 95/46, maar de verwerking van dergelijke gegevens in verband met de criminaliteitsbestrijding niet. 46. Bijgevolg moet worden bezien of met het gemeenschapsrecht verenigbaar is de verwerking van persoonsgegevens in het kader van een register als het AZR, in de eerste plaats waar dit fungeert als ondersteuning van de met de uitvoering van de verblijfswetgeving belaste administratieve instanties en voor gebruik voor statistiekdoeleinden, gelet op de bepalingen van richtlijn 95/46, en meer in het bijzonder - in verband met de derde prejudiciële vraag - afgemeten aan de in artikel 7, sub e, van die richtlijn gestelde noodzakelijkheidsvoorwaarde, zoals uitgelegd in het licht van de vereisten van het Verdrag, met name het verbod van discriminatie op grond van nationaliteit in de zin van artikel 12, lid 1, EG, en in de tweede plaats waar dit fungeert als middel bij de bestrijding van criminaliteit, gelet op het primaire gemeenschapsrecht. De verwerking van persoonsgegevens voor de uitvoering van de verblijfswetgeving en voor statistiekdoeleinden. Begrip noodzakelijkheid 47. Ingevolge artikel 1 van richtlijn 95/46 waarborgen de Lid-Staten in verband met de verwerking van persoonsgegevens, de bescherming van de fundamentele rechten en vrijheden van natuurlijke personen, inzonderheid van het recht op persoonlijke levenssfeer. 48. Overeenkomstig hoofdstuk II van richtlijn 95/46, "Algemene voorwaarden voor de rechtmatigheid van de verwerking van persoonsgegevens", moet elke verwerking van persoonsgegevens, behoudens de op grond van artikel 13 van deze richtlijn toegestane uitzonderingen, stroken met de in artikel 6 van die richtlijn genoemde beginselen betreffende de kwaliteit van de gegevens, en met de in artikel 7 van de richtlijn genoemde beginselen betreffende de toelaatbaarheid van gegevensverwerking (zie in die zin arrest van 20 mei 2003, Österreichischer Rundfunk e.a., C-465/00, C-138/01 en C-139/01, Jurispr. blz. I-4989, punt 65). 49. In het bijzonder bepaalt artikel 7, sub e, dat de verwerking van persoonsgegevens geoorloofd is indien zij "noodzakelijk is voor de vervulling van een taak van algemeen belang of die deel uitmaakt van de uitoefening van het openbaar gezag die aan de voor de verwerking verantwoordelijke of de derde aan wie de gegevens worden verstrekt, [...] is opgedragen".
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
89
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 5)
50. In dit verband moet eraan worden herinnerd dat richtlijn 95/46, zoals met name blijkt uit punt 8 van de considerans, de bescherming van de rechten en vrijheden van personen op het stuk van de verwerking van persoonsgegevens in alle Lid-Staten op hetzelfde niveau wil brengen. Punt 10 van de considerans voegt daaraan toe dat de onderlinge aanpassing van de ter zake geldende nationale wetgevingen niet tot een verzwakking van de aldus geboden bescherming mag leiden, maar juist erop gericht moet zijn een hoog beschermingsniveau in de Gemeenschap te waarborgen. 51. Eerder is dan ook geoordeeld dat de harmonisatie van vorenbedoelde nationale wettelijke regelingen zich niet beperkt tot een minimumharmonisatie, maar in beginsel tot een volledige harmonisatie dient te leiden (zie arrest van 6 november 2003, Lindqvist, C-101/01, Jurispr. blz. I-12971, punt 96). 52. Gelet op het doel, een gelijkwaardige bescherming te bieden in alle Lid-Staten, kan het begrip noodzakelijkheid zoals dit naar voren komt uit artikel 7, sub e, van richtlijn 95/46, dat een nauwkeurige afbakening wil geven voor een van de gevallen waarin de verwerking van persoonsgegevens geoorloofd is, dus niet een inhoud hebben die verschilt van Lid-Staat tot Lid-Staat. Het gaat bijgevolg om een autonoom begrip van het gemeenschapsrecht, dat moet worden uitgelegd op een wijze die volledig beantwoordt aan het doel van de richtlijn zoals omschreven in artikel 1, lid 1. (...). Beoordeling of een verwerking van persoonsgegevens zoals geschiedt in het kader van het AZR, noodzakelijk is met het oog op de uitvoering van de verblijfswetgeving en voor statistiekdoeleinden. 59. Er moet echter op worden gewezen dat een dergelijk register geen andere informatie mag bevatten dan voor dat doel noodzakelijk is. Bij de huidige stand van het gemeenschapsrecht moet de verwerking van persoonsgegevens op basis van de in de artikelen 8, lid 3, en 27, lid 1, van richtlijn 2004/38 genoemde documenten, worden beschouwd als voor de uitvoering van de verblijfswetgeving noodzakelijk in de zin van artikel 7, sub e, van richtlijn 95/46. 62. Wat ten slotte de noodzaak betreft om over een centraal register als het AZR te beschikken ten behoeve van de met de uitvoering van de verblijfswetgeving belaste autoriteiten, moet worden geoordeeld dat, gesteld dat gedecentraliseerde registers als de gemeentelijke bevolkingsregisters alle relevante gegevens bevatten om die autoriteiten in staat te stellen hun taak te vervullen, centralisering van die gegevens noodzakelijk kan blijken te zijn in de zin van artikel 7, sub e, van richtlijn 95/46, indien deze bijdraagt tot een efficiëntere uitvoering van deze wetgeving met betrekking tot het verblijfsrecht van burgers van de Unie die willen verblijven op het grondgebied van een Lid-Staat waarvan zij niet de nationaliteit bezitten. 63. Wat de statistiekfunctie van een register als het AZR betreft, moet eraan worden herinnerd dat het gemeenschapsrecht weliswaar het vrij verkeer van personen tot stand heeft gebracht en aan iedere binnen zijn werkingssfeer vallende persoon recht geeft op toegang tot het grondgebied van de Lid-Staten ter verwezenlijking van de doeleinden van het Verdrag, maar dat de Lid-Staten daarmee niet de bevoegdheid is ontnomen maatregelen te treffen die de nationale instanties nauwkeurige kennis moeten verschaffen van de migratie naar en binnen het nationale grondgebied (zie arrest van 7 juli 1976, Watson en Belmann, 118/75, Jurispr. blz. 1185, punt 17). 64. Evenzo gaat verordening nr. 862/2007, die de verstrekking regelt van statistische gegevens over de migratiebewegingen op het grondgebied van de Lid-Staten, ervan uit dat de Lid-Staten de informatie verzamelen op basis waarvan die statistieken kunnen worden opgesteld. 65. De uitoefening van die bevoegdheid maakt echter niet het verzamelen en bewaren van gegevens op naam zoals plaatsvindt in het kader van een register als het AZR, noodzakelijk in de zin van artikel 7, sub e, van richtlijn 95/46. Zoals de advocaat-generaal in punt 23 van zijn conclusie heeft aangegeven, is voor een dergelijk doel alleen de verwerking van anonieme gegevens noodzakelijk. 66. Uit alle voorgaande overwegingen volgt dat een systeem van verwerking van persoonsgegevens inzake burgers van de Unie die niet de nationaliteit bezitten van de betrokken Lid-Staat, zoals het systeem dat is ingevoerd bij de AZRG, dat de ondersteuning van de met de uitvoering van de verblijfswetgeving belaste nationale autoriteiten tot doel heeft, slechts dan voldoet aan het vereiste van noodzakelijkheid dat is gesteld in artikel 7, sub e, van richtlijn 95/46, uitgelegd in het licht van het verbod van discriminatie op grond van nationaliteit: - indien het uitsluitend de gegevens bevat die noodzakelijk zijn voor de uitvoering van die wetgeving door deze autoriteiten; en - indien door de centrale verwerking van de gegevens de uitvoering van deze wetgeving met betrekking tot het verblijfsrecht van burgers van de Unie die niet de nationaliteit van die Lid-Staat bezitten, efficiënter kan verlopen. 67. Het is aan de verwijzende rechter om na te gaan of deze factoren zich in het hoofdgeding voordoen. 68. In geen geval kunnen als noodzakelijk in de zin van artikel 7, sub e, van richtlijn 95/46 worden beschouwd de bewaring en de verwerking van persoonsgegevens op naam in het kader van een register als het AZR, voor statistiekdoeleinden.
90
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 5)
AFGEWOGEN EN GERECHTVAARDIGD BELANG
Lid 1, f), gronden tot verwerking, afgewogen en gerechtvaardigd belang 1. INTERNATIONALE WETGEVING – Artikel 7 f) van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): de Lid-Staten bepalen dat de verwerking van persoonsgegevens slechts mag geschieden indien de verwerking noodzakelijk is voor de behartiging van het gerechtvaardigde belang van de voor de verwerking verantwoordelijke of van de derde(n) aan wie de gegevens worden verstrekt, mits het belang of de fundamentele rechten en vrijheden van de betrokkene die aanspraak maakt op bescherming uit hoofde van artikel 1, lid 1, van deze Richtlijn, niet prevaleren. – Overweging 30 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): overwegende dat de verwerking van persoonsgegevens bovendien slechts geoorloofd kan zijn, indien zij plaatsvindt met toestemming van de betrokkene, noodzakelijk is voor de sluiting of uitvoering van een overeenkomst die de betrokkene bindt of voor de eerbiediging van een wettelijke verplichting, voor de uitvoering van een taak van openbaar belang of de uitoefening van overheidsgezag, of ook voor de behartiging van een wettig belang van een persoon, mits het belang of de rechten en vrijheden van de betrokkene niet prevaleren; dat de Lid-Staten, met name om het evenwicht tussen de in het geding zijnde belangen te verzekeren onder waarborging van een daadwerkelijke mededinging, de voorwaarden kunnen bepalen waaronder persoonsgegevens in het kader van wettige activiteiten zoals het dagelijks beheer van ondernemingen en andere organisaties kunnen worden gebruikt en aan derden verstrekt; dat zij evenzo de voorwaarden kunnen bepalen waaronder persoonsgegevens voor direct marketing of direct mail door een liefdadige instelling of door ander verenigingen of stichtingen, bij voorbeeld van politieke aard, aan derden mogen worden verstrekt, een en ander met inachtneming van de bepalingen waarbij aan de betrokkenen de mogelijkheid wordt geboden zich zonder opgave van redenen en zonder kosten tegen de verwerking van hen betreffende gegevens te verzetten; – International Standards on the Protection of Personal Data and Privacy (2009) (The Madrid Resolution): resolutie goedgekeurd op 5 november 2009 door de Internationale Conferentie van de commissarissen voor de bescherming van gegevens en de privacy. Principe nr. 12: General principle of legitimacy: 1. As a general rule, personal data may only be processed in one of the following situations: b. Where a legitimate interest of the responsible person justifies the processing, and the legitimate interests, rights and freedoms of data subjects do not prevail.
2. ADVIEZEN VAN DE GROEP 29 – Groep 29, Advies 1/2008 over gegevensbescherming en zoekmachines (4 april 2008, WP 148): overeenkomstig artikel 7, onder f), van de richtlijn kan de verwerking noodzakelijk zijn voor de behartiging van het gerechtvaardigde belang van de voor de verwerking verantwoordelijke of van de derde(n) aan wie de gegevens worden verstrekt, mits het belang of de fundamentele rechten en vrijheden van de betrokkene die aanspraak maakt op bescherming uit hoofde van artikel 1, lid 1, van deze richtlijn, niet prevaleren. Betere dienstverlening - Verschillende exploitanten van zoekmachines bewaren de inhoud van zoekopdrachten van gebruikers in hun serverlogs. Dergelijke informatie is voor de exploitanten van zoekmachines een belangrijk hulpmiddel. Zij kunnen er hun diensten mee verbeteren door te analyseren welk soort zoekopdrachten mensen invoeren, hoe zij deze zoekopdrachten verfijnen en met welke zoekresultaten zij verdergaan. De werkgroep artikel 29 is echter van mening dat zoekopdrachten niet aan een geïdentificeerd persoon hoeven te kunnen worden toegeschreven, om gebruikt te worden voor het verbeteren van zoekdiensten. Om de gedragingen van een individuele gebruiker te correleren (en zo bijvoorbeeld te ontdekken of suggesties van de zoekmachine nuttig zijn), moeten uitsluitend de gedragingen van één gebruiker gedurende één zoekopdracht kunnen worden onderscheiden van die van een ander; deze gebruikers hoeven niet te kunnen worden geïdentificeerd. Zo wil een zoekmachine wellicht weten dat gebruiker X heeft gezocht op "Woodhouse" en vervolgens ook op de resultaten voor de gesuggereerde spellingsvariant "Wodehouse" heeft geklikt, maar de machine hoeft niet te weten wie gebruiker X is. Het verbeteren van de dienstverlening kan derhalve niet als een gerechtvaardigde reden voor het opslaan van niet-geanonimiseerde gegevens worden beschouwd. Systeembeveiliging - Exploitanten van zoekmachines achten de beveiliging van hun systeem wellicht een gerechtvaardigd belang en toereikende grond voor de verwerking van persoonsgegevens. Bij het opslaan van persoonsgegevens voor beveiligingsdoeleinden dient echter strikt te worden vastgehouden aan het doelbeginsel. Zo mogen gegevens die zijn opgeslagen voor beveiligingsdoeleinden dus niet worden gebruikt ter verbetering van diensten. De exploitanten van zoekmachines stellen dat serverlogs gedurende een redelijke periode moeten worden bewaard (het aantal maanden verschilt van zoekmachine tot zoekmachine) om hierin gedragspatronen van gebruikers te kunnen herkennen en zo denial-of-service-aanvallen en andere veiligheidsrisico's te signaleren en te voorkomen. Al deze exploitanten dienen de hiertoe aangehouden bewaarperiode grondig te kunnen rechtvaardigen; deze zal afhankelijk zijn van de noodzaak de betrokken gegevens te verwerken. Fraudepreventie - Zoekmachines kunnen ook een gerechtvaardigd belang hebben bij het ontdekken en voorkomen van fraude, zoals 'klikfraude'. Net als bij beveiligingsdoeleinden geldt echter ook hier dat zowel de hoeveel-
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
91
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 5)
heid opgeslagen en verwerkte persoonsgegevens, als de periode gedurende welke persoonsgegevens met dit doel worden bewaard, ervan afhangt of zij daadwerkelijk nodig zijn voor het opsporen en voorkomen van fraude. Boekhouding - Boekhoudkundige vereisten zijn geen rechtvaardiging voor stelselmatige registratie van gewone zoekmachinegegevens, waarvoor de gebruiker geen gesponsorde link heeft aangeklikt. Ook betwijfelt de werkgroep op grond van de informatie die zij naar aanleiding van haar vragenlijst heeft ontvangen van de exploitanten van zoekmachines of persoonsgegevens van zoekmachinegebruikers werkelijk essentieel zijn voor boekhoudkundige doeleinden. Een definitieve beoordeling vereist aanvullend onderzoek. In elk geval roept de werkgroep de exploitanten van zoekmachines op om boekhoudkundige mechanismen te ontwikkelen die minder inbreuk maken op de persoonlijke levenssfeer, bijvoorbeeld door geanonimiseerde gegevens te gebruiken. Gepersonaliseerde reclame - De exploitanten van zoekmachines die gepersonaliseerde reclame willen aanbieden om hun inkomsten te vergroten, zien in artikel 7, onder a), van de richtlijn (toestemming) of artikel 7, onder b), van de richtlijn (uitvoering van een overeenkomst) wellicht een grond voor de gerechtvaardigde verwerking van bepaalde persoonsgegevens. Deze praktijk kan echter moeilijk worden gerechtvaardigd voor gebruikers die zich niet uitdrukkelijk hebben ingeschreven op basis van specifieke informatie over het doel van de gegevensverwerking. De werkgroep geeft duidelijk de voorkeur aan het anonimiseren van gegevens. Rechtshandhaving en verzoeken om rechtsbijstand - Rechtshandhavingsinstanties vragen de exploitanten van zoekmachines soms om gebruikersgegevens om misdaden op te sporen of te voorkomen. Particuliere partijen kunnen ook aansturen op een gerechtelijke uitspraak om een exploitant van een zoekmachine gebruikersgegevens te laten afstaan. Wanneer dergelijk verzoeken volgens deugdelijke juridische procedures worden ingediend en tot een deugdelijke gerechtelijke bevelen leiden, moeten exploitanten van zoekmachines hieraan uiteraard gehoor geven en de benodigde informatie verschaffen. Deze vorm van naleving moet echter niet worden opgevat als een wettelijke verplichting tot of rechtvaardiging voor het uitsluitend voor deze doeleinden bewaren van dergelijke gegevens. – Groep 29, Working Document 1/2009 on pre-trial discovery for cross border civil litigation (11 februari 2009, WP 158): in order for the pre-trial discovery procedure to take place lawfully, the processing of personal data needs to be legitimate and to satisfy one of the grounds set out in Article 7 of the Data Protection Directive. In addition, for transfers to another jurisdiction the requirements of Article 26 would have to be met in order to provide a basis for such transfer . There appear to be three relevant grounds, namely consent of the data subject, that the compliance with the pre-trial discovery requirements is necessary for compliance with a legal obligation under Article 7(c) or further purposes of a legitimate interest pursued by the controller or by the third party to whom the data are disclosed under Article 7(f). Compliance with the requirements of the litigation process may be found to be necessary for the purposes of a legitimate interest pursued by the controller or by the third party to whom the data are disclosed under Article 7(f). This basis would only be acceptable where such legitimate interests are not "overridden by the interests for fundamental rights and freedoms of the data subject". Clearly the interests of justice would be served by not unnecessarily limiting the ability of an organisation to act to promote or defend a legal right. The aim of the discovery process is the preservation and production of information that is potentially relevant to the litigation. The aim is to provide each party with access to such relevant information as is necessary to support its claim or defence, with the goal of providing for fairness in the proceedings and reaching a just outcome. Against these aims have to be weighed the rights and freedoms of the data subject who has no direct involvement in the litigation process and whose involvement is by virtue of the fact that his personal data is held by one of the litigating parties and is deemed relevant to the issues in hand, e.g. employees and customers. This balance of interest test should take into account issues of proportionality, the relevance of the personal data to the litigation and the consequences for the data subject. Adequate safeguards would also have to be put in place and in particular, there must be recognition for the rights of the data subject to object under Article 14 of the Directive where the processing is based on Article 7(f) and, in the absence of national legislation providing otherwise, there are compelling legitimate grounds relating to the data subject's particular situation. As a first step controllers should restrict disclosure if possible to anonymised or at least pseudonymised data. After filtering ("culling") the irrelevant data - possibly by a trusted third party in the European Union - a much more limited set of personal data may be disclosed as a second step. – Groep 29, Tweede advies 4/2009 over de Internationale Standaard van het Wereldantidopingagentschap (WADA) voor de bescherming van de persoonlijke levenssfeer en persoonsgegevens, aanverwante bepalingen van de WADA-code en andere privacyvraagstukken in de context van de bestrijding van doping in de sport door het WADA en (nationale) antidopingorganisaties (6 februari 2009, WP 162): de Groep acht het echter zeer onwaarschijnlijk dat antidopingorganisaties hun eigen gerechtvaardigde belang zouden kunnen inroepen als enige rechtsgrondslag (artikel 7, onder f), van de richtlijn). Om een beroep te kunnen doen op deze bepaling, zouden antidopingorganisaties een "privacytest" moeten uitvoeren, waarbij de belangen van de voor de verwerking verantwoordelijke worden afgewogen tegen de fundamentele rechten en belangen van de betrokkenen. De ernst van de inbreuken op de privacy die het gevolg zouden zijn van de bestrijding van doping zoals het WADA die heeft opgezet en uitvoert, zou in dit verband zwaar moeten wegen. De Groep wijst er
92
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 5)
voorts op dat uitsluitend gegevens mogen verwerkt die voor de verwezenlijking van het doel noodzakelijk zijn, en dat dit doel bovendien niet op een minder ingrijpende wijze te verwezenlijken moet zijn.
3. RECHTSPRAAK VAN HET EUROPESE HOF VAN JUSTITIE – Europees Hof van Justitie, Arrest van 14 september 2000, The Queen v. Minister of Agriculture, Fisheries & Food, Zaak C-369/98. (...) Bij de beantwoording van de vraag, of sommige gegevens uit de databank mogen worden medegedeeld, moet de bevoegde instantie namelijk de belangen afwegen van degene die de informatie heeft verstrekt en van degene die ze nodig heeft om een rechtmatig doel te bereiken. Bij de beoordeling van de respectieve belangen van de betrokkenen ten aanzien van persoonlijke gegevens moet echter rekening worden gehouden met de bescherming van de fundamentele rechten en vrijheden. Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (PB L 281, blz. 31; hierna: Richtlijn) bevat in dit verband criteria die de bevoegde instantie bij die beoordeling kan toepassen. Hoewel die Richtlijn ten tijde van de feiten van het hoofdgeding nog niet in werking was getreden, blijkt uit de tiende en de elfde overweging van de considerans, dat zij op gemeenschapsniveau de algemene beginselen overneemt die ter zake reeds deel uitmaakten van het recht van de Lid-Staten. Wat met name de bekendmaking van gegevens betreft, staat artikel 7, sub f, van de Richtlijn die slechts toe, indien dat noodzakelijk is voor de behartiging van het gerechtvaardigde belang van de derde aan wie de persoonlijke gegevens worden verstrekt, mits het belang of de fundamentele rechten en vrijheden van de betrokkene die aanspraak maakt op bescherming niet prevaleren. (§ 31 à 35). – HvJ EG, arrest van 29 januari 2008, Productores de Música de España (Promusicae) tegen Telefónica de España SAU, In zaak C-275/06. Hoofdgeding en prejudiciële vraag 29. Promusicae is een vereniging zonder winstoogmerk waarvan de leden producenten en uitgevers van muzikale en audiovisuele opnamen zijn. Bij brief van 28 november 2005 heeft zij bij de Juzgado de lo Mercantil nº 5 de Madrid een verzoek ingediend om voorlopige maatregelen te gelasten tegen Telefónica, een handelsvennootschap die met name actief is als internetprovider. 30. Promusicae heeft verzocht om Telefónica te gelasten, de identiteit en het adres te verstrekken van bepaalde personen aan wie zij internettoegang verschaft en van wie het "IP-adres" en de datum en het uur waarop zij met internet verbonden zijn geweest, bekend is. Volgens Promusicae gebruiken deze personen het zogenaamde "peer-to-peer"- of "p2p"-programma "KaZaA", dat dient voor het uitwisselen van bestanden, en verlenen zij via de gedeelde map van hun personal computer toegang tot muzieknummers waarvan de exploitatierechten toebehoren aan de leden van Promusicae. 31. Promusicae heeft voor de verwijzende rechter gesteld dat de gebruikers van KaZaA zich schuldig maken aan oneerlijke mededinging en de intellectuele-eigendomsrechten schenden. Zij heeft dus de mededeling van bovengenoemde gegevens gevorderd om tegen de betrokkenen civiele procedures te kunnen instellen. 32. Bij beschikking van 21 december 2005 heeft de Juzgado de lo Mercantil nº 5 de Madrid het verzoek om voorlopige maatregelen van Promusicae ingewilligd. 33. Telefónica heeft tegen deze beschikking verzet aangetekend. Zij stelt dat volgens de LSSI de door Promusicae gevraagde gegevens slechts mogen worden verstrekt in het kader van een strafrechtelijk onderzoek of wanneer dit nodig is ter waarborging van de openbare veiligheid en de landsverdediging, maar niet in het kader van een civiele procedure of als voorlopige maatregel voorafgaand aan een dergelijke procedure. Volgens Promusicae daarentegen dient artikel 12 LSSI in overeenstemming met verschillende bepalingen van de richtlijnen 2000/31, 2001/29 en 2004/48 en met de artikelen 17, lid 2, en 47 van het Handvest te worden uitgelegd, die de Lid-Staten niet de mogelijkheid bieden om de verplichting tot verstrekking van de betrokken gegevens te beperken tot de in deze wet met name genoemde gevallen. 34. In deze omstandigheden heeft de Juzgado de lo Mercantil nº 5 de Madrid de behandeling van de zaak geschorst en het Hof de volgende prejudiciële vraag gesteld: "Kunnen de Lid-Staten volgens het gemeenschapsrecht en meer in het bijzonder de artikelen 15, lid 2, en 18 van richtlijn [2000/31], artikel 8, leden 1 en 2, van [richtlijn 2001/29], artikel 8 van richtlijn [2004/48] en de artikelen 17, lid 2, en 47 van het Handvest van de grondrechten van de Europese Unie bepalen dat operatoren van elektronische-communicatienetwerken en -diensten, telecomproviders en hostingproviders de verbindings- en verkeersgegevens betreffende elektronische communicaties die tijdens de verstrekking van een dienst van de informatiemaatschappij tot stand zijn gebracht, slechts ten behoeve van een strafrechtelijk on-
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
93
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 5)
derzoek of ter waarborging van de openbare veiligheid en de landsverdediging, en dus niet ten behoeve van civiele procedures, dienen te bewaren en ter beschikking te stellen?" (...). 45. Verder wordt niet betwist dat de door Promusicae gevorderde mededeling van de naam en het adres van bepaalde gebruikers van KaZaA impliceert dat persoonsgegevens ter beschikking worden gesteld, dat wil zeggen volgens de definitie van artikel 2, sub a, van richtlijn 95/46 - informatie betreffende geïdentificeerde of identificeerbare natuurlijke personen (zie in die zin arrest van 6 november 2003, Lindqvist, C-101/01, Jurispr. blz. I-12971, punt 24). Deze verstrekking van informatie die volgens Promusicae door Telefónica wordt opgeslagen - wat deze laatste niet betwist - vormt een verwerking van persoonsgegevens in de zin van artikel 2, eerste alinea, van richtlijn 2002/58, gelezen in samenhang met artikel 2, sub b, van richtlijn 95/46. Vastgesteld dient dus te worden dat deze informatieverstrekking binnen de werkingssfeer van richtlijn 2002/58 valt, met dien verstande dat de verenigbaarheid van de opslag zelf van de gegevens met de vereisten van de richtlijn in het hoofdgeding niet aan de orde is. (...). 49. Verder bepaalt artikel 15, lid 1, van richtlijn 2002/58 dat de Lid-Staten wettelijke maatregelen kunnen treffen ter beperking van de reikwijdte van met name de verplichting om het vertrouwelijke karakter van de verkeersgegevens te garanderen, indien dat in een democratische samenleving noodzakelijk, redelijk en proportioneel is ter waarborging van de nationale veiligheid, dat wil zeggen de staatsveiligheid, de landsverdediging, de openbare veiligheid, of het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten of van onbevoegd gebruik van het elektronische-communicatiesysteem als bedoeld in artikel 13, lid 1, van richtlijn 95/46. 50. Artikel 15, lid 1, van richtlijn 2002/58 biedt de Lid-Staten dus de mogelijkheid om uitzonderingen vast te stellen op de krachtens artikel 5 van deze richtlijn op hen rustende principiële verplichting om het vertrouwelijke karakter van persoonsgegevens te garanderen. 51. Geen van deze uitzonderingen lijkt evenwel betrekking te hebben op situaties waarin civiele procedures dienen te worden ingesteld. Zij betreffen immers enerzijds de nationale veiligheid, de landsverdediging en de openbare veiligheid, die behoren tot het specifieke activiteitendomein van de staten of de overheidsdiensten, dat met de activiteiten van particulieren niets van doen heeft (zie in die zin arrest Lindqvist, reeds aangehaald, punt 43), en anderzijds de vervolging van strafrechtelijke inbreuken. (...). 53. Evenwel dient te worden vastgesteld dat artikel 15, lid 1, van richtlijn 2002/58 de opsomming van bovengenoemde uitzonderingen afsluit met een uitdrukkelijke verwijzing naar artikel 13, lid 1, van richtlijn 95/46. Volgens deze bepaling kunnen de Lid-Staten wettelijke maatregelen treffen ter beperking van de verplichting om persoonsgegevens vertrouwelijk te behandelen, indien dit noodzakelijk is voor de bescherming van de rechten en vrijheden van anderen. Aangezien artikel 15, lid 1, van richtlijn 2002/58 niet preciseert om welke rechten en vrijheden het gaat, moet deze bepaling aldus worden uitgelegd dat hieruit de wil van de wetgever blijkt om noch de bescherming van het eigendomsrecht, noch gevallen waarin de houders van auteursrechten ter bescherming van dit eigendomsrecht een civiele procedure instellen, van de werkingssfeer ervan uit te sluiten. 54. Vastgesteld dient dus te worden dat richtlijn 2002/58 niet uitsluit dat de Lid-Staten de verplichting opleggen om in het kader van een civiele procedure persoonsgegevens mee te delen. 55. Artikel 15, lid 1, van deze richtlijn kan evenwel niet aldus worden uitgelegd dat het de Lid-Staten dwingt om in de daarin genoemde gevallen een dergelijke verplichting op te leggen. (...). 65. Het onderhavige verzoek om een prejudiciële beslissing werpt aldus de vraag op hoe de vereisten inzake de bescherming van verschillende grondrechten, namelijk enerzijds het recht op eerbiediging van de persoonlijke levenssfeer en anderzijds het recht op bescherming van de eigendom en het recht op een doeltreffend beroep, met elkaar kunnen worden verzoend. (...). 68. Bij de omzetting van bovengenoemde richtlijnen moeten de Lid-Staten niettemin erop toezien dat zij zich baseren op een uitlegging daarvan die het mogelijk maakt een juist evenwicht tussen de verschillende door de communautaire rechtsorde beschermde grondrechten te verzekeren. Bij de tenuitvoerlegging van de maatregelen ter omzetting van deze richtlijnen moeten de autoriteiten en de rechterlijke instanties van de Lid-Staten vervolgens niet alleen hun nationale recht conform deze richtlijnen uitleggen, maar er ook op toezien dat zij zich niet baseren op een uitlegging van deze richtlijnen die in conflict zou komen met deze grondrechten of de andere algemene beginselen van gemeenschapsrecht, zoals het evenredigheidsbeginsel (zie in die zin arrest Lindqvist, reeds aangehaald, punt 87, en arrest van 26 juni 2007, Ordre des barreaux francophones et germanophone e.a., C-305/05, nog niet gepubliceerd in de Jurisprudentie, punt 28). – HvJ EG , beschikking van het Hof van 19 februari 2009, LSG-Gesellschaft zur Wahrnehmung von Leistungsschutzrechten GmbH tegen Tele2 Telecommunication GmbH, In zaak C-557/07. 24. Met zijn tweede vraag, die eerst moet worden behandeld, wenst de verwijzende rechter in wezen te vernemen of het gemeenschapsrecht, met name artikel 8, lid 3, van richtlijn 2004/48, gelezen in samenhang met de artikelen 6 en 15 van richtlijn 2002/58, zich ertegen verzet dat de Lid-Staten de verplichting opleggen, persoonsgebonden verkeersgegevens aan particuliere derden door te geven met het oog op de civielrechtelijke vervolging van inbreuken op het auteursrecht. 25. Het antwoord op die vraag kan duidelijk worden afgeleid uit de rechtspraak van het Hof. 26. In punt 53 van het arrest Promusicae heeft het Hof immers geoordeeld dat één van de uitzonderingen van artikel 15, lid 1, van richtlijn 2002/58, dat uitdrukkelijk naar artikel 13, lid 1, van richtlijn 95/46 verwijst, be-
94
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 5)
trekking heeft op de maatregelen die noodzakelijk zijn voor de bescherming van de rechten en vrijheden van anderen. Aangezien richtlijn 2002/58 niet preciseert om welke rechten en vrijheden het gaat, moet zij aldus worden uitgelegd dat hieruit de wil van de gemeenschapswetgever blijkt om noch de bescherming van het eigendomsrecht, noch gevallen waarin de houders van auteursrechten ter bescherming van dit eigendomsrecht een civiele procedure instellen, van de werkingssfeer ervan uit te sluiten. 27. Het Hof heeft daaruit in de punten 54 en 55 van het arrest Promusicae afgeleid dat richtlijn 2002/58, met name artikel 15, lid 1, daarvan, niet uitsluit dat de Lid-Staten de verplichting opleggen om in het kader van een civiele procedure persoonsgegevens mee te delen, maar dat zij de Lid-Staten evenmin dwingt om een dergelijke verplichting op te leggen. 28. Het Hof heeft overigens gepreciseerd dat diverse vereisten ervoor zorgen dat de vrijheid van de Lid-Staten om het recht op eerbiediging van het privéleven of het eigendomsrecht de overhand te geven, kleiner is. Zo dienen de Lid-Staten er bij de omzetting van de richtlijnen 2000/31, 2001/29, 2002/58 en 2004/48 acht op te slaan dat zij zich baseren op een uitlegging daarvan die het mogelijk maakt een juist evenwicht tussen de verschillende door de communautaire rechtsorde beschermde grondrechten te verzekeren. Bij de tenuitvoerlegging van de maatregelen ter omzetting van deze richtlijnen moeten de autoriteiten en de rechterlijke instanties van de Lid-Staten bovendien niet alleen hun nationale recht conform deze richtlijnen uitleggen, maar er ook acht op slaan dat zij zich niet baseren op een uitlegging van deze richtlijnen die in conflict zou komen met de grondrechten of de andere algemene beginselen van gemeenschapsrecht, zoals het evenredigheidsbeginsel (arrest Promusicae, reeds aangehaald, punt 70). 29. Op de tweede vraag moet dus worden geantwoord dat het gemeenschapsrecht, met name artikel 8, lid 3, van richtlijn 2004/48, gelezen in samenhang met artikel 15, lid 1, van richtlijn 2002/58, zich er niet tegen verzet dat de Lid-Staten de verplichting opleggen, persoonsgebonden verkeersgegevens aan particuliere derden door te geven met het oog op de civielrechtelijke vervolging van inbreuken op het auteursrecht. Het gemeenschapsrecht vereist echter dat de Lid-Staten er bij de omzetting van de richtlijnen 2000/31, 2001/29, 2002/58 en 2004/48 acht op slaan dat zij zich baseren op een uitlegging daarvan die het mogelijk maakt een juist evenwicht tussen de verschillende aan de orde zijnde grondrechten te verzekeren. Bij de tenuitvoerlegging van de maatregelen ter omzetting van deze richtlijnen moeten de autoriteiten en de rechterlijke instanties van de LidStaten bovendien niet alleen hun nationale recht conform deze richtlijnen uitleggen, maar er ook acht op slaan dat zij zich niet baseren op een uitlegging van deze richtlijnen die in conflict zou komen met deze grondrechten of de andere algemene beginselen van gemeenschapsrecht, zoals het evenredigheidsbeginsel.
Lid 2 Koninklijk besluit Noodzaak van een wettelijke basis 1. ADVIEZEN VAN DE GROEP 29 – Groep 29, Werkdocument over zwarte lijsten (3 oktober - WP 65): in dit advies overloopt de Groep de verschillende soorten zwarte lijsten in de Lid-Staten van de Unie, hun gemeenschappelijke punten en hun verschillen (bestanden van debiteurs en diensten die informatie verstrekken over de patrimoniale solvabiliteit en kredietwaardigheid, misdaadbestanden, bestanden voor fraudebestrijding (verzekeringen) enz. De Groep dringt er bijzonder op aan dat voor de verwerking van als "zwarte lijsten" omschreven persoonsgegevens uniforme, geharmoniseerde criteria moeten worden gehanteerd die voor regels kunnen zorgen die de betrokkenen de in de regelgeving betreffende de bescherming van privacy en persoonsgegevens erkende rechten garanderen. Het is belangrijk dat mechanismen worden vastgesteld die op een duidelijke en transparante manier de persoonsgegevens definiëren die voor verwerking in aanmerking komen, het doel van de verwerking en de garanties die de betrokkenen ter beschikking staan (systemen voor de controle van de verwerkte informatie) alsmede de omstandigheden waarin en voorwaarden waaronder het maken van dergelijke bestanden geoorloofd is. Het document eindigt met een zeker aantal in acht te nemen aanbevelingen, inachtneming van het legitimiteitsbeginsel, bijwerking van de gegevens, het recht van de betrokkene op informatie (kennisgevingsprocedure), tussenkomstmechanismen voor de betrokkene, veiligheidsmaatregelen, etc.
2. RECHTSPRAAK VAN HET EUROPESE HOF VAN JUSTITIE – Rechtbank van eerste aanleg van de Europese Unie (2de kamer), arrest van 12 december 2006, 2006, Organisatie van Volksmujahedeen van Iran tegen Raad van de Europese Unie, Zaak T-228/02 Dit arrest is een antwoord op het verzoek van de Organisatie van Mujahedeen van het Iraanse volk tegen het gemeenschappelijk standpunt aangenomen door de Raad van de Europese Unie krachtens hetwelk deze organisatie op de lijst staat van groepen en entiteiten die ervan verdacht worden deel uit te maken van een "terroristische beweging" en waarvan naast andere maatregelen de fondsen moeten bevroren worden. In dit verband zij erop gewezen dat het Europees Hof voor de rechten van de mens weliswaar erkent dat het gebruik van vertrouwelijke informatie noodzakelijk kan blijken te zijn wanneer de nationale veiligheid op het spel staat, maar dat dit volgens hem niet betekent dat de nationale instanties aan elke controle van de nationale rechters ontsnappen, wanneer zij stellen dat de zaak met de nationale veiligheid of het terrorisme te
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
95
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 5)
maken heeft (zie EHRM, arrest Chahal v. Verenigd Koninkrijk, punt 135 supra, § 131, en de aldaar aangehaalde rechtspraak, en arrest Öcalan v. Turkije van 12 maart 2003, nr. 46221/99, (§ 156).
3. RECHTSPRAAK VAN HET EUROPEES HOF VOOR DE RECHTEN VAN DE MENS In talrijke arresten wordt vastgesteld dat er wordt binnengedrongen in de persoonlijke levenssfeer zonder dat daar een wettelijk basis voor is. Deze verschillende arresten - die diverse maatregelen en sectoren/initiatiefnemers betreffen - worden hieronder in chronologische orde opgesomd. – Klass en anderen t. Duitsland van 6 september 1978, serie A, nr. 28 (geen schending van het Verdrag). Wet die de geheime diensten machtigt om in het geheim toezicht te houden op de communicaties per post of telefoon. – Malone t. Verenigd Koninkrijk van 2 augustus 1984, serie A, nr. 82 (schending van artikel 8 van het Verdrag). Het onderscheppen van communicaties per post of per telefoon; leveren van inlichtingen verkregen via de "telling" van telefoons. – Kruslin t. Frankrijk van 24 april 1990, serie A, nr. 176-A, en Huvig t. Frankrijk van 24 april 1990, serie A, nr. 176-B (schending van artikel 8 van het Verdrag). Het afluisteren van telefoongesprekken door een officier van de gerechtelijke politie per rogatoire commissie van een onderzoeksrechter. – Niemietz t. Duitsland van 16 december 1992, serie A, nr. 251-B (schending van artikel 8 van het Verdrag). Huiszoeking in het kabinet van een advocaat in het kader van strafrechtelijke vervolging tegen een derde. – Funke t. Frankrijk van 25 februari 1993, serie A, nr. 256-A, Crémieux t. Frankrijk van 25 februari 1993, serie A, nr. 256-B, en Miailhe t. Frankrijk van 25 februari 1993, serie A, nr. 256-C (schending van artikel 8 van het Verdrag). Huisbezoeken en inbeslagnames uitgevoerd door de douane. – A. t. Frankrijk van 23 november 1993, serie A, nr. 277-B (schending van artikel 8 van het Verdrag). Clandestiene opname van een telefoongesprek door een particulier met medewerking van een hoge politiefunctionaris. – Murray t. Verenigd Koninkrijk van 28 oktober 1994, serie A, nr. 300-A (geen schending van het Verdrag). Betreffende een persoon verdacht van terrorisme, binnendringen en huiszoeking in zijn woonst met het oog op zijn arrestatie; inbewaringstelling van zijn persoonlijke gegevens en foto's zonder zijn toestemming. – Kopp t. Zwitserland van 25 maart 1998. de gebundelde arresten en vonnissen 1998-II (schending van artikel 8 van het Verdrag). Het afluisteren van de telefoonlijnen van een advocatenkabinet in opdracht van de procureur-generaal van de confederatie. – Valenzuela Contreras t. Spanje van 30 juli 1998; de gebundelde arresten- en vonnissenboek 1998-V (schending van artikel 8 van het Verdrag). Afluisteren van een privételefoonlijn in het kader van een strafrechtelijke procedure tegen de houder ervan. – Lambert t. Frankrijk van 24 augustus 1998, de gebundelde arresten en vonnissen 1998-V (schending van artikel 8 van het Verdrag). Arrest van het Hof van Cassatie dat aan een persoon elke bevoegdheid weigert kritiek te uiten over het feit dat zijn telefoongesprekken werden afgeluisterd met het motief dat het afluisteren gebeurde op de lijn van een derde. – Amann t. Zwitserland van 16 februari 2000, verzoek nr. 27798/95 (schending van de artikel 8 van het Verdrag). Opname van een telefoongesprek, maken van een bestand waarin gegevens worden opgeslagen door het openbaar ministerie. – Rotaru t. Roemenië van 4 mei 2000, verzoek nr. 28341/95 (schending van de artikelen 8 en 13 van het Verdrag). Het bewaren en gebruiken van persoonsgegevens en de onmogelijkheid om de exactheid ervan te bewijzen. Opmerking: dit arrest wordt frequent vermeld in de jurisprudentie en de rechtsleer. Hieronder worden de relevante tekstfragmenten uitgelicht: Het Hof herinnert eraan dat zowel het opslaan door de overheid van gegevens over het privéleven van een individu als het gebruik ervan en de mogelijkheid te weigeren om die gegevens te weerleggen, een inmenging is in het privéleven dat wordt gewaarborgd door artikel 8 § 1 van het Verdrag (Arrest Leander § 48, Kopp t. Zwitserland § 53 en Amann t. Zwitserland §§ 63 en 80). 47. Omdat hier een uitzondering wordt gemaakt op een recht dat door het Verdrag wordt gewaarborgd vereist deze paragraaf een strikte interpretatie. Hoewel het hof erkent dat in een democratische maatschappij het bestaan van inlichtingendiensten legitiem kan zijn, herinnert zij eraan dat het geheim toezicht op burgers, volgens het Verdrag slechts aanvaardbaar is wanneer dit strikt noodzakelijk is voor het behoud van de democratische instellingen. (Klass. § 42) 48. Opdat er geen schending zou zijn van artikel 8 moet dergelijke tussenkomst door een "wet worden bepaald", voor een doel van algemeen belang ten opzichte van paragraaf 2 en meer nog, noodzakelijk zijn om zijn doel te bereiken in een democratische samenleving (...) 52. Het Hof herinnert aan haar onveranderlijke jurisprudentie die stelt dat de woorden "bepaald door de wet" niet alleen vereist dat de gewraakte maatregel een basis moet hebben in het interne recht maar ook de kwaliteit van de wet in kwestie beogen: zo moet die toegankelijk en voorzienbaar zijn voor de rechtszoekende (Amann § 50). (...)
96
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 5)
54. Het Hof acht de vereiste van toegankelijkheid van de wet vervuld zodra de wet (...) werd gepubliceerd in het officieel journaal.(...) 55. Over de voorzienbaarheidsvereiste herinnert het Hof eraan dat een regel "voorzienbaar" is wanneer die in duidelijke taal is geschreven zodat het voor iedere persoon mogelijk is om met behulp van helder advies zijn handelwijze daaraan af te stellen. Het Hof benadrukt hoe belangrijk dit concept is bij het geheim toezicht: (vrije vertaling) "....het zinsdeel "bepaald door de wet" beperkt zich niet tot het intern recht, maar gaat ook over de kwaliteit van de "wet"; het moet verenigbaar zijn met de preëminentie van de wet, vermeld in de preambule van het Verdrag (...). Hieruit volgt dat - en dit blijkt uit het onderwerp en het doel van artikel 8 - dat het intern recht een zekere bescherming moet bieden tegen eigenmachtige inbreuken van de overheid op de door paragraaf 1 gewaarborgde rechten (...). Welnu, het gevaar op eigenmachtig optreden stelt zich bijzonder duidelijk daar waar de uitvoerende macht in het geheim handelt (...). Aangezien door de geheime toezichtmaatregel op communicaties zowel de betrokkene als het publiek geen controle meer hebben, gaat de "wet" in tegen de preëminentie van het recht wanneer de beoordelingsbevoegdheid die aan de executieve werd toegekend onbeperkt is. Bijgevolg moet de wet - rekening houdend met het gerechtvaardigd doel dat wordt nagestreefd - de omvang en de manier waarop dergelijke bevoegdheid wordt uitgeoefend klaar en duidelijk worden omschreven zodat aan het individu een passende bescherming kan worden geboden tegen eigenmachtig optreden". 56. De kwaliteit van de juridische regels moet worden onderzocht, meer bepaald moet worden nagegaan of het intern recht de voorwaarden waaronder de inlichtingendiensten informatie over het privéleven van de verzoeker kan opslaan en gebruiken, nauwkeurig genoeg heeft vastgesteld (...). 57. Welnu, er is geen enkele bepaling in het interne recht die de in acht te nemen beperkingen vaststelt bij de uitoefening van deze prerogatieven. Zo definieert de wet noch het soort informatie dat kan worden bewaard, noch de categorieën van personen die het voorwerp kunnen uitmaken van een toezichtmaatregel zoals de inzameling en bewaring van gegevens, noch de omstandigheden waaronder deze maatregelen kunnen worden genomen en ook niet de te volgen procedure. Ook legt deze wet geen beperking op inzake anciënniteit of bewaartermijn van de bijgehouden gegevens. (...) Het Hof merkt op dat dit artikel geen enkele uitdrukkelijke en gedetailleerde bepaling bevat over de personen die gemachtigd zijn om de dossiers te raadplegen, de aard van de dossiers, de te volgen procedure en het gebruik dat gemaakt kan worden van de verkregen informatie. (...). 59. Het Hof wil er zich ook van overtuigen dat er passende en toereikende garanties tegen misbruiken bestaan omdat een geheim toezichtsysteem dat bedoeld is om de nationale veiligheid te beschermen het risico met zich meebrengt dat de democratie met de bedoeling ze te verdedigen wordt ondermijnd en zelfs vernietigd (Klass §§ 49-50). De geheime toezichtsystemen zijn enkel verenigbaar met artikel 8 van het Verdrag als ze door de wet vastgestelde garanties bevatten, die van toepassing zijn bij de controle op de activiteiten van de betrokken diensten. De controleprocedures moeten zo goed mogelijk de waarden van een democratische samenleving eerbiedigen, meer bepaald de preëminentie van het recht waarnaar de preambule van het Verdrag uitdrukkelijk verwijst. Dit houdt onder meer in dat een executieve die inbreuk pleegt op de rechten van het individu onderworpen is aan een doeltreffende controle, dat normaal gezien wordt verzekerd - ten minste als laatste middel - door de rechterlijke macht omdat die de beste garanties op onafhankelijkheid, onpartijdigheid en regelmatige procedure kunnen bieden (Klass, § 55). – Khan t. Verenigd Koninkrijk van 12 mei 2001, verzoek nr. 35394/97 (schending van artikel 8 van het Verdrag). Het ontbreken van een wettelijke basis voor het afluisteren van een gesprek met behulp van een afluisterapparaat dat werd geïnstalleerd in een privéwoning – P.G. en J.H. t. Verenigd Koninkrijk van 25 september 2001, verzoek nr. 4487/98 (schending van de artikelen 8 en 13 van het Verdrag). Het ontbreken van een wettelijke basis voor de installatie van een afluisterapparaat in een privéwoning en voor het gebruik van verborgen afsluiterapparatuur op een politiekantoor om stemstalen te registreren; het verkrijgen van informatie door de politie over het privégebruik van de telefoon. – Armstrong t. Verenigd Koninkrijk van 19 maart 2002, verzoek nr. 48521/99 (schending van de artikelen 8 en 13 van het Verdrag). Veroordeling voor dealen van drugs, gebaseerd op bewijzen die werden bekomen tijdens een geheime bewakingsoperatie die erin bestond gesprekken te observeren en te registreren op het thuisadres. – Taylor-Sabori t. Verenigd Koninkrijk van 22 oktober 2002, verzoek nr. 47114/99 (schending van de artikelen 8 en 13 van het Verdrag). Onderscheppen door de politie van de berichten die geregistreerd stonden op de beeper van de verzoeker en het gebruik ervan op zijn proces. – Allan t. Verenigd Koninkrijk van 5 november 2002, verzoek nr. 48539/99 (schending van de artikelen 6, 8 en 13 van het Verdrag). Het toepassen van geheime bewaking via audiovisuele middelen in een cel en in de bezoekruimte van de gevangenis. – Perry t. Verenigd Koninkrijk van 17 juli 2003, verzoek nr. 63737/00 (schending van artikel 8 van het Verdrag). Cameraregistratie door de politie voor identificatie- en vervolgingsdoeleinden. – Matheron t. Frankrijk van 29 maart 2005, verzoek nr. 57752/00. De verzoeker roept artikel 8 in (recht op eerbiediging van het privéleven) van het Verdrag voor de toevoeging in zijn dossier van een kopie van afgeluisterde telefoongesprekken die gebeurden in het kader van een procedure waar hij geen deel van uitmaakte en waarvan hij de regelmatigheid niet heeft kunnen betwisten.
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
97
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 6)
– Vetter t. Frankrijk van 31 mei 2005, verzoek nr. 5984/00. Dient klacht in onder artikel 8 (recht op eerbiediging van het privéleven) en artikel 6 § 1 (recht op een rechtvaardig proces). – Antunes Rocha t. Portugal van 31 mei 2005, verzoek nr. 64330/01. Dient klacht in onder artikel 6 § 1 (recht op een rechtvaardig proces) en artikel 8 (recht op eerbiediging van het privé- en het gezinsleven). – Wisse t. Frankrijk van 20 december 2005, verzoek nr. 71611/01. Onder het inroepen van artikel 8 van het Verdrag (recht op eerbiediging van het gezins- en privéleven), beweren de verzoekers dat de registratie van hun gesprekken in de bezoekersruimte van de gevangenis een schending is van hun recht op een gezins- en privéleven. – Turek t. Slovakije van 14 februari 2006, verzoek nr. 57986/00. De verzoeker klaagt erover dat hij is geregistreerd als medewerker van het vroeger Tsjecho-Slowaaks communistisch veiligheidsbureau, over de uitgifte van een veiligheidsbevoegdheid en het feit dat zijn actie om zijn inschrijving als medewerker in vraag te stellen werd afgewezen. Hij roept de artikelen 8 (recht op eerbiediging van het gezins- en privéleven) en 6 § 1 (recht op een rechtvaardig proces) in – Gabrielle Weber en Cesar Richard Sarava t. Duitsland van 29 juni 2006, verzoek nr. 54934/00. Provisies op de wet voor de criminaliteitsbestrijding die inbreuk maken op het recht van de verzoekers op eerbiediging van hun privéleven en briefgeheim. – L.L. t. Frankrijk van 10 oktober 2006, nr. 7508/02 (schending van artikel 8). Niet-naleving van het medisch geheim. Bekendmaken door het Franse Hof van Beroep van persoonlijke, medische gegevens over de verzoeker. – Association for European integration and human rights and Ekimdzhiev t. Bulgarije van 28 juni 2007: terrorismebestrijding - wetgeving - inbreuken op de persoonlijke levenssfeer - onafhankelijke controle.
Art. 6. }1[§ 1. De verwerking van persoonsgegevens waaruit de raciale of etnische afkomst, de politieke opvattingen, de godsdienstige of levensbeschouwelijke overtuiging of het lidmaatschap van een vakvereniging blijken, alsook de verwerking van persoonsgegevens die het seksuele leven betreffen, is verboden. § 2. Het verbod om de in § 1 van dit artikel bedoelde persoonsgegevens te verwerken, is niet van toepassing in een van de volgende gevallen: a) wanneer de betrokkene schriftelijk heeft toegestemd in een dergelijke verwerking met dien verstande dat deze toestemming te allen tijde door de betrokkene kan worden ingetrokken; de Koning kan, bij een in ministerraad overlegd besluit na advies van de Commissie voor de bescherming van de persoonlijke levenssfeer, bepalen in welke gevallen het verbod om de in dit artikel bedoelde gegevens te verwerken niet door de schriftelijke toestemming van de betrokkene ongedaan kan worden gemaakt; b) wanneer de verwerking noodzakelijk is met het oog op de uitvoering van de specifieke verplichtingen en rechten van de verantwoordelijke voor de verwerking met betrekking tot het arbeidsrecht; c) wanneer de verwerking noodzakelijk is ter verdediging van de vitale belangen van de betrokkene of van een andere persoon indien de betrokkene fysiek of juridisch niet in staat is zijn instemming te getuigen; d) wanneer de verwerking wordt verricht door een stichting, een vereniging of enige andere instantie zonder winstoogmerk die op politiek, levensbeschouwelijk, godsdienstig, mutualistisch of vakbondsgebied werkzaam is, in het kader van haar gerechtvaardigde activiteiten, mits de verwerking uitsluitend betrekking heeft op de leden van de stichting, de vereniging of de instantie of op de personen die in verband met haar streefdoelen regelmatige contacten met haar onderhouden, en de gegevens niet zonder de toestemming van de betrokkenen aan derden worden doorgegeven; e) wanneer de verwerking betrekking heeft op gegevens die duidelijk door de betrokkene openbaar zijn gemaakt;
98
f) wanneer de verwerking noodzakelijk is voor de vaststelling, de uitoefening of de verdediging van een recht in rechte; g) wanneer de verwerking noodzakelijk is voor het wetenschappelijk onderzoek en verricht wordt onder de voorwaarden vastgesteld door de Koning bij een in ministerraad overlegd besluit, na advies van de Commissie voor de bescherming van de persoonlijke levenssfeer; h) wanneer de verwerking noodzakelijk is voor de verwezenlijking van een doelstelling vastgesteld door of krachtens de wet met het oog op de toepassing van de sociale zekerheid; i) wanneer de verwerking wordt verricht in uitvoering van de wet van 4 juli 1962 betreffende de openbare statistiek; j) wanneer de verwerking noodzakelijk is voor de doeleinden van preventieve geneeskunde of medische diagnose, het verstrekken van zorg of behandelingen aan de betrokkene of een verwant, of het beheer van gezondheidsdiensten handelend in het belang van de betrokkene en de gegevens worden verwerkt onder het toezicht van een beroepsbeoefenaar in de gezondheidszorg; k) wanneer de verwerking door verenigingen met rechtspersoonlijkheid of instellingen van openbaar nut die als hoofddoel de verdediging van de rechten van de mens en van de fundamentele vrijheden hebben, verricht wordt voor de verwezenlijking van dat doel, op voorwaarde dat voor de verwerking een machtiging is verleend door de Koning bij een in ministerraad overlegd besluit, na advies van de Commissie voor de bescherming van de persoonlijke levenssfeer; l) wanneer de verwerking van de persoonsgegevens bedoeld in § 1 om een andere belangrijke reden van publiek belang door een wet, een decreet of een ordonnantie wordt toegelaten. In het geval bedoeld onder j) zijn de beroepsbeoefenaar in de gezondheidszorg en zijn aangestelden of gemachtigden tot geheimhouding verplicht. § 3. Onverminderd de toepassing van de artikelen 7 en 8 van deze wet is de verwerking van persoonsgegevens die het seksuele leven betreffen, toegestaan wanneer de ver-
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 6)
werking wordt verricht door een vereniging met rechtspersoonlijkheid of door een instelling van openbaar nut met als statutair hoofddoel de evaluatie, de begeleiding en de behandeling van personen van wie het seksueel gedrag gekwalificeerd kan worden als een misdrijf en die voor de verwezenlijking van dat doel door de bevoegde overheid worden erkend en gesubsidieerd; voor dergelijke verwerkingen, waarvan de bedoeling moet bestaan in de evaluatie, begeleiding en behandeling van de in deze paragraaf bedoelde personen en de verwerking uitsluitend persoonsgegevens betreft die, wanneer ze het seksueel leven betreffen, enkel betrekking hebben op laatstgenoemde personen, moet door de Koning bij een in een ministerraad overlegd besluit, na advies van de Commissie voor de bescherming van de persoonlijke levenssfeer, een bijzondere, individuele machtiging worden verleend.
Het in deze paragraaf bedoelde besluit preciseert de duur van de machtiging, de modaliteiten voor de controle van de gemachtigde vereniging of instelling door de bevoegde overheid en de wijze waarop door deze overheid aan de Commissie voor de persoonlijke levenssfeer verslag moet worden uitgebracht over de verwerking van persoonsgegevens in het kader van de verleende machtiging. § 4. De Koning legt bij een in ministerraad overlegd besluit, na advies van de Commissie voor de bescherming van de persoonlijke levenssfeer de bijzondere voorwaarden op waaraan de verwerking van de in dit artikel bedoelde persoonsgegevens moet voldoen.]1 }1. – Vervangen bij art. 9 wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001)
GEVOELIGE PERSOONSGEGEVENS Overtreden strafbaar gesteld: zie art. 39; 3°, 40 en 41 WVP PRINCIPE: VERBOD VERWERKING
§ 1 Gevoelige persoonsgegevens, principe: verbod verwerking 1. INTERNATIONALE WETGEVING – Guidelines of the United Nations for the Regulation of Computerized Personal Data Files (1990) - (5) Principle of non-discrimination: Subject to cases of exceptions restrictively envisaged under principle 6, data likely to give rise to unlawful or arbitrary discrimination, including information on racial or ethnic origin, colour, sex life, political opinions, religious, philosophical and other beliefs as well as membership of an association or trade union, should not be compiled. – Artikel 6 van het Verdrag nr. 108 van de Raad van Europa tot bescherming van personen ten opzichte van de geautomatiseerde verwerking van persoonsgegevens (1981): persoonsgegevens waaruit ras, politieke overtuiging, godsdienstige of andere levensbeschouwing blijkt, alsmede die welke betrekking hebben op gezondheid of seksueel gedrag, mogen niet langs geautomatiseerde weg worden verwerkt, tenzij het interne recht passende waarborgen ter zake biedt. Hetzelfde geldt voor persoonsgegevens over strafrechtelijke veroordelingen. – Explanatory Report of the Convention n°108 - (punten 43 tot 48): 43. While the risk that data processing is harmful to persons generally depends not on the contents of the data but on the context in which they are used, there are exceptional cases where the processing of certain categories of data is as such likely to lead to encroachments on individual rights and interests. Categories of data which in all member States are considered to be especially sensitive are listed in this article. 44. The expression "revealing ... political opinions, religious or other beliefs" covers also activities resulting from such opinions or beliefs. 48. The list of this article is not meant to be exhaustive. A Contracting State may, in conformity with Article 11, include in its domestic law other categories of sensitive data, the processing of which is prescribed or restricted. The degree of sensitivity of categories of data depends on the legal and sociological context of the country concerned. Information on trade union membership for example may be considered to entail as such a privacy risk in one country, whereas in other countries it is considered sensitive only in so far as it is closely connected with political or religious views. – Artikel 8 § 1 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): de Lid-Staten verbieden de verwerking van persoonlijke gegevens waaruit de raciale of etnische afkomst, de politieke opvattingen, de godsdienstige of levensbeschouwelijke overtuiging, of het lidmaatschap van een vakvereniging blijkt, alsook de verwerking van gegevens die de gezondheid of het seksuele leven betreffen. – Overweging 33 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): overwegende dat gegevens die wegens hun aard op de fundamentele vrijheden of op de persoonlijke levenssfeer inbreuk kunnen maken zonder uitdrukkelijke toestemming van de betrokkene niet het voorwerp van verwerking mogen zijn; dat evenwel uitdrukkelijk moet worden voorzien in afwijkingen van dit verbod om aan specifieke behoeften te voldoen (...).
2. ADVIEZEN VAN DE GROEP 29 – Groep 29, Advies 5/2009 over online sociale netwerken (12 juni 2009, WP 163): gegevens waaruit iemands raciale of etnische afkomst, politieke opvattingen, godsdienstige of levensbeschouwelijke overtuiging of vak-
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
99
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 6)
bondslidmaatschap blijkt of betreffende iemands gezondheid of seksleven worden als gevoelig beschouwd. Gevoelige gegevens mogen alleenop internet worden gezet met de uitdrukkelijke toestemming van de betrokkene, of als de betrokkene zelf de gegevens kennelijk openbaar heeft gemaakt. In sommige Lid-Staten van de EU worden afbeeldingen van personen als een speciale categorie persoonsgegevens beschouwd, aangezien deze gebruikt kunnen worden om raciale of etnische afkomst te onderscheiden of om religieuze overtuiging of gezondheidstoestand eruit af te leiden. De Groep beschouwt afbeeldingen op internet in het algemeen niet als gevoelige gegevens, tenzij die afbeeldingen duidelijk worden gebruikt om gevoelige gegevens over personen te doen blijken. Sociale netwerkdiensten mogen, als voor de verwerking verantwoordelijken, geen gevoelige gegevens over hun leden of andere personen verwerken zonder de uitdrukkelijke toestemming van de betrokkene. Indien een sociale netwerkdienst in het formulier voor het opstellen van een profiel vragen stelt betreffende gevoelige gegevens, moet zeer duidelijk worden aangegeven dat het beantwoorden van die vragen volstrekt vrijwillig is. – Groep 29, Advies 2/2010 over online reclame op basis van surfgedrag (‘behavioural advertising’) (WP 171 – 22 juni 2010): de Groep herinnert eraan dat de gegevens over raciale of etnische afkomst, politieke opvattingen, godsdienstige of levensbeschouwelijke overtuigingen, lidmaatschap van vakverenigingen of gegevens betreffende gezondheid of het seksuele leven, worden beschouwd als gevoelig ex artikel 8 van Richtlijn 95/46/ EG. De Groep gegevensbescherming artikel 29 meent dat er een groot gevaar is dat dergelijke persoonsgegevens worden misbruikt als ze worden verwerkt ten behoeve van reclame op basis van surfgedrag. Elke mogelijke poging betrokkenen als doelgroep te benaderen aan de hand van gevoelige informatie kan aanleiding geven tot misbruik. Ook moet het aanbieden/gebruiken van interessecategorieën die gevoelige gegevens betreffen, worden ontraden, omdat particulieren in verlegenheid kunnen worden gebracht door reclame die bijvoorbeeld hun seksuele voorkeur of hun politieke activiteiten onthult.
3. VERSLAGEN EN STUDIES VAN DE RAAD VAN EUROPA – Raad van Europa, Revisiting Sensitive Data (1999), by M. Spiros SIMITIS
4. RECHTSPRAAK VAN HET EUROPEES HOF VOOR DE RECHTEN VAN DE MENS – K.U. t. Finland, van 2 december 2008, verzoek nr. 2872/02. De eiser maakt zijn beklag over het feit dat over hem een seksueel getint bericht werd gepubliceerd op een datingsite en dat de Finse wetgeving die toen van toepassing was de politie en de rechtbanken niet toeliet om de toegangsleverancier te verplichten de auteur van het bericht te identificeren. Hij beroept zich op de artikelen 8 (recht op eerbiediging van het privé- en gezinsleven) en 13 (recht op een daadwerkelijk beroep). UITZONDERINGEN OP HET VERBOD VAN HET VERWERKEN VAN GEVOELIGE GEGEVENS
§ 2 Uitzonderingen op het verbod van het verwerken van gevoelige gegevens: inleiding 1. INTERNATIONALE WETGEVING – Guidelines of the United Nations for the Regulation of Computerized Personal Data Files (1990) - (6 § 2) Power to make exceptions: Exceptions to principle 5 relating to the prohibition of discrimination, in addition to being subject to the same safeguards as those prescribed for exceptions to principles I and 4, may be authorized only within the limits prescribed by the International Bill of Human Rights and the other relevant instruments in the field of protection of human rights and the prevention of discrimination. De afwijkingen op beginsel 5 betreffende het verbod op discriminatie (gegevens betreffende het ras, etnische afkomst, politieke- en geloofsovertuigingen, etc.) kunnen, naast het feit dat zij onderhevig zijn aan dezelfde waarborgen als deze die voorzien werden voor de afwijkingen op de beginsels 1 tot 4 - namelijk dat zij alleen kunnen worden toegestaan als zijn noodzakelijk zijn voor de bescherming van de nationale veiligheid, de openbare orde, de volksgezondheid of welzijn maar ook de rechten en vrijheden van de anderen, in het bijzonder vervolgde personen (humanitaire clausule) mits deze afwijkingen uitdrukkelijk zijn voorzien door een gelijkwaardige wet of reglementering die werd goedgekeurd conform het intern juridisch systeem die daarvoor uitdrukkelijk de beperkingen vaststelt en de gepaste waarborgen aankondigt -, alleen toegestaan worden binnen de beperkingen voorzien in het Internationaal Handvest voor rechten van de mens en de andere relevante instrumenten op vlak van bescherming van de mensenrechten en de discriminatiebestrijding. – Artikel 9 1) en 2) van het Verdrag nr. 108 van de Raad van Europa tot bescherming van personen ten opzichte van de geautomatiseerde verwerking van persoonsgegevens (1981): van het in de artikelen 5 (kwaliteit van de gegevens), 6 (bijzondere categorieën gegevens) en 8 van, dit Verdrag bepaalde kan worden afgeweken, indien de wet in een dergelijke afwijking voorziet en het hier een maatregel betreft die in een democratische samenleving noodzakelijk is ten behoeve van: - de bescherming van de veiligheid van de Staat, de openbare veiligheid, de geldelijke belangen van de Staat of de bestrijding van strafbare feiten; - de bescherming van de betrokkene en van de rechten en vrijheden van anderen.
100
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 6)
– International Standards on the Protection of Personal Data and Privacy (2009) (The Madrid Resolution): resolutie goedgekeurd op 5 november 2009 door de Internationale Conferentie van de commissarissen voor de bescherming van gegevens en de privacy. Principe nr. 13 : Sensitive data: 1. The following personal data shall be deemed to be sensitive: a. Data which affect the data subject’s most intimate sphere; or b. Data likely to give rise, in case of misuse, to: i. Unlawful or arbitrary discrimination; or ii A serious risk to the data subject.. 2. In particular, those personal data which can reveal aspects such as racial or ethnic origin, political opinions, or religious or philosophical beliefs as well as those data relating to health or sex life, will be considered sensitive data. The applicable national legislation may lay down other categories of sensitive data where the conditions referred to in the previous paragraph are met. 3. Due guarantees shall be established to preserve the rights of the data subjects by applicable national legislation, which shall lay down additional conditions for processing sensitive personal data.
2. ADVIES VAN DE GROEP 29 – Groep 29, Advies 2/2010 over online reclame op basis van surfgedrag (‘behavioural advertising’) (WP 171 – 22 juni 2010): de Groep benadrukt dat de verwerking van gevoelige gegevens de uitzondering moeten zijn of op zijn minst moet worden ontraden en dat als aanbieders van advertentienetwerken desalniettemin interessecategorieën met gevoelige informatie aanbieden en gebruiken, ze artikel 8 van Richtlijn 95/46/EG moeten naleven. Wanneer bijvoorbeeld een aanbieder van een advertentienetwerk bepaald surfgedrag verwerkt om een betrokkene onder te brengen in een interessecategorie waarmee een seksuele voorkeur wordt aangeduid, dan verwerkt hij, krachtens artikel 8 van Richtlijn 95/46/EG, gevoelige gegevens. Dit artikel verbiedt de verwerking van gevoelige gegevens, behalve in specifieke omstandigheden. De enige rechtsgrond voor de verwerking van deze gegevens is uitdrukkelijke, afzonderlijke voorafgaande opt-intoestemming ex artikel 8, lid 2, onder a). Het vereiste van een afzonderlijke voorafgaande indicatie van de instemming van betrokkene betekent dat een opt-outtoestemmingsmechanisme in geen geval van rechtswege voldoet. Het betekent ook dat dergelijke toestemming niet door middel van browserinstellingen kan worden verkregen. Om dergelijke informatie wettig te verzamelen en te verwerken, zouden aanbieders van advertentienetwerken mechanismen moeten opzetten om uitdrukkelijke voorafgaande toestemming te verkrijgen, los van andere toestemming die voor verwerking in het algemeen wordt verkregen. – De uitzonderingen voorzien door de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, worden hieronder gedetailleerd. BIJ SCHRIFTELIJKE TOESTEMMING DIE STEEDS INTREKBAAR IS
§ 2, lid 1, a), bij schriftelijke toestemming die steeds intrekbaar is 1. KONINKLIJK BESLUIT VAN 13 FEBRUARI 2001 – Artikel 26 van het Koninklijk besluit van 13 februari 2001 ter uitvoering van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (2001): Indien de verwerking van persoonsgegevens bedoeld in de artikelen 6 en 7 van de wet uitsluitend is toegestaan op grond van de schriftelijke toestemming van de betrokken persoon, moet de verantwoordelijke voor de verwerking hem, naast de gegevens overeenkomstig artikel 9 van de wet, vooraf de redenen van die verwerking mededelen, alsmede de lijst van de categorieën van personen die toegang hebben tot de persoonsgegevens. – Artikel 27 van het Koninklijk besluit van 13 februari 2001 ter uitvoering van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (2001): Indien de verwerking van persoonsgegevens bedoeld in de artikelen 6 en 7 van de wet uitsluitend is toegestaan op grond van de schriftelijke toestemming van de betrokken persoon, is die verwerking verboden indien de verantwoordelijke voor de verwerking de huidige of potentiële werkgever van betrokkene is of indien de betrokken persoon zich ten aanzien van de verantwoordelijke voor de verwerking in een afhankelijke positie bevindt, wat hem belet vrij zijn toestemming te verlenen. Dit verbod wordt opgeheven wanneer de verwerking erop gericht is de betrokken persoon een voordeel te verstrekken. Zie ook artikel 25 van het Koninklijk besluit van 13 februari 2001 ter uitvoering van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (2001): dat bijkomende voorwaarden oplegt voor dergelijke gegevensverwerkingen: Bij de verwerking van persoonsgegevens bedoeld in de artikelen 6 tot 8 van de wet, moet de verantwoordelijke voor de verwerking bovendien de volgende maatregelen nemen: 1° hij of, in voorkomend geval, de verwerker moet de categorieën van personen die de persoonsgegevens kunnen raadplegen, aanwijzen waarbij hun hoedanigheid ten opzichte van de verwerking van de betrokken gegevens nauwkeurig moet worden omschreven; 2° hij of, in voorkomend geval, de verwerker moet de lijst van de aldus aangewezen categorieën van personen ter beschikking houden van de Commissie;
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
101
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 6)
3° hij moet ervoor zorgen dat de aangewezen personen door een wettelijke of statutaire verplichting, of door een evenwaardige contractuele bepaling ertoe gehouden zijn het vertrouwelijk karakter van de betrokken gegevens in acht te nemen; 4° hij moet in de kennisgeving die krachtens artikel 9 van de wet aan de betrokken persoon moet worden gedaan of in de aangifte, bedoeld in artikel 17, § 1, van de wet, melding maken van de wet of verordening op grond waarvan de verwerking van persoonsgegevens, bedoeld in de artikelen 6 tot 8 van de wet, is toegestaan.
2. INTERNATIONALE WETGEVING – Artikel 8 § 2 a) van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): lid 1 (De Lid-Staten verbieden de verwerking van persoonlijke gegevens waaruit de raciale of etnische afkomst, de politieke opvattingen, de godsdienstige of levensbeschouwelijke overtuiging, of het lidmaatschap van een vakvereniging blijkt, alsook de verwerking van gegevens die de gezondheid of het seksuele leven betreffen) is niet van toepassing wanneer de betrokkene uitdrukkelijk heeft toegestemd in een dergelijke verwerking, tenzij in de wetgeving van de Lid-Staat is bepaald dat het in lid 1 bedoelde verbod niet door toestemming van de betrokkene ongedaan kan worden gemaakt. – Overweging 70 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): overwegende dat er geen aanleiding toe is dat de betrokkene de voor de verwerking verantwoordelijke opnieuw toestemming geeft om na de inwerkingtreding van de nationale bepalingen die op grond van deze Richtlijn zijn vastgesteld een verwerking van gevoelige gegevens te blijven uitvoeren die nodig is voor de uitvoering van een overeenkomst die op basis van vrije en geïnformeerde toestemming is gesloten vóór de inwerkingtreding van voornoemde bepalingen.
3. ADVIEZEN VAN DE GROEP 29 – Groep 29, Working Document 1/2009 on pre-trial discovery for cross border civil litigation (11 februari 2009, WP 158): where the information in question is sensitive personal data, a ground for processing under Article 8 of the Directive must be found. Instead, the appropriate ground would be to rely on the explicit consent of the data subject under Article 8(a) or where the processing is necessary for the establishment, exercise or defence or legal claims under Article 8(e). There may be specific requirements in the different Member States relating to the processing and transfer of personal data overseas with which there would need to be compliance by the data controller. Data protection is not the only issue surrounding the use of an individual's personal data. Where, for example, the personal data sought is health data, there may be other duties of confidentiality between doctor and patient. There may also be other requirements of secrecy or subsisting duties of confidentiality in relation to the information, for example legal professional privilege between lawyer and client or the secrecy of confession to a priest. In addition there may be legal protection for certain types of information, e.g. the e-Privacy Directive. In those circumstances it may not be fair or lawful to process that personal data in a way that is incompatible with the other obligations. Furthermore violations of telecommunications secrecy may carry criminal sanctions in a number of Member States. ARBEIDSRECHTERLIJKE VERPLICHTING
§ 2, lid 1, b), Arbeidsrechterlijke verplichting INTERNATIONALE WETGEVING – Artikel 8 § 2 b) van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): lid 1 (De Lid-Staten verbieden de verwerking van persoonlijke gegevens waaruit de raciale of etnische afkomst, de politieke opvattingen, de godsdienstige of levensbeschouwelijke overtuiging, of het lidmaatschap van een vakvereniging blijkt, alsook de verwerking van gegevens die de gezondheid of het seksuele leven betreffen) is niet van toepassing wanneer de verwerking noodzakelijk is met het oog op de uitvoering van de verplichtingen en de rechten van de voor de verwerking verantwoordelijke inzake arbeidsrecht, voor zover zulks is toegestaan bij de nationale wetgeving en deze adequate garanties biedt. VITAAL BELANG
§ 2, lid 1, c), Verdediging vitale belangen INTERNATIONALE WETGEVING – Artikel 8 § 2 c) van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): lid 1 (De Lid-Staten verbieden de verwerking van persoonlijke gegevens waaruit de raciale of etnische afkomst, de politieke opvattingen, de godsdienstige of levensbeschouwelijke overtuiging, of het lidmaatschap van een vakvereniging blijkt, alsook de verwerking van gegevens die de gezondheid of het seksuele leven betreffen)
102
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 6)
is niet van toepassing wanneer de verwerking noodzakelijk is ter verdediging van de vitale belangen van de betrokkene of van een andere persoon indien deze lichamelijk of juridisch niet in staat is van zijn instemming te getuigen – Overweging 31 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): overwegende dat de verwerking van persoonsgegevens ook als geoorloofd moet worden beschouwd wanneer zij wordt uitgevoerd ter bescherming van een belang dat voor het leven van de betrokkene essentieel is. PERSOONSGEGEVENS
§ 2, lid 1, d), Persoonsgegevens leden vereniging INTERNATIONALE WETGEVING – Artikel 8 § 2 d) van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): lid 1 (De Lid-Staten verbieden de verwerking van persoonlijke gegevens waaruit de raciale of etnische afkomst, de politieke opvattingen, de godsdienstige of levensbeschouwelijke overtuiging, of het lidmaatschap van een vakvereniging blijkt, alsook de verwerking van gegevens die de gezondheid of het seksuele leven betreffen) is niet van toepassing wanneer de verwerking wordt verricht door een stichting, een vereniging, of enige andere instantie zonder winstoogmerk die op politiek, levensbeschouwelijk, godsdienstig of vakbondsgebied werkzaam is, in het kader van hun gerechtvaardigde activiteiten en met de nodige garanties, mits de verwerking uitsluitend betrekking heeft op de leden van de stichting, de vereniging of de instantie of op de personen die in verband met haar streefdoelen regelmatige contacten met haar onderhouden, en de gegevens niet zonder de toestemming van de betrokkenen aan derden worden doorgegeven. ZELF DUIDELIJK GEOPENBAARDE GEGEVENS
§ 2, lid 1, e), Zelf duidelijk geopenbaarde gegevens INTERNATIONALE WETGEVING – Artikel 8 § 2 e) van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): lid 1 (De Lid-Staten verbieden de verwerking van persoonlijke gegevens waaruit de raciale of etnische afkomst, de politieke opvattingen, de godsdienstige of levensbeschouwelijke overtuiging, of het lidmaatschap van een vakvereniging blijkt, alsook de verwerking van gegevens die de gezondheid of het seksuele leven betreffen) is niet van toepassing wanneer de verwerking betrekking heeft op gegevens die duidelijk door de betrokkene openbaar zijn gemaakt of noodzakelijk is voor de vaststelling, de uitoefening of de verdediging van een recht in rechte. TER VERDEDIGING IN RECHTE
§ 2, lid 1, f), Ter verdediging in rechte 1. INTERNATIONALE WETGEVING – Artikel 8 § 2 f) van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): lid 1 (De Lid-Staten verbieden de verwerking van persoonlijke gegevens waaruit de raciale of etnische afkomst, de politieke opvattingen, de godsdienstige of levensbeschouwelijke overtuiging, of het lidmaatschap van een vakvereniging blijkt, alsook de verwerking van gegevens die de gezondheid of het seksuele leven betreffen) is niet van toepassing wanneer de verwerking betrekking heeft op gegevens die duidelijk door de betrokkene openbaar zijn gemaakt of noodzakelijk is voor de vaststelling, de uitoefening of de verdediging van een recht in rechte.
2. ADVIEZEN VAN DE GROEP 29 – Groep 29, Working Document 1/2009 on pre-trial discovery for cross border civil litigation (11 februari 2009, WP 158): where the information in question is sensitive personal data, a ground for processing under Article 8 of the Directive must be found. Instead, the appropriate ground would be to rely on the explicit consent of the data subject under Article 8(a) or where the processing is necessary for the establishment, exercise or defence or legal claims under Article 8(e). There may be specific requirements in the different Member States relating to the processing and transfer of personal data overseas with which there would need to be compliance by the data controller. Data protection is not the only issue surrounding the use of an individual's personal data. Where, for example, the personal data sought is health data, there may be other duties of confidentiality between doctor and patient. There may also be other requirements of secrecy or subsisting duties of confidentiality in relation to the information, for example legal professional privilege between lawyer and client or the secrecy of confession to a priest. In addition there may be legal protection for certain types of information, e.g. the e-Privacy Directive. In those circumstances it may not be fair or lawful to process that personal data in a way that is incompatible with the other obligations. Furthermore violations of telecommunications secrecy may carry criminal sanctions in a number of Member States.
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
103
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 6)
WETENSCHAPPELIJK ONDERZOEK
§ 2, lid 1, g), Wetenschappelijk onderzoek RECHTSPRAAK VAN HET EUROPEES HOF VOOR DE RECHTEN VAN DE MENS – Gillberg t. Zweden van 2 november 2010 (verzoek nr. 41723/06). De strafrechtelijke veroordeling van een professor omdat hij weigerde toegang te verlenen tot de onderzoeken die werden gevoerd op een hyperactief kind was gerechtvaardigd – verzoek om toegang van andere onderzoekers – wetenschappelijk onderzoek – garanties op vertrouwelijkheid van de patiëntengegevens – verdere verwerking SOCIALE ZEKERHEID
§ 2, lid 1, h), Sociale zekerheid INTERNATIONALE WETGEVING – Zie ook Recommendation No.R(86)1 of the Committee of Ministers to Member States on the protection of personal data used for social security purposes (1986). OPENBARE STATISTIEK
§ 2, lid 1, i), Openbare statistiek VERWIJZING NAAR ANDERE WETGEVING – Zie Wet van 4 juli 1962 betreffende de openbare statistiek, B.S., 20 juli 1962. GENEESKUNDE
§ 2, lid 1, j), Geneeskunde INTERNATIONALE WETGEVING – Artikel 8 § 3 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): lid 1 (De Lid-Staten verbieden de verwerking van persoonlijke gegevens waaruit de raciale of etnische afkomst, de politieke opvattingen, de godsdienstige of levensbeschouwelijke overtuiging, of het lidmaatschap van een vakvereniging blijkt, alsook de verwerking van gegevens die de gezondheid of het seksuele leven betreffen) is niet van toepassing wanneer de verwerking van de gegevens noodzakelijk is voor de doeleinden van preventieve geneeskunde of medische diagnose, het verstrekken van zorg of behandelingen of het beheer van gezondheidsdiensten en wanneer die gegevens worden verwerkt door een gezondheidswerker die onderworpen is aan het in de nationale wetgeving, of in de door nationale bevoegde instanties vastgestelde regelgeving, vastgelegde beroepsgeheim of door een andere persoon voor wie een gelijkwaardige geheimhoudingsplicht geldt. VOOR PUBLIEK BELANG DOOR WET
§ 2, lid 1, l), Voor publiek belang door wet INTERNATIONALE WETGEVING – Artikel 8 § 4 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): mits passende waarborgen worden geboden, mogen de Lid-Staten om redenen van zwaarwegend algemeen belang bij nationale wet of bij een besluit van de toezichthoudende autoriteit nog andere afwijkingen naast die bedoeld in lid 2 (toestemming, arbeidsrechterlijke verplichting, verdediging van de vitale belangen, gerechtvaardigde activiteiten van een stichting, zelf duidelijk geopenbaarde gegevens) vaststellen. GEHEIMHOUDINGSPLICHT GENEESKUNDE
§ 2, lid 2, Geheimhoudingsplicht geneeskunde INTERNATIONALE WETGEVING – Artikel 8 § 3 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): lid 1 (De Lid-Staten verbieden de verwerking van persoonlijke gegevens waaruit de raciale of etnische afkomst, de politieke opvattingen, de godsdienstige of levensbeschouwelijke overtuiging, of het lidmaatschap van een vakvereniging blijkt, alsook de verwerking van gegevens die de gezondheid of het seksuele leven betreffen.) is niet van toepassing wanneer de verwerking van de gegevens noodzakelijk is voor de doeleinden van preventieve geneeskunde of medische diagnose, het verstrekken van zorg of behandelingen of het beheer van gezondheidsdiensten en wanneer die gegevens worden verwerkt door een gezondheidswerker die onderworpen is aan
104
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 7)
het in de nationale wetgeving, of in de door nationale bevoegde instanties vastgestelde regelgeving, vastgelegde beroepsgeheim of door een andere persoon voor wie een gelijkwaardige geheimhoudingsplicht geldt. – Overweging 33 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): overwegende dat gegevens die wegens hun aard op de fundamentele vrijheden of op de persoonlijke levenssfeer inbreuk kunnen maken zonder uitdrukkelijke toestemming van de betrokkene niet het voorwerp van verwerking mogen zijn; dat evenwel uitdrukkelijk moet worden voorzien in afwijkingen van dit verbod om aan specifieke behoeften te voldoen, met name wanneer de gegevensverwerking wordt gebruikt voor gezondheidsdoeleinden door personen voor wie een beroepsgeheim geldt, of voor het uitvoeren van wettige activiteiten door bepaalde verenigingen of stichtingen (...). BIJZONDERE VOORWAARDEN VERWERKING GEVOELIGE GEGEVENS BIJ KB
§ 4 Bijzondere voorwaarden verwerking gevoelige gegevens bij Koninklijk Besluit 1. KONINKLIJK BESLUIT VAN 13 FEBRUARI 2001 – Artikel 25 van het Koninklijk besluit van 13 februari 2001 ter uitvoering van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (2001): Bij de verwerking van persoonsgegevens bedoeld in de artikelen 6 tot 8 van de wet moet de verantwoordelijke voor de verwerking bovendien de volgende maatregelen nemen: 1° hij of, in voorkomend geval, de verwerker moet de categorieën van personen die de persoonsgegevens kunnen raadplegen, aanwijzen waarbij hun hoedanigheid ten opzichte van de verwerking van de betrokken gegevens nauwkeurig moet worden omschreven; 2° hij of, in voorkomend geval, de verwerker moet de lijst van de aldus aangewezen categorieën van personen ter beschikking houden van de Commissie; 3° hij moet ervoor zorgen dat de aangewezen personen door een wettelijke of statutaire verplichting, of door een evenwaardige contractuele bepaling ertoe gehouden zijn het vertrouwelijk karakter van de betrokken gegevens in acht te nemen; 4° hij moet in de kennisgeving die krachtens artikel 9 van de wet aan de betrokken persoon moet worden gedaan of in de aangifte bedoeld in artikel 17, § 1, van de wet melding maken van de wet of verordening op grond waarvan de verwerking van persoonsgegevens bedoeld in de artikelen 6 tot 8 van de wet is toegestaan.
2. RECHTSPRAAK VAN HET EUROPEES HOF VOOR DE RECHTEN VAN DE MENS – Hoffmann t. Oostenrijk van 23 juni 1993, serie A, nr. 255-C (schending van de artikelen 8 en 14 van het Verdrag). weigering van hoederrecht aan de moeder na de scheiding omwille van het feit dat ze behoort tot de getuigen van Jehova. – Lustig-Prean en Beckett t. Verenigd Koninkrijk van 27 september 1999, verzoeken nr.; 31417/96 en 32377/96 en Smith en Grady t. Verenigd Koninkrijk van 27 september 1999, verzoeken nr. 33985/96 en 33986/96 (schending van artikel 8 van het Verdrag). Het uitsluiten van homoseksuelen van het leger na een onderzoek naar het privéleven (in het bijzonder naar hun seksuele geaardheid). – Salgueiro da Silva Mouta t. Portugal van 21 december 1999, verzoek 33290/96 (schending van de artikelen 8 tot 14 van het Verdrag). Weigering om het hoederecht toe te kennen aan een vader omwille van het feit dat hij homoseksueel is en samenleeft met een man. – Christine Goodwin t. Verenigd Koninkrijk van 11 juli 2002, verzoek nr. 28957/95 (schending van de artikelen 8 en 12 van het Verdrag). Erkenning van een geslachtsverandering door een werkgever en de sociale diensten. – Wasmuth t. Duitsland van 17 februari 2011 (verzoek nr. 12884/03): vermelding op fiche van toekenning van het niet behoren tot een religieuze maatschappij – geen inbreuk van de artikelen 8 en 9 van het Verdrag (rechtmatig en proportioneel)
Art. 7. }1[§ 1. De verwerking van persoonsgegevens die de gezondheid betreffen, is verboden. § 2. Het verbod om de in § 1 bedoelde persoonsgegevens te verwerken, is niet van toepassing in de volgende gevallen: a) wanneer de betrokkene schriftelijk heeft toegestemd in een dergelijke verwerking met dien verstande dat deze toestemming te allen tijde door de betrokkene kan worden ingetrokken; de Koning kan, bij een in ministerraad overlegd besluit na advies van de Commissie voor de bescherming van de persoonlijke levenssfeer, bepalen in
welke gevallen het verbod om gegevens betreffende de gezondheid te verwerken niet door de schriftelijke toestemming van de betrokkene ongedaan kan worden gemaakt; b) wanneer de verwerking noodzakelijk is met het oog op de uitvoering van de specifieke verplichtingen en rechten van de verantwoordelijke voor de verwerking met betrekking tot het arbeidsrecht; c) wanneer de verwerking noodzakelijk is voor de verwezenlijking van een doelstelling vastgesteld door of krachtens de wet met het oog op de toepassing van de sociale zekerheid;
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
105
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 7)
d) wanneer de verwerking noodzakelijk is voor de bevordering en de bescherming van de volksgezondheid met inbegrip van bevolkingsonderzoek; e) wanneer de verwerking om redenen van zwaarwegend algemeen belang verplicht wordt door of krachtens een wet, een decreet of een ordonnantie; f) wanneer de verwerking noodzakelijk is ter verdediging van vitale belangen van de betrokkene of van een andere persoon indien de betrokkene fysiek of juridisch niet in staat is om zijn toestemming te geven; g) wanneer de verwerking noodzakelijk is voor het voorkomen van een concreet gevaar of voor de beteugeling van een bepaalde strafrechtelijke inbreuk; h) wanneer de verwerking betrekking heeft op gegevens die duidelijk door de betrokkene zijn openbaar gemaakt; i) wanneer de verwerking noodzakelijk is voor de vaststelling, de uitoefening of de verdediging van een recht in rechte; j) wanneer de verwerking noodzakelijk is voor doeleinden van preventieve geneeskunde of medische diagnose, het verstrekken van zorg of behandelingen aan de betrokkene of een verwant, of het beheer van de gezondheidsdiensten handelend in het belang van de betrokkene en de gegevens worden verwerkt onder het toezicht van een beroepsbeoefenaar in de gezondheidszorg; k) wanneer de verwerking noodzakelijk is voor het wetenschappelijk onderzoek en verricht wordt onder de voorwaarden vastgesteld door de Koning bij een in ministerraad overlegd besluit, na advies van de Commissie voor de bescherming van de persoonlijke levenssfeer.
§ 3. De Koning legt, bij een in ministerraad overlegd besluit en na advies van de Commissie voor de bescherming van de persoonlijke levenssfeer, bijzondere voorwaarden vast waaraan de verwerking van de in dit artikel bedoelde persoonsgegevens moet voldoen. § 4. Persoonsgegevens betreffende de gezondheid mogen, behoudens schriftelijke toestemming van de betrokkene of wanneer de verwerking noodzakelijk is voor het voorkomen van een dringend gevaar of voor de beteugeling van een bepaalde strafrechtelijke inbreuk, enkel worden verwerkt onder de verantwoordelijkheid van een beroepsbeoefenaar in de gezondheidszorg. De Koning kan, na advies van de Commissie voor de bescherming van de persoonlijke levenssfeer en bij een in ministerraad overlegd besluit, bepalen welke categorieën van personen als beroepsbeoefenaars in de gezondheidszorg in de zin van deze wet worden beschouwd. Bij de verwerking van de in dit artikel bedoelde persoonsgegevens zijn de beroepsbeoefenaar in de gezondheidszorg en zijn aangestelden of gemachtigden, tot geheimhouding verplicht. § 5. Persoonsgegevens betreffende de gezondheid moeten worden ingezameld bij de betrokkene. Zij kunnen slechts via andere bronnen worden ingezameld op voorwaarde dat dit in overeenstemming is met de paragrafen 3 en 4 van dit artikel en dat dit noodzakelijk is voor de doeleinden van de verwerking of de betrokkene niet in staat is om de gegevens te bezorgen.]1 }1. – Vervangen bij art. 10 wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001)
GEZONDHEIDSGEGEVENS VERBOD VERWERKING GEZONDHEIDSGEGEVENS Overtreden strafbaar gesteld: zie art. 39, 3°, 40 et 41 WVP
§ 1 Beginsel: verbod verwerking gezondheidsgegevens 1. INTERNATIONALE WETGEVING – Artikel 6 van het Verdrag nr. 108 van de Raad van Europa tot bescherming van personen ten opzichte van de geautomatiseerde verwerking van persoonsgegevens (1981): persoonsgegevens waaruit ras, politieke overtuiging, godsdienstige of andere levensbeschouwing blijkt, alsmede die welke betrekking hebben op gezondheid of seksueel gedrag, mogen niet langs geautomatiseerde weg worden verwerkt, tenzij het interne recht passende waarborgen ter zake biedt. Hetzelfde geldt voor persoonsgegevens over strafrechtelijke veroordelingen. – Explanatory Report of the Convention n°108 (punten 43 - 48): 43. While the risk that data processing is harmful to persons generally depends not on the contents of the data but on the context in which they are used, there are exceptional cases where the processing of certain categories of data is as such likely to lead to encroachments on individual rights and interests. Categories of data which in all member States are considered to be especially sensitive are listed in this article. 45. The meaning of the term "personal data concerning health" has been carefully studied by the Committee of Experts on Data Protection in connection with its work on medical data banks. It includes information concerning the past, present and future, physical or mental health of an individual. The information may refer to a person who is sick, healthy or deceased. This category of data also covers those relating to abuse of alcohol or the taking of drugs. 48. The list of this article is not meant to be exhaustive. A Contracting State may, in conformity with Article 11, include in its domestic law other categories of sensitive data, the processing of which is prescribed or restricted. The degree of sensitivity of categories of data depends on the legal and sociological context of the country concerned. Information on trade union membership for example may be considered to entail as such a privacy risk in one country, whereas in other countries it is considered sensitive only in so far as it is closely connected with political or religious views. – Recommendation No.R(97)5 of the Committee of Ministers to Member States on the protection of medical data (1997): - the expression "medical data" refers to all personal data concerning the health of an individual. It refers also to data which have a clear and close link with health as well as to genetic data.
106
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 7)
– Recommendation No.R(97)5 of the Committee of Ministers to Member States on the protection of medical data (1997): - the expression "genetic data" refers to all data, of whatever type, concerning the heriditary characteristics of an individual or concerning the pattern of inheritance of such characteristics within a related group of individuals. It also refers to all data on the carrying of any genetic information (genes) in an individual or genetic line relating to any aspect of health or disease, whether present as identifiable characteristics or not. The genetic line is the line constituted by genetic similarities resulting from procreation and shared by two or more individuals. – Artikel 8 § 1 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): de Lid-Staten verbieden de verwerking van persoonlijke gegevens waaruit de raciale of etnische afkomst, de politieke opvattingen, de godsdienstige of levensbeschouwelijke overtuiging, of het lidmaatschap van een vakvereniging blijkt, alsook de verwerking van gegevens die de gezondheid of het seksuele leven betreffen.
2. ADVIEZEN VAN DE GROEP 29 – Groep 29, Advies over het menselijk genoom (13 juli 2000 - WP 34): de Groep reageerde naar aanleiding van de aankondiging destijds over een eerste poging om het DNA volledig in kaart te brengen. De Groep benadrukt dat het bekend is dat de risico's van misbruik van genetische kennis terecht bezorgdheid over de bescherming van de persoonlijke levenssfeer oproepen. De ontcijfering van het DNA maakt nieuwe ontdekkingen en toepassingen mogelijk op het gebied van genetische testen. Anderzijds kunnen met deze informatie mensen worden geïdentificeerd, met anderen in verband worden gebracht en complexe gegevens worden onthuld over de toekomstige gezondheid en ontwikkeling van deze mensen en van anderen met wie zij genetisch verwant zijn. – Groep 29, Werkdocument over genetische gegevens, (17 maart 2004 - WP 91): een van de belangrijkste conclusies van dit document is dat er nationale voorschriften nodig zijn voor elk gebruik van genetische gegevens voor andere doeleinden dan de rechtstreekse waarborging van de gezondheid van de betrokkene of wetenschappelijk onderzoek, die in overeenstemming moeten zijn met de gegevensbeschermingsbeginselen van de Richtlijn 95/46/EG. Een van de behouden definities over "genetische gegevens" is die van de Raad van Europa die werd omschreven in de Aanbeveling (97)5 en die luidt:"Gegevens van elke aard betreffende de erfelijke eigenschappen van een individu of betreffende het erfelijkheidspatroon van die eigenschappen binnen een verwante groep individuen" (zie hierboven). De verwerking van genetische gegevens - die onbetwistbaar persoonsgegevens zijn zoals bedoeld in artikel 2 a) van de Richtlijn maar ook gezondheidsgegevens zijn omwille van hun bijzonder gevoelig karakter zoals bedoeld in artikel 8 §3 van de Richtlijn - mag slechts plaatsvinden onder de strikte voorwaarden van artikel 8 §3. De Groep overloopt de doeleinden waarvoor in de praktijk genetische gegevens worden verzameld en verwerkt: (1) gezondheidszorg en medische behandeling (2) werk, (3) verzekeringen (4) medisch en wetenschappelijk onderzoek (5) identificatie. Hieronder worden de genomen conclusies beschreven: - Er zijn nationale voorschriften nodig voor elk gebruik van genetische gegevens voor andere doeleinden dan de rechtstreekse waarborging van de gezondheid van de betrokkene of wetenschappelijk onderzoek, die in overeenstemming moeten zijn met de gegevensbeschermingsbeginselen van de Richtlijn, en met name met het doelbindings- en het evenredigheidsbeginsel. Door de toepassing van deze beginselen wordt de algemene toepassing van genetische screening op grote schaal onrechtmatig. Bovendien moet de verwerking van genetische gegevens in het kader van de arbeidsverhouding en verzekeringen overeenkomstig deze beginselen slechts in uitzonderlijke, in de wet beschreven gevallen worden toegestaan, zodat individuen worden beschermd tegen discriminatie op grond van hun genetisch profiel. - In verband met het gemak waarmee buiten medeweten van de betrokkene genetisch materiaal kan worden verkregen en vervolgens relevante informatie uit dat materiaal kan worden afgeleid, zijn tevens strikte voorschriften nodig ter voorkoming van de gevaren van nieuwe vormen van "identiteitsroof" (die buitengewoon gevaarlijk zouden zijn omdat daarbij het vaderschap en moederschap op het spel kunnen staan of zelfs materiaal kan worden gebruikt om te klonen). In de regelgeving inzake genetische gegevens moet daarom beslist aandacht worden besteed aan de wettelijke status van DNA-monsters die worden gebruikt om de betrokken informatie te verkrijgen. Daarbij moet een bijzonder belang worden toegekend aan de naleving van een breed scala van rechten voor de betrokkene bij het beheer van dergelijke monsters en aan de vernietiging en/of anonimisering van de monsters nadat de vereiste informatie is verkregen. - Ten slotte moeten procedures worden ingevoerd om te waarborgen dat de genetische gegevens uitsluitend worden verwerkt onder toezicht van gekwalificeerde professionele medewerkers die daartoe gemachtigd zijn op grond van specifieke vergunningen en regels. - In Lid-Staten waar de doelstellingen en passende waarborgen voor de verwerking van genetische gegevens niet bij wet zijn geregeld, worden de autoriteiten voor gegevensbescherming aangemoedigd een nog actievere rol te spelen om de volledige naleving van het doelbindings- en het evenredigheidsbeginsel van de Richtlijn te waarborgen. In dit verband beveelt de Groep de Lid-Staten aan te overwegen, overeenkomstig artikel 20 van de Richtlijn, onderzoek door de autoriteiten voor gegevensbescherming voorafgaand aan de verwerking van genetische gegevens verplicht te stellen. Dit moet in het bijzonder het geval zijn voor de oprichting en het gebruik van biobanken. Voorts kunnen de autoriteiten voor gegevensbescherming het ontbreken van een regel-
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
107
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 7)
gevend kader voor genetische tests die op internet rechtstreeks aan consumenten worden aangeboden compenseren door onderling nauwer samen te werken en goede werkwijzen uit te wisselen. - Opgemerkt zij dat een nieuwe juridisch relevante sociale groep ontstaat: de biologische groep (of biologische familie), die technisch gezien moet worden onderscheiden van de familie van een individu. Bepaalde familieleden, zoals echtgenoten of adoptiekinderen, behoren namelijk niet tot deze groep, terwijl anderzijds personen buiten de familiekring er wel rechtens of feitelijk toe behoren (bv. gameetdonoren). – Groep 29, (vrije vertaling ) Rapport 1/2007 over de eerste gemeenschappelijke actie voor tenuitvoerlegging: evaluatie en volgende fases (WP 137 - 20 juni 2007). In het eerste rapport over de implementatie van de Richtlijn verzocht de Europese Commissie de Groep 29 om regelmatig de beste manier ter sprake te brengen voor het doen naleven van de Richtlijn, om sectoraal onderzoek op communautair vlak te voeren en te proberen de normen ter zake vast te leggen. Zodoende wordt een overzicht verkregen van de tenuitvoerlegging en kan advies worden gegeven aan de verschillende sectoren over hoe de eerbiediging van de Richtlijn op de minst belastende manier kan worden verbeterd. In dit rapport worden conclusies getrokken uit het eerste onderzoek over de verwerkingen van persoonsgegevens (betreffende de gezondheid) dat werd gevoerd op niveau van de Europese Unie door de particuliere verzekeringsmaatschappijen. Naast de conclusies van het onderzoek zelf, worden in het document de goedgekeurde methodologie en de strategie voor toekomstige onderzoeken voor een eerste keer geëvalueerd. – Groep 29, Advies 6/2010 over de mate van bescherming van persoonsgegevens in de Republiek ten oosten van de Uruguay (WP177 – 12 oktober 2010): de Groep 29 merkt op dat wat de gezondheidsgegevens betreft in artikel 4, onder d), van het DPDP de definitie nader wordt verduidelijkt in termen die soortgelijk zijn aan die van het Hof van Justitie van de Europese Unie: “informatie over de vroegere, huidige of toekomstige lichamelijke of geestelijke gezondheid van een persoon”. Hieraan wordt toegevoegd: “Deze omvat onder andere gegevens met betrekking tot de gezondheid zoals het invaliditeitspercentage of genetische informatie.”
3. VERSLAGEN EN STUDIES VAN DE RAAD VAN EUROPA – Raad van Europa, Revisiting Sensitive Data (1999), by M. Spiros SIMITIS
4. RECHTSPRAAK VAN HET EUROPESE HOF VAN JUSTITIE – Europees Hof van Justitie, Arrest van 6 november 2003, Bodil Linqvist (prejudiciële vragen), - Zaak C-101/01. Feiten Eind 1998 heeft Lindqvist thuis op haar eigen computer internetpagina's gecreëerd, zodat gemeenteleden die hun belijdenis wilden doen, gemakkelijk de door hen benodigde informatie konden opvragen. Op haar verzoek heeft de webmaster van de website van de Kerk van Zweden op die website een link naar die pagina's geplaatst. De bedoelde pagina's bevatten informatie over Lindqvist en 18 van haar collega's in de kerkgemeente, waaronder hun volledige naam of soms alleen hun voornaam. Bovendien beschreef Lindqvist in licht humoristische bewoordingen de werkzaamheden van haar collega's en hun liefhebberijen. In een aantal gevallen werden hun gezinssituatie, hun telefoonnummer en andere gegevens vermeld. Verder heeft zij verteld dat een van haar collega's haar voet had bezeerd en met gedeeltelijk ziekteverlof was. Met de vierde vraag wenst de verwijzende rechter te vernemen of de vermelding van het feit dat iemand zijn voet heeft bezeerd en met gedeeltelijk ziekteverlof is, een persoonsgegeven betreffende de gezondheid in de zin van artikel 8, lid 1, van Richtlijn 95/46 is. 50. Gelet op het doel van de Richtlijn, moet aan de uitdrukking gegevens die de gezondheid betreffen in artikel 8, lid 1, een ruime uitlegging worden gegeven, zodat informatie over alle - zowel fysieke als psychische - aspecten van iemands gezondheid daaronder valt. 51. Op de vierde vraag moet derhalve worden geantwoord, dat de vermelding van het feit dat iemand zijn voet heeft bezeerd en met gedeeltelijk ziekteverlof is, een persoonsgegeven betreffende de gezondheid in de zin van artikel 8, lid 1, van Richtlijn 95/46 is. UITZONDERINGEN OP VERWERKINGSVERBOD
§ 2 Uitzonderingen op verwerkingsverbod INTERNATIONALE WETGEVING – Artikel 6 1) en 2) van het Verdrag nr. 108 van de Raad van Europa tot bescherming van personen ten opzichte van de geautomatiseerde verwerking van persoonsgegevens (1981): van het in de artikelen 5 (kwaliteit van de gegevens), 6 (bijzondere categorieën gegevens) en 8 van, dit Verdrag bepaalde kan worden afgeweken, indien de wet in een dergelijke afwijking voorziet en het hier een maatregel betreft die in een democratische samenleving noodzakelijk is ten behoeve van: - de bescherming van de veiligheid van de Staat, de openbare veiligheid, de geldelijke belangen van de Staat of de bestrijding van strafbare feiten; - de bescherming van de betrokkene en van de rechten en vrijheden van anderen.
108
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 7)
– International Standards on the Protection of Personal Data and Privacy (2009) (The Madrid Resolution): resolutie goedgekeurd op 5 november 2009 door de Internationale Conferentie van de commissarissen voor de bescherming van gegevens en de privacy. Principe nr.13: Sensitive data: 1. The following personal data shall be deemed to be sensitive: a. Data which affect the data subject’s most intimate sphere; or b. Data likely to give rise, in case of misuse, to: i. Unlawful or arbitrary discrimination; or ii A serious risk to the data subject.. 2. In particular, those personal data which can reveal aspects such as racial or ethnic origin, political opinions, or religious or philosophical beliefs as well as those data relating to health or sex life, will be considered sensitive data. The applicable national legislation may lay down other categories of sensitive data where the conditions referred to in the previous paragraph are met. 3. Due guarantees shall be established to preserve the rights of the data subjects by applicable national legislation, which shall lay down additional conditions for processing sensitive personal data. – De uitzonderingen voorzien door de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995), worden hieronder gedetailleerd. BIJ SCHRIFTELIJKE TOESTEMMING BETROKKENE STEEDS INTREKBAAR
§ 2, a), bij schriftelijke toestemming betrokkene steeds intrekbaar 1. KONINKLIJK BESLUIT VAN 13 FEBRUARI 2001 – Artikel 26 van het Koninklijk besluit van 13 februari 2001 ter uitvoering van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (2001): Indien de verwerking van persoonsgegevens bedoeld in de artikelen 6 en 7 van de wet uitsluitend is toegestaan op grond van de schriftelijke toestemming van de betrokken persoon, moet de verantwoordelijke voor de verwerking hem, naast de gegevens overeenkomstig artikel 9 van de wet, vooraf de redenen van die verwerking mededelen, alsmede de lijst van de categorieën van personen die toegang hebben tot de persoonsgegevens. – Artikel 27 van het Koninklijk besluit van 13 februari 2001 ter uitvoering van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (2001): Indien de verwerking van persoonsgegevens bedoeld in de artikelen 6 en 7 van de wet uitsluitend is toegestaan op grond van de schriftelijke toestemming van de betrokken persoon, is die verwerking verboden indien de verantwoordelijke voor de verwerking de huidige of potentiële werkgever van betrokkene is of indien de betrokken persoon zich ten aanzien van de verantwoordelijke voor de verwerking in een afhankelijke positie bevindt, wat hem belet vrij zijn toestemming te verlenen. Dit verbod wordt opgeheven wanneer de verwerking erop gericht is de betrokken persoon een voordeel te verstrekken.
2. INTERNATIONALE WETGEVING – Artikel 8 § 2 a) van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): lid 1 (De Lid-Staten verbieden de verwerking van persoonlijke gegevens waaruit de raciale of etnische afkomst, de politieke opvattingen, de godsdienstige of levensbeschouwelijke overtuiging, of het lidmaatschap van een vakvereniging blijkt, alsook de verwerking van gegevens die de gezondheid of het seksuele leven betreffen) is niet van toepassing wanneer de betrokkene uitdrukkelijk heeft toegestemd in een dergelijke verwerking, tenzij in de wetgeving van de Lid-Staat is bepaald dat het in lid 1 bedoelde verbod niet door toestemming van de betrokkene ongedaan kan worden gemaakt. – Overweging 70 van de RICHTLIJN 95/46/EG VAN HET EUROPEES PARLEMENT EN DE RAAD BETREFFENDE DE BESCHERMING VAN NATUURLIJKE PERSONEN IN VERBAND MET DE VERWERKING VAN PERSOONSGEGEVENS EN BETREFFENDE HET VRIJE VERKEER VAN DIE GEGEVENS (1995): overwegende dat er geen aanleiding toe is dat de betrokkene de voor de verwerking verantwoordelijke opnieuw toestemming geeft om na de inwerkingtreding van de nationale bepalingen die op grond van deze Richtlijn zijn vastgesteld een verwerking van gevoelige gegevens te blijven uitvoeren die nodig is voor de uitvoering van een overeenkomst die op basis van vrije en geïnformeerde toestemming is gesloten vóór de inwerkingtreding van voornoemde bepalingen; – Recommendation No. R(97)5 of the Committee of Ministers to Member States on the protection of medical data (1997): where the data subject is required to give his/her consent, this consent should be free, express and informed. The results of any genetic analysis should be formulated within the limits of the objectives of the medical consultation, diagnosis or treatment for which consent was obtained. – Recommendation No.R(89)2 of the Committee of Ministers to Member States on the protection of personal data used for employment purposes (1989) - (punten 10.2 en 10.3): 10.2. an employee or job applicant may only be asked questions concerning his state of health and be medically examined in order a) to determine the suitability of an employee or job applicant for his present or future employment; b) to fulfil the requirements of preventive medicine; or c) to allow social benefits to be granted.
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
109
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 7)
10.3. Health data may not be collected from sources other than the employee concerned except with his express and informed consent or in accordance with provisions of domestic law.
3. ADVIEZEN VAN DE GROEP 29 – Groep 29, Working Document 1/2009 on pre-trial discovery for cross border civil litigation (11 februari 2009, WP 158): where the information in question is sensitive personal data, a ground for processing under Article 8 of the Directive must be found. Instead, the appropriate ground would be to rely on the explicit consent of the data subject under Article 8(a) or where the processing is necessary for the establishment, exercise or defence or legal claims under Article 8(e). There may be specific requirements in the different Member States relating to the processing and transfer of personal data overseas with which there would need to be compliance by the data controller. Data protection is not the only issue surrounding the use of an individual's personal data. Where, for example, the personal data sought is health data, there may be other duties of confidentiality between doctor and patient. There may also be other requirements of secrecy or subsisting duties of confidentiality in relation to the information, for example legal professional privilege between lawyer and client or the secrecy of confession to a priest. In addition there may be legal protection for certain types of information, e.g. the e-Privacy Directive. In those circumstances it may not be fair or lawful to process that personal data in a way that is incompatible with the other obligations. Furthermore violations of telecommunications secrecy may carry criminal sanctions in a number of Member States. ARBEIDSRECHTERLIJKE VERPLICHTING
§ 2, b), Arbeidsrechterlijke verplichting INTERNATIONALE WETGEVING – Artikel 8 § 2 b) van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): lid 1 (De Lid-Staten verbieden de verwerking van persoonlijke gegevens waaruit de raciale of etnische afkomst, de politieke opvattingen, de godsdienstige of levensbeschouwelijke overtuiging, of het lidmaatschap van een vakvereniging blijkt, alsook de verwerking van gegevens die de gezondheid of het seksuele leven betreffen) is niet van toepassing wanneer de verwerking noodzakelijk is met het oog op de uitvoering van de verplichtingen en de rechten van de voor de verwerking verantwoordelijke inzake arbeidsrecht, voor zover zulks is toegestaan bij de nationale wetgeving en deze adequate garanties biedt. – Recommendation No. R(89)2 of the Committee of Ministers to Member States on the protection of personal data used for employment purposes (1989) - (punten 10.2 en 10.3): 10.2. an employee or job applicant may only be asked questions concerning his state of health and be medically examined in order: a) to determine the suitability of an employee or job applicant for his present or future employment; b) to fulfil the requirements of preventive medicine; or c) to allow social benefits to be granted. 10.3. Health data may not be collected from sources other than the employee concerned except with his express and informed consent or in accordance with provisions of domestic law. SOCIALE ZEKERHEID
§ 2, c), Sociale zekerheid INTERNATIONALE WETGEVING – Recommendation No.R(86)1 of the Committee of Ministers to Member States on the protection of personal data used for social security purposes (1986). ZWAARWEGEND ALGEMEEN BELANG DOOR WET VERPLICHT
§ 2, e), Zwaarwegend algemeen belang door wet verplicht INTERNATIONALE WETGEVING – Artikel 8 § 4 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): mits passende waarborgen worden geboden, mogen de Lid-Staten om redenen van zwaarwegend algemeen belang bij nationale wet of bij een besluit van de toezichthoudende autoriteit nog andere afwijkingen naast die bedoeld in lid 2 (toestemming, arbeidsrechterlijke verplichting, verdediging van de vitale belangen, gerechtvaardigde activiteiten van een stichting, zelf duidelijk geopenbaarde gegevens) vaststellen.
110
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 7)
VITAAL BELANG
§ 2, f), Verdediging vitale belangen INTERNATIONALE WETGEVING – Artikel 8 § 2 c) van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): lid 1 (De Lid-Staten verbieden de verwerking van persoonlijke gegevens waaruit de raciale of etnische afkomst, de politieke opvattingen, de godsdienstige of levensbeschouwelijke overtuiging, of het lidmaatschap van een vakvereniging blijkt, alsook de verwerking van gegevens die de gezondheid of het seksuele leven betreffen) is niet van toepassing wanneer de verwerking noodzakelijk is ter verdediging van de vitale belangen van de betrokkene of van een andere persoon indien deze lichamelijk of juridisch niet in staat is van zijn instemming te getuigen. – Overweging 31 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): (31) Overwegende dat de verwerking van persoonsgegevens ook als geoorloofd moet worden beschouwd wanneer zij wordt uitgevoerd ter bescherming van een belang dat voor het leven van de betrokkene essentieel is. ZELF DUIDELIJK GEOPENBAARDE GEGEVENS
§ 2, h), Zelf duidelijk geopenbaarde gegevens INTERNATIONALE WETGEVING – Artikel 8 § 2 e) van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): lid 1 (De Lid-Staten verbieden de verwerking van persoonlijke gegevens waaruit de raciale of etnische afkomst, de politieke opvattingen, de godsdienstige of levensbeschouwelijke overtuiging, of het lidmaatschap van een vakvereniging blijkt, alsook de verwerking van gegevens die de gezondheid of het seksuele leven betreffen) is niet van toepassing wanneer de verwerking betrekking heeft op gegevens die duidelijk door de betrokkene openbaar zijn gemaakt of noodzakelijk is voor de vaststelling, de uitoefening of de verdediging van een recht in rechte. TER VERDEDIGING IN RECHTE
§ 2, i), Ter verdediging in rechte 1. INTERNATIONALE WETGEVING – Artikel 8 § 2 e) van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): lid 1 (De Lid-Staten verbieden de verwerking van persoonlijke gegevens waaruit de raciale of etnische afkomst, de politieke opvattingen, de godsdienstige of levensbeschouwelijke overtuiging, of het lidmaatschap van een vakvereniging blijkt, alsook de verwerking van gegevens die de gezondheid of het seksuele leven betreffen) is niet van toepassing wanneer de verwerking betrekking heeft op gegevens die duidelijk door de betrokkene openbaar zijn gemaakt of noodzakelijk is voor de vaststelling, de uitoefening of de verdediging van een recht in rechte.
2. ADVIEZEN VAN DE GROEP 29 – Groep 29, Working Document 1/2009 on pre-trial discovery for cross border civil litigation (11 februari 2009, WP 158): where the information in question is sensitive personal data, a ground for processing under Article 8 of the Directive must be found. Instead, the appropriate ground would be to rely on the explicit consent of the data subject under Article 8(a) or where the processing is necessary for the establishment, exercise or defence or legal claims under Article 8(e). There may be specific requirements in the different Member States relating to the processing and transfer of personal data overseas with which there would need to be compliance by the data controller. Data protection is not the only issue surrounding the use of an individual's personal data. Where, for example, the personal data sought is health data, there may be other duties of confidentiality between doctor and patient. There may also be other requirements of secrecy or subsisting duties of confidentiality in relation to the information, for example legal professional privilege between lawyer and client or the secrecy of confession to a priest. In addition there may be legal protection for certain types of information, e.g. the e-Privacy Directive. In those circumstances it may not be fair or lawful to process that personal data in a way that is incompatible with the other obligations. Furthermore violations of telecommunications secrecy may carry criminal sanctions in a number of Member States.
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
111
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 7)
GENEESKUNDE
§ 2, j), Geneeskunde 1. INTERNATIONALE WETGEVING – Artikel 8 § 3 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): lid 1 (De Lid-Staten verbieden de verwerking van persoonlijke gegevens waaruit de raciale of etnische afkomst, de politieke opvattingen, de godsdienstige of levensbeschouwelijke overtuiging, of het lidmaatschap van een vakvereniging blijkt, alsook de verwerking van gegevens die de gezondheid of het seksuele leven betreffen) is niet van toepassing wanneer de verwerking van de gegevens noodzakelijk is voor de doeleinden van preventieve geneeskunde of medische diagnose, het verstrekken van zorg of behandelingen of het beheer van gezondheidsdiensten en wanneer die gegevens worden verwerkt door een gezondheidswerker die onderworpen is aan het in de nationale wetgeving, of in de door nationale bevoegde instanties vastgestelde regelgeving, vastgelegde beroepsgeheim of door een andere persoon voor wie een gelijkwaardige geheimhoudingsplicht geldt.
2. ADVIEZEN VAN DE GROEP 29 – Groep 29, Werkdocument inzake de verwerking van persoonsgegevens betreffende gezondheid in elektronische medische dossiers (EMD) (15 februari 2007 - WP 131): in dit werkdocument over de verwerking van persoonsgegevens betreffende de gezondheid in elektronische medische dossiers (EMD) geeft de Werkgroep "Artikel 29" aanwijzingen over hoe het juridisch kader voor gegevensbescherming van toepassing kan zijn op de EMD-systemen, hoe het moet geïnterpreteerd worden en worden er bepaalde algemene beginselen toegelicht. Het document geeft ook aanwijzingen over de vereisten inzake gegevensbescherming waaraan de EMD-instellingen moeten voldoen alsook de toepasselijke garanties. De werkgroep "artikel 29" herinnert aan het algemeen verbod van artikel 8, § 1 van de Richtlijn 95/46/EG inzake gegevensbescherming op het verwerken van persoonsgegevens die de gezondheid betreffen om vervolgens te onderzoeken of de uitzonderingen die voorzien werden in artikel 8, § 2,3 en 4 van diezelfde Richtlijn van toepassing kunnen zijn voor EMD-systemen, waarbij wordt aangedrongen op de noodzaak van een strikte interpretatie van de uitzonderingen. De Groep "Artikel 29" denkt ook na over een aangepast juridisch kader voor EMD-systemen en doet daarbij aanbevelingen over elf onderwerpen waarvoor er binnen de EMD-systemen speciale garanties bijzonder noodzakelijk blijken te zijn om de rechten op gegevensbescherming van de patiënten en personen te kunnen waarborgen. Het gaat over de volgende onderwerpen: 1. eerbiediging van het zelfbeschikkingsrecht; 2. identificatie en authentificering van patiënten en zorgverleners; 3. machtiging voor de toegang tot EMD's met het oog op lezen en schrijven van het EMD; 4. het gebruik van EMD's voor andere doeleinden; 5. organisatorische opzet van een EMD-systeem; 6. categorieën van in het EMD opgeslagen gegevens en wijze van presentatie; 7. internationale doorgifte van medische dossiers; 8. gegevensbeveiliging; 9. transparantie; 10. aansprakelijkheidskwesties; 11. controlemechanismen voor de verwerking van in EMD's opgenomen gegevens. WETENSCHAPPELIJK ONDERZOEK
§ 2, k), Wetenschappelijk onderzoek RECHTSPRAAK VAN HET EUROPEES HOF VOOR DE RECHTEN VAN DE MENS – Gillberg t. Zweden van 2 november 2010 (verzoek nr. 41723/06). De strafrechtelijke veroordeling van een professor omdat hij weigerde toegang te verlenen tot de onderzoeken die werden gevoerd op een hyperactief kind was gerechtvaardigd – verzoek om toegang van andere onderzoekers – wetenschappelijk onderzoek – garanties op vertrouwelijkheid van de patiëntengegevens – verdere verwerking
112
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 7)
BIJZONDERE VOORWAARDEN BIJ KB
§ 3 Bijzondere voorwaarden bij Koninklijk Besluit KONINKLIJK BESLUIT VAN 13 FEBRUARI 2001 – Artikel 25 van het Koninklijk besluit van 13 februari 2001 ter uitvoering van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (2001): Bij de verwerking van persoonsgegevens bedoeld in de artikelen 6 tot 8 van de wet moet de verantwoordelijke voor de verwerking bovendien de volgende maatregelen nemen: 1. hij of, in voorkomend geval, de verwerker moet de categorieën van personen die de persoonsgegevens kunnen raadplegen, aanwijzen waarbij hun hoedanigheid ten opzichte van de verwerking van de betrokken gegevens nauwkeurig moet worden omschreven; 2. hij of, in voorkomend geval, de verwerker moet de lijst van de aldus aangewezen categorien van personen ter beschikking houden van de Commissie; 3. hij moet ervoor zorgen dat de aangewezen personen door een wettelijke of statutaire verplichting, of door een evenwaardige contractuele bepaling ertoe gehouden zijn het vertrouwelijk karakter van de betrokken gegevens in acht te nemen; 4. hij moet in de kennisgeving die krachtens artikel 9 van de wet aan de betrokken persoon moet worden gedaan of in de aangifte bedoeld in artikel 17, § 1, van de wet melding maken van de wet of verordening op grond waarvan de verwerking van persoonsgegevens bedoeld in de artikelen 6 tot 8 van de wet is toegestaan. BEROEPSGEHEIMHOUDING
§ 4 Enkel verwerking door beroepsgeheimhouding INTERNATIONALE WETGEVING – Recommendation No.R(97)5 of the Committee of Ministers to Member States on the protection of medical data (1997) - (punt 3.2.): medical data may only be collected and processed if in accordance with appropriate safeguards which must be provided by domestic law. In principle, medical data should be collected and processed only by health-care professionals, or by individuals or bodies working on behalf of health-care professionals. Individuals or bodies working on behalf of health-care professionals who collect and process medical data should be subject to the same rules of confidentiality incumbent on health-care professionals, or to comparable rules of confidentiality. – Recommendation No.R(89)2 of the Committee of Ministers to Member States on the protection of personal data used for employment purposes (1989) - (punt 10.4.): health data covered by medical secrecy should only be stored by personnel who are bound by rules on medical secrecy. The information should only be communicated to other members of the personnel administration if it is indispensable for decision-making by the latter and in accordance with provisions of domestic law. – Artikel 8 § 3 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): lid 1 (De Lid-Staten verbieden de verwerking van persoonlijke gegevens waaruit de raciale of etnische afkomst, de politieke opvattingen, de godsdienstige of levensbeschouwelijke overtuiging, of het lidmaatschap van een vakvereniging blijkt, alsook de verwerking van gegevens die de gezondheid of het seksuele leven betreffen) is niet van toepassing wanneer de verwerking van de gegevens noodzakelijk is voor de doeleinden van preventieve geneeskunde of medische diagnose, het verstrekken van zorg of behandelingen of het beheer van gezondheidsdiensten en wanneer die gegevens worden verwerkt door een gezondheidswerker die onderworpen is aan het in de nationale wetgeving, of in de door nationale bevoegde instanties vastgestelde regelgeving, vastgelegde beroepsgeheim of door een andere persoon voor wie een gelijkwaardige geheimhoudingsplicht geldt. – Overweging 33 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): overwegende dat gegevens die wegens hun aard op de fundamentele vrijheden of op de persoonlijke levenssfeer inbreuk kunnen maken zonder uitdrukkelijke toestemming van de betrokkene niet het voorwerp van verwerking mogen zijn; dat evenwel uitdrukkelijk moet worden voorzien in afwijkingen van dit verbod om aan specifieke behoeften te voldoen, met name wanneer de gegevensverwerking wordt gebruikt voor gezondheidsdoeleinden door personen voor wie een beroepsgeheim geldt, of voor het uitvoeren van wettige activiteiten door bepaalde verenigingen of stichtingen (...).
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
113
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 8)
INZAMELING BIJ BETROKKENE VOORWAARDEN INZAMELING
§ 5 voorwaarden inzameling bij betrokkene RECHTSPRAAK VAN HET EUROPEES HOF VOOR DE RECHTEN VAN DE MENS – Z. t. Finland van 25 februari 1997, de gebundelde arresten en vonnissen 1997-1 (Artikel 8 van het Verdrag). Inbeslagname van medische bestanden en bijvoeging ervan aan het onderzoeksdossier zonder voorafgaande toestemming van de patiënt gedurende de strafrechtelijke vervolging; beperking van de vertrouwelijkheidstermijn voor de bedoelde medische gegevens; bekendmaking van de identiteit en de seroposiviteit van de betrokkene is een arrest dat tijdens de procedure werd geveld. – Anne-Marie Andersson t. Zweden van 27 augustus 1997, de gebundelde arresten en vonnissen 1997 - IV (geen schending van het Verdrag). Onmogelijkheid voor een patiënte om een maatregel voor de rechtbank aan te vechten zonder voorafgaande doorgifte van haar persoonlijke, medische en vertrouwelijke gegevens door de medische autoriteit aan een sociale dienst. – M.S. t. Zweden van 27 augustus 1997, de gebundelde arresten en vonnissen 1997 - IV, (geen schending van het Verdrag). Mededeling van medische, vertrouwelijke, persoonlijke gegevens van een patiënte door een openbare overheid aan een andere openbare overheid zonder haar toestemming en de onmogelijkheid voor de betrokken om dit voordat de maatregel is genomen aan te vechten bij de rechtbank. Toepasbaarheid van artikel 8: in het Zweedse systeem hing de omstreden bekendmaking niet alleen af van het feit dat de verzoekster een aanvraag tot schadeloosstelling indiende bij de sociale zekerheidskas maar ook van een reeks elementen waarover de betrokkene geen controle had - er kon dus uit haar aanvraag niet worden opgemaakt dat zij, voor wat haar medisch dossier bij de dienst gynaecologie betreft, ondubbelzinnig afstand heeft gedaan van haar recht op eerbiediging van haar persoonlijke levenssfeer - artikel 8§1 is hier dus van toepassing (§§31-33). Bestaan van een inmenging: het bewuste medisch dossier bevatte gegevens over de betrokkene van uiterst persoonlijke en gevoelige aard - hoewel vertrouwelijk werd het dossier van de ene openbare dienst doorgegeven naar de andere en bijgevolg aan een groter aantal ambtenaren - de verzameling en bewaring van informatie bij de dienst gynaecologie en de latere doorgifte ervan aan de Sociale kas gebeurde voor verschillende doeleinden - de mededeling is dus een schending van het recht van de verzoekster op eerbiediging van haar persoonlijke levenssfeer (§35). Rechtvaardiging van de inmenging?: het Hof concludeert dat de mededeling niet disproportioneel was ten opzichte van het gerechtvaardigd nagestreefd doel: de dienst oordeelde rechtmatig dat de mededeling van alle gegevens ter zake dienend waren, de mededeling was onderworpen aan aanzienlijke beperkingen en was vergezeld van doeltreffende en voldoende garanties tegen misbruik. Zie § 41: het Hof herinnert eraan dat de bescherming van persoonsgegevens en meer specifiek van medische gegevens van fundamenteel belang is voor de uitoefening van het recht op eerbiediging van het privé- en gezinsleven, gewaarborgd door artikel 8 van het Verdrag. Het eerbiedigen van het vertrouwelijk karakter van de informatie over de gezondheid is een essentieel beginsel binnen het juridisch systeem van alle contractanten van het Verdrag. Dit is van kapitaal belang om het leven van de zieken te beschermen maar ook om hun vertrouwen de behouden in het medisch korps en de gezondheidsdiensten in het algemeen. De interne wetgeving moet alle gepaste waarborgen inbouwen om te vermijden dat er persoonsgegevens betreffende de gezondheid worden medegedeeld of bekendgemaakt die niet conform zijn aan de waarborgen bepaald in artikel 8 van het Verdrag (Arrest Z. t. Finland van 25 februari 1997). – Panteleyenko t. Oekraïne van 29 juni 2006, nr. 11907/02. Het bekendmaken van vertrouwelijke informatie over de mentale en psychiatrische toestand van de verzoeker tijdens een zitting op de rechtbank – L.L. t. Frankrijk van 10 oktober 2006, nr. 7508/02 (schending van artikel 8). Niet-naleving van het medisch geheim. Bekendmaken door het Franse Hof van Beroep van persoonlijke, medische gegevens over de verzoeker. – I. t. Finland, van 17 april 2008, nr 20511/03. De eiseres klaagt de onwettelijk raadpleging aan van haar vertrouwelijk medisch dossier door haar collega's op het werk. Zij beroept zich op de artikelen 8 (recht op eerbiediging van het privé- en gezinsleven) en 13 (recht op een daadwerkelijk beroep).
Art. 8. }1[§ 1. De verwerking van persoonsgegevens inzake geschillen voorgelegd aan hoven en rechtbanken alsook aan administratieve gerechten, inzake verdenkingen, vervolgingen of veroordelingen met betrekking tot misdrijven, of inzake administratieve sancties of veiligheidsmaatregelen, is verboden. § 2. Het verbod om de in § 1 bedoelde persoonsgegevens te verwerken, is niet van toepassing op verwerkingen: a) onder toezicht van een openbare overheid of van een ministeriële ambtenaar in de zin van het Gerechtelijk Wetboek, indien de verwerking noodzakelijk is voor de uitoefening van hun taken;
114
b) door andere personen, indien de verwerking noodzakelijk is voor de verwezenlijking van doeleinden die door of krachtens een wet, een decreet of een ordonnantie zijn vastgesteld; c) door natuurlijke personen of door privaatrechtelijke of publiekrechtelijke rechtspersonen in zoverre dat noodzakelijk is voor het beheer van hun eigen geschillen; d) door advocaten of andere juridische raadgevers in zoverre de verwerking noodzakelijk is voor de verdediging van de belangen van de cliënten; e) die noodzakelijk zijn voor het wetenschappelijk onderzoek en verricht worden onder de voorwaarden
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 8)
vastgesteld door de Koning bij een in ministerraad overlegd besluit, na advies van de Commissie voor de bescherming van de persoonlijke levenssfeer. § 3. De personen die krachtens § 2 gemachtigd zijn om de in § 1 bedoelde persoonsgegevens te verwerken, zijn tot geheimhouding verplicht.
§ 4. De Koning legt, bij een in ministerraad overlegd besluit, na advies van de Commissie voor de bescherming van de persoonlijke levenssfeer, bijzondere voorwaarden vast waaraan de verwerking van de in § 1 bedoelde persoonsgegevens moet voldoen.]1 }1. – Vervangen bij art. 11 wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001)
GERECHTELIJKE PERSOONSGEGEVENS Overtreden strafbaar gesteld: zie art. art; 39, 3°, 40 en 41 WVP VERBOD VERWERKING
§ 1 Beginsel: verbod verwerking 1. INTERNATIONALE WETGEVING – Artikel 6 van het Verdrag nr. 108 van de Raad van Europa tot bescherming van personen ten opzichte van de geautomatiseerde verwerking van persoonsgegevens (1981): persoonsgegevens waaruit ras, politieke overtuiging, godsdienstige of andere levensbeschouwing blijkt, alsmede die welke betrekking hebben op gezondheid of seksueel gedrag, mogen niet langs geautomatiseerde weg worden verwerkt, tenzij het interne recht passende waarborgen ter zake biedt. Hetzelfde geldt voor persoonsgegevens over strafrechtelijke veroordelingen. – Explanatory Report of the Convention n°108 (punten 43-48): 43. While the risk that data processing is harmful to persons generally depends not on the contents of the data but on the context in which they are used, there are exceptional cases where the processing of certain categories of data is as such likely to lead to encroachments on individual rights and interests. Categories of data which in all member States are considered to be especially sensitive are listed in this article. 47. By "criminal convictions" in the sense of this article should be understood: convictions based on criminal law and in the framework of a criminal procedure. 48. The list of this article is not meant to be exhaustive. A Contracting State may, in conformity with Article 11, include in its domestic law other categories of sensitive data, the processing of which is prescribed or restricted. The degree of sensitivity of categories of data depends on the legal and sociological context of the country concerned. Information on trade union membership for example may be considered to entail as such a privacy risk in one country, whereas in other countries it is considered sensitive only in so far as it is closely connected with political or religious views.
2. VERSLAGEN EN STUDIES VAN DE RAAD VAN EUROPA – Raad van Europa, Revisiting Sensitive Data (1999), by M. Spiros SIMITIS – Raad van Europa, Report on the impact of data protection principles on judicial data in criminal matters including in the framework of judicial co-operation in criminal matters (2002)
3. RECHTSPRAAK VAN HET EUROPEES HOF VOOR DE RECHTEN VAN DE MENS – S. en Marper t. Verenigd Koninkrijk, arrest van 4 december 2008, verzoek nr. 30562/04 en 30566/04. De eisers klagen over de het feit dat de autoriteiten hun digitale vingerafdrukken, celweefselstalen en DNA-profielen bewaren na een vonnis, respectievelijk vrijspraak en een klassering zonder gevolg met betrekking tot een starrechtelijk onderzoek dat naar hen werd gevoerd. Zij beroepen zich op de artikelen 8 (recht op eerbiediging van het privé-, en gezinsleven) en artikel 14 (discriminatie op grond van religieuze overtuiging bij de uitoefening van het recht op eerbiediging van het gezinsleven). TOEGELATEN VERWERKING
§ 2 Toegelaten verwerking INTERNATIONALE WETGEVING – Artikel 9 1) en 2) van het Verdrag nr. 108 van de Raad van Europa tot bescherming van personen ten opzichte van de geautomatiseerde verwerking van persoonsgegevens (1981): van het in de artikelen 5 (¨kwaliteit van de gegevens), 6 (bijzondere categorieën gegevens) en 8 van, dit Verdrag bepaalde kan worden afgeweken, indien de wet in een dergelijke afwijking voorziet en het hier een maatregel betreft die in een democratische samenleving noodzakelijk is ten behoeve van: - de bescherming van de veiligheid van de Staat, de openbare veiligheid, de geldelijke belangen van de Staat of de bestrijding van strafbare feiten; - de bescherming van de betrokkene en van de rechten en vrijheden van anderen.
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
115
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 8)
– Artikel 8 § 5 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): verwerkingen van gegevens inzake overtredingen, strafrechtelijke veroordelingen of veiligheidsmaatregelen mogen alleen worden verricht onder toezicht van de overheid of indien de nationale wetgeving voorziet in passende specifieke waarborgen, behoudens afwijkingen die een Lid-Staat kan toestaan uit hoofde van nationale bepalingen welke passende en specifieke waarborgen bieden. Een volledig register van strafrechtelijke veroordelingen mag alleen worden bijgehouden onder toezicht van de overheid. De Lid-Staten kunnen voorschrijven dat ook verwerkingen van gegevens inzake administratieve sancties of burgerrechtelijke beslissingen onder toezicht van de overheid kunnen worden verricht. TER UITOEFENING VAN EEN TAAK ONDER TOEZICHT VAN GERECHTELIJKE OVERHEID
§ 2, a), Ter uitoefening van een taak onder toezicht van gerechtelijke overheid RECHTSPRAAK VAN HET EUROPESE HOF VOOR DE RECHTEN VAN DE MENS – Petre t. Roemenië van 27 juni 2006, verzoek nr. 71649/01 (schending van artikel 6 § 1 van het Verdrag). Voorlopige inschrijving in het strafregister. Verzoek om schrapping van de gegevens. De verzoeker beklaagt zich over de invloed ervan op zijn privé- en beroepsleven. – Bouchacourt t. Frankrijk van 17 december 2009 (verzoek nr. 5335/06) : De verzoeker beklaagde zich over zijn inschrijving in het geautomatiseerde gerechtelijk bestand van de daders van seksuele of geweldmisdrijven terwijl hij al zijn straf had uitgezeten. Geen inbreuk van artikel 8 van het Verdrag – juist evenwicht tussen de meespelende privé- en publieke belangen. DOEL DOOR OF KRACHTENS WET VASTGESTELD
§ 2, b), Ter verwezenlijking doel door of krachtens wet vastgesteld 1. RECHTSPRAAK VAN HET EUROPESE HOF VAN JUSTITIE – HvJ EG, arrest van 29 januari 2008, Productores de Música de España (Promusicae) tegen Telefónica de España SAU, In zaak C-275/06. Hoofdgeding en prejudiciële vraag 29. Promusicae is een vereniging zonder winstoogmerk waarvan de leden producenten en uitgevers van muzikale en audiovisuele opnamen zijn. Bij brief van 28 november 2005 heeft zij bij de Juzgado de lo Mercantil nº 5 de Madrid een verzoek ingediend om voorlopige maatregelen te gelasten tegen Telefónica, een handelsvennootschap die met name actief is als internetprovider. 30. Promusicae heeft verzocht om Telefónica te gelasten, de identiteit en het adres te verstrekken van bepaalde personen aan wie zij internettoegang verschaft en van wie het "IP-adres" en de datum en het uur waarop zij met internet verbonden zijn geweest, bekend is. Volgens Promusicae gebruiken deze personen het zogenaamde "peer-to-peer"- of "p2p"-programma "KaZaA", dat dient voor het uitwisselen van bestanden, en verlenen zij via de gedeelde map van hun personal computer toegang tot muzieknummers waarvan de exploitatierechten toebehoren aan de leden van Promusicae. 31. Promusicae heeft voor de verwijzende rechter gesteld dat de gebruikers van KaZaA zich schuldig maken aan oneerlijke mededinging en de intellectuele-eigendomsrechten schenden. Zij heeft dus de mededeling van bovengenoemde gegevens gevorderd om tegen de betrokkenen civiele procedures te kunnen instellen. 32. Bij beschikking van 21 december 2005 heeft de Juzgado de lo Mercantil nº 5 de Madrid het verzoek om voorlopige maatregelen van Promusicae ingewilligd. 33. Telefónica heeft tegen deze beschikking verzet aangetekend. Zij stelt dat volgens de LSSI de door Promusicae gevraagde gegevens slechts mogen worden verstrekt in het kader van een strafrechtelijk onderzoek of wanneer dit nodig is ter waarborging van de openbare veiligheid en de landsverdediging, maar niet in het kader van een civiele procedure of als voorlopige maatregel voorafgaand aan een dergelijke procedure. Volgens Promusicae daarentegen dient artikel 12 LSSI in overeenstemming met verschillende bepalingen van de richtlijnen 2000/31, 2001/29 en 2004/48 en met de artikelen 17, lid 2, en 47 van het Handvest te worden uitgelegd, die de Lid-Staten niet de mogelijkheid bieden om de verplichting tot verstrekking van de betrokken gegevens te beperken tot de in deze wet met name genoemde gevallen. 34. In deze omstandigheden heeft de Juzgado de lo Mercantil nº 5 de Madrid de behandeling van de zaak geschorst en het Hof de volgende prejudiciële vraag gesteld: "Kunnen de Lid-Staten volgens het gemeenschapsrecht en meer in het bijzonder de artikelen 15, lid 2, en 18 van richtlijn [2000/31], artikel 8, leden 1 en 2, van [richtlijn 2001/29], artikel 8 van richtlijn [2004/48] en de artikelen 17, lid 2, en 47 van het Handvest van de grondrechten van de Europese Unie bepalen dat operatoren van elektronische-communicatienetwerken en -diensten, telecomproviders en hostingproviders de verbindings- en verkeersgegevens betreffende elektronische communicaties die tijdens de verstrekking van een
116
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 8)
dienst van de informatiemaatschappij tot stand zijn gebracht, slechts ten behoeve van een strafrechtelijk onderzoek of ter waarborging van de openbare veiligheid en de landsverdediging, en dus niet ten behoeve van civiele procedures, dienen te bewaren en ter beschikking te stellen?" (...). 45. Verder wordt niet betwist dat de door Promusicae gevorderde mededeling van de naam en het adres van bepaalde gebruikers van KaZaA impliceert dat persoonsgegevens ter beschikking worden gesteld, dat wil zeggen - volgens de definitie van artikel 2, sub a, van richtlijn 95/46 - informatie betreffende geïdentificeerde of identificeerbare natuurlijke personen (zie in die zin arrest van 6 november 2003, Lindqvist, C-101/01, Jurispr. blz. I-12971, punt 24). Deze verstrekking van informatie die volgens Promusicae door Telefónica wordt opgeslagen - wat deze laatste niet betwist - vormt een verwerking van persoonsgegevens in de zin van artikel 2, eerste alinea, van richtlijn 2002/58, gelezen in samenhang met artikel 2, sub b, van richtlijn 95/46. 46. Vastgesteld dient dus te worden dat deze informatieverstrekking binnen de werkingssfeer van richtlijn 2002/58 valt, met dien verstande dat de verenigbaarheid van de opslag zelf van de gegevens met de vereisten van de richtlijn in het hoofdgeding niet aan de orde is. (...). 49. Verder bepaalt artikel 15, lid 1, van richtlijn 2002/58 dat de Lid-Staten wettelijke maatregelen kunnen treffen ter beperking van de reikwijdte van met name de verplichting om het vertrouwelijke karakter van de verkeersgegevens te garanderen, indien dat in een democratische samenleving noodzakelijk, redelijk en proportioneel is ter waarborging van de nationale veiligheid, dat wil zeggen de staatsveiligheid, de landsverdediging, de openbare veiligheid, of het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten of van onbevoegd gebruik van het elektronische-communicatiesysteem als bedoeld in artikel 13, lid 1, van richtlijn 95/46. 50. Artikel 15, lid 1, van richtlijn 2002/58 biedt de Lid-Staten dus de mogelijkheid om uitzonderingen vast te stellen op de krachtens artikel 5 van deze richtlijn op hen rustende principiële verplichting om het vertrouwelijke karakter van persoonsgegevens te garanderen. 51. Geen van deze uitzonderingen lijkt evenwel betrekking te hebben op situaties waarin civiele procedures dienen te worden ingesteld. Zij betreffen immers enerzijds de nationale veiligheid, de landsverdediging en de openbare veiligheid, die behoren tot het specifieke activiteitendomein van de staten of de overheidsdiensten, dat met de activiteiten van particulieren niets van doen heeft (zie in die zin arrest Lindqvist, reeds aangehaald, punt 43), en anderzijds de vervolging van strafrechtelijke inbreuken. 53. Evenwel dient te worden vastgesteld dat artikel 15, lid 1, van richtlijn 2002/58 de opsomming van bovengenoemde uitzonderingen afsluit met een uitdrukkelijke verwijzing naar artikel 13, lid 1, van richtlijn 95/46. Volgens deze bepaling kunnen de Lid-Staten wettelijke maatregelen treffen ter beperking van de verplichting om persoonsgegevens vertrouwelijk te behandelen, indien dit noodzakelijk is voor de bescherming van de rechten en vrijheden van anderen. Aangezien artikel 15, lid 1, van richtlijn 2002/58 niet preciseert om welke rechten en vrijheden het gaat, moet deze bepaling aldus worden uitgelegd dat hieruit de wil van de wetgever blijkt om noch de bescherming van het eigendomsrecht, noch gevallen waarin de houders van auteursrechten ter bescherming van dit eigendomsrecht een civiele procedure instellen, van de werkingssfeer ervan uit te sluiten. 54. Vastgesteld dient dus te worden dat richtlijn 2002/58 niet uitsluit dat de Lid-Staten de verplichting opleggen om in het kader van een civiele procedure persoonsgegevens mee te delen. 55. Artikel 15, lid 1, van deze richtlijn kan evenwel niet aldus worden uitgelegd dat het de Lid-Staten dwingt om in de daarin genoemde gevallen een dergelijke verplichting op te leggen. (...). 65. Het onderhavige verzoek om een prejudiciële beslissing werpt aldus de vraag op hoe de vereisten inzake de bescherming van verschillende grondrechten, namelijk enerzijds het recht op eerbiediging van de persoonlijke levenssfeer en anderzijds het recht op bescherming van de eigendom en het recht op een doeltreffend beroep, met elkaar kunnen worden verzoend. 68. Bij de omzetting van bovengenoemde richtlijnen moeten de Lid-Staten niettemin erop toezien dat zij zich baseren op een uitlegging daarvan die het mogelijk maakt een juist evenwicht tussen de verschillende door de communautaire rechtsorde beschermde grondrechten te verzekeren. Bij de tenuitvoerlegging van de maatregelen ter omzetting van deze richtlijnen moeten de autoriteiten en de rechterlijke instanties van de Lid-Staten vervolgens niet alleen hun nationale recht conform deze richtlijnen uitleggen, maar er ook op toezien dat zij zich niet baseren op een uitlegging van deze richtlijnen die in conflict zou komen met deze grondrechten of de andere algemene beginselen van gemeenschapsrecht, zoals het evenredigheidsbeginsel (zie in die zin arrest Lindqvist, reeds aangehaald, punt 87, en arrest van 26 juni 2007, Ordre des barreaux francophones et germanophone e.a., C-305/05, nog niet gepubliceerd in de Jurisprudentie, punt 28). – HvJ EG , beschikking van het Hof van 19 februari 2009, LSG-Gesellschaft zur Wahrnehmung von Leistungsschutzrechten GmbH tegen Tele2 Telecommunication GmbH, In zaak C-557/07. 24. Met zijn tweede vraag, die eerst moet worden behandeld, wenst de verwijzende rechter in wezen te vernemen of het gemeenschapsrecht, met name artikel 8, lid 3, van richtlijn 2004/48, gelezen in samenhang met de artikelen 6 en 15 van richtlijn 2002/58, zich ertegen verzet dat de Lid-Staten de verplichting opleggen, persoonsgebonden verkeersgegevens aan particuliere derden door te geven met het oog op de civielrechtelijke vervolging van inbreuken op het auteursrecht. 25. Het antwoord op die vraag kan duidelijk worden afgeleid uit de rechtspraak van het Hof.
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
117
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 8)
26. In punt 53 van het arrest Promusicae heeft het Hof immers geoordeeld dat één van de uitzonderingen van artikel 15, lid 1, van richtlijn 2002/58, dat uitdrukkelijk naar artikel 13, lid 1, van richtlijn 95/46 verwijst, betrekking heeft op de maatregelen die noodzakelijk zijn voor de bescherming van de rechten en vrijheden van anderen. Aangezien richtlijn 2002/58 niet preciseert om welke rechten en vrijheden het gaat, moet zij aldus worden uitgelegd dat hieruit de wil van de gemeenschapswetgever blijkt om noch de bescherming van het eigendomsrecht, noch gevallen waarin de houders van auteursrechten ter bescherming van dit eigendomsrecht een civiele procedure instellen, van de werkingssfeer ervan uit te sluiten. 27. Het Hof heeft daaruit in de punten 54 en 55 van het arrest Promusicae afgeleid dat richtlijn 2002/58, met name artikel 15, lid 1, daarvan, niet uitsluit dat de Lid-Staten de verplichting opleggen om in het kader van een civiele procedure persoonsgegevens mee te delen, maar dat zij de Lid-Staten evenmin dwingt om een dergelijke verplichting op te leggen. 28. Het Hof heeft overigens gepreciseerd dat diverse vereisten ervoor zorgen dat de vrijheid van de Lid-Staten om het recht op eerbiediging van het privéleven of het eigendomsrecht de overhand te geven, kleiner is. Zo dienen de Lid-Staten er bij de omzetting van de richtlijnen 2000/31, 2001/29, 2002/58 en 2004/48 acht op te slaan dat zij zich baseren op een uitlegging daarvan die het mogelijk maakt een juist evenwicht tussen de verschillende door de communautaire rechtsorde beschermde grondrechten te verzekeren. Bij de tenuitvoerlegging van de maatregelen ter omzetting van deze richtlijnen moeten de autoriteiten en de rechterlijke instanties van de Lid-Staten bovendien niet alleen hun nationale recht conform deze richtlijnen uitleggen, maar er ook acht op slaan dat zij zich niet baseren op een uitlegging van deze richtlijnen die in conflict zou komen met de grondrechten of de andere algemene beginselen van gemeenschapsrecht, zoals het evenredigheidsbeginsel (arrest Promusicae, reeds aangehaald, punt 70). 29. Op de tweede vraag moet dus worden geantwoord dat het gemeenschapsrecht, met name artikel 8, lid 3, van richtlijn 2004/48, gelezen in samenhang met artikel 15, lid 1, van richtlijn 2002/58, zich er niet tegen verzet dat de Lid-Staten de verplichting opleggen, persoonsgebonden verkeersgegevens aan particuliere derden door te geven met het oog op de civielrechtelijke vervolging van inbreuken op het auteursrecht. Het gemeenschapsrecht vereist echter dat de Lid-Staten er bij de omzetting van de richtlijnen 2000/31, 2001/29, 2002/58 en 2004/48 acht op slaan dat zij zich baseren op een uitlegging daarvan die het mogelijk maakt een juist evenwicht tussen de verschillende aan de orde zijnde grondrechten te verzekeren. Bij de tenuitvoerlegging van de maatregelen ter omzetting van deze richtlijnen moeten de autoriteiten en de rechterlijke instanties van de LidStaten bovendien niet alleen hun nationale recht conform deze richtlijnen uitleggen, maar er ook acht op slaan dat zij zich niet baseren op een uitlegging van deze richtlijnen die in conflict zou komen met deze grondrechten of de andere algemene beginselen van gemeenschapsrecht, zoals het evenredigheidsbeginsel. VOOR BEHEER EIGEN GESCHILLEN
§ 2, c), Voor beheer eigen geschillen RECHTSPRAAK VAN HET EUROPESE HOF VAN JUSTITIE – HvJ EG, arrest van 29 januari 2008, Productores de Música de España (Promusicae) tegen Telefónica de España SAU, In zaak C-275/06. Hoofdgeding en prejudiciële vraag 29. Promusicae is een vereniging zonder winstoogmerk waarvan de leden producenten en uitgevers van muzikale en audiovisuele opnamen zijn. Bij brief van 28 november 2005 heeft zij bij de Juzgado de lo Mercantil nº 5 de Madrid een verzoek ingediend om voorlopige maatregelen te gelasten tegen Telefónica, een handelsvennootschap die met name actief is als internetprovider. 30. Promusicae heeft verzocht om Telefónica te gelasten, de identiteit en het adres te verstrekken van bepaalde personen aan wie zij internettoegang verschaft en van wie het "IP-adres" en de datum en het uur waarop zij met internet verbonden zijn geweest, bekend is. Volgens Promusicae gebruiken deze personen het zogenaamde "peer-to-peer"- of "p2p"-programma "KaZaA", dat dient voor het uitwisselen van bestanden, en verlenen zij via de gedeelde map van hun personal computer toegang tot muzieknummers waarvan de exploitatierechten toebehoren aan de leden van Promusicae. 31. Promusicae heeft voor de verwijzende rechter gesteld dat de gebruikers van KaZaA zich schuldig maken aan oneerlijke mededinging en de intellectuele-eigendomsrechten schenden. Zij heeft dus de mededeling van bovengenoemde gegevens gevorderd om tegen de betrokkenen civiele procedures te kunnen instellen. 32. Bij beschikking van 21 december 2005 heeft de Juzgado de lo Mercantil nº 5 de Madrid het verzoek om voorlopige maatregelen van Promusicae ingewilligd. 33. Telefónica heeft tegen deze beschikking verzet aangetekend. Zij stelt dat volgens de LSSI de door Promusicae gevraagde gegevens slechts mogen worden verstrekt in het kader van een strafrechtelijk onderzoek of wanneer dit nodig is ter waarborging van de openbare veiligheid en de landsverdediging, maar niet in het kader van een civiele procedure of als voorlopige maatregel voorafgaand aan een dergelijke procedure. Volgens Promusicae daarentegen dient artikel 12 LSSI in overeenstemming met verschillende bepalingen van de richtlijnen 2000/31, 2001/29 en 2004/48 en met de artikelen 17, lid 2, en 47 van het Handvest te worden uit-
118
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 8)
gelegd, die de Lid-Staten niet de mogelijkheid bieden om de verplichting tot verstrekking van de betrokken gegevens te beperken tot de in deze wet met name genoemde gevallen. 34. In deze omstandigheden heeft de Juzgado de lo Mercantil nº 5 de Madrid de behandeling van de zaak geschorst en het Hof de volgende prejudiciële vraag gesteld: "Kunnen de Lid-Staten volgens het gemeenschapsrecht en meer in het bijzonder de artikelen 15, lid 2, en 18 van richtlijn [2000/31], artikel 8, leden 1 en 2, van [richtlijn 2001/29], artikel 8 van richtlijn [2004/48] en de artikelen 17, lid 2, en 47 van het Handvest van de grondrechten van de Europese Unie bepalen dat operatoren van elektronische-communicatienetwerken en -diensten, telecomproviders en hostingproviders de verbindings- en verkeersgegevens betreffende elektronische communicaties die tijdens de verstrekking van een dienst van de informatiemaatschappij tot stand zijn gebracht, slechts ten behoeve van een strafrechtelijk onderzoek of ter waarborging van de openbare veiligheid en de landsverdediging, en dus niet ten behoeve van civiele procedures, dienen te bewaren en ter beschikking te stellen?" (...). 45. Verder wordt niet betwist dat de door Promusicae gevorderde mededeling van de naam en het adres van bepaalde gebruikers van KaZaA impliceert dat persoonsgegevens ter beschikking worden gesteld, dat wil zeggen - volgens de definitie van artikel 2, sub a, van richtlijn 95/46 - informatie betreffende geïdentificeerde of identificeerbare natuurlijke personen (zie in die zin arrest van 6 november 2003, Lindqvist, C-101/01, Jurispr. blz. I-12971, punt 24). Deze verstrekking van informatie die volgens Promusicae door Telefónica wordt opgeslagen - wat deze laatste niet betwist - vormt een verwerking van persoonsgegevens in de zin van artikel 2, eerste alinea, van richtlijn 2002/58, gelezen in samenhang met artikel 2, sub b, van richtlijn 95/46. 46. Vastgesteld dient dus te worden dat deze informatieverstrekking binnen de werkingssfeer van richtlijn 2002/58 valt, met dien verstande dat de verenigbaarheid van de opslag zelf van de gegevens met de vereisten van de richtlijn in het hoofdgeding niet aan de orde is. (...). 49. Verder bepaalt artikel 15, lid 1, van richtlijn 2002/58 dat de Lid-Staten wettelijke maatregelen kunnen treffen ter beperking van de reikwijdte van met name de verplichting om het vertrouwelijke karakter van de verkeersgegevens te garanderen, indien dat in een democratische samenleving noodzakelijk, redelijk en proportioneel is ter waarborging van de nationale veiligheid, dat wil zeggen de staatsveiligheid, de landsverdediging, de openbare veiligheid, of het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten of van onbevoegd gebruik van het elektronische-communicatiesysteem als bedoeld in artikel 13, lid 1, van richtlijn 95/46. 50. Artikel 15, lid 1, van richtlijn 2002/58 biedt de Lid-Staten dus de mogelijkheid om uitzonderingen vast te stellen op de krachtens artikel 5 van deze richtlijn op hen rustende principiële verplichting om het vertrouwelijke karakter van persoonsgegevens te garanderen. 51. Geen van deze uitzonderingen lijkt evenwel betrekking te hebben op situaties waarin civiele procedures dienen te worden ingesteld. Zij betreffen immers enerzijds de nationale veiligheid, de landsverdediging en de openbare veiligheid, die behoren tot het specifieke activiteitendomein van de staten of de overheidsdiensten, dat met de activiteiten van particulieren niets van doen heeft (zie in die zin arrest Lindqvist, reeds aangehaald, punt 43), en anderzijds de vervolging van strafrechtelijke inbreuken. (...). 53. Evenwel dient te worden vastgesteld dat artikel 15, lid 1, van richtlijn 2002/58 de opsomming van bovengenoemde uitzonderingen afsluit met een uitdrukkelijke verwijzing naar artikel 13, lid 1, van richtlijn 95/46. Volgens deze bepaling kunnen de Lid-Staten wettelijke maatregelen treffen ter beperking van de verplichting om persoonsgegevens vertrouwelijk te behandelen, indien dit noodzakelijk is voor de bescherming van de rechten en vrijheden van anderen. Aangezien artikel 15, lid 1, van richtlijn 2002/58 niet preciseert om welke rechten en vrijheden het gaat, moet deze bepaling aldus worden uitgelegd dat hieruit de wil van de wetgever blijkt om noch de bescherming van het eigendomsrecht, noch gevallen waarin de houders van auteursrechten ter bescherming van dit eigendomsrecht een civiele procedure instellen, van de werkingssfeer ervan uit te sluiten. 54. Vastgesteld dient dus te worden dat richtlijn 2002/58 niet uitsluit dat de Lid-Staten de verplichting opleggen om in het kader van een civiele procedure persoonsgegevens mee te delen. 55. Artikel 15, lid 1, van deze richtlijn kan evenwel niet aldus worden uitgelegd dat het de Lid-Staten dwingt om in de daarin genoemde gevallen een dergelijke verplichting op te leggen. (...). 65. Het onderhavige verzoek om een prejudiciële beslissing werpt aldus de vraag op hoe de vereisten inzake de bescherming van verschillende grondrechten, namelijk enerzijds het recht op eerbiediging van de persoonlijke levenssfeer en anderzijds het recht op bescherming van de eigendom en het recht op een doeltreffend beroep, met elkaar kunnen worden verzoend. (...). 68. Bij de omzetting van bovengenoemde richtlijnen moeten de Lid-Staten niettemin erop toezien dat zij zich baseren op een uitlegging daarvan die het mogelijk maakt een juist evenwicht tussen de verschillende door de communautaire rechtsorde beschermde grondrechten te verzekeren. Bij de tenuitvoerlegging van de maatregelen ter omzetting van deze richtlijnen moeten de autoriteiten en de rechterlijke instanties van de Lid-Staten vervolgens niet alleen hun nationale recht conform deze richtlijnen uitleggen, maar er ook op toezien dat zij zich niet baseren op een uitlegging van deze richtlijnen die in conflict zou komen met deze grondrechten of de andere algemene beginselen van gemeenschapsrecht, zoals het evenredigheidsbeginsel (zie in die zin arrest
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
119
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 8)
Lindqvist, reeds aangehaald, punt 87, en arrest van 26 juni 2007, Ordre des barreaux francophones et germanophone e.a., C-305/05, nog niet gepubliceerd in de Jurisprudentie, punt 28). – HvJ EG , beschikking van het Hof van 19 februari 2009, LSG-Gesellschaft zur Wahrnehmung von Leistungsschutzrechten GmbH tegen Tele2 Telecommunication GmbH, In zaak C-557/07. 24. Met zijn tweede vraag, die eerst moet worden behandeld, wenst de verwijzende rechter in wezen te vernemen of het gemeenschapsrecht, met name artikel 8, lid 3, van richtlijn 2004/48, gelezen in samenhang met de artikelen 6 en 15 van richtlijn 2002/58, zich ertegen verzet dat de Lid-Staten de verplichting opleggen, persoonsgebonden verkeersgegevens aan particuliere derden door te geven met het oog op de civielrechtelijke vervolging van inbreuken op het auteursrecht. 25. Het antwoord op die vraag kan duidelijk worden afgeleid uit de rechtspraak van het Hof. 26. In punt 53 van het arrest Promusicae heeft het Hof immers geoordeeld dat één van de uitzonderingen van artikel 15, lid 1, van richtlijn 2002/58, dat uitdrukkelijk naar artikel 13, lid 1, van richtlijn 95/46 verwijst, betrekking heeft op de maatregelen die noodzakelijk zijn voor de bescherming van de rechten en vrijheden van anderen. Aangezien richtlijn 2002/58 niet preciseert om welke rechten en vrijheden het gaat, moet zij aldus worden uitgelegd dat hieruit de wil van de gemeenschapswetgever blijkt om noch de bescherming van het eigendomsrecht, noch gevallen waarin de houders van auteursrechten ter bescherming van dit eigendomsrecht een civiele procedure instellen, van de werkingssfeer ervan uit te sluiten. 27. Het Hof heeft daaruit in de punten 54 en 55 van het arrest Promusicae afgeleid dat richtlijn 2002/58, met name artikel 15, lid 1, daarvan, niet uitsluit dat de Lid-Staten de verplichting opleggen om in het kader van een civiele procedure persoonsgegevens mee te delen, maar dat zij de Lid-Staten evenmin dwingt om een dergelijke verplichting op te leggen. 28. Het Hof heeft overigens gepreciseerd dat diverse vereisten ervoor zorgen dat de vrijheid van de Lid-Staten om het recht op eerbiediging van het privéleven of het eigendomsrecht de overhand te geven, kleiner is. Zo dienen de Lid-Staten er bij de omzetting van de richtlijnen 2000/31, 2001/29, 2002/58 en 2004/48 acht op te slaan dat zij zich baseren op een uitlegging daarvan die het mogelijk maakt een juist evenwicht tussen de verschillende door de communautaire rechtsorde beschermde grondrechten te verzekeren. Bij de tenuitvoerlegging van de maatregelen ter omzetting van deze richtlijnen moeten de autoriteiten en de rechterlijke instanties van de Lid-Staten bovendien niet alleen hun nationale recht conform deze richtlijnen uitleggen, maar er ook acht op slaan dat zij zich niet baseren op een uitlegging van deze richtlijnen die in conflict zou komen met de grondrechten of de andere algemene beginselen van gemeenschapsrecht, zoals het evenredigheidsbeginsel (arrest Promusicae, reeds aangehaald, punt 70). 29. Op de tweede vraag moet dus worden geantwoord dat het gemeenschapsrecht, met name artikel 8, lid 3, van richtlijn 2004/48, gelezen in samenhang met artikel 15, lid 1, van richtlijn 2002/58, zich er niet tegen verzet dat de Lid-Staten de verplichting opleggen, persoonsgebonden verkeersgegevens aan particuliere derden door te geven met het oog op de civielrechtelijke vervolging van inbreuken op het auteursrecht. Het gemeenschapsrecht vereist echter dat de Lid-Staten er bij de omzetting van de richtlijnen 2000/31, 2001/29, 2002/58 en 2004/48 acht op slaan dat zij zich baseren op een uitlegging daarvan die het mogelijk maakt een juist evenwicht tussen de verschillende aan de orde zijnde grondrechten te verzekeren. Bij de tenuitvoerlegging van de maatregelen ter omzetting van deze richtlijnen moeten de autoriteiten en de rechterlijke instanties van de LidStaten bovendien niet alleen hun nationale recht conform deze richtlijnen uitleggen, maar er ook acht op slaan dat zij zich niet baseren op een uitlegging van deze richtlijnen die in conflict zou komen met deze grondrechten of de andere algemene beginselen van gemeenschapsrecht, zoals het evenredigheidsbeginsel. BIJZONDERE VOORWAARDEN
§ 4 Bijzondere voorwaarden bij Koninklijk Besluit KONINKLIJK BESLUIT VAN 13 FEBRUARI 2001 – Artikel 25 van het Koninklijk besluit van 13 februari 2001 ter uitvoering van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (2001): Bij de verwerking van persoonsgegevens bedoeld in de artikelen 6 tot 8 van de wet moet de verantwoordelijke voor de verwerking bovendien de volgende maatregelen nemen: 1. hij of, in voorkomend geval, de verwerker moet de categorieën van personen die de persoonsgegevens kunnen raadplegen, aanwijzen waarbij hun hoedanigheid ten opzichte van de verwerking van de betrokken gegevens nauwkeurig moet worden omschreven; 2. hij of, in voorkomend geval, de verwerker moet de lijst van de aldus aangewezen categorieën van personen ter beschikking houden van de Commissie; 3. hij moet ervoor zorgen dat de aangewezen personen door een wettelijke of statutaire verplichting, of door een evenwaardige contractuele bepaling ertoe gehouden zijn het vertrouwelijk karakter van de betrokken gegevens in acht te nemen;
120
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 9)
4. hij moet in de kennisgeving die krachtens artikel 9 van de wet aan de betrokken persoon moet worden gedaan of in de aangifte bedoeld in artikel 17, § 1, van de wet melding maken van de wet of verordening op grond waarvan de verwerking van persoonsgegevens bedoeld in de artikelen 6 tot 8 van de wet is toegestaan.
HOOFDSTUK III }1
[RECHTEN VAN DE BETROKKENE]1
}1. Opschrift vervangen bij art. 12 wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001)
INTERNATIONALE WETGEVING – Overweging 25 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): Overwegende dat de beginselen van de bescherming enerzijds tot uiting moeten komen in de verplichtingen die aan de personen, overheidsinstanties, ondernemingen of andere lichamen die de verwerkingen uitvoeren, worden opgelegd, verplichtingen die met name betrekking hebben op de kwaliteit van de gegevens, de technische beveiliging, de aanmelding bij de toezichthoudende autoriteit en de omstandigheden waarin de verwerking kan worden uitgevoerd, en anderzijds in het feit dat aan personen wier gegevens het voorwerp van verwerkingen zijn, het recht wordt verleend om daarvan in kennis te worden gesteld, tot die gegevens toegang te krijgen, de rectificatie ervan te verlangen en zelfs om zich in bepaalde omstandigheden tegen verwerking te verzetten. – International Standards on the Protection of Personal Data and Privacy (2009) (The Madrid Resolution): resolutie goedgekeurd op 5 november 2009 door de Internationale Conferentie van de commissarissen voor de bescherming van gegevens en de privacy. Principe nr. 11: Accountability principle: The responsible person shall: a. Take all the necessary measures to observe the principles and obligations set out in this Document and in the applicable national legislation, and b. Have the necessary internal mechanisms in place for demonstrating such observance both to data subjects and to the supervisory authorities in the exercise of their powers, as established in section 23.
Art. 9. }1[§ 1. Indien persoonsgegevens betreffende de betrokkene bij hemzelf worden verkregen, moet de verantwoordelijke voor de verwerking of diens vertegenwoordiger uiterlijk op het moment dat de gegevens worden verkregen aan de betrokkene ten minste de hierna volgende informatie verstrekken, behalve indien hij daarvan reeds op de hoogte is: a) de naam en het adres van de verantwoordelijke voor de verwerking en, in voorkomend geval, van diens vertegenwoordiger; b) de doeleinden van de verwerking; c) het bestaan van een recht om zich op verzoek en kosteloos tegen de voorgenomen verwerking van hem betreffende persoonsgegevens te verzetten, indien de verwerking verricht wordt met het oog op direct marketing; d) andere bijkomende informatie, met name: – de ontvangers of de categorieën ontvangers van de gegevens, – het al dan niet verplichte karakter van het antwoord en de eventuele gevolgen van niet-beantwoording, – het bestaan van een recht op toegang en op verbetering van de persoonsgegevens die op hem betrekking hebben; behalve indien die verdere informatie, met inachtneming van de specifieke omstandigheden waaronder de persoonsgegevens verkregen worden, niet nodig is om tegenover de betrokkene een eerlijke verwerking te waarborgen; e) andere informatie afhankelijk van de specifieke aard van de verwerking, die wordt opgelegd door de Koning na advies van de Commissie voor de bescherming van de persoonlijke levenssfeer. § 2. Indien de persoonsgegevens niet bij de betrokkene zijn verkregen, moet de verantwoordelijke voor de
verwerking of zijn vertegenwoordiger, op het moment van de registratie van de gegevens of wanneer mededeling van de gegevens aan een derde wordt overwogen, uiterlijk op het moment van de eerste mededeling van de gegevens, ten minste de volgende informatie verstrekken, tenzij de betrokkene daarvan reeds op de hoogte is: a) de naam en het adres van de verantwoordelijke voor de verwerking en, in voorkomend geval, van diens vertegenwoordiger; b) de doeleinden van de verwerking; c) het bestaan van een recht om zich op verzoek en kosteloos tegen de voorgenomen verwerking van hem betreffende persoonsgegevens te verzetten, indien de verwerking verricht wordt met het oog op direct marketing; in dit geval dient de betrokkene in kennis te worden gesteld vooraleer de persoonsgegevens voor de eerste keer aan een derde worden verstrekt of voor rekening van derden worden gebruikt voor direct marketing; d) andere bijkomende informatie, met name: – de betrokken gegevenscategorieën; – de ontvangers of de categorieën ontvangers; – het bestaan van een recht op toegang en op verbetering van de persoonsgegevens die op hem betrekking hebben; behalve indien die verdere informatie, met inachtneming van de specifieke omstandigheden waaronder de gegevens verwerkt worden, niet nodig is om tegenover de betrokkene een eerlijke verwerking te waarborgen; e) andere informatie afhankelijk van de specifieke aard van de verwerking, die wordt opgelegd door de Koning na advies van de Commissie voor de bescherming van de persoonlijke levenssfeer. De verantwoordelijke voor de verwerking wordt van de in deze paragraaf bedoelde kennisgeving vrijgesteld:
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
121
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 9)
a) wanneer, met name voor statistische doeleinden of voor historisch of wetenschappelijk onderzoek of voor bevolkingsonderzoek met het oog op de bescherming en de bevordering van de volksgezondheid, de kennisgeving aan de betrokkene onmogelijk blijkt of onevenredig veel moeite kost; b) wanneer de registratie of de verstrekking van de persoonsgegevens verricht wordt met het oog op de toepassing van een bepaling voorgeschreven door of krachtens een wet, een decreet of een ordonnantie. De Koning bepaalt bij een in ministerraad overlegd besluit na advies van de Commissie voor de bescherming van de persoonlijke levenssfeer de voorwaarden voor de toepassing van het vorige lid.
Indien de eerste mededeling van de gegevens geschiedde vóór de inwerkingtreding van deze bepaling, moet de mededeling van de informatie, in afwijking van het eerste lid, uiterlijk geschieden binnen een termijn van 3 jaar vanaf de datum van inwerkingtreding van deze bepaling. De informatie moet evenwel niet worden meegedeeld indien de verantwoordelijke voor de verwerking was vrijgesteld van de verplichting om de betrokkene in kennis te stellen van de registratie van de gegevens krachtens de wettelijke en reglementaire bepalingen van toepassing op de dag voorafgaand aan de datum van inwerkingtreding van deze bepaling.]1 }1. – Vervangen bij art. 13 wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001)
INFORMATIEVERPLICHTING VAN DE VERANTWOORDELIJKE BIJ OPNAME PERSOONSGEGEVENS KENNISGEVING AAN DE BETROKKENE BIJ OPNAME PERSOONSGEGEVENS Overtreden strafbaar gesteld: zie art. 39, 9°, 40 en 41 WVP
§ 1 Informatieverplichting van de verantwoordelijke bij opname persoonsgegevens, kennisgeving aan de betrokkene bij opname persoonsgegevens INTERNATIONALE WETGEVING – Artikel 8 a) van het Verdrag nr. 108 van de Raad van Europa tot bescherming van personen ten opzichte van de geautomatiseerde verwerking van persoonsgegevens (1981): een ieder dient in staat te worden gesteld kennis te nemen van het bestaan van een geautomatiseerd bestand van persoonsgegevens, de voornaamste doeleinden hiervan, alsmede de identiteit en de gewone verblijfplaats of de hoofdvestiging van de houder van het bestand. – Zie Recommendation No.R(85)20 of the Committee of Ministers to Member States on the protection of personal data used for the purposes of direct marketing (1985). – Recommendation No.R(86)1 of the Committee of Ministers to Member States on the protection of personal data used for social security purposes (1986) - (punt 3): 3.2. wherever possible, personal data should be obtained by the social security institutions from the person concerned. 3.3. Social security institutions may, if appropriate, consult other sources as provided for by domestic law. However, personal data of a sensitive nature may be obtained from other sources only with the informed and express consent of the person concerned or in accordance with other safeguards laid down by domestic law. – Recommendation No. R(89)2 of the Committee of Ministers to Member States on the protection of personal data used for employment purposes (1989): 3.1. in accordance with domestic law or practice and, where appropriate, in accordance with relevant collective agreements, employers should, in advance, fully inform or consult their employees or the representatives of the latter about the introduction or adaptation of automated systems for the collection and use of personal data of employees. This principle also applies to the introduction or adaptation of technical devices designed to monitor the movements or productivity of employees. 3.2. The agreement of employees or their representatives should be sought before the introduction or adaptation of such systems or devices where the consultation procedure referred to in paragraph 3.1 reveals a possibility of infringement of employees' right to respect for privacy and human dignity unless domestic law or practice provides other appropriate safeguards. – Recommendation No. R(89)2 of the Committee of Ministers to Member States on the protection of personal data used for employment purposes (1989): 4.1. Personal data should in principle be obtained from the individual employee. The individual concerned should be informed when it is appropriate to consult sources outside the employment relationship. – Recommendation No. R(89)2 of the Committee of Ministers to Member States on the protection of personal data used for employment purposes (1989): 4.3. In the course of a recruitment procedure, the data collected should be limited to such as are necessary to evaluate the suitability of prospective candidates and their career potential. In the course of such a procedure, personal data should be obtained solely from the individual concerned. Subject to provisions of domestic law, sources other than the individual may only be consulted with his consent or if he has been informed in advance of this possibility.
122
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 9)
4.4. Recourse to tests, analyses and similar procedures designed to assess the character or personality of the individual should not take place without his consent or unless domestic law provides other appropriate safeguards. If he so wishes, he should be informed of the results of these tests. – Recommendation No. R(97)5 of the Committee of Ministers to Member States on the protection of medical data (1997) - (punt 4.2.) Medical data shall in principle be obtained from the data subject. They may only be obtained from other sources if in accordance with Principles 4, 6 and 7 of this recommendation and if this is necessary to achieve the purpose of the processing or if the data subject is not in a position to provide the data. Zie ook punt 5 over de inhoud van de kennisgeving. 5.3. De kennisgeving aan de betrokken persoon zou bij voorkeur individueel moeten gebeuren. – Recommendation No.R(97)5 of the Committee of Ministers to Member States on the protection of medical data (1997) - (punt 5.4.): before a genetic analysis is carried out, the data subject should be informed about the objectives of the analysis and the possibility of unexpected findings. – Recommendation No.R(2002)9 of the Committee of Ministers to Member States on the protection of personal data collected and processed for insurance purposes (2002) - (punt 5.4.): information for the data subject must be appropriate and adapted to the circumstances. – Artikel 10 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): de Lid-Staten bepalen dat de voor de verwerking verantwoordelijke of diens vertegenwoordiger aan de betrokkene, bij wie de betrokkene zelf betreffende gegevens worden verkregen, ten minste de hierna volgende informatie moet verstrekken, behalve indien de betrokkene daarvan reeds op de hoogte is: a) de identiteit van de voor de verwerking verantwoordelijke en, in voorkomend geval, van diens vertegenwoordiger; b) de doeleinden van de verwerking waarvoor de gegevens zijn bestemd; c) verdere informatie zoals: - de ontvangers of de categorieën ontvangers van de gegevens; - antwoord op de vraag of men al dan niet verplicht is om te antwoorden en de eventuele gevolgen van nietbeantwoording; - het bestaan van een recht op toegang tot zijn eigen persoonsgegevens en op rectificatie van deze gegevens; voor zover die, met inachtneming van de specifieke omstandigheden waaronder de verdere informatie verkregen wordt, nodig is om tegenover de betrokkene een eerlijke verwerking te waarborgen. – Overweging 38 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): overwegende dat eerlijke verwerking van gegevens veronderstelt dat de betrokkenen van het bestaan van de verwerkingen op de hoogte kunnen zijn en, wanneer van hen gegevens worden verkregen, daadwerkelijk en volledig worden ingelicht over de omstandigheden waaronder deze gegevens worden verkregen; – Artikel 12, § 1 van de Verordening (EG) nr. 45/2001 van het Europees Parlement en de Raad van 18 december 2000 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de communautaire instellingen en organen en betreffende het vrije verkeer van die gegevens (2000): 1. Naast de inlichtingen vereist door de Richtlijn 95/46/EG (artikel 10), stelt deze bepaling dat de verantwoordelijke voor de verwerking deelt ten minste (...) f) verdere informatie mee zoals: i) de rechtsgrondslag van de verwerking waarvoor de gegevens bestemd zijn, ii) de termijn gedurende welke de gegevens worden bewaard, iii) het recht om de Europese Toezichthouder voor gegevensbescherming te allen tijde aan te zoeken; voorzover die verdere informatie, met inachtneming van de bijzondere omstandigheden waaronder de gegevens worden verzameld, nodig is om tegenover de betrokkene eerlijke verwerking te waarborgen. 2. In afwijking van lid 1 mag mededeling van informatie of van een deel ervan, met uitzondering van de informatie bedoeld in lid 1, punten a), b) en d) worden uitgesteld zolang dit noodzakelijk is voor statistische doeleinden. De informatie wordt meegedeeld zodra de reden waarom zij werd achtergehouden, niet meer bestaat. – International Standards on the Protection of Personal Data and Privacy (2009) (The Madrid Resolution): resolutie goedgekeurd op 5 november 2009 door de Internationale Conferentie van de commissarissen voor de bescherming van gegevens en de privacy. Principe nr.10: Openness principle: 1. Every responsible person shall have transparent policies with regard to the processing of personal data. 2. The responsible person shall provide to the data subjects, as a minimum, information about the responsible person’s identity, the intended purpose of processing, the recipients to whom their personal data will be disclosed and how data subjects may exercise the rights provided in this Document, as well as any further information necessary to guarantee fair processing of such personal data. 3. When personal data have been collected directly from the data subject, the information must be provided at the time of collection, unless it has already been provided. (…) 5. Any information to be furnished to the data subject must be provided in an intelligible form, using a clear and plain language, in particular for any processing
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
123
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 9)
addressed specifically to minors. 6. Where personal data are collected on line by means of electronic communications networks, the obligations set out in the first and second paragraphs of this section may be satisfied by posting privacy policies that are easy to access and identify and include all the information mentioned above.
2. ADVIEZEN VAN DE GROEP 29 – Groep 29, Working Document 1/2008 on the protection of children's personal data (General guidelines and the special case of schools), (18 februari 2008, WP 147) en Groep 29, Advies 2/2009 over de bescherming van persoonsgegevens van kinderen (Algemene richtlijnen en het bijzondere geval van scholen), (11 februari 2009, WP 160): it should be pointed out that the consent requirement under the Directive goes hand in hand with the obligation to adequately inform data subjects (Art. 10, 11, 14). The Working Party has already had the opportunity to address information requirements in several documents; in particular, the Opinion on more harmonised information provision (WP 100) and the Recommendation on certain minimum requirements for collecting personal data online in the EU (WP 43) should be taken into account as they provide clear guidance. In the context of providing information to children, special emphasis should be put on giving layered notices based on the use of simple, concise and educational language that can be easily understood. A shorter notice should contain the basic information to be provided when collecting personal data either directly from the data subject or from a third party (Article 10 and 11). This should be accompanied by a more detailed notice, perhaps via a hyperlink, where all the relevant details are provided. As the Working Party has noted in its recommendation about online data processing, it is fundamental for the notices to be posted at the right place and time - i.e. they should be shown directly on the screen, prior to collecting the information. As well as being a requirement under the Directive, this is especially important as a tool to raise children's awareness of the possible risks and dangers arising out of online activities. Indeed, itmight be argued that in the online environment, unlike in the real world, this is the only opportunity for children to be apprised of such dangers. – Groep 29, Advies 1/2008 over gegevensbescherming en zoekmachines (4 april 2008, WP 148). De verplichting om personen mee te delen dat er gegevens over hen worden verwerkt, is een van de fundamentele uitgangspunten van de richtlijn over gegevensbescherming. Artikel 10 regelt de verstrekking van deze informatie wanneer de gegevens rechtstreeks van de betrokkene worden verkregen. De gegevensverwerkers moeten de betrokkene de volgende informatie te verstrekken: – de identiteit van de voor de verwerking verantwoordelijke en, in voorkomend geval, diens vertegenwoordiger; – de doeleinden van de verwerking waarvoor de gegevens zijn bestemd; – verdere informatie, zoals: - de gegevensontvangers of categorieën gegevensontvangers; - het feit of antwoorden op de vragen verplicht of vrijwillig is en de eventuele gevolgen van niet-beantwoording; - het bestaan van het recht van toegang tot de eigen persoonsgegevens en op correctie van die gegevens. Als partij die verantwoordelijk is voor de verwerking van de gebruikersgegevens dient de exploitant van een zoekmachine gebruikers duidelijk te maken welke informatie over hen wordt verzameld en waarvoor deze wordt gebruikt. Wanneer persoonsgegevens worden verzameld, dient het gebruiksdoel altijd beknopt te worden beschreven, ook wanneer elders een uitvoeriger beschrijving beschikbaar is. Gebruikers moeten op dezelfde manier worden geïnformeerd over software die bij gebruik van de website op hun computer kan worden geplaatst, zoals cookies, en over de wijze waarop deze software kan worden geweigerd of verwijderd. De werkgroep is van oordeel dat zoekmachines deze informatie moeten verschaffen om eerlijke verwerking te waarborgen. – Groep 29, Tweede advies 4/2009 over de Internationale Standaard van het Wereldantidopingagentschap (WADA) voor de bescherming van de persoonlijke levenssfeer en persoonsgegevens, aanverwante bepalingen van de WADA-code en andere privacyvraagstukken in de context van de bestrijding van doping in de sport door het WADA en (nationale) antidopingorganisaties (6 februari 2009, WP 162): de Groep wijst er tevens op dat de formulering "een deelnemer [...] redelijk toegang moet [...] hebben tot informatie" in de opmerking bij artikel 7.2 de informatierechten van de betrokkenen verzwakt. De Groep herinnert eraan dat het recht van de betrokkene om te worden geïnformeerd wezenlijk is en onderdeel is van de verplichting tot transparantie van de gegevensverwerking. In de opmerking bij artikel 7.2 wordt voorts gesteld dat elke antidopingorganisatie ervoor moet zorgen dat haar verwerking van persoonsgegevens redelijk transparant is voor de deelnemers. De Groep stelt voor het woord "redelijk" te schrappen. In de opmerking van de aan de Groep 29 voor advies voorgelegde norm wordt een in de tijd beperkte uitzondering op de informatieverstrekking gemaakt. De Groep begrijpt wat de reden is voor de uitzonderingsbepaling, maar stelt er toch prijs op aan de desbetreffende wettelijke voorschriften te herinneren: Richtlijn 95/46/EG voorziet in een beperking van de informatieplicht in uitzonderlijke omstandigheden, namelijk "indien, met name voor statistische doeleinden of voor historisch of wetenschappelijk onderzoek, verstrekking van informatie aan de betrokkene onmogelijk blijkt of onevenredig veel moeite kost of indien de registratie of verstrekking bij wet is voorgeschreven". Deze beperkingen dienen strikt te worden uitgelegd. – Groep 29, Advies 5/2009 over online sociale netwerken (12 juni 2009, WP 163): artikel 10 van de richtlijn gegevensbescherming bepaalt dat aanbieders van sociale netwerkdiensten gebruikers moeten informeren
124
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 9)
over de identiteit van de aanbieder en de verschillende doeleinden waarvoor de persoonsgegevens van de voornoemde gebruikers worden verwerkt, zoals onder meer: - gebruik van gegevens ten behoeve van direct marketing; - mogelijke verstrekking van gegevens aan gespecificeerde categorieën derden; - een overzicht van profielen, hoe deze worden gecreëerd en wat de belangrijkste gegevensbronnen zijn; - gebruik van gevoelige gegevens. De Groep doet eveneens de volgende aanbevelingen: - aanbieders van sociale netwerkdiensten zouden gebruikers op passende wijze moeten waarschuwen voor de privacyrisico's voor henzelf en anderen bij het uploaden van gegevens naar de sociale netwerkdienst; - gebruikers van sociale netwerkdiensten moet erop worden gewezen dat het uploaden van informatie over anderen een inbreuk kan zijn op de privacy- en gegevensbeschermingsrechten van die personen; - gebruikers van sociale netwerkdiensten moet worden meegedeeld dat zij afbeeldingen of informatie over anderen slechts met toestemming van de betrokkenen mogen uploaden. – Groep 29, Advies 2/2010 over online reclame op basis van surfgedrag (‘behavioural advertising’) (WP 171 – 22 juni 2010): in het advies wordt uiteengezet hoe aanbieders van advertentienetwerken de verplichtingen die uit deze Richtlijn voortvloeien moeten naleven, vooral met betrekking tot de rechten op toegang, rectificatie, wissen, bewaren, enz. Aangezien uitgevers ook een zekere verantwoordelijkheid kunnen dragen voor het verwerken van gegevens voor reclame op basis van surfgedrag, worden uitgevers in het advies opgeroepen om met de aanbieders van advertentienetwerken de verantwoordelijkheid te delen voor de informatievoorziening aan gebruikers en creativiteit en innovatie op dit gebied aan te moedigen. Gezien de aard van reclame op basis van surfgedrag is transparantie een absolute voorwaarde voor particulieren om toestemming te kunnen geven aan het verzamelen en verwerken van hun gegevens en een effectieve keuze te kunnen maken. In het advies worden de verplichtingen tot het geven van informatie van aanbieders van advertentienetwerken/uitgevers aan betrokkenen uiteengezet, met bijzondere verwijzing naar de ePrivacy Richtlijn, die vereist dat gebruikers worden voorzien van ‘duidelijke en volledige informatie’. INFORMATIE BETROKKEN PERSOON INDIRECTE VERZAMELING
§ 2, lid 1, Verplichting verantwoordelijke voor de verwerking: indirecte verzameling 1. KONINKLIJK BESLUIT VAN 13 FEBRUARI 2001 – Artikel 35 van het Koninklijk besluit van 13 februari 2001 ter uitvoering van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (2001): Ingeval de persoonsgegevens niet bij de betrokken persoon worden verzameld, vraagt de verantwoordelijke voor de verwerking, die onderworpen is aan artikel 9, § 2, c), van de wet, aan die persoon schriftelijk of hij het recht op verzet waarin artikel 12, § 1, derde lid, van de wet voorziet, wenst uit te oefenen.
2. INTERNATIONALE WETGEVING – Artikel 8 a) van het Verdrag nr. 108 van de Raad van Europa tot bescherming van personen ten opzichte van de geautomatiseerde verwerking van persoonsgegevens (1981): een ieder dient in staat te worden gesteld kennis te nemen van het bestaan van een geautomatiseerd bestand van persoonsgegevens, de voornaamste doeleinden hiervan, alsmede de identiteit en de gewone verblijfplaats of de hoofdvestiging van de houder van het bestand. – Zie Recommendation No.R(85)20 of the Committee of Ministers to Member States on the protection of personal data used for the purposes of direct marketing (1985). – Recommendation No.R(89)2 of the Committee of Ministers to Member States on the protection of personal data used for employment purposes (1989) - (punt 4.1.): personal data should in principle be obtained from the individual employee. The individual concerned should be informed when it is appropriate to consult sources outside the employment relationship. – Recommendation No.R(97)5 of the Committee of Ministers to Member States on the protection of medical data (1997) - (punt 4.2.): medical data shall in principle be obtained from the data subject. They may only be obtained from other sources if in accordance with Principles 4, 6 and 7 of this recommendation and if this is necessary to achieve the purpose of the processing or if the data subject is not in a position to provide the data. Zie ook punt 5 betreffende de inhoud van de informatie. – Recommendation No.R(2002)9 of the Committee of Ministers to Member States on the protection of personal data collected and processed for insurance purposes (2002) - (punt 5.4.): information for the data subject must be appropriate and adapted to the circumstances. – Recommendation No.R(2002)9 of the Committee of Ministers to Member States on the protection of personal data collected and processed for insurance purposes (2002) - (punt 5.5.): if data subjects have no legal capacity and
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
125
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 9)
are unable to make their own decisions freely, and if domestic law does not premit them to act on their own behalf, the information must be provided to the persons legally empowered to act on behalf of those data subjects. – Recommendation N° R (97) 5 of the Committee of Ministers to Member States on the protection of medical data (1997) bevat identieke bepalingen. Zij voegt er echter (5.5. tweede lid) aan toe dat "If a legally incapacitated person is capable of understanding, he/she should be informed before his/her data are collected or processed". – Artikel 11 § 1 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): Informatieverstrekking aan de betrokkene wanneer de gegevens niet bij de betrokkene zijn verkregen. De Lid-Staten bepalen dat wanneer de gegevens niet bij de betrokkene zijn verkregen de voor de verwerking verantwoordelijke of diens vertegenwoordiger, op het moment van registratie van de gegevens of wanneer verstrekking van de gegevens aan een derde wordt overwogen, aan de betrokkene uiterlijk op het moment van de eerste verstrekking van de gegevens ten minste de volgende informatie moet verstrekken, tenzij de betrokkene daarvan reeds op de hoogte is: a) de identiteit van de voor de verwerking verantwoordelijke en, in voorkomend geval, van diens vertegenwoordiger; b) de doeleinden van de verwerking; c) verdere informatie zoals: - de betrokken gegevenscategorieën; - de ontvangers of de categorieën ontvangers; - het bestaan van een recht op toegang tot zijn eigen persoonsgegevens en op rectificatie van deze gegevens, voor zover die, met inachtneming van de specifieke omstandigheden waaronder de verdere informatie verzameld wordt, nodig is om tegenover de betrokkene een eerlijke verwerking te waarborgen. – Overweging 39 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): overwegende dat bepaalde verwerkingen betrekking hebben op gegevens die de verantwoordelijke niet rechtstreeks van de betrokkene heeft verkregen; dat gegevens voorts rechtmatig kunnen worden meegedeeld aan een derde, ook al was zulks ten tijde van het verkrijgen van de gegevens van de betrokkene niet voorzien; dat in al deze gevallen de informatie aan de betrokkene dient te worden verstrekt op het moment van de registratie van de gegevens of, uiterlijk, wanneer de gegevens voor de eerste maal aan een derde worden meegedeeld. – Artikel 11 van de Verordening (EG) nr. 45/2001 van het Europees Parlement en de Raad van 18 december 2000 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de communautaire instellingen en organen en betreffende het vrije verkeer van die gegevens (2000): 1. Naast de inlichtingen vereist door de Richtlijn 95/46/EG (artikel 10), stelt deze bepaling dat de verantwoordelijke voor de verwerking deelt ten minste (...) f) verdere informatie mee zoals: i) de rechtsgrondslag van de verwerking waarvoor de gegevens bestemd zijn, ii) de termijn gedurende welke de gegevens worden bewaard, iii) het recht om de Europese Toezichthouder voor gegevensbescherming te allen tijde aan te zoeken; voorzover die verdere informatie, met inachtneming van de bijzondere omstandigheden waaronder de gegevens worden verzameld, nodig is om tegenover de betrokkene eerlijke verwerking te waarborgen. 2. In afwijking van lid 1 mag mededeling van informatie of van een deel ervan, met uitzondering van de informatie bedoeld in lid 1, punten a), b) en d) worden uitgesteld zolang dit noodzakelijk is voor statistische doeleinden. De informatie wordt meegedeeld zodra de reden waarom zij werd achtergehouden, niet meer bestaat. – International Standards on the Protection of Personal Data and Privacy (2009) (The Madrid Resolution): resolutie goedgekeurd op 5 november 2009 door de Internationale Conferentie van de commissarissen voor de bescherming van gegevens en de privacy. Principe nr.10: openness principle: 1. Every responsible person shall have transparent policies with regard to the processing of personal data. 2. The responsible person shall provide to the data subjects, as a minimum, information about the responsible person’s identity, the intended purpose of processing, the recipients to whom their personal data will be disclosed and how data subjects may exercise the rights provided in this Document, as well as any further information necessary to guarantee fair processing of such personal data. (…) 4. When personal data have not been collected directly from the data subject, the responsible person must also inform him/her about the source of personal data. This information must be given within a reasonable period of time, but may be replaced by alternative measures if compliance is impossible or would involve a disproportionate effort by the responsible person. 5. Any information to be furnished to the data subject must be provided in an intelligible form, using a clear and plain language, in particular for any processing addressed specifically to minors. 6. Where personal data are collected on line by means of electronic communications networks, the obligations set out in the first and second paragraphs of this section may be satisfied by posting privacy policies that are easy to access and identify and include all the information mentioned above.
126
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 9)
3. ADVIEZEN VAN DE GROEP 29 – Groep 29, Working Document 1/2008 on the protection of children's personal data (General guidelines and the special case of schools), (18 februari 2008, WP 147) en Groep 29, Advies 2/2009 over de bescherming van persoonsgegevens van kinderen (Algemene richtlijnen en het bijzondere geval van scholen), (11 februari 2009, WP 160): it should be pointed out that the consent requirement under the Directive goes hand in hand with the obligation to adequately inform data subjects (Art. 10, 11, 14). The Working Party has already had the opportunity to address information requirements in several documents; in particular, the Opinion on more harmonised information provision (WP 100) and the Recommendation on certain minimum requirements for collecting personal data online in the EU (WP 43) should be taken into account as they provide clear guidance. In the context of providing information to children, special emphasis should be put on giving layered notices based on the use of simple, concise and educational language that can be easily understood. A shorter notice should contain the basic information to be provided when collecting personal data either directly from the data subject or from a third party (Article 10 and 11). This should be accompanied by a more detailed notice, perhaps via a hyperlink, where all the relevant details are provided. As the Working Party has noted in its recommendation about online data processing, it is fundamental for the notices to be posted at the right place and time - i.e. they should be shown directly on the screen, prior to collecting the information. As well as being a requirement under the Directive, this is especially important as a tool to raise children's awareness of the possible risks and dangers arising out of online activities. Indeed, itmight be argued that in the online environment, unlike in the real world, this is the only opportunity for children to be apprised of such dangers. VRIJSTELLING VAN KENNISGEVING
§ 2, lid 2 - lid 4, Vrijstelling van kennisgeving 1. KONINKLIJK BESLUIT VAN 13 FEBRUARI 2001 – Artikel 28 van het Koninklijk besluit van 13 februari 2001 ter uitvoering van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (2001): De verantwoordelijke voor de latere verwerking van persoonsgegevens voor historische, statistische of wetenschappelijke doeleinden die uitsluitend gecodeerde persoonsgegevens verwerkt is vrijgesteld van de verplichting tot kennisgeving bedoeld in artikel 9, § 2, van de wet op voorwaarde dat de voorwaarden bepaald in Hoofdstuk II, Afdeling II van dit besluit worden nageleefd. – Artikel 29 van het Koninklijk besluit van 13 februari 2001 ter uitvoering van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (2001): Een administratieve overheid die door of krachtens de wet de uitdrukkelijke opdracht heeft om persoonsgegevens samen te brengen en te coderen, en hierbij onderworpen is aan door of krachtens de wet vastgelegde specifieke maatregelen die de bescherming van de persoonlijke levenssfeer tot doel hebben, is vrijgesteld van de verplichting tot kennisgeving bedoeld in artikel 9, § 2 van de wet indien zij optreedt als intermediaire organisatie. – Artikel 30 van het Koninklijk besluit van 13 februari 2001 ter uitvoering van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (2001): De verantwoordelijke voor de verwerking die zich, buiten het geval omschreven in artikelen 28 en 29 van dit besluit, beroept op een vrijstelling van de verplichting tot kennisgeving bedoeld in artikel 9, § 2, van de wet omdat die kennisgeving onmogelijk blijkt of onevenredig veel moeite kost, verstrekt voornoemde informatie wanneer hij voor de eerste keer met de betrokken persoon in contact treedt. Indien de verantwoordelijke voor de verwerking bedoeld in het eerste lid de persoonsgegevens aan een derde meedeelt, verricht deze laatste de in artikel 9, § 2, van de wet bedoelde kennisgeving wanneer hij voor de eerste keer met de betrokken persoon in contact treedt. – Artikel 31 van het Koninklijk besluit van 13 februari 2001 ter uitvoering van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (2001): De verantwoordelijke voor de verwerking die de kennisgeving aan de betrokken persoon niet kan verrichten omdat zij onmogelijk blijkt of onevenredig veel moeite kost, vermeldt dit in de aangifte die hij op grond van artikel 17 van de wet aan de Commissie doet. De Commissie maakt de lijst van de verantwoordelijken voor de verwerking bekend door middel van het publiek register omschreven in artikel 18 van de wet, met vermelding van de redenen die de vrijstelling verantwoorden.
2. INTERNATIONALE WETGEVING – Artikel 9 § 2 van het Verdrag nr. 108 van de Raad van Europa tot bescherming van personen ten opzichte van de geautomatiseerde verwerking van persoonsgegevens (1981): Van het in de artikelen 5, 6 en 8 (bijkomende garanties voor de betrokken persoon waaronder de kennisgeving) van dit Verdrag bepaalde kan worden afge-
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
127
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 10)
weken, indien de wet in een dergelijke afwijking voorziet en het hier een maatregel betreft die in een democratische samenleving noodzakelijk is ten behoeve van: a) de bescherming van de veiligheid van de Staat, de openbare veiligheid, de geldelijke belangen van de Staat of de bestrijding van strafbare feiten; b) de bescherming van de betrokkene en van de rechten en vrijheden van anderen. – Artikel 11 § 2 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): het bepaalde in lid 1 is niet van toepassing indien, met name voor statistische doeleinden of voor historisch of wetenschappelijk onderzoek, verstrekking van informatie aan de betrokkene onmogelijk blijkt of onevenredig veel moeite kost of indien de registratie of verstrekking bij wet is voorgeschreven. In deze gevallen zorgen de Lid-Staten voor passende waarborgen. – Overweging 40 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): overwegende dat het evenwel niet noodzakelijk is deze verplichting [van informatie] op te leggen wanneer de betrokkene al op de hoogte is; dat deze verplichting evenmin geldt wanneer deze registratie of mededeling uitdrukkelijk bij de wet is voorgeschreven of wanneer verstrekking van informatie aan de betrokkene onmogelijk blijkt of onevenredig veel moeite kost, wat het geval kan zijn bij verwerkingen voor historische, statistische of wetenschappelijke doeleinden; dat hierbij in aanmerking mag worden genomen om hoeveel betrokkenen het gaat, hoe oud de gegevens zijn en welke compenserende maatregelen kunnen worden getroffen. – Zie ook Recommendation No.R(97)18 of the Committee of Ministers to Member States concerning the protection of personal data collected and processed for statistical purposes (1997) and Explanatory Memorandum. – Recommendation No.R(83)10 on the protection of personal data used for scientific research and statistics (1983): Er wordt op gewezen dat Recommendation NoR(97)18 of the Committee of Ministers to Member States concerning the protection of personal data collected and processed for statistical purposes (1997) de plaats inneemt van deze aanbeveling van 1983 betreffende statistische activiteiten. – Recommendation No.R(97)5 of the Committee of Ministers to Member States on the protection of medical data (1997) - (punt 5.6.): derogations from Principles 5.1, 5.2 and 5.3 may be made in the following cases: a. information of the data subject may be restricted if the derogation is provided for by law and constitutes a necessary measure in a democratic society: i. to prevent a real danger or to suppress a criminal offence; ii. for public health reasons; iii. to protect the data subject and the rights and freedoms of others; b. in medical emergencies, data considered necessary for medical treatment may be collected prior to information. – Artikel 12 § 2 van de Verordening (EG) nr. 45/2001 van het Europees Parlement en de Raad van 18 december 2000 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de communautaire instellingen en organen en betreffende het vrije verkeer van die gegevens (2000): lid 1 is niet van toepassing indien, met name voor statistische doeleinden of voor historisch of wetenschappelijk onderzoek, de mededeling van dergelijke informatie onmogelijk blijkt of onevenredig veel moeite kost of indien registratie of vrijgave uitdrukkelijk door het Gemeenschapsrecht is voorgeschreven. In die gevallen draagt de communautaire instelling of het communautaire orgaan zorg voor passende waarborgen na raadpleging van de Europese Toezichthouder voor gegevensbescherming.
3. ADVIEZEN VAN DE GROEP 29 – Groep 29, Working Document 1/2009 on pre-trial discovery for cross border civil litigation (11 februari 2009, WP 158): articles 10 and 11 of the Directive address the issue of information that should be provided to the data subject. As was discussed in the Opinion of the Working Party on internal whistleblowing schemes there is however an exception to this rule where there is a substantial risk that such notification would jeopardise the ability of the litigating party to investigate the case properly or gather the necessary evidence. In such a case the notification to the individual may be delayed as long as such a risk exists in order to preserve evidence by preventing its destruction or alteration by that person. This exception however must be applied restrictively on a case by case basis.
Art. 10. }1[§ 1. De betrokkene die zijn identiteit bewijst, heeft het recht om vanwege de verantwoordelijke voor de verwerking te verkrijgen: a) kennis van het al dan niet bestaan van verwerkingen van hem betreffende gegevens alsmede ten minste informatie over de doeleinden van deze verwerkingen, van de categorieën gegevens waarop deze verwerkingen
128
betrekking hebben en van de categorieën ontvangers aan wie de gegevens worden verstrekt; b) verstrekking in begrijpelijke vorm van de gegevens zelf die worden verwerkt, alsmede alle beschikbare informatie over de oorsprong van die gegevens; c) mededeling van de logica die aan een geautomatiseerde verwerking van hem betreffende gegevens ten
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 10)
grondslag ligt in geval van geautomatiseerde besluitvorming in de zin van artikel 12bis; d) kennis van de mogelijkheid om de in de artikelen 12 en 14 bedoelde beroepen in te stellen en eventueel inzage te nemen van het in artikel 18 bedoelde openbaar register. Daartoe richt de betrokkene een gedagtekend en ondertekend verzoek aan de verantwoordelijke voor de verwerking of aan iedere andere persoon die de Koning aanwijst. De inlichtingen worden onverwijld en ten laatste binnen vijfenveertig dagen na ontvangst van het verzoek meegedeeld. De Koning kan nadere regelen voor de uitoefening van het in het eerste lid bedoelde recht bepalen. § 2. }2[Onverminderd hetgeen is bepaald in artikel 9, § 2, van de wet van 22 augustus 2002 betreffende de rechten van de patiënt, heeft elke persoon het recht om hetzij op rechtstreekse wijze hetzij met behulp van een beroepsbeoefenaar in de gezondheidszorg kennis te krijgen van de persoonsgegevens die betreffende zijn gezondheid worden verwerkt.]2 }3 [Onverminderd het bepaalde in artikel 9, § 2, van voornoemde wet, kan op verzoek van de verantwoordelijke van de verwerking of op verzoek van de betrokkene, de mededeling gebeuren door tussenkomst van een door de betrokkene gekozen beroepsbeoefenaar in de gezondheidszorg.]3
Indien er duidelijk geen gevaar is voor inbreuken op de bescherming van de persoonlijke levenssfeer van de betrokkene en de gegevens niet gebruikt worden om maatregelen en besluiten te nemen ten aanzien van een individuele betrokkene, kan de kennisgeving ook worden uitgesteld indien de gezondheidsgegevens verwerkt worden voor medisch-wetenschappelijk onderzoek, doch slechts in de mate dat de kennisgeving het onderzoek op ernstige wijze zou schaden en uiterlijk tot op het moment van de beëindiging van het onderzoek. In dat geval moet de betrokkene aan de verantwoordelijke voor de verwerking vooraf zijn schriftelijke toestemming hebben gegeven dat de hem betreffende persoonsgegevens voor medisch-wetenschappelijke doeleinden kunnen worden verwerkt en dat kennisgeving van deze persoonsgegevens om die reden kan worden uitgesteld. § 3. Aan een aanvraag bedoeld in § 1 en § 2 moet geen gevolg worden gegeven dan na verloop van een redelijke termijn, te rekenen van de dagtekening van een vroegere aanvraag van dezelfde persoon waarop is geantwoord of te rekenen van de dagtekening waarop de gegevens hem ambtshalve zijn meegedeeld.]1 }1. – Vervangen bij art. 14 wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001) }2. – § 2, lid 1, vervangen bij art. 18, § 1, wet 22 augustus 2002, B.S., 26 september 2002, err., B.S., 20 december 2002 }3. – § 2, lid 2, vervangen bij art. 18, § 2, wet 22 augustus 2002, B.S., 26 september 2002, err., B.S., 20 december 2002
INZAGERECHT VAN DE BETROKKENE Overtreden strafbaar gesteld: zie art. 39, 5° en 6°, 40 en 41 WVP
§ 1 Inzagerecht van de betrokkene 1. KONINKLIJK BESLUIT VAN 13 FEBRUARI 2001 – Artikel 32 van het Koninklijk besluit van 13 februari 2001 ter uitvoering van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (2001): Eenieder die zijn identiteit bewijst, heeft het recht om onder de voorwaarden gesteld bij de wet kennis te krijgen van de in artikel 10 van de wet vermelde informatie, zulks op ondertekend en gedagtekend verzoek dat ter plaatse wordt overhandigd, of over de post of met een telecommunicatiemiddel wordt toegezonden: - hetzij aan de verantwoordelijke voor de verwerking of aan zijn vertegenwoordiger in België, of aan een van de door hem gemachtigde of aangestelde personen; - hetzij aan de verwerker van de persoonsgegevens die het in voorkomend geval aan een van voornoemde personen doorgeeft. Indien het verzoek ter plaatse wordt overhandigd, reikt de persoon die het in ontvangst neemt aan de verzoeker onmiddellijk een gedagtekend en ondertekend ontvangbewijs uit.
2. INTERNATIONALE WETGEVING – Guidelines of the United Nations for the Regulation of Computerized Personal Data Files (1990) - (4) Principle of interested-person access: everyone who offers proof of identity has the right to know whether information concerning him is being processed and to obtain it in an intelligible form, without undue delay or expense, and to have appropriate rectifications or erasures made in the case of unlawful, unnecessary or inaccurate entries and, when it is being communicated, to be informed of the addressees. Provision should be made for a remedy, if need be with the supervisory authority specified in principle 8 below. The cost of any rectification shall be borne by the person responsible for the file. It is desirable that the provisions of this principle should apply to everyone, irrespective of nationality or place of residence. – Artikel 8 b) van het Verdrag nr. 108 van de Raad van Europa tot bescherming van personen ten opzichte van de geautomatiseerde verwerking van persoonsgegevens (1981): een ieder dient in staat te worden gesteld met redelijke tussenpozen en zonder overmatige vertraging of kosten uitsluitsel te verkrijgen over de vraag of persoonsgegevens over hem in het geautomatiseerde bestand zijn opgeslagen en die gegevens in begrijpelijke vorm meegedeeld te krijgen. – Recommendation No.R(86)1 of the Committee of Ministers to Member States on the protection of personal data used for social security purposes (1986) - (punt 6): 6.1. Subject to provisions of national law concerning
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
129
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 10)
medical data or scientific research and statistics, the right of the individual to obtain and rectify data concerning him should not be restricted unless this is necessary for the suppression of fraud or abuse of the social security system or for the protection of the rights and freedoms of others. – Artikel 12 a) van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): de Lid-Staten waarborgen elke betrokkene het recht van de voor de verwerking verantwoordelijke te verkrijgen: a) vrijelijk en zonder beperking, met redelijke tussenpozen en zonder bovenmatige vertraging of kosten: - uitsluitsel omtrent het al dan niet bestaan van verwerkingen van hem betreffende gegevens, alsmede ten minste informatie over de doeleinden van deze verwerkingen, de categorieën gegevens waarop deze verwerkingen betrekking hebben en de ontvangers of categorieën ontvangers aan wie de gegevens worden verstrekt; - verstrekking, in begrijpelijke vorm, van de gegevens die zijn verwerkt, alsmede de beschikbare informatie over de oorsprong van de gegevens; - mededeling van de logica die ten grondslag ligt aan de automatische verwerking van hem betreffende gegevens, in elk geval als het gaat om de geautomatiseerde besluiten als bedoeld in artikel 15, lid 1; – Overweging 41 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): overwegende dat een ieder over het recht moet kunnen beschikken toegang te verkrijgen tot de gegevens die het voorwerp van een verwerking vormen en hemzelf betreffen, zodat hij zich van de juistheid en de rechtmatigheid van de verwerking ervan kan vergewissen; dat een ieder om dezelfde redenen ook het recht moet hebben de logica te kennen die aan de automatische verwerking van de hem betreffende gegevens ten grondslag ligt, in elk geval als het gaat om de in artikel 15, lid 1, bedoelde geautomatiseerde besluiten; dat dit recht geen afbreuk mag doen aan het zakengeheim of aan de intellectuele eigendom en met name aan het auteursrecht dat de software beschermt; dat zulks er evenwel niet toe mag leiden dat de betrokkene alle informatie wordt geweigerd; – Artikel 13 van de Verordening (EG) nr. 45/2001 van het Europees Parlement en de Raad van 18 december 2000 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de communautaire instellingen en organen en betreffende het vrije verkeer van die gegevens. (2000): elke betrokkene heeft het recht te allen tijde en ongehinderd binnen drie maanden na ontvangst van het verzoek kosteloos van de verantwoordelijke voor de verwerking: a) uitsluitsel te verkrijgen over het al dan niet plaatsvinden van gegevensverwerking die de betrokkene betreft; b) ten minste informatie te verkrijgen over de doeleinden van de verwerking, over de categorieën gegevens waarop de verwerking betrekking heeft en over de ontvangers, respectievelijk de categorieën ontvangers aan wie de gegevens worden verstrekt; c) de gegevens die verwerking ondergaan, alsmede elke beschikbare informatie wat de bron van die gegevens betreft, in begrijpelijke vorm verstrekt te krijgen; d) inzicht te verkrijgen in de achterliggende gedachte van elke hem betreffende geautomatiseerde gegevensverwerking. – International Standards on the Protection of Personal Data and Privacy (2009) (The Madrid Resolution): resolutie goedgekeurd op 5 november 2009 door de Internationale Conferentie van de commissarissen voor de bescherming van gegevens en de privacy. Principe nr.16 : Right of access: 1. The data subject has the right to obtain from the responsible person, upon request, information on the specific personal data subject to processing, as well as the source of such data, the purposes of processing and the recipients or categories of recipients to whom such data are or will be disclosed. 2. Any information to be furnished to the data subject must be provided in an intelligible form, using a clear and simple language. 3. Applicable national legislation may limit the repetitive exercise of this right that would require the responsible person to respond to multiple requests within short periods of time, unless the data subject states a legitimate reason when exercising this right. Principe 19: Exercise of these rights: 1. The rights provided for in sections 16 to 18 of this Document may be exercised: a. Directly by the data subject, who shall satisfactorily establish his/her identity to the responsible person. b. Through a representative, who shall satisfactorily establish his/her status to the responsible person. 2. The responsible person must implement procedures to enable data subjects to exercise the rights provided for in sections 16 to 18 of this Document in a simple, fast and efficient way, which do not entail undue delay or cost nor any gain whatsoever for the responsible person. 3. When a responsible person concludes that, pursuant to the applicable national legislation, the exercise of rights under this Part is not justified, the data subject should be informed of the reasons that led to this conclusion.
3. ADVIEZEN VAN DE GROEP 29 – Groep 29, Advies 8/2003 over de ontwerp-modelcontractbepalingen ingediend door een groep verenigingen van ondernemingen ("het alternatieve modelcontract") (17 december 2003 - WP 84): de Groep wijst betreffende de toegangsbeperkingen erop dat het feitelijk onjuist is dat een verantwoordelijke voor de verwerking op basis van artikel 12 van de Richtlijn gegevensbescherming gemachtigd is toegang tot gegevens te weigeren
130
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 10)
op basis van het argument dat het verlenen van dit recht de belangen van de verantwoordelijke voor de verwerking ernstig zou schaden. Hoewel artikel 13 van de Richtlijn aan de Lid-Staten de mogelijkheid biedt om wettelijke maatregelen te nemen om de rechten en plichten van artikel 12 te beperken is het niet de verantwoordelijke voor de verwerking die de afweging van die beperking maakt maar de wetgever zelf. – Groep 29, Working Document 1/2008 on the protection of children's personal data (General guidelines and the special case of schools), (18 februari 2008, WP 147) en Groep 29, Advies 2/2009 over de bescherming van persoonsgegevens van kinderen (Algemene richtlijnen en het bijzondere geval van scholen), (11 februari 2009, WP 160): the right of access is normally exercised by the representative of the child, but always in the interest of the child. Depending on the degree of maturity of the child, it can be exercised in his/her place or together with him/her. In some cases the child may also be entitled to exercise his/her rights alone. When very personal rights are concerned (as for instance in the health field), children could even ask their doctors not to divulge their medical data to their representatives. This might be the case if a teenager has given sexual data to a physician or a help line explicitly excluding the representatives from such information. It might also be the case if the child does not trust his or her representatives and contacts the youth welfare service, for example, when consuming drugs, or feeling suicidal. The question arises whether representatives may have access to such details, and whether the child may object. To assess whether the children's right to privacy prevails over the representatives' right to access, the interests of all parties involved have to be carefully balanced. In this balancing exercise, the best interest of the child is of special importance. In the case of access to medical data, the appreciation of the practitioner might be relevant to assess the opportunity of access by the representatives. As a general comment, the criteria for the conditions of access will be not only the age of the child, but also whether or not the data concerned were provided by the parents or by the child - which is also an indication of his/her degree of maturity and autonomy. – Groep 29, Advies 3/2008 over het ontwerp voor een internationale standaard inzake de bescherming van de persoonlijke levenssfeer in het kader van de wereldantidopingcode (1 augustus 2008, WP 156): de ontwerptekst bepaalt dat antidopingorganisaties in bepaalde gevallen niet verplicht zijn in te gaan op verzoeken om toegang. De Groep merkt hierover op dat de bijzonder vaag geformuleerde uitzonderingsbepalingen in artikel 11.1 (tenzij dat in een bepaald geval afbreuk zou doen aan het vermogen van de antidopingorganisatie om aan haar verplichtingen op grond van de code te voldoen) en artikel 11.2 (verzoeken die duidelijk vexatoir of excessief zijn in hun reikwijdte of frequentie, of een onevenredige belasting vormen in termen van kosten of inspanningen) op het eerste gezicht niet in overeenstemming lijken met de artikelen 12 en 15 van de richtlijn. Beperkingen op het recht van toegang zijn inderdaad slechts toegestaan indien wordt voldaan aan de bepalingen van artikel 13 van de richtlijn, dat de Lid-Staten toestaat wettelijke maatregelen te treffen ter beperking van de reikwijdte van deze verplichting indien dit noodzakelijk is ter vrijwaring van de aldaar genoemde belangen. De Groep merkt met voldoening op dat indien een deelnemer het recht op uitoefening van zijn of haar recht op toegang wordt ontzegd, hem of haar de redenen daarvoor schriftelijk worden medegedeeld. Zij wijst er echter op dat weigering van toegang slechts is toegestaan onder de voorwaarden van artikel 13 van de richtlijn, die strikt moeten worden uitgelegd. – Groep 29, Tweede advies 4/2009 over de Internationale Standaard van het Wereldantidopingagentschap (WADA) voor de bescherming van de persoonlijke levenssfeer en persoonsgegevens, aanverwante bepalingen van de WADA-code en andere privacyvraagstukken in de context van de bestrijding van doping in de sport door het WADA en (nationale) antidopingorganisaties (6 februari 2009, WP 162): de standaard voorziet in een toegangsrecht voor sporters en hun begeleidend personeel. In toepassing van artikel 12 van de richtlijn heeft elke betrokkene het recht om van de voor de verwerking verantwoordelijke ten minste informatie te verkrijgen over de doeleinden van de verwerking, de categorieën gegevens waarop de verwerking betrekking heeft en de ontvangers of categorieën ontvangers aan wie de gegevens worden verstrekt. De standaard voorziet hierin niet. De standaard bepaalt dat antidopingorganisaties in bepaalde gevallen niet verplicht zijn in te gaan op verzoeken om toegang. De Groep merkt hierover op dat de bijzonder vaag geformuleerde uitzonderingsbepaling in artikel 11.1 (behalve indien dit in een specifiek geval duidelijk in strijd zou zijn met het vermogen van de antidopingorganisatie om te voldoen aan haar verplichtingen op grond van de code) op het eerste gezicht niet in overeenstemming lijkt met de artikelen 12 en 15 van de richtlijn. De Groep neemt nota van de door het WADA verstrekte uitleg dat deze uitzonderingsbepaling betrekking heeft op persoonsgegevens die verzameld en gebruikt worden in het kader van procedures bij dopingovertredingen en op gegevens die worden verwerkt bij de planning van dopingtests. Zij meent echter dat er niet bij voorbaat al een reden is om de toegang tot gegevens over procedures bij dopingovertredingen te weigeren. De Groep merkt op dat beperkingen op het recht van toegang slechts toegestaan zijn indien wordt voldaan aan artikel 13 van de richtlijn, dat de Lid-Staten toestaat wettelijke maatregelen te treffen ter beperking van de reikwijdte van deze verplichting indien dit noodzakelijk is ter vrijwaring van de aldaar genoemde belangen.
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
131
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 10)
– Groep 29, Advies 5/2009 over online sociale netwerken (12 juni 2009, WP 163): sociale netwerkdiensten moeten de rechten van de gebruikers van wie zij de gegevens verwerken respecteren, overeenkomstig de artikelen 12 en 14 van de richtlijn gegevensbescherming. Het recht op toegang en rectificatie mag niet beperkt zijn tot gebruikers van de dienst, maar moet ook gelden voor elke andere natuurlijke persoon van wie gegevens worden verwerkt. Zowel leden als niet-leden van een sociale netwerkdienst moeten de gelegenheid krijgen hun recht op toegang, correctie en verwijdering uit te oefenen. Op de homepage van de sociale netwerkdienst moet duidelijk worden aangegeven dat deze beschikt over een afdeling voor de afhandeling van klachten, die zich bezighoudt met problemen op het gebied van gegevensbescherming en privacy en klachten van zowel leden als niet-leden van deze sociale netwerken in behandeling neemt.
4. RECHTSPRAAK VAN HET EUROPEES HOF VOOR DE RECHTEN VAN DE MENS – Leander t. Zweden van 26 maart 1987, serie A, nr. 116 (schending van de artikelen 8, 10 en 13 van het Verdrag). Gebruikmaking van inlichtingen bewaard in een register van de geheime politie voor het onderzoek naar de geschiktheid van een persoon voor een functie die van belang is voor de nationale veiligheid. – Gaskin t. Verenigd Koninkrijk van 7 juli 1989, serie A, nr. 160 (schending van artikel 8 van het Verdrag). Weigering om volledige inzake te verlenen in de persoonlijke dossiers bijgehouden door de sociale diensten aan een voorheen steuntrekkende persoon. – Mikulié t. Kroatië van 7 februari 2002, verzoek nr. 53176/99 (schending van artikel 8 van het Verdrag). Het belang van personen als eisende partij voor het bekomen van informatie die noodzakelijk is voor het ontdekken van een belangrijk aspect van hun identiteit: vaststelling van het vaderschap. – M.G. t. Groot-Britannië van 24 september 2002, verzoek nr. 39393/98 (schending van artikel 8 van het Verdrag). De verzoeker vroeg toegang tot zijn dossiers die door de sociale diensten worden bijgehouden. – Odièvre t. Frankrijk van 13 februari 2003, verzoek nr. 42326/98. Anonieme bevalling en de onmogelijkheid voor de verzoeker zijn afkomst te kennen. – Segerstedt-Wiberg en anderen t. Zweden van 6 juni 2006, verzoek nr. 62332/00. Het bewaren van bepaalde informatie over de verzoekers en weigering om ze te informeren over deze inlichtingen.
5. RECHTSPRAAK VAN HET EUROPESE HOF VAN JUSTITIE – HvJ EG, arrest van 7 mei 2009 (verzoek om een prejudiciële beslissing ingediend door de Raad van State (Nederland) - College van burgemeester en wethouders van Rotterdam tegen M. E. E. Rijkeboer, In zaak C 553/07. De feiten en de prejudiciële vraag gesteld door het Hof van Justitie van de Europese Unie 1. Het verzoek om een prejudiciële beslissing betreft de uitlegging van artikel 12, sub a, van richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (PB L 281, blz. 31; hierna: "richtlijn"). 2. Dit verzoek is ingediend in het kader van een geding tussen Rijkeboer en het College van burgemeester en wethouders van Rotterdam (hierna: "College") over de gedeeltelijke weigering van dit College om hem toegang te verlenen tot informatie over de verstrekking van zijn persoonsgegevens aan derden in de twee jaar voorafgaand aan zijn verzoek om informatie. (...). Hoofdgeding en prejudiciële vraag 23. Bij brief van 26 oktober 2005 verzocht Rijkeboer het College om opgave van alle verstrekkingen van hem betreffende informatie uit de gemeentelijke basisadministratie aan derden in de twee jaren voorafgaand aan zijn verzoek. Hij wenste te vernemen aan wie informatie was verstrekt en welke informatie daarbij was meegedeeld. Rijkeboer, die naar een andere gemeente was verhuisd, wenste in het bijzonder te vernemen aan wie zijn vroegere adres was meegedeeld. 24. Bij besluiten van 27 oktober en 29 november 2005 wees het College dit verzoek slechts gedeeltelijk toe door hem overeenkomstig artikel 103, lid 1, Wet GBA slechts informatie te verstrekken over de periode van één jaar voorafgaand aan zijn verzoek. 25 Verstrekking van gegevens vindt plaats volgens het "Logisch Ontwerp GBA". Het gaat hierbij om een geautomatiseerd systeem, dat is opgezet door het ministerie van Binnenlandse Zaken en Koninkrijkrelaties. Uit het verzoek om een prejudiciële beslissing blijkt dat de door Rijkeboer opgevraagde gegevens die ouder waren dan één jaar voorafgaand aan zijn verzoek, automatisch waren verwijderd, wat in overeenstemming zou zijn met artikel 110 Wet GBA. (...). 27. De Rechtbank wees dat beroep toe op grond dat de beperking van het recht om in kennis te worden gesteld van de aan de ontvangers meegedeelde gegevens tot één jaar voorafgaand aan het verzoek, zoals vastgesteld in artikel 103, lid 1, Wet GBA, niet verenigbaar is met artikel 12 van de richtlijn. De Rechtbank oordeelde voorts dat de in artikel 13 van deze richtlijn bedoelde uitzonderingen niet van toepassing zijn.
132
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 10)
29. Daarop heeft de Raad van State de behandeling van de zaak geschorst en het Hof de volgende prejudiciële vraag gesteld: "Verdraagt de in de wet voorziene beperking van de verstrekking van gegevens tot één jaar, voorafgaande aan het desbetreffende verzoek, zich met artikel 12, [...] sub a, van [de richtlijn], al dan niet gelezen in verbinding met artikel 6, lid 1, sub e, van deze richtlijn en het evenredigheidsbeginsel?" (...). Beantwoording van de prejudiciële vraag 31. Derhalve moet de vraag van de verwijzende rechter aldus worden begrepen dat die erop gericht is, uit te maken of ingevolge de richtlijn, met name artikel 12, sub a, ervan, het recht van een persoon op toegang tot informatie over de ontvangers of de categorieën ontvangers van hem betreffende persoonsgegevens en over de inhoud van de meegedeelde gegevens kan worden beperkt tot de periode van één jaar voorafgaand aan zijn verzoek om toegang. 32. De verwijzende rechter vestigt de aandacht op twee bepalingen van de richtlijn, te weten artikel 6, lid 1, sub e, betreffende de bewaring van persoonsgegevens, en artikel 12, sub a, betreffende het recht op toegang tot die gegevens. Daarentegen beroepen de verwijzende rechter noch de partijen die opmerkingen bij het Hof hebben ingediend, zich op de in artikel 13 van de richtlijn neergelegde uitzonderingen. 33. Artikel 6 van de richtlijn ziet op de kwaliteit van de gegevens. Ingevolge lid 1, sub e, daarvan moeten de LidStaten bepalen dat persoonsgegevens niet langer worden bewaard dan voor de verwezenlijking van de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt, noodzakelijk is. De gegevens moeten dus worden uitgewist wanneer deze doeleinden zijn bereikt. 34. Artikel 12, sub a, van de richtlijn bepaalt dat de Lid-Staten de betrokkene een recht op toegang verlenen tot zijn persoonsgegevens en tot de informatie over de ontvangers en de categorieën ontvangers van die gegevens, zonder daarbij een termijn te vermelden. 35. Deze twee artikelen strekken dus tot bescherming van de betrokkene. De verwijzende rechter wenst te vernemen of er tussen deze twee artikelen een verband bestaat in die zin dat het recht op toegang tot informatie over de ontvangers of de categorieën ontvangers van persoonsgegevens en over de inhoud van de verstrekte gegevens kan afhangen van de bewaringstermijn voor die gegevens. 45. Om uit te maken of artikel 12, sub a, van de richtlijn een dergelijke beperking in de tijd al dan niet toestaat, moet dit artikel worden uitgelegd in het licht van de strekking ervan gezien tegen de achtergrond van de doelstellingen van de richtlijn. 46. Volgens artikel 1 ervan beoogt de richtlijn in verband met de verwerking van persoonsgegevens de fundamentele rechten en vrijheden van natuurlijke personen, inzonderheid hun persoonlijke levenssfeer, te beschermen en zo het vrije verkeer van deze gegevens tussen de Lid-Staten mogelijk te maken. 47. Het belang van de bescherming van de persoonlijke levenssfeer wordt onder de aandacht gebracht in de punten 2 en 10 van de considerans van de richtlijn en benadrukt in de rechtspraak van het Hof (zie in die zin reeds aangehaalde arresten Österreichischer Rundfunk e.a., punt 70, en Lindqvist, punten 97 en 99, alsmede arresten van 29 januari 2008, Promusicae, C-275/06, Jurispr. blz. I-271, punt 63, en 16 december 2008, Satakunnan Markkinapörssi en Satamedia, C-73/07, nog niet gepubliceerd in de Jurisprudentie, punt 52). 48. Zoals voortvloeit uit punt 25 van de considerans van de richtlijn, moeten voorts de beginselen van deze bescherming enerzijds tot uiting komen in de verplichtingen die aan de personen die de verwerkingen uitvoeren, worden opgelegd, verplichtingen die met name betrekking hebben op de kwaliteit van de gegevens - welke het voorwerp is van artikel 6 van de richtlijn -, en anderzijds in het feit dat aan personen wier gegevens het voorwerp van verwerkingen zijn, het recht wordt verleend om daarvan in kennis te worden gesteld, tot die gegevens toegang te krijgen, de rectificatie ervan te verlangen en zelfs om zich in bepaalde omstandigheden tegen verwerking te verzetten. 49. Dit recht op eerbiediging van de persoonlijke levenssfeer impliceert dat de betrokkene zich ervan kan vergewissen dat zijn persoonsgegevens juist en rechtmatig worden verwerkt, dat wil met name zeggen dat de hem betreffende basisgegevens juist zijn en dat zij worden verstrekt aan gemachtigde ontvangers. Zoals in punt 41 van de considerans van de richtlijn wordt uiteengezet, moet de betrokkene over het recht beschikken om toegang te verkrijgen tot de gegevens die het voorwerp van een verwerking vormen en hemzelf betreffen, zodat hij de nodige controles kan verrichten. 50. In dit verband voorziet artikel 12, sub a, van de richtlijn in een recht op toegang tot de basisgegevens en tot de informatie over de ontvangers of de categorieën ontvangers van die gegevens. 51. Dit recht op toegang is noodzakelijk opdat de betrokkene de in artikel 12, sub b en c, van de richtlijn bedoelde rechten kan uitoefenen, te weten, in het geval dat zijn gegevens niet conform de richtlijn zijn verwerkt, het recht om van de voor de verwerking verantwoordelijke gedaan te krijgen dat deze zijn gegevens rectificeert, uitwist of afschermt (sub b), of derden aan wie de gegevens zijn meegedeeld, van die rectificatie, uitwissing of afscherming in kennis stelt, tenzij zulks onmogelijk blijkt of onevenredig veel moeite kost (sub c). 52. Dit recht op toegang is ook noodzakelijk om de betrokkene de mogelijkheid te bieden tot uitoefening van het in artikel 14 van de richtlijn bedoelde recht om zich tegen de verwerking van zijn persoonsgegevens te verzetten of van het in de artikelen 22 en 23 daarvan neergelegde recht om zich tot de rechter te wenden wanneer hij schade lijdt.
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
133
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 10)
53. Met betrekking tot het recht op toegang tot informatie over de ontvangers of de categorieën ontvangers van de basisgegevens en over de inhoud van de verstrekte gegevens, preciseert de richtlijn niet of dit recht geldt voor het verleden, en evenmin in voorkomend geval, voor welke periode in het verleden. 54. Dienaangaande zij vastgesteld dat om de nuttige werking van de in de punten 51 en 52 van dit arrest genoemde bepalingen te waarborgen, dit recht noodzakelijkerwijs voor het verleden moet gelden. Anders zou de betrokkene zijn recht om gegevens waarvan hij vermoedt dat zij onrechtmatig of onjuist zijn, te laten rectificeren, uitwissen of afschermen, en om zich met het oog op vergoeding van de geleden schade tot de rechter te wenden, niet doeltreffend kunnen uitoefenen. 55. De vraag rijst hoever dit recht zich in het verleden uitstrekt. 56. Het Hof heeft al geoordeeld dat de bepalingen van de richtlijn betrekkelijk algemeen zijn, aangezien zij voor een groot aantal zeer uiteenlopende situaties moet gelden, en dat de richtlijn regels bevat die door een zekere soepelheid worden gekenmerkt en het in tal van gevallen aan de Lid-Staten overlaat, de bijzonderheden te regelen of een keuze uit verschillende mogelijkheden te maken (zie arrest Lindqvist, reeds aangehaald, punt 83). Het Hof heeft dus erkend dat de Lid-Staten bij de uitvoering van de richtlijn in velerlei opzichten over manoeuvreerruimte beschikten (zie arrest Lindqvist, reeds aangehaald, punt 84). Deze manoeuvreerruimte, die met betrekking tot de uitvoering van artikel 12, sub a, van de richtlijn blijkt te bestaan, is evenwel niet onbeperkt. 57. De vaststelling van een termijn in verband met het recht op toegang tot informatie over de ontvangers of de categorieën ontvangers en over de inhoud van de verstrekte gegevens moet de betrokkene in staat stellen om de verschillende bij de richtlijn voorziene en in de punten 51 en 52 van het onderhavige arrest weergegeven rechten uit te oefenen. 58. Zonder daarom doorslaggevend te zijn, kan de bewaringsduur van de basisgegevens een nuttige parameter vormen. 59. De werkingssfeer van de richtlijn is namelijk zeer ruim, zoals het Hof reeds heeft erkend (zie reeds aangehaalde arresten Österreichischer Rundfunk e.a., punt 43, en Lindqvist, punt 88), en de daarin bedoelde persoonsgegevens zijn van uiteenlopende aard. De bewaringsduur van die gegevens, die volgens artikel 6, lid 1, sub e, van de richtlijn afhankelijk is van de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt, kan dus variëren. Wanneer de bewaringstermijn voor de basisgegevens zeer lang is, kan het belang van de betrokkene om gebruik te maken van de in punt 57 van het onderhavige arrest genoemde mogelijkheden om de voor de verwerking verantwoordelijke in te schakelen en zich tot de rechter te wenden, in een aantal gevallen afnemen. Wanneer bijvoorbeeld dergelijke gegevens aan een groot aantal ontvangers worden verstrekt of zeer frequent aan een kleiner aantal ontvangers worden meegedeeld, kan de verplichting om informatie over de ontvangers of de categorieën ontvangers en over de inhoud van de verstrekte gegevens gedurende een zo lange tijd te bewaren, een buitensporige last vormen voor de voor de verwerking verantwoordelijke. 60. De richtlijn verlangt evenwel niet dat de Lid-Staten de voor de verwerking verantwoordelijke dergelijke lasten opleggen. 61. Zo wordt in artikel 12, sub c, van de richtlijn een uitdrukkelijk voorbehoud gemaakt bij de verplichting van die verantwoordelijke om derden aan wie de gegevens zijn meegedeeld, in kennis te stellen van elke rectificatie, uitwissing of afscherming, namelijk wanneer zulks onmogelijk blijkt of onevenredig veel moeite kost. 62. Ook volgens andere passages van de richtlijn kan rekening worden gehouden met het onevenredige karakter van een aantal maatregelen. Met betrekking tot de verplichting tot informatieverstrekking aan de betrokkene heet het in punt 40 van de considerans van de richtlijn dat hierbij in aanmerking mag worden genomen om hoeveel betrokkenen het gaat en hoe oud de gegevens zijn. Ingevolge artikel 17 van de richtlijn, dat betrekking heeft op de beveiliging van de verwerking, bepalen de Lid-Staten verder dat de voor de verwerking verantwoordelijke technische en organisatorische maatregelen ten uitvoer dient te leggen die, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau garanderen gelet op de risico's die de verwerking en de aard van te beschermen gegevens met zich brengen. 63. Soortgelijke overwegingen zijn ook relevant wanneer het gaat om de vaststelling van een termijn voor het recht op toegang tot informatie over de ontvangers of de categorieën ontvangers en over de inhoud van de verstrekte gegevens. Behalve de in punt 57 van het onderhavige arrest aangevoerde overwegingen, kunnen de Lid-Staten dus nog andere parameters in aanmerking nemen, met name de nationaalrechtelijke bepalingen inzake de termijn voor het instellen van een vordering, het meer of minder gevoelige karakter van de basisgegevens, de bewaringsduur van deze gegevens en het aantal betrokken ontvangers. 64. Het staat bijgevolg aan de Lid-Staten, met betrekking tot informatie over de ontvangers of de categorieën ontvangers en over de inhoud van de verstrekte gegevens, een termijn vast te stellen voor de bewaring daarvan en te voorzien in een toegang daartoe die een juist evenwicht vormen tussen, enerzijds, het belang van de betrokkene bij de bescherming van zijn persoonlijke levenssfeer, met name door uitoefening van het recht op rectificatie, uitwissing en afscherming van de gegevens wanneer die niet conform de richtlijn zijn verwerkt, alsmede van het recht om verzet aan te tekenen en om zich tot de rechter te wenden, en, anderzijds, de last die de verplichting tot bewaring van deze informatie inhoudt voor de voor de verwerking verantwoordelijke.
134
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 10)
65. Bij de vaststelling van die termijn moet voorts ook rekening worden gehouden met de uit artikel 6, sub e, van de richtlijn voortvloeiende verplichting om te bepalen dat persoonsgegevens in een vorm die het mogelijk maakt de betrokkenen te identificeren, niet langer mogen worden bewaard dan voor de verwezenlijking van de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt, noodzakelijk is. 66. In het onderhavige geval vormt een regeling waarbij informatie over de ontvangers of de categorieën ontvangers van de gegevens en over de inhoud van de verstrekte gegevens slechts één jaar wordt bewaard en de toegang tot die informatie dienovereenkomstig wordt beperkt, terwijl de basisgegevens veel langer worden bewaard, geen juist evenwicht tussen het belang en de verplichting in kwestie, tenzij wordt aangetoond dat een langere bewaring van deze informatie een buitensporige last zou vormen voor de voor de verwerking verantwoordelijke. Het staat evenwel aan de nationale rechter, in het licht van de in de vorige punten uiteengezette overwegingen de nodige controles te verrichten. 67. Gelet op het voorgaande, kan het argument van een aantal Lid-Staten niet worden aanvaard dat de toepassing van de artikelen 10 en 11 van de richtlijn de verlening voor het verleden van een recht op toegang tot informatie over de ontvangers of de categorieën ontvangers als bedoeld in artikel 12, sub a, van de richtlijn, overbodig maakt. 68. Vastgesteld zij namelijk dat die artikelen 10 en 11 de voor de verwerking verantwoordelijke of diens vertegenwoordiger verplichtingen opleggen om in een aantal omstandigheden de betrokkene met name informatie te verstrekken over de ontvangers of de categorieën ontvangers van de gegevens. De voor de verwerking verantwoordelijke of diens vertegenwoordiger moet deze informatie eigener beweging aan de betrokkene verstrekken, met name bij de verkrijging van de gegevens of, wanneer de gegevens niet rechtstreeks bij de betrokkene zijn verkregen, op het moment van de registratie van de gegevens of eventueel wanneer deze gegevens aan een derde worden meegedeeld. 69. Deze bepalingen leggen dus andere verplichtingen op dan artikel 12, sub a, van de richtlijn. Bijgevolg beperken zij geenszins de aan de Lid-Staten opgelegde verplichting om te bepalen dat de voor de verwerking verantwoordelijke gehouden is, de betrokkene toegang te verlenen tot informatie over de ontvangers of de categorieën ontvangers en over de verstrekte gegevens, wanneer deze beslist, het hem krachtens dit artikel 12, sub a, verleende recht op toegang uit te oefenen. De Lid-Staten moeten maatregelen treffen tot omzetting in nationaal recht van, enerzijds, de bepalingen van de artikelen 10 en 11 van de richtlijn inzake de verplichting tot informatieverstrekking, en, anderzijds, de bepalingen van artikel 12, sub a, van de richtlijn, zonder dat eerstgenoemde bepalingen de uit de laatstgenoemde bepalingen voortvloeiende verplichtingen kunnen afzwakken. – Europese Hof van Justitie, arrest van 29 juni 2010, 2010, C-28/08 P (Europese Commissie tegen The Bavarian Lager Co. Ltd). 55. Verordening nr. 1049/2001 stelt als algemene regel dat het publiek toegang heeft tot de documenten van de instellingen. Zij voorziet evenwel in uitzonderingen op grond van bepaalde openbare en particuliere belangen. Met name punt 11 van de considerans van die verordening herinnert eraan dat "[b]ij het beoordelen van de uitzonderingen [...] de instellingen rekening [dienen] te houden met de beginselen van de communautaire wetgeving betreffende de bescherming van persoonsgegevens, op alle terreinen van de activiteiten van de Unie". 56. De verordeningen nr. 45/2001 en nr. 1049/2001 zijn vastgesteld op dicht bij elkaar liggende data. Zij bevatten geen bepalingen waarin uitdrukkelijk is gesteld dat een van deze verordeningen voorrang heeft boven de andere. In beginsel moet de volledige toepassing ervan worden verzekerd. 57. Het enige expliciete verband tussen deze twee verordeningen is neergelegd in artikel 4, lid 1, sub b, van verordening nr. 1049/2001, dat voorziet in een uitzondering op de toegang tot een document in het geval waarin openbaarmaking zou leiden tot ondermijning van de bescherming van de persoonlijke levenssfeer of de integriteit van het individu, in het bijzonder gelet op de Uniewetgeving inzake de bescherming van persoonsgegevens. (...). 61. Volgens artikel 1, lid 1, van verordening nr. 45/2001 is het voorwerp van de verordening het "beschermen, met betrekking tot de verwerking van persoonsgegevens, [van] de fundamentele rechten en vrijheden van natuurlijke personen, en met name [van] hun recht op persoonlijke levenssfeer". Deze bepaling staat niet toe dat de gevallen waarin persoonsgegevens worden verwerkt, worden gescheiden in twee categorieën, te weten een categorie waarin deze verwerking enkel wordt onderzocht op basis van artikel 8 EVRM en de rechtspraak van het Europees Hof voor de rechten van de mens inzake dat artikel, en een andere categorie waarin deze verwerking is onderworpen aan de bepalingen van verordening nr. 45/2001. 62. Blijkens de eerste zin van punt 15 van de considerans van verordening nr. 45/2001 heeft de Uniewetgever gewezen op de noodzaak om artikel 6 EU en, langs deze weg, artikel 8 EVRM toe te passen, "[a]ls de verwerking door de communautaire instellingen of organen plaatsvindt ten behoeve van de uitvoering van werkzaamheden die buiten het toepassingsgebied van deze verordening vallen, inzonderheid die welke zijn bedoeld in de titels V en VI van het [EU-Verdrag, in de versie van vóór het Verdrag van Lissabon]". Een dergelijke verwijzing bleek daarentegen niet noodzakelijk voor een verwerking die plaatsvindt bij de uitvoering van binnen het toepassingsgebied van deze verordening vallende werkzaamheden, aangezien in dergelijke gevallen duidelijk verordening nr. 45/2001 zelf van toepassing is. 63. Hieruit volgt dat wanneer een op verordening nr. 1049/2001 gebaseerd verzoek strekt tot het verkrijgen van toegang tot documenten die persoonsgegevens bevatten, de bepalingen van verordening nr. 45/2001, met inbegrip van de artikelen 8 en 18 ervan, in volle omvang van toepassing worden.
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
135
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 10)
64. Door geen rekening te houden met de verwijzing in artikel 4, lid 1, sub b, van verordening nr. 1049/2001 naar de Uniewetgeving inzake de bescherming van persoonsgegevens en, bijgevolg, naar verordening nr. 45/2001, heeft het Gerecht, meteen al in punt 107 van het bestreden arrest, de toepassing van artikel 8, sub b, van verordening nr. 45/2001, en, in punt 109 van dat arrest, de toepassing van artikel 18 van die verordening uitgesloten. Deze artikelen vormen evenwel wezenlijke bepalingen van de bij verordening nr. 45/2001 ingevoerde beschermingsregeling. 65. De bijzondere en beperkende uitlegging die het Gerecht aan artikel 4, lid 1, sub b, van verordening nr. 1049/2001 heeft gegeven, is dan ook niet in overeenstemming met het evenwicht dat de Uniewetgever tussen de twee betrokken verordeningen tot stand heeft willen brengen. 66. In casu blijkt uit het dossier, en met name uit het litigieuze besluit, dat naar aanleiding van de verzoeken van Bavarian Lager van 4 mei 1998, 5 december 2003 en 9 februari 2004 de Commissie laatstgenoemde een document heeft gezonden met de notulen van de vergadering van 11 oktober 1996, waarin vijf namen van personen waren geschrapt. Met betrekking tot deze vijf personen had de Commissie met drie geen contact weten te leggen met het oog op de verkrijging van hun toestemming, en hadden twee zich uitdrukkelijk tegen openbaarmaking van hun identiteit verzet. 67. De Commissie heeft haar weigering om volledige toegang tot dat document te verlenen, gebaseerd op artikel 4, lid 1, sub b, van verordening nr. 1049/2001 en op artikel 8 van verordening nr. 45/2001. 68. Opgemerkt zij dat het Gerecht, waar het in punt 104 van het bestreden arrest de in artikel 2, sub a, van verordening nr. 45/2001 opgenomen definitie van het begrip "persoonsgegevens" onderzoekt, terecht heeft vastgesteld dat de namen en voornamen als persoonsgegevens kunnen worden aangemerkt. 69. Ook heeft het Gerecht, waar het in punt 105 van dat arrest de in artikel 2, sub b, van diezelfde verordening opgenomen definitie van het begrip "verwerking van persoonsgegevens" onderzoekt, terecht geoordeeld dat het verstrekken van dergelijke gegevens binnen de definitie van "verwerking" in de zin van die verordening valt. 70. Het Gerecht is in punt 122 van het bestreden arrest terecht tot de slotsom gekomen dat de lijst van deelnemers aan de vergadering van 11 oktober 1996, opgenomen in het proces-verbaal van die vergadering, dus persoonsgegevens bevat in de zin van artikel 2, sub a, van verordening nr. 45/2001, daar de personen die aan de vergadering hebben kunnen deelnemen, kunnen worden geïdentificeerd. 71. Derhalve is de beslissende vraag of de Commissie toegang kon verlenen tot het document met de vijf namen van de deelnemers aan de vergadering van 11 oktober 1996, gelet op artikel 4, lid 1, sub b, van verordening nr. 1049/2001 en verordening nr. 45/2001. 72. Om te beginnen moet erop worden gewezen dat Bavarian Lager toegang heeft gekregen tot alle informatie inzake de vergadering van 11 oktober 1996, met inbegrip van de standpunten die de sprekers uit hoofde van hun beroep naar voren hebben gebracht. 73. De Commissie heeft bij het eerste verzoek van Bavarian Lager van 4 mei 1998 de deelnemers aan de vergadering van 11 oktober 1996 gevraagd of zij hun namen openbaar mocht maken. Zoals de Commissie aangeeft in het besluit van 18 maart 2003, was deze procedure in overeenstemming met de voorschriften van de destijds geldende richtlijn 95/46. 74. Naar aanleiding van een op 5 december 2003 bij de Commissie ingediend nieuw verzoek van Bavarian Lager om mededeling van het volledige proces-verbaal van de vergadering van 11 oktober 1996, heeft de Commissie haar op 27 januari 2004 laten weten dat zij, gelet op de inwerkingtreding van de verordeningen nr. 45/ 2001 en nr. 1049/2001, dit verzoek voortaan moest behandelen volgens de specifieke regeling van die verordeningen, met name volgens die van artikel 8, sub b, van verordening nr. 45/2001. 75. Ongeacht of dit is geschied onder de oude regeling van richtlijn 95/46 of onder de regeling van de verordeningen nr. 45/2001 en nr. 1049/2001, is de Commissie terecht nagegaan of de betrokkenen hun toestemming hadden gegeven voor de openbaarmaking van de op hen betrekking hebbende persoonsgegevens. 76. Vastgesteld moet worden dat de Commissie, door van het litigieuze document de versie openbaar te maken waarin de vijf namen van de deelnemers aan de vergadering van 11 oktober 1996 waren geschrapt, niet de bepalingen van verordening nr. 1049/2001 heeft geschonden en zich in voldoende mate aan haar transparantieverplichting. heeft gehouden 77. Door te eisen dat Bavarian Lager voor de vijf personen die niet uitdrukkelijk toestemming hebben gegeven, de noodzaak van de doorgifte van deze persoonsgegevens aantoont, heeft de Commissie gehandeld in overeenstemming met artikel 8, sub b, van verordening nr. 45/2001. 78. Aangezien Bavarian Lager geen enkele uitdrukkelijke en legitieme rechtvaardigingsgrond en evenmin enig overtuigend argument tot staving van de noodzaak van de doorgifte van deze persoonsgegevens heeft aangevoerd, heeft de Commissie de verschillende belangen van de betrokken partijen niet tegen elkaar kunnen afwegen. De Commissie heeft evenmin kunnen nagaan of er geen reden bestond om aan te nemen dat door deze doorgifte de rechtmatige belangen van de betrokkenen worden geschaad, zoals artikel 8, sub b, van verordening nr. 45/2001 voorschrijft. 79. Uit het voorgaande volgt dat de Commissie het verzoek om toegang tot het volledige proces-verbaal van de vergadering van 11 oktober 1996 terecht heeft geweigerd.
136
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 10)
INZAGERECHT GEZONDHEIDSGEGEVENS
§ 2, lid 1 - lid 2, Inzagerecht gezondheidsgegevens 1. VERWIJZING NAAR ANDERE WETGEVING – Artikel 9 § 2 van de Wet van 22 augustus 2002 betreffende de rechten van de patiënt, B.S. 26 september 2002: de patiënt heeft recht op inzage in het hem betreffend patiëntendossier. Aan het verzoek van de patiënt tot inzage in het hem betreffend patiëntendossier wordt onverwijld en ten laatste binnen 15 dagen na ontvangst ervan gevolg gegeven. De persoonlijke notities van een beroepsbeoefenaar en gegevens die betrekking hebben op derden zijn van het recht op inzage uitgesloten. Op zijn verzoek kan de patiënt zich laten bijstaan door of zijn inzagerecht uitoefenen via een door hem aangewezen vertrouwenspersoon. Indien deze laatste een beroepsbeoefenaar is, heeft hij ook inzage in de in het derde lid bedoelde persoonlijke notities. (In dit geval is het verzoek van de patiënt schriftelijk geformuleerd en worden het verzoek en de identiteit van de vertrouwenspersoon opgetekend in of toegevoegd aan het patiëntendossier.) Indien het patiëntendossier een schriftelijke motivering bevat zoals bedoeld in artikel 7, § 4, tweede lid, die nog steeds van toepassing is, oefent de patiënt zijn inzagerecht uit via een door hem aangewezen beroepsbeoefenaar, die ook inzage heeft in de in het derde lid, bedoelde persoonlijke notities.
2. INTERNATIONALE WETGEVING – Recommendation No.R(89)2 of the Committee of Ministers to Member States on the protection of personal data used for employment purposes (1989) - (punt 10.6.): the data subject's right of access to his health data should not be restricted unless access to such data could cause serious harm to the data subject, in which case the data may be communicated to him through a doctor of his choice. – Recommendation No.R(97)5 of the Committee of Ministers to Member States on the protection of medical data (1997) - (punt 8): 8.1. Every person shall be enabled to have access to his/her medical data, either directly or through a healthcare professional or, if permitted by domestic law, a person appointed by him/her. The information must be accessible in understandable form. 8.2. Access to medical data may be refused, limited or delayed only if the law provides for this and if: a) this constitutes a necessary measure in a democratic society in the interests of protecting state security, public safety, or the suppression of criminal offences; or b) knowledge of the information is likely to cause serious harm to the data subject's health; or c) the information on the data subject also reveals information on third parties or if, with respect to genetic data, this information is likely to cause serious harm to consanguine or uterine kin or to a person who has a direct link with this genetic line; or d) the data are used for statistical or for scientific research purposes where there is clearly no risk of an infringement of the privacy of the data subject, notably the possibility of using the data collected in support of decisions or measures regarding any particular individual. 8.3. The data subject may ask for rectification of erroneous data concerning him/her and, in case of refusal, he/ she shall be able to appeal. – Overweging 43 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): overwegende dat de Lid-Staten het recht van toegang en van informatie in het belang van de betrokkene of met het oog op de bescherming van andermans rechten en vrijheden mogen beperken; dat zij, bij voorbeeld, kunnen preciseren dat de toegang tot medische gegevens slechts kan worden verkregen door tussenkomst van een gezondheidswerker. HERHAALDE VRAGEN
§ 3 Herhaalde vragen INTERNATIONALE WETGEVING – Artikel 8 b) van het Verdrag nr. 108 van de Raad van Europa tot bescherming van personen ten opzichte van de geautomatiseerde verwerking van persoonsgegevens (1981): een ieder dient in staat te worden gesteld met redelijke tussenpozen en zonder overmatige vertraging of kosten uitsluitsel te verkrijgen over de vraag of persoonsgegevens over hem in het geautomatiseerde bestand zijn opgeslagen en die gegevens in begrijpelijke vorm meegedeeld te krijgen. – Artikel 8 d) van het Verdrag nr. 108 van de Raad van Europa tot bescherming van personen ten opzichte van de geautomatiseerde verwerking van persoonsgegevens (1981): een ieder dient in staat te worden gesteld over een rechtsmiddel te beschikken, indien geen gevolg 'wordt gegeven aan een verzoek om uitsluitsel of, al naargelang het geval, mededeling, verbetering of uitwissing van persoonsgegevens als bedoeld in letter b en letter c van dit artikel.
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
137
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 11)
– Artikel 12 a) van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): de Lid-Staten waarborgen elke betrokkene het recht van de voor de verwerking verantwoordelijke te verkrijgen: a) vrijelijk en zonder beperking, met redelijke tussenpozen en zonder bovenmatige vertraging of kosten: - uitsluitsel omtrent het al dan niet bestaan van verwerkingen van hem betreffende gegevens, alsmede ten minste informatie over de doeleinden van deze verwerkingen, de categorieën gegevens waarop deze verwerkingen betrekking hebben en de ontvangers of categorieën ontvangers aan wie de gegevens worden verstrekt; - verstrekking, in begrijpelijke vorm, van de gegevens die zijn verwerkt, alsmede de beschikbare informatie over de oorsprong van de gegevens; - mededeling van de logica die ten grondslag ligt aan de automatische verwerking van hem betreffende gegevens, in elk geval als het gaat om de geautomatiseerde besluiten als bedoeld in artikel 15, lid 1. – Artikel 13 van de Verordening (EG) nr. 45/2001 van het Europees Parlement en de Raad van 18 december 2000 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de communautaire instellingen en organen en betreffende het vrije verkeer van die gegevens (2000): elke betrokkene heeft het recht te allen tijde en ongehinderd binnen drie maanden na ontvangst van het verzoek kosteloos van de verantwoordelijke voor de verwerking: a) uitsluitsel te verkrijgen over het al dan niet plaatsvinden van gegevensverwerking die de betrokkene betreft; b) ten minste informatie te verkrijgen over de doeleinden van de verwerking, over de categorieën gegevens waarop de verwerking betrekking heeft en over de ontvangers, respectievelijk de categorieën ontvangers aan wie de gegevens worden verstrekt; c) de gegevens die verwerking ondergaan, alsmede elke beschikbare informatie wat de bron van die gegevens betreft, in begrijpelijke vorm verstrekt te krijgen; d) inzicht te verkrijgen in de achterliggende gedachte van elke hem betreffende geautomatiseerde gegevensverwerking.
Art. 11. }1[...]1 }1. – Na wijziging, opgeheven bij art. 15 wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001)
Art. 12. § 1. Eenieder is gerechtigd alle onjuiste persoonsgegevens die op hem betrekking hebben kosteloos te doen verbeteren. }1 [Eenieder is bovendien gerechtigd om wegens zwaarwegende en gerechtvaardigde redenen die verband houden met zijn bijzondere situatie, zich ertegen te verzetten dat hem betreffende gegevens het voorwerp van een verwerking vormen, behalve wanneer de rechtmatigheid van de verwerking gesteund is op de in artikel 5, b) en c), bedoelde redenen.]1 }2 [Indien de persoonsgegevens verkregen worden met het oog op direct marketing mag de betrokkene zich kosteloos en zonder enige motivering tegen de voorgenomen verwerking van hem betreffende persoonsgegevens verzetten.]2 }3 [In geval van gerechtvaardigd verzet mag de door de verantwoordelijke voor de verwerking verrichte verwerking niet langer op deze persoonsgegevens betrekking hebben.]3 Eenieder is tevens gerechtigd kosteloos de verwijdering van of het verbod op de aanwending van alle hem betreffende persoonsgegevens te bekomen die, gelet op het doel van de verwerking, onvolledig of niet ter zake dienend zijn, of waarvan de registratie, de mededeling of de bewaring verboden zijn, of die na verloop van de toegestane duur zijn bewaard. § 2. Om }4[de in § 1 bedoelde rechten»;]4 uit te oefenen dient de belanghebbende een gedagtekend en ondertekend verzoek in bij de }4[verantwoordelijke voor
138
de verwerking]4 of bij iedere andere persoon die de Koning aanwijst. § 3. }5[Binnen een maand te rekenen van het tijdstip van indiening van het verzoek op grond van § 2, deelt de verantwoordelijke voor de verwerking de verbeteringen of verwijderingen van gegevens, gedaan op grond van § 1, mee aan de betrokkene zelf, alsmede aan de personen aan wie de onjuiste, onvolledige of niet ter zake dienende gegevens zijn meegedeeld, voor zover hij nog kennis heeft van de bestemmelingen van de mededeling en de kennisgeving aan deze bestemmelingen niet onmogelijk blijkt of onevenredig veel moeite kost. Indien de betrokkene zich tegen de verwerking of de voorgenomen verwerking van hem betreffende persoonsgegevens verzet in toepassing van § 1, tweede en derde lid, deelt de verantwoordelijke voor de verwerking aan de betrokkene binnen dezelfde termijn mee welk gevolg hij aan het verzoek heeft gegeven.]5 § 4. }6[...]6 }1. – § 1, lid 2, ingevoegd bij art. 16, 1°, wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001) }2. – § 1, lid 3, ingevoegd bij art. 16, 1°, wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001) }3. – § 1, lid 4, ingevoegd bij art. 16, 1°, wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001) }4. – § 2 gewijzigd bij art. 16, 2°-3°, wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001) }5. – § 3 vervangen bij art. 16, 4°, wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001) }6. – § 4, na wijziging, opgeheven bij art. 16, 5°, wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001)
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 12)
VERBETERINGSRECHT RECHT VAN VERZET TEGEN VERWERKING GEVOELIGE GEGEVENS
§ 1, lid 1, Verbeteringsrecht, recht van verzet tegen verwerking gevoelige gegevens 1. INTERNATIONALE WETGEVING – Guidelines of the United Nations for the Regulation of Computerized Personal Data Files (1990) - (4) Principle of interested-person access: everyone who offers proof of identity has the right to know whether information concerning him is being processed and to obtain it in an intelligible form, without undue delay or expense, and to have appropriate rectifications or erasures made in the case of unlawful, unnecessary or inaccurate entries and, when it is being communicated, to be informed of the addressees. Provision should be made for a remedy, if need be with the supervisory authority specified in principle 8 below. The cost of any rectification shall be borne by the person responsible for the file. It is desirable that the provisions of this principle should apply to everyone, irrespective of nationality or place of residence. – Artikel 8 c) van het Verdrag nr. 108 van de Raad van Europa tot bescherming van personen ten opzichte van de geautomatiseerde verwerking van persoonsgegevens (1981): een ieder dient in staat te worden gesteld in voorkomend geval die gegevens te doen verbeteren of uitwissen, indien deze zijn verwerkt in strijd met de bepalingen van het interne recht ter uitvoering van de grondbeginselen vervat in de artikelen 5 en 6 van dit Verdrag. – Recommendation No.R(86)1 of the Committee of Ministers to Member States on the protection of personal data used for social security purposes (1986) - (punt 6): subject to provisions of national law concerning medical data or scientific research and statistics, the right of the individual to obtain and rectify data concerning him should not be restricted unless this is necessary for the suppression of fraud or abuse of the social security system or for the protection of the rights and freedoms of others. – Artikel 12 b) van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): de Lid-Staten waarborgen elke betrokkene het recht van de voor de verwerking verantwoordelijke te verkrijgen naar gelang van het geval, de rectificatie, de uitwissing of de afscherming van de gegevens waarvan de verwerking niet overeenstemt met de bepalingen van deze Richtlijn, met name op grond van het onvolledige of onjuiste karakter van de gegevens
2. ADVIES VAN DE GROEP 29 – Groep 29, Advies 2/2010 over online reclame op basis van surfgedrag (‘behavioural advertising’) (WP 171 – 22 juni 2010): de Groep wijst erop dat een verantwoordelijke voor gegevensverwerking particulieren van wie gegevens worden verwerkt in staat zou moeten stellen hun rechten op toegang, rectificatie en uitwissing uit te oefenen en bezwaar te maken, zoals uiteengezet in de artikelen 12 en 14 van de Richtlijn gegevensbescherming. De Groep gegevensbescherming artikel 29 is op de hoogte van de initiatieven van aanbieders van advertentienetwerken om toegang tot interessecategorieën die aan betrokkenen zijn gekoppeld, aan te bieden op basis van het cookie-identificatienummer. Met deze nieuwe hulpmiddelen kunnen gebruikers niet alleen toegang krijgen tot interessecategorieën die met hen te maken hebben, maar kunnen ze deze ook wijzigen of uitwissen. De Groep gegevensbescherming artikel 29 is ingenomen met deze initiatieven die ertoe zullen bijdragen dat particulieren hun recht om makkelijk toegang te krijgen tot hun persoonsgegevens en deze te corrigeren, daadwerkelijk kunnen uitoefenen. De Groep gegevensbescherming artikel 29 dringt er bij aanbieders van advertentienetwerken op aan procedures in te voeren om particulieren te informeren over deze hulpmiddelen en deze zo zichtbaar mogelijk te maken voor betrokkenen, zodat gemiddelde gebruikers de facto bij machte zullen zijn ze te gebruiken.
3. RECHTSPRAAK VAN HET EUROPEES HOF VOOR DE RECHTEN VAN DE MENS – B. t. Frankrijk van 25 maart 1992, verzoek nr. 13343/87 (schending van artikel 8 van het Verdrag). Inperking van het briefgeheim. Weigering om de burgerlijke staat van een persoon te corrigeren ten gevolge van zijn geslachtsverandering.
§ 1, lid 2 - lid 4 1. KONINKLIJK BESLUIT VAN 13 FEBRUARI 2001 – Artikel 34 van het Koninklijk besluit van 13 februari 2001 ter uitvoering van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (2001): Ingeval persoonsgegevens schriftelijk bij de betrokken persoon worden verzameld, vraagt de verantwoordelijke voor de verwerking op het document aan de hand waarvan de gegevens bij betrokkene worden verzameld aan deze laatste of hij het recht op verzet waarin artikel 12, § 1, derde lid, van de wet voorziet, wenst uit te oefenen. Ingeval de persoonsgegevens bij de betrokken persoon op een andere dan schriftelijke wijze worden verzameld, vraagt de verantwoordelijke aan die persoon of hij het recht op verzet waarin artikel 12, § 1, derde lid, van de wet voorziet, wenst uit te oefenen, De betrokkene kan zulks doen op een document dat de verantwoordelijke voor de verwerking hem bezorgt ten laatste twee maanden nadat de persoonsgegevens zijn verzameld
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
139
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 12)
of aan de hand van enig technisch middel op grond waarvan kan worden aangetoond dat hem de mogelijkheid is geboden voornoemd recht uit te oefenen.
2. INTERNATIONALE WETGEVING – Recommendation No.R(85)20 of the Committee of Ministers to Member States on the protection of personal data used for the purposes of direct marketing (1985) – Recommendation No.R(2002)9 of the Committee of Ministers to Member States on the protection of personal data collected and processed for insurance purposes (2002) - (4.8.): provided that the data subject has been informed and has not objected, the controller may use, for the purposes of marketing and promoting its range of services, the data collected and recorded for insurance purposes. If, however, processing concerns sensitive data, the explicit consent of the data subject is required provided that this is not contrary to domestic law. The data subject should be informed of the fact that if he/she refuses to consent to or objects to his/her data being used for marketing purposes this will not prejudice the decision to provide him/her with insurance cover or to allow him/her to continue benefiting from insurance cover already issued. – Artikel 14 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): de Lid-Staten kennen de betrokkene het recht toe: a) zich ten minste in de gevallen, bedoeld in artikel 7, onder e) en f), te allen tijde om zwaarwegende en gerechtvaardigde redenen die verband houden met zijn bijzondere situatie ertegen te verzetten dat hem betreffende gegevens het voorwerp van een verwerking vormen, behoudens andersluidende bepalingen in de nationale wetgeving. In geval van gerechtvaardigd verzet mag de door de voor de verwerking verantwoordelijke persoon verrichte verwerking niet langer op deze gegevens betrekking hebben; b) zich te verzetten, op verzoek en kosteloos, tegen de voorgenomen verwerking van hem betreffende persoonsgegevens door de voor de verwerking verantwoordelijke persoon met het oog op direct marketing, of te worden ingelicht voordat persoonsgegevens voor de eerste keer aan derden worden verstrekt of voor rekening van derden worden gebruikt voor direct marketing en het recht uitdrukkelijk ter kennis gebracht te krijgen dat hij of zij zich kosteloos kan verzetten tegen deze verstrekking of dit gebruik van gegevens. – Overweging 45 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): overwegende dat wanneer gegevens het voorwerp kunnen uitmaken van een rechtmatige verwerking op grond van een algemeen belang, de uitoefening van het openbaar gezag of het rechtmatig belang van een persoon, iedere betrokkene evenwel het recht dient te hebben om zich op grond van zwaarwegende en gerechtvaardigde redenen die met zijn specifieke situatie verband houden tegen verwerking van hem betreffende gegevens te verzetten; dat de Lid-Staten evenwel de mogelijkheid hebben andersluidende nationale bepalingen vast te stellen; – International Standards on the Protection of Personal Data and Privacy (2009) (The Madrid Resolution): resolutie goedgekeurd op 5 november 2009 door de Internationale Conferentie van de commissarissen voor de bescherming van gegevens en de privacy. Principe nr.18 : Right to object : 1. The data subject may object to the processing of personal data where there is a legitimate reason related to his/her specific personal situation. 2. The exercise of this right to object is not justified where the processing is necessary for the performance of a duty imposed on the responsible person by the applicable national legislation. (…) Principe 19: Exercise of these rights: 1. The rights provided for in sections 16 to 18 of this Document may be exercised: a. Directly by the data subject, who shall satisfactorily establish his/her identity to the responsible person. b. Through a representative, who shall satisfactorily establish his/her status to the responsible person. 2. The responsible person must implement procedures to enable data subjects to exercise the rights provided for in sections 16 to 18 of this Document in a simple, fast and efficient way, which do not entail undue delay or cost nor any gain whatsoever for the responsible person. 3. When a responsible person concludes that, pursuant to the applicable national legislation, the exercise of rights under this Part is not justified, the data subject should be informed of the reasons that led to this conclusion.
3. ADVIEZEN VAN DE GROEP 29 – Groep 29, Advies 3/2003 over de Europese gedragscode van de FEDMA voor het gebruik van persoonsgegevens bij direct marketing (13 juni 2003 - WP 77): de Groep is van mening dat de gedragscode van de FEDMA overeenstemt met de Richtlijn 95/46/EG en voldoende meerwaarde toevoegt aan die Richtlijn in die mate dat deze duidelijk gericht is op de vragen en problemen rond gegevensbescherming in de direct marketingsector en heldere oplossingen voorstelt voor de eventuele voorkomende moeilijkheden. De gedragscode komt tegemoet aan de vereisten van artikel 27 van de Richtlijn (zie infra). – Groep 29, Advies 5/2004 betreffende ongewenste communicatie voor marketingdoeleinden in de context van artikel 13 van Richtlijn 2002/58/EG (27 februari 2004 - WP 90): dit advies is gebaseerd op de juridische vereisten betreffende het verzenden van elektronische berichten (bijvoorbeeld via e-mail, sms, fax, telefoon) naar natuurlijke personen voor direct marketing doeleinden, zoals bepaald in artikel 13 van de Richtlijn 2002/58/ EG. Dit advies brengt meer in het bijzonder verduidelijking omtrent bepaalde begrippen die in artikel 13 wer-
140
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 12)
den gebruikt, zoals het begrip elektronische post, voorafgaande toestemming van de abonnee, direct marketing, uitzondering op de opt-in regel en de regelingen voor berichten aan rechtspersonen. – Groep 29, Working Document 1/2008 on the protection of children's personal data (General guidelines and the special case of schools), (18 februari 2008, WP 147) en Groep 29, Advies 2/2009 over de bescherming van persoonsgegevens van kinderen (Algemene richtlijnen en het bijzondere geval van scholen), (11 februari 2009, WP 160): art 14 a) states that the data subject has the right to object the processing - at least in cases referred to in art 7 e) and f) - on compelling legitimate grounds. These grounds can be particularly compelling when they concern children. It should also be recalled that data subjects are entitled in any case to object to the processing of their data for direct marketing purposes (Art. 14 b)). – Groep 29, Advies 5/2009 over online sociale netwerken (12 juni 2009, WP 163): direct marketing is een wezenlijk onderdeel van het bedrijfsmodel van sociale netwerkdiensten, hoewel deze andere marketingmodellen kunnen gebruiken. Marketing waarbij gebruik wordt gemaakt van persoonsgegevens van gebruikers moet echter voldoen aan de desbetreffende bepalingen van de richtlijn gegevensbescherming en de e-privacyrichtlijn. - Contextuele marketing is afgestemd op de inhoud die de gebruiker op een bepaald moment bekijkt of benadert. - Bij gesegmenteerde marketing worden advertenties gericht op bepaalde groepen gebruikers; gebruikers worden in een groep ingedeeld aan de hand van de informatie die zij rechtstreeks aan de sociale netwerkdienst hebben verstrekt. - Bij gedragsmarketing worden advertenties geselecteerd aan de hand van observatie en analyse van de activiteiten van de gebruikers in de loop van de tijd. Voor deze technieken kunnen verschillende wettelijke vereisten gelden, afhankelijk van de toepasselijke rechtsgrondslag en kenmerken van de gebruikte technieken. De Groep beveelt aan bij op het gedrag gebaseerde reclame geen gebruik te maken van gevoelige gegevens, tenzij aan alle juridische vereisten is voldaan. Welk model of combinatie van modellen ook wordt gekozen, advertenties kunnen ofwel direct door de sociale netwerkdienst worden aangeleverd (de aanbieder van de sociale netwerkdienst treedt dan op als makelaar) of door een derde. In het eerste geval hoeven de persoonsgegevens niet aan derden te worden verstrekt. In het tweede geval kan het echter zijn dat de derde die de advertenties plaatst, persoonsgegevens van de gebruikers verwerkt, bijvoorbeeld het IP-adres van de gebruiker of een cookie op de computer van de gebruiker. – Groep 29, Advies 5/2009 over online sociale netwerken (12 juni 2009, WP 163): sociale netwerkdiensten moeten de rechten van de gebruikers van wie zij de gegevens verwerken respecteren, overeenkomstig de artikelen 12 en 14 van de richtlijn gegevensbescherming. Het recht op toegang en rectificatie mag niet beperkt zijn tot gebruikers van de dienst, maar moet ook gelden voor elke andere natuurlijke persoon van wie gegevens worden verwerkt. Zowel leden als niet-leden van een sociale netwerkdienst moeten de gelegenheid krijgen hun recht op toegang, correctie en verwijdering uit te oefenen. Op de homepage van de sociale netwerkdienst moet duidelijk worden aangegeven dat deze beschikt over een afdeling voor de afhandeling van klachten, die zich bezighoudt met problemen op het gebied van gegevensbescherming en privacy en klachten van zowel leden als niet-leden in behandeling neemt. – Groep 29, Advies 4/2010 over de Europese gedragscode van FEDMA voor het gebruik van persoonsgegevens in het kader van direct marketing (WP 174 – 13 juli 2010): de Groep heeft in juni 2003 advies uitgebracht over de Europese gedragscode van FEDMA voor het gebruik van persoonsgegevens in het kader van direct marketing. De Groep wees er op dat een algemene code zoals deze niet alle specifieke problemen die inherent zijn aan de online wereld kan oplossen en verzocht FEDMA derhalve een bijlage bij de code te maken waarin deze vraagstukken worden behandeld. In deze bijlage zou met name de bescherming van minderjarigen aan bod moeten komen, die op dit gebied vooral kwetsbaar zijn. Het advies vermeldt de structuur van de bijlage en onderzoekt de verenigbaarheid ervan met de richtlijn 95/46/EG.
4. VERSLAGEN EN STUDIES VAN DE RAAD VAN EUROPA – Raad van Europa, Application of Convention 108 to the profiling mechanism: Some ideas for the future work of the consultative committee (T-PD), By Jean-Marc Dinant, Christophe Lazaro, Yves Poullet,Nathalie Lefever, Antoinette Rouvroy (2008). UITWISSING
§ 1, lid 5, Uitwissing - verbod op het gebruik INTERNATIONALE WETGEVING – Artikel 12 b) van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): de Lid-Staten waarborgen elke betrokkene het recht van de voor de verwerking verantwoordelijke te verkrijgen naar gelang van het geval, de rectificatie, de uitwissing of de afscherming van de gegevens waarvan de verwerking niet overeenstemt met de bepalingen van deze Richtlijn, met name op grond van het onvolledige of onjuiste karakter van de gegevens.
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
141
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 12bis)
– International Standards on the Protection of Personal Data and Privacy (2009) (The Madrid Resolution): resolutie goedgekeurd op 5 november 2009 door de Internationale Conferentie van de commissarissen voor de bescherming van gegevens en de privacy. Principe nr.17: Right to rectify and to delete: 1. The data subject has the right to request from the responsible person the deletion or rectification of personal data that might be incomplete, inaccurate, unnecessary or excessive. 2. Where justified, the responsible person should carry out the rectification or deletion requested. The responsible person should also notify this fact to third parties to whom personal data had been disclosed, where they are known. 3. Deletion of personal data is not justified where personal data must be retained for the performance of an obligation imposed on the responsible person by the applicable national legislation, or possibly by the contractual relations between the responsible person and the data subject. Principe 19: Exercise of these rights: 1. The rights provided for in sections 16 to 18 of this Document may be exercised: a. Directly by the data subject, who shall satisfactorily establish his/her identity to the responsible person. b. Through a representative, who shall satisfactorily establish his/her status to the responsible person. 2. The responsible person must implement procedures to enable data subjects to exercise the rights provided for in sections 16 to 18 of this Document in a simple, fast and efficient way, which do not entail undue delay or cost nor any gain whatsoever for the responsible person. 3. When a responsible person concludes that, pursuant to the applicable national legislation, the exercise of rights under this Part is not justified, the data subject should be informed of the reasons that led to this conclusion.
§ 2 Uitvoeringswijze KONINKLIJK BESLUIT VAN 13 FEBRUARI 2001 – Artikel 33 van het Koninklijk besluit van 13 februari 2001 ter uitvoering van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (2001): De verzoeken tot verbetering, verwijdering of verbod op de aanwending van de persoonsgegevens en enig verzet gegrond op artikel 12 van de wet worden ingediend volgens dezelfde procedure en bij dezelfde personen dan die vermeld in het artikel 32 van dit besluit. Artikel 32 KB van 13 februari 2001: Eenieder die zijn identiteit bewijst, heeft het recht om onder de voorwaarden gesteld bij de wet kennis te krijgen van de in artikel 10 van de wet vermelde informatie, zulks op ondertekend en gedagtekend verzoek dat ter plaatse wordt overhandigd, of over de post of met een telecommunicatiemiddel wordt toegezonden: - hetzij aan de verantwoordelijke voor de verwerking of aan zijn vertegenwoordiger in België, of aan een van de door hem gemachtigde of aangestelde personen; - hetzij aan de verwerker van de persoonsgegevens die het in voorkomend geval aan een van voornoemde personen doorgeeft. Indien het verzoek ter plaatse wordt overhandigd, reikt de persoon die het in ontvangst neemt aan de verzoeker onmiddellijk een gedagtekend en ondertekend ontvangbewijs uit. VERANTWOORDELIJKE VOOR DE VERWERKING
§ 3 Verplichtingen verantwoordelijke voor de verwerking INTERNATIONALE WETGEVING – Artikel 8 d) van het Verdrag nr. 108 van de Raad van Europa tot bescherming van personen ten opzichte van de geautomatiseerde verwerking van persoonsgegevens (1981): een ieder dient in staat te worden gesteld over een rechtsmiddel te beschikken, indien geen gevolg 'wordt gegeven aan een verzoek om uitsluitsel of, al naargelang het geval, mededeling, verbetering of uitwissing van persoonsgegevens als bedoeld in letter b en letter c van dit artikel. – Artikel 12 c) van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): de Lid-Staten waarborgen elke betrokkene het recht van de voor de verwerking verantwoordelijke te verkrijgen (...) kennisgeving aan derden aan wie de gegevens zijn verstrekt, van elke rectificatie, uitwissing of afscherming, uitgevoerd overeenkomstig punt b), tenzij zulks onmogelijk blijkt of onevenredig veel moeite kost. }1
[Art. 12bis. Een besluit waaraan voor een persoon rechtsgevolgen verbonden zijn of dat hem in aanmerkelijke mate treft, mag niet louter worden genomen op grond van een geautomatiseerde gegevensverwerking die bestemd is om bepaalde aspecten van zijn persoonlijkheid te evalueren.
142
Het in het eerste lid vastgestelde verbod geldt niet indien het besluit wordt genomen in het kader van een overeenkomst of zijn grondslag vindt in een bepaling voorgeschreven door of krachtens een wet, decreet of ordonnantie. In die overeenkomst of in die bepaling moeten passende maatregelen zijn genomen ter bescherming van
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 12bis)
de gerechtvaardigde belangen van de betrokkene. Minstens moet hem de mogelijkheid geboden worden om op nuttige wijze zijn standpunt naar voor te brengen.]1
}1. – Ingevoegd bij art. 17 wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001)
GEAUTOMATISEERDE BESLUITVORMING BEGINSEL: VERBOD
Lid 1 Beginsel: Geautomatiseerde besluitvorming INTERNATIONALE WETGEVING – Zie ook Recommendation No.R(97)18 of the Committee of Ministers to Member States concerning the protection of personal data collected and processed for statistical purposes (1997) and Explanatory Memorandum. – Recommendation No.R(2002)9 of the Committee of Ministers to Member States on the protection of personal data collected and processed for insurance purposes (2002) - (punt 9): insurance decisions which have a legal effect on data subjects or affect them significantly should not be taken solely on the basis of automated data processing intended to evaluate certain personal aspects relating to them according to pre-established criteria or statistical results. – Artikel 15 § 1 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): de Lid-Staten kennen een ieder het recht toe niet te worden onderworpen aan een besluit waaraan voor hem rechtsgevolgen zijn verbonden of dat hem in aanmerkelijke mate treft en dat louter wordt genomen op grond van een geautomatiseerde gegevensverwerking die bestemd is om bepaalde aspecten van zijn persoonlijkheid, zoals beroepsprestatie, kredietwaardigheid, betrouwbaarheid, gedrag, enz. te evalueren. – Artikel 19 van de Verordening (EG) nr. 45/2001 van het Europees Parlement en de Raad van 18 december 2000 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de communautaire instellingen en organen en betreffende het vrije verkeer van die gegevens (2000): de betrokkene heeft het recht niet te worden onderworpen aan een besluit waaraan voor hem rechtsgevolgen zijn verbonden of dat hem verregaand treft en dat uitsluitend op een geautomatiseerde gegevensverwerking berust die bestemd is om bepaalde aspecten van zijn persoonlijkheid, zoals beroepsprestatie, betrouwbaarheid of gedrag te beoordelen, tenzij het besluit uitdrukkelijk is toegestaan krachtens een nationale of communautaire regelgeving of, indien nodig, door de Europese Toezichthouder voor gegevensbescherming. In beide gevallen worden maatregelen genomen om de legitieme belangen van de betrokkene te beschermen, zoals regelingen die de betrokkene in staat stellen zijn standpunt kenbaar te maken. – International Standards on the Protection of Personal Data and Privacy (2009) (The Madrid Resolution): resolutie goedgekeurd op 5 november 2009 door de Internationale Conferentie van de commissarissen voor de bescherming van gegevens en de privacy. Principe nr.18 : Right to object : (…) 3. Any data subject may also object to those decisions which produce legal effects based solely on automated processing of personal data, except when the decision had been specifically requested by the data subject or when it is necessary for the establishment, the maintenance or the performance of a legal relation between the responsible person and the data subject. In the latter case, the data subject must be able to put his/her point of view in order to defend his/her right or interest. Principe 19: Exercise of these rights: 1. The rights provided for in sections 16 to 18 of this Document may be exercised: a. Directly by the data subject, who shall satisfactorily establish his/her identity to the responsible person. b. Through a representative, who shall satisfactorily establish his/her status to the responsible person. 2. The responsible person must implement procedures to enable data subjects to exercise the rights provided for in sections 16 to 18 of this Document in a simple, fast and efficient way, which do not entail undue delay or cost nor any gain whatsoever for the responsible person. 3. When a responsible person concludes that, pursuant to the applicable national legislation, the exercise of rights under this Part is not justified, the data subject should be informed of the reasons that led to this conclusion. van de betrokkene te beschermen, zoals regelingen die de betrokkene in staat stellen zijn standpunt kenbaar te maken. UITZONDERINGEN
Lid 2 Uitzonderingen 1. INTERNATIONALE WETGEVING – Artikel 15 § 2 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): onverminderd het bepaalde in de overige artikelen van deze Richtlijn bepalen de LidStaten dat een persoon aan een besluit als bedoeld in lid 1 kan worden onderworpen, indien dat besluit:
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
143
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 13)
a) wordt genomen in het kader van het sluiten of uitvoeren van een overeenkomst, mits aan het verzoek van de betrokkene is voldaan of passende maatregelen, zoals de mogelijkheid zijn standpunt te doen gelden, zijn genomen ter bescherming van zijn gerechtvaardigde belang; of b) zijn grondslag vindt in een wet waarin de maatregelen zijn omschreven die strekken tot bescherming van het gerechtvaardigde belang van de betrokkene. – Artikel 19 van de Verordening (EG) nr. 45/2001 van het Europees Parlement en de Raad van 18 december 2000 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de communautaire instellingen en organen en betreffende het vrije verkeer van die gegevens V(2000): de betrokkene heeft het recht niet te worden onderworpen aan een besluit waaraan voor hem rechtsgevolgen zijn verbonden of dat hem verregaand treft en dat uitsluitend op een geautomatiseerde gegevensverwerking berust die bestemd is om bepaalde aspecten van zijn persoonlijkheid, zoals beroepsprestatie, betrouwbaarheid of gedrag te beoordelen, tenzij het besluit uitdrukkelijk is toegestaan krachtens een nationale of communautaire regelgeving of, indien nodig, door de Europese Toezichthouder voor gegevensbescherming. In beide gevallen worden maatregelen genomen om de legitieme belangen van de betrokkene te beschermen, zoals regelingen die de betrokkene in staat stellen zijn standpunt kenbaar te maken. – Recommendation No.R(2002)9 of the Committee of Ministers to Member States on the protection of personal data collected and processed for insurance purposes (2002) - (punt 9): (...) such decisions (beslissingen van verzekeringsinstellingen met juridische gevolgen voor de betrokken personen of die hen op veelbetekende wijze raken) may nevertheless be taken if they satisfy a request made by the data subjects with a view to the conclusion or execution of an insurance contract, or if the data subjects are permitted to put their point of view in order to guarantee protection of their legitimate interests. Such decisions may also be taken if they are authorised by law which safeguards the legitimate interests of the data subject. – International Standards on the Protection of Personal Data and Privacy (2009) (The Madrid Resolution): resolutie goedgekeurd op 5 november 2009 door de Internationale Conferentie van de commissarissen voor de bescherming van gegevens en de privacy. Principe n°18 : Right to object : (…) 3. Any data subject may also object to those decisions which produce legal effects based solely on automated processing of personal data, except when the decision had been specifically requested by the data subject or when it is necessary for the establishment, the maintenance or the performance of a legal relation between the responsible person and the data subject. In the latter case, the data subject must be able to put his/her point of view in order to defend his/her right or interest. Principe 19: Exercise of these rights: 1. The rights provided for in sections 16 to 18 of this Document may be exercised: a. Directly by the data subject, who shall satisfactorily establish his/her identity to the responsible person. b. Through a representative, who shall satisfactorily establish his/her status to the responsible person. 2. The responsible person must implement procedures to enable data subjects to exercise the rights provided for in sections 16 to 18 of this Document in a simple, fast and efficient way, which do not entail undue delay or cost nor any gain whatsoever for the responsible person. 3. When a responsible person concludes that, pursuant to the applicable national legislation, the exercise of rights under this Part is not justified, the data subject should be informed of the reasons that led to this conclusion.
2. VERSLAGEN EN STUDIES VAN DE RAAD VAN EUROPA – Raad van Europa, Application of Convention 108 to the profiling mechanism: Some ideas for the future work of the consultative committee (T-PD), By Jean-Marc Dinant, Christophe Lazaro, Yves Poullet,Nathalie Lefever , Antoinette Rouvroy. (2008)
Art. 13. }1[Eenieder die zijn identiteit bewijst, is gerechtigd zich kosteloos tot de Commissie voor de bescherming van de persoonlijke levenssfeer te wenden, teneinde de in de artikelen 10 en 12 bedoelde rechten uit te oefenen ten aanzien van de verwerkingen van persoonsgegevens bedoeld in artikel 3, paragrafen 4, 5 en 6.]1 De Koning bepaalt, na advies van de Commissie voor de bescherming van de persoonlijke levenssfeer en bij een in Ministerraad overlegd besluit, de wijze waarop deze rechten worden uitgeoefend. De Commissie voor de bescherming van de persoonlijke levenssfeer deelt uitsluitend aan de betrokkene mede dat de nodige verificaties werden verricht.
144
}2[Evenwel bepaalt de Koning, na advies van de commissie voor de bescherming van de persoonlijke levenssfeer, bij een in ministerraad overlegd besluit, welke informatie de commissie aan de betrokkene mag meedelen indien het verzoek van de betrokkene een verwerking van persoonsgegevens betreft door politiediensten met het oog op identiteitscontrole.]2 }1. – Lid 1, na wijziging, vervangen bij art. 18, 1°, wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001) }2. – Lid 4 toegevoegd bij art. 18, 2°, wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001)
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 13)
ONRECHTSTREEKSE TOEGANG
Onrechtstreekse toegang 1. KONINKLIJK BESLUIT VAN 13 FEBRUARI 2001 – Artikel 37 van het Koninklijk besluit van 13 februari 2001 ter uitvoering van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (2001): de betrokken persoon dient het verzoek bij de Commissie in aan de hand van een gedagtekend en ondertekend schrijven waarin zijn naam, voornaam, geboortedatum en nationaliteit zijn vermeld en waarbij een fotokopie is gevoegd van zijn identiteitskaart, van zijn paspoort of van het daarmee gelijkgestelde document. In het verzoek worden tevens volgende gegevens vermeld indien de verzoeker daarover beschikt: - de naam van de betrokken overheid of dienst; - alle relevante elementen betreffende de betwiste gegevens zoals de aard ervan, de omstandigheden of de aanleiding van de kennisneming ervan, alsook de eventueel gewenste verbeteringen. – Artikel 38 van het Koninklijk besluit van 13 februari 2001 ter uitvoering van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (2001): Indien de Commissie zulks nuttig acht, kan zij aan de betrokken persoon bijkomende inlichtingen vragen. – Artikel 39 van het Koninklijk besluit van 13 februari 2001 ter uitvoering van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (2001): indien de gegevens bedoeld in de artikelen 37 en 38 van dit besluit niet worden meegedeeld, kan het verzoek als niet-ontvankelijk worden beschouwd. – Artikel 40 van het Koninklijk besluit van 13 februari 2001 ter uitvoering van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (2001): het verzoek is niet-ontvankelijk wanneer het wordt ingediend binnen een termijn van een jaar te rekenen van de verzendingsdatum van het vorige antwoord van de Commissie betreffende dezelfde gegevens en dezelfde diensten. Van die termijn kan worden afgeweken ingeval de betrokken persoon in zijn verzoek redenen ter staving van die afwijking aanvoert. – Artikel 41 van het Koninklijk besluit van 13 februari 2001 ter uitvoering van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (2001): wanneer het verzoek als niet-ontvankelijk wordt beschouwd, wordt de betrokken persoon daarvan per brief in kennis gesteld. In dit schrijven wordt vermeld dat de betrokken persoon op verzoek wordt gehoord, zulks eventueel bijgestaan door zijn raadsman. – Artikel 42 van het Koninklijk besluit van 13 februari 2001 ter uitvoering van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (2001): de controle bij de betrokken dienst wordt verricht door de voorzitter van de Commissie of door een of meer leden ervan die hij aanwijst. De controle op de verwerkingen van persoonsgegevens bedoeld in artikel 3, § 5, 1°, van de wet wordt verricht door magistraten die de Commissie in haar midden aanwijst. De voorzitter en de leden die de controle verrichten, kunnen zich laten bijstaan of vertegenwoordigen door een of meer leden van het secretariaat van de Commissie. – Artikel 43 van het Koninklijk besluit van 13 februari 2001 ter uitvoering van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (2001): in het kader van de controle bij de betrokken dienst verricht of beveelt de Commissie alle verificaties die zij nuttig acht. Ter gelegenheid van de controle uitgeoefend bij de betrokken dienst bedoeld in artikel 3, § 5 van de wet, kan ze gegevens doen verbeteren of verwijderen, of gegevens doen invoeren die verschillen van die welke de betrokken dienst verwerkt. Zij kan de mededeling van de gegevens verbieden. Ter gelegenheid van de contrôle uitgeoefend bij de betrokken dienst bedoeld in artikel 3, § 4 van de wet, beveelt de Commissie de maatregelen aan die ze noodzakelijk acht. Zij motiveert haar aanbevelingen. – Artikel 44 van het Koninklijk besluit van 13 februari 2001 ter uitvoering van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (2001): de betrokken dienst geeft na die verificaties aan de Commissie schriftelijk kennis van het gevolg dat eraan is gegeven. – Artikel 45 van het Koninklijk besluit van 13 februari 2001 ter uitvoering van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (2001): de Commissie antwoordt per brief op het verzoek van de betrokken persoon binnen een termijn van drie maanden te rekenen van de kennisgeving bedoeld in het artikel 44 van dit besluit. – Artikel 46 van het Koninklijk besluit van 13 februari 2001 ter uitvoering van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (2001): ingeval het verzoek van de betrokken persoon betrekking heeft op een verwerking van persoonsgegevens beheerd
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
145
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 14)
door een politiedienst met het oog op een identiteitscontrole, deelt de Commissie aan die persoon mee dat de nodige verificaties zijn verricht. In voorkomend geval verstrekt de Commissie, na advies van de betrokken dienst, aan de betrokken persoon alle andere inlichtingen die zij relevant acht.
2. HUISHOUDELIJK REGLEMENT VAN DE COMMISSIE VOOR DE BESCHERMING VAN DE PERSOONLIJKE LEVENSSFEER – Artikel 22 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk II, Sectie V - 2007): De uitoefening van het recht van toegang, zoals bedoeld in artikel 13 van de WVP, dient door de verzoeker ondertekend en gedateerd te worden alsook de informatie te bevatten opgesomd in artikel 37 van het koninklijk besluit van 13 februari 2001 ter uitvoering van de WVP. Wanneer het verzoek bij elektronisch bericht wordt verstuurd dient het een elektronische handtekening te bevatten. Is dit niet geval dan zal het verzoek slechts kunnen worden behandeld na een schriftelijke en ondertekende bevestiging op papieren drager. – Artikel 23 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk II, Sectie V - 2007): In uitvoering van artikel 26, §1, tweede lid van de WVP en de artikelen 37 tot 46 van het voormeld KB van 2001, behandelt de voorzitter alle verzoeken voor de uitoefening van een onrechtstreekse toegang. De voorzitter kan echter te allen tijde de behandeling op zijn niveau afbreken en het dossier formeel ter zitting brengen. Hij brengt daarover de betrokkene op de hoogte. Wanneer een controle gepaard gaat met een onderzoek ter plaatse wordt, onverminderd het bepaalde in artikel 43 van het voormelde KB van 2001, gehandeld met toepassing van artikel 40.
3. INTERNATIONALE WETGEVING – Artikel 28 § 4 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): een ieder kan meer bepaald bij elke autoriteit een verzoek indienen om de rechtmatigheid van een verwerking te verifiëren, wanneer de krachtens artikel 13 van deze Richtlijn vastgestelde nationale bepalingen van toepassing zijn. Hij wordt in ieder geval in kennis gesteld van het feit dat een verificatie heeft plaatsgevonden.
4. RECHTSPRAAK VAN HET EUROPEES HOF VOOR DE RECHTEN VAN DE MENS – Leander t. Zweden van 26 maart 1987, serie A, nr. 116 (schending van de artikelen 8, 10 en 13 van het Verdrag). Gebruikmaking van inlichtingen bewaard in een register van de geheime politie voor het onderzoek naar de geschiktheid van een persoon voor een functie die van belang is voor de nationale veiligheid. – Segerstedt-Wiberg en anderen t. Zweden van 6 juni 2006, verzoek nr. 62332/00. Het bewaren van bepaalde informatie over de verzoekers en weigering om ze te informeren over deze inlichtingen.
Art. 14. § 1. De voorzitter van de rechtbank van eerste aanleg, zitting houdende zoals in kort geding, neemt kennis van de vorderingen betreffende het door of krachtens de wet verleende recht om kennis te krijgen van persoonsgegevens, alsook van de vorderingen tot verbetering, tot verwijdering of tot het verbieden van de aanwending van onjuiste persoonsgegevens of die gelet op het doel van de verwerking onvolledig of niet ter zake dienend zijn, dan wel waarvan de registratie de mededeling of de bewaring verboden is }1[, tegen de verwerking waarvan de betrokkene zich heeft verzet]1 of die langer bewaard werden dan de toegestane duur. § 2. De voorzitter van de rechtbank van de woonplaats van de eiser is bevoegd voor de in § 1 bedoelde vorderingen. Indien de eiser geen woonplaats in België heeft, is de voorzitter van de rechtbank van de woonplaats van de houder van het bestand, die een natuurlijke persoon is, bevoegd. Indien de }2[verantwoordelijke voor de verwerking]2 een rechtspersoon is, is de voorzitter van de rechtbank van de maatschappelijke of administratieve zetel bevoegd. De beschikking wordt in openbare rechtszitting uitgesproken. Zij is uitvoerbaar bij voorraad, niettegenstaande hoger beroep of verzet.
146
§ 3. De vordering wordt ingediend bij verzoekschrift op tegenspraak. Het verzoekschrift vermeldt op straffe van nietigheid: 1° de dag, de maand en het jaar; 2° de naam, de voornaam, het beroep en de woonplaats van de eiser; 3° de naam, de voornaam en de woonplaats van de op te roepen persoon; 4° het voorwerp van de vordering en de korte samenvatting van de middelen; 5° de handtekening van de eiser of van zijn advocaat. § 4. Het verzoekschrift wordt bij ter post aangetekende brief toegezonden aan de griffier van het gerecht of ter griffie neergelegd. Nadat, in voorkomend geval de rolrechten zijn betaald, worden de partijen door de griffier bij gerechtsbrief opgeroepen om te verschijnen op de zitting die de rechter bepaalt. Bij de oproeping wordt een afschrift van het verzoekschrift gevoegd. § 5. De op grond van § 1 ingestelde vordering is pas ontvankelijk als het verzoek, bedoeld in artikel 10, § 1, of dat bedoeld in artikel 12, § 2, is afgewezen of als daaraan }3[naargelang het geval, binnen de door artikel 10,
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 15bis)
§ 1, tweede lid dan wel door artikel 12, § 3, eerste lid, voorgeschreven termijn]3 geen gevolg is gegeven. § 6. Indien onjuiste, onvolledige of niet ter zake dienende gegevens of gegevens waarvan de bewaring verboden is aan derden zijn medegedeeld, dan wel wanneer een mededeling van gegevens heeft plaatsgehad na verloop van de tijd waarin de bewaring van die gegevens toegelaten is, kan de voorzitter van de rechtbank gelasten dat de }4[verantwoordelijke voor de verwerking]4 aan die derden van de verbetering of de verwijdering van die gegevens kennis geeft. § 7. Wanneer dwingende redenen de vrees doen rijzen dat bewijsmateriaal dat kan worden aangevoerd bij een in § 1 bedoelde vordering zou kunnen worden verheeld of verdwijnen, gelast de voorzitter van de rechtbank van eerste aanleg op eenzijdig verzoekschrift, ondertekend en ingediend door de partij of haar advocaat, elke maatregel ter voorkoming van die verheling of verdwijning. § 8. De bepalingen van de §§ 6 en 7 houden geen beperking in van de algemene bevoegdheid ter zake van de voorzitter van de rechtbank van eerste aanleg, zetelend in kort geding.
}1. – § 1 gewijzigd bij art. 19, 1°, wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001) }2. – § 2, lid 1, gewijzigd bij art. 19, 2°, wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001) }3. – § 5 gewijzigd bij art. 19, 3°, wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001) }4. – § 6 gewijzigd bij art. 19, 4°, wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001)
Art. 15. Onmiddellijk bij het ontvangen van het verzoek tot verbetering, verwijdering of verbod van gebruik of bekendmaking van persoonsgegevens of bij de kennisgeving van de instelling van het geding bedoeld in artikel 14 en tot een beslissing in kracht van gewijsde is getreden, dient de }1[verantwoordelijke voor de verwerking]1 bij elke mededeling van een persoonsgegeven duidelijk aan te geven dat het gegeven betwist is. }1. – Gewijzigd bij art. 20 wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001)
Overtreden strafbaar gesteld: zie art. 38, 40 en 41 § 3 WVP }1
[Art. 15bis. Indien een betrokkene schade lijdt doordat ten opzichte van hem in strijd wordt gehandeld met de bij of krachtens deze wet bepaalde voorschriften, zijn het hiernavolgende tweede en derde lid van toepassing, onverminderd de aanspraken op grond van andere wettelijke regels. De verantwoordelijke voor de verwerking is aansprakelijk voor de schade die voortvloeit uit een handeling
in strijd met de bij of krachtens deze wet bepaalde voorschriften. Hij is van deze aansprakelijkheid ontheven indien hij bewijst dat het feit dat de schade heeft veroorzaakt hem niet kan worden toegerekend.]1 }1. – Ingevoegd bij art. 21 wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001)
BURGERLIJKE AANSPRAKELIJKHEID
1. INTERNATIONALE WETGEVING – Artikel 23 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): 1. De Lid-Staten bepalen dat een ieder die schade heeft geleden ten gevolge van een onrechtmatige verwerking of van enige andere daad die onverenigbaar is met de ter uitvoering van deze Richtlijn vastgestelde nationale bepalingen het recht heeft van de voor de verwerking verantwoordelijke vergoeding van de geleden schade te verkrijgen. 2. De voor de verwerking verantwoordelijke kan geheel of gedeeltelijk worden ontheven van deze aansprakelijkheid, indien hij bewijst dat de schade hem niet kan worden toegerekend. – Overweging 55 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): overwegende dat in geval van niet-eerbiediging van de rechten van de betrokkenen door de voor de verwerking verantwoordelijke, krachtens de nationale wetgeving een beroep op de rechter mogelijk moet zijn; dat de schade die de betrokkenen ten gevolge van een onrechtmatige verwerking kunnen lijden, moet worden hersteld door de voor de verwerking verantwoordelijke, die van zijn aansprakelijkheid kan worden vrijgesteld indien hij bewijst dat het schade veroorzakende feit hem niet kan worden toegerekend, met name wanneer hij aantoont dat er sprake is van een fout van de betrokkene of van overmacht; dat voor iedere privaatrechtelijke dan wel publiekrechtelijke persoon die de ter uitvoering van deze Richtlijn vastgestelde nationale bepalingen niet in acht neemt, sancties moeten gelden.
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
147
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 16)
HOOFDSTUK IV }1
[VERTROUWELIJKHEID EN BEVEILIGING VAN DE VERWERKING]1
}1. Opschrift vervangen bij art. 22 wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001)
Art. 16. § 1. }1[Indien de verwerking wordt toevertrouwd aan een verwerker, moet de verantwoordelijke voor de verwerking, en in voorkomend geval zijn vertegenwoordiger in België: 1° een verwerker kiezen die voldoende waarborgen biedt ten aanzien van de technische en organisatorische beveiligingsmaatregelen met betrekking tot de te verrichten verwerking; 2° toezien op de naleving van die maatregelen, met name door ze vast te leggen in contractuele bepalingen; 3° de aansprakelijkheid van de verwerker ten aanzien van de verantwoordelijke voor de verwerking vaststellen in de overeenkomst; 4° met de verwerker overeenkomen dat de verwerker slechts handelt in opdracht van de verantwoordelijke voor de verwerking en dat de verwerker is gebonden door dezelfde verplichtingen als deze die waartoe de verantwoordelijke in toepassing van paragraaf 3 is gehouden; 5° in een geschrift of op een elektronische drager de elementen van de overeenkomst met betrekking tot de bescherming van de gegevens en de eisen met betrekking tot de maatregelen bedoeld in paragraaf 3 vaststellen.]1 § 2. }2[De verantwoordelijke voor de verwerking of, in voorkomend geval, zijn vertegenwoordiger in België moet: 1° er nauwlettend over waken dat de gegevens worden bijgewerkt, dat de onjuiste, onvolledige en niet terzake dienende gegevens, alsmede die welke zijn verkregen of verder verwerkt in strijd met de artikelen 4 tot 8, worden verbeterd of verwijderd; 2° ervoor zorgen dat voor de personen die onder zijn gezag handelen, de toegang tot de gegevens en de verwerkingsmogelijkheden, beperkt blijven tot hetgeen die personen nodig hebben voor de uitoefening van hun taken of tot hetgeen noodzakelijk is voor de behoeften van de dienst; 3° alle personen die onder zijn gezag handelen, kennisgeven van de bepalingen van deze wet en haar uitvoeringsbesluiten, alsmede van alle relevante voorschriften inzake de bescherming van de persoonlijke levenssfeer die bij het verwerken van persoonsgegevens gelden;
4° zich ervan vergewissen of programma's voor de geautomatiseerde verwerking van persoonsgegevens in overeenstemming zijn met de vermeldingen van de aangifte waarvan sprake is in artikel 17 en dat er geen wederrechtelijk gebruik van wordt gemaakt.]2 § 3. }3[Eenieder die handelt onder het gezag van de verantwoordelijke voor de verwerking of van de verwerker alsmede de verwerker zelf, die toegang heeft tot persoonsgegevens, mag deze slechts in opdracht van de verantwoordelijke voor de verwerking verwerken, behoudens op grond van een verplichting door of krachtens een wet, een decreet of een ordonnantie.]3 § }4[4]4. Om de veiligheid van de persoonsgegevens te waarborgen, }4[moeten de verantwoordelijke voor de verwerking, en in voorkomend geval zijn vertegenwoordiger in België, alsmede de verwerker, de gepaste technische en organisatorische maatregelen treffen die nodig zijn voor de bescherming van de persoonsgegevens]4 tegen toevallige of ongeoorloofde vernietiging, tegen toevallig verlies, evenals tegen de wijziging van of de toegang tot, en iedere andere niet toegelaten verwerking van persoonsgegevens. Deze maatregelen moeten een passend beveiligingsniveau verzekeren, rekening houdend, enerzijds, met de stand van de techniek terzake en de kosten voor het toepassen van de maatregelen en, anderzijds, met de aard van de te beveiligen gegevens en de potentiële risico's. Op advies van de Commissie voor de bescherming van de persoonlijke levenssfeer kan de Koning voor alle of voor bepaalde categorieën van verwerkingen aangepaste normen inzake informaticaveiligheid uitvaardigen. }1. – § 1 vervangen bij art. 23, A, wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001) }2. – § 2 vervangen bij art. 23, A, wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001) }3. – § 3 vervangen bij art. 23, A, wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001) }4. – § 4, lid 1 (oud § 3), hernummerd en gewijzigd bij art. 23, B, wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001)
BEVEILIGING VERPLICHTINGEN VAN DE VERANTWOORDELIJKE TEN OVERSTAAN VAN DE VERWERKER Overtreden strafbaar gesteld: zie art. 38, 40 en 41 § 3 WVP
§ 1 Beveiliging, verplichtingen van de verantwoordelijke ten overstaan van de verwerker – International Standards on the Protection of Personal Data and Privacy (2009) (The Madrid Resolution): resolutie goedgekeurd op 5 november 2009 door de Internationale Conferentie van de commissarissen voor de bescherming van gegevens en de privacy. Principe nr.14 : Provision of processing services: The responsible person may carry out processing of personal data through one or more processing service providers, without considering it a disclosure of data to a third party, provided that: a. The responsible person ensures that the processing service provider guarantees, at least, the level of protection contained in this Document and in the applicable national legislation; and b. The legal relationship is established through a contract or legal instrument that allows proving its existence, scope and content, and that sets out the processing service provider’s obligation to comply with these guarantees and to ensure the personal data are processed in compliance with the instructions of the responsible person.
148
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 16)
TECHNISCHE EN ORGANISATORISCHE BEVEILIGING
§ 4 Gepaste technische en organisatorische beveiliging 1. INTERNATIONALE WETGEVING – Guidelines of the United Nations for the Regulation of Computerized Personal Data Files (1990) - (7) Principle of security: appropriate measures should be taken to protect the files against both natural dangers, such as accidental loss or destruction and human dangers, such as unauthorized access, fraudulent misuse of data or contamination by computer viruses. – OECD Guidelines for the Security of Information Systems and Networks: towards a Culture of Security. – Artikel 7 van het Verdrag nr. 108 van de Raad van Europa tot bescherming van personen ten opzichte van de geautomatiseerde verwerking van persoonsgegevens (1981): er dienen passende beveiligingsmaatregelen te worden getroffen om persoonsgegevens opgeslagen in geautomatiseerde bestanden te beschermen tegen toevallige of ongeoorloofde vernietiging, toevallig verlies en ongeoorloofde toegang, wijziging of verspreiding. – Explanatory Report of the Convention n°108 - (punt 49): there should be specific security measures for every file, taking into account its degree of vulnerability, the need to restrict access to the information within the organisation, requirements concerning long-term storage, and so forth. The security measures must be appropriate, i.e. adapted to the specific function of the file and the risks involved They should be based on the current state of the art of data security methods and techniques in the field of data processing. – Recommendation No.R(97)5 of the Committee of Ministers to Member States on the protection of medical data (1997) - (punt 9): appropriate technical and organisational measures shall be taken to protect medical data. Such measures shall ensure an appropriate level of security taking account, on the one hand, of the technical state of the art and, on the other hand, of the sensitive nature of medical data and the evaluation of potential risks. These measures shall be reviewed periodically. In order to ensure in particular the confidentiality, integrity and accuracy of processed data, as well as the protection of patients, appropriate measures should be taken: a) to prevent any unauthorised person from having access to installations used for processing personal data (control of the entrance to installations); b) to prevent data media from being read, copied, altered or removed by unauthorised persons (control of data media); c) to prevent the unauthorised entry of data into the information system, and any unauthorised consultation, modification or deletion of processed personal data (memory control); d) to prevent automated data processing systems from being used by unauthorised persons by means of data transmission equipment (control of utilisation); e) with a view to, on the one hand, selective access to data and, on the other hand, the security of the medical data, to ensure that the processing as a general rule is so designed as to enable the separation of: - identifiers and data relating to the identity of persons; - administrative data; - medical data; - social data; - genetic data (access control); f) to guarantee the possibility of checking and ascertaining to which persons or bodies personal data can be communicated by data transmission equipment (control of communication); g) to guarantee that it is possible to check and establish a posteriori who has had access to the system and what personal data have been introduced into the information system, when and by whom (control of data introduction); h) to prevent the unauthorised reading, copying, alteration or deletion of personal data during the communication of personal data and the transport of data media (control of transport); i) to safeguard data by making security copies (availability control). – Recommendation No.R(89)2 of the Committee of Ministers to Member States on the protection of personal data used for employment purposes (1989): - (punt 10.5.): health data covered by medical secrecy should be stored separate from other categories of personal data held by the employer. Security measures should be taken to prevent persons outside the medical service having access to the data. – Recommendation No.R(86)1 of the Committee of Ministers to Member States on the protection of personal data used for social security purposes (1986) - (punt 7): 7.1. Each social security institution should implement adequate technical and organisational measures to ensure the security and confidentiality of personal data used for social security purposes. 7.2. The personnel of the social security institution and any other person participating in the processing of the data should be kept informed of such measures and the need to respect them.
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
149
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 16)
– Recommendation No.R(2002)9 of the Committee of Ministers to Member States on the protection of personal data collected and processed for insurance purposes (2002) - (punt 7): 7.1. In accordance with the provisions of domestic law, controllers may contract out the collection and processing of personal data for a specific purpose, in so far as they are authorised to collect and process these data and the processor undertakes to act solely on instruction from the controller and to respect the provisions of domestic law which implement Chapter 11 of the Appendix to this Recommendation. 7.2. Controllers should choose processors who offer adequate safeguards regarding the technical and organisational aspects of the processing to be carried out. They must ensure that these safeguards are observed and that, in particular, the processing is in accordance with their instructions. 7.3. The collection and processing of personal data by processors should be governed by a contract or legal instrument binding the processor to the controller and specifying that the processor will only act within the terms of reference issued by the controller and the provisions of domestic law concerning the obligations of processors. De veiligheidsmaatregelen voorzien in punt 11.2, zijn identiek aan deze voorzien in de Aanbeveling betreffende de bescherming van medische gegevens (zie hierboven). – Artikels 16 en 17 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): Artikel 16: Een ieder die handelt onder het gezag van de voor de verwerking verantwoordelijke of van de verwerker alsmede de verwerker zelf, die toegang heeft tot persoonsgegevens, mag deze slechts in opdracht van de voor de verwerking verantwoordelijke verwerken, behoudens op grond van wettelijke verplichtingen. Artikel 17: 1. De Lid-Staten bepalen dat de voor de verwerking verantwoordelijke passende technische en organisatorische maatregelen ten uitvoer dient te leggen om persoonsgegevens te beveiligen tegen vernietiging, hetzij per ongeluk, hetzij onrechtmatig, tegen verlies, vervalsing, niet-toegelaten verspreiding of toegang, met name wanneer de verwerking doorzending van gegevens in een netwerk omvat, dan wel tegen enige andere vorm van onwettige verwerking. Deze maatregelen moeten, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau garanderen gelet op de risico's die de verwerking en de aard van te beschermen gegevens met zich brengen. 2. De Lid-Staten bepalen dat de voor de verwerking verantwoordelijke, in geval van verwerking te zijnen behoeve, een verwerker moet kiezen die voldoende waarborgen biedt ten aanzien van de technische en organisatorische beveiligingsmaatregelen met betrekking tot de te verrichten verwerking en moet toezien op de naleving van die maatregelen. 3. De uitvoering van verwerkingen door een verwerker moet worden geregeld in een overeenkomst of een rechtsakte die de verwerker bindt jegens de voor de verwerker verantwoordelijke en waarin met name wordt bepaald dat: - de verwerker slechts handelt in opdracht van de voor de verwerking verantwoordelijke; - de in lid 1 bedoelde verplichtingen, zoals gedefinieerd door de wetgeving van de Lid-Staat waarin de verwerker is gevestigd, eveneens op deze persoon rusten. 4. Met het oog op de bewaring van de bewijzen, worden de elementen van de overeenkomst of rechtsakte betreffende de bescherming van de gegevens en de vereisten inzake de in lid 1 bedoelde maatregelen schriftelijk of in een gelijkwaardige vorm vastgelegd. – Overweging 46 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): overwegende dat de bescherming van de rechten en vrijheden van de betrokkenen in verband met de verwerking van persoonsgegevens zowel bij het ontwerpen als bij de uitvoering van de verwerking passende technische maatregelen vergt, in het bijzonder om de veiligheid te waarborgen en zodoende elke ongeoorloofde verwerking te verhinderen; dat de Lid-Staten erop moeten toezien dat de voor de verwerking verantwoordelijken aan deze maatregelen de hand houden; dat deze maatregelen een passend niveau van veiligheid moeten waarborgen, rekening houdend met de stand van de techniek en met de kosten van de tenuitvoerlegging gelet op de risico's die de verwerking en de aard van de te beschermen gegevens met zich brengen; – Artikel 22 van de Verordening (EG) nr. 45/2001 van het Europees Parlement en de Raad van 18 december 2000 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de communautaire instellingen en organen en betreffende het vrije verkeer van die gegevens (2000): 1. De verantwoordelijke voor de verwerking treft passende technische en organisatorische maatregelen om, gelet op de risico's die de verwerking en de aard van de te beschermen persoonsgegevens met zich meebrengen, een passend beveiligingsniveau te waarborgen, hierbij houdt hij rekening met de stand van de techniek en met de kosten van uitvoering van de maatregelen.
150
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 16)
Dergelijke maatregelen worden met name getroffen ter voorkoming van enigerlei niet-geautoriseerde verspreiding of toegang, accidentele of onwettige vernietiging, accidenteel verlies of accidentele wijziging alsmede alle overige onwettige vormen van verwerking. 2. Wanneer persoonsgegevens met geautomatiseerde middelen worden verwerkt, worden met name in verhouding tot de risico's passende maatregelen genomen om: a) te voorkomen dat onbevoegden toegang krijgen tot persoonsgegevensverwerkende computersystemen; b) onbevoegde inzage, verveelvoudiging, wijziging of verwijdering van opslagmedia te voorkomen; c) onbevoegde invoer in het geheugen alsmede onbevoegde verspreiding, wijziging of wissing van opgeslagen persoonsgegevens te voorkomen; d) te voorkomen dat onbevoegden met behulp van datatransmissieapparatuur de gegevensverwerkingssystemen gebruiken; e) er zorg voor te dragen dat bevoegde gebruikers van een gegevensverwerkingssysteem geen toegang tot andere persoonsgegevens kunnen krijgen dan die waarvoor hun recht van toegang geldt; f) te registreren welke persoonsgegevens op welk tijdstip en aan wie zijn meegedeeld; g) er zorg voor te dragen dat het achteraf mogelijk is na te gaan en te controleren wanneer en door wie bepaalde persoonsgegevens zijn verwerkt; h) er zorg voor te dragen dat persoonsgegevens die voor rekening van derden worden verwerkt, uitsluitend op de door de opdrachtgevende communautaire instelling of het opdrachtgevende communautaire orgaan voorgeschreven wijze kunnen worden verwerkt; i) er zorg voor te dragen dat de gegevens tijdens de mededeling van persoonsgegevens en tijdens het transport van opslagmedia niet onrechtmatig kunnen worden ingezien, gekopieerd of gewist; j) de organisatiestructuur binnen een instelling of orgaan zodanig op te zetten dat deze aan de bijzondere vereisten inzake gegevensbescherming beantwoordt. – International Standards on the Protection of Personal Data and Privacy (2009) (The Madrid Resolution): resolutie goedgekeurd op 5 november 2009 door de Internationale Conferentie van de commissarissen voor de bescherming van gegevens en de privacy. Principe nr.20 : Security measures : 1. Both the responsible person and any processing service provider must protect the personal data subject to processing with the appropriate technical and organizational measures to ensure, at each time, their integrity, confidentiality and availability. These measures depend on the existing risk, the possible consequences to data subjects, the sensitive nature of the personal data, the state of the art, the context in which the processing is carried out, and where appropriate the obligations contained in the applicable national legislation. 2. Data subjects should be informed by those involved in any stage of the processing of any security breach that could significantly affect their pecuniary or non-pecuniary rights, as well as the measures taken for its resolution. This information should be provided in good time, in order to enable data subjects to seek the protection of their rights. Principe n° 21: Duty of confidentiality: The responsible person and those involved at any stage of the processing shall maintain the confidentiality of personal data. This obligation shall remain even after the ending of the relationship with the data subject or, when appropriate, with the responsible person.
2. ADVIEZEN VAN DE GROEP 29 – Groep 29, Working Document 1/2008 on the protection of children's personal data (General guidelines and the special case of schools), (18 februari 2008, WP 147) en Groep 29, Advies 2/2009 over de bescherming van persoonsgegevens van kinderen (Algemene richtlijnen en het bijzondere geval van scholen), (11 februari 2009, WP 160): according to Art.17 of the Directive 95/46/EC, "Member States shall provide that the controller must implement appropriate technical and organizational measures to protect personal data against accidental or unlawful destruction or accidental loss, alteration unauthorized disclosure or access" and specifies that: "Having regard to the state of the art and the cost of their implementation, such measures shall ensure a level of security appropriate to the risks represented by the processing and the nature of the data to be protected." Data controllers and processors should be aware that children's data require a high level of protection. – Groep 29, Advies 2/2008 over de herziening van Richtlijn 2002/58/EG betreffende privacy en elektronische communicatie (e-Privacyrichtlijn), (15 mei 2008, WP 150): de voorgestelde versterking van artikel 4, " Beveiliging", door van aanbieders van een openbare elektronische-communicatiedienst te verlangen dat zij inbreuken op de beveiliging melden, wordt door de Groep ten volle toegejuicht; voorts onderstreept de groep hoe belangrijk het is dat alle betrokken personen worden ingelicht wanneer hun persoonsgegevens in gevaar zijn gebracht of het risico bestaat dat deze gegevens gevaar lopen. De Groep 29 is echter niet van mening dat in dit artikel een aantal vraagstukken volledig aan de orde komen: a) De noodzaak de verplichting tot het melden van inbreuken op de beveiliging uit te breiden naar aanbieders van informatiemaatschappijdiensten. De Groep sluit zich geheel aan bij het advies van de Europese Toezichthouder voor gegevensbescherming dat inhoudt dat de invoering van een meldingsplicht bij inbreuken op de beveiliging zoals wordt beschreven in
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
151
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 16)
artikel 4, leden 3 en 4, ook geldt voor aanbieders van informatiemaatschappijdiensten zoals onlinebanken, onlinehandel, online aanbieders van diensten op het gebied van gezondheidszorg, enz. Verruiming van het toepassingsgebied naar diensten op het gebied van de informatiemaatschappij in het algemeen zou de verantwoordingsplicht van de aanbieders vergroten en zou bijdragen aan meer bewustwording bij het publiek. Dit zou zonder twijfel bijdragen aan vermindering van de veiligheidsrisico's. b) ontvangers van de meldingen van inbreuken op de beveiliging De Groep is van oordeel dat de categorieën ontvangers van de melding van een inbreuk op de beveiliging moeten worden verbreed zodat hierdoor alle betrokkenen en niet alleen de "abonnees" worden bestreken, door in artikel 4 de term "abonnees" te vervangen door "betrokken personen". De term "betrokken personen" zou alle personen omvatten waarvan de gegevens door de inbreuk op de beveiliging daadwerkelijk in gevaar zijn gekomen (bv. abonnees, maar ook gewezen abonnees en derden). c) bekendmaking aan het publiek De Groep stelt voor dat, onder bepaalde omstandigheden, de nationale regelgevende instantie in het algemeen belang het publiek van een inbreuk op de hoogte brengt of van de betrokken ondernemingen verlangt dat zij dit doen. Deze instantie moet nagaan of de zaak openbaar moet worden gemaakt, en daarbij de belangen van de aanbieders afwegen tegen de belangen van de benadeelde personen. – Groep 29, Working Document 1/2009 on pre-trial discovery for cross border civil litigation (11 februari 2009, WP 158): in accordance with Article 17 of the Directive, the data controller shall take all reasonable technical and organisational precautions to preserve the security of the data to protect it from accidental or unlawful destruction or accidental loss and unauthorised disclosure or access. These measures must be proportionate to the purposes of investigating the issues raised in accordance with the security regulations established in the different Member States. These requirements are to be imposed not just on the data controller but such measures as are appropriate should also be provided by the law firms who are dealing with the litigation together with any litigation support services and all other experts who are involved with the collection or review of the information. This would also include a requirement for sufficient security measures to be placed upon the court service in the relevant jurisdiction as much of the personal data relevant to the case would be held by the courts for the purposes of determining the outcome of the case. – Groep 29, Opinion 1/2009 on the proposals amending Directive 2002/58/EC on privacy and electronic communications (e-Privacy Directive), (10 februari 2009, WP 159): breach notifications may become an important tool for Data Protection Authorities to increase focus and effectiveness when enforcing the obligation of service providers to take appropriate security measures. In general, the Working Party recommends the following approach to the issue of personal data breach notifications: - the competent national regulatory authority is informed whenever there is a risk of adverse effects to individuals' privacy and data protection; - it is essential that affected users are informed immediately by the service providers in those cases where the security breach is likely to lead to adverse effects to individuals' privacy and data protection, notwithstanding the possibility for the competent national regulatory authority to disclose publicly information about the breach and to force the service provider to disclose information about the breach; - each service provider should maintain records of all personal data breaches. Scope of the notification: Information Society Services - An extension of personal data breach notifications to Information Society Services is necessary given the ever increasing role these services play in the daily lives of European citizens, and the increasing amounts of personal data processed by these services. Online transactions including access to e-banking services, private sector medical records and online shopping are few examples of services that may be subject to personal data breaches causing significant risks to a large number of European citizens. Limiting the scope of these obligations to publicly available electronic communications services would only affect a very limited number of stakeholders and thus would significantly reduce the impact of personal data breach notifications as a means to protect individuals against risks such as identity theft, financial loss, loss of business or employment opportunities and physical harm. Responsibility and criteria for notification - The relevant service providers should be responsible for assessing the risks created by personal data breaches; they are in the best position to determine without delay whether affected persons should be notified, based on the assessment rules set by the authorities. Notwithstanding their obligation to notify the competent national regulatory authorities of all breaches whenever there is a risk of adverse effects, service providers should determine if notification to subscribers or individuals is required. To ensure that accurate and relevant information is provided to the public, the competent national regulatory authorities may decide to disclose the breach publicly, whenever it is deemed necessary, and may force the service provider to disclose information about the breach. The authorities will be notified in a larger number of cases so they can be in a position to exercise supervision over the process of notification to individuals by service providers. The format of the notification should be harmonised on a European level and should include objective and clear criteria that assist in assessing the impact of the adverse effects caused by the breach. In addition, the competent national regulatory authority should
152
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 16)
check if the assessment of the breach was correctly carried out by the service provider, and if appropriate measures were taken following the personal data breach. Finally, to prevent the concealing of breaches it is essential that the Directive provides the competent national regulatory authority with the power to impose punitive financial sanctions (penalties) in cases where a service provider fails to report or incorrectly reports the personal data breaches to the individuals and or the NRA. – Groep 29, Advies 5/2009 over online sociale netwerken (12 juni 2009, WP 163): overeenkomstig artikel 17 van de richtlijn gegevensbescherming moet de voor de verwerking verantwoordelijke passende technische en organisatorische maatregelen ten uitvoer leggen om persoonsgegevens te beveiligen. Deze beveiligingsmaatregelen moeten met name toegangscontrole- en authenticatiemechanismen omvatten die ook kunnen worden toegepast wanneer een pseudoniem wordt gebruikt.
3. RECHTSPRAAK VAN HET EUROPEES HOF VOOR DE RECHTEN VAN DE MENS – I. t. Finland, van 17 april 2008, nr 20511/03. De eiseres klaagt de onwettelijke raadpleging aan van haar vertrouwelijk medisch dossier door haar collega's op het werk. Zij beroept zich op de artikelen 8 (recht op eerbiediging van het privé- en gezinsleven) en 13 (recht op een daadwerkelijk beroep).
4. RECHTSPRAAK VAN HET EUROPESE HOF VAN JUSTITIE – HvJ EG, arrest van 7 mei 2009 (verzoek om een prejudiciële beslissing ingediend door de Raad van State (Nederland) - College van burgemeester en wethouders van Rotterdam tegen M. E. E. Rijkeboer, In zaak C 553/07 De feiten en de prejudiciële vraag gesteld door het Hof van Justitie van de Europese Unie. 1. Het verzoek om een prejudiciële beslissing betreft de uitlegging van artikel 12, sub a, van richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (PB L 281, blz. 31; hierna: "richtlijn"). 2. Dit verzoek is ingediend in het kader van een geding tussen Rijkeboer en het College van burgemeester en wethouders van Rotterdam (hierna: "College") over de gedeeltelijke weigering van dit College om hem toegang te verlenen tot informatie over de verstrekking van zijn persoonsgegevens aan derden in de twee jaar voorafgaand aan zijn verzoek om informatie. (...). Hoofdgeding en prejudiciële vraag 23. Bij brief van 26 oktober 2005 verzocht Rijkeboer het College om opgave van alle verstrekkingen van hem betreffende informatie uit de gemeentelijke basisadministratie aan derden in de twee jaren voorafgaand aan zijn verzoek. Hij wenste te vernemen aan wie informatie was verstrekt en welke informatie daarbij was meegedeeld. Rijkeboer, die naar een andere gemeente was verhuisd, wenste in het bijzonder te vernemen aan wie zijn vroegere adres was meegedeeld. 24. Bij besluiten van 27 oktober en 29 november 2005 wees het College dit verzoek slechts gedeeltelijk toe door hem overeenkomstig artikel 103, lid 1, Wet GBA slechts informatie te verstrekken over de periode van één jaar voorafgaand aan zijn verzoek. 25. Verstrekking van gegevens vindt plaats volgens het "Logisch Ontwerp GBA". Het gaat hierbij om een geautomatiseerd systeem, dat is opgezet door het ministerie van Binnenlandse Zaken en Koninkrijkrelaties. Uit het verzoek om een prejudiciële beslissing blijkt dat de door Rijkeboer opgevraagde gegevens die ouder waren dan één jaar voorafgaand aan zijn verzoek, automatisch waren verwijderd, wat in overeenstemming zou zijn met artikel 110 Wet GBA. (...). 27. De Rechtbank wees dat beroep toe op grond dat de beperking van het recht om in kennis te worden gesteld van de aan de ontvangers meegedeelde gegevens tot één jaar voorafgaand aan het verzoek, zoals vastgesteld in artikel 103, lid 1, Wet GBA, niet verenigbaar is met artikel 12 van de richtlijn. De Rechtbank oordeelde voorts dat de in artikel 13 van deze richtlijn bedoelde uitzonderingen niet van toepassing zijn. (...). 29. Daarop heeft de Raad van State de behandeling van de zaak geschorst en het Hof de volgende prejudiciële vraag gesteld: "Verdraagt de in de wet voorziene beperking van de verstrekking van gegevens tot één jaar, voorafgaande aan het desbetreffende verzoek, zich met artikel 12, [...] sub a, van [de richtlijn], al dan niet gelezen in verbinding met artikel 6, lid 1, sub e, van deze richtlijn en het evenredigheidsbeginsel?" (...). Beantwoording van de prejudiciële vraag 31. Derhalve moet de vraag van de verwijzende rechter aldus worden begrepen dat die erop gericht is, uit te maken of ingevolge de richtlijn, met name artikel 12, sub a, ervan, het recht van een persoon op toegang tot informatie over de ontvangers of de categorieën ontvangers van hem betreffende persoonsgegevens en over de inhoud van de meegedeelde gegevens kan worden beperkt tot de periode van één jaar voorafgaand aan zijn verzoek om toegang. 32. De verwijzende rechter vestigt de aandacht op twee bepalingen van de richtlijn, te weten artikel 6, lid 1, sub e, betreffende de bewaring van persoonsgegevens, en artikel 12, sub a, betreffende het recht op toegang
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
153
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 16)
tot die gegevens. Daarentegen beroepen de verwijzende rechter noch de partijen die opmerkingen bij het Hof hebben ingediend, zich op de in artikel 13 van de richtlijn neergelegde uitzonderingen. 33. Artikel 6 van de richtlijn ziet op de kwaliteit van de gegevens. Ingevolge lid 1, sub e, daarvan moeten de LidStaten bepalen dat persoonsgegevens niet langer worden bewaard dan voor de verwezenlijking van de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt, noodzakelijk is. De gegevens moeten dus worden uitgewist wanneer deze doeleinden zijn bereikt. 34. Artikel 12, sub a, van de richtlijn bepaalt dat de Lid-Staten de betrokkene een recht op toegang verlenen tot zijn persoonsgegevens en tot de informatie over de ontvangers en de categorieën ontvangers van die gegevens, zonder daarbij een termijn te vermelden. 35. Deze twee artikelen strekken dus tot bescherming van de betrokkene. De verwijzende rechter wenst te vernemen of er tussen deze twee artikelen een verband bestaat in die zin dat het recht op toegang tot informatie over de ontvangers of de categorieën ontvangers van persoonsgegevens en over de inhoud van de verstrekte gegevens kan afhangen van de bewaringstermijn voor die gegevens. 45. Om uit te maken of artikel 12, sub a, van de richtlijn een dergelijke beperking in de tijd al dan niet toestaat, moet dit artikel worden uitgelegd in het licht van de strekking ervan gezien tegen de achtergrond van de doelstellingen van de richtlijn. 46. Volgens artikel 1 ervan beoogt de richtlijn in verband met de verwerking van persoonsgegevens de fundamentele rechten en vrijheden van natuurlijke personen, inzonderheid hun persoonlijke levenssfeer, te beschermen en zo het vrije verkeer van deze gegevens tussen de Lid-Staten mogelijk te maken. 47. Het belang van de bescherming van de persoonlijke levenssfeer wordt onder de aandacht gebracht in de punten 2 en 10 van de considerans van de richtlijn en benadrukt in de rechtspraak van het Hof (zie in die zin reeds aangehaalde arresten Österreichischer Rundfunk e.a., punt 70, en Lindqvist, punten 97 en 99, alsmede arresten van 29 januari 2008, Promusicae, C-275/06, Jurispr. blz. I-271, punt 63, en 16 december 2008, Satakunnan Markkinapörssi en Satamedia, C-73/07, nog niet gepubliceerd in de Jurisprudentie, punt 52). 48. Zoals voortvloeit uit punt 25 van de considerans van de richtlijn, moeten voorts de beginselen van deze bescherming enerzijds tot uiting komen in de verplichtingen die aan de personen die de verwerkingen uitvoeren, worden opgelegd, verplichtingen die met name betrekking hebben op de kwaliteit van de gegevens - welke het voorwerp is van artikel 6 van de richtlijn -, en anderzijds in het feit dat aan personen wier gegevens het voorwerp van verwerkingen zijn, het recht wordt verleend om daarvan in kennis te worden gesteld, tot die gegevens toegang te krijgen, de rectificatie ervan te verlangen en zelfs om zich in bepaalde omstandigheden tegen verwerking te verzetten. 49. Dit recht op eerbiediging van de persoonlijke levenssfeer impliceert dat de betrokkene zich ervan kan vergewissen dat zijn persoonsgegevens juist en rechtmatig worden verwerkt, dat wil met name zeggen dat de hem betreffende basisgegevens juist zijn en dat zij worden verstrekt aan gemachtigde ontvangers. Zoals in punt 41 van de considerans van de richtlijn wordt uiteengezet, moet de betrokkene over het recht beschikken om toegang te verkrijgen tot de gegevens die het voorwerp van een verwerking vormen en hemzelf betreffen, zodat hij de nodige controles kan verrichten. 50. In dit verband voorziet artikel 12, sub a, van de richtlijn in een recht op toegang tot de basisgegevens en tot de informatie over de ontvangers of de categorieën ontvangers van die gegevens. 51. Dit recht op toegang is noodzakelijk opdat de betrokkene de in artikel 12, sub b en c, van de richtlijn bedoelde rechten kan uitoefenen, te weten, in het geval dat zijn gegevens niet conform de richtlijn zijn verwerkt, het recht om van de voor de verwerking verantwoordelijke gedaan te krijgen dat deze zijn gegevens rectificeert, uitwist of afschermt (sub b), of derden aan wie de gegevens zijn meegedeeld, van die rectificatie, uitwissing of afscherming in kennis stelt, tenzij zulks onmogelijk blijkt of onevenredig veel moeite kost (sub c). 52. Dit recht op toegang is ook noodzakelijk om de betrokkene de mogelijkheid te bieden tot uitoefening van het in artikel 14 van de richtlijn bedoelde recht om zich tegen de verwerking van zijn persoonsgegevens te verzetten of van het in de artikelen 22 en 23 daarvan neergelegde recht om zich tot de rechter te wenden wanneer hij schade lijdt. 53. Met betrekking tot het recht op toegang tot informatie over de ontvangers of de categorieën ontvangers van de basisgegevens en over de inhoud van de verstrekte gegevens, preciseert de richtlijn niet of dit recht geldt voor het verleden, en evenmin in voorkomend geval, voor welke periode in het verleden. 54. Dienaangaande zij vastgesteld dat om de nuttige werking van de in de punten 51 en 52 van dit arrest genoemde bepalingen te waarborgen, dit recht noodzakelijkerwijs voor het verleden moet gelden. Anders zou de betrokkene zijn recht om gegevens waarvan hij vermoedt dat zij onrechtmatig of onjuist zijn, te laten rectificeren, uitwissen of afschermen, en om zich met het oog op vergoeding van de geleden schade tot de rechter te wenden, niet doeltreffend kunnen uitoefenen. 55. De vraag rijst hoever dit recht zich in het verleden uitstrekt. 56. Het Hof heeft al geoordeeld dat de bepalingen van de richtlijn betrekkelijk algemeen zijn, aangezien zij voor een groot aantal zeer uiteenlopende situaties moet gelden, en dat de richtlijn regels bevat die door een zekere soepelheid worden gekenmerkt en het in tal van gevallen aan de Lid-Staten overlaat, de bijzonderheden te regelen of een keuze uit verschillende mogelijkheden te maken (zie arrest Lindqvist, reeds aangehaald, punt 83).
154
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 16)
Het Hof heeft dus erkend dat de Lid-Staten bij de uitvoering van de richtlijn in velerlei opzichten over manoeuvreerruimte beschikten (zie arrest Lindqvist, reeds aangehaald, punt 84). Deze manoeuvreerruimte, die met betrekking tot de uitvoering van artikel 12, sub a, van de richtlijn blijkt te bestaan, is evenwel niet onbeperkt. 57. De vaststelling van een termijn in verband met het recht op toegang tot informatie over de ontvangers of de categorieën ontvangers en over de inhoud van de verstrekte gegevens moet de betrokkene in staat stellen om de verschillende bij de richtlijn voorziene en in de punten 51 en 52 van het onderhavige arrest weergegeven rechten uit te oefenen. 58. Zonder daarom doorslaggevend te zijn, kan de bewaringsduur van de basisgegevens een nuttige parameter vormen. 59. De werkingssfeer van de richtlijn is namelijk zeer ruim, zoals het Hof reeds heeft erkend (zie reeds aangehaalde arresten Österreichischer Rundfunk e.a., punt 43, en Lindqvist, punt 88), en de daarin bedoelde persoonsgegevens zijn van uiteenlopende aard. De bewaringsduur van die gegevens, die volgens artikel 6, lid 1, sub e, van de richtlijn afhankelijk is van de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt, kan dus variëren. Wanneer de bewaringstermijn voor de basisgegevens zeer lang is, kan het belang van de betrokkene om gebruik te maken van de in punt 57 van het onderhavige arrest genoemde mogelijkheden om de voor de verwerking verantwoordelijke in te schakelen en zich tot de rechter te wenden, in een aantal gevallen afnemen. Wanneer bijvoorbeeld dergelijke gegevens aan een groot aantal ontvangers worden verstrekt of zeer frequent aan een kleiner aantal ontvangers worden meegedeeld, kan de verplichting om informatie over de ontvangers of de categorieën ontvangers en over de inhoud van de verstrekte gegevens gedurende een zo lange tijd te bewaren, een buitensporige last vormen voor de voor de verwerking verantwoordelijke. 60. De richtlijn verlangt evenwel niet dat de Lid-Staten de voor de verwerking verantwoordelijke dergelijke lasten opleggen. 61. Zo wordt in artikel 12, sub c, van de richtlijn een uitdrukkelijk voorbehoud gemaakt bij de verplichting van die verantwoordelijke om derden aan wie de gegevens zijn meegedeeld, in kennis te stellen van elke rectificatie, uitwissing of afscherming, namelijk wanneer zulks onmogelijk blijkt of onevenredig veel moeite kost. 62. Ook volgens andere passages van de richtlijn kan rekening worden gehouden met het onevenredige karakter van een aantal maatregelen. Met betrekking tot de verplichting tot informatieverstrekking aan de betrokkene heet het in punt 40 van de considerans van de richtlijn dat hierbij in aanmerking mag worden genomen om hoeveel betrokkenen het gaat en hoe oud de gegevens zijn. Ingevolge artikel 17 van de richtlijn, dat betrekking heeft op de beveiliging van de verwerking, bepalen de Lid-Staten verder dat de voor de verwerking verantwoordelijke technische en organisatorische maatregelen ten uitvoer dient te leggen die, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau garanderen gelet op de risico's die de verwerking en de aard van te beschermen gegevens met zich brengen. 63. Soortgelijke overwegingen zijn ook relevant wanneer het gaat om de vaststelling van een termijn voor het recht op toegang tot informatie over de ontvangers of de categorieën ontvangers en over de inhoud van de verstrekte gegevens. Behalve de in punt 57 van het onderhavige arrest aangevoerde overwegingen, kunnen de Lid-Staten dus nog andere parameters in aanmerking nemen, met name de nationaalrechtelijke bepalingen inzake de termijn voor het instellen van een vordering, het meer of minder gevoelige karakter van de basisgegevens, de bewaringsduur van deze gegevens en het aantal betrokken ontvangers. 64. Het staat bijgevolg aan de Lid-Staten, met betrekking tot informatie over de ontvangers of de categorieën ontvangers en over de inhoud van de verstrekte gegevens, een termijn vast te stellen voor de bewaring daarvan en te voorzien in een toegang daartoe die een juist evenwicht vormen tussen, enerzijds, het belang van de betrokkene bij de bescherming van zijn persoonlijke levenssfeer, met name door uitoefening van het recht op rectificatie, uitwissing en afscherming van de gegevens wanneer die niet conform de richtlijn zijn verwerkt, alsmede van het recht om verzet aan te tekenen en om zich tot de rechter te wenden, en, anderzijds, de last die de verplichting tot bewaring van deze informatie inhoudt voor de voor de verwerking verantwoordelijke. 65. Bij de vaststelling van die termijn moet voorts ook rekening worden gehouden met de uit artikel 6, sub e, van de richtlijn voortvloeiende verplichting om te bepalen dat persoonsgegevens in een vorm die het mogelijk maakt de betrokkenen te identificeren, niet langer mogen worden bewaard dan voor de verwezenlijking van de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt, noodzakelijk is. 66. In het onderhavige geval vormt een regeling waarbij informatie over de ontvangers of de categorieën ontvangers van de gegevens en over de inhoud van de verstrekte gegevens slechts één jaar wordt bewaard en de toegang tot die informatie dienovereenkomstig wordt beperkt, terwijl de basisgegevens veel langer worden bewaard, geen juist evenwicht tussen het belang en de verplichting in kwestie, tenzij wordt aangetoond dat een langere bewaring van deze informatie een buitensporige last zou vormen voor de voor de verwerking verantwoordelijke. Het staat evenwel aan de nationale rechter, in het licht van de in de vorige punten uiteengezette overwegingen de nodige controles te verrichten. 67. Gelet op het voorgaande, kan het argument van een aantal Lid-Staten niet worden aanvaard dat de toepassing van de artikelen 10 en 11 van de richtlijn de verlening voor het verleden van een recht op toegang tot informatie over de ontvangers of de categorieën ontvangers als bedoeld in artikel 12, sub a, van de richtlijn, overbodig maakt.
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
155
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 17)
68. Vastgesteld zij namelijk dat die artikelen 10 en 11 de voor de verwerking verantwoordelijke of diens vertegenwoordiger verplichtingen opleggen om in een aantal omstandigheden de betrokkene met name informatie te verstrekken over de ontvangers of de categorieën ontvangers van de gegevens. De voor de verwerking verantwoordelijke of diens vertegenwoordiger moet deze informatie eigener beweging aan de betrokkene verstrekken, met name bij de verkrijging van de gegevens of, wanneer de gegevens niet rechtstreeks bij de betrokkene zijn verkregen, op het moment van de registratie van de gegevens of eventueel wanneer deze gegevens aan een derde worden meegedeeld. 69. Deze bepalingen leggen dus andere verplichtingen op dan artikel 12, sub a, van de richtlijn. Bijgevolg beperken zij geenszins de aan de Lid-Staten opgelegde verplichting om te bepalen dat de voor de verwerking verantwoordelijke gehouden is, de betrokkene toegang te verlenen tot informatie over de ontvangers of de categorieën ontvangers en over de verstrekte gegevens, wanneer deze beslist, het hem krachtens dit artikel 12, sub a, verleende recht op toegang uit te oefenen. De Lid-Staten moeten maatregelen treffen tot omzetting in nationaal recht van, enerzijds, de bepalingen van de artikelen 10 en 11 van de richtlijn inzake de verplichting tot informatieverstrekking, en, anderzijds, de bepalingen van artikel 12, sub a, van de richtlijn, zonder dat eerstgenoemde bepalingen de uit de laatstgenoemde bepalingen voortvloeiende verplichtingen kunnen afzwakken.
HOOFDSTUK V
VOORAFGAANDE AANGIFTE EN OPENBAARHEID VAN DE VERWERKINGEN Art. 17. § 1. }1[Voordat wordt overgegaan tot één of meer volledig of gedeeltelijk geautomatiseerde verwerkingen van gegevens die voor de verwezenlijking van een doeleinde of van verscheidene samenhangende doeleinden bestemd zijn, doet de verantwoordelijke voor de verwerking of, in voorkomend geval, diens vertegenwoordiger, daarvan aangifte bij de Commissie voor de bescherming van de persoonlijke levenssfeer. Het vorige lid is niet van toepassing op verwerkingen die alleen tot doel hebben een register bij te houden dat door of krachtens een wet, een decreet of een ordonnantie bedoeld is om het publiek voor te lichten en door eenieder dan wel door ieder persoon die zich op een gerechtvaardigd belang kan beroepen, kan worden geraadpleegd.]1 § 2. De Commissie doet binnen drie werkdagen een ontvangbewijs van de aangifte geworden. Indien de aangifte onvolledig is, moet de Commissie de aangever daarvan op de hoogte brengen. § 3. Deze aangifte moet vermelden: 1° de datum van de aangifte en in voorkomend geval, de wet, het decreet of de ordonnantie of de reglementaire akte waarbij de geautomatiseerde verwerking wordt ingesteld; 2° de naam, de voornamen en het volledig adres of de benaming en de zetel van de }2[verantwoordelijke voor de verwerking]2 en in voorkomend geval van zijn vertegenwoordiger in België; 3° }3[...]3 4° de benaming van de geautomatiseerde verwerking; 5° }4[het doel of het geheel van samenhangende doeleinden van de geautomatiseerde verwerking;]4 6° de categorieën van de verwerkte persoonsgegevens met een bijzondere beschrijving van de gegevens bedoeld in de artikelen 6 tot 8; 7° }5[de categorieën van ontvangers aan wie de gegevens kunnen worden verstrekt;]5 8° }6[de waarborgen die aan de mededeling van gegevens aan derden verbonden moeten zijn;]6 9° de wijze waarop de personen op wie de gegevens betrekking hebben daarvan in kennis worden gesteld, de dienst waarbij het recht op toegang kan worden uitgeoefend en de maatregelen genomen om de uitoefening van dat recht te vergemakkelijken;
156
10° de termijn waarna, in voorkomend geval, de gegevens niet meer mogen bewaard, gebruikt of verspreid worden; }7 [11° een algemene beschrijving om op voorhand te kunnen beoordelen of de veiligheidsmaatregelen die in toepassing van artikel 16 van deze wet genomen zijn, afdoende zijn;]7 }8 [12° de redenen waarop de verantwoordelijke voor de verwerking in voorkomend geval de toepassing van artikel 3, § 3, van deze wet steunt.]8 § 4. In het kader van haar controle- en onderzoeksbevoegdheid bedoeld in artikel 31 en 32 is de Commissie voor de bescherming van de persoonlijke levenssfeer gemachtigd tot het opeisen van andere gegevens, met name de oorsprong van de persoonsgegevens, de gekozen automatiseringstechniek en de voorziene beveiligingsmaatregelen. § 5. }9[Voor elk doeleinde of geheel van samenhangende doeleinden waarvoor tot een of meer volledig of gedeeltelijk geautomatiseerde verwerkingen wordt overgegaan, is een aangifte vereist. De Commissie stelt de aard en de structuur van de aangifte vast.]9 § 6. Wanneer de verwerkte gegevens, zelfs occasioneel, bestemd zijn om naar het buitenland te worden doorgezonden, moet, ongeacht de gebruikte gegevensdrager, daarenboven in de aangifte worden vermeld: 1° de categorieën van gegevens die worden doorgezonden; 2° voor elke categorie van gegevens, het land van bestemming. }10 10 [...] § 7. }11 [Ingeval aan een geautomatiseerde verwerking een einde wordt gemaakt of enige informatie vermeld in de § 3 wijzigt, moet daarvan eveneens aangifte worden gedaan.]11 § 8. }12[De Koning kan na advies van de Commissie voor de bescherming van de persoonlijke levenssfeer bepaalde categorieën vrijstellen van de in dit artikel bedoelde aangifte wanneer, rekening houdend met de verwerkte gegevens, er kennelijk geen gevaar is voor inbreuken op de rechten en vrijheden van de betrokkenen, en de doeleinden van de verwerking, de categorieën van
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 17)
verwerkte gegevens, de categorieën betrokkenen, de categorieën ontvangers en de periode gedurende welke de gegevens worden bewaard, gepreciseerd worden. Indien voor geautomatiseerde verwerkingen in toepassing van het vorige lid een vrijstelling van de aanmeldingsplicht wordt verleend, moeten de inlichtingen vermeld in de §§ 3 en 6 door de verantwoordelijke voor de verwerking meegedeeld worden aan iedereen die daarom verzoekt.]12 § 9. De }13[verantwoordelijke voor de verwerking]13 is gehouden op het ogenblik van de verrichting van de aangifte, een bijdrage te storten aan de rekenplichtige aangesteld bij de Commissie voor de bescherming van de persoonlijke levenssfeer, overeenkomstig de bepalingen van de wetten op de Rijkscomptabiliteit. De Koning stelt het bedrag van deze bijdrage, die tienduizend frank niet mag overschrijden, vast }13[...]13. Hij regelt tevens de modaliteiten voor de betaling ervan. }1. – § 1 vervangen bij art. 24, A, wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001) }2. – § 3, 2°, gewijzigd bij art. 24, F, wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001) }3. – § 3, 3°, opgeheven bij art. 24, B, wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001)
}4. – § 3, 5°, vervangen bij art. 24, C, wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001) }5. – § 3, 7°, vervangen bij art. 24, D, wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001) }6. – § 3, 8°, vervangen bij art. 24, D, wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001) }7. – § 3, 11°, ingevoegd bij art. 24, E, wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001) }8. – § 3, 12°, ingevoegd bij art. 24, E, wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001) }9. – § 5 vervangen bij art. 24, G, wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001) }10. – § 6, lid 2, opgeheven bij art. 24, H, wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001) }11. – § 7 vervangen bij art. 24, I, wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001) }12. – § 8 vervangen bij art. 24, J, wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001) }13. – § 9 gewijzigd bij art. 24, K-L, wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001)
Overtreden strafbaar gesteld: zie art. 39, 7° en 8°, 40 en 41 WVP VOORAFGAANDE AANGIFTE
§ 1, lid 1, Voorafgaande aangifte 1. HUISHOUDELIJK REGLEMENT VAN DE COMMISSIE VOOR DE BESCHERMING VAN DE PERSOONLIJKE LEVENSSFEER – Artikel 19 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk II, Sectie III - 2007): De voorzitter is gelast met de organisatie van het systeem van de aangiften en het houden van het openbaar register, als bedoeld in de artikelen 17 tot 20 WVP. De voorzitter kan te allen tijde beslissen een bepaalde aangelegenheid formeel ter zitting te brengen. Hij brengt daarover de betrokkene op de hoogte.
2. INTERNATIONALE WETGEVING – Recommendation No.R(2002)9 of the Committee of Ministers to Member States on the protection of personal data collected and processed for insurance purposes (2002) - (punt 15): the following information should be publicised appropriately and be readily available to all: - the name and address of the controller and of his representative, if any; - the purpose or purposes of the processing; - the category or categories of data subject and of the data; - the recipient or categories of recipient to whom the data might be disclosed; - any proposed transfers of data to third countries. – Artikel 18 § 1 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): de Lid-Staten bepalen dat de voor de verwerking verantwoordelijke of, in voorkomend geval, diens vertegenwoordiger, bij de in artikel 28 bedoelde toezichthoudende autoriteit aanmelding dient te doen, voordat wordt overgegaan tot een of meer volledig of gedeeltelijk geautomatiseerde verwerkingen van gegevens die voor de verwezenlijking van een doeleinde of van verscheidene samenhangende doeleinden bestemd zijn. – Overweging 48 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): overwegende dat de aanmelding bij de toezichthoudende autoriteit strekt tot de openbaarmaking van het doel van de gegevensverwerking en van de belangrijkste kenmerken ervan, opdat een en ander aan de ter uitvoering van deze Richtlijn vastgestelde nationale bepalingen kan worden getoetst.
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
157
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 17)
3. ADVIEZEN VAN DE GROEP 29 – Groep 29, Werkdocument aanmelding (3 december 1997 - WP 8): de Groep geeft een historisch overzicht van de relevante wetgeving en bepalingen van de Richtlijn over de aanmelding (aangifte). Het document beschrijft vervolgens de situatie in het nationaal recht en stipt de grote verschillen aan tussen de werkende systemen (vereenvoudigde aangifte, papieren drager, elektronische drager, vrijstellingen, voorgedefinieerde doelstellingen op het aanmeldingsformulier). Aanmelding draagt bij tot de naleving van de beginselen van de Richtlijn, aangezien de verantwoordelijken voor de verwerking met het oog op de aanmelding hun verwerkingen moeten beoordelen en beschrijven, vooraf bepalen welke gegevens moeten worden gebruikt en voor welk doel. Om deze functies naar behoren te kunnen uitvoeren en tot de doorzichtigheid van de gegevensverwerking bij te dragen, moet de desbetreffende informatie niet algemeen maar specifiek zijn. Het is vooral van belang dat de doeleinden van de verwerkingen naar behoren worden gespecificeerd. Aanzienlijke verschillen in de beschrijving van het doeleinde van de verwerkingen in de diverse Lid-Staten zou niet alleen een belasting voor de verantwoordelijken voor de verwerking meebrengen, maar kan ook de gelijkwaardigheid van het beschermingsniveau binnen de Gemeenschap op het spel zetten. Overdreven bureaucratische eisen in verband met de aanmelding vormen niet alleen een belasting voor de verantwoordelijken voor de verwerking maar ontnemen de aanmelding haar grondslag doordat de belasting voor de gegevensbeschermingsautoriteit te groot wordt. Diverse landen hebben vereenvoudigde aanmelding of vrijstellingen van aanmelding ingevoerd of zijn van plan het in te voeren. Krachtens de Richtlijn kunnen vereenvoudigde aanmelding of vrijstellingen van de aanmeldingsplicht worden toegestaan voor verwerkingen waarbij inbreuk op de rechten en vrijheden van de betrokkenen onwaarschijnlijk is. Voor dergelijke verwerkingen moeten diverse elementen worden gespecificeerd (artikel 18, § 2 van de Richtlijn). Een van de functies van aanmelding is het publiek over bestaande verwerkingen te informeren door middel van een openbaar register van verwerkingen. De Groep acht het zeer belangrijk dat het register voor het publiek gemakkelijk toegankelijk wordt gemaakt. Zij kijkt belangstellend uit naar de projecten om de openbare registers via het World Wide Web toegankelijk te maken. Zij constateert dat passende maatregelen vereist zijn om te voorkomen dat de persoonsgegevens in de registers van verwerkingen voor oneigenlijke doeleinden worden gebruikt. UITZONDERINGEN
§ 1, lid 2, Uitzonderingen INTERNATIONALE WETGEVING – Artikel 18 § 3 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): de Lid-Staten kunnen bepalen dat lid 1 niet van toepassing is op verwerkingen die alleen tot doel hebben een register bij te houden dat volgens de wettelijke of bestuursrechtelijke bepalingen bedoeld is om het publiek voor te lichten en dat door een ieder dan wel door iedere persoon die zich op een gerechtvaardigd belang kan beroepen, kan worden geraadpleegd. – Overwegingen 50, 51 en 52 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): 50. Overwegende dat in vrijstelling of vereenvoudiging kan worden voorzien bij verwerkingen die alleen tot doel hebben een register bij te houden dat overeenkomstig het nationale recht bestemd is ter voorlichting van het publiek en dat door het publiek of door iedere persoon die zich op een gerechtvaardigd belang kan beroepen, kan worden geraadpleegd. 51. Overwegende dat het feit dat hij voor vereenvoudiging of vrijstelling van de aanmelding in aanmerking komt, de voor de verwerking verantwoordelijke niet ontslaat van de overige verplichtingen uit hoofde van deze Richtlijn. 52. Overwegende dat in dit verband toezicht achteraf door de bevoegde autoriteiten in het algemeen als afdoende moet worden beschouwd. INHOUD AANGIFTE
§ 3 Inhoud aangifte INTERNATIONALE WETGEVING – Artikel 19 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): de Lid-Staten bepalen welke inlichtingen in de aanmelding moeten worden opgenomen. Deze inlichtingen behelzen ten minste: a) de naam en het adres van de voor verwerking verantwoordelijke en, in voorkomend geval, van diens vertegenwoordiger; b) het (de) doeleinde(n) van de verwerking;
158
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 17)
c) een beschrijving van de categorie(ën) betrokkenen en van de gegevens of categorieën gegevens die daarop betrekking hebben; d) de ontvangers of categorieën ontvangers aan wie de gegevens kunnen worden verstrekt; e) de voorgenomen overdrachten van gegevens naar derde landen; f) een algemene beschrijving om op voorhand te kunnen beoordelen of de genomen maatregelen om, ter toepassing van artikel 17, de beveiliging van de verwerking te waarborgen, afdoende zijn. AANGIFTE WIJZIGING EN STOPZETTING
§ 7 Aangifte wijziging en stopzetting 1. KONINKLIJK BESLUIT VAN 13 FEBRUARI 2001 – Artikel 71 van het Koninklijk besluit van 13 februari 2001 ter uitvoering van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (2001): de aangiften bedoeld in artikel 17 § 7 van de wet die zijn verricht voor de datum van inwerkingtreding van dit besluit, worden geacht te voldoen aan de bepalingen van de wet en van dit besluit. Bij wijziging van gegevens in de aangifte bedoeld in het eerste lid handelt de verantwoordelijke voor de verwerking die aangifte doet in de zin van artikel 17 § 7 van de wet, overeenkomstig de bepalingen van de wet en van dit besluit.
2. INTERNATIONALE WETGEVING – Artikel 19 § 2 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): de Lid-Staten geven nader aan volgens welke procedures wijzigingen in de in lid 1 bedoelde inlichtingen bij de toezichthoudende autoriteit moeten worden aangemeld. VRIJSTELLING VAN AANGIFTE
§ 8 Vrijstelling van aangifte voor bepaalde categorieën van verwerkingen 1. KONINKLIJK BESLUIT VAN 13 FEBRUARI 2001 (artikelen 51-62) – Artikel 51 van het Koninklijk besluit van 13 februari 2001 ter uitvoering van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (2001): met uitzondering van de §§ 4 en 8 zijn de bepalingen van artikel 17 van de wet niet van toepassing op verwerkingen van persoonsgegevens die uitsluitend betrekking hebben op gegevens welke noodzakelijk zijn voor de loonadministratie van personen in dienst van of werkzaam ten behoeve van de verantwoordelijke voor de verwerking wanneer de gegevens uitsluitend worden gebruikt voor die loonadministratie, alleen worden meegedeeld aan de ontvangers die daartoe gerechtigd zijn en niet langer worden bewaard dan nodig voor de doeleinden van de verwerking. – Artikel 52 van het Koninklijk besluit van 13 februari 2001 ter uitvoering van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (2001): met uitzondering van de §§ 4 en 8 zijn de bepalingen van artikel 17 van de wet niet van toepassing op verwerkingen van persoonsgegevens die uitsluitend betrekking hebben op de administratie van het personeel in dienst van of werkzaam ten behoeve van de verantwoordelijke voor de verwerking. De verwerking mag geen betrekking hebben op gegevens betreffende de gezondheid van de betrokken persoon, noch op gevoelige of gerechtelijke gegevens in de zin van de artikelen 6 en 8 van de wet of op gegevens die een beoordeling van de betrokken persoon tot doel hebben. De verwerkte persoonsgegevens mogen niet langer worden bewaard dan nodig voor de personeelsadministratie en mogen alleen in het kader van de toepassing van een wets- of verordeningsbepaling of indien nodig voor de verwezenlijking van de doelstellingen van de verwerking aan derden worden meegedeeld. – Artikel 53 van het Koninklijk besluit van 13 februari 2001 ter uitvoering van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (2001): met uitzondering van de §§ 4 en 8 zijn de bepalingen van artikel 17 van de wet niet van toepassing op verwerkingen van persoonsgegevens die uitsluitend betrekking hebben op de boekhouding van de verantwoordelijke voor de verwerking wanneer de gegevens uitsluitend worden gebruikt voor die boekhouding, de verwerking alleen betrekking heeft op personen van wie de gegevens noodzakelijk zijn voor de boekhouding en de persoonsgegevens niet langer worden bewaard dan nodig voor de doeleinden van de verwerking. De verwerkte persoonsgegevens mogen alleen aan derden worden meegedeeld in het kader van de toepassing van een wets- of verordeningsbepaling of wanneer de mededeling noodzakelijk is voor de boekhouding. – Artikel 54 van het Koninklijk besluit van 13 februari 2001 ter uitvoering van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (2001): met uitzondering van de §§ 4 en 8 zijn de bepalingen van artikel 17 van de wet niet van toepassing op verwerkingen van persoonsgegevens die uitsluitend betrekking hebben op de administratie van aandeelhouders en ven-
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
159
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 17)
noten wanneer de verwerking alleen betrekking heeft op gegevens nodig voor die administratie, die gegevens alleen personen betreffen van wie de gegevens nodig zijn voor die administratie, de gegevens alleen in het kader van de toepassing van een wets- of verordeningsbepaling aan derden worden meegedeeld en de persoonsgegevens niet langer worden bewaard dan nodig voor de doeleinden van de verwerking. – Artikel 55 van het Koninklijk besluit van 13 februari 2001 ter uitvoering van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (2001): met uitzondering van de §§ 4 en 8 zijn de bepalingen van artikel 17 van de wet niet van toepassing op verwerkingen van persoonsgegevens die uitsluitend betrekking hebben op het beheer van de klanten of leveranciers van de verantwoordelijke voor de verwerking. De verwerking mag alleen betrekking hebben op potentiële, bestaande en gewezen klanten of leveranciers van de verantwoordelijke voor de verwerking. De verwerking mag geen betrekking hebben op persoonsgegevens betreffende de gezondheid van de betrokken persoon of op gevoelige of gerechtelijke gegevens in de zin van de artikelen 6 en 8 van de wet. In het kader van de klantenadministratie mogen geen personen in de verwerking worden geregistreerd op grond van gegevens verkregen van derden. De gegevens mogen niet langer worden bewaard dan nodig voor de normale bedrijfsvoering van de verantwoordelijke voor de verwerking en mogen alleen in het kader van de toepassing van een wets- of verordeningsbepaling of voor de normale bedrijfsvoering aan derden worden meegedeeld. – Artikel 56 van het Koninklijk besluit van 13 februari 2001 ter uitvoering van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (2001): met uitzondering van de §§ 4 en 8 zijn de bepalingen van artikel 17 van de wet niet van toepassing op verwerkingen van persoonsgegevens verricht door een stichting, een vereniging of enig andere instelling zonder winstoogmerk in het kader van haar gewone activiteiten. De verwerking mag uitsluitend betrekking hebben op persoonsgegevens betreffende de eigen leden, betreffende personen met wie de verantwoordelijke voor de verwerking regelmatige contacten onderhoudt en betreffende begunstigers van de stichting, vereniging of instelling. In het kader van de verwerking mogen geen personen worden geregistreerd op grond van gegevens verkregen van derden. De verwerkte persoonsgegevens mogen niet langer worden bewaard dan nodig voor de administratie van de leden, van de contactpersonen en van de begunstigers en mogen alleen in het kader van de toepassing van een wets- of verordeningsbepaling aan derden worden meegedeeld. – Artikel 57 van het Koninklijk besluit van 13 februari 2001 ter uitvoering van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (2001): met uitzondering van de §§ 4 en 8 zijn de bepalingen van artikel 17 van de wet niet van toepassing op verwerkingen van identificatiegegevens noodzakelijk voor communicatie die alleen worden verricht om met de betrokken persoon in contact te treden wanneer die gegevens niet aan derden worden meegedeeld en niet langer worden bewaard dan nodig voor het doel van de verwerking. Het eerste lid van dit artikel heeft alleen betrekking op verwerkingen van persoonsgegevens die niet zijn bedoeld in een andere bepaling van dit besluit. – Artikel 58 van het Koninklijk besluit van 13 februari 2001 ter uitvoering van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (2001): met uitzondering van de §§ 4 en 8 zijn de bepalingen van artikel 17 van de wet niet van toepassing op verwerkingen van persoonsgegevens die uitsluitend betrekking hebben op de registratie van bezoekers in het kader van een toegangscontrole wanneer de verwerkte gegevens beperkt blijven tot de naam en het beroepsadres van de bezoeker, de identificatie van zijn werkgever, de identificatie van het voertuig van de bezoeker, de naam, afdeling en functie van de bezochte persoon en het tijdstip van het bezoek. De verwerkte persoonsgegevens mogen uitsluitend worden gebruikt voor de toegangscontrole en niet langer worden bewaard dan nodig voor dat doel. – Artikel 59 van het Koninklijk besluit van 13 februari 2001 ter uitvoering van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (2001): met uitzondering van de §§ 4 en 8 zijn de bepalingen van artikel 17 van de wet niet van toepassing op verwerkingen van persoonsgegevens verricht door onderwijsinstellingen met het oog op het beheer van hun relaties met hun leerlingen of studenten. De verwerking mag alleen betrekking hebben op persoonsgegevens betreffende potentiële, huidige en gewezen leerlingen of studenten van de betrokken onderwijsinstelling. In het kader van de verwerking mogen geen personen worden geregistreerd op grond van gegevens verkregen van derden. De verwerkte persoonsgegevens mogen alleen in het kader van de toepassing van een wets- of verordeningsbepaling aan derden worden meegedeeld en niet langer worden bewaard dan nodig voor het beheer van de relatie met de leerling of student. – Artikel 60 van het Koninklijk besluit van 13 februari 2001 ter uitvoering van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (2001): met uitzondering van de §§ 4 en 8 zijn de bepalingen van artikel 17 van de wet niet van toepassing op verwerkingen die de gemeenten
160
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 17)
verrichten overeenkomstig de wet van 19 juli 1991 betreffende de bevolkingsregisters en de identiteitskaarten en tot wijziging van de wet van 8 augustus 1983 tot regeling van een Rijksregister van de natuurlijke personen, overeenkomstig de kieswetgeving en overeenkomstig de wetsbepalingen inzake de registers van de burgerlijke stand. – Artikel 61 van het Koninklijk besluit van 13 februari 2001 ter uitvoering van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (2001): met uitzondering van de §§ 4 en 8 zijn de bepalingen van artikel 17 van de wet niet van toepassing op verwerkingen van persoonsgegevens verricht door administratieve overheden indien de verwerking is onderworpen aan specifieke door of krachtens de wet uitgevaardigde regelgevingen waarin de raadpleging, het gebruik en de verkrijging van de verwerkte gegevens worden geregeld. – Artikel 62 van het Koninklijk besluit van 13 februari 2001 ter uitvoering van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (2001): de bepalingen van artikel 17 van de wet met uitzondering van §§ 4 en 8 zijn niet van toepassing op de verwerkingen van persoonsgegevens door instellingen van sociale zekerheid bedoeld in de artikelen 1 en 2, eerste lid, 2° van de wet van 15 januari 1990 houdende oprichting en organisatie van de Kruispuntbank van de Sociale Zekerheid, die de toepassing van de sociale zekerheid tot doel hebben, op voorwaarde dat deze instellingen met betrekking tot deze verwerkingen voldoen aan de bepalingen van de vermelde wet en haar uitvoeringsbesluiten. De lijst bedoeld in artikel 46, eerste lid, 6°bis van de wet van 15 januari 1990 houdende oprichting en organisatie van de Kruispuntbank van de Sociale Zekerheid wordt door de Kruispuntbank ter beschikking gehouden aan de Commissie voor de bescherming van de persoonlijke levenssfeer overeenkomstig de modaliteiten bepaald in onderling overleg tussen deze beide instanties. De Commissie voor de bescherming van de persoonlijke levenssfeer verricht op grond van deze lijst de bijwerkingen van het openbaar register van de geautomatiseerde verwerkingen van persoonsgegevens bedoeld in artikel 18 van de wet.
2. INTERNATIONALE WETGEVING – Artikel 18 § 2 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): de Lid-Staten kunnen alleen in de volgende gevallen en onder de volgende voorwaarden voorzien in vereenvoudigde aanmelding of vrijstelling van deze verplichting tot aanmelding: - wanneer zij voor de categorieën verwerkingen waarbij, rekening houdend met de verwerkte gegevens, inbreuk op de rechten en vrijheden van de betrokkenen onwaarschijnlijk is, preciseren: de doeleinden van de verwerking, de verwerkte gegevens of categorieën verwerkte gegevens, de categorie(ën) betrokkenen, de ontvangers of categorieën ontvangers aan wie de gegevens worden verstrekt, en de periode gedurende welke de gegevens worden bewaard, en/of - wanneer de voor de verwerking verantwoordelijke, overeenkomstig het nationale recht waaraan hij is onderworpen, een functionaris voor de gegevensbescherming aanwijst die met name: - op onafhankelijke wijze toezicht uitoefent op de toepassing binnen de organisatie van de krachtens deze Richtlijn getroffen nationale maatregelen, - een register bijhoudt van de door de voor verwerking verantwoordelijke verrichte verwerkingen, waarin de in artikel 21, lid 2, bedoelde gegevens opgenomen zijn, en er aldus voor zorgt dat inbreuk op de rechten en vrijheden van de betrokkenen door de verwerkingen onwaarschijnlijk is. – Overweging 49 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): Overwegende dat, om inadequate administratieve formaliteiten te vermijden, voor de verwerkingen die geen inbreuk kunnen maken op de rechten en vrijheden van de betrokkenen, in vrijstelling of vereenvoudiging van de aanmelding kan worden voorzien, mits deze verwerkingen in overeenstemming zijn met een door de LidStaat genomen besluit, waarin de grenzen van een en ander worden aangegeven; dat de Lid-Staten eveneens in vrijstelling of vereenvoudiging kunnen voorzien wanneer een persoon die door de voor de verwerking verantwoordelijke is aangewezen zich ervan vergewist dat de verwerkingen geen inbreuk op de rechten en vrijheden van de betrokkenen kunnen maken; dat de aldus voor de bescherming van de gegevens aangewezen persoon, die al dan niet in dienst is van de voor de verwerking verantwoordelijke, zijn taak in volledige onafhankelijkheid moet kunnen uitoefenen. Over de aangestelde voor de gegevensbescherming, zie artikel 17bis van de WVP (infra). – Artikel 21 § 3 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): de Lid-Staten dragen er zorg voor, met betrekking tot de van aanmelding vrijgestelde verwerkingen, dat de voor de verwerking verantwoordelijke of een door de Lid-Staten aangewezen instantie, ten minste de inlichtingen als bedoeld in artikel 19, lid 1, onder a) tot en met e), op passende wijze verstrekken aan een ieder die daarom verzoekt.
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
161
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 17)
– Overweging 51 en 52 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): 51. Overwegende dat het feit dat hij voor vereenvoudiging of vrijstelling van de aanmelding in aanmerking komt, de voor de verwerking verantwoordelijke niet ontslaat van de overige verplichtingen uit hoofde van deze Richtlijn. 52. Overwegende dat in dit verband toezicht achteraf door de bevoegde autoriteiten in het algemeen als afdoende moet worden beschouwd.
3. ADVIEZEN VAN DE GROEP 29 – Groep 29, Werkdocument: aanmelding (3 december 1997 - WP 8): de Groep geeft een historisch overzicht van de relevante wetgeving en bepalingen van de Richtlijn over de aanmelding. Het document beschrijft vervolgens de situatie in het nationaal recht en stipt de grote verschillen aan tussen de in werking zijnde systemen (vereenvoudigde aangifte, papieren drager, elektronische drager, vrijstellingen, voorgedefinieerde doelstellingen op het aanmeldingsformulier). Aanmelding draagt bij tot de naleving van de beginselen van de Richtlijn, aangezien de verantwoordelijken voor de verwerking met het oog op de aanmelding hun verwerkingen moeten beoordelen en beschrijven, vooraf bepalen welke gegevens moeten worden gebruikt en voor welk doel. Om deze functies naar behoren te kunnen uitvoeren en tot de doorzichtigheid van de gegevensverwerking bij te dragen, moet de desbetreffende informatie niet algemeen maar specifiek zijn. Het is vooral van belang dat de doeleinden van de verwerkingen naar behoren worden gespecificeerd. Aanzienlijke verschillen in de beschrijving van het doeleinde van de verwerkingen in de diverse Lid-Staten zou niet alleen een belasting voor de verantwoordelijken voor de verwerking meebrengen, maar kan ook de gelijkwaardigheid van het beschermingsniveau binnen de Gemeenschap op het spel zetten. Overdreven bureaucratische eisen in verband met de aanmelding vormen niet alleen een belasting voor de verantwoordelijken voor de verwerking maar ontnemen de aanmelding haar grondslag doordat de belasting voor de gegevensbeschermingsautoriteit te groot wordt. Diverse landen hebben vereenvoudigde aanmelding of vrijstellingen van aanmelding ingevoerd of zijn van plan het in te voeren. Krachtens de Richtlijn kunnen vereenvoudigde aanmelding of vrijstellingen van de aanmeldingsplicht worden toegestaan voor verwerkingen waarbij inbreuk op de rechten en vrijheden van de betrokkenen onwaarschijnlijk is. Voor dergelijke verwerkingen moeten diverse elementen worden gespecificeerd (artikel 18, § 2 van de Richtlijn). Een van de functies van aanmelding is het publiek over bestaande verwerkingen te informeren door middel van een openbaar register van verwerkingen. De Groep acht het zeer belangrijk dat het register voor het publiek gemakkelijk toegankelijk wordt gemaakt. Zij kijkt belangstellend uit naar de projecten om de openbare registers via het World Wide Web toegankelijk te maken. Zij benadrukt dat passende maatregelen vereist zijn om te voorkomen dat de persoonsgegevens in de registers van verwerkingen voor oneigenlijke doeleinden worden gebruikt. BETALING BIJDRAGE
§ 9 Betaling bijdrage KONINKLIJK BESLUIT VAN 13 FEBRUARI 2001 (artikelen 47 - 50) – Artikel 47 van het Koninklijk besluit van 13 februari 2001 ter uitvoering van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (2001): indien de aangifte bedoeld in artikel 17 van de wet wordt verricht aan de hand van het papieren formulier dat de Commissie daartoe ter beschikking stelt, wordt het bedrag van de bijdrage die de verantwoordelijke voor de verwerking aan de Commissie moet storten, vastgesteld op 125 euro of 5042 frank voor de aangifte van alle gegevens die dezelfde verantwoordelijke op hetzelfde tijdstip aan de Commissie verstrekt. – Artikel 48 van het Koninklijk besluit van 13 februari 2001 ter uitvoering van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (2001): indien de aangifte wordt verricht aan de hand van de magnetische informatiedrager die de Commissie daartoe ter beschikking stelt, wordt het bedrag van de bijdrage die de verantwoordelijke voor de verwerking aan de Commissie moet storten, vastgesteld op 25 euro of 1008 frank voor de aangifte van alle gegevens die dezelfde verantwoordelijke op hetzelfde tijdstip aan de Commissie verstrekt. – Artikel 49 van het Koninklijk besluit van 13 februari 2001 ter uitvoering van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (2001): het bedrag van de bijdrage die aan de Commissie moet worden gestort bij aangifte door dezelfde verantwoordelijke op hetzelfde tijdstip van een of meer wijzigingen in de vermeldingen van zijn oorspronkelijke aangifte wordt vastgesteld op 20 euro of 807 frank. – Artikel 50 van het Koninklijk besluit van 13 februari 2001 ter uitvoering van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (2001): de verantwoordelijke voor de verwerking betaalt de bijdragen bedoeld in deze afdeling aan de hand van de stukken die de Commissie daartoe ter beschikking stelt.
162
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 17bis) }1
[Art. 17bis. De Koning stelt, na advies van de Commissie voor de bescherming van de persoonlijke levenssfeer de categorieën van verwerkingen vast die specifieke risico's inhouden voor de persoonlijke rechten en vrijheden van de betrokkenen en stelt voor deze verwerkingen, eveneens op voorstel van de Commissie voor de bescherming van de persoonlijke levenssfeer, bijzondere voorwaarden vast om de rechten en de vrijheden van de betrokkenen te waarborgen. In het bijzonder kan Hij bepalen dat de verantwoordelijke voor de verwerking, alleen of samen met andere
verantwoordelijken, een aangestelde voor de gegevensbescherming aanwijst die op onafhankelijke wijze zorgt voor de toepassing van deze wet en van haar uitvoeringsmaatregelen. De Koning bepaalt bij een in ministerraad overlegd besluit, na advies van de Commissie voor de bescherming van de persoonlijke levenssfeer, het statuut van de aangestelde voor de gegevensbescherming.]1 }1. – Ingevoegd bij art. 25 wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001)
BIJZONDERE CATEGORIEËN VAN VERWERKING BIJZONDERE RISICO’S AANGESTELDE VOOR DE GEGEVENSBESCHERMING
Bijzondere risico's en aangestelde voor de gegevensbescherming Over de aangestelde voor de gegevensbescherming en afwezigheid van bijzondere risico's inzake gegevensbescherming, zie artikel 17 hierboven.
1. HUISHOUDELIJK REGLEMENT VAN DE COMMISSIE VOOR DE BESCHERMING VAN DE PERSOONLIJKE LEVENSSFEER – Artikel 19 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk II, Sectie III - 2007): De voorzitter is gelast met de organisatie van het systeem van de aangiften en het houden van het openbaar register, als bedoeld in de artikelen 17 tot 20 WVP. De voorzitter kan te allen tijde beslissen een bepaalde aangelegenheid formeel ter zitting te brengen. Hij brengt daarover de betrokkene op de hoogte.
2. INTERNATIONALE WETGEVING – Artikel 20 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): 1. De Lid-Staten geven aan welke verwerkingen mogelijk specifieke risico's voor de persoonlijke rechten en vrijheden inhouden en dragen er zorg voor dat zij vóór de aanvang van de verwerking onderzocht worden. 2. Deze voorafgaande onderzoeken worden uitgevoerd door de toezichthoudende autoriteit na ontvangst van een aanmelding van de voor de verwerking verantwoordelijke, of door de functionaris voor de gegevensbescherming, die in twijfelgevallen de toezichthoudende autoriteit moet raadplegen. 3. De Lid-Staten kunnen een dergelijk onderzoek ook uitvoeren in het kader van de voorbereiding van een maatregel van het nationale parlement ofwel van een op een dergelijke wettelijke maatregel gebaseerde maatregel waarin de aard van de verwerking is omschreven en passende waarborgen zijn opgenomen. – Overwegingen 53 en 54 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): 53. Overwegende evenwel dat bepaalde verwerkingen door hun aard, reikwijdte of doel, voor de rechten en vrijheden van de betrokkenen bijzondere risico's meebrengen, zoals het uitsluiten van personen van een recht, een uitkering of een overeenkomst, of verwerkingen waarbij een bijzonder gebruik wordt gemaakt van nieuwe technologie, dat de Lid-Staten desgewenst in hun wetgeving dergelijke risico's dienen te preciseren. 54. Overwegende dat van alle verwerkingen die in de samenleving worden uitgevoerd, het aantal waaraan dergelijke risico's kleven zeer beperkt zou moeten zijn, dat de Lid-Staten voor deze verwerkingen in een voorafgaand onderzoek door de toezichthoudende autoriteit of door de met gegevensbescherming belaste functionaris in overleg met de toezichthoudende autoriteit dienen te voorzien; dat de toezichthoudende autoriteit na dit voorafgaand onderzoek naar gelang van het nationale recht waaronder zij valt advies kan uitbrengen of toestemming kan geven voor de verwerking; dat een dergelijk onderzoek ook kan worden uitgevoerd in het kader van de voorbereiding van een door het nationale parlement aan te nemen maatregel of op basis van een dergelijke wettelijke maatregel, waarin de aard van de verwerking is omschreven en passende waarborgen zijn opgenomen. – Artikels 24 tot 26 van de Verordening (EG) nr. 45/2001 van het Europees Parlement en de Raad van 18 december 2000 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de communautaire instellingen en organen en betreffende het vrije verkeer van die gegevens (2000):
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
163
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 17bis)
Artikel 24 1. Elke communautaire instelling en elk communautair orgaan stelt ten minste één persoon aan tot functionaris voor gegevensbescherming, die: a) er zorg voor draagt dat de verantwoordelijken voor de verwerking en de betrokkenen van hun rechten en plichten die uit deze verordening voortvloeien, in kennis worden gesteld; b) ingaat op verzoeken van de Europese Toezichthouder voor gegevensbescherming en, binnen het kader van diens bevoegdheden, samenwerkt met de Europese Toezichthouder voor gegevensbescherming, op verzoek van deze laatste of op eigen initiatief; c) op onafhankelijke wijze zorg draagt voor de interne toepassing van de bepalingen van deze verordening; d) een register van de verwerkingen die door de verantwoordelijke voor de verwerking zijn verricht, bijhoudt, waarin de in artikel 25, lid 2, bedoelde gegevens zijn opgenomen; e) de Europese Toezichthouder voor gegevensbescherming kennis geeft van de verwerkingen die waarschijnlijk bijzondere risico's in de zin van artikel 27 inhouden. Hij draagt er daarmee zorg voor dat verwerkingen geen schending van de rechten en vrijheden van de betrokkenen zullen veroorzaken. – De functionaris voor gegevensbescherming wordt gekozen op grond van zijn persoonlijke en professionele kwaliteiten en, in het bijzonder, zijn deskundigheid inzake gegevensbescherming. – De keuze van de functionaris voor gegevensbescherming mag niet kunnen uitlopen op een belangenconflict tussen zijn taak als functionaris en andere officiële taken, met name ten aanzien van de toepassing van deze verordening. – De functionaris voor gegevensbescherming wordt voor een termijn van ten minste twee jaar en ten hoogste vijf jaar benoemd. Hij kan worden herbenoemd, maar de totale duur van zijn mandaat mag niet meer dan tien jaar bedragen. Indien hij niet langer aan de voor de uitoefening van zijn functie vereiste voorwaarden voldoet, kan hij alleen door de communautaire instelling die of het communautaire orgaan dat hem heeft aangesteld, met instemming van de Europese Toezichthouder voor gegevensbescherming als functionaris voor gegevensbescherming worden ontslagen. – Na zijn benoeming wordt de functionaris voor gegevensbescherming door de instelling die, of het orgaan dat hem heeft benoemd, bij de Europese Toezichthouder voor gegevensbescherming geregistreerd. – De functionaris voor gegevensbescherming krijgt van de communautaire instelling die of het communautaire orgaan dat hem heeft aangesteld, de beschikking over het personeel en de middelen die voor de uitvoering van zijn taken noodzakelijk zijn. – Met betrekking tot de uitoefening van zijn functie mag de functionaris voor gegevensbescherming geen enkele instructie krijgen. 8. Nadere uitvoeringsvoorschriften betreffende de functionaris voor gegevensbescherming worden door de communautaire instelling of door het communautaire orgaan vastgesteld overeenkomstig de bijlage. De uitvoeringsvoorschriften hebben met name betrekking op de taken, verplichtingen en bevoegdheden van de functionaris voor gegevensbescherming. Het artikel 25 handelt over de voorafgaande aangifte bij de Europese Toezichthouder voor de gegevensbescherming en artikel 26 van het register der aangegeven verwerkingen. – Artikel 27 van de Verordening (EG) nr. 45/2001 van het Europees Parlement en de Raad van 18 december 2000 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de communautaire instellingen en organen en betreffende het vrije verkeer van die gegevens (2000): 1. Verwerkingen die gezien hun aard, reikwijdte of doeleinden bijzondere risico's kunnen inhouden voor de rechten en vrijheden van de betrokkenen, worden vooraf gecontroleerd door de Europese Toezichthouder voor gegevensbescherming. 2. De volgende verwerkingen kunnen dergelijke risico's meebrengen: a) verwerkingen van gegevens betreffende de gezondheid en verwerkingen van gegevens inzake verdenkingen, strafbare feiten, strafrechtelijke veroordelingen of veiligheidsmaatregelen; b) verwerkingen die ten doel hebben de persoonlijke eigenschappen van de betrokkenen, zoals bekwaamheid, rendement of gedrag, te beoordelen; c) verwerkingen waarmee voor verschillende doeleinden verwerkte gegevens onderling kunnen worden gekoppeld zonder dat hiervoor nationale of communautaire regelgeving bestaat; d) verwerkingen die gericht zijn op het ontzeggen van het genot van een recht, van een uitkering of van de mogelijkheid een contract aan te gaan.
3. ADVIEZEN VAN DE GROEP 29 – Groep 29, Werkdocument: aanmelding (3 december 1997 - WP 8): het document bespreekt eveneens de kwestie van de functionaris voor gegevensbescherming (vereenvoudigde aanmelding of vrijstelling). De aan-
164
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 18)
stelling binnen de organisatie van een functionaris voor de gegevensbescherming beperkt de behoefte aan centraal toezicht. De Groep ondersteunt de verplichte dan wel vrijwillige aanstelling van dergelijke functionarissen. Dergelijke functionarissen moeten echter wel de middelen krijgen om hun taak op doeltreffende wijze uit te oefenen. Indien dergelijke functionarissen onvoldoende bevoegdheden of middelen krijgen om te verzekeren dat inbreuk op de rechten en vrijheden van de betrokkene onwaarschijnlijk is, zijn afwijkingen van de gebruikelijke aanmeldingseisen niet langer gerechtvaardigd. Er moeten voldoende garanties worden geboden zodat de functionaris zijn functie, vooral van de directie, in alle onafhankelijkheid kan uitoefenen. – Groep 29, Verslag van de Werkgroep "artikel 29" over de verplichting van aangifte bij controleautoriteiten, het optimaal gebruik van uitzonderingen en vereenvoudiging en de rol van de functionaris voor bescherming van persoonsgegevens in de Europese Unie (18 januari 2005 - WP 106) (vrije vertaling): dit verslag identificeert de meest aangewezen praktijk voor de aangifteplicht in de Lid-Staten alsook de rol van de functionaris voor gegevensbescherming. Het bestudeert ook een vereenvoudigingssysteem voor organisaties met meer dan een vestiging in de Unie en ze doet enkele aanbevelingen waarbij ze de Europese Commissie verzoekt er rekening mee te willen houden, mocht die in de toekomst overwegen de harmonisatie verder uit te werken. Dit verslag moet worden gezien als een eerste bijdrage tot een beter begrip van de rol die de aangifteplicht en de functionaris belast met gegevensbescherming spelen in het gegevensbeschermingssysteem zoals het vandaag bestaat in de Europese Unie, en als een eerste stap in de richting van een harmonisatie en verhoogde vereenvoudiging van de aangiftemechanismen binnen de Gemeenschap.
Art. 18. Bij de Commissie voor de bescherming van de persoonlijke levenssfeer wordt een register gehouden van de geautomatiseerde verwerkingen van persoonsgegevens. Bij de inschrijving in dat register moeten de gegevens bedoeld in artikel 17, §§ 3 en 6 worden opgenomen.
Dat register staat ter inzake van eenieder op de wijze door de Koning bepaald. }1[...]1 }1. – Lid 4 opgeheven bij art. 26 wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001)
OPENBAAR REGISTER
1. KONINKLIJK BESLUIT VAN 13 FEBRUARI 2001 (artikelen 63 - 69) – Artikel 63 van het Koninklijk besluit van 13 februari 2001 ter uitvoering van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (2001): het openbaar register van de geautomatiseerde verwerkingen van persoonsgegevens bedoeld in artikel 18 van de wet, hierna 'openbaar register' genoemd, kan op de volgende wijzen worden geraadpleegd: a) rechtstreekse raadpleging op afstand aan de hand van telecommunicatiemiddelen; b) rechtstreekse raadpleging ter plaatse in de ruimten die de Commissie daartoe aanwijst; c) onrechtstreekse raadpleging aan de hand van een verzoek aan de Commissie tot het verkrijgen van een uittreksel. – Artikel 64 van het Koninklijk besluit van 13 februari 2001 ter uitvoering van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (2001): voor rechtstreekse raadplegingen op afstand stelt de Commissie een kopie van het openbaar register ter beschikking op een server die toegankelijk is via Internet. Naast de in het eerste lid omschreven toegangswijze kan de Commissie andere mogelijkheden voor raadpleging voorstellen. – Artikel 65 van het Koninklijk besluit van 13 februari 2001 ter uitvoering van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (2001): voor rechtstreekse raadplegingen ter plaatse stelt de Commissie tijdens de normale kantooruren de nodige ruimte en computerapparatuur uitgerust met de gepaste software ter beschikking van eenieder die zich bij haar aanmeldt om het openbaar register te raadplegen. – Artikel 66 van het Koninklijk besluit van 13 februari 2001 ter uitvoering van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (2001): eenieder kan zich bij de Commissie aanmelden of een schriftelijk verzoek tot haar richten om een uittreksel uit het openbaar register te verkrijgen. In het mondeling of schriftelijk verzoek om een uittreksel moet tenminste een van de volgende gegevens worden vermeld: 1° het identificatienummer of de naam van de verwerking of verwerkingen waarop het uittreksel betrekking heeft; 2° de volledige of afgekorte naam van de verantwoordelijke of verantwoordelijken voor de verwerking die in het gevraagde uittreksel moeten worden vermeld; 3° bij een schriftelijk verzoek toegezonden over de post, het adres waarnaar het uittreksel moet worden verzonden. – Artikel 67 van het Koninklijk besluit van 13 februari 2001 ter uitvoering van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (2001): indien het gevraagde uittreksel uit het openbaar register betrekking heeft op meer dan tien verwerkingen en verscheidene verantwoordelijken voor verwerkingen of op meer dan honderd verwerkingen van dezelfde verantwoordelijke, kan de Commissie een vereenvoudigd uittreksel uitreiken waarin het identificatienummer, de be-
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
165
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 19)
naming en het doel van iedere verwerking, alsook het identificatienummer, de naam en de gemeente met postcode van iedere verantwoordelijke voor de verwerking zijn vermeld. In het geval bedoeld in het eerste lid stelt de Commissie de aanvrager van het uittreksel in kennis van zijn recht op rechtstreekse raadpleging van het openbaar register en van de wijzen waarop dit recht kan worden uitgeoefend. – Artikel 68 van het Koninklijk besluit van 13 februari 2001 ter uitvoering van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (2001): de raadpleging van het openbaar register is kosteloos. – Artikel 69 van het Koninklijk besluit van 13 februari 2001 ter uitvoering van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (2001): niemand kan worden verplicht de redenen voor de raadpleging van het openbaar register aan de Commissie mee te delen, ongeacht of het gaat om een rechtstreekse of onrechtstreekse raadpleging.
2. HUISHOUDELIJK REGLEMENT VAN DE COMMISSIE VOOR DE BESCHERMING VAN DE PERSOONLIJKE LEVENSSFEER – Artikel 19 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk II, Sectie III - 2007): De voorzitter is gelast met de organisatie van het systeem van de aangiften en het houden van het openbaar register, als bedoeld in de artikelen 17 tot 20 WVP. De voorzitter kan te allen tijde beslissen een bepaalde aangelegenheid formeel ter zitting te brengen. Hij brengt daarover de betrokkene op de hoogte.
3. INTERNATIONALE WETGEVING – Artikel 21 §§ 1 en 2 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): 1. De Lid-Staten nemen maatregelen om te zorgen voor de openbaarheid van de verwerkingen. 2. De Lid-Staten bepalen dat de toezichthoudende autoriteit een register van de uit hoofde van artikel 18 (Verplichting tot aanmelding bij de toezichthoudende autoriteit) aangemelde verwerkingen behoudt. Het register bevat ten minste de in artikel 19, lid 1, onder a) tot en met e), bedoelde inlichtingen.
Art. 19. Wanneer de Commissie voor de bescherming
van de persoonlijke levenssfeer meent dat een }1[nietgeautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of bestemd zijn om daarin te worden opgenomen]1 een mogelijke schending van de persoonlijke levenssfeer inhoudt, kan zij
hetzij ambtshalve, hetzij op verzoek van een betrokkene de }1[verantwoordelijke voor de verwerking]1 opleggen haar mededeling te verstrekken van het geheel of een gedeelte van de inlichtingen opgesomd in artikel 17. }1. – Gewijzigd bij art. 27, 1°-2° wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001)
Overtreden strafbaar gesteld: zie art. 39, 10°, 40 en 41 WVP ONDERZOEKSRECHT VAN DE COMMISSIE BESTAND VERWERKING VAN PERSOONSGEGEVENS
Onderzoeksrecht van de Commissie, bestand verwerking van persoonsgegevens 1. HUISHOUDELIJK REGLEMENT VAN DE COMMISSIE VOOR DE BESCHERMING VAN DE PERSOONLIJKE LEVENSSFEER – Artikel 19 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk II, Sectie III - 2007): De voorzitter is gelast met de organisatie van het systeem van de aangiften en het houden van het openbaar register, als bedoeld in de artikelen 17 tot 20 WVP. De voorzitter kan te allen tijde beslissen een bepaalde aangelegenheid formeel ter zitting te brengen. Hij brengt daarover de betrokkene op de hoogte.
2. INTERNATIONALE WETGEVING – Artikel 18 § 5 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): de Lid-Staten kunnen bepalen dat sommige of alle niet-geautomatiseerde verwerkingen van persoonsgegevens aangemeld moeten worden, eventueel in vereenvoudigde vorm.
Art. 20. Indien door of krachtens een wet wordt voorzien in een specifiek systeem van voorafgaande machtigingen of aangiften van verwerkingen van gegevens, dat
166
voorziet in het ter beschikking stellen van een bijzonder toezichtcomité van de inlichtingen vermeld in artikel 17, §§ 3 en 6 en in het inschrijven in een open-
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 21)
baar register van de vermeldingen bedoeld in artikel 17, §§ 3 en 6, wordt geacht aan de verplichtingen van de artikelen 17, 18 en 19 te zijn voldaan wanneer het geheel van deze informatie op permanente wijze ter be-
schikking wordt gehouden van de Commissie voor de bescherming van de persoonlijke levenssfeer. Artikel 17, § 9 is van overeenkomstige toepassing.
SPECIFIEKE AANGIFTE DOOR OF KRACHTENS WET
1. KONINKLIJK BESLUIT VAN 13 FEBRUARI 2001 – Artikel 62 van het Koninklijk besluit van 13 februari 2001 ter uitvoering van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (2001): de bepalingen van artikel 17 van de wet met uitzondering van §§ 4 en 8 zijn niet van toepassing op de verwerkingen van persoonsgegevens door instellingen van sociale zekerheid, bedoeld in de artikelen 1 en 2, eerste lid, 2°, van de wet van 15 januari 1990 houdende oprichting en organisatie van de Kruispuntbank van de sociale zekerheid, die de toepassing van de sociale zekerheid tot doel hebben, op voorwaarde dat deze instellingen met betrekking tot deze verwerkingen voldoen aan de bepalingen van de vermelde wet en haar uitvoeringsbesluiten. De lijst, bedoeld in artikel 46, eerste lid, 6°bis, van de wet van 15 januari 1990 houdende oprichting en organisatie van de Kruispuntbank van de sociale zekerheid, wordt door de Kruispuntbank ter beschikking gehouden aan de Commissie voor de bescherming van de persoonlijke levenssfeer, overeenkomstig de modaliteiten bepaald in onderling overleg tussen deze beide instanties. De Commissie voor de bescherming van de persoonlijke levenssfeer verricht op grond van deze lijst de bijwerkingen van het openbaar register van de geautomatiseerde verwerkingen van persoonsgegevens bedoeld in artikel 18 van de wet.
2. HUISHOUDELIJK REGLEMENT VAN DE COMMISSIE VOOR DE BESCHERMING VAN DE PERSOONLIJKE LEVENSSFEER – Artikel 19 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk II, Sectie III - 2007): De voorzitter is gelast met de organisatie van het systeem van de aangiften en het houden van het openbaar register, als bedoeld in de artikelen 17 tot 20 WVP. De voorzitter kan te allen tijde beslissen een bepaalde aangelegenheid formeel ter zitting te brengen. Hij brengt daarover de betrokkene op de hoogte.
HOOFDSTUK VI }1
[DOORGIFTE VAN PERSOONSGEGEVENS NAAR LANDEN BUITEN DE EUROPESE GEMEENSCHAP]1
}1. Opschrift vervangen bij art. 28 wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001)
ALGEMENE BRONNEN INTERNATIONALE WETGEVING – Guidelines of the United Nations for the Regulation of Computerized Personal Data Files (1990) - (9) Transborder data flows. – Guidelines of the Organisation for Economic Co-operation and Development (OECD) governing the protection of privacy and transborder flows of personal data (1980). – Artikel 12 van het Verdrag nr. 108 van de Raad van Europa tot bescherming van personen ten opzichte van de geautomatiseerde verwerking van persoonsgegevens (1981): grensoverschrijdend verkeer van persoonsgegevens en internationaal recht. – Explanatory Report of the Convention n°108: punten 62-70 die de reikwijdte omschrijft van de bepalingen over de grensoverschrijdende flux zoals geformuleerd in het Verdrag. – Artikel 2 van het Additional Protocol to the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data regarding supervisory authorities and transborder data flows. Zie ook Explanatory Memorandum of the Convention and Additional Protocol. – Artikels 25 en 26 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995).
Art. 21. }1[§ 1. Persoonsgegevens die aan een verwerking worden onderworpen na doorgifte ervan naar een land buiten de Europese Gemeenschap, mogen slechts worden doorgegeven indien dat land een passend be-
schermingsniveau waarborgt en de andere bepalingen van deze wet en de uitvoeringsbesluiten ervan worden nageleefd.
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
167
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 21)
De vraag of het beschermingsniveau passend is, wordt beoordeeld met inachtneming van alle omstandigheden die op de doorgifte van gegevens of op een categorie gegevensdoorgiften van invloed zijn; in het bijzonder wordt rekening gehouden met de aard van de gegevens, met het doeleinde en met de duur van de voorgenomen verwerking of verwerkingen, het land van herkomst en het land van eindbestemming, de algemene en sectoriële rechtsregels die in het betrokken land gelden, alsmede de beroepscodes en de veiligheidsmaatregelen die in die landen worden nageleefd.
§ 2. De Koning bepaalt, na advies van de Commissie voor de bescherming van de persoonlijke levenssfeer en conform artikel 25 van richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrij verkeer van die gegevens, voor welke categorieën van verwerkingen van persoonsgegevens en in welke omstandigheden de doorgifte van persoonsgegevens aan landen buiten de Europese Unie niet is toegestaan.]1 }1. – Vervangen bij art. 29 wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001)
LANDEN MET PASSEND BESCHERMINGSNIVEAU
§ 1 Doorgifte beperkt tot landen met passend beschermingsniveau Begrip doorgifte 1. ADVIES VAN DE GROEP 29 – Groep 29, Advies 6/2010 over de mate van bescherming van persoonsgegevens in de Republiek ten oosten van de Uruguay (WP177 – 12 oktober 2010): De Groep constateert dat in de Uruguayaanse wet een concept voor internationale gegevensdoorgifte wordt gedefinieerd dat soortgelijk is aan dat van de lidstaten, gezien het feit dat het niet alleen gegevensdoorgifte omvat naar een voor de verwerking verantwoordelijke in een andere staat, maar ook gevallen waarin gegevens worden doorgegeven aan een verwerker.
2. RECHTSPRAAK VAN HET EUROPESE HOF VAN JUSTITIE – Europees Hof van Justitie, Arrest van 6 november 2003, Bodil Linqvist (prejudiciële vragen), - Zaak C-101/ 01. Feiten Eind 1998 heeft Lindqvist thuis op haar eigen computer internetpagina's gecreëerd, zodat gemeenteleden die hun belijdenis wilden doen, gemakkelijk de door hen benodigde informatie konden opvragen. Op haar verzoek heeft de webmaster van de website van de Kerk van Zweden op die website een link naar die pagina's geplaatst. De bedoelde pagina's bevatten informatie over Lindqvist en 18 van haar collega's in de kerkgemeente, waaronder hun volledige naam of soms alleen hun voornaam. Bovendien beschreef Lindqvist in licht humoristische bewoordingen de werkzaamheden van haar collega's en hun liefhebberijen. In een aantal gevallen werden hun gezinssituatie, hun telefoonnummer en andere gegevens vermeld. Verder heeft zij verteld dat een van haar collega's haar voet had bezeerd en met gedeeltelijk ziekteverlof was. Met zijn vijfde vraag wenst de verwijzende rechter in wezen te vernemen of er sprake is van doorgifte van gegevens naar een derde land in de zin van artikel 25 van Richtlijn 95/46, wanneer een zich in een Lid-Staat bevindende persoon op een internetpagina, die is opgeslagen bij een in dezelfde of in een andere Lid-Staat gevestigde natuurlijke of rechtspersoon, waarbij de website is ondergebracht waarop de pagina kan worden geraadpleegd (hierna: hosting provider), persoonsgegevens plaatst en ze daarmee toegankelijk maakt voor eenieder die een internetverbinding tot stand brengt, met inbegrip van personen in derde landen. De verwijzende rechter vraagt ook nog of het antwoord op deze vraag hetzelfde luidt wanneer blijkt dat geen enkel onderdaan van een derde land daadwerkelijk kennis heeft genomen van die gegevens of dat de server waarop de pagina is opgeslagen, zich zuiver fysiek in een derde land bevindt. Bij het Hof ingediende opmerkingen 53. Volgens de Commissie en de Zweedse regering is het met behulp van een computer plaatsen van persoonsgegevens op een internetpagina, zodat die gegevens toegankelijk worden voor onderdanen van derde landen, een doorgifte van gegevens naar derde landen in de zin van Richtlijn 95/46. Het maakt voor het antwoord niet uit dat geen enkele onderdaan van een derde land daadwerkelijk kennis heeft genomen van die gegevens of dat de server waarop die gegevens zijn opgeslagen, zich zuiver fysiek in een derde land bevindt. 54. De Nederlandse regering wijst erop dat het begrip doorgifte in Richtlijn 95/46 niet is gedefinieerd. Zij is om te beginnen van mening dat dit begrip moet worden opgevat als een activiteit die bewust gericht is op het doorgeven van persoonsgegevens van het grondgebied van een Lid-Staat naar een derde land, en vervolgens dat geen onderscheid kan worden gemaakt tussen de verschillende vormen waarin gegevens voor derden toegankelijk kunnen worden gemaakt. Haar conclusie luidt dat het met behulp van een computer plaatsen van persoonsgegevens op een internetpagina niet kan worden beschouwd als een doorgifte van persoonsgegevens naar een derde land in de zin van artikel 25 van Richtlijn 95/46. 55. De regering van het Verenigd Koninkrijk voert aan dat artikel 25 van Richtlijn 95/46 betrekking heeft op de doorgifte van gegevens naar derde landen en niet op de vraag of zij vanuit derde landen toegankelijk zijn.
168
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 21)
Het begrip doorgifte houdt in dat een gegeven door een zich op een bepaalde plaats bevindende persoon wordt verzonden naar een zich op een andere plaats bevindende derde. Enkel in het geval van een dergelijke doorgifte verplicht artikel 25 van Richtlijn 95/46 de Lid-Staten ertoe, voor een passend beschermingsniveau van de persoonsgegevens in een derde land te zorgen. Antwoord van het Hof 56. Richtlijn 95/46 definieert het begrip doorgifte naar een derde land noch in artikel 25 noch in enige andere bepaling, met name niet in artikel 2 ervan. 57. Om uit te maken of het plaatsen van persoonsgegevens op een internetpagina een doorgifte van die gegevens naar een derde land in de zin van artikel 25 van Richtlijn 95/46 is, op de enkele grond dat die gegevens daardoor toegankelijk worden gemaakt voor personen in een derde land, moet rekening worden gehouden met de technische aard van de aldus verrichte handelingen, en met het doel en de systematiek van hoofdstuk VI van die Richtlijn waarin artikel 25 is opgenomen. 58. De informatie op internet kan nagenoeg te allen tijde worden geraadpleegd door een onbepaald aantal personen die op zeer verschillende plaatsen wonen. Dat die informatie overal toegankelijk is vloeit met name voort uit het feit dat de in het kader van internet gebruikte technische middelen betrekkelijk eenvoudig en steeds minder duur zijn. 59. Volgens de mogelijkheden voor het gebruik van internet, zoals die in de loop van de negentiger jaren voor particulieren als Lindqvist beschikbaar zijn geworden, verzendt de maker van een op internet te publiceren pagina de gegevens van die pagina naar zijn hosting provider. Die provider beheert de informatica-infrastructuur die noodzakelijk is voor het opslaan van die gegevens en voor de verbinding met de server waarbij de website is ondergebracht. Daardoor kunnen die gegevens vervolgens worden doorgegeven aan iedereen die een internetverbinding heeft en de gegevens wil opvragen. De computers die deze informatica-infrastructuur vormen, kunnen zich in een of meer andere landen dan dat van vestiging van de hosting provider bevinden - wat ook dikwijls het geval is -, zonder dat diens klanten dit weten of redelijkerwijs kunnen weten. 61. Hieruit volgt dat in omstandigheden als de onderhavige de persoonsgegevens die afkomstig zijn van een persoon die ze op een website heeft geplaatst, op de computer van een persoon in een derde land verschijnen, niet rechtstreeks tussen die twee personen zijn doorgegeven, maar via de informatica-infrastructuur van de hosting provider waarbij de pagina is opgeslagen. 62. In die context moet worden onderzocht of de gemeenschapswetgever met het oog op de toepassing van hoofdstuk IV van Richtlijn 95/46 in het begrip doorgifte van gegevens naar een derde land in de zin van artikel 25 van deze Richtlijn ook handelingen wilde opnemen als die welke door Lindqvist zijn verricht. Er moet op worden gewezen dat de vijfde vraag van de verwijzende rechter enkel die handelingen betreft en niet die welke door de hosting providers worden verricht. 67. In hoofdstuk IV van Richtlijn 95/46 is niets bepaald over het gebruik van internet. Het formuleert met name geen criteria om te bepalen of voor de door tussenkomst van de hosting provider verrichte handelingen moet worden uitgegaan van de plaats van vestiging of van de bedrijfszetel van de provider dan wel van de plaats(en) waar zich de computers bevinden die de informatica-infrastructuur van de provider vormen. 68. Gezien de ontwikkeling van internet ten tijde van de opstelling van Richtlijn 95/46 en het ontbreken van criteria voor het gebruik van internet in hoofdstuk IV, kan niet worden aangenomen dat het de bedoeling was van de gemeenschapswetgever, vooruitlopend op latere ontwikkelingen, het begrip doorgifte van gegevens naar een derde land ook te laten gelden voor de handeling van een persoon in de situatie van Lindqvist die gegevens op een internetpagina plaatst, ook wanneer die gegevens daarmee toegankelijk worden gemaakt voor personen uit derde landen die de technische middelen hebben om zich toegang daartoe te verschaffen. 69. Indien artikel 25 van Richtlijn 95/46 aldus werd uitgelegd dat er sprake is van een doorgifte van gegevens naar een derde land telkens wanneer persoonsgegevens op een internetpagina worden geplaatst, zou dat noodzakelijkerwijs een doorgifte zijn naar alle derde landen waar de technische middelen voor toegang tot internet bestaan. De bijzondere regeling van hoofdstuk IV van die Richtlijn zou daarmee, voor de verrichtingen op internet, noodzakelijkerwijs een algemene toepassingsregeling worden. Immers, zodra de Commissie overeenkomstig artikel 25, lid 4, van Richtlijn 95/46 zou vaststellen dat één enkel derde land geen waarborgen voor een passend beschermingsniveau biedt, zouden de Lid-Staten het plaatsen van persoonsgegevens op het internet moeten verhinderen. 70. In die omstandigheden moet worden vastgesteld dat artikel 25 van Richtlijn 95/46 aldus moet worden uitgelegd, dat handelingen als die van Lindqvist als zodanig geen doorgifte van gegevens naar een derde land vormen. Derhalve behoeft niet te worden onderzocht of iemand uit een derde land toegang tot de betrokken internetpagina heeft gehad dan wel of de server van die provider zich fysiek in een derde land bevindt.
Beginsel van passend beschermingsniveau 1. INTERNATIONALE WETGEVING – Guidelines of the United Nations for the Regulation of Computerized Personal Data Files (1990) - (9) Transborder data flows: when the legislation of two or more countries concerned by a transborder data flow offers comparable safeguards for the protection of privacy, information should be able to circulate as freely as inside
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
169
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 21)
each of the territories concerned. If there are no reciprocal safeguards, limitations on such circulation may not be imposed unduly and only in so far as the protection of privacy demands. – Artikel 2 van hetAdditional Protocol to the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data regarding supervisory authorities and transborder data flows: each Party shall provide for the transfer of personal data to a recipient that is subject to the jurisdiction of a State or organisation that is not Party to the Convention only if that State or organisation ensures an adequate level of protection for the intended data transfer. Zie ook Explanatory Memorandum of the Convention – Artikel 25 §§ 1 en 2 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): 1. De Lid-Staten bepalen dat persoonsgegevens die aan een verwerking worden onderworpen of die bestemd zijn om na doorgifte te worden verwerkt, slechts naar een derde land mogen worden doorgegeven indien, onverminderd de naleving van de nationale bepalingen die zijn vastgesteld ter uitvoering van de andere bepalingen van deze Richtlijn, dat land een passend beschermingsniveau waarborgt. 2. Het passend karakter van het door een derde land geboden beschermingsniveau wordt beoordeeld met inachtneming van alle omstandigheden die op de doorgifte van gegevens of op een categorie gegevensdoorgiften van invloed zijn; in het bijzonder wordt rekening gehouden met de aard van de gegevens, met het doeleinde en met de duur van de voorgenomen verwerking of verwerkingen, het land van herkomst en het land van eindbestemming, de algemene en sectoriële rechtsregels die in het betrokken derde land gelden, alsmede de beroepscodes en de veiligheidsmaatregelen die in die landen worden nageleefd. – Overweging 56 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): overwegende dat grensoverschrijdend verkeer van persoonsgegevens voor de ontwikkeling van het internationale handelsverkeer noodzakelijk is; dat de door deze Richtlijn in de Gemeenschap gewaarborgde bescherming van personen het doorgeven van persoonsgegevens naar derde landen die een passend beschermingsniveau waarborgen niet in de weg staat; dat bij de beoordeling van het door een derde land geboden beschermingsniveau rekening dient te worden gehouden met alle omstandigheden van een doorgifte of een categorie doorgiften; – Overweging 57 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): overwegende dat daarentegen doorgifte van persoonsgegevens naar een derde land dient te worden verboden, indien daar geen passend beschermingsniveau wordt geboden; – International Standards on the Protection of Personal Data and Privacy (2009) (The Madrid Resolution): resolutie goedgekeurd op 5 november 2009 door de Internationale Conferentie van de commissarissen voor de bescherming van gegevens en de privacy. Principe nr.15 : International Tranfers: 1. As a general rule, international transfers of personal data may be carried out when the State to which such data are transmitted affords, as a minimum, the level of protection provided for in this Document. (…). 4. Applicable national legislation may confer powers on the supervisory authorities referred to in section 23 to authorize some or all of the international transfers falling within their jurisdiction, before they are carried out. In any case, those who expect to carry out an international transfer of personal data should be capable of demonstrating that the transfer complies with the guarantees provided for in this Document and in particular where required by the supervisory authorities pursuant to the powers laid down in paragraph 23.2.
2. ADVIEZEN VAN DE GROEP 29 – Groep 29, Eerste richtsnoeren voor de doorgifte van persoonsgegevens naar derde landen. Voorstel inzake een methode voor de beoordeling van het passend karakter van het beschermingsniveau (26 juni 1997- WP 4): het document onderzoekt wat moet worden verstaan onder "passende bescherming" en stelt voor de volgende basisbeginselen te weerhouden: Beginselen die aan de inhoud raken: - doorgifte wordt beperkt tot een specifiek doel; - kwaliteit en proportionaliteit van de gegevens; - transparantie; - beveiliging; - recht op toegang, verbetering en verzet; - beperking van verdere doorgifte naar andere derde landen; - gevoelige gegevens; - direct marketing; - geautomatiseerde individuele besluiten.
170
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 21)
Procedurele- en handhavingsmechanismen: - een goede naleving van de voorschriften verzekeren; - ondersteuning en bijstand verlenen aan de betrokken personen; - een passende schadeloosstelling verzekeren. – Groep 29, Werkdocument: Doorgifte van persoonsgegevens naar derde landen: toepassing van de artikelen 25 en 26 van de EU-Richtlijn betreffende gegevensbescherming (24 juli 1998 - WP 12): dit document geeft een algemene benadering van de problematiek van de doorgifte van gegevens naar derde landen en bevat: - Onderzoek naar het karakter van een passende bescherming zoals bedoeld in artikel 25 van de Richtlijn 95/46/EG: wat wordt begrepen onder "passende bescherming"? Welke beginselen raken aan de inhoud en procedurele- en handhavingsmechanismen die nodig zijn om tot een passend beschermingsniveau te komen? Quid voor de landen die het Verdrag 108 van de Raad van Europa ratificeerden? Toepassing van deze aanpak op de sectorale zelfregulering. - Onderzoek naar de middelen die voldoende waarborgen kunnen bieden met behulp van contractuele oplossingen (artikel 26, § 2) ingeval de bescherming geen passend karakter heeft: dit deel bespreekt onder meer de specifieke vereisten bij een contractuele oplossing door in het bijzonder 3 punten te benadrukken: (1) verzekeren van schadeloosstelling aan de betrokken personen; (2) verlenen van bijstand aan de betrokken personen; en (3) verzekeren van een goede naleving van de voorschriften. – Een onderzoek naar de afwijkingen van de eisen inzake de passende bescherming, zoals omschreven in artikel 26, § 1. – Groep 29, Advies 8/2007 over het niveau van de persoonsgegevensbescherming op Jersey (9 oktober 2007, WP 141). Hoewel men zich kan afvragen of de wet van Jersey ten volle beantwoordt aan de beginselen die de Lid-Staten bij de richtlijn inzake gegevensbescherming zijn opgelegd, herinnert de Groep eraan dat toereikendheid geen volledige gelijkwaardigheid betekent met het beschermingsniveau zoals bedoeld in de richtlijn. – Groep 29, Advies 9/2007 over het niveau van de persoonsgegevensbescherming op de Faröer (9 oktober 2007, WP 142). Het advies besluit dat hoewel de Faeröerse wetgeving weliswaar niet voldoet aan alle eisen die de richtlijn Gegevensbescherming aan de Lid-Staten stelt, de Groep zich ervan bewust is dat 'een passend beschermingsniveau' niet betekent dat het geboden beschermingsniveau precies gelijk moet zijn aan dat van de richtlijn 95/ 46/EG. – Groep 29, Werkdocument over een gemeenschappelijke interpretatie van artikel 26, lid 1, van Richtlijn 95/46/ EG van 24 oktober 1995 (WP 114 – 25 november 2005).
Derde landen die een passende bescherming bieden 1. INTERNATIONALE WETGEVING – Beschikking 2000/518/EG van de Commissie van 26 juli 2000 overeenkomstig Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de passende bescherming van persoonsgegevens in Zwitserland. – Beschikking 2000/520/EG van de Commissie van 26 juli 2000 overeenkomstig Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de gepastheid van de bescherming geboden door de Veiligehavenbeginselen en de daarmee verband houdende vaak gestelde vragen die door het Ministerie van Handel van de Verenigde Staten zijn gepubliceerd (Safe Harbor). – Beschikking 2002/2/EG van de Commissie van 20 december 2001 overeenkomstig Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de passende bescherming van persoonsgegevens geboden door de Canadese Personal Information Protection and Electronic Documents Act. – Beschikking 2003/1731 van de Commissie van 30 juni 2003 overeenkomstig Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de passende bescherming van persoonsgegevens in Argentinië. – Beschikking 2003/821/EG van de Commissie van 21 november 2003 over de passende bescherming van persoonsgegevens op Guernsey. – Commission Decision 2004/411/EC of 28 April 2004 on the adequate protection of personal data in the Isle of Man. – Besluit van de Raad van 18 juli 2005 betreffende de sluiting van de Overeenkomst tussen de Europese Gemeenschap en de regering van Canada inzake de verwerking van API/PNR-gegevens (2006/230/EG), PB L 82 van 21.3.2006, blz. 14–14 – Council Decision 2006/729/PESC/JHA of 16 Octobre 2006 on the signing, on behalf of the European Union, of an agreement between the European Union and the United States of America on the processing and transfer of Passenger Name Record (PNR) data by air carriers to the United States Department of Homeland Security.
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
171
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 21)
– Council Decision 2006/551/PESC/JHA of 23 July 2007 on the signing, on behalf of the European Union, of an agreement between the European Union and the United States of America on the processing and transfer of Passenger Name Record (PNR) data by air carriers to the United States Department of Homeland Security (DHS) (PNR agreement 2007). – Beschikking 2008/393/EG van de Commissie overeenkomstig Richtlijn 95/46/EG van het Europees Parlement en de Raad, over de passende bescherming van persoonsgegevens op Jersey, Publicatieblad, L 138/21 van 28 mei 2008. – Besluit 2008/651/GBVB/JBZ van de Raad van 30 juni 2008 betreffende de ondertekening, namens de Europese Unie, van een overeenkomst tussen de Europese Unie en Australië inzake de verwerking en overdracht van persoonsgegevens van passagiers (PNR-gegevens) uit de Europese Unie door luchtvaartmaatschappijen aan de Australische douane, PB L 213 van 08/08/2008 blz. 0047 – 0048. – Commission decision of 5 March 2010 pursuant to Directive 95/46/EC of the European Parliament and of the Council on the adequate protection provided by the Faeroese Act on processing of personal data, J.O., L 58/17 du 9 mars 2000. – Verordening van de Commissie van 19 oktober 2010 tot vaststelling van het gepaste beschermingsniveau in Andorra, conform de richtlijn 95/46/EG van het Europees Parlement en de Raad (C(2010) 7084), J.O., L 277/27. – Besluit van de Commissie van 31 januari 2011 overeenkomstig Richtlijn 95/46/EG van het Europees Parlement en de Raad, over de passende bescherming van persoonsgegevens door de staat Israël wat de geautomatiseerde verwerking van persoonsgegevens betreft (2011/61/EU), PB L 27 van 1.2.2011, blz. 39–42
2. ADVIEZEN VAN DE GROEP 29 – Groep 29, Advies 5/99 inzake het beschermingsniveau van persoonsgegevens in Zwitserland (7 juni 1999 WP 22). Volgens dit document is de Groep 29 van mening dat de federale wet op de bescherming van gegevens een passend beschermingsniveau waarborgt zelfs al moeten er verduidelijkingen worden aangebracht over het transparantiebeginsel en de bescherming van gevoelige gegevens. Hoewel de Groep de situatie op het niveau van de kantons moeilijker te beoordelen acht, vestigt ze er toch de aandacht op dat de aangenomen voorschriften overwegend geïnspireerd zijn op het Verdrag 108, overeenkomstig de internationale verbintenissen die Zwitserland heeft aangegaan; dat de verwerking van persoonsgegevens moet voldoen aan de algemene beginselen die voortkomen uit de jurisprudentie van het federaal gerechtshof met betrekking tot de persoonlijke vrijheid. In die jurisprudentie wordt een minimumstandaard vastgesteld voor gegevensbescherming en wanneer de verwerking van persoonsgegevens door kantonnale organen niet onder de kantonnale voorschriften inzake gegevensbescherming valt, is de federale wet van toepassing. Op dit advies volgde een door de Commissie aangenomen beschikking van passend beschermingsniveau op basis van artikel 31 van de Richtlijn 95/46/EG (zie supra het gedeelte over de internationale wetgeving). – Groep 29, Advies 6/99 over het passend beschermingsniveau in Hongarije (7 september 1999 - WP 24): dit document werd goedgekeurd toen Hongarije nog geen deel uitmaakte van de Unie en concludeert dat de Hongaarse wetgeving inzake bescherming van persoonsgegevens een passend beschermingsniveau biedt. Naast de Hongaarse wetgeving over de gegevensbescherming, vestigt de Groep de aandacht op de internationale verbintenissen die Hongarije heeft aangegaan door het Verdrag 108 te ratificeren; de bescherming die door de Grondwet tot regel is verheven en het bestaan van sectorale wetten waarin bepalingen werden opgenomen inzake bescherming van persoonsgegevens in diverse domeinen zoals geheime diensten, statistieken, direct marketing, wetenschappelijk onderzoek en de medische sector. – Groep 29, Advies 2/2001 over de gepastheid van de Canadese Personal Information and Electronic Documents Act (26 januari 2001 - WP 39): de Groep vestigt de aandacht op het feit dat de onderzochte Canadese wetgeving slechts van toepassing is op organisaties uit de particuliere sector die in het kader van commerciële activiteiten persoonsgegevens verzamelen, gebruiken of mededelen (personal information). De Groep beveelt daarom aan om bij de vaststelling van gepastheid ten aanzien van de Personal Information and Electronic Documents Act rekening te houden met het beperkte toepassingsgebied en het tijdschema voor invoering van deze wet. De Groep moedigt sterk elk initiatief aan uitgaande van de Canadese overheid dat een zo hoog mogelijke beschermingsniveau betracht voor de verwerking van gevoelige gegevens - vooral de medische gegevens - die niet als zodanig werden erkend maar beschouwd worden als gevoelig naargelang de context waarin ze worden gebruikt. Op dit advies volgde een door de Commissie aangenomen beschikking van passend beschermingsniveau op basis van artikel 31 van de Richtlijn 95/46/EG (zie supra het gedeelte over de internationale wetgeving). – Groep 29, Advies 3/2001 over het beschermingsniveau van de Australische wet 2000 tot wijziging (particuliere sector) van de privacywet (26 januari 2001 - WP 40): in dit document uit de Werkgroep haar bezorgdheid over het feit dat bepaalde sectoren en activiteiten uitgesloten worden van wettelijke bescherming, met name de inlichtingen over werknemers. De Groep stelt dat inlichtingen over werknemers dikwijls gevoelige gegevens bevatten en dat er geen enkele reden is om hen ten minste van bescherming van de gevoelige gegevens uit te sluiten. De Groep wijst er ook op dat de mogelijkheid wordt geboden om informatie te gebruiken of bekend te maken voor een secundair doel wanneer het gebruik of de bekendmaking bij of uit kracht van wet is vereist of toegestaan. Volgens de Groep is het aanvaardbaar te voorzien in een uitzondering wanneer organisaties met strijdige juridische ver-
172
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 21)
plichtingen worden geconfronteerd, maar het uitbreiden van de uitzondering tot alle opties die door sectorspecifieke wetten - bestaande en toekomstige - worden geboden, dreigt de rechtszekerheid te ondermijnen en de basisbescherming uit te hollen. De Groep herinnert er ook aan dat het feit dat wordt toegestaan dat persoonsgegevens worden gebruikt voor direct marketing zonder recht van verzet in geen geval als "gepast" kan worden beschouwd. De Groep verwerpt ook de beperking op de uitoefening van het recht die wordt opgelegd aan de burgers die de Australische nationaliteit niet bezitten of die niet permanent in Australië verblijven. Dit zou betekenen dat een Australische onderneming gegevens zou kunnen invoeren van Europese burgers om ze vervolgens uit te voeren naar een land dat over geen enkele wet beschikt inzake gegevensbescherming zonder dat de Australische wet moet worden toegepast. Een dergelijke maatregel zou de mogelijkheid bieden om de Richtlijn van de Unie te omzeilen ingeval Australië zou beschouwd worden als een land dat een passende bescherming biedt. Als besluit is de Groep van oordeel dat gegevensoverdrachten naar Australië alleen als passend kunnen worden beschouwd indien geschikte waarborgen worden ingevoerd om aan de bovenvermelde punten van bezorgdheid tegemoet te komen. – Groep 29, Advies 4/2002 over het niveau van persoonsgegevensbescherming in Argentinië (3 oktober 2002 - WP 63): de Groep is van oordeel dat Argentinië wordt verondersteld in de mogelijkheid te zijn om een passend beschermingsniveau te bieden zoals bedoeld in artikel 25 (6) van de Richtlijn 95/46/EG en dit niettegenstaande bepaalde prangende zwakheden zoals de kwestie van de onafhankelijke status van de autoriteit voor gegevensbescherming. In zoverre dat die autoriteit binnen de structuur valt van het Ministerie van Justitie en de directeur van deze autoriteit wordt benoemd en ook ontslagen kan worden van zijn functie door de Minister van Justitie, die eveneens beslist over de samenstelling van het personeel van deze controleautoriteit, is de Groep van oordeel dat deze situatie niet betekent dat niet gegarandeerd zou kunnen worden dat deze autoriteit in volle onafhankelijkheid kan handelen. Op dit advies volgde een door de Commissie aangenomen beschikking van passend beschermingsniveau op basis van artikel 31 van de Richtlijn 95/46/EG (zie supra het gedeelte over de internationale wetgeving). – Groep 29, Advies 5/2003 over het niveau van persoonsgegevensbescherming in Guernsey (13 juni 2003 - WP 79): in dit document oordeelt de Groep 29 dat Guernsey een passend beschermingsniveau biedt zoals bedoeld in artikel 25, § 6 van de Richtlijn 95/46/EG. Op dit advies volgde een door de Commissie aangenomen beschikking van passend beschermingsniveau op basis van artikel 31 van de Richtlijn 95/46/EG (zie supra het gedeelte over de internationale wetgeving). – Groep 29, Advies 6/2003 over het persoonsgegevensbeschermingsniveau op het Eiland Man (21 november 2003 - WP 82): in dit document oordeelt de Groep 29 dat het Eiland Man een passend beschermingsniveau biedt zoals bedoeld in artikel 25, § 6 van de Richtlijn 95/46/EG. Op dit advies volgde een door de Commissie aangenomen beschikking van passend beschermingsniveau op basis van artikel 31 van de Richtlijn 95/46/EG (zie supra het gedeelte over de internationale wetgeving) – Groep 29, Advies 9/2007 over het persoonsgegevensbeschermingsniveau op de Faeroer Eilanden (9 oktober 2007 - WP 142) Dit advies werd gevolgd door een besluit van gepaste bescherming door de Commissie op basis van artikel 31 van de richtlijn 95/46/EG (zie supra het gedeelte over « internationale wetgeving ». – Groep 29, Advies 8/2007 over het persoonsgegevensbeschermingsniveau op het Eiland Jersey (9 oktober 2007 - WP 141) Dit advies werd gevolgd door een besluit van gepaste bescherming door de Commissie op basis van artikel 31 van de richtlijn 95/46/EG (zie supra het gedeelte over « internationale wetgeving ». – Groep 29, Advies 6/2009 over het beschermingsniveau van persoonsgegevens in Israël (1 december 2009, WP 165) Dit advies werd gevolgd door een besluit van gepaste bescherming door de Commissie op basis van artikel 31 van de richtlijn 95/46/EG (zie supra het gedeelte over « internationale wetgeving ». – Groep 29, Advies 7/2009 over het niveau van bescherming van persoonsgegevens in het Vorstendom Andorra (1 december 2009, WP 166): in dit advies stelt de Groep vast dat het begrip "dienstverlener m.b.t. persoonsgegevens" in de Andorreese wet inzake gegevensbescherming in overeenstemming is met het begrip "gegevensverwerker" in de richtlijn, aangezien artikel 3, 5de lid van de wet het als volgt bepaalt: "de natuurlijke persoon of rechtspersoon, van openbare of persoonlijke aard, die de gegevens verwerkt namens de voor de verwerking verantwoordelijke, of die toegang krijgt tot de persoonsgegevens om een dienst ten gunste van en onderworpen aan de controle van de voor de verwerking verantwoordelijke te leveren, op voorwaarde dat hij de gegevens waartoe hij toegang heeft niet voor eigen doeleinden gebruikt en dat hij ze niet gebruikt in strijd met de ontvangen instructies of voor andere doeleinden dan de dienst die ten gunste van de voor de verwerking verantwoordelijke moet worden geleverd". Dit advies werd gevolgd door een besluit van gepaste bescherming door de Commissie op basis van artikel 31 van de richtlijn 95/46/EG – Groep 29, Advies 6/2010 over de mate van bescherming van persoonsgegevens in de Republiek ten oosten van Uruguay (WP177 – 12 oktober 2010).
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
173
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 22)
KB VERBODEN DOORGIFTE
§ 2 KB verboden doorgifte Overtreden van art. 21, § 2 is strafbaar: zie art. 39, 12°, 40 en 41 WVP
VERWIJZING NAAR ANDERE WETGEVING – Artikel 25 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): 1. De Lid-Staten bepalen dat persoonsgegevens die aan een verwerking worden onderworpen of die bestemd zijn om na doorgifte te worden verwerkt, slechts naar een derde land mogen worden doorgegeven indien, onverminderd de naleving van de nationale bepalingen die zijn vastgesteld ter uitvoering van de andere bepalingen van deze Richtlijn, dat land een passend beschermingsniveau waarborgt. 2. Het passend karakter van het door een derde land geboden beschermingsniveau wordt beoordeeld met inachtneming van alle omstandigheden die op de doorgifte van gegevens of op een categorie gegevensdoorgiften van invloed zijn; in het bijzonder wordt rekening gehouden met de aard van de gegevens, met het doeleinde en met de duur van de voorgenomen verwerking of verwerkingen, het land van herkomst en het land van eindbestemming, de algemene en sectoriële rechtsregels die in het betrokken derde land gelden, alsmede de beroepscodes en de veiligheidsmaatregelen die in die landen worden nageleefd. 3. De Lid-Staten en de Commissie brengen elkaar op de hoogte van de gevallen waarin, naar hun oordeel, een derde land geen waarborgen biedt voor een passend beschermingsniveau in de zin van lid 2. 4. Wanneer de Commissie volgens de procedure van artikel 31, lid 2, constateert dat een derde land geen waarborgen biedt voor een passend beschermingsniveau in de zin van lid 2, nemen de Lid-Staten de nodige maatregelen om doorgifte van gegevens van dezelfde aard naar het betrokken land te voorkomen. 5. De Commissie opent op het gepaste ogenblik onderhandelingen ter verhelping van de situatie die voortvloeit uit de in lid 4 bedoelde constatering. 6. De Commissie kan volgens de procedure van artikel 31, lid 2, constateren dat een derde land, op grond van zijn nationale wetgeving of zijn internationale verbintenissen, die het met name na de in lid 5 bedoelde onderhandelingen is aangegaan, waarborgen biedt voor een passend beschermingsniveau in de zin van lid 2 met het oog op de bescherming van de persoonlijke levenssfeer en de fundamentele vrijheden en rechten van personen. De Lid-Staten nemen de nodige maatregelen om zich naar het besluit van de Commissie te voegen. Opmerking: deze tweede paragraaf
Art. 22. }2 [§ 1. In afwijking van het bepaalde in artikel 21 mag een doorgifte of categorie doorgiften van persoonsgegevens naar een land buiten de Europese Gemeenschap dat geen waarborgen biedt voor een adequaat beschermingsniveau, plaatsvinden in één van de volgende gevallen: {1 1° de betrokkene heeft daarvoor zijn ondubbelzinnige toestemming gegeven; 2° de doorgifte is noodzakelijk voor de uitvoering van een overeenkomst tussen de betrokkene en de verantwoordelijke voor de verwerking of voor de uitvoering van op verzoek van de betrokkene genomen precontractuele maatregelen; 3° de doorgifte is noodzakelijk voor de sluiting of de uitvoering van een in het belang van de betrokkene tussen de verantwoordelijke voor de verwerking en een derde gesloten of te sluiten overeenkomst; 4° de doorgifte is noodzakelijk of wettelijk verplicht vanwege een zwaarwegend algemeen belang of voor de vaststelling, de uitoefening of de verdediging van een recht in rechte; 5° de doorgifte is noodzakelijk ter vrijwaring van het vitaal belang van de betrokkene;
174
6° de doorgifte geschiedt vanuit een openbaar register dat krachtens wettelijke of bestuursrechtelijke bepalingen bedoeld is om het publiek voor te lichten en dat door eenieder dan wel door iedere persoon die zich op een gerechtvaardigd belang kan beroepen, kan worden geraadpleegd, voor zover in het betrokken geval is voldaan aan de wettelijke voorwaarden voor raadpleging. Onverminderd het bepaalde in het vorige lid kan de Koning, na advies van de Commissie voor de bescherming van de persoonlijke levenssfeer, machtiging verlenen voor een doorgifte of een categorie doorgiften van persoonsgegevens naar een land buiten de Europese Gemeenschap dat geen waarborgen voor een passend beschermingsniveau biedt, indien de verantwoordelijke voor de verwerking voldoende waarborgen biedt ten aanzien van de bescherming van de persoonlijke levenssfeer, de fundamentele rechten en vrijheden van personen, alsmede ten aanzien van de uitoefening van de daaraan verbonden rechten; deze waarborgen kunnen met name voortvloeien uit passende contractuele bepalingen.]2 1. – Nummering conform B.S., er is geen § 2 }2. – Vervangen bij art. 30 wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001)
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 22)
UITZONDERING OP VERBOD DOORGIFTE AFWEZIGHEID VAN PASSEND BESCHERMINGSNIVEAU Opmerking: de tweede paragraaf wordt nog niet toegepast in de praktijk. De landen kunnen geen adequaat niveau van bescherming garanderen. Overtreden strafbaar gesteld: zie art. 39, 12°, 40 en 41 WVP
§ 1, lid 1, Uitzondering op verbod doorgifte, afwezigheid van passend beschermingsniveau 1. INTERNATIONALE WETGEVING – Artikel 2 van het Additional Protocol to the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data regarding supervisory authorities and transborder data flows (1981): (...) by way of derogation from paragraph 1 of Article 2 of this Protocol, each Party may allow for the transfer of personal data: If domestic law provides for it because of: - specific interests of the data subject; or - legitimate prevailing interests, especially important public interests; or - if safeguards, which can in particular result from contractual clauses, are provided by the controller responsible for the transfer and are found adequate by the competent authorities according to domestic law. – Document van de Europese Commissie "Frequently asked questions relating to transfers of personal data from the EU/EEA to third countries", beschikbaar op de website van de Europese Commissie via volgende link: http://ec.europa.eu/justice/policies/privacy/international_transfers/index_en.htm – International Standards on the Protection of Personal Data and Privacy (2009) (The Madrid Resolution): resolutie goedgekeurd op 5 november 2009 door de Internationale Conferentie van de commissarissen voor de bescherming van gegevens en de privacy. Principe nr.15: International Tranfers: (…) 3. Moreover, national legislation applicable to those who expect to transmit data may permit an international transfer of personal data to States that do not afford the level of protection provided for in this Document, where necessary and in the interest of the data subject in the framework of a contractual relationship, to protect the vital interests of the data subject or of another person, or when legally required on important public interest grounds.4. Applicable national legislation may confer powers on the supervisory authorities referred to in section 23 to authorize some or all of the international transfers falling within their jurisdiction, before they are carried out. In any case, those who expect to carry out an international transfer of personal data should be capable of demonstrating that the transfer complies with the guarantees provided for in this Document and in particular where required by the supervisory authorities pursuant to the powers laid down in paragraph 23.2.
2. ADVIEZEN VAN DE GROEP 29 – Groep 29, Tweede advies 4/2009 over de Internationale Standaard van het Wereldantidopingagentschap (WADA) voor de bescherming van de persoonlijke levenssfeer en persoonsgegevens, aanverwante bepalingen van de WADA-code en andere privacyvraagstukken in de context van de bestrijding van doping in de sport door het WADA en (nationale) antidopingorganisaties (6 februari 2009, WP 162). Richtsnoeren voor de interpretatie van de afwijkingen die op grond van artikel 26, lid 1, van de richtlijn kunnen worden toegestaan, geeft de Groep in haar Werkdocument over een gemeenschappelijke interpretatie van artikel 26, lid 1, van Richtlijn 95/46/EG van 24 oktober 1995 (WP 114)16 en in hoofdstuk 5 van haar werkdocument Doorgifte van persoonsgegevens naar derde landen: toepassing van de artikelen 25 en 26 van de EUrichtlijn betreffende gegevensbescherming (WP 12)17. Met name wijst de Groep erop dat afwijkingen van de eis inzake een passend beschermingsniveau volgens artikel 26, lid 1, van de richtlijn doorgaans worden toegestaan voor gevallen waarin de risico's voor de betrokkenen wier gegevens worden verwerkt relatief klein zijn, of waarin andere belangen prevaleren boven het recht van de betrokkenen op privacy en andere grondrechten. Deze bepalingen moeten restrictief worden geïnterpreteerd, zodat de uitzondering niet de regel wordt. De Groep acht het bovendien onwenselijk dat de doorgifte van persoonsgegevens op een schaal die kan worden aangemerkt als massaal, herhaald of structureel, plaatsvindt op basis van een afwijking. Zij benadrukt dat wanneer artikel 26, lid 1, wordt toegepast, elke doorgifte voor elke sporter en elk doel afzonderlijk moet worden gerechtvaardigd, wat een uiterst complexe opgave zou zijn. TOESTEMMING
§ 1, lid 1, 1°, Toestemming 1. INTERNATIONALE WETGEVING – Artikel 26 § 1 a) van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): de Lid-Staten bepalen dat een doorgifte van persoonsgegevens naar een derde
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
175
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 22)
land dat geen waarborgen voor een passend beschermingsniveau biedt, mag plaatsvinden mits: de betrokkene daarvoor zijn ondubbelzinnige toestemming heeft gegeven.
2. ADVIEZEN VAN DE GROEP 29 – Groep 29, Werkdocument: Doorgifte van persoonsgegevens naar derde landen: toepassing van de artikelen 25 en 26 van de EU-Richtlijn betreffende gegevensbescherming (24 juli 1998 - WP 12): dit document benadert op algemene wijze de problematiek van gegevensoverdrachten naar derde landen en het bevat onder meer een onderzoek naar de afwijkingen op de vereiste van een passende bescherming zoals omschreven in artikel 26, §1. De eerste afwijking dekt de gevallen waar de betrokken persoon zijn ondubbelzinnige toestemming heeft gegeven voor de geplande overdracht (vrij, specifiek en geïnformeerd - zie artikel 2h). De persoon moet correct geïnformeerd worden over het specifiek risico als zijn gegevens worden doorgegeven naar landen die geen passend beschermingsniveau bieden. Als deze informatie niet wordt verstrekt, is de afwijking niet van toepassing. Zo is de afwijking niet van toepassing van zodra er enige twijfel bestaat rond de toestemming (impliciete toestemming). – Groep 29, Werkdocument over een gemeenschappelijke interpretatie van artikel 26, lid 1, van Richtlijn 95/46/ EG van 24 oktober 1995 (WP 114 – 25 november 2005): de Groep herinnert eraan dat artikel 26, lid 1, onder a) bepaalt dat doorgifte van persoonsgegevens naar een derde land dat geen waarborgen voor een passend beschermingsniveau biedt, mag plaatsvinden mits "de betrokkene daarvoor ondubbelzinnig toestemming heeft gegeven". Zoals de groep al in werkdocument WP12 heeft aangegeven is het een belangrijk punt dat deze toestemming alleen geldig is als het gaat om een vrije, specifieke en op informatie berustende wilsuiting, zoals bedoeld in artikel 2, onder h) van de richtlijn. - Toestemming moet worden gegeven in de vorm van een duidelijke, ondubbelzinnige wilsuiting Het feit dat toestemming actief moet worden gegeven, is belangrijk omdat het de facto elk systeem waarbij de betrokkene alleen achteraf bezwaar kan maken tegen de doorgifte van gegevens, uitsluit: er moet specifieke toestemming worden gegeven voordat de doorgifte kan plaatsvinden. Indien twijfel bestaat over de vraag of de toestemming al dan niet is gegeven, is de afwijking niet van toepassing. In haar werkdocument WP12 verklaart de groep dan ook: "dit komt er meestal op neer dat deze afwijking niet geldt voor vele situaties waarin toestemming geacht wordt impliciet te zijn gegeven (bijvoorbeeld wanneer iemand van een doorgifte op de hoogte is gebracht en geen bezwaar heeft gemaakt)". In haar advies over de interpretatie van artikel 13 van de richtlijn over privacy en elektronische communicatie, waarbij een uniform systeem voor op individuele personen gerichte direct marketing werd ingevoerd, heeft de groep richtsnoeren geformuleerd voor de interpretatie van het begrip "voorafgaande toestemming" in de context van elektronische communicatie, in het bijzonder op internet. Het is nuttig hier naar deze richtsnoeren te verwijzen, omdat de betrokkene in sommige gevallen on line om toestemming kan worden gevraagd. De groep heeft in het bijzonder aanbevolen op internetsites gebruik te maken van vakjes die de betrokkene moet aanvinken als teken dat hij vooraf toestemming verleent. Het gebruik van reeds aangevinkte vakjes strookt niet met de voorwaarde dat de toestemming een duidelijke, ondubbelzinnige wilsuiting moet zijn. - Toestemming moet uit vrije wil worden gegeven Toestemming van een betrokkene die niet de gelegenheid heeft gehad een echte keuze te maken of die voor een voldongen feit is geplaatst, kan niet als geldig worden beschouwd. Daarom heeft de groep de geldigheid van de toestemming voor de doorgifte van boekingsgegevens (PNR-gegevens) van Europese luchtvaartmaatschappijen aan de Amerikaanse autoriteiten ter discussie gesteld. Het viel immers te betwijfelen of passagiers uit vrije wil toestemming kunnen geven als luchtvaartmaatschappijen verplicht zijn de gegevens voor vertrek door te geven: passagiers die willen vliegen hebben dan geen echte keuze. In dit geval wil de groep de aandacht vestigen op het feit dat moeilijk kan worden gesteld dat de betrokkene uit vrije wil toestemming geeft in een arbeidssituatie, omdat er sprake is van een hiërarchische verhouding tussen werkgever en werknemer. In een dergelijke situatie is de toestemming geldig als de werknemer een reële mogelijkheid heeft gehad toestemming te weigeren zonder daar nadeel van te ondervinden, of zijn toestemming in te trekken indien hij van gedachten verandert. In een dergelijke afhankelijkheidsverhouding kan de weigering of een aarzeling van de werknemer om toestemming te geven voor de doorgifte van persoonsgegevens de betrokkene materiële of immateriële schade berokkenen, en dat is volledig in strijd met de letter en de geest van de Europese wetgeving op het gebied van gegevensbescherming. De groep erkent echter, dat werkgevers in sommige gevallen moeten kunnen uitgaan van toestemming, bijvoorbeeld in een internationale organisatie waarin werknemers gebruik willen maken van mogelijkheden in derde landen. De groep verzoekt werkgevers bij de doorgifte van persoonsgegevens niet zonder meer te vertrouwen op de toestemming van hun werknemers, behalve wanneer vaststaat dat de betrokkene er geen nadeel van zou ondervinden als hij zou weigeren toestemming te geven voor de overdracht of zijn toestemming later zou willen intrekken, indien dat mogelijk zou zijn. Gezien de ervaringen is toestemming in gevallen van herhaalde of zelfs structurele doorgifte voor de voor de verwerking verantwoordelijken geen goede langetermijnbasis voor de verwerking van de betrokken gegevens. Met name wanneer de doorgifte zelf deel uitmaakt van de verwerking (b.v. bij centralisatie van een wereldwijde gegevensbank over arbeidskrachten, die door middel van continue en systematische gegevensdoorgifte operationeel moet worden gehouden), kunnen voor de verwerking verantwoordelijken voor onoverkomelijke problemen komen te staan indien één van de betrokkenen zijn toestemming zou intrekken. Strikt genomen zouden de gegevens over degene die zijn toestemming heeft ingetrokken, dan niet meer worden doorgegeven, anders zou de doorgifte gedeeltelijk met toestemming van de betrokkenen plaatsvinden, maar er zou een andere oplossing (contract, BCR's) moeten worden gezocht voor de gegevens betreffende
176
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 22)
degenen die hun toestemming hebben ingetrokken. Vertrouwen op de toestemming van de betrokkenen kan dus een "slechte goede oplossing" blijken te zijn: op het eerste gezicht eenvoudig, maar in werkelijkheid ingewikkeld en omslachtig. - Toestemming moet specifiek zijn Bovendien is de toestemming van de betrokkene alleen geldig als rechtsgrond voor een mogelijke gegevensdoorgifte als de betrokkene specifiek toestemming heeft gegeven voor een bepaalde gegevensdoorgifte of categorie doorgiften. Omdat de toestemming voor een specifieke doorgifte moet gelden, is het soms onmogelijk om voorafgaande toestemming van de betrokken te krijgen voor een toekomstige doorgifte, bijvoorbeeld als op het moment dat de toestemming wordt gevraagd, niet duidelijk is wanneer en onder welke omstandigheden de doorgifte zal plaatsvinden en de gevolgen voor de betrokkene dus niet goed kunnen worden ingeschat. Zo kan een onderneming die voor een specifiek doel klantgegevens verkrijgt, deze klanten niet vooraf om toestemming vragen voor de doorgifte van hun gegevens aan een derde land op het moment dat de onderneming wordt overgenomen door een onderneming uit een derde land. Het is echter denkbaar dat iemand vooraf toestemming geeft voor de doorgifte van zijn gegevens aan een derde land, wanneer de details betreffende die doorgifte van tevoren vaststaan, met name wat het doel en de ontvangers betreft. - Toestemming moet op informatie berusten Dit is een zeer belangrijke voorwaarde. Zij houdt in dat de betrokkene naar behoren van tevoren op de hoogte moet worden gebracht van de omstandigheden waarin de doorgifte plaatsvindt (doel, identiteit en gegevens van de ontvanger(s), enz.), overeenkomstig het algemene loyaliteitsbeginsel. Daarbij moet de betrokkene ook op de hoogte worden gesteld van de specifieke risico's die voortvloeien uit het feit dat zijn gegevens worden doorgegeven naar een land dat geen passende bescherming biedt. Alleen als hij ook over deze informatie beschikt kan de betrokkene met kennis van zaken toestemming geven; als dat niet het geval is, is de afwijking niet van toepassing. De groep heeft geconstateerd dat het soms om praktische redenen moeilijk is toestemming te verkrijgen, in het bijzonder wanneer er geen direct contact is tussen de voor de verwerking verantwoordelijke en de betrokkenen (hoewel de in artikel 26, lid 2, geboden oplossing soms gemakkelijker toe te passen is). Welke praktische problemen zich ook voordoen, de voor de verwerking verantwoordelijke moet in alle gevallen kunnen aantonen dat hij toestemming van alle betrokkenen heeft verkregen en dat deze toestemming is gegeven op grond van voldoende nauwkeurige informatie, met inbegrip van informatie over het gebrek aan bescherming in het derde land. – Groep 29, Working Document 1/2009 on pre-trial discovery for cross border civil litigation (11 februari 2009, WP 158): in order for the pre-trial discovery procedure to take place lawfully, the processing of personal data needs to be legitimate and to satisfy one of the grounds set out in Article 7 of the Data Protection Directive. In addition, for transfers to another jurisdiction the requirements of Article 26 would have to be met in order to provide a basis for such transfer. There appear to be three relevant grounds, namely consent of the data subject, that the compliance with the pre-trial discovery requirements is necessary for compliance with a legal obligation under Article 7(c) or further purposes of a legitimate interest pursued by the controller or by the third party to whom the data are disclosed under Article 7(f). For the reasons set out below the Working Party considers that in most cases consent is unlikely to provide a proper ground for such processing. Consent - Whilst consent is a ground for processing under Article 7, the Working Party considers that it is unlikely that in most cases consent would provide a good basis for processing. Article 2(h) of the Directive 95/46/EC defines data subject's consent as "any freely given specific and informed indication of his [the data subject's] wishes by which the data subject signifies his agreement to personal data relating to him being processed". The main argument underlying the US jurisprudence since the Aérospatiale case is that if a company has chosen to do business in the United States or involving US counterparts it has to follow the US Rules on Civil Procedure. However, very often the data subjects such as customers and employees of this company do not have this choice or have not been involved in the decision to do business in or relating to the United States. Similarly, valid consent means that the data subject must have a real opportunity to withhold his consent without suffering any penalty, or to withdraw it subsequently if he changes his mind. This can particularly be relevant if it is employee consent that is being sought. As the Article 29 Working Party states in its paper on the interpretation of Article 26(1): "relying on consent may...prove to be a 'false good solution', simple at first glance but in reality complex and cumbersome" UITVOERING VAN EEN OVEREENKOMST
§ 1, lid 1, 2°, Uitvoering van een overeenkomst 1. INTERNATIONALE WETGEVING – Artikel 26 § 1 b) van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): de Lid-Staten bepalen dat een doorgifte van persoonsgegevens naar een derde land dat geen waarborgen voor een passend beschermingsniveau biedt, mag plaatsvinden mits de doorgifte noodzakelijk is voor de uitvoering van een overeenkomst tussen de betrokkene en de voor de verwerking verantwoordelijke of voor de uitvoering van op verzoek van de betrokkene genomen precontractuele maatregelen.
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
177
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 22)
2. ADVIEZEN VAN DE GROEP 29 – Groep 29, Werkdocument: Doorgifte van persoonsgegevens naar derde landen: toepassing van de artikelen 25 en 26 van de EU-Richtlijn betreffende gegevensbescherming (24 juli 1998 - WP 12): dit document benadert op algemene wijze de problematiek van gegevensoverdrachten naar derde landen en het bevat onder meer een onderzoek naar de afwijkingen op de vereiste van een passende bescherming zoals omschreven in artikel 26, §1. De draagwijdte van de 2de en 3de afwijking (zie infra) lijkt ruim opgezet te zijn maar net zoals voor de 4de en 5de afwijking (zie infra) wordt de toepassing ervan beperkt door het "noodzakelijkheidscriterium": alle doorgegeven gegevens moeten noodzakelijk zijn voor de uitvoering van de overeenkomst. Indien aanvullende niet-essentiële gegevens worden doorgegeven of indien de doorgifte niet voor de uitvoering van de overeenkomst bedoeld is maar een ander doel heeft (bijvoorbeeld follow-up van marketing) geldt de afwijking niet meer. Precontractuele situaties hebben alleen betrekking op situaties die door toedoen van de betrokkene zijn ontstaan (zoals een verzoek om informatie over een bepaalde dienst) en niet diegene die voortvloeien uit marketingdoeleinden van de verantwoordelijke voor de gegevensverwerking. Zij zullen waarschijnlijk vaak toepasbaar zijn voor bijvoorbeeld de doorgiften die noodzakelijk zijn voor vliegticketreservaties of voor doorgiften van persoonsgegevens die noodzakelijk zijn voor het verrichten van een internationale betaling via de bank of met een kredietkaart. De afwijking voor overeenkomsten "in het belang van de betrokkene" heeft namelijk specifiek betrekking op de doorgifte van gegevens over de ontvangers van betalingen via een bank die, hoewel zij betrokkenen zijn, vaak geen partij zijn bij een overeenkomst met de verantwoordelijke voor de verwerking. – Groep 29, Werkdocument over een gemeenschappelijke interpretatie van artikel 26, lid 1, van Richtlijn 95/ 46/EG van 24 oktober 1995 (WP 114 – 25 november 2005) : in haar werkdocument WP12 heeft de groep verklaard dat deze afwijkingen betreffende de uitvoering van een overeenkomst weliswaar vrij ruim lijken te zijn opgezet, maar dat zij in de praktijk worden beperkt door de voorwaarde inzake de "noodzakelijkheid". De groep is zich ervan bewust dat, los van de algemene interpretatie van artikel 26, lid 1, en van de verdere aanbevelingen in punt 1.3 van dit document, het aantal gevallen waarin gebruik kan worden gemaakt van de afwijkingen van artikel 26, lid 1, waarin sprake is van deze "noodzakelijkheid" (artikel 26, lid 1, onder b) tot e)), door deze "noodzakelijkheidstoets" wordt beperkt. Voor artikel 26, lid 1, onder b), geldt dat een gegevensdoorgifte naar een derde land dat geen passende bescherming biedt, alleen kan plaatsvinden op grond van de afwijking van artikel 26, lid 1, onder b) indien de doorgifte noodzakelijk wordt geacht voor de uitvoering van het betrokken contract of voor de uitvoering van op verzoek van de betrokkene genomen precontractuele maatregelen. Deze "noodzakelijkheidstoets" vereist een nauw en wezenlijk verband tussen de betrokkene en het doel van het contract. Bepaalde internationale concerns zouden graag gebruikmaken van deze uitzondering voor de doorgifte van gegevens over hun werknemers van een dochteronderneming naar het moederbedrijf, bijvoorbeeld om de salarisadministratie en het personeelsbeleid te centraliseren. Zij zijn van mening dat dergelijke doorgiften kunnen worden beschouwd als noodzakelijk voor de uitvoering van de arbeidsovereenkomst tussen de werknemer en de voor de verwerking verantwoordelijke. De groep vindt deze interpretatie te ver gaan omdat het zeer twijfelachtig is of het begrip arbeidsovereenkomst zo breed kan worden uitgelegd; er is immers geen rechtstreeks en objectief verband tussen de uitvoering van een arbeidsovereenkomst en een dergelijke gegevensdoorgifte. Een strikte interpretatie van deze uitzondering houdt in dat de doorgegeven gegevens werkelijk noodzakelijk moeten zijn voor de uitvoering van de overeenkomst of de precontractuele maatregelen. In haar PNR-advies van 24 oktober 2002 heeft de groep geweigerd het standpunt in te nemen dat dit van toepassing is op de doorgifte van gegevens over vliegtuigpassagiers aan de Amerikaanse autoriteiten, omdat deze van dien aard zijn dat een aantal ervan niet kan worden beschouwd als "noodzakelijk" voor de uitvoering van de vervoersovereenkomst. Daarentegen zou deze afwijking een aanvaardbare rechtsgrond kunnen zijn voor de doorgifte, door reisagenten, van persoonsgegevens over individuele klanten aan hotels of andere commerciële partners die een rol spelen in de organisatie van het verblijf van de klant. Ten slotte kan deze afwijking niet worden toegepast voor de doorgifte van aanvullende informatie die niet noodzakelijk is voor het doel van de doorgifte, of op doorgiften voor een ander doel dan de uitvoering van de overeenkomst. Meer in het algemeen gesproken, laten de afwijkingen van artikel 26, lid 1, onder b) tot e) alleen toe dat gegevens dienoodzakelijk zijn voor het doel van de doorgifte worden doorgegeven op basis van de afzonderlijke afwijkingen; voor aanvullende gegevens moet op een andere manier worden aangetoond dat sprake is van passende waarborgen. – Groep 29, Tweede advies 4/2009 over de Internationale Standaard van het Wereldantidopingagentschap (WADA) voor de bescherming van de persoonlijke levenssfeer en persoonsgegevens, aanverwante bepalingen van de WADAcode en andere privacyvraagstukken in de context van de bestrijding van doping in de sport door het WADA en (nationale) antidopingorganisaties (6 februari 2009, WP 162): in artikel 26, lid 1, onder b), wordt bepaald dat doorgifte van persoonsgegevens naar een derde land mag plaatsvinden mits de doorgifte noodzakelijk is voor de uitvoering van een overeenkomst tussen de betrokkene en de voor de verwerking verantwoordelijke of voor de uitvoering van op verzoek van de betrokkene genomen precontractuele maatregelen. Wanneer er bijvoorbeeld sprake is van een (arbeids)overeenkomst tussen een sporter die op internationaal niveau speelt en een antidopingorganisatie die training en competitie organiseert, kan dit een grond opleveren voor de doorgifte van de persoonsgegevens die noodzakelijk zijn om internationaal te kunnen trainen en aan wedstrijden deel te nemen, naar specifieke betrokken instanties in derde landen. Deze uitzonderingsbepaling moet evenwel strikt worden geïnterpreteerd. Er mogen niet meer persoonsgegevens worden uitgewisseld dan strikt noodzakelijk is voor het doel van de overeenkomst, en de gegevens mogen niet worden verstrekt aan anderen dan de direct betrokken partijen. De "noodzakelijkheidstoets" vereist een
178
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 22)
nauw en wezenlijk verband tussen de betrokkene en het doel van de overeenkomst. In het gegeven voorbeeld kunnen om deze redenen de doorgifte aan het WADA (dat als coördinatiecentrum fungeert) en het gebruik van ADAMS voor de doorgifte van gegevens naar andere partijen (hoewel dat de doorgifte van de gegevens zou vergemakkelijken) niet als noodzakelijk worden beschouwd voor de naleving van de overeenkomst tussen de sporter en de antidopingorganisatie. Ook het gebruik van ADAMS, door een antidopingorganisatie die onder het EU-recht valt, voor het verwerken van verblijfsgegevens in haar land van vestiging zou niet onder deze uitzonderingsbepaling vallen. UITVOERING VAN EEN CONTRACT - DERDEN
§ 1, lid 1, 3°, Uitvoering van een contract - derden 1. INTERNATIONALE WETGEVING – Artikel 26 § 1 c) van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): de Lid-Staten bepalen dat een doorgifte van persoonsgegevens naar een derde land dat geen waarborgen voor een passend beschermingsniveau biedt, mag plaatsvinden mits de doorgifte noodzakelijk is voor de sluiting of de uitvoering van een in het belang van de betrokkene tussen de voor de verwerking verantwoordelijke en een derde gesloten of te sluiten overeenkomst.
2. ADVIEZEN VAN DE GROEP 29 – Groep 29, Werkdocument: Doorgifte van persoonsgegevens naar derde landen: toepassing van de artikelen 25 en 26 van de EU-Richtlijn betreffende gegevensbescherming (24 juli 1998 - WP 12): dit document benadert op algemene wijze de problematiek van gegevensoverdrachten naar derde landen en het bevat onder meer een onderzoek naar de afwijkingen op de vereiste van een passende bescherming zoals omschreven in artikel 26, §1. De draagwijdte van de 2de en 3de afwijking (zie infra) lijkt ruim opgezet te zijn maar net zoals voor de 4de en 5de afwijking (zie infra) wordt de toepassing ervan beperkt door het "noodzakelijkheidscriterium": alle doorgegeven gegevens moeten noodzakelijk zijn voor de uitvoering van de overeenkomst. Indien aanvullende niet-essentiële gegevens worden doorgegeven of indien de doorgifte niet voor de uitvoering van de overeenkomst bedoeld is maar een ander doel heeft (bijvoorbeeld follow-up van marketing) geldt de afwijking niet meer. Precontractuele situaties hebben alleen betrekking op situaties die door toedoen van de betrokkene zijn ontstaan (zoals een verzoek om informatie over een bepaalde dienst) en niet diegene die voortvloeien uit marketingdoeleinden van de verantwoordelijke voor de gegevensverwerking. Zij zullen waarschijnlijk vaak toepasbaar zijn voor bijvoorbeeld de doorgiften die noodzakelijk zijn voor vliegticketreservaties of voor doorgiften van persoonsgegevens die noodzakelijk zijn voor het verrichten van een internationale betaling via de bank of met een kredietkaart. De afwijking voor overeenkomsten "in het belang van de betrokkene" heeft namelijk specifiek betrekking op de doorgifte van gegevens over de ontvangers van betalingen via een bank die, hoewel zij betrokkenen zijn, vaak geen partij zijn bij een overeenkomst met de verantwoordelijke voor de verwerking. – Groep 29, Werkdocument over een gemeenschappelijke interpretatie van artikel 26, lid 1, van Richtlijn 95/46/EG van 24 oktober 1995 (WP 114 – 25 november 2005) : de groep wijst erop dat de interpretatie van deze bepaling uiteraard overeen komt met die van de vorige, namelijk dat de doorgifte van gegevens naar een derde land dat geen passende bescherming waarborgt, alleen onder de afwijking van artikel 26, lid 1, onder c) valt indien de doorgifte werkelijk "noodzakelijk is voor de sluiting of de uitvoering van een in het belang van de betrokkene gesloten overeenkomst tussen de verantwoordelijke voor de verwerking en een derde", en beantwoordt aan de "noodzakelijkheidstoets". In dit geval vereist deze toets een nauw en wezenlijk verband tussen de belangen van de betrokkene en het doel van het contract. Sommige voor de verwerking verantwoordelijken hebben wel eens de wens geuit deze afwijking te gebruiken voor de doorgifte van gegevens over hun werknemers naar dienstverleners buiten de EU waaraan zij hun salarisadministratie hebben uitbesteed. Volgens hen zijn deze doorgiften niet alleen noodzakelijk voor de uitvoering van hun uitbestedingsovereenkomst maar ook in het belang van de betrokkene, omdat het beheer van het salaris van de betrokkene het doel is van de doorgifte. In dit geval is de groep echter van mening dat geen nauw en wezenlijk verband is aangetoond tussen het belang van de betrokkene en het doel van de overeenkomst en dat de afwijking niet kan worden toegepast. Ook zouden sommige internationale concerns graag gebruikmaken van deze uitzondering voor het beheer van optieregelingen voor bepaalde personeelsleden. Hierbij wordt vaak een beroep gedaan op in derde landen gevestigde financiële dienstverleners die zijn gespecialiseerd in het beheer van dergelijke regelingen. De concerns zijn van mening dat dergelijke doorgiften aan de dienstverlener kunnen worden verricht met het oog op de uitvoering van de overeenkomst tussen de dienstverlener en de voor de verwerking verantwoordelijke, in het belang van de begunstigde van de regeling. Indien een voor de verwerking verantwoordelijke zich voor dergelijke regelingen wil baseren op artikel 26, lid 1, onder c), moet hij volgens de groep, die twijfels heeft over de geldigheid van deze interpretatie, een gegevensbeschermingsinstantie ervan overtuigen dat de gegevens noodzakelijk zijn voor de uitvoering van de overeenkomst in de zin van de hierboven gegeven strikte interpretatie van de term "noodzakelijk". De groep wenst duidelijk te maken dat deze interpretatie geenszins een negatief oordeel inhoudt over de keuze van voor de verwerking verantwoordelijken om een beroep te doen op gegevensverwerkers in derde landen. De groep wil er alleen op wijzen dat in dergelijke gevallen beter gebruik kan worden gemaakt van een in artikel 26, lid 2, bedoeld instrument (in de praktijk een contract).
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
179
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 22)
ZWAARWEGEND ALGEMEEN BELANG VERDEDIGING IN RECHTE
§ 1, lid 1, 4°, Zwaarwegend algemeen belang, verdediging in rechte 1. INTERNATIONALE WETGEVING – Artikel 26 § 1 d) van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): de Lid-Staten bepalen dat een doorgifte van persoonsgegevens naar een derde land dat geen waarborgen voor een passend beschermingsniveau biedt, mag plaatsvinden mits de doorgifte noodzakelijk of wettelijk verplicht is vanwege een zwaarwegend algemeen belang of voor de vaststelling, de uitoefening of de verdediging van een recht in rechte. – Overweging 58 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): overwegende dat onder bepaalde omstandigheden, wanneer de betrokkene daartoe toestemming heeft gegeven, afwijkingen van dit verbod moeten kunnen worden toegestaan, wanneer de doorgifte nodig is in het kader van een overeenkomst of van een rechtsvordering, wanneer de bescherming van een zwaarwegend algemeen belang zulks vereist, bij voorbeeld in het geval van internationale gegevensuitwisselingen tussen belasting of douanediensten of tussen voor de sociale zekerheid bevoegde diensten (...).
2. ADVIEZEN VAN DE GROEP 29 – Groep 29, Werkdocument: Doorgifte van persoonsgegevens naar derde landen: toepassing van de artikelen 25 en 26 van de EU-Richtlijn betreffende gegevensbescherming (24 juli 1998 - WP 12): dit document benadert op algemene wijze de problematiek van gegevensoverdrachten naar derde landen en het bevat onder meer een onderzoek naar de afwijkingen op de vereiste van een passende bescherming zoals omschreven in artikel 26, §1. Het eerst luik van de 4de afwijking slaat op bepaalde beperkte doorgiften tussen overheidsdiensten, hoewel deze bepaling niet te ruim mag worden geïnterpreteerd. Een eenvoudig algemeen belang voor het rechtvaardigen van een doorgifte is niet voldoende; het moet gaan om een zwaarwegend algemeen belang. Volgens overweging 58 vallen gegevensdoorgiften tussen belasting- of douanediensten of tussen voor de sociale zekerheid bevoegde diensten in het algemeen onder deze afwijking. Doorgiften tussen toezichthoudende autoriteiten in de financiële dienstensector kunnen ook onder deze afwijking vallen. Het tweede aspect heeft betrekking op doorgiften die plaatsvinden in het kader van internationale geschillen of rechtsgedingen, met name doorgiften die noodzakelijk zijn voor de vaststelling, de uitoefening of de verdediging van een recht in rechte. – Groep 29, Werkdocument over een gemeenschappelijke interpretatie van artikel 26, lid 1, van Richtlijn 95/46/ EG van 24 oktober 1995 (WP 114 – 25 november 2005) : de groep vermeldt dat de uitzonderingen van artikel 26, lid 1, onder d) net zo strikt moeten worden geïnterpreteerd als die van de vorige leden. De groep heeft al een restrictieve interpretatie gegeven van het begrip "zwaarwegend algemeen belang" in haar PNR-advies van 24 oktober 2003. Zij heeft het gebruik van deze uitzondering voor de doorgifte van gegevens over vliegtuigpassagiers aan de Amerikaanse autoriteiten vanwege een zwaarwegend algemeen belang om twee redenen verworpen: ten eerste was de noodzaak van de doorgifte niet aangetoond en ten tweede leek het onaanvaardbaar dat een eenzijdige beslissing van een derde land op grond van een zwaarwegend algemeen belang van dat land, zou moeten leiden tot regelmatige massale doorgifte van gegevens die onder de bescherming van de richtlijn vallen. Op dit punt hadden de opstellers van de richtlijn uiteraard alleen zwaarwegende openbare belangen voor ogen in de zin van de nationale wetgeving van toepassing op in de EU gevestigde voor de verwerking verantwoordelijken. Elke andere interpretatie zou het voor een buitenlandse instantie gemakkelijk maken de in richtlijn 95/46 gestelde voorwaarde van passende bescherming in het ontvangende land, te omzeilen. Anderzijds zijn volgens overweging 58 van richtlijn 95/46 soms internationale gegevensuitwisselingen noodzakelijk "tussen belasting of douanediensten" of "tussen voor de sociale zekerheid bevoegde diensten". Deze specificatie, die kennelijk alleen betrekking heeft op onderzoek naar bepaalde gevallen, maakt duidelijk dat deze uitzondering alleen kan worden gebruikt indien de autoriteiten van een EU-lidstaat zelf belang hebben bij de doorgifte, en niet alleen een of meer autoriteiten van een derde land. De groep benadrukt dat ook het begrip "vaststelling, uitoefening of verdediging van een recht in rechte" strikt moet worden geïnterpreteerd. Stel dat het in een derde land gevestigde moederbedrijf van een multinational voor de rechter wordt gedaagd door een werknemer van het concern die op dat moment werkzaam is in een van de Europese dochterbedrijven. De uitzondering van artikel 26, lid 1, onder d) lijkt de onderneming de mogelijkheid te bieden de Europese dochteronderneming te verzoeken bepaalde gegevens over de werknemer door te geven indien deze gegevens noodzakelijk zijn voor de verdediging. Wat zeker niet kan, is dat deze uitzondering wordt gebruikt voor de doorgifte van alle werknemersdossiers naar het moederbedrijf op grond van de mogelijkheid dat het ooit tot een rechtszaak kan komen. Bovendien kan deze uitzondering alleen worden gebruikt als de regels voor strafrechtelijke of civiele procedures die voor dit soort internationale gevallen gelden, worden nageleefd, met name die welke voortvloeien uit de verdragen van Den Haag. – Groep 29, Advies 10/2007 over de 8e Richtlijn betreffende de wettelijke controles (13 november 2007, WP 143): de Groep wijst er echter op dat artikel 26, lid 1, onder d) deel uitmaakt van de afwijkingen waarin die richtlijn voorziet voor de regeling van de doorgifte van persoonsgegevens naar derde landen; dienovereenkom-
180
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 22)
stig moet dit worden beperkt tot uitzonderlijke gevallen, als er geen andere mogelijkheden meer openstaan, en restrictief worden geïnterpreteerd. Artikel 26, lid 1, onder d), en - dienovereenkomstig - de nationale bepalingen ter omzetting hiervan mogen slechts worden toegepast als aan de volgende eerste vereisten is voldaan: i. Er moet sprake zijn van een "zwaarwegend" algemeen belang bij het verstrekken van persoonsgegevens in controle- of andere documenten. In dit verband heeft de Groep reeds benadrukt dat het "zwaarwegend" algemeen belang ofwel in de Lid-Staat in kwestie, ofwel in de Europese Gemeenschap gelegen moet zijn. Uitsluitend belangrijke en zwaarwegende algemene belangen die als zodanig zijn aangemerkt in de nationale wetgeving die van toepassing is op in de EU gevestigde, voor de verwerking van gegevens verantwoordelijken, zijn steekhoudend in dit verband. Elke andere interpretatie zou het voor een buitenlandse instantie gemakkelijk maken de in Richtlijn 95/46/EG gestelde voorwaarde van passende bescherming in het ontvangende land, te omzeilen. Het is aan de nationale toezichthoudende instantie die bevoegd is voor de controle en die de overdracht uitvoert, om te beslissen of er sprake is van een zwaarwegend algemeen belang, hetgeen van geval tot geval moet worden bekeken tegen de achtergrond van de toepasselijke nationale wetgeving. Ook moet waar nodig rekening worden gehouden met een eventueel advies van de nationale gegevensbeschermingsautoriteit. In geval van vervlochten markten kan de voorwaarde van het "zwaarwegend" algemeen belang ook geacht worden te zijn vervuld indien er overeenkomsten zijn tussen de controlerende instanties (d.w.z. de Europese en die van derde landen) op basis van de nationale wetgeving. ii. Bovendien mogen alleen persoonsgegevens die noodzakelijk zijn met het oog op bovenbedoeld zwaarwegend algemeen belang, worden doorgegeven. Ook dit is ter beoordeling van de instantie die opdracht geeft tot de overdracht van de controle- of andere documenten, waarbij rekening wordt gehouden met de verzoeken van de autoriteit van het derde land. Dit zou erop neer moeten komen dat de doorgifte zich beperkt tot de persoonsgegevens die strikt noodzakelijk en relevant zijn voor het ad-hoconderzoek. Zo kan het bijvoorbeeld zijn dat persoonsgegevens over personeelsleden niet integraal mogen worden doorgegeven. Er moet met name zorgvuldig worden omgesprongen met gevoelige en justitiële gegevens. Hieruit vloeit voort dat de ontvangende instantie van het derde land overgedragen persoonsgegevens niet mag gebruiken voor meerdere doeleinden, terwijl het verder doorgeven hiervan voor andere doelen evenmin is toegestaan. dat artikel 26, lid 1, onder d), een afwijking vormt van de algemene regeling van de richtlijn Gegevensbescherming voor grensoverschrijdende gegevensstromen; daarom dient deze afwijking restrictief te worden geïnterpreteerd, waarbij erop moet worden toegezien dat de overdracht een zwaarwegend algemeen belang dient (dat in de Lid-Staat zelf of in de EU is gelegen) en waarbij zeker moet worden gesteld dat uitsluitend relevante en noodzakelijke persoonsgegevens worden overgedragen met het oog op dat zwaarwegend algemeen belang. – Groep 29, Working Document 1/2009 on pre-trial discovery for cross border civil litigation (11 februari 2009, WP 158): where the transfer of personal data for litigation purposes is likely to be a single transfer of all relevant information, then there would be a possible ground for processing under Article 26(1)(d) of the Directive where it is necessary or legally required for the establishment, exercise or defence of legal claims. Where a significant amount of data is to be transferred the use of Binding Corporate Rules or Safe Harbor should be considered. However, the Working Party reiterates its earlier opinion that Art. 26 (1)(d) cannot be used to justify the transfer of all employee files to a group's parent company on the grounds of the possibility that legal proceedings may be brought one day in US courts. – Groep 29, Tweede advies 4/2009 over de Internationale Standaard van het Wereldantidopingagentschap (WADA) voor de bescherming van de persoonlijke levenssfeer en persoonsgegevens, aanverwante bepalingen van de WADA-code en andere privacyvraagstukken in de context van de bestrijding van doping in de sport door het WADA en (nationale) antidopingorganisaties (6 februari 2009, WP 162): het zou zeer moeilijk zijn een "zwaarwegend algemeen belang" in te roepen als grond voor de toepassing van de afwijking genoemd in artikel 26, lid 1, onder d). Het algemeen belang is op zich niet voldoende: het moet om een "zwaarwegend" algemeen belang gaan. Dit zwaarwegende algemene belang moet als zodanig zijn erkend door de nationale wetgeving die van toepassing is op in de EU gevestigde verantwoordelijken voor de verwerking. VITAAL BELANG
§ 1, lid 1, 5° Vitaal belang 1. INTERNATIONALE WETGEVING – Artikel 26 § 1 e) van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): de Lid-Staten bepalen dat een doorgifte van persoonsgegevens naar een derde land dat geen waarborgen voor een passend beschermingsniveau biedt, mag plaatsvinden mits de doorgifte noodzakelijk is ter vrijwaring van het vitale belang van de betrokkene. – Overweging 31 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): overwegende dat de verwerking van persoonsgegevens ook als geoorloofd moet worden beschouwd wanneer zij wordt uitgevoerd ter bescherming van een belang dat voor het leven van de betrokkene essentieel is;
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
181
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 22)
2. ADVIEZEN VAN DE GROEP 29 – Groep 29, Werkdocument: Doorgifte van persoonsgegevens naar derde landen: toepassing van de artikelen 25 en 26 van de EU-Richtlijn betreffende gegevensbescherming (24 juli 1998 - WP 12): dit document benadert op algemene wijze de problematiek van gegevensoverdrachten naar derde landen en het bevat onder meer een onderzoek naar de afwijkingen op de vereiste van een passende bescherming zoals omschreven in artikel 26, §1. Een duidelijk voorbeeld waarbij de 5de afwijking wordt toegepast (vitaal belang van de betrokkene) is de dringende doorgifte van medische bestanden aan een derde land waar een toerist die tevoren in de EU een medische behandeling heeft ondergaan, het slachtoffer is geworden van een ongeval of ernstig ziek is geworden. Er moet echter rekening mee worden gehouden dat overweging 31 van de Richtlijn 'vitaal belang' vrij restrictief wordt opgevat als een "belang dat voor het leven van de betrokkene essentieel is". Dit sluit normaal gesproken bijvoorbeeld financiële, eigendoms- of familiebelangen uit. – Groep 29, Werkdocument over een gemeenschappelijke interpretatie van artikel 26, lid 1, van Richtlijn 95/46/ EG van 24 oktober 1995 (WP 114 – 25 november 2005): de groep vermeldt dat de uitzondering van artikel 26, lid 1, onder e) vanzelfsprekend van toepassing is bij de doorgifte van gegevens in een medische noodsituatie, wanneer de gegevens noodzakelijk worden geacht voor het verlenen van de vereiste medische zorg. Het moet bijvoorbeeld wettelijk mogelijk zijn gegevens door te geven (inclusief bepaalde persoonsgegevens) als de betrokkene buiten bewustzijn is en dringend medische hulp nodig heeft terwijl alleen zijn eigen, in de EU gevestigde arts, deze gegevens kan verstrekken. Het zou absurd zijn in dergelijke gevallen nog andere voorwaarden te stellen voor de wettige doorgifte van gegevens. De doorgifte moet verband houden met het persoonlijk belang van de betrokkene en, als het om gezondheidsgegevens gaat, noodzakelijk zijn voor een essentiële diagnose. Deze uitzondering kan dan ook niet worden gebruikt voor de doorgifte van medische persoonsgegevens naar een buiten de EU gevestigde behandelaar die de gegevens niet zal gebruiken om het specifieke geval van de betrokkene te behandelen, maar bijvoorbeeld om algemeen medisch onderzoek te verrichten dat pas in de toekomst resultaat zal opleveren. In dergelijke gevallen moet worden beantwoord aan de vereisten van artikel 26, lid 2 van de richtlijn. – Groep 29, Advies 4/2006 inzake de Notice of proposed rule making van het Department of Health and Human Services van de Verenigde Staten inzake de bestrijding van overdraagbare ziekten en het verzamelen van passagiersgegevens van 20 november 2005 (Control of Communicable Disease Proposed 42 CFR Parts 70 and 71) (14 juni 2006 - WP 121): de Groep boog zich ook over een nieuw Amerikaans wetsvoorstel betreffende het verzamelen van passagiersinformatie door Europese lucht- en scheepvaartmaatschappijen voor het bestrijden van overdraagbare ziekten. Dit Amerikaans wetsontwerp zou de Europese lucht- en scheepvaartmaatschappijen de algemene verplichting opleggen om voor een periode van 60 dagen een bepaald aantal gegevens - niet bij de PNR inbegrepen - te verzamelen en op te slaan over alle passagiers die per vliegtuig naar de VS reizen, zoals de nummers van contactpersonen in geval van nood, de e-mailadressen, de reisgenoten en inlichtingen over de terugvlucht om hen later te kunnen traceren. Over PNR zie infra de rubriek "Internationale Akkoorden". De Groep artikel 29 is van oordeel dat de bestrijding van overdraagbare ziekten een waardevol streven is, dat door alle landen wordt gedeeld en daarom op de best mogelijke wijze moet worden ondersteund. Anderzijds is de Groep artikel 29 van mening dat, wanneer maatregelen ter bestrijding van overdraagbare ziekten worden genomen, het fundamentele recht op bescherming van persoonsgegevens moet worden gerespecteerd. Na het onderzoek van het Amerikaans wetsvoorstel en in het licht van de Richtlijn 95/46/EG, stelt de Groep vast dat aan de voorgenomen algemene verplichting die zou worden opgelegd aan de transportmaatschappijen met zetel in de Europese Unie om bij hun passagiers en derden informatie in te winnen en op te slaan gedurende 60 dagen - zonder dat er een precieze en specifieke dreiging heerst voor de gezondheid - het noodzakelijk karakter ontbreekt en overmatig is. Deze verplichting is tegengesteld aan het minimaliseringbeginsel (zie WP 121). OPENBAAR REGISTER
§ 1, lid 1, 6°, Openbaar register 1. INTERNATIONALE WETGEVING – Artikel 26 § 1 f) van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): de Lid-Staten bepalen dat een doorgifte van persoonsgegevens naar een derde land dat geen waarborgen voor een passend beschermingsniveau biedt, mag plaatsvinden mits de doorgifte geschiedt vanuit een openbaar register dat krachtens wettelijke of bestuursrechtelijke bepalingen bedoeld is om het publiek voor te lichten en dat door een ieder dan wel door iedere persoon die zich op een gerechtvaardigd belang kan beroepen, kan worden geraadpleegd, voor zover in het betrokken geval is voldaan aan de wettelijke voorwaarden voor raadpleging. – Overweging 58 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): overwegende dat onder bepaalde omstandigheden, wanneer de betrokkene daartoe toestemming heeft gegeven, afwijkingen van dit verbod moeten kunnen worden toegestaan, wanneer de doorgifte nodig is in het kader van een overeenkomst of van een rechtsvordering, wanneer de bescherming van een zwaarwegend algemeen belang zulks vereist, bij voorbeeld in het geval van internationale gegevensuitwisselingen tussen belasting of douanediensten of tussen voor de sociale zekerheid bevoegde diensten (...).
182
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 22)
2. ADVIEZEN VAN DE GROEP 29 – Groep 29, Werkdocument: Doorgifte van persoonsgegevens naar derde landen: toepassing van de artikelen 25 en 26 van de EU-Richtlijn betreffende gegevensbescherming (24 juli 1998 - WP 12): dit document benadert op algemene wijze de problematiek van gegevensoverdrachten naar derde landen en het bevat onder meer een onderzoek naar de afwijkingen op de vereiste van een passende bescherming zoals omschreven in artikel 26, §1. De zesde afwijking houdt in dat wanneer een openbaar register in een Lid-Staat kan geraadpleegd worden door het publiek of door personen die een algemeen belang kunnen aantonen, de persoon die het recht heeft het register te raadplegen de gevraagde informatie kan verkrijgen zelfs al bevindt hij zich in werkelijkheid in een derde land en dat de raadpleging in feite een doorgifte van gegevens met zich meebrengt. Overweging 58 verduidelijkt dat deze afwijking niet als algemene afwijking voor de doorgifte van gegevens uit openbare registers worden beschouwd. Het is bijvoorbeeld duidelijk dat massale doorgiften van gegevens uit openbare registers voor commerciële doeleinden of het aanwenden van openbaar beschikbare gegevens voor het profileren van bepaalde personen niet voor deze afwijking in aanmerking komen. – Groep 29, Werkdocument over een gemeenschappelijke interpretatie van artikel 26, lid 1, van Richtlijn 95/46/EG van 24 oktober 1995 (WP 114 – 25 november 2005) : de groep vermeldt dat de uitzondering van artikel 26, lid 1, onder f), betrekking heeft op doorgiften "vanuit een openbaar register dat krachtens wettelijke of bestuursrechtelijke bepalingen bedoeld is om het publiek voor te lichten en dat door een ieder dan wel door iedere persoon die zich op een gerechtvaardigd belang kan beroepen, kan worden geraadpleegd, voor zover in het betrokken geval is voldaan aan de wettelijke voorwaarden voor raadpleging." Deze bepaling van de richtlijn is een logisch gevolg van het openbare karakter van de bedoelde registers, die vrij kunnen worden geraadpleegd. Als een register door iedereen in het land kan worden geraadpleegd of door iedereen die zich op een gerechtvaardigd belang kan beroepen, lijkt het logisch dat het ook kan worden geraadpleegd door iemand in een derde land. Deze vrijheid om gegevens door te geven kan echter niet absoluut zijn. Overweging 58 van de richtlijn stelt dat "bij een dergelijke doorgifte niet de totaliteit van de in dit register opgenomen gegevens of categorieën gegevens zou mogen worden verstrekt". Het zou niet stroken met de geest van artikel 26, lid 1, onder f), als deze rechtsgrond voor doorgifte zou worden gebruikt om de gehele inhoud van deze registers door te geven, met het risico dat het gebruik ervan door instanties of organisaties in derde landen er uiteindelijk toe zou kunnen leiden dat de registers worden gebruikt voor andere doeleinden dan waarvoor ze oorspronkelijk waren aangelegd. Overweging 58 stelt ook dat "wanneer een register bedoeld is voor raadpleging door personen met een gerechtvaardigd belang, de doorgifte slechts zou moeten kunnen plaatsvinden op verzoek van deze personen of wanneer de gegevens voor hen zijn bestemd". Deze uitzondering zou bijvoorbeeld, met inachtneming van het nationale recht, kunnen worden gebruikt door iemand die in een EU-lidstaat is geboren maar in een derde land verblijft, om uittreksels uit de burgerlijke stand van zijn geboorteplaats op te vragen als hij zich permanent wil vestigen in het land waar hij verblijft. In elk geval moet aan de nationale wettelijke en bestuursrechtelijke bepalingen van de EU-lidstaat waar het register is ingesteld, worden getoetst of deze uitzondering in bepaalde gevallen kan worden toegepast. Daarbij moet met name worden gekeken naar de definitie in deze wettelijke en bestuursrechtelijke bepalingen van de begrippen "bedoeld om het publiek voor te lichten" en "gerechtvaardigd belang", op basis waarvan de uitzondering zou kunnen worden toegepast. VOLDOENDE WAARBORGEN CONTRACTUELE BEPALINGEN BINDING CORPORATE RULES
§ 1, lid 2, Voldoende waarborgen, contractuele bepalingen, Binding Corporate Rules Beginsel INTERNATIONALE WETGEVING – Artikel 2 van het Additional Protocol to the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data regarding supervisory authorities and transborder data flows (2001): each party may provide for the transfer of personal data to a recipient which is not subject to the jurisdiction of a Party and does not ensure an adequate level of protection, provided that the person in charge of the transfer supplies sufficient safeguards. These safeguards must be found adequate by the competent supervisory authorities according to domestic law. Such safeguards may in particular be the result of contractual clauses binding the controller who makes the transfer and the recipient who is not subject to the jurisdiction of a Party. – Artikel 26 §§ 2, 3 en 4 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): § 2. Onverminderd het bepaalde in lid 1 kan een Lid-Staat toestemming geven voor een doorgifte of een categorie doorgiften van persoonsgegevens naar een derde land dat geen waarborgen voor een passend beschermingsniveau in de zin van artikel 25, lid 2, biedt, indien de voor de verwerking verantwoordelijke voldoende waarborgen biedt ten aanzien van de bescherming van de persoonlijke levenssfeer, de fundamentele rechten en vrijheden van personen, alsmede ten aanzien van de uitoefening van de daaraan verbonden rechten; deze waarborgen kunnen met name voortvloeien uit passende contractuele bepalingen.
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
183
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 22)
§ 3. De Lid-Staat stelt de Commissie en de overige Lid-Staten in kennis van de toestemmingen die hij op grond van lid 2 verleent. Indien een andere Lid-Staat of de Commissie met het oog op de bescherming van de persoonlijke levenssfeer en de fundamentele rechten en vrijheden van personen een naar behoren gemotiveerd verzet aantekent, stelt de Commissie passende maatregelen vast volgens de procedure van artikel 31, lid 2. De Lid-Staten nemen de nodige maatregelen om zich naar het besluit van de Commissie te voegen. § 4. Wanneer de Commissie volgens de in artikel 31, lid 2, bedoelde procedure besluit dat bepaalde modelcontractbepalingen voldoende waarborgen bieden in de zin van lid 2, nemen de Lid-Staten de nodige maatregelen om zich naar het besluit van de Commissie te voegen. – International Standards on the Protection of Personal Data and Privacy (2009) (The Madrid Resolution): resolutie goedgekeurd op 5 november 2009 door de Internationale Conferentie van de commissarissen voor de bescherming van gegevens en de privacy. Principe nr.15: International Tranfers: (…) 2. It will be possible to carry out international transfers of personal data to States that do not afford the level of protection provided for in this document where those who expect to transmit such data guarantee that the recipient will afford such level of protection; such guarantee may for example result from appropriate contractual clauses. In particular, where the transfer is carried out within corporations or multinational groups, such guarantees may be contained in internal privacy rules, compliance with which is mandatory. (…) 4. Applicable national legislation may confer powers on the supervisory authorities referred to in section 23 to authorize some or all of the international transfers falling within their jurisdiction, before they are carried out. In any case, those who expect to carry out an international transfer of personal data should be capable of demonstrating that the transfer complies with the guarantees provided for in this Document and in particular where required by the supervisory authorities pursuant to the powers laid down in paragraph 23.2.
Contractuele bepalingen: model goedgekeurd door de Europese Gemeenschap 1. INTERNATIONALE WETGEVING – Beschikking 2001/497/EG van de Commissie van 15 juni 2001 betreffende modelcontractbepalingen voor de doorgifte van persoonsgegevens naar derde landen krachtens Richtlijn 95/46/EG. – Beschikking 2002/16/EG van de Commissie van 27 december 2001 betreffende modelcontractbepalingen voor de doorgifte van persoonsgegevens naar in derde landen gevestigde verwerkers krachtens Richtlijn 95/46/EG. – Beschikking 2004/915/EG van de Commissie van 27 december 2004 tot wijziging van beschikking 2001/ 497/EG betreffende de invoering van alternatieve modelcontractbepalingen voor de doorgifte van persoonsgegevens naar derde landen. – Besluit 2010/78 van de Commissie van 5 februari 2010 betreffende modelcontractbepalingen voor de doorgifte van persoonsgegevens aan in derde landen gevestigde verwerkers krachtens Richtlijn 95/46/EG van het Europees Parlement en de Raad, J.O., L 39 van 12 februari 2010: op 5 februari 2010, keurde de Europese Commissie een besluit goed waarin alle standaardmodellen voor bindende ondernemingsregels voor de doorgifte van persoonsgegevens naar gegevensverwerkers die gevestigd zijn in een derde land die geen passend beschermingsniveau bieden (bindende ondernemingsregels "verantwoordelijke voor de verwerking naar gegevensverwerker"). Dit besluit 2010/87/ EU regelt de doorgifte van gegevens tussen verantwoordelijken voor de verwerking van gegevens, die gevestigd zijn in de EER en gegevensverwerkers gevestigd buiten de EER en somt de voorwaarden waaraan een verdere verwerking moet voldoen bij een doorgifte tussen deze gegevensverwerkers en de gegevensverwerkers gevestigd buiten de EER.
2. ADVIEZEN VAN DE GROEP 29 – Groep 29, Advies 1/2001 over de ontwerp-beschikking van de Commissie betreffende modelcontractbepalingen voor de doorgifte van persoonsgegevens naar derde landen krachtens artikel 26, lid 4, van Richtlijn 95/46/ EG (16 januari 2001 - WP 38): - De modelcontractbepalingen richten zich op de doorgifte van gegevens van verantwoordelijke voor de verwerking naar verantwoordelijke voor de verwerking (opm.: voor een doorgifte van een verantwoordelijke voor de verwerking naar een verwerker, zie infra). - Rechtmatigheid van de doorgifte op grond van het nationaal recht: elke doorgifte vanuit de Unie naar een derde land op basis van de modelcontractbepalingen is op zichzelf een verwerking die valt onder de nationale wetgeving tot omzetting van de Richtlijn in de Lid-Staten. De rechtmatigheid van de verwerking blijft onderworpen aan de nationale wetgeving. - De vrijwaringsclausule: beoogt het geval wanneer de wetgeving waaraan de gegevensimporteur is onderworpen prevaleert op zijn contractuele verplichtingen. De gegevensimporteur mag alzo handelen en zal niet aansprakelijk worden gesteld ten opzichte van de betrokkenen wanneer er hem noodzakelijke verplichtingen worden opgelegd die in artikel 13 worden omschreven. Wanneer de aan de gegevensimporteur opgelegde verplichtingen verdergaan dan de in artikel 13 van de Richtlijn opgesomde democratische grondslagen zou de daaruit voortvloeiende schending van de persoonlijke levenssfeer niet kunnen worden beschouwd als gerechtvaardigd op grond van de bepalingen van de Richtlijn, en daarom moet de doorgifte in de eerste plaats worden
184
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 22)
vermeden of, als ze per ongeluk toch heeft plaatsgevonden, moet ze ten minste leiden tot de hoofdelijke aansprakelijkheid van de gegevensexporteur en de gegevensimporteur jegens de betrokkenen voor eventuele schade die het gevolg is van de niet-naleving van de contractuele verplichtingen. - Het beperken van de doorgifte voor een specifiek doel, beperking van verdere doorgiften en het recht van toegang, rectificatie, uitwissing en verzet zijn 3 fundamentele en onontbeerlijke voorwaarden om een minimum beschermingsniveau te waarborgen; - De hoofdelijke aansprakelijkheid van de gegevensexporteur en de gegevensimporteur tegenover de betrokkene voor eventuele schade die het gevolg is van de schending van de modelcontractbepalingen, is onontbeerlijk om de ernstige moeilijkheden het hoofd te bieden die de contractuele oplossing doet rijzen voor de handhaving van de rechten van het individu en het verkrijgen van een passende schadevergoeding. - De clausule betreffende de rechtsmacht (zowel in het land van de gegevensuitvoerder als het land waar zijn woonplaats zich bevindt) en de rol van de gegevensbeschermingsautoriteiten als mechanismen voor geschillenbeslechting. – Groep 29, Advies 7/2001 over de ontwerp-beschikking van de Commissie (versie van 31 augustus 2001) betreffende modelcontractbepalingen voor de doorgifte van persoonsgegevens naar in derde landen gevestigde verwerkers krachtens artikel 26, lid 4, van Richtlijn 95/46 (13 september 2001 - WP 47): het document maakt een duidelijk onderscheid tussen enerzijds de bepalingen van een contract in de zin van artikel 17 van de Richtlijn en anderzijds de modelcontractbepalingen die het onderwerp van dit advies zijn. Op het eerste gezicht lijken beide soorten gegevensdoorgiften inderdaad sterk op elkaar, aangezien de contractpartijen (de verantwoordelijke voor de verwerking en verwerker) en het doel van de doorgifte (de verwerking van persoonsgegevens) gelijk zijn. Overeenkomstig de Richtlijn zijn de aard van de doorgifte (intercommunautaire doorgifte en internationale doorgifte) evenals de bepalingen die de inhoud van het contract vaststellen (artikel 17 en artikel 26 paragraaf 4). Het is echter geheel anders wanneer de verwerker gevestigd is buiten de Gemeenschap. De naleving van de op grond van artikel 17 van Richtlijn 95/46/EG vastgestelde nationale voorschriften door de verantwoordelijke voor de verwerking komt niet automatisch overeen met een maatregel van artikel 26, lid 2, van de Richtlijn, dat wil zeggen dat zij niet automatisch voldoende waarborgen biedt waardoor een Lid-Staat toestemming kan geven voor een doorgifte of categorie doorgiften in de zin van artikel 26, lid 2, omdat deze contracten het gebrek aan een passende bescherming in het land van bestemming moeten compenseren, hetgeen niet het oogmerk van artikel 17 van Richtlijn 95/46/EG is. De gegevensimporteur moet de beveiligingsmaatregelen treffen die in de wetgeving van de Lid-Staat van vestiging van de gegevensexporteur zijn vastgesteld. Het document bespreekt ook nog de kwestie van de derde rechthebbenden (waardoor de betrokken personen volop hun rechten kunnen uitoefenen), de informatieverstrekking, de uitzonderlijke aansprakelijkheid van de importeur in specifieke gevallen en de noodzakelijke controle door de autoriteiten voor gegevensbescherming (onderzoek). – Groep 29, Advies 8/2003 over de ontwerp-modelcontractbepalingen ingediend door een groep verenigingen van ondernemingen ("het alternatieve modelcontract") (17 december 2003 - WP 84): in dit document spreekt de Groep zich uit over een ontwerp van modelcontractbepalingen ingediend door de Internationale Kamer van Koophandel. Aangezien de Europese Commissie reeds in 2001 een reeks modelcontractbepalingen heeft goedgekeurd, moeten de nieuw voorgestelde modelcontractbepalingen de volgende beginselen in acht nemen: (I) dat de voorgestelde modelcontractbepalingen een vergelijkbaar beschermingsniveau bieden als de bepalingen die zijn goedgekeurd krachtens Beschikking 497/2001/EG van de Commissie; (II) dat de voorgestelde bepalingen een toegevoegde waarde hebben die uitstijgt boven het enkele feit dat zij gunstiger zijn voor ondernemingen. De Groep herinnert eraan dat de toezichthoudende functie en de klachtenprocedure van de gegevensbeschermingsautoriteiten niet de enige manieren zijn om de handhaving van de regels te waarborgen en derhalve een passend beschermingsniveau te garanderen. Er zijn nog andere mogelijkheden. Toch zou het strijdig zijn met de plicht een passend beschermingsniveau te bieden om niet op gepaste wijze te voorzien in de toezichthoudende functie en de klachtenprocedure die de gegevensbeschermingsautoriteiten van de EU nu bieden, zonder alternatieve procedurele-/handhavingsvereisten op te nemen voor de betrokkenen. Aangaande het beperken van het recht op toegang, laat artikel 12 niet toe dat de verantwoordelijke voor de verwerking de toegang weigert op grond van het argument dat de uitoefening van dit recht zijn belangen ernstig zou schaden. Hoewel artikel 13 van de Richtlijn aan de Lid-Staten de mogelijkheid biedt om wettelijke maatregelen te nemen tot beperking van de in artikel 12 bepaalde rechten en plichten, is het de LidStaat en niet de verantwoordelijke voor de verwerking die beoordeelt of de voorgenomen beperking al dan niet gerechtvaardigd is. De Groep omschrijft ook gedetailleerd de garanties die het aansprakelijkheidssysteem moet bieden dat door de Internationale Kamer van Koophandel werd voorgesteld en dat afwijkt van het systeem van de hoofdelijke aansprakelijkheid in de modelcontractbepalingen die door de Commissie werden goedgekeurd. – Groep 29, Werkdocument: Doorgifte van persoonsgegevens naar derde landen: toepassing van de artikelen 25 en 26 van de EU-Richtlijn betreffende gegevensbescherming (24 juli 1998 - WP 12): dit document geeft een algemene benadering van de problematiek van de doorgifte van gegevens naar derde landen en bevat: — een onderzoek naar het karakter van een passende bescherming zoals bedoeld in artikel 25 van de Richtlijn 95/46/EG: wat wordt begrepen onder "passende bescherming"? Welke beginselen raken aan de inhoud en procedurele- en handhavingmechanismen die nodig zijn om tot een passend beschermingsniveau te komen? Quid voor de landen die het Verdrag 108 van de Raad van Europa ratificeerden? Toepassing van deze aanpak op de sectorale zelfregulering;
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
185
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 22)
— een onderzoek naar de middelen die voldoende waarborgen kunnen bieden met behulp van contractuele oplossingen (artikel 26, § 2) ingeval de bescherming geen passend karakter heeft: dit deel bespreekt onder meer de specifieke vereisten bij een contractuele oplossing door in het bijzonder 3 punten te benadrukken: (1) verzekeren van schadeloosstelling aan de betrokken personen, (2) verlenen van bijstand aan de betrokken personen en (3) verzekeren van een goede naleving van de voorschriften; — een onderzoek naar de afwijkingen van de eisen inzake de passende bescherming zoals omschreven in artikel 26, § 1. – Groep 29, Advies 10/2007 over de 8e Richtlijn betreffende de wettelijke controles (13 november 2007, WP 143): hoewel modelcontractbepalingen doorgaans worden gebruikt voor overdracht van gegevens in de zakelijke sfeer, lijken ze flexibel genoeg om ze ook op dit vlak toe te passen. Het lijdt nauwelijks twijfel dat de toepassing van modelcontractbepalingen niets afdoet aan het feit dat de nationale bevoegde instantie - in het licht van de nationale wetgeving - moet toetsen of wordt voldaan aan de eerste vereisten voor de verstrekking van gegevens aan de bevoegde instantie van de derde. Zoals herhaaldelijk gesteld door de Groep Gegevensbescherming Artikel 29 mogen modelcontractbepalingen in geen geval een middel worden om nationale bepalingen te ontduiken die de doorgifte regelen van gegevens die worden verwerkt door de bevoegde instantie. – Groep 29, Advies 3/2009 over de ontwerpbeschikking van de Commissie inzake modelcontractbepalingen voor de doorgifte van persoonsgegevens naar in derde landen gevestigde verwerkers krachtens Richtlijn 95/46/EG (van de voor de gegevensverwerking verantwoordelijke naar de verwerker), (5 maart 2009, WP 161): de Groep vindt dan ook dat er een juridische oplossing moet komen die internationale subverwerking door in de EU/EER gevestigde verwerkers mogelijk maakt zonder onnodige ongelijkheden in de markt te veroorzaken. De Groep dringt er bij de Commissie op aan snel een speciaal nieuw rechtsinstrument te ontwikkelen voor de uitbesteding van gegevensverwerking door in de EU gevestigde verwerkers aan subverwerkers in een derde land. Dat kan bijvoorbeeld gebeuren door nieuwe modelcontractbepalingen op te stellen waarmee de voor de gegevensverwerking verantwoordelijke en de in de EU/EER gevestigde verwerker een overeenkomst kunnen sluiten voor grensoverschrijdende subverwerking met inachtneming van alle noodzakelijke passende waarborgen voor dergelijke gegevensdoorgifte. De Groep realiseert zich dat voor het opstellen van zo'n instrument tijd nodig is en begrijpt dan ook dat de nationale toezichthoudende autoriteiten, in afwachting van een specifiek communautair rechtsinstrument, een antwoord moeten geven op het vraagstuk van grensoverschrijdende subverwerking van gegevensverwerkingsdiensten door in de EU/EER gevestigde verwerkers. Zonder afbreuk te doen aan de rechten en plichten die de nationale toezichthoudende autoriteiten op grond van hun binnenlandse wetgeving hebben om toestemming te geven als bedoeld in artikel 26, lid 2, van de richtlijn, wil de Groep deze autoriteiten aanmoedigen om de overeenkomstige toepassing van de beginselen en garanties van de modelcontractbepalingen door de voor de verwerking verantwoordelijke en een in de EU/EER gevestigde verwerker als voldoende waarborg voor internationale subverwerkingscontracten te aanvaarden. Dat wil zeggen dat een contract tussen een verantwoordelijke in de EU/EER en een gegevensverwerker in de EU/EER, waarbij de verantwoordelijke toestemming geeft voor de doorgifte van gegevens aan een subverwerker buiten de EU/EER, door de nationale autoriteit voor gegevensbescherming als voldoende bescherming zou moeten worden beschouwd van de rechten van de personen van wie de gegevens worden doorgegeven, indien de verantwoordelijke en de verwerker de beginselen en garanties van de modelcontractbepalingen van Beschikking 2002/16/EG op overeenkomstige wijze toepassen. De Groep wil er ook bij de Commissie op aandringen zorgvuldig te evalueren of het wenselijk is een subverwerker tevens toe te staan contracten inzake verdere subverwerking aan te gaan met andere derden, met name wanneer gevoelige gegevens worden verwerkt of wanneer de verwerking specifieke risico's voor de betrokkenen met zich meebrengt (bijvoorbeeld bij biometrische, genetische, justitiële of financiële gegevens, gegevens over kinderen of gegevensprofielen). Hierdoor kunnen namelijk aanzienlijke ketens van subverwerkers ontstaan, die zich zouden kunnen onttrekken aan de instructies van de voor de verwerking verantwoordelijke. Het is dan bovendien moeilijk bij te houden wie de diverse subverwerkers zijn, en met name om de taken en verantwoordelijkheden van de afzonderlijke entiteiten vast te stellen. In het werkdocument "Voorlopig standpunt inzake het gebruik van contractuele bepalingen in het kader van de overdracht van persoonsgegevens naar derde landen" heeft de Groep aangegeven dat doorgifte van persoonsgegevens naar een andere derde, die niet door het contract is gebonden, in het contract uitdrukkelijk moet worden uitgesloten, tenzij een middel wordt gevonden om de betrokken derde contractueel te verplichten tot het bieden van dezelfde waarborgen inzake gegevensbescherming. Dat is het doel van de ontwerpbeschikking van de Commissie. De Groep is zich terdege bewust van de huidige organisatiestructuur van de wereldwijde markt, waarvan lange ketens van subverwerkers een integrerend onderdeel zijn. Gezien deze context is een stelsel van modelcontractbepalingen dat slechts voorziet in één niveau van subverwerking (doorgifte van gegevensimporteur naar één subverwerker) ongeschikt voor de tegenwoordige bedrijfsscenario's. De Groep is daarom van mening dat een clausule inzake getrapte subverwerking moet worden ingevoerd, mits er passende waarborgen worden ingebouwd voor de bescherming van de betrokkenen tegen de genoemde risico's. Toepassing van de contractbepalingen op alle verschillende niveaus van subverwerking leidt tot een sterkere uniformiteit van de zakelijke processen, aangezien dan voor alle uitbestede verwerkingen die onder de modelcontractbepalingen vallen, dezelfde bepalingen gelden. Bovendien betekent dit een vereenvoudiging ten opzichte
186
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 22)
van de huidige situatie, doordat de rechtszekerheid wordt versterkt. Het is in de huidige situatie namelijk niet duidelijk dat wanneer gegevensimporteurs hun verwerkingsactiviteiten uitbesteden aan subverwerkers, zij de voorafgaande schriftelijke toestemming van de verantwoordelijke moeten hebben en aan de subverwerkers contractuele verplichtingen moeten opleggen die hetzelfde beschermingsniveau bieden als de modelcontractbepalingen. Aansluitend op deze gedachtegang kunnen we aannemen dat een clausule inzake getrapte subverwerking in overeenstemming kan zijn met de wetgeving, indien bij het besluit om de verwerking toe te vertrouwen aan verdere subverwerkers zorgvuldig wordt beoordeeld of de specifieke vereisten en kenmerken van de verwerking dat besluit rechtvaardigen. Die beoordeling zal vooral bijzonder zorgvuldig moeten gebeuren als het aantal subverwerkers bijzonder groot is. Daarbij moet met name ook worden gelet op het doelbindingsprincipe: het doel waarvoor de verwerker de gegevens oorspronkelijk heeft doorgegeven aan de gegevensimporteur mag niet worden gewijzigd door de achtereenvolgende subverwerkingscontracten die kunnen worden gesloten. Gezien het bovenstaande is een subverwerkingssysteem waarbij een aantal subverwerkers achtereenvolgens met een deel van de verwerkingsactiviteiten wordt belast een interessante optie die de Groep ook zou kunnen onderschrijven, mits de voor de verwerking verantwoordelijke voldoet aan bepaalde technische en organisatorische voorwaarden als hierboven omschreven. De gegevensexporteur moet in dit verband ook organisatorische oplossingen bedenken om ervoor te zorgen dat de betrokkenen hun rechten kunnen uitoefenen (recht op toegang, rectificatie, bezwaarmaking, verwijdering enz.). Dit kan bijvoorbeeld betekenen dat er voor de betrokkenen één contactpunt moet komen waar zij hun toegangsrechten kunnen uitoefenen (het hoofdkantoor van de voor de verwerking verantwoordelijke) of dat er duidelijke procedures worden opgezet (waaraan alle verwerkers en subverwerkers zich moeten houden) om de betrokkenen desgewenst toegang tot hun persoonsgegevens te verlenen. De Groep is van mening dat bepaling 11 (inzake subverwerking) van de ontwerpbeschikking van de Commissie de noodzakelijke elementen bevat om voldoende te waarborgen dat in de gehele keten van mogelijke subverwerkingsactiviteiten het bij de modelcontractbepalingen vastgestelde beschermingsniveau in acht wordt genomen. Bepaling 4 (verplichtingen van de gegevensexporteur) en bepaling 5 (verplichtingen van de gegevensimporteur) verplichten de voor de verwerking verantwoordelijke en de verwerker er bovendien toe te waarborgen dat dit beschermingsniveau in de subcontracten op alle niveaus in acht wordt genomen. De Groep stelt in dit verband voor de gegevensimporteur (d.w.z. de verwerker) niet alleen te verplichten een kopie van elk door hem gesloten subcontract te doen toekomen aan de gegevensexporteur, maar ook een lijst bij te houden van alle afzonderlijke verwerkers en subverwerkers die in de "contractketen" voorkomen. Ook is het essentieel dat de gegevensbeschermingsautoriteiten de bevoegdheid hebben audits uit te voeren bij zowel de gegevensimporteurs als de subverwerkers waarmee de gegevensimporteur contracten heeft gesloten, teneinde te waarborgen dat alle subverwerkers die bij de verwerking van de door te geven persoonsgegevens betrokken zijn, de contractbepalingen naleven en het vereiste beschermingsniveau in acht nemen, een en ander overeenkomstig de modelcontractbepalingen. – Groep 29, FAQs in order to address some issues raised by the entry into force of the EU Commission Decision 2010/87/EU of 5 February 2010 on standard contractual clauses for the transfer of personal data to processors established in third countries under Directive 95/46/EC, (12 juli 2010, WP 176): on 5 February 2010, the European Commission has adopted a decision updating the standard contractual clauses for the transfer of personal data to processors established in non-EU countries that do not ensure an adequate level of data protection (contractual clauses "controller to processor"). The new decision 2010/87/EU regulates the transfers of data between EEA-based controllers and non- EEA-based processors and lists the conditions for subprocessing of data between the non-EEA-based processor and non-EEA-based subprocessors. The following FAQs, prepared by the Article 29 Working Party, intend to address some issues raised by the application of these New Model Clauses since they entered into force on 15 May 2010. Onder de vragen betreffende een gegevensverwerker gevestigd in de Europese Economische Ruimte (EER), is er een vraag over de voorwaarden van het juridisch kader voor de verrichte doorgiften van de gegevensverwerker gevestigd in de EER naar een gegevensverwerker buiten de EER. Onder de vragen betreffende een gegevensverwerker gevestigd buiten de EER is er bijvoorbeeld de vraag om te weten of er bij een gegevensdoorgifte van een importeur naar verschillende gegevensverwerkers buiten de EER, deze laatsten moeten worden beschouwd als verdere verwerkers van gegevens of als importeurs van bijkomende gegevens
3. VERSLAGEN EN STUDIES VAN DE RAAD VAN EUROPA – Raad van Europa, Guide to the preparation of contractual clauses governing data protection during the transfer of personal data to third parties not bound by an adequate level of data protection (2002). – Raad van Europa, model contract to ensure equivalent protection in the context of transborder data flows with explanatory report (1992).
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
187
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 22)
BINDENDE ONDERNEMINGSREGELS
Bindende ondernemingsregels - Binding Corporate Rules (BCR) 1. INTERNATIONALE WETGEVING – International Standards on the Protection of Personal Data and Privacy (2009) (The Madrid Resolution): resolutie goedgekeurd op 5 november 2009 door de Internationale Conferentie van de commissarissen voor de bescherming van gegevens en de privacy. Principe nr.15 : International Tranfers: (…) 2. It will be possible to carry out international transfers of personal data to States that do not afford the level of protection provided for in this document where those who expect to transmit such data guarantee that the recipient will afford such level of protection; such guarantee may for example result from appropriate contractual clauses. In particular, where the transfer is carried out within corporations or multinational groups, such guarantees may be contained in internal privacy rules, compliance with which is mandatory. (…) 4. Applicable national legislation may confer powers on the supervisory authorities referred to in section 23 to authorize some or all of the international transfers falling within their jurisdiction, before they are carried out. In any case, those who expect to carry out an international transfer of personal data should be capable of demonstrating that the transfer complies with the guarantees provided for in this Document and in particular where required by the supervisory authorities pursuant to the powers laid down in paragraph 23.2.
2. ADVIEZEN VAN DE GROEP 29 – Groep 29, Werkdocument: doorgifte van persoonsgegevens naar derde landen: toepassing van artikel 26(2) van de Richtlijn van de Europese Unie met betrekking tot de gegevensbescherming bij bindende ondernemingsregels van toepassing op de internationale doorgifte van gegevens (3 juni 2003 - WP 74) (officiële Nederlandse vertaling ontbreekt): omwille van hun complexe, internationale vertakking zouden de multinationals een "gedragscode voor de internationale doorgifte" (Binding Corporate Rules - BCR) willen invoeren. Die gedragscode zou de internationale doorgifte van persoonsgegevens binnen éénzelfde multinationalgroep, overeenkomstig artikel 26(2) van de Richtlijn mogelijk maken. Als deze unilaterale verbintenis op juridisch vlak daadwerkelijk een bindend effect kan bieden, is er geen enkele reden om deze mogelijkheid uit te sluiten zelfs al worden de BCR beschouwd als een bijkomend hulpmiddel, daar waar de bestaande instrumenten (modelcontractbepalingen) problemen opleveren. Het document bespreekt eerst de mogelijkheid van contractuele oplossingen, vervolgens de definitie van BCR en enkele beschouwingen over hun bindend karakter. Daarna pas wordt de wezenlijke inhoud onderzocht die deze ondernemingsregels zouden moeten bevatten, de garanties inzake conformiteit en hun interne toepassing (bepalingen die een goed niveau van conformiteit garanderen, audits, klachtenbeheer, de plicht tot samenwerking met de autoriteiten voor gegevensbescherming, aansprakelijkheid en transparantie). Ten slotte vermeldt het document de noodzakelijke samenwerking met de autoriteiten voor gegevensbescherming (gecoördineerde procedure) voor de multinationalgroepen die toestemming willen bekomen om vanuit meerdere Lid-Staten gelijkaardige gegevensoverdrachten te realiseren. – Groep 29, Werkdocument voor het opstellen van een modelcontrolelijst voor een aanvraag tot goedkeuring van bindende ondernemingsregels (14 april 2005 - WP 108) (officiële Nederlandse vertaling ontbreekt): de tussenkomst van de autoriteiten voor gegevensbescherming om bindende ondernemingsregels goed te keuren, is volledig facultatief en er kan slechts geval per geval over beslist worden. De ondernemingen worden verzocht gebruik te maken van de controlelijst uit dit document wanneer zij hun BCR willen voorleggen aan de nationale autoriteit voor gegevensbescherming. Zij moeten er ook rekening mee houden dat de voorgestelde regels kunnen worden vervolledigd opdat ze zouden tegemoetkomen aan de relevante vereisten van de nationale juridische systemen, met name de geplande middelen ten behoeve van de betrokken personen zodat ze - overeenkomstig deze regels - hun rechten kunnen doen gelden. De voorgestelde lijst is zodanig ontworpen dat ze tegemoetkomen aan de in het document WP 74 (zie hierboven) omschreven vereisten en legt het accent op de vragen die de autoriteiten voor gegevensbescherming moeten beantwoorden wanneer zij het passend karakter beoordelen van het geboden beschermingsniveau. – Groep 29, Werkdocument over de samenwerkingsprocedure voor het uitbrengen van een gemeenschappelijk advies over het passend beschermingsniveau dat wordt aangeboden door de "bindende ondernemingsregels" (14 april 2005 - WP 107) (officiële Nederlandse vertaling ontbreekt): elke groep die een ontwerp van bindende ondernemingsregels wil voorleggen aan meerdere autoriteiten belast met de gegevensbescherming moet één leidende autoriteit aanduiden voor de samenwerkingsprocedure. De keuze van de autoriteit die met deze opdracht wordt belast berust op de criteria opgesomd in dit document en moet door de ondernemingsgroep gemotiveerd worden. Vervolgens omschrijft het document de onderzoeksprocedure die de leidende autoriteit en de andere autoriteiten voor gegevensbescherming moeten voeren. – Groep 29, Aanbeveling 1/2007 over de standaardprocedure voor goedkeuring van bindende ondernemingsregels voor de doorgifte van persoonsgegevens (10 januari 2007 - WP 133) (officiële Nederlandse vertaling ontbreekt): het betreft een modelformulier bestemd voor de ondernemingen die hun BCR wensen te laten goedkeuren. Het document gaat ook gedetailleerd in op de stappen die de onderneming moet zetten en over de fases die de autoriteiten voor gegevensbescherming moeten volgen in de onderzoeksprocedure (zie hierboven de documenten 74 en 108 van de Groep 29). Het document is als volgt gestructureerd: Deel I bestaat uit de volgende afdelingen: - Structuur en contactdetails over de verantwoordelijke en de ondernemingsroep
188
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 22)
- Korte beschrijving van de gegevensflux - Bepaling van de leidende autoriteit voor gegevensbescherming Deel II is als volgt ingedeeld: - Bindend karakter van de BCR - Uitvoerbaarheid - Samenwerking met de autoriteiten voor gegevensbescherming - Omschrijving van processing en gegevensflux - Mechanismen voor reporting en recording changes - Data protection safeguards. – Groep 29, Working Document setting up a table with the elements and principles to be found in Binding Corporate Rules (24 juni 2008, WP 153): in order to facilitate the use of Binding Corporate Rules (BCRs) by a corporate group for its international transfers from the EU to organisations within the same corporate group, the Article 29 Working Party has created the following table: - clarifying the necessary content of BCRs as stated separately in documents WP 741 & WP 1082, - making the distinction between what must be included in BCRs and what must be presented to Data Protection Authorities in the BCRs application (document WP 1333), - giving per principle the corresponding text references in documents WP 744 and WP 108 of the Article 29 Working Party for further details, and - providing explanations/comments on the principles one by one. – Groep 29, Working Document Setting up a framework for the structure of Binding Corporate Rules (24 juni 2008, WP 154): the Working Party has already established that international transfers of personal data from the EU but within the corporate group can take place on the basis of Binding Corporate Rules (BCRs) and has provided guidance on what the necessary of elements of those rules are in documents WP 74 and WP 108. To try and further assist and guide organisations in developing BCRs the Working Party has developed this framework which is a suggestion of what the BCRs might look like when incorporating all of the necessary elements identified in documents WP 743 and WP 108. – Groep 29, Working Document on Frequently Asked Questions (FAQs) related to Binding Corporate Rules (goedgekeurd op 24 juni 2008 en herzien op 8 april 2009, WP 155): as explained in Working Paper 74 (WP 74), the Article 29 working party considers that BCRs are an appropriate solution for multinational companies and other such groups to meet their legal obligations and ensure a proper level of protection of personal information when transferring data out of the European Union. The working party/Data Protection Authorities have published these FAQs in light of their experience of the applications made for approval of BCRs and enquiries received about the interpretation of documents WP 74 and WP 108. The FAQs are intended to clarify particular requirements for applicants in order to assist them in gaining approval for their BCRs. 1. Do the BCRs have to apply to all the personal data processed by the group? 2. Do the BCRs have to apply to data processors who are not part of the group? 3. Where a breach of the BCR occurs outside the EU which member of the group is liable? 4. Should the BCR always contain a right for the data subject to lodge a complaint before the data protection authority for violation of the BCR? 5. Should information about third party beneficiary rights be made readily available to the data subjects that benefit from it? 6. Do the BCR themselves have to describe the processing and transfers of personal data within the group and in what level of detail? 7. Should the BCRs be set out in a single document that creates all obligations of the group and the rights of individuals? 8. What terminology should applicants use for drafting their BCR? 9. What rights should an individual have under the third party beneficiary rights clause? 10. What is the relationship between EEA data protection laws and BCRs? 11. What does the reversal of the burden of proof mean in practice?
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
189
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 22)
INTERNATIONAAL AKKOORD
Internationaal akkoord 1. INTERNATIONALE WETGEVING 1.1. Safe Harbour – Beschikking van de Commissie van 26 juli 2000 overeenkomstig Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de gepastheid van de bescherming geboden door de Veiligehavenbeginselen en de daarmee verband houdende Vaak gestelde vragen die door het ministerie van Handel van de Verenigde Staten zijn gepubliceerd (Safe Harbor) J.O. van 25 augustus 2000, L 215/7. – Gegevensbeschermingspanel (in verband met de vaak gestelde vragen 8 en 9 die door het Ministerie van Handel van de Verenigde Staten zijn gepubliceerd als bijlage bij de beschikking 2000/520/EG van de Commissie betreffende de gepastheid van de bescherming geboden door de Veiligehavenbeginselen zijn gevoegd). – Standaardklachtenformulier voor de niet-naleving van de Veiligehavenbeginselen van de VS ter bescherming van de persoonlijke levenssfeer die bij de Beschikking 2000/520 van de Commissie zijn gevoegd.
1.2. PNR – Agreement between the European Union and the United States of America on the processing and transfer of passenger name records (PNR) by air carriers to the United States Department of Homeland and Security. J.O. van 27 oktober 2006, L 298/29. – Council Decision 2006/729/PESC/JHA of 16 Octobre 2006 on the signing, on behalf of the European Union, of an agreement between the European Union and the United States of America on the processing and transfer of Passenger Name Record (PNR) data by air carriers to the United States Department of Homeland Security J.O. van 27 oktober 2006, L. 298/27. – Letter to the Council Presidency and the Commission from the Department of Homeland Security (DHS) of the United States of America concerning the interpretation of certain provisions of the undertakings issued by DHS on 11 May 2004 in connection with the transfer by air carriers of passenger name record (PNR) data. J.O. van 27 oktober 2006, L 259/1. – Reply by the Council Presidency and the Commission to the letter from the USA's Department of Homeland Security, J.O. van 27 oktober 2006, C 259/4. – Council Decision 2006/551/PESC/JHA of 23 July 2007 on the signing, on behalf of the European Union, of an agreement between the European Union and the United States of America on the processing and transfer of Passenger Name Record (PNR) data by air carriers to the United States Department of Homeland Security (DHS) (PNR agreement 2007).
2. ADVIEZEN VAN DE GROEP 29 2.1. Safe Harbour – Groep 29, Advies 1/99 over het niveau van gegevensbescherming in de Verenigde Staten en het lopend overleg tussen de Europese Commissie en de regering van de Verenigde Staten (26 januari 1999 - WP 15). – Groep 29, Advies 2/99 over het passend karakter van de "International Safe Harbor Principles" die op 19 april 1999 door het Amerikaanse Ministerie van Handel zijn gepubliceerd (3 mei 1999 - WP 19). – Groep 29, Advies 4/99 over de door het Amerikaanse Ministerie van Handel te publiceren vaak gestelde vragen (FAQ's) met betrekking tot de voorgestelde "Beginselen voor een veilige haven" (7 juni 1999 - WP 21). – Groep 29, Werkdocument over de huidige stand van de lopende beraadslagingen tussen de Europese Commissie en de regering van de VS betreffende de "Internationale veiligehavenbeginselen" (7 juli 1999 - WP 23). – Groep 29, Advies 7/99 over het niveau van gegevensbescherming dat door de "Veilige havenbeginselen" wordt geboden, die samen met de vaak gestelde vragen (FAQ's) en andere documenten op 15 en 16 november 1999 door het Ministerie van Handel van de VS zijn gepubliceerd (3 december 1999 - WP 27). – Groep 29, Advies 3/2000 Over de dialoog tussen de EU en de VS over de veiligehavenregeling (16 maart 2000 - WP 31). – Groep 29, Advies 4/2000 over het beschermingsniveau van de "Beginselen voor een veilige haven" (16 mei 2000 - WP 32): In de 7 bovenstaande adviezen volgt de Groep 29 de verschillende onderhandelingsfases van het Safe Harbor-akkoord tussen de Europese Unie en de Verenigde Staten. De Groep legt regelmatig het accent op de volgende elementen: de onderschrijving door de Verenigde Staten van de Richtlijnen van de OESO betreffende de grensoverschrijdende flux, het toepassingsgebied van het akkoord en de beperkingen ervan, de vrijstellingen, de waarde van FAQ, de rol van de autoriteiten voor gegevensbescherming, het zwakke punt m.b.t. een mechanisme gebaseerd op auto-certificering en auto-evaluatie zonder externe controle, de beroepsmechanismen bij inbreuken, de kennisgeving, de veiligheidsmaatregelen, de integriteit van de gegevens, het recht op toegang, verdere doorgifte, het toepasselijk recht, etc.
190
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 22)
– Groep 29, Ontwerp-werkdocument over de werking van de veiligehavenovereenkomst (2 juli 2002 - WP 62): in dit document oordeelt de Groep 29 dat het noodzakelijk is om de stand van zaken te bestuderen in de tenuitvoerlegging van deze "veiligehavenovereenkomst". De Groep wenst vooral zeer nauwkeurige informatie in te zamelen over de volgende elementen: regelingen die de transparantie vergroten, de mogelijkheid om te voorzien in extra controlemechanismen met betrekking tot de procedure om zich bij de overeenkomst aan te sluiten, de overeenstemming van het gedrag van veiligehavendeelnemers met hun privacybeleid en het eventuele verlies van de voordelen van de veilige haven; de te nemen maatregelen om geschillenafhandelingsmechanismen te verfijnen, de samenwerking tussen het Europese gegevensbeschermingspanel, instanties voor geschillenafhandeling en de Federal Trade Commission
2.2. PNR – Groep 29, Advies 6/2002 over de doorgifte van informatie over passagiers, bemanningsleden en ander gegevens door de luchtvaartmaatschappijen aan de Verenigde Staten (24 oktober 2002 - WP 66) (geen officiële Nederlandse vertaling). – Groep 29, Advies 4/2003 over het in de VS voor de doorgifte van passagiersgegevens gewaarborgde beschermingsniveau (13 juni 2003 - WP 78). – Groep 29, Advies 1/2004 over het beschermingsniveau dat in Australië wordt gewaarborgd bij de doorgifte van PNR-gegevens van luchtvaartmaatschappijen (16 januari 2004 - WP 85): de Australische wetgeving inzake grensbescherming verleent de Australische douanediensten de bevoegdheid om een risico-evaluatie te doen van de passagiersgegevens (PNR) vóór de aankomst van de betrokken passagiers in Australië en bij hun vertrek uit Australië. Deze wetgeving beoogt de veiligheid aan de Australische grenzen te vergroten en ligt meer bepaald in de lijn van het verkiezingsprogramma van de regering van 2001 ter versterking van de nationale veiligheid. De Werkgroep sprak zich gunstig uit over het beschermingsniveau dat door de Australische douane wordt aangeboden voor de doorgifte van PNR-gegevens in Australië. Dit advies werd gegeven op voorwaarde dat de restrictie van subsectie 41(4) van de Australische privacywetgeving wordt ingetrokken die de Commissaris voor bescherming van de persoonlijke levenssfeer belet om klachten van niet-Australische onderdanen of ingezetenen te onderzoeken in verband met vragen om rectificatie. De wet op bescherming van de persoonlijke levenssfeer werd in antwoord hierop gewijzigd. – Groep 29, Advies 2/2004 over de passende bescherming van in het PNR van passagiers vervatte persoonsgegevens die aan het Bureau of Customs and Border Protection van de Verenigde Staten (US CBP) worden doorgegeven (9 januari 2004 - WP 87): ingevolge de adviezen 6/2002 en 4/2003, bracht de Werkgroep een advies uit over de evolutie in de doorgifte van PNR gegevens naar de Verenigde Staten, en vooral in de mededeling van de Commissie in december 2003 voor het nemen van een globaal initiatief ten opzichte van de PNR gegevens en van de onderhandelingen tussen de Europese Commissie en de Amerikaanse autoriteiten. De Werkgroep beveelt de Commissie aan om de doorgifte van PNR gegevens naar het CAPPS II-programma uit te sluiten en naar alle andere systemen die in staat zijn massaal gegevensverwerkingsoperaties uit te voeren. De Werkgroep vestigt de aandacht op het gebrek aan uitvoeringskracht van de Amerikaanse verbintenissen en vraagt een bijkomende beperking van de doeleinden waarvoor de gegevens worden doorgegeven, een proportionele lijst van door te geven gegevens, dat geen enkel gevoelig gegeven wordt doorgegeven, de aanname van een "gerichte" methode van doorgifte, strikte beperkingen voor bijkomende doorgifte van PNR-gegevens aan andere regeringen of buitenlandse autoriteiten, specifieke rechten voor de passagiers op vlak van informatieverstrekking, voor toegang en rectificatie en de bewaartermijnen voor de proportionele gegevens. – Groep 29, Advies 3/2004 over het beschermingsniveau dat geboden wordt door Canada voor de doorgifte van passagiersdossiers en geanticipeerde informatie over de reizigers door luchtvaartmaatschappijen (11 februari 2004 - WP 88): Canada heeft een aantal wetten en reglementen goedgekeurd waarin de luchtvaartmaatschappijen die op het grondgebied werkzaam zijn, verzocht worden om persoonsgegevens over passagiers en bemanningsleden door te geven met het oog op de integriteit van de landsgrenzen en de veiligheid van Canada. Het Canadees API/PNR-programma was reeds in ontwikkeling voor de gebeurtenissen van 11 september 2001, want het maakte deel uit van de programma's die werden gebruikt voor een beter grensbeheer in Canada, en bood aan Canada de mogelijkheid haar informatie over reizigers met een hoog risicogehalte te identificeren en samen te brengen terwijl de binnenkomst voor de passagiers met laag risicogehalte gemakkelijker werd. De Werkgroep is voor een zeker aantal redenen van mening dat de Canadese vereisten ingaan tegen de Richtlijn 95/46/EG. De doeleinden waarvoor de gegevens worden opgevraagd zijn te ruim gedefinieerd en gaan met name verder dan het doeleinde terrorismebestrijding. De Werkgroep heeft een lijst gevraagd waarin de ernstige inbreuken die rechtstreeks in verband staan met terrorisme duidelijk en gelimiteerd worden opgesomd. De Werkgroep is ook van oordeel dat de hoeveelheid gegevens die aan de Canadese overheid moeten worden overgedragen niet kan beschouwd worden als passend, ter zake dienend en niet overmatig in de zin van artikel 6 (1) c) van de Richtlijn. De Werkgroep heeft gevraagd dat de gegevens uit de lijst in verband staan met de verschillende openbare belangen die op het spel staan. De gegevens zouden slechts gedurende een korte periode mogen bewaard worden en zou niet langer mogen duren dan enkele weken of maanden na de aankomst in Canada. Een periode van 6 jaar, zoals gevraagd door de Canadese overheid is te lang. – Groep 29, Advies 6/2004 betreffende de tenuitvoerlegging van de Beschikking van de Commissie van 14-V-2004 voor de passende bescherming van persoonsgegevens in de dossiers over vliegtuigpassagiers (Passenger Name Re-
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
191
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 22)
cords - PNR) die worden doorgegeven aan het bureau voor douane en bescherming van de grenzen van de Verenigde Staten en het akkoord tussen de Europese Gemeenschap en de Verenigde Staten van Amerika over de verwerking en de doorgifte van PNR-gegevens door de luchtvaartvervoerders aan het Amerikaans Ministerie voor binnenlandse veiligheid, bureau voor douane en bescherming van de grenzen (22 juni 2004 - WP 95) EN Advies 8/2004 inzake de informatie voor passagiers in verband met de doorgifte van PNR-gegevens op vluchten tussen de Europese Unie en de Verenigde Staten van Amerika (30 september 2004 - WP 97). Dit advies werd vervangen door advies 2/2007 WP 132: na de goedkeuring van de beschikking van passende bescherming van de Commissie van 14 mei 2004, bracht de Groep twee adviezen uit. Het advies 6/2004 stelt vast dat de Commissie slechts gedeeltelijk rekening heeft gehouden met de vereisten die de Werkgroep formuleerde, met name over de reikwijdte van de gegevens die doorgegeven worden, de bewaartermijn ervan en de manier waarop ze worden gebruikt. De Werkgroep vestigt de aandacht op twee punten waarover alle partijen akkoord waren; de methode van de "doelgerichte" doorgifte en de informatieverstrekking aan de passagiers. De Werkgroep verzocht de luchtvaartmaatschappijen om zo vlug mogelijk hun techniek voor de gegevensdoorgifte te wijzigen en om van de "globale" methode over te stappen naar de "gerichte" methode, want overeenkomstig de algemene beginselen inzake gegevensbescherming mag de bestemmeling slechts die gegevens ontvangen die hij daadwerkelijk nodig heeft. De Werkgroep raadde aan om regelmatige verificaties uit te voeren om de regels inzake gegevensbescherming die met de Verenigde Staten werden overeengekomen, te kunnen evalueren. De Werkgroep benadrukte eveneens dat de informatie aan de passagiers moet verstrekt worden zoals het hoort, met name de noodzaak om de passagiers te informeren op een homogene manier, onafhankelijk van de luchtvaartmaatschappij of reisagent waarvan zij gebruik maken. In dit verband heeft de Werkgroep twee informatienota's goedgekeurd in haar advies 8/2004 en verzoekt de luchtvaartvervoerders, de reisagenten en de geïnformatiseerde reserveringssystemen dit advies zo veel mogelijk te gebruiken. – Groep 29, Advies 1/2005 over het niveau van bescherming in Canada voor de doorgifte van Passenger Name Records en Advanced Passenger Information door luchtvaartmaatschappijen (19 januari 2005 - WP 103): dit advies werd uitgebracht op basis van overeenkomsten (document van de Commissie met de verbintenissen van Canada Border Services Agency (hierna "CBSA" genoemd) over de toepassing van het PNR-programma). Dit advies heeft ook betrekking op het beschermingsniveau dat door Canada zal worden gewaarborgd zodra luchtvaartmaatschappijen API- en PNR-gegevens over hun passagiers en bemanningsleden aan het CBSA hebben doorgegeven overeenkomstig de Canadese wetgeving en de verbintenissen. De Werkgroep veronderstelt dat Canada een passend beschermingsniveau biedt zoals bedoeld in artikel 25(6) van de Richtlijn. – Groep 29, Advies 7/2006 over het arrest van het Europees Hof van Justitie van 30 mei 2006 in de gevoegde zaken C317/04 en C-318/04 betreffende de doorgifte van passagiersgegevens aan de Verenigde Staten en de urgente noodzaak van een nieuwe overeenkomst (27 september 2006 - WP 124) EN Advies 5/2006 over het arrest van het Europees Hof van Justitie van 30 mei 2006 in de gevoegde zaken C-317/04 en C-318/04 betreffende de overdracht van 'Passenger Name Records' aan de Verenigde Staten (14 juni 2006 - WP 122): net zoals in 2005 volgde de Groep 29 de problematiek op rond Passenger Name Record (PNR) dat hoewel dit ook de transportsector raakt, vooral aantoont hoe moeilijk het is - zelfs in het kader van terrorismebestrijding - om de Europese regelgeving inzake gegevensbescherming te verzoenen met de wetgevende vereisten van de Amerikanen. Het arrest van het Hof van Justitie van de Gemeenschappen van 30 mei 2006 verbreekt met ingang van 30 september 2006 de beschikking van passende bescherming van de Commissie alsook de beschikking van de Raad betreffende de PNR-overeenkomst die werd afgesloten met de Verenigde Staten. Om een juridische leemte te vermijden vanaf 1 oktober en om het behoud te kunnen waarborgen van een beschermingsniveau van de rechten en vrijheden van de passagiers die op zijn minst gelijk is aan deze die voorheen in werking was, bracht de Groep 29 op 14 juni 2006 een advies uit waarin dringend werd verzocht om te zijner tijd een nieuw akkoord tussen de Verenigde Staten en de Europese Unie te bewerkstelligen. De Groep 29 beveelt onder meer aan om niet alleen rekening te houden met de opmerkingen die zij in haar vorige adviezen formuleerde maar dat de overeenkomst ook zou gebaseerd zijn op een "push"-systeem, hetzij een uitvoersysteem van gegevens vanuit de Europese Unie en niet op een "pull"-systeem, hetzij een systeem van gegevenswinning door de Amerikaanse overheid. De Groep uit eveneens de wens dat het systeem van gezamenlijke jaarlijkse evaluatie (annual joint review) wordt behouden overeenkomstig de bestaande overeenkomst en dat de nieuwe overeenkomst de datum van uitdoving van de bestaande overeenkomst niet overschrijdt, hetzij november 2007. Volgend op het bovenvermeld "PNR"-arrest hebben de Verenigde Staten en de Europese Unie op 19 oktober 2006 een nieuwe PNR-overeenkomst gesloten. Beschikking 2006/729/PESC/JAI van de Raad van 16 oktober 2006 in verband met de ondertekening in naam van de Europese Unie van een overeenkomst tussen de Europese Unie en de Verenigde Staten van Amerika over de verwerking en de doorgifte van gegevens uit passagiersdossiers "PNR-gegevens" door luchtvaartmaatschappijen aan het Amerikaans Ministerie voor binnenlandse veiligheid. (geen officiële Nederlandse vertaling beschikbaar). Deze overeenkomst houdt geen rekening met de opmerkingen die de Groep in haar vorige adviezen formuleerde. Het valt overigens te betreuren dat de inwerkingstelling van het push-systeem nog niet effectief is. Op middellange en lange termijn is de Werkgroep van oordeel dat een coherentere aanpak nodig is voor de uitwisseling van PNR-gegevens zodat tezelfdertijd de veiligheid van de luchtvaart kan verzekerd worden als de naleving van de rechten van de mens op wereldschaal. Tenslotte toont het arrest van het Hof van Justitie eens te meer de moeilijkheden aan die te wijten zijn aan een kunstmatige scheiding tussen de pijlers en de behoefte aan een samenhangende en pijleroverschrijdende gegevensbeschermingregeling (zie WP 122 en 124). Het
192
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 22)
Raadgevend Comité bij het Verdrag 108 van de Raad van Europa voor de bescherming van personen ten aanzien van de verwerking van persoonsgegevens bracht eveneens advies uit over deze problematiek. – Groep 29, Advies 4/2006 inzake de Notice of proposed rule making van het Department of Health and Human Services van de Verenigde Staten inzake de bestrijding van overdraagbare ziekten en het verzamelen van passagiersgegevens van 20 november 2005 (Control of Communicable Disease Proposed 42 CFR Parts 70 and 71) (14 juni 2006 - WP 121): de Groep boog zich ook over een nieuw Amerikaans wetsvoorstel betreffende het verzamelen van passagiersinformatie door Europese lucht- en scheepvaartmaatschappijen voor het bestrijden van overdraagbare ziekten. Dit Amerikaans wetsontwerp zou de Europese lucht- en scheepvaartmaatschappijen de algemene verplichting opleggen om voor een periode van 60 dagen een bepaald aantal gegevens - niet bij de PNR inbegrepen - te verzamelen en op te slaan over alle passagiers die per vliegtuig naar de VS reizen, zoals de nummers van contactpersonen in geval van nood, de e-mailadressen, de reisgenoten en inlichtingen over de terugvlucht om hen later te kunnen traceren. De Groep artikel 29 is van oordeel dat de bestrijding van overdraagbare ziekten een waardevol streven is, dat door alle landen wordt gedeeld en daarom op de best mogelijke wijze moet worden ondersteund. Anderzijds is de Groep artikel 29 van mening dat, wanneer maatregelen ter bestrijding van overdraagbare ziekten worden genomen, het fundamentele recht op bescherming van persoonsgegevens moet worden gerespecteerd. Na het onderzoek van het Amerikaans wetsvoorstel en in het licht van de Richtlijn 95/46/EG, stelt de Groep vast dat aan de voorgenomen algemene verplichting die zou worden opgelegd aan de transportmaatschappijen met zetel in de Europese Unie om bij hun passagiers en derden informatie in te winnen en op te slaan gedurende 60 dagen - zonder dat er een precieze en specifieke dreiging heerst voor de gezondheid - het noodzakelijk karakter ontbreekt en overmatig is. Deze verplichting is tegengesteld aan het minimaliseringbeginsel (zie WP 121). – Groep 29, Advies 2/2007 inzake informatieverstrekking aan passagiers over de doorgifte van PNR-gegevens aan de Amerikaanse overheid (15 februari 2007 - WP 132): dit advies en de bijlagen (vaak gestelde vragen en standaardberichten) zijn bestemd voor reisagenten, luchtvaartmaatschappijen en andere organisaties die diensten verstrekken aan passagiers die naar en van de Verenigde Staten vliegen. Zij komen in de plaats van het advies van 30 september 2004 (WP 97). Het huidige wettelijke kader voor de doorgifte van PNR-gegevens aan de Amerikaanse overheid is de tijdelijke overeenkomst van 16 oktober 2006. De onderhandelingen over een nieuwe overeenkomst zullen waarschijnlijk in 2007 van start gaan. Intussen blijven reisagenten, luchtvaartmaatschappijen en andere organisaties verplicht om passagiers te informeren over de verwerking van hun persoonsgegevens; het is de bedoeling met dit advies te verduidelijken wie, op welke manier en wanneer welke informatie moet verstrekken. Er dient informatie aan passagiers te worden verstrekt wanneer zij een vliegticket boeken en daarvan bevestiging ontvangen. Het advies behandelt de verstrekking van informatie via de telefoon, van persoon tot persoon en via internet. De Groep 29 heeft de standaardberichten (zie bijlagen bij dit advies) opgesteld die de informatieverstrekking moeten vergemakkelijken voor organisaties en ervoor moeten zorgen dat in de gehele Europese Unie op een coherente manier wordt geïnformeerd. Via het korte bericht krijgen passagiers beknopte informatie over de doorgifte van hun gegevens aan de Amerikaanse overheid en aanwijzingen voor het verkrijgen van meer uitvoerige informatie. Het lange bericht bestaat uit een aantal vaak gestelde vragen en gaat uitvoeriger in op de gegevensverwerking. Het behandelt passagiersgegevens in brede zin en daarna in het bijzonder PNR-gegevens. Het bevat tevens koppelingen naar de tijdelijke overeenkomst en andere relevante documentatie. – Groep 29, Advies 5/2007 over de follow-upovereenkomst tussen de Europese Unie en de Verenigde Staten van Amerika inzake de verwerking en overdracht van persoonsgegevens van passagiers (PNR-gegevens) door luchtvaartmaatschappijen aan het ministerie van Binnenlandse veiligheid van de Verenigde Staten van Amerika, gesloten in juli 2007 (WP 138 – 17 augustus 2007): Dit advies wil de impact analyseren van de nieuwe en derde overeenkomst inzake de verwerking en overdracht van persoonsgegevens van passagiers (PNR-gegevens) aan het ministerie van Binnenlandse veiligheid (DHS) van de VS op de fundamentele rechten en vrijheden, en inzonderheid het recht op bescherming van de persoonlijke levenssfeer van de passagiers. Het feit dat een nieuwe langdurige overeenkomst is bereikt, biedt een rechtsgrondslag voor de overdracht van persoonsgegevens van passagiers. De groep heeft altijd de strijd tegen internationaal terrorisme en internationale georganiseerde misdaad gesteund en acht deze strijd noodzakelijk en legitiem. Elke beperking van deze rechten en vrijheden moet goed gemotiveerd zijn en moet het juiste evenwicht vinden tussen de vereisten van de bescherming van de openbare veiligheid en andere openbare belangen, zoals het recht op bescherming van de persoonlijke levenssfeer. De groep is er niet van overtuigd dat de overeenkomst erin geslaagd is dat juiste evenwicht te vinden. De vragen in verband met gegevensbescherming die de nieuwe overeenkomst doet rijzen, en die in dit advies aan bod komen, kunnen in twee conclusies worden samengevat/ 1. In het algemeen zijn de garanties van de vorige overeenkomst aanmerkelijk verzwakt. 2. De nieuwe overeenkomst doet ernstige vragen rijzen, vertoont tekortkomingen en bevat te veel spoedeisende uitzonderingen. Aangaande punt 1: a) Het aantal gegevenselementen dat kan worden overgedragen, is toegenomen en omvat niet alleen informatie over de betrokkene doch ook over derden.
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
193
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 22)
b) Het filteren van gevoelige gegevens wordt nog steeds door het DHS gedaan, zelfs wanneer een „push”-systeem is ingevoerd. c) Het DHS mag nu in uitzonderlijke gevallen gevoelige gegevens gebruiken, wat onder de vorige overeenkomst uitgesloten was. d) Doorgiften aan binnenlandse en buitenlandse overheidsinstanties zijn gemakkelijker geworden en zijn niet langer onderworpen aan dezelfde garanties op het vlak van gegevensbescherming. e) De bewaringsperiode is verlengd tot ten minste vijftien jaar en kan zelfs nog langer zijn. f) Het mechanisme voor gezamenlijke evaluatie voorziet niet in de betrokkenheid van onafhankelijke gegevensbeschermingsautoriteiten. Aangaande punt 2: a) De garanties in de overeenkomst en de brief van het DHS zijn niet precies geformuleerd en laten te veel uitzonderingen toe, die uitsluitend naar goeddunken van de autoriteiten van de Verenigde Staten kunnen worden ingeroepen. b) De doelstellingen waarvoor de gegevens kunnen worden overgedragen, met inbegrip van de ruime uitzonderingen op deze doelstellingen, zijn niet voldoende gespecificeerd en zijn ruimer dan die welke door de gegevensbeschermingsnormen zijn erkend. c) De overstap van een „pull”-systeem op een „push”-systeem is eindelijk gepland voor 1 januari 2008 doch het is onduidelijk of en onder welke voorwaarden deze nieuwe methode van overdracht uiteindelijk zal worden uitgewerkt. d) Het blijft onduidelijk hoe het DHS, wanneer het in uitzonderlijke gevallen andere gegevens mag zoeken dan die welke in de lijst zijn opgenomen, toegang tot deze gegevens zal krijgen nadat van een „pull”-systeem op een „push”-systeem is overgestapt. e) Het blijft onduidelijk wanneer en onder welke omstandigheden een gezamenlijke evaluatie zal plaatsvinden. f) De overeenkomst voorziet niet een mechanisme om geschillen op te lossen en laat dit aan de overeenkomstsluitende partijen over. Dit is inzonderheid relevant voor een gezamenlijke evaluatie. g) De regeling bij doorgifte van gegevens door derden aan andere eenheden is onduidelijk. h) Het is onduidelijk wat de effecten van de bepalingen inzake wederkerigheid betekenen voor het niveau van gegevensbescherming in een EU-PNR-systeem. i) Het risico bestaat dat een verandering in de VS-wetgeving eenzijdig van invloed is op het niveau van gegevensbescherming waarin de nieuwe PNR-overeenkomst voorziet. De groep betreurt dat de gelegenheid om te kiezen voor een meer evenwichtige aanpak op basis van de werkelijke behoeften, niet te baat is genomen. Omdat er veel commentaar was op de nieuwe overeenkomst, had de groep graag gezien dat de onderhandelingen tussen de EU en de VS tot een ander resultaat hadden geleid. De groep is van mening dat de nieuwe overeenkomst niet het juiste evenwicht heeft gevonden waardoor de fundamentele rechten van de burgers op het gebied van gegevensbescherming worden geëerbiedigd. – Groep 29, Gezamenlijk advies met de Working Party on Police and Justice (WPPJ) over het voorstel voor een kaderbesluit van de Raad over het gebruik van persoonsgegevens van passagiers (PNR-gegevens) voor wetshandhavingsdoeleinden, ingediend door de Commissie op 6 november 2007 (5 december 2007, WP 145): dit advies biedt een analyse van de impact op de fundamentele rechten en vrijheden, met name het recht van passagiers op bescherming van de persoonlijke levenssfeer, van het op 6 november 2007 door de Commissie ingediende voorstel voor een kaderbesluit van de Raad over het gebruik van persoonsgegevens van passagiers (PNR-gegevens) voor wetshandhavingsdoeleinden. Het voorstel is gebaseerd op de in juli 2007 ondertekende PNR-overeenkomst tussen de EU en de VS, en de onderhavige ontwerptekst lijkt op tal van punten op die overeenkomst. De zorgen inzake privacy die de Groep artikel 29 naar aanleiding van die PNR-overeenkomst heeft geuit, komen dan ook terug in een aantal punten van dit advies. Dit advies weerspiegelt ook de bevindingen die de Groep artikel 29 vastlegde in advies 9/2006 van 27 september 2006 over Richtlijn 2004/82/EG van de Raad, aangezien deze richtlijn eveneens voorziet in de overdracht van passagiersinformatie door luchtvervoerders aan overheidsdiensten. De gegevensbeschermingsautoriteiten in de EU benadrukken opnieuw dat zij de bestrijding van internationaal terrorisme en georganiseerde criminaliteit altijd hebben gesteund. Deze strijd is noodzakelijk en gerechtvaardigd, en persoonsgegevens - en in het bijzonder bepaalde passagiersgegevens - zouden nuttig kunnen zijn bij de voorkoming en bestrijding van terrorisme en georganiseerde criminaliteit. In het geval van een Europese PNR-regeling dient de beperking van de fundamentele rechten en vrijheden echter goed te worden gemotiveerd en moet het juiste evenwicht worden gevonden tussen, enerzijds, de bescherming van de openbare veiligheid en, anderzijds, het recht op privacy. Het huidige voorstel voorziet in het verzamelen van een grote hoeveelheid persoonsgegevens van alle passagiers die de EU in- of uitvliegen, of er nu wel of geen verdenking op hen rust. Deze gegevens worden vervolgens gedurende 13 jaar bewaard voor eventueel later gebruik ten behoeve van profilering. Het voorstel komt bovenop het afnemen van vingerafdrukken bij alle burgers die een paspoort aanvragen en het bewaren van alle telecommunicatiegegevens in de EU. Het huidige voorstel betekent een nieuwe mijlpaal op weg naar een Europese samenleving die volledig wordt gecontroleerd uit naam van de bestrijding van terrorisme en georganiseerde criminaliteit.
194
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 22)
De gegevensbeschermingsautoriteiten in de EU zijn van mening dat het voorstel in zijn huidige vorm niet alleen buitenproportioneel is, maar wellicht ook in strijd met erkende gegevensbeschermingsnormen zoals vervat in artikel 8 van het Europees Verdrag tot bescherming van de rechten van de mens en in Verdrag 108 van de Raad van Europa. De toepasselijkheid van het kaderbesluit van de Raad over de bescherming van persoonsgegevens die worden verwerkt in het kader van de politiële en justitiële samenwerking in strafzaken, is ten aanzien van de in het voorstel bedoelde rechten van de betrokken persoon twijfelachtig, aangezien het kaderbesluit alleen betrekking heeft op de overdracht van persoonsgegevens tussen de rechtshandhavingsinstanties van de EU-Lid-Staten en niet op de overdacht van gegevens door luchtvervoerders aan de passagiersinformatie-eenheden in de EU. – Groep 29, Advies 2/2007 inzake informatieverstrekking aan passagiers over de doorgifte van PNR-gegevens aan de Amerikaanse overheid (goedgekeurd op 15 februari 2007 en herzien en geactualiseerd op 24 juni 2008, WP 151): dit advies en de bijlagen (vaak gestelde vragen en standaardberichten) zijn bestemd voor reisagenten, luchtvaartmaatschappijen en andere organisaties die diensten verstrekken aan passagiers die naar en van de Verenigde Staten vliegen. Zij komen in de plaats van het advies van 30 september 2004 (WP 97). Het huidige wettelijke kader voor de doorgifte van PNR-gegevens aan de Amerikaanse overheid is de overeenkomst van juli 2007. Intussen blijven reisagenten, luchtvaartmaatschappijen en andere organisaties verplicht om passagiers te informeren over de verwerking van hun persoonsgegevens; het is de bedoeling met dit advies te verduidelijken wie, op welke manier en wanneer welke informatie moet verstrekken. Er dient informatie aan passagiers te worden verstrekt wanneer zij een vliegticket boeken en daarvan bevestiging ontvangen. Het advies behandelt de verstrekking van informatie via de telefoon, van persoon tot persoon en via internet. De groep artikel 29 heeft de standaardberichten (zie bijlagen bij dit advies) opgesteld die de informatieverstrekking moeten vergemakkelijken voor organisaties en ervoor moeten zorgen dat in de gehele Europese Unie op een coherente manier wordt geïnformeerd. Via de verkorte berichten (een kort en een zeer kort) krijgen passagiers in samengevatte vorm informatie over de doorgifte van hun gegevens aan de Amerikaanse overheid en aanwijzingen voor het verkrijgen van uitvoerigere informatie. Het lange bericht bestaat uit een aantal vaak gestelde vragen en gaat uitvoeriger in op de gegevensverwerking. Het behandelt passagiersgegevens in brede zin en daarna in het bijzonder PNR-gegevens. Het bevat tevens koppelingen naar de huidige overeenkomst en andere relevante documentatie. – Groep 29, Advies 7/2010 betreffende de mededeling van de Europese Commissie over de algemene aanpak van de doorgifte van passagiersgegevens (Passenger Name Record - PNR) aan derde landen (WP 178 – 12 november 2010): in dit advies legt de Groep in het bijzonder de klemtoon op de noodzaak om met behulp van wetenschappelijke elementen uit recente onderzoeken, grondig na te denken over het nut van een profilering op grote schaal gebaseerd op passagiersgegevens.
3. RECHTSPRAAK VAN HET EUROPEES HOF VAN JUSTITIE – Europees Hof van Justitie, arrest van 30 mei 2006, het Europees Parlement tegen de Raad van de Europese Unie en tegen de Commissie van de Europese Gemeenschappen, gevoegde zaken C-317/04 en C-318/04 (arrest PNR). 54. Volgens artikel 3, lid 2, eerste streepje, van de Richtlijn is deze niet van toepassing op de verwerking van persoonsgegevens die met het oog op de uitoefening van niet binnen de werkingssfeer van het gemeenschapsrecht vallende activiteiten geschiedt zoals bedoeld in de titels V en VI van het Verdrag betreffende de Europese Unie, en in ieder geval verwerkingen die betrekking hebben op de openbare veiligheid, defensie, de veiligheid van de staat en de activiteiten van de staat op strafrechtelijk gebied. 55. De beschikking geldt enkel voor PNR-gegevens die aan het CBP worden doorgegeven. Blijkens overweging 6 van deze beschikking zijn de vereisten inzake deze doorgifte gebaseerd op een wet die door de Verenigde Staten in november 2001 is goedgekeurd, en op uitvoeringsvoorschriften die door het CBP krachtens die wet zijn vastgesteld. Volgens overweging 7 van de beschikking heeft de desbetreffende wetgeving van de Verenigde Staten betrekking op een grotere veiligheid en op de voorwaarden waaronder personen het land mogen binnenkomen en verlaten. Volgens overweging 8 steunt de Gemeenschap de Verenigde Staten ten volle in de strijd tegen het terrorisme binnen de grenzen van het gemeenschapsrecht. Naar luid van overweging 15 van de beschikking zullen de PNR-gegevens uitsluitend worden gebruikt ter voorkoming en bestrijding van terrorisme en aanverwante misdrijven, andere zware misdrijven, waaronder georganiseerde misdaad, die van grensoverschrijdende aard zijn, alsook het ontvluchten van een aanhoudingsbevel of arrestatie wegens die misdrijven. 56. De doorgifte van de PNR-gegevens aan het CBP is derhalve een verwerking die betrekking heeft op de openbare veiligheid en de activiteiten van de staat op strafrechtelijk gebied. 57. Hoewel de PNR-gegevens aanvankelijk door luchtvaartmaatschappijen worden verzameld in het kader van een onder het gemeenschapsrecht vallende activiteit, namelijk de verkoop van een vliegticket dat recht geeft op een dienstverlening, is de in de beschikking bedoelde gegevensverwerking van geheel andere aard.
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
195
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 22)
Zoals in punt 55 van dit arrest reeds in herinnering is gebracht, ziet deze beschikking namelijk niet op een verwerking die noodzakelijk is voor een dienstverrichting, maar op een verwerking die noodzakelijk wordt geacht voor het waarborgen van de openbare veiligheid en voor de wetshandhaving. 58. In punt 43 van het arrest Lindqvist, dat de Commissie in haar verweerschrift heeft aangevoerd, overwoog het Hof dat de in artikel 3, lid 2, eerste streepje, van de Richtlijn als voorbeeld genoemde activiteiten telkens specifieke activiteiten van de staten of de overheidsdiensten zijn en niets van doen hebben met de gebieden waarop particulieren activiteiten ontplooien. Daaruit volgt evenwel niet dat op grond van het feit dat de PNR-gegevens door particuliere marktdeelnemers voor commerciële doeleinden zijn verzameld en het deze laatste zijn die ze doorgeven naar een derde land, de doorgifte in kwestie niet binnen de werkingssfeer van deze bepaling valt. Deze doorgifte geschiedt immers binnen een door de overheid ingesteld kader dat betrekking heeft op de openbare veiligheid. 59. Uit een en ander volgt dat de beschikking betrekking heeft op een verwerking van persoonsgegevens in de zin van artikel 3, lid 2, eerste streepje, van de Richtlijn. Deze beschikking valt dus niet binnen de werkingssfeer van de Richtlijn.
HOOFDSTUK VII
COMMISSIE VOOR DE BESCHERMING VAN DE PERSOONLIJKE LEVENSSFEER 1. AUTORITEIT VAN CONTROLE EN BESCHERMING – Artikels 18, 19 en 20 van het Verdrag nr. 108 van de Raad van Europa tot bescherming van personen ten opzichte van de geautomatiseerde verwerking van persoonsgegevens (1981): betreffende het Raadgevend Comité waarin elke deelnemende staat aan het Verdrag 108 vertegenwoordigd is. De opdracht van dit Comité bestaat erin voorstellen te formuleren om de toepassing van het Verdrag te verbeteren of te vergemakkelijken, amendementen voor te stellen en op vraag van een Staat, advies uitbrengen over elke kwestie betreffende de toepassing van het Verdrag. – Explanatory Report of the Convention n°108 - (punten 85 - 87): de aard en de rol van het Comité worden erin omschreven. Er wordt uitdrukkelijk vermeld dat het niet wenselijk wordt geacht dat het Comité de vorm aanneemt van een internationale gegevensbeschermingsautoriteit. Het werd ook niet opportuun geacht om aan het Comité de formele regelgeving voor geschillen toe te vertrouwen die zouden kunnen ontstaan bij de toepassing van het Verdrag. – Artikel 29 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): groep voor de bescherming van personen in verband met de verwerking van persoonsgegevens ((genaamd "Werkgroep van het Artikel 29" of "Groep 29". De artikelen 29 en 30 van de richtlijn regelen de samenstelling en de bevoegdheden van de Werkgroep. De Groep is samengesteld uit een vertegenwoordiger van de controle-autoriteit of -autoriteiten aangeduid door iedere Lid-Staat, een vertegenwoordiger van de autoriteit(en) opgericht voor de communautaire instellingen en organen - de Europese Toezichthouder van de gegevensbescherming - en een vertegenwoordiger van de Commissie (Groep 29). – Overweging 65 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): overwegende dat op communautair niveau een werkgroep voor de bescherming van personen in verband met de verwerking van persoonsgegevens dient te worden ingesteld, welke haar taken in volstrekte onafhankelijkheid moet kunnen vervullen; dat deze werkgroep, gelet op het bijzondere karakter ervan, de Commissie moet adviseren en met name moet bijdragen tot een homogene toepassing van de ter uitvoering van deze Richtlijn vastgestelde nationale voorschriften; – Artikel 31 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): de Commissie wordt bijgestaan door een Comité bestaande uit vertegenwoordigers van de Lid-Staten en voorgezeten door de vertegenwoordiger van de Commissie (Comité de l'article 31). – Artikels 27 tot 33 en 41 tot 48 van de Verordening (EG) nr. 45/2001 van het Europees Parlement en de Raad van 18 december 2000 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de communautaire instellingen en organen en betreffende het vrije verkeer van die gegevens (2000): deze artikelen handelen over de bevoegdheden van de Europese Toezichthouder voor gegevensbescherming (EDPS), zijn benoeming en de kwaliteiten waarover hij moet beschikken (onafhankelijkheid, beroepsgeheim). – International Standards on the Protection of Personal Data and Privacy (2009) (The Madrid Resolution): resolutie goedgekeurd op 5 november 2009 door de Internationale Conferentie van de commissarissen voor de bescherming van gegevens en de privacy. Principe nr. 23 : Monitoring :1. In every State there shall be one or more supervisory authorities, in accordance with its domestic law, that will be responsible for supervising the observance of the principles set out in this Document. (…).
196
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 24)
2. ADVIEZEN VAN DE GROEP 29 – Groep 29, Herziene en bijgewerkte beleid ter bevordering van de transparantie van de activiteiten van de Werkgroep opgericht bij artikel 29 van de Richtlijn 95/46/EG (15 februari 2007 - WP 135). – Groep 29, Huishoudelijk reglement goedgekeurd door de Groep tijdens zijn derde vergadering op 11 september 1996.
Art. 23. }1[Bij de Kamer van volksvertegenwoordigers wordt een Commissie voor de bescherming van de persoonlijke levenssfeer ingesteld, die samengesteld is uit leden die worden aangewezen door de Kamer van volks-
vertegenwoordigers, onder wie de voorzitter en de ondervoorzitter.]1 De zetel van de Commissie is gevestigd in het administratief arrondissement Brussel-Hoofdstad. }1. – Lid 1, na wijziging, vervangen bij art. 2 wet 26 februari 2003, B.S., 26 juni 2003, inwerkingtreding: 26 juni 2003 (art. 17, § 1, lid 2)
INSTELLING VAN DE COMMISSIE INSTELLING BIJ KAMER VAN VOLKSVERTEGENWOORDIGERS ZETEL
1. HUISHOUDELIJK REGLEMENT VAN DE COMMISSIE VOOR DE BESCHERMING VAN DE PERSOONLIJKE LEVENSSFEER – Artikel 1 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk I, - 2007): De Commissie voor de bescherming van de persoonlijke levenssfeer, hierna de Commissie genoemd, heeft haar zetel te Brussel.
2. INTERNATIONALE WETGEVING – International Standards on the Protection of Personal Data and Privacy (2009) (The Madrid Resolution): resolutie goedgekeurd op 5 november 2009 door de Internationale Conferentie van de commissarissen voor de bescherming van gegevens en de privacy. Principe nr.: Monitoring : 1. In every State there shall be one or more supervisory authorities, in accordance with its domestic law, that will be responsible for supervising the observance of the principles set out in this Document. 2. These supervisory authorities shall be impartial and independent, and will have technical competence, sufficient powers and adequate resources to deal with the claims filed by the data subjects, and to conduct investigations and interventions where necessary to ensure compliance with the applicable national legislation on the protection of privacy with regard to the processing of personal data. (…).
Art. 24. }1[§ 1. }2[De Commissie bestaat uit acht vaste leden, onder wie ten minste één magistraat die het voorzitterschap waarneemt, en acht plaatsvervangende leden, onder wie ten minste één magistraat.]2 § 2. De Commissie bestaat uit een gelijk aantal Nederlandstalige en Franstalige leden. § 3. }3[...]3 § 4. De leden van de Commissie worden gekozen voor een hernieuwbare termijn van 6 jaar op door de ministerraad voorgedragen lijsten die voor ieder te bekleden mandaat twee kandidaten bevatten. Zij kunnen door de Kamer }4 [van volksvertegenwoordigers]4, van hun opdracht worden ontheven wegens tekortkomingen in hun taken of wegens inbreuk op de waardigheid van hun ambt. }5[De leden moeten alle waarborgen bieden met het oog op een onafhankelijke uitoefening van hun opdracht alsmede volkomen deskundig zijn op het stuk van de bescherming van gegevens.]5 De Commissie is op zodanige wijze samengesteld dat in haar midden een evenwicht bestaat tussen de verschillende sociaal-economische groepen. Benevens de voorzitter, bevat de Commissie onder haar vaste leden en onder haar plaatsvervangende leden, ten minste een jurist, een informaticus, een persoon die beroepservaring kan voorleggen in het beheer van persoonsgegevens afhangende van de private sector en een persoon die beroepservaring kan voorleggen in
het beheer van persoonsgegevens afhangende van de openbare sector. § 5. Om tot vast dan wel plaatsvervangend lid van de Commissie te worden benoemd en het te blijven, moeten de kandidaten aan de volgende voorwaarden voldoen: 1° Belg zijn; 2° de burgerlijke en politieke rechten genieten; 3° geen lid zijn van het Europees Parlement of van de Wetgevende Kamers, noch van een Gemeenschaps- of }6[Gewestparlement]6. § 6. Binnen de perken van hun bevoegdheden krijgen de leden van de Commissie van niemand onderrichtingen. Zij kunnen niet van hun mandaat worden ontheven voor meningen die zij uiten of daden die zij stellen bij het vervullen van hun functie. § 7. Het is de leden van de Commissie verboden aanwezig te zijn bij een beraadslaging over zaken waarbij zij een persoonlijk belang hebben of waarbij hun bloed- of aanverwanten tot en met de vierde graad een persoonlijk belang hebben.]1 }1. – Vervangen bij art. 32 wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001) }2. – § 1 vervangen bij art. 3, 1°, wet 26 februari 2003, B.S., 26 juni 2003, inwerkingtreding: 26 juni 2003 (art. 17, § 1, lid 2) }3. – § 3 opgeheven bij art. 3, 2°, wet 26 februari 2003, B.S., 26 juni 2003, inwerkingtreding: 26 juni 2003 (art. 17, § 1, lid 2)
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
197
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 24) }4. – § 4, lid 1, gewijzigd bij art. 3, 3°, wet 26 februari 2003, B.S., 26 juni 2003, inwerkingtreding: 26 juni 2003 (art. 17, § 1, lid 2)
}5. – § 4, lid 2, vervangen bij art. 3, 4°, wet 26 februari 2003, B.S., 26 juni 2003, inwerkingtreding: 26 juni 2003 (art. 17, § 1, lid 2) }6. – § 5, 3°, gewijzigd bij art. 23 wet 27 maart 2006, B.S., 11 april 2006
ONAFHANKELIJKHEID
§ 4, lid 2, Onafhankelijke deskundige 1. INTERNATIONALE WETGEVING – Guidelines of the United Nations for the Regulation of Computerized Personal Data Files (1990) - (8) Supervision and sanctions: the law of every country shall designate the authority which, in accordance with its domestic legal system, is to be responsible for supervising observance of the principles set forth above. This authority shall offer guarantees of impartiality, independence vis-a-vis persons or agencies responsible for processing and establishing data, and technical competence. In the event of violation of the provisions of the national law implementing the aforementioned principles, criminal or other penalties should be envisaged together with the appropriate individual remedies. – Artikel 1 van het Additional Protocol to the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data regarding supervisory authorities and transborder data flows: 1. Each Party shall provide for one or more authorities to be responsible for ensuring compliance with the measures in its domestic law giving effect to the principles stated in Chapters II and III of the Convention and in this Protocol. 2. a) To this end, the said authorities shall have, in particular, powers of investigation and intervention, as well as the power to engage in legal proceedings or bring to the attention of the competent judicial authorities violations of provisions of domestic law giving effect to the principles mentioned in paragraph 1 of Article 1 of this Protocol. b) Each supervisory authority shall hear claims lodged by any person concerning the protection of his/her rights and fundamental freedoms with regard to the processing of personal data within its competence. 3. The supervisory authorities shall exercise their functions in complete independence. 4. Decisions of the supervisory authorities, which give rise to complaints, may be appealed against through the courts. 5. In accordance with the provisions of Chapter IV, and without prejudice to the provisions of Article 13 of the Convention, the supervisory authorities shall co-operate with one another to the extent necessary for the performance of their duties, in particular by exchanging all useful information. – Explanatory Report of the Additional Protocol to the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data regarding supervisory authorities and transborder data flows (punten 7 - 20): artikel 1 van het aanvullend protocol werd hier toegelicht. 7. Article 10 of the Convention requires the establishment of appropriate remedies in the relevant legal provisions of each Party in respect of violations of provisions of domestic law giving effect to the principles of the Convention. However, it does not explicitly require the Parties to establish supervisory authorities to monitor compliance on their territory with the measures giving effect to the principles set forth in Chapters II and III of the Convention and in this Protocol. The first article of this Protocol has in this context a dual aim. 8. It aims to enforce the effective protection of the individual by requiring the Parties to create one or more supervisory authorities that contribute to the protection of the individual’s rights and freedoms with regard to the processing of personal data. More than one authority might be needed to meet the particular circumstances of different legal systems. These authorities may exercise their tasks without prejudice to the competence of legal or other bodies responsible for ensuring respect of domestic law giving effect to the principles of the Convention. The supervisory authorities should have the necessary technical and human resources (lawyers, computer experts) to take prompt, effective action in a person’s favour. 9. The article also aims to achieve improved harmonisation of the rules governing the supervisory authorities already established in respect of Parties to the Convention. In principle, all the Parties to the Convention shall provide in their domestic legislation for the establishment of one or more supervisory authorities. Depending on the national legal system, however, their composition, powers and modus operandi differ considerably from one country to another. 10. The aforementioned harmonisation not only aims at improving the level of data protection in the Parties but also aims at achieving closer co-operation between the Parties, without prejudice to the co-operation system set up by the Convention. 11. Parties have considerable discretion as to the powers which the authorities should be given for carrying out their task. According to the Protocol, however, they must at least be given powers of investigation and intervention, as well as the power to engage in legal proceedings or bring to the attention of the competent judicial authorities any violations of the relevant provisions. 12. The authority shall be endowed with powers of investigation, such as the possibility to ask the controller for information concerning the processing of personal data and to obtain it. Such information should be accessible in particular when the supervisory authority is approached by a person wishing to exercise the rights provided for in domestic law, by virtue of Article 8 of the Convention.
198
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 24)
13. The supervisory authority's power of intervention may take various forms in domestic law. For example, the authority could be empowered to oblige the controller of the file to rectify, delete or destroy inaccurate or illegally collected data on its own account or if the data subject is not able to exercise these rights himself/herself. The power to issue injunctions on controllers who are unwilling to communicate the required information within a reasonable time would be a particularly effective manifestation of the power of intervention. This power could also include the possibility to issue opinions prior to the implementation of data processing operations, or to refer cases to national parliaments or other state institutions. The supervisory authority should have the power to inform the public through regular reports, the publication of opinions or any other means of communication. 14. Whilst contributing to the protection of individual rights, the supervisory authority also serves as an intermediary between the data subject and the controller. In this context, it seems particularly important that the supervisory authority should be able to provide information to individuals or data users about the rights and obligations concerning data protection. Moreover, every person should have the right to lodge a claim with the supervisory authority concerning his/her rights and liberties in respect of personal data processing. For the reasons referred to in paragraph 7 of this Explanatory Report, this lodging of a claim helps to guarantee people's right to an appropriate remedy, in keeping with Article 10 and Article 8 paragraph d. of the Convention. It is recalled that every person has a judicial remedy. However, domestic law may provide for the lodging of a claim with the supervisory authority as a condition of this judicial remedy. 15. The Parties should give to the supervisory authority the power either to engage in legal proceedings or to bring any violations of data protection rules to the attention of the judicial authorities. This power derives in particular from the power to carry out investigations, which may lead the authority to discover an infringement of a person's right to protection. The Parties may fulfil the obligation to grant this power to the authority by enabling it to make judgments. 16. The supervisory authority’s competences are not limited to the ones listed in Article 1 paragraph 2. It should be borne in mind that the Parties have other means of making the task of the supervisory authority effective. It could be possible for associations to lodge complaints with the authority, in particular when the rights of the persons that it represents are restricted in accordance with Article 9 of the Convention. The authority could be entitled to carry out prior checks on the legitimacy of data processing operations and to keep a data processing register open to the public. The authority could also be asked to give its opinion when legislative, regulatory or administrative measures concerning personal data processing are in preparation, or on codes of conduct. 17. Supervisory authorities cannot effectively safeguard individual rights and freedoms unless they exercise their functions in complete independence. A number of elements contribute to safeguarding the independence of the supervisory authority in the exercise of its functions. These could include the composition of the authority, the method for appointing its members, the duration of exercise and conditions of cessation of their functions, the allocation of sufficient resources to the authority or the adoption of decisions without being subject to external orders or injunctions. 18. As a counterpart to this independence it must be possible to appeal against the decisions of the supervisory authorities through the courts in accordance with the principle of the rule of law when these decisions give rise to complaints. 19. Moreover, in cases where the supervisory authority does not itself have judicial competence, the intervention of a supervisory authority shall not constitute an obstacle to the possibility for the individual to have a judicial remedy. 20. Strengthening co-operation between the supervisory authorities must contribute to the development of the level of protection in the Parties’ practice under the Convention. This co-operation is in addition to the mutual assistance provided for in Chapter IV of the Convention and the work of the Consultative Committee. Its purpose is to provide improved protection to the people concerned. With increasing frequency people are directly affected by data processing operations which are not confined to one country and therefore involve the laws and authorities of more than one country. The development of international electronic networks and increasing cross-border flows in the service industries and the work environment are examples. In such a context international co-operation between supervisory authorities ensures that people are able to exercise their rights on an international as well as a national level. – Artikel 28 § 1 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): elke Lid-Staat bepaalt dat een of meer autoriteiten worden belast met het toezicht op de toepassing op zijn grondgebied van de ter uitvoering van deze Richtlijn door de Lid-Staten vastgestelde bepalingen. – Overweging 62 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): overwegende dat het voor de bescherming van personen in verband met de verwerking van persoonsgegevens van wezenlijk belang is dat in elke Lid-Staat onafhankelijke toezichthoudende autoriteiten worden ingesteld;
2. RECHTSPRAAK VAN HET EUROPESE HOF VOOR DE RECHTEN VAN DE MENS – Dubus t. Frankrijk van 11 juni 2009 (verzoek nr. 5241/04). Onafhankelijke administratieve overheid – functies van vervolging, onderzoek en veroordeling (tuchtstraffen) – gebrek aan duidelijk onderscheid tussen deze functies – gebrek aan onpartijdigheid (inbreuk op artikel 6 §1) – functioneel onderscheid.
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
199
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 24)
3. RECHTSPRAAK VAN HET EUROPESE HOF VAN JUSTITIE – Europese Hof van Justitie, arrest van 9 maart 2010, C-518/07 (Europese Commissie tegen de Bondsrepubliek Duitsland): in zijn analyse oordeelt het Hof dat de Federale Republiek Duitsland zijn verplichtingen niet nakomt, opgelegd krachtens artikel 28, § 1, 2de lid van de richtlijn 95/46/EG van 24 oktober 1995, omdat aan de Staat het voogdijschap wordt opgelegd over de controleautoriteiten, die bevoegd zijn om toezicht te houden op de verwerkingen van persoonsgegevens die worden verricht door niet-openbare instellingen en ondernemingen van openbaar recht, die mee concurreren op de markt in de verschillende Länder. Op die manier is de vereiste, volgens dewelke deze autoriteiten hun opdrachten moeten uitoefenen in "volledige onafhankelijkheid" op een verkeerde manier omgezet. 18. Wat in de eerste plaats de bewoordingen van artikel 28, lid 1, tweede alinea, van richtlijn 95/46 betreft, dient, aangezien het begrip "in volledige onafhankelijkheid" in deze richtlijn niet wordt gedefinieerd, rekening te worden gehouden met de normale betekenis ervan. Met betrekking tot overheidsorganen betekent het begrip "onafhankelijkheid" normaal gezien dat wordt gewaarborgd dat het betrokken orgaan in alle vrijheid kan handelen, vrij van instructies en druk. 19. Anders dan de Bondsrepubliek Duitsland beweert, wijst niets erop dat het vereiste van onafhankelijkheid uitsluitend betrekking heeft op de verhouding tussen de toezichthoudende autoriteiten en de organen waarop deze toezicht uitoefenen. Integendeel, het begrip "onafhankelijkheid" wordt versterkt door het adjectief "volledige", wat inhoudt dat de toezichthoudende autoriteit zonder enige beïnvloeding van buitenaf, rechtstreeks of indirect, moet kunnen beslissen. 25. De waarborg van onafhankelijkheid van de nationale toezichthoudende autoriteiten beoogt de doeltreffendheid en de betrouwbaarheid van het toezicht op de naleving van de bepalingen inzake de bescherming van natuurlijke personen bij de verwerking van persoonsgegevens te verzekeren en moet tegen de achtergrond van deze doelstelling worden uitgelegd. Zij is niet ingevoerd om deze autoriteiten zelf en hun gemachtigden een bijzondere positie te verlenen, maar om een grotere bescherming te bieden aan de personen en organen die door hun beslissingen worden getroffen. Bij de uitoefening van hun taken moeten de toezichthoudende autoriteiten bijgevolg objectief en onpartijdig handelen. Daartoe moeten zij vrij zijn van beïnvloeding van buitenaf, daaronder begrepen de - rechtstreekse of indirecte - beïnvloeding door de staat of de Länder, en niet enkel van beïnvloeding door de organen waarop zij toezicht uitoefenen. (...) 28. Gelet op het feit dat artikel 44 van Verordening nr. 45/2001 en artikel 28 van Richtlijn 95/46 op hetzelfde algemene concept zijn gebaseerd, moeten deze twee bepalingen homogeen worden uitgelegd, zodat niet alleen de onafhankelijkheid van de ETGB, maar ook die van de nationale autoriteiten inhoudt dat zij bij de vervulling van hun taken geen instructies ontvangen. (...) 30. Gelet op al het voorgaande dient artikel 28, lid 1, tweede alinea, van richtlijn 95/46 aldus te worden uitgelegd dat de autoriteiten die belast zijn met het toezicht op de verwerking van persoonsgegevens in de niet-publieke sector een onafhankelijkheid moeten genieten die hen in staat stelt om hun taken zonder beïnvloeding van buitenaf te vervullen. Deze onafhankelijkheid sluit niet enkel elke beïnvloeding door de organen waarop toezicht wordt uitgeoefend, uit, maar ook elk bevel of elke andere beïnvloeding van buitenaf, zij het rechtstreeks of indirect, die de vervulling door deze autoriteiten van hun taak, een juist evenwicht tussen de bescherming van het recht op bescherming van de persoonlijke levenssfeer en het vrije verkeer van persoonsgegevens te vinden, in het gedrang zou kunnen brengen. (...) 36. Bovendien moet worden benadrukt dat het loutere gevaar dat de instanties die belast zijn met het overheidstoezicht, een politieke invloed kunnen uitoefenen op de beslissingen van de toezichthoudende autoriteiten, volstaat om de onafhankelijke vervulling van de taken van deze autoriteiten te hinderen. Zoals de Commissie heeft opgemerkt, zou er sprake kunnen zijn van een "geanticipeerde gehoorzaamheid" van deze autoriteiten in het licht van de beslissingspraktijk van de instantie die belast is met het overheidstoezicht. Bovendien vereist de door deze autoriteiten vervulde rol van hoeders van het recht op bescherming van de persoonlijke levenssfeer dat de beslissingen van deze autoriteiten, en dus de autoriteiten zelf, boven iedere verdenking van partijdigheid staan. (...) 50. Zoals reeds is uiteengezet, is onafhankelijkheid van de toezichthoudende autoriteiten, voor zover zij niet onderhevig mogen zijn aan beïnvloeding van buitenaf die hun beslissingen kan sturen, van wezenlijk belang voor de bereiking van de doelstellingen van richtlijn 95/46. Zij is noodzakelijk om in alle Lid-Staten een gelijk niveau van bescherming van natuurlijke personen bij de verwerking van persoonsgegevens te scheppen en draagt op deze wijze bij tot het vrije verkeer van gegevens, dat noodzakelijk is voor de totstandbrenging en de werking van de interne markt. (...) 55. (...) de in artikel 28, lid 1, tweede alinea, van richtlijn 95/46 neergelegde vereiste van onafhankelijkheid in die zin dat het in de weg staat aan overheidstoezicht, niet verder dan hetgeen noodzakelijk is om de doelstellingen van het EG-Verdrag te bereiken. 56. Gelet op al het voorgaande dient te worden vastgesteld dat de Bondsrepubliek Duitsland de krachtens artikel 28, lid 1, tweede alinea, van richtlijn 95/46 op haar rustende verplichtingen niet is nagekomen doordat de autoriteiten die belast zijn met het toezicht op de verwerking van persoonsgegevens door de niet-publieke sector in de verschillende Länder aan overheidstoezicht zijn onderworpen, waardoor het vereiste dat deze autoriteiten hun taken "in volledige onafhankelijkheid" vervullen dus onjuist is uitgevoerd.
200
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 26)
Art. 25. Wanneer een vast lid verhinderd is of afwezig alsmede in het geval dat zijn mandaat openvalt, wordt het lid vervangen door zijn plaatsvervanger. }1[Het vorige lid is van toepassing bij de berekening van het aanwezigheidsquorum en, desgevallend op de stemming, bedoeld in artikel 28, tweede lid. Het vormt geen beletsel dat de Commissie vergadert in een forma-
tie die zowel de vaste leden als de plaatsvervangende leden verenigt.]1 Het vast of het plaatsvervangend lid waarvan het mandaat een einde neemt voor het verstrijken van de termijn van zes jaar wordt volgens de in artikel 24 bedoelde procedures vervangen door een vast of een plaatsvervangend lid dat voor de rest van de termijn wordt gekozen. }1. – Ingevoegd bij art. 36 wet 23 december 2005, B.S., 30 december 2005
VERVANGING VAN EEN COMMISSARIS
HUISHOUDELIJK REGLEMENT VAN DE COMMISSIE VOOR DE BESCHERMING VAN DE PERSOONLIJKE LEVENSSFEER – Artikel 7 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk II, - 2007): zowel de vaste leden als hun plaatsvervangers kunnen aan de vergaderingen deelnemen en kunnen tot verslaggever worden aangewezen. Alleen de vaste leden en de plaatsvervangende leden die een verhinderd vast lid vervangen, worden in aanmerking genomen voor de berekening van het aanwezigheidsquorum en zijn stemgerechtigd.
Art. 26. }1[§ 1.]1 De Voorzitter van de Commissie oe-
fent zijn functie voltijds uit. }2[Hij wordt van rechtswege gedetacheerd door zijn rechtscollege. Hij is belast met het dagelijks beheer van de Commissie, leidt het secretariaat, zit de vergaderingen van de Commissie in haar verschillende afdelingen voor of machtigt daartoe een ander lid en vertegenwoordigt de Commissie. Hij brengt geregeld verslag uit aan de in bestuursvergadering verenigde Commissie.]2 Tijdens de duur van zijn mandaat mag hij geen andere beroepsbezigheid uitoefenen. De Kamer die hem heeft benoemd kan afwijkingen op die onverenigbaarheid toestaan op voorwaarde dat ze de betrokkene niet beletten zijn opdracht naar behoren te vervullen. In zijn vervanging als magistraat wordt voorzien door een benoeming in overtal. Wanneer het een korpschef betreft wordt in zijn vervanging voorzien door de benoeming in overtal van een magistraat tot de onmiddellijk lagere rang.
Hij geniet een wedde die gelijkstaat met die van eerste-advocaat-generaal bij het Hof van Cassatie, alsmede de daaraan verbonden verhogingen en voordelen. Hij neemt zijn plaats op de ranglijst weer in van het ogenblik af dat hij zijn mandaat neerlegt. }3[§ 2. De voorzitter wordt in zijn functies bijgestaan door een ondervoorzitter, die door de Kamer van volksvertegenwoordigers wordt aangewezen uit de in artikel 24, § 1, bedoelde vaste leden en die tot een andere taalgroep behoort dan de voorzitter. De ondervoorzitter oefent zijn ambt voltijds uit en de bepalingen van § 1, tweede en vierde lid, zijn op hem van toepassing. Paragraaf 1, derde en vijfde lid, is van toepassing op de ondervoorzitter als die magistraat is. Ingeval de voorzitter verhinderd is, neemt de ondervoorzitter zijn taak over.]3 }1. – § 1 genummerd bij art. 4, inleidende zin, wet 26 februari 2003, B.S., 26 juni 2003, inwerkingtreding: 26 juni 2003 (art. 17, § 1, lid 2) }2. – § 1, lid 1, aangevuld bij art. 4, 1°, wet 26 februari 2003, B.S., 26 juni 2003, inwerkingtreding: 26 juni 2003 (art. 17, § 1, lid 2) }3. – § 2 toegevoegd bij art. 4, 2°, wet 26 februari 2003, B.S., 26 juni 2003, inwerkingtreding: 26 juni 2003 (art. 17, § 1, lid 2)
VOORZITTERSCHAP VOORZITTER ONDERVOORZITTER
§ 1 Voorzitterschap HUISHOUDELIJK REGLEMENT VAN DE COMMISSIE VOOR DE BESCHERMING VAN DE PERSOONLIJKE LEVENSSFEER 1.1. Organisatie van de zittingen – Artikel 2 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk I, - 2007): de voorzitter waakt over de goede werking van de Commissie. – Artikel 3 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk I, - 2007): de voorzitter roept de Commissie samen en stelt de plaats, de dag en het uur van de vergaderingen vast. Hij opent en sluit de vergaderingen. Hij leidt de debatten. Bij verhindering van de voorzitter worden zijn bevoegdheden uitgeoefend door de ondervoorzitter, die dan dezelfde bevoegdheden en verplichtingen heeft. – Artikel 4 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk I, - 2007): behoudens spoedeisende gevallen, door de voorzitter te beoordelen, worden de oproepingen tenminste acht dagen voor de vergadering aan de leden verzonden. Zij bevatten de agenda van de vergadering, vergezeld van de nodige documenten. – Artikel 5 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk I, - 2007): de voorzitter roept de Commissie bijeen wanneer tenminste drie leden erom verzoeken. Dit verzoek wordt gedaan, hetzij met een tot de voor-
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
201
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 26)
zitter gericht schrijven, hetzij op een vergadering van de Commissie. Het verzoek preciseert het voorwerp van de bijeen te roepen vergadering. De vergadering van de Commissie wordt gehouden binnen de vijftien dagen na de indiening van het verzoek, tenzij de aanvragers instemmen met een latere datum. – Artikel 6 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk I, - 2007): de voorzitter stelt de agenda vast. De agenda wordt opgedeeld in punten "A"en "B" . De aangelegenheden gerangschikt onder "B" worden ter zitting aangenomen zonder bijkomende bespreking, tenzij een lid de bespreking ervan heeft aangevraagd aan de voorzitter ten laatste om 10 uur de 2de werkdag voorafgaand aan deze van de desbetreffende zitting. De voorzitter of de administrateur verwittigt de andere leden dezelfde dag per mail. De andere aangelegenheden, gerangschikt onder "A" en deze op verzoek van een lid aldus omgevormd, worden steeds ter bespreking voorgelegd. Een aangelegenheid die niet op de agenda is vermeld, kan alleen in behandeling worden genomen mits tenminste de helft van de aanwezige leden daarmee instemt. Het lid dat de inschrijving van een punt op de agenda wenst, dient hiervoor een aanvraag in bij de voorzitter. Deze zal het punt inschrijven op de agenda van de volgende vergadering. – Artikel 7 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk I, - 2007): zowel de vaste leden als hun plaatsvervangers kunnen aan de vergaderingen deel nemen en kunnen tot verslaggever worden aangewezen. Alleen de vaste leden en de plaatsvervangende leden die een verhinderd vast lid vervangen, worden in aanmerking genomen voor de berekening van het aanwezigheidsquorum en zijn stemgerechtigd. – Artikel 8 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk I, - 2007): over de vergaderingen van de Commissie wordt een syntheseverslag opgesteld. Dit verslag wordt ondertekend door de voorzitter en de administrateur, hoofd van het secretariaat. De administrateur is belast met de bewaring van de stukken en levert de voor eensluidende verklaarde afschriften af van de akten en verslagen van de vergaderingen van de Commissie. De ontwerpen van verslag worden aan de leden van de Commissie medegedeeld. Zij worden op de eerstvolgende vergadering door de Commissie goedgekeurd.
1.2. Bevoegdheden van de voorzitter – Artikel 20 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk II, Sectie IV - 2007): onverminderd het bepaalde in het Koninklijk besluit van 13 februari 2001 ter uitvoering van de WVP, hierna het KB, kan de Commissie aanbevelingen richten tot de verantwoordelijke voor een bepaald soort verwerking of tot een bepaalde verantwoordelijke voor een verwerking. In uitvoering van artikel 26, § 1, tweede lid van de WVP, kan de voorzitter bij gelegenheid van het onderzoek van een dossier, nagaan in welke mate de behandeling ervan niet door zijn toedoen kan geschieden zonder dat het ter zitting dient te worden gebracht. Hij zal daarbij handelen in overeenstemming met de beleidslijnen bepaald door de Commissie. De voorzitter kan echter te allen tijde de behandeling op zijn niveau afbreken en het dossier formeel ter zitting brengen. Hij brengt daarover de betrokkene op de hoogte. – Artikel 23 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk II, Sectie V - 2007): in uitvoering van artikel 26, § 1, tweede lid van de WVP en de artikelen 37 tot 46 van het voormeld KB van 2001, behandelt de voorzitter alle verzoeken voor de uitoefening van een onrechtstreekse toegang. De voorzitter kan echter te allen tijde de behandeling op zijn niveau afbreken en het dossier formeel ter zitting brengen. Hij brengt daarover de betrokkene op de hoogte. Wanneer een controle gepaard gaat met een onderzoek ter plaatse wordt, onverminderd het bepaalde in artikel 43 van het voormelde KB van 2001, gehandeld met toepassing van artikel 40. – Artikel 24 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk II, Sectie VI - 2007): in uitvoering van artikel 26, § 1, tweede lid van de WVP, beantwoordt de voorzitter alle vragen om inlichtingen of om een advies of standpunt, gericht aan de Commissie. Het antwoord wordt gegeven op basis van de inlichtingen en de gegevens waarover het secretariaat voor de behandeling van het verzoek beschikt en dit onverminderd de bevoegdheid van de Commissie om daarover als collegiaal orgaan een uitspraak te doen. De verzoeker wordt daarover in het antwoord in kennis gesteld. De voorzitter kan echter te allen tijde de behandeling op zijn niveau afbreken en het dossier formeel ter zitting brengen. Hij brengt daarover de verzoeker op de hoogte. Wanneer het antwoord wordt gegeven na een beraadslaging van de Commissie ter zitting, wordt dit uitdrukkelijk vermeld. – Artikel 39 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk II, Sectie VIII - 2007): § 1. In uitvoering van artikel 26, § 1, tweede lid van de WVP, kan de voorzitter bij gelegenheid van een controle of van een inspectie aan de verantwoordelijke voor de verwerking een inlichtingenblad laten invullen en alle bijkomende vragen om uitleg stellen die nuttig kunnen zijn om zich een beeld te vormen over de wijze van verwerking. Hij
202
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 29)
kan ook aan derden inlichtingen vragen. De verantwoordelijke voor de verwerking heeft het recht alle bijkomende informatie en toelichting te verstrekken die hij nodig acht. Wanneer een onderzoek ter plaatse noodzakelijk is, wordt gehandeld in overeenstemming met de bepalingen van artikel 40.
1.3. Administratief beheer, begroting en boekhouding – Artikel 46 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk III - 2007): in toepassing van de artikelen 26, 34 en 35 van de WVP komt de Commissie bijeen voor de behandeling van alle aangelegenheden met betrekking tot het administratief beheer, de begroting, het bestuursplan, de personele en materiële middelen en de rapportering over de werkzaamheden. De dossiers worden ingeleid door de voorzitter bijgestaan door de administrateur. – Artikel 47 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk III - 2007): binnen de maand na de goedkeuring van dit reglement stelt de Commissie, op voorstel van de voorzitter, twee commissarissen aan voor het nazicht van de rekeningen van de Commissie. Ze vervullen de taken die zijn opgelegd in het reglement betreffende de begroting- boekhoudingprocedure, zoals goedgekeurd door de Commissie. – Artikel 48 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk III - 2007): binnen de maand na de goedkeuring van dit reglement stelt de Commissie, op voorstel van de voorzitter, de raden van beroep samen die zijn voorzien in artikel 84 van het statuut van de ambtenaren van het secretariaat, zoals goedgekeurd door de Kamer van Volksvertegenwoordigers.
Art. 27. }1[Alvorens hun ambt te aanvaarden, leggen de voorzitter, de ondervoorzitter, de andere vaste leden en de plaatsvervangende leden in handen van de voorzitter van de Kamer van volksvertegenwoordigers de volgende eed af:]1
Art. 28. De Commissie voor de bescherming van de persoonlijke levenssfeer moet binnen een maand na haar instelling, haar reglement van orde opstellen. Het wordt medegedeeld aan de Wetgevende Kamers. De Commissie beraadslaagt slechts dan op geldige wijze, wanneer ten minste de meerderheid van haar leden aanwezig is. Zij beslist bij volstrekte meerderheid. Bij staking van de stemmen is de stem van de Voorzitter of bij diens afwezigheid, van zijn plaatsvervanger doorslaggevend.
«Ik zweer de plichten van mijn opdracht gewetensvol en onpartijdig te vervullen». }1. – Inleidende zin vervangen bij art. 5 wet 26 februari 2003, B.S., 26 juni 2003, inwerkingtreding: 26 juni 2003 (art. 17, § 1, lid 2)
REGLEMENT VAN ORDE – QUORUM – WIJZE VAN BESLISSEN
Reglement van orde - quorum - wijze van beslissen HUISHOUDELIJK REGLEMENT VAN DE COMMISSIE VOOR DE BESCHERMING VAN DE PERSOONLIJKE LEVENSSFEER – Huishoudelijk Reglement van de CBPL (2007): op 11 april keurde de CBPL een tweede huishoudelijk reglement goed dat het eerste reglement van 5 april 1995 vervangt en vernietigt.
Art. 29. § 1. De Commissie dient van advies, hetzij uit eigen beweging, hetzij op verzoek van de Regering, van de Wetgevende Kamers, van de Gemeenschaps- of }1[gewestregeringen]1, van de Gemeenschaps- of }2[Gewestparlementen]2, van het Verenigd College of van de Verenigde Vergadering bedoeld in artikel 60 van de bijzondere wet van 12 januari 1989 met betrekking tot de Brusselse instellingen, of van een toezichtcomité, omtrent iedere aangelegenheid die betrekking heeft op de toepassing van de grondbeginselen van de bescherming van de persoonlijke levenssfeer, in het kader van deze wet en van de wetten die bepalingen bevatten inzake de bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens. § 2. Elk verzoek wordt bij de Commissie ingediend bij ter post aangetekende brief. Tenzij de wet anders bepaalt, brengt de Commissie advies uit binnen zestig dagen nadat alle daartoe noodzakelijke gegevens aan de Commissie zijn medegedeeld. § 3. In de gevallen waar het advies van de Commissie door of krachtens een wet, een decreet of een ordonnan-
tie vereist is, mag aan deze vereiste voorbijgegaan worden wanneer het advies niet werd verleend binnen de termijn bedoeld in paragraaf 2. In de gevallen waar het advies van de Commissie vereist is krachtens een bepaling van deze wet, met uitzondering van artikel 11, wordt de termijn bedoeld in § 2 in speciaal gemotiveerde dringende gevallen verminderd tot ten minste vijftien dagen. § 4. De adviezen van de Commissie zijn met redenen omkleed. § 5. De Commissie deelt haar advies aan de betrokken overheid mede. Een afschrift van het advies wordt medegedeeld aan de minister van Justitie. In de gevallen waar het advies van de Commissie vereist is, wordt het samen met de reglementsbepaling waarop het betrekking heeft, in het Belgisch Staatsblad bekendgemaakt. }1. – § 1 gewijzigd bij art. 24, 1°, wet 27 maart 2006, B.S., 11 april 2006 }2. – § 1 gewijzigd bij art. 24, 2°, wet 27 maart 2006, B.S., 11 april 2006
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
203
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 29)
ADVIES
§ 1 Advies 1. VERWIJZING NAAR ANDERE WETGEVING – Artikel 60 van de Bijzondere wet van 12 januari 1989 met betrekking tot de Brusselse Instellingen, B.S. 14 januari 1989: Er zijn drie instellingen met rechtspersoonlijkheid voor de uitoefening van de bevoegdheden bedoeld bij de artikelen 59bis, § 4bis, tweede lid, en 108ter, § 3, van de Grondwet. De instelling die bevoegd is voor de aangelegenheden van de Vlaamse Gemeenschap van Brussel-Hoofdstad, hierna "de Vlaamse Gemeenschapscommissie" genoemd, heeft als organen de Nederlandse taalgroep van de Raad van het Brusselse Hoofdstedelijk Gewest en een college bestaande uit de leden van de Brusselse Hoofdstedelijke Regering en de gewestelijke staatssecretarissen die tot de Nederlandse taalgroep behoren. De instelling die bevoegd is voor de aangelegenheden van de Franse Gemeenschap van Brussel-Hoofdstad, hierna "de Franse Gemeenschapscommissie" genoemd, heeft als organen de Franse taalgroep van de Raad van het Brusselse Hoofdstedelijk Gewest en een college bestaande uit de leden van de Brusselse Hoofdstedelijke Regering en de gewestelijke staatssecretarissen die tot de Franse taalgroep behoren. De instelling die bevoegd is voor de gemeenschapsaangelegenheden gemeen aan beide Gemeenschappen van Brussel-Hoofdstad, hierna "de Gemeenschappelijke Gemeenschapscommissie" genoemd, heeft als organen een verenigde vergadering bestaande uit de leden van de taalgroepen bedoeld bij het tweede en het derde lid en een verenigd college bestaande uit de leden van de Brusselse Hoofdstedelijke Regering. Voor de bevoegdheden die de Vlaamse Gemeenschapscommissie alleen uitoefent omvat de in het tweede lid bedoelde taalgroep bovendien vijf leden die overeenkomstig artikel 60bis worden verkozen. Binnen de beperkingen van artikel 25 en onverminderd artikel 83, bepaalt de Vergadering van de Vlaamse Gemeenschapscommissie het bedrag van de aan deze vijf leden toegekende vergoeding, alsook hun pensioenstelsel en de terugbetaling van hun verplaatsingskosten. De lasten die voortvloeien uit de toepassing van het vijfde en het zesde lid worden gefinancierd middels de begroting van de Vlaamse Gemeenschapscommissie.
2. INTERNATIONALE WETGEVING – Artikel 28 § 2 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): elke Lid-Staat bepaalt dat de toezichthoudende autoriteiten worden geraadpleegd bij de opstelling van de wettelijke of bestuursrechtelijke bepalingen met betrekking tot de bescherming van de rechten en vrijheden van personen in verband met de verwerking van persoonsgegevens.
§ 2 - § 3 Procedure en termijn 1. HUISHOUDELIJK REGLEMENT VAN DE COMMISSIE VOOR DE BESCHERMING VAN DE PERSOONLIJKE LEVENSSFEER (artikelen 9 tot 17) Wat betreft de adviezen – Artikel 9 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk II, Sectie I - 2007): voor elk advies, elke aanbeveling, elke aan de Commissie gerichte klacht of elk verzoek, of voor elke aangelegenheid die de voorzitter nuttig oordeelt, wijst hij één of meerdere verslaggevers aan. De voorzitter zorgt voor de ondersteuning van de verslaggever door een ambtenaar van het secretariaat. De verslaggever kan de ambtenaar aansturen bij de werkzaamheden. – Artikel 10 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk II, Sectie I - 2007): de voorzitter of de verslaggever kan aan de verzoekende partij, aan de klager, aan elke overheid, aan elke verantwoordelijke van een verwerking, of aan een derde, alle inlichtingen vragen die hij nodig oordeelt. Hij kan ze, gezamenlijk of afzonderlijk, uitnodigen voor een verhoor. De voorzitter of verslaggever kan beslissen ter plaatse te gaan. De voorzitter of de verslaggever brengt bij de Commissie verslag uit van zijn handelingen. – Artikel 11 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk II, Sectie I - 2007): de verslaggever stelt een ontwerp van beslissing op. Bij het onderzoek van het dossier en bij de voorbereiding van de besluitvorming zal aandacht worden geschonken aan het feitelijk en wettelijk kader, de toetsing aan de principes voor een verwerking van persoonsgegevens in het bijzonder en het impact op de persoonlijke levenssfeer van de betrokkenen. Zo nodig zullen deze elementen in het voorstel van beslissing worden opgenomen. – Artikel 12 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk II, Sectie I - 2007): de Commissie vergadert en beraadslaagt als college. De Commissie vergadert met gesloten deuren tenzij zij uitdrukkelijk beslist de zitting openbaar te laten verlopen.
204
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 29)
Elke bespreking van een dossier "A" wordt ingeleid door de verslaggever waarna elk lid vragen kan stellen en zijn standpunt, inzonderheid over het voorstel tot beslissing, kan uiten. De voorzitter gaat na welk gemeenschappelijk standpunt kan ingenomen worden. Zo nodig wordt overgegaan tot stemming met naleving van artikel 28, tweede lid van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (hierna WVP). De voorzitter legt de verschillende vragen en eventuele alternatieven voor aan de Commissie zodat over elk vraagpunt of standpunt afzonderlijk kan beslist worden. Het proces-verbaal van de vergadering vermeldt uitdrukkelijk de gestelde vragen en het resultaat van de stemming. Over het geheel van de door de stemming bereikte beslissing wordt globaal gestemd. De stemming is verplicht wanneer een lid dit uitdrukkelijk vraagt. De stemming gebeurt bij handopsteking. – Artikel 13 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk II, Sectie I - 2007): § 1. Wanneer het noodzakelijk is voor de goede werking van de Commissie of voor de naleving van de wettelijke termijnen, kan de Commissie, na bespreking ter zitting, beslissen de behandeling van de beraadslaging over de ontwerpen van adviezen, aanbevelingen, machtigingen en andere beslissingen verder te zetten volgens een schriftelijke procedure. De voorzitter verstuurt de ontwerpen aangepast volgens de beslissingen van de Commissie ter zitting, aan de leden en bepaalt de termijn en de modaliteiten voor hun eventuele reactie. Deze procedure strekt ertoe zich uit te spreken over de conformiteit van de aanpassing aan de ter zitting genomen beslissing. Op basis van de ingestuurde reacties zal de voorzitter het ontwerp aanpassen, dan wel beslissen tot bijkomende agendering op een volgende nuttige zitting. Indien het ontwerp onverkort kan worden afgewerkt zonder bijkomende zitting, krijgt het de dagtekening van de laatste zitting waarop het werd behandeld. § 2. Wanneer het noodzakelijk is voor de goede werking van de Commissie en/of in dringende gevallen kan de voorzitter beslissen een ontwerp van besluitvorming via een schriftelijke procedure te laten behandelen. De voorzitter verstuurt het desbetreffende document aan de leden en bepaalt de termijn en de modaliteiten voor hun eventuele reactie. Deze termijn kan niet korter zijn dan 48 uur. Op basis van de ingestuurde reacties zal de voorzitter het ontwerp aanpassen, dan wel beslissen tot een agendering op een volgende nuttige zitting. De goedgekeurde beslissing van de Commissie krijgt al naar gelang het geval de dagtekening van de zitting waarop ze het laatst werd besproken en, indien het niet ter zitting is behandeld, waarop de voorzitter het document in definitieve versie zal hebben ondertekend. – Artikel 16 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk II, Sectie I - 2007): voor de behandeling van de aanvragen om advies bedoeld in artikel 29 van de WVP, gaat de voorzitter of de verslaggever zo snel mogelijk na of alle voor het advies noodzakelijke gegevens aan de Commissie zijn medegedeeld. In voorkomend geval richt de voorzitter of de verslaggever zich tot de betrokken overheid met de vraag tot mededeling van de door hem te preciseren gegevens. De betrokken overheid wordt erop gewezen dat de termijn bepaald in artikel 29, § 2 of § 3, van de WVP slechts begint te lopen vanaf het ogenblik dat die gegevens aan de Commissie worden medegedeeld. – Artikel 17 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk II, Sectie I - 2007): het advies vermeldt of het gunstig of ongunstig is, desgevallend onder de vermelding van de voorwaarden waarvan deze conclusie afhankelijk is.
§ 4 - § 5 Motivatie - bekendmaking 1. HUISHOUDELIJK REGLEMENT VAN DE COMMISSIE VOOR DE BESCHERMING VAN DE PERSOONLIJKE LEVENSSFEER Wat de kennisgeving betreft – Artikel 14 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk II, Sectie I - 2007): § 1. De Commissie kan haar adviezen, aanbevelingen en beslissingen, naast de door of krachtens de wet opgelegde kennisgeving ervan, ook op een andere wijze openbaar maken. De bijkomende openbaarmaking bedoeld in het vorige lid vormt het voorwerp van een afzonderlijke beslissing. In afwijking van het bepaalde in het tweede lid, worden de adviezen en de aanbevelingen bedoeld in respectievelijk de artikelen 29 en 30, § 1 van de WVP bekendgemaakt op de website van de Commissie. Uitzonderlijk kan de Commissie echter beslissen op met redenen omklede wijze het advies of de aanbeveling niet op de website te plaatsen. De aanvrager van een advies bedoeld in artikel 29 van de WVP kan vragen, bij gemotiveerd verzoek, dat het advies niet bekend wordt gemaakt. De Commissie dient daarop in te gaan tenzij de Commissie van oordeel is dat dit niet strookt met de beginselen van de democratische rechtstaat en de rechten van de mens. De Commissie motiveert deze weigering en maakt deze bekend in bijlage van het advies.
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
205
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 30)
§ 2. De Commissie bouwt een website waarop ze in overeenstemming met de vorige paragraaf en behoudens de voormelde uitzonderingen, al haar beslissingen bekend maakt. Het openbaar register en het systeem van de aangiften als bedoeld in de WVP worden via deze website beschikbaar gesteld. Op de website is ruimte voorzien voor de verscheidene sectorale comités.
Art. 30. § 1. De Commissie kan aanbevelingen richten, hetzij uit eigen beweging, hetzij op verzoek van de Regering, van de Wetgevende Kamers, van de Gemeenschaps- of }1[gewestregeringen]1, van de Gemeenschaps of }2[Gewestparlementen]2, van het Verenigd College of van de Verenigde Vergadering bedoeld in artikel 60 van de bijzondere wet van 12 januari 1989 met betrekking tot de Brusselse instellingen, of van een toezichtcomité, omtrent iedere aangelegenheid die betrekking heeft op de toepassing van de grondbeginselen van de bescherming van de persoonlijke levenssfeer in het kader van deze wet en van de wetten die bepalingen bevatten in-
zake de bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens. § 2. Alvorens een aanbeveling te richten tot een bepaalde }3[verantwoordelijke voor de verwerking]3, geeft de Commissie de houder van het bestand de gelegenheid zijn standpunt te doen kennen. § 3. De aanbevelingen van de Commissie zijn met redenen omkleed. Een afschrift van elke aanbeveling wordt medegedeeld aan de Minister van Justitie. }1. – § 1 gewijzigd bij art. 25, 1°, wet 27 maart 2006, B.S., 11 april 2006 }2. – § 1 gewijzigd bij art. 25, 2°, wet 27 maart 2006, B.S., 11 april 2006 }3. – § 2 gewijzigd bij art. 33 wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001)
BEVOEGDHEID AANBEVELING
§ 1 Bevoegdheid aanbeveling 1. VERWIJZING NAAR ANDERE WETGEVING – Artikel 60 van de Bijzondere wet van 12 januari 1989 met betrekking tot de Brusselse Instellingen, B.S. 14 januari 1989: er zijn drie instellingen met rechtspersoonlijkheid voor de uitoefening van de bevoegdheden bedoeld bij de artikelen 59bis, § 4bis, tweede lid, en 108ter, § 3, van de Grondwet. De instelling die bevoegd is voor de aangelegenheden van de Vlaamse Gemeenschap van Brussel-Hoofdstad, hierna "de Vlaamse Gemeenschapscommissie" genoemd, heeft als organen de Nederlandse taalgroep van de Raad van het Brusselse Hoofdstedelijk Gewest en een college bestaande uit de leden van de Brusselse Hoofdstedelijke Regering en de gewestelijke staatssecretarissen die tot de Nederlandse taalgroep behoren. De instelling die bevoegd is voor de aangelegenheden van de Franse Gemeenschap van Brussel-Hoofdstad, hierna "de Franse Gemeenschapscommissie" genoemd, heeft als organen de Franse taalgroep van de Raad van het Brusselse Hoofdstedelijk Gewest en een college bestaande uit de leden van de Brusselse Hoofdstedelijke Regering en de gewestelijke staatssecretarissen die tot de Franse taalgroep behoren. De instelling die bevoegd is voor de gemeenschapsaangelegenheden gemeen aan beide Gemeenschappen van Brussel-Hoofdstad, hierna "de Gemeenschappelijke Gemeenschapscommissie" genoemd, heeft als organen een verenigde vergadering bestaande uit de leden van de taalgroepen bedoeld bij het tweede en het derde lid en een verenigd college bestaande uit de leden van de Brusselse Hoofdstedelijke Regering. Voor de bevoegdheden die de Vlaamse Gemeenschapscommissie alleen uitoefent omvat de in het tweede lid bedoelde taalgroep bovendien vijf leden die overeenkomstig artikel 60bis worden verkozen. Binnen de beperkingen van artikel 25 en onverminderd artikel 83, bepaalt de Vergadering van de Vlaamse Gemeenschapscommissie het bedrag van de aan deze vijf leden toegekende vergoeding, alsook hun pensioenstelsel en de terugbetaling van hun verplaatsingskosten. De lasten die voortvloeien uit de toepassing van het vijfde en het zesde lid worden gefinancierd middels de begroting van de Vlaamse Gemeenschapscommissie.
§ 2 Procedure - aanbeveling 1. HUISHOUDELIJK REGLEMENT VAN DE COMMISSIE VOOR DE BESCHERMING VAN DE PERSOONLIJKE LEVENSSFEER – Artikel 9 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk II, Sectie IV - 2007): voor elk advies, elke aanbeveling, elke aan de Commissie gerichte klacht of elk verzoek, of voor elke aangelegenheid die de voorzitter nuttig oordeelt, wijst hij één of meerdere verslaggevers aan De voorzitter zorgt voor de ondersteuning van de verslaggever door een ambtenaar van het secretariaat. De verslaggever kan de ambtenaar aansturen bij de werkzaamheden. – Artikel 10 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk II, Sectie IV - 2007): de voorzitter of de verslaggever kan aan de verzoekende partij, aan de klager, aan elke overheid, aan elke verantwoordelijke van
206
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 30)
een verwerking, of aan een derde, alle inlichtingen vragen die hij nodig oordeelt. Hij kan ze, gezamenlijk of afzonderlijk, uitnodigen voor een verhoor. De voorzitter of verslaggever kan beslissen ter plaatse te gaan. De voorzitter of de verslaggever brengt bij de Commissie verslag uit van zijn handelingen. – Artikel 11 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk II, Sectie IV - 2007): de verslaggever stelt een ontwerp van beslissing op. Bij het onderzoek van het dossier en bij de voorbereiding van de besluitvorming zal aandacht worden geschonken aan het feitelijk en wettelijk kader, de toetsing aan de principes voor een verwerking van persoonsgegevens in het bijzonder en het impact op de persoonlijke levenssfeer van de betrokkenen. Zo nodig zullen deze elementen in het voorstel van beslissing worden opgenomen. – Artikel 12 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk II, Sectie IV - 2007): de Commissie vergadert en beraadslaagt als college. De Commissie vergadert met gesloten deuren tenzij zij uitdrukkelijk beslist de zittingopenbaar te laten verlopen. Elke bespreking van een dossier "A" wordt ingeleid door de verslaggever waarna elk lid vragen kan stellen en zijn standpunt, inzonderheid over het voorstel tot beslissing, kan uiten. De voorzitter gaat na welk gemeenschappelijk standpunt kan ingenomen worden. Zo nodig wordt overgegaan tot stemming met naleving van artikel 28, tweede lid van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (hierna WVP). De voorzitter legt de verschillende vragen en eventuele alternatieven voor aan de Commissie zodat over elk vraagpunt of standpunt afzonderlijk kan beslist worden. Het proces-verbaal van de vergadering vermeldt uitdrukkelijk de gestelde vragen en het resultaat van de stemming. Over het geheel van de door de stemming bereikte beslissing wordt globaal gestemd. De stemming is verplicht wanneer een lid dit uitdrukkelijk vraagt. De stemming gebeurt bij handopsteking. – Artikel 13 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk II, Sectie IV - 2007): § 1. Wanneer het noodzakelijk is voor de goede werking van de Commissie of voor de naleving van de wettelijke termijnen, kan de Commissie, na bespreking ter zitting, beslissen de behandeling van de beraadslaging over de ontwerpen van adviezen, aanbevelingen, machtigingen en andere beslissingen verder te zetten volgens een schriftelijke procedure. De voorzitter verstuurt de ontwerpen aangepast volgens de beslissingen van de Commissie ter zitting, aan de leden en bepaalt de termijn en de modaliteiten voor hun eventuele reactie. Deze procedure strekt ertoe zich uit te spreken over de conformiteit van de aanpassing aan de ter zitting genomen beslissing. Op basis van de ingestuurde reacties zal de voorzitter het ontwerp aanpassen, dan wel beslissen tot bijkomende agendering op een volgende nuttige zitting. Indien het ontwerp onverkort kan worden afgewerkt zonder bijkomende zitting, krijgt het de dagtekening van de laatste zitting waarop het werd behandeld. § 2. Wanneer het noodzakelijk is voor de goede werking van de Commissie en/of in dringende gevallen kan de voorzitter beslissen een ontwerp van besluitvorming via een schriftelijke procedure te laten behandelen. De voorzitter verstuurt het desbetreffende document aan de leden en bepaalt de termijn en de modaliteiten voor hun eventuele reactie. Deze termijn kan niet korter zijn dan 48 uur. Op basis van de ingestuurde reacties zal de voorzitter het ontwerp aanpassen, dan wel beslissen tot een agendering op een volgende nuttige zitting. De goedgekeurde beslissing van de Commissie krijgt al naar gelang het geval de dagtekening van de zitting waarop ze het laatst werd besproken en, indien het niet ter zitting is behandeld, waarop de voorzitter het document in definitieve versie zal hebben ondertekend. – Artikel 20 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk II, Sectie IV - 2007): onverminderd het bepaalde in het Koninklijk besluit van 13 februari 2001 ter uitvoering van de WVP, hierna het KB, kan de Commissie aanbevelingen richten tot de verantwoordelijke voor een bepaald soort verwerking of tot een bepaalde verantwoordelijke voor een verwerking. In uitvoering van artikel 26, §1, tweede lid van de WVP, kan de voorzitter bij gelegenheid van het onderzoek van een dossier, nagaan in welke mate de behandeling ervan niet door zijn toedoen kan geschieden zonder dat het ter zitting dient te worden gebracht. Hij zal daarbij handelen in overeenstemming met de beleidslijnen bepaald door de Commissie. De voorzitter kan echter te allen tijde de behandeling op zijn niveau afbreken en het dossier formeel ter zitting brengen. Hij brengt daarover de betrokkene op de hoogte. – Artikel 21 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk II, Sectie IV - 2007): alvorens een aanbeveling te richten tot een bepaalde verantwoordelijke voor een verwerking, geeft de Commissie of de voorzitter deze de gelegenheid om, binnen een door haar, de voorzitter of de verslaggever bepaalde termijn, schriftelijk zijn standpunt te doen kennen.
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
207
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 31)
§ 3 Kennisgeving - Publiciteit 1. HUISHOUDELIJK REGLEMENT VAN DE COMMISSIE VOOR DE BESCHERMING VAN DE PERSOONLIJKE LEVENSSFEER 1.1. Wat de kennisgeving betreft – Artikel 14 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk II, Sectie IV - 2007): § 1. De Commissie kan haar adviezen, aanbevelingen en beslissingen, naast de door of krachtens de wet opgelegde kennisgeving ervan, ook op een andere wijze openbaar maken. De bijkomende openbaarmaking bedoeld in het vorige lid vormt het voorwerp van een afzonderlijke beslissing. In afwijking van het bepaalde in het tweede lid, worden de adviezen en de aanbevelingen bedoeld in respectievelijk de artikelen 29 en 30, § 1 van de WVP bekendgemaakt op de website van de Commissie. Uitzonderlijk kan de Commissie echter beslissen op met redenen omklede wijze het advies of de aanbeveling niet op de website te plaatsen. De aanvrager van een advies bedoeld in artikel 29 van de WVP kan vragen, bij gemotiveerd verzoek, dat het advies niet bekend wordt gemaakt. De Commissie dient daarop in te gaan tenzij de Commissie van oordeel is dat dit niet strookt met de beginselen van de democratische rechtstaat en de rechten van de mens. De Commissie motiveert deze weigering en maakt deze bekend in bijlage van het advies. § 2. De Commissie bouwt een website waarop ze in overeenstemming met de vorige paragraaf en behoudens de voormelde uitzonderingen, al haar beslissingen bekend maakt. Het openbaar register en het systeem van de aangiften als bedoeld in de WVP worden via deze website beschikbaar gesteld. Op de website is ruimte voorzien voor de verscheidene sectorale comités.
Art. 31. § 1. Onverminderd enige vordering voor de rechtbanken en tenzij de wet anders bepaalt, onderzoekt de Commissie de getekende en gedateerde klachten die haar worden toegestuurd. Deze klachten kunnen betrekking hebben op haar opdracht in verband met de bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens of op andere opdrachten die haar door de wet zijn toevertrouwd. § 2. De rechtspleging wordt geregeld in het reglement van orde. Dit voorziet in de uitoefening van een recht van verdediging. § 3. De Commissie onderzoekt of de klacht ontvankelijk is. Ten aanzien van ontvankelijke klachten vervult de Commissie elke bemiddelingstaak die zij nuttig oordeelt. Zo een minnelijke schikking tussen de partijen wordt bereikt, op basis van het respect voor de persoonlijke levenssfeer, stelt zij een procesverbaal op, waarin de bereikte oplossing wordt uiteengezet. Zo geen min-
nelijke schikking wordt bereikt, geeft de Commissie een advies over de gegrondheid van de klacht. Zij kan het advies vergezeld doen gaan van aanbevelingen aan de }1[verantwoordelijke voor de verwerking]1. § 4. De beslissingen, adviezen en aanbevelingen van de Commissie zijn met redenen omkleed. § 5. De Commissie deelt haar beslissing, advies of aanbeveling mede aan de klager, de }2[verantwoordelijke voor de verwerking]2 en alle andere in de rechtspleging betrokken partijen. Een afschrift van de beslissing, het advies of de aanbevelingen wordt medegedeeld aan de Minister van Justitie. }1. – § 3 gewijzigd bij art. 34 wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001) }2. – § 5, lid 1, gewijzigd bij art. 34 wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001)
BEVOEGDHEID BEHANDELING VAN KLACHTEN
§ 1 Bevoegdheid behandeling van klachten Controle-autoriteit INTERNATIONALE WETGEVING – Artikel 1. 2 b) van het Additional Protocol to the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data regarding supervisory authorities and transborder data flows (2001): each supervisory authority shall hear claims lodged by any person concerning the protection of his/her rights and fundamental freedoms with regard to the processing of personal data within its competence. – Explanatory Report of the Additional Protocol to the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data regarding supervisory authorities and transborder data flows (2001) (punt 19): moreover, in cases where the supervisory authority does not itself have judicial competence, the intervention of a supervisory authority shall not constitute an obstacle to the possibility for the individual to have a judicial remedy. Zie ook punt 14 van het Explanatory report. – Artikel 28 § 4 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): een ieder kan in eigen persoon of door middel van een vereniging die als zijn verte-
208
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 31)
genwoordiger optreedt bij elke toezichthoudende autoriteit een verzoek indienen met betrekking tot de bescherming van zijn rechten en vrijheden in verband met de verwerking van persoonsgegevens. Hij wordt van het gevolg dat daaraan wordt gegeven in kennis gesteld. – Overweging 63 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): overwegende dat die autoriteiten over de nodige middelen dienen te beschikken om hun taak te vervullen, of het nu gaat om onderzoekbevoegdheden, om het recht om actief in te grijpen, met name wanneer bij hen klachten aanhangig worden gemaakt, dan wel om de bevoegdheid om in rechte op te treden; dat die autoriteiten moeten bijdragen tot de doorzichtigheid van de verwerking van gegevens in hun Lid-Staat; – International Standards on the Protection of Personal Data and Privacy (2009) (The Madrid Resolution): resolutie goedgekeurd op 5 november 2009 door de Internationale Conferentie van de commissarissen voor de bescherming van gegevens en de privacy. Principe nr.23: Monitoring :1. In every State there shall be one or more supervisory authorities, in accordance with its domestic law, that will be responsible for supervising the observance of the principles set out in this Document.2. These supervisory authorities shall be impartial and independent, and will have technical competence, sufficient powers and adequate resources to deal with the claims filed by the data subjects, and to conduct investigations and interventions where necessary to ensure compliance with the applicable national legislation on the protection of privacy with regard to the processing of personal data. (…)
Gewoon beroep bij rechtbanken INTERNATIONALE WETGEVING – Artikels 22 en 23 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): (22) onverminderd de administratieve voorziening die met name bij de in artikel 28 bedoelde toezichthoudende autoriteit kan worden getroffen voordat de zaak aanhangig wordt gemaakt voor de rechter, bepalen de Lid-Staten dat een ieder zich tot de rechter kan wenden wanneer de rechten die hem worden gegarandeerd door het op de betrokken verwerking toepasselijke nationale recht geschonden worden. (23) De Lid-Staten bepalen dat een ieder die schade heeft geleden ten gevolge van een onrechtmatige verwerking of van enige andere daad die onverenigbaar is met de ter uitvoering van deze Richtlijn vastgestelde nationale bepalingen het recht heeft van de voor de verwerking verantwoordelijke vergoeding van de geleden schade te verkrijgen. – Overweging 55 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): overwegende dat in geval van niet-eerbiediging van de rechten van de betrokkenen door de voor de verwerking verantwoordelijke, krachtens de nationale wetgeving een beroep op de rechter mogelijk moet zijn; dat de schade die de betrokkenen ten gevolge van een onrechtmatige verwerking kunnen lijden, moet worden hersteld door de voor de verwerking verantwoordelijke, die van zijn aansprakelijkheid kan worden vrijgesteld indien hij bewijst dat het schade veroorzakende feit hem niet kan worden toegerekend, met name wanneer hij aantoont dat er sprake is van een fout van de betrokkene of van overmacht; dat voor iedere privaatrechtelijke dan wel publiekrechtelijke persoon die de ter uitvoering van deze Richtlijn vastgestelde nationale bepalingen niet in acht neemt, sancties moeten gelden; – International Standards on the Protection of Personal Data and Privacy (2009) (The Madrid Resolution): resolutie goedgekeurd op 5 november 2009 door de Internationale Conferentie van de commissarissen voor de bescherming van gegevens en de privacy. Principe nr.23: Monitoring : 1. In every State there shall be one or more supervisory authorities, in accordance with its domestic law, that will be responsible for supervising the observance of the principles set out in this Document. 2. These supervisory authorities shall be impartial and independent, and will have technical competence, sufficient powers and adequate resources to deal with the claims filed by the data subjects, and to conduct investigations and interventions where necessary to ensure compliance with the applicable national legislation on the protection of privacy with regard to the processing of personal data. 3. In any case, without prejudice to any administrative remedy before the supervisory authorities referred to in the preceding paragraphs, including judicial oversight of their decisions, data subjects may have a direct recourse to the courts to enforce their rights under the provisions laid down in the applicable national legislation.
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
209
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 31)
PROCEDURE
§ 2-3 Procedure HUISHOUDELIJK REGLEMENT VAN DE COMMISSIE VOOR DE BESCHERMING VAN DE PERSOONLIJKE LEVENSSFEER (artikelen 25 tot 36) – Artikel 9 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk II, Sectie VII - 2007): voor elk advies, elke aanbeveling, elke aan de Commissie gerichte klacht of elk verzoek, of voor elke aangelegenheid die de voorzitter nuttig oordeelt, wijst hij één of meerdere verslaggevers aan. De voorzitter zorgt voor de ondersteuning van de verslaggever door een ambtenaar van het secretariaat. De verslaggever kan de ambtenaar aansturen bij de werkzaamheden. – Artikel 10 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk II, Sectie VII - 2007): de voorzitter of de verslaggever kan aan de verzoekende partij, aan de klager, aan elke overheid, aan elke verantwoordelijke van een verwerking, of aan een derde, alle inlichtingen vragen die hij nodig oordeelt. Hij kan ze, gezamenlijk of afzonderlijk, uitnodigen voor een verhoor. De voorzitter of verslaggever kan beslissen ter plaatse te gaan. De voorzitter of de verslaggever brengt bij de Commissie verslag uit van zijn handelingen. – Artikel 11 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk II, Sectie VII - 2007): de verslaggever stelt een ontwerp van beslissing op. Bij het onderzoek van het dossier en bij de voorbereiding van de besluitvorming zal aandacht worden geschonken aan het feitelijk en wettelijk kader, de toetsing aan de principes voor een verwerking van persoonsgegevens in het bijzonder en het impact op de persoonlijke levenssfeer van de betrokkenen. Zo nodig zullen deze elementen in het voorstel van beslissing worden opgenomen. – Artikel 12 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk II, Sectie VII - 2007): de Commissie vergadert en beraadslaagt als college. De Commissie vergadert met gesloten deuren tenzij zij uitdrukkelijk beslist de zitting openbaar te laten verlopen. Elke bespreking van een dossier "A" wordt ingeleid door de verslaggever waarna elk lid vragen kan stellen en zijn standpunt, inzonderheid over het voorstel tot beslissing, kan uiten. De voorzitter gaat na welk gemeenschappelijk standpunt kan ingenomen worden. Zo nodig wordt overgegaan tot stemming met naleving van artikel 28, tweede lid van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (hierna WVP). De voorzitter legt de verschillende vragen en eventuele alternatieven voor aan de Commissie zodat over elk vraagpunt of standpunt afzonderlijk kan beslist worden. Het proces-verbaal van de vergadering vermeldt uitdrukkelijk de gestelde vragen en het resultaat van de stemming. Over het geheel van de door de stemming bereikte beslissing wordt globaal gestemd. De stemming is verplicht wanneer een lid dit uitdrukkelijk vraagt. De stemming gebeurt bij handopsteking. – Artikel 13 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk II, Sectie VII - 2007): § 1. Wanneer het noodzakelijk is voor de goede werking van de Commissie of voor de naleving van de wettelijke termijnen, kan de Commissie, na bespreking ter zitting, beslissen de behandeling van de beraadslaging over de ontwerpen van adviezen, aanbevelingen, machtigingen en andere beslissingen verder te zetten volgens een schriftelijke procedure. De voorzitter verstuurt de ontwerpen aangepast volgens de beslissingen van de Commissie ter zitting, aan de leden en bepaalt de termijn en de modaliteiten voor hun eventuele reactie. Deze procedure strekt ertoe zich uit te spreken over de conformiteit van de aanpassing aan de ter zitting genomen beslissing. Op basis van de ingestuurde reacties zal de voorzitter het ontwerp aanpassen, dan wel beslissen tot bijkomende agendering op een volgende nuttige zitting. Indien het ontwerp onverkort kan worden afgewerkt zonder bijkomende zitting, krijgt het de dagtekening van de laatste zitting waarop het werd behandeld. § 2. Wanneer het noodzakelijk is voor de goede werking van de Commissie en/of in dringende gevallen kan de voorzitter beslissen een ontwerp van besluitvorming via een schriftelijke procedure te laten behandelen. De voorzitter verstuurt het desbetreffende document aan de leden en bepaalt de termijn en de modaliteiten voor hun eventuele reactie. Deze termijn kan niet korter zijn dan 48 uur. Op basis van de ingestuurde reacties zal de voorzitter het ontwerp aanpassen, dan wel beslissen tot een agendering op een volgende nuttige zitting. De goedgekeurde beslissing van de Commissie krijgt al naar gelang het geval de dagtekening van de zitting waarop ze het laatst werd besproken en, indien het niet ter zitting is behandeld, waarop de voorzitter het document in definitieve versie zal hebben ondertekend. – Artikel 25 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk II, Sectie VII - 2007): § 1. De personen die van een belang doen blijken, kunnen bij de Commissie klacht indienen.
210
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 31)
De klacht dient door de klager ondertekend en gedateerd te worden. Wanneer de klacht bij elektronisch bericht wordt verstuurd dient zij een elektronische handtekening te bevatten. Is dit niet geval dan zal de klacht slechts kunnen worden behandeld na een schriftelijke en ondertekende bevestiging op papieren drager. De klacht bevat een uiteenzetting van de feiten. Zij moet de nodige aanwijzingen bevatten die toelaten de verwerking, voorwerp van de klacht, identificeren. § 2. Wanneer een persoon een schrijven richt tot de Commissie dat niet aan de vormelijke vereisten van de kwalificatie voldoet als gesteld in de voorgaande paragraaf, wordt zijn schrijven enkel beschouwd als een verzoek om inlichtingen. De betrokkene wordt hierover op de hoogte gebracht. De voorzitter kan aan de betrokken persoon vragen zijn verzoek te preciseren. § 3. Wanneer het schrijven voldoet aan de vormelijke vereisten van de kwalificatie doch eruit niet duidelijk kan worden opgemaakt of het om een eigenlijke klacht gaat, wordt onderzocht in welke mate aan het gestelde probleem geen bevredigend en afdoend gevolg kan worden gegeven zonder dat een formele behandeling in overeenstemming met de klachtprocedure dient te worden aangevat. De voorzitter kan aan de betrokken persoon vragen zijn verzoek te preciseren. Hij kan eveneens inlichtingen vragen aan de verantwoordelijke van de verwerking waarop het schrijven betrekking heeft. – Artikel 26 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk II, Sectie VII, 2007): de identiteit van de klager wordt in beginsel niet bekendgemaakt. De identiteit wordt echter bekendgemaakt indien de bekendmaking vereist is voor het onderzoek van de klacht en indien de klager daarmee uitdrukkelijk of stilzwijgend heeft ingestemd. Indien de bekendmaking van de identiteit van de klager vereist is voor het onderzoek van de klacht, doch de klager met de bekendmaking niet instemt, wordt de klacht zonder gevolg gerangschikt. – Artikel 27 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk II, Sectie VII, 2007): bij de behandeling van een klacht stellen de Commissie of haar voorzitter zich te allen tijde op vanuit een zorg om een minnelijke regeling tot stand te brengen tussen de verantwoordelijke voor de verwerking en de klager. – Artikel 28 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk II, Sectie VII, 2007): in uitvoering van artikel 26, § 1, tweede lid van de WVP, kan de voorzitter bij gelegenheid van een klacht, nagaan in welke mate de zaak niet door zijn bemiddeling tot een oplossing kan komen zonder dat ze ter zitting dient te worden gebracht. De voorzitter kan echter te allen tijde de bemiddeling op zijn niveau afbreken en het dossier formeel ter zitting brengen. Hij brengt daarover de partijen op de hoogte. – Artikel 29 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk II, Sectie VII, 2007): alvorens de behandeling ten gronde aan te vangen, onderzoekt, al gelang het geval, de Commissie of de voorzitter de ontvankelijkheid van de aan de Commissie gerichte klachten. De beslissing over ontvankelijkheid wordt aan de klager ter kennis gebracht. – Artikel 30 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk II, Sectie VII, 2007): de voorzitter kan aan de klager alle inlichtingen vragen die hij nuttig oordeelt. Hij kan zich in verbinding stellen met de verantwoordelijke voor de verwerking waarop de klacht betrekking heeft, hem op de hoogte brengen van de klacht en hem alle inlichtingen en uitleg vragen die hij nodig acht om zijn standpunt met het oog op bemiddeling te kunnen bepalen. Hij kan ook aan derden inlichtingen vragen. De verantwoordelijke voor de verwerking heeft het recht zijn antwoord te verduidelijken met alle bijkomende informatie en toelichting die hij nodig acht. De voorzitter kan dit antwoord mededelen aan de klager om hem de mogelijkheid te bieden te reageren. Hij kan daarbij eventueel toelichting verstrekken om te komen tot een oplossing. – Artikel 31 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk II, Sectie VII, 2007): wanneer na verloop van de procedure op het niveau van de voorzitter geen oplossing mogelijk is gebleken, maakt de voorzitter een verslag op over de zaak. Indien de voorzitter meent dat er geen reden is tot voortzetting van de bemiddeling stelt hij ter attentie van de partijen een met redenen omkleed voorstel van advies op over de gegrondheid van de klacht. Hij kan zijn voorstel doen vergezeld gaan van met redenen omklede aanbevelingen aan de verantwoordelijke voor de verwerking. De voorzitter legt het verslag met het voorstel van advies en de eventuele aanbevelingen voor aan de Commissie. De Commissie neemt, in voorkomend geval op de eerstvolgende nuttige zitting, kennis van de zaak en beslist desgevallend over het vervolg. De voorzitter brengt de eindbeslissing van de Commissie ter kennis van de partijen. De voorzitter kan ook beslissen het dossier voor verdere behandeling aan de Commissie voor te leggen. Hij brengt daarover de partijen op de hoogte. – Artikel 32 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk II, Sectie VII, 2007): voor het onderzoek van een klacht kan de Commissie een of meerdere leden aanstellen tot verslaggever en het stellen van onderzoeksdaden.
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
211
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 31)
Behalve in geval dat de klacht al het voorwerp heeft uitgemaakt van een bemiddelingsprocedure op het niveau van de voorzitter, brengt de Commissie, nadat ze in overeenstemming met artikel 29 de klacht ontvankelijk heeft verklaard, voor de verantwoordelijke voor de verwerking waarop de klacht betrekking heeft, op de hoogte van de klacht. Zij kan, in het belang van het onderzoek, deze kennisgeving verdagen tot het ogenblik dat ze geschikt acht. De Commissie of de verslaggever kan alle nuttige inlichtingen vragen aan de klager, de verantwoordelijke voor de verwerking en aan derden. Zij kan een termijn opleggen voor het verstrekken van een schriftelijk antwoord. Zij kan in elke stand van de procedure aanvullende onderzoeksmaatregelen bevelen. De verantwoordelijke voor de verwerking heeft het recht zijn antwoord te verduidelijken met alle bijkomende informatie en toelichting die hij nodig acht. Het antwoord wordt aan de klager medegedeeld. Deze heeft het recht om, binnen een door de Commissie of de verslaggever bepaalde termijn, schriftelijk een wederantwoord in te dienen. Wanneer een onderzoek ter plaatse noodzakelijk is, wordt gehandeld in overeenstemming met de bepalingen van artikel 40. – Artikel 33 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk II, Sectie VII, 2007): de Commissie kan beslissen de klager en de betrokken verantwoordelijke voor de verwerking uit te nodigen voor een verhoor. Zo beiden uitgenodigd worden, gebeurt het verhoor afzonderlijk of gezamenlijk volgens de beslissing van de Commissie. – Artikel 34 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk II, Sectie VII, 2007): de Commissie kan met het oog op het bereiken van een minnelijke schikking tussen de partijen een of meerdere leden afvaardigen om deze te bewerkstelligen. Zo een minnelijke schikking wordt bereikt, stellen de afgevaardigde leden een procesverbaal op, waarin de bereikte oplossing wordt uiteengezet. De Commissie neemt, in voorkomend geval op de eerstvolgende nuttige zitting, akte van het bereikte akkoord en beslist desgevallend over het vervolg. – Artikel 35 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk II, Sectie VII, 2007): zo met betrekking tot een ontvankelijk verklaarde klacht geen minnelijke schikking wordt bereikt, geeft de Commissie een met redenen omkleed advies over de gegrondheid van de klacht. Zij kan haar advies doen vergezeld gaan van met redenen omklede aanbevelingen aan de verantwoordelijke voor de verwerking. – Artikel 36 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk II, Sectie VII, 2007): indien de Commissie beslist dat haar beslissing, advies of aanbevelingen, naast de door of krachtens de wet opgelegde kennisgeving ervan, ook op een andere wijze openbaar gemaakt wordt, beslist zij afzonderlijk over het al dan niet openbaar maken van de identiteit van de partijen.
§ 4-5 Openbaarmaking 1. HUISHOUDELIJK REGLEMENT VAN DE COMMISSIE VOOR DE BESCHERMING VAN DE PERSOONLIJKE LEVENSSFEER Wat de openbaarmaking betreft – Artikel 14 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk II, Sectie VII - 2007): § 1. De Commissie kan haar adviezen, aanbevelingen en beslissingen, naast de door of krachtens de wet opgelegde kennisgeving ervan, ook op een andere wijze openbaar maken. De bijkomende openbaarmaking bedoeld in het vorige lid vormt het voorwerp van een afzonderlijke beslissing. In afwijking van het bepaalde in het tweede lid, worden de adviezen en de aanbevelingen bedoeld in respectievelijk de artikelen 29 en 30, § 1 van de WVP bekendgemaakt op de website van de Commissie. Uitzonderlijk kan de Commissie echter beslissen op met redenen omklede wijze het advies of de aanbeveling niet op de website te plaatsen. De aanvrager van een advies bedoeld in artikel 29 van de WVP kan vragen, bij gemotiveerd verzoek, dat het advies niet bekend wordt gemaakt. De Commissie dient daarop in te gaan tenzij de Commissie van oordeel is dat dit niet strookt met de beginselen van de democratische rechtstaat en de rechten van de mens. De Commissie motiveert deze weigering en maakt deze bekend in bijlage van het advies. § 2. De Commissie bouwt een website waarop ze in overeenstemming met de vorige paragraaf en behoudens de voormelde uitzonderingen, al haar beslissingen bekend maakt. Het openbaar register en het systeem van de aangiften als bedoeld in de WVP worden via deze website beschikbaar gesteld. Op de website is ruimte voorzien voor de verscheidene sectorale comités. Opmerking: de privacywet bevat eigenlijk geen bepalingen betreffende de controle of inspectie. Anderzijds verwijst de Europese Richtlijn 95/46/EG uitdrukkelijk naar de controle- en onderzoeksbevoegdheden van de gegevensbeschermingsautoriteiten. Zie hierna het commentaar in artikel 32.
212
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 31)
Controles en inspecties Opmerking: de WVP bevat eigenlijk geen specifieke en uitdrukkelijke bepalingen inzake controle of inspectie. Dit gemis sluit evenwel niet uit dat de Commissie voor de bescherming van de persoonlijke levenssfeer op basis van een zeker aantal wetsbepalingen en op basis van de geest van de wet, wel degelijk controles en inspecties kan uitvoeren. De Europese richtlijn 95/46/EG daarentegen voorziet uitdrukkelijk in een controle- en onderzoeksbevoegdheid voor de gegevensbeschermingsautoriteiten. Zie hiervoor ook het commentaar onder artikel 32 hierna.
1. HUISHOUDELIJK REGLEMENT VAN DE COMMISSIE VOOR DE BESCHERMING VAN DE PERSOONLIJKE LEVENSSFEER (artikelen 37 tot 39) – Artikel 37 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk II, Sectie VII - 2007): voor de toepassing van de wet wordt verstaan onder controle, het nagaan van de eerbiediging van de regelgeving met betrekking tot de bescherming van de persoonlijke levenssfeer in hoofde van een individuele verantwoordelijke voor de verwerking. Voor de toepassing van de wet wordt verstaan onder inspectie, het organiseren van een algemene verificatie over de eerbiediging van de regelgeving met betrekking tot de bescherming van de persoonlijke levenssfeer in hoofde van een groep, categorie of sector van verantwoordelijken voor de verwerking. Bij gelegenheid van een inspectie kan een specifieke controle ten overstaan van een individuele verantwoordelijke plaatsvinden. – Artikel 38 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk II, Sectie VII - 2007): tot controle kan worden overgegaan naar aanleiding van een aangifte, van een eenvoudig verzoek van een persoon, van een verzoek om onrechtstreekse toegang, van een klacht, dan wel spontaan naar aanleiding van een bepaalde vaststelling met betrekking tot de verwerking van persoonsgegevens. Tot inspectie kan worden overgegaan naar aanleiding van bepaalde specifieke vaststellingen met betrekking tot de verwerking van persoonsgegevens bij gelegenheid van een controle, vanuit bepaalde algemene vaststellingen met betrekking tot de verwerking van persoonsgegevens, vanuit een algemene bezorgdheid, dan wel op basis van gerichte proactieve en preventieacties door de Commissie. Controle en inspectie kunnen worden georganiseerd op basis van een nationaal dan wel een internationaal initiatief. De beslissing tot het verrichten van een controle wordt genomen door de voorzitter. Het organiseren van een inspectie wordt op voorstel van de voorzitter beslist door de Commissie. – Artikel 39 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk II, Sectie VII - 2007): § 1. In uitvoering van artikel 26, §1, tweede lid van de WVP, kan de voorzitter bij gelegenheid van een controle of van een inspectie aan de verantwoordelijke voor de verwerking een inlichtingenblad laten invullen en alle bijkomende vragen om uitleg stellen die nuttig kunnen zijn om zich een beeld te vormen over de wijze van verwerking. Hij kan ook aan derden inlichtingen vragen. De verantwoordelijke voor de verwerking heeft het recht alle bijkomende informatie en toelichting te verstrekken die hij nodig acht. Wanneer een onderzoek ter plaatse noodzakelijk is, wordt gehandeld in overeenstemming met de bepalingen van artikel 40. § 2. Bij de uitoefening van een opdracht van controle of inspectie stellen de Commissie of haar voorzitter zich te allen tijde op vanuit een bekommernis om een minnelijke regeling tot stand te brengen tussen de verantwoordelijke voor de verwerking en de betrokken personen wiens persoonsgegevens worden verwerkt. Wanneer de controle het gevolg is van een aangifte, van een verzoek om onrechtstreekse toegang of van een klacht wordt verder gehandeld in overeenstemming met de bijzondere wettelijke regelgeving en dit reglement, dienaangaande. § 3. Onverminderd het bepaalde in de vorige paragraaf kan de Commissie of de voorzitter namens de Commissie, naar aanleiding van een controle, aan de verantwoordelijke voor de verwerking aanbevelingen richten. Alvorens een aanbeveling te richten tot een bepaalde verantwoordelijke voor de verwerking, wordt aan deze de gelegenheid geboden om binnen de termijn bepaald door de voorzitter, schriftelijk zijn standpunt te doen kennen. Al naar gelang het geval kan de Commissie of de voorzitter beslissen de verantwoordelijke te horen. Wanneer geen minnelijke regeling tot stand kan worden gebracht kan de voorzitter beslissen aanbevelingen te richten tot de betrokken verantwoordelijke voor de verwerking, dan wel de zaak voor de Commissie te brengen. In elk geval kan de voorzitter echter te allen tijde het dossier ter zitting brengen. Hij brengt de verantwoordelijke voor de verwerking daarvan op de hoogte. § 4. Wanneer naar aanleiding van een inspectieopdracht de Commissie, de voorzitter of een lid van de Commissie in hoofde van een verantwoordelijke voor de verwerking bepaalde vaststellingen doen die aanleiding geven tot een specifieke controle, wordt verder gehandeld in overeenstemming met het bepaalde in de vorige paragraaf. 2. INTERNATIONALE WETGEVING – Artikel 28 §§ 1, 2 en 3 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): 1. Elke Lid-Staat bepaalt dat een of meer autoriteiten worden belast met het toezicht op de toepassing op zijn
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
213
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 31bis)
grondgebied van de ter uitvoering van deze Richtlijn door de Lid-Staten vastgestelde bepalingen. Deze autoriteiten vervullen de hun opgedragen taken in volledige onafhankelijkheid. 2. Elke Lid-Staat bepaalt dat de toezichthoudende autoriteiten worden geraadpleegd bij de opstelling van de wettelijke of bestuursrechtelijke bepalingen met betrekking tot de bescherming van de rechten en vrijheden van personen in verband met de verwerking van persoonsgegevens. 3. Elke toezichthoudende autoriteit beschikt met name over: onderzoeksbevoegdheden, zoals het recht van toegang tot gegevens die het voorwerp vormen van een verwerking en het recht alle inlichtingen in te winnen die voor de uitoefening van haar toezichtstaak noodzakelijk zijn; effectieve bevoegdheden om in te grijpen, zoals bij voorbeeld de bevoegdheid om voorafgaand aan de uitvoering van de verwerking advies uit te brengen, overeenkomstig artikel 20, en te zorgen voor een passende bekendmaking van deze adviezen of de bevoegdheid om afscherming, uitwissing of vernietiging van gegevens te gelasten, dan wel een verwerking voorlopig of definitief te verbieden of de bevoegdheid tot de voor de verwerking verantwoordelijke een waarschuwing of berisping te richten of de bevoegdheid de nationale parlementen of andere politieke instellingen in te schakelen; de bevoegdheid om in rechte op te treden in geval van inbreuken op ter uitvoering van deze Richtlijn vastgestelde nationale bepalingen, of om die inbreuken onder de aandacht van het gerecht te brengen. Tegen beslissingen van de toezichthoudende autoriteit kan beroep bij de rechter worden aangetekend. – Overweging 63 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): overwegende dat die autoriteiten over de nodige middelen dienen te beschikken om hun taak te vervullen, of het nu gaat om onderzoekbevoegdheden, om het recht om actief in te grijpen, met name wanneer bij hen klachten aanhangig worden gemaakt, dan wel om de bevoegdheid om in rechte op te treden; dat die autoriteiten moeten bijdragen tot de doorzichtigheid van de verwerking van gegevens in hun Lid-Staat. – International Standards on the Protection of Personal Data and Privacy (2009) (The Madrid Resolution): resolutie goedgekeurd op 5 november 2009 door de Internationale Conferentie van de commissarissen voor de bescherming van gegevens en de privacy. Principe nr.23: Monitoring : 1. In every State there shall be one or more supervisory authorities, in accordance with its domestic law, that will be responsible for supervising the observance of the principles set out in this Document. 2. These supervisory authorities shall be impartial and independent, and will have technical competence, sufficient powers and adequate resources to deal with the claims filed by the data subjects, and to conduct investigations and interventions where necessary to ensure compliance with the applicable national legislation on the protection of privacy with regard to the processing of personal data.
3. ADVIES VAN DE GROEP 29 – Groep 29, (vrije vertaling ) Rapport 1/2007 over de eerste gemeenschappelijke actie voor tenuitvoerlegging: evaluatie en volgende fases (WP 137 - 20 juni 2007). In het eerste rapport over de implementatie van de Richtlijn verzocht de Europese Commissie de Groep 29 om regelmatig de beste manier ter sprake te brengen voor het doen naleven van de Richtlijn, om sectoraal onderzoek op communautair vlak te voeren en te proberen de normen ter zake vast te leggen. Zodoende wordt een overzicht verkregen van de tenuitvoerlegging en kan advies worden gegeven aan de verschillende sectoren over hoe de eerbiediging van de Richtlijn op de minst belastende manier kan worden verbeterd. In dit rapport worden conclusies getrokken uit een eerste onderzoek over de verwerkingen van persoonsgegevens (betreffende de gezondheid) dat werd gevoerd op niveau van de Europese Unie door de particuliere verzekeringsmaatschappijen. Naast de conclusies van het onderzoek zelf, worden in het document de goedgekeurde methodologie en de strategie voor toekomstige onderzoeken voor een eerste keer geëvalueerd. – Groep 29, Advies 8/2007 over het niveau van de persoonsgegevensbescherming op Jersey (9 oktober 2007, WP 141): De bevoegdheden van de functionaris (gegevensbeschermingautoriteiten) lijken beperkter te zijn dan de bevoegdheden als bedoeld in artikel 28 van de richtlijn. De functionaris moet vragen om een huiszoekingsbevel bij de bevoegde justitiële autoriteit om zich toegang te verschaffen tot gebouwen, onderzoek te doen en informatie in te winnen, maar dat kan een probleem opleveren als de voor de verwerking verantwoordelijke zich daartegen verzet. Dit vermindert de slagkracht van deze maatregel en maakt hem ongeschikt voor steekproefsgewijze controles of onderzoek dat 'sua sponte' wordt verricht. De Groep is bezorgd over het gebrek aan toereikende bevoegdheden van het ambt van functionaris voor gegevensbescherming en twijfelt derhalve aan de geschiktheid van dit ambt als instrument om een passend van de regels inzake gegevensbescherming op het grondgebied van het eiland te verwezenlijken. }1
[Art. 31bis. § 1. De wet richt binnen de Commissie sectorale comités op die bevoegd zijn om aanvragen met betrekking tot de verwerking of de mededeling van gegevens waarvoor bijzondere wetgevingen gelden te onderzoeken en er uitspraak over te doen binnen de door de wet vastgestelde perken. § 2. Onverminderd artikel 37 van de wet van 15 januari 1990 houdende oprichting en organisaties van een Kruispuntbank van de Sociale Zekerheid, is elk
214
sectoraal comité samengesteld uit drie vaste of plaatsvervangende leden van de Commissie, onder wie de voorzitter of een door de Commissie als voorzitter aangewezen lid, alsmede drie externe leden die worden aangewezen door de Kamer van volksvertegenwoordigers overeenkomstig de voorwaarden en de nadere regels die zijn bepaald in of krachtens de bijzondere wetgeving tot regeling van het betrokken comité. Bij staking van stemmen is de stem van de voorzitter beslissend.
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 31bis)
De leidend ambtenaar van de beheersinstelling van de betrokken sector kan met raadgevende stem uitgenodigd worden aan de vergaderingen van het comité. § 3. De Commissie zendt de bij haar ingediende aanvragen betreffende de verwerking of de mededeling van gegevens die door een bijzondere wetgeving worden gereglementeerd, over aan het bevoegd sectoraal comité indien het werd samengesteld en aan de beheersinstelling van de betrokken sector. Die zendt binnen vijftien dagen na de ontvangst van de aanvraag en voor zover het dossier in gereedheid is, aan het comité een technisch en juridisch advies over. Onder hetzelfde voorbehoud doet het comité uitspraak binnen dertig dagen na de ontvangst van dat advies of, in voorkomend geval, nadat de voormelde termijn van vijftien dagen verstreken is. Zo niet, wordt zijn uitspraak geacht overeen te stemmen met het technisch en juridisch advies. Indien een aanvraag als bedoeld in het vorige lid om dringende reden moet worden behandeld en binnen een termijn die korter is dan die welke in dat lid is bepaald, deelt de voorzitter de aanvraag, het juridische en technische advies en het ontwerpbesluit zo spoedig mogelijk mee aan de leden, die worden verzocht hun standpunt over het ontwerpbesluit aan de voorzitter kenbaar te maken binnen de door hem gestelde termijn. Het ontwerpbesluit wordt pas definitief wanneer geen enkel lid, binnen de door de voorzitter gestelde termijn, laat weten dat hij het niet eens is met de essentiële elementen van dat ontwerp. Indien nodig, organiseert de voorzitter een buitengewone vergadering van het sectoraal comité. In overleg met de leidend ambtenaar
van de betrokken instelling gaat de voorzitter na of er dringende redenen bestaan die de toepassing van de twee vorige leden verantwoorden. Onverminderd artikel 44 van voornoemde wet van 15 januari 1990, kan de voorzitter van het comité het onderzoek van een dossier opschorten om het aan de Commissie te overhandigen die binnen een maand uitspraak doet. § 4. Het voorzitterschap van een afdeling geeft recht op dubbel presentiegeld, behalve indien het wordt waargenomen door de voorzitter of de ondervoorzitter van de Commissie. § 5. Onverminderd artikel 41 van voormelde wet van 15 januari 1990 worden de sectorale comités ingesteld en vergaderen zij op de zetel van de Commissie, behalve indien de betrokken beheersinstelling vraagt dat het comité waaronder zij valt, bij haar wordt ingesteld en vergadert. De Commissie kan dat verzoek inwilligen, op voorwaarde dat de beheersinstelling de voorzitter van het sectoraal comité vooraf de kantoren en kantooruitrusting ter beschikking stelt die nodig zijn voor de werking van het comité en zijn voorzitterschap, alsook een secretaris die wordt gekozen door de voorzitter in overleg met de leidend ambtenaar van de betrokken instelling, en gespecialiseerd personeel, met name juristen en informatici, voorzover daar nood aan is om de taken van het sectoraal comité tot een goed einde te brengen. De voorzitter van het sectoraal comité draagt de functionele verantwoordelijkheid over dat personeel wat de opdrachten betreft die het voor dit comité uitvoert.]1 }1. – Ingevoegd bij art. 6 wet 26 februari 2003, B.S., 26 juni 2003, inwerkingtreding: 26 juni 2003 (art. 17, § 1, lid 2)
SECTORALE COMITÉS SECTORALE COMITÉS BINNEN COMMISSIE: OPRICHTING
§ 1 Sectorale comités binnen Commissie: oprichting Opmerking: de relevante bepalingen over de verschillende bestaande sectorale comités zijn te vinden onder de rubriek "verwijzing naar andere wetgeving" op het eind van dit artikel 31bis (punt 3). Het betreffen de volgende sectorale comités: - het Sectoraal comité van de Sociale Zekerheid en de Gezondheid (3.1.); - het Sectoraal comité van het Rijksregister (3.2.); - het Sectoraal comité van de Kruispuntbank van Ondernemingen (3.3.); - het Statistisch Toezichtscomité (3.4.); - het Sectoraal Toezichtscomité Phénix (3.5.); - voor het Sectoraal comité voor de Federale Overheid (zie commentaar hierna in artikel 36bis). SAMENSTELLING: 2X3 LEDEN
§ 2 Samenstelling: 2X3 leden VERWIJZING NAAR ANDERE WETGEVING – Artikel 37 van de Wet van 15 januari 1990 houdende oprichting en organisatie van een Kruispuntbank van de sociale zekerheid, B.S. 22 februari 1990: § 1. Binnen de Commissie voor de bescherming van de persoonlijke levenssfeer, bedoeld in artikel 23 van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens, wordt een sectoraal comité van de sociale zekerheid en van de gezondheid opgericht. Het sectoraal comité van de sociale zekerheid en van de gezondheid bestaat uit volgende twee afdelingen: 1° de afdeling sociale zekerheid; 2° de afdeling gezondheid.
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
215
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 31bis)
§ 2. In afwijking van artikel 31bis, § 2, eerste lid, van de hogervermelde wet van 8 december 1992, bestaat het sectoraal comité van de sociale zekerheid en van de gezondheid uit: 1° de voorzitter van de Commissie of een door de Commissie onder haar leden aangewezen lid, aan wie het voorzitterschap van beide afdelingen van het comité is opgedragen; 2° een door de Commissie onder haar leden aangewezen lid, dat deel uitmaakt van beide afdelingen; 3° twee externe leden met de hoedanigheid van doctor of licentiaat in de rechten, die deel uitmaken van de afdeling sociale zekerheid; 4° een extern lid met de hoedanigheid van deskundige op het vlak van de informatica, dat deel uitmaakt van de afdeling sociale zekerheid; 5° een extern lid met de hoedanigheid van geneesheer, deskundige op het vlak van het beheer van gezondheidsgegevens, dat deel uitmaakt van beide afdelingen; 6° drie externe leden met de hoedanigheid van geneesheer, deskundige op het vlak van het beheer van gezondheidsgegevens, die deel uitmaken van de afdeling gezondheid. PROCEDURE
§ 3 Procedure VERWIJZING NAAR ANDERE WETGEVING – Artikel 44 van de Wet van 15 januari 1990 houdende oprichting en organisatie van een Kruispuntbank van de sociale zekerheid, B.S., 22 februari 1990: de voorzitter van het (sectoraal comité van de sociale zekerheid en van de gezondheid) zorgt, in overleg met het lid bedoeld in (artikel 37, § 2, 2°), voor de coördinatie tussen de werkzaamheden van het (sectoraal comité van de sociale zekerheid en van de gezondheid) en die van de Commissie voor de bescherming van de persoonlijke levenssfeer; hij waakt over de verenigbaarheid van de aan het sectoraal comité voorgelegde ontwerpbesluiten met de beginselen en normen inzake de bescherming van de persoonlijke levenssfeer. Daartoe kan hij beslissen een advies, beslissing of aanbeveling uit te stellen en de kwestie eerst aan de Commissie voor de bescherming van de persoonlijke levenssfeer voor te leggen. Bij een dergelijke beslissing wordt de bespreking van het dossier in het (sectoraal comité van de sociale zekerheid en van de gezondheid) opgeschort en het dossier onverwijld aan de Commissie meegedeeld. De Commissie beschikt over een termijn van één maand te rekenen vanaf de ontvangst van het dossier om haar advies aan het (sectoraal comité van de sociale zekerheid en van de gezondheid) mee te delen. Indien die termijn niet wordt nageleefd, verleent het (sectoraal comité van de sociale zekerheid en van de gezondheid) zijn advies, beslissing of aanbeveling zonder het advies van de Commissie af te wachten. Het standpunt van de Commissie wordt uitdrukkelijk in het advies, de beslissing of de aanbeveling van het (sectoraal comité van de sociale zekerheid en van de gezondheid) opgenomen; in voorkomend geval geeft het sectoraal comité een uitdrukkelijke motivering van de redenen waarom het standpunt van de Commissie geheel of gedeeltelijk niet gevolgd wordt. WERKING
§ 5 Werking sectorale comités 1. HUISHOUDELIJK REGLEMENT VAN DE COMMISSIE VOOR DE BESCHERMING VAN DE PERSOONLIJKE LEVENSSFEER – Artikel 41 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk II, Sectie X - 2007): elk dossier dat bij de Commissie wordt ingediend, en dat betrekking heeft op een aangelegenheid waarvoor door of krachtens de wet een sectoraal comité uitdrukkelijk bevoegd is, wordt door de voorzitter of de daartoe gemachtigde administrateur onverwijld doorgestuurd aan het bevoegde sectoraal comité. – Artikel 42 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk II, Sectie X - 2007): wanneer een dossier dat in behandeling is bij een sectoraal comité of waarover een sectoraal comité een beslissing heeft genomen, aan de Commissie voor onderzoek wordt overgezonden door de door of krachtens de wet bevoegde instantie, wijst de voorzitter onverwijld een verslaggever aan. De verslaggever is gerechtigd zich te wenden tot de voorzitter van het sectoraal comité om hem alle nuttige inlichtingen te verstrekken. Artikel 10 is van toepassing. – Artikel 43 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk II, Sectie X - 2007): onverminderd de toepassing van artikel 14 wordt een afschrift van de beslissing van de Commissie genomen in het kader van deze procedure, onverwijld overgezonden aan het bevoegde sectoraal comité. – Artikel 44 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk II, Sectie X - 2007): de voorzitters van de verscheidene sectorale comités komen minstens één maal per trimester bijeen in een conferentie van de voorzitters.
216
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 31bis)
Ze maken afspraken over de organisatie van de werkzaamheden, de samenwerking tussen de Commissie en de sectorale comités en de comités onderling. Zij werken onder meer een regeling uit over mogelijke bevoegdheidsvraagstukken. De afspraken maken het voorwerp uit van een protocolakkoord dat ter goedkeuring wordt voorgelegd aan de Commissie. Het secretariaat van de conferentie wordt gehouden door de administrateur, bijgestaan door de staf van de voorzitter. – Artikel 45 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk II, Sectie X - 2007): voor de regeling van de bevoegdheidsvraagstukken en de samenloop van bevoegdheden tussen de Commissie en de sectorale comités alsook tussen de sectorale comités onderling, gelden de volgende principes: - de Commissie zendt het dossier door aan het bevoegde sectoraal comité op basis van de uitdrukkelijke bevoegdheidstoewijzing door of krachtens de wet van een materie aan een sectoraal comité; - tussen de sectorale comités geldt in beginsel de regel van de materietoewijzing door of krachtens de wet; - voor wat de machtigingsdossiers betreft is het sectorale comité dat de controle uitoefent op de overheidsdienst die de mededeling van de gegevens verricht, bevoegd; - wanneer de mededeling een antwoord is op een vraag die op zich de voorafgaande mededeling van gegevens vereist, is de instelling die antwoordt bepalend voor het criterium van de bevoegdheidstoewijzing; - indien nog twijfel bestaat kan de conferentie van de voorzitters de bevoegdheid regelen en desnoods zich wenden tot de Commissie.
2. VERWIJZING NAAR ANDERE WETGEVING – Artikel 41 van de Wet van 15 januari 1990 houdende oprichting en organisatie van een Kruispuntbank van de sociale zekerheid, B.S., 22 februari 1990: beide afdelingen van het sectoraal comité van de sociale zekerheid en van de gezondheid zijn gevestigd en hebben hun vergaderingen bij de Kruispuntbank, mits naleving van de voorwaarden beschreven in artikel 31bis, § 5, tweede lid, van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens. Indien de voorzitter verhinderd of afwezig is of niet kan deelnemen aan de besluitvorming in het sectoraal comité van de sociale zekerheid en van de gezondheid wegens een belangenconflict, wordt zijn functie uitgeoefend door het lid van de Commissie, bedoeld in artikel 37, 2°. Indien het lid van de Commissie, bedoeld in artikel 37, § 2, 2°, niet beschikbaar is, verdelen de overige leden diens taken onder elkaar onder leiding van degene met de grootste anciënniteit of, bij gelijkheid van anciënniteit, van de oudste onder hen.
3. BESTAANDE SECTORALE COMITES 3.1. Sectoraal comité van de sociale zekerheid en van de gezondheid: Artikels 37 tot 52 van de Wet van 15 januari 1990 houdende oprichting en organisatie van een Kruispuntbank van de sociale zekerheid, B.S., 22 februari 1990. HOOFDSTUK VI - (Het sectoraal comité van de sociale zekerheid en van de gezondheid)
Afdeling 1 - Oprichting en samenstelling van het Comité – Artikel 37 van de Wet van 15 januari 1990 houdende oprichting en organisatie van een Kruispuntbank van de sociale zekerheid, B.S. 22 februari 1990: § 1. Binnen de Commissie voor de bescherming van de persoonlijke levenssfeer, bedoeld in artikel 23 van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens, wordt een sectoraal comité van de sociale zekerheid en van de gezondheid opgericht. Het sectoraal comité van de sociale zekerheid en van de gezondheid bestaat uit volgende twee afdelingen: 1. de afdeling sociale zekerheid; 2. de afdeling gezondheid. § 2. In afwijking van artikel 31bis, § 2, eerste lid, van de hogervermelde wet van 8 december 1992, bestaat het sectoraal comité van de sociale zekerheid en van de gezondheid uit: 1. de voorzitter van de Commissie of een door de Commissie onder haar leden aangewezen lid, aan wie het voorzitterschap van beide afdelingen van het comité is opgedragen; 2. een door de Commissie onder haar leden aangewezen lid, dat deel uitmaakt van beide afdelingen; 3. twee externe leden met de hoedanigheid van doctor of licentiaat in de rechten, die deel uitmaken van de afdeling sociale zekerheid; 4. een extern lid met de hoedanigheid van deskundige op het vlak van de informatica, dat deel uitmaakt van de afdeling sociale zekerheid; 5. een extern lid met de hoedanigheid van geneesheer, deskundige op het vlak van het beheer van gezondheidsgegevens, dat deel uitmaakt van beide afdelingen;
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
217
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 31bis)
6. drie externe leden met de hoedanigheid van geneesheer, deskundige op het vlak van het beheer van gezondheidsgegevens, die deel uitmaken van de afdeling gezondheid
Afdeling 2 - Benoeming en statuut van de leden – Artikel 38 van de Wet van 15 januari 1990 houdende oprichting en organisatie van een Kruispuntbank van de sociale zekerheid (1990), gewijzigd door de wet van 21 augustus 2008: De externe leden bedoeld in artikel 37, § 2, 3°, 4°, 5° en 6°, worden voor een hernieuwbare termijn van zes jaar benoemd door de Kamer van volksvertegenwoordigers, uit een dubbeltal dat door de Ministerraad voor elk van de vacante mandaten wordt voorgedragen. Ze kunnen van hun opdracht worden ontheven door de Kamer van volksvertegenwoordigers. Onder dezelfde voorwaarden worden zeven plaatsvervangende externe leden benoemd. Ze vervangen de werkende externe leden indien deze verhinderd of afwezig zijn, of in afwachting van hun vervanging bedoeld in het derde lid. Wanneer het mandaat van een extern lid een einde neemt vóór de vastgestelde datum, wordt binnen drie maanden in de vervanging van de werkende of plaatsvervangende titularis voorzien. Het nieuw extern lid voleindigt het mandaat van degene die hij vervangt. De Commissie voor de bescherming van de persoonlijke levenssfeer wijst de leden bedoeld in artikel 37, § 2, 1° en 2°, evenals hun respectieve plaatsvervangers aan voor dezelfde hernieuwbare termijn van zes jaar. Onverminderd artikel 41, tweede lid, vervangt de plaatsvervanger van het lid bedoeld in artikel 37, § 2, 1°, dat lid in afwachting van diens vervanging door de Commissie voor de bescherming van de persoonlijke levenssfeer. De plaatsvervanger van het lid bedoeld in artikel 37, § 2, 2°, vervangt dat lid indien het verhinderd of afwezig is of in afwachting van diens vervanging door de Commissie voor de bescherming van de persoonlijke levenssfeer. – Artikel 39 van de Wet van 15 januari 1990 houdende oprichting en organisatie van een Kruispuntbank van de sociale zekerheid (1990) gewijzigd door de wet van 21 augustus 2008: § 1. Om tot werkend of plaatsvervangend extern lid van het sectoraal comité van de sociale zekerheid en van de gezondheid benoemd te kunnen worden en het te kunnen blijven, moeten de kandidaten aan de volgende voorwaarden voldoen: 1° Belg zijn; 2° de burgerlijke en politieke rechten genieten; 3° niet onder het hiërarchisch gezag van een Minister staan en onafhankelijk zijn van de instellingen van sociale zekerheid, van de organisaties die in het Beheerscomité van de Kruispuntbank vertegenwoordigd zijn en, voor wat betreft de leden bedoeld in artikel 37, § 2, 5° en 6°, onafhankelijk zijn van het eHealth-platform bedoeld in artikel 2 van de wet van (...) houdende oprichting en organisatie van het eHealth-platform, de Federale Overheidsdienst Volksgezondheid, Veiligheid van de Voedselketen en Leefmilieu, het Federaal Kenniscentrum voor de Gezondheidszorg en de stichting bedoeld in artikel 45quinquies van het koninklijk besluit nr. 78 van 10 november 1967 betreffende de uitoefening van de gezondheidszorgberoepen; 4° geen lid zijn van het Europees Parlement of van een federale wetgevende kamer noch van een Gemeenschaps- of Gewestparlement. § 2. (...) – Artikel 40 van de Wet van 15 januari 1990 houdende oprichting en organisatie van een Kruispuntbank van de sociale zekerheid (1990): de artikelen 24, § 6, 27 en 36, tweede en derde lid, van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens zijn van toepassing op de werkende en plaatsvervangende externe leden van het sectoraal comité van de sociale zekerheid en van de gezondheid.
Afdeling 2bis - Werking van het Comité – Artikel 41 van de Wet van 15 januari 1990 houdende oprichting en organisatie van een Kruispuntbank van de sociale zekerheid (1990): beide afdelingen van het sectoraal comité van de sociale zekerheid en van de gezondheid zijn gevestigd en hebben hun vergaderingen bij de Kruispuntbank, mits naleving van de voorwaarden beschreven in artikel 31bis, § 5, tweede lid, van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens. Indien de voorzitter verhinderd of afwezig is of niet kan deelnemen aan de besluitvorming in het sectoraal comité van de sociale zekerheid en van de gezondheid wegens een belangenconflict, wordt zijn functie uitgeoefend door het lid van de Commissie, bedoeld in artikel 37, 2°. Indien het lid van de Commissie, bedoeld in artikel 37, § 2, 2°, niet beschikbaar is, verdelen de overige leden diens taken onder elkaar onder leiding van degene met de grootste anciënniteit of, bij gelijkheid van anciënniteit, van de oudste onder hen. – Artikel 42 van de Wet van 15 januari 1990 houdende oprichting en organisatie van een Kruispuntbank van de sociale zekerheid (1990), gewijzigd door de wet van 21 augustus 2008: § 1. Overeenkomstig artikel 31bis § 3 van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens, staat de Kruispuntbank in voor het opstellen van een juridisch en technisch advies aangaande elke aanvraag met betrekking tot de mededeling van so-
218
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 31bis)
ciale gegevens van persoonlijke aard waarvan zij vanwege de afdeling sociale zekerheid van het sectoraal comité van de sociale zekerheid en van de gezondheid of vanwege de Commissie voor de bescherming van de persoonlijke levenssfeer een afschrift heeft ontvangen. § 2. Overeenkomstig artikel 31bis, § 3, van de hogervermelde wet van 8 december 1992, staat het eHealth-platform bedoeld in artikel 2 van de wet van 21 augustus 2008 houdende oprichting en organisatie van het eHealth-platform in voor het opstellen van het juridisch en technisch advies aangaande elke aanvraag met betrekking tot de mededeling van persoonsgegevens die de gezondheid betreffen in de zin van de hogervermelde wet van 8 december 1992, waarvan het vanwege de afdeling gezondheid van het sectoraal comité van de sociale zekerheid en van de gezondheid of vanwege de Commissie voor de bescherming van de persoonlijke levenssfeer een afschrift heeft ontvangen. De voorzitter van het sectoraal comité van de sociale zekerheid en van de gezondheid of het eHealth-platform kunnen beslissen om bij het opstellen van het juridisch en technisch advies een beroep te doen op de ondersteuning door de Federale Overheidsdienst Volksgezondheid, Veiligheid van de Voedselketen en Leefmilieu, het Rijksinstituut voor Ziekte- en Invaliditeitsverzekering, het Federaal Kenniscentrum voor de Gezondheidszorg of de stichting bedoeld in artikel 45quinquies van het koninklijk besluit nr. 78 van 10 november 1967 betreffende de uitoefening van de gezondheidszorgberoepen. – Artikel 43 van de Wet van 15 januari 1990 houdende oprichting en organisatie van een Kruispuntbank van de sociale zekerheid (1990), gewijzigd door de wet van 21 augustus 2008: de werkingskosten van beide afdelingen van het sectoraal comité van de sociale zekerheid en van de gezondheid worden gedragen door de Kruispuntbank, met uitzondering evenwel van: 1° de aan de leden ervan uitgekeerde vergoedingen en terugbetalingen van kosten, die worden gedragen door de Commissie voor de bescherming van de persoonlijke levenssfeer; 2° de kosten voor het opstellen van het juridisch en technisch advies bedoeld in artikel 42, § 2, die worden gedragen door het eHealth-platform bedoeld in artikel 2 van de wet van 21 augustus 2008 houdende oprichting en organisatie van het eHealth-platform; 3° de kosten voor de ondersteuning door de Federale Overheidsdienst Volksgezondheid, Veiligheid van de Voedselketen en Leefmilieu, het Rijksinstituut voor Ziekte- en Invaliditeitsverzekering, het Federaal Kenniscentrum voor de Gezondheidszorg of de stichting bedoeld in artikel 45quinquies van het koninklijk besluit nr. 78 van 10 november 1967 betreffende de uitoefening van de gezondheidszorgberoepen bedoeld in artikel 42, § 2 in fine, die in voorkomend geval worden gedragen door de instelling op de ondersteuning waarvan een beroep wordt gedaan. Het voorzitterschap van het sectoraal comité van de sociale zekerheid en van de gezondheid is een deeltijdse opdracht ten belope van 50 %. De voorzitter oefent zijn opdrachten uit op de zetel van het sectoraal comité volgens een arbeidsrooster afgesproken tussen de voorzitter en de administrateur-generaal van de Kruispuntbank. In afwijking van artikel 31bis, § 4, van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens, heeft de voorzitter van het sectoraal comité van de sociale zekerheid en van de gezondheid recht op een vergoeding die als loon geldt en waarvan het bedrag gelijk is aan 50 % van de wedde en de andere voordelen die hij zou ontvangen mocht hij raadsheer bij het hof van beroep zijn. Dit recht geldt evenwel niet indien het voorzitterschap van het sectoraal comité van de sociale zekerheid en van de gezondheid wordt waargenomen door de voorzitter of de ondervoorzitter van de Commissie voor de bescherming van de persoonlijke levenssfeer, die in dat geval recht hebben op het dubbele van het presentiegeld bedoeld in artikel 36, tweede lid, van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens. – Artikel 43bis van de Wet van 15 januari 1990 houdende oprichting en organisatie van een Kruispuntbank van de sociale zekerheid (1990): de voorzitter van het sectoraal comité van de sociale zekerheid en van de gezondheid regelt de werkzaamheden van het comité en van de afdelingen. Behoudens andersluidende bepalingen in de wet is de afdeling sociale zekerheid bevoegd voor de behandeling van aangelegenheden betreffende de verwerking van persoonsgegevens in de zin van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens, door de instellingen van sociale zekerheid en de personen tot wie het geheel of een deel van de rechten en verplichtingen voortvloeiend uit deze wet en haar uitvoeringsmaatregelen met toepassing van artikel 18 werden uitgebreid en voor de behandeling van aangelegenheden betreffende de verwerking van sociale gegevens van persoonlijke aard door de toekennende instanties bedoeld in artikel 11bis. Behoudens andersluidende bepalingen in de wet is de afdeling gezondheid bevoegd voor de behandeling van aangelegenheden betreffende de verwerking van persoonsgegevens die de gezondheid betreffen in de zin van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens, met uitzondering van de verwerkingen van persoonsgegevens die de gezondheid betreffen door de instellingen van sociale zekerheid en de personen tot wie het geheel of een deel van de rechten en verplichtingen voortvloeiend uit deze wet en haar uitvoeringsmaatregelen met toepassing van artikel 18 werden uitgebreid en de verwerkingen van sociale gegevens van persoonlijke aard die de gezondheid betreffen door de toekennende instanties bedoeld in artikel 11bis.
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
219
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 31bis)
Voor zover een aangelegenheid tot de bevoegdheid van beide afdelingen behoort, wordt deze behandeld tijdens een gezamenlijke vergadering van de afdelingen. De voorzitter van het sectoraal comité van de sociale zekerheid en van de gezondheid zorgt, in overleg met de leden bedoeld in artikel 37, § 2, 2° en 5°, voor de coördinatie van de werkzaamheden tussen de afdelingen. Zij kunnen beslissen om een dossier door de beide afdelingen gezamenlijk te laten behandelen. – Artikel 44 van de Wet van 15 januari 1990 houdende oprichting en organisatie van een Kruispuntbank van de sociale zekerheid (1990): de voorzitter van het sectoraal comité van de sociale zekerheid en van de gezondheid zorgt, in overleg met het lid bedoeld in artikel 37, § 2, 2°, voor de coördinatie tussen de werkzaamheden van het sectoraal comité van de sociale zekerheid en van de gezondheid en die van de Commissie voor de bescherming van de persoonlijke levenssfeer; hij waakt over de verenigbaarheid van de aan het sectoraal comité voorgelegde ontwerpbesluiten met de beginselen en normen inzake de bescherming van de persoonlijke levenssfeer. Daartoe kan hij beslissen een advies, beslissing of aanbeveling uit te stellen en de kwestie eerst aan de Commissie voor de bescherming van de persoonlijke levenssfeer voor te leggen. Bij een dergelijke beslissing wordt de bespreking van het dossier in het sectoraal comité van de sociale zekerheid en van de gezondheid opgeschort en het dossier onverwijld aan de Commissie meegedeeld. De Commissie beschikt over een termijn van één maand te rekenen vanaf de ontvangst van het dossier om haar advies aan het sectoraal comité van de sociale zekerheid en van de gezondheid mee te delen. Indien die termijn niet wordt nageleefd, verleent het sectoraal comité van de sociale zekerheid en van de gezondheid zijn advies, beslissing of aanbeveling zonder het advies van de Commissie af te wachten. Het standpunt van de Commissie wordt uitdrukkelijk in het advies, de beslissing of de aanbeveling van het sectoraal comité van de sociale zekerheid en van de gezondheid opgenomen; in voorkomend geval geeft het sectoraal comité een uitdrukkelijke motivering van de redenen waarom het standpunt van de Commissie geheel of gedeeltelijk niet gevolgd wordt. – Artikel 45 van de Wet van 15 januari 1990 houdende oprichting en organisatie van een Kruispuntbank van de sociale zekerheid (1990), gewijzigd door de wet van 21 augustus 2008: het sectoraal comité van de sociale zekerheid en van de gezondheid stelt zijn huishoudelijk reglement vast. De administrateur-generaal of de adjunct-administrateur-generaal van de Kruispuntbank, en, in voorkomend geval, op uitnodiging van het comité, de voorzitter van het Algemeen Coördinatiecomité wonen de vergaderingen van het sectoraal comité van de sociale zekerheid en van de gezondheid met raadgevende stem bij. De leidende ambtenaar van het eHealth-platform woont de vergaderingen van de afdeling gezondheid van het sectoraal comité van de sociale zekerheid en van de gezondheid met raadgevende stem bij.
Afdeling 3 - Opdrachten en bevoegdheden – Artikel 46 van de Wet van 15 januari 1990 houdende oprichting en organisatie van een Kruispuntbank van de sociale zekerheid (1990): § 1. onverminderd het bepaalde in hoofdstuk VII en de bevoegdheid van de rechterlijke macht is de afdeling sociale zekerheid van het sectoraal comité van de sociale zekerheid en van de gezondheid, met het oog op de bescherming van de persoonlijke levenssfeer, belast met de hierna volgende taken: 1° het toezicht verzekeren op de naleving van deze wet en haar uitvoeringsmaatregelen. Het kan daartoe aan de Kruispuntbank, onder de voorwaarden en binnen de perken die het vaststelt, de toestemming geven om de uitvoering van artikel 13 op te schorten zolang de instellingen van sociale zekerheid hun verplichting om de sociale gegevens mede te delen overeenkomstig artikel 10 niet vervullen; het behandelt daartoe elke aanvraag, in het bijzonder om onderzoek, uitgaande van de Commissie voor de bescherming van de persoonlijke levenssfeer; het kan daartoe bij de sociale inspecteurs bedoeld in artikel 53 aangifte doen van alle gevallen die een overtreding uitmaken of kunnen doen vermoeden; 2° alle aanbevelingen formuleren die het nuttig acht voor de uitvoering en de naleving van deze wet en haar uitvoeringsmaatregelen; 3° bijdragen tot het oplossen van elk principieel probleem of elk geschil betreffende de toepassing van deze wet en haar uitvoeringsmaatregelen, en, zo nodig, de geschillen te beslechten die op geen andere wijze konden worden opgelost; 4° advies verlenen overeenkomstig artikel 5; 5° overeenkomstig artikel 12, tweede lid, aan de instellingen van sociale zekerheid vrijstelling verlenen van de verplichting om zich tot de Kruispuntbank te richten om de in het netwerk beschikbare sociale gegevens te bekomen of de juistheid ervan te controleren; 6° machtiging verlenen voor de mededeling van sociale gegevens van persoonlijke aard, overeenkomstig artikel 15; 6bis° een lijst bijhouden die enerzijds betreffende iedere geautomatiseerde verwerking van persoonsgegevens die door een instelling van sociale zekerheid wordt verricht met het oog op de toepassing van de sociale zekerheid tenminste de gegevens bevat bedoeld in artikel 17, § 3, van de wet van 8 december 1992 tot bescherming van de per-
220
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 31bis)
soonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens, zoals ze zijn meegedeeld of gevalideerd door de betrokken instelling van sociale zekerheid, en anderzijds de krachtens artikel 15 toegelaten mededelingen bevat, alsook de mededelingen waarvan de afdeling sociale zekerheid van het sectoraal comité van de sociale zekerheid en van de gezondheid krachtens hetzelfde artikel 15 in kennis moet worden gesteld; de Koning bepaalt de nadere regelen volgens welke iedere belanghebbende persoon deze lijst bij de Kruispuntbank kan raadplegen; 7° zijn advies verstrekken omtrent de aanwijzing van de veiligheidsconsulent van de Kruispuntbank, zoals voorzien in artikel 24, tweede lid; 8° nagaan of de veiligheidsconsulenten een passende voortdurende vorming genieten en werken op een gecoördineerde wijze; bij gebreke hieraan, alle nodige maatregelen treffen om die passende vorming te verzekeren of om de coördinatie tot stand te brengen, ondermeer op het technische vlak; 9° ieder jaar, op de eerste dag van de gewone zitting, aan de Wetgevende Kamers verslag uitbrengen over de vervulling van zijn opdrachten gedurende het afgelopen jaar en daarbij de in 6° van dit artikel vermelde lijst te voegen. Dit verslag wordt gedrukt en verstuurd naar de Koning, naar de Ministers die de sociale zekerheid onder hun bevoegdheden hebben, naar het Beheerscomité van de Kruispuntbank, naar de Commissie voor de bescherming van de persoonlijke levenssfeer en naar de leden van de commissies voor Sociale Zaken van de Wetgevende Kamers. Het kan door iedere belanghebbende persoon worden geraadpleegd of verkregen. § 2. De afdeling gezondheid van het sectoraal comité van de sociale zekerheid en van de gezondheid is belast met het verlenen van een machtiging voor de mededeling van persoonsgegevens die de gezondheid betreffen in de zin van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens, voor zover die wordt opgelegd ingevolge artikel 42 van de wet van 13 december 2006 houdende diverse bepalingen betreffende gezondheid of ingevolge een andere bepaling vastgesteld door of krachtens de wet. Zij houdt een lijst bij van de mededelingen waarvoor zij aldus een machtiging verleent. Zij is voorts belast met het verzekeren van het toezicht op de naleving van de door of krachtens de wet vastgestelde bepalingen tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens die de gezondheid betreffen. Daarbij kan zij alle aanbevelingen formuleren die zij nuttig acht en bijdragen tot het oplossen van principiële problemen of geschillen. – Artikel 47 van de Wet van 15 januari 1990 houdende oprichting en organisatie van een Kruispuntbank van de sociale zekerheid (1990): in het kader van de uitvoering van zijn taken kan het sectoraal comité van de sociale zekerheid en van de gezondheid onderzoeken instellen, een of meer van zijn leden gelasten met het verrichten van onderzoeken ter plaatse en een beroep doen op deskundigen. Het Comité of zijn leden, eventueel bijgestaan door deskundigen, heeft in dit geval, onder dezelfde voorwaarden, de bevoegdheden om onderzoeken te doen die zijn toegekend aan de ambtenaren belast met het strafrechtelijk toezicht op deze wet en haar uitvoeringsmaatregelen. Ze kunnen onder meer mededeling eisen van alle documenten die hen bij hun onderzoek van nut kunnen zijn. Ze hebben tevens toegang tot alle plaatsen waarvan ze redelijkerwijze kunnen vermoeden dat er werkzaamheden worden verricht die in verband staan met de toepassing van de sociale zekerheid in de zin van deze wet. De Voorzitter van het sectoraal comité van de sociale zekerheid en van de gezondheid en de andere leden van het Comité en de daarbij betrokken deskundigen zijn gehouden tot het beroepsgeheim zoals bepaald in artikel 28 met betrekking tot alles wat ze uit hoofde van hun functie hebben kunnen vernemen. – Artikel 48 van de Wet van 15 januari 1990 houdende oprichting en organisatie van een Kruispuntbank van de sociale zekerheid (1990): het sectoraal comité van de sociale zekerheid en van de gezondheid handelt hetzij op eigen initiatief, hetzij op verzoek van onder meer de Commissie voor de bescherming van de persoonlijke levenssfeer, hetzij ingevolge een aan hem gerichte aanvraag om advies of een bij hem ingediende klacht. Wanneer de klacht of de aanvraag tot de Commissie wordt gericht, maakt zij ze onverwijld aanhangig bij het sectoraal comité van de sociale zekerheid en van de gezondheid. De Kruispuntbank, de instellingen van sociale zekerheid en de personen geroepen om deel te nemen aan de toepassing van de sociale zekerheid, moeten aan het sectoraal comité van de sociale zekerheid en van de gezondheid of zijn leden die werden belast met een onderzoek, alle nodige informatie verstrekken en medewerking verlenen. Elke hiërarchische overheid, de werkgevers, hun aangestelden of lasthebbers moeten hun personeelsleden, aangestelden of werknemers toestaan te antwoorden op de vragen welke hen, in het kader van een onderzoek, worden gesteld door het sectoraal comité van de sociale zekerheid en van de gezondheid of door een van zijn leden, en gevolg te geven aan hun verzoeken of oproepingen. – Artikel 49 van de Wet van 15 januari 1990 houdende oprichting en organisatie van een Kruispuntbank van de sociale zekerheid (1990): iedere persoon, en in het bijzonder ieder personeelslid van de Kruispuntbank, van een instelling van sociale zekerheid, van een administratief bestuur of van welke openbare dienst dan ook, kan zich, zonder daartoe vooraf toestemming te moeten verkrijgen, tot het sectoraal comité van de sociale zekerheid en van de gezondheid wenden om het de feiten of toestanden mee te delen welke naar zijn oordeel diens optreden noodzakelijk maken of om het alle nuttige suggesties te doen.
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
221
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 31bis)
Het sectoraal comité van de sociale zekerheid en van de gezondheid mag de naam van de persoon, die zich tot hem wendt niet bekendmaken, tenzij met diens uitdrukkelijke toestemming, en evenmin aan wie dan ook laten weten dat het op die wijze werd gevat. – Artikel 50 van de Wet van 15 januari 1990 houdende oprichting en organisatie van een Kruispuntbank van de sociale zekerheid (1990): de Voorzitter van het sectoraal comité van de sociale zekerheid en van de gezondheid licht de indieners van klachten, aanvragen of voorstellen binnen een redelijke termijn in over het gevolg dat aan hun tussenkomst werd gegeven en stelt ze in kennis van de redenen die ten grondslag liggen van het standpunt van het sectoraal comité van de sociale zekerheid en van de gezondheid of, in voorkomend geval, van het standpunt van de Commissie voor de bescherming van de persoonlijke levenssfeer. – Artikel 51 van de Wet van 15 januari 1990 houdende oprichting en organisatie van een Kruispuntbank van de sociale zekerheid (1990): wanneer het sectoraal comité van de sociale zekerheid en van de gezondheid een schriftelijke aanbeveling formuleert, een probleem oplost of uitspraak doet over een betwisting, moet het in kennis worden gesteld van het gevolg dat aan zijn optreden wordt gegeven. Bij gebrek aan een bevredigend antwoord binnen de termijn die het sectoraal comité van de sociale zekerheid en van de gezondheid vaststelt kan het op elk ogenblik de aanbeveling en de beslissing openbaar maken. De bestemmeling van de aanbeveling of van de beslissing kan in dat geval ook zijn antwoord openbaar maken evenals de uiteindelijke getroffen beslissing. – Artikel 52 van de Wet van 15 januari 1990 houdende oprichting en organisatie van een Kruispuntbank van de sociale zekerheid (1990): onverminderd de bevoegdheid van de gewone hoven en rechtbanken met het oog op de toepassing van de algemene beginselen inzake bescherming van de persoonlijke levenssfeer, kan de Voorzitter van het sectoraal comité van de sociale zekerheid ieder geschil aangaande de toepassing van deze wet en haar uitvoeringsmaatregelen aan de arbeidsgerechten voorleggen. 3.2. Sectoraal comité van het Rijksregister: Artikels 15 en 16 van de Wet van 8 augustus 1983 tot regeling van een Rijksregister van de natuurlijke personen, B.S. 21 april 1984. Zie ook het Koninklijk besluit van 17 december 2003 (infra). – Artikel 5 van de Wet van 8 augustus 1983 tot regeling van een Rijksregister van de natuurlijke personen (1983): de machtiging om toegang te hebben tot de informatiegegevens bedoeld in artikel 3, eerste en tweede lid, of om er mededeling van te verkrijgen, wordt verleend door het sectoraal comité van het Rijksregister ingesteld door artikel 15: 1° aan de Belgische openbare overheden voor de informatiegegevens die zij gemachtigd zijn te kennen uit hoofde van een wet, een decreet of een ordonnantie; 2° aan de openbare en private instellingen van Belgisch recht voor de informatie die zij nodig hebben voor het vervullen van taken van algemeen belang die hen zijn toevertrouwd door of krachtens een wet, een decreet of een ordonnantie of voor taken die uitdrukkelijk als zodanig erkend worden door het voormelde sectoraal comité; 3° aan de natuurlijke- of rechtspersonen die handelen als onderaannemer van de Belgische openbare overheden en de openbare of private instellingen van Belgisch recht bedoeld in 1° en 2°; de eventuele onderaanneming gebeurt op verzoek, onder controle en verantwoordelijkheid van deze overheden en instellingen; deze onderaannemers moeten zich er formeel toe verbinden de bepalingen van de onderhavige wet en deze van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens te respecteren en zij nemen daartoe de nodige maatregelen, waarvan zij melding maken aan de personen waarvoor zij als onderaannemer optreden; 4° aan de notarissen en de gerechtsdeurwaarders voor de informatie die zij gemachtigd zijn te kennen uit hoofde van een wet, een decreet of een ordonnantie; 5° aan de Orde van apothekers met als doel aan hun leden de hoofdverblijfplaats mede te delen van een cliënt waaraan een geneesmiddel dat gevaarlijk is voor de gezondheid werd afgeleverd; 6° aan de Orde van de Vlaamse balies en de Ordre des barreaux francophones et germanophone, met als enig doel aan de advocaten de informatie mede te delen die zij nodig hebben voor de taken die zij als medewerkers van het gerecht vervullen. Het sectoraal comité beoordeelt of de doeleinden, waarvoor de toegang tot de informatiegegevens van het Rijksregister van de natuurlijke personen wordt gevraagd of om er een mededeling van te verkrijgen, welbepaald, duidelijk omschreven en wettig zijn en, in voorkomend geval, of de gevraagde informatiegegevens uit het Rijksregister toereikend, ter zake dienend en niet overmatig zijn ten opzichte van die doeleinden. Vooraleer zijn machtiging te geven, gaat het sectoraal comité na of de toegang of de mededeling geschiedt in overeenstemming met deze wet, de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens en hun uitvoeringsbepalingen, alsmede met de andere pertinente normen inzake de bescherming van de persoonlijke levenssfeer of persoonsgegevens. Het sectoraal comité stuurt binnen dertig dagen na zijn beslissing een afschrift ervan naar de minister van Binnenlandse Zaken en de minister van Justitie.
222
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 31bis)
De Koning bepaalt, bij een besluit vastgesteld na overleg in de Ministerraad en na advies van het sectoraal comité, in welke gevallen geen machtiging vereist is. De Koning kan uitsluitend toegang verlenen tot de inlichtingen betreffende de vreemdelingen die zijn ingeschreven in het wachtregister bedoeld in artikel 1, eerste lid, 2°, van de wet van 19 juli 1991 betreffende de bevolkingsregisters en de identiteitskaarten en tot wijziging van de wet van 8 augustus 1983 tot regeling van een Rijksregister van de natuurlijke personen, aan de hierna opgesomde overheden en aan de bij naam aangewezen diensten die er rechtstreeks onder ressorteren, voor de informatie die zij krachtens een wet of een decreet bevoegd zijn te kennen: 1° de minister tot wiens bevoegdheid de maatschappelijke dienstverlening behoort; 2° de federale minister en de gewestelijke ministers tot wier bevoegdheid de tewerkstelling en de arbeid behoren; 3° de minister tot wiens bevoegdheid de toegang tot het grondgebied, het verblijf, de vestiging en de verwijdering van vreemdelingen behoren; 4° de leidende ambtenaar van de Directie voor de Inschrijving der Voertuigen (DIV) die afhangt van het Ministerie van Verkeerswezen en Infrastructuur; 5° de gemeenteoverheden, de gemeentelijke politiediensten en de voorzitters van de openbare centra voor maatschappelijk welzijn; 6° de Commissaris-generaal voor de vluchtelingen en de staatlozen; 7° de Voorzitter van de vaste beroepscommissie voor vluchtelingen; 8° de Commandant van de Rijkswacht; 9° de magistraten van de hoven en rechtbanken van de rechterlijke macht; 10° de Eerste Voorzitter en de Auditeur-generaal van de Raad van State; 11° de Kruispuntbank van de sociale zekerheid en de instellingen van sociale zekerheid zoals bepaald in artikel 2, eerste lid, 2°, van de wet van 15 januari 1990 houdende oprichting en organisatie van een Kruispuntbank van de sociale zekerheid; 12° de administrateur-generaal van de Veiligheid van de Staat, ressorterend onder de Minister van Justitie; 13° de Minister van Financiën; 14° de minister van Sociale Zaken; 15° de federale minister en de gewestelijke ministers tot wier bevoegdheid het leefmilieu behoort; 16° het Centrum voor gelijkheid van kansen en voor racismebestrijding; 17° de gemeenschapsministers tot wier bevoegdheid het onderwijs behoort. – Artikel 8 van de Wet van 8 augustus 1983 tot regeling van een Rijksregister van de natuurlijke personen (1983): § 1. de machtiging om het identificatienummer van het Rijksregister te gebruiken wordt verleend door het sectoraal comité van het Rijksregister bedoeld in artikel 15, aan de overheden, de instellingen en de personen die zijn bepaald in artikel 5, eerste lid. Het sectoraal comité stuurt binnen dertig dagen na zijn beslissing een afschrift ervan naar de minister van Binnenlandse Zaken en de minister van Justitie. De Koning bepaalt, bij een besluit vastgesteld na overleg in de Ministerraad en na advies van het sectoraal comité, in welke gevallen geen machtiging vereist is. De machtiging om het identificatienummer van het Rijksregister te gebruiken, houdt de verplichting in dit identificatienummer in de contacten met het Rijksregister van de natuurlijke personen ook aan te wenden. De aanvraag tot deze machtiging vermeldt op specifieke wijze de netwerkverbindingen die voortvloeien uit het gebruik van het identificatienummer van het Rijksregister, teneinde de publicatie van het kadaster van de netwerkverbindingen door het sectoraal comité mogelijk te maken. Elke wijziging aan de beoogde netwerkverbindingen die voortvloeien uit het gebruik van het identificatienummer van het Rijksregister moet voorafgaandelijk ter goedkeuring worden voorgelegd aan het sectoraal comité. Het sectoraal comité stuurt binnen dertig dagen na zijn beslissing een afschrift ervan naar de minister van Binnenlandse Zaken en de minister van Justitie. De Koning bepaalt, bij een besluit vastgesteld na overleg in de Ministerraad en na advies van het sectoraal comité, in welke gevallen geen machtiging vereist is. Het vorige lid is niet van toepassing op netwerkverbindingen en mededelingen van persoonsgegevens waarvoor een machtiging is verleend door een sectoraal comité opgericht bij de Commissie voor de bescherming van de persoonlijke levenssfeer. § 2. Bij machtiging tot het gebruik van het identificatienummer van het Rijksregister moeten de bepalingen van artikel 10 worden nageleefd. Het identificatienummer van het Rijksregister mag niet worden gebruikt zonder machtiging of voor andere doeleinden dan die waarvoor die machtiging is verleend.
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
223
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 31bis)
– Artikel 15 van de Wet van 8 augustus 1983 tot regeling van een Rijksregister van de natuurlijke personen (1983): binnen de Commissie voor de bescherming van de persoonlijke levenssfeer wordt een sectoraal comité van het Rijksregister opgericht, dat belast is met de afgifte van de machtigingen bedoeld in de artikelen 5 en 8. Dat sectoraal comité is samengesteld uit drie leden van de Commissie, van wie de voorzitter of een ander door de Commissie in die hoedanigheid aangewezen lid, dat het comité voorzit, alsmede uit drie externe leden aangewezen door de Kamer van volksvertegenwoordigers overeenkomstig de door de Koning, bij een besluit vastgesteld na overleg in de Ministerraad, bepaalde voorwaarden en nadere regels. Bij staking van stemmen beslist de stem van de voorzitter. De werkingsregels van dat sectoraal comité worden, zonder afbreuk te doen aan deze wet, bepaald door of krachtens de wet. Die regels bekrachtigen het recht van de voorzitter van het sectoraal comité om een aan dat comité voorgelegd dossier voor de Commissie zelf te brengen en de beslissing van het comité zo nodig te herzien. – Artikel 16 van de Wet van 8 augustus 1983 tot regeling van een Rijksregister van de natuurlijke personen (1983): het sectoraal comité van het Rijksregister bedoeld in artikel 15 is belast met de volgende taken: 1° machtiging verlenen om toegang tot of mededeling van de informatiegegevens uit het Rijksregister te bekomen overeenkomstig artikel 5, alsook machtiging verlenen om het identificatienummer van het Rijksregister te gebruiken overeenkomstig artikel 8; 2° het toezicht verzekeren op de naleving van deze wet en van de wet van 19 juli 1991 betreffende de bevolkingsregisters en de identiteitskaarten; 3° alle aanbevelingen formuleren die het nuttig acht voor de uitvoering en de naleving van de huidige wet en haar uitvoeringsmaatregelen; 4° bijdragen tot het oplossen van elk principieel probleem of elk geschil betreffende de toepassing van de huidige wet en haar uitvoeringsmaatregelen; 5° zijn advies verstrekken omtrent de aanwijzing van de consulent inzake informatieveiligheid en bescherming van de persoonlijke levenssfeer voor het Rijksregister en voor het Register van de identiteitskaarten, bedoeld in artikel 6bis van de wet van 19 juli 1991 betreffende de bevolkingsregisters en de identiteitskaarten; 6° erop toezien dat alle wettelijke en reglementaire bepalingen inzake identiteitsdocumenten in acht genomen worden; 7° toezicht houden op het volledige proces van aanmaak en afgifte van de elektronische identiteitskaarten, alsook van de gekwalificeerde elektronische identiteits- en handtekeningcertificaten; 8° beschikken over een sterk beveiligde website waarop iedere belanghebbende de actieve rootcertificaten van de overheid, de conformiteit van zijn eigen gekwalificeerd certificaat, van de geaccrediteerde certificatiedienstverlener en van de identiteitskaartproducent, de identiteitskaartpersonalisator en de identiteitskaartinitialisator, bedoeld in de wet van 19 juli 1991 betreffende de bevolkingsregisters en de identiteitskaarten, kan nagaan; 9° aan de Minister van Binnenlandse Zaken elk voorstel voorleggen dat het nuttig acht met betrekking tot de veiligheid van de gegevens en de bescherming van de persoonlijke levenssfeer; 10° aan de Minister van Binnenlandse Zaken advies verstrekken omtrent de eventuele vervaardiging van veiligheidsdocumenten voor andere doeleinden; 11° aan de Minister van Binnenlandse Zaken advies verstrekken omtrent de machtiging van de geautomatiseerde controle van de identiteitskaart door elektronische of andere leesprocédés; 12° de gemeenten verplichten, wanneer de Belgische openbare overheden of de openbare en private instellingen van Belgisch recht die een opdracht van algemeen belang vervullen, bedoeld in artikel 5, krachtens een wet, decreet of ordonnantie de gemeenten om andere dan de in artikel 3 vermelde informatiegegevens kunnen verzoeken, deze gegevens te verstrekken door toedoen van het Rijksregister; de aldus verstrekte gegevens worden niet in het Rijksregister bewaard; 13° ieder jaar, op de eerste dag van de gewone zitting, aan de federale Wetgevende Kamers verslag uitbrengen over de vervulling van zijn opdrachten gedurende het afgelopen jaar; dit verslag wordt gedrukt en verstuurd naar de Minister van Binnenlandse Zaken en naar de federale Wetgevende Kamers; het kan door iedere belanghebbende persoon worden geraadpleegd of verkregen. In de gevallen bedoeld in 1° en 12° van het eerste lid stuurt het sectoraal comité binnen dertig dagen na zijn beslissing een afschrift ervan naar de Minister van Binnenlandse Zaken en de Minister van Justitie. De Koning bepaalt, bij een besluit vastgesteld na overleg in de Ministerraad en na advies van het sectoraal comité, in welke gevallen geen machtiging vereist is. Wet van 8 augustus 1983 tot regeling van een Rijksregister van de natuurlijke personen (1983) 3.3. Sectoraal comité van de Kruispuntbank van Ondernemingen, Wet van 16 januari 2003 tot modernisering van het handelsregister, tot oprichting van erkende ondernemingsloketten en houdende diverse bepalingen. B.S. 5 februari 2003, gewijzigd door de wet van 31 januari 2009 en de wet van 20 maart 2009. Zie ook het Koninklijk besluit van 17 december 2003 (infra).
224
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 31bis)
– Artikel 27 van de Wet van 16 januari 2003 tot oprichting van een Kruispuntbank van Ondernemingen, tot modernisering van het handelsregister, tot oprichting van erkende ondernemingsloketten en houdende diverse bepalingen (2003): binnen de Commissie voor de bescherming van de persoonlijke levenssfeer wordt een sectoraal comité voor de Kruispuntbank van Ondernemingen, "Toezichtscomité genaamd" opgericht, dat belast is met de afgifte van de machtiging bedoeld in artikel 18, § 2. Het comité verstrekt tevens de adviezen bedoeld in de artikelen 6, § 2, 18, § 1, en 20, binnen dertig dagen na de aanhangigmaking door de beheersdienst. Bij ontstentenis van advies binnen de voorgeschreven termijn, wordt het advies geacht het voorstel te volgen dat de beheersdienst in de adviesaanvraag had geformuleerd. Dat sectoraal comité is samengesteld uit drie leden van de Commissie, van wie de voorzitter of een ander, door de Commissie in die hoedanigheid aangewezen lid, dat het comité voorzit, alsmede uit drie externe leden aangewezen door de Kamer van volksvertegenwoordigers overeenkomstig de door de Koning, bij een besluit vastgesteld na overleg in de Ministerraad, bepaalde voorwaarden en nadere regels. Bij staking van stemmen beslist de stem van de voorzitter. De werkingsregels van dat sectoraal comité worden, zonder afbreuk te doen aan deze wet, bepaald in of krachtens de wet. Die regels bekrachtigen het recht van de voorzitter van het sectoraal comité om een aan dat comité voorgelegd dossier voor de Commissie zelf te brengen en de beslissing van het comité zo nodig te herzien. – Artikel 28 van de Wet van 16 januari 2003 tot oprichting van een Kruispuntbank van Ondernemingen, tot modernisering van het handelsregister, tot oprichting van erkende ondernemingsloketten en houdende diverse bepalingen (2003): in afwachting van de installatie en de benoeming van de leden van het Toezichtscomité, is de Commissie voor de Bescherming van de Persoonlijke Levenssfeer belast met de opdrachten die aan het Toezichtscomité worden toebedeeld krachtens deze wet. De termijn van 30 dagen voorzien om een advies te verlenen en bepaald door artikel 27 wordt beperkt tot 20 dagen voor wat betreft de besluiten die prioritair nodig zijn in het raam van de opstartfase van de Kruispuntbank voor Ondernemingen. – Artikel 6 § 2 van de Wet van 16 januari 2003 tot oprichting van een Kruispuntbank van Ondernemingen, tot modernisering van het handelsregister, tot oprichting van erkende ondernemingsloketten en houdende diverse bepalingen (2003): de Koning kan, na advies van het in artikel 27 bedoelde toezichtcomité en bij een besluit vastgesteld na overleg in de Ministerraad, de in § 1 opgesomde gegevens aanvullen met andere gegevens vereist voor de identificatie van ondernemingen of van gemeenschappelijk belang voor meerdere overheidsdiensten. – Artikel 20 van de Wet van 16 januari 2003 tot oprichting van een Kruispuntbank van Ondernemingen, tot modernisering van het handelsregister, tot oprichting van erkende ondernemingsloketten en houdende diverse bepalingen (2003): de Koning bepaalt, na advies van het toezichtscomité, welke in artikel 17 opgesomde gegevens van de Kruispuntbank van Ondernemingen, gelet op hun openbaar karakter, vrij mogen worden gecommercialiseerd en onder welke voorwaarden en waarborgen. Enkel de beheersdienst mag deze basisgegevens aan ondernemingen verstrekken. – Artikel 18 § 1 van de Wet van 16 januari 2003 tot oprichting van een Kruispuntbank van Ondernemingen, tot modernisering van het handelsregister, tot oprichting van erkende ondernemingsloketten en houdende diverse bepalingen (2003): § 1. De Koning stelt, op advies van de coördinatiecommissie en van het toezichtscomité, bedoeld in de artikelen 26 en 27, de nadere regelen voor de toegang tot de Kruispuntbank van Ondernemingen vast. 3.4. Sectoraal Toezichtscomité Phenix: wet van 10 augustus 2005 tot oprichting van het informatiesysteem Phenix, B.S. 1 september 2005. – Artikel 22 van de Wet van 10 augustus 2005 tot oprichting van het informatiesysteem Phenix (2005): binnen de Commissie voor de bescherming van de persoonlijke levenssfeer wordt een sectoraal toezichtscomité " Phenix " opgericht, samengesteld uit: - 3 vaste leden en 3 plaatsvervangende leden aangewezen door en uit de Commissie voor de bescherming van de persoonlijke levenssfeer, onder wie ten minste een magistraat; - 3 vaste leden, onder wie de voorzitter, en 3 plaatsvervangende leden, met de hoedanigheid van magistraat van de rechterlijke orde, werkend, op rust gesteld of emeritus, benoemd door de Kamer van volksvertegenwoordigers op voordracht van de Ministerraad, na gelijkluidend en gezamenlijk advies van de eerste voorzitter van en van de procureur-generaal bij het Hof van Cassatie. De voorzitter wordt gekozen onder de magistraten van de rechterlijke orde, die een duidelijke deskundigheid hebben inzake de bescherming van de persoonlijke levenssfeer en de bescherming van de persoonsgegevens. Het toezichtscomité is samengesteld uit een gelijk aantal leden van de Nederlandse taalrol en van de Franse taalrol. De leden worden voor een hernieuwbare termijn van 6 jaar benoemd. Zij zijn gebonden door het beroepsgeheim. Binnen de perken van hun bevoegdheden ontvangen zij van niemand instructies. Zij kunnen niet uit hun ambt worden ontheven naar aanleiding van de meningen die zij uiten of van de daden die zij stellen om hun functie uit te oefenen.
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
225
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 31bis)
De bevoegde tuchtrechtelijke overheid stelt het toezichtscomité in kennis van elke tuchtrechtelijke vervolging tegen een van zijn leden en van de redenen die hieraan ten grondslag liggen. Ingeval die feiten verband houden met de werkzaamheden van het lid in het toezichtscomité, verleent het toezichtscomité een advies dat bij het tuchtdossier wordt gevoegd. – Artikel 23 van de Wet van 10 augustus 2005 tot oprichting van het informatiesysteem Phenix (2005): ingeval de voorzitter zijn ambt niet kan vervullen, wordt hij vervangen door het lid met de meeste dienstanciënniteit en, onder de leden met dezelfde dienstanciënniteit, door het oudste lid. De Koning bepaalt het bedrag van de zitpenningen en van de verplaatsingskosten dat kan worden toegekend aan de leden. – Artikel 24 van de Wet van 10 augustus 2005 tot oprichting van het informatiesysteem Phenix (2005): § 1. Het toezichtscomité verleent advies op eigen initiatief of op verzoek van de regering, van de Wetgevende Kamers, van het beheerscomité, van de Minister van Justitie of van het Hof van Cassatie, van andere gerechtelijke instanties of van de Hoge Raad voor de Justitie. Het toezichtscomité ziet erop toe dat de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van de persoonsgegevens, in het kader van de gegevensbank Phenix wordt nageleefd. Onverminderd enige vordering voor de rechtbanken onderzoekt het toezichtscomité de getekende en gedateerde klachten en verzoeken betreffende het informatiesysteem Phenix. Ingeval zij ontvankelijk zijn, verricht het comité elke bemiddelingsopdracht die het nuttig acht. Het verleent advies over de gegrondheid van de klachten en verzoeken. Het comité bezorgt jaarlijks een verslag over de klachtenbehandeling aan de Commissie voor de bescherming van de persoonlijke levenssfeer. § 2. In afwijking van artikel 31bis, § 3, derde lid, laatste zin, van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens wordt het onderzoek van een dossier door het toezichtscomité in het kader van de eraan verleende bevoegdheden in of krachtens deze wet opgeschort op verzoek van twee leden van het comité teneinde het vooraf voor te leggen aan de Commissie voor de bescherming van de persoonlijke levenssfeer. De Commissie beschikt over een maand te rekenen vanaf de ontvangst van het dossier om zich uit te spreken. Het toezichtscomité beschikt dan over vijftien dagen te rekenen vanaf de ontvangst van het advies van de Commissie om zich uit te spreken. Het standpunt van de Commissie wordt uitdrukkelijk vermeld in het advies van het toezichtscomité. In voorkomend geval omschrijft het comité uitdrukkelijk de redenen die ertoe hebben geleid dat het standpunt van de Commissie niet of slechts gedeeltelijk is gevolgd. Indien de Commissie zich niet uitspreekt binnen de termijn van een maand bedoeld in het tweede lid, spreekt het toezichtscomité zich onverwijld uit. Indien het toezichtscomité zich niet uitspreekt binnen vijftien dagen te rekenen vanaf de ontvangst van het advies van de Commissie, wordt het advies van het comité geacht conform dat van de Commissie te zijn. De Commissie bezorgt de steller van het verzoek om advies hoe dan ook onverwijld een afschrift van het advies dat zij verleent. § 3. Het toezichtscomité doet bij het parket aangifte van de inbreuken, waarvan het kennis heeft, op deze wet. – Artikel 25 van de Wet van 10 augustus 2005 tot oprichting van het informatiesysteem Phenix (2005): het toezichtscomité beraadslaagt alleen op geldige wijze als de meerderheid van zijn leden aanwezig is. – Artikel 26 van de Wet van 10 augustus 2005 tot oprichting van het informatiesysteem Phenix (2005): het toezichtscomité heeft bij de uitoefening van zijn functie toegang tot alle in Phenix opgenomen gegevens. 3.3.5. Wet 4 juli 1962 3.5. Statistisch Toezichtscomité: 1. wet van 4 juli 1962 betreffende de openbare statistiek, B.S. 20 juli 1962 (gewijzigd door de wet van 22 maart 2006 betreffende, met name het Sectoraal comité). Zie ook het Koninklijk besluit van 7 juni 2007 tot vaststelling van de nadere regels met betrekking tot de samenstelling en de werking van het Statistisch Toezichtscomité opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer, B.S., 20 juni 2007 (hieronder). HOOFDSTUK VII. - Statistisch Toezichtscomité – Artikel 33 van de Wet van 22 maart 2006 tot wijziging van de wet van 4 juli 1962 betreffende de openbare statistiek en van de wet van 8 augustus 1983 tot regeling van een Rijksregister van de natuurlijke personen (2006): In dezelfde wet, gewijzigd bij de wetten van 1 augustus 1985, 21 december 1994 en 2 januari 2001, wordt een hoofdstuk VIIter ingevoegd, bestaande uit de artikelen 24sexies tot 24octies, luidende: "Hoofdstuk VIIter - Het Statistisch Toezichtscomité"
226
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 31bis)
HOOFDSTUK VIIter - Statistisch Toezichtscomité – Artikel 34 van de wet van 22 maart 2006 tot wijziging van de wet van 4 juli 1962 betreffende de openbare statistiek en van de wet van 8 augustus 1983 tot regeling van een Rijksregister van de natuurlijke personen (2006): In dezelfde wet wordt een artikel 24sexies ingevoegd, luidende: "Art. 24sexies. - In de schoot van de Commissie voor de bescherming van de persoonlijke levenssfeer wordt een Statistisch Toezichtscomité opgericht. Dit Comité bestaat uit drie leden van de Commissie, waaronder de Voorzitter of, in geval van afwezigheid of verhindering van de Voorzitter, een ander lid dat eventueel in die hoedanigheid door de Commissie wordt aangewezen, die het Comité voorzit, alsook uit drie externe leden aangewezen door de Kamer van volksvertegenwoordigers overeenkomstig de voorwaarden en de nadere regels vastgelegd bij koninklijk besluit, vastgesteld na overleg in de Ministerraad. Bij staking van stemmen is de stem van de Voorzitter doorslaggevend. In bijzondere gevallen kan het een beroep doen op bijkomende experts. De Directeur-generaal van de Algemene Directie Statistiek en Economische Informatie en de afgevaardigde voor de gegevensbescherming hebben zitting met raadgevende stem. Onverminderd de bepalingen van artikel 31bis van voormelde wet van 8 december 1992, worden de bijkomende werkingsregels van het Statistisch Toezichtscomité door de Koning bepaald." – Artikel 35 van de Wet van 22 maart 2006 tot wijziging van de wet van 4 juli 1962 betreffende de openbare statistiek en van de wet van 8 augustus 1983 tot regeling van een Rijksregister van de natuurlijke personen (2006): In dezelfde wet wordt een artikel 24septies ingevoegd, luidende: "Art. 24septies. - Onverminderd de bepalingen van artikel 31bis van voormelde wet van 8 december 1992 is het Statistisch Toezichtscomité belast met de volgende taken: 1° toegang verlenen tot de gegevens overeenkomstig artikel 15; 2° zonder afbreuk te doen aan de bevoegdheden van de Commissie voor de bescherming van de persoonlijke levenssfeer, alle aanbevelingen formuleren die nuttig zijn voor de uitvoering en de naleving door het Nationaal Instituut voor de Statistiek van voormelde wet van 8 december 1992 en haar uitvoeringsmaatregelen." – Artikel 36 van de Wet van 22 maart 2006 tot wijziging van de wet van 4 juli 1962 betreffende de openbare statistiek en van de wet van 8 augustus 1983 tot regeling van een Rijksregister van de natuurlijke personen (2006): In dezelfde wet wordt een artikel 24octies ingevoegd, luidende: "Art. 24octies. - In het kader van de uitvoering van zijn taken kan het Statistisch Toezichtscomité onderzoeken instellen, een of meer van zijn leden belasten met het verrichten van die onderzoeken en een beroep doen op deskundigen. Het Toezichtscomité kan mededeling eisen van alle documenten die hem bij hun onderzoek van nut kunnen zijn. De Voorzitter van het Statistisch Toezichtscomité alsook de andere leden van het Comité en de daarbij betrokken deskundigen zijn gehouden tot het statistisch geheim en het beroepsgeheim zoals bepaald in artikel 18 met betrekking tot alles wat ze uit hoofde van hun functie hebben kunnen vernemen." 2. Koninklijk besluit van 7 juni 2007 tot vaststelling van de nadere regels met betrekking tot de samenstelling en de werking van het Statistisch Toezichtscomité opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer, B.S. 20 juni 2007. – Artikel 1 van het Koninklijk besluit van 7 juni 2007 tot vaststelling van de nadere regels met betrekking tot de samenstelling en de werking van het Statistisch Toezichtscomité opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer (2007): de Federale Overheidsdienst Economie, KMO, Middenstand en Energie wordt voor het Statistisch Toezichtscomité beschouwd als beheersinstelling in de zin van artikel 31bis, § 3, van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens. – Artikel 2 van het Koninklijk besluit van 7 juni 2007 tot vaststelling van de nadere regels met betrekking tot de samenstelling en de werking van het Statistisch Toezichtscomité opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer (2007): § 1. Benevens de leden van de Commissie voor de bescherming van de persoonlijke levenssfeer, bedoeld in artikel 24sexies, tweede lid, van de wet van 4 juli 1962 betreffende de openbare statistiek, is het Statistisch Toezichtscomité samengesteld uit: 1. een extern lid met een deskundigheid in openbare statistiek; 2. een extern lid met een bijzondere expertise in de juridische ondersteuning van de verwerking en uitwisseling van statistische gegevens; 3. een extern lid met een bijzondere expertise in de bescherming van gegevens met een statistisch doeleinde. § 2. Onverminderd artikel 3, tweede lid, kan elk extern lid van het Statistisch Toezichtscomité geen deel uitmaken van een ander sectoraal comité opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer. – Artikel 3 van het Koninklijk besluit van 7 juni 2007 tot vaststelling van de nadere regels met betrekking tot de samenstelling en de werking van het Statistisch Toezichtscomité opgericht binnen de Commissie voor de be-
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
227
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 31bis)
scherming van de persoonlijke levenssfeer (2007): de externe leden bedoeld in artikel 2, § 1, worden voor een hernieuwbare termijn van zes jaar benoemd door de Kamer van Volksvertegenwoordigers, uit een dubbeltal dat door de Ministerraad voor elk van de vacante mandaten wordt voorgedragen. Ze kunnen van hun opdracht worden ontheven door de Kamer van Volksvertegenwoordigers. Onder dezelfde voorwaarden wordt voor elk extern lid bedoeld in artikel 2, § 1, één plaatsvervangend lid benoemd. Dit plaatsvervangend lid vervangt het effectief lid indien dit verhinderd of afwezig is, of in afwachting van zijn vervanging. Wanneer het mandaat van een extern lid een einde neemt vóór de vastgestelde datum, wordt binnen de drie maanden in de vervanging van de titularis voorzien. Het nieuwe externe lid voleindigt het mandaat van degene die het vervangt. De voorzitter van het Statistisch Toezichtscomité en de overige leden afkomstig uit de Commissie, worden aangewezen voor een hernieuwbare termijn van maximum zes jaar. – Artikel 4 van het Koninklijk besluit van 7 juni 2007 tot vaststelling van de nadere regels met betrekking tot de samenstelling en de werking van het Statistisch Toezichtscomité opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer (2007): om tot extern lid van het Statistisch Toezichtscomité benoemd te kunnen worden en het te kunnen blijven, moeten de kandidaten aan de volgende voorwaarden voldoen: 1. Belg of onderdaan van de Europese Unie zijn; 2. de burgerlijke en politieke rechten genieten; 3. onafhankelijk zijn van de betrokken beheersinstelling en niet onder het hiërarchisch gezag staan van de Minister die de betrokken beheersinstelling onder zijn bevoegdheid heeft; 4. geen lid zijn van het Europees of nationaal parlement, noch van een Gemeenschaps- of Gewestparlement; 5. geen deel uitmaken van het personeel van een instelling die vertegenwoordigd is in het Coördinatiecomité van het Nationaal Instituut voor de Statistiek. § 2. De in § 1, 1°, 2°, 3° en 4° bedoelde voorwaarden gelden onverkort voor de Voorzitter van het Statistisch Toezichtscomité en de overige leden afkomstig uit de Commissie. – Artikel 5 van het Koninklijk besluit van 7 juni 2007 tot vaststelling van de nadere regels met betrekking tot de samenstelling en de werking van het Statistisch Toezichtscomité opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer (2007): het Statistisch Toezichtscomité bestaat uit evenveel Franstalige leden als Nederlandstalige leden. – Artikel 6 van het Koninklijk besluit van 7 juni 2007 tot vaststelling van de nadere regels met betrekking tot de samenstelling en de werking van het Statistisch Toezichtscomité opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer (2007): de artikelen 24, §§ 6 en 7, 27, 31bis, § 4 en 36, tweede en derde lid, van voornoemde wet van 8 december 1992 zijn van toepassing op de leden van het Statistisch Toezichtscomité. – Artikel 7 van het Koninklijk besluit van 7 juni 2007 tot vaststelling van de nadere regels met betrekking tot de samenstelling en de werking van het Statistisch Toezichtscomité opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer (2007): onverminderd artikel 31bis, § 2, eerste lid, laatste zin van voornoemde wet van 8 december 1992, verleent het Statistisch Toezichtscomité advies en machtigingen bij meerderheid der stemmen. Het Statistisch Toezichtscomité kan slechts geldig beraadslagen voorzover ten minste 2 leden van de Commissie onder wie steeds de voorzitter of diens plaatsvervanger, en 2 externe leden aanwezig zijn. Indien er op het ogenblik van de beraadslaging geen pariteit bestaat tussen de leden van de Commissie enerzijds en de externe leden anderzijds, wordt de pariteit hersteld volgens een regeling beschreven in het huishoudelijk reglement van het Statistisch Toezichtscomité. – Artikel 8 van het Koninklijk besluit van 7 juni 2007 tot vaststelling van de nadere regels met betrekking tot de samenstelling en de werking van het Statistisch Toezichtscomité opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer (2007): ingeval van toepassing van artikel 31bis, § 5, tweede lid van voornoemde wet van 8 december 1992, worden de werkingskosten van het betrokken sectoraal comité gedragen door de beheersinstelling, met uitzondering van de vergoedingen en terugbetalingen van kosten uitgekeerd aan de voorzitter en aan de leden van het Statistisch Toezichtscomité, die ten laste van de Commissie blijven. – Artikel 9 van het Koninklijk besluit van 7 juni 2007 tot vaststelling van de nadere regels met betrekking tot de samenstelling en de werking van het Statistisch Toezichtscomité opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer (2007): de voorzitter van het Statistisch Toezichtscomité zorgt, in overleg met de andere leden van de Commissie in het comité, voor de coördinatie tussen de werkzaamheden van het Statistisch Toezichtscomité en die van de Commissie voor de bescherming van de persoonlijke levenssfeer; hij waakt over de verenigbaarheid van de aan het Statistisch Toezichtscomité voorgelegde ontwerpbeslissingen met de beginselen en normen inzake de bescherming van de persoonlijke levenssfeer. De nadere werkingsregels van het Statistisch Toezichtscomité zijn, overeenkomstig artikel 31bis van voornoemde wet van 8 december 1992, bepaald door datzelfde artikel, met uitzondering van de afwijkingen die, uitsluitend ten behoeve van het sectoraal comité van de sociale zekerheid, worden voorzien ten opzichte van de §§ 2 en 5.
228
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 31bis)
– Artikel 10 van het Koninklijk besluit van 7 juni 2007 tot vaststelling van de nadere regels met betrekking tot de samenstelling en de werking van het Statistisch Toezichtscomité opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer (2007): de voorzitter van het Statistisch Toezichtscomité kan, binnen een termijn van 3 werkdagen te tellen vanaf de dag waarop zijn comité zich uitgesproken heeft, het dossier overmaken aan de Commissie om het opnieuw te laten onderzoeken, indien hij vaststelt dat de beslissing van zijn comité niet strookt met de beginselen en normen inzake de bescherming van de persoonlijke levenssfeer. In dit geval wordt het gehele dossier zonder verwijl aan de Commissie overgemaakt. De Commissie doet uitspraak binnen de 30 dagen te rekenen vanaf de datum van de overmaking van het dossier aan de Commissie. Indien deze termijn niet wordt nageleefd, wordt de Commissie geacht in te stemmen met de beslissing van het comité. Ingeval de Commissie beslist de door het Statistisch Toezichtscomité genomen beslissing te herzien, wordt haar beslissing overgemaakt aan de instanties bedoeld in artikel 13, tweede en derde lid. – Artikel 11 van het Koninklijk besluit van 7 juni 2007 tot vaststelling van de nadere regels met betrekking tot de samenstelling en de werking van het Statistisch Toezichtscomité opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer (2007): het Statistisch Toezichtscomité stelt zijn huishoudelijk reglement vast. Dit huishoudelijk reglement wordt voor goedkeuring aan de Commissie voorgelegd. – Artikel 12 van het Koninklijk besluit van 7 juni 2007 tot vaststelling van de nadere regels met betrekking tot de samenstelling en de werking van het Statistisch Toezichtscomité opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer (2007): het Statistisch Toezichtscomité kan de aanvrager of de betrokken beheersinstelling alle aanvullende inlichtingen vragen die het nuttig acht. – Artikel 13 van het Koninklijk besluit van 7 juni 2007 tot vaststelling van de nadere regels met betrekking tot de samenstelling en de werking van het Statistisch Toezichtscomité opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer (2007): de adviezen en de machtigingen van het Statistisch Toezichtscomité worden met redenen omkleed. Een afschrift van elk advies wordt na afloop van de termijn bedoeld in artikel 10, eerste lid, overgemaakt aan de Minister die de betrokken beheersinstelling onder zijn bevoegdheid heeft. Een afschrift van de machtiging of van de weigering tot machtiging wordt na afloop van de termijn bedoeld in artikel 10, eerste lid, overgemaakt aan de aanvrager die erom heeft verzocht en aan de betrokken beheersinstelling. – Artikel 14 van het Koninklijk besluit van 7 juni 2007 tot vaststelling van de nadere regels met betrekking tot de samenstelling en de werking van het Statistisch Toezichtscomité opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer (2007): de adviezen en de machtigingen van het Statistisch Toezichtscomité worden binnen de maand bekendgemaakt op de internetsite van de Commissie. De adviezen en de machtigingen van het Statistisch Toezichtscomité of een referentie naar hun vindplaats op de internetsite van de Commissie worden bekendgemaakt in het verslag dat de Commissie opstelt op grond van artikel 32, § 2, van voornoemde wet van 8 december 1992. – Artikel 15 van het Koninklijk besluit van 7 juni 2007 tot vaststelling van de nadere regels met betrekking tot de samenstelling en de werking van het Statistisch Toezichtscomité opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer (2007): behalve indien voor het Statistisch Toezichtscomité uitvoering wordt gegeven aan artikel 31bis, § 5, tweede lid, van voornoemde wet van 8 december 1992, wordt het secretariaat van het Statistisch Toezichtscomité waargenomen door het secretariaat van de Commissie voor de bescherming van de persoonlijke levenssfeer. – Artikel 16 van het Koninklijk besluit van 7 juni 2007 tot vaststelling van de nadere regels met betrekking tot de samenstelling en de werking van het Statistisch Toezichtscomité opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer (2007): de Commissie voor de bescherming van de persoonlijke levenssfeer is tot de installatie en de benoeming van de leden van het Statistisch Toezichtscomité, belast met de opdrachten die aan het Statistisch Toezichtscomité worden toebedeeld door de wet van 4 juli 1962 betreffende de openbare statistiek. – Artikel 17 van het Koninklijk besluit van 7 juni 2007 tot vaststelling van de nadere regels met betrekking tot de samenstelling en de werking van het Statistisch Toezichtscomité opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer (2007): treden in werking op de dag van de bekendmaking van dit besluit in het Belgisch Staatsblad: 1. de artikelen 17 tot 18, 33 tot 36 van de wet van 22 maart 2006 tot wijziging van de wet van 4 juli 1962 betreffende de openbare statistiek en van de wet van 8 augustus 1983 tot regeling van een Rijksregister van de natuurlijke personen; 2. dit besluit. KB 17 DECEMBER 2003 Koninklijk besluit van 17 december 2003 tot vaststelling van de nadere regels met betrekking tot de samenstelling en de werking van bepaalde sectorale comités opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer.
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
229
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 31bis)
– Artikel 1 van het Koninklijk besluit van 17 december 2003 tot vaststelling van de nadere regels met betrekking tot de samenstelling en de werking van bepaalde sectorale comités opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer (2003): § 1. Voor de toepassing van dit besluit dient te worden verstaan onder "de wet van 8 december 1992": de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens. § 2. Voor de toepassing van dit besluit dient te worden verstaan onder "sectorale comités": - het Sectoraal Comité voor het Rijksregister opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer, overeenkomstig artikel 15 van de wet van 8 augustus 1983 tot regeling van een Rijksregister van de natuurlijke personen; - het Sectoraal Comité voor de Kruispuntbank van Ondernemingen opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer, overeenkomstig artikel 27 van de wet van 16 januari 2003 tot oprichting van een Kruispuntbank van Ondernemingen, tot modernisering van het handelsregister, tot oprichting van erkende ondernemingsloketten en houdende diverse bepalingen; - het Sectoraal Comité voor de Federale Overheid opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer, overeenkomstig artikel 36bis van de wet van 8 december 1992. – Artikel 2 van het Koninklijk besluit van 17 december 2003 tot vaststelling van de nadere regels met betrekking tot de samenstelling en de werking van bepaalde sectorale comités opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer (2003): de Federale Overheidsdienst Economie, KMO, Middenstand en Energie wordt voor het Sectoraal Comité voor de Kruispuntbank van Ondernemingen beschouwd als beheersinstelling in de zin van artikel 31bis, § 3, van de wet van 8 december 1992. De Federale Overheidsdienst Binnenlandse Zaken wordt voor het Sectoraal Comité voor het Rijksregister beschouwd als beheersinstelling in de zin van artikel 31bis, § 3, van de wet van 8 december 1992. – Artikel 3 van het Koninklijk besluit van 17 december 2003 tot vaststelling van de nadere regels met betrekking tot de samenstelling en de werking van bepaalde sectorale comités opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer (2003): naast de leden van de Commissie voor de bescherming van de persoonlijke levenssfeer bedoeld in artikel 31bis, § 2, van de wet van 8 december 1992, is elk sectoraal comité afzonderlijk samengesteld uit: 1. een extern lid met een expertise in de juridische domeinen gerelateerd aan de bijzondere wetgevingen die voorzien in de oprichting van een sectoraal comité; 2. een extern lid met een bijzondere professionele en praktische ervaring in het gebruik van gegevens in de domeinen gerelateerd aan de bijzondere wetgevingen die voorzien in de oprichting van een sectoraal comité; 3. een extern lid met een bijzondere expertise in e-government en administratieve vereenvoudiging. E-government is een grondige herdenking van de relaties tussen de openbare diensten, de burgers en de ondernemingen door gebruik te maken van opportuniteiten geboden door moderne technologieën, internet en nieuwe media. Onverminderd artikel 4, tweede lid, kan elk extern lid slechts deel uitmaken van één sectoraal comité opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer. – Artikel 4 van het Koninklijk besluit van 17 december 2003 tot vaststelling van de nadere regels met betrekking tot de samenstelling en de werking van bepaalde sectorale comités opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer (2003): de externe leden bedoeld in artikel 3, eerste lid, worden voor een hernieuwbare termijn van zes jaar benoemd door de Kamer van Volksvertegenwoordigers, uit een dubbeltal dat door de Ministerraad voor elk van de vacante mandaten wordt voorgedragen. Ze kunnen van hun opdracht worden ontheven door de Kamer van volksvertegenwoordigers. Onder dezelfde voorwaarden wordt voor elk extern lid bedoeld in artikel 3, eerste lid, één plaatsvervangend lid benoemd. Dit plaatsvervangend lid vervangt het effectief lid indien deze verhinderd of afwezig is, of in afwachting van zijn vervanging. Wanneer het mandaat van een extern lid een einde neemt vóór de vastgestelde datum, wordt binnen de drie maanden in de vervanging van de titularis voorzien. Het nieuw extern lid voleindigt het mandaat van degene die hij vervangt. De voorzitter van het sectoraal comité en de overige leden afkomstig uit de Commissie, worden aangewezen voor een hernieuwbare termijn van maximum zes jaar. – Artikel 5 van het Koninklijk besluit van 17 december 2003 tot vaststelling van de nadere regels met betrekking tot de samenstelling en de werking van bepaalde sectorale comités opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer (2003): § 1. Om tot extern lid van het desbetreffende sectoraal comité benoemd te kunnen worden en het te kunnen blijven, moeten de kandidaten aan de volgende voorwaarden voldoen: 1. Belg of onderdaan van de Europese Unie zijn; 2. de burgerlijke en politieke rechten genieten;
230
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 31bis)
3. onafhankelijk zijn van de betrokken beheersinstelling en niet onder het hiërarchisch gezag staan van de Minister die de betrokken beheersinstelling onder zijn bevoegdheid heeft; 4. geen lid zijn van het Europees of nationaal parlement, noch van een Gemeenschaps- of Gewestraad. § 2. De in § 1 bedoelde voorwaarden gelden onverkort voor de Voorzitter van het sectoraal comité en de overige leden afkomstig uit de Commissie. – Artikel 6 van het Koninklijk besluit van 17 december 2003 tot vaststelling van de nadere regels met betrekking tot de samenstelling en de werking van bepaalde sectorale comités opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer (2003): elk sectoraal comité bestaat uit evenveel Franstalige leden als Nederlandstalige leden. – Artikel 7 van het Koninklijk besluit van 17 december 2003 tot vaststelling van de nadere regels met betrekking tot de samenstelling en de werking van bepaalde sectorale comités opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer (2003): de artikelen 24, §§ 6 en 7, 27, 31bis, § 4 en 36, tweede en derde lid, van de wet van 8 december 1992 zijn van toepassing op de leden van de sectorale comités. – Artikel 8 van het Koninklijk besluit van 17 december 2003 tot vaststelling van de nadere regels met betrekking tot de samenstelling en de werking van bepaalde sectorale comités opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer (2003): onverminderd artikel 31bis, § 2, eerste lid, laatste zin van de wet van 8 december 1992, verlenen de sectorale comités advies en machtigingen bij meerderheid der stemmen. De sectorale comités kunnen slechts geldig beraadslagen voorzover ten minste 2 leden van de Commissie onder wie steeds de voorzitter of diens plaatsvervanger, en 2 externe leden aanwezig zijn. Indien er op het ogenblik van de beraadslaging geen pariteit bestaat tussen de leden van de Commissie enerzijds en de externe leden anderzijds, wordt de pariteit hersteld volgens een regeling beschreven in het huishoudelijk reglement van het betrokken sectoraal comité. – Artikel 9 van het Koninklijk besluit van 17 december 2003 tot vaststelling van de nadere regels met betrekking tot de samenstelling en de werking van bepaalde sectorale comités opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer (2003): indien de voorzitter verhinderd of afwezig is, wordt zijn functie uitgeoefend door het ander lid van de Commissie met de grootste anciënniteit of, bij gelijkheid van anciënniteit van de Commissieleden, door de oudste onder hen. – Artikel 10 van het Koninklijk besluit van 17 december 2003 tot vaststelling van de nadere regels met betrekking tot de samenstelling en de werking van bepaalde sectorale comités opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer (2003): in geval van toepassing van artikel 31bis, § 5, tweede lid, van de wet van 8 december 1992, draagt de beheersinstelling de werkingskosten van het betrokken sectoraal comité, met uitzondering van de vergoedingen en terugbetalingen van kosten uitgekeerd aan de voorzitter en aan de leden van het sectoraal comité, die ten laste van de Commissie blijven. – Artikel 11 van het Koninklijk besluit van 17 december 2003 tot vaststelling van de nadere regels met betrekking tot de samenstelling en de werking van bepaalde sectorale comités opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer (2003): de voorzitter van elk sectoraal comité zorgt, in overleg met de andere leden van de Commissie in het comité, voor de coördinatie tussen de werkzaamheden van het sectoraal comité en die van de Commissie voor de bescherming van de persoonlijke levenssfeer; hij waakt over de verenigbaarheid van de aan het sectoraal comité voorgelegde ontwerpbeslissingen met de beginselen en normen inzake de bescherming van de persoonlijke levenssfeer. De nadere werkingsregels van elk sectoraal comité zijn, overeenkomstig artikel 31bis van de wet van 8 december 1992, bepaald door datzelfde artikel, met uitzondering van de afwijkingen die, uitsluitend ten behoeve van het sectoraal comité van de sociale zekerheid, worden voorzien ten opzichte van de §§ 2 en 5. – Artikel 12 van het Koninklijk besluit van 17 december 2003 tot vaststelling van de nadere regels met betrekking tot de samenstelling en de werking van bepaalde sectorale comités opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer (2003): de voorzitter van een sectoraal comité kan, binnen een termijn van 3 werkdagen te tellen vanaf de dag waarop zijn comité zich uitgesproken heeft, het dossier overmaken aan de Commissie om het opnieuw te laten onderzoeken, indien hij vaststelt dat de beslissing van zijn sectoraal comité niet strookt met de beginselen en normen inzake de bescherming van het privéleven. In dit geval wordt het gehele dossier zonder verwijl aan de Commissie overgemaakt. De Commissie doet uitspraak binnen de dertig dagen te rekenen vanaf de datum van de overmaking van het dossier aan de Commissie. Indien deze termijn niet wordt nageleefd, wordt de Commissie geacht in te stemmen met de beslissing van het comité. Ingeval de Commissie beslist de door het sectoraal comité genomen beslissing te herzien, wordt haar beslissing overgemaakt aan de instanties bedoeld in artikel 15, tweede en derde lid. – Artikel 13 van het Koninklijk besluit van 17 december 2003 tot vaststelling van de nadere regels met betrekking tot de samenstelling en de werking van bepaalde sectorale comités opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer (2003): elk sectoraal comité stelt zijn huishoudelijk reglement vast. Dit huishoudelijk reglement wordt voor goedkeuring aan de Commissie voorgelegd. – Artikel 14 van het Koninklijk besluit van 17 december 2003 tot vaststelling van de nadere regels met betrekking tot de samenstelling en de werking van bepaalde sectorale comités opgericht binnen de Commissie voor de
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
231
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 32)
bescherming van de persoonlijke levenssfeer (2003): elk sectoraal comité kan de aanvrager of de betrokken beheersinstelling alle aanvullende inlichtingen vragen die het nuttig acht. – Artikel 15 van het Koninklijk besluit van 17 december 2003 tot vaststelling van de nadere regels met betrekking tot de samenstelling en de werking van bepaalde sectorale comités opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer (2003): de adviezen en de machtigingen van de sectorale comités worden met redenen omkleed. Een afschrift van elk advies wordt na afloop van de termijn bedoeld in artikel 12, eerste lid overgemaakt aan de Minister die de betrokken beheersinstelling onder zijn bevoegdheid heeft. Een afschrift van de machtiging of van de weigering tot machtiging wordt na afloop van de termijn bedoeld in artikel 12, eerste lid, overgemaakt aan de aanvrager die erom heeft verzocht en aan de betrokken beheersinstelling. – Artikel 16 van het Koninklijk besluit van 17 december 2003 tot vaststelling van de nadere regels met betrekking tot de samenstelling en de werking van bepaalde sectorale comités opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer (2003): de adviezen en de machtigingen van de sectorale comités worden binnen de maand bekendgemaakt op de internetsite van de Commissie. De adviezen en de machtigingen van de sectorale comités of een referentie naar hun vindplaats op de internetsite van de Commissie worden bekendgemaakt in het verslag dat de Commissie opstelt op grond van artikel 32, § 2, van de wet van 8 december 1992. – Artikel 17 van het Koninklijk besluit van 17 december 2003 tot vaststelling van de nadere regels met betrekking tot de samenstelling en de werking van bepaalde sectorale comités opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer (2003): behalve indien voor een sectoraal comité uitvoering wordt gegeven aan artikel 31bis, § 5, tweede lid, van de wet van 8 december 1992, wordt het secretariaat van dat sectoraal comité waargenomen door het secretariaat van de Commissie voor de bescherming van de persoonlijke levenssfeer. – Artikel 18 van het Koninklijk besluit van 17 december 2003 tot vaststelling van de nadere regels met betrekking tot de samenstelling en de werking van bepaalde sectorale comités opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer (2003): onverminderd artikel 28 van de wet van 16 januari 2003 tot oprichting van een Kruispuntbank van Ondernemingen, tot modernisering van het handelsregister, tot oprichting van erkende ondernemingsloketten en houdende diverse bepalingen, is de Commissie voor de bescherming van de persoonlijke levenssfeer tot de installatie en de benoeming van de leden van de sectorale comités bedoeld in artikel 1, § 2, belast met de opdrachten die aan elk van deze sectorale comités worden toebedeeld door de wetten bedoeld in hetzelfde artikel, elk voor wat hem betreft. – Artikel 19 van het Koninklijk besluit van 17 december 2003 tot vaststelling van de nadere regels met betrekking tot de samenstelling en de werking van bepaalde sectorale comités opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer (2003): dit besluit treedt in werking op de twintigste dag volgend op die waarop het is bekendgemaakt in het Belgisch Staatsblad. – Artikel 20 van het Koninklijk besluit van 17 december 2003 tot vaststelling van de nadere regels met betrekking tot de samenstelling en de werking van bepaalde sectorale comités opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer (2003): onze Minister van Begroting en Overheidsbedrijven, Onze Minister van Binnenlandse Zaken, Onze Minister van Economie, Energie, Buitenlandse Handel en Wetenschapsbeleid, Onze Minister van Ambtenarenzaken, Onze Minister van Middenstand en Landbouw en Onze Staatssecretaris voor Informatisering van de Staat zijn, ieder wat hem betreft, belast met de uitvoering van dit besluit.
Art. 32. § 1. De Commissie mag voor het vervullen van al haar taken een beroep doen op de medewerking van deskundigen. Zij mag een of meer van haar leden, eventueel bijgestaan door deskundigen, belasten met de uitvoering van een onderzoek ter plaatse. }1[De leden van de Commissie hebben in dit geval de hoedanigheid van officier van gerechtelijke politie, hulpofficier van de procureur des Konings.]1 Ze kunnen onder meer mededeling eisen van elk document dat hen bij hun onderzoek van nut kan zijn. Ze hebben tevens toegang tot alle plaatsen waarvan ze redelijkerwijze kunnen vermoeden dat er werkzaamheden worden verricht die in verband staan met de toepassing van deze wet. § 2. Tenzij de wet anders bepaalt, doet de Commissie bij de procureur des Konings aangifte van de misdrijven waarvan zij kennis heeft. De Commissie dient ieder jaar bij de Wetgevende Kamers een verslag over haar werkzaamheden in.
}2
[Dit verslag, dat openbaar is, bevat naast de algemene informatie over de toepassing van deze wet en over de activiteiten van de Commissie, specifieke informatie over de toepassing van de artikelen 3, §§ 3 en 6, 13, 17 en 18.]2 § 3. Onverminderd de bevoegdheid van de gewone hoven en rechtbanken met het oog op de toepassing van de algemene beginselen inzake bescherming van de persoonlijke levenssfeer, kan de voorzitter van de Commissie ieder geschil aangaande de toepassing van deze wet en haar uitvoeringsmaatregelen aan de rechtbank van eerste aanleg voorleggen. }1. – § 1, lid 2, vervangen bij art. 35, 1°, wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001) }2. – § 2, lid 3, ingevoegd bij art. 35, 2°, wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001)
Overtreden strafbaar gesteld: zie art. 39, 13°, 40 en 41 WVP
232
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 32)
CONTROLE- EN ONDERZOEKSBEVOEGDHEID BEROEP OP DESKUNDIGE ONDERZOEK TER PLAATSE OFFICIER VAN GERECHTELIJKE POLITIE OPEISEN DOCUMENTEN TOEGANG TOT ALLE PLAATSEN
§ 1, lid 4, Toegang tot alle plaatsen N.B.: meer in het algemeen over controles en inspecties, zie artikel 31.
1. INTERNATIONALE WETGEVING – Artikel 1.2 a) Additional Protocol to the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data regarding supervisory authorities and transborder data flows: to this end, the said authorities shall have, in particular, powers of investigation and intervention, as well as the power to engage in legal proceedings or bring to the attention of the competent judicial authorities violations of provisions of domestic law giving effect to the principles mentioned in paragraph 1 of Article 1 of this Protocol. – Explanatory Report of the Additional Protocol to the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data regarding supervisory authorities and transborder data flows (2001) punten 11 tot 13 en 16: 11. Parties have considerable discretion as to the powers which the authorities should be given for carrying out their task. According to the Protocol, however, they must at least be given powers of investigation and intervention, as well as the power to engage in legal proceedings or bring to the attention of the competent judicial authorities any violations of the relevant provisions. The authority shall be endowed with powers of investigation, such as the possibility to ask the controller (1) for information concerning the processing of personal data and to obtain it. Such information should be accessible in particular when the supervisory authority is approached by a person wishing to exercise the rights provided for in domestic law, by virtue of Article 8 of the Convention. The supervisory authority's power of intervention may take various forms in domestic law. For example, the authority could be empowered to oblige the controller of the file to rectify, delete or destroy inaccurate or illegally collected data on its own account or if the data subject is not able to exercise these rights himself/herself. The power to issue injunctions on controllers who are unwilling to communicate the required information within a reasonable time would be a particularly effective manifestation of the power of intervention. This power could also include the possibility to issue opinions prior to the implementation of data processing operations, or to refer cases to national parliaments or other state institutions. The supervisory authority should have the power to inform the public through regular reports, the publication of opinions or any other means of communication. Deze interventie- en onderzoeksbevoegdheden maken deel uit van de bevoegdheden waarover de controleautoriteit ten minste zou moeten beschikken (punt 11). De lijst van die bevoegdheden toegekend aan de controle-autoriteit is niet exhaustief (punt 16). 16. The supervisory authority’s competences are not limited to the ones listed in Article 1 paragraph 2. It should be borne in mind that the Parties have other means of making the task of the supervisory authority effective. It could be possible for associations to lodge complaints with the authority, in particular when the rights of the persons that it represents are restricted in accordance with Article 9 of the Convention. The authority could be entitled to carry out prior checks on the legitimacy of data processing operations and to keep a data processing register open to the public. The authority could also be asked to give its opinion when legislative, regulatory or administrative measures concerning personal data processing are in preparation, or on codes of conduct. – Artikel 28 § 3 eerste lid van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): elke toezichthoudende autoriteit beschikt met name over onderzoeksbevoegdheden, zoals het recht van toegang tot gegevens die het voorwerp vormen van een verwerking en het recht alle inlichtingen in te winnen die voor de uitoefening van haar toezichtstaak noodzakelijk zijn; – Artikel 28 § 3 tweede lid van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): elke toezichthoudende autoriteit beschikt met name over effectieve bevoegdheden om in te grijpen, zoals bij voorbeeld de bevoegdheid om voorafgaand aan de uitvoering van de verwerking advies uit te brengen, overeenkomstig artikel 20, en te zorgen voor een passende bekendmaking van deze adviezen of de bevoegdheid om afscherming, uitwissing of vernietiging van gegevens te gelasten, dan wel een verwerking voorlopig of definitief te verbieden of de bevoegdheid tot de voor de verwerking verantwoordelijke een waarschuwing of berisping te richten of de bevoegdheid van de nationale parlementen of andere politieke instellingen in te schakelen; – Overweging 63 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): overwegende dat die autoriteiten over de nodige middelen dienen te beschikken om hun
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
233
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 32)
taak te vervullen, of het nu gaat om onderzoekbevoegdheden, om het recht om actief in te grijpen, met name wanneer bij hen klachten aanhangig worden gemaakt, dan wel om de bevoegdheid om in rechte op te treden; dat die autoriteiten moeten bijdragen tot de doorzichtigheid van de verwerking van gegevens in hun Lid-Staat. – International Standards on the Protection of Personal Data and Privacy (2009) (The Madrid Resolution): resolutie goedgekeurd op 5 november 2009 door de Internationale Conferentie van de commissarissen voor de bescherming van gegevens en de privacy. Principe nr.23 : Monitoring : 1. In every State there shall be one or more supervisory authorities, in accordance with its domestic law, that will be responsible for supervising the observance of the principles set out in this Document. 2. These supervisory authorities shall be impartial and independent, and will have technical competence, sufficient powers and adequate resources to deal with the claims filed by the data subjects, and to conduct investigations and interventions where necessary to ensure compliance with the applicable national legislation on the protection of privacy with regard to the processing of personal data. 3. In any case, without prejudice to any administrative remedy before the supervisory authorities referred to in the preceding paragraphs, including judicial oversight of their decisions, data subjects may have a direct recourse to the courts to enforce their rights under the provisions laid down in the applicable national legislation.
2. HUISHOUDELIJK REGLEMENT VAN DE COMMISSIE VOOR DE BESCHERMING VAN DE PERSOONLIJKE LEVENSSFEER Het huishoudelijk reglement bevat ook een zeker aantal bepalingen over de controle en inspectie. De lezer wordt verwezen naar het commentaar over artikel 30 hierboven. – Artikel 40 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk II, Sectie IX - 2007): De Commissie beslist over het onderzoek ter plaatse waarmee zij één of meer van haar leden kan belasten. De Commissie of de voorzitter kan beslissen dat ambtenaren van het secretariaat de afgevaardigde leden vergezellen. Over het onderzoek ter plaatse wordt een proces-verbaal opgemaakt. Daarin wordt een volledig verslag opgemaakt over het verloop van het onderzoek. Het wordt getekend door de verantwoordelijke commissaris(-sen) en desgevallend de ambtenaren van het secretariaat. De verantwoordelijke voor de verwerking of zijn afgevaardigde op de plaats waar het onderzoek plaatsvindt, wordt bij aanvang in kennis gesteld van het beoogde onderzoek en van de geldende wetgeving. Een afschrift van het verslag over het verloop van het onderzoek wordt onverwijld overgezonden aan deze verantwoordelijke of zijn afgevaardigde. De verantwoordelijke of zijn afgevaardigde kan een verklaring of commentaar opmaken en dit laten voegen bij het proces-verbaal. Korte verklaringen worden opgetekend in het verslag zelf. In geval van hoogdringendheid oefent de voorzitter de in het eerste lid bedoelde bevoegdheid uit. In dat geval brengt hij op de eerstvolgende vergadering verslag uit over de door hem genomen beslissingen. AANGIFTE MISDRIJVEN PDK
§ 2, lid 1, Aangifte misdrijven PdK INTERNATIONALE WETGEVING – Artikel 1.2 a) van het Additional Protocol to the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data regarding supervisory authorities and transborder data flows (2001): To this end, the said authorities shall have, in particular, powers of investigation and intervention, as well as the power to engage in legal proceedings or bring to the attention of the competent judicial authorities violations of provisions of domestic law giving effect to the principles mentioned in paragraph 1 of Article 1 of this Protocol. – Explanatory Report of the Additional Protocol to the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data regarding supervisory authorities and transborder data flows - (punt 11): the authorities must at least be given powers of investigation and intervention, as well as the power to engage in legal proceedings or bring to the attention of the competent judicial authorities any violations of the relevant provisions. Zie ook punt 15: 15. The Parties should give to the supervisory authority the power either to engage in legal proceedings or to bring any violations of data protection rules to the attention of the judicial authorities. This power derives in particular from the power to carry out investigations, which may lead the authority to discover an infringement of a person's right to protection. The Parties may fulfil the obligation to grant this power to the authority by enabling it to make judgments. – Artikel 28 § 3 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): elke toezichthoudende autoriteit beschikt met name over de bevoegdheid om in rechte op te treden in geval van inbreuken op ter uitvoering van deze Richtlijn vastgestelde nationale bepalingen, of om die inbreuken onder de aandacht van het gerecht te brengen. – Overweging 63 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): overwegende dat die autoriteiten over de nodige middelen dienen te beschikken om hun
234
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 33)
taak te vervullen, of het nu gaat om onderzoekbevoegdheden, om het recht om actief in te grijpen, met name wanneer bij hen klachten aanhangig worden gemaakt, dan wel om de bevoegdheid om in rechte op te treden; dat die autoriteiten moeten bijdragen tot de doorzichtigheid van de verwerking van gegevens in hun Lid-Staat. JAARVERSLAG
§ 2, lid 3, Jaarverslag 1. INTERNATIONALE WETGEVING – Artikel 28 § 5 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): elke toezichthoudende autoriteit stelt op gezette tijden een verslag op over haar activiteiten. Dit verslag wordt gepubliceerd.
2. ADVIEZEN VAN DE GROEP 29 – Groep 29, Resolutie van de Werkgroep artikel 29 op de 1ste Europese dag van de gegevensbescherming (24 januari 2007 - WP 130) (officiële Nederlandse vertaling ontbreekt): in deze resolutie worden de gegevensbeschermingsautoriteiten uitgenodigd om actief deel te nemen aan de eerste Europese dag van de gegevensbescherming die op initiatief van de Raad van Europa tot stand kwam en feliciteert de Raad voor haar initiatief om de burger te sensibiliseren voor zijn grondrecht op bescherming van zijn privéleven ten opzichte van de verwerking van persoonsgegevens. GESCHILLENBESLECHTING DOOR RECHTBANK EERSTE AANLEG
§ 3 Geschillenbeslechting door rechtbank eerste aanleg INTERNATIONALE WETGEVING – Artikel 1.2 a) van het Additional Protocol to the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data regarding supervisory authorities and transborder data flows: to this end, the said authorities shall have, in particular, powers of investigation and intervention, as well as the power to engage in legal proceedings or bring to the attention of the competent judicial authorities violations of provisions of domestic law giving effect to the principles mentioned in paragraph 1 of Article 1 of this Protocol. – Explanatory Report of the Additional Protocol to the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data regarding supervisory authorities and transborder data flows - (punt 15): The Parties should give to the supervisory authority the power either to engage in legal proceedings or to bring any violations of data protection rules to the attention of the judicial authorities. This power derives in particular from the power to carry out investigations, which may lead the authority to discover an infringement of a person's right to protection. The Parties may fulfil the obligation to grant this power to the authority by enabling it to make judgments. According to the Protocol, however, they must at least be given powers of investigation and intervention, as well as the power to engage in legal proceedings or bring to the attention of the competent judicial authorities any violations of the relevant provisions. (punt 11). The supervisory authority's competences are not limited to the ones listed in Article 1 paragraph 2. (punt 16). – Artikel 28 § 3 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): elke toezichthoudende autoriteit beschikt met name over de bevoegdheid om in rechte op te treden in geval van inbreuken op ter uitvoering van deze Richtlijn vastgestelde nationale bepalingen, of om die inbreuken onder de aandacht van het gerecht te brengen. }1
[Art. 32bis. § 1. Met het oog op de toepassing van internationale verdragen, kan de Koning bij een in ministerraad overlegd besluit de Commissie voor de bescherming van de persoonlijke levenssfeer aanwijzen om, krachtens deze verdragen, opdrachten uit te voeren die identiek zijn aan die welke deze wet aan de Commissie toekent. § 2. Met het oog op de toepassing van internationale verdragen, is de Commissie voor de bescherming van de persoonlijke levenssfeer gemachtigd om bepaalde van haar leden of personeelsleden aan te wijzen in de hoedanigheid van vertegenwoordigers bij internationale autoriteiten, belast met opdrachten die identiek zijn aan die welke deze wet aan de Commissie toekent.
De Koning bepaalt de nadere regels van de vertegenwoordiging na advies van de Commissie voor de bescherming van de persoonlijke levenssfeer.]1 }1. – Ingevoegd bij art. 36 wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001)
Art. 33. Onverminderd artikel 32, § 2, zijn de leden en de personeelsleden van de Commissie en de deskundigen om wier medewerking is verzocht, verplicht het vertrouwelijk karakter te bewaren van de feiten, de handelingen of de inlichtingen waarvan zij uit hoofde van hun functie kennis hebben gehad.
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
235
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 34)
BEROEPSGEHEIM Overtreding strafbaar gesteld: zie art. 37 en 41, §3 WVP
Beroepsgeheim INTERNATIONALE WETGEVING – Artikel 28 § 7 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): de Lid-Staten bepalen dat de leden en personeelsleden van de toezichthoudende autoriteit ook na beëindiging van hun werkzaamheden aan het beroepsgeheim zijn onderworpen voor wat betreft de vertrouwelijke gegevens waartoe zij toegang hebben.
Art. 34. }1 [Onverminderd de bevoegdheid van de Kamer van volksvertegenwoordigers om de gedetailleerde begroting van de Commissie voor de bescherming van de persoonlijke levenssfeer te onderzoeken en goed te keuren alsook de uitvoering ervan de controleren en de gedetailleerde rekeningen te verifiëren en goed te keuren, worden de kredieten voor deze begroting uitgetrokken als dotatie op de algemene uitgavenbegroting van het Rijk.]1 }2[De Commissie voegt bij haar begrotingsvoorstel een bondig bestuursplan waarvan zij, onverminderd de opmerkingen van de Kamer van volksvertegenwoordigers, de inhoud en de vorm bepaalt; het in artikel 32,
§ 2, tweede lid, bedoelde jaarlijkse verslag over haar werkzaamheden bevat een onderdeel waarin de opvolging van dat plan wordt omschreven.]2 De bijdragen bedoeld in de artikelen 17, § 9 en 20, tweede lid, worden door de rekenplichtige van de Commissie gestort op een speciaal daartoe geopend artikel van de Rijksmiddelenbegroting. {3 }1. – Lid 1 laatst vervangen bij art. 7 wet 23 mei 2007, B.S., 20 juni 2007 }2. – Lid 2 ingevoegd bij art. 7 wet 26 februari 2003, B.S., 26 juni 2003, inwerkingtreding: 26 juni 2003 (art. 17, § 1, lid 2) }3. – Lid 3 houdt op uitwerking te hebben vanaf 1 januari 2004 (art. 99 Programmawet (I) 27 december 2006, B.S., 28 december 2006, inwerkingtreding: 7 januari 2007)
BEGROTING BESTUURSPLAN
Begroting, bestuursplan HUISHOUDELIJK REGLEMENT VAN DE COMMISSIE VOOR DE BESCHERMING VAN DE PERSOONLIJKE LEVENSSFEER – Artikel 46 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk III - 2007): in toepassing van de artikelen 26, 34 en 35 van de WVP komt de Commissie bijeen voor de behandeling van alle aangelegenheden met betrekking tot het administratief beheer, de begroting, het bestuursplan, de personele en materiële middelen en de rapportering over de werkzaamheden. De dossiers worden ingeleid door de voorzitter bijgestaan door de administrateur. – Artikel 47 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk III - 2007): binnen de maand na de goedkeuring van dit reglement stelt de Commissie, op voorstel van de voorzitter, twee commissarissen aan voor het nazicht van de rekeningen van de Commissie. Ze vervullen de taken die zijn opgelegd in het reglement betreffende de begroting- boekhoudingprocedure, zoals goedgekeurd door de Commissie. – Artikel 48 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk III - 2007): binnen de maand na de goedkeuring van dit reglement stelt de Commissie, op voorstel van de voorzitter, de raden van beroep samen die zijn voorzien in artikel 84 van het statuut van de ambtenaren van het secretariaat, zoals goedgekeurd door de Kamer van Volksvertegenwoordigers.
Art. 35. }1[§ 1. De Commissie beschikt over een secretariaat, waarvan de personeelsformatie, het statuut en de wijze van aanwerving bepaald worden door de Kamer van volksvertegenwoordigers, op voorstel van de Commissie. De personeelsformatie kan, in beperkte en behoorlijk verantwoorde mate, voorzien in de mogelijkheid om werknemers met een arbeidsovereenkomst van bepaalde duur in dienst te nemen. Behalve indien de Commissie er ter wille van de goede werking van haar diensten er in een door de Kamer van volksvertegenwoordigers goedgekeurde verordening anders over beslist, is het personeel van het secretariaat onderworpen aan de wettelijke en statutaire bepalingen die gelden voor de vaste Rijksambtenaren. § 2. De personeelsleden die op het ogenblik van de inwerkingtreding van de wet van 26 februari 2003 tot wijzi-
236
ging van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens en van de wet van 15 januari 1990 houdende oprichting en organisatie van een Kruispuntbank van de Sociale Zekerheid tot aanpassing van het statuut van de Commissie voor de bescherming van de persoonlijke levenssfeer en tot uitbreiding van haar bevoegdheden in dienst zijn bij de Commissie behouden hun functie en hun statuut totdat de met toepassing van § 1 genomen maatregelen zijn goedgekeurd. Indien die ambtenaren ter gelegenheid van de aanwijzingen die overeenkomstig de voormelde maatregelen worden gedaan niet worden overgenomen, keren ze van rechtswege terug naar de diensten van de Federale Overheidsdienst Justitie, met het statuut dat daarop van toepassing is.]1 }1. – Vervangen bij art. 8 wet 26 februari 2003, B.S., 26 juni 2003, inwerkingtreding: 26 juni 2003 (art. 17, § 1, lid 2)
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 36bis)
OVERGANGSREGELING
§ 2 Overgangsregeling VERWIJZING NAAR ANDERE WETGEVING – Wet van 26 februari 2003 tot wijziging van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens en van de wet van 15 januari 1990 houdende oprichting en organisatie van een Kruispuntbank van de Commissie voor de bescherming van de persoonlijke levenssfeer en tot uitbreiding van haar bevoegdheden, B.S. 26 juni 2003.
Art. 36. De Voorzitter heeft recht op een vergoeding gelijk aan de weddenbijslag toegekend aan een onderzoeksrechter met negen jaar ambtsuitoefening in een rechtbank waarvan het rechtsgebied ten minste 500 000 inwoners telt. }1 [De plaatsvervangend voorzitter, de plaatsvervangend ondervoorzitter en de vaste of plaatsvervangende leden hebben recht op presentiegeld voor een bedrag van EUR 223,18 (indexcijfer 1,2682). Dat bedrag is gekoppeld aan de evolutie van het indexcijfer van de consumptieprijzen.]1 Zij zijn gerechtigd op de vergoedingen voor reis- en verblijfskosten overeenkomstig de bepalingen die van toepassing zijn op het personeel van de ministeries. De personen die niet tot het bestuur behoren of voor wie de
}1
rang waartoe hun graad behoort niet is bepaald, worden gelijkgesteld met ambtenaren van rang 13. De Voorzitter wordt gelijkgesteld met een ambtenaar van rang 17. De deskundigen wier medewerking door de Commissie wordt gevorderd of die de leden bijstaan welke belast zijn met een onderzoek ter plaatse, kunnen worden vergoed op de wijze bepaald door de Minister van Justitie in overleg met de ministers tot wier bevoegdheid het Openbaar Ambt en de Begroting behoren. De vergoeding bedoeld in het eerste lid wordt gekoppeld aan de mobiliteitsregeling toepasselijk op de bezoldiging van het Rijkspersoneel in actieve dienst. }1. – Lid 2 vervangen bij art. 9 wet 26 februari 2003, B.S., 26 juni 2003, inwerkingtreding: 26 juni 2003 (art. 17, § 1, lid 2)
[HOOFDSTUK VIIbis
SECTORALE COMITÉS]1 }1. Opschrift ingevoegd bij art. 10 wet 26 februari 2003, B.S., 26 juni 2003, inwerkingtreding: 26 juni 2003 (art. 17, § 1, lid 2)
}1
[Art. 36bis. Binnen de Commissie voor de bescherming van de persoonlijke levenssfeer wordt een sectoraal comité voor de federale overheid opgericht, in de zin van artikel 31bis. De Federale Overheidsdienst Informatie- en Communicatietechnologie wordt voor het sectoraal comité voor de federale overheid beschouwd als de beheersinstelling bedoeld in artikel 31bis. De Koning bepaalt bij een besluit vastgesteld na overleg in de Ministerraad, de voorwaarden en de nadere regels waaraan de drie externe leden van het sectoraal comité voor de federale overheid moeten voldoen. Behalve in de door de Koning bepaalde gevallen, vereist elke elektronische mededeling van persoonsgegevens door een federale overheidsdienst of door een openbare instelling met rechtspersoonlijkheid die onder de federale overheid ressorteert een principiële machtiging van dit sectoraal comité, tenzij de mededeling reeds onderworpen is aan een principiële machtiging van een
andere sectoraal comité opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer. Vooraleer het zijn machtiging verleent, gaat het sectoraal comité voor de federale overheid na of de mededeling in overeenstemming is met de wettelijke en reglementaire bepalingen. De machtigingen verstrekt door het sectoraal comité voor de federale overheid zijn zodra zij definitief zijn, openbaar. Zij worden gepubliceerd op de website van de Commissie voor de bescherming van de persoonlijke levenssfeer. De leidend ambtenaar van de betrokken federale overheidsdienst of van de betrokken openbare instelling met rechtspersoonlijkheid die onder de federale overheid ressorteert, of een door hem aangewezen medewerker, kan met raadgevende stem deelnemen aan de vergaderingen van het sectoraal comité voor de federale overheid.]1 }1. – Ingevoegd bij art. 10 wet 26 februari 2003, B.S., 26 juni 2003, inwerkingtreding: 26 juni 2003 (art. 17, § 1, lid 2)
SECTORALE COMITÉS SECTORAAL COMITÉ FEDERALE OVERHEID
1. HUISHOUDELIJK REGLEMENT VAN DE COMMISSIE VOOR DE BESCHERMING VAN DE PERSOONLIJKE LEVENSSFEER – Artikel 41 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk II, Sectie X - 2007): elk dossier dat bij de Commissie wordt ingediend, en dat betrekking heeft op een aangelegenheid waarvoor door of krachtens de wet een sectoraal comité uitdrukkelijk bevoegd is, wordt door de voorzitter of de daartoe gemachtigde administrateur onverwijld doorgestuurd aan het bevoegde sectoraal comité. – Artikel 42 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk II, Sectie X - 2007): wanneer een dossier dat in behandeling is bij een sectoraal comité of waarover een sectoraal comité een beslissing heeft genomen,
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
237
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 36bis)
aan de Commissie voor onderzoek wordt overgezonden door de door of krachtens de wet bevoegde instantie, wijst de voorzitter onverwijld een verslaggever aan. De verslaggever is gerechtigd zich te wenden tot de voorzitter van het sectoraal comité om hem alle nuttige inlichtingen te verstrekken. Artikel 10 is van toepassing. – Artikel 43 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk II, Sectie X - 2007): onverminderd de toepassing van artikel 14 wordt een afschrift van de beslissing van de Commissie genomen in het kader van deze procedure, onverwijld overgezonden aan het bevoegde sectoraal comité. – Artikel 44 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk II, Sectie X - 2007): de voorzitters van de verscheidene sectorale comités komen minstens één maal per trimester bijeen in een conferentie van de voorzitters. Ze maken afspraken over de organisatie van de werkzaamheden, de samenwerking tussen de Commissie en de sectorale comités en de comités onderling. Zij werken onder meer een regeling uit over mogelijke bevoegdheidsvraagstukken. De afspraken maken het voorwerp uit van een protocolakkoord dat ter goedkeuring wordt voorgelegd aan de Commissie. Het secretariaat van de conferentie wordt gehouden door de administrateur bijgestaan door de staf van de voorzitter. – Artikel 45 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk II, Sectie X - 2007): voor de regeling van de bevoegdheidsvraagstukken en de samenloop van bevoegdheden tussen de Commissie en de sectorale comités alsook tussen de sectorale comités onderling, gelden de volgende principes: de Commissie zendt het dossier door aan het bevoegde sectoraal comité op basis van de uitdrukkelijke bevoegdheidstoewijzing door of krachtens de wet van een materie aan een sectoraal comité; - tussen de sectorale comités geldt in beginsel de regel van de materietoewijzing door of krachtens de wet; - voor wat de machtigingsdossiers betreft is het sectorale comité dat de controle uitoefent op de overheidsdienst die de mededeling van de gegevens verricht, bevoegd; - wanneer de mededeling een antwoord is op een vraag die op zich de voorafgaande mededeling van gegevens vereist, is de instelling die antwoordt bepalend voor het criterium van de bevoegdheidstoewijzing; - indien nog twijfel bestaat kan de conferentie van de voorzitters de bevoegdheid regelen en desnoods zich wenden tot de Commissie.
2. VERWIJZING NAAR ANDERE WETGEVING – Artikel 1 van het Koninklijk besluit van 17 december 2003 tot vaststelling van de nadere regels met betrekking tot de samenstelling en de werking van bepaalde sectorale comités opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer (B.S. 30 december 2003): § 1. Voor de toepassing van dit besluit dient te worden verstaan onder "de wet van 8 december 1992": de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens. § 2. Voor de toepassing van dit besluit dient te worden verstaan onder "sectorale comités": - het Sectoraal Comité voor het Rijksregister opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer, overeenkomstig artikel 15 van de wet van 8 augustus 1983 tot regeling van een Rijksregister van de natuurlijke personen; - het Sectoraal Comité voor de Kruispuntbank van Ondernemingen opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer, overeenkomstig artikel 27 van de wet van 16 januari 2003 tot oprichting van een Kruispuntbank van Ondernemingen, tot modernisering van het handelsregister, tot oprichting van erkende ondernemingsloketten en houdende diverse bepalingen; - het Sectoraal Comité voor de Federale Overheid opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer, overeenkomstig artikel 36bis van de wet van 8 december 1992. – Artikel 2 van het Koninklijk besluit van 17 december 2003 tot vaststelling van de nadere regels met betrekking tot de samenstelling en de werking van bepaalde sectorale comités opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer (2003): de Federale Overheidsdienst Economie, KMO, Middenstand en Energie wordt voor het Sectoraal Comité voor de Kruispuntbank van Ondernemingen beschouwd als beheersinstelling in de zin van artikel 31bis, § 3, van de wet van 8 december 1992. De Federale Overheidsdienst Binnenlandse Zaken wordt voor het Sectoraal Comité voor het Rijksregister beschouwd als beheersinstelling in de zin van artikel 31bis, § 3, van de wet van 8 december 1992. – Artikel 3 van het Koninklijk besluit van 17 december 2003 tot vaststelling van de nadere regels met betrekking tot de samenstelling en de werking van bepaalde sectorale comités opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer (2003): naast de leden van de Commissie voor de bescherming
238
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 36bis)
van de persoonlijke levenssfeer bedoeld in artikel 31bis, § 2, van de wet van 8 december 1992, is elk sectoraal comité afzonderlijk samengesteld uit: 1. een extern lid met een expertise in de juridische domeinen gerelateerd aan de bijzondere wetgevingen die voorzien in de oprichting van een sectoraal comité; 2. een extern lid met een bijzondere professionele en praktische ervaring in het gebruik van gegevens in de domeinen gerelateerd aan de bijzondere wetgevingen die voorzien in de oprichting van een sectoraal comité; 3. een extern lid met een bijzondere expertise in e-government en administratieve vereenvoudiging. E-government is een grondige herdenking van de relaties tussen de openbare diensten, de burgers en de ondernemingen door gebruik te maken van opportuniteiten geboden door moderne technologieën, internet en nieuwe media. Onverminderd artikel 4, tweede lid, kan elk extern lid slechts deel uitmaken van één sectoraal comité opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer. – Artikel 4 van het Koninklijk besluit van 17 december 2003 tot vaststelling van de nadere regels met betrekking tot de samenstelling en de werking van bepaalde sectorale comités opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer (2003): de externe leden bedoeld in artikel 3, eerste lid, worden voor een hernieuwbare termijn van zes jaar benoemd door de Kamer van Volksvertegenwoordigers, uit een dubbeltal dat door de Ministerraad voor elk van de vacante mandaten wordt voorgedragen. Ze kunnen van hun opdracht worden ontheven door de Kamer van volksvertegenwoordigers. Onder dezelfde voorwaarden wordt voor elk extern lid bedoeld in artikel 3, eerste lid, één plaatsvervangend lid benoemd. Dit plaatsvervangend lid vervangt het effectief lid indien deze verhinderd of afwezig is, of in afwachting van zijn vervanging. Wanneer het mandaat van een extern lid een einde neemt vóór de vastgestelde datum, wordt binnen de drie maanden in de vervanging van de titularis voorzien. Het nieuw extern lid voleindigt het mandaat van degene die hij vervangt. De voorzitter van het sectoraal comité en de overige leden afkomstig uit de Commissie, worden aangewezen voor een hernieuwbare termijn van maximum zes jaar. – Artikel 5 van het Koninklijk besluit van 17 december 2003 tot vaststelling van de nadere regels met betrekking tot de samenstelling en de werking van bepaalde sectorale comités opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer (2003): § 1. Om tot extern lid van het desbetreffende sectoraal comité benoemd te kunnen worden en het te kunnen blijven, moeten de kandidaten aan de volgende voorwaarden voldoen: 1. Belg of onderdaan van de Europese Unie zijn; 2. de burgerlijke en politieke rechten genieten; 3. onafhankelijk zijn van de betrokken beheersinstelling en niet onder het hiërarchisch gezag staan van de Minister die de betrokken beheersinstelling onder zijn bevoegdheid heeft; 4. geen lid zijn van het Europees of nationaal parlement, noch van een Gemeenschaps- of Gewestraad. § 2. De in § 1 bedoelde voorwaarden gelden onverkort voor de Voorzitter van het sectoraal comité en de overige leden afkomstig uit de Commissie. – Artikel 6 van het Koninklijk besluit van 17 december 2003 tot vaststelling van de nadere regels met betrekking tot de samenstelling en de werking van bepaalde sectorale comités opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer (2003): elk sectoraal comité bestaat uit evenveel Franstalige leden als Nederlandstalige leden. – Artikel 7 van het Koninklijk besluit van 17 december 2003 tot vaststelling van de nadere regels met betrekking tot de samenstelling en de werking van bepaalde sectorale comités opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer (2003): de artikelen 24, §§ 6 en 7, 27, 31bis, § 4 en 36, tweede en derde lid, van de wet van 8 december 1992 zijn van toepassing op de leden van de sectorale comités. – Artikel 8 van het Koninklijk besluit van 17 december 2003 tot vaststelling van de nadere regels met betrekking tot de samenstelling en de werking van bepaalde sectorale comités opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer (2003): onverminderd artikel 31bis, § 2, eerste lid, laatste zin van de wet van 8 december 1992, verlenen de sectorale comités advies en machtigingen bij meerderheid der stemmen. De sectorale comités kunnen slechts geldig beraadslagen voorzover ten minste 2 leden van de Commissie onder wie steeds de voorzitter of diens plaatsvervanger, en 2 externe leden aanwezig zijn. Indien er op het ogenblik van de beraadslaging geen pariteit bestaat tussen de leden van de Commissie enerzijds en de externe leden anderzijds, wordt de pariteit hersteld volgens een regeling beschreven in het huishoudelijk reglement van het betrokken sectoraal comité. – Artikel 9 van het Koninklijk besluit van 17 december 2003 tot vaststelling van de nadere regels met betrekking tot de samenstelling en de werking van bepaalde sectorale comités opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer (2003): indien de voorzitter verhinderd of afwezig is, wordt zijn
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
239
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 36bis)
functie uitgeoefend door het ander lid van de Commissie met de grootste anciënniteit of, bij gelijkheid van anciënniteit van de Commissieleden, door de oudste onder hen. – Artikel 10 van het Koninklijk besluit van 17 december 2003 tot vaststelling van de nadere regels met betrekking tot de samenstelling en de werking van bepaalde sectorale comités opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer (2003): in geval van toepassing van artikel 31bis, § 5, tweede lid, van de wet van 8 december 1992, draagt de beheersinstelling de werkingskosten van het betrokken sectoraal comité, met uitzondering van de vergoedingen en terugbetalingen van kosten uitgekeerd aan de voorzitter en aan de leden van het sectoraal comité, die ten laste van de Commissie blijven. – Artikel 11 van het Koninklijk besluit van 17 december 2003 tot vaststelling van de nadere regels met betrekking tot de samenstelling en de werking van bepaalde sectorale comités opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer (2003): de voorzitter van elk sectoraal comité zorgt, in overleg met de andere leden van de Commissie in het comité, voor de coördinatie tussen de werkzaamheden van het sectoraal comité en die van de Commissie voor de bescherming van de persoonlijke levenssfeer; hij waakt over de verenigbaarheid van de aan het sectoraal comité voorgelegde ontwerpbeslissingen met de beginselen en normen inzake de bescherming van de persoonlijke levenssfeer. De nadere werkingsregels van elk sectoraal comité zijn, overeenkomstig artikel 31bis van de wet van 8 december 1992, deze bepaald door datzelfde artikel, met uitzondering van de afwijkingen die, uitsluitend ten behoeve van het sectoraal comité van de sociale zekerheid, worden voorzien ten opzichte van de §§ 2 en 5. – Artikel 12 van het Koninklijk besluit van 17 december 2003 tot vaststelling van de nadere regels met betrekking tot de samenstelling en de werking van bepaalde sectorale comités opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer (2003): de voorzitter van een sectoraal comité kan, binnen een termijn van 3 werkdagen te tellen vanaf de dag waarop zijn comité zich uitgesproken heeft, het dossier overmaken aan de Commissie om het opnieuw te laten onderzoeken, indien hij vaststelt dat de beslissing van zijn sectoraal comité niet strookt met de beginselen en normen inzake de bescherming van het privéleven. In dit geval wordt het gehele dossier zonder verwijl aan de Commissie overgemaakt. De Commissie doet uitspraak binnen de dertig dagen te rekenen vanaf de datum van de overmaking van het dossier aan de Commissie. Indien deze termijn niet wordt nageleefd, wordt de Commissie geacht in te stemmen met de beslissing van het comité. Ingeval de Commissie beslist de door het sectoraal comité genomen beslissing te herzien, wordt haar beslissing overgemaakt aan de instanties bedoeld in artikel 15, tweede en derde lid. – Artikel 13 van het Koninklijk besluit van 17 december 2003 tot vaststelling van de nadere regels met betrekking tot de samenstelling en de werking van bepaalde sectorale comités opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer (2003): elk sectoraal comité stelt zijn huishoudelijk reglement vast. Dit huishoudelijk reglement wordt voor goedkeuring aan de Commissie voorgelegd. – Artikel 14 van het Koninklijk besluit van 17 december 2003 tot vaststelling van de nadere regels met betrekking tot de samenstelling en de werking van bepaalde sectorale comités opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer (2003): elk sectoraal comité kan de aanvrager of de betrokken beheersinstelling alle aanvullende inlichtingen vragen die het nuttig acht. – Artikel 15 van het Koninklijk besluit van 17 december 2003 tot vaststelling van de nadere regels met betrekking tot de samenstelling en de werking van bepaalde sectorale comités opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer (2003): de adviezen en de machtigingen van de sectorale comités worden met redenen omkleed. Een afschrift van elk advies wordt na afloop van de termijn bedoeld in artikel 12, eerste lid overgemaakt aan de Minister die de betrokken beheersinstelling onder zijn bevoegdheid heeft. Een afschrift van de machtiging of van de weigering tot machtiging wordt na afloop van de termijn bedoeld in artikel 12, eerste lid, overgemaakt aan de aanvrager die erom heeft verzocht en aan de betrokken beheersinstelling. – Artikel 16 van het Koninklijk besluit van 17 december 2003 tot vaststelling van de nadere regels met betrekking tot de samenstelling en de werking van bepaalde sectorale comités opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer (2003): de adviezen en de machtigingen van de sectorale comités worden binnen de maand bekendgemaakt op de internetsite van de Commissie. De adviezen en de machtigingen van de sectorale comités of een referentie naar hun vindplaats op de internetsite van de Commissie worden bekendgemaakt in het verslag dat de Commissie opstelt op grond van artikel 32, § 2, van de wet van 8 december 1992. – Artikel 17 van het Koninklijk besluit van 17 december 2003 tot vaststelling van de nadere regels met betrekking tot de samenstelling en de werking van bepaalde sectorale comités opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer (2003): behalve indien voor een sectoraal comité uitvoering wordt gegeven aan artikel 31bis, § 5, tweede lid, van de wet van 8 december 1992, wordt het secretariaat van dat sectoraal comité waargenomen door het secretariaat van de Commissie voor de bescherming van de persoonlijke levenssfeer. – Artikel 18 van het Koninklijk besluit van 17 december 2003 tot vaststelling van de nadere regels met betrekking tot de samenstelling en de werking van bepaalde sectorale comités opgericht binnen de Commissie voor de
240
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 36bis)
bescherming van de persoonlijke levenssfeer (2003): onverminderd artikel 28 van de wet van 16 januari 2003 tot oprichting van een Kruispuntbank van Ondernemingen, tot modernisering van het handelsregister, tot oprichting van erkende ondernemingsloketten en houdende diverse bepalingen, is de Commissie voor de bescherming van de persoonlijke levenssfeer tot de installatie en de benoeming van de leden van de sectorale comités bedoeld in artikel 1, § 2, belast met de opdrachten die aan elk van deze sectorale comités worden toebedeeld door de wetten bedoeld in hetzelfde artikel, elk voor wat hem betreft. – Artikel 19 van het Koninklijk besluit van 17 december 2003 tot vaststelling van de nadere regels met betrekking tot de samenstelling en de werking van bepaalde sectorale comités opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer (2003): dit besluit treedt in werking op de twintigste dag volgend op die waarop het is bekendgemaakt in het Belgisch Staatsblad. – Artikel 20 van het Koninklijk besluit van 17 december 2003 tot vaststelling van de nadere regels met betrekking tot de samenstelling en de werking van bepaalde sectorale comités opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer (2003): Onze Minister van Begroting en Overheidsbedrijven, Onze Minister van Binnenlandse Zaken, Onze Minister van Economie, Energie, Buitenlandse Handel en Wetenschapsbeleid, Onze Minister van Ambtenarenzaken, Onze Minister van Middenstand en Landbouw en Onze Staatssecretaris voor Informatisering van de Staat zijn, ieder wat hem betreft, belast met de uitvoering van dit besluit.
3. ADVIEZEN VAN DE GROEP 29 – Groep 29, Werkdocument over de e-overheid (8 mei 2003 - WP 73): De Groep 39 stelt in dit advies dat de ontwikkeling van e-overheid in de meeste lidstaten een van de prioritaire acties is van de modernisering van de overheid. Aan deze prioriteit is op Europees niveau uitdrukking gegeven in de goedkeuring door de Europese Raad van Feira in juni 2000 van het "Actieplan e-Europa 2002" waarin een hoofdstuk over "Overheid on line" is opgenomen. Momenteel zien we dat er verschillende soorten e-overheidprojecten worden ontwikkeld die erop gericht zijn administratieve procedures on line aan te bieden en het gebruik ervan te bevorderen. In sommige van die projecten komen complexe gegevensbeschermingsvraagstukken voor die zorgvuldig moeten worden aangepakt om ervoor te zorgen dat de eoverheidprojecten slagen. Voorbeelden hiervan zijn de invoering van één toegangspunt voor on line aangeboden administratieve diensten, unieke identificatiecodes of het aan elkaar koppelen van openbare gegevensbanken. In dit document wordt nagegaan hoe de situatie is van de elektronische overheid (e-overheid) en de bescherming van personen in verband met de verwerking van persoonsgegevens in de EU. De bedoeling is een bijdrage te leveren aan de gedachtewisseling over dit onderwerp. Het document, dat is opgesteld door de Franse delegatie, is een verzameling van de antwoorden die de gegevensbeschermingsautoriteiten in de Groep op een vragenlijst hebben gegeven. Gezien de constante ontwikkeling van elektronische administratiediensten en op grond van de conclusies die uit ervaringen op dit gebied naar voren zijn gekomen, is het best mogelijk dat de Groep op deze vraagstukken nog zal terugkomen, teneinde meer richtsnoeren te geven over de toepassing van de regels van Richtlijn 95/46/EG in dit verband.
HOOFDSTUK VIII
STRAFBEPALINGEN INTERNATIONALE WETGEVING – Guidelines of the United Nations for the Regulation of Computerized Personal Data Files (1990) - (8) Supervision and sanctions: the law of every country shall designate the authority which, in accordance with its domestic legal system, is to be responsible for supervising observance of the principles set forth above. This authority shall offer guarantees of impartiality, independence vis-a-vis persons or agencies responsible for processing and establishing data, and technical competence. In the event of violation of the provisions of the national law implementing the aforementioned principles, criminal or other penalties should be envisaged together with the appropriate individual remedies. – Artikel 10 van het Verdrag nr. 108 van de Raad van Europa tot bescherming van personen ten opzichte van de geautomatiseerde verwerking van persoonsgegevens (1981): elke Partij verbindt zich passende sancties en rechtsmiddelen in te stellen ter zake van schending van bepalingen van het interne recht waarmede uitvoering wordt gegeven aan de grondbeginselen van databescherming, vervat in dit hoofdstuk. – Explanatory Report of the Convention n°108 - (punt 60): in order that this convention can guarantee effective data protection, the duties of the data users and the rights of data subjects should be reflected in the national legislation of member States by corresponding sanctions and remedies. In keeping with the non self-executing character of the convention, it should be left to each State to determine the nature of these sanctions and remedies (civil, administrative, criminal). – Artikel 24 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): de Lid-Staten nemen passende maatregelen om de onverkorte toepassing van de bepalingen van deze Richtlijn te garanderen en stellen met name de sancties vast die gelden bij inbreuk op de ter uitvoering van deze Richtlijn vastgestelde bepalingen.
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
241
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 37)
Art. 37. Met een geldboete van tweehonderd tot tienduizend frank, wordt gestraft elk lid of elk personeelslid van de Commissie voor de bescherming van de persoonlijke levenssfeer of elke deskundige die de in artikel 33 bepaalde verplichting tot vertrouwelijkheid heeft geschonden.
Art. 38. Met geldboete van honderd tot twintigduizend
frank wordt gestraft de }1[verantwoordelijke voor de verwerking]1, zijn vertegenwoordiger in België, zijn aangestelde of lasthebber, die een van de verplichtingen opgelegd bij de artikelen 15 of 16, § 1 niet nakomt.
}1. – Gewijzigd bij art. 37 wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001)
Art. 39. Met geldboete van honderd frank tot honderdduizend frank wordt gestraft: 1° }1[de verantwoordelijke, zijn vertegenwoordiger in België, zijn aangestelde of gemachtigde die persoonsgegevens verwerkt met overtreding van de voorwaarden die in artikel 4, § 1, worden opgelegd;]1 2° }2[de verantwoordelijke voor de verwerking, zijn vertegenwoordiger in België, zijn aangestelde of gemachtigde die persoonsgegevens verwerkt buiten de door artikel 5 toegelaten gevallen;]2 3° }3[de verantwoordelijke voor de verwerking, zijn vertegenwoordiger in België, zijn aangestelde of gemachtigde die persoonsgegevens verwerkt in overtreding van de artikelen 6, 7 of 8;]3 4° }4[de verantwoordelijke voor de verwerking, zijn vertegenwoordiger in België, zijn aangestelde of gemachtigde die de verplichtingen bepaald in artikel 9 niet heeft nageleefd;]4 5° de }5[verantwoordelijke voor de verwerking]5, zijn vertegenwoordiger in België, zijn aangestelde of gemachtigde die geen mededeling doet van de inlichtingen bedoeld in artikel 10, § 1, binnen vijfenveertig dagen na ontvangst van het verzoek, of die wetens onjuiste of onvolledige inlichtingen verstrekt; 6° }6[hij die om een persoon te dwingen hem inlichtingen mede te delen verkregen door de uitoefening van het recht omschreven in artikel 10, § 1, of zijn instemming te geven met de verwerking van hem betreffende persoonsgegevens, jegens die persoon gebruik maakt van feitelijkheden, geweld, bedreigingen, giften of beloften;]6 7° de }7[verantwoordelijke voor de verwerking]7, zijn vertegenwoordiger in België, zijn aangestelde of gemachtigde die een geautomatiseerde verwerking van persoonsgegevens start, het beheer erover heeft of blijft hebben dan wel daaraan een einde maakt, zonder dat aan de vereisten van artikel 17 is voldaan; 8° de }8[verantwoordelijke voor de verwerking]8, zijn vertegenwoordiger in België, zijn aangestelde of gemachtigde die, onvolledige of onjuiste inlichtingen verstrekt in de aangiften voorgeschreven bij artikel 17; 9° }9[...]9 10° }10[de verantwoordelijke voor de verwerking, zijn vertegenwoordiger in België, zijn aangestelde of gemachtigde die, in overtreding van artikel 19, weigert om aan de Commissie de informatie mee te delen met betrekking tot een niet-geautomatiseerde verwerking van
242
persoonsgegevens die in een bestand zijn opgenomen of bestemd zijn om daarin te worden opgenomen;]10 11° }11[...]11 12° }12[hij die persoonsgegevens doorgeeft, doet of laat doorgeven naar een land buiten de Europese Gemeenschap dat is opgenomen in de lijst bedoeld in artikel 21, § 2, met miskenning van de vereisten van artikel 22;]12 13° hij die de Commissie, haar leden of de door haar gevorderde deskundigen verhindert de in artikel 32 bedoelde verificaties te doen. }1. – 1° vervangen bij art. 38, A, wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001) }2. – 2° vervangen bij art. 38, A, wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001) }3. – 3° vervangen bij art. 38, A, wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001) }4. – 4° vervangen bij art. 38, A, wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001) }5. – 5° gewijzigd bij art. 38, B, wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001) }6. – 6° vervangen bij art. 24 wet 8 augustus 1997, B.S., 24 augustus 2001, inwerkingtreding: 3 september 2001 (art. 29). Uitwissingen die voor de inwerkingtreding van deze wet hebben plaatsgevonden, blijven ten aanzien van de veroordeelde gelden (art. 27 wet 8 augustus 1997, B.S., 24 augustus 2001) }7. – 7° gewijzigd bij art. 38, B, wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001) }8. – 8° gewijzigd bij art. 38, B, wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001) }9. – 9° opgeheven bij art. 38, C, wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001) }10. – 10° vervangen bij art. 38, D, wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001) }11. – 11° opgeheven bij art. 38, E, wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001) }12. – 12° vervangen bij art. 38, F, wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001)
Art. 40. Bij veroordeling wegens een misdrijf omschreven in de artikelen 38 of 39, kan de rechtbank bevelen dat het vonnis in zijn geheel of bij uittreksel wordt opgenomen in één of meer dagbladen op de wijze die zij bepaalt, een en ander op kosten van de veroordeelde.
Art. 41. § 1. Bij de veroordeling wegens een misdrijf omschreven in artikel 39 kan de rechter de verbeurdverklaring uitspreken van de dragers van persoonsgegevens waarop het misdrijf betrekking heeft, zoals manuele bestanden, magneetschijven of magneetbanden, met uitzondering van de computers of enige andere apparatuur, of de uitwissing van die gegevens gelasten. De verbeurdverklaring of de uitwissing kunnen worden gelast, ook wanneer de dragers van persoonsgegevens niet aan de veroordeelde toebehoren.
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 44)
Artikel 8, § 1, van de wet van 29 juni 1964 betreffende de opschorting, het uitstel en de probatie is niet van toepassing op de verbeurdverklaring, noch op de uitwissing gelast overeenkomstig het eerste en tweede lid. De verbeurdverklaarde voorwerpen moeten worden vernietigd wanneer de beslissing in kracht van gewijsde is gegaan. § 2. Onverminderd de ontzeggingen van een bevoegdheid gesteld in bijzondere gevallen, kan de rechtbank, bij veroordeling wegens een misdrijf genoemd in artikel 39,
het verbod uitspreken om gedurende ten hoogste twee jaar rechtstreeks of door een tussenpersoon, het beheer te hebben over enige verwerking van persoonsgegevens. § 3. Elke overtreding van het verbod bepaald in § 2 of elke herhaling met betrekking tot de in de artikelen 37, 38 en 39 voorziene misdrijven, worden gestraft met gevangenisstraf van drie maanden tot twee jaar en met geldboete van honderd frank tot honderdduizend frank of met één van die straffen alleen. VERBEURDVERKLARING UITWISSING
§ 1 Verbeurdverklaring, uitwissing Artikel 8 van de Wet van 29 juni 1964 betreffende de opschorting, het uitstel en de probatie, B.S. 17 juli 1964: § 1. Indien de veroordeelde nog niet veroordeeld is geweest tot een criminele straf of tot een hoofdgevangenisstraf van meer dan twaalf maanden, kunnen de vonnisgerechten, wanneer zij tot (een werkstraf of) een of meer straffen van niet meer dan vijf jaar veroordelen, bij een met redenen omklede beslissing gelasten dat de tenuitvoerlegging hetzij van het vonnis of het arrest, hetzij van de hoofdstraffen of vervangende straffen dan wel van een gedeelte ervan, wordt uitgesteld. De beslissing waarbij het uitstel en, in voorkomend geval, de probatie wordt toegestaan of geweigerd, moet met redenen omkleed zijn overeenkomstig de bepalingen van artikel 195 van het Wetboek van Strafvordering. Nochtans, wanneer artikel 65, tweede lid, van het Strafwetboek wordt toegepast, vormen de vroegere straffen uitgesproken voor feiten die voortvloeien uit hetzelfde misdadige opzet, geen beletsel voor het toekennen van een uitstel. De duur van het uitstel mag niet minder dan een jaar en niet meer dan vijf jaar bedragen, met ingang van de datum van het vonnis of het arrest. De duur van het uitstel mag echter niet meer dan drie jaar bedragen voor de geldstraffen, (de werkstraffen) en de gevangenisstraffen die zes maanden niet te boven gaan.
Art. 42. De }1[verantwoordelijke voor de verwerking]1
Art. 43. Alle bepalingen van Boek I van het Strafwet-
of zijn vertegenwoordiger in België is burgerrechtelijk aansprakelijk voor de betaling van de boeten waartoe zijn aangestelde of lasthebber is veroordeeld.
boek, met inbegrip van hoofdstuk VII en artikel 85, worden toegepast op de misdrijven, omschreven bij deze wet of bij de uitvoeringsbesluiten ervan.
}1. – Gewijzigd bij art. 39 wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001)
STRAFWETBOEK
VERWIJZING NAAR ANDERE WETGEVING – Boek I van het Strafwetboek, Hoofdstuk VII (over de deelneming van verscheidene personen aan eenzelfde misdaad of wanbedrijf) inbegrepen en het artikel 85. Artikel 85: Indien verzachtende omstandigheden aanwezig zijn, kunnen de gevangenisstraffen, de werkstraffen en de geldboeten onderscheidenlijk tot beneden acht dagen, vijfenveertig uren en zesentwintig EUR worden verminderd, zonder dat zij lager mogen zijn dan politiestraffen. De rechter kan ook een van die straffen afzonderlijk toepassen. Indien alleen gevangenisstraf bepaald is, kan de rechter die straf vervangen door geldboete van ten hoogste vijfhonderd frank. Indien ontzetting van de in artikel 31 genoemde rechten (...) voorgeschreven of toegelaten is, kan de rechter die straf uitspreken voor een termijn van een jaar tot vijf jaar, of in het geheel niet opleggen.
HOOFDSTUK IX
SLOTBEPALINGEN Art. 44. De Koning kan bij een in Ministerraad overlegd besluit, na advies van de Commissie voor de bescherming van de persoonlijke levenssfeer, nadere regels stellen voor de toepassing van de bepalingen van deze wet teneinde rekening te houden met de specificiteit van de onderscheiden sectoren.
}1 [Beroepsverenigingen en andere organisaties die categorieën van verantwoordelijken voor de verwerking vertegenwoordigen, die ontwerpen van gedragscodes hebben opgesteld of voornemens zijn bestaande gedragscodes te wijzigen of te verlengen, kunnen deze voorleggen aan de Commissie voor de bescherming van de persoonlijke levenssfeer.]1
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
243
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 44) }2 [De Commissie vergewist er zich in het bijzonder van dat de haar voorgelegde ontwerpen in overeenstemming zijn met deze wet en met haar uitvoeringsbesluiten, en onderzoekt, voor zover dat mogelijk is, de standpunten van de betrokkenen of van hun vertegenwoordigers.]2
}1. – Lid 2 toegevoegd bij art. 40 wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001) }2. – Lid 3 toegevoegd bij art. 40 wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001)
SECTORIËLE REGELS GEDRAGSCODE
Sectoriële regels, gedragscode 1. INTERNATIONALE WETGEVING – Artikel 28 § 2 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): elke Lid-Staat bepaalt dat de toezichthoudende autoriteiten worden geraadpleegd bij de opstelling van de wettelijke of bestuursrechtelijke bepalingen met betrekking tot de bescherming van de rechten en vrijheden van personen in verband met de verwerking van persoonsgegevens. – Artikel 27 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): 1. De Lid-Staten en de Commissie moedigen de opstelling aan van gedragscodes, die bestemd zijn om naar gelang van de specifieke kenmerken van de sectoren bij te dragen tot een goede toepassing van de ter uitvoering van deze Richtlijn door de Lid-Staten vastgestelde nationale bepalingen. 2. De Lid-Staten bepalen dat beroepsverenigingen en andere vertegenwoordigingsorganen van andere categorieën van voor de verwerking verantwoordelijken die ontwerpen van nationale gedragscodes hebben opgesteld, of voornemens zijn bestaande nationale codes te wijzigen of te verlengen, deze voor advies aan de nationale autoriteit kunnen voorleggen. De Lid-Staten bepalen dat deze autoriteit zich er inzonderheid van vergewist dat de haar voorgelegde ontwerpen in overeenstemming zijn met de ter uitvoering van deze Richtlijn vastgestelde nationale voorschriften. Desgewenst neemt zij de opmerkingen van de betrokkenen of van hun vertegenwoordigers in ontvangst. 3. De ontwerpen van communautaire codes, alsmede wijzigingen of verlengingen van bestaande communautaire codes, kunnen aan de in artikel 29 bedoelde Groep worden voorgelegd. Deze spreekt er zich met name over uit of de haar voorgelegde ontwerpen in overeenstemming zijn met de ter uitvoering van deze Richtlijn vastgestelde nationale bepalingen. Desgewenst neemt zij de opmerkingen van de betrokkenen of van hun vertegenwoordigers in ontvangst. De Commissie kan zorg dragen voor een passende bekendmaking van de gedragscodes waarover de Groep een gunstig advies heeft uitgebracht. 2. ADVIEZEN VAN DE GROEP 29 – Groep 29, Toekomstige werkzaamheden op het gebied van gedragscodes: Werkdocument betreffende de procedure voor de beoordeling van communautaire gedragscodes door de Groep (10 september 1998 - WP 13): dit werkdocument geeft een uiteenzetting van de door belanghebbenden te volgen procedure voor de indiening van communautaire gedragscodes en de daaropvolgende evaluatie door de Groep overeenkomstig het bepaalde in de artikelen 27 en 29 van Richtlijn 95/46/EG. Iedere voor de sector representatieve organisatie die in een aanmerkelijk aantal Lid-Staten gevestigd of actief is kan bij de Groep een ontwerp-gedragscode ter beoordeling door de Werkgroep indienen. Deze ontwerp-code moet zorgvuldig zijn opgesteld, bij voorkeur in overleg met degenen op wie de gegevens betrekking hebben of hun vertegenwoordigers, en moet duidelijk de organisatie of sector aangeven waarvoor de code is bedoeld. De ontwerp-code moet in een Gemeenschapstaal worden ingediend, voorzien van vertalingen in het Engels en Frans en vergezeld zijn van een toelichting. De voorzitter beoordeelt of een ingediende ontwerp-code aan de aanvaardingscriteria voldoet. Indien de voorzitter van mening is dat niet aan de criteria wordt voldaan, stelt hij de leden van de Groep daarvan in kennis en bepaalt een tijdslimiet voor reacties. De ingediende ontwerp-codes die aan de aanvaardingscriteria voldoen, worden aan alle leden van de groep toegezonden. Het secretariaat stelt in overleg met de voorzitter ter voorbereiding van het advies voorstellen op die in de Groep worden besproken. Bij de voorbereiding van het advies kan met de indienende partij en andere belanghebbenden contact worden opgenomen. De Groep stelt vast of een ingediende gedragscode: (I) voldoet aan de Richtlijnen op het gebied van gegevensbescherming en, voor zover van toepassing, aan de nationale voorschriften op basis van deze Richtlijnen, (II) van toereikende kwaliteit en intern consistent is en voldoende waarde toevoegt aan de Richtlijnen en andere regelgeving op het gebied van gegevensbescherming en met name of de ontwerpcode voldoende is toegespitst op de problemen rond gegevensbescherming in de organisatie of sector waarvoor hij is bedoeld en voor deze vragen en problemen voldoende duidelijke oplossingen biedt. Indien een advies negatief is, wordt het met redenen omkleed. De Commissie kan zo nodig voor openbaarmaking van het advies van de Groep zorgen. – Groep 29, Advies 3/2003 over de Europese gedragscode van de FEDMA voor het gebruik van persoonsgegevens bij direct marketing (13 juni 2003 - WP 77): de Groep is van mening dat de gedragscode van de FEDMA
244
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
Wet 8 december 1992 Wet verwerking persoonsgegevens (Art. 52)
overeenstemt met de Richtlijn 95/46/EG en voldoende meerwaarde toevoegt aan die Richtlijn in die mate dat deze duidelijk gericht is op de vragen en problemen rond gegevensbescherming in de direct marketingsector en heldere oplossingen voorstelt voor de eventuele voorkomende moeilijkheden. De gedragscode komt tegemoet aan de vereisten van artikel 27 van de Richtlijn. – Groep 29, Advies 4/2010 over de Europese gedragscode van de FEDMA voor het gebruik van persoonsgegevens in het kader van direct marketing (WP 174 – 13 juli 2010): de Groep heeft in juni 2003 advies uitgebracht over de Europese gedragscode van FEDMA voor het gebruik van persoonsgegevens in het kader van direct marketing. De Groep wees er op dat een algemene code zoals deze niet alle specifieke problemen die inherent zijn aan de online wereld kan oplossen en verzocht FEDMA derhalve een bijlage bij de code te maken waarin deze vraagstukken worden behandeld. In deze bijlage zou met name de bescherming van minderjarigen aan bod moeten komen, die op dit gebied vooral kwetsbaar zijn. Dit advies vermeldt de structuur van de bijlage en onderzoekt de verenigbaarheid ervan met de richtlijn 95/46/EG.
Art. 45. De Koning kan de overheden aanwijzen welke in oorlogstijd of in de tijd die overeenkomstig artikel 7 van de wet van 12 mei 1927 op de militaire opeisingen daarmee gelijkstaat, alsmede tijdens de bezetting van het Belgisch grondgebied door de vijand, het bevel geven om de verwerkte gegevens te vernietigen of die zelf belast zijn met de vernietiging van die gegevens.
De Koning kan tevens de bedragen vaststellen van de vergoeding voor de vernietigingen bepaald in het vorige lid. Met geldboete van honderd frank tot honderdduizend frank wordt gestraft, hij die de besluiten ter uitvoering van het eerste lid, overtreedt of ten onrechte gebruikt, dan wel misbruik maakt van het daarin bepaalde recht tot vernietiging. VERNIETIGING GEGEVENS OORLOGSTIJD
VERWIJZING NAAR ANDERE WETGEVING – Artikel 7 van de Wet van 12 mei 1927 op de militaire opeisingen, B.S. 25 mei 1927: staat met oorlogstijd gelijk, de tijd wanneer de troepen op mars zijn, samengetrokken worden of gekantonneerd liggen om te waken over 's lands veiligheid op de grenzen, het vervullen zijner verplichtingen krachtens de verdragen, de handhaving der orde en de uitvoering der wetten. Die omstandigheden worden, in gemeen overleg, bepaald door de ministers van binnenlandse zaken en volksgezondheid en van landsverdediging, die de burgerlijke en militaire overheden daarvan te gepasten tijde verwittigen.
Art. 46-51. (...)
{1
S 1. – Wijzigingsbepalingen
Art. 52. Iedere bepaling van deze wet treedt in werking op de datum bepaald door de Koning en uiterlijk op de eerste dag van de }2[vierentwintigste]2 maand volgend op die waarin zij in het Belgisch Staatsblad is bekendgemaakt. De Koning bepaalt de termijn binnen welke de houder van een bestand zich naar de bepalingen van deze wet dient te schikken voor de verwerkingen die op het ogenblik van hun inwerkingtreding bestaan. {1
F 1. – Inwerkingtreding: K.B. nr. 1, 28 februari 1993, B.S., 18 maart 1993; gewijzigd bij K.B. nr. 6, 13 september 1993, B.S., 25 september 1993; gewijzigd bij K.B. nr. 11, 14 maart 1994, B.S., 12 april 1994): art. 1-3, 5, 16, § 1, 1°, 21-33, 34, lid 1, 35-37, 40-45, 48-49, 51-52: 1 april 1993; art. 4, 7, lid 1-3, 10-15, 16, § 1, 3°, 46-47 en 50: 1 september 1993; art. 16, § 1, 2°, 19-20 en 34, lid 2: 1 maart 1994; art. 7, lid 4-5, en 16, § 1, 4°-5°, § 2-3: 1 september 1994; art. 6, 8-9, 17-18: op de dag van de inwerkingtreding van het eerste koninklijk besluit tot uitvoering ervan; art. 38-39 treden in werking naar gelang van de inwerkingtreding van de bepalingen waarvan zij de overtreding strafbaar stellen }2. – Lid 1 gewijzigd bij enig art. wet 30 juni 1994, B.S., 18 augustus 1994
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
245
Index Wet 8 december 1992 (Index)
INDEX 1. Verwijzing naar andere wetgevingen door de Privacy Wet Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, Publicatieblad, L 281/31 van 23 november 1995. Strafwetboek Wet van 12 mei 1927 op de militaire opeisingen, B.S., 25 mei 1927. Wet van 29 juni 1964 betreffende de opschorting, het uitstel en de probatie, B.S., 17 juli 1964. Wet van 4 juli 1962 betreffende de openbare statistiek, B.S., 20 juli 1962. Bijzondere wet van 12 januari 1989 met betrekking tot de Brusselse Instellingen, B.S., 14 januari 1989. Wet van 15 januari 1990 houdende oprichting en organisatie van een Kruispuntbank van de sociale zekerheid, B.S., 22 februari 1990. Wet van 18 juli 1989 tot regeling van het toezicht op politie- en inlichtingendiensten en op het Coördinatieorgaan voor de dreigingsanalyse, B.S., 26 juli 1991. Wet van 22 augustus 2002 betreffende de rechten van de patiënt, B.S., 26 september 2002. Wet van 26 februari 2003 tot wijziging van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens en van de wet van 15 januari 1990 houdende oprichting en organisatie van een Kruispuntbank van de Commissie voor de bescherming van de persoonlijke levenssfeer en tot uitbreiding van haar bevoegdheden, B.S., 26 juni 2003. Wet van 11 januari 1993 tot voorkoming van het gebruik van het financiële stelsel voor het witwassen van geld en de financiering van terrorisme, B.S., 9 februari 2003. Programmawet (I) van 24 december 2003 (art. 479) - Titel XIII - Hoofdstuk VI: Voogdij over niet-begeleide minderjarige vreemdelingen, B.S., 31 december 2002. Koninklijk besluit van 10 juli 1997.
SECTORALE COMITES (artikel 31bis en artikel 36bis van de Privacy Wet) Wet van 4 juli 1962 betreffende de openbare statistiek, B.S., 20 juli 1962. Wet van 8 augustus 1983 tot regeling van een Rijksregister van de natuurlijke personen, B.S., 21 april 1984. Wet van 15 januari 1990 houdende oprichting en organisatie van een Kruispuntbank van de sociale zekerheid, B.S., 22 februari 1990. Wet van 16 januari 2003 tot oprichting van een Kruispuntbank van Ondernemingen, tot modernisering van het handelsregister, tot oprichting van erkende ondernemingsloketten en houdende diverse bepalingen, B.S., 5 februari 2003. Wet van 10 augustus 2005 tot oprichting van het informatiesysteem Phenix, B.S., 1 september 2005. Koninklijk besluit van 17 december 2003 tot vaststelling van de nadere regels met betrekking tot de samenstelling en de werking van bepaalde sectorale comités opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer, B.S., 30 december 2003. Koninklijk besluit van 7 juni 2007 tot vaststelling van de nadere regels met betrekking tot de samenstelling en de werking van het Statistisch Toezichtcomité opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer, B.S., 20 juni 2007. 2. INTERNATIONAAL 2.1. VERENIGDE NATIES Documenten van de Verenigde Naties zijn beschikbaar op http://www.un.org Universele Verklaring van de Rechten van de Mens (UVRM - 10 december 1948). Guidelines of the United Nations for the Regulation of Computerized Personal Data Files (1990). Internationaal Verdrag inzake Burgerrechten en Politieke Rechten (BUPO verdrag - 1966). General Comment No. 16: (Art. 17 BUPO-Verdrag) van het Human Rights Committee. 2.2. Organisatie voor Economische Samenwerking en Ontwikkeling (OESO) Documenten van OESO zijn beschikbaar op http://www.oecd.org. Guidelines of the Organisation for Economic Co-operation and Development (OECD) governing the protection of privacy and transborder flows of personal data (1980) OECD Guidelines for the Security of Information Systems and Networks: Towards a Culture of Security. 2.3. RAAD VAN EUROPA Europees Verdrag van de rechten van de mens Het Europees Verdrag van de rechten van de mens is beschikbaar op http://www.echr.coe.int/ECHR/EN/Header/Basic+Texts/The+Convention+and+additional+protocols/The+European+Convention+on+Human+Rights/ Verdrag tot Bescherming van de Rechten van de Mens en de Fundamentele Vrijheden aangenomen op 4 november 1950 (Europees Verdrag van de rechten van de mens - EVRM).
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
247
Index Wet 8 december 1992 (Index)
Verdrag n°108 Het Verdrag n°108 is beschikbaar op (rubriek "Legal instruments") http://www.coe.int/t/dghl/standardsetting/dataprotection/legal_instruments_EN.asp Verdrag tot bescherming van personen ten opzichte van de geautomatiseerde verwerking van persoonsgegevens (STE Nr. 108), aangenomen in Straatsburg op 28 januari 1981 (Verdrag Nr. 108). Verdrag nr. 108 van de Raad van Europa tot bescherming van personen ten opzichte van de geautomatiseerde verwerking van persoonsgegevens (1981) - Explanatory Report. Amendment to Convention ETS No.108 allowing the European Communities to accede (adopted the 15 June 1999). Additional Protocol to the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data regarding supervisory authorities and transborder data flows (STE n°181), aangenomen in Strasbourg op 8 November 2001. Additional Protocol to the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data regarding supervisory authorities and transborder data flows - Explanatory Memorandum. Sectorale aanbevelingen De sectorale aanbevelingen en resoluties zijn beschikbaar op http://www.coe.int/t/dghl/standardsetting/dataprotection/legal_instruments_EN.asp (rubriek Legal instruments). Recommendation N°. R (2002) 9 on the protection of personal data collected and processed for insurance purposes (18 September 2002) and Explanatory Memorandum. Recommendation N°. R (99) 5 for the protection of privacy on the Internet (23 February 1999). Recommendation N°. R (97) 18 on the protection of personal data collected and processed for statistical purposes (30 September 1997) and Explanatory Memorandum. Recommendation N°. R (97) 5 on the protection of medical data (13 February 1997) and Explanatory Memorandum. Recommendation N°. R (95) 4 on the protection of personal data in the area of telecommunication services, with particular reference to telephone services (7 February 1995) and Explanatory Memorandum. Recommendation N°. R (91) 10 on the communication to third parties of personal data held by public bodies (9 September 1991) and Explanatory Memorandum. Recommendation N°. R (90) 19 on the protection of personal data used for payment and other operations (13 September 1990) and Explanatory Memorandum. Recommendation N°. R (89) 2 on the protection of personal data used for employment purposes (18 January 1989) and Explanatory Memorandum. Recommendation N°. R (87) 15 regulating the use of personal data in the police sector (17 September 1987). First evaluation of the relevance of recommendation N°. R (87) 15 regulating the use of personal data in the police sector, done in 1994. Second evaluation of the relevance of recommendation N°. R (87) 15 regulating the use of personal data in the police sector, done in 1998. Report on the third evaluation of the relevance of recommendation N°. R (87) 15 regulating the use of personal data in the police sector, done in 2002. Recommendation N°. R (86) on the protection of personal data for social security purposes (23 January 1986) and Explanatory Memorandum. Recommendation N°. R (85) 20 on the protection of personal data used for the purposes of direct marketing (25 October 1985). Recommendation No.R(83) 10 on the protection of personal data used for scientific research and statistics (23 September 1983) [replaced by Recommendation No. R(97) 18 with regard to statistics]. Recommendation No.R(81) 1 on regulations for automated medical data banks (23 January 1981) [replaced by Recommendation No. R (97) 5]. Sectorale resoluties Resolution (74) 29 on the protection of individuals vis-à-vis electronic data banks in the public sector. Resolution (73) 22 on the protection of privacy of individuals vis-à-vis electronic data banks in the private sector.
2.4. EUROPESE UNIE Wetgeving Zie http://ec.europa.eu/justice_home/fsj/privacy/law/index_fr.htm Handvest van de grondrechten van de Europese Unie aangenomen op 4 december 2000. Zie http://www.europarl.europa.eu/comparl/libe/elsj/charter/default_fr.htm Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, Publicatieblad, L 281/31 van 23 november 1995. Verordening (EG) Nr. 45/2001 van het Europees Parlement en de Raad van 18 december 2000 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de communautaire instellingen en organen en betreffende het vrije verkeer van die gegevens. Document van de Europese Commissie "Frequently asked questions relating to transfers of personal data from the EU/ EEA to third countries", beschikbaar op de website van de Europese Commissie via volgende link: http://ec.europa.eu/justice/policies/privacy/international_transfers/index_en.htm Internationaal akkoord Beschikking 2000/520/CE van de Commissie van 26 juli 2000 overeenkomstig Richtlijn 95/46/EG van het Europees Parlement en de Raad, betreffende de gepastheid van de bescherming geboden door de Veiligehavenbeginselen voor de be-
248
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
Index Wet 8 december 1992 (Index)
scherming van de persoonlijke levenssfeer en de daarmee verband houdende Vaak gestelde vragen, die door het ministerie van Handel van de Verenigde Staten zijn gepubliceerd, Publicatieblad van 25 augustus 2000, L 215/7. Gegevensbeschermingspanel (in verband met de vaak gestelde vragen 5 en 9, die door het ministerie van Handel van de Verenigde Staten zijn gepubliceerd als bijlage bij Beschikking 2000/520/EG van de Commissie betreffende de gepastheid van de bescherming geboden door de Veiligehavenbeginselen zijn gevoegd). Standaardklachtenformulier voor de niet-naleving van de "veilige havenbeginselen van de VS ter bescherming van de persoonlijke levenssfeer" die bij beschikking 2000/5201 van de Commissie zijn gevoegd. Agreement between the European Union and the United States of America on the processing and transfer of passenger name record (PNR) data by air carriers to the United States Department of Homeland Security, Publicatieblad van 27 oktober 2006, L 298/29. Council Decision 2006/729/CFSP/JHA of 16 October 2006 on the signing, on behalf of the European Union, of an Agreement between the European Union and the United States of America on the processing and transfer of passenger name record (PNR) data by air carriers to the United States Department of Homeland Security, Publicatieblad van 27 oktober 2006, L. 298/27. Letter to the Council Presidency and the Commission from the Department of Homeland Security (DHS) of the United States of America, concerning the interpretation of certain provisions of the undertakings issued by DHS on 11 MAY 2004 in connection with the transfer by air carriers of passenger name record (PNR) data, Publicatieblad van 27 oktober 2006, L 259/1. Reply by the Council Presidency and the Commission to the letter from the USA's Department of Homeland Security, J.O. du 27 octobre 2006, C 259/4. Council Decision 2007/551/PESC/JHA of 23 July 2007 on the signing, on behalf of the European Union, of an agreement between the European Union and the United States of America on the processing and transfer of Passenger Name Record (PNR) data by air carriers to the United States Department of Homeland Security (DHS) (PNR agreement 2007). Modelcontractbepalingen Zie http://ec.europa.eu/justice_home/fsj/privacy/modelcontracts/index_fr.htm Beschikking 2004/915/EG van de Commissie van 27 december 2004 tot wijziging van Beschikking 2001/497/EG betreffende de invoering van alternatieve modelcontractbepalingen voor de doorgifte van persoonsgegevens naar derde landen, Publicatieblad, L 385/74 van 29 december 2004. Beschikking 2001/497/EG van de Commissie van 15 juni 2001 betreffende modelcontractbepalingen voor de doorgifte van persoonsgegevens naar derde landen krachtens Richtlijn 95/46/EG, Publicatieblad, L 181/19 van 4 juli 2001. Beschikking 2002/16/EG van de Commissie van 27 december 2001 betreffende modelcontractbepalingen voor de doorgifte van persoonsgegevens naar in derde landen gevestigde verwerkers krachtens Richtlijn 95/46/EG, Publicatieblad, L 6/ 52 van 10 januari 2002. Besluit 2010/78 van de Commissie van 5 februari 2010 betreffende modelcontractbepalingen voor de doorgifte van persoonsgegevens aan in derde landen gevestigde verwerkers krachtens Richtlijn 95/46/EG van het Europees Parlement en de Raad, J.O., L 39 van 12 februari 2010. Beschikking betreffende de passende bescherming van persoonsgegevens Zie http://ec.europa.eu/justice_home/fsj/privacy/thridcountries/index_en.htm Beschikking 2000/518/EG van de Commissie van 26 juli 2000 overeenkomstig richtlijn 95/46/CE van het Europees Parlement en de Raad betreffende de passende bescherming van persoonsgegevens in Zwitserland, Publicatieblad, L 215/1 van 25 augustus 2000. Beschikking 2000/520/EG van de Commissie van 26 juli 2000 overeenkomstig richtlijn 95/46/CE van het Europees Parlement en de Raad betreffende de gepastheid van de bescherming geboden door de Veiligehavenbeginselen en de daarmee verband houdende Vaak gestelde vragen die door het ministerie van Handel van de Verenigde Staten zijn gepubliceerd (Safe Harbor), Publicatieblad, L 215/7 van 25 augustus 2000. Beschikking 2002/2/EG van de Commissie van 20 december 2001 overeenkomstig richtlijn 95/46/CE van het Europees Parlement en de Raad betreffende de passende bescherming van persoonsgegevens geboden door de Canadese Personal Information Protection and Electronic Documents Act, Publicatieblad, L 2/13 van 4 januari 2002. Beschikking 2003/1731 van de Commissie van 30 juni 2003 overeenkomstig richtlijn 95/46/CE van het Europees Parlement en de Raad betreffende de passende bescherming van persoonsgegevens in Argentinië, Publicatieblad, L 168 van 5 juli 2003. Beschikking 2003/821/EG van de Commissie van 21 november 2003 over de passende bescherming van persoonsgegevens op Guernsey, Publicatieblad, L 308 van 25 november 2003. Commission Decision 2004/411/EC of 28 April 2004 on the adequate protection of personal data in the Isle of Man, Publicatieblad, L 151 van 30 april 2004. Besluit van de Raad van 18 juli 2005 betreffende de sluiting van de Overeenkomst tussen de Europese Gemeenschap en de regering van Canada inzake de verwerking van API/PNR-gegevens (2006/230/EG), PB L 82 van 21.3.2006, blz. 14–14 Council Decision 2006/729/PESC/JHA of 16 Octobre 2006 on the signing, on behalf of the European Union, of an agreement between the European Union and the United States of America on the processing and transfer of Passenger Name Record (PNR) data by air carriers to the United States Department of Homeland Security, Publicatieblad, L 298/27 du 27 octobre 2006. Beschikking 2008/393/EG van de Commissie overeenkomstig Richtlijn 95/46/EG van het Europees Parlement en de Raad, over de passende bescherming van persoonsgegevens op Jersey, Publicatieblad, L 138/21 van 28 mei 2008. Besluit 2008/651/GBVB/JBZ van de Raad van 30 juni 2008 betreffende de ondertekening, namens de Europese Unie, van een overeenkomst tussen de Europese Unie en Australië inzake de verwerking en overdracht van persoonsgegevens van passagiers (PNR-gegevens) uit de Europese Unie door luchtvaartmaatschappijen aan de Australische douane, PB L 213 van 08/08/2008 blz. 0047 – 0048.
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
249
Index Wet 8 december 1992 (Index)
Commission decision of 5 March 2010 pursuant to Directive 95/46/EC of the European Parliament and of the Council on the adequate protection provided by the Faeroese Act on processing of personal data, J.O., L 58/17 du 9 mars 2000. Verordening van de Commissie van 19 oktober 2010 tot vaststelling van het gepaste beschermingsniveau in Andorra, conform de richtlijn 95/46/EG van het Europees Parlement en de Raad (C(2010) 7084), J.O., L 277/27. Besluit van de Commissie van 31 januari 2011 overeenkomstig Richtlijn 95/46/EG van het Europees Parlement en de Raad, over de passende bescherming van persoonsgegevens door de staat Israël wat de geautomatiseerde verwerking van persoonsgegevens betreft (2011/61/EU), PB L 27 van 1.2.2011, blz. 39–42
2.5. INTERNATIONALE CONFERENTIE VAN DE COMMISSARISSEN VOOR DE BESCHERMING VAN GEGEVENS EN DE PRIVACY International Standards on the Protection of Personal Data and Privacy (2009) (The Madrid Resolution) : resolutie goedgekeurd op 5 november 2009 door de Internationale Conferentie van de commissarissen voor de bescherming van gegevens en de privacy. 3. Adviezen van de Groep 29 Deze documenten zijn beschikbaar op (Rubriek "Documents adopted"): http://ec.europa.eu/justice_home/fsj/privacy/ workinggroup/index_en.htm
1996 Groep 29, Huishoudelijk reglement goedgekeurd door de Groep tijdens zijn derde vergadering op 11 september 1996. 1997 Groep 29, Aanbeveling 1/97: Wetgeving inzake gegevensbescherming en de media (25 februari 1997 - WP1). Groep 29, Eerste richtsnoeren voor de doorgifte van persoonsgegevens naar derde landen. Voorstel inzake een methode voor de beoordeling van het passend karakter van het beschermingsniveau (26 juni 1997- WP 4). Groep 29, Aanbeveling 3/97: Anonimiteit op Internet (3 december 1997 - WP 8). Groep 29, Werkdocument: aanmelding (3 december 1997 - WP 8). 1998 Groep 29, Werkdocument: Doorgifte van persoonsgegevens naar derde landen: toepassing van de artikelen 25 en 26 van de EU-richtlijn betreffende gegevensbescherming (24 juli 1998 - WP 12). Groep 29, Toekomstige werkzaamheden op het gebied van gedragscodes: Werkdocument betreffende de procedure voor de beoordeling van communautaire gedragscodes door de Groep (10 september 1998 - WP 13). 1999 Groep 29, Advies 1/99 over het niveau van gegevensbescherming in de Verenigde Staten en het lopend overleg tussen de Europese Commissie en de regering van de Verenigde Staten (26 januari 1999 - WP 15). Groep 29, Aanbeveling 2/99 betreffende de bescherming van de persoonlijke levenssfeer in het kader van de interceptie van telecommunicatieverkeer (3 mei 1999 - WP 18). Groep 29, Advies 2/99 over het passend karakter van de "International Safe Harbor Principles" die op 19 april 1999 door het Amerikaanse ministerie van Handel zijn gepubliceerd (3 mei 1999 - WP 19). Groep 29, Advies 3/99 Advies 3/99 betreffende Overheidsinformatie en de bescherming van persoonsgegevens. Bijdrage aan de raadpleging naar aanleiding van het groenboek van de Europese Commissie getiteld "Overheidsinformatie: een essentiële hulpbron voor Europa", COM (1998) 585 (3 mei 1999 - WP 20). Groep 29, Advies 4/99 over de door het Amerikaanse ministerie van Handel te publiceren vaak gestelde vragen (FAQ's) met betrekking tot de voorgestelde "Beginselen voor een veilige haven" (7 juni 1999 - WP 21). Groep 29, Advies 5/99 inzake het beschermingsniveau van persoonsgegevens in Zwitserland (7 juni 1999 - WP 22). Groep 29, Werkdocument over de huidige stand van de lopende beraadslagingen tussen de Europese Commissie en de regering van de VS betreffende de "Internationale veiligehavenbeginselen" (7 juli 1999 - WP 23). Groep 29, Advies 6/99 over het passend beschermingsniveau in Hongarije (7 september 1999 - WP 24). Groep 29, Aanbeveling 3/99 over de bewaring van verkeersgegevens door Internetdienstenaanbieders voor wetshandhavingsdoeleinden (7 september 1999 - WP 25). Groep 29, Aanbeveling 4/99 over de opname van het grondrecht op gegevensbescherming in de Europese grondrechten (7 december 1999 - WP 26). Groep 29, Advies 7/99 over het niveau van gegevensbescherming dat door de "veilige haven"-beginselen wordt geboden, die samen met de vaak gestelde vragen (FAQ's) en andere documenten op 15 en 16 november 1999 door het ministerie van Handel van de VS zijn gepubliceerd (3 december 1999 - WP 27). 2000 Groep 29, Advies 3/2000 Over de dialoog tussen de EU en de VS over de veiligehavenregeling (16 maart 2000 - WP 31). Groep 29, Advies 4/2000 over het beschermingsniveau van de "Beginselen voor een veilige haven" (16 mei 2000 - WP 32). Groep 29, Advies 5/2000 over Het gebruik van openbare abonneelijsten voor omgekeerd zoeken of zoeken met meervoudige criteria (Omgekeerde abonneelijsten) (13 juli 2000 - WP 33). Groep 29, Advies 6/2000 over het menselijk genoom (13 juli 2000 - WP 34).
250
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
Index Wet 8 december 1992 (Index)
Groep 29, Advies 7/2000 over het door de Europese Commissie ingediende voorstel voor een Richtlijn van het Europees Parlement en de Raad betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie (12 november 2000 - WP 36).
2001 Groep 29, Advies 1/2001 over de ontwerp-beschikking van de Commissie betreffende modelcontractbepalingen voor de doorgifte van persoonsgegevens naar derde landen krachtens artikel 26, lid 4, van Richtlijn 95/46/EG (16 januari 2001 - WP 38). Groep 29, Advies 2/2001 over de gepastheid van de Canadese Personal Information and Electronic Documents Act (26 januari 2001 - WP 39). Groep 29, Advies 3/2001 over het beschermingsniveau van de Australische wet 2000 tot wijziging (particuliere sector) van de privacywet (26 januari 2001 - WP 40). Groep 29, Advies 4/2001 over het ontwerp-verdrag van de Raad van Europa inzake cybercriminaliteit (22 maart 2001 - WP 41). Groep 29, Aanbeveling 1/2001 over beoordelingsgegevens betreffende werknemers (22 maart 2001 - WP 42). Groep 29, Aanbeveling inzake bepaalde minimumeisen voor het online verzamelen van persoonsgegevens in de Europese Unie (17 mei 2001 - WP 43). Groep 29, Advies 7/2001 over de ontwerp-beschikking van de Commissie (versie van 31 augustus 2001) betreffende modelcontractbepalingen voor de doorgifte van persoonsgegevens naar in derde landen gevestigde verwerkers krachtens artikel 26, lid 4, van Richtlijn 95/46 (13 september 2001 - WP 47). Groep 29, Advies 8/2001 over gegevensverwerking in de werkomgeving (13 september 2001 - WP 48). Groep 29, Advies 9/2001 over de mededeling van de Commissie "De informatiemaatschappij veiliger maken door de informatie-infrastructuur beter te beveiligen en computercriminaliteit te bestrijden" (5 november 2001 - WP 51). Groep 29, Advies 10/2001 betreffende de behoefte aan een evenwichtige aanpak in de strijd tegen Terrorisme (14 december 2001 - WP 53). 2002 Groep 29, Werkdocument over de controle op elektronische communicatie op het werk (29 mei 2002 - WP 55). Groep 29, Werkdocument betreffende de internationale toepassing van de gegevensbeschermingswetgeving van de EU op de verwerking van persoonsgegevens op internet door websites van buiten de EU (30 mei 2002 - WP 56). Groep 29, Ontwerp-werkdocument over de werking van de veiligehavenovereenkomst (2 juli 2002 - WP 62). Groep 29, Advies 4/2002 over het niveau van persoonsgegevensbescherming in Argentinië (3 oktober 2002 - WP 63). Groep 29, Advies 5/2002 over de verklaring van de Europese functionarissen voor gegevensbescherming tijdens de internationale conferentie van Cardiff (9-11 september 2002) over het verplicht systematisch bewaren van telecommunicatieverkeersgegevens (11 oktober 2002 - WP 64). Groep 29, Werkdocument over zwarte lijsten (3 oktober 2002 - WP 65). Groep 29, Advies 6/2002 over de doorgifte van informatie over passagiers, bemanningsleden en ander gegevens door de luchtvaartmaatschappijen aan de Verenigde Staten (24 oktober 2002 - WP 66). Groep 29, Werkdocument over de verwerking van persoonsgegevens met videobewaking (25 november 2002 - WP 67). 2003 Groep 29, Advies 1/2003 over de opslag van verkeersgegevens ten behoeve van facturering (29 januari 2003 - WP69). Groep 29, Werkdocument over de e-overheid (8 mei 2003 - WP 73). Groep 29, Werkdocument: doorgifte van persoonsgegevens naar derde landen: toepassing van artikel 26(2) van de richtlijn van de Europese Unie met betrekking tot de gegevensbescherming bij bindende ondernemingsregels van toepassing op de internationale doorgifte van gegevens (3 juni 2003 - WP 74). Groep 29, Advies 3/2003 over de Europese gedragscode van de FEDMA voor het gebruik van persoonsgegevens bij direct marketing (13 juni 2003 - WP 77). Groep 29, Advies 4/2003 over het in de VS voor de doorgifte van passagiersgegevens gewaarborgde beschermingsniveau (13 juni 2003 - WP 78). Groep 29, Advies 5/2003 over het niveau van persoonsgegevensbescherming in Guernsey (13 juni 2003 - WP 79). Groep 29, Werkdocument over biometrie (1 augustus 2003 - WP 80). Groep 29, Advies 6/2003 over het persoonsgegevensbeschermingsniveau op het Eiland Man (21 november 2003 - WP 82). Groep 29 Advies 7/2003 inzake het hergebruik van overheidsinformatie en de bescherming van persoonsgegevens (12 december 2003 - WP 83). Groep 29, Advies 8/2003 over de ontwerp-modelcontractbepalingen ingediend door een groep verenigingen van ondernemingen ("het alternatieve modelcontract") (17 december 2003 - WP 84). 2004 Groep 29, Advies 1/2004 over het beschermingsniveau dat in Australië wordt gewaarborgd bij de doorgifte van PNR-gegevens van luchtvaartmaatschappijen (16 januari 2004 - WP 85). Groep 29, Advies 2/2004 over de passende bescherming van in het PNR van passagiers vervatte persoonsgegevens die aan het Bureau of Customs and Border Protection van de Verenigde Staten (US CBP) worden doorgegeven (9 januari 2004 - WP 87). Groep 29, Advies 3/2004 over het beschermingsniveau dat geboden wordt door Canada voor de doorgifte van passagiersdossiers en geanticipeerde informatie over de reizigers door luchtvaartmaatschappijen (11 februari 2004 - WP 88). Groep 29, Advies 4/2004 over de verwerking van persoonsgegevens met videobewaking (11 februari 2004 - WP 89).
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
251
Index Wet 8 december 1992 (Index)
Groep 29, Advies 5/2004 betreffende ongewenste communicatie voor marketingdoeleinden in de context van artikel 13 van Richtlijn 2002/58/EG (27 februari 2004 - WP 90). Groep 29, Werkdocument over genetische gegevens (17 maart 2004 - WP 91). Groep 29, Advies 6/2004 betreffende de tenuitvoerlegging van de Beschikking van de Commissie van 14-V-2004 voor de passende bescherming van persoonsgegevens in de dossiers over vliegtuigpassagiers (Passenger Name Records - PNR) die worden doorgegeven aan het bureau voor douane en bescherming van de grenzen van de Verenigde Staten en het akkoord tussen de Europese Gemeenschap en de Verenigde Staten van Amerika over de verwerking en de doorgifte van PNR gegevens door de luchtvaartvervoerders aan het Amerikaans Ministerie voor binnenlandse veiligheid, bureau voor douane en bescherming van de grenzen (22 juni 2004 - WP 95) en Advies 8/2004 inzake de informatie voor passagiers in verband met de doorgifte van PNR-gegevens op vluchten tussen de Europese Unie en de Verenigde Staten van Amerika (30 september 2004 - WP97). Groep 29, Advies 8/2004 inzake de informatie voor passagiers in verband met de doorgifte van PNR-gegevens op vluchten tussen de Europese Unie en de Verenigde Staten van Amerika (30 september 2004 - WP 97). Groep 29, Advies 9/2004 betreffende het ontwerp van kaderbesluit over de bewaring van verwerkte en opgeslagen gegevens in verband met publiekelijk ter beschikking staande elektronische communicatiediensten of gegevens op openbare communicatienetwerken met het oog op preventie, onderzoek opsporing en vervolging van misdaden met inbegrip van terrorisme (voorstel ingediend door Frankrijk, Ierland, Zweden en Groot-Brittannië, document van de raad 8958/04 van 28 april 2004) (9 november 2004 - WP - 99).
2005 Groep 29, Advies 1/2005 over het niveau van bescherming in Canada voor de doorgifte van Passenger Name Records en Advanced Passenger Information door Luchtvaartmaatschappijen (19 januari 2005 - WP 103). Groep 29, Werkdocument over problematiek van bescherming van gegevens verbonden aan RFID-technologie (radioidentificatie) (19 januari 2005 - WP 105). Groep 29, Verslag van de Werkgroep "artikel 29" over de verplichting van aangifte bij controleautoriteiten, het optimaal gebruik van uitzonderingen en vereenvoudiging en de rol van de functionaris voor bescherming van persoonsgegevens in de Europese Unie (18 januari 2005 - WP 106). Groep 29, Werkdocument over de samenwerkingsprocedure voor het uitbrengen van een gemeenschappelijk advies over het passend beschermingsniveau dat wordt aangeboden door de "bindende ondernemingsregels" (14 april 2005 - WP 107). Groep 29, Werkdocument voor het opstellen van een modelcontrolelijst voor een aanvraag tot goedkeuring van bindende ondernemingsregels 14 april 2005 - WP 108). Groep 29, Advies 4/2005 over het voorstel voor een Richtlijn van het Europees Parlement en de Raad betreffende de bewaring van gegevens die zijn verwerkt in verband met het aanbieden van openbare elektronischecommunicatiediensten en tot wijziging van Richtlijn 2002/58/EG (COM(2005) 438 definitief van 21.9.2005) (21 oktober 2005 - WP 113). Groep 29, Werkdocument over een gemeenschappelijke interpretatie van artikel 26, lid 1, van Richtlijn 95/46/EG van 24 oktober 1995 (25 november 2005 - WP 114). 2006 Groep 29, Advies 1/2006 over de toepassing van de EU-gegevensbeschermingsregels op interne klokkenluidersregelingen in de sfeer van boekhouding, interne boekhoudcontrole, auditing en bestrijding van omkoping en van bancaire en financiële criminaliteit (1 februari 2006 - WP 117). Groep 29, Advies 3/2006 inzake Richtlijn 2006/24/EG van het Europees Parlement en de Raad betreffende de bewaring van gegevens die worden gegenereerd of verwerkt in verband met het aanbieden van openbare elektronische communicatiediensten of van openbare communicatienetwerken en tot wijziging van Richtlijn 2002/58/EG (25 maart 2006 - WP 119). Groep 29, Advies 4/2006 inzake de Notice of proposed rule making van het Department of Health and Human Services van de Verenigde Staten inzake de bestrijding van overdraagbare ziekten en het verzamelen van passagiersgegevens van 20 november 2005 (Control of Communicable Disease Proposed 42 CFR Parts 70 and 71) (14 juni 2006 - WP 121). Groep 29, Advies 5/2006 over het arrest van het Europees Hof van Justitie van 30 mei 2006 in de gevoegde zaken C-317/ 04 en C-318/04 betreffende de overdracht van 'Passenger Name Records' aan de Verenigde Staten (14 juni 2006 - WP 122). Groep 29, Advies 7/2006 over het arrest van het Europees Hof van Justitie van 30 mei 2006 in de gevoegde zaken C-317/ 04 en C-318/04 betreffende de doorgifte van passagiersgegevens aan de Verenigde Staten en de urgente noodzaak van een nieuwe overeenkomst (27 september 2006 - WP 124). Groep 29, Werkdocument betreffende de gevolgen van het eCall-initiatief vanuit het oogpunt van bescherming van gegevens en van de persoonlijke levenssfeer (26 september 2006 - WP 125). Groep 29, Advies 10/2006 over de verwerking van persoonsgegevens door de Society for Worldwide Interbank Financial Telecommunication (SWIFT) (22 november 2006 - WP 128). 2007 Groep 29, Resolutie van de Werkgroep artikel 29 op de 1ste Europese dag van de gegevensbescherming (24 januari 2007 WP 130). Groep 29, Werkdocument inzake de verwerking van persoonsgegevens betreffende gezondheid in elektronische medische dossiers (EMD) (15 februari 2007 - WP 131). Groep 29, Advies 2/2007 inzake informatieverstrekking aan passagiers over de doorgifte van PNR-gegevens aan de Amerikaanse overheid (15 februari 2007 - WP 132).
252
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
Index Wet 8 december 1992 (Index)
Groep 29, Aanbeveling 1/2007 over de standaardprocedure voor goedkeuring van bindende ondernemingsregels voor de doorgifte van persoonsgegevens (10 januari 2007 - WP 133). Groep 29, Herziene en bijgewerkte beleid ter bevordering van de transparantie van de activiteiten van de Werkgroep opgericht bij artikel 29 van de richtlijn 95/46/EG (15 februari 2007 - WP 135). Groep 29, Advies 4/2007 over het begrip persoonsgegeven (20 juni WP 136). Groep 29, Report 1/2007 on the first joint enforcement action: evaluation and future steps (20 juni 2007 - WP 137). Groep 29, Advies 5/2007 over de follow-upovereenkomst tussen de Europese Unie en de Verenigde Staten van Amerika inzake de verwerking en overdracht van persoonsgegevens van passagiers (PNR-gegevens) door luchtvaartmaatschappijen aan het ministerie van Binnenlandse veiligheid van de Verenigde Staten van Amerika, gesloten in juli 2007 (17 augustus 2007 - WP 138). Groep 29, Opinion 6/2007 on data protection issues related to the Consumer Protection Cooperation System (CPCS) (20 september 2007 - WP 139). Groep 29, Advies 7/2007 over kwesties inzake gegevensbescherming in verband met het informatiesysteem interne markt (IIM) (WP 140 – 21 september 2007). Groep 29, Advies 8/2007 over het niveau van de persoonsgegevensbescherming op Jersey (9 oktober 2007, WP 141). Groep 29, Advies 9/2007 over het niveau van de persoonsgegevensbescherming op de Faröer (9 oktober 2007, WP 142). Groep 29, Advies 10/2007 over de 8e Richtlijn betreffende de wettelijke controles (13 november 2007, WP 143). Groep 29, Resolution on the 2nd European Data Protection Day, (5 december 2007, WP 144). Groep 29, Gezamenlijk advies met de Working Party on Police and Justice (WPPJ) over het voorstel voor een kaderbesluit van de Raad over het gebruik van persoonsgegevens van passagiers (PNR-gegevens) voor wetshandhavingsdoeleinden, ingediend door de Commissie op 6 november 2007 (5 december 2007, WP 145).
2008 Groep 29, Working Document 1/2008 on the protection of children's personal data (General guidelines and the special case of schools), (18 februari 2008, WP 147). Groep 29, Advies 1/2008 over gegevensbescherming en zoekmachines (4 april 2008, WP 148). Groep 29, Advies 2/2008 over de herziening van Richtlijn 2002/58/EG betreffende privacy en elektronische communicatie (e-Privacyrichtlijn), (15 mei 2008, WP 150). Groep 29, Avis Advies 2/2007 inzake informatieverstrekking aan passagiers over de doorgifte van PNR-gegevens aan de Amerikaanse overheid (goedgekeurd op 15 februari 2007 en herzien en geactualiseerd op 24 juni 2008, WP 151). Groep 29, Working Document setting up a table with the elements and principles to be found in Binding Corporate Rules (24 juni 2008, WP 153). Groep 29, Working Document Setting up a framework for the structure of Binding Corporate Rules (24 juni 2008, WP 154). Groep 29, Working Document on Frequently Asked Questions (FAQs) related to Binding Corporate Rules (goedgekeurd op 24 juni 2008 en herzien op 8 april 2009, WP 155). Groep 29, Advies 3/2008 over het ontwerp voor een internationale standaard inzake de bescherming van de persoonlijke levenssfeer in het kader van de wereldantidopingcode (1 augustus 2008, WP 156). 2009 Groep 29, Working Document 1/2009 on pre-trial discovery for cross border civil litigation (11 februari 2009, WP 158). Groep 29, Opinion 1/2009 on the proposals amending Directive 2002/58/EC on privacy and electronic communications (e-Privacy Directive), (10 februari 2009, WP 159). Groep 29, Advies 2/2009 over de bescherming van persoonsgegevens van kinderen (Algemene richtlijnen en het bijzondere geval van scholen), (11 februari 2009, WP 160). Groep 29, Advies 3/2009 over de ontwerpbeschikking van de Commissie inzake modelcontractbepalingen voor de doorgifte van persoonsgegevens naar in derde landen gevestigde verwerkers krachtens Richtlijn 95/46/EG (van de voor de gegevensverwerking verantwoordelijke naar de verwerker), (5 maart 2009, WP 161). Groep 29, Tweede advies 4/2009 over de Internationale Standaard van het Wereldantidopingagentschap (WADA) voor de bescherming van de persoonlijke levenssfeer en persoonsgegevens, aanverwante bepalingen van de WADA-code en andere privacyvraagstukken in de context van de bestrijding van doping in de sport door het WADA en (nationale) antidopingorganisaties (6 februari 2009, WP 162). Groep 29, Advies 6/2009 over het beschermingsniveau van persoonsgegevens in Israël (1 december 2009, WP 165). Groep 29, Advies 7/2009 over het niveau van bescherming van persoonsgegevens in het Vorstendom Andorra (1 december 2009, WP 166). 2010 Groep 29, Advies 1/2010 over de begrippen "voor de verwerking verantwoordelijke" en verwerker" (16 februari 2010, WP 169) Groep 29, Advies 2/2010 over online reclame op basis van surfgedrag (‘behavioural advertising’) (WP 171 – 22 juni 2010). Groep 29, Advies 3/2010 over het verantwoordingsbeginsel (WP 173 – 13 juli 2010). Groep 29, Advies 4/2010 over de Europese gedragscode van FEDMA voor het gebruik van persoonsgegevens in het kader van direct marketing (WP 174 – 13 juli 2010). Groep 29, Advies 5/2010 betreffende het voorstel van de industrie voor een effectbeoordelingskader wat betreft de bescherming van de persoonlijke levenssfeer en persoonsgegevens bij RFID-toepassingen (WP 175 – 13 juli 2010).
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
253
Index Wet 8 december 1992 (Index)
Groep 29, FAQs in order to address some issues raised by the entry into force of the EU Commission Decision 2010/87/EU of 5 February 2010 on standard contractual clauses for the transfer of personal data to processors established in third countries under Directive 95/46/EC (12 juli 2010, WP 176) Groep 29, Advies 6/2010 over de mate van bescherming van persoonsgegevens in de Republiek ten oosten van de Uruguay (WP177 – 12 oktober 2010) Groep 29, Advies 7/2010 betreffende de mededeling van de Europese Commissie over de algemene aanpak van de doorgifte van passagiersgegevens (Passenger Name Record - PNR) aan derde landen (WP 178 – 12 november 2010). Groupe 29, Opinion 8/2010 on applicable law (WP 179 – 16 december 2010)
4. Studies en verslagen van de Raad van Europa Raad van Europa, Data protection and media (1990). Raad van Europa, The introduction and use of personal identification numbers: the data protection issues (1991). Raad van Europa, Model contract to ensure equivalent protection in the context of transborder data flows with explanatory report (1992). Raad van Europa, Revisiting Sensitive Data (1999), by Mr. Spiros SIMITIS. Raad van Europa, Protection of personal data with regard to surveillance (2000) and Guiding principles for the protection of individuals with regard to the collection and processing of data by means of video surveillance, by Mr. Giovanni BUTTARELLI. Raad van Europa, Report on the Impact of Data Protection Principles on Judicial Data in Criminal Matters including in the framework of Judicial Co-operation in Criminal Matters (2002). Raad van Europa, Guide to the preparation of contractual clauses governing data protection during the transfer of personal data to third parties not bound by an adequate level of data protection (2002). Raad van Europa, Third evaluation of Recommendation N° R (87) 15 regulating the use of personal data in the police sector (2002). Raad van Europa, Report containing guiding principles for the protection of individuals with regard to the collection and processing of data by means of video surveillance (2003). Raad van Europa, Progress report on the application of the principles of Convention 108 to the collection and processing of biometric data (2005). Raad van Europa, Oinion of the T-PD on the interpretation of the concepts of automatic processing and controller of the file in the context of worldwide telecommunications networks (march 2007). Raad van Europa, Paper outlining the T-PD's initial remarks concerning a proposal for a Council framework decision on the protection of personal data processed in the framework of police and judicial co-operation in criminal matters (march 2007). Raad van Europa, Application of Convention 108 to the profiling mechanism: Some ideas for the future work of the consultative committee (T-PD), By Jean-Marc Dinant, Christophe Lazaro, Yves Poullet,Nathalie Lefever , Antoinette Rouvroy (2008). Opmerking : Het Raadgevend Comité van het Verdrag tot bescherming van personen met betrekking tot de geautomatiseerde verwerking van persoonsgegevens (Verdrag 108) onderzocht of de bestaande sectorale aanbevelingen (reeds 20 jaar zijn verstreken sedert de goedkeuring ervan) vandaag nog volstaan om de bescherming van persoonsgegevens te kunnen garanderen, vooral gelet op de technologische ontwikkelingen. Zie hiervoor ook 3 recente studies: G. Buttarelli, Onderzoek van de aanbeveling nr. R(89)2 over de bescherming van persoonsgegevens die gebruikt werden voor arbeidsdoeleinden en voorstellen tot herziening van de hier vermelde aanbeveling, versie van december 2010. J.A. Cannataci, Study on Recommendation No. R(87)15 of 17 September 1987 regulating the use of personal data in the police sector “Data protection Vision 2020: Options for improving European policy and legislation during 2010-2020” (november 2010). J-M. Dinant, verslag over de lacunes in het Verdrag 108 tot bescherming van de personen met betrekking tot de geautomatiseerde verwerking van persoonsgegevens ten aanzien van de technologische evolutie (Deel I) (november 2010).
5. Rechtspraak van eerste aanleg van de Europese Gemeenschappen, Rechtspraak van het Hof van Justitie van de Europese Gemeenschappen Hof van Justitie van de Europese Gemeenschappen (HvJ EG), Arrest van 14 september 2000, The Queen v. Minister of Agriculture, Fisheries & Food, Zaak C-369/98. Hof van Justitie van de Europese Gemeenschappen (HvJ EG), Arrest van 20 mei 2003, Rechnungshof t. Osterreichischer Rundfunk en andere, gevoegde zaken C-465/00, C-138/01 en C-139/01. Hof van Justitie van de Europese Gemeenschappen (HvJ EG), Arrest van 6 november 2003, Bodil Linqvist (prejudiciële vragen), - Zaak C-101/01. Hof van Justitie van de Europese Gemeenschappen (HvJ EG), Arrest van 30 mei 2006, Europees Parlement t. Raad van de Europese Unie en Commissie van de Europese Gemeenschappen, gevoegde zaken C-317/04 en C-318/04 (Arrest PNR). Het gerecht van eerste aanleg van de Europese Gemeenschappen (Tweede kamer), arrest van 12 december 2006, Organisatie van Volksmujahedeen van Iran t. Raad van de Europese Unie, zaak T-228:02 HvJ EG, arrest van 7 mei 2009 (verzoek om een prejudiciële beslissing ingediend door de Raad van State (Nederland) - College van burgemeester en wethouders van Rotterdam tegen M. E. E. Rijkeboer, In zaak C 553/07, HvJ EG , beschikking van het Hof van 19 februari 2009, LSG-Gesellschaft zur Wahrnehmung von Leistungsschutzrechten GmbH tegen Tele2 Telecommunication GmbH, In zaak C 557/07. HvJ EG, arrest van 16 december 2008, Tietosuojavaltuutettu tegen Satakunnan Markkinapörssi Oy en Satamedia Oy, In zaak C-73/07. HvJ EG, Arrest van 16 december 2008, Heinz Huber tegen Bundesrepublik Deutschland, In zaak C-524/06.
254
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
Index Wet 8 december 1992 (Index)
HvJ EG, arrest van 29 januari 2008, Productores de Música de España (Promusicae) tegen Telefónica de España SAU, In zaak C-275/06. Europese Hof van Justitie, arrest van 29 juni 2010, 2010, Europese Commissie tegen The Bavarian Lager Co. Ltd, In zaak C-28/08 P. Europese Hof van Justitie, arrest van 9 maart 2010, Europese Commissie tegen de Bondsrepubliek Duitsland, In zaak C-518/07.
6. Rechtspraak van het Europees Hof voor de Rechten van de Mens Zie http://www.echr.coe.int/echr Klass en anderen t. Duitsland van 6 september 1978, serie A, nr. 28 (geen schending van het Verdrag). Wet die de geheime diensten machtigt om in het geheim toezicht te houden op de communicaties per post of telefoon. Malone t. Verenigd Koninkrijk van 2 augustus 1984, serie A, nr. 82 (schending van artikel 8 van het Verdrag). Het onderscheppen van communicaties per post of per telefoon; leveren van inlichtingen verkregen via de "telling" van telefoons. Leander t. Zweden van 26 maart 1987, serie A, nr. 116 (schending van de artikelen 8, 10 en 13 van het Verdrag). Gebruikmaking van inlichtingen bewaard in een register van de geheime politie voor het onderzoek naar de geschiktheid van een persoon voor een functie die van belang is voor de nationale veiligheid. Gaskin t. Verenigd Koninkrijk van 7 juli 1989, serie A, nr. 160 (schending van artikel 8 van het Verdrag). Weigering om volledige inzake te verlenen in de persoonlijke dossiers bijgehouden door de sociale diensten aan een voorheen steuntrekkende persoon. Kruslin t. Frankrijk van 24 april 1990, serie A, nr. 176-A, en Huvig t. Frankrijk van 24 april 1990, serie A, nr. 176-B (schending van artikel 8 van het Verdrag). Het afluisteren van telefoongesprekken door een officier van de gerechtelijke politie per rogatoire commissie van een onderzoeksrechter. B. t. Frankrijk van 25 maart 1992, verzoek nr. 13343/87 (schending van artikel 8 van het Verdrag). Inperking van het briefgeheim. Weigering om de burgerlijke staat van een persoon te corrigeren ten gevolge van zijn geslachtsverandering. Lüdi t. Zwitserland van 15 juni 1992, serie A, nr. 238 (geen schending van het Verdrag). Het inzetten van afluisterapparatuur en gebruikmaking van een infiltrant. Niemietz t. Duitsland van 16 december 1992, serie A, nr. 251-B (schending van artikel 8 van het Verdrag). Huiszoeking in het kabinet van een advocaat in het kader van strafrechtelijke vervolging tegen een derde. Funke t. Frankrijk van 25 februari 1993, serie A, nr. 256-A, Crémieux t. Frankrijk van 25 februari 1993, serie A, nr. 256-B, en Miailhe t. Frankrijk van 25 februari 1993, serie A, nr. 256-C (schending van artikel 8 van het Verdrag). Huisbezoeken en inbeslagnames uitgevoerd door de douane. Hoffmann t. Oostenrijk van 23 juni 1993, serie A, nr. 255-C (schending van de artikelen 8 en 14 van het Verdrag). weigering van hoederrecht aan de moeder na de scheiding omwille van het feit dat ze behoort tot de getuigen van Jehova. A. t. Frankrijk van 23 november 1993, serie A, nr. 277-B (schending van artikel 8 van het Verdrag). Clandestiene opname van een telefoongesprek door een particulier met medewerking van een hoge politiefunctionaris. Murray t. Verenigd Koninkrijk van 28 oktober 1994, serie A, nr. 300-A (geen schending van het Verdrag). Betreffende een persoon verdacht van terrorisme, binnendringen en huiszoeking in zijn woonst met het oog op zijn arrestatie; inbewaringstelling van zijn persoonlijke gegevens en foto's zonder zijn toestemming. Z. t. Finland van 25 februari 1997, de gebundelde arresten en vonnissen 1997-1 (Artikel 8 van het Verdrag). Inbeslagname van medische bestanden en bijvoeging ervan aan het onderzoeksdossier zonder voorafgaande toestemming van de patiënt gedurende de strafrechtelijke vervolging; beperking van de vertrouwelijkheidstermijn voor de bedoelde medische gegevens; bekendmaking van de identiteit en de seroposiviteit van de betrokkene is een arrest dat tijdens de procedure werd geveld. Halford t. Verenigd Koninkrijk van 25 juni 1997, de gebundelde arresten en vonnissen, 1997-III (schending van de artikelen 8 en 13 van het Verdrag). Afluisteren van telefoongesprekken via een intern telecommunicatiesysteem van de politie en via een openbaar netwerk; ontbreken van reglementering in het nationaal recht. Anne-Marie Andersson t. Zweden van 27 augustus 1997, de gebundelde arresten en vonnissen 1997 - IV (geen schending van het Verdrag). Onmogelijkheid voor een patiënte om een maatregel voor de rechtbank aan te vechten zonder voorafgaande doorgifte van haar persoonlijke, medische en vertrouwelijke gegevens door de medische autoriteit aan een sociale dienst. M.S. t. Zweden van 27 augustus 1997, de gebundelde arresten en vonnissen 1997 - IV, (geen schending van het Verdrag). Mededeling van medische, vertrouwelijke, persoonlijke gegevens van een patiënte aan door een openbare overheid aan een andere openbare overheid zonder haar toestemming en de onmogelijkheid voor de betrokken om dit voordat de maatregel is genomen aan te vechten bij de rechtbank. Kopp t. Zwitserland van 25 maart 1998. de gebundelde arresten en vonnissen 1998-II (schending van artikel 8 van het Verdrag). Het afluisteren van de telefoonlijnen van een advocatenkabinet in opdracht van de procureur-generaal van de confederatie. Valenzuela Contreras t. Spanje van 30 juli 1998; de gebundelde arresten- en vonnissenboek 1998-V (schending van artikel 8 van het Verdrag). Afluisteren van een privételefoonlijn in het kader van een strafrechtelijke procedure tegen de houder ervan. Lambert t. Frankrijk van 24 augustus 1998, de gebundelde arresten en vonnissen 1998-V (schending van artikel 8 van het Verdrag). Arrest van het Hof van Cassatie dat aan een persoon elke bevoegdheid weigert kritiek te uiten over het feit dat zijn telefoongesprekken werden afgeluisterd met het motief dat het afluisteren gebeurde op de lijn van een derde. Fressoz en Roire t. Frankrijk van 21 januari 1999, de gebundelde arresten en vonnissen 1999-I (schending van het artikel 10 van het Verdrag). Veroordeling voor geheimhouding van fotokopies van fiscale documenten (belastingbrief), als gevolg van een publicatie van een gedetailleerd artikel over de salarisevolutie van de voorzitter van een autobedrijf in het satirisch weekblad "le Canard". Lustig-Prean en Beckett t. Verenigd Koninkrijk van 27 september 1999, verzoeken nr.; 31417/96 en 32377/96 en Smith en Grady t. Verenigd Koninkrijk van 27 september 1999, verzoeken nr. 33985/96 en 33986/96 (schending van artikel 8 van het Verdrag). Het uitsluiten van homoseksuelen van het leger na een onderzoek naar het privéleven (in het bijzonder naar hun seksuele geaardheid).
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
255
Index Wet 8 december 1992 (Index)
Salgueiro da Silva Mouta t. Portugal van 21 december 1999, verzoek 33290/96 (schending van de artikelen 8 tot 14 van het Verdrag). Weigering om het hoederecht toe te kennen aan een vader omwille van het feit dat hij homoseksueel en samenleeft met een man. Amann t. Zwitserland van 16 februari 2000, verzoek nr. 27798/95 (schending van de artikel 8 van het Verdrag). Opname van een telefoongesprek, maken van een bestand waarin gegevens worden opgeslagen door het openbaar ministerie. Rotaru t. Roemenië van 4 mei 2000, verzoek nr. 28341/95 (schending van de artikelen 8 en 13 van het Verdrag). Het bewaren en gebruiken van persoonsgegevens en de onmogelijkheid om de exactheid ervan te bewijzen. Khan t. Verenigd Koninkrijk van 12 mei 2001, verzoek nr. 35394/97 (schending van artikel 8 van het Verdrag). Het ontbreken van een wettelijke basis voor het afluisteren van een gesprek met behulp van een afluisterapparaat dat werd geïnstalleerd in een privéwoning. P.G. en J.H. t. Verenigd Koninkrijk van 25 september 2001, verzoek nr. 4487/98 (schending van de artikelen 8 en 13 van het Verdrag). Het ontbreken van een wettelijke basis voor de installatie van een afluisterapparaat in een privéwoning en voor het gebruik van verborgen afsluiterapparatuur op een politiekantoor om stemstalen te registreren; het verkrijgen van informatie door de politie over het privégebruik van de telefoon. Krone Verlag Gmbh & Cie KG t. Oostenrijk van 26 februari 2002, verzoek nr. 34315/96 (schending van artikel 10 van het Verdrag). Veroordeling van een firma als eisende partij voor het publiceren van foto's van een politicus. Mikulié t. Kroatië van 7 februari 2002, verzoek nr. 53176/99 (schending van artikel 8 van het Verdrag). Het belang van personen als eisende partij voor het bekomen van informatie die noodzakelijk is voor het ontdekken van een belangrijk aspect van hun identiteit: vaststelling van het vaderschap. Armstrong t. Verenigd Koninkrijk van 19maart 2002, verzoek nr. 48521/99 (schending van de artikelen 8 en 13 van het Verdrag). Veroordeling voor dealen van drugs, gebaseerd op bewijzen die werden bekomen tijden een geheime bewakingsoperatie die erin bestond gesprekken te observeren en te registreren op het thuisadres. Christine Goodwin t. Verenigd Koninkrijk van 11 juli 2002, verzoek nr. 28957/95 (schending van de artikelen 8 en 12 van het Verdrag). Erkenning van een geslachtsverandering door een werkgever en de sociale diensten. M.G. t. Groot-Britannië van 24 september 2002, verzoek nr. 39393/98 (schending van artikel 8 van het Verdrag). De verzoeker vroeg toegang tot zijn dossiers die door de sociale diensten worden bijgehouden. Taylor-Sabori t. Verenigd Koninkrijk van 22 oktober 2002, verzoek nr. 47114/99 (schending van de artikelen 8 en 13 van het Verdrag). Onderscheppen door de politie van de berichten die geregistreerd stonden op de beeper van de verzoeker en het gebruik ervan op zijn proces. Allan t. Verenigd Koninkrijk van 5 november 2002, verzoek nr. 48539/99 (schending van de artikelen 6, 8 en 13 van het Verdrag). Het toepassen van geheime bewaking via audiovisuele middelen in een cel en in de bezoekruimte van de gevangenis. A. t. Verenigd Koninkrijk van 17 december 2002, verzoek nr. 35373/97 (geen schending van het Verdrag). Persoonlijke informatie verstrekt door en kwetsende opmerkingen geuit door een gedeputeerde die vervolgens werden gepubliceerd in de lokale en nationale kranten. Peck t. Verenigd Koninkrijk van 17 juli 2003, verzoek nr. 63737/00 (schending van het artikel 8 van het Verdrag). Het recht van eenieder op eerbiediging van zijn privéleven. Odièvre t. Frankrijk van 13 februari 2003, verzoek nr. 42326/98. Anonieme bevalling en de onmogelijkheid voor de verzoeker zijn afkomst te kennen. Perry t. Verenigd Koninkrijk van 17 juli 2003, verzoek nr. 63737/00 (schending van artikel 8 van het Verdrag). Cameraregistratie door de politie voor identificatie- en vervolgingsdoeleinden. Sciacca t. Italië van 11 januari 2005, verzoek nr. 50774/99. De verzoeker beweert dat het verspreiden van zijn foto ter gelegenheid van een persconferentie die werd georganiseerd door het politieparket en financiële politie zijn recht op eerbiediging van zijn privéleven werd geschonden. Hij roep artikel 8 in (recht op eerbiediging van het privéleven) van het Verdrag. Matheron t. Frankrijk van 29 maart 2005, verzoek nr. 57752/00. De verzoeker roept artikel 8 in (recht op eerbiediging van het privéleven) van het Verdrag voor de toevoeging in zijn dossier van een kopie van afgeluisterde telefoongesprekken die gebeurden in het kader van een procedure waar hij geen deel van uitmaakte en waarvan hij de regelmatigheid niet heeft kunnen betwisten. Vetter t. Frankrijk van 31 mei 2005, verzoek nr. 5984/00. Dient klacht in onder artikel 8 (recht op eerbiediging van het privéleven) en artikel 6 § 1 (recht op een rechtvaardig proces). Antunes Rocha t. Portugal van 31 mei 2005, verzoek nr. 64330/01. Dient klacht in onder artikel 6 §1 (recht op een rechtvaardig proces) en artikel 8 (recht op eerbiediging van het privé- en het gezinsleven). Von Hannover t. Duitsland van 28 juli 2005, verzoek nr. 59320/00. Het publiceren van foto's van een openbare persoonlijkheid genomen zonder zijn medeweten. Wisse t. Frankrijk van 20 december 2005, verzoek nr. 71611/01. Onder het inroepen van artikel 8 van het Verdrag (recht op eerbiediging van het gezins- en privéleven), beweren de verzoekers dat de registratie van hun gesprekken in de bezoekersruimte van de gevangenis een schending is van hun recht op een gezins- en privéleven. Turek t. Slovakije van 14 februari 2006, verzoek nr. 57986/00. De verzoeker klaagt erover dat hij is geregistreerd als medewerker van het vroeger Tsjecho-Slowaaks communistisch veiligheidsbureau, over de uitgifte van een veiligheidsbevoegdheid en het feit dat zijn actie om zijn inschrijving als medewerker in vraag te stellen werd afgewezen. Hij roep de artikelen 8 (recht op eerbiediging van het gezins- en privéleven) en 6 § 1 (recht op een rechtvaardig proces) in. Segerstedt-Wiberg en anderen t. Zweden van 6 juni 2006, verzoek nr. 62332/00. Het bewaren van bepaalde informatie over de verzoekers en weigering om ze te informeren over deze inlichtingen. Petre t. Roemenië van 27 juni 2006, verzoek nr. 71649/01 (schending van artikel 6 § 1 van het Verdrag). Voorlopige inschrijving in het strafregister. Verzoek om schrapping van de gegevens. De verzoeker beklaagt zich over de invloed ervan op zijn privé- en beroepsleven.
256
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
Index Wet 8 december 1992 (Index)
Gabrielle Weber en Cesar Richard Saravia t. Duitsland van 29 juni 2006, verzoek nr. 54934/00. Provisies op de wet voor de criminaliteitsbestrijding die inbreuk maken op het recht van de verzoekers op eerbiediging van hun privéleven en briefgeheim. Panteleyenko t. Oekraïne van 29 juni 2006, nr. 11907/02. Het bekendmaken van vertrouwelijke informatie over de mentale en psychiatrische toestand van de verzoeker tijdens een zitting op de rechtbank. Jaggi t. Switserland van 13 juli 2006. L.L. t. Frankrijk van 10 oktober 2006, nr. 7508/02 (schending van artikel 8). Niet-naleving van het medisch geheim. Bekendmaken door het Franse Hof van Beroep van persoonlijke, medische gegevens over de verzoeker. Copland t. Verenigd Koninkrijk van 3 april 2007, verzoek nr. 62617/00. Artikel 8 van het Verdrag - e-mails. Association for European integration and human rights ans Ekimdzhiev t. Bulgarije van 28 juni 2007. I. t. Finland, van 17 april 2008. 2008 (verzoek n.r20511/03): gezondheidsgegevens - toegang tot het medische dossier veiligheidsmaatregelen. Cemalettin Canli t. Turkije, van 18 november 2008. (verzoek nr. 22427/04): strafprocedure - bewaren van gegevens - publicatie in de pers). K.U. t. Finland, van 2 december 2008 (verzoek nr. 2872/02): publicatie op het internet - onderzoek naar de identiteit van de auteur van de publicatie). S. en Marper t. Verenigd Koninkrijk, van 4 december 2008 (verzoek nr. 30562/04 en 30566/04): bewaren van digitale vingerafdrukken, DNA-stalen - minderjarigheid - vrijspraak). Dubus t. Frankrijk van 11 juni 2009 (verzoek nr. 5241/04) - functionele onafhankelijkheid van de controle autoriteit. Bouchacourt t. Frankrijk van 17 december 2009 (verzoek nr. 5335/06). Gillberg t. Zweden van arrest van 2 november 2010 (verzoek nr. 41723/06) - wetenschappelijk onderzoek. Wasmuth t. Duitsland van 17 februari 2011 (verzoek nr. 12884/03) - gerechtelijke gegevens.
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
257
Bijlagen Wet 8 december 1992 - WVP (Art. 3)
BIJLAGEN Wet 8 december 1992 – Bescherming persoonlijke levenssfeer, persoonsgegevens (WVP) Huish. Regl. 11 april 2007 – Commissie voor de bescherming van de persoonlijke levenssfeer - Huishoudelijk reglement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . K.B. 13 februari 2001 – Bescherming persoonlijke levenssfeer, persoonsgegevens, uitvoering wet 8 december 1992 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
259 276 282
Wet 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (B.S., 18 maart 1993) HOOFDSTUK I
BEGRIPSOMSCHRIJVINGEN, BEGINSELEN EN WERKINGSSFEER Art. 1. }1[§ 1. Voor de toepassing van deze wet wordt onder «persoonsgegevens» iedere informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon verstaan, hierna «betrokkene» genoemd; als identificeerbaar wordt beschouwd een persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificatienummer of van één of meer specifieke elementen die kenmerkend zijn voor zijn of haar fysieke, fysiologische, psychische, economische, culturele of sociale identiteit. § 2. Onder «verwerking» wordt verstaan elke bewerking of elk geheel van bewerkingen met betrekking tot persoonsgegevens, al dan niet uitgevoerd met behulp van geautomatiseerde procédés, zoals het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op enigerlei andere wijze ter beschikking stellen, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van persoonsgegevens. § 3. Onder «bestand» wordt verstaan elk gestructureerd geheel van persoonsgegevens die volgens bepaalde criteria toegankelijk zijn, ongeacht of dit geheel gecentraliseerd dan wel gedecentraliseerd is of verspreid op een functioneel of geografisch bepaalde wijze. § 4. Onder «verantwoordelijke voor de verwerking» wordt de natuurlijke persoon of de rechtspersoon, de feitelijke vereniging of het openbaar bestuur verstaan die alleen of samen met anderen het doel en de middelen voor de verwerking van persoonsgegevens bepaalt. Indien het doel en de middelen voor de verwerking door of krachtens een wet, een decreet of een ordonnantie zijn bepaald, is de verantwoordelijke voor de verwerking de natuurlijke persoon, de rechtspersoon, de feitelijke vereniging of het openbaar bestuur die door of krachtens de wet, het decreet of de ordonnantie als de voor de verwerking verantwoordelijke wordt aangewezen. § 5. Onder «verwerker» wordt de natuurlijke persoon, de rechtspersoon, de feitelijke vereniging of het openbaar bestuur verstaan die ten behoeve van de voor de verwerking verantwoordelijke persoonsgegevens verwerkt, met uitsluiting van de personen die onder rechtstreeks gezag van de verantwoordelijke voor de verwerking gemachtigd zijn om de gegevens te verwerken.
§ 6. Onder «derde» wordt de natuurlijke persoon, de rechtspersoon, de feitelijke vereniging of het openbaar bestuur verstaan, niet zijnde de betrokkene, noch de verantwoordelijke voor de verwerking, noch de verwerker, noch de personen die onder rechtstreeks gezag van de verantwoordelijke of de verwerker gemachtigd zijn om de gegevens te verwerken. § 7. Onder «ontvanger» wordt de natuurlijke persoon, de rechtspersoon, de feitelijke vereniging of het openbaar bestuur verstaan, aan wie de gegevens worden meegedeeld, ongeacht of het al dan niet een derde betreft; administratieve of gerechtelijke instanties aan wie gegevens kunnen worden meegedeeld in het kader van een bijzondere onderzoeksprocedure worden evenwel niet beschouwd als ontvangers. § 8. Onder «toestemming van de betrokkene», wordt elke vrije, specifieke en op informatie berustende wilsuiting verstaan, waarmee de betrokkene of zijn wettelijke vertegenwoordiger aanvaardt dat persoonsgegevens betreffende de betrokkene worden verwerkt.]1 }1. – Vervangen bij art. 2 wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001) }1
Art. 2. [Iedere natuurlijke persoon heeft in verband
met de verwerking van persoonsgegevens die op hem betrekking hebben, recht op bescherming van zijn fundamentele rechten en vrijheden, inzonderheid op bescherming van zijn persoonlijke levenssfeer.]1 }1. – Vervangen bij art. 3 wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001) Art. 3. }1[§ 1. Deze wet is van toepassing op elke geheel
of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, alsmede op elke niet-geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen. § 2. Deze wet is niet van toepassing op de verwerking van persoonsgegevens die door een natuurlijk persoon in activiteiten met uitsluitend persoonlijke of huishoudelijke doeleinden wordt verricht. § 3. a) De artikelen 6, 7 en 8 zijn niet van toepassing op verwerkingen van persoonsgegevens voor uitsluitend journalistieke, artistieke of literaire doeleinden wanneer de verwerking betrekking heeft op persoons-
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
259
Bijlagen Wet 8 december 1992 - WVP (Art. 3)
gegevens die kennelijk publiek zijn gemaakt door de betrokken persoon of die in nauw verband staan met het publiek karakter van de betrokken persoon of van het feit waarin die persoon betrokken is. b) Artikel 9, § 1, is niet van toepassing op verwerkingen van persoonsgegevens voor uitsluitend journalistieke, artistieke of literaire doeleinden wanneer de toepassing ervan de verzameling van gegevens bij de betrokken persoon in het gedrang zou brengen. Artikel 9, § 2, is niet van toepassing op verwerkingen van persoonsgegevens voor uitsluitend journalistieke, artistieke of literaire doeleinden wanneer de toepassing ervan tot één of meer van de volgende gevolgen zou leiden: – door de toepassing wordt de verzameling van gegevens in het gedrang gebracht; – door de toepassing wordt een voorgenomen publicatie in het gedrang gebracht; – de toepassing zou aanwijzingen verschaffen over de bronnen van informatie. c) De artikelen 10 en 12 zijn niet van toepassing op verwerkingen van persoonsgegevens voor uitsluitend journalistieke, artistieke of literaire doeleinden in de mate dat de toepassing ervan een voorgenomen publicatie in het gedrang zou brengen of aanwijzingen zou verschaffen over de bronnen van informatie. d) De artikelen 17, § 3, 9° en 12°, § 4 en § 8, evenals de artikelen 18, 21 en 22 zijn niet van toepassing op verwerkingen van persoonsgegevens voor uitsluitend journalistieke, artistieke of literaire doeleinden. § 4. De artikelen 6 tot 10, 12, 14, 15, 17, 17bis, eerste lid, 18, 20 en 31, §§ 1 tot 3, zijn niet van toepassing op de verwerkingen van persoonsgegevens door de Veiligheid van de Staat, door de Algemene Dienst inlichting en veiligheid van de Krijgsmacht, door }2[de overheden bedoeld in de artikelen 15, 22ter en 22quinquies van de wet van 11 december 1998 betreffende de classificatie en de veiligheidsmachtigingen, veiligheidsattesten en veiligheidsadviezen en het beroepsorgaan opgericht bij wet van 11 december 1998 tot oprichting van een beroepsorgaan inzake veiligheidsmachtigingen, veiligheidsattesten en veiligheidsadviezen]2, door de veiligheidsofficieren en door het Vast Comité van Toezicht op de inlichtingendiensten en de Dienst Enquêtes ervan, }3 [en door het Coördinatieorgaan voor de dreiginganalyse]3 indien die verwerkingen noodzakelijk zijn voor de uitoefening van hun opdrachten. § 5. De artikelen 9, 10, § 1, en 12 zijn niet van toepassing: 1° op de verwerkingen van persoonsgegevens beheerd door openbare overheden met het oog op de uitoefening van hun opdrachten van gerechtelijke politie; 2° op de verwerkingen van persoonsgegevens beheerd door de politiediensten bedoeld in artikel 3 van de wet van 18 juli 1991 tot regeling van het toezicht op politie- en inlichtingendiensten, met het oog op de uitoefening van hun opdrachten van bestuurlijke politie; 3° op de verwerkingen van persoonsgegevens beheerd, met het oog op de uitoefening van hun opdrachten van bestuurlijke politie, door andere openbare overheden die aangewezen zijn bij een in ministerraad overlegd koninklijk besluit, na advies van de Commissie voor de bescherming van de persoonlijke levenssfeer;
260
4° op de verwerkingen van persoonsgegevens die noodzakelijk zijn geworden ten gevolge van de toepassing van de wet van 11 januari 1993 tot voorkoming van het gebruik van het financiële stelsel voor het witwassen van geld; 5° op de verwerking van persoonsgegevens beheerd door het Vast Comité van Toezicht op de politiediensten en de Dienst Enquêtes ervan met het oog op de uitoefening van hun wettelijke opdrachten. § 6. De artikelen 6, 8, 9, 10, § 1, en 12 zijn niet van toepassing na een machtiging door de Koning bij een in ministerraad overlegd besluit, op de verwerkingen beheerd door het Europees Centrum voor vermiste en seksueel uitgebuite kinderen, hierna genoemd «het Centrum», instelling van openbaar nut die is opgericht bij akte van 25 juni 1997 en erkend bij koninklijk besluit van 10 juli 1997 voor de ontvangst, de overzending aan de gerechtelijke overheid en de opvolging van gegevens betreffende personen die ervan verdacht worden in een bepaald dossier van vermissing of seksuele uitbuiting, een misdaad of wanbedrijf te hebben begaan. Dit besluit bepaalt de duur en de voorwaarden van de machtiging na advies van de Commissie voor de bescherming van de persoonlijke levenssfeer. Het Centrum kan geen bestand houden betreffende personen die ervan verdacht worden een misdaad of wanbedrijf te hebben begaan of van veroordeelde personen. De raad van beheer van het Centrum wijst onder de personeelsleden van het Centrum een aangestelde voor de gegevensverwerking aan die kennis heeft van het beheer en de bescherming van persoonsgegevens. De uitoefening van zijn taken mag voor de aangestelde geen nadelen ten gevolge hebben. Hij mag in het bijzonder, niet ontslagen of als aangestelde vervangen worden wegens de uitoefening van de taken die hem zijn toevertrouwd. De Koning bepaalt bij een in ministerraad overlegd besluit na advies van de Commissie voor de bescherming van de persoonlijke levenssfeer de taken van de aangestelde en de wijze waarop deze worden uitgevoerd, alsmede de wijze waarop het Centrum verslag dient uit te brengen aan de Commissie voor de bescherming van de persoonlijke levenssfeer over de verwerking van persoonsgegevens in het kader van de verleende machtiging. De personeelsleden en degenen die voor het Centrum persoonsgegevens verwerken, zijn tot geheimhouding verplicht. Elke schending van die geheimhoudingsplicht wordt gestraft overeenkomstig het bepaalde in artikel 458 van het Strafwetboek. In het raam van zijn ondersteunende taken inzake de opsporing van de als vermist of ontvoerd opgegeven kinderen, kan het Centrum alleen telefoongesprekken opnemen wanneer de oproeper hierover geïnformeerd wordt en voor zover hij zich daartegen niet heeft verzet.]1 }4 [§ 7. De artikelen 6 tot 10, § 1, en 12, zijn niet van toepassing op de verwerkingen beheerd door het Europees Centrum voor vermiste en seksueel uitgebuite kinderen, hierna genoemd «het Centrum», instelling van openbaar nut die is opgericht bij akte van 25 juni 1997 en erkend bij koninklijk besluit van 10 juli 1997, met het oog op het verrichten van de taken vastgesteld door of krachtens de overeenkomst inzake het profiel en de
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
Bijlagen Wet 8 december 1992 - WVP (Art. 5)
monitoring van de trajecten van de niet-begeleide minderjarige asielaanvragers gesloten tussen de Belgische Staat en het Centrum. Deze bepaling treedt in werking op 1 januari 2003 en verstrijkt op }5[31 december 2003]5.]4 }1. – Vervangen bij art. 4 wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001) }2. – § 4 gewijzigd bij art. 7 wet 3 mei 2005, B.S., 27 mei 2005, inwerkingtreding: 7 juni 2005 (art. 6 K.B. 3 juni 2005, B.S., 7 juni 2005) }3. – § 4 gewijzigd bij art. 15 wet 10 juli 2006, B.S., 20 juli 2006, inwerkingtreding: 1 december 2006 (art. 18) }4. – § 7 toegevoegd bij art. 29, zoals ingevoegd bij art. 479 Programmawet (I) 24 december 2002, B.S., 31 december 2002, err., B.S., 7 februari 2003 }5. – § 7, lid 2, gewijzigd bij art. 32 Programmawet 5 augustus 2003, B.S., 7 augustus 2003, err., B.S., 9 september 2003
}1
[Art. 3bis. Deze wet is van toepassing:
1° op de verwerking van persoonsgegevens die wordt verricht in het kader van de effectieve en daadwerkelijke activiteiten van een vaste vestiging van de verant-
woordelijke voor de verwerking op het Belgisch grondgebied of op een plaats waar de Belgische wet uit hoofde van het internationaal publiekrecht van toepassing is; 2° op de verwerking van persoonsgegevens door een verantwoordelijke die geen vaste vestiging op het grondgebied van de Europese Gemeenschap heeft, indien voor de verwerking van persoonsgegevens gebruik gemaakt wordt van al dan niet geautomatiseerde middelen die zich op het Belgisch grondgebied bevinden, andere dan degene die uitsluitend aangewend worden voor de doorvoer van de persoonsgegevens over het Belgisch grondgebied. In de in het vorige lid onder 2° bedoelde omstandigheden moet de verantwoordelijke voor de verwerking een op het Belgisch grondgebied gevestigde vertegenwoordiger aanwijzen, onverminderd rechtsvorderingen die tegen de verantwoordelijke zelf kunnen worden ingesteld.]1 }1. – Ingevoegd bij art. 5 wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001)
HOOFDSTUK II }1
[ALGEMENE VOORWAARDEN VOOR DE RECHTMATIGHEID VAN DE VERWERKING VAN PERSOONSGEGEVENS]1
}1. Opschrift vervangen bij art. 6 wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001)
Art. 4. }1[§ 1. Persoonsgegevens dienen: 1° eerlijk en rechtmatig te worden verwerkt; 2° voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden te worden verkregen en niet verder te worden verwerkt op een wijze die, rekening houdend met alle relevante factoren, met name met de redelijke verwachtingen van de betrokkene en met de toepasselijke wettelijke en reglementaire bepalingen, onverenigbaar is met die doeleinden. Onder de voorwaarden vastgesteld door de Koning na advies van de Commissie voor de bescherming van de persoonlijke levenssfeer, wordt verdere verwerking van de gegevens voor historische, statistische of wetenschappelijke doeleinden niet als onverenigbaar beschouwd; 3° toereikend, terzake dienend en niet overmatig te zijn, uitgaande van de doeleinden waarvoor zij worden verkregen of waarvoor zij verder worden verwerkt; 4° nauwkeurig te zijn en, zo nodig, te worden bijgewerkt; alle redelijke maatregelen dienen te worden getroffen om de gegevens die, uitgaande van de doeleinden waarvoor zij worden verkregen of waarvoor zij verder worden verwerkt, onnauwkeurig of onvolledig zijn, uit te wissen of te verbeteren; 5° in een vorm die het mogelijk maakt de betrokkenen te identificeren, niet langer te worden bewaard dan voor de verwezenlijking van de doeleinden waarvoor zij worden verkregen of verder worden verwerkt, noodzakelijk is. De Koning voorziet, na advies van de Commissie voor de bescherming van de persoonlijke levenssfeer, in passende waarborgen voor persoonsgegevens die, langer dan hiervoor bepaald, voor historische, statistische of wetenschappelijke doeleinden worden bewaard.
§ 2. Op de verantwoordelijke voor de verwerking rust de plicht om voor de naleving van het bepaalde in § 1 zorg te dragen.]1 }1. – Vervangen bij art. 7 wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001)
Art. 5. }1[Persoonsgegevens mogen slechts verwerkt worden in één van de volgende gevallen: a) wanneer de betrokkene daarvoor zijn ondubbelzinnige toestemming heeft verleend; b) wanneer de verwerking noodzakelijk is voor de uitvoering van een overeenkomst waarbij de betrokkene partij is of voor de uitvoering van maatregelen die aan het sluiten van die overeenkomst voorafgaan en die op verzoek van de betrokkene zijn genomen; c) wanneer de verwerking noodzakelijk is om een verplichting na te komen waaraan de verantwoordelijke voor de verwerking is onderworpen door of krachtens een wet, een decreet of een ordonnantie; d) wanneer de verwerking noodzakelijk is ter vrijwaring van een vitaal belang van de betrokkene; e) wanneer de verwerking noodzakelijk is voor de vervulling van een taak van openbaar belang of die deel uitmaakt van de uitoefening van het openbaar gezag, die is opgedragen aan de verantwoordelijke voor de verwerking of aan de derde aan wie de gegevens worden verstrekt; f) wanneer de verwerking noodzakelijk is voor de behartiging van het gerechtvaardigde belang van de verantwoordelijke voor de verwerking of van de derde aan wie de gegevens worden verstrekt, mits het belang of de fundamentele rechten en vrijheden van de betrokkene die aanspraak maakt op bescherming uit hoofde van deze wet, niet zwaarder doorwegen.
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
261
Bijlagen Wet 8 december 1992 - WVP (Art. 6)
De Koning kan, bij een in ministerraad overlegd besluit, na advies van de Commissie voor de bescherming van de persoonlijke levenssfeer, nader bepalen in welke gevallen de onder f) bedoelde voorwaarde niet geacht wordt te zijn vervuld.]1 }1. – Vervangen bij art. 8 wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001)
Art. 6. }1[§ 1. De verwerking van persoonsgegevens waaruit de raciale of etnische afkomst, de politieke opvattingen, de godsdienstige of levensbeschouwelijke overtuiging of het lidmaatschap van een vakvereniging blijken, alsook de verwerking van persoonsgegevens die het seksuele leven betreffen, is verboden. § 2. Het verbod om de in § 1 van dit artikel bedoelde persoonsgegevens te verwerken, is niet van toepassing in een van de volgende gevallen: a) wanneer de betrokkene schriftelijk heeft toegestemd in een dergelijke verwerking met dien verstande dat deze toestemming te allen tijde door de betrokkene kan worden ingetrokken; de Koning kan, bij een in ministerraad overlegd besluit na advies van de Commissie voor de bescherming van de persoonlijke levenssfeer, bepalen in welke gevallen het verbod om de in dit artikel bedoelde gegevens te verwerken niet door de schriftelijke toestemming van de betrokkene ongedaan kan worden gemaakt; b) wanneer de verwerking noodzakelijk is met het oog op de uitvoering van de specifieke verplichtingen en rechten van de verantwoordelijke voor de verwerking met betrekking tot het arbeidsrecht; c) wanneer de verwerking noodzakelijk is ter verdediging van de vitale belangen van de betrokkene of van een andere persoon indien de betrokkene fysiek of juridisch niet in staat is zijn instemming te getuigen; d) wanneer de verwerking wordt verricht door een stichting, een vereniging of enige andere instantie zonder winstoogmerk die op politiek, levensbeschouwelijk, godsdienstig, mutualistisch of vakbondsgebied werkzaam is, in het kader van haar gerechtvaardigde activiteiten, mits de verwerking uitsluitend betrekking heeft op de leden van de stichting, de vereniging of de instantie of op de personen die in verband met haar streefdoelen regelmatige contacten met haar onderhouden, en de gegevens niet zonder de toestemming van de betrokkenen aan derden worden doorgegeven; e) wanneer de verwerking betrekking heeft op gegevens die duidelijk door de betrokkene openbaar zijn gemaakt; f) wanneer de verwerking noodzakelijk is voor de vaststelling, de uitoefening of de verdediging van een recht in rechte; g) wanneer de verwerking noodzakelijk is voor het wetenschappelijk onderzoek en verricht wordt onder de voorwaarden vastgesteld door de Koning bij een in ministerraad overlegd besluit, na advies van de Commissie voor de bescherming van de persoonlijke levenssfeer; h) wanneer de verwerking noodzakelijk is voor de verwezenlijking van een doelstelling vastgesteld door of krachtens de wet met het oog op de toepassing van de sociale zekerheid;
262
i) wanneer de verwerking wordt verricht in uitvoering van de wet van 4 juli 1962 betreffende de openbare statistiek; j) wanneer de verwerking noodzakelijk is voor de doeleinden van preventieve geneeskunde of medische diagnose, het verstrekken van zorg of behandelingen aan de betrokkene of een verwant, of het beheer van gezondheidsdiensten handelend in het belang van de betrokkene en de gegevens worden verwerkt onder het toezicht van een beroepsbeoefenaar in de gezondheidszorg; k) wanneer de verwerking door verenigingen met rechtspersoonlijkheid of instellingen van openbaar nut die als hoofddoel de verdediging van de rechten van de mens en van de fundamentele vrijheden hebben, verricht wordt voor de verwezenlijking van dat doel, op voorwaarde dat voor de verwerking een machtiging is verleend door de Koning bij een in ministerraad overlegd besluit, na advies van de Commissie voor de bescherming van de persoonlijke levenssfeer; l) wanneer de verwerking van de persoonsgegevens bedoeld in § 1 om een andere belangrijke reden van publiek belang door een wet, een decreet of een ordonnantie wordt toegelaten. In het geval bedoeld onder j) zijn de beroepsbeoefenaar in de gezondheidszorg en zijn aangestelden of gemachtigden tot geheimhouding verplicht. § 3. Onverminderd de toepassing van de artikelen 7 en 8 van deze wet is de verwerking van persoonsgegevens die het seksuele leven betreffen, toegestaan wanneer de verwerking wordt verricht door een vereniging met rechtspersoonlijkheid of door een instelling van openbaar nut met als statutair hoofddoel de evaluatie, de begeleiding en de behandeling van personen van wie het seksueel gedrag gekwalificeerd kan worden als een misdrijf en die voor de verwezenlijking van dat doel door de bevoegde overheid worden erkend en gesubsidieerd; voor dergelijke verwerkingen, waarvan de bedoeling moet bestaan in de evaluatie, begeleiding en behandeling van de in deze paragraaf bedoelde personen en de verwerking uitsluitend persoonsgegevens betreft die, wanneer ze het seksueel leven betreffen, enkel betrekking hebben op laatstgenoemde personen, moet door de Koning bij een in een ministerraad overlegd besluit, na advies van de Commissie voor de bescherming van de persoonlijke levenssfeer, een bijzondere, individuele machtiging worden verleend. Het in deze paragraaf bedoelde besluit preciseert de duur van de machtiging, de modaliteiten voor de controle van de gemachtigde vereniging of instelling door de bevoegde overheid en de wijze waarop door deze overheid aan de Commissie voor de persoonlijke levenssfeer verslag moet worden uitgebracht over de verwerking van persoonsgegevens in het kader van de verleende machtiging. § 4. De Koning legt bij een in ministerraad overlegd besluit, na advies van de Commissie voor de bescherming van de persoonlijke levenssfeer de bijzondere voorwaarden op waaraan de verwerking van de in dit artikel bedoelde persoonsgegevens moet voldoen.]1 }1. – Vervangen bij art. 9 wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001)
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
Bijlagen Wet 8 december 1992 - WVP (Art. 8)
Art. 7. }1[§ 1. De verwerking van persoonsgegevens die de gezondheid betreffen, is verboden. § 2. Het verbod om de in § 1 bedoelde persoonsgegevens te verwerken, is niet van toepassing in de volgende gevallen: a) wanneer de betrokkene schriftelijk heeft toegestemd in een dergelijke verwerking met dien verstande dat deze toestemming te allen tijde door de betrokkene kan worden ingetrokken; de Koning kan, bij een in ministerraad overlegd besluit na advies van de Commissie voor de bescherming van de persoonlijke levenssfeer, bepalen in welke gevallen het verbod om gegevens betreffende de gezondheid te verwerken niet door de schriftelijke toestemming van de betrokkene ongedaan kan worden gemaakt; b) wanneer de verwerking noodzakelijk is met het oog op de uitvoering van de specifieke verplichtingen en rechten van de verantwoordelijke voor de verwerking met betrekking tot het arbeidsrecht; c) wanneer de verwerking noodzakelijk is voor de verwezenlijking van een doelstelling vastgesteld door of krachtens de wet met het oog op de toepassing van de sociale zekerheid; d) wanneer de verwerking noodzakelijk is voor de bevordering en de bescherming van de volksgezondheid met inbegrip van bevolkingsonderzoek; e) wanneer de verwerking om redenen van zwaarwegend algemeen belang verplicht wordt door of krachtens een wet, een decreet of een ordonnantie; f) wanneer de verwerking noodzakelijk is ter verdediging van vitale belangen van de betrokkene of van een andere persoon indien de betrokkene fysiek of juridisch niet in staat is om zijn toestemming te geven; g) wanneer de verwerking noodzakelijk is voor het voorkomen van een concreet gevaar of voor de beteugeling van een bepaalde strafrechtelijke inbreuk; h) wanneer de verwerking betrekking heeft op gegevens die duidelijk door de betrokkene zijn openbaar gemaakt; i) wanneer de verwerking noodzakelijk is voor de vaststelling, de uitoefening of de verdediging van een recht in rechte; j) wanneer de verwerking noodzakelijk is voor doeleinden van preventieve geneeskunde of medische diagnose, het verstrekken van zorg of behandelingen aan de betrokkene of een verwant, of het beheer van de gezondheidsdiensten handelend in het belang van de betrokkene en de gegevens worden verwerkt onder het toezicht van een beroepsbeoefenaar in de gezondheidszorg; k) wanneer de verwerking noodzakelijk is voor het wetenschappelijk onderzoek en verricht wordt onder de voorwaarden vastgesteld door de Koning bij een in ministerraad overlegd besluit, na advies van de Commissie voor de bescherming van de persoonlijke levenssfeer. § 3. De Koning legt, bij een in ministerraad overlegd besluit en na advies van de Commissie voor de bescherming van de persoonlijke levenssfeer, bijzondere voorwaarden vast waaraan de verwerking van de in dit artikel bedoelde persoonsgegevens moet voldoen. § 4. Persoonsgegevens betreffende de gezondheid mogen, behoudens schriftelijke toestemming van de betrokkene of wanneer de verwerking noodzakelijk is voor
het voorkomen van een dringend gevaar of voor de beteugeling van een bepaalde strafrechtelijke inbreuk, enkel worden verwerkt onder de verantwoordelijkheid van een beroepsbeoefenaar in de gezondheidszorg. De Koning kan, na advies van de Commissie voor de bescherming van de persoonlijke levenssfeer en bij een in ministerraad overlegd besluit, bepalen welke categorieën van personen als beroepsbeoefenaars in de gezondheidszorg in de zin van deze wet worden beschouwd. Bij de verwerking van de in dit artikel bedoelde persoonsgegevens zijn de beroepsbeoefenaar in de gezondheidszorg en zijn aangestelden of gemachtigden, tot geheimhouding verplicht. § 5. Persoonsgegevens betreffende de gezondheid moeten worden ingezameld bij de betrokkene. Zij kunnen slechts via andere bronnen worden ingezameld op voorwaarde dat dit in overeenstemming is met de paragrafen 3 en 4 van dit artikel en dat dit noodzakelijk is voor de doeleinden van de verwerking of de betrokkene niet in staat is om de gegevens te bezorgen.]1 }1. – Vervangen bij art. 10 wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001)
Art. 8. }1[§ 1. De verwerking van persoonsgegevens inzake geschillen voorgelegd aan hoven en rechtbanken alsook aan administratieve gerechten, inzake verdenkingen, vervolgingen of veroordelingen met betrekking tot misdrijven, of inzake administratieve sancties of veiligheidsmaatregelen, is verboden. § 2. Het verbod om de in § 1 bedoelde persoonsgegevens te verwerken, is niet van toepassing op verwerkingen: a) onder toezicht van een openbare overheid of van een ministeriële ambtenaar in de zin van het Gerechtelijk Wetboek, indien de verwerking noodzakelijk is voor de uitoefening van hun taken; b) door andere personen, indien de verwerking noodzakelijk is voor de verwezenlijking van doeleinden die door of krachtens een wet, een decreet of een ordonnantie zijn vastgesteld; c) door natuurlijke personen of door privaatrechtelijke of publiekrechtelijke rechtspersonen in zoverre dat noodzakelijk is voor het beheer van hun eigen geschillen; d) door advocaten of andere juridische raadgevers in zoverre de verwerking noodzakelijk is voor de verdediging van de belangen van de cliënten; e) die noodzakelijk zijn voor het wetenschappelijk onderzoek en verricht worden onder de voorwaarden vastgesteld door de Koning bij een in ministerraad overlegd besluit, na advies van de Commissie voor de bescherming van de persoonlijke levenssfeer. § 3. De personen die krachtens § 2 gemachtigd zijn om de in § 1 bedoelde persoonsgegevens te verwerken, zijn tot geheimhouding verplicht. § 4. De Koning legt, bij een in ministerraad overlegd besluit, na advies van de Commissie voor de bescherming van de persoonlijke levenssfeer, bijzondere voorwaarden vast waaraan de verwerking van de in § 1 bedoelde persoonsgegevens moet voldoen.]1 }1. – Vervangen bij art. 11 wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001)
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
263
Bijlagen Wet 8 december 1992 - WVP (Art. 9)
HOOFDSTUK III }1
[RECHTEN VAN DE BETROKKENE]1
}1. Opschrift vervangen bij art. 12 wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001) }1 – het bestaan van een recht op toegang en op verbete-
Art. 9. [§ 1. Indien persoonsgegevens betreffende de betrokkene bij hemzelf worden verkregen, moet de verantwoordelijke voor de verwerking of diens vertegenwoordiger uiterlijk op het moment dat de gegevens worden verkregen aan de betrokkene ten minste de hierna volgende informatie verstrekken, behalve indien hij daarvan reeds op de hoogte is: a) de naam en het adres van de verantwoordelijke voor de verwerking en, in voorkomend geval, van diens vertegenwoordiger; b) de doeleinden van de verwerking; c) het bestaan van een recht om zich op verzoek en kosteloos tegen de voorgenomen verwerking van hem betreffende persoonsgegevens te verzetten, indien de verwerking verricht wordt met het oog op direct marketing; d) andere bijkomende informatie, met name: – de ontvangers of de categorieën ontvangers van de gegevens, – het al dan niet verplichte karakter van het antwoord en de eventuele gevolgen van niet-beantwoording, – het bestaan van een recht op toegang en op verbetering van de persoonsgegevens die op hem betrekking hebben; behalve indien die verdere informatie, met inachtneming van de specifieke omstandigheden waaronder de persoonsgegevens verkregen worden, niet nodig is om tegenover de betrokkene een eerlijke verwerking te waarborgen; e) andere informatie afhankelijk van de specifieke aard van de verwerking, die wordt opgelegd door de Koning na advies van de Commissie voor de bescherming van de persoonlijke levenssfeer. § 2. Indien de persoonsgegevens niet bij de betrokkene zijn verkregen, moet de verantwoordelijke voor de verwerking of zijn vertegenwoordiger, op het moment van de registratie van de gegevens of wanneer mededeling van de gegevens aan een derde wordt overwogen, uiterlijk op het moment van de eerste mededeling van de gegevens, ten minste de volgende informatie verstrekken, tenzij de betrokkene daarvan reeds op de hoogte is: a) de naam en het adres van de verantwoordelijke voor de verwerking en, in voorkomend geval, van diens vertegenwoordiger; b) de doeleinden van de verwerking; c) het bestaan van een recht om zich op verzoek en kosteloos tegen de voorgenomen verwerking van hem betreffende persoonsgegevens te verzetten, indien de verwerking verricht wordt met het oog op direct marketing; in dit geval dient de betrokkene in kennis te worden gesteld vooraleer de persoonsgegevens voor de eerste keer aan een derde worden verstrekt of voor rekening van derden worden gebruikt voor direct marketing; d) andere bijkomende informatie, met name: – de betrokken gegevenscategorieën; – de ontvangers of de categorieën ontvangers;
264
ring van de persoonsgegevens die op hem betrekking hebben; behalve indien die verdere informatie, met inachtneming van de specifieke omstandigheden waaronder de gegevens verwerkt worden, niet nodig is om tegenover de betrokkene een eerlijke verwerking te waarborgen; e) andere informatie afhankelijk van de specifieke aard van de verwerking, die wordt opgelegd door de Koning na advies van de Commissie voor de bescherming van de persoonlijke levenssfeer. De verantwoordelijke voor de verwerking wordt van de in deze paragraaf bedoelde kennisgeving vrijgesteld: a) wanneer, met name voor statistische doeleinden of voor historisch of wetenschappelijk onderzoek of voor bevolkingsonderzoek met het oog op de bescherming en de bevordering van de volksgezondheid, de kennisgeving aan de betrokkene onmogelijk blijkt of onevenredig veel moeite kost; b) wanneer de registratie of de verstrekking van de persoonsgegevens verricht wordt met het oog op de toepassing van een bepaling voorgeschreven door of krachtens een wet, een decreet of een ordonnantie. De Koning bepaalt bij een in ministerraad overlegd besluit na advies van de Commissie voor de bescherming van de persoonlijke levenssfeer de voorwaarden voor de toepassing van het vorige lid. Indien de eerste mededeling van de gegevens geschiedde vóór de inwerkingtreding van deze bepaling, moet de mededeling van de informatie, in afwijking van het eerste lid, uiterlijk geschieden binnen een termijn van 3 jaar vanaf de datum van inwerkingtreding van deze bepaling. De informatie moet evenwel niet worden meegedeeld indien de verantwoordelijke voor de verwerking was vrijgesteld van de verplichting om de betrokkene in kennis te stellen van de registratie van de gegevens krachtens de wettelijke en reglementaire bepalingen van toepassing op de dag voorafgaand aan de datum van inwerkingtreding van deze bepaling.]1 }1. – Vervangen bij art. 13 wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001) }1
Art. 10. [§ 1. De betrokkene die zijn identiteit bewijst, heeft het recht om vanwege de verantwoordelijke voor de verwerking te verkrijgen: a) kennis van het al dan niet bestaan van verwerkingen van hem betreffende gegevens alsmede ten minste informatie over de doeleinden van deze verwerkingen, van de categorieën gegevens waarop deze verwerkingen betrekking hebben en van de categorieën ontvangers aan wie de gegevens worden verstrekt; b) verstrekking in begrijpelijke vorm van de gegevens zelf die worden verwerkt, alsmede alle beschikbare informatie over de oorsprong van die gegevens; c) mededeling van de logica die aan een geautomatiseerde verwerking van hem betreffende gegevens ten grondslag ligt in geval van geautomatiseerde besluitvorming in de zin van artikel 12bis;
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
Bijlagen Wet 8 december 1992 - WVP (Art. 12bis)
d) kennis van de mogelijkheid om de in de artikelen 12 en 14 bedoelde beroepen in te stellen en eventueel inzage te nemen van het in artikel 18 bedoelde openbaar register. Daartoe richt de betrokkene een gedagtekend en ondertekend verzoek aan de verantwoordelijke voor de verwerking of aan iedere andere persoon die de Koning aanwijst. De inlichtingen worden onverwijld en ten laatste binnen vijfenveertig dagen na ontvangst van het verzoek meegedeeld. De Koning kan nadere regelen voor de uitoefening van het in het eerste lid bedoelde recht bepalen. § 2. }2[Onverminderd hetgeen is bepaald in artikel 9, § 2, van de wet van 22 augustus 2002 betreffende de rechten van de patiënt, heeft elke persoon het recht om hetzij op rechtstreekse wijze hetzij met behulp van een beroepsbeoefenaar in de gezondheidszorg kennis te krijgen van de persoonsgegevens die betreffende zijn gezondheid worden verwerkt.]2 }3 [Onverminderd het bepaalde in artikel 9, § 2, van voornoemde wet, kan op verzoek van de verantwoordelijke van de verwerking of op verzoek van de betrokkene, de mededeling gebeuren door tussenkomst van een door de betrokkene gekozen beroepsbeoefenaar in de gezondheidszorg.]3 Indien er duidelijk geen gevaar is voor inbreuken op de bescherming van de persoonlijke levenssfeer van de betrokkene en de gegevens niet gebruikt worden om maatregelen en besluiten te nemen ten aanzien van een individuele betrokkene, kan de kennisgeving ook worden uitgesteld indien de gezondheidsgegevens verwerkt worden voor medisch-wetenschappelijk onderzoek, doch slechts in de mate dat de kennisgeving het onderzoek op ernstige wijze zou schaden en uiterlijk tot op het moment van de beëindiging van het onderzoek. In dat geval moet de betrokkene aan de verantwoordelijke voor de verwerking vooraf zijn schriftelijke toestemming hebben gegeven dat de hem betreffende persoonsgegevens voor medisch-wetenschappelijke doeleinden kunnen worden verwerkt en dat kennisgeving van deze persoonsgegevens om die reden kan worden uitgesteld. § 3. Aan een aanvraag bedoeld in § 1 en § 2 moet geen gevolg worden gegeven dan na verloop van een redelijke termijn, te rekenen van de dagtekening van een vroegere aanvraag van dezelfde persoon waarop is geantwoord of te rekenen van de dagtekening waarop de gegevens hem ambtshalve zijn meegedeeld.]1
}1 [Eenieder is bovendien gerechtigd om wegens zwaarwegende en gerechtvaardigde redenen die verband houden met zijn bijzondere situatie, zich ertegen te verzetten dat hem betreffende gegevens het voorwerp van een verwerking vormen, behalve wanneer de rechtmatigheid van de verwerking gesteund is op de in artikel 5, b) en c), bedoelde redenen.]1 }2 [Indien de persoonsgegevens verkregen worden met het oog op direct marketing mag de betrokkene zich kosteloos en zonder enige motivering tegen de voorgenomen verwerking van hem betreffende persoonsgegevens verzetten.]2 }3 [In geval van gerechtvaardigd verzet mag de door de verantwoordelijke voor de verwerking verrichte verwerking niet langer op deze persoonsgegevens betrekking hebben.]3 Eenieder is tevens gerechtigd kosteloos de verwijdering van of het verbod op de aanwending van alle hem betreffende persoonsgegevens te bekomen die, gelet op het doel van de verwerking, onvolledig of niet ter zake dienend zijn, of waarvan de registratie, de mededeling of de bewaring verboden zijn, of die na verloop van de toegestane duur zijn bewaard. § 2. Om }4[de in § 1 bedoelde rechten»;]4 uit te oefenen dient de belanghebbende een gedagtekend en ondertekend verzoek in bij de }4[verantwoordelijke voor de verwerking]4 of bij iedere andere persoon die de Koning aanwijst. § 3. }5[Binnen een maand te rekenen van het tijdstip van indiening van het verzoek op grond van § 2, deelt de verantwoordelijke voor de verwerking de verbeteringen of verwijderingen van gegevens, gedaan op grond van § 1, mee aan de betrokkene zelf, alsmede aan de personen aan wie de onjuiste, onvolledige of niet ter zake dienende gegevens zijn meegedeeld, voor zover hij nog kennis heeft van de bestemmelingen van de mededeling en de kennisgeving aan deze bestemmelingen niet onmogelijk blijkt of onevenredig veel moeite kost. Indien de betrokkene zich tegen de verwerking of de voorgenomen verwerking van hem betreffende persoonsgegevens verzet in toepassing van § 1, tweede en derde lid, deelt de verantwoordelijke voor de verwerking aan de betrokkene binnen dezelfde termijn mee welk gevolg hij aan het verzoek heeft gegeven.]5 § 4. }6[...]6
}1. – Na wijziging, opgeheven bij art. 15 wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001)
}1. – § 1, lid 2, ingevoegd bij art. 16, 1°, wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001) }2. – § 1, lid 3, ingevoegd bij art. 16, 1°, wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001) }3. – § 1, lid 4, ingevoegd bij art. 16, 1°, wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001) }4. – § 2 gewijzigd bij art. 16, 2°-3°, wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001) }5. – § 3 vervangen bij art. 16, 4°, wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001) }6. – § 4, na wijziging, opgeheven bij art. 16, 5°, wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001)
Art. 12. § 1. Eenieder is gerechtigd alle onjuiste per-
}1[Art.
}1. – Vervangen bij art. 14 wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001) }2. – § 2, lid 1, vervangen bij art. 18, § 1, wet 22 augustus 2002, B.S., 26 september 2002, err., B.S., 20 december 2002 }3. – § 2, lid 2, vervangen bij art. 18, § 2, wet 22 augustus 2002, B.S., 26 september 2002, err., B.S., 20 december 2002
Art. 11. }1[...]1
soonsgegevens die op hem betrekking hebben kosteloos te doen verbeteren.
12bis. Een besluit waaraan voor een persoon rechtsgevolgen verbonden zijn of dat hem in aanmerkelijke mate treft, mag niet louter worden genomen op
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
265
Bijlagen Wet 8 december 1992 - WVP (Art. 13)
grond van een geautomatiseerde gegevensverwerking die bestemd is om bepaalde aspecten van zijn persoonlijkheid te evalueren. Het in het eerste lid vastgestelde verbod geldt niet indien het besluit wordt genomen in het kader van een overeenkomst of zijn grondslag vindt in een bepaling voorgeschreven door of krachtens een wet, decreet of ordonnantie. In die overeenkomst of in die bepaling moeten passende maatregelen zijn genomen ter bescherming van de gerechtvaardigde belangen van de betrokkene. Minstens moet hem de mogelijkheid geboden worden om op nuttige wijze zijn standpunt naar voor te brengen.]1 }1. – Ingevoegd bij art. 17 wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001) }1
Art. 13. [Eenieder die zijn identiteit bewijst, is gerechtigd zich kosteloos tot de Commissie voor de bescherming van de persoonlijke levenssfeer te wenden, teneinde de in de artikelen 10 en 12 bedoelde rechten uit te oefenen ten aanzien van de verwerkingen van persoonsgegevens bedoeld in artikel 3, paragrafen 4, 5 en 6.]1 De Koning bepaalt, na advies van de Commissie voor de bescherming van de persoonlijke levenssfeer en bij een in Ministerraad overlegd besluit, de wijze waarop deze rechten worden uitgeoefend. De Commissie voor de bescherming van de persoonlijke levenssfeer deelt uitsluitend aan de betrokkene mede dat de nodige verificaties werden verricht. }2[Evenwel bepaalt de Koning, na advies van de commissie voor de bescherming van de persoonlijke levenssfeer, bij een in ministerraad overlegd besluit, welke informatie de commissie aan de betrokkene mag meedelen indien het verzoek van de betrokkene een verwerking van persoonsgegevens betreft door politiediensten met het oog op identiteitscontrole.]2 }1. – Lid 1, na wijziging, vervangen bij art. 18, 1°, wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001) }2. – Lid 4 toegevoegd bij art. 18, 2°, wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001)
Art. 14. § 1. De voorzitter van de rechtbank van eerste aanleg, zitting houdende zoals in kort geding, neemt kennis van de vorderingen betreffende het door of krachtens de wet verleende recht om kennis te krijgen van persoonsgegevens, alsook van de vorderingen tot verbetering, tot verwijdering of tot het verbieden van de aanwending van onjuiste persoonsgegevens of die gelet op het doel van de verwerking onvolledig of niet ter zake dienend zijn, dan wel waarvan de registratie de mededeling of de bewaring verboden is }1[, tegen de verwerking waarvan de betrokkene zich heeft verzet]1 of die langer bewaard werden dan de toegestane duur. § 2. De voorzitter van de rechtbank van de woonplaats van de eiser is bevoegd voor de in § 1 bedoelde vorderingen. Indien de eiser geen woonplaats in België heeft, is de voorzitter van de rechtbank van de woonplaats van de houder van het bestand, die een natuurlijke persoon is, bevoegd. Indien de }2[verantwoordelijke voor de verwerking]2 een rechtspersoon is, is de voorzitter van de rechtbank van de maatschappelijke of administratieve zetel bevoegd.
266
De beschikking wordt in openbare rechtszitting uitgesproken. Zij is uitvoerbaar bij voorraad, niettegenstaande hoger beroep of verzet. § 3. De vordering wordt ingediend bij verzoekschrift op tegenspraak. Het verzoekschrift vermeldt op straffe van nietigheid: 1° de dag, de maand en het jaar; 2° de naam, de voornaam, het beroep en de woonplaats van de eiser; 3° de naam, de voornaam en de woonplaats van de op te roepen persoon; 4° het voorwerp van de vordering en de korte samenvatting van de middelen; 5° de handtekening van de eiser of van zijn advocaat. § 4. Het verzoekschrift wordt bij ter post aangetekende brief toegezonden aan de griffier van het gerecht of ter griffie neergelegd. Nadat, in voorkomend geval de rolrechten zijn betaald, worden de partijen door de griffier bij gerechtsbrief opgeroepen om te verschijnen op de zitting die de rechter bepaalt. Bij de oproeping wordt een afschrift van het verzoekschrift gevoegd. § 5. De op grond van § 1 ingestelde vordering is pas ontvankelijk als het verzoek, bedoeld in artikel 10, § 1, of dat bedoeld in artikel 12, § 2, is afgewezen of als daaraan }3[naargelang het geval, binnen de door artikel 10, § 1, tweede lid dan wel door artikel 12, § 3, eerste lid, voorgeschreven termijn]3 geen gevolg is gegeven. § 6. Indien onjuiste, onvolledige of niet ter zake dienende gegevens of gegevens waarvan de bewaring verboden is aan derden zijn medegedeeld, dan wel wanneer een mededeling van gegevens heeft plaatsgehad na verloop van de tijd waarin de bewaring van die gegevens toegelaten is, kan de voorzitter van de rechtbank gelasten dat de }4[verantwoordelijke voor de verwerking]4 aan die derden van de verbetering of de verwijdering van die gegevens kennis geeft. § 7. Wanneer dwingende redenen de vrees doen rijzen dat bewijsmateriaal dat kan worden aangevoerd bij een in § 1 bedoelde vordering zou kunnen worden verheeld of verdwijnen, gelast de voorzitter van de rechtbank van eerste aanleg op eenzijdig verzoekschrift, ondertekend en ingediend door de partij of haar advocaat, elke maatregel ter voorkoming van die verheling of verdwijning. § 8. De bepalingen van de §§ 6 en 7 houden geen beperking in van de algemene bevoegdheid ter zake van de voorzitter van de rechtbank van eerste aanleg, zetelend in kort geding. }1. – § 1 gewijzigd bij art. 19, 1°, wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001) }2. – § 2, lid 1, gewijzigd bij art. 19, 2°, wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001) }3. – § 5 gewijzigd bij art. 19, 3°, wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001) }4. – § 6 gewijzigd bij art. 19, 4°, wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001)
Art. 15. Onmiddellijk bij het ontvangen van het verzoek tot verbetering, verwijdering of verbod van gebruik of bekendmaking van persoonsgegevens of bij de kennisgeving van de instelling van het geding bedoeld in artikel 14 en tot een beslissing in kracht van gewijsde is getre-
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
Bijlagen Wet 8 december 1992 - WVP (Art. 16)
den, dient de }1[verantwoordelijke voor de verwerking]1 bij elke mededeling van een persoonsgegeven duidelijk aan te geven dat het gegeven betwist is. }1. – Gewijzigd bij art. 20 wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001)
}1
[Art. 15bis. Indien een betrokkene schade lijdt doordat ten opzichte van hem in strijd wordt gehandeld met de bij of krachtens deze wet bepaalde voorschriften, zijn het hiernavolgende tweede en derde lid van
toepassing, onverminderd de aanspraken op grond van andere wettelijke regels. De verantwoordelijke voor de verwerking is aansprakelijk voor de schade die voortvloeit uit een handeling in strijd met de bij of krachtens deze wet bepaalde voorschriften. Hij is van deze aansprakelijkheid ontheven indien hij bewijst dat het feit dat de schade heeft veroorzaakt hem niet kan worden toegerekend.]1 }1. – Ingevoegd bij art. 21 wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001)
HOOFDSTUK IV }1[VERTROUWELIJKHEID EN BEVEILIGING VAN DE VERWERKING]1 }1. Opschrift vervangen bij art. 22 wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001)
Art. 16. § 1. }1[Indien de verwerking wordt toevertrouwd aan een verwerker, moet de verantwoordelijke voor de verwerking, en in voorkomend geval zijn vertegenwoordiger in België: 1° een verwerker kiezen die voldoende waarborgen biedt ten aanzien van de technische en organisatorische beveiligingsmaatregelen met betrekking tot de te verrichten verwerking; 2° toezien op de naleving van die maatregelen, met name door ze vast te leggen in contractuele bepalingen; 3° de aansprakelijkheid van de verwerker ten aanzien van de verantwoordelijke voor de verwerking vaststellen in de overeenkomst; 4° met de verwerker overeenkomen dat de verwerker slechts handelt in opdracht van de verantwoordelijke voor de verwerking en dat de verwerker is gebonden door dezelfde verplichtingen als deze die waartoe de verantwoordelijke in toepassing van paragraaf 3 is gehouden; 5° in een geschrift of op een elektronische drager de elementen van de overeenkomst met betrekking tot de bescherming van de gegevens en de eisen met betrekking tot de maatregelen bedoeld in paragraaf 3 vaststellen.]1 § 2. }2[De verantwoordelijke voor de verwerking of, in voorkomend geval, zijn vertegenwoordiger in België moet: 1° er nauwlettend over waken dat de gegevens worden bijgewerkt, dat de onjuiste, onvolledige en niet terzake dienende gegevens, alsmede die welke zijn verkregen of verder verwerkt in strijd met de artikelen 4 tot 8, worden verbeterd of verwijderd; 2° ervoor zorgen dat voor de personen die onder zijn gezag handelen, de toegang tot de gegevens en de verwerkingsmogelijkheden, beperkt blijven tot hetgeen die personen nodig hebben voor de uitoefening van hun taken of tot hetgeen noodzakelijk is voor de behoeften van de dienst; 3° alle personen die onder zijn gezag handelen, kennisgeven van de bepalingen van deze wet en haar uitvoeringsbesluiten, alsmede van alle relevante voorschriften inzake de bescherming van de persoonlijke levenssfeer die bij het verwerken van persoonsgegevens gelden;
4° zich ervan vergewissen of programma's voor de geautomatiseerde verwerking van persoonsgegevens in overeenstemming zijn met de vermeldingen van de aangifte waarvan sprake is in artikel 17 en dat er geen wederrechtelijk gebruik van wordt gemaakt.]2 § 3. }3[Eenieder die handelt onder het gezag van de verantwoordelijke voor de verwerking of van de verwerker alsmede de verwerker zelf, die toegang heeft tot persoonsgegevens, mag deze slechts in opdracht van de verantwoordelijke voor de verwerking verwerken, behoudens op grond van een verplichting door of krachtens een wet, een decreet of een ordonnantie.]3 § }4[4]4. Om de veiligheid van de persoonsgegevens te waarborgen, }4[moeten de verantwoordelijke voor de verwerking, en in voorkomend geval zijn vertegenwoordiger in België, alsmede de verwerker, de gepaste technische en organisatorische maatregelen treffen die nodig zijn voor de bescherming van de persoonsgegevens]4 tegen toevallige of ongeoorloofde vernietiging, tegen toevallig verlies, evenals tegen de wijziging van of de toegang tot, en iedere andere niet toegelaten verwerking van persoonsgegevens. Deze maatregelen moeten een passend beveiligingsniveau verzekeren, rekening houdend, enerzijds, met de stand van de techniek terzake en de kosten voor het toepassen van de maatregelen en, anderzijds, met de aard van de te beveiligen gegevens en de potentiële risico's. Op advies van de Commissie voor de bescherming van de persoonlijke levenssfeer kan de Koning voor alle of voor bepaalde categorieën van verwerkingen aangepaste normen inzake informaticaveiligheid uitvaardigen. }1. – § 1 vervangen bij art. 23, A, wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001) }2. – § 2 vervangen bij art. 23, A, wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001) }3. – § 3 vervangen bij art. 23, A, wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001) }4. – § 4, lid 1 (oud § 3), hernummerd en gewijzigd bij art. 23, B, wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001)
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
267
Bijlagen Wet 8 december 1992 - WVP (Art. 17)
HOOFDSTUK V
VOORAFGAANDE AANGIFTE EN OPENBAARHEID VAN DE VERWERKINGEN Art. 17. § 1. }1[Voordat wordt overgegaan tot één of meer volledig of gedeeltelijk geautomatiseerde verwerkingen van gegevens die voor de verwezenlijking van een doeleinde of van verscheidene samenhangende doeleinden bestemd zijn, doet de verantwoordelijke voor de verwerking of, in voorkomend geval, diens vertegenwoordiger, daarvan aangifte bij de Commissie voor de bescherming van de persoonlijke levenssfeer. Het vorige lid is niet van toepassing op verwerkingen die alleen tot doel hebben een register bij te houden dat door of krachtens een wet, een decreet of een ordonnantie bedoeld is om het publiek voor te lichten en door eenieder dan wel door ieder persoon die zich op een gerechtvaardigd belang kan beroepen, kan worden geraadpleegd.]1 § 2. De Commissie doet binnen drie werkdagen een ontvangbewijs van de aangifte geworden. Indien de aangifte onvolledig is, moet de Commissie de aangever daarvan op de hoogte brengen. § 3. Deze aangifte moet vermelden: 1° de datum van de aangifte en in voorkomend geval, de wet, het decreet of de ordonnantie of de reglementaire akte waarbij de geautomatiseerde verwerking wordt ingesteld; 2° de naam, de voornamen en het volledig adres of de benaming en de zetel van de }2[verantwoordelijke voor de verwerking]2 en in voorkomend geval van zijn vertegenwoordiger in België; 3° }3[...]3 4° de benaming van de geautomatiseerde verwerking; 5° }4[het doel of het geheel van samenhangende doeleinden van de geautomatiseerde verwerking;]4 6° de categorieën van de verwerkte persoonsgegevens met een bijzondere beschrijving van de gegevens bedoeld in de artikelen 6 tot 8; 7° }5[de categorieën van ontvangers aan wie de gegevens kunnen worden verstrekt;]5 8° }6[de waarborgen die aan de mededeling van gegevens aan derden verbonden moeten zijn;]6 9° de wijze waarop de personen op wie de gegevens betrekking hebben daarvan in kennis worden gesteld, de dienst waarbij het recht op toegang kan worden uitgeoefend en de maatregelen genomen om de uitoefening van dat recht te vergemakkelijken; 10° de termijn waarna, in voorkomend geval, de gegevens niet meer mogen bewaard, gebruikt of verspreid worden; }7 [11° een algemene beschrijving om op voorhand te kunnen beoordelen of de veiligheidsmaatregelen die in toepassing van artikel 16 van deze wet genomen zijn, afdoende zijn;]7 }8[12° de redenen waarop de verantwoordelijke voor de verwerking in voorkomend geval de toepassing van artikel 3, § 3, van deze wet steunt.]8 § 4. In het kader van haar controle- en onderzoeksbevoegdheid bedoeld in artikel 31 en 32 is de Commissie voor de bescherming van de persoonlijke levenssfeer gemachtigd tot het opeisen van andere gegevens, met name de oorsprong van de persoonsgegevens, de geko-
268
zen automatiseringstechniek en de voorziene beveiligingsmaatregelen. § 5. }9[Voor elk doeleinde of geheel van samenhangende doeleinden waarvoor tot een of meer volledig of gedeeltelijk geautomatiseerde verwerkingen wordt overgegaan, is een aangifte vereist. De Commissie stelt de aard en de structuur van de aangifte vast.]9 § 6. Wanneer de verwerkte gegevens, zelfs occasioneel, bestemd zijn om naar het buitenland te worden doorgezonden, moet, ongeacht de gebruikte gegevensdrager, daarenboven in de aangifte worden vermeld: 1° de categorieën van gegevens die worden doorgezonden; 2° voor elke categorie van gegevens, het land van bestemming. }10 10 [...] § 7. }11 [Ingeval aan een geautomatiseerde verwerking een einde wordt gemaakt of enige informatie vermeld in de § 3 wijzigt, moet daarvan eveneens aangifte worden gedaan.]11 § 8. }12[De Koning kan na advies van de Commissie voor de bescherming van de persoonlijke levenssfeer bepaalde categorieën vrijstellen van de in dit artikel bedoelde aangifte wanneer, rekening houdend met de verwerkte gegevens, er kennelijk geen gevaar is voor inbreuken op de rechten en vrijheden van de betrokkenen, en de doeleinden van de verwerking, de categorieën van verwerkte gegevens, de categorieën betrokkenen, de categorieën ontvangers en de periode gedurende welke de gegevens worden bewaard, gepreciseerd worden. Indien voor geautomatiseerde verwerkingen in toepassing van het vorige lid een vrijstelling van de aanmeldingsplicht wordt verleend, moeten de inlichtingen vermeld in de §§ 3 en 6 door de verantwoordelijke voor de verwerking meegedeeld worden aan iedereen die daarom verzoekt.]12 § 9. De }13[verantwoordelijke voor de verwerking]13 is gehouden op het ogenblik van de verrichting van de aangifte, een bijdrage te storten aan de rekenplichtige aangesteld bij de Commissie voor de bescherming van de persoonlijke levenssfeer, overeenkomstig de bepalingen van de wetten op de Rijkscomptabiliteit. De Koning stelt het bedrag van deze bijdrage, die tienduizend frank niet mag overschrijden, vast }13[...]13. Hij regelt tevens de modaliteiten voor de betaling ervan. }1. – § 1 vervangen bij art. 24, A, wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001) }2. – § 3, 2°, gewijzigd bij art. 24, F, wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001) }3. – § 3, 3°, opgeheven bij art. 24, B, wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001) }4. – § 3, 5°, vervangen bij art. 24, C, wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001) }5. – § 3, 7°, vervangen bij art. 24, D, wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001)
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
Bijlagen Wet 8 december 1992 - WVP (Art. 21) }6. – § 3, 8°, vervangen bij art. 24, D, wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001) }7. – § 3, 11°, ingevoegd bij art. 24, E, wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001) }8. – § 3, 12°, ingevoegd bij art. 24, E, wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001) }9. – § 5 vervangen bij art. 24, G, wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001) }10. – § 6, lid 2, opgeheven bij art. 24, H, wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001) }11. – § 7 vervangen bij art. 24, I, wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001) }12. – § 8 vervangen bij art. 24, J, wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001) }13. – § 9 gewijzigd bij art. 24, K-L, wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001)
}1
[Art. 17bis. De Koning stelt, na advies van de Commissie voor de bescherming van de persoonlijke levenssfeer de categorieën van verwerkingen vast die specifieke risico's inhouden voor de persoonlijke rechten en vrijheden van de betrokkenen en stelt voor deze verwerkingen, eveneens op voorstel van de Commissie voor de bescherming van de persoonlijke levenssfeer, bijzondere voorwaarden vast om de rechten en de vrijheden van de betrokkenen te waarborgen. In het bijzonder kan Hij bepalen dat de verantwoordelijke voor de verwerking, alleen of samen met andere verantwoordelijken, een aangestelde voor de gegevensbescherming aanwijst die op onafhankelijke wijze zorgt voor de toepassing van deze wet en van haar uitvoeringsmaatregelen. De Koning bepaalt bij een in ministerraad overlegd besluit, na advies van de Commissie voor de bescherming van de persoonlijke levenssfeer, het statuut van de aangestelde voor de gegevensbescherming.]1
}1. – Ingevoegd bij art. 25 wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001)
Art. 18. Bij de Commissie voor de bescherming van de persoonlijke levenssfeer wordt een register gehouden van de geautomatiseerde verwerkingen van persoonsgegevens. Bij de inschrijving in dat register moeten de gegevens bedoeld in artikel 17, §§ 3 en 6 worden opgenomen. Dat register staat ter inzake van eenieder op de wijze door de Koning bepaald. }1[...]1 }1. – Lid 4 opgeheven bij art. 26 wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001)
Art. 19. Wanneer de Commissie voor de bescherming
van de persoonlijke levenssfeer meent dat een }1[nietgeautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of bestemd zijn om daarin te worden opgenomen]1 een mogelijke schending van de persoonlijke levenssfeer inhoudt, kan zij hetzij ambtshalve, hetzij op verzoek van een betrokkene de }1[verantwoordelijke voor de verwerking]1 opleggen haar mededeling te verstrekken van het geheel of een gedeelte van de inlichtingen opgesomd in artikel 17. }1. – Gewijzigd bij art. 27, 1°-2° wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001)
Art. 20. Indien door of krachtens een wet wordt voorzien in een specifiek systeem van voorafgaande machtigingen of aangiften van verwerkingen van gegevens, dat voorziet in het ter beschikking stellen van een bijzonder toezichtcomité van de inlichtingen vermeld in artikel 17, §§ 3 en 6 en in het inschrijven in een openbaar register van de vermeldingen bedoeld in artikel 17, §§ 3 en 6, wordt geacht aan de verplichtingen van de artikelen 17, 18 en 19 te zijn voldaan wanneer het geheel van deze informatie op permanente wijze ter beschikking wordt gehouden van de Commissie voor de bescherming van de persoonlijke levenssfeer. Artikel 17, § 9 is van overeenkomstige toepassing.
HOOFDSTUK VI }1
[DOORGIFTE VAN PERSOONSGEGEVENS NAAR LANDEN BUITEN DE EUROPESE GEMEENSCHAP]1
}1. Opschrift vervangen bij art. 28 wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001) mene en sectoriële rechtsregels die in het betrokken Art. 21. }1[§ 1. Persoonsgegevens die aan een verwer-
king worden onderworpen na doorgifte ervan naar een land buiten de Europese Gemeenschap, mogen slechts worden doorgegeven indien dat land een passend beschermingsniveau waarborgt en de andere bepalingen van deze wet en de uitvoeringsbesluiten ervan worden nageleefd. De vraag of het beschermingsniveau passend is, wordt beoordeeld met inachtneming van alle omstandigheden die op de doorgifte van gegevens of op een categorie gegevensdoorgiften van invloed zijn; in het bijzonder wordt rekening gehouden met de aard van de gegevens, met het doeleinde en met de duur van de voorgenomen verwerking of verwerkingen, het land van herkomst en het land van eindbestemming, de alge-
land gelden, alsmede de beroepscodes en de veiligheidsmaatregelen die in die landen worden nageleefd. § 2. De Koning bepaalt, na advies van de Commissie voor de bescherming van de persoonlijke levenssfeer en conform artikel 25 van richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrij verkeer van die gegevens, voor welke categorieën van verwerkingen van persoonsgegevens en in welke omstandigheden de doorgifte van persoonsgegevens aan landen buiten de Europese Unie niet is toegestaan.]1 }1. – Vervangen bij art. 29 wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001)
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
269
Bijlagen Wet 8 december 1992 - WVP (Art. 22)
Art. 22. }2 [§ 1. In afwijking van het bepaalde in artikel 21 mag een doorgifte of categorie doorgiften van persoonsgegevens naar een land buiten de Europese Gemeenschap dat geen waarborgen biedt voor een adequaat beschermingsniveau, plaatsvinden in één van de volgende gevallen: {1 1° de betrokkene heeft daarvoor zijn ondubbelzinnige toestemming gegeven; 2° de doorgifte is noodzakelijk voor de uitvoering van een overeenkomst tussen de betrokkene en de verantwoordelijke voor de verwerking of voor de uitvoering van op verzoek van de betrokkene genomen precontractuele maatregelen; 3° de doorgifte is noodzakelijk voor de sluiting of de uitvoering van een in het belang van de betrokkene tussen de verantwoordelijke voor de verwerking en een derde gesloten of te sluiten overeenkomst; 4° de doorgifte is noodzakelijk of wettelijk verplicht vanwege een zwaarwegend algemeen belang of voor de vaststelling, de uitoefening of de verdediging van een recht in rechte; 5° de doorgifte is noodzakelijk ter vrijwaring van het vitaal belang van de betrokkene;
6° de doorgifte geschiedt vanuit een openbaar register dat krachtens wettelijke of bestuursrechtelijke bepalingen bedoeld is om het publiek voor te lichten en dat door eenieder dan wel door iedere persoon die zich op een gerechtvaardigd belang kan beroepen, kan worden geraadpleegd, voor zover in het betrokken geval is voldaan aan de wettelijke voorwaarden voor raadpleging. Onverminderd het bepaalde in het vorige lid kan de Koning, na advies van de Commissie voor de bescherming van de persoonlijke levenssfeer, machtiging verlenen voor een doorgifte of een categorie doorgiften van persoonsgegevens naar een land buiten de Europese Gemeenschap dat geen waarborgen voor een passend beschermingsniveau biedt, indien de verantwoordelijke voor de verwerking voldoende waarborgen biedt ten aanzien van de bescherming van de persoonlijke levenssfeer, de fundamentele rechten en vrijheden van personen, alsmede ten aanzien van de uitoefening van de daaraan verbonden rechten; deze waarborgen kunnen met name voortvloeien uit passende contractuele bepalingen.]2 1. – Nummering conform B.S., er is geen § 2 }2. – Vervangen bij art. 30 wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001)
HOOFDSTUK VII
COMMISSIE VOOR DE BESCHERMING VAN DE PERSOONLIJKE LEVENSSFEER Art. 23. }1[Bij de Kamer van volksvertegenwoordigers wordt een Commissie voor de bescherming van de persoonlijke levenssfeer ingesteld, die samengesteld is uit leden die worden aangewezen door de Kamer van volksvertegenwoordigers, onder wie de voorzitter en de ondervoorzitter.]1 De zetel van de Commissie is gevestigd in het administratief arrondissement Brussel-Hoofdstad. }1. – Lid 1, na wijziging, vervangen bij art. 2 wet 26 februari 2003, B.S., 26 juni 2003, inwerkingtreding: 26 juni 2003 (art. 17, § 1, lid 2) }1 }2
Art. 24. [§ 1. [De Commissie bestaat uit acht vaste
leden, onder wie ten minste één magistraat die het voorzitterschap waarneemt, en acht plaatsvervangende leden, onder wie ten minste één magistraat.]2 § 2. De Commissie bestaat uit een gelijk aantal Nederlandstalige en Franstalige leden. § 3. }3[...]3 § 4. De leden van de Commissie worden gekozen voor een hernieuwbare termijn van 6 jaar op door de ministerraad voorgedragen lijsten die voor ieder te bekleden mandaat twee kandidaten bevatten. Zij kunnen door de Kamer }4[van volksvertegenwoordigers]4, van hun opdracht worden ontheven wegens tekortkomingen in hun taken of wegens inbreuk op de waardigheid van hun ambt. }5 [De leden moeten alle waarborgen bieden met het oog op een onafhankelijke uitoefening van hun opdracht alsmede volkomen deskundig zijn op het stuk van de bescherming van gegevens.]5 De Commissie is op zodanige wijze samengesteld dat in haar midden een evenwicht bestaat tussen de verschillende sociaal-economische groepen. Benevens de voorzitter, bevat de Commissie onder haar vaste leden en onder haar plaatsvervangende leden, ten minste een jurist, een informaticus, een per-
270
soon die beroepservaring kan voorleggen in het beheer van persoonsgegevens afhangende van de private sector en een persoon die beroepservaring kan voorleggen in het beheer van persoonsgegevens afhangende van de openbare sector. § 5. Om tot vast dan wel plaatsvervangend lid van de Commissie te worden benoemd en het te blijven, moeten de kandidaten aan de volgende voorwaarden voldoen: 1° Belg zijn; 2° de burgerlijke en politieke rechten genieten; 3° geen lid zijn van het Europees Parlement of van de Wetgevende Kamers, noch van een Gemeenschaps- of }6 [Gewestparlement]6. § 6. Binnen de perken van hun bevoegdheden krijgen de leden van de Commissie van niemand onderrichtingen. Zij kunnen niet van hun mandaat worden ontheven voor meningen die zij uiten of daden die zij stellen bij het vervullen van hun functie. § 7. Het is de leden van de Commissie verboden aanwezig te zijn bij een beraadslaging over zaken waarbij zij een persoonlijk belang hebben of waarbij hun bloed- of aanverwanten tot en met de vierde graad een persoonlijk belang hebben.]1 }1. – Vervangen bij art. 32 wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001) }2. – § 1 vervangen bij art. 3, 1°, wet 26 februari 2003, B.S., 26 juni 2003, inwerkingtreding: 26 juni 2003 (art. 17, § 1, lid 2) }3. – § 3 opgeheven bij art. 3, 2°, wet 26 februari 2003, B.S., 26 juni 2003, inwerkingtreding: 26 juni 2003 (art. 17, § 1, lid 2) }4. – § 4, lid 1, gewijzigd bij art. 3, 3°, wet 26 februari 2003, B.S., 26 juni 2003, inwerkingtreding: 26 juni 2003 (art. 17, § 1, lid 2) }5. – § 4, lid 2, vervangen bij art. 3, 4°, wet 26 februari 2003, B.S., 26 juni 2003, inwerkingtreding: 26 juni 2003 (art. 17, § 1, lid 2) }6. – § 5, 3°, gewijzigd bij art. 23 wet 27 maart 2006, B.S., 11 april 2006
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
Bijlagen Wet 8 december 1992 - WVP (Art. 30)
Art. 25. Wanneer een vast lid verhinderd is of afwezig alsmede in het geval dat zijn mandaat openvalt, wordt het lid vervangen door zijn plaatsvervanger. }1[Het vorige lid is van toepassing bij de berekening van het aanwezigheidsquorum en, desgevallend op de stemming, bedoeld in artikel 28, tweede lid. Het vormt geen beletsel dat de Commissie vergadert in een formatie die zowel de vaste leden als de plaatsvervangende leden verenigt.]1 Het vast of het plaatsvervangend lid waarvan het mandaat een einde neemt voor het verstrijken van de termijn van zes jaar wordt volgens de in artikel 24 bedoelde procedures vervangen door een vast of een plaatsvervangend lid dat voor de rest van de termijn wordt gekozen. }1. – Ingevoegd bij art. 36 wet 23 december 2005, B.S., 30 december 2005 Art. 26. }1[§ 1.]1 De Voorzitter van de Commissie oefent zijn functie voltijds uit. }2[Hij wordt van rechtswege
gedetacheerd door zijn rechtscollege. Hij is belast met het dagelijks beheer van de Commissie, leidt het secretariaat, zit de vergaderingen van de Commissie in haar verschillende afdelingen voor of machtigt daartoe een ander lid en vertegenwoordigt de Commissie. Hij brengt geregeld verslag uit aan de in bestuursvergadering verenigde Commissie.]2 Tijdens de duur van zijn mandaat mag hij geen andere beroepsbezigheid uitoefenen. De Kamer die hem heeft benoemd kan afwijkingen op die onverenigbaarheid toestaan op voorwaarde dat ze de betrokkene niet beletten zijn opdracht naar behoren te vervullen. In zijn vervanging als magistraat wordt voorzien door een benoeming in overtal. Wanneer het een korpschef betreft wordt in zijn vervanging voorzien door de benoeming in overtal van een magistraat tot de onmiddellijk lagere rang. Hij geniet een wedde die gelijkstaat met die van eerste-advocaat-generaal bij het Hof van Cassatie, alsmede de daaraan verbonden verhogingen en voordelen. Hij neemt zijn plaats op de ranglijst weer in van het ogenblik af dat hij zijn mandaat neerlegt. }3 [§ 2. De voorzitter wordt in zijn functies bijgestaan door een ondervoorzitter, die door de Kamer van volksvertegenwoordigers wordt aangewezen uit de in artikel 24, § 1, bedoelde vaste leden en die tot een andere taalgroep behoort dan de voorzitter. De ondervoorzitter oefent zijn ambt voltijds uit en de bepalingen van § 1, tweede en vierde lid, zijn op hem van toepassing. Paragraaf 1, derde en vijfde lid, is van toepassing op de ondervoorzitter als die magistraat is. Ingeval de voorzitter verhinderd is, neemt de ondervoorzitter zijn taak over.]3 }1. – § 1 genummerd bij art. 4, inleidende zin, wet 26 februari 2003, B.S., 26 juni 2003, inwerkingtreding: 26 juni 2003 (art. 17, § 1, lid 2) }2. – § 1, lid 1, aangevuld bij art. 4, 1°, wet 26 februari 2003, B.S., 26 juni 2003, inwerkingtreding: 26 juni 2003 (art. 17, § 1, lid 2) }3. – § 2 toegevoegd bij art. 4, 2°, wet 26 februari 2003, B.S., 26 juni 2003, inwerkingtreding: 26 juni 2003 (art. 17, § 1, lid 2) Art. 27. }1[Alvorens hun ambt te aanvaarden, leggen
de voorzitter, de ondervoorzitter, de andere vaste leden en de plaatsvervangende leden in handen van de voorzitter van de Kamer van volksvertegenwoordigers de volgende eed af:]1
«Ik zweer de plichten van mijn opdracht gewetensvol en onpartijdig te vervullen». }1. – Inleidende zin vervangen bij art. 5 wet 26 februari 2003, B.S., 26 juni 2003, inwerkingtreding: 26 juni 2003 (art. 17, § 1, lid 2)
Art. 28. De Commissie voor de bescherming van de persoonlijke levenssfeer moet binnen een maand na haar instelling, haar reglement van orde opstellen. Het wordt medegedeeld aan de Wetgevende Kamers. De Commissie beraadslaagt slechts dan op geldige wijze, wanneer ten minste de meerderheid van haar leden aanwezig is. Zij beslist bij volstrekte meerderheid. Bij staking van de stemmen is de stem van de Voorzitter of bij diens afwezigheid, van zijn plaatsvervanger doorslaggevend. Art. 29. § 1. De Commissie dient van advies, hetzij uit eigen beweging, hetzij op verzoek van de Regering, van de Wetgevende Kamers, van de Gemeenschaps- of }1[gewestregeringen]1, van de Gemeenschaps- of }2[Gewestparlementen]2, van het Verenigd College of van de Verenigde Vergadering bedoeld in artikel 60 van de bijzondere wet van 12 januari 1989 met betrekking tot de Brusselse instellingen, of van een toezichtcomité, omtrent iedere aangelegenheid die betrekking heeft op de toepassing van de grondbeginselen van de bescherming van de persoonlijke levenssfeer, in het kader van deze wet en van de wetten die bepalingen bevatten inzake de bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens. § 2. Elk verzoek wordt bij de Commissie ingediend bij ter post aangetekende brief. Tenzij de wet anders bepaalt, brengt de Commissie advies uit binnen zestig dagen nadat alle daartoe noodzakelijke gegevens aan de Commissie zijn medegedeeld. § 3. In de gevallen waar het advies van de Commissie door of krachtens een wet, een decreet of een ordonnantie vereist is, mag aan deze vereiste voorbijgegaan worden wanneer het advies niet werd verleend binnen de termijn bedoeld in paragraaf 2. In de gevallen waar het advies van de Commissie vereist is krachtens een bepaling van deze wet, met uitzondering van artikel 11, wordt de termijn bedoeld in § 2 in speciaal gemotiveerde dringende gevallen verminderd tot ten minste vijftien dagen. § 4. De adviezen van de Commissie zijn met redenen omkleed. § 5. De Commissie deelt haar advies aan de betrokken overheid mede. Een afschrift van het advies wordt medegedeeld aan de minister van Justitie. In de gevallen waar het advies van de Commissie vereist is, wordt het samen met de reglementsbepaling waarop het betrekking heeft, in het Belgisch Staatsblad bekendgemaakt. }1. – § 1 gewijzigd bij art. 24, 1°, wet 27 maart 2006, B.S., 11 april 2006 }2. – § 1 gewijzigd bij art. 24, 2°, wet 27 maart 2006, B.S., 11 april 2006
Art. 30. § 1. De Commissie kan aanbevelingen richten, hetzij uit eigen beweging, hetzij op verzoek van de Regering, van de Wetgevende Kamers, van de Gemeenschaps- of }1[gewestregeringen]1, van de Gemeenschaps of }2[Gewestparlementen]2, van het Verenigd College of van de Verenigde Vergadering bedoeld in artikel 60 van de bijzondere wet van 12 januari 1989 met betrekking tot de Brusselse instellingen, of van een toezichtcomité,
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
271
Bijlagen Wet 8 december 1992 - WVP (Art. 31)
omtrent iedere aangelegenheid die betrekking heeft op de toepassing van de grondbeginselen van de bescherming van de persoonlijke levenssfeer in het kader van deze wet en van de wetten die bepalingen bevatten inzake de bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens. § 2. Alvorens een aanbeveling te richten tot een bepaalde }3[verantwoordelijke voor de verwerking]3, geeft de Commissie de houder van het bestand de gelegenheid zijn standpunt te doen kennen. § 3. De aanbevelingen van de Commissie zijn met redenen omkleed. Een afschrift van elke aanbeveling wordt medegedeeld aan de Minister van Justitie. }1. – § 1 gewijzigd bij art. 25, 1°, wet 27 maart 2006, B.S., 11 april 2006 }2. – § 1 gewijzigd bij art. 25, 2°, wet 27 maart 2006, B.S., 11 april 2006 }3. – § 2 gewijzigd bij art. 33 wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001)
Art. 31. § 1. Onverminderd enige vordering voor de rechtbanken en tenzij de wet anders bepaalt, onderzoekt de Commissie de getekende en gedateerde klachten die haar worden toegestuurd. Deze klachten kunnen betrekking hebben op haar opdracht in verband met de bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens of op andere opdrachten die haar door de wet zijn toevertrouwd. § 2. De rechtspleging wordt geregeld in het reglement van orde. Dit voorziet in de uitoefening van een recht van verdediging. § 3. De Commissie onderzoekt of de klacht ontvankelijk is. Ten aanzien van ontvankelijke klachten vervult de Commissie elke bemiddelingstaak die zij nuttig oordeelt. Zo een minnelijke schikking tussen de partijen wordt bereikt, op basis van het respect voor de persoonlijke levenssfeer, stelt zij een procesverbaal op, waarin de bereikte oplossing wordt uiteengezet. Zo geen minnelijke schikking wordt bereikt, geeft de Commissie een advies over de gegrondheid van de klacht. Zij kan het advies vergezeld doen gaan van aanbevelingen aan de }1 [verantwoordelijke voor de verwerking]1. § 4. De beslissingen, adviezen en aanbevelingen van de Commissie zijn met redenen omkleed. § 5. De Commissie deelt haar beslissing, advies of aanbeveling mede aan de klager, de }2[verantwoordelijke voor de verwerking]2 en alle andere in de rechtspleging betrokken partijen. Een afschrift van de beslissing, het advies of de aanbevelingen wordt medegedeeld aan de Minister van Justitie. }1. – § 3 gewijzigd bij art. 34 wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001) }2. – § 5, lid 1, gewijzigd bij art. 34 wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001)
}1[Art. 31bis. § 1. De wet richt binnen de Commissie
sectorale comités op die bevoegd zijn om aanvragen met betrekking tot de verwerking of de mededeling van gegevens waarvoor bijzondere wetgevingen gelden te onderzoeken en er uitspraak over te doen binnen de door de wet vastgestelde perken. § 2. Onverminderd artikel 37 van de wet van 15 januari 1990 houdende oprichting en organisaties van een Kruispuntbank van de Sociale Zekerheid, is elk sectoraal comité samengesteld uit drie vaste of plaats-
272
vervangende leden van de Commissie, onder wie de voorzitter of een door de Commissie als voorzitter aangewezen lid, alsmede drie externe leden die worden aangewezen door de Kamer van volksvertegenwoordigers overeenkomstig de voorwaarden en de nadere regels die zijn bepaald in of krachtens de bijzondere wetgeving tot regeling van het betrokken comité. Bij staking van stemmen is de stem van de voorzitter beslissend. De leidend ambtenaar van de beheersinstelling van de betrokken sector kan met raadgevende stem uitgenodigd worden aan de vergaderingen van het comité. § 3. De Commissie zendt de bij haar ingediende aanvragen betreffende de verwerking of de mededeling van gegevens die door een bijzondere wetgeving worden gereglementeerd, over aan het bevoegd sectoraal comité indien het werd samengesteld en aan de beheersinstelling van de betrokken sector. Die zendt binnen vijftien dagen na de ontvangst van de aanvraag en voor zover het dossier in gereedheid is, aan het comité een technisch en juridisch advies over. Onder hetzelfde voorbehoud doet het comité uitspraak binnen dertig dagen na de ontvangst van dat advies of, in voorkomend geval, nadat de voormelde termijn van vijftien dagen verstreken is. Zo niet, wordt zijn uitspraak geacht overeen te stemmen met het technisch en juridisch advies. Indien een aanvraag als bedoeld in het vorige lid om dringende reden moet worden behandeld en binnen een termijn die korter is dan die welke in dat lid is bepaald, deelt de voorzitter de aanvraag, het juridische en technische advies en het ontwerpbesluit zo spoedig mogelijk mee aan de leden, die worden verzocht hun standpunt over het ontwerpbesluit aan de voorzitter kenbaar te maken binnen de door hem gestelde termijn. Het ontwerpbesluit wordt pas definitief wanneer geen enkel lid, binnen de door de voorzitter gestelde termijn, laat weten dat hij het niet eens is met de essentiële elementen van dat ontwerp. Indien nodig, organiseert de voorzitter een buitengewone vergadering van het sectoraal comité. In overleg met de leidend ambtenaar van de betrokken instelling gaat de voorzitter na of er dringende redenen bestaan die de toepassing van de twee vorige leden verantwoorden. Onverminderd artikel 44 van voornoemde wet van 15 januari 1990, kan de voorzitter van het comité het onderzoek van een dossier opschorten om het aan de Commissie te overhandigen die binnen een maand uitspraak doet. § 4. Het voorzitterschap van een afdeling geeft recht op dubbel presentiegeld, behalve indien het wordt waargenomen door de voorzitter of de ondervoorzitter van de Commissie. § 5. Onverminderd artikel 41 van voormelde wet van 15 januari 1990 worden de sectorale comités ingesteld en vergaderen zij op de zetel van de Commissie, behalve indien de betrokken beheersinstelling vraagt dat het comité waaronder zij valt, bij haar wordt ingesteld en vergadert. De Commissie kan dat verzoek inwilligen, op voorwaarde dat de beheersinstelling de voorzitter van het sectoraal comité vooraf de kantoren en kantooruitrusting ter beschikking stelt die nodig zijn voor de werking van het comité en zijn voorzitterschap, alsook een secretaris die wordt gekozen door de voorzitter in overleg met de leidend ambtenaar van de betrokken instelling, en gespecialiseerd personeel, met name juristen en in-
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
Bijlagen Wet 8 december 1992 - WVP (Art. 35)
formatici, voorzover daar nood aan is om de taken van het sectoraal comité tot een goed einde te brengen. De voorzitter van het sectoraal comité draagt de functionele verantwoordelijkheid over dat personeel wat de opdrachten betreft die het voor dit comité uitvoert.]1
De Koning bepaalt de nadere regels van de vertegenwoordiging na advies van de Commissie voor de bescherming van de persoonlijke levenssfeer.]1
}1. – Ingevoegd bij art. 6 wet 26 februari 2003, B.S., 26 juni 2003, inwerkingtreding: 26 juni 2003 (art. 17, § 1, lid 2)
Art. 33. Onverminderd artikel 32, § 2, zijn de leden en
Art. 32. § 1. De Commissie mag voor het vervullen van al haar taken een beroep doen op de medewerking van deskundigen. Zij mag een of meer van haar leden, eventueel bijgestaan door deskundigen, belasten met de uitvoering van een onderzoek ter plaatse. }1 [De leden van de Commissie hebben in dit geval de hoedanigheid van officier van gerechtelijke politie, hulpofficier van de procureur des Konings.]1
Ze kunnen onder meer mededeling eisen van elk document dat hen bij hun onderzoek van nut kan zijn. Ze hebben tevens toegang tot alle plaatsen waarvan ze redelijkerwijze kunnen vermoeden dat er werkzaamheden worden verricht die in verband staan met de toepassing van deze wet. § 2. Tenzij de wet anders bepaalt, doet de Commissie bij de procureur des Konings aangifte van de misdrijven waarvan zij kennis heeft. De Commissie dient ieder jaar bij de Wetgevende Kamers een verslag over haar werkzaamheden in. }2[Dit verslag, dat openbaar is, bevat naast de algemene informatie over de toepassing van deze wet en over de activiteiten van de Commissie, specifieke informatie over de toepassing van de artikelen 3, §§ 3 en 6, 13, 17 en 18.]2
§ 3. Onverminderd de bevoegdheid van de gewone hoven en rechtbanken met het oog op de toepassing van de algemene beginselen inzake bescherming van de persoonlijke levenssfeer, kan de voorzitter van de Commissie ieder geschil aangaande de toepassing van deze wet en haar uitvoeringsmaatregelen aan de rechtbank van eerste aanleg voorleggen. }1. – § 1, lid 2, vervangen bij art. 35, 1°, wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001) }2. – § 2, lid 3, ingevoegd bij art. 35, 2°, wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001)
}1
[Art. 32bis. § 1. Met het oog op de toepassing van internationale verdragen, kan de Koning bij een in ministerraad overlegd besluit de Commissie voor de bescherming van de persoonlijke levenssfeer aanwijzen om, krachtens deze verdragen, opdrachten uit te voeren die identiek zijn aan die welke deze wet aan de Commissie toekent. § 2. Met het oog op de toepassing van internationale verdragen, is de Commissie voor de bescherming van de persoonlijke levenssfeer gemachtigd om bepaalde van haar leden of personeelsleden aan te wijzen in de hoedanigheid van vertegenwoordigers bij internationale autoriteiten, belast met opdrachten die identiek zijn aan die welke deze wet aan de Commissie toekent.
}1. – Ingevoegd bij art. 36 wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001)
de personeelsleden van de Commissie en de deskundigen om wier medewerking is verzocht, verplicht het vertrouwelijk karakter te bewaren van de feiten, de handelingen of de inlichtingen waarvan zij uit hoofde van hun functie kennis hebben gehad. Art. 34. }1 [Onverminderd de bevoegdheid van de Kamer van volksvertegenwoordigers om de gedetailleerde begroting van de Commissie voor de bescherming van de persoonlijke levenssfeer te onderzoeken en goed te keuren alsook de uitvoering ervan de controleren en de gedetailleerde rekeningen te verifiëren en goed te keuren, worden de kredieten voor deze begroting uitgetrokken als dotatie op de algemene uitgavenbegroting van het Rijk.]1 }2 [De Commissie voegt bij haar begrotingsvoorstel een bondig bestuursplan waarvan zij, onverminderd de opmerkingen van de Kamer van volksvertegenwoordigers, de inhoud en de vorm bepaalt; het in artikel 32, § 2, tweede lid, bedoelde jaarlijkse verslag over haar werkzaamheden bevat een onderdeel waarin de opvolging van dat plan wordt omschreven.]2 De bijdragen bedoeld in de artikelen 17, § 9 en 20, tweede lid, worden door de rekenplichtige van de Commissie gestort op een speciaal daartoe geopend artikel van de Rijksmiddelenbegroting. {3 }1. – Lid 1 laatst vervangen bij art. 7 wet 23 mei 2007, B.S., 20 juni 2007 }2. – Lid 2 ingevoegd bij art. 7 wet 26 februari 2003, B.S., 26 juni 2003, inwerkingtreding: 26 juni 2003 (art. 17, § 1, lid 2) }3. – Lid 3 houdt op uitwerking te hebben vanaf 1 januari 2004 (art. 99 Programmawet (I) 27 december 2006, B.S., 28 december 2006, inwerkingtreding: 7 januari 2007) Art. 35. }1[§ 1. De Commissie beschikt over een secre-
tariaat, waarvan de personeelsformatie, het statuut en de wijze van aanwerving bepaald worden door de Kamer van volksvertegenwoordigers, op voorstel van de Commissie. De personeelsformatie kan, in beperkte en behoorlijk verantwoorde mate, voorzien in de mogelijkheid om werknemers met een arbeidsovereenkomst van bepaalde duur in dienst te nemen. Behalve indien de Commissie er ter wille van de goede werking van haar diensten er in een door de Kamer van volksvertegenwoordigers goedgekeurde verordening anders over beslist, is het personeel van het secretariaat onderworpen aan de wettelijke en statutaire bepalingen die gelden voor de vaste Rijksambtenaren. § 2. De personeelsleden die op het ogenblik van de inwerkingtreding van de wet van 26 februari 2003 tot wijziging van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens en van de wet van 15 januari 1990 houdende oprichting en organisatie van een Kruispuntbank van de Sociale Zekerheid tot aanpassing van het statuut van de Commissie voor de bescherming van de persoonlijke levenssfeer en tot uitbreiding van haar bevoegdheden in dienst zijn bij de Commissie behouden hun functie en hun statuut totdat de met toepassing van § 1 genomen maatregelen zijn
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
273
Bijlagen Wet 8 december 1992 - WVP (Art. 36)
goedgekeurd. Indien die ambtenaren ter gelegenheid van de aanwijzingen die overeenkomstig de voormelde maatregelen worden gedaan niet worden overgenomen, keren ze van rechtswege terug naar de diensten van de Federale Overheidsdienst Justitie, met het statuut dat daarop van toepassing is.]1
Zij zijn gerechtigd op de vergoedingen voor reis- en verblijfskosten overeenkomstig de bepalingen die van toepassing zijn op het personeel van de ministeries. De personen die niet tot het bestuur behoren of voor wie de rang waartoe hun graad behoort niet is bepaald, worden gelijkgesteld met ambtenaren van rang 13.
}1. – Vervangen bij art. 8 wet 26 februari 2003, B.S., 26 juni 2003, inwerkingtreding: 26 juni 2003 (art. 17, § 1, lid 2)
De Voorzitter wordt gelijkgesteld met een ambtenaar van rang 17.
Art. 36. De Voorzitter heeft recht op een vergoeding
De deskundigen wier medewerking door de Commissie wordt gevorderd of die de leden bijstaan welke belast zijn met een onderzoek ter plaatse, kunnen worden vergoed op de wijze bepaald door de Minister van Justitie in overleg met de ministers tot wier bevoegdheid het Openbaar Ambt en de Begroting behoren.
gelijk aan de weddenbijslag toegekend aan een onderzoeksrechter met negen jaar ambtsuitoefening in een rechtbank waarvan het rechtsgebied ten minste 500 000 inwoners telt. }1 [De plaatsvervangend voorzitter, de plaatsvervangend ondervoorzitter en de vaste of plaatsvervangende leden hebben recht op presentiegeld voor een bedrag van EUR 223,18 (indexcijfer 1,2682). Dat bedrag is gekoppeld aan de evolutie van het indexcijfer van de consumptieprijzen.]1
}1
De vergoeding bedoeld in het eerste lid wordt gekoppeld aan de mobiliteitsregeling toepasselijk op de bezoldiging van het Rijkspersoneel in actieve dienst. }1. – Lid 2 vervangen bij art. 9 wet 26 februari 2003, B.S., 26 juni 2003, inwerkingtreding: 26 juni 2003 (art. 17, § 1, lid 2)
[HOOFDSTUK VIIbis
SECTORALE COMITÉS]1 }1. Opschrift ingevoegd bij art. 10 wet 26 februari 2003, B.S., 26 juni 2003, inwerkingtreding: 26 juni 2003 (art. 17, § 1, lid 2)
}1[Art. 36bis. Binnen de Commissie voor de bescher-
ming van de persoonlijke levenssfeer wordt een sectoraal comité voor de federale overheid opgericht, in de zin van artikel 31bis. De Federale Overheidsdienst Informatie- en Communicatietechnologie wordt voor het sectoraal comité voor de federale overheid beschouwd als de beheersinstelling bedoeld in artikel 31bis. De Koning bepaalt bij een besluit vastgesteld na overleg in de Ministerraad, de voorwaarden en de nadere regels waaraan de drie externe leden van het sectoraal comité voor de federale overheid moeten voldoen. Behalve in de door de Koning bepaalde gevallen, vereist elke elektronische mededeling van persoonsgegevens door een federale overheidsdienst of door een openbare instelling met rechtspersoonlijkheid die onder de federale overheid ressorteert een principiële machtiging van dit sectoraal comité, tenzij de mededeling reeds onderworpen is aan een principiële machtiging van een
andere sectoraal comité opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer. Vooraleer het zijn machtiging verleent, gaat het sectoraal comité voor de federale overheid na of de mededeling in overeenstemming is met de wettelijke en reglementaire bepalingen. De machtigingen verstrekt door het sectoraal comité voor de federale overheid zijn zodra zij definitief zijn, openbaar. Zij worden gepubliceerd op de website van de Commissie voor de bescherming van de persoonlijke levenssfeer. De leidend ambtenaar van de betrokken federale overheidsdienst of van de betrokken openbare instelling met rechtspersoonlijkheid die onder de federale overheid ressorteert, of een door hem aangewezen medewerker, kan met raadgevende stem deelnemen aan de vergaderingen van het sectoraal comité voor de federale overheid.]1 }1. – Ingevoegd bij art. 10 wet 26 februari 2003, B.S., 26 juni 2003, inwerkingtreding: 26 juni 2003 (art. 17, § 1, lid 2)
HOOFDSTUK VIII
STRAFBEPALINGEN Art. 37. Met een geldboete van tweehonderd tot tienduizend frank, wordt gestraft elk lid of elk personeelslid van de Commissie voor de bescherming van de persoonlijke levenssfeer of elke deskundige die de in artikel 33 bepaalde verplichting tot vertrouwelijkheid heeft geschonden.
Art. 38. Met geldboete van honderd tot twintigduizend
frank wordt gestraft de }1[verantwoordelijke voor de verwerking]1, zijn vertegenwoordiger in België, zijn aangestelde of lasthebber, die een van de verplichtingen opgelegd bij de artikelen 15 of 16, § 1 niet nakomt.
274
}1. – Gewijzigd bij art. 37 wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001)
Art. 39. Met geldboete van honderd frank tot honderdduizend frank wordt gestraft: 1° }1[de verantwoordelijke, zijn vertegenwoordiger in België, zijn aangestelde of gemachtigde die persoonsgegevens verwerkt met overtreding van de voorwaarden die in artikel 4, § 1, worden opgelegd;]1
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
Bijlagen Wet 8 december 1992 - WVP (Art. 42)
2° }2[de verantwoordelijke voor de verwerking, zijn vertegenwoordiger in België, zijn aangestelde of gemachtigde die persoonsgegevens verwerkt buiten de door artikel 5 toegelaten gevallen;]2 3° }3[de verantwoordelijke voor de verwerking, zijn vertegenwoordiger in België, zijn aangestelde of gemachtigde die persoonsgegevens verwerkt in overtreding van de artikelen 6, 7 of 8;]3 4° }4[de verantwoordelijke voor de verwerking, zijn vertegenwoordiger in België, zijn aangestelde of gemachtigde die de verplichtingen bepaald in artikel 9 niet heeft nageleefd;]4 5° de }5[verantwoordelijke voor de verwerking]5, zijn vertegenwoordiger in België, zijn aangestelde of gemachtigde die geen mededeling doet van de inlichtingen bedoeld in artikel 10, § 1, binnen vijfenveertig dagen na ontvangst van het verzoek, of die wetens onjuiste of onvolledige inlichtingen verstrekt; 6° }6[hij die om een persoon te dwingen hem inlichtingen mede te delen verkregen door de uitoefening van het recht omschreven in artikel 10, § 1, of zijn instemming te geven met de verwerking van hem betreffende persoonsgegevens, jegens die persoon gebruik maakt van feitelijkheden, geweld, bedreigingen, giften of beloften;]6 7° de }7[verantwoordelijke voor de verwerking]7, zijn vertegenwoordiger in België, zijn aangestelde of gemachtigde die een geautomatiseerde verwerking van persoonsgegevens start, het beheer erover heeft of blijft hebben dan wel daaraan een einde maakt, zonder dat aan de vereisten van artikel 17 is voldaan; 8° de }8[verantwoordelijke voor de verwerking]8, zijn vertegenwoordiger in België, zijn aangestelde of gemachtigde die, onvolledige of onjuiste inlichtingen verstrekt in de aangiften voorgeschreven bij artikel 17; 9° }9[...]9 10° }10[de verantwoordelijke voor de verwerking, zijn vertegenwoordiger in België, zijn aangestelde of gemachtigde die, in overtreding van artikel 19, weigert om aan de Commissie de informatie mee te delen met betrekking tot een niet-geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of bestemd zijn om daarin te worden opgenomen;]10 11° }11[...]11 12° }12[hij die persoonsgegevens doorgeeft, doet of laat doorgeven naar een land buiten de Europese Gemeenschap dat is opgenomen in de lijst bedoeld in artikel 21, § 2, met miskenning van de vereisten van artikel 22;]12 13° hij die de Commissie, haar leden of de door haar gevorderde deskundigen verhindert de in artikel 32 bedoelde verificaties te doen. }1. – 1° vervangen bij art. 38, A, wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001) }2. – 2° vervangen bij art. 38, A, wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001) }3. – 3° vervangen bij art. 38, A, wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001) }4. – 4° vervangen bij art. 38, A, wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001)
}5. – 5° gewijzigd bij art. 38, B, wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001) }6. – 6° vervangen bij art. 24 wet 8 augustus 1997, B.S., 24 augustus 2001, inwerkingtreding: 3 september 2001 (art. 29). Uitwissingen die voor de inwerkingtreding van deze wet hebben plaatsgevonden, blijven ten aanzien van de veroordeelde gelden (art. 27 wet 8 augustus 1997, B.S., 24 augustus 2001) }7. – 7° gewijzigd bij art. 38, B, wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001) }8. – 8° gewijzigd bij art. 38, B, wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001) }9. – 9° opgeheven bij art. 38, C, wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001) }10. – 10° vervangen bij art. 38, D, wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001) }11. – 11° opgeheven bij art. 38, E, wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001) }12. – 12° vervangen bij art. 38, F, wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001)
Art. 40. Bij veroordeling wegens een misdrijf omschreven in de artikelen 38 of 39, kan de rechtbank bevelen dat het vonnis in zijn geheel of bij uittreksel wordt opgenomen in één of meer dagbladen op de wijze die zij bepaalt, een en ander op kosten van de veroordeelde. Art. 41. § 1. Bij de veroordeling wegens een misdrijf omschreven in artikel 39 kan de rechter de verbeurdverklaring uitspreken van de dragers van persoonsgegevens waarop het misdrijf betrekking heeft, zoals manuele bestanden, magneetschijven of magneetbanden, met uitzondering van de computers of enige andere apparatuur, of de uitwissing van die gegevens gelasten. De verbeurdverklaring of de uitwissing kunnen worden gelast, ook wanneer de dragers van persoonsgegevens niet aan de veroordeelde toebehoren. Artikel 8, § 1, van de wet van 29 juni 1964 betreffende de opschorting, het uitstel en de probatie is niet van toepassing op de verbeurdverklaring, noch op de uitwissing gelast overeenkomstig het eerste en tweede lid. De verbeurdverklaarde voorwerpen moeten worden vernietigd wanneer de beslissing in kracht van gewijsde is gegaan. § 2. Onverminderd de ontzeggingen van een bevoegdheid gesteld in bijzondere gevallen, kan de rechtbank, bij veroordeling wegens een misdrijf genoemd in artikel 39, het verbod uitspreken om gedurende ten hoogste twee jaar rechtstreeks of door een tussenpersoon, het beheer te hebben over enige verwerking van persoonsgegevens. § 3. Elke overtreding van het verbod bepaald in § 2 of elke herhaling met betrekking tot de in de artikelen 37, 38 en 39 voorziene misdrijven, worden gestraft met gevangenisstraf van drie maanden tot twee jaar en met geldboete van honderd frank tot honderdduizend frank of met één van die straffen alleen.
Art. 42. De }1[verantwoordelijke voor de verwerking]1 of zijn vertegenwoordiger in België is burgerrechtelijk aansprakelijk voor de betaling van de boeten waartoe zijn aangestelde of lasthebber is veroordeeld. }1. – Gewijzigd bij art. 39 wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001)
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
275
Bijlagen Huish. Regl. 11 april 2007 - Commissie voor de bescherming van de persoonlijke levenssfeer (Art. 43)
Art. 43. Alle bepalingen van Boek I van het Strafwetboek, met inbegrip van hoofdstuk VII en artikel 85, wor-
den toegepast op de misdrijven, omschreven bij deze wet of bij de uitvoeringsbesluiten ervan.
HOOFDSTUK IX
SLOTBEPALINGEN Art. 44. De Koning kan bij een in Ministerraad overlegd besluit, na advies van de Commissie voor de bescherming van de persoonlijke levenssfeer, nadere regels stellen voor de toepassing van de bepalingen van deze wet teneinde rekening te houden met de specificiteit van de onderscheiden sectoren. }1[Beroepsverenigingen en andere organisaties die categorieën van verantwoordelijken voor de verwerking vertegenwoordigen, die ontwerpen van gedragscodes hebben opgesteld of voornemens zijn bestaande gedragscodes te wijzigen of te verlengen, kunnen deze voorleggen aan de Commissie voor de bescherming van de persoonlijke levenssfeer.]1 }2 [De Commissie vergewist er zich in het bijzonder van dat de haar voorgelegde ontwerpen in overeenstemming zijn met deze wet en met haar uitvoeringsbesluiten, en onderzoekt, voor zover dat mogelijk is, de standpunten van de betrokkenen of van hun vertegenwoordigers.]2 }1. – Lid 2 toegevoegd bij art. 40 wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001) }2. – Lid 3 toegevoegd bij art. 40 wet 11 december 1998, B.S., 3 februari 1999, inwerkingtreding: 1 september 2001 (art. 70, lid 1, K.B. 13 februari 2001, B.S., 13 maart 2001)
Art. 45. De Koning kan de overheden aanwijzen welke in oorlogstijd of in de tijd die overeenkomstig artikel 7 van de wet van 12 mei 1927 op de militaire opeisingen daarmee gelijkstaat, alsmede tijdens de bezetting van het Belgisch grondgebied door de vijand, het bevel
geven om de verwerkte gegevens te vernietigen of die zelf belast zijn met de vernietiging van die gegevens. De Koning kan tevens de bedragen vaststellen van de vergoeding voor de vernietigingen bepaald in het vorige lid. Met geldboete van honderd frank tot honderdduizend frank wordt gestraft, hij die de besluiten ter uitvoering van het eerste lid, overtreedt of ten onrechte gebruikt, dan wel misbruik maakt van het daarin bepaalde recht tot vernietiging. Art. 46-51. (...) {1 S 1. – Wijzigingsbepalingen
Art. 52. Iedere bepaling van deze wet treedt in werking op de datum bepaald door de Koning en uiterlijk op de eerste dag van de }2[vierentwintigste]2 maand volgend op die waarin zij in het Belgisch Staatsblad is bekendgemaakt. De Koning bepaalt de termijn binnen welke de houder van een bestand zich naar de bepalingen van deze wet dient te schikken voor de verwerkingen die op het ogenblik van hun inwerkingtreding bestaan. {1 F 1. – Inwerkingtreding: K.B. nr. 1, 28 februari 1993, B.S., 18 maart 1993; gewijzigd bij K.B. nr. 6, 13 september 1993, B.S., 25 september 1993; gewijzigd bij K.B. nr. 11, 14 maart 1994, B.S., 12 april 1994): art. 1-3, 5, 16, § 1, 1°, 21-33, 34, lid 1, 35-37, 40-45, 48-49, 51-52: 1 april 1993; art. 4, 7, lid 1-3, 10-15, 16, § 1, 3°, 46-47 en 50: 1 september 1993; art. 16, § 1, 2°, 19-20 en 34, lid 2: 1 maart 1994; art. 7, lid 4-5, en 16, § 1, 4°-5°, § 2-3: 1 september 1994; art. 6, 8-9, 17-18: op de dag van de inwerkingtreding van het eerste koninklijk besluit tot uitvoering ervan; art. 38-39 treden in werking naar gelang van de inwerkingtreding van de bepalingen waarvan zij de overtreding strafbaar stellen }2. – Lid 1 gewijzigd bij enig art. wet 30 juni 1994, B.S., 18 augustus 1994
Huish. Regl. 11 april 2007 – Commissie voor de bescherming van de persoonlijke levenssfeer (B.S., 10 mei 2007) HOOFDSTUK I
ALGEMENE BEPALINGEN Art. 1. De Commissie voor de bescherming van de persoonlijke levenssfeer, hierna de Commissie genoemd, heeft haar zetel te Brussel. Art. 2. De voorzitter waakt over de goede werking van de Commissie. Art. 3. De voorzitter roept de Commissie samen en stelt de plaats, de dag en het uur van de vergaderingen vast. Hij opent en sluit de vergaderingen. Hij leidt de debatten. Bij verhindering van de voorzitter worden zijn bevoegdheden uitgeoefend door de ondervoorzitter, die dan dezelfde bevoegdheden en verplichtingen heeft. Art. 4. Behoudens spoedeisende gevallen, door de voorzitter te beoordelen, worden de oproepingen tenminste acht dagen voor de vergadering aan de leden ver-
276
zonden. Zij bevatten de agenda van de vergadering, vergezeld van de nodige documenten. Art. 5. De voorzitter roept de Commissie bijeen wanneer tenminste drie leden erom verzoeken. Dit verzoek wordt gedaan, hetzij met een tot de voorzitter gericht schrijven, hetzij op een vergadering van de Commissie. Het verzoek preciseert het voorwerp van de bijeen te roepen vergadering. De vergadering van de Commissie wordt gehouden binnen de vijftien dagen na de indiening van het verzoek, tenzij de aanvragers instemmen met een latere datum. Art. 6. De voorzitter stelt de agenda vast. De agenda wordt opgedeeld in punten «A» en «B». De aangelegenheden gerangschikt onder «B» worden ter zitting aangenomen zonder bijkomende bespreking, tenzij
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
Bijlagen Huish. Regl. 11 april 2007 - Commissie voor de bescherming van de persoonlijke levenssfeer (Art. 14)
een lid de bespreking ervan heeft aangevraagd aan de voorzitter ten laatste om 10 uur de 2e werkdag voorafgaand aan deze van de desbetreffende zitting. De voorzitter of de administrateur verwittigt de andere leden dezelfde dag per mail. De andere aangelegenheden, gerangschikt onder «A» en deze op verzoek van een lid aldus omgevormd, worden steeds ter bespreking voorgelegd. Een aangelegenheid die niet op de agenda is vermeld, kan alleen in behandeling worden genomen mits tenminste de helft van de aanwezige leden daarmee instemt. Het lid dat de inschrijving van een punt op de agenda wenst, dient hiervoor een aanvraag in bij de voorzitter. Deze zal het punt inschrijven op de agenda van de volgende vergadering. Art. 7. Zowel de vaste leden als hun plaatsvervangers kunnen aan de vergaderingen deel nemen en kunnen tot verslaggever worden aangewezen. Alleen de vaste leden en de plaatsvervangende leden die een verhinderd vast lid vervangen, worden in aanmerking genomen voor de berekening van het aanwezigheidsquorum en zijn stemgerechtigd. Art. 8. Over de vergaderingen van de Commissie wordt een syntheseverslag opgesteld. Dit verslag wordt ondertekend door de voorzitter en de administrateur, hoofd van het secretariaat. De administrateur is belast met de bewaring van de stukken en levert de voor eensluidende verklaarde afschriften af van de akten en verslagen van de vergaderingen van de Commissie. De ontwerpen van verslag worden aan de leden van de Commissie medegedeeld. Zij worden op de eerstvolgende vergadering door de Commissie goedgekeurd. Art. 9. Voor elk advies, elke aanbeveling, elke aan de Commissie gerichte klacht of elk verzoek, of voor elke aangelegenheid die de voorzitter nuttig oordeelt, wijst hij één of meerdere verslaggevers aan. De voorzitter zorgt voor de ondersteuning van de verslaggever door een ambtenaar van het secretariaat. De verslaggever kan de ambtenaar aansturen bij de werkzaamheden. Art. 10. De voorzitter of de verslaggever kan aan de verzoekende partij, aan de klager, aan elke overheid, aan elke verantwoordelijke van een verwerking, of aan een derde, alle inlichtingen vragen die hij nodig oordeelt. Hij kan ze, gezamenlijk of afzonderlijk, uitnodigen voor een verhoor. De voorzitter of verslaggever kan beslissen ter plaatse te gaan. De voorzitter of de verslaggever brengt bij de Commissie verslag uit van zijn handelingen. Art. 11. De verslaggever stelt een ontwerp van beslissing op. Bij het onderzoek van het dossier en bij de voorbereiding van de besluitvorming zal aandacht worden geschonken aan het feitelijk en wettelijk kader, de toetsing aan de principes voor een verwerking van persoonsgegevens in het bijzonder en het impact op de persoonlijke levenssfeer van de betrokkenen. Zo nodig zullen deze elementen in het voorstel van beslissing worden opgenomen. Art. 12. De Commissie vergadert en beraadslaagt als college. De Commissie vergadert met gesloten deuren tenzij zij uitdrukkelijk beslist de zitting openbaar te laten verlopen. Elke bespreking van een dossier «A» wordt ingeleid door de verslaggever waarna elk lid vragen kan stellen en zijn standpunt, inzonderheid over het voorstel tot be-
slissing, kan uiten. De voorzitter gaat na welk gemeenschappelijk standpunt kan ingenomen worden. Zo nodig wordt overgegaan tot stemming met naleving van artikel 28, tweede lid van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (hierna WVP). De voorzitter legt de verschillende vragen en eventuele alternatieven voor aan de Commissie zodat over elk vraagpunt of standpunt afzonderlijk kan beslist worden. Het proces-verbaal van de vergadering vermeldt uitdrukkelijk de gestelde vragen en het resultaat van de stemming. Over het geheel van de door de stemming bereikte beslissing wordt globaal gestemd. De stemming is verplicht wanneer een lid dit uitdrukkelijk vraagt. De stemming gebeurt bij handopsteking. Art. 13. § 1. Wanneer het noodzakelijk is voor de goede werking van de Commissie of voor de naleving van de wettelijke termijnen, kan de Commissie, na bespreking ter zitting, beslissen de behandeling van de beraadslaging over de ontwerpen van adviezen, aanbevelingen, machtigingen en andere beslissingen verder te zetten volgens een schriftelijke procedure. De voorzitter verstuurt de ontwerpen aangepast volgens de beslissingen van de Commissie ter zitting, aan de leden en bepaalt de termijn en de modaliteiten voor hun eventuele reactie. Deze procedure strekt ertoe zich uit te spreken over de conformiteit van de aanpassing aan de ter zitting genomen beslissing. Op basis van de ingestuurde reacties zal de voorzitter het ontwerp aanpassen, dan wel beslissen tot bijkomende agendering op een volgende nuttige zitting. Indien het ontwerp onverkort kan worden afgewerkt zonder bijkomende zitting, krijgt het de dagtekening van de laatste zitting waarop het werd behandeld. § 2. Wanneer het noodzakelijk is voor de goede werking van de Commissie en/of in dringende gevallen kan de voorzitter beslissen een ontwerp van besluitvorming via een schriftelijke procedure te laten behandelen. De voorzitter verstuurt het desbetreffende document aan de leden en bepaalt de termijn en de modaliteiten voor hun eventuele reactie. Deze termijn kan niet korter zijn dan 48 uur. Op basis van de ingestuurde reacties zal de voorzitter het ontwerp aanpassen, dan wel beslissen tot een agendering op een volgende nuttige zitting. De goedgekeurde beslissing van de Commissie krijgt al naar gelang het geval de dagtekening van de zitting waarop ze het laatst werd besproken en, indien het niet ter zitting is behandeld, waarop de voorzitter het document in definitieve versie zal hebben ondertekend. Art. 14. § 1. De Commissie kan haar adviezen, aanbevelingen en beslissingen, naast de door of krachtens de wet opgelegde kennisgeving ervan, ook op een andere wijze openbaar maken. De bijkomende openbaarmaking bedoeld in het vorige lid vormt het voorwerp van een afzonderlijke beslissing. In afwijking van het bepaalde in het tweede lid, worden de adviezen en de aanbevelingen bedoeld in respectievelijk de artikelen 29 en 30, § 1 van de WVP bekendgemaakt op de website van de Commissie. Uitzonderlijk kan de Commissie echter beslissen op met redenen omklede wijze het advies of de aanbeveling niet op de website te plaatsen.
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
277
Bijlagen Huish. Regl. 11 april 2007 - Commissie voor de bescherming van de persoonlijke levenssfeer (Art. 15)
De aanvrager van een advies bedoeld in artikel 29 van de WVP kan vragen, bij gemotiveerd verzoek, dat het advies niet bekend wordt gemaakt. De Commissie dient daarop in te gaan tenzij de Commissie van oordeel is dat dit niet strookt met de beginselen van de democratische rechtstaat en de rechten van de mens. De Commissie motiveert deze weigering en maakt deze bekend in bijlage van het advies. § 2. De Commissie bouwt een website waarop ze in overeenstemming met de vorige paragraaf en behoudens de voormelde uitzonderingen, al haar beslissingen bekend maakt.
Het openbaar register en het systeem van de aangiften als bedoeld in de WVP worden via deze website beschikbaar gesteld. Op de website is ruimte voorzien voor de verscheidene sectorale comités. Art. 15. § 1. Onverminderd de bijzondere taken die in dit reglement aan de voorzitter worden opgedragen is hij belast met de algemene uitvoering van de beslissingen van de Commissie. § 2. Om redenen van organisatorische aard en met het oog op de goede werking van de dienst kan de voorzitter bepaalde uitvoerende en voorbereidende taken opdragen aan een ambtenaar van het secretariaat.
HOOFDSTUK II
BIJZONDERE BEPALINGEN Afdeling I Adviezen in toepassing van artikel 29 WVP
Art. 16. Voor de behandeling van de aanvragen om advies bedoeld in artikel 29 van de WVP, gaat de voorzitter of de verslaggever zo snel mogelijk na of alle voor het advies noodzakelijke gegevens aan de Commissie zijn medegedeeld. In voorkomend geval richt de voorzitter of de verslaggever zich tot de betrokken overheid met de vraag tot mededeling van de door hem te preciseren gegevens. De betrokken overheid wordt erop gewezen dat de termijn bepaald in artikel 29, § 2 of § 3, van de WVP slechts begint te lopen vanaf het ogenblik dat die gegevens aan de Commissie worden medegedeeld. Art. 17. Het advies vermeldt of het gunstig of ongunstig is, desgevallend onder de vermelding van de voorwaarden waarvan deze conclusie afhankelijk is. Afdeling II Aanbevelingen als bedoeld in artikel 30, § 1 WVP
Art. 18. Voor de behandeling van de aanvragen om aanbevelingen als bedoeld in artikel 30, § 1 van de WVP wordt gehandeld op dezelfde wijze als bepaald in artikel 16. Afdeling III De aangiften en het openbaar register als bedoeld in de artikelen 17 tot 20 WVP
Art. 19. De voorzitter is gelast met de organisatie van het systeem van de aangiften en het houden van het openbaar register, als bedoeld in de artikelen 17 tot 20 WVP. De voorzitter kan te allen tijde beslissen een bepaalde aangelegenheid formeel ter zitting te brengen. Hij brengt daarover de betrokkene op de hoogte. Afdeling IV Aanbevelingen over verwerkingen als bedoeld in artikel 30, § 2 WVP
Art. 20. Onverminderd het bepaalde in het Koninklijk besluit van 13 februari 2001 ter uitvoering van de WVP, hierna het K.B., kan de Commissie aanbevelingen rich-
278
ten tot de verantwoordelijke voor een bepaald soort verwerking of tot een bepaalde verantwoordelijke voor een verwerking. In uitvoering van artikel 26, § 1, tweede lid van de WVP, kan de voorzitter bij gelegenheid van het onderzoek van een dossier, nagaan in welke mate de behandeling ervan niet door zijn toedoen kan geschieden zonder dat het ter zitting dient te worden gebracht. Hij zal daarbij handelen in overeenstemming met de beleidslijnen bepaald door de Commissie. De voorzitter kan echter te allen tijde de behandeling op zijn niveau afbreken en het dossier formeel ter zitting brengen. Hij brengt daarover de betrokkene op de hoogte.
Art. 21. Alvorens een aanbeveling te richten tot een bepaalde verantwoordelijke voor een verwerking, geeft de Commissie of de voorzitter deze de gelegenheid om, binnen een door haar, de voorzitter of de verslaggever bepaalde termijn, schriftelijk zijn standpunt te doen kennen. Afdeling V Onrechtstreekse toegang als bedoeld in artikel 13 WVP
Art. 22. De uitoefening van het recht van toegang, zoals bedoeld in artikel 13 van de WVP, dient door de verzoeker ondertekend en gedateerd te worden alsook de informatie te bevatten opgesomd in artikel 37 van het koninklijk besluit van 13 februari 2001 ter uitvoering van de WVP. Wanneer het verzoek bij elektronisch bericht wordt verstuurd dient het een elektronische handtekening bevatten. Is dit niet geval dan zal het verzoek slechts kunnen worden behandeld na een schriftelijke en ondertekende bevestiging op papieren drager.
Art. 23. In uitvoering van artikel 26, § 1, tweede lid van de WVP en de artikelen 37 tot 46 van het voormeld K.B. van 2001, behandelt de voorzitter alle verzoeken voor de uitoefening van een onrechtstreekse toegang. De voorzitter kan echter te allen tijde de behandeling op zijn niveau afbreken en het dossier formeel ter zitting brengen. Hij brengt daarover de betrokkene op de hoogte. Wanneer een controle gepaard gaat met een onderzoek ter plaatse wordt, onverminderd het bepaalde in artikel 43 van het voormelde K.B. van 2001, gehandeld met toepassing van artikel 40.
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
Bijlagen Huish. Regl. 11 april 2007 - Commissie voor de bescherming van de persoonlijke levenssfeer (Art. 32)
Afdeling VI Informatie en inlichtingen
Art. 24. In uitvoering van artikel 26, § 1, tweede lid van de WVP, beantwoordt de voorzitter alle vragen om inlichtingen of om een advies of standpunt, gericht aan de Commissie. Het antwoord wordt gegeven op basis van de inlichtingen en de gegevens waarover het secretariaat voor de behandeling van het verzoek beschikt en dit onverminderd de bevoegdheid van de Commissie om daarover als collegiaal orgaan een uitspraak te doen. De verzoeker wordt daarover in het antwoord in kennis gesteld. De voorzitter kan echter te allen tijde de behandeling op zijn niveau afbreken en het dossier formeel ter zitting brengen. Hij brengt daarover de verzoeker op de hoogte. Wanneer het antwoord wordt gegeven na een beraadslaging van de Commissie ter zitting, wordt dit uitdrukkelijk vermeld. Afdeling VII Klachten als bedoeld in artikel 31 WVP
Art. 25. § 1. De personen die van een belang doen blijken, kunnen bij de Commissie klacht indienen. De klacht dient door de klager ondertekend en gedateerd te worden. Wanneer de klacht bij elektronisch bericht wordt verstuurd dient zij een elektronische handtekening te bevatten. Is dit niet geval dan zal de klacht slechts kunnen worden behandeld na een schriftelijke en ondertekende bevestiging op papieren drager. De klacht bevat een uiteenzetting van de feiten. Zij moet de nodige aanwijzingen bevatten die toelaten de verwerking, voorwerp van de klacht, identificeren. § 2. Wanneer een persoon een schrijven richt tot de Commissie dat niet aan de vormelijke vereisten van de kwalificatie voldoet als gesteld in de voorgaande paragraaf, wordt zijn schrijven enkel beschouwd als een verzoek om inlichtingen. De betrokkene wordt hierover op de hoogte gebracht. De voorzitter kan aan de betrokken persoon vragen zijn verzoek te preciseren. § 3. Wanneer het schrijven voldoet aan de vormelijke vereisten van de kwalificatie doch eruit niet duidelijk kan worden opgemaakt of het om een eigenlijke klacht gaat, wordt onderzocht in welke mate aan het gestelde probleem geen bevredigend en afdoend gevolg kan worden gegeven zonder dat een formele behandeling in overeenstemming met de klachtprocedure dient te worden aangevat. De voorzitter kan aan de betrokken persoon vragen zijn verzoek te preciseren. Hij kan eveneens inlichtingen vragen aan de verantwoordelijke van de verwerking waarop het schrijven betrekking heeft. Art. 26. De identiteit van de klager wordt in beginsel niet bekendgemaakt. De identiteit wordt echter bekendgemaakt indien de bekendmaking vereist is voor het onderzoek van de klacht en indien de klager daarmee uitdrukkelijk of stilzwijgend heeft ingestemd. Indien de bekendmaking van de identiteit van de klager vereist is voor het onderzoek van de klacht, doch de klager met de bekendmaking niet instemt, wordt de klacht zonder gevolg gerangschikt.
Art. 27. Bij de behandeling van een klacht stellen de Commissie of haar voorzitter zich te allen tijde op vanuit een zorg om een minnelijke regeling tot stand te brengen tussen de verantwoordelijke voor de verwerking en de klager. Art. 28. In uitvoering van artikel 26, § 1, tweede lid van de WVP, kan de voorzitter bij gelegenheid van een klacht, nagaan in welke mate de zaak niet door zijn bemiddeling tot een oplossing kan komen zonder dat ze ter zitting dient te worden gebracht. De voorzitter kan echter te allen tijde de bemiddeling op zijn niveau afbreken en het dossier formeel ter zitting brengen. Hij brengt daarover de partijen op de hoogte. Art. 29. Alvorens de behandeling ten gronde aan te vangen onderzoekt, al gelang het geval, de Commissie of de voorzitter de ontvankelijkheid van de aan de Commissie gerichte klachten. De beslissing over ontvankelijkheid wordt aan de klager ter kennis gebracht. Art. 30. De voorzitter kan aan de klager alle inlichtingen vragen die hij nuttig oordeelt. Hij kan zich in verbinding stellen met de verantwoordelijke voor de verwerking waarop de klacht betrekking heeft, hem op de hoogte brengen van de klacht en hem alle inlichtingen en uitleg vragen die hij nodig acht om zijn standpunt met het oog op bemiddeling te kunnen bepalen. Hij kan ook aan derden inlichtingen vragen. De verantwoordelijke voor de verwerking heeft het recht zijn antwoord te verduidelijken met alle bijkomende informatie en toelichting die hij nodig acht. De voorzitter kan dit antwoord mededelen aan de klager om hem de mogelijkheid te bieden te reageren. Hij kan daarbij eventueel toelichting verstrekken om te komen tot een oplossing. Art. 31. Wanneer na verloop van de procedure op het niveau van de voorzitter geen oplossing mogelijk is gebleken, maakt de voorzitter een verslag op over de zaak. Indien de voorzitter meent dat er geen reden is tot voortzetting van de bemiddeling stelt hij ter attentie van de partijen een met redenen omkleed voorstel van advies op over de gegrondheid van de klacht. Hij kan zijn voorstel doen vergezeld gaan van met redenen omklede aanbevelingen aan de verantwoordelijke voor de verwerking. De voorzitter legt het verslag met het voorstel van advies en de eventuele aanbevelingen voor aan de Commissie. De Commissie neemt, in voorkomend geval op de eerstvolgende nuttige zitting, kennis van de zaak en beslist desgevallend over het vervolg. De voorzitter brengt de eindbeslissing van de Commissie ter kennis van de partijen. De voorzitter kan ook beslissen het dossier voor verdere behandeling aan de Commissie voor te leggen. Hij brengt daarover de partijen op de hoogte. Art. 32. Voor het onderzoek van een klacht kan de Commissie een of meerdere leden aanstellen tot verslaggever en het stellen van onderzoeksdaden. Behalve in geval dat de klacht al het voorwerp heeft uitgemaakt van een bemiddelingsprocedure op het niveau van de voorzitter, brengt de Commissie, nadat ze in overeenstemming met artikel 29 de klacht ontvankelijk heeft verklaard, voor de verantwoordelijke voor de verwerking waarop de klacht betrekking heeft, op de hoogte van de
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
279
Bijlagen Huish. Regl. 11 april 2007 - Commissie voor de bescherming van de persoonlijke levenssfeer (Art. 33)
klacht. Zij kan, in het belang van het onderzoek, deze kennisgeving verdagen tot het ogenblik dat ze geschikt acht. De Commissie of de verslaggever kan alle nuttige inlichtingen vragen aan de klager, de verantwoordelijke voor de verwerking en aan derden. Zij kan een termijn opleggen voor het verstrekken van een schriftelijk antwoord. Zij kan in elke stand van de procedure aanvullende onderzoeksmaatregelen bevelen. De verantwoordelijke voor de verwerking heeft het recht zijn antwoord te verduidelijken met alle bijkomende informatie en toelichting die hij nodig acht. Het antwoord wordt aan de klager medegedeeld. Deze heeft het recht om, binnen een door de Commissie of de verslaggever bepaalde termijn, schriftelijk een wederantwoord in te dienen. Wanneer een onderzoek ter plaatse noodzakelijk is, wordt gehandeld in overeenstemming met de bepalingen van artikel 40.
Art. 33. De Commissie kan beslissen de klager en de betrokken verantwoordelijke voor de verwerking uit te nodigen voor een verhoor. Zo beiden uitgenodigd worden, gebeurt het verhoor afzonderlijk of gezamenlijk volgens de beslissing van de Commissie.
Art. 34. De Commissie kan met het oog op het bereiken van een minnelijke schikking tussen de partijen een of meerdere leden afvaardigen om deze te bewerkstelligen. Zo een minnelijke schikking wordt bereikt, stellen de afgevaardigde leden een proces-verbaal op, waarin de bereikte oplossing wordt uiteengezet. De Commissie neemt, in voorkomend geval op de eerstvolgende nuttige zitting, akte van het bereikte akkoord en beslist desgevallend over het vervolg.
Art. 35. Zo met betrekking tot een ontvankelijk verklaarde klacht geen minnelijke schikking wordt bereikt, geeft de Commissie een met redenen omkleed advies over de gegrondheid van de klacht. Zij kan haar advies doen vergezeld gaan van met redenen omklede aanbevelingen aan de verantwoordelijke voor de verwerking.
Art. 36. Indien de Commissie beslist dat haar beslissing, advies of aanbevelingen, naast de door of krachtens de wet opgelegde kennisgeving ervan, ook op een andere wijze openbaar gemaakt wordt, beslist zij afzonderlijk over het al dan niet openbaar maken van de identiteit van de partijen Afdeling VIII Controle en inspectie
Art. 37. Voor de toepassing van de wet wordt verstaan onder controle, het nagaan van de eerbiediging van de regelgeving met betrekking tot de bescherming van de persoonlijke levenssfeer in hoofde van een individuele verantwoordelijke voor de verwerking. Voor de toepassing van de wet wordt verstaan onder inspectie, het organiseren van een algemene verificatie over de eerbiediging van de regelgeving met betrekking tot de bescherming van de persoonlijke levenssfeer in hoofde van een groep, categorie of sector van verantwoordelijken voor de verwerking. Bij gelegenheid van een inspectie kan een specifieke controle ten overstaan van een individuele verantwoordelijke plaatsvinden.
280
Art. 38. Tot controle kan worden overgegaan naar aanleiding van een aangifte, van een eenvoudig verzoek van een persoon, van een verzoek om onrechtstreekse toegang, van een klacht, dan wel spontaan naar aanleiding van een bepaalde vaststelling met betrekking tot de verwerking van persoonsgegevens. Tot inspectie kan worden overgegaan naar aanleiding van bepaalde specifieke vaststellingen met betrekking tot de verwerking van persoonsgegevens bij gelegenheid van een controle, vanuit bepaalde algemene vaststellingen met betrekking tot de verwerking van persoonsgegevens, vanuit een algemene bezorgdheid, dan wel op basis van gerichte proactieve en preventieacties door de Commissie. Controle en inspectie kunnen worden georganiseerd op basis van een nationaal dan wel een internationaal initiatief. De beslissing tot het verrichten van een controle wordt genomen door de voorzitter. Het organiseren van een inspectie wordt op voorstel van de voorzitter beslist door de Commissie. Art. 39. § 1. In uitvoering van artikel 26, § 1, tweede lid van de WVP, kan de voorzitter bij gelegenheid van een controle of van een inspectie aan de verantwoordelijke voor de verwerking een inlichtingenblad laten invullen en alle bijkomende vragen om uitleg stellen die nuttig kunnen zijn om zich een beeld te vormen over de wijze van verwerking. Hij kan ook aan derden inlichtingen vragen. De verantwoordelijke voor de verwerking heeft het recht alle bijkomende informatie en toelichting te verstrekken die hij nodig acht. Wanneer een onderzoek ter plaatse noodzakelijk is, wordt gehandeld in overeenstemming met de bepalingen van artikel 40. § 2. Bij de uitoefening van een opdracht van controle of inspectie stellen de Commissie of haar voorzitter zich te allen tijde op vanuit een bekommernis om een minnelijke regeling tot stand te brengen tussen de verantwoordelijke voor de verwerking en de betrokken personen wiens persoonsgegevens worden verwerkt. Wanneer de controle het gevolg is van een aangifte, van een verzoek om onrechtstreekse toegang of van een klacht wordt verder gehandeld in overeenstemming met de bijzondere wettelijke regelgeving en dit reglement, dienaangaande. § 3. Onverminderd het bepaalde in de vorige paragraaf kan de Commissie of de voorzitter namens de Commissie, naar aanleiding van een controle, aan de verantwoordelijke voor de verwerking aanbevelingen richten. Alvorens een aanbeveling te richten tot een bepaalde verantwoordelijke voor de verwerking, wordt aan deze de gelegenheid geboden om binnen de termijn bepaald door de voorzitter, schriftelijk zijn standpunt te doen kennen. Al naar gelang het geval kan de Commissie of de voorzitter beslissen de verantwoordelijke te horen. Wanneer geen minnelijke regeling tot stand kan worden gebracht kan de voorzitter beslissen aanbevelingen te richten tot de betrokken verantwoordelijke voor de verwerking, dan wel de zaak voor de Commissie te brengen. In elk geval kan de voorzitter echter te allen tijde het dossier ter zitting brengen. Hij brengt de verantwoordelijke voor de verwerking daarvan op de hoogte. § 4. Wanneer naar aanleiding van een inspectieopdracht de Commissie, de voorzitter of een lid van de
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
Bijlagen Huish. Regl. 11 april 2007 - Commissie voor de bescherming van de persoonlijke levenssfeer (Art. 48)
Commissie in hoofde van een verantwoordelijke voor de verwerking bepaalde vaststellingen doen die aanleiding geven tot een specifieke controle, wordt verder gehandeld in overeenstemming met het bepaalde in de vorige paragraaf. Afdeling IX Onderzoeken ter plaatse als bedoeld in artikel 32 WVP
Art. 40. De Commissie beslist over het onderzoek ter plaatse waarmee zij één of meer van haar leden kan belasten. De Commissie of de voorzitter kan beslissen dat ambtenaren van het secretariaat de afgevaardigde leden vergezellen. Over het onderzoek ter plaatse wordt een proces-verbaal opgemaakt. Daarin wordt een volledig verslag opgemaakt over het verloop van het onderzoek. Het wordt getekend door de verantwoordelijke commissaris(-sen) en desgevallend de ambtenaren van het secretariaat. De verantwoordelijke van de verwerking of zijn afgevaardigde op de plaats waar het onderzoek plaats vindt, wordt bij aanvang in kennis gesteld van het beoogde onderzoek en van de geldende wetgeving. Een afschrift van het verslag over het verloop van het onderzoek wordt onverwijld overgezonden aan deze verantwoordelijke of zijn afgevaardigde. De verantwoordelijke of zijn afgevaardigde kan een verklaring of commentaar opmaken en dit laten voegen bij het proces-verbaal. Korte verklaringen worden opgetekend in het verslag zelf. In geval van hoogdringendheid oefent de voorzitter de in het eerste lid bedoelde bevoegdheid uit. In dat geval brengt hij op de eerstvolgende vergadering verslag uit over de door hem genomen beslissingen. Afdeling X Sectorale comités
Art. 41. Elk dossier dat bij de Commissie wordt ingediend, en dat betrekking heeft op een aangelegenheid waarvoor door of krachtens de wet een sectoraal comité uitdrukkelijk bevoegd is, wordt door de voorzitter of de daartoe gemachtigde administrateur onverwijld doorgestuurd aan het bevoegde sectoraal comité.
Art. 42. Wanneer een dossier dat in behandeling is bij een sectoraal comité of waarover een sectoraal comité een beslissing heeft genomen, aan de Commissie voor
onderzoek wordt overgezonden door de door of krachtens de wet bevoegde instantie, wijst de voorzitter onverwijld een verslaggever aan. De verslaggever is gerechtigd zich te wenden tot de voorzitter van het sectoraal comité om hem alle nuttige inlichtingen te verstrekken. Artikel 10 is van toepassing.
Art. 43. Onverminderd de toepassing van artikel 14 wordt een afschrift van de beslissing van de Commissie genomen in het kader van deze procedure, onverwijld overgezonden aan het bevoegde sectoraal comité.
Art. 44. De voorzitters van de verscheidene sectorale comités komen minstens één maal per trimester bijeen in een conferentie van de voorzitters. Ze maken afspraken over de organisatie van de werkzaamheden, de samenwerking tussen de Commissie en de sectorale comités en de comités onderling. Zij werken onder meer een regeling uit over mogelijke bevoegdheidsvraagstukken. De afspraken maken het voorwerp van een protocolakkoord dat ter goedkeuring wordt voorgelegd aan de Commissie. Het secretariaat van de conferentie wordt gehouden door de administrateur bijgestaan door de staf van de voorzitter.
Art. 45. Voor de regeling van de bevoegdheidsvraagstukken en de samenloop van bevoegdheden tussen de Commissie en de sectorale comités alsook tussen de sectorale comités onderling, gelden de volgende principes: – de Commissie zendt het dossier door aan het bevoegde sectoraal comité op basis van de uitdrukkelijke bevoegdheidstoewijzing door of krachtens de wet van een materie aan een sectoraal comité; – tussen de sectorale comités geldt in beginsel de regel van de materietoewijzing door of krachtens de wet; – voor wat de machtigingsdossiers betreft is het sectorale comité dat de controle uitoefent op de overheidsdienst die de mededeling van de gegevens verricht, bevoegd; – wanneer de mededeling een antwoord is op een vraag die op zich de voorafgaande mededeling van gegevens vereist, is de instelling die antwoordt bepalend voor het criterium van de bevoegdheidstoewijzing; – indien nog twijfel bestaat kan de conferentie van de voorzitters de bevoegdheid regelen en desnoods zich wenden tot de Commissie.
HOOFDSTUK III
BESTUURSVERGADERING Art. 46. In toepassing van de artikelen 26, 34 en 35 van de WVP komt de Commissie bijeen voor de behandeling van alle aangelegenheden met betrekking tot het administratief beheer, de begroting, het bestuursplan, de personele en materiële middelen en de rapportering over de werkzaamheden. De dossiers worden ingeleid door de voorzitter bijgestaan door de administrateur. Art. 47. Binnen de maand na de goedkeuring van dit reglement stelt de Commissie, op voorstel van de voorzitter, twee commissarissen aan voor het nazicht van de rekenin-
gen van de Commissie. Ze vervullen de taken die zijn opgelegd in het reglement betreffende de begroting- boekhoudingprocedure, zoals goedgekeurd door de Commissie.
Art. 48. Binnen de maand na de goedkeuring van dit reglement stelt de Commissie, op voorstel van de voorzitter, de raden van beroep samen die zijn voorzien in artikel 84 van het statuut van de ambtenaren van het secretariaat, zoals goedgekeurd door de Kamer van volksvertegenwoordigers.
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
281
Bijlagen K.B. 13 februari 2001 - Bescherming persoonlijke levenssfeer, persoonsgegevens (Art. 49)
HOOFDSTUK IV
SLOTBEPALINGEN. Art. 49. Het huishoudelijk reglement, goedgekeurd door de Commissie op 5 april 1995, wordt opgeheven. Art. 50. Dit huishoudelijk reglement wordt medegedeeld aan de wetgevende kamers. Het wordt bekend gemaakt in het Belgisch Staatsblad en op de website van
de Commissie. Het wordt medegedeeld aan eenieder die erom verzoekt.
Art. 51. Dit huishoudelijk reglement treedt in werking de dag waarop het in het Belgisch Staatsblad wordt bekend gemaakt.
K.B. 13 februari 2001 ter uitvoering van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (B.S., 13 maart 2001) HOOFDSTUK I
DEFINITIES Art. 1. Voor de toepassing van dit besluit wordt verstaan onder: 1° «de wet»: de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens; 2° «de Commissie»: de Commissie voor de bescherming van de persoonlijke levenssfeer; 3° «gecodeerde persoonsgegevens»: persoonsgegevens die slechts door middel van een code in verband kunnen worden gebracht met een geïdentificeerd of identificeerbaar persoon;
4° «niet-gecodeerde persoonsgegevens»: andere dan gecodeerde persoonsgegevens; 5° «anonieme gegevens»: gegevens die niet met een geïdentificeerd of identificeerbaar persoon in verband kunnen worden gebracht en derhalve geen persoonsgegevens zijn; 6° «intermediaire organisatie»: de natuurlijke persoon, de rechtspersoon, de feitelijke vereniging of de openbare overheid, andere dan de verantwoordelijke voor de verwerking van de niet-gecodeerde gegevens, die voornoemde gegevens codeert.
HOOFDSTUK II
LATERE VERWERKING VAN PERSOONSGEGEVENS VOOR HISTORISCHE, STATISTISCHE OF WETENSCHAPPELIJKE DOELEINDEN Afdeling I Algemene beginselen
Art. 2. De latere verwerking van persoonsgegevens voor historische, statistische of wetenschappelijke doeleinden wordt geacht in overeenstemming te zijn met artikel 4, § 1, 2°, tweede zin, van de wet wanneer zij wordt verricht onder de voorwaarden gesteld in dit hoofdstuk. De bewaring van persoonsgegevens voor historische, statistische of wetenschappelijke doeleinden, die is bedoeld in artikel 4, § 1, 5°, tweede zin, van de wet, is toegestaan onder de voorwaarden gesteld in dit hoofdstuk. Art. 3. De latere verwerking van persoonsgegevens voor historische, statistische of wetenschappelijke doeleinden vindt plaats aan de hand van anonieme gegevens. Art. 4. Indien een latere verwerking van anonieme gegevens niet de mogelijkheid biedt de historische, statistische of wetenschappelijke doeleinden te verwezenlijken, mag de verantwoordelijke voor de latere verwerking voor historische, statistische of wetenschappelijke doeleinden overeenkomstig de bepalingen van afdeling 2 van dit hoofdstuk gecodeerde persoonsgegevens verwerken.
282
In dat geval vermeldt hij in de aangifte betreffende de verwerking die hij overeenkomstig artikel 17 van de wet aflegt, waarom de latere verwerking van anonieme gegevens niet de mogelijkheid biedt de historische, statistische of wetenschappelijke doeleinden te verwezenlijken.
Art. 5. Indien een latere verwerking van gecodeerde gegevens niet de mogelijkheid biedt de historische, statistische of wetenschappelijke doeleinden te verwezenlijken, mag de verantwoordelijke voor de latere verwerking overeenkomstig afdeling 3 van dit hoofdstuk nietgecodeerde persoonsgegevens verwerken. In dat geval vermeldt hij in de aangifte betreffende de verwerking die hij overeenkomstig artikel 17 van de wet doet, waarom de latere verwerking van gecodeerde gegevens niet de mogelijkheid biedt de historische, statistische of wetenschappelijke doeleinden te verwezenlijken. Art. 6. De verantwoordelijke voor de latere verwerking van persoonsgegevens voor historische, statistische of wetenschappelijke doeleinden mag geen handelingen verrichten die zijn gericht op de omzetting van anonieme gegevens in persoonsgegevens of van gecodeerde persoonsgegevens in niet-gecodeerde persoonsgegevens.
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
Bijlagen K.B. 13 februari 2001 - Bescherming persoonlijke levenssfeer, persoonsgegevens (Art. 16)
Afdeling II Verwerking van gecodeerde persoonsgegevens
van een volledige aangifte uitgereikt door de Commissie overeenkomstig artikel 17, § 2, van de wet.
Art. 7. Persoonsgegevens worden gecodeerd alvorens later op enigerlei wijze voor historische, statistische of wetenschappelijke doeleinden te worden verwerkt.
Art. 14. De verantwoordelijke voor de verwerking van
Art. 8. Ingeval de verantwoordelijke voor de verwerking van persoonsgegevens verzameld voor bepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden die persoonsgegevens later verwerkt voor historische, statistische of wetenschappelijke doeleinden of die verwerking toevertrouwt aan een verwerker, worden die persoonsgegevens voorafgaand aan de latere verwerking ervan gecodeerd, hetzij door de verantwoordelijke voor de verwerking, hetzij door de verwerker, hetzij door een intermediaire organisatie. In dit laatste geval wordt de intermediaire organisatie beschouwd als een verwerker in de zin van artikel 1, § 5, van de wet. Art. 9. Ingeval de verantwoordelijke voor de verwerking van persoonsgegevens verzameld voor bepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden deze persoonsgegevens aan een derde meedeelt met het oog op een latere verwerking voor historische, statistische of wetenschappelijke doeleinden, worden die persoonsgegevens voorafgaand aan die mededeling gecodeerd door de verantwoordelijke voor de verwerking of door een intermediaire organisatie. In dit laatste geval wordt de intermediaire organisatie beschouwd als een verwerker in de zin van artikel 1, § 5, van de wet.
persoonsgegevens verzameld voor bepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden of de intermediaire organisatie moeten voorafgaand aan de codering van de gegevens bedoeld in de artikelen 6 tot 8 van de wet aan de betrokken persoon volgende gegevens meedelen: – de identiteit van de verantwoordelijke voor de verwerking; – de verwerkte categorieën van persoonsgegevens; – de herkomst van de gegevens; – een precieze omschrijving van de historische, statistische of wetenschappelijke doeleinden van de verwerking; – de personen of de categorieën van personen voor wie de persoonsgegevens bestemd zijn; – het bestaan van een recht op raadpleging van zijn eigen persoonsgegevens, alsook van een recht op verbetering ervan; – het bestaan van een recht van verzet in hoofde van de betrokken persoon.
Art. 15. De verantwoordelijke voor de verwerking van
verwerkingen van persoonsgegevens verzameld voor bepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden aan dezelfde derde(n) persoonsgegevens meedelen met het oog op de latere verwerking ervan voor historische, statistische of wetenschappelijke doeleinden, worden die persoonsgegevens voorafgaand aan die mededeling gecodeerd door een intermediaire organisatie. In dit geval wordt de intermediaire organisatie beschouwd als een verantwoordelijke voor de verwerking in de zin van artikel 1, § 4, van de wet.
persoonsgegevens verzameld voor bepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden en de intermediaire organisatie moeten de verplichting opgelegd in artikel 14 van dit besluit niet nakomen indien deze verplichting onmogelijk blijkt of onevenredig veel moeite kost en zij zich hebben gedragen naar de procedure bepaald in artikel 16 van dit besluit. De verantwoordelijke voor de verwerking van persoonsgegevens verzameld voor bepaalde, uitdrukkelijk omschreven doeleinden en de intermediaire organisatie moeten de verplichting opgelegd in artikel 14 van dit besluit niet nakomen indien de intermediaire organisatie een administratieve overheid is die door of krachtens de wet de uitdrukkelijke opdracht heeft om persoonsgegevens samen te brengen en te coderen, en hierbij onderworpen is aan door of krachtens de wet vastgelegde specifieke maatregelen die de bescherming van de persoonlijke levenssfeer tot doel hebben.
Art. 11. De intermediaire organisatie is onafhankelijk
Art. 16. De verantwoordelijke voor de verwerking van
van de verantwoordelijke voor de latere verwerking van de persoonsgegevens voor historische, statistische of wetenschappelijke doeleinden. Art. 12. De verantwoordelijke voor de verwerking van persoonsgegevens verzameld voor bepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden en de intermediaire organisatie die gegevens coderen met het oog op de latere verwerking ervan voor historische, statistische of wetenschappelijke doeleinden, nemen de gepaste technische en organisatorische maatregelen om te beletten dat gecodeerde gegevens in niet-gecodeerde worden omgezet.
persoonsgegevens verzameld voor bepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden of de intermediaire organisatie die de gegevens bedoeld in de artikelen 6 tot 8 van de wet wenst te coderen zonder voorafgaande kennisgeving aan de betrokken persoon, vult de aangifte die hij krachtens artikel 17 van de wet moet verrichten aan met de volgende gegevens: 1° de precieze omschrijving van de historische, statistische of wetenschappelijke doeleinden van de verwerking; 2° de redenen ter verantwoording van de verwerking van persoonsgegevens bedoeld in de artikelen 6 tot 8 van de wet; 3° de redenen waarom aan de betrokken persoon de gegevens vermeld in artikel 14 niet kunnen worden meegedeeld of de onevenredigheid van de moeite nodig om zulks te doen; 4° de categorieën van personen van wie persoonsgegevens bedoeld in de artikelen 6 tot 8 van de wet worden verwerkt;
Art. 10. Ingeval verscheidene verantwoordelijken voor
Art. 13. De verantwoordelijke voor de verwerking van persoonsgegevens verzameld voor bepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden en de intermediaire organisatie kunnen gecodeerde gegevens slechts meedelen met het oog op de latere verwerking ervan voor historische, statistische of wetenschappelijke doeleinden tegen overlegging door de verantwoordelijke voor de latere verwerking van het ontvangbewijs
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
283
Bijlagen K.B. 13 februari 2001 - Bescherming persoonlijke levenssfeer, persoonsgegevens (Art. 17)
5° de personen of de categorieën van personen die de persoonsgegevens kunnen raadplegen; 6° de herkomst van de gegevens. De Commissie deelt binnen een termijn van vijfenveertig werkdagen te rekenen van de ontvangst van de aangifte aan de verantwoordelijke voor de verwerking of aan de intermediaire organisatie een aanbeveling mee, eventueel vergezeld van bijkomende voorwaarden die bij de latere verwerking van de gecodeerde persoonsgegevens bedoeld in de artikelen 6 tot 8 van de wet voor historische, statistische of wetenschappelijke doeleinden in acht moeten worden genomen. De termijn bepaald in het tweede lid kan eenmaal met vijfenveertig werkdagen worden verlengd. De Commissie deelt voor afloop van de eerste termijn aan de verantwoordelijke voor de verwerking mee dat zij deze verlengt. Indien de Commissie na afloop van de in dit artikel bedoelde termijnen geen aanbeveling heeft meegedeeld, wordt het verzoek geacht te zijn aanvaard. De Commissie maakt de aanbeveling bekend in het register bedoeld in artikel 18 van de wet. Art. 17. De verantwoordelijke voor de verwerking moet elke wijziging in de gegevens die hij aan de Commissie heeft meegedeeld overeenkomstig artikel 16 van dit besluit, aan de Commissie melden. Afdeling III Verwerking van niet-gecodeerde persoonsgegevens
Art. 18. Alvorens niet-gecodeerde persoonsgegevens later voor historische, statistische of wetenschappelijke doeleinden te verwerken, verstrekt de verantwoordelijke voor de latere verwerking aan de betrokken persoon volgende gegevens: 1° de identiteit van de verantwoordelijke voor de verwerking; 2° de verwerkte categorieën van persoonsgegevens; 3° de herkomst van de gegevens; 4° een precieze omschrijving van de historische, statistische of wetenschappelijke doeleinden van de verwerking; 5° de personen of categorieën van personen voor wie de persoonsgegevens bestemd zijn; 6° het bestaan van een recht op raadpleging van zijn eigen persoonsgegevens, alsook van een recht op verbetering ervan; 7° het bestaan van de verplichting om aan de betrokken persoon voorafgaandelijk toestemming te vragen voor de verwerking van niet-gecodeerde persoonsgegevens voor historische, statistische of wetenschappelijke doeleinden. Art. 19. De betrokken persoon moet uitdrukkelijk zijn toestemming geven voor de verwerking van hem betreffende niet-gecodeerde persoonsgegevens voor historische, statistische of wetenschappelijke doeleinden vooraleer zij wordt aangevat. Art. 20. De verantwoordelijke voor de latere verwerking van niet-gecodeerde persoonsgegevens voor historische, statistische of wetenschappelijke doeleinden moet de verplichtingen opgelegd in de artikelen 18 en 19 van dit besluit niet nakomen: 1° indien de latere verwerking voor historische, statistische of wetenschappelijke doeleinden beperkt blijft tot
284
niet-gecodeerde persoonsgegevens die kennelijk door betrokkene zelf publiek zijn gemaakt of die in nauw verband staan met het publiek karakter van betrokkene of van de feiten waarbij deze laatste betrokken is of is geweest; of 2° indien de nakoming van deze verplichtingen onmogelijk blijkt of onevenredig veel moeite kost en hij zich heeft gedragen naar de procedure bepaald in artikel 21 van dit besluit. Art. 21. De verantwoordelijke voor de latere verwerking van niet-gecodeerde persoonsgegevens voor historische, statistische of wetenschappelijke doeleinden die de gegevens wenst te verwerken zonder voorafgaande kennisgeving aan en toestemming van de betrokken persoon, vult daartoe de aangifte vereist op grond van artikel 17 van de wet aan met de volgende gegevens: 1° de precieze omschrijving van de historische, statistische of wetenschappelijke doeleinden van de verwerking; 2° de redenen die de verwerking van niet-gecodeerde persoonsgegevens noodzakelijk maken; 3° de redenen waarom aan de betrokken persoon geen toestemming met kennis van zaken kan worden gevraagd of de onevenredigheid van de inspanningen nodig om die toestemming te verkrijgen; 4° de categorieën personen over wie niet-gecodeerde persoonsgegevens worden verwerkt; 5° de personen of categorieën van personen die de niet-gecodeerde persoonsgegevens kunnen raadplegen; 6° de herkomst van de gegevens. De Commissie richt binnen een termijn van vijfenveertig werkdagen te rekenen van de ontvangst van de aangifte een aanbeveling aan de verantwoordelijke voor de latere verwerking, zulks eventueel vergezeld van bijkomende voorwaarden die bij de latere verwerking van de niet-gecodeerde persoonsgegevens voor historische, statistische of wetenschappelijke doeleinden in acht moeten worden genomen. De termijn bepaald in het tweede lid kan eenmaal met vijfenveertig werkdagen worden verlengd. De Commissie deelt voor afloop van de eerste termijn aan de verantwoordelijke voor de latere verwerking mee dat zij de eerste termijn verlengt. Indien de Commissie voor afloop van de in dit artikel bedoelde termijnen geen aanbeveling heeft meegedeeld, wordt het verzoek geacht te zijn aanvaard. De Commissie maakt haar aanbeveling bekend in het register bedoeld in artikel 18 van de wet. Art. 22. Elke wijziging in de gegevens die de verantwoordelijke voor de verwerking overeenkomstig artikel 21 van dit besluit aan de Commissie heeft meegedeeld, moet door deze laatste vooraf aan de Commissie worden gemeld. Afdeling IV Bekendmaking van de resultaten van de verwerking
Art. 23. De resultaten van de verwerking voor historische, statistische of wetenschappelijke doeleinden mogen niet worden bekendgemaakt in een vorm die de identificatie van de betrokken persoon mogelijk maakt tenzij: 1° deze laatste daartoe zijn toestemming heeft gegeven en de persoonlijke levenssfeer van derden niet wordt geschonden; of
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
Bijlagen K.B. 13 februari 2001 - Bescherming persoonlijke levenssfeer, persoonsgegevens (Art. 31)
2° de bekendmaking van niet-gecodeerde persoonsgegevens beperkt blijft tot gegevens die kennelijk door betrokkene zelf publiek zijn gemaakt of die in nauw verband staan met het publiek karakter van betrokkene of van de feiten waarbij deze laatste betrokken is of is geweest.
Afdeling V Uitzondering
Art. 24. Hoofdstuk II van dit besluit is niet van toepassing op de diensten en overheden bedoeld in artikel 3, § 4, van de wet die een latere verwerking voor historische, statistische of wetenschappelijke doeleinden verrichten.
HOOFDSTUK III
VOORWAARDEN VOOR DE VERWERKING VAN PERSOONSGEGEVENS BEDOELD IN DE ARTIKELEN 6 TOT 8 VAN DE WET Art. 25. Bij de verwerking van persoonsgegevens bedoeld in de artikelen 6 tot 8 van de wet moet de verantwoordelijke voor de verwerking bovendien de volgende maatregelen nemen: 1° hij of, in voorkomend geval, de verwerker moet de categorieën van personen die de persoonsgegevens kunnen raadplegen, aanwijzen waarbij hun hoedanigheid ten opzichte van de verwerking van de betrokken gegevens nauwkeurig moet worden omschreven; 2° hij of, in voorkomend geval, de verwerker moet de lijst van de aldus aangewezen categorieën van personen ter beschikking houden van de Commissie; 3° hij moet ervoor zorgen dat de aangewezen personen door een wettelijke of statutaire verplichting, of door een evenwaardige contractuele bepaling ertoe gehouden zijn het vertrouwelijk karakter van de betrokken gegevens in acht te nemen; 4° hij moet in de kennisgeving die krachtens artikel 9 van de wet aan de betrokken persoon moet worden gedaan of in de aangifte bedoeld in artikel 17, § 1, van de wet melding maken van de wet of verordening op grond
waarvan de verwerking van persoonsgegevens bedoeld in de artikelen 6 tot 8 van de wet is toegestaan.
Art. 26. Indien de verwerking van persoonsgegevens bedoeld in de artikelen 6 en 7 van de wet uitsluitend is toegestaan op grond van de schriftelijke toestemming van de betrokken persoon, moet de verantwoordelijke voor de verwerking hem, naast de gegevens overeenkomstig artikel 9 van de wet, vooraf de redenen van die verwerking mededelen, alsmede de lijst van de categorieën van personen die toegang hebben tot de persoonsgegevens.
Art. 27. Indien de verwerking van persoonsgegevens bedoeld in de artikelen 6 en 7 van de wet uitsluitend is toegestaan op grond van de schriftelijke toestemming van de betrokken persoon, is die verwerking verboden indien de verantwoordelijke voor de verwerking de huidige of potentiële werkgever van betrokkene is of indien de betrokken persoon zich ten aanzien van de verantwoordelijke voor de verwerking in een afhankelijke positie bevindt, wat hem belet vrij zijn toestemming te verlenen. Dit verbod wordt opgeheven wanneer de verwerking erop gericht is de betrokken persoon een voordeel te verstrekken.
HOOFDSTUK IV
VOORWAARDEN VOOR DE VRIJSTELLING VAN DE VERPLICHTING TOT KENNISGEVING BEDOELD IN ARTIKEL 9, § 2, VAN DE WET Art. 28. De verantwoordelijke voor de latere verwerking van persoonsgegevens voor historische, statistische of wetenschappelijke doeleinden die uitsluitend gecodeerde persoonsgegevens verwerkt is vrijgesteld van de verplichting tot kennisgeving bedoeld in artikel 9, § 2, van de wet op voorwaarde dat de voorwaarden bepaald in Hoofdstuk II, Afdeling II van dit besluit worden nageleefd.
Art. 29. Een administratieve overheid die door of krachtens de wet de uitdrukkelijke opdracht heeft om persoonsgegevens samen te brengen en te coderen, en hierbij onderworpen is aan door of krachtens de wet vastgelegde specifieke maatregelen die de bescherming van de persoonlijke levenssfeer tot doel hebben, is vrijgesteld van de verplichting tot kennisgeving bedoeld in artikel 9, § 2, van de wet indien zij optreedt als intermediaire organisatie.
Art. 30. De verantwoordelijke voor de verwerking die zich, buiten het geval omschreven in artikelen 28 en 29 van dit besluit, beroept op een vrijstelling van de verplichting tot kennisgeving bedoeld in artikel 9, § 2, van
de wet omdat die kennisgeving onmogelijk blijkt of onevenredig veel moeite kost, verstrekt voornoemde informatie wanneer hij voor de eerste keer met de betrokken persoon in contact treedt. Indien de verantwoordelijke voor de verwerking bedoeld in het eerste lid de persoonsgegevens aan een derde meedeelt, verricht deze laatste de in artikel 9, § 2, van de wet bedoelde kennisgeving wanneer hij voor de eerste keer met de betrokken persoon in contact treedt.
Art. 31. De verantwoordelijke voor de verwerking die de kennisgeving aan de betrokken persoon niet kan verrichten omdat zij onmogelijk blijkt of onevenredig veel moeite kost, vermeldt dit in de aangifte die hij op grond van artikel 17 van de wet aan de Commissie doet. De Commissie maakt de lijst van de verantwoordelijken voor de verwerking bekend door middel van het publiek register omschreven in artikel 18 van de wet, met vermelding van de redenen die de vrijstelling verantwoorden.
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
285
Bijlagen K.B. 13 februari 2001 - Bescherming persoonlijke levenssfeer, persoonsgegevens (Art. 32)
HOOFDSTUK V
UITOEFENING VAN DE RECHTEN BEDOELD IN DE ARTIKELEN 10 EN 12 VAN DE WET Art. 32. Eenieder die zijn identiteit bewijst, heeft het recht om onder de voorwaarden gesteld bij de wet kennis te krijgen van de in artikel 10 van de wet vermelde informatie, zulks op ondertekend en gedagtekend verzoek dat ter plaatse wordt overhandigd, of over de post of met een telecommunicatiemiddel wordt toegezonden: – hetzij aan de verantwoordelijke voor de verwerking of aan zijn vertegenwoordiger in België, of aan een van de door hem gemachtigde of aangestelde personen; – hetzij aan de verwerker van de persoonsgegevens die het in voorkomend geval aan een van voornoemde personen doorgeeft. Indien het verzoek ter plaatse wordt overhandigd, reikt de persoon die het in ontvangst neemt aan de verzoeker onmiddellijk een gedagtekend en ondertekend ontvangbewijs uit. Art. 33. De verzoeken tot verbetering, verwijdering of verbod op de aanwending van de persoonsgegevens en enig verzet gegrond op artikel 12 van de wet worden ingediend volgens dezelfde procedure en bij dezelfde personen dan die vermeld in het artikel 32 van dit besluit. Art. 34. Ingeval persoonsgegevens schriftelijk bij de betrokken persoon worden verzameld, vraagt de verant-
woordelijke voor de verwerking op het document aan de hand waarvan de gegevens bij betrokkene worden verzameld aan deze laatste of hij het recht op verzet waarin artikel 12, § 1, derde lid, van de wet voorziet, wenst uit te oefenen. Ingeval de persoonsgegevens bij de betrokken persoon op een andere dan schriftelijke wijze worden verzameld, vraagt de verantwoordelijke aan die persoon of hij het recht op verzet waarin artikel 12, § 1, derde lid, van de wet voorziet, wenst uit te oefenen. De betrokkene kan zulks doen op een document dat de verantwoordelijke voor de verwerking hem bezorgt ten laatste twee maanden nadat de persoonsgegevens zijn verzameld of aan de hand van enig technisch middel op grond waarvan kan worden aangetoond dat hem de mogelijkheid is geboden voornoemd recht uit te oefenen.
Art. 35. Ingeval de persoonsgegevens niet bij de betrokken persoon worden verzameld, vraagt de verantwoordelijke voor de verwerking, die onderworpen is aan artikel 9, § 2, c), van de wet, aan die persoon schriftelijk of hij het recht op verzet waarin artikel 12, § 1, derde lid, van de wet voorziet, wenst uit te oefenen.
HOOFDSTUK VI
UITOEFENING VAN HET RECHT BEDOELD IN ARTIKEL 13 VAN DE WET Art. 36. Dit hoofdstuk bepaalt de procedure voor de in-
Art. 41. Wanneer het verzoek als niet-ontvankelijk
diening van verzoeken op grond van artikel 13 van de wet. Art. 37. De betrokken persoon dient het verzoek bij de Commissie in aan de hand van een gedagtekend en ondertekend schrijven waarin zijn naam, voornaam, geboortedatum en nationaliteit zijn vermeld en waarbij een fotokopie is gevoegd van zijn identiteitskaart, van zijn paspoort of van het daarmee gelijkgestelde document. In het verzoek worden tevens volgende gegevens vermeld indien de verzoeker daarover beschikt: – de naam van de betrokken overheid of dienst; – alle relevante elementen betreffende de betwiste gegevens zoals de aard ervan, de omstandigheden of de aanleiding van de kennisneming ervan, alsook de eventueel gewenste verbeteringen. Art. 38. Indien de Commissie zulks nuttig acht, kan zij aan de betrokken persoon bijkomende inlichtingen vragen. Art. 39. Indien de gegevens bedoeld in de artikelen 37 en 38 van dit besluit niet worden meegedeeld, kan het verzoek als niet-ontvankelijk worden beschouwd. Art. 40. Het verzoek is niet-ontvankelijk wanneer het wordt ingediend binnen een termijn van een jaar te rekenen van de verzendingsdatum van het vorige antwoord van de Commissie betreffende dezelfde gegevens en dezelfde diensten. Van die termijn kan worden afgeweken ingeval de betrokken persoon in zijn verzoek redenen ter staving van die afwijking aanvoert.
wordt beschouwd, wordt de betrokken persoon daarvan per brief in kennis gesteld. In dit schrijven wordt vermeld dat de betrokken persoon op verzoek wordt gehoord, zulks eventueel bijgestaan door zijn raadsman.
286
Art. 42. De controle bij de betrokken dienst wordt verricht door de voorzitter van de Commissie of door een of meer leden ervan die hij aanwijst. De controle op de verwerkingen van persoonsgegevens bedoeld in artikel 3, § 5, 1°, van de wet wordt verricht door magistraten die de Commissie in haar midden aanwijst. De voorzitter en de leden die de controle verrichten, kunnen zich laten bijstaan of vertegenwoordigen door een of meer leden van het secretariaat van de Commissie.
Art. 43. In het kader van de controle bij de betrokken dienst verricht of beveelt de Commissie alle verificaties die zij nuttig acht. Ter gelegenheid van de controle uitgeoefend bij de betrokken dienst bedoeld in artikel 3, § 5, van de wet, kan ze gegevens doen verbeteren of verwijderen, of gegevens doen invoeren die verschillen van die welke de betrokken dienst verwerkt. Zij kan de mededeling van de gegevens verbieden. Ter gelegenheid van de controle uitgeoefend bij de betrokken dienst bedoeld in artikel 3, § 4, van de wet, beveelt de Commissie de maatregelen aan die ze noodzakelijk acht. Zij motiveert haar aanbevelingen.
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
Bijlagen K.B. 13 februari 2001 - Bescherming persoonlijke levenssfeer, persoonsgegevens (Art. 55)
Art. 44. De betrokken dienst geeft na die verificaties
Art. 46. Ingeval het verzoek van de betrokken persoon
aan de Commissie schriftelijk kennis van het gevolg dat eraan is gegeven.
betrekking heeft op een verwerking van persoonsgegevens beheerd door een politiedienst met het oog op een identiteitscontrole, deelt de Commissie aan die persoon mee dat de nodige verificaties zijn verricht. In voorkomend geval verstrekt de Commissie, na advies van de betrokken dienst, aan de betrokken persoon alle andere inlichtingen die zij relevant acht.
Art. 45. De Commissie antwoordt per brief op het verzoek van de betrokken persoon binnen een termijn van drie maanden te rekenen van de kennisgeving bedoeld in het artikel 44 van dit besluit.
HOOFDSTUK VII
AANGIFTE VAN GEAUTOMATISEERDE VERWERKINGEN VAN PERSOONSGEGEVENS Afdeling I Bijdragen die bij de aangifte aan de Commissie moeten worden gestort
Art. 47. Indien de aangifte bedoeld in artikel 17 van de wet wordt verricht aan de hand van het papieren formulier dat de Commissie daartoe ter beschikking stelt, wordt het bedrag van de bijdrage die de verantwoordelijke voor de verwerking aan de Commissie moet storten, vastgesteld op 125 euro of 5.042 frank voor de aangifte van alle gegevens die dezelfde verantwoordelijke op hetzelfde tijdstip aan de Commissie verstrekt. Art. 48. Indien de aangifte wordt verricht aan de hand van de magnetische informatiedrager die de Commissie daartoe ter beschikking stelt, wordt het bedrag van de bijdrage die de verantwoordelijke voor de verwerking aan de Commissie moet storten, vastgesteld op 25 euro of 1.008 frank voor de aangifte van alle gegevens die dezelfde verantwoordelijke op hetzelfde tijdstip aan de Commissie verstrekt. Art. 49. Het bedrag van de bijdrage die aan de Commissie moet worden gestort bij aangifte door dezelfde verantwoordelijke op hetzelfde tijdstip van een of meer wijzigingen in de vermeldingen van zijn oorspronkelijke aangifte wordt vastgesteld op 20 euro of 807 frank. Art. 50. De verantwoordelijke voor de verwerking betaalt de bijdragen bedoeld in deze afdeling aan de hand van de stukken die de Commissie daartoe ter beschikking stelt. Afdeling II Categorieën van verwerkingen vrijgesteld van de aangifteplicht
Art. 51. Met uitzondering van de §§ 4 en 8 zijn de bepalingen van artikel 17 van de wet niet van toepassing op verwerkingen van persoonsgegevens die uitsluitend betrekking hebben op gegevens welke noodzakelijk zijn voor de loonadministratie van personen in dienst van of werkzaam ten behoeve van de verantwoordelijke voor de verwerking wanneer de gegevens uitsluitend worden gebruikt voor die loonadministratie, alleen worden meegedeeld aan de ontvangers die daartoe gerechtigd zijn en niet langer worden bewaard dan nodig voor de doeleinden van de verwerking. Art. 52. Met uitzondering van de §§ 4 en 8 zijn de bepalingen van artikel 17 van de wet niet van toepassing op verwerkingen van persoonsgegevens die uitsluitend betrekking hebben op de administratie van het personeel
in dienst van of werkzaam ten behoeve van de verantwoordelijke voor de verwerking. De verwerking mag geen betrekking hebben op gegevens betreffende de gezondheid van de betrokken persoon, noch op gevoelige of gerechtelijke gegevens in de zin van de artikelen 6 en 8 van de wet of op gegevens die een beoordeling van de betrokken persoon tot doel hebben. De verwerkte persoonsgegevens mogen niet langer worden bewaard dan nodig voor de personeelsadministratie en mogen alleen in het kader van de toepassing van een wets- of verordeningsbepaling of indien nodig voor de verwezenlijking van de doelstellingen van de verwerking aan derden worden meegedeeld.
Art. 53. Met uitzondering van de §§ 4 en 8 zijn de bepalingen van artikel 17 van de wet niet van toepassing op verwerkingen van persoonsgegevens die uitsluitend betrekking hebben op de boekhouding van de verantwoordelijke voor de verwerking wanneer de gegevens uitsluitend worden gebruikt voor die boekhouding, de verwerking alleen betrekking heeft op personen van wie de gegevens noodzakelijk zijn voor de boekhouding en de persoonsgegevens niet langer worden bewaard dan nodig voor de doeleinden van de verwerking. De verwerkte persoonsgegevens mogen alleen aan derden worden meegedeeld in het kader van de toepassing van een wets- of verordeningsbepaling of wanneer de mededeling noodzakelijk is voor de boekhouding.
Art. 54. Met uitzondering van de §§ 4 en 8 zijn de bepalingen van artikel 17 van de wet niet van toepassing op verwerkingen van persoonsgegevens die uitsluitend betrekking hebben op de administratie van aandeelhouders en vennoten wanneer de verwerking alleen betrekking heeft op gegevens nodig voor die administratie, die gegevens alleen personen betreffen van wie de gegevens nodig zijn voor die administratie, de gegevens alleen in het kader van de toepassing van een wets- of verordeningsbepaling aan derden worden meegedeeld en de persoonsgegevens niet langer worden bewaard dan nodig voor de doeleinden van de verwerking.
Art. 55. Met uitzondering van de §§ 4 en 8 zijn de bepalingen van artikel 17 van de wet niet van toepassing op verwerkingen van persoonsgegevens die uitsluitend betrekking hebben op het beheer van de klanten of leveranciers van de verantwoordelijke voor de verwerking. De verwerking mag alleen betrekking hebben op potentiële, bestaande en gewezen klanten of leveranciers van de verantwoordelijke voor de verwerking.
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
287
Bijlagen K.B. 13 februari 2001 - Bescherming persoonlijke levenssfeer, persoonsgegevens (Art. 56)
De verwerking mag geen betrekking hebben op persoonsgegevens betreffende de gezondheid van de betrokken persoon of op gevoelige of gerechtelijke gegevens in de zin van de artikelen 6 en 8 van de wet. In het kader van de klantenadministratie mogen geen personen in de verwerking worden geregistreerd op grond van gegevens verkregen van derden. De gegevens mogen niet langer worden bewaard dan nodig voor de normale bedrijfsvoering van de verantwoordelijke voor de verwerking en mogen alleen in het kader van de toepassing van een wets- of verordeningsbepaling of voor de normale bedrijfsvoering aan derden worden meegedeeld.
Art. 56. Met uitzondering van de §§ 4 en 8 zijn de bepalingen van artikel 17 van de wet niet van toepassing op verwerkingen van persoonsgegevens verricht door een stichting, een vereniging of enig andere instelling zonder winstoogmerk in het kader van haar gewone activiteiten. De verwerking mag uitsluitend betrekking hebben op persoonsgegevens betreffende de eigen leden, betreffende personen met wie de verantwoordelijke voor de verwerking regelmatige contacten onderhoudt en betreffende begunstigers van de stichting, vereniging of instelling. In het kader van de verwerking mogen geen personen worden geregistreerd op grond van gegevens verkregen van derden. De verwerkte persoonsgegevens mogen niet langer worden bewaard dan nodig voor de administratie van de leden, van de contactpersonen en van de begunstigers en mogen alleen in het kader van de toepassing van een wets- of verordeningsbepaling aan derden worden meegedeeld.
Art. 57. Met uitzondering van de §§ 4 en 8 zijn de bepalingen van artikel 17 van de wet niet van toepassing op verwerkingen van identificatiegegevens noodzakelijk voor communicatie die alleen worden verricht om met de betrokken persoon in contact te treden wanneer die gegevens niet aan derden worden meegedeeld en niet langer worden bewaard dan nodig voor het doel van de verwerking. Het eerste lid van dit artikel heeft alleen betrekking op verwerkingen van persoonsgegevens die niet zijn bedoeld in een andere bepaling van dit besluit.
Art. 58. Met uitzondering van de §§ 4 en 8 zijn de bepalingen van artikel 17 van de wet niet van toepassing op verwerkingen van persoonsgegevens die uitsluitend betrekking hebben op de registratie van bezoekers in het kader van een toegangscontrole wanneer de verwerkte gegevens beperkt blijven tot de naam en het beroepsadres van de bezoeker, de identificatie van zijn werkgever, de identificatie van het voertuig van de bezoeker, de naam, afdeling en functie van de bezochte persoon en het tijdstip van het bezoek. De verwerkte persoonsgegevens mogen uitsluitend worden gebruikt voor de toegangscontrole en niet langer worden bewaard dan nodig voor dat doel.
288
Art. 59. Met uitzondering van de §§ 4 en 8 zijn de bepalingen van artikel 17 van de wet niet van toepassing op verwerkingen van persoonsgegevens verricht door onderwijsinstellingen met het oog op het beheer van hun relaties met hun leerlingen of studenten. De verwerking mag alleen betrekking hebben op persoonsgegevens betreffende potentiële, huidige en gewezen leerlingen of studenten van de betrokken onderwijsinstelling. In het kader van de verwerking mogen geen personen worden geregistreerd op grond van gegevens verkregen van derden. De verwerkte persoonsgegevens mogen alleen in het kader van de toepassing van een wets- of verordeningsbepaling aan derden worden meegedeeld en niet langer worden bewaard dan nodig voor het beheer van de relatie met de leerling of student.
Art. 60. Met uitzondering van de §§ 4 en 8 zijn de bepalingen van artikel 17 van de wet niet van toepassing op verwerkingen die de gemeenten verrichten overeenkomstig de wet van 19 juli 1991 betreffende de bevolkingsregisters en de identiteitskaarten en tot wijziging van de wet van 8 augustus 1983 tot regeling van een Rijksregister van de natuurlijke personen, overeenkomstig de kieswetgeving en overeenkomstig de wetsbepalingen inzake de registers van de burgerlijke stand.
Art. 61. Met uitzondering van de §§ 4 en 8 zijn de bepalingen van artikel 17 van de wet niet van toepassing op verwerkingen van persoonsgegevens verricht door administratieve overheden indien de verwerking is onderworpen aan specifieke door of krachtens de wet uitgevaardigde regelgevingen waarin de raadpleging, het gebruik en de verkrijging van de verwerkte gegevens worden geregeld.
Art. 62. De bepalingen van artikel 17 van de wet met uitzondering van §§ 4 en 8 zijn niet van toepassing op de verwerkingen van persoonsgegevens door instellingen van sociale zekerheid bedoeld in de artikelen 1 en 2, eerste lid, 2°, van de wet van 15 januari 1990 houdende oprichting en organisatie van de Kruispuntbank van de Sociale Zekerheid die de toepassing van de sociale zekerheid tot doel hebben, op voorwaarde dat deze instellingen met betrekking tot deze verwerkingen voldoen aan de bepalingen van de vermelde wet en haar uitvoeringsbesluiten. De lijst bedoeld in artikel 46, eerste lid, 6°bis, van de wet van 15 januari 1990 houdende oprichting en organisatie van de Kruispuntbank van de Sociale Zekerheid wordt door de Kruispuntbank ter beschikking gehouden aan de Commissie voor de bescherming van de persoonlijke levenssfeer overeenkomstig de modaliteiten bepaald in onderling overleg tussen deze beide instanties. De Commissie voor de bescherming van de persoonlijke levenssfeer verricht op grond van deze lijst de bijwerkingen van het openbaar register van de geautomatiseerde verwerkingen van persoonsgegevens bedoeld in artikel 18 van de wet.
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
Bijlagen K.B. 13 februari 2001 - Bescherming persoonlijke levenssfeer, persoonsgegevens (Art. 74)
HOOFDSTUK VIII
OPENBAAR REGISTER VAN DE GEAUTOMATISEERDE VERWERKINGEN VAN PERSOONSGEGEVENS 1° het identificatienummer of de naam van de verArt. 63. Het openbaar register van de geautomatiseerde verwerkingen van persoonsgegevens bedoeld in artikel 18 van de wet, hierna «openbaar register» genoemd, kan op de volgende wijzen worden geraadpleegd: a) rechtstreekse raadpleging op afstand aan de hand van telecommunicatiemiddelen; b) rechtstreekse raadpleging ter plaatse in de ruimten die de Commissie daartoe aanwijst; c) onrechtstreekse raadpleging aan de hand van een verzoek aan de Commissie tot het verkrijgen van een uittreksel.
Art. 64. Voor rechtstreekse raadplegingen op afstand stelt de Commissie een kopie van het openbaar register ter beschikking op een server die toegankelijk is via Internet. Naast de in het eerste lid omschreven toegangswijze kan de Commissie andere mogelijkheden voor raadpleging voorstellen.
Art. 65. Voor rechtstreekse raadplegingen ter plaatse stelt de Commissie tijdens de normale kantooruren de nodige ruimte en computerapparatuur uitgerust met de gepaste software ter beschikking van eenieder die zich bij haar aanmeldt om het openbaar register te raadplegen.
Art. 66. Eenieder kan zich bij de Commissie aanmelden of een schriftelijk verzoek tot haar richten om een uittreksel uit het openbaar register te verkrijgen. In het mondeling of schriftelijk verzoek om een uittreksel moet tenminste een van de volgende gegevens worden vermeld:
werking of verwerkingen waarop het uittreksel betrekking heeft; 2° de volledige of afgekorte naam van de verantwoordelijke of verantwoordelijken voor de verwerking die in het gevraagde uittreksel moeten worden vermeld; 3° bij een schriftelijk verzoek toegezonden over de post, het adres waarnaar het uittreksel moet worden verzonden. Art. 67. Indien het gevraagde uittreksel uit het openbaar register betrekking heeft op meer dan tien verwerkingen en verscheidene verantwoordelijken voor verwerkingen of op meer dan honderd verwerkingen van dezelfde verantwoordelijke, kan de Commissie een vereenvoudigd uittreksel uitreiken waarin het identificatienummer, de benaming en het doel van iedere verwerking, alsook het identificatienummer, de naam en de gemeente met postcode van iedere verantwoordelijke voor de verwerking zijn vermeld. In het geval bedoeld in het eerste lid stelt de Commissie de aanvrager van het uittreksel in kennis van zijn recht op rechtstreekse raadpleging van het openbaar register en van de wijzen waarop dit recht kan worden uitgeoefend. Art. 68. De raadpleging van het openbaar register is kosteloos. Art. 69. Niemand kan worden verplicht de redenen voor de raadpleging van het openbaar register aan de Commissie mee te delen, ongeacht of het gaat om een rechtstreekse of onrechtstreekse raadpleging.
HOOFDSTUK IX
SLOTBEPALINGEN Art. 70. Alle bepalingen van de wet van 11 december 1998 treden in werking de eerste dag van de zesde maand volgend op die gedurende welke zij in het Belgisch Staatsblad is bekendgemaakt. Art. 71. De aangiften bedoeld in artikel 17, § 7, van de wet die zijn verricht voor de datum van inwerkingtreding van dit besluit, worden geacht te voldoen aan de bepalingen van de wet en van dit besluit. Bij wijziging van gegevens in de aangifte bedoeld in het eerste lid handelt de verantwoordelijke voor de verwerking die aangifte doet in de zin van artikel 17, § 7,
van de wet, overeenkomstig de bepalingen van de wet en van dit besluit.
Art. 72. (...)
{1
S 1. – Opheffingsbepalingen
Art. 73. Dit besluit treedt in werking de eerste dag van de zesde maand volgend op die gedurende welke het in het Belgisch Staatsblad is bekendgemaakt.
Art. 74. Onze Minister van Justitie is belast met de uitvoering van dit besluit.
Wet en duiding Verwerking persoonsgegevens – (1 april 2011) – © Larcier
289