Verslag van de Commissie - Eerste verslag over de toepassing van de richtlijn gegevensbescherming (95/46/EG)
Inhoudsopgave van deze pagina:
|
Verslag van de Commissie - Eerste verslag over de toepassing van de Richtlijn gegevensbescherming (95/46/EG) /* COM/2003/0265 def. */
VERSLAG VAN DE COMMISSIE - Eerste verslag over de toepassing van de Richtlijn gegevensbescherming (95/46/EG)
INHOUDSOPGAVE
-
1.Redenen voor het verslag en het open overleg over de toepassing van Richtlijn 95/46/EG
-
2.Het open beoordelingsproces voorafgaand aan de opstelling van dit verslag
-
3.De voornaamste resultaten van de beoordeling
-
4.De belangrijkste bevindingen van de beoordeling meer in detail
-
5.De verwerking van geluids- en beeldgegevens
-
6.Werkprogramma voor een betere toepassing van de Richtlijn gegevensbescherming (2003-2004)
-
7.Conclusie
-
1.Redenen voor het verslag en het open overleg over de toepassing van Richtlijn 95/46/EG
'De Commissie brengt op gezette tijden, en voor het eerst uiterlijk drie jaar na de in artikel 32, lid 1, genoemde datum, aan de Raad en het Europees Parlement verslag uit over de toepassing van deze richtlijn, in voorkomend geval onder bijvoeging van passende wijzigingsvoorstellen.' (Artikel 33 van EG-Richtlijn 95/46)
Met dit verslag geeft de Commissie gevolg aan het bovenvermelde voorschrift. De Commissie heeft haar verslag 18 maanden uitgesteld omdat de lidstaten vertraging hebben opgelopen bij de omzetting van de richtlijn in nationale wetgeving [1].
[1] De Commissie heeft in december 1999 besloten Frankrijk, Duitsland, Ierland, Luxemburg en Nederland voor het Europees Hof van Justitie te dagen omdat zij hebben nagelaten kennis te geven van al de nodige maatregelen ter uitvoering van Richtlijn 95/46. In 2001 hebben Nederland en Duitsland kennisgeving gedaan en heeft de Commissie de zaken tegen hen gesloten. Frankrijk heeft kennisgeving gedaan van de gegevensbeschermingswet van 1978 zodat de aanklacht wegens niet-kennisgeving tegen die staat werd ingetrokken. Frankrijk deelde terzelfder tijd mee dat het voornemens is een nieuwe wet aan te nemen, die echter nog niet is goedgekeurd. In het geval van Luxemburg heeft het optreden van de Commissie ertoe geleid dat deze lidstaat door het Hof van Justitie werd veroordeeld vanwege niet-nakoming van zijn verplichtingen. De richtlijn werd toen ten uitvoer gelegd door middel van een nieuwe wet, die in 2002 in werking is getreden. Ierland heeft in 2001 kennisgeving gedaan van een gedeeltelijke tenuitvoerlegging; onlangs is echter een compleet wetsvoorstel goedgekeurd. De stand van de tenuitvoerlegging in de lidstaten is beschikbaar op
De Commissie is bij de opstelling van dit verslag vanuit een breed perspectief te werk gegaan. Zij is verdergegaan dan gewoon een onderzoek naar de door de lidstaten genomen omzettingsbesluiten en heeft bovendien een open publiek debat georganiseerd, waarbij werd aangemoedigd tot een brede deelneming door de belanghebbenden. Deze aanpak is niet alleen in overeenstemming met de benadering van de Commissie ten aanzien van bestuur op Europees niveau, zoals beschreven in het Witboek van juli 2001 [2]; hij is ook gerechtvaardigd ten eerste door de specifieke aard van Richtlijn 95/46 en ten tweede door het snelle tempo van de technologische ontwikkeling in de informatiemaatschappij en andere internationale ontwikkelingen, die voor aanzienlijke veranderingen hebben gezorgd sinds de richtlijn in 1995 werd goedgekeurd.
[2] COM(2001) 428 definitief http://europa.eu.int/eur-lex/en/com/cnc/ 2001/com2001_0428en01.pdf.
1.1. Een richtlijn met een zeer brede impact
In Richtlijn 95/46 zijn twee van de oudste ambities van het Europese integratieproject vervat: de totstandbrenging van een interne markt (in dit geval het vrije verkeer van persoonsgegevens) en de bescherming van fundamentele rechten en vrijheden van personen. In de richtlijn zijn beide doelstellingen even belangrijk.
Uit juridisch oogpunt echter ligt de interne markt aan het bestaan van de richtlijn ten grondslag. Wetgeving op EU-niveau was gerechtvaardigd omdat verschillen in de wijze waarop de lidstaten de kwestie benaderden, een belemmering vormden voor het vrije verkeer van persoonsgegevens tussen de lidstaten [3]. De rechtsgrond van de richtlijn was dus artikel 100 A (nu artikel 95) van het Verdrag. Aan de dimensie fundamentele rechten van de richtlijn werd echter extra nadruk verleend door de afkondiging van het Handvest van grondrechten van de Europese Unie [4] door het Europees Parlement, de Raad en de Commissie in december 2000, en met name artikel 8, waarin het recht op gegevensbescherming is opgenomen.
[3] Zie COM(90) 314 definitief- SYN 287 EN 288, 13 september 1990, blz. 4: "The diversity of national approaches and the lack of a system of protection at Community level are an obstacle to completion of the internal market. If the fundamental rights of data subjects, in particular their right to privacy, are not safeguarded at Community level, the cross-border flow of data might be impeded..." (De verscheidenheid van nationale benaderingswijzen en het gebrek aan een beschermingssysteem op communautair niveau vormen een hinderpaal voor de voltooiing van de interne markt. Indien de fundamentele rechten van de betrokkenen, met name hun recht op persoonlijke levenssfeer, niet op communautair niveau worden gevrijwaard, kan de grensoverschrijdende gegevensstroom worden belemmerd ...).
[4] http://europa.eu.int/comm/justice_home/ unit/charte/index_en.html.
Bovendien heeft de richtlijn, door haar aard, een zeer brede impact. Elke persoon is een betrokkene en entiteiten in elke sector van de economie zijn voor de verwerking verantwoordelijken. Dit betekent dat de richtlijn, ook al is de juridische motivering ervan vrij specifiek, zeer brede gevolgen heeft en de toepassing ervan met die overweging voor ogen moet worden onderzocht.
1.2. De ontwikkelingen op het gebied van informatietechnologie en de toegenomen bezorgdheid over beveiliging hebben het debat over gegevensbescherming aangewakkerd
Sinds de goedkeuring van de richtlijn in 1995 heeft zich een exponentiële groei voorgedaan van het aantal huishoudens en ondernemingen die op internet zijn aangesloten, en bijgevolg van het aantal mensen die een steeds grotere hoeveelheid persoonsgegevens van allerlei aard op het web achterlaten. Terzelfder tijd zijn de middelen om persoonsgegevens te verzamelen, steeds verfijnder geworden en minder gemakkelijk te detecteren: gesloten tv-circuits die openbare plaatsen bewaken; spyware die in pc's wordt geïnstalleerd door de bezochte websites, die over de surfgewoonten van de gebruikers informatie verzamelen die door de sites vaak aan anderen wordt verkocht; of het controleren van werknemers, met inbegrip van het gebruik van e-mails en internet, op de werkplek.
Deze "gegevensexplosie" doet onvermijdelijk de vraag rijzen of wetgeving een volledige oplossing kan bieden voor sommige van deze uitdagingen, en dan vooral traditionele wetgeving die een beperkt geografisch toepassingsgebied heeft, met fysieke grenzen die vanwege internet in snel tempo steeds minder relevant worden [5].
[5] In het verslag "Future bottlenecks in the information society", dat in juni 2001 door het Gemeenschappelijk Centrum voor Onderzoek van de Europese Commissie en het Instituut voor technologische prognose is opgesteld, wordt geconcludeerd dat er gebieden in opkomst zijn die niet gemakkelijk onder te brengen zijn onder de bepalingen van de richtlijn en dat het bijgevolg noodzakelijk kan zijn deze in de toekomst te herzien. Tegelijkertijd wordt in het verslag opgemerkt dat "although we have the Directive implemented in all Member States, there is increasing social anxiety with regard to the abuse and misuse of personal data within on-line information systems" (hoewel de richtlijn in alle lidstaten wordt omgezet, er een groeiende maatschappelijke bezorgdheid heerst met betrekking tot het misbruik en oneigenlijk gebruik van persoonsgegevens in on-line-informatiesystemen). Deze conclusie wordt tot op zekere hoogte geschraagd door het bewijsmateriaal dat bij het opstellen van dit verslag werd verzameld.
Met name als reactie op de technologische ontwikkelingen werden met Richtlijn 97/66/EG van het Europees Parlement en de Raad van 15 december 1997 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de telecommunicatiesector [6] de in Richtlijn 95/46/EG vervatte beginselen omgezet in specifieke voorschriften voor de telecommunicatiesector. Bij Richtlijn 2002/58/EG betreffende privacy en elektronische communicatie van 12 juli 2002 [7] werd recentelijk Richtlijn 97/66/EG bijgewerkt met het oog op de aanpassing ervan aan de ontwikkelingen op de markt en de technologieën voor elektronische communicatiediensten, zoals internet, teneinde ongeacht de gebruikte technologieën een gelijk niveau van bescherming van persoonsgegevens en de persoonlijke levenssfeer te bieden.
[6] PB L 24 van 30.1.1998, blz. 1-8.
[7] PB L 201 van 31.7.2002, blz. 37-47. De lidstaten moeten de nieuwe richtlijn tegen 31 oktober 2003 in nationale wetgeving omzetten.
Door de opkomst van de kenniseconomie in combinatie met de technologische vooruitgang en het steeds grotere belang dat aan menselijk kapitaal wordt gehecht, wordt meer werk gemaakt van het verzamelen van persoonsgegevens van werknemers in het kader van de arbeidsverhouding. Deze ontwikkelingen hebben op een aantal punten aanleiding gegeven tot bezorgdheid en risico's gecreëerd en hebben het vraagstuk van de daadwerkelijke bescherming van de persoonsgegevens van werknemers onder de aandacht gebracht. De Commissie heeft er in haar raadplegingsdocument van de tweede fase, dat in oktober 2002 aan de Europese sociale partners werd gericht, op gewezen dat er ruimte is voor communautaire wetgevende maatregelen op grond van artikel 137, lid 2, van het Verdrag, met het doel de arbeidsvoorwaarden te verbeteren door de totstandbrenging van een Europees kader van beginselen en voorschriften op dit gebied. De Commissie denkt momenteel na over de follow-up van deze raadpleging en is voornemens vóór eind 2003 hierover een besluit nemen. Voor een dergelijk kader zou worden voortgebouwd op de bestaande algemene beginselen van Richtlijn 95/46/EG, terwijl deze beginselen in het kader van de arbeidsverhouding zouden worden aangevuld en verduidelijkt.
Wat consumentenkrediet betreft, heeft de Commissie in haar voorstel voor een richtlijn van het Europees Parlement en de Raad betreffende de harmonisatie van de wettelijke en bestuursrechtelijke bepalingen van de lidstaten inzake consumentenkrediet [8] enkele specifieke bepalingen inzake gegevensbescherming opgenomen met het doel de bescherming van de consumenten verder te versterken.
[8] COM(2002) 443 definitief van 11.9.2002.
Tegelijkertijd heeft de toegenomen bezorgdheid over de veiligheid, vooral na de gebeurtenissen van 11 september 2001, ertoe geleid dat de burgerlijke vrijheden in het algemeen en het recht op persoonlijke levenssfeer en de bescherming van persoonsgegevens in het bijzonder in zekere mate onder druk zijn komen te staan. Dit is niet nieuw en evenmin verrassend. Het Europees Hof voor de rechten van de mens oordeelde het nodig in 1978 de volgende waarschuwing te uiten: "States may not..., in the name of the struggle against espionage and terrorism, adopt whatever measures they deem appropriate... the danger (is that) of undermining or even destroying democracy on the ground of defending it" (Staten mogen ..., in naam van de strijd tegen spionage en terrorisme, niet om het even welke maatregelen goedkeuren die zij wenselijk achten ... het gevaar (schuilt hierin) dat de democratie wordt ondermijnd of zelfs vernietigd op grond van het streven ze te verdedigen). [9]
[9] Arrest van 6 september 1978 in de zaak Klass en anderen tegen Duitsland, serie A nr. 28.
De richtlijn is uiteraard niet van toepassing op de verwerking van persoonsgegevens met het oog op de uitoefening van zogenaamde activiteiten van de "derde pijler" [10] en daarom wordt de gegevensbescherming op die gebieden in dit verslag niet behandeld. In de wetgevingen van de lidstaten wordt echter vaak niet hetzelfde onderscheid gemaakt. Dit doet een aantal vragen en problemen rijzen, waarop met name het Europees Parlement de aandacht heeft gevestigd en die verder moeten worden besproken.
[10] Artikel 3, lid 2, eerste streepje, sluit van het toepassingsgebied van de richtlijn uit "niet binnen de werkingssfeer van het Gemeenschapsrecht vallende activiteiten ... en in ieder geval verwerkingen die betrekking hebben op de openbare veiligheid, defensie, de veiligheid van de Staat (waaronder de economie van de Staat, wanneer deze verwerkingen in verband staan met vraagstukken van Staatsveiligheid), en de activiteiten van de Staat op strafrechtelijk gebied".
-
2.Het open beoordelingsproces voorafgaand aan de opstelling van dit verslag
Tegen de bovenbeschreven achtergrond heeft de Commissie getracht een open debat met een zo breed mogelijke deelneming te organiseren ter begeleiding van haar beoordeling van de toepassing van de richtlijn. Alle belangstellende partijen - regeringen, instellingen, bedrijfs- en consumentenorganisaties, zelfs individuele ondernemingen en burgers - hebben de kans gekregen om aan het debat deel te nemen en hun mening te uiten [11]. De Commissie beschouwt dit proces als positief. Het heeft bijgedragen tot de verrijking van de informatiebronnen waarvan de Commissie gebruik heeft gemaakt voor dit verslag en voor de aanbevelingen voor toekomstige maatregelen die zij doet. Het heeft ook de verschuiving bevestigd die reeds was waargenomen in de mening van de voor de verwerking verantwoordelijken in het algemeen [12] en van de vertegenwoordigers van het bedrijfsleven in het bijzonder: de voor de verwerking verantwoordelijken zijn nu constructief bezig met een dialoog over hoe op doeltreffende wijze kan worden gezorgd voor de daadwerkelijke bescherming van persoonsgegevens, in plaats van zich vierkant te verzetten tegen regelgeving op dit gebied.
[11] De Commissie heeft vragen gesteld aan de regeringen van de lidstaten en afzonderlijk aan de toezichthoudende autoriteiten, universitaire deskundigen twee studies laten verrichten, een algemene uitnodiging tot het leveren van bijdragen gepubliceerd in het Publicatieblad en op de website van de Commissie, gedurende ruim twee maanden twee vragenlijsten op haar website geplaatst, de ene gericht aan de voor de verwerking verantwoordelijken en de andere aan de betrokkenen, en een conferentie gehouden waarop een breed scala aan thema's werd besproken in zes afzonderlijke workshops.
[12] Hoewel in dit verslag met voor de verwerking verantwoordelijken gewoonlijk de "industrie" of "vertegenwoordigers van het bedrijfsleven" worden bedoeld (omdat zij het meest aan de debatten hebben bijgedragen), zijn overheidsinstanties die activiteiten binnen het toepassingsgebied van de Gemeenschapswetgeving uitvoeren, ook voor de verwerking verantwoordelijken en gelden de aanbevelingen en waarnemingen in dit verslag uiteraard ook voor hen.
Aan de andere kant betreurt de Commissie de beperkte reactie van consumentenorganisaties op het raadplegingsproces. [13]
[13] Alleen de BEUC, de Europese consumentenorganisatie, heeft een standpunt ingediend, waarin zij onder meer stelde dat zij, in reactie op degenen die aanvoeren dat de richtlijn aan de eisen van de on-lineomgeving moet worden aangepast, van oordeel is dat juist de on-lineomgeving moet worden aangepast om de volledige inachtneming van de beginselen van de richtlijn te garanderen.
In dit verslag worden de bevindingen van de Commissie in het licht van het door haar verzamelde basismateriaal en haar aanbevelingen voor maatregelen samengevat. De Commissie is echter van oordeel dat dit slechts als een eerste stap in een langer proces te beschouwen is.
-
3.De voornaamste resultaten van de beoordeling
3.1. Voor en tegen wijziging van de richtlijn
De Commissie is van oordeel dat het, alles in aanmerking genomen, op grond van de resultaten van de beoordeling in dit stadium niet raadzaam is wijzigingen in de richtlijn voor te stellen.
Tijdens de raadplegingen die hebben plaatsgevonden, hebben slechts weinig deelnemers uitdrukkelijk gepleit voor wijziging van de richtlijn. De opmerkelijkste uitzondering hierop vormden de gedetailleerde voorstellen voor wijzigingen die gezamenlijk door Oostenrijk, Zweden, Finland en het VK werden ingediend [14]. Deze voorstellen voor wijzigingen betroffen slechts een klein aantal bepalingen (met name artikel 4, dat het toepasselijk recht bepaalt, artikel 8 betreffende gevoelige gegevens, artikel 12 betreffende het recht van toegang, artikel 18 betreffende de aanmelding, en de artikelen 25 en 26 betreffende doorgifte naar derde landen), terwijl de meeste bepalingen en alle beginselen van de richtlijn ongemoeid werden gelaten. Op de specifieke moeilijkheden die uit deze en enkele andere bepalingen voortvloeien, zal later in dit verslag nader worden ingegaan.
[14] http://www.lcd.gov.uk/ccpd/ dpdamend.htm. Nederland heeft zich later bij deze voorstellen aangesloten.
De Commissie is van mening dat het op grond van de volgende algemene overwegingen onverstandig zou zijn in de onmiddellijke toekomst voorstellen tot wijziging van deze richtlijn te doen:
-
-De ervaring met de toepassing van de richtlijn is tot dusver zeer beperkt. Slechts enkele lidstaten hebben de richtlijn bijtijds ten uitvoer gelegd. De meeste lidstaten hebben pas in 2000 en 2001 tenuitvoerleggingsmaatregelen ter kennis van de Commissie gebracht, en Ierland heeft zijn onlangs goedgekeurde omzettingsbesluit nog steeds niet ter kennis gebracht. Belangrijke omzettingswetgeving laat in sommige lidstaten nog op zich wachten. Dit is een ongeschikte ervaringsbasis voor een voorstel voor een herziene richtlijn.
-
-Veel van de moeilijkheden die tijdens het beoordelingsproces werden aangewezen, kunnen worden aangepakt en opgelost zonder dat de richtlijn wordt gewijzigd. In sommige gevallen moeten de problemen, wanneer deze door een incorrecte tenuitvoerlegging van de richtlijn worden veroorzaakt, worden opgelost door specifieke wijzigingen in de wetgeving van de lidstaten. In andere gevallen maakt de door de richtlijn geboden manoeuvreerruimte nauwere samenwerking tussen toezichthoudende autoriteiten mogelijk teneinde de noodzakelijke convergentie tot stand te brengen om de moeilijkheden te overwinnen die voortvloeien uit praktijken die te sterk verschillen van lidstaat tot lidstaat. In elk geval zullen dergelijke middelen waarschijnlijk sneller effect sorteren dan een wijziging van de richtlijn en daarom moeten ze eerst ten volle worden aangewend.
-
-Wanneer door belanghebbenden wijzigingen werden voorgesteld, was het vaak de bedoeling de lasten te verminderen die voor de voor de verwerking verantwoordelijken aan de naleving verbonden zijn. Hoewel dit op zich een gerechtvaardigd doel is en overigens een doel dat de Commissie volledig onderschrijft, is de Commissie van mening dat veel van de voorstellen ook een verlaging van het geboden beschermingsniveau zouden impliceren. De Commissie vindt dat eventuele wijzigingen die te zijner tijd in overweging worden genomen, moeten gericht zijn op de handhaving van hetzelfde beschermingsniveau en verenigbaar moeten zijn met het algemene kader waarin de bestaande internationale instrumenten voorzien [15]
[15] Met de woorden van commissaris Bolkestein tijdens de slotsessie van de conferentie over de toepassing van de richtlijn: "There is certainly no such thing as a clean sheet of paper when it comes to making policy in the field of data protection (...) In drafting its report the Commission will ... need to bear in mind the broader legal and political framework, in particular the principles of Convention 108 of the Council of Europe" (Er bestaat beslist niet zoiets als een schone lei wanneer het erop aankomt een beleid op het gebied van gegevensbescherming te formuleren (...). Bij de opstelling van haar verslag zal de Commissie ... rekening moeten houden met het ruimere juridische en politieke kader, met name met de beginselen van Verdrag 108 van de Raad van Europa.)
Na besprekingen met de lidstaten constateert de Commissie dat haar mening dat een wijziging van de richtlijn momenteel noch noodzakelijk, noch wenselijk is, wordt gedeeld door een comfortabele meerderheid van de lidstaten en ook van de nationale toezichthoudende autoriteiten.
De Commissie is van oordeel dat sommige problemen die aan de orde zijn gekomen en waaraan hier slechts een voorlopige analyse wordt gewijd, verder moeten worden geanalyseerd en te zijner tijd aanleiding kunnen geven tot een voorstel tot herziening van de richtlijn. Bij de opstelling van dat voorstel zou profijt kunnen worden getrokken van de grotere ervaring die intussen met de toepassing van de richtlijn zal zijn opgedaan.
Bovendien is er, zoals hierboven vermeld, aanzienlijke ruimte is voor verbetering bij de toepassing van de bestaande richtlijn, waardoor waarschijnlijk een oplossing zal kunnen worden gevonden voor enkele tijdens het beoordelingsproces aangewezen moeilijkheden, waarvan sommige ten onrechte aan de richtlijn zelf worden toegeschreven. De Commissie heeft tot dusver vooral aandacht besteed - en zal dit blijven doen - aan gebieden waar het Gemeenschapsrecht duidelijk wordt geschonden, en aan gebieden waar uiteenlopende interpretaties en/of praktijken moeilijkheden in de interne markt veroorzaken.
Een prioriteit in de ogen van de Commissie is ook de harmonieuze toepassing van de voorschriften betreffende de doorgifte van gegevens naar derde landen met het doel legitieme doorgiften te vergemakkelijken en onnodige belemmeringen of complexiteiten te vermijden.
3.2. Algemene evaluatie van de toepassing van de richtlijn in de lidstaten. Het probleem van de verschillen tussen de wetgevingen van de lidstaten
De diensten van de Commissie hebben op basis van de verzamelde informatie een grondige analyse van de toepassing in de vijftien lidstaten gemaakt. De medewerking van de lidstaten en de nationale toezichthoudende autoriteiten is in dit verband van grote hulp geweest. De eerste resultaten van deze analyse zijn opgenomen in dit verslag en in een technische bijlage die afzonderlijk zal worden gepubliceerd, maar het proces van het verzamelen van informatie en de analyse van de tenuitvoerlegging in de lidstaten zal in 2003 moeten worden voortgezet.
RESULTATEN VAN DE ON-LINEVRAGENLIJSTEN
Met behulp van het on-lineraadplegingsinstrument voor interactieve beleidsvorming heeft de Commissie in juni twee vragenlijsten op haar website geplaatst en de betrokkenen (publieke raadpleging) en de voor de verwerking verantwoordelijken (doelgroep) uitgenodigd hun mening over verschillende aspecten van gegevensbescherming te geven. Tegen de tijd dat de vragenlijsten werden afgesloten, hadden 9 156 personen en 982 voor de verwerking verantwoordelijken geantwoord. De complete resultaten van de raadplegingen zijn beschikbaar op
http://europa.eu.int/comm/internal_market/ privacy/lawreport/consultation_en.htm.
De Commissie acht de volgende resultaten bijzonder interessant:
Hoewel de Richtlijn gegevensbescherming hoge beschermingseisen stelt, beschouwden de meeste personen (4 113 van de 9 156 of 44,9%) het beschermingsniveau als een minimum.
81% van de personen vond het niveau van geïnformeerdheid over gegevensbescherming onvoldoende, slecht of zeer slecht, terwijl slechts 10,3% vond dat het voldoende was en slechts 3,46% dat het goed of zeer goed was. De voor de verwerking verantwoordelijken hadden een bijna even negatieve kijk op de geïnformeerdheid bij de burgers: de meeste respondenten (30%) vonden dat de geïnformeerdheid van de burgers over gegevensbescherming onvoldoende was, terwijl slechts 2,95% vond dat het niveau zeer goed was.
Er is bij de ondernemingen een grotere acceptatie van voorschriften inzake gegevensbescherming. Zo vond bijvoorbeeld 69,1% van de respondenten (voor de verwerking verantwoordelijken) voorschriften inzake gegevensbescherming noodzakelijk in onze samenleving, terwijl slechts 2,64% ze als volkomen overbodig beschouwde en vond dat ze moesten worden opgeheven.
Een grote meerderheid van de voor de verwerking verantwoordelijken die de vragenlijst hebben beantwoord (62,1%), vond niet dat reageren op verzoeken van personen om toegang tot hun persoonsgegevens een grote inspanning van hun organisatie vergde. De meeste voor de verwerking verantwoordelijken die de vragenlijst hebben beantwoord, hadden immers ofwel geen cijfers beschikbaar of hadden in 2001 minder dan tien verzoeken ontvangen.
De Commissie erkent dat deze resultaten niet als even representatief kunnen worden beschouwd als enquêteresultaten die op een wetenschappelijk geselecteerde steekproef zijn gebaseerd. De Commissie stelt voor in 2003 nog een enquête te houden, zowel om de betrouwbaarheid van de resultaten van de open vragenlijst te testen als om een maatstaf vast te stellen aan de hand waarvan de ontwikkeling van diverse meningen of indicatoren in de toekomst kan worden gemeten.
Laattijdige tenuitvoerlegging
De tenuitvoerlegging van een dergelijke richtlijn, dat wil zeggen een richtlijn die de lidstaten een aanzienlijke speelruimte laat, maar ook van ze verlangt dat ze een aanzienlijke hoeveelheid bijzonderheden invullen, is ongetwijfeld een complexe taak. Maar de ernstige vertragingen bij de tenuitvoerlegging die zich in de meeste lidstaten hebben voorgedaan, vormen de eerste en belangrijkste tekortkoming waarvan de Commissie nota behoort te nemen wat de toepassing van de richtlijn betreft en die zij ten stelligste afkeurt. Zij heeft uiteraard de nodige maatregelen getroffen overeenkomstig artikel 226 van het Verdrag.
Vrij verkeer van informatie verzekerd
Ondanks deze vertragingen en verschillen in de tenuitvoerlegging heeft de richtlijn haar hoofddoel bereikt, namelijk de opheffing van belemmeringen voor het vrije verkeer van persoonsgegevens tussen de lidstaten. In feite is de grootste moeilijkheid vóór de goedkeuring van de richtlijn gerezen omdat de meeste lidstaten weliswaar wetgeving inzake gegevensbescherming hadden goedgekeurd, maar dit voor een klein aantal niet het geval was. Tegen 1995 hadden alleen Italië en Griekenland nog niet zulke wetgeving, maar deze twee lidstaten waren bij de eerste om de richtlijn om te zetten, waardoor de grootste moeilijkheid uit de weg werd geruimd. Sinds de goedkeuring van de richtlijn is geen enkel geval ter kennis van de Commissie gebracht waarin de overdracht van persoonsgegevens tussen de lidstaten is tegengehouden of geweigerd op grond van de bescherming van gegevens.
Uiteraard kunnen belemmeringen voor het vrije verkeer van persoonsgegevens subtieler zijn dan regelrechte verboden in de nationale wetgevingen of besluiten van nationale toezichthoudende autoriteiten om de overdracht tegen te houden: er kunnen bijvoorbeeld gevallen zijn waarin een onnodig restrictief voorschrift in een lidstaat in eerste instantie de interne verwerking van persoonsgegevens in die lidstaat beperkt en bijgevolg ook de uitvoer van dezelfde gegevens naar andere lidstaten. Met andere woorden, hoewel de Commissie over het algemeen tevreden is over het effect van de richtlijn met betrekking tot het vrije verkeer van informatie binnen de Gemeenschap, kan verdere ervaring met de toepassing van de richtlijn problemen aan het licht brengen die moeten worden aangepakt [16].
[16] Bijvoorbeeld verschillende benaderingswijzen met betrekking tot de bescherming van de gegevens van rechtspersonen.
Hoog beschermingsniveau
Zoals in overweging 10 wordt bepaald, moet de door de richtlijn beoogde onderlinge aanpassing van de nationale wetgevingen erop gericht zijn in de Gemeenschap een hoog beschermingsniveau te waarborgen. De Commissie is van mening dat dit is verwezenlijkt. De richtlijn zelf bevat immers enkele van de hoogste normen inzake gegevensbescherming ter wereld. De resultaten van de on-line-enquête wijzen er echter op dat de burgers in dit opzicht een andere perceptie hebben. Met het oog op deze paradox is verder denkwerk noodzakelijk. Uit een voorlopige analyse zou blijken dat althans een deel van het probleem is toe te schrijven aan een onvolledige toepassing van de voorschriften (zie het punt "Rechtshandhaving, naleving en geïnformeerdheid" hierna).
Andere doelstellingen van het internemarktbeleid die minder werden gerespecteerd
In de opinie van de Commissie gaan de algemene beleidsdoelstellingen die door wetgeving inzake de interne markt moeten worden nagestreefd, verder dan gewoon het vrije verkeer. Deze wetgeving moet voorzover mogelijk gelijke concurrentievoorwaarden scheppen voor de marktdeelnemers in de verschillende lidstaten, ertoe bijdragen het regelgevingsklimaat te vereenvoudigen zowel met het oog op goed bestuur als ten behoeve van het concurrentievermogen, en ertoe strekken de grensoverschrijdende activiteit binnen de EU aan te moedigen veeleer dan te verhinderen.
Bij beoordeling aan de hand van deze criteria zijn de verschillen die nog steeds zijn waar te nemen tussen de wetgevingen van de lidstaten op het gebied van gegevensbescherming, te groot. Dit was de voornaamste boodschap die werd ontvangen van degenen die aan de beoordeling hebben bijgedragen, met name van degenen die bedrijfsbelangen vertegenwoordigden, die erover klaagden dat de bestaande verschillen multinationale organisaties verhinderen een pan-Europees beleid op het gebied van gegevensbescherming te ontwikkelen. De Commissie herinnert eraan dat de bedoeling van een richtlijn bestaat in onderlinge aanpassing en niet in volledige uniformiteit en dat, met het oog op de inachtneming van het subsidiariteitsbeginsel, het proces van onderlinge aanpassing niet verder mag gaan dan noodzakelijk is. Toch denkt zij dat de belanghebbenden gelijk hebben wanneer zij meer convergentie verlangen in de wetgeving en in de wijze waarop ze door de lidstaten en door de nationale toezichthoudende autoriteiten in het bijzonder wordt toegepast.
Sommigen die aan de beoordeling hebben bijgedragen, stelden voor meer bijzonderheden of specificaties in de richtlijn op te nemen om de convergentie tot stand te brengen. De Commissie geeft er de voorkeur aan om, tenminste in een eerste fase, andere middelen aan te wenden. Bovendien pleit de algemene aard van deze richtlijn, d.w.z. het feit dat zij van toepassing is op een groot aantal sectoren en contexten, in het algemeen tegen de toevoeging van meer bijzonderheden of specificaties.
Verschillen tussen de wetgevingen van de lidstaten vereisen een reeks oplossingen
Aangezien de verschillen tussen de wetgevingen van de lidstaten verschillende oorzaken en verschillende gevolgen hebben , vereisen ze ook een reeks verschillende oplossingen.
Het is duidelijk dat, wanneer een lidstaat is verdergegaan dan de door de richtlijn aangegeven grenzen of niet aan de voorschriften voldoet, er een verschil ontstaat dat moet worden opgeheven door wijziging van de desbetreffende wetgeving van de lidstaat. Er zijn bepalingen die de lidstaten weinig of geen speelruimte laten en waar toch verschillen zijn ontstaan - zie bijvoorbeeld "definities" of gesloten lijsten in de richtlijn zoals in artikel 7 (redenen voor toelaatbare verwerking), artikel 8, lid 1 (gevoelige gegevens), de artikelen 10 (informatieverstrekking aan de betrokkenen), 13 (uitzonderingen), 26 (uitzonderingen betreffende de doorgifte naar derde landen, enz.). Dit wijst op niet-naleving van het Gemeenschapsrecht. Artikel 4 (toepasselijk recht) is in een aantal gevallen ook slecht omgezet.
De Commissie is uiteraard bereid gebruik te maken van haar bevoegdheden krachtens artikel 226 van het Verdrag om dergelijke veranderingen tot stand te brengen, maar zij hoopt dat het niet nodig zal zijn om formele maatregelen te nemen. Er zullen bilaterale en multilaterale besprekingen met de lidstaten worden gevoerd teneinde te komen tot overeengekomen oplossingen in overeenstemming met de richtlijn.
Andere verschillen kunnen het rechtmatige resultaat zijn van een correcte toepassing door een lidstaat die binnen de door de richtlijn geboden manoeuvreerruimte een andere richting heeft gevolgd. In dit verslag besteedt de Commissie alleen aandacht aan dergelijke verschillen in zoverre zij aanzienlijke negatieve gevolgen in de interne markt hebben of vanuit het oogpunt van "betere regelgeving", bijvoorbeeld het creëren van ongerechtvaardigde administratieve lasten voor marktdeelnemers.
Kortom:
-
a)over het geheel beschouwd kan een groot gedeelte van de door de diensten van de Commissie geconstateerde verschillen niet als een schending van het Gemeenschapsrecht worden beschouwd en evenmin kan worden gesteld dat ze een aanzienlijke negatieve invloed op de interne markt hebben, maar wanneer dit wel het geval is, zal de Commissie het nodige doen om de situatie recht te zetten;
-
b)veel van de geconstateerde verschillen vormen niettemin een hinderpaal voor een flexibel en vereenvoudigd regelgevingssysteem en wekken daarom toch bezorgdheid (zie bijvoorbeeld de verschillen in de voorschriften inzake kennisgeving of de voorwaarden voor internationale doorgiften).
Er is een breed spectrum van mogelijke maatregelen om die verschillen op te heffen, zoals in het werkprogramma in punt 6 wordt aangegeven. Dat in de onmiddellijke toekomst naar deze oplossingen wordt gestreefd, betekent echter niet dat de Commissie de mogelijkheid uitsluit later passende wijzigingen in de richtlijn aan te brengen indien de moeilijkheden blijven bestaan. Nauwere samenwerking tussen de toezichthoudende autoriteiten van de lidstaten en een algemene bereidheid om het negatieve effect van verschillen te verminderen, moeten dus als een mogelijk alternatief worden gezien, terwijl wijzigingen in de richtlijn ter vermindering van de keuzemogelijkheden voor de nationale wetgever en de nationale toezichthoudende autoriteiten het andere alternatief zijn. De lidstaten en hun toezichthoudende autoriteiten zullen ongetwijfeld de voorkeur geven aan de eerste optie en het is aan hen om te tonen dat het kan functioneren.
Rechtshandhaving, naleving en geïnformeerdheid
Alvorens over te gaan tot een grondiger onderzoek van de probleemgebieden bij de toepassing van de richtlijn, moet aan nog een andere algemene kwestie aandacht worden geschonken, namelijk het algemene niveau van naleving van wetgeving inzake gegevensbescherming in de EU en de daarmee verbonden kwestie van de rechtshandhaving. Gezien (of ondanks) het ubiquitaire karakter van de verwerking van persoonsgegevens is het moeilijk om nauwkeurige of complete informatie te verkrijgen over de conformiteit ervan met de wetgeving. Het basismateriaal dat de Commissie heeft ontvangen als reactie op haar oproep om bijdragen te leveren, heeft geen nieuw licht op deze kwestie geworpen. Anekdotisch bewijsmateriaal in combinatie met diverse stukjes "harde" informatie waarover de Commissie beschikt [17], wijst echter op de aanwezigheid van drie onderling aan elkaar gerelateerde verschijnselen:
[17] Bijvoorbeeld het relatief kleine aantal individuele klachten die de Commissie zelf heeft ontvangen, en het lage aantal door nationale autoriteiten verleende toestemmingen voor doorgiften naar derde landen die overeenkomstig artikel 26, lid 3, ter kennis van de Commissie zijn gebracht.
-
-rechtshandhaving met te weinig middelen en toezichthoudende autoriteiten met zeer gevarieerde taken, waaronder rechtshandhavingsmaatregelen een vrij lage prioriteit hebben;
-
-zeer fragmentarische naleving door de voor de verwerking verantwoordelijken, die ongetwijfeld weinig zin hebben om veranderingen in hun bestaande praktijken aan te brengen teneinde te voldoen aan in hun ogen misschien complexe en omslachtige voorschriften, wanneer de pakkans klein is;
-
-een blijkbaar laag niveau van geïnformeerdheid bij de betrokkenen over hun rechten, hetgeen de oorzaak kan zijn van het voorgaande verschijnsel.
De toezichthoudende autoriteiten zelf in de lidstaten zijn hierover ook bezorgd, met name over hun gebrek aan middelen. De moeilijkheden in verband met de beschikbare middelen kunnen de onafhankelijkheid in het gedrang brengen. Onafhankelijkheid bij het nemen van beslissingen is een conditio sine qua non voor het correct functioneren van het systeem.
Dit aspect moet verder worden onderzocht. Indien deze tendensen echter worden bevestigd, zijn er ernstige redenen tot bezorgdheid en moet tussen de Commissie, de lidstaten en de toezichthoudende autoriteiten overleg worden gepleegd om de oorzaken daarvan te bepalen en haalbare oplossingen te bedenken.
Het feit dat de drie aspecten met elkaar verbonden zijn, betekent dat, indien een ervan met succes wordt aangepakt, dit een positief effect op de andere twee kan hebben. Door een doortastender en effectievere rechtshandhaving zal de naleving van de wetgeving worden verbeterd. Een betere naleving zal ertoe leiden dat de voor de verwerking verantwoordelijken meer en betere informatie verstrekken aan de betrokkenen over het bestaan van de verwerking en hun rechten op grond van de wetgeving, hetgeen een gunstig effect zal hebben op het niveau van geïnformeerdheid over gegevensbescherming bij de burgers in het algemeen.
De kandidaat-lidstaten
Overeenkomstig de criteria van Kopenhagen hebben alle kandidaat-lidstaten zich ertoe verbonden Richtlijn 95/46/EG tegen de toetredingsdatum om te zetten. Tot dusver hebben ze allemaal wetgeving op dit gebied goedgekeurd, behalve Turkije, dat volop bezig is met de opstelling van de gegevensbeschermingswet. In de tien landen die de toetredingsverdragen hebben ondertekend, zijn de meeste belangrijke elementen van de richtlijn in de goedgekeurde wetgeving opgenomen. Er moeten echter nog inspanningen worden geleverd om die wetgeving volledig met alle bepalingen van de richtlijn in overeenstemming te brengen.
In dit verband is de oprichting van onafhankelijke toezichthoudende autoriteiten inzake gegevensbescherming van het grootste belang. De onafhankelijkheid van sommige toezichthoudende autoriteiten is voorbeeldig, terwijl ze in andere landen duidelijk ontoereikend is. Aan de andere kant beschikt geen enkele toezichthoudende autoriteit over de nodige middelen en beschikken sommige toezichthoudende autoriteiten ook niet over de nodige bevoegdheden om een effectieve tenuitvoerlegging van de wetgeving inzake gegevensbescherming te garanderen.
-
4.De belangrijkste bevindingen van de beoordeling meer in detail [18]
[18] De lezers worden verwezen naar de technische bijlage voor een completer beeld.
In dit punt wordt nader ingegaan op en worden concretere voorbeelden gegeven van de belangrijkste problemen waaraan volgens de Commissie in het licht van deze beoordeling aandacht moet worden besteed.
4.1. De noodzaak om de toepassing van de richtlijn aan te vullen
Voor de volledige toepassing van de richtlijn is (behalve de goedkeuring van omzettingswetten) een tweede fase vereist die hoofdzakelijk bestaat in de herziening van andere wetgeving die misschien in strijd is met de voorschriften van de richtlijn, en/of het specificeren van bepaalde algemene voorschriften en het aanbieden van passende waarborgen wanneer gebruik is gemaakt van uitzonderingen waarin de richtlijn voorziet.
Algemeen gesproken is in sommige lidstaten nog niet eens een aanvang gemaakt met deze tweede fase van de toepassing, en van de lidstaten die er wel mee begonnen zijn, zijn enkele nog niet heel ver gevorderd. In diverse nationale wetten wordt verwezen naar verdere toelichting die zal worden verstrekt, bijvoorbeeld betreffende de toepassing van artikel 7, onder f) (bepaling betreffende het evenwicht van belangen), maar tot dusver is dit niet gebeurd. [19]
[19] In diverse ingezonden bijdragen - zie bijvoorbeeld die van Clifford Chance - werd gewezen op het belang van deze bepaling, waardoor een belangrijke mate van flexibiliteit wordt opgenomen in de voorwaarden van "eerlijkheid" van de verwerking. Door een onvolledige of onduidelijke toepassing van deze bepaling wordt onnodige strakheid in het regelgevingskader gebracht.
Een andere bepaling waarvan de toepassing vaak onvolledig is, is artikel 8, lid 2, onder b). Deze bepaling biedt de lidstaten de mogelijkheid om op de algemene regel dat gevoelige gegevens niet mogen worden verwerkt, uitzonderingen te maken wanneer deze verwerking noodzakelijk is met het oog op de uitvoering van de verplichtingen en de rechten van de voor de verwerking verantwoordelijke inzake arbeidsrecht, maar alleen op voorwaarde dat passende waarborgen worden geboden. In sommige lidstaten wordt aan deze voorschriften voldaan door middel van specifieke wetgeving inzake gegevensbescherming in het kader van de arbeidsverhouding, die ofwel zeer omvattend is (bv. Finland), ofwel specifieke kwesties regelt (bv. gezondheidswetgeving in Denemarken en Nederland). In andere lidstaten is de situatie minder duidelijk. De bepalingen waarin waarborgen zijn vervat, zijn niet door alle lidstaten goedgekeurd. Waar ze wel bestaan, schenken ze vaak geen voldoening. Dezelfde situatie geldt voor artikel 8, leden 4 en 5, betreffende de verwerking van gevoelige gegevens om redenen van algemeen belang of met betrekking tot strafrechtelijke veroordelingen. De afwezigheid van waarborgen betekent dat het vereiste beschermingsniveau voor personen niet wordt geboden, hetgeen voor de lidstaten een reden tot bezorgdheid zou moeten zijn, zoals het dit ook voor de Commissie is. Dit probleem zal met name met actie 1 van het werkprogramma worden aangepakt. Bovendien kan dit, wanneer persoonsgegevens worden verwerkt in een specifieke sector of context, zoals in het kader van de arbeidsverhouding, door middel van sectorale communautaire maatregelen worden aangepakt [20].
[20] Zie in dit verband punt 1.2 hierboven.
4.2. De noodzaak van een redelijke en flexibele interpretatie
In veel ingezonden bijdragen werd gepleit voor een redelijke en flexibele interpretatie van sommige bepalingen van de richtlijn [21]. Een goed voorbeeld is de kwestie van de gevoelige gegevens [22]. Er moet een interpretatie worden gevonden die zowel verenigbaar is met de versterkte bescherming waarin de richtlijn voor deze categorie gegevens voorziet, als met de realiteiten van de dagelijkse bedrijfsactiviteiten, de routinematige verwerkingen en de daadwerkelijke risico's die sommige verwerkingen inhouden voor de bescherming van de fundamentele rechten en vrijheden van personen. [23]
[21] De ingezonden bijdrage van het European Privacy Officers Forum (EPOF) is in dit verband bijzonder belangwekkend, bijvoorbeeld wat betreft de noodzaak van een redelijke interpretatie van begrippen zoals "anonieme gegevens" of "gevoelige gegevens".
[22] De ingezonden bijdrage van FEDMA bijvoorbeeld bevat enkele praktische voorbeelden van de verschillende interpretaties van dit begrip in lidstaten zoals het Verenigd Koninkrijk, Frankrijk of Portugal.
[23] De roep om een redelijke interpretatie is ook terug te vinden in de voorgestelde wijziging van overweging 33, die door Oostenrijk, Finland, Zweden en het Verenigd Koninkrijk is ingediend.
Artikel 12 van de richtlijn (recht van de betrokkenen om toegang te krijgen tot de over hen bewaarde informatie) is een andere bepaling die aanleiding heeft gegeven tot de roep om een flexibele interpretatie met betrekking tot de uitoefening van het recht van toegang en de mogelijkheid van weigeringen. Er wordt aangevoerd dat het voor de voor de verwerking verantwoordelijke buitengewoon moeilijk en duur kan zijn om te voldoen aan verzoeken om toegang betreffende gegevens die op enorme en complexe informatienetwerken worden verwerkt.
In de door Oostenrijk, Zweden, Finland en het Verenigd Koninkrijk ingediende bijdrage wordt aangedrongen op een wijziging in de richtlijn teneinde duidelijk te maken dat, indien het verzoek om toegang betrekking heeft op informatie die buitengewoon moeilijk terug te zoeken is en duidelijk is uitgesloten van de normale werkzaamheden van de voor de verwerking verantwoordelijke, deze laatste de betrokkene mag vragen de organisatie te helpen bij het zoeken van zijn gegevens. [24] De Commissie herinnert eraan dat de mogelijkheid te verzoeken om dergelijke hulp, reeds in overeenstemming is met de richtlijn in haar huidige vorm. De Commissie is er niet van overtuigd dat de toepassing van deze bepaling van de richtlijn in feite ernstige praktische problemen oplevert. In elk geval lijkt het aantal verzoeken om toegang laag te blijven. [25] De Commissie acht de door de nationale toezichthoudende autoriteiten verstrekte interpretaties en begeleiding tot dusver volkomen redelijk.
[24] In dergelijke hulp is reeds voorzien in de Britse en de Oostenrijkse wetgeving.
[25] Zie hierboven voor cijfers en antwoorden van voor de verwerking verantwoordelijken op de on-linevragenlijst over deze kwestie.
In artikel 5 van de richtlijn staat dat de lidstaten binnen de grenzen van de bepalingen van hoofdstuk II (de artikelen 6 tot en met 21) de voorwaarden nader bepalen waaronder de verwerking van persoonsgegevens rechtmatig is. In dit verband neemt de Commissie nota van de bezorgdheid die Zweden in het kader van de lopende evaluatie van zijn wetgeving heeft geuit met betrekking tot de toepassing van beginselen inzake gegevensbescherming op doorlopende tekst of geluids- en beeldgegevens. De Commissie is van oordeel dat, wanneer de verwerking van gegevens vermoedelijk geen aanzienlijke risico's voor de rechten van het individu zal opleveren, de beoogde vereenvoudiging van de voorwaarden voor de verwerking beter kan worden verwezenlijkt door gebruik te maken van de door de richtlijn geboden manoeuvreerruimte en met name van de bij artikel 7, onder f, en de artikelen 9 en 13 geboden mogelijkheden.
4.3. Bevordering en aanmoediging van privacyverbeterende technologieën
De bedoeling van privacyverbeterende technologieën (PVT's) is informatie- en communicatiesystemen te ontwerpen op zodanige wijze dat de verzameling en het gebruik van persoonsgegevens tot een minimum worden beperkt en onrechtmatige vormen van verwerking worden verhinderd. De Commissie is van oordeel dat het gebruik van geschikte technologische maatregelen een essentiële aanvulling is op wettelijke middelen en integrerend deel moet uitmaken van alle inspanningen om een voldoende hoog niveau van bescherming van de persoonlijke levenssfeer te bereiken.
Technologische producten moeten in ieder geval overeenkomstig de toepasselijke voorschriften inzake gegevensbescherming worden ontwikkeld. Maar de voorschriften naleven is nog maar de eerste stap. Het doel moet zijn te beschikken over producten die niet alleen aan de privacyregels voldoen en privacyvriendelijk zijn, maar indien mogelijk ook de privacy verbeteren [26].
[26] Zie in dit verband de conclusies van het document WP 37 van de Groep van artikel 29, november 2000: "Privacy op internet - Een geïntegreerde EU-aanpak van on-linegegevensbescherming". Privacyconforme producten zijn producten die met volledige inachtneming van de richtlijn worden ontwikkeld, privacyvriendelijke producten gaan een stap verder door enkele elementen te introduceren die de privacyaspecten gemakkelijker toegankelijk maken voor de gebruikers, bijvoorbeeld door de betrokkene zeer gebruikersvriendelijke informatie te verstrekken of zeer gemakkelijke manieren te bieden om zijn rechten uit te oefenen. Privacyverbeterende producten zijn producten die zijn ontworpen met het doel een zo ruim mogelijk gebruik van echt anonieme gegevens te verwezenlijken. http://europa.eu.int/comm/internal_market/ privacy/workingroup/wp2000/wpdocs00_en.htm.
Tijdens de besprekingen over PVT's op de door de Commissie in 2002 georganiseerde conferentie over de toepassing van de richtlijn werd erop gewezen dat het gebruik van bepaalde technische hulpmiddelen het de voor de verwerking verantwoordelijken onmogelijk maakt om de wetgeving na te leven. Bovendien is het probleem gerezen dat het moeilijk is om te herkennen welke producten echt PVT's zijn. Enkele deelnemers verzochten om een vorm van certificering of zegel op basis van een onafhankelijke verificatie van het product. Momenteel zijn sommige systemen die zich als PVT's presenteren, niet eens privacyconform.
De kernvraag is dan ook niet alleen hoe technologieën kunnen worden ontworpen die echt privacyverbeterend zijn, maar hoe ervoor kan worden gezorgd dat deze technologieën behoorlijk worden geïdentificeerd en door de gebruikers als dusdanig herkend. Certificeringssystemen spelen een cruciale rol en de Commissie zal de ontwikkelingen op dit gebied blijven volgen [27].
[27] Bijvoorbeeld in Canada, waar de federale regering als eerste nationale overheid Privacy Impact Assessments (PIA's, privacyeffectbeoordelingen) verplicht heeft gesteld voor alle federale departementen en organen voor alle programma's en diensten waarmee privacyaspecten kunnen gemoeid zijn. Dit beleid verlangt van overheidsorganen dat ze PIA's opzetten in de eerste fasen van het ontwerp of herontwerp van een programma of dienst, teneinde het ontwikkelingsproces te beïnvloeden en ervoor te zorgen dat de bescherming van de privacy een centrale overweging is. De Duitse deelstaat Schleswig-Holstein heeft een certificeringssysteem ingevoerd waarbij de openbare en de particuliere sector op dezelfde wijze betrokken zijn.
De Commissie vindt dat dergelijke regelingen daadwerkelijk moeten worden aangemoedigd en verder ontwikkeld. Het doel is niet alleen te komen tot betere privacypraktijken, maar ook de transparantie en bijgevolg het vertrouwen van de gebruikers te vergroten en degenen die in naleving en zelfs betere bescherming investeren, een kans te geven om hun prestaties op dit gebied te demonstreren en daaruit een concurrentievoordeel te halen.
4.4. Opmerkingen over enkele specifieke bepalingen
In dit verslag worden telkens alleen de belangrijkste bevindingen weergegeven. Nadere gegevens worden verstrekt in een technische bijlage die afzonderlijk wordt gepubliceerd [28].
[28] www.europa.eu.int/comm/privacy.
4.4.1. Artikel 4: toepasselijk recht
Dit is een van de belangrijkste bepalingen van de richtlijn uit het oogpunt van de interne markt en de correcte tenuitvoerlegging ervan is van cruciaal belang voor het functioneren van het systeem. De tenuitvoerlegging van deze bepaling is in diverse gevallen gebrekkig met als resultaat dat het soort wetsconflicten die dit artikel tracht te vermijden, kan ontstaan. Sommige lidstaten zullen hun wetgeving in dit opzicht moeten wijzigen.
Dit is een van de bepalingen die tijdens het beoordelingsproces het meest werd bekritiseerd. In de ingezonden bijdragen werd gepleit voor een op het land van herkomst gebaseerde bepaling zodat multinationale organisaties met één stel voorschriften in de gehele EU zouden kunnen opereren. Velen voerden ook aan dat het "gebruik van middelen" geen geschikt of werkbaar criterium is om te bepalen of de EU-wetgeving van toepassing is op voor de verwerking verantwoordelijken die buiten de EU zijn gevestigd.
Wat de op het land van herkomst gebaseerde bepaling betreft, voorziet de richtlijn reeds in de mogelijkheid om de verwerking te organiseren onder één voor de verwerking verantwoordelijke, hetgeen betekent dat alleen hoeft te worden voldaan aan de gegevensbeschermingswet van het land waar de verantwoordelijke is gevestigd. Dit geldt uiteraard niet wanneer een onderneming ervoor heeft gekozen haar recht van vestiging in meer dan één lidstaat uit te oefenen.
Wat het "gebruik van middelen" betreft, is de Commissie zich ervan bewust dat dit criterium in de praktijk misschien niet gemakkelijk te hanteren is en dat het verder moet worden verduidelijkt. Mocht een dergelijke verduidelijking niet volstaan om de praktische toepassing van het criterium te garanderen, dan kan het te zijner tijd noodzakelijk zijn een wijziging voor te stellen waarbij wordt voorzien in een andere verbandsfactor om het toepasselijk recht te bepalen.
De prioriteit van de Commissie is echter te zorgen voor de correcte tenuitvoerlegging van de bestaande bepaling door de lidstaten. Er is meer ervaring met de toepassing van de bepaling nodig en er moet meer worden nagedacht, rekening houdend met de technologische ontwikkelingen, voordat een voorstel tot wijziging van artikel 4, lid 1, onder c), kan worden gedaan. Niettegenstaande deze verdere reflectie noodzakelijk is, zou het verkeerd zijn de indruk te wekken dat artikel 4 in zijn geheel wordt betwist. Integendeel, over grote delen van de toepassing ervan bestaat geen enkele betwisting en zijn alle gegevensbeschermingsautoriteiten en de Commissie het volkomen eens.
4.4.2. Artikelen 6 en 7: kwaliteit van de gegevens en criteria voor toelaatbare verwerking
Uit de analyse van de nationale wetgeving blijkt dat de tenuitvoerlegging van deze bepalingen soms geen voldoening schenkt. Artikel 6, lid 1, onder b), voorziet in verdere verwerking voor historische, statistische of wetenschappelijke doeleinden, mits passende waarborgen worden geboden. Niet alle lidstaten hebben waarborgen geboden, terwijl dergelijke verdere verwerking algemeen wordt toegestaan. Sommige lidstaten zijn verdergegaan dan of voldoen niet aan de lijst van redenen voor toelaatbare verwerking in artikel 7 en zij zullen hun wetgeving moeten wijzigen. Het begrip "ondubbelzinnige toestemming" (artikel 7, onder a)) moet, met name in vergelijking met het begrip "uitdrukkelijke toestemming" in artikel 8, verder worden verduidelijkt en op uniformere wijze worden geïnterpreteerd. Het is noodzakelijk dat de marktdeelnemers weten wat een geldige toestemming vormt, met name bij on-linescenario's.
4.4.3. Artikelen 10 en 11: bepaling betreffende informatieverstrekking aan de betrokkenen
De toepassing van de artikelen 10 en 11 van de richtlijn heeft een aantal verschillen te zien gegeven. Dit is in zekere mate toe te schrijven aan incorrecte tenuitvoerlegging, bijvoorbeeld wanneer een wet bepaalt dat altijd aanvullende informatie aan de betrokkene moet worden verstrekt, ongeacht de noodzakelijkheidstest waarin de richtlijn voorziet, maar heeft ook te maken met uiteenlopende interpretaties en praktijken bij de toezichthoudende autoriteiten. In de ingezonden bijdragen werd met nadruk gewezen op de moeilijkheden waarmee multinationale ondernemingen die op pan-Europees niveau opereren, als gevolg van deze verschillen worden geconfronteerd [29].
[29] Zie bijvoorbeeld de meningen van het EPOF (European Privacy Officers Forum):
4.4.4. Artikelen 18 en 19: aanmeldingsvereisten
In veel ingezonden bijdragen wordt gewezen op de noodzaak om de voorschriften in de lidstaten met betrekking tot de aanmelding van verwerkingen door de voor de verwerking verantwoordelijken te vereenvoudigen en onderling aan te passen. De Commissie sluit zich daarbij aan, maar herinnert eraan dat de richtlijn de lidstaten reeds de mogelijkheid biedt om ruime vrijstellingen van aanmelding toe te staan wanneer er weinig risico aan de verwerking verbonden is of wanneer de voor de verwerking verantwoordelijke een functionaris voor de gegevensbescherming heeft aangewezen. Deze vrijstellingen bieden voldoende flexibiliteit zonder dat het gewaarborgde beschermingsniveau wordt verlaagd. Jammer genoeg hebben sommige lidstaten niet van deze mogelijkheden gebruik gemaakt. De Commissie is het er echter mee eens dat, naast een ruimer gebruik van de bestaande vrijstellingen, enige verdere vereenvoudiging nuttig zou zijn en mogelijk moet zijn zonder dat de bestaande artikelen worden gewijzigd.
4.4.5. Artikelen 25 en 26: de externe dimensie
De verschillen tussen de wetgevingen van de lidstaten met betrekking tot de toepassing van deze twee bepalingen zijn buitenmate groot. De door sommige lidstaten gekozen aanpak, waarbij wordt aangenomen dat de beoordeling van het passende karakter van het door de ontvanger geboden beschermingsniveau wordt verricht door de voor de verwerking verantwoordelijke, met een zeer beperkte controle op de gegevensstromen door de staat of de nationale toezichthoudende autoriteit, lijkt niet te voldoen aan de eis die bij artikel 25, lid 1, aan de lidstaten wordt opgelegd [30].
[30] "De lidstaten bepalen dat persoonsgegevens (...) slechts naar een derde land mogen worden doorgegeven indien (...) dat land een passend beschermingsniveau waarborgt."
De door sommige lidstaten toegepaste methode, waarbij alle doorgiften naar derde landen aan een administratieve toestemming worden onderworpen [31], lijkt eveneens onverenigbaar met hoofdstuk IV van de richtlijn, dat tot doel heeft zowel te garanderen dat een passende bescherming wordt geboden als dat persoonsgegevens zonder onnodige lasten naar derde landen kunnen worden overgebracht. Er kunnen aanmeldingen bij nationale toezichthoudende autoriteiten overeenkomstig artikel 19 worden verlangd, maar aanmeldingen kunnen niet worden veranderd in de-factotoestemmingen in gevallen waarin de doorgifte naar een derde land duidelijk is toegestaan, hetzij omdat de ontvanger een bestemming is die een passende bescherming biedt zoals bevestigd in een bindend besluit van de Commissie, hetzij omdat hij een partij is bij de door de Commissie goedgekeurde modelcontractbepalingen, hetzij omdat de voor de verwerking verantwoordelijke verklaart dat de doorgifte in aanmerking komt voor een van de bij artikel 26 van de richtlijn bepaalde uitzonderingen. Hoewel de gegevensbeschermingsautoriteit rechtmatig de aanmelding van deze doorgiften kan verlangen [32], is het niet nodig toestemming te geven voor deze doorgiften omdat er reeds bij communautaire wetgeving toestemming voor is gegeven.
[31] Voor doorgiften die in aanmerking komen voor de uitzonderingen van artikel 26, lid 1, of zelfs doorgiften naar andere lidstaten of derde landen waarvoor de Europese Commissie een passend beschermingsniveau heeft geconstateerd, is in sommige lidstaten een goedkeuring nodig.
[32] Om bijvoorbeeld na te gaan of het modelcontract volledig overeenstemt met het door de Commissie goedgekeurde model dan wel of het besluit inzake het passende karakter van het beschermingsniveau daadwerkelijk op de ontvanger van toepassing is.
Een al te lakse houding in sommige lidstaten is niet alleen in strijd met de richtlijn, maar houdt bovendien het risico in dat de bescherming in de EU in haar geheel wordt verzwakt, omdat gegevensstromen vanwege het door de richtlijn gewaarborgde vrije verkeer waarschijnlijk naar het "minst lastige" punt van uitvoer zullen worden geleid. Aan de andere kant zou een al te strenge aanpak niet beantwoorden aan de gerechtvaardigde wensen van de internationale handel en de realiteit van wereldomspannende telecommunicatienetwerken en houdt hij het gevaar in dat een kloof ontstaat tussen wetgeving en praktijk, hetgeen schadelijk is voor de geloofwaardigheid van de richtlijn en voor de Gemeenschapswetgeving in het algemeen.
Internationale doorgiften lijken inderdaad een gebied te zijn waar het gebrek aan rechtshandhavingsmaatregelen een dergelijke kloof doet ontstaan. Van de nationale autoriteiten wordt verwacht dat zij, wanneer zij op grond van artikel 26, lid 2, van de richtlijn toestemming geven voor doorgiften, de Commissie daarvan in kennis stellen. Sinds de richtlijn in 1998 in werking is getreden, heeft de Commissie slechts een zeer beperkt aantal van zulke aanmeldingen ontvangen. Hoewel er naast artikel 26, lid 2, andere legale doorgifteroutes bestaan, is dit aantal belachelijk laag in vergelijking met wat redelijkerwijs zou kunnen worden verwacht. Hieruit en uit ander bewijsmateriaal dat in dezelfde richting wijst [33], is af te leiden dat veel doorgiften zonder toestemming en misschien op illegale wijze plaatsvinden naar bestemmingen of ontvangers die geen passende bescherming bieden. Niettemin zijn er weinig of geen aanwijzingen van rechtshandhavingsmaatregelen van de toezichthoudende autoriteiten.
[33] Uit het verslag dat werd goedgekeurd door de voorjaarsconferentie van de gegevensbeschermingsautoriteiten in mei 2001 is gebleken dat de meeste nationale toezichthoudende autoriteiten niet in staat waren het aantal verwerkingen op te geven die betrekking hadden op de internationale doorgifte van gegevens. Wanneer cijfers beschikbaar waren, waren ze onbetekenend (600 doorgiften uit Frankrijk, 1 352 uit Spanje en 150 uit Denemarken).
Doorgiften waarvoor toestemming en aanmelding vereist is, brengen uiteraard een aanzienlijke administratieve last met zich mee, zowel voor de gegevensexporteurs als voor de toezichthoudende autoriteiten. Daarom is het wenselijk dat meer gebruik wordt gemaakt van de "bloksgewijze toestemmingen" waarin artikel 25, lid 6, en artikel 26, lid 4, van de richtlijn voorzien. Tot dusver heeft dit nog maar in vier gevallen de constatering van een passend beschermingsniveau voor derde landen (Hongarije, Zwitserland, Canada en de Amerikaanse veilige haven [34])) en twee stellen modelcontractbepalingen opgeleverd, een voor doorgiften aan voor de verwerking verantwoordelijken in derde landen en een voor doorgiften aan verwerkers. Er moet nog meer worden gedaan voor de vereenvoudiging van de voorwaarden voor internationale doorgiften.
[34] Er is ook een besluit van de Commissie over passende bescherming in Argentinië dat bijna rond is.
-
5.De verwerking van geluids- en beeldgegevens
Bij de opstelling van de richtlijn maakten sommige mensen zich zorgen dat de richtlijn misschien niet op de toekomstige technologische ontwikkelingen berekend zou zijn. De mate waarin zich dergelijke technologische ontwikkelingen zouden voordoen, was onzeker, maar er heerste bezorgdheid dat een tekst bij de opstelling waarvan hoofdzakelijk aan tekstverwerking werd gedacht, moeilijkheden zou kunnen opleveren wanneer hij werd toegepast op de verwerking van geluids- en beeldgegevens. Om die reden bevat artikel 33 een specifieke verwijzing naar geluids- en beeldgegevens.
De Commissie heeft deze beoordeling gebaseerd op een door een externe contractant uitgevoerd onderzoek naar de situatie in de lidstaten en op bijdragen van de lidstaten zelf en van de nationale toezichthoudende autoriteiten. Uit de ontvangen informatie blijkt dat de verwerking van geluids- en beeldgegevens binnen het toepassingsgebied van alle nationale wetten tot uitvoering van de richtlijn valt en dat de toepassing van de richtlijn op deze categorieën verwerkingen niet bijzonder problematisch is geweest.
In de meeste lidstaten gelden voor de verwerking van geluids- en beeldgegevens dezelfde (algemene) bepalingen als die welke gelden voor andere persoonsgegevens. Slechts twee lidstaten (Duitsland en Luxemburg) hebben specifieke bepalingen betreffende de verwerking van geluid en beeld opgenomen in hun wetten tot uitvoering van de richtlijn. Drie lidstaten (Denemarken, Zweden en Portugal) hebben speciale bepalingen betreffende videobewaking in afzonderlijke wetten. Ondanks de twijfels die tijdens de onderhandelingen over de richtlijn werden geuit, zijn de lidstaten dus tot de conclusie gekomen dat de ambitie om de richtlijn technologieneutraal te maken, is verwezenlijkt, althans wat de verwerking van geluids- en beeldgegevens betreft.
Geen enkele lidstaat of andere inzender van een bijdrage heeft op dit punt wijzigingen in de richtlijn voorgesteld. In de gezamenlijke voorstellen die door Oostenrijk, Finland, Zweden en het Verenigd Koninkrijk zijn ingediend, wordt enige bezorgdheid geuit over het vermogen van de richtlijn om bepaalde technologische ontwikkelingen op te vangen, maar er worden geen concrete voorstellen gedaan die direct op deze kwestie betrekking hebben.
Een van de workshops van de conferentie over de toepassing van de richtlijn was volledig aan deze kwestie gewijd. Het belangrijkste thema was videobewaking, de kwestie (gevolgd door biometrie) waaraan de nationale toezichthoudende autoriteiten tot dusver het meest aandacht hebben geschonken. De deelnemers vonden dat er tot nu toe onvoldoende werk is gemaakt van een publiek debat over de grenzen die aan het gebruik van videobewaking moeten worden gesteld om bepaalde rechten en vrijheden in een democratische samenleving te waarborgen. De Groep van artikel 29 heeft ook veel energie gestoken in dit vraagstuk en heeft een ontwerp van werkdocument goedgekeurd dat op de website over gegevensbescherming van de Commissie is gepubliceerd, met de uitnodiging aan belanghebbende partijen om opmerkingen te maken.
Bovendien zijn er enkele juridische en praktische problemen, voortvloeiend uit de toepassing van de richtlijn in de lidstaten met betrekking tot geluids- en beeldgegevens, die enige onzekerheid teweegbrengen voor de marktdeelnemers, die de wetgeving moeten naleven, en voor de personen die hun rechten inzake gegevensbescherming willen uitoefenen.
Er is bijvoorbeeld onzekerheid met betrekking tot de definities van de richtlijn, onder meer over de vraag in hoever een los beeld of een vingerafdruk als persoonsgegevens kunnen worden beschouwd in gevallen waarin de voor de verwerking verantwoordelijke niet in staat is een persoon te identificeren of het hoogst onwaarschijnlijk is dat hij dit zal doen, of over de vraag of gewoon videotoezicht een verwerking vormt, of de vraag hoe een redelijke interpretatie van het begrip gevoelige gegevens kan worden verkregen. De Commissie erkent dat er antwoorden op al deze vragen worden gegeven in de nationale wetgeving tot omzetting van de richtlijn, maar is van oordeel dat er meer begeleiding moet worden gegeven. Deze begeleiding moet realistisch en pragmatisch zijn, indien men wil dat ze bijdraagt aan het verbeteren van de naleving, en moet voorzover mogelijk tussen de lidstaten worden gecoördineerd. De Commissie juicht de tot dusver op dit punt uitgevoerde werkzaamheden van de Groep van artikel 29 toe en moedigt de groep aan verder nuttige begeleiding te geven, met de passende inbreng van de belanghebbende partijen.
-
6.Werkprogramma voor een betere toepassing van de Richtlijn gegevensbescherming (2003-2004)
De in dit verslag vervatte analyse van de toepassing in de lidstaten heeft problemen aan het licht gebracht die moeten worden aangepakt, wil de richtlijn het volledige beoogde effect sorteren. Het hierna volgende werkprogramma bevat acties die zullen plaatsvinden vanaf de goedkeuring van dit verslag tot eind 2004 en waarvoor de gezamenlijke inspanningen zullen vereist zijn van de Europese Commissie, de lidstaten (met inbegrip van de kandidaat-lidstaten) en hun nationale toezichthoudende autoriteiten, en in sommige gevallen ook van vertegenwoordigers van de voor de verwerking verantwoordelijken.
Een punt van algemene, ernstige bezorgdheid dat hierboven werd vermeld, is dat het niveau van naleving, rechtshandhaving en geïnformeerdheid niet aanvaardbaar lijkt te zijn. De Commissie zal, in het kader van een algemeen actiepunt dat voor alle hierna vermelde initiatieven geldt, met de lidstaten, de toezichthoudende autoriteiten en de belanghebbenden samenwerken om de oorzaken van deze problemen te bepalen en er haalbare oplossingen voor te bedenken.
Initiatieven van de Commissie
Actie 1: Besprekingen met de lidstaten en de gegevensbeschermingsautoriteiten
In 2003 zullen de diensten van de Commissie bilaterale bijeenkomsten met de lidstaten organiseren met als voornaamste doel de veranderingen te bespreken die nodig zijn om de nationale wetgeving volledig in overeenstemming te brengen met de voorschriften van de richtlijn. Het kan nodig zijn de bevoegde gegevensbeschermingsautoriteit op sommige punten bij de besprekingen te betrekken. De noodzaak van een krachtiger rechtshandhaving kan ook een thema zijn tijdens deze bilaterale discussies. Voorts moet ook aandacht worden besteed aan de ontoereikende middelen die aan de toezichthoudende autoriteiten worden toegewezen.
Deze vergaderingen kunnen worden aangevuld met besprekingen over de incorrecte toepassing van de richtlijn tijdens de "pakketvergaderingen" die periodiek met de lidstaten worden georganiseerd door het secretariaat-generaal van de Commissie en/of DG Interne markt.
De besprekingen in de Groep van artikel 29 en in het Comité van artikel 31 zullen het mogelijk maken om bepaalde problemen waarmee een groot aantal lidstaten te maken heeft, op multilaterale basis aan te pakken, met dien verstande dat er geen sprake van kan zijn dat dergelijke besprekingen leiden tot een de-factowijziging van de richtlijn. Naast ad-hocbesprekingen over specifieke thema's stelt de Commissie voor dat elke groep in de loop van 2003 één volledige vergadering aan dit thema wijdt.
Actie 2: Deelneming van de kandidaat-lidstaten aan inspanningen om een betere en uniformere toepassing van de richtlijn tot stand te brengen
Dit verslag is bijna volledig gewijd aan de situatie in de 15 lidstaten. Voordat het werkprogramma zal zijn voltooid, zullen tien nieuwe lidstaten tot de Unie zijn toegetreden. Vertegenwoordigers van de toezichthoudende autoriteiten van verschillende kandidaat-lidstaten hebben sinds 2002 vergaderingen van de Groep van artikel 29 bijgewoond. Vanaf de datum van ondertekening van de toetredingsverdragen zullen de toetredende landen op alle vergaderingen van zowel de Groep van artikel 29 als het Comité van artikel 31 worden uitgenodigd. Voorzover dit redelijkerwijs mogelijk is, zal tot aan de toetreding en ook erna worden doorgegaan met bilaterale besprekingen en eventueel peer reviews, teneinde de wetgeving van de nieuwe lidstaten zo goed mogelijk met de richtlijn in overeenstemming te brengen en formele inbreukprocedures tot een minimum te beperken.
Actie 3: Verbetering van de mededeling van alle wetgevingsbesluiten tot omzetting van de richtlijn en van de kennisgeving van overeenkomstig artikel 26, lid 2, van de richtlijn verleende toestemmingen
De diensten van de Commissie zullen, in nauwe samenwerking met de gegevensbeschermingsautoriteiten en de lidstaten, doorgaan met de verzameling van informatie over de tenuitvoerlegging van de richtlijn en zullen met name de gebieden aangeven waar er duidelijke leemten zijn in de medegedeelde tenuitvoerleggingsmaatregelen, en zij zullen een beroep doen op de medewerking van de lidstaten om deze leemten zo spoedig mogelijk aan te vullen. De Commissie zal de uitwisseling van beste praktijken vergemakkelijken wanneer dit kan helpen.
De Commissie zal gebruik maken van haar formele bevoegdheden op grond van artikel 226 van het Verdrag indien deze op samenwerking gebaseerde aanpak (6.1, 6.2 en 6.3) niet de nodige resultaten oplevert.
De lidstaten en hun toezichthoudende autoriteiten moeten ook de nodige regelingen treffen om kennisgeving te doen (zoals voorgeschreven bij artikel 26, lid 3, van de richtlijn) van de op grond van artikel 26, lid 2, van de richtlijn verleende nationale toestemmingen voor internationale doorgiften. De Commissie zal dit met de lidstaten en hun toezichthoudende autoriteiten bespreken en zorgen voor de uitwisseling van beste praktijken.
De Commissie zal een nieuwe pagina op haar website [35] creëren waarop in gestructureerde vorm niet alleen alle voor de opstelling van dit verslag verzamelde informatie zal worden geplaatst, maar ook informatie over de werkzaamheden die volgens dit werkprogramma moeten worden uitgevoerd. Voorts zal zij de nationale toezichthoudende autoriteiten verzoeken de door de gegevensbeschermingsautoriteiten goedgekeurde besluiten en aanbevelingen alsmede door hen opgestelde belangrijke documenten ter begeleiding beschikbaar te stellen voor opneming in deze website, waarbij het accent zal worden gelegd op gebieden waar een meer gelijklopende interpretatie en toepassing van de wetgeving noodzakelijk zijn.
[35] www.europa.eu.int/comm/privacy.
Bijdrage van de Groep van artikel 29 [36]
[36] Deze lijst laat het algemene werkprogramma van de Groep van artikel 29 onverlet; dit programma is beschikbaar op http://europa.eu.int/comm/internal_market/ privacy/docs/wpdocs/2003/wp71_en.pdf.
De Commissie verheugt zich over de bijdragen van de Groep om te komen tot een uniformere toepassing van de richtlijn. Zij wenst te herinneren aan het belang van transparantie in dit proces en moedigt de inspanningen aan die de Groep momenteel levert om de transparantie van haar werkzaamheden verder te vergroten.
Actie 4: Rechtshandhaving
De Commissie verzoekt de Groep van artikel 29 periodiek besprekingen te voeren over de algemene kwestie van een betere rechtshandhaving. Dit moet onder meer leiden tot de uitwisseling en de introductie van beste praktijken. De Groep moet ook het instellen van sectoraal onderzoek op EU-niveau en de onderlinge aanpassing van normen in dit verband in overweging nemen. Het doel van dergelijk gemeenschappelijk onderzoek zou zijn een nauwkeuriger beeld van de toepassing van de wetgeving inzake gegevensbescherming in de Gemeenschap te verkrijgen en overeengekomen aanbevelingen en praktische begeleiding te verstrekken aan de sectoren in kwestie teneinde de naleving te verbeteren op manieren die zo weinig mogelijk last veroorzaken.
Actie 5: Aanmelding en openbaarmaking van verwerkingen
De Europese Commissie sluit zich in grote mate aan bij de kritiek die de voor de verwerking verantwoordelijken tijdens het beoordelingsproces hebben geuit met betrekking tot de uiteenlopende inhoud van de aanmeldingsverplichtingen die aan de voor de verwerking verantwoordelijken zijn opgelegd. De Commissie beveelt aan ruimer gebruik te maken van de uitzonderingen en met name van de bij artikel 18, lid 2, van de richtlijn geboden mogelijkheid, namelijk de aanwijzing van een functionaris voor de gegevensbescherming, waardoor vrijstelling van de verplichting tot aanmelding wordt verleend.
De Commissie verzoekt de Groep van artikel 29 bij te dragen aan een uniformere toepassing van de richtlijn door voorstellen te doen voor een aanzienlijke vereenvoudiging van de verplichting tot aanmelding in de lidstaten en voor samenwerkingsmechanismen om de aanmelding door in meerdere lidstaten gevestigde multinationale ondernemingen te vergemakkelijken. Het is mogelijk dat voorstellen voor wijzigingen in de nationale wetgeving in deze voorstellen moeten worden opgenomen. De Commissie is bereid zelf voorstellen te doen indien de Groep niet in staat is dit binnen een redelijke termijn (twaalf maanden) te doen.
Actie 6: Meer geharmoniseerde bepalingen inzake informatieverstrekking
De Commissie deelt de mening dat de huidige lappendeken van uiteenlopende en overlappende voorschriften betreffende de informatie die de voor de verwerking verantwoordelijken aan de betrokkenen moeten verstrekken, onnodige lasten voor de marktdeelnemers met zich meebrengt, zonder dat daardoor het beschermingsniveau wordt verhoogd.
In zoverre de aan de voor de verwerking verantwoordelijken opgelegde verplichtingen tot informatieverstrekking onverenigbaar zijn met de richtlijn, wordt gehoopt dat dit spoedig kan worden verholpen door een dialoog met de lidstaten en de door hen genomen corrigerende wetgevende maatregelen. Bovendien verzoekt de Commissie de Groep van artikel 29 haar medewerking te verlenen bij het zoeken naar een uniformere interpretatie van artikel 10.
Actie 7: Vereenvoudiging van de voorschriften voor internationale doorgiften
Parallel met de besprekingen die tot doel hebben de nodige veranderingen in de wetgeving van de lidstaten tot stand te brengen om te zorgen voor conformiteit met de richtlijn, verzoekt de Commissie de Groep van artikel 29 het laatste verslag van de internationale workshop voor de behandeling van klachten te gebruiken als basis voor verdere besprekingen met het oog op een vergaande onderlinge aanpassing van de bestaande praktijken in de lidstaten en de vereenvoudiging van de voorwaarden voor de internationale doorgifte van gegevens.
De Commissie zelf is van plan ruimer gebruik te maken van haar bevoegdheden op grond van artikel 25, lid 6, en artikel 26, lid 4, die de beste middelen aanbieden om het regelgevingskader voor de marktdeelnemers te vereenvoudigen en tegelijkertijd een passende bescherming voor buiten de EU getransporteerde gegevens te waarborgen.
Met de medewerking van de Groep van artikel 29 en het Comité van artikel 31 verwacht de Commissie vooruitgang op vier gebieden te kunnen boeken:
-
a)een ruimer gebruik van constateringen van een passende bescherming met betrekking tot derde landen op grond van artikel 25, lid 6, uiteraard met behoud van een neutrale aanpak ten aanzien van derde landen overeenkomstig de WTO-verplichtingen van de EU;
-
b)verdere besluiten op grond van artikel 26, lid 4, zodat de marktdeelnemers een ruimere keuze aan modelcontractbepalingen hebben, voorzover mogelijk gebaseerd op bepalingen die door vertegenwoordigers van het bedrijfsleven worden ingediend, bijvoorbeeld die welke door de Internationale Kamer van koophandel en andere bedrijfsorganisaties zijn ingediend;
-
c)de rol van bindende gemeenschappelijke regels (regels die bedrijfsgroepen in diverse verschillende rechtsgebieden binden, zowel binnen als buiten de EU) bij het verlenen van passende waarborgen voor de doorgifte van persoonsgegevens binnen de groep;
-
d)de uniformere interpretatie van artikel 26, lid 1, van de richtlijn (toegestane uitzonderingen op de eis tot passende bescherming voor doorgiften naar derde landen) en de nationale bepalingen ter uitvoering van die bepaling.
Al deze werkzaamheden moeten worden uitgevoerd met een passende mate van transparantie en met periodieke inbreng van de belanghebbenden.
Overige initiatieven
Actie 8: Bevordering van privacyverbeterende technologieën
De Commissie levert reeds inspanningen op het gebied van privacyverbeterende technologieën, vooral wat onderzoek betreft, zoals bijvoorbeeld de projecten RAPID [37] en PISA [38].
[37] Roadmap for Advanced Research in Privacy and Identity Management.
[38] Privacy-Enhancing Intelligent Software Agents.
Zij stelt voor in 2003 een technische workshop te organiseren teneinde de geïnformeerdheid over PVT's te vergroten en de gelegenheid te bieden om een grondige bespreking te wijden aan de maatregelen die kunnen worden genomen om de ontwikkeling en het gebruik van PVT's te bevorderen, zoals bijvoorbeeld de rol die zegels, certificeringssystemen of PIA's [39] in Europa zouden kunnen spelen.
[39] Privacy Impact Assessments (privacyeffectbeoordelingen).
Zij verzoekt de Groep door te gaan met de bespreking van de kwestie van de PVT's en na te denken over mogelijke maatregelen die de nationale toezichthoudende autoriteiten zouden kunnen nemen om het gebruik van deze technologieën op nationaal niveau te bevorderen.
Na de technische workshop zal de Commissie, rekening houdend met de ontvangen bijdragen, verdere voorstellen doen ter bevordering van privacyverbeterende technologieën op Europees niveau. In deze voorstellen zal speciale aandacht worden geschonken aan de noodzaak om regeringen en overheidsinstellingen aan te moedigen het goede voorbeeld te geven door gebruik te maken van PVT's in hun eigen verwerkingen, zoals bijvoorbeeld in de toepassingen van e-overheid.
Actie 9: Bevordering van zelfregulering en Europese gedragscodes
De Europese Commissie is teleurgesteld dat maar zo weinig organisaties sectorale gedragscodes voor toepassing op communautair niveau naar voren hebben gebracht. Zij zal (binnen de grenzen van de beschikbare middelen) doorgaan met de aanmoediging van en de verstrekking van advies over ontwerpen van gedragscodes die aan de Groep van artikel 29 worden voorgelegd [40]. Zij moedigt sectoren en belangengroeperingen aan zich veel proactiever op te stellen, daar zij van mening is dat zelfregulering, en met name gedragscodes, een belangrijke rol moet spelen in de toekomstige ontwikkeling van de gegevensbescherming in de EU en daarbuiten, niet het minst om buitenmate gedetailleerde wetgeving te vermijden.
[40] De Groep van artikel 29 bestudeert momenteel de volgende ingediende bijdragen: gedragscode inzake direct marketing, ingediend door FEDMA; gedragscode inzake de verwerking van persoonsgegevens door adviesbureaus voor het zoeken van leidinggevend personeel (headhunters), ingediend door AESC; en gedragscode inzake pan-Europese identificatie van de oproeper, ingediend door ETP. Een eerder verzoek van IATA voldeed niet aan de eisen voor een gedragscode overeenkomstig artikel 27 van de richtlijn, maar werd positief becommentarieerd door de Groep van artikel 29 in haar op 13 september 2001 goedgekeurde advies WP 49.
Met hetzelfde doel heeft de Commissie in haar aan de Europese sociale partners gerichte raadplegingsdocument over de bescherming van persoonsgegevens in het kader van de arbeidsverhouding haar sterke hoop te kennen gegeven dat zij onderhandelingen zullen aanvatten teneinde op dit gebied een Europese overeenkomst te sluiten. De Commissie betreurt dat de sociale partners niet bereid werden gevonden om over dit vraagstuk te onderhandelen, en hoopt dat de mogelijkheid van collectieve overeenkomsten op dit gebied verder zal worden onderzocht.
Actie 10: Sterkere bewustmaking
De Commissie is voornemens een Eurobarometerenquête te houden aan de hand van de vragen die waren opgenomen in de in 2002 gehouden on-lineraadpleging. Zij hoopt dat enkele gegevensbeschermingsautoriteiten bij dit initiatief zullen worden betrokken en er zullen gezamenlijke inspanningen worden geleverd om de problemen in verband met gegevensbescherming in het publieke debat aan de orde te stellen. Zij moedigt de lidstaten aan meer middelen uit te trekken voor een sterkere bewustmaking, met name via de begroting van de nationale toezichthoudende autoriteiten.
-
7.Conclusie
Dit verslag is een eerste stap in de analyse van informatie over de tenuitvoerlegging van Richtlijn 95/46/EG en de aanwijzing van de nodige maatregelen om de belangrijkste problemen aan te pakken die zijn gerezen. De Commissie hoopt dat deze analyse de regeringen, de gegevensbeschermingsautoriteiten en de marktdeelnemers zal helpen om duidelijk te maken wat er moet worden gedaan om te komen tot een betere toepassing van de richtlijn in de EU, met een doortastender rechtshandhaving, een betere naleving en een sterkere bewustmaking van de betrokkenen en de voor de verwerking verantwoordelijken ten aanzien van hun rechten en verplichtingen.
De Commissie verwacht dat de lidstaten, waar nodig, hun wetgeving zullen wijzigen om te voldoen aan de bepalingen van de richtlijn en dat zij de toezichthoudende autoriteiten voldoende middelen zullen verstrekken. De Commissie verwacht tevens dat de lidstaten en de toezichthoudende autoriteiten alle redelijke inspanningen zullen leveren om een kader te creëren waarin de voor de verwerking verantwoordelijken - en niet het minst die welke op pan-Europees en/of internationaal niveau actief zijn - op een minder ingewikkelde en omslachtige manier hun verplichtingen kunnen nakomen, en om te vermijden dat voorschriften worden opgelegd die zouden kunnen worden weggelaten zonder enig nadelig effect voor het door de richtlijn gewaarborgde hoge beschermingsniveau.
De Commissie moedigt de burgers aan gebruik te maken van de door de wetgeving verleende rechten en de voor de verwerking verantwoordelijken alle nodige stappen te ondernemen om de naleving van de wetgeving te garanderen. De Commissie zal de verdere technologische ontwikkelingen en de resultaten van het in dit verslag opgenomen werkprogramma van nabij volgen en tegen eind 2004 voorstellen doen voor de verdere follow-up. Tegen die tijd zullen zowel de Commissie als de lidstaten gebruik kunnen maken van aanzienlijk meer ervaring met de toepassing van de richtlijn dan nu het geval is.
Van deze pagina bestaat een uitgebreide versie met de juridische context.
De uitgebreide versie is beschikbaar voor betalende gebruikers van de EU Monitor van PDC Informatie Architectuur.
Met de EU Monitor volgt u alle Europese dossiers die voor u van belang zijn en bent u op de hoogte van alles wat er speelt in die dossiers. Helaas kunnen wij geen nieuwe gebruikers aansluiten, deze dienst zal over enige tijd de werkzaamheden staken.
De EU Monitor is ook beschikbaar in het Engels.