Bescherming van persoonsgegevens  

De bescherming van persoonsgegevens en de eerbiediging van het privéleven zijn belangrijke grondrechten. Het Europees Parlement heeft altijd onderstreept dat er een evenwicht moet zijn tussen de verhoging van de veiligheid en de bescherming van de mensenrechten, met inbegrip van de bescherming van gegevens en de persoonlijke levenssfeer. In mei 2018 is nieuwe EU-regelgeving van kracht geworden die de grondrechten van de burger versterkt. Tegelijk zijn de regels voor bedrijven in het digitale tijdperk vereenvoudigd.

Rechtsgrond  

Artikel 16 van het Verdrag betreffende de werking van de Europese Unie (VWEU).

Artikelen 7 en 8 van het EU-Handvest van de grondrechten.

Doelstellingen  

De Unie moet ervoor zorgen dat het grondrecht op gegevensbescherming, dat is vastgelegd in het Handvest van de grondrechten van de Europese Unie, op consequente wijze wordt toegepast. Het standpunt van de EU in verband met de bescherming van persoonsgegevens moet worden versterkt op alle EU-beleidsterreinen, met inbegrip van rechtshandhaving en misdaadpreventie, evenals in internationale betrekkingen, in het bijzonder in een mondiale samenleving die wordt gekenmerkt door snelle technologische verandering.

Resultaten  

A. Institutioneel kader

1. Verdrag van Lissabon

Vóór de inwerkingtreding van het Verdrag van Lissabon was de wetgeving met betrekking tot gegevensbescherming in de ruimte van vrijheid, veiligheid en recht (RVVR) verdeeld over de eerste pijler (gegevensbescherming voor persoonlijke en commerciële doeleinden, met gebruik van de communautaire methode) en de derde pijler (gegevensbescherming voor rechtshandhavingsdoeleinden, op intergouvernementeel niveau). De besluitvormingsprocessen op deze twee gebieden verliepen dan ook volgens verschillende regels. De pijlerstructuur is verdwenen met het Verdrag van Lissabon, dat een stevigere basis biedt voor de ontwikkeling van een duidelijker en doelmatiger gegevensbeschermingssysteem en tegelijkertijd nieuwe bevoegdheden vastlegt voor het Parlement, dat medewetgever is geworden. In artikel 16 VWEU is bepaald dat het Parlement en de Raad de voorschriften vaststellen betreffende de bescherming van natuurlijke personen ten aanzien van de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie, alsook door de lidstaten, bij de uitoefening van activiteiten die binnen het toepassingsgebied van het recht van de Unie vallen.

2. De strategische richtsnoeren op het gebied van vrijheid, veiligheid en recht

Na de programma's van Tampere en Den Haag (van respectievelijk oktober 1999 en november 2004) keurde de Europese Raad in december 2009 het meerjarenprogramma betreffende de RVVR voor de periode 2010-2014 goed, het zogeheten programma van Stockholm. In zijn conclusies van juni 2014 stelde de Europese Raad de strategische richtsnoeren van de wetgevende en operationele programmering voor de komende jaren in de RVVR vast, overeenkomstig artikel 68 VWEU. Een van de hoofddoelstellingen is een betere bescherming van persoonsgegevens in de EU.

B. De belangrijkste wetgevingsinstrumenten over gegevensbescherming

1. Handvest van de grondrechten van de EU

In de artikelen 7 en 8 van het Handvest van de grondrechten van de Europese Unie worden de eerbiediging van het privéleven en de bescherming van persoonsgegevens erkend als nauw met elkaar verbonden maar afzonderlijke grondrechten.

2. Raad van Europa

a. Verdrag 108 van 1981

Verdrag nr. 108 van de Raad van Europa van 28 januari 1981 tot bescherming van personen met betrekking tot de geautomatiseerde verwerking van persoonsgegevens was het eerste juridisch bindende internationale instrument op het gebied van gegevensbescherming. Het heeft tot doel aan iedere natuurlijke persoon "de eerbiediging van zijn rechten en fundamentele vrijheden te waarborgen, en met name zijn recht op persoonlijke levenssfeer met betrekking tot de geautomatiseerde verwerking van hem betreffende persoonsgegevens". Het protocol tot wijziging van dit Verdrag heeft tot doel het toepassingsgebied ervan te verruimen en gegevens beter en doeltreffender te beschermen.

b. Europees Verdrag voor de rechten van de mens (EVRM)

In artikel 8 van het Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden van 4 november 1950 is het recht op eerbiediging van het privé- en gezinsleven vastgelegd: "Eenieder heeft recht op respect voor zijn privéleven, zijn familie- en gezinsleven, zijn woning en zijn correspondentie".

3. Huidige wetgevingsinstrumenten van de EU over gegevensbescherming

a. Algemene verordening gegevensbescherming

Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming) werd in mei 2018 van kracht. Deze regelgeving heeft tot doel alle EU-burgers te beschermen tegen inbreuken op de privacy en op persoonsgegevens in een toenemend datagestuurde wereld, en tegelijk een duidelijker en consistenter kader tot stand te brengen voor bedrijven. De rechten van burgers omvatten het geven van duidelijke instemming met de verwerking van hun gegevens en het recht om duidelijke en begrijpelijke informatie hierover te ontvangen; het "recht om te worden vergeten": een burger kan erom vragen dat zijn/haar gegevens worden gewist; het recht om gegevens over te dragen aan een andere dienstverlener (bijvoorbeeld bij het overstappen van het ene naar het andere sociale netwerk); en het recht om te worden geïnformeerd als gegevens zijn gehackt. De nieuwe regels zijn van toepassing op alle bedrijven die in de EU actief zijn, ook als deze bedrijven buiten de EU gevestigd zijn. Daarnaast is het nu mogelijk om corrigerende maatregelen op te leggen, zoals waarschuwingen en bevelen, of sancties voor bedrijven die zich niet aan de regels houden.

b. De richtlijn gegevensbescherming bij rechtshandhaving

Richtlijn (EU) 2016/680 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en betreffende het vrije verkeer van die gegevens en tot intrekking van Kaderbesluit 2008/977/JBZ van de Raad is in mei 2018 van kracht geworden. De richtlijn dient ter bescherming van het grondrecht van de burger op gegevensbescherming wanneer persoonsgegevens door rechtshandhavingsautoriteiten worden gebruikt. De richtlijn zorgt voor passende bescherming van de persoonsgegevens van slachtoffers, getuigen en verdachten van misdrijven en vergemakkelijkt de grensoverschrijdende samenwerking in de strijd tegen misdaad en terrorisme.

c. De richtlijn betreffende privacy en elektronische communicatie

Richtlijn 2002/58/EG van het Europees Parlement en de Raad van 12 juli 2002 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie (richtlijn betreffende privacy en elektronische communicatie) werd gewijzigd bij Richtlijn 2009/136/EG van 25 november 2009.

Het nieuwe voorstel voor een verordening van het Europees Parlement en de Raad met betrekking tot de eerbiediging van het privéleven en de bescherming van persoonsgegevens in elektronische communicatie, en tot intrekking van Richtlijn 2002/58/EG (verordening betreffende privacy en elektronische communicatie) is momenteel in behandeling.

d. Verordening betreffende de verwerking van persoonsgegevens door de instellingen en organen van de Unie

Verordening (EU) 2018/1725 van het Europees Parlement en de Raad van 23 oktober 2018 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie en betreffende het vrije verkeer van die gegevens, en tot intrekking van Verordening (EG) nr. 45/2001 en Besluit nr. 1247/2002/EG is op 11 december 2018 in werking getreden.

e. Artikelen betreffende gegevensbescherming in sectorspecifieke wetgevingshandelingen

Hierboven zijn de belangrijkste wetgevingshandelingen inzake gegevensbescherming vermeld. Daarnaast zijn er ook specifieke bepalingen inzake gegevensbescherming vervat in sectorspecifieke wetgevingshandelingen, zoals:

  • artikel 13 (over de bescherming van persoonsgegevens) van Richtlijn (EU) 2016/681 van het Europees Parlement en de Raad van 27 april 2016 over het gebruik van persoonsgegevens van passagiers (PNR-gegevens) voor het voorkomen, opsporen, onderzoeken en vervolgen van terroristische misdrijven en ernstige criminaliteit;
  • hoofdstuk VI (over waarborgen inzake gegevensbescherming) van Verordening (EU) 2016/794 van het Europees Parlement en de Raad van 11 mei 2016 betreffende het Agentschap van de Europese Unie voor samenwerking op het gebied van rechtshandhaving (Europol);
  • hoofdstuk VIII (over gegevensbescherming) van Verordening (EU) 2017/1939 van de Raad van 12 oktober 2017 betreffende nauwere samenwerking bij de instelling van het Europees Openbaar Ministerie ("EOM").

4. De belangrijkste internationale overeenkomsten van de EU inzake doorgifte van gegevens

a. Commerciële gegevensoverdracht: adequaatheidsbesluiten

Krachtens artikel 45 van de algemene verordening gegevensbescherming is de Commissie bevoegd te bepalen of een land buiten de EU een passend niveau van gegevensbescherming biedt, op grond van zijn nationale wetgeving of de internationale verbintenissen die het is aangegaan.

Het Parlement heeft verscheidene resoluties aangenomen waarin het zijn bezorgdheid uit over trans-Atlantische gegevensstromen.

b. Raamovereenkomst EU-VS

In het kader van de goedkeuringsprocedure was het Parlement betrokken bij de goedkeuring van de overeenkomst tussen de VS en de EU over de bescherming van persoonlijke informatie in verband met de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten, ook bekend als de raamovereenkomst betreffende gegevensbescherming. Deze overeenkomst heeft tot doel een hoge mate van bescherming te waarborgen wat persoonsgegevens betreft die worden overgedragen in het kader van de trans-Atlantische samenwerking voor rechtshandhavingsdoeleinden, namelijk in de strijd tegen terrorisme en georganiseerde misdaad.

c. Overeenkomsten inzake persoonsgegevens van passagiers tussen de EU en de VS, de EU en Australië en de EU en Canada

De EU heeft bilaterale overeenkomsten inzake persoonsgegevens van passagiers (PNR-gegevens) gesloten met de Verenigde Staten, Australië en Canada. PNR-gegevens omvatten informatie die passagiers verstrekken wanneer ze een vlucht boeken of inchecken voor een vlucht, en gegevens die luchtvaartmaatschappijen voor hun eigen commerciële doeleinden verzamelen. PNR-gegevens kunnen door rechtshandhavingsautoriteiten worden gebruikt in de strijd tegen zware misdaad en terrorisme.

d. EU-VS-programma voor het traceren van terrorismefinanciering (TFTP)

De EU heeft met de VS een bilaterale overeenkomst gesloten inzake de verwerking en doorgifte van gegevens betreffende het financiële berichtenverkeer van de EU naar de VS ten behoeve van het programma voor het traceren van terrorismefinanciering.

5. Gegevensbeschermingsaspecten in sectorspecifieke resoluties

De bescherming van persoonsgegevens komt ook aan bod in verscheidene resoluties van het Parlement over verschillende beleidsterreinen, om te zorgen voor samenhang met de algemene gegevensbeschermingswetgeving van de EU en de bescherming van de persoonlijke levenssfeer in die specifieke sectoren.

6. Toezichthoudende EU-autoriteiten voor gegevensbescherming

De Europese Toezichthouder voor gegevensbescherming (EDPS) is een onafhankelijke toezichthoudende autoriteit die ervoor zorgt dat de EU-instellingen en -organen hun verplichtingen inzake gegevensbescherming naleven. De hoofdtaken van de EDPS zijn toezicht, raadpleging en samenwerking.

Het Europees Comité voor gegevensbescherming (EDPB), voorheen de Groep artikel 29, heeft de status van een EU-orgaan met rechtspersoonlijkheid en beschikt over een onafhankelijk secretariaat. Het EDPB bestaat uit vertegenwoordigers van de nationale gegevensbeschermingsautoriteiten van de EU, de EDPS en de Commissie en beschikt over uitgebreide bevoegdheden om geschillen tussen nationale toezichthoudende autoriteiten te beoordelen en advies en richtsnoeren aan te reiken inzake essentiële concepten van de algemene verordening gegevensbescherming en de richtlijn gegevensbescherming bij rechtshandhaving.

De rol van het Europees Parlement  

Het Parlement heeft een belangrijke rol gespeeld bij de totstandkoming van EU-wetgeving op het gebied van de bescherming van persoonsgegevens door van de bescherming van de persoonlijke levenssfeer een politieke prioriteit te maken. Voorts heeft het in het kader van de gewone wetgevingsprocedure op gelijke voet met de Raad gewerkt aan de hervorming van de gegevensbescherming. Het heeft ook zijn werkzaamheden afgerond in verband met het laatste belangrijke puzzelstuk, namelijk de nieuwe verordening betreffende privacy en elektronische communicatie, en kijkt ernaar uit dat ook de Raad zijn werkzaamheden eindelijk afrondt, zodat de onderhandelingen kunnen beginnen.

Het Parlement heeft nauwlettend toegezien op de internationale overeenkomsten inzake doorgifte van gegevens. Via de goedkeuringsprocedure of initiatiefverslagen heeft het zijn stem laten horen. Bovendien heeft het middels een resolutie van 25 november 2014 besloten, alvorens te stemmen over de PNR-overeenkomst tussen de EU en Canada, het advies van het Hof van Justitie in te winnen, zoals bepaald in artikel 218, lid 11, VWEU. In dat op 26 juli 2017 uitgebracht advies was het Hof van oordeel dat de PNR-overeenkomst in haar huidige vorm niet kon worden gesloten omdat verschillende bepalingen ervan onverenigbaar waren met het grondrecht op bescherming van persoonsgegevens.

Na zich ervan te hebben vergewist dat de EU-regels inzake gegevensbescherming naar behoren zijn toegepast, zal het Parlement zijn aandacht nu hoogstwaarschijnlijk verleggen naar het toezicht op de tenuitvoerlegging van de wetgeving.

 

Kristiina Milt