Bescherming van persoonsgegevens  

De bescherming van persoonsgegevens en de eerbiediging van het privéleven zijn belangrijke grondrechten. Het Europees Parlement heeft altijd onderstreept dat er een evenwicht moet zijn tussen de verhoging van de veiligheid en de bescherming van de mensenrechten, met inbegrip van de bescherming van gegevens en de persoonlijke levenssfeer. In mei 2018 is nieuwe EU-regelgeving van kracht geworden die de grondrechten van de burger versterkt, en zijn er vereenvoudigende regels ingevoerd voor bedrijven in het digitale tijdperk.

Rechtsgrond  

Artikel 16 van het Verdrag betreffende de werking van de Europese Unie (VWEU).

Artikelen 7 en 8 van het EU-Handvest van de grondrechten.

Doelstellingen  

De Unie moet ervoor zorgen dat het grondrecht op gegevensbescherming, dat is vastgelegd in het Handvest van de grondrechten van de Europese Unie, op consequente wijze wordt toegepast. Het standpunt van de EU in verband met de bescherming van persoonsgegevens moet worden versterkt op alle EU-beleidsterreinen, met inbegrip van rechtshandhaving en misdaadpreventie, evenals in internationale betrekkingen, in het bijzonder in een mondiale samenleving die wordt gekenmerkt door snelle technologische verandering.

Resultaten  

A. Institutioneel kader

1. Verdrag van Lissabon

Vóór de inwerkingtreding van het Verdrag van Lissabon was de wetgeving met betrekking tot gegevensbescherming in de ruimte van vrijheid, veiligheid en recht (RVVR) verdeeld over de eerste pijler (gegevensbescherming voor persoonlijke en commerciële doeleinden, met gebruik van de communautaire methode) en de derde pijler (gegevensbescherming voor rechtshandhavingsdoeleinden, op intergouvernementeel niveau). De besluitvormingsprocessen op deze twee gebieden verliepen dan ook volgens verschillende regels. De pijlerstructuur is verdwenen met het Verdrag van Lissabon, dat een stevigere basis biedt voor de ontwikkeling van een duidelijker en doelmatiger gegevensbeschermingssysteem en tegelijkertijd nieuwe bevoegdheden vastlegt voor het Parlement, dat medewetgever is geworden. In artikel 16 VWEU wordt bepaald dat het Parlement en de Raad de regels vastleggen voor de bescherming van personen met betrekking tot de verwerking van persoonsgegevens door instellingen, organen en instanties van de Unie, en door de lidstaten bij het verrichten van activiteiten die onder het recht van de Unie vallen.

2. De strategische richtsnoeren op het gebied van vrijheid, veiligheid en recht

Na de programma's van Tampere en Den Haag (van respectievelijk oktober 1999 en november 2004) keurde de Europese Raad in december 2009 het meerjarenprogramma goed betreffende de RVVR voor de periode 2010-2014. In zijn conclusies van juni 2014 stelde de Europese Raad de strategische richtsnoeren van de wetgevende en operationele programmering voor de komende jaren in de RVVR vast, overeenkomstig artikel 68 VWEU. Een van de hoofddoelstellingen is een betere bescherming van persoonsgegevens in de EU. In 2017 werd met een tussentijdse evaluatie van de richtsnoeren begonnen.

B. De belangrijkste wetgevingsinstrumenten over gegevensbescherming

1. Handvest van de grondrechten van de EU

In de artikelen 7 en 8 van het Handvest van de grondrechten van de Europese Unie worden de eerbiediging van het privéleven en de bescherming van persoonsgegevens erkend als nauw met elkaar verbonden maar afzonderlijke grondrechten. Het Handvest is opgenomen in het Verdrag van Lissabon en is juridisch bindend voor de instellingen en organen van de Europese Unie, evenals voor de lidstaten wanneer deze het EU-recht ten uitvoer leggen.

2. Raad van Europa

a. Overeenkomst 108 van 1981

De overeenkomst van de Raad van Europa 108 van 28 januari 1981 ter bescherming van de mens bij de automatische verwerking van op de persoon betrekking hebbende gegevens is het eerste juridisch bindende internationale instrument op het gebied van gegevensbescherming. Het heeft tot doel „aan iedere natuurlijke persoon [...] de eerbiediging van zijn rechten en fundamentele vrijheden te waarborgen, en met name zijn recht op persoonlijke levenssfeer met betrekking tot de geautomatiseerde verwerking van hem betreffende persoonsgegevens”.

b. Europees Verdrag voor de rechten van de mens (EVRM)

In artikel 8 van het Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden van 4 november 1950 is het recht op eerbiediging van het privé- en gezinsleven vastgelegd: „Eenieder heeft recht op respect voor zijn privéleven, zijn familie- en gezinsleven, zijn woning en zijn correspondentie”.

3. Huidige wetgevingsinstrumenten van de EU over gegevensbescherming

Als gevolg van de oude pijlerstructuur werd gegevensbescherming op EU-niveau tot voor kort gereguleerd via diverse wetgevingsinstrumenten. Hiertoe behoren instrumenten van de vroegere eerste pijler zoals Richtlijn 95/46/EG over gegevensbescherming (vervangen door de algemene verordening gegevensbescherming in mei 2018), Richtlijn 2002/58/EG over e-privacy (gewijzigd in 2009; nieuw voorstel in behandeling), Richtlijn 2006/24/EG over de bewaring van gegevens (op 8 april 2014 nietig verklaard door het Hof van Justitie van de Europese Unie wegens ernstige aantasting van het privéleven en de gegevensbescherming), en Verordening (EG) nr. 45/2001 over de verwerking van persoonsgegevens door de communautaire instellingen en organen (nieuw voorstel in behandeling), alsmede instrumenten van de vroegere derde pijler zoals het kaderbesluit van de Raad 2008/977/JBZ van 27 november 2008 over de bescherming van persoonsgegevens die worden verwerkt in het kader van de politiële en justitiële samenwerking in strafzaken (in mei 2018 vervangen door de richtlijn gegevensbescherming bij rechtshandhaving).

a. Algemene verordening gegevensbescherming

Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming) werd in mei 2018 van kracht. Deze regelgeving heeft tot doel alle EU-burgers te beschermen tegen inbreuken op de privacy en op persoonsgegevens in een toenemend datagestuurde wereld, en tegelijk een duidelijker en consistenter kader tot stand te brengen voor bedrijven. De nieuwe rechten voor burgers omvatten het geven van duidelijke instemming met de verwerking van hun gegevens en het recht om duidelijke en begrijpelijke informatie hierover te ontvangen; het "recht om te worden vergeten": een burger kan erom vragen dat zijn/haar gegevens worden gewist; het recht om gegevens over te dragen aan een andere dienstverlener (bijvoorbeeld bij het overstappen van het ene naar het andere sociale netwerk); en het recht om te worden geïnformeerd als gegevens zijn gehackt. De nieuwe regels zijn van toepassing op alle bedrijven die in de EU actief zijn, ook als deze bedrijven buiten de EU zijn gevestigd. Daarnaast is het nu mogelijk om corrigerende maatregelen op te leggen, zoals waarschuwingen en bevelen, of sancties voor bedrijven die zich niet aan de regels houden.

b. De richtlijn gegevensbescherming bij rechtshandhaving

Richtlijn (EU) 2016/680 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en betreffende het vrije verkeer van die gegevens en tot intrekking van Kaderbesluit 2008/977/JBZ van de Raad is in mei 2018 van kracht geworden. De richtlijn dient ter bescherming van het grondrecht van de burger op gegevensbescherming wanneer persoonsgegevens door rechtshandhavingsautoriteiten worden gebruikt. De richtlijn zorgt voor passende bescherming van de persoonsgegevens van slachtoffers, getuigen en verdachten van misdrijven en voor vergemakkelijking van de grensoverschrijdende samenwerking in de strijd tegen misdaad en terrorisme.

4. De Europese Toezichthouder voor gegevensbescherming (EDPS) en het Europees Comité voor gegevensbescherming (EDPB)

De Europese Toezichthouder voor gegevensbescherming (EDPS) is een onafhankelijke toezichthoudende autoriteit die ervoor zorgt dat de EU-instellingen en -organen hun verplichtingen inzake gegevensbescherming naleven. De hoofdtaken van de EDPS zijn toezicht, raadpleging en samenwerking. Het Europees Comité voor gegevensbescherming (EDPB), eerder de werkgroep artikel 29, heeft de status van een EU-orgaan met rechtspersoonlijkheid en beschikt over een onafhankelijk secretariaat. Het EDPB bestaat uit vertegenwoordigers van de nationale gegevensbeschermingsautoriteiten van de EU, de EDPS en de Commissie en beschikt over uitgebreide bevoegdheden om geschillen tussen nationale toezichthoudende autoriteiten te beoordelen en advies en richtsnoeren aan te reiken inzake essentiële concepten van de GDPR en de richtlijn gegevensbescherming bij rechtshandhaving.

De rol van het Europees Parlement  

Het Parlement heeft altijd benadrukt dat er een evenwicht moet bestaan tussen de verhoging van de veiligheid en de bescherming van de persoonsgegevens en de persoonlijke levenssfeer. Het heeft diverse resoluties aangenomen over deze gevoelige onderwerpen, in het bijzonder met betrekking tot etnisch of raciaal profileren, het Prüm-besluit van de Raad inzake grensoverschrijdende samenwerking ter bestrijding van terrorisme en grensoverschrijdende criminaliteit, het gebruik van lichaamsscanners om de luchtvaart veiliger te maken, biometrische gegevens in paspoorten en gemeenschappelijke visuminstructies, grensbeheer, het internet en datamining.

Het Parlement heeft in het kader van de instemmingsprocedure in februari 2010 de voorlopige toepassing verworpen van het programma voor het traceren van terrorismefinanciering (de TFTP-overeenkomst, vroeger de SWIFT-overeenkomst genoemd) voor de overdracht van bankgegevens naar de VS met het oog op terrorismebestrijding. Na aanneming van de resolutie van het Parlement van 8 juli 2010 is de TFTP-overeenkomst in augustus 2010 in werking getreden. In juli 2011 heeft de Commissie een mededeling goedgekeurd over de belangrijkste opties voor de oprichting van een Europees systeem voor het traceren van terrorismefinanciering (EU TFTS), waar het Parlement vraagtekens bij plaatste. In november 2013 maakte de Commissie bekend dat zij niet voornemens was in dit stadium een voorstel in te dienen voor een EU TFTS.

Een ander cruciaal probleem is de overeenkomst tussen de EU en de VS inzake de verwerking en overdracht van persoonsgegevens van passagiers (PNR) door luchtvaartmaatschappijen aan het Amerikaanse ministerie van Binnenlandse Veiligheid. Na instemming van het Parlement keurde de Raad in april 2012 een besluit goed over de sluiting van een nieuwe overeenkomst, die de bestaande PNR-overeenkomst tussen de EU en de VS, welke sinds 2007 voorlopig werd toegepast, heeft vervangen.

In februari 2011 diende de Commissie een voorstel voor een richtlijn in betreffende het gebruik van persoonsgegevens van passagiers voor het voorkomen, opsporen, onderzoeken en vervolgen van terroristische misdrijven en zware criminaliteit (EU-PNR). In juni 2013 besloot het Parlement tijdens de plenaire vergadering de kwestie terug te verwijzen naar de Commissie burgerlijke vrijheden, justitie en binnenlandse zaken (LIBE), die in april 2013 het voorstel voor een EU-PNR had verworpen omdat zij vraagtekens zette bij de proportionaliteit ervan en de eerbiediging van de grondrechten. Naar aanleiding van de terroristische aanslagen in Parijs in januari 2015 en de nieuwe zorgen in verband met mogelijke bedreigingen voor de interne veiligheid van de EU die uitgaan van "buitenlandse strijders", kreeg het debat over het EU-PNR-voorstel hernieuwde aandacht. In december 2015 zijn het Parlement en de Raad tot een compromisoplossing voor deze delicate aangelegenheid gekomen. Richtlijn (EU) 2016/681 van het Europees Parlement en de Raad van 27 april 2016 over het gebruik van persoonsgegevens van passagiers (PNR-gegevens) voor het voorkomen, opsporen, onderzoeken en vervolgen van terroristische misdrijven en ernstige criminaliteit is per 25 mei 2018 in nationale wetgeving omgezet.

Het Parlement is betrokken geweest bij de goedkeuring (volgens de instemmingsprocedure) van een juridisch bindende kaderovereenkomst met de VS over informatie-uitwisseling en gegevensbescherming, bekend als de raamovereenkomst betreffende gegevensbescherming. Doel is een hoge mate van bescherming te waarborgen van persoonsgegevens die worden overgedragen in het kader van de trans-Atlantische samenwerking in de strijd tegen terrorisme en georganiseerde misdaad. In februari 2016 ondertekende president Obama de wet inzake gerechtelijk beroep en baande daarmee de weg voor de ondertekening van de raamovereenkomst betreffende gegevensbescherming tussen de EU en de VS op 2 juni 2016. Tegelijkertijd werd het EU-VS-privacyschild ingevoerd om een hoge mate van gegevensbescherming bij commerciële gegevensoverdracht te verzekeren. Met het privacyschild wordt gevolg gegeven aan de eisen die het Hof van Justitie van de Europese Unie heeft geformuleerd in zijn arrest van oktober 2015, waardoor de oude veiligehavenregeling (vrijwillige gegevensbeschermingsnormen voor bedrijven uit niet-EU-lidstaten die persoonsgegevens van EU-burgers overdragen aan de VS) ongeldig werd verklaard. De Commissie stelde op 12 juli 2016 het uitvoeringsbesluit overeenkomstig Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de gepastheid van de bescherming die verzekerd wordt door het EU-VS-privacyschild vast, en dit besluit trad onmiddellijk in werking. Met ingang van 1 augustus 2016 kunnen bedrijven zich inschrijven voor het privacyschild bij het Amerikaanse ministerie van Handel, dat vervolgens controleert of hun privacybeleid voldoet aan de op grond van het privacyschild vereiste hoge gegevensbeschermingsnormen. Het Parlement juichte, in zijn resolutie van 26 mei 2016 over trans-Atlantische gegevensstromen, de inspanningen toe om het privacyschild ten opzichte van het veiligehavenbesluit, dat het verving, substantieel te verbeteren en uitte ook enige kritiek. In zijn resolutie van 6 april 2017 over de gepastheid van de bescherming die wordt geboden door het EU-VS-privacyschild[1] verzocht het Parlement de EU-Commissie een grondige evaluatie uit te voeren en te waarborgen dat het EU-VS-privacyschild voor gegevens die voor commerciële doeleinden worden overgedragen, de EU-burgers een zodanige mate van gegevensbescherming biedt dat het schild voldoet aan het EU-handvest van de grondrechten en aan de nieuwe EU-regels inzake gegevensbescherming.

Op 12 maart 2014 nam het Parlement een resolutie aan over het surveillanceprogramma van de Amerikaanse NSA, de toezichthoudende instanties in verschillende lidstaten en de gevolgen voor de grondrechten van EU-burgers en voor de trans-Atlantische samenwerking op het gebied van justitie en binnenlandse zaken[2]. Aan deze resolutie ging een zes maanden durend onderzoek door het Parlement vooraf over massale operaties ter observatie van EU-burgers, na de onthullingen in juni 2013 over veronderstelde spionage door de VS en sommige EU-lidstaten. In deze resolutie drong het Parlement aan op de opschorting van de veiligehavenbeginselen en van het programma voor het traceren van terrorismefinanciering (TFTP). Op 29 oktober 2015 nam het Parlement een resolutie aan over de follow-up van zijn resolutie van 12 maart 2014 over grootschalig elektronisch toezicht op EU-burgers[3], waarin het opnieuw opriep tot de opschorting van het veiligehavenbesluit en het programma voor het traceren van terrorismefinanciering.

Het Parlement is in het kader van de gewone wetgevingsprocedure betrokken bij de goedkeuring van de hervorming op het gebied van gegevensbescherming (zie hierboven). De nieuwe regelgeving inzake gegevensbescherming zal de grondrechten van de burger in het digitale tijdperk versterken en de handel vergemakkelijken dankzij minder ingewikkelde regels voor bedrijven op de digitale interne markt.

 

[1]Aangenomen teksten, P8_TA(2017)0131. 
[2]Aangenomen teksten, P7_TA(2014)0230. 
[3]Aangenomen teksten, P8_TA(2015)0388. 

Kristiina Milt