Bescherming van persoonsgegevens

De bescherming van persoonsgegevens en de eerbiediging van het privéleven zijn Europese grondrechten. Het Europees Parlement heeft altijd onderstreept dat er een evenwicht moet zijn tussen de verhoging van de veiligheid en de bescherming van de mensenrechten, met inbegrip van de bescherming van gegevens en de persoonlijke levenssfeer. In mei 2018 is nieuwe EU-regelgeving van kracht geworden die de grondrechten van de burger versterkt. Tegelijk zijn de regels voor bedrijven in het digitale tijdperk vereenvoudigd. Uit onderzoek dat voor het Europees Parlement is verricht, blijkt dat de EU-wetgeving inzake de regulering van gegevensstromen jaarlijks 51,6 miljard EUR bijdraagt aan het bbp in de Europese Unie. Onderzoek dat is voorbereid voor de Enquêtecommissie van het Europees Parlement om het gebruik van Pegasus en soortgelijke spyware voor surveillance te onderzoeken (de PEGA-commissie), bevestigt het belang van gegevensbescherming voor de verdediging van de democratie en de individuele vrijheden in de EU.

Rechtsgrondslag

Artikel 16 van het Verdrag betreffende de werking van de Europese Unie (VWEU);

Artikelen 7 en 8 van het EU-Handvest van de grondrechten.

Doelstellingen

De Unie moet ervoor zorgen dat het grondrecht op gegevensbescherming, dat is vastgelegd in het Handvest van de grondrechten van de Europese Unie, op consequente wijze wordt toegepast. In het licht van de exponentiële groei van het volume van gegevensoverdrachten — waarbij de EU, de VS en Canada het grootste deel van deze groei uitmaken — moet het standpunt van de EU in verband met de bescherming van persoonsgegevens op alle EU-beleidsterreinen worden versterkt.

Resultaten

A. Institutioneel kader

1. Verdrag van Lissabon

Vóór de inwerkingtreding van het Verdrag van Lissabon was de wetgeving met betrekking tot gegevensbescherming in de ruimte van vrijheid, veiligheid en recht (RVVR) verdeeld over de eerste pijler (gegevensbescherming voor persoonlijke en commerciële doeleinden, met gebruik van de communautaire methode) en de derde pijler (gegevensbescherming voor rechtshandhavingsdoeleinden, op intergouvernementeel niveau). De besluitvormingsprocessen op deze twee gebieden verliepen dan ook volgens verschillende regels. De pijlerstructuur is verdwenen met het Verdrag van Lissabon, dat een stevigere basis biedt voor de ontwikkeling van een duidelijker en doelmatiger gegevensbeschermingssysteem en tegelijkertijd nieuwe bevoegdheden vastlegt voor het Parlement, dat medewetgever is geworden. In artikel 16 van het VWEU is bepaald dat het Parlement en de Raad de voorschriften vaststellen betreffende de bescherming van natuurlijke personen ten aanzien van de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie, alsook door de lidstaten, bij de uitoefening van activiteiten die binnen het toepassingsgebied van het recht van de Unie vallen.

2. De strategische richtsnoeren op het gebied van vrijheid, veiligheid en recht

Na de programma’s van Tampere en Den Haag (van respectievelijk oktober 1999 en november 2004) keurde de Europese Raad in december 2009 het meerjarenprogramma betreffende de RVVR voor de periode 2010-2014 goed, het zogeheten programma van Stockholm. In zijn conclusies van juni 2014 stelde de Europese Raad de strategische richtsnoeren van de wetgevende en operationele programmering voor de komende jaren in de RVVR vast, overeenkomstig artikel 68 van het VWEU. Een van de hoofddoelstellingen is een betere bescherming van persoonsgegevens in de EU.

B. De belangrijkste wetgevingsinstrumenten over gegevensbescherming

1. Handvest van de grondrechten van de EU

In de artikelen 7 en 8 van het Handvest van de grondrechten van de Europese Unie worden de eerbiediging van het privéleven en de bescherming van persoonsgegevens erkend als nauw met elkaar verbonden maar afzonderlijke grondrechten.

2. Raad van Europa

a. Verdrag nr. 108 van 1981

Verdrag nr. 108 van de Raad van Europa van 28 januari 1981 tot bescherming van personen met betrekking tot de geautomatiseerde verwerking van persoonsgegevens was het eerste juridisch bindende internationale instrument op het gebied van gegevensbescherming. Het heeft tot doel aan alle natuurlijke personen “de eerbiediging van hun rechten en fundamentele vrijheden te waarborgen, en met name hun recht op persoonlijke levenssfeer met betrekking tot de geautomatiseerde verwerking van persoonsgegevens”. Het protocol tot wijziging van dit Verdrag heeft tot doel het toepassingsgebied ervan te verruimen en gegevens beter en doeltreffender te beschermen.

b. Europees Verdrag voor de rechten van de mens (EVRM)

In artikel 8 van het Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden van 4 november 1950 is het recht van eenieder op eerbiediging van het privé- en gezinsleven, de woning en de correspondentie vastgelegd.

3. Huidige wetgevingsinstrumenten van de EU over gegevensbescherming

a. Algemene verordening gegevensbescherming (AVG)

Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming) is in mei 2018 van kracht geworden. Deze regelgeving heeft tot doel alle EU-burgers te beschermen tegen inbreuken op de privacy en op persoonsgegevens in een toenemend datagestuurde wereld, en tegelijk een duidelijker en consistenter kader tot stand te brengen voor bedrijven. De rechten van burgers omvatten het geven van duidelijke instemming met de verwerking van hun gegevens en het recht om duidelijke en begrijpelijke informatie hierover te ontvangen; het “recht om te worden vergeten”: een burger kan erom vragen dat zijn/haar gegevens worden gewist; het recht om gegevens over te dragen aan een andere dienstverlener (bijvoorbeeld bij het overstappen van het ene naar het andere sociale netwerk); en het recht om te worden geïnformeerd als gegevens zijn gehackt. De nieuwe regels zijn van toepassing op alle bedrijven die in de EU actief zijn, ook als ze buiten de EU gevestigd zijn. Daarnaast kunnen corrigerende maatregelen worden opgelegd, zoals waarschuwingen en bevelen, of sancties voor bedrijven die zich niet aan de regels houden. Op 24 juni 2020 presenteerde de Europese Commissie een verslag over de evaluatie en de toetsing van de verordening[1].

b. Richtlijn gegevensbescherming bij rechtshandhaving

Richtlijn (EU) 2016/680 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en betreffende het vrije verkeer van die gegevens en tot intrekking van Kaderbesluit 2008/977/JBZ van de Raad is in mei 2018 van kracht geworden. De richtlijn dient ter bescherming van het grondrecht van de burger op gegevensbescherming wanneer persoonsgegevens door rechtshandhavingsautoriteiten worden gebruikt. De richtlijn zorgt voor passende bescherming van de persoonsgegevens van slachtoffers, getuigen en verdachten van misdrijven en vergemakkelijkt de grensoverschrijdende samenwerking in de strijd tegen misdaad en terrorisme. Op 25 juli 2022 heeft de Europese Commissie, met vertraging, haar verslag over de toepassing en werking van de richtlijn wetshandhaving gepubliceerd. Daarna volgde een evaluatiestudie in opdracht van de Commissie burgerlijke vrijheden, justitie en binnenlandse zaken (LIBE) met een kritische beoordeling van de tenuitvoerlegging van de richtlijn wetshandhaving[2].

c. Richtlijn betreffende privacy en elektronische communicatie

Richtlijn 2002/58/EG van het Europees Parlement en de Raad van 12 juli 2002 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie (richtlijn betreffende privacy en elektronische communicatie) werd gewijzigd bij Richtlijn 2009/136/EG van 25 november 2009. Daarin wordt ingegaan op de delicate kwestie van gegevensbewaring, die herhaaldelijk aan het HvJ-EU is voorgelegd. Dat heeft tot een reeks arresten geleid, meest recentelijk in 2020, waarin werd verklaard dat het EU-recht de algemene en ongedifferentieerde bewaring van verkeers- en locatiegegevens verbiedt.

Het voorstel voor een verordening van 2017 van het Europees Parlement en de Raad met betrekking tot de eerbiediging van het privéleven en de bescherming van persoonsgegevens in elektronische communicatie, en tot intrekking van Richtlijn 2002/58/EG (verordening betreffende privacy en elektronische communicatie) is momenteel onderwerp van langdurige besprekingen. De deskundigen van het Europees Parlement gaven aan dat het Parlement zich moet verzetten tegen de pogingen van de Raad om de toepasselijkheid van de Europese gegevensbeschermingsbeginselen uit te sluiten[3].

d. Verordening betreffende de verwerking van persoonsgegevens door de instellingen en organen van de Unie

Verordening (EU) 2018/1725 van het Europees Parlement en de Raad van 23 oktober 2018 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie en betreffende het vrije verkeer van die gegevens, en tot intrekking van Verordening (EG) nr. 45/2001 en Besluit nr. 1247/2002/EG is op 11 december 2018 in werking getreden.

e. Artikelen betreffende gegevensbescherming in sectorspecifieke wetgevingshandelingen

Hierboven zijn de belangrijkste wetgevingshandelingen inzake gegevensbescherming vermeld. Daarnaast zijn er ook specifieke bepalingen inzake gegevensbescherming vervat in sectorspecifieke wetgevingshandelingen, zoals:

  • artikel 13 (over de bescherming van persoonsgegevens) van Richtlijn (EU) 2016/681 van het Europees Parlement en de Raad van 27 april 2016 over het gebruik van persoonsgegevens van passagiers (PNR-gegevens) voor het voorkomen, opsporen, onderzoeken en vervolgen van terroristische misdrijven en ernstige criminaliteit;
  • artikel 6 (verwerking van gegevens) van Richtlijn 2004/82/EG van de Raad van 29 april 2004 betreffende de verplichting voor vervoerders om passagiersgegevens door te geven;
  • op 13 december 2022 heeft de Commissie twee wetgevingsvoorstellen aangenomen over het verzamelen en doorgeven van API-gegevens die in de plaats zullen komen van de API-richtlijn[4];
  • hoofdstuk VI (over waarborgen inzake gegevensbescherming) van Verordening (EU) 2016/794 van het Europees Parlement en de Raad van 11 mei 2016 betreffende het Agentschap van de Europese Unie voor samenwerking op het gebied van rechtshandhaving (Europol);
  • hoofdstuk VIII (over gegevensbescherming) van Verordening (EU) 2017/1939 van de Raad van 12 oktober 2017 betreffende nauwere samenwerking bij de instelling van het Europees Openbaar Ministerie (“EOM”).

4. De belangrijkste internationale overeenkomsten van de EU inzake doorgifte van gegevens

a. Commerciële gegevensoverdracht: adequaatheidsbesluiten

Krachtens artikel 45 van de algemene verordening gegevensbescherming is de Commissie bevoegd te bepalen of een land buiten de EU een passend niveau van gegevensbescherming biedt, op grond van zijn nationale wetgeving of de internationale verbintenissen die het is aangegaan.

Hoewel de gegevensoverdracht tussen de EU en Noord-Amerika exponentieel is toegenomen, waarbij de VS particuliere onlinereclame en -surveillance domineren[5], heeft het Parlement talrijke resoluties aangenomen waarin bezorgdheid wordt geuit over trans-Atlantische gegevensstromen. Het was met name van mening dat het besluit betreffende het EU-VS-privacyschild niet het door het EU-recht vereiste passende beschermingsniveau biedt, terwijl het HvJ-EU de adequaatheidsbesluiten van de Europese Commissie met betrekking tot de VS herhaaldelijk ongeldig heeft verklaard (zie zijn uitspraken van 2015 over de veiligehavenbeschikking in Schrems en van 2020 over het EU-VS-privacyschild in Schrems II).

Ondanks een gebrek aan hervorming van de gegevensbeschermingsregeling in de VS heeft de Europese Commissie een nieuwe overeenkomst met de VS gesloten en een voorstel ingediend voor nog een nieuw EU-VS-kader voor gegevensbescherming. Op 11 mei 2023 heeft het Parlement na een ontwerpresolutie van de LIBE-commissie een resolutie aangenomen over de gepastheid van de bescherming die wordt geboden door het kader voor gegevensbescherming tussen de EU en de VS, waarin wordt geconcludeerd dat het EU-VS-gegevensbeschermingskader geen essentiële gelijkwaardigheid in het beschermingsniveau creëert en de Commissie wordt verzocht de onderhandelingen met haar Amerikaanse tegenhangers voort te zetten, maar de adequaatheidsbevinding niet goed te keuren totdat alle aanbevelingen in de resolutie van het Parlement en het advies van het Europees Comité voor gegevensbescherming (EDPB) volledig zijn uitgevoerd.

De Commissie heeft op 10 juli 2023 haar derde kader voor gegevensbescherming tussen de EU en de VS vastgesteld.

b. Raamovereenkomst EU-VS

In het kader van de goedkeuringsprocedure was het Parlement betrokken bij de goedkeuring van de overeenkomst tussen de VS en de EU over de bescherming van persoonlijke informatie in verband met de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten, ook bekend als de raamovereenkomst betreffende gegevensbescherming. Deze overeenkomst heeft tot doel een hoge mate van bescherming te waarborgen wat persoonsgegevens betreft die worden overgedragen in het kader van de trans-Atlantische samenwerking voor rechtshandhavingsdoeleinden, namelijk in de strijd tegen terrorisme en georganiseerde misdaad.

c. Overeenkomsten inzake persoonsgegevens van passagiers tussen de EU en de VS, de EU en Australië en de EU en Canada

De EU heeft bilaterale overeenkomsten inzake persoonsgegevens van passagiers (PNR-gegevens) gesloten met de Verenigde Staten, Australië en Canada. PNR-gegevens omvatten informatie die passagiers verstrekken wanneer ze een vlucht boeken of inchecken voor een vlucht, en gegevens die luchtvaartmaatschappijen voor hun eigen commerciële doeleinden verzamelen. PNR-gegevens kunnen door rechtshandhavingsautoriteiten worden gebruikt in de strijd tegen zware misdaad en terrorisme.

d. EU-VS-programma voor het traceren van terrorismefinanciering (TFTP)

De EU heeft met de VS een bilaterale overeenkomst gesloten inzake de verwerking en doorgifte van gegevens betreffende het financiële berichtenverkeer van de EU naar de VS ten behoeve van het programma voor het traceren van terrorismefinanciering.

5. Gegevensbeschermingsaspecten in sectorspecifieke resoluties

De bescherming van persoonsgegevens komt ook aan bod in een aantal resoluties van het Parlement over verschillende beleidsterreinen, om te zorgen voor samenhang met de algemene gegevensbeschermingswetgeving van de EU en de bescherming van de persoonlijke levenssfeer in die specifieke sectoren.

6. Toezichthoudende EU-autoriteiten voor gegevensbescherming

De Europese Toezichthouder voor gegevensbescherming (EDPS) is een onafhankelijke toezichthoudende autoriteit die ervoor zorgt dat de EU-instellingen en -organen hun verplichtingen inzake gegevensbescherming naleven. De hoofdtaken van de EDPS zijn toezicht, raadpleging en samenwerking.

Het Europees Comité voor gegevensbescherming (EDPB), voorheen de Groep artikel 29, heeft de status van een EU-orgaan met rechtspersoonlijkheid en beschikt over een onafhankelijk secretariaat. Het EDPB bestaat uit vertegenwoordigers van de nationale gegevensbeschermingsautoriteiten van de EU, de EDPS en de Commissie. en beschikt over uitgebreide bevoegdheden om geschillen tussen nationale toezichthoudende autoriteiten te beoordelen en advies en richtsnoeren aan te reiken inzake essentiële concepten van de algemene verordening gegevensbescherming en de richtlijn gegevensbescherming bij rechtshandhaving.

De rol van het Europees Parlement

Het Parlement heeft een belangrijke rol gespeeld bij de totstandkoming van EU-wetgeving op het gebied van de bescherming van persoonsgegevens door van de bescherming van de persoonlijke levenssfeer een politieke prioriteit te maken. Voorts heeft het in het kader van de gewone wetgevingsprocedure op gelijke voet met de Raad gewerkt aan de hervorming van de gegevensbescherming. In 2017 voltooide het Parlement zijn werkzaamheden in verband met het laatste belangrijke puzzelstuk, namelijk de nieuwe verordening betreffende privacy en elektronische communicatie. Het kijkt er nu naar uit dat ook de Raad zijn werkzaamheden eindelijk afrondt, zodat interinstitutionele onderhandelingen kunnen beginnen.

In tal van resoluties heeft het Parlement twijfels geuit over de gepastheid van de bescherming van EU-burgers in het kader van de veiligehavenregeling tussen de EU en de VS en vervolgens het EU-VS-privacyschild. De zaak Schrems II leidde tot de ongeldigverklaring van Uitvoeringsverordening (EU) 2016/1250 van de Commissie betreffende de gepastheid van de door het EU-VS-privacyschild geboden bescherming. Het Hof was immers bezorgd dat de toezichtbevoegdheden van de Amerikaanse overheid niet beperkt waren, zoals vereist door het EU-recht, en dat EU-burgers niet over deugdelijke rechtsmiddelen beschikten. Daarop nam het Europees Parlement een resolutie aan waarin het betreurde dat de Commissie de betrekkingen met de VS boven de belangen van de EU-burgers had geplaatst[6].

Na de indiening van de ontwerpresolutie van de LIBE-commissie op 11 mei 2023 heeft het Parlement een resolutie aangenomen over de gepastheid van de bescherming die wordt geboden door het kader voor gegevensbescherming tussen de EU en de VS, waarin wordt geconcludeerd dat het EU-VS-gegevensbeschermingskader geen essentiële gelijkwaardigheid in het beschermingsniveau creëert en de Commissie wordt verzocht de onderhandelingen met haar Amerikaanse tegenhangers voort te zetten, maar de adequaatheidsbevinding niet goed te keuren totdat alle aanbevelingen in de resolutie en het advies van het EDPB volledig zijn uitgevoerd. De Commissie heeft op 10 juli 2023 haar besluit inzake het kader voor gegevensbescherming tussen de EU en de VS vastgesteld.

Het Parlement heeft een Enquêtecommissie opgericht om het gebruik van Pegasus en soortgelijke spyware voor surveillance in de EU-lidstaten te onderzoeken (de PEGA-commissie). Onder voorzitterschap van EP-lid Jeroen Lenaers heeft de PEGA-commissie grondig onderzocht hoe spyware wordt gebruikt om oppositieleden, journalisten, advocaten en activisten uit het maatschappelijk middenveld in de gaten te houden, en hoe dergelijke praktijken van invloed zijn op democratische processen en individuele rechten in de EU. Tijdens haar onderzoek heeft de PEGA-commissie vooraanstaande academici, ervaringsdeskundigen en autoriteiten in en buiten de EU geraadpleegd. De beleidsondersteunende afdeling van het Parlement heeft verslagen opgesteld voor de PEGA-missies naar Polen, Cyprus en Griekenland. Op 8 mei 2023 heeft de PEGA-commissie haar zeer kritische eindverslag goedgekeurd met aanbevelingen betreffende het onderzoek naar vermeende inbreuken op en wanbeheer bij de toepassing van het EU-recht in verband met het gebruik van Pegasus en soortgelijke spyware voor surveillance. Het verslag bevatte onder meer een aanbeveling om een EU-technologielab op te zetten voor onderzoek naar en monitoring van het gebruik van spyware tegen EU-burgers. De aanbeveling van het Parlement aan de Raad en de Commissie naar aanleiding van het PEGA-verslag is op 15 juni 2023 door de plenaire vergadering aangenomen. De Commissie heeft echter niet tijdig op de aanbeveling gereageerd en het door EP-leden voorgestelde proefproject van het EU-technologielab geblokkeerd.

Het Parlement heeft opdracht gegeven tot een aantal onderzoeksstudies om te beschikken over een wetenschappelijke basis voor zijn wetgevingsactiviteiten die een voortrekkersrol spelen op het gebied van technologische ontwikkelingen en gegevensbescherming, waaronder een studie over de impact van de algemene verordening gegevensbescherming (AVG) op artificiële intelligentie (the impact of the General Data Protection Regulation (GDPR) on artificial intelligence) een studie over biometrische herkenning en gedragsdetectie (Biometric Recognition and Behavioural Detection) en een studie over de metaverse.

Deze infopagina is opgesteld door de beleidsondersteunende afdeling Rechten van de burger en Constitutionele Zaken van het Europees Parlement.

 

[1]Mededeling van de Commissie van 24 juni 2020, getiteld “Gegevensbescherming als pijler van zeggenschap van de burger en de EU-aanpak van de digitale transformatie – twee jaar toepassing van de algemene verordening gegevensbescherming” (SWD(2020)0115).
[2]Vogiatzoglou, P. et al., Assessment of the implementation of the Law Enforcement Directive, Europees Parlement, directoraat-generaal Intern Beleid van de Unie, beleidsondersteunende afdeling Rechten van de burger en Constitutionele Zaken, 7 december 2022.
[3]Sartor, G. et al., The impact of Pegasus on fundamental rights and democratic processes, Europees Parlement, directoraat-generaal Intern Beleid van de Unie, beleidsondersteunende afdeling Rechten van de burger en Constitutionele Zaken, januari 2023, blz. 56-57.
[4]Vavoula, N. et al., Advance Passenger Information (API) – An analysis of the European Commission’s proposals to reform the API legal framework, Europees Parlement, directoraat-generaal Intern Beleid van de Unie, beleidsondersteunende afdeling Rechten van de burger en Constitutionele Zaken, 8 juni 2023.
[5]Maciejewski, M., Metaverse, Europees Parlement, directoraat-generaal Intern Beleid van de Unie, beleidsondersteunende afdeling – Rechten van de burger en Constitutionele Zaken, 26 juni 2023.

Mariusz Maciejewski