Bescherming van persoonsgegevens

De bescherming van persoonsgegevens en de eerbiediging van het privéleven zijn Europese grondrechten. Het Europees Parlement heeft altijd onderstreept dat er een evenwicht moet zijn tussen de verhoging van de veiligheid en de bescherming van de mensenrechten, met inbegrip van de bescherming van gegevens en de persoonlijke levenssfeer. In mei 2018 is nieuwe EU-regelgeving van kracht geworden die de grondrechten van de burger versterkt. Tegelijk zijn de regels voor bedrijven in het digitale tijdperk vereenvoudigd. Uit onderzoek dat voor het Europees Parlement is verricht, blijkt dat de EU-wetgeving inzake de regulering van gegevensstromen jaarlijks 51,6 miljard EUR bijdraagt aan het bbp in de Europese Unie.

Rechtsgrondslag

Artikel 16 van het Verdrag betreffende de werking van de Europese Unie (VWEU).

Artikelen 7 en 8 van het EU-Handvest van de grondrechten.

Doelstellingen

De Unie moet ervoor zorgen dat het grondrecht op gegevensbescherming, dat is vastgelegd in het Handvest van de grondrechten van de Europese Unie, op consequente wijze wordt toegepast. Het standpunt van de EU in verband met de bescherming van persoonsgegevens moet worden versterkt op alle EU-beleidsterreinen, met inbegrip van rechtshandhaving en misdaadpreventie, alsook in internationale betrekkingen, in het bijzonder in een mondiale samenleving die wordt gekenmerkt door snelle technologische veranderingen.

Resultaten

A. Institutioneel kader

1. Verdrag van Lissabon

Vóór de inwerkingtreding van het Verdrag van Lissabon was de wetgeving met betrekking tot gegevensbescherming in de ruimte van vrijheid, veiligheid en recht (RVVR) verdeeld over de eerste pijler (gegevensbescherming voor persoonlijke en commerciële doeleinden, met gebruik van de communautaire methode) en de derde pijler (gegevensbescherming voor rechtshandhavingsdoeleinden, op intergouvernementeel niveau). De besluitvormingsprocessen op deze twee gebieden verliepen dan ook volgens verschillende regels. De pijlerstructuur is verdwenen met het Verdrag van Lissabon, dat een stevigere basis biedt voor de ontwikkeling van een duidelijker en doelmatiger gegevensbeschermingssysteem en tegelijkertijd nieuwe bevoegdheden vastlegt voor het Parlement, dat medewetgever is geworden. In artikel 16 van het VWEU is bepaald dat het Parlement en de Raad de voorschriften vaststellen betreffende de bescherming van natuurlijke personen ten aanzien van de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie, alsook door de lidstaten, bij de uitoefening van activiteiten die binnen het toepassingsgebied van het recht van de Unie vallen.

2. De strategische richtsnoeren op het gebied van vrijheid, veiligheid en recht

Na de programma’s van Tampere en Den Haag (van respectievelijk oktober 1999 en november 2004) keurde de Europese Raad in december 2009 het meerjarenprogramma betreffende de RVVR voor de periode 2010-2014 goed, het zogeheten programma van Stockholm. In zijn conclusies van juni 2014 stelde de Europese Raad de strategische richtsnoeren van de wetgevende en operationele programmering voor de komende jaren in de RVVR vast, overeenkomstig artikel 68 van het VWEU. Een van de hoofddoelstellingen is een betere bescherming van persoonsgegevens in de EU.

B. De belangrijkste wetgevingsinstrumenten over gegevensbescherming

1. Handvest van de grondrechten van de EU

In de artikelen 7 en 8 van het Handvest van de grondrechten van de Europese Unie worden de eerbiediging van het privéleven en de bescherming van persoonsgegevens erkend als nauw met elkaar verbonden maar afzonderlijke grondrechten.

2. Raad van Europa

a. Verdrag 108 van 1981

Verdrag nr. 108 van de Raad van Europa van 28 januari 1981 tot bescherming van personen met betrekking tot de geautomatiseerde verwerking van persoonsgegevens was het eerste juridisch bindende internationale instrument op het gebied van gegevensbescherming. Het heeft tot doel aan alle natuurlijke personen “de eerbiediging van hun rechten en fundamentele vrijheden te waarborgen, en met name hun recht op persoonlijke levenssfeer met betrekking tot de geautomatiseerde verwerking van persoonsgegevens”. Het protocol tot wijziging van dit Verdrag heeft tot doel het toepassingsgebied ervan te verruimen en gegevens beter en doeltreffender te beschermen.

b. Europees Verdrag voor de rechten van de mens (EVRM)

In artikel 8 van het Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden van 4 november 1950 is het recht van eenieder op eerbiediging van het privé- en gezinsleven, de woning en de correspondentie vastgelegd.

3. Huidige wetgevingsinstrumenten van de EU over gegevensbescherming

a. Algemene verordening gegevensbescherming (AVG)

Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming) werd in mei 2018 van kracht. Deze regelgeving heeft tot doel alle EU-burgers te beschermen tegen inbreuken op de privacy en op persoonsgegevens in een toenemend datagestuurde wereld, en tegelijk een duidelijker en consistenter kader tot stand te brengen voor bedrijven. De rechten van burgers omvatten het geven van duidelijke instemming met de verwerking van hun gegevens en het recht om duidelijke en begrijpelijke informatie hierover te ontvangen; het “recht om te worden vergeten”: een burger kan erom vragen dat zijn/haar gegevens worden gewist; het recht om gegevens over te dragen aan een andere dienstverlener (bijvoorbeeld bij het overstappen van het ene naar het andere sociale netwerk); en het recht om te worden geïnformeerd als gegevens zijn gehackt. De nieuwe regels zijn van toepassing op alle bedrijven die in de EU actief zijn, ook als ze buiten de EU gevestigd zijn. Daarnaast kunnen corrigerende maatregelen worden opgelegd, zoals waarschuwingen en bevelen, of sancties voor bedrijven die zich niet aan de regels houden. Op 24 juni 2020 presenteerde de Europese Commissie een verslag over de evaluatie en de toetsing van de verordening[1].

b. Richtlijn gegevensbescherming bij rechtshandhaving

Richtlijn (EU) 2016/680 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en betreffende het vrije verkeer van die gegevens en tot intrekking van Kaderbesluit 2008/977/JBZ van de Raad is in mei 2018 van kracht geworden. De richtlijn dient ter bescherming van het grondrecht van de burger op gegevensbescherming wanneer persoonsgegevens door rechtshandhavingsautoriteiten worden gebruikt. De richtlijn zorgt voor passende bescherming van de persoonsgegevens van slachtoffers, getuigen en verdachten van misdrijven en vergemakkelijkt de grensoverschrijdende samenwerking in de strijd tegen misdaad en terrorisme. Sinds 6 mei 2022 is het wachten op het verslag van de Europese Commissie aan het Europees Parlement en de Raad over de evaluatie en de toetsing van deze richtlijn.

c. Richtlijn betreffende privacy en elektronische communicatie

Richtlijn 2002/58/EG van het Europees Parlement en de Raad van 12 juli 2002 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie (richtlijn betreffende privacy en elektronische communicatie) werd gewijzigd bij Richtlijn 2009/136/EG van 25 november 2009. Daarin wordt ingegaan op de delicate kwestie van gegevensbewaring, die herhaaldelijk aan het Hof van Justitie is voorgelegd. Dat heeft tot een reeks arresten geleid, meest recentelijk in 2020, waarin werd verklaard dat het EU-recht de algemene en ongedifferentieerde bewaring van verkeers- en locatiegegevens verbiedt.

Het nieuwe voorstel voor een verordening van het Europees Parlement en de Raad met betrekking tot de eerbiediging van het privéleven en de bescherming van persoonsgegevens in elektronische communicatie, en tot intrekking van Richtlijn 2002/58/EG (verordening betreffende privacy en elektronische communicatie) is momenteel in behandeling.

d. Verordening betreffende de verwerking van persoonsgegevens door de instellingen en organen van de Unie

Verordening (EU) 2018/1725 van het Europees Parlement en de Raad van 23 oktober 2018 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie en betreffende het vrije verkeer van die gegevens, en tot intrekking van Verordening (EG) nr. 45/2001 en Besluit nr. 1247/2002/EG is op 11 december 2018 in werking getreden.

e. Artikelen betreffende gegevensbescherming in sectorspecifieke wetgevingshandelingen

Hierboven zijn de belangrijkste wetgevingshandelingen inzake gegevensbescherming vermeld. Daarnaast zijn er ook specifieke bepalingen inzake gegevensbescherming vervat in sectorspecifieke wetgevingshandelingen, zoals:

• artikel 13 (over de bescherming van persoonsgegevens) van Richtlijn (EU) 2016/681 van het Europees Parlement en de Raad van 27 april 2016 over het gebruik van persoonsgegevens van passagiers (PNR-gegevens) voor het voorkomen, opsporen, onderzoeken en vervolgen van terroristische misdrijven en ernstige criminaliteit;
• hoofdstuk VI (over waarborgen inzake gegevensbescherming) van Verordening (EU) 2016/794 van het Europees Parlement en de Raad van 11 mei 2016 betreffende het Agentschap van de Europese Unie voor samenwerking op het gebied van rechtshandhaving (Europol);
• hoofdstuk VIII (over gegevensbescherming) van Verordening (EU) 2017/1939 van de Raad van 12 oktober 2017 betreffende nauwere samenwerking bij de instelling van het Europees Openbaar Ministerie (“EOM”).

4. De belangrijkste internationale overeenkomsten van de EU inzake doorgifte van gegevens

a. Commerciële gegevensoverdracht: adequaatheidsbesluiten

Krachtens artikel 45 van de algemene verordening gegevensbescherming is de Commissie bevoegd te bepalen of een land buiten de EU een passend niveau van gegevensbescherming biedt, op grond van zijn nationale wetgeving of de internationale verbintenissen die het is aangegaan.

Het Parlement heeft verscheidene resoluties aangenomen waarin het zijn bezorgdheid uit over trans-Atlantische gegevensstromen. Het was met name van mening dat het besluit betreffende het EU-VS-privacyschild niet het door het EU-recht vereiste passende beschermingsniveau biedt, terwijl het Hof van Justitie van de EU de adequaatheidsbesluiten van de Europese Commissie met betrekking tot de VS herhaaldelijk ongeldig heeft verklaard (zie zijn uitspraken van 2015 over de veiligehavenbeschikking in Schrems en van 2020 over het EU-VS-privacyschild in Schrems II).

b. Raamovereenkomst EU-VS

In het kader van de goedkeuringsprocedure was het Parlement betrokken bij de goedkeuring van de overeenkomst tussen de VS en de EU over de bescherming van persoonlijke informatie in verband met de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten, ook bekend als de raamovereenkomst betreffende gegevensbescherming. Deze overeenkomst heeft tot doel een hoge mate van bescherming te waarborgen wat persoonsgegevens betreft die worden overgedragen in het kader van de trans-Atlantische samenwerking voor rechtshandhavingsdoeleinden, namelijk in de strijd tegen terrorisme en georganiseerde misdaad.

c. Overeenkomsten inzake persoonsgegevens van passagiers tussen de EU en de VS, de EU en Australië en de EU en Canada

De EU heeft bilaterale overeenkomsten inzake persoonsgegevens van passagiers (PNR-gegevens) gesloten met de Verenigde Staten, Australië en Canada. PNR-gegevens omvatten informatie die passagiers verstrekken wanneer ze een vlucht boeken of inchecken voor een vlucht, en gegevens die luchtvaartmaatschappijen voor hun eigen commerciële doeleinden verzamelen. PNR-gegevens kunnen door rechtshandhavingsautoriteiten worden gebruikt in de strijd tegen zware misdaad en terrorisme.

d. EU-VS-programma voor het traceren van terrorismefinanciering (TFTP)

De EU heeft met de VS een bilaterale overeenkomst gesloten inzake de verwerking en doorgifte van gegevens betreffende het financiële berichtenverkeer van de EU naar de VS ten behoeve van het programma voor het traceren van terrorismefinanciering.

5. Gegevensbeschermingsaspecten in sectorspecifieke resoluties

De bescherming van persoonsgegevens komt ook aan bod in verscheidene resoluties van het Parlement over verschillende beleidsterreinen, om te zorgen voor samenhang met de algemene gegevensbeschermingswetgeving van de EU en de bescherming van de persoonlijke levenssfeer in die specifieke sectoren.

6. Toezichthoudende EU-autoriteiten voor gegevensbescherming

De Europese Toezichthouder voor gegevensbescherming (EDPS) is een onafhankelijke toezichthoudende autoriteit die ervoor zorgt dat de EU-instellingen en -organen hun verplichtingen inzake gegevensbescherming naleven. De hoofdtaken van de EDPS zijn toezicht, raadpleging en samenwerking.

Het Europees Comité voor gegevensbescherming (EDPB), voorheen de Groep artikel 29, heeft de status van een EU-orgaan met rechtspersoonlijkheid en beschikt over een onafhankelijk secretariaat. Het EDPB bestaat uit vertegenwoordigers van de nationale gegevensbeschermingsautoriteiten van de EU, de EDPS en de Commissie en beschikt over uitgebreide bevoegdheden om geschillen tussen nationale toezichthoudende autoriteiten te beoordelen en advies en richtsnoeren aan te reiken inzake essentiële concepten van de algemene verordening gegevensbescherming en de richtlijn gegevensbescherming bij rechtshandhaving.

De rol van het Europees Parlement

Het Parlement heeft een belangrijke rol gespeeld bij de totstandkoming van EU-wetgeving op het gebied van de bescherming van persoonsgegevens door van de bescherming van de persoonlijke levenssfeer een politieke prioriteit te maken. Voorts heeft het in het kader van de gewone wetgevingsprocedure op gelijke voet met de Raad gewerkt aan de hervorming van de gegevensbescherming. In 2017 heeft het zijn werkzaamheden afgerond in verband met het laatste belangrijke puzzelstuk, namelijk de nieuwe verordening betreffende privacy en elektronische communicatie. Het kijkt er nu naar uit dat ook de Raad zijn werkzaamheden eindelijk afrondt, zodat interinstitutionele onderhandelingen kunnen beginnen.

Het Parlement ziet nauwlettend toe op de internationale overeenkomsten inzake doorgifte van gegevens. Via de goedkeuringsprocedure of initiatiefverslagen heeft het zijn stem laten horen. Bovendien heeft het middels een resolutie van 25 november 2014 besloten, alvorens te stemmen over de PNR-overeenkomst tussen de EU en Canada, het advies van het Hof van Justitie in te winnen, zoals bepaald in artikel 218, lid 11, van het VWEU. In dat op 26 juli 2017 uitgebracht advies was het Hof van oordeel dat de PNR-overeenkomst in haar huidige vorm niet kon worden gesloten omdat verschillende bepalingen ervan onverenigbaar waren met het grondrecht op bescherming van persoonsgegevens.

In tal van resoluties heeft het Parlement twijfels geuit over de gepastheid van de bescherming van EU-burgers in het kader van het veiligehavenraamwerk tussen de EU en de VS en vervolgens het EU-VS-privacyschild. De zaak Schrems II leidde in juli 2020 tot de ongeldigverklaring van Uitvoeringsverordening (EU) 2016/1250 van de Commissie betreffende de gepastheid van de door het EU-VS-privacyschild geboden bescherming. Het Hof was immers bezorgd dat de toezichtbevoegdheden van de Amerikaanse overheid niet beperkt waren, zoals vereist door het EU-recht, en dat EU-burgers niet over deugdelijke rechtsmiddelen beschikten. Daarop nam het Europees Parlement een resolutie aan waarin het betreurde dat de Commissie de betrekkingen met de VS boven de belangen van de EU-burgers had geplaatst, en dat zij de taak om het EU-recht te verdedigen daarmee aan individuele burgers had overgelaten. Het Parlement benadrukte dat toekomstige adequaatheidsbesluiten van de Commissie niet mochten berusten op een zelfcertificeringsregeling, zoals het geval was geweest bij de veilige haven en het privacyschild. Het Parlement verzocht de Commissie het EDPB ten volle te betrekken bij de beoordeling van de naleving en handhaving van een eventueel nieuw adequaatheidsbesluit ten aanzien van de VS[2]. Het Parlement liet ook onderzoek uitvoeren. Daaruit bleek dat de situatie van marktdeelnemers die persoonsgegevens aan de VS doorgeven, bijzonder ingewikkeld is[3] en dat er in het federale systeem van de VS hervormingen moeten worden doorgevoerd om het vertrouwen in de trans-Atlantische doorgifte van gegevens te herstellen[4].

Het Parlement spitst zijn aandacht nu toe op de tenuitvoerlegging van de EU-wetgeving inzake gegevensbescherming, op de gegevensbeschermingsaspecten van de voorstellen van de Commissie voor de wet inzake digitale diensten, de wet op de artificiële intelligentie en de datagovernanceverordening, en op andere komende Commissievoorstellen die gevolgen kunnen hebben voor de gegevensbescherming.

Om te beschikken over een wetenschappelijke basis voor zijn wetgevingsactiviteiten heeft het Parlement opdracht gegeven tot een aantal onderzoeksstudies, waaronder een studie over het effect van algoritmen voor het filteren of modereren van online-inhoud – “uploadfilters”, een studie over de impact van de algemene verordening gegevensbescherming (AVG) op artificiële intelligentie en een studie over biometrische herkenning en gedragsdetectie.

 

Udo Bux / Mariusz Maciejewski

06-2022