18.12.2012 |
NL |
Publicatieblad van de Europese Unie |
C 391/127 |
Advies van het Comité van de Regio's — Het pakket gegevensbescherming
2012/C 391/13
HET COMITE VAN DE REGIO'S
— |
kan zich vinden in een hervorming van het Europese gevensbeschermingsrecht. Die vormt een bijdrage van de Unie tot de mondiale discussie en een adequate bescherming van de persoonlijke levenssfeer in een digitale wereld. |
— |
Het is onontbeerlijk dat centrale aangelegenheden in verband met de bescherming van persoonsgegevens via de normale wetgevingsprocedure worden geregeld. Er kan alleen voor transparantie en democratische legitimatie worden gezorgd wanneer de Raad en het Europees Parlement een flinke vinger in de regelgevingspap hebben en ook de vertegenwoordigers van de Europese regionale en gemeentelijke overheden participeren. |
— |
Los van open vragen betreffende de verenigbaarheid van het basisconcept van de verordening met het subsidiariteits- en evenredigheidsbeginsel resulteren ook detailregelingen in conflicterende afbakeningen voor regelgeving door de overheidsinstanties van de lidstaten op het gebied van gegevensverwerking. |
— |
Ten slotte is het goed dat wordt voorgesteld de lidstaten, of in voorkomend geval de regio's, een grotere beslissingsmarge toe te kennen, zodat ze, met inachtneming van de nationale wetgeving, de algemene voorwaarden kunnen bepalen die van toepassing zijn op de leden van de toezichthoudende autoriteit, teneinde hun onafhankelijkheid in de uitoefening van hun functies te waarborgen. |
Rapporteur: |
Ursula MÄNNLE (DE/EVP), lid van het parlement van Beieren |
Referentiedocumenten |
Mededeling van de Commissie aan het Europees Parlement, de Raad, het Europees Economisch en Sociaal Comité en het Comité van de Regio's, Privacywaarborging in het online tijdperk, Een Europees gegevensbeschermingskader voor de 21e eeuw, COM(2012) 9 final Voorstel voor een richtlijn van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en betreffende het vrije verkeer van die gegevens, COM(2012) 10 final Voorstel voor een verordening van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (algemene verordening gegevensbescherming), COM(2012) 11 final |
I. BELEIDSAANBEVELINGEN
Bij de alomtegenwoordige gegevensverwerking in de moderne informatiemaatschappij is de regeling van gegevensbescherming van groot belang voor de economische ontwikkeling, de degelijke en doeltreffende werking van de overheid en de persoonlijke rechten en vrijheden van de Europese burgers. De aanpassing van de gegevensbescherming aan de gewijzigde eisen van een digitale wereld waar het internet in steeds meer levensgebieden een grotere rol speelt, is daarom niet alleen voor de Europese Unie maar ook voor andere internationale organisaties (de Raad van Europa) of staten (de VS) een van de centrale hervormingsplannen. De bescherming van persoonsgegevens werpt in alle beleidsdomeinen vragen op. Als transversaal onderwerp houdt gegevensbescherming verband met het justitieel en veiligheidsbeleid, de economie, de communicatiesector, het onderwijs, de gezondheidszorg, het openbaar bestuur en de consumentenbescherming. Daarom is de verdere ontwikkeling van het Europese gegevensbeschermingsrecht ook voor de Europese regio's en steden cruciaal om in tijden van fundamentele technische veranderingen en mondiale concurrentie hun daadkracht te behouden en zelfs te verhogen.
HET COMITE VAN DE REGIO'S
1. |
kan zich vinden in een hervorming van het Europese gevensbeschermingsrecht. Die vormt een bijdrage van de Unie tot de mondiale discussie en een adequate bescherming van de persoonlijke levenssfeer in een digitale wereld. |
2. |
Het herinnert aan de doorslaggevende rol van de lokale en regionale lichamen bij de tenuitvoerlegging van de aanbevelingen van de digitale agenda voor Europa. Die lichamen zijn de drijvende kracht achter lokale en regionale economische groei, en produceren, benutten en beheren veel digitale producten en diensten die op databanken van door de overheid verstrekte informatie zijn gebaseerd. Daarom moeten de lichamen langs alle kanten invloed hebben op wetten die gevolgen zullen hebben voor hun bevoegdheden op het gebied van gegevensbescherming. De verordening zal nieuwe administratieve lasten en extra kosten voor gemeenten en regio's met zich meebrengen die naar mening van het CvdR niet in verhouding staan tot de baten voor de burger. |
3. |
Verder betuigt het zijn steun aan de algemene doelstellingen van het hervormingspakket om voor de veiligheid van gegevens te zorgen. Zulks overeenkomstig artikel 8 van het Handvest van grondrechten en artikel 16 van het VWEU. Zaak is EU-harmonisatie van de regels voor de bescherming van het individu in verband met de verwerking van persoonsgegevens. |
4. |
Wel wijst het erop dat harmonisatie middels dwingende bepalingen erin resulteert dat de verwerkingsprocedures van ondernemingen, andere particuliere entiteiten en overheden alle aan dezelfde eisen zullen worden onderworpen, terwijl er sprake is van fundamenteel verschillende risico's en werkwijzen. Het CvdR is van mening dat de verordening te grote negatieve gevolgen heeft voor en dubbelzinnigheden bevat betreffende de bevoegdheden van voor overheidsinstanties en op arbeidsrechtelijk gebied. Bovendien legt de verordening overheidsinstanties op lokaal en regionaal niveau een reeks verplichtingen op (bijv. extra documentatievoorschriften, verplichting om te zorgen voor gegevensoverdraagbaarheid, e.d.), waar geen merkbare verbetering van de rechten van betrokkenen tegenover staat. Het CvdR wijst erop dat, gegeven het abstractieniveau, een wetgevingsinstrument in de vorm van een verordening in combinatie met de mogelijkheid van de Commissie om zelfs voor essentiële zaken nadere regels uit te vaardigen, de mogelijkheid van verkeerd gebruik van artikel 209 van het VWEU biedt en daarom niet in overeenstemming is met het subsidiariteits- en het evenredigheidsbeginsel. Het CvdR dringt er daarom op aan de verwerking van persoonsgegevens door overheidsinstanties en arbeidsrechtelijke aspecten daarvan niet onder het toepassingsgebied van de verordening te laten vallen, maar middels een richtlijn te blijven regelen. |
5. |
De onafhankelijke toezichthouders voor gegevensbescherming hebben een centrale verantwoordelijkheid. Op nagenoeg alle terreinen worden echter gegevens verwerkt en daarom wordt een hoog beschermingsniveau niet alleen door versterking van wettelijke verplichtingen gegarandeerd. Er dienen bijkomende prikkels te komen voor de verwerkers. Daarbij valt te denken aan vergemakkelijking van bewijslevering voor verwerkers die aan zelfregulering doen, gedragscodes volgen of vrijwillig een effectbeoordeling betreffende gegevensbescherming maken. |
6. |
Voorts is het onontbeerlijk dat centrale aangelegenheden in verband met de bescherming van persoonsgegevens via de normale wetgevingsprocedure worden geregeld. Er kan alleen voor transparantie en democratische legitimatie worden gezorgd wanneer de Raad en het Europees Parlement een flinke vinger in de regelgevingspap hebben en ook de vertegenwoordigers van de Europese regionale en gemeentelijke overheden participeren. |
7. |
Daarnaast is het cruciaal dat er voor de politiële en justitiële samenwerking dwingende regelingen worden uitgevaardigd ter bescherming van persoonsgegevens in het kader van transnationale uitwisseling ervan. |
8. |
Het Comité waarschuwt ervoor dat het streven naar meer bescherming van persoonsgegevens niet overmatig ten koste mag gaan van een eigen informatierecht van de burgers. Zowel in de verordening als in de richtlijn ontbreekt namelijk een toestemmingsrecht voor de burgers jegens vooral openbare instanties. |
9. |
In het verdere verloop van de wetgevingsprocedure moet in het licht van deze overwegingen op de volgende kwesties worden gelet: |
Subsidiariteit en evenredigheid
10. |
Het Comité denkt dat het streven om gedeelten van het Europees gegevensbeschermingsrecht integraal middels een verordening te harmoniseren op goede gronden stoelt, en denkt daarbij met name aan het bedrijfsleven. |
11. |
Het wijst er echter wel op dat het totaalpakket bestaande uit de Algemene verordening gegevensbescherming en de richtlijn voor de politiële en justitiële samenwerking in combinatie met talrijke Europese en nationale beschermingsregelingen op vooral telecommunicatiegebied in het raadplegingsproces steeds op fundamentele bedenkingen aangaande de verenigbaarheid met het subsidiariteits- en evenredigheidsbeginsel zal stuiten. Die bedenkingen betreffen:
|
12. |
Deze bedenkingen weerspiegelen die van talrijke regionale of lokale overheden in Europa tegen de voorstellen. Die maken bijv. nationale specifieke vormen van gegevensbescherming in de sociale sector onmogelijk, belasten de werkzaamheden van de overheidsinstanties die aan gegevensbeschermingeisen (bijv. het recht op overdraagbaarheid) tegemoet moeten komen en lijken alleen geschikt voor verwerkingsprocessen in het bedrijfsleven. Bovendien staan de administratieve sancties op het niet voldoen aan de eisen in geen verhouding tot de financiële middelen waarover de lokale overheden beschikken. |
13. |
Het Comité is van mening dat in het voorstel voor een verordening duidelijker aangegeven moet worden dat de beperkingen die in artikel 83 over de verwerking van persoonsgegevens voor historische, statistische en wetenschappelijke doeleinden worden genoemd, niets mogen afdoen aan de mogelijkheden van overheidsinstanties om documenten te bewaren op grond van de nationale wetgeving inzake archivering en de wetgeving inzake openbaarheid van bestuur. |
14. |
Het Comité vindt dan ook dat in het verdere verloop van het wetgevingsproces nog meer moet worden gekeken naar alternatieven voor de aard van het rechtsinstrument en de afbakening, qua reikwijdte, tussen het verordenings- en richtlijnvoorstel. Het denkt daarbij aan alternatieven die meer recht doen aan het subsidiariteits- en evenredigheidsbeginsel, zoals de mogelijkheid om de verwerking van persoonsgegevens door overheidsinstanties en arbeidsrechtelijke aspecten uit te zonderen van het toepassingsgebied van de algemene verordening en middels een richtlijn te blijven reguleren. |
Internationale coherentie in plaats van het vestigingsbeginsel
15. |
Het Comité schaart zich achter de doelstelling dat de Europese beschermingsnormen ook voor informatiediensten van mondiale aanbieders moeten gelden. |
16. |
Verder is het van mening dat de momenteel door de VS voorgestelde initiatieven voor regelingen ten behoeve van de bescherming van de persoonlijke levenssfeer in de mondiale digitale economie kansen bieden om in centrale segmenten van het internationale gegevensverkeer aanzetten tot gemeenschappelijke beschermingsnormen te bundelen. Op die manier zouden er niet alleen efficiënte beschermingsregelingen kunnen komen maar zou ook doeltreffender kunnen worden vermeden dat de mededingingsvoorwaarden uiteenlopen dan met het qua uitvoerbaarheid beperkte vestigingsbeginsel het geval is. |
Toekomstvatbaarheid van het hervormingsconcept
17. |
De voorgestelde algemene verordening berust inhoudelijk in wezen op de beginselen van de Gegevensbeschermingsrichtlijn 95/46/EG. Die beginselen worden slechts in een aantal opzichten, zoals "Privacy by design", uitgewerkt en verder hoogstens wat gewijzigd. In tegenstelling tot de situatie bij de uitvaardiging van die richtlijn worden de aan verwerking van persoonsgegevens door particuliere en publieke instanties verbonden risico's in de informatiemaatschappij niet meer door "one to one" gebruiksrelaties gekenmerkt. Digitalisering en netwerkkoppeling resulteren eerder in systemen waarin meerdere overheidsinstanties gegevens verwerken, bijvoorbeeld door koppeling van registers en uitwisseling van informatie tussen overheden. |
18. |
Op die manier kunnen de nieuwe problemen nauwelijks nog worden opgelost middels traditionele bipolaire concepten als "de voor de verwerking verantwoordelijke", een "recht om te worden vergeten" en het voor de verhouding tussen staat en burger ontwikkelde verbodsbeginsel van de artikelen 6 en 9 van de ontwerpverordening. Individuele wijzigingen van de bepalingen van Richtlijn 95/46/EG zoals de nieuwe definities van "persoonsgegevens" of "toestemming" werken eerder meer dan minder rechtsonzekerheid in de hand. |
19. |
Mocht de Commissie vasthouden aan haar wens om een verordening in te voeren, dan acht het CvdR het noodzakelijk dat in de verordening wordt verduidelijkt dat een werkgever gegevens kan verwerken op basis van toestemming van de werknemer; hetzelfde geldt voor overheidsinstanties en wel in het kader van zowel de voorgestelde richtlijn als de verordening. De lidstaten kunnen de verwerking van persoonsgegevens van werknemers in het kader van de arbeidsconstellatie in overeenstemming met de verordening bij wet regelen. |
20. |
Daarom, indien het verdere verloop van de wetgevingsprocedure niet in fundamentele verfijningen kan resulteren, moeten de tot nog toe te sterk op administratiefrechtelijke en tevens bipolaire instrumenten als bevelen of sancties geënte uitvoeringsmechanismen nogmaals goed worden overdacht. Juist hier beschikken de lokale en regionale overheden, die immers het dichtst bij de burger staan, over
|
21. |
In dit verband zij erop gewezen dat de taken van de toezichthouders in de ontwerpverordening in wezen op de tweede plaats komen, bijv. in het kader van de algemene voorlichtingsverplichting van artikel 52, lid 2, of de voorschriften betreffende gedragscodes van artikel 38. |
Er moet ruimte voor nationale regelgeving blijven bestaan
22. |
Los van open vragen betreffende de verenigbaarheid van het basisconcept van de verordening met het subsidiariteits- en evenredigheidsbeginsel resulteren ook detailregelingen in conflicterende afbakeningen voor regelgeving door de overheidsinstanties van de lidstaten op het gebied van gegevensverwerking. |
23. |
Het CvdR meent daarom dat de verwerking van persoonsgegevens door overheidsinstanties en arbeidsrechtelijke aspecten middels een richtlijn gereguleerd moeten blijven worden. |
24. |
Daarom is het Comité van mening dat, mocht de Commissie blijven vasthouden aan haar wens om de verordening van toepassing te laten zijn op overheidsinstanties en op arbeidsrechtelijke aspecten,
|
Versterking van democratische verantwoording
25. |
Het Comité vreest dat de verordening ertoe leidt dat de concretisering en verdere uitwerking van de eisen op het gebied van gegevensbescherming uitmonden in procedures die geen uitzicht bieden op transparantie en voldoende democratische legitimatie. Zulks in tegenstelling tot nationale en Europese regelgeving of uitvoering van nationale en Europese voorschriften door parlementair gecontroleerde nationale bestuursorganen. |
26. |
Het is namelijk zo dat de verordening gekenmerkt wordt door zeer abstracte voorschriften voor bindende, uniforme en sanctioneerbare verplichtingen op een cruciaal gebied voor de handhaving van grondrechten. Maar reeds vandaag de dag is sprake van een nauwelijks te overziene waaier van concrete gevallen, die variëren van particuliere adressenlijsten en bevolkingsregisters tot databanken van sociale netwerken en zoekmachines. De in wezen onvermijdelijke leemten betreffende duidelijkheid van bepalingen, rechtszekerheid en uitvoerbaarheid zouden opgevuld worden door gedelegeerde handelingen waartoe de Commissie in ruime mate is gemachtigd. Die betreffen vaak cruciale elementen van het voorstel (zie bijv. artikel 6, lid 5). Daar komt nog bij dat de onafhankelijke toezichthouders veel meer dan de klassieke uitvoeringsbevoegdheden krijgen om op basis van algemene richtsnoeren de verordening in concreto te interpreteren en algemene regelingen uit te vaardigen. Maar daarbij zijn zij omwille van de conformiteitstoetsing wel onderworpen aan de veel te ruime invloed van de Commissie, die hun door artikel 16, lid 2, van het VWEU gegarandeerde onafhankelijkheid op losse schroeven stelt. |
27. |
Daarom moeten de mechanismen voor de deelname van de Commissie aan de conformiteitstoetsing grondig worden herzien om de onafhankelijkheid en met name de bevoegdheden van de toezichthouders voor gegevensbescherming veilig te stellen (zie de artikelen 60 en 62, lid 1, onder a, van het voorstel. Verder moet ook de passage "ernstig twijfelt" (basis waarop de Commissie optreedt) fundamenteel worden veranderd. |
28. |
Het is goed dat wordt voorgesteld de lidstaten, of in voorkomend geval de regio's, een grotere beslissingsmarge toe te kennen, zodat ze, met inachtneming van de nationale wetgeving, de algemene voorwaarden kunnen bepalen die van toepassing zijn op de leden van de toezichthoudende autoriteit, teneinde hun onafhankelijkheid in de uitoefening van hun functies te waarborgen. |
29. |
Bovendien vindt het Comité dat de ook door het HvJ erkende instrumenten voor de regeling van de onafhankelijke toezichthouders, bijv. via verslagen en andere regelmatige raadplegingsprocedures, met wetgevende organen moeten worden uitgebreid. Zulks om ook de Raad, het Europees Parlement en het CvdR in het kader van zijn recht op betrokkenheid regelmatig een overzicht te verschaffen over de tenuitvoerlegging van het Europese gegevensbeschermingsrecht en de mogelijkheid te geven om initiatieven voor de verdere ontwikkeling van dat recht in te leiden. Verder zouden de toezichthouders en het Europees comité voor gegevensbescherming, overeenkomstig het beginsel van het recht gehoord te worden, via een aanvullende procedurele regeling verplicht moeten worden om de door fundamentele besluiten (bijv. ex artikel 58, lid 2, van de verordening) geraakte verenigingen en belangenvertegenwoordigers bijv. via hoorzittingen en raadplegingen bij een transparant proces voor de concretisering en verder uitwerking van het gegevensbescherminghsrecht te betrekken. |
Grenzen voor de harmonisering: gegevensbescherming bij politie en justitie
30. |
Het Comité betwijfelt of de EU wel bevoegd is om via de richtlijn voor politie en justitie voorschriften uit te vaardigen voor zuiver binnenlandse gegevensverwerking en of dat, gegeven het subsidiariteits- en evenredigheidsbeginsel, eigenlijk wel moet. Afgezien van bestrijding van terrorisme, georganiseerde misdaad en computercriminaliteit houden de politie en de vervolgingsautoriteiten nog steeds grote gegevensbestanden aan die uitsluitend op nationaal niveau worden verwerkt en daarom geen Europese beschermingsregeling vergen. Daarnaast hebben beschermingsregelingen een direct effect op de verdere regelingen betreffende de politie en het formeel strafrecht. Dat zou harmonisatie onontkoombaar maken, maar daarvoor zijn de bevoegdheden van de Unie ontoereikend. |
31. |
Het is verbazingwekkend dat met name Europese instellingen en organen als Eurojust en Europol buiten de reikwijdte van de richtlijn zijn gelaten. |
32. |
Het verzoekt om, los van deze voorbehouden, verderop in de wetgevingsprocedure te onderzoeken
|
33. |
Het Comité behoudt zich het recht voor om een verder advies met bijzonder concrete wijzigingsvoorstellen uit te brengen zodra de standpunten van Raad en EP over de hier opgeworpen vragen tijdens het verdere verloop van de wetgevingsprocedure bekend zullen zijn. |
II AANBEVELINGEN VOOR WIJZIGINGSVOORSTELLEN
Wijzigingsvoorstel 1
Artikel 36
Ontwerpadvies |
Wijzigingsvoorstel |
||||
In afwijking van de artikelen 34 en 35 bepalen de lidstaten dat een doorgifte van persoonsgegevens naar een derde land of een internationale organisatie slechts kan plaatsvinden op voorwaarde dat: |
In afwijking van de artikelen 34 en 35 bepalen de lidstaten dat een doorgifte van persoonsgegevens naar een derde land of een internationale organisatie slechts kan plaatsvinden op voorwaarde dat: |
||||
|
|
||||
|
|
||||
|
|
||||
|
|
||||
|
|
||||
|
Motivering
"Noodzakelijk" is veel te vaag en laat alle ruimte voor afwijkingen, hetgeen met de strekking van het artikel strijdt.
Wijzigingsvoorstel 2
Artikel 86, lid 6
Ontwerpadvies |
Wijzigingsvoorstel |
|
Motivering
Dit is een vitale waarborg.
Brussel, 10 oktober 2012
De voorzitter van het Comité van de Regio's
Ramón Luis VALCÁRCEL SISO