34 670 EU-voorstel: E-privacyverordening COM (2017) 101

C BRIEF VAN HET LID VAN DE EUROPESE COMMISSIE, DE HEER J. KING

Aan de voorzitters van de vaste commissies voor:

  • Immigratie en Asiel / JBZ-Raad

  • Veiligheid en Justitie

  • voor Economische Zaken

kopie: de Voorzitter van de Eerste Kamer der Staten-Generaal

Brussel, 27 juli 2017

De commissie dankt de Eerste Kamer voor haar advies over het voorstel van de Commissie voor een verordening met betrekking tot de eerbiediging van het privéleven en de bescherming van persoonsgegevens in elektronische communicatie (COM(2017) 10 final).

Het bovengenoemde voorstel is door de Commissie aangenomen in liet kader van de herziening van de ePrivacy-richtlijn (Richtlijn 2002/58/EG)2, die was aangekondigd in de strategie voor een digitale eengemaakte markt3. Deze herziening kon pas van start gaan nadat een politiek akkoord was bereikt over de nieuwe algemene EU-voorschriften inzake de bescherming van persoonsgegevens als vastgesteld in Verordening (EU) 2016/6794 (algemene verordening gegevensbescherming).

De bepalingen van de richtlijn zijn geëvalueerd5 in het kader van het programma voor gezonde en resultaatgerichte regelgeving (Refit) en bleken nog steeds relevant te zijn voor het bereiken van het beoogde doel, namelijk de privacy en de vertrouwelijkheid hij elektronische communicatie te waarborgen. Uit deze evaluatie kwam echter ook naar voren dat de voorschriften van de richtlijn niet meer toepasselijk zijn, gezien de ontwikkelingen die zich op technologisch en wetgevingsgebied en op de markt hebben voorgedaan.

De herziening van de ePrivacy-richtlijn was bovendien noodzakelijk voor de vaststelling van de algemene verordening gegevensbescherming, en wel om volledige consistentie tussen beide instrumenten te garanderen en onderlinge overlappingen te voorkomen. Dit voorstel dient bijgevolg te worden beschouwd als een lex specialis die de algemene verordening gegevensbescherming preciseert en aanvult wat betreft elektronische-communicatiegegevens die als persoonsgegevens worden aangemerkt. Alles wat te maken heeft met de verwerking van persoonsgegevens en niet uitdrukkelijk in het voorstel wordt behandeld, valt onder de algemene verordening gegevensbescherming.

Op de steeds transnationaler wordende markt voor elektronische communicatie bieden de e-privacyregels volgens de evaluatie nog steeds een meerwaarde op het niveau van de Europese Unie.

Voor de duidelijkheid brengen wij de voornaamste voorgestelde wijzigingen nogmaals in herinnering. 1) Het toepassingsgebied wordt uitgebreid met over-the-topdienstaanbieders. 2) Communicatiemetagegevens mogen worden verwerkt voor andere specifieke doeleinden dan die van diensten met toegevoegde waarde, om zo ondernemingskansen te creëren. 3) Voor de toegang tot of opslag van informatie in eindapparatuur mag worden afgeweken van de toestemmingsvereiste, mits die toegang of opslag nodig is om de aanbieder van de door de eindgebruiker aangevraagde dienst van de informatiemaatschappij in de gelegenheid te stellen de omvang van het publiek van een website te meten. 4) Aanbieders van software die elektronische communicatie mogelijk maakt, moeten in hun software de eindgebruikers de optie aanbieden derden te verhinderen informatie in de eindapparatuur op te slaan of zich toegang tot die informatie te verschaffen, en de eindgebruikers ertoe verplichten om bij de installatie van software een privacy-instelling te kiezen.

De Commissie is ervan overtuigd dat dankzij de voorgestelde wijzigingen de privacy van de eindgebruikers beter wordt beschermd, het vertrouwen in digitale diensten zal toenemen en bedrijven de kans krijgen om ten volle deel te nemen aan en optimaal voordeel te halen uit de eengemaakte digitale markt.

De Commissie stelt de vragen en opmerkingen van de leden van de Eerste Kamer bijzonder op prijs en grijpt deze gaarne aan om haar voorstel te verduidelijken en aldus de bezorgdheid van de Eerste Kamer weg te nemen. Dit voorstel doorloopt momenteel het wetgevingsproces in het Europees Parlement en de Raad. De Commissie zal in dit verband rekening houden met de standpunten van de Eerste Kamer in dit verband.

Voor de antwoorden op de specifieke vragen en opmerkingen in het advies verwijst de Commissie de Eerste Kamer naar de bijlage. De opmerkingen in de bijlage hebben betrekking op het oorspronkelijke voorstel van de Commissie.

De Commissie hoopt dat de vragen van de Eerste Kamer met de verduidelijkingen in deze brief zijn beantwoord en kijkt ernaar uit de politieke dialoog in de toekomst voort te zetten.

Lid van de Europese Commissie, Julian King

BIJLAGE

De Commissie heeft de punten die de Eerste Kamer in haar advies aan de orde stelt, zorgvuldig bestudeerd en wenst de volgende opmerkingen onder de aandacht te brengen, gegroepeerd per onderwerp.

1. Artikel 10, lid 1 – Te verstrekken informatie en opties voor privacyinstellingen

Overeenkomstig het voorstel van de Commissie moet software die in de handel wordt gebracht om elektronische communicatie mogelijk te maken, de optie bieden om derden te verhinderen informatie in de eindapparatuur op te slaan of reeds op die eindapparatuur opgeslagen informatie te verwerken. Bij de installatie van de software moet de eindgebruiker bovendien door de software worden geïnformeerd over de opties in de privacyinstellingen, en ertoe worden verplicht een instelling te aanvaarden. Voor de opslag van cookies van derden of andere identificatie-elementen is toestemming vereist overeenkomstig de desbetreffende voorwaarden in de algemene verordening gegevensbescherming. De voorgestelde regels moeten een oplossing bieden voor de «toestemmingsmoeheid» die naar verluidt veroorzaakt is door de tenuitvoerlegging van de huidige richtlijn. Bovendien zullen ze de transparantie versterken en de gebruiker meer controle geven over het gebruik van (permanente,) identificatie-elementen. Ook in een volledig transparante omgeving met neutraal gepresenteerde privacyinstellingen zullen sommige mensen er bezwaar tegen hebben dat derden informatie in hun eindapparatuur opslaan, terwijl anderen daar misschien mee willen instemmen, bijvoorbeeld om gepersonaliseerde advertenties te kunnen ontvangen. Overweging 24 verduidelijkt in dit verband dat «de verstrekte informatie eindgebruikers er niet van mag weerhouden de hogere privacyinstellingen te selecteren en relevante informatie moet bieden over de risico ‘s die verbonden zijn aan de optie om opslag van cookies van derden in de computer toe te staan«

De Commissie is van oordeel dat het voorstel, aldus toegelicht, een adequate oplossing biedt voor de problemen die in verband met het huidige regelgevingskader zijn geconstateerd.

2. Rechtsmiddelen

De Eerste Kamer vraagt zich af waarom niet wordt verwezen naar de mogelijkheid voor (non-profit) organisaties om een klacht in te dienen bij de toezichthouder of naar de rechter te stappen. Deze kwestie moet worden bezien in het licht van artikel 80 van de algemene verordening gegevensbescherming. Een van de belangrijkste doelstellingen van de herziening was het waarborgen van volledige coherentie en consistentie tussen de algemene verordening gegevensbescherming en dit voorstel. De totstandbrenging van een degelijk rechtskader voor gegevens- en privacybescherming in de Unie is van essentieel belang. Met het oog daarop is specifiek verwezen naar de bepalingen van de algemene verordening gegevensbescherming inzake onafhankelijke toezichthoudende autoriteiten en handhaving van het voorstel, om ervoor te zorgen dat de regels betreffende de taken en bevoegdheden van de toezichthoudende autoriteiten volledig van toepassing zijn ten aanzien van de eindgebruikers. Krachtens artikel 21 van het voorstel hebben de eindgebruikers dezelfde rechtsmiddelen als bedoeld in de artikelen 77, 78 en 79 van de algemene verordening gegevensbescherming. Hoewel niet wordt verwezen naar artikel 80 van de algemene verordening gegevensbescherming, is het recht dat bij dat artikel wordt verleend, toch van toepassing op eindgebruikers die natuurlijke personen zijn. aangezien de voorgestelde verordening de algemene verordening gegevensbescherming preciseert en aanvult. Zoals wordt gesteld in overweging 5, leidt de voorgestelde verordening niet tot een lager niveau van bescherming van natuurlijke personen in de zin van de algemene verordening gegevensbescherming. De wijze waarop de in artikel 80 van de algemene verordening gegevensbescherming bedoelde rechten ook in het kader van deze verordening worden toegepast, zou verder kunnen worden verduidelijkt in de artikelen, indien dit noodzakelijk wordt geacht. De Commissie zal nauwlettend toezien op de samenhang tussen de hierboven genoemde instrumenten.

3. Artikel 8, lid 1 – In verband met het observeren van het gedrag van de consument

Met betrekking tot de vraag van de Eerste Kamer over een eventueel recht voor de consument om zijn gedrag niet in kaart te laten brengen, alleszins niet ten aanzien van overheidsinstellingen, verwijst de Commissie naar artikel 8, lid 1, onder b), van het voorstel.

Als een overheidswebsite bijvoorbeeld cookies of andere identificatie-elementen zou gebruiken om het onlinegedrag van consumenten te volgen, is krachtens artikel 8, lid 1, onder b), toestemming vereist voor de opslag van deze elementen. Wat precies onder «toestemming» wordt verstaan, is gedefinieerd in artikel 4, punt 11, en is nader omschreven in artikel 7 van de algemene verordening gegevensbescherming. De betrokkene moet zijn toestemming vrijelijk geven en zijn wensen op specifieke, geïnformeerde en ondubbelzinnige wijze kenbaar maken. De bevoegde nationale autoriteiten en het Europees Comité voor gegevensbescherming moeten per geval aan de hand van alle relevante factoren – zoals wie de website aanbiedt en of er alternatieven beschikbaar zijn – beoordelen of de toestemming voor de opslag van cookies vrijelijk is gegeven en kan worden ingetrokken zonder nadelige gevolgen voor de eindgebruiker.

4. Verband tussen het voorstel en de algemene verordening gegevensbescherming

De Commissie bevestigt dat het beschermingsniveau dat natuurlijke personen op grond van de algemene verordening gegevensbescherming genieten, niet wordt verlaagd door de voorgestelde verordening. De herziening van Richtlijn 2002/58/EG had juist onder meer tot doel om een hoog niveau van bescherming voor alle consumenten in de hele Unie te waarborgen – zoals aangekondigd in de strategie voor een digitale eengemaakte markt – en een coherent gegevensbeschermingskader tot stand te brengen. Zoals bepaald in artikel 1, lid 3, van het voorstel, dient deze verordening te worden beschouwd als een lex specialis die de algemene verordening gegevensbescherming preciseert en aanvult wat betreft elektronische-communicatiegegevens die als persoonsgegevens worden aangemerkt. Alles wat te maken heeft met de verwerking van persoonsgegevens en niet uitdrukkelijk in het voorstel wordt behandeld, valt onder de algemene verordening gegevensbescherming.

5. Artikel 8, lid 2 – Verzameling van gegevens afkomstig van eindapparatuur

Overeenkomstig het verband tussen lex generalis en lex specialis voorziet artikel 8, lid 2, van de voorgestelde verordening in bescherming bovenop de bescherming die wordt geboden door de algemene verordening gegevensbescherming. Dit betekent dat het verzamelen van gegevens uit eindapparatuur om een aansluiting op andere apparatuur en/of netwerkuitrusting mogelijk te maken, verboden is, tenzij in de gevallen als beschreven in artikel 8, lid 2, van de voorgestelde verordening, bijvoorbeeld wanneer een duidelijk en zichtbaar bericht is aangebracht. Voorts moeten gegevens die persoonsgegevens zijn, worden verwerkt overeenkomstig de algemene verordening gegevensbescherming: daarbij gaat het onder meer om de in artikel 5 vervatte beginselen inzake verwerking van persoonsgegevens, zoals minimale gegevensverwerking, integriteit, vertrouwelijkheid en opslagbeperking. De verwerkingsverantwoordelijke moet bovendien voldoen aan de algemene verplichtingen van hoofdstuk IV van de algemene verordening gegevensbescherming.

6. Artikel 6 – Toegestane verwerking van elektronische-communicatiegegevens

De Eerste Kamer wil weten waarom de voorschriften voor de verwerking van communicatiemetagegevens en communicatie-inhoud van elkaar verschillen, meer bepaald wat de toestemming van de betrokken eindgebruikers betreft in het kader van artikel 6, lid 2, onder c), en artikel 6, lid 3, onder b). Krachtens artikel 6, lid 3, onder b), moeten alle betrokken eindgebruikers hun toestemming geven voor de verwerking van hun elektronische-communicatie-inhoud. De in artikel 6, lid 2, onder c), opgenomen bepaling over het verwerken van communicatiemetagegevens mits de eindgebruiker daarvoor toestemming geeft, strookt met de geest van Richtlijn 2002/58/EG (e-privacyrichtlijn, en de bestaande praktijk. Wat het door de Eerste Kamer aangehaalde voorbeeld van e-mailverkeer betreft, zou de aanbieder van de elektronische-communicatiediensten van elke eindgebruiker toestemming moeten krijgen voor de verwerking van op die gebruiker betrekking hebbende metagegevens. De wijze waarop met communicatie-inhoud wordt omgegaan, raakt aan de essentie van het grondrecht op eerbiediging van communicatie zoals beschermd door artikel 7 van het Handvest van de grondrechten van de Europese Unie6. Daarom gaat deze verordening ervan uit dat de verwerking van communicatie-inhoud voor een specifiek doel dat geen verband houdt met de gebruiker, een hoog risico oplevert, en raadpleging van de toezichthoudende autoriteiten is daarom altijd vereist in de situaties bedoeld in artikel 6, lid 3, onder b). De Commissie wijst erop dat aangezien communicatiemetagegevens gevoelige en persoonlijke informatie aan het licht kunnen brengen, overeenkomstig artikel 35 van de algemene verordening gegevensbescherming een effectbeoordeling inzake gegevensbescherming moet worden verricht wanneer de in artikel 6, lid 2, onder c), van het voorstel bedoelde verwerking van die metagegevens een hoog risico kan opleveren voor de rechten en vrijheden van eindgebruikers. Krachtens artikel 36 van de algemene verordening gegevensbescherming moet de verwerkingsverantwoordelijke voorafgaand aan de verwerking de toezichthoudende autoriteit raadplegen wanneer uit een gegevensbeschermingseffectbeoordeling krachtens artikel 35 blijkt dat de verwerking een hoog risico zou opleveren indien de verwerkingsverantwoordelijke geen maatregelen neemt om het risico te beperken. Het verschil met artikel 6, lid 3, onder b), van het voorstel is dat voor de verwerking van communicatiemetadata in het kader van 6, lid 2, onder c) niet is vastgesteld dat er sprake moet zijn van een vermoed hoog risico.


X Noot
1

Zie dossier E170003 op www.europapoort.nl.

X Noot
2

Richtlijn 2002/58/EG van het Europees Parlement en de Raad van 12 juli 2002 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie (richtlijn betreffende privacy en elektronische communicatie) (PB L 201 van 31.7.2002, blz. 37).

X Noot
3

Mededeling van de Commissie aan het Europees Parlement, de Raad, liet Europees Economisch en Sociaal Comité en het Comité van de Regio’s -Strategie voor een digitale eengemaakte markt voor Europa (COM(2015) 192 final).

X Noot
4

Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het Vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming) (PB L 119 van 4.5.2016, blz. 1).

X Noot
5

De evaluatie is aangekondigd in bijlage III bij het werkprogramma van de Commissie van 2015 (COM(2014) 910 final).

X Noot
6

Zie gevoegde zaken C-293/12 en C-594/12, Digital Rights Ireland en Seitlinger en andere, ECLI:EU:C:2014:238, punt 39; gevoegde zaken C-203/15 en C-698/15, Tele2 Sverige AB en Secretary of State for the Home Department, ECLI:EU:C:20 16:970, punt 101.

Naar boven