Kamerstuk
Datum publicatie | Organisatie | Vergaderjaar | Dossier- en ondernummer |
---|---|---|---|
Tweede Kamer der Staten-Generaal | 2011-2012 | 32761 nr. 32 |
Zoals vergunningen, bouwplannen en lokale regelgeving.
Adressen en contactpersonen van overheidsorganisaties.
U bent hier:
Datum publicatie | Organisatie | Vergaderjaar | Dossier- en ondernummer |
---|---|---|---|
Tweede Kamer der Staten-Generaal | 2011-2012 | 32761 nr. 32 |
Aan de Voorzitter van de Tweede Kamer der Staten-Generaal
Den Haag, 28 juni 2012
Bij brief van 22 mei 2012 heeft de Voorzitter van de Tweede Kamer der Staten-Generaal op de voet van artikel 21a, eerste lid, van de Wet op de Raad van State aan de Afdeling advisering van de Raad van State gevraagd haar van voorlichting te dienen inzake de voorstellen van de Europese Commissie die strekken tot de herziening van het Europese regelgevend kader inzake verwerking en bescherming van persoonsgegevens.
De Europese Commissie heeft op 25 januari jl. twee voorstellen gepresenteerd die strekken tot herziening van de regels voor de bescherming van persoonsgegevens binnen de Europese Unie. Het eerste voorstel betreft een verordening over de bescherming van personen met betrekking tot de verwerking van persoonsgegevens en het vrije verkeer van dergelijke gegevens.1 Deze verordening vervangt de huidige Richtlijn 95/46/EG die in Nederland geïmplementeerd is in de Wet bescherming persoonsgegevens (hierna: Wbp). Het tweede voorstel betreft een richtlijn over de bescherming van personen met betrekking tot de verwerking van persoonsgegevens door de bevoegde autoriteiten ten behoeve van de voorkoming, het onderzoek, de ontdekking of de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en het vrije verkeer van dergelijke gegevens.2 Deze richtlijn vervangt het huidige Kaderbesluit 2008/977/JBZ, dat is geïmplementeerd in de Wet politiegegevens en de Wet strafvorderlijke en justitiële gegevens.
Naar aanleiding van de voorstellen van de Europese Commissie heeft de Tweede Kamer een parlementair behandelvoorbehoud geplaatst. Tijdens het Algemeen Overleg van 7 maart 20123 heeft een eerste gedachtewisseling plaatsgevonden tussen regering en Tweede Kamer en zijn procedurele afspraken gemaakt over de informatievoorziening aan de Kamer gedurende het Europese besluitvormingsproces. De Voorzitter van de Tweede Kamer heeft op 22 mei 2012 op verzoek van de vaste commissie voor Veiligheid en Justitie de Afdeling advisering van de Raad van State op grond van artikel 21a, eerste lid, van de Wet op de Raad van State, om voorlichting gevraagd over bepaalde aspecten van beide voorstellen. (Kamerstukken 32 761, nr. 28) De Voorzitter van de Tweede Kamer heeft een vijftal vragen aan de Afdeling voorgelegd. Het voorlichtingsverzoek kan worden geplaatst in de context van een toenemende betrokkenheid van nationale parlementen bij de totstandkoming van Europese wetgeving.4 Sinds de inwerkingtreding van het Verdrag van Lissabon in 2009 is een bepaling opgenomen waarin de rol van nationale parlementen in de Europese Unie nader wordt omschreven. Daarbij behoort de beoordeling van de subsidiariteit van EU-regelgeving tot één van de taken van de nationale parlementen.5 Een vroegtijdige betrokkenheid van een van de of beide Kamers bij de totstandkoming van Europese wetgeving in bepaalde gevallen is erop gericht om de regering tijdig kennis te kunnen laten nemen van de gevoelens van de Kamers opdat zij daarmee tijdens de besprekingen in EU-verband rekening kan houden6.
Sinds de inwerkingtreding van het Verdrag van Lissabon en vervolgens van de gewijzigde Wet op de Raad van State is het de eerste maal dat de Afdeling advisering op verzoek van de Tweede Kamer voorlichting uitbrengt over EU-ontwerpwetgeving. Het betreft complexe en ingrijpende voorstellen op een maatschappelijk en constitutioneel belangrijk terrein. De Afdeling heeft daarin aanleiding gezien om in dit geval de voorstellen diepgaand te analyseren als grondslag van de beantwoording van de gestelde voorlichtingsvragen.
Het verzoek om voorlichting is gericht op Europese ontwerpregelgeving, die na vaststelling in EU-verband (deels) geïmplementeerd moet worden in nationale regelgeving. Voorop staat dat de (Afdeling advisering van de) Raad van State ingevolge de Grondwet de plicht heeft om de regering en de beide kamers der Staten-Generaal van advies te dienen over voorstellen van wet. Dit impliceert dat de Afdeling zich in een voorlichting als de onderhavige terughoudend zal opstellen ten aanzien van kwesties die raken aan keuzes die aan de orde kunnen komen in het nationale wetgevingsproces dat volgt op de vaststelling van Europese wetgeving.
De voorstellen vormen tezamen een omvangrijk wetgevingspakket, deels uitgewerkt in gedetailleerde regels. Op dit moment wordt over beide voorstellen in EU-verband onderhandeld en dientengevolge zullen de voorstellen vermoedelijk in de loop van de tijd nog worden aangepast. Voorts is van belang dat een substantiële toelichting op de voorgestelde bepalingen niet voorhanden is zodat op dit moment nog onzeker is hoe de bepalingen – ook als het gaat om de hoofdlijnen – moeten worden uitgelegd. Voor zover de Afdeling standpunten over de ontwerpverordening en -richtlijn naar voren brengt, zien deze uitsluitend op deze voorstellen in dit ontwerpstadium. Zij kunnen niet worden geïnterpreteerd als vooruitlopend op de wetgevingsadvisering die in een later stadium bij de uitvoering en omzetting van eenmaal op Europees niveau tot stand gebrachte regelgeving zal plaatsvinden.
De Afdeling beperkt zich in deel I van deze voorlichting tot een korte beschouwing over de belangrijkste gevolgen van de nieuwe voorstellen. Voorts zal in deel I in samenvattende zin antwoord worden gegeven op de voorlichtingsvragen. Deel II van de voorlichting bevat een uitvoeriger analyse van de beide voorstellen waarin de beantwoording van de voorlichtingsvragen nader wordt uitgewerkt en toegelicht. Bij de beschouwingen en antwoorden in deel I wordt telkens doorverwezen naar de corresponderende paragrafen uit de analyse in deel II.
De wens van de Tweede Kamer die aan de voorlichtingsvragen ten grondslag ligt is, zo begrijpt de Afdeling, het verkrijgen van inzicht in de consequenties van de voorliggende ontwerpverordening en ontwerprichtlijn voor de lidstaten, in het bijzonder voor Nederland. De belangrijkste veranderingen vloeien voort uit de ontwerpverordening. Een belangrijke consequentie is naar het oordeel van de Afdeling in de eerste plaats de verschuiving in de bevoegdheidsverdeling tussen de lidstaten en de Europese Unie. De nadruk komt veel sterker dan voorheen te liggen op de bevoegdheden van de Europese Unie. Deze verschuiving manifesteert zich niet alleen in de keuze voor een verordening in plaats van een richtlijn maar met name ook in de ruime toekenning van bevoegdheden aan de Europese Commissie en in een versterkt Europees toezicht. Het toezicht wordt meer dan nu het geval is in handen gelegd van het uit de nationale toezichthouders bestaande Europees Comité voor de gegevensbescherming en de Europese Commissie.
Het is in dit stadium moeilijk te bepalen tot welk eindresultaat de voorgestelde bevoegdheidsverschuiving exact zal leiden. De ontwerpverordening kan leiden tot een uniformere en coherente regeling van de bescherming van persoonsgegevens. Op de noodzaak van een dergelijke regeling die moet leiden tot meer rechtszekerheid en een gelijk speelveld binnen de Europese Unie, hebben ook betrokken economische actoren gewezen. Het gevolg hiervan is echter wel dat indien de verordening wordt uitgevoerd zoals beoogd, op het maatschappelijk en constitutioneel belangrijke gebied van de bescherming van persoonsgegevens de nationale beleidsruimte van de lidstaten in vergelijking tot de huidige situatie aanzienlijk zal worden ingeperkt. Op de rechtsgrondslag van artikel 16 VWEU zal de invulling van het grondrecht op bescherming van persoonsgegevens, ook in relatie tot andere grondrechten, voornamelijk plaatsvinden op Europees niveau. Dezelfde verschuiving naar Europees niveau zal gelden voor toekomstige wijzigingen van de verordening, in welke zin dan ook. De verordening, die anders dan een richtlijn rechtstreeks toepasselijk is, zal dan ook ingrijpende gevolgen hebben voor de nationale wetgeving. De Wbp zal grotendeels komen te vervallen en een groot aantal bepalingen uit de bijzondere wetgeving zal vermoedelijk moeten worden geschrapt. [Zie § 2.2. tot en met 2.4. en § 7 van deel II]
Een tweede belangrijk gevolg van de ontwerpverordening betreft de doelstelling van de Europese Commissie om de wetgeving in overeenstemming te brengen met technologische ontwikkelingen. Daartoe worden de rechten van de betrokkene uitgebreid en de verplichtingen van de voor de verwerking verantwoordelijken versterkt. De Afdeling onderschrijft de hiervoor genoemde doelstelling. De voortschrijdende technologische ontwikkelingen dwingen de wetgever nader te bezien in hoeverre de bestaande regels nog voldoende bescherming bieden en voor zover dat niet het geval is de wetgeving aan te passen. Tegelijkertijd dient te worden gewaakt voor te hooggespannen verwachtingen. Naar het oordeel van de Afdeling dienen de voorgestelde nieuwe rechten in de ontwerpverordening inhoudelijk nauwkeuriger te worden omschreven om daadwerkelijk toegevoegde waarde te kunnen hebben. Voorts merkt de Afdeling op dat tegenover de lastenverlichting die voortvloeit uit de afschaffing van de meldingsplicht, aanzienlijke lastenverzwaringen voor de verantwoordelijken in de ontwerpverordening besloten liggen. Aandacht verdient de vraag in hoeverre het op zichzelf terechte uitgangspunt dat primair de verantwoordelijke moet kunnen worden aangesproken op de bescherming van persoonsgegevens die door hem worden verwerkt, de aard en de omvang van de voorgestelde verplichtingen van de verantwoordelijken rechtvaardigt [Zie § 4.3. en 4.4. van deel II].
Mede in het licht van het voorgaande komt de Afdeling tot de volgende antwoorden op de gestelde vragen.
1.
Hoe verhouden de ontwerpverordening en de ontwerprichtlijn zich tot elkaar, tot de rechtsgrondslag van artikel 16 van het Verdrag betreffende de werking van de Europese Unie (VWEU), tot de grondrechten zoals onder meer vastgelegd in het Handvest van de grondrechten van de Europese Unie en tot de zogenaamde e-privacyrichtlijn (Richtlijn 2002/58/EG betreffende privacy en elektronische communicatie)?
a. De Afdeling is van oordeel dat de keuze voor twee afzonderlijke instrumenten – een verordening en een richtlijn – op grond van artikel 16 VWEU mogelijk is. De wettelijke taken van politie en justitie dragen zodanig bijzondere kenmerken dat aanleiding bestaat voor een afzonderlijk instrument. Een bijzonder regime voor politie en justitie sluit ook aan bij de bestaande Nederlandse wetgeving. Mede gelet op de gemeenschappelijke rechtsgrondslag voor zowel de verordening als de richtlijn dienen de verschillen in beschermingsniveau tussen de beide regelingen echter wel zo veel mogelijk beperkt te worden. [Zie § 2.1. van deel II]
b. De Afdeling merkt op dat de ontwerpverordening en de ontwerprichtlijn de verhouding tussen het recht op bescherming van persoonsgegevens en enkele andere grondrechten regelen. De Afdeling vraagt aandacht voor enkele bepalingen in de ontwerpverordening en in de ontwerprichtlijn met betrekking tot de verhouding tot de vrijheid van meningsuiting, het verbod op discriminatie, de rechten van het kind en de vrijheid van godsdienst, meer in het bijzonder de positie van kerkgenootschappen. Zij is van oordeel dat de ontwerpverordening en de ontwerprichtlijn deels aanpassing behoeven. [Zie § 5 van deel II]
c. Naast de verordening zelf zijn aanvullende regels voor een specifiek gebied mogelijk, ook als dit specifieke gebied binnen de reikwijdte van de verordening valt. De e-privacy richtlijn (Richtlijn 2002/58/EG betreffende privacy en elektronische communicatie) is aanvullend bedoeld ten opzichte van de ontwerpverordening. In de artikelen 88 en 89 van de ontwerpverordening wordt de verhouding tot de e-privacy richtlijn geregeld. Met deze bepalingen wordt de e-privacyrichtlijn met de ontwerpverordening in overeenstemming gebracht. [Zie § 2.1. van deel II]
2.
Wat zijn de belangrijkste verschillen in reikwijdte en beschermingsniveau tussen de bestaande nationale, Europese en internationale regelgeving op het gebied van de bescherming van persoonsgegevens en de ontwerpverordening en de ontwerprichtlijn?
a. In een aantal opzichten wordt de bescherming van persoonsgegevens door de ontwerpverordening versterkt. Deze versterking kan niet los worden gezien van de wijziging van het constitutionele kader dat aan de ontwerpverordening en de ontwerprichtlijn ten grondslag ligt. De verankering van het recht op bescherming van persoonsgegevens en een aantal daarmee samenhangende beginselen in artikel 8 EU-Handvest en in artikel 16 VWEU betekent dat de nieuwe ontwerpverordening en ontwerprichtlijn niet buiten de kaders van deze beginselen mogen treden. Tegelijkertijd betekenen deze ontwikkelingen ook dat de ruimte voor de lidstaten om terzake van het recht op bescherming van persoonsgegevens eigen afwegingen te maken, beperkter is dan voorheen. De ontwerpverordening zal dat effect nog aanzienlijk versterken. [Zie § 4.1. van deel II]
b. De ontwerpverordening is veel uitgebreider dan de huidige Richtlijn 95/46. In de ontwerpverordening wordt een aantal nieuwe onderwerpen geregeld terwijl de thans al in Richtlijn 95/46 geregelde thema’s in de ontwerpverordening ongewijzigd blijven dan wel terugkeren in de vorm van een gedetailleerdere regeling. Belangrijke wijzigingen betreffen met name:
– een afzwakking van het doelbindingsbeginsel;
– een uitbreiding van de rechten van de betrokkene;
– een uitbreiding van de verplichtingen van de verantwoordelijken;
– een versterkt systeem van Europees toezicht en handhaving.
Voor een overzicht zij overigens verwezen naar bijlage 1 waarin de verschillen tussen de ontwerpverordening en de huidige Richtlijn 95/46 zijn opgesomd. [Zie § 4.2. tot en met 4.4. en § 7 van deel II; zie ook hierna het antwoord op vraag 5]
c. Het belangrijkste verschil tussen het Kaderbesluit 2008/977 en de ontwerp-richtlijn is dat de laatste anders dan Kaderbesluit 2008/977 ook betrekking heeft op de verwerking van politiële en justitiële gegevens die uitsluitend binnen een en dezelfde lidstaat plaatsvindt. Dit heeft geen gevolgen voor de Nederlandse rechtsorde, omdat de Wpg en Wjsg dezelfde normen voor binnenlandse gegevensverwerking al bevatten. Voor een overzicht zij overigens verwezen naar bijlage 2 waarin de verschillen tussen de ontwerprichtlijn en het huidige Kaderbesluit 2008/977 zijn opgesomd. [Zie § 4.1. van deel II]
3.
Houdt het huidige beschermingsniveau ten aanzien van uitwisseling van persoonsgegevens met derde landen stand bij de voorgestelde ontwerpverordening en de ontwerprichtlijn?
De bepalingen over de voorwaarden waaronder persoonsgegevens kunnen worden doorgegeven naar een derde land vormen in belangrijke mate een voortzetting van de bestaande regelgeving gebaseerd op Richtlijn 95/46. Op grond van de voorgestelde teksten moet voorshands worden aangenomen dat het huidige beschermingsniveau van Richtlijn 95/46 in de verordening zal worden gehandhaafd. Wel bevat de regeling in de ontwerpverordening op bepaalde punten een nadere specificatie ten opzichte van de geldende regels. Bijzondere aandacht vergt de verhouding met bestaande internationale overeenkomsten en de formulering van bepaalde uitzonderingen op grond waarvan gegevens kunnen worden doorgegeven aan een derde land waarvoor de Commissie geen passend beschermingsniveau heeft vastgesteld. [Zie § 6 van deel II]
4.
Hoe verhoudt de in de ontwerpverordening en de in de ontwerprichtlijn voorgestelde delegatie van bevoegdheden aan de Europese Commissie zich tot de artikelen 290 en 291 VWEU?
a. Op grond van artikel 290, eerste lid, VWEU kan aan de Commissie de bevoegdheid worden overgedragen om via gedelegeerde handelingen bepaalde niet-essentiële onderdelen van een ontwerpverordening of -richtlijn aan te vullen of te wijzigen. In een aantal van deze gevallen is sprake van een zeer ruime uitleg van «niet-essentiële onderdelen» van de ontwerpverordening. De Afdeling is er niet op voorhand van overtuigd dat de bevoegdheidsdelegatie in deze gevallen binnen de grenzen van artikel 290 VWEU blijft. [Zie § 3.2. van deel II]
b. In de ontwerpverordening en -richtlijn zijn ook bevoegdheden voor de Commissie neergelegd tot het vaststellen van uitvoeringshandelingen in de zin van artikel 291 VWEU. Hoewel het heel wel denkbaar is dat het met het oog op een eenvormige toepassing van de verordening bepaalde uitvoeringsbevoegdheden aan de Commissie worden toegekend, is de noodzaak van elke afzonderlijke uitvoeringsbevoegdheid in de voorstellen vooralsnog onvoldoende duidelijk. [Zie § 3.3. van deel II]
5.
In hoeverre biedt de voorgestelde Europese toezicht- en handhavingstructuur op nationaal en Europees niveau voldoende waarborgen voor een rechtmatige en doeltreffende handhaving en effectieve uitvoering van de voorgestelde regelgeving?
a. De in de ontwerpverordening voorziene toezichts- en handhavingsstructuur is ingewikkeld. Deze structuur is gelaagd. Enerzijds regelt de ontwerpverordening de instelling, de samenstelling, de status en de taken en bevoegdheden van de nationale toezichthoudende autoriteiten. Anderzijds voorziet zij in Europees toezicht waarbij een rol is weggelegd voor het Europees Comité voor gegevensbescherming, de Europese Toezichthouder voor de gegevensbescherming en de Europese Commissie. Ook als het gaat om het handhavingsinstrumentarium zullen zowel op nationaal als op Europees niveau regels gaan gelden. Het is op dit moment nog onduidelijk hoe deze regels op de verschillende niveaus zich precies tot elkaar zullen gaan verhouden. Vaststaat wel dat in vergelijking tot de huidige situatie het toezicht en de handhaving in sterkere mate op EU-niveau zal plaatsvinden. [Zie § 7.1. van deel II]
b. De Afdeling acht het nog te vroeg om zinvolle uitspraken te kunnen doen over de doeltreffendheid van de voorgestelde toezichts- en handhavingsregels. In dit stadium volstaat zij hoofdzakelijk met een beschouwing die een nader licht kan werpen op enkele constitutioneelrechtelijke aspecten van de gedane voorstellen. [Zie § 7.1. van deel II]
c. De ontwerpverordening bevat een lange opsomming van taken en bevoegdheden die aan de nationale toezichthoudende autoriteit worden toegekend. De kosten van de hieruit voortvloeiende activiteiten zijn tot nog toe niet op toereikende wijze in kaart gebracht. Mede gelet op het feit dat de lidstaten op een eventueel ontoereikende handhaving zullen worden aangesproken, rijst de vraag in hoeverre de voorgestelde taken en bevoegdheden in deze vorm moeten worden gehandhaafd en zo ja, hoe de financiering daarvan zal plaatsvinden. [Zie § 7.2. van deel II]
d. De ontwerpverordening schrijft in artikel 47, eerste en tweede lid, voor dat de nationale toezichthouder bij de uitvoering van haar taken en de uitoefening van haar bevoegdheden volledig onafhankelijk optreedt en haar leden van wie dan ook geen instructies mogen ontvangen. Dat laat echter onverlet dat de toezichthouder dient te voldoen aan algemene beginselen van goed bestuur («good governance»). Zeker indien de toezichthouder – zoals thans wordt voorgesteld – beschikt over sterke sanctionerende bevoegdheden dient naar het oordeel van de Afdeling duidelijkheid te bestaan over de openbaarheid van zijn werkwijze, over de wijze waarop de toezichthouder belanghebbenden bij zijn beslissingen betrekt en waarop de toezichthouder verantwoording aflegt over de uitoefening van zijn bevoegdheden. De voorstellen besteden aan deze aspecten weinig aandacht. [Zie § 7.2. van deel II]
e. De instelling van het Europees Comité voor gegevensbescherming sluit aan bij de ontwikkeling van een steeds verdergaande Europeanisering van het markttoezicht. Door Europese netwerkvorming worden nationale toezichthouders, waaronder het Cbp, geleidelijk ingebed in de institutionele structuur van de EU. Dit kan ertoe leiden dat nationale toezichthouders losser komen te staan van de nationale rechtsstelsels en zich steeds sterker gaan richten op hun Europese partners, meer in het bijzonder hun collega-toezichthouders in de andere lidstaten en de Europese Commissie. Dit roept nieuwe vragen op betreffende democratische legitimatie, verantwoording en rechtsbescherming die in bredere zin meer aandacht behoeven. [Zie § 7.3. van deel II]
f. Verwacht mag worden dat de activiteiten van het Europees Comité voor gegevensbescherming de harmonisatie van het gegevensbeschermingsrecht in de EU verder zullen stimuleren. Daarvoor is met name van belang de bevoegdheid van het Comité om op grond van artikel 66, eerste lid, onderdeel b, van de ontwerpverordening richtsnoeren, aanbevelingen en beste praktijken voor de toezichthoudende autoriteiten vast te stellen. Deze zijn strikt genomen juridisch niet bindend maar bepalen wel in hoge mate de inhoud van de handhaving. Het bovenstaande roept de vraag op hoe de werkwijze van het Comité zal zijn, in hoeverre en op welke wijze het Comité belanghebbenden bij de voorbereiding van aanbevelingen en richtsnoeren zal betrekken en op welke wijze en door wie het Comité op zijn activiteiten kan worden aangesproken. In de voorstellen wordt hieraan weinig aandacht besteed. [Zie § 7.3. van deel II]
g. Het Europees Comité voor gegevensbescherming speelt een belangrijke rol bij het in de ontwerpverordening voorziene toezicht. Daartoe bevat de ontwerpverordening een complexe procedure, waarin de Europese Commissie een machtige positie heeft die erop neer komt dat de Commissie de nationale toezichthouder kan «overrulen». Het is begrijpelijk dat de Commissie in gevallen met sterke grensoverschrijdende effecten waarbij de consistente toepassing van de EU-regels nadrukkelijk in het geding kan zijn, bevoegdheden krijgt toegekend. Het gevolg hiervan is wel dat de nationale toezichthouders minder ruimte zullen krijgen om op de betreffende lidstaat afgestemd toezicht uit te oefenen. Tegen deze achtergrond dient te worden afgewogen of aan de Commissie zodanig sterke toezichthoudende bevoegdheden moeten worden toegekend als thans wordt voorgesteld. [Zie § 7.3. van deel II]
h. Een belangrijk nieuw element is de bijzondere regeling van de bestuurlijke boete. Volgens de voorgestelde regeling legt de toezichthoudende autoriteit voor bepaalde inbreuken op de ontwerpverordening een maximale boete op van respectievelijk € 250 000,–, € 500 000,– en € 1 000 000,–. Het gaat steeds om een zogenoemde gebonden bevoegdheid. Het is mede gelet op de aard van de normstelling zeer de vraag of de nationale toezichthouders feitelijk in staat zullen zijn om bij elke geconstateerde overtreding een boete op te leggen. Naast praktische zijn er juridische vragen. Gelet op het bovenstaande dient de vraag onder ogen te worden gezien of de verplichting van de toezichthouder niet moeten vervangen door een discretionaire bevoegdheid. [Zie § 7.4. van deel II]
De hierna volgende analyse geeft de motivering van de beschouwingen van deel I en meer in het bijzonder van de daarin gegeven antwoorden op de vragen. In § 1 schetst de Afdeling eerst kort de voorgeschiedenis van de voorliggende voorstellen. Vervolgens onderzoekt de Afdeling in § 2 de rechtsgrondslag van zowel de ontwerpverordening als de ontwerprichtlijn en de daarmee verband houdende instrumentkeuze (ten behoeve van vraag 1, eerste en derde deel). In § 3 komen de bevoegdheden van de Europese Commissie op grond van artikel 290 en 291 VWEU aan bod (ten behoeve van vraag 4). In § 4 wordt een aantal belangrijke verschillen tussen de bestaande regelgeving op het gebied van de bescherming van persoonsgegevens en de ontwerpverordening en ontwerprichtlijn geanalyseerd en van enkele kanttekeningen voorzien (ten behoeve van vraag 2). Daarna komen in § 5 de belangrijkste grondrechtelijke aspecten aan de orde waarbij specifiek wordt ingegaan op een aantal daarmee samenhangende bepalingen uit de ontwerpverordening en de ontwerprichtlijn (ten behoeve van vraag 1, tweede deel). Vervolgens wordt in § 6 en § 7 ingegaan op het specifieke thema van de uitwisseling van persoonsgegevens met derde landen (ten behoeve van vraag 3) en op de voorgestelde Europese toezichts- en handhavingsstructuur (ten behoeve van vraag 5).
Inhoudsopgave |
|
1. |
Voorgeschiedenis |
1.1. |
Ontwikkeling gegevensbeschermingsrecht |
1.2. |
Aanleiding voor de voorstellen |
2. |
Rechtsgrondslag en instrumentkeuze |
2.1. |
Afzonderlijke instrumenten |
2.2. |
Keuze voor verordening |
2.3. |
Nadere analyse keuze verordening |
a. Nationale wetgeving |
|
b. Zelfregulering |
|
c. Maatregelen Europese Commissie |
|
2.4. |
Conclusie |
3. |
De bevoegdheden van de Europese Commissie |
3.1. |
Onderscheid gedelegeerde handeling – uitvoeringshandeling |
3.2. |
Gedelegeerde handelingen |
3.3. |
Uitvoeringshandelingen |
4. |
Verschillen met bestaande regelgeving |
4.1. |
Hoofdlijnen |
4.2. |
Doelbinding |
4.3. |
Rechten van de betrokken |
4.4. |
Verplichtingen verantwoordelijke |
5. |
Verhouding met andere grondrechten |
5.1. |
Afweging van grondrechtelijke belangen |
5.2. |
Vrijheid van meningsuiting |
5.3. |
Discriminatieverbod |
5.4. |
Rechten van het kind |
5.5. |
Kerkgenootschappen |
6. |
Uitwisseling gegevens met derde landen |
6.1. |
Internationalisering |
6.2. |
Bestaande internationale overeenkomsten |
6.3. |
Afwijkingsmogelijkheden |
7. |
Toezichts- en handhavingsstructuur |
7.1. |
Effectieve handhaving |
7.2. |
Nationaal toezicht |
7.3. |
Europees toezicht |
7.4. |
Sanctionering |
De bescherming van persoonsgegevens werd aanvankelijk primair op nationaal niveau geregeld. In 1988 kwam na een lange voorgeschiedenis de Wet persoonsregistraties tot stand.7 Deze was gebaseerd op artikel 10 Grondwet dat sinds 1983 in de Grondwet is opgenomen. Artikel 10, tweede en derde lid, bevat een opdracht aan de formele wetgever om ter bescherming van de persoonlijke levenssfeer regels te stellen over het vastleggen en verstrekken van persoonsgegevens en over bepaalde rechten die personen met betrekking tot hun persoonsgegevens kunnen doen gelden. Recente voorstellen om deze bepalingen mede met het oog op de Europese rechtsontwikkeling te wijzigen8, zijn door de regering niet overgenomen.9
Geleidelijk is de bescherming van persoonsgegevens in steeds sterkere mate een Europeesrechtelijke aangelegenheid geworden. In 1981 is op het niveau van de Raad van Europa ter nadere uitwerking van artikel 8 EVRM een verdrag tot stand gekomen (Dataprotectieverdrag).10 Dit verdrag bevat beginselen voor de verwerking van persoonsgegevens, maar geen gedetailleerde regelgeving.11 Aan het verdrag is in 2001 een protocol toegevoegd waarin de doorgifte van persoonsgegevens aan derde landen is geregeld en dat verplicht tot de instelling van een onafhankelijke toezichthoudende autoriteit.12
Een belangrijke volgende stap is de regulering van de bescherming van persoonsgegevens in de Europese Unie ter bevordering van de werking van de interne markt. In 1995 is de eerste Europese richtlijn vastgesteld. Richtlijn 95/46 is tot op heden de algemene basisrichtlijn voor de bescherming van persoonsgegevens. De richtlijn bouwt voort op de beginselen uit het Dataprotectieverdrag en bevat onder meer nader uitgewerkte regels met betrekking tot rechten van de betrokkenen, verplichtingen van de verantwoordelijke voor de gegevensverwerking, het toezicht en de handhaving en het gegevensverkeer met derde landen. Deze richtlijn is in Nederland in 2001 geïmplementeerd in de Wbp, de opvolger van de Wet persoonsregistraties. De werking van de Wbp is in 2008 geëvalueerd. Uit de evaluatieonderzoeken blijkt dat de wet slechts in beperkte mate leeft bij burgers en bedrijven. De vele abstract geformuleerde normen in de Wbp zijn in de rechtspraktijk onvoldoende ingevuld. De vooronderstelling van de wetgever dat die open normen sectoraal of branchegewijs (met gedragscodes) nader zouden worden ingevuld, blijkt maar ten dele juist te zijn.13
Naast de algemene richtlijn zijn op deelterreinen Europese regels tot stand gebracht.14 In de toenmalige derde pijler van de EU is in 2008 het Europese Kaderbesluit voor de verwerking van persoonsgegevens op het terrein van politiële en strafvorderlijke samenwerking vastgesteld. Dit Kaderbesluit is in Nederland geïmplementeerd in de al bestaande Wet politiegegevens en Wet justitiële en strafvorderlijke gegevens. In het Verdrag van Lissabon is vervolgens de pijlerstructuur opgeheven en is voor de bescherming van persoonsgegevens een zelfstandige algemene rechtsgrondslag opgenomen in artikel 16 VWEU. Bij hetzelfde verdrag heeft het EU-Handvest voor de grondrechten en het daarin in artikel 8 vastgelegde recht op bescherming van persoonsgegevens juridisch bindende werking gekregen. Deze ontwikkeling laat zien dat de problematiek van de bescherming van persoonsgegevens in EU-verband niet meer uitsluitend in het kader van de werking van de interne markt wordt geplaatst, maar ook in het bredere perspectief van de bescherming van grondrechten.
De Europese Commissie constateert in haar mededeling van 25 januari 2012 dat de doelstellingen van Richtlijn 95/46 – de werking van de eengemaakte markt en een effectieve bescherming van de fundamentele rechten en vrijheden van natuurlijke personen waarborgen – nog steeds gelden.15 In de toelichting bij de ontwerpverordening stelt de Commissie echter dat het huidige rechtskader niet heeft voorkomen dat persoonsgegevens in de Unie en in de lidstaten op gefragmenteerde wijze worden beschermd. Dat heeft geleid tot rechtsonzekerheid. Zij constateert ook dat de richtlijn is vastgesteld in een tijd dat het internet nog in de kinderschoenen stond. Daarnaast hebben ook de terroristische aanslagen van 11 september 2001 bijgedragen aan een toenemende vraag naar uitwisseling van gegevens. In de toelichting bij de ontwerprichtlijn stelt de Commissie dat de rechtshandhavingsautoriteiten in de lidstaten steeds vaker en sneller gegevens moeten verwerken en uitwisselen met het oog op de voorkoming en bestrijding van grensoverschrijdende criminaliteit en terrorisme. Duidelijke en consequente EU-voorschriften voor gegevensbescherming vergemakkelijken daarbij de samenwerking tussen die autoriteiten, aldus de Commissie.16
Bovenstaande heeft ertoe geleid dat de Europese Commissie nu een fundamentele hervorming van het EU-kader voor gegevensbescherming voorstelt. De Europese Commissie is in 2009 een proces gestart dat via openbare raadplegingen en een mededeling in november 2010 uiteindelijk heeft geleid tot de onderhavige ontwerpwetgeving. Zij heeft daarbij gekozen voor twee afzonderlijke instrumenten:
– een verordening tot vaststelling van een algemeen EU-kader voor gegevensbescherming (ter vervanging van Richtlijn 95/46);
– een richtlijn voor de gegevensbescherming specifiek gericht op het terrein van justitie en politie (ter vervanging van Kaderbesluit 2008/977).
De Commissie heeft overeenkomstig haar beleid gericht op betere regelgeving een effectbeoordeling van de voorstellen uitgevoerd. Daarbij zijn drie beleidsopties onderzocht die verschillen wat betreft de reikwijdte van het optreden van de Europese wetgever. De eerste optie betrof minimale wijzigingen van de wetgeving en het gebruik van interpretatieve mededelingen en beleidsondersteunende maatregelen zoals financieringsprogramma’s en technische instrumenten. De tweede optie was een pakket wettelijke bepalingen om werk te maken van de punten die uit de effectenanalyse naar voren waren gekomen. Bij de derde optie werd de gegevensbescherming op EU-niveau gecentraliseerd door voor alle sectoren precieze en gedetailleerde regels vast te stellen en een EU-agentschap op te richten voor toezicht op en handhaving van de bepalingen. Aan de hand van de effectanalyse is de tweede optie verder uitgewerkt en uitgebreid met een aantal elementen van de twee andere opties. Dit heeft geleid tot de voorliggende voorstellen.17
De ontwerpverordening en de ontwerprichtlijn hebben beiden artikel 16 VWEU als rechtsgrondslag. Artikel 16, tweede lid, VWEU schrijft voor dat het Europees Parlement en de Raad volgens de gewone wetgevingsprocedure voorschriften vaststellen over – kort gezegd – de verwerking van persoonsgegevens door de instellingen18 en door de lidstaten, voor zover deze activiteiten uitoefenen binnen het toepassingsgebied van het EU-recht. De bepaling schrijft tevens voor dat op de naleving van deze voorschriften toezicht wordt uitgeoefend door onafhankelijke autoriteiten. Naast artikel 16 VWEU is ook artikel 114 VWEU grondslag voor de ontwerpverordening.19
Ondanks de overeenkomstige rechtsgrondslag van artikel 16 VWEU heeft de Commissie ervoor gekozen twee afzonderlijke wetgevingsinstrumenten voor te stellen: een ontwerpverordening en een ontwerprichtlijn. Die keuze is niet geheel vanzelfsprekend. Voor het gemeenschappelijk buitenlands en veiligheidsbeleid (de voormalige tweede pijler) is in artikel 16 VWEU een expliciete uitzondering gecreëerd. Voor de verwerking van persoonsgegevens op dit terrein bestaat een specifieke rechtsgrondslag.20 Een dergelijke uitzondering wordt in artikel 16 VWEU niet gemaakt voor de verwerking van persoonsgegevens op politieel en justitieel gebied.
Niettemin is de keuze voor twee afzonderlijke instrumenten op grond van artikel 16 VWEU mogelijk. Het artikel dwingt niet tot een allesomvattend rechtskader. In dit verband is ook van belang dat verklaring 21 bij het Verdrag van Lissabon duidelijk maakt dat specifieke voorschriften kunnen worden opgesteld voor de sector politie en justitie. Daarvoor is ook inhoudelijk gezien aanleiding. De wettelijke taken van politie en justitie dragen zodanig bijzondere kenmerken dat als het gaat om de verwerking van persoonsgegevens in veel gevallen een op de uitvoering van die taken toegespitste afweging is vereist. Belangrijke onderdelen van het reguliere gegevensbeschermingsregime zoals bijvoorbeeld de informatieverplichting van de verantwoordelijke, kunnen in dat licht bezien op het onderhavige terrein niet gelden. De keuze voor een bijzonder regime sluit ook aan bij de bestaande Nederlandse wetgeving. Mede gelet op de gemeenschappelijke rechtsgrondslag voor zowel de verordening als de richtlijn dienen de verschillen in beschermingsniveau tussen de beide regelingen zoveel mogelijk beperkt te worden.21
Verder wijst de Afdeling erop dat naast de verordening zelf sprake kan zijn van aanvullende regels voor een specifiek gebied, ook als dit specifieke gebied binnen de reikwijdte van de verordening valt. Zo wijst de Afdeling op de e-privacy richtlijn (Richtlijn 2002/58/EG betreffende privacy en elektronische communicatie) die aanvullend is bedoeld ten opzichte van richtlijn 95/46/EG. Omdat deze laatste richtlijn wordt vervangen door de verordening wordt in artikelen 88 en 89 van de ontwerpverordening de verhouding tot de e-privacy richtlijn geregeld.22 Met deze bepalingen wordt de e-privacyrichtlijn met de ontwerpverordening in overeenstemming gebracht.
De keuze voor een verordening zoals thans voorgesteld bepaalt in belangrijke mate de vrijheid van de lidstaten om de regelgeving over de bescherming van persoonsgegevens zelf vorm te geven. Een verordening is verbindend in al haar onderdelen en rechtstreeks toepasselijk in de lidstaat.23 Bepalingen neergelegd in verordeningen lenen zich daarom in beginsel voor rechtstreekse toepassing door nationale bestuursorganen en nationale rechters. Omzetting van een verordening in nationaal recht is, aanwijzing van instanties en toezicht en handhavingsregels uitgezonderd,24 dan ook niet toegestaan. Een verordening kan op één lijn worden gesteld met een Nederlandse wet.25 De keuze voor een verordening kan in dat licht bezien een belangrijke verandering betekenen ten opzichte van de huidige situatie waarin alleen Richtlijn 95/46 geldt. Een richtlijn moet worden omgezet in het nationale recht, waarbij lidstaten vrij zijn om te bepalen in welke vorm en met welke middelen zij de in die richtlijn voorgeschreven doelstellingen gaan bereiken. Het instrument van de richtlijn biedt naar zijn aard dan ook meer mogelijkheden om rekening te houden met het nationale rechtssysteem.
In de mededeling «Een integrale aanpak van de bescherming van persoonsgegevens in de Europese Unie» uit 2010 concludeerde de Europese Commissie dat de EU een meer integraal en coherent beleid inzake het grondrecht op bescherming van persoonsgegevens nodig heeft. Ook in de toelichting op de ontwerpverordening wijst de Commissie op de gefragmenteerde bescherming van persoonsgegevens in de Unie en op de rechtsonzekerheid die daarvan het gevolg is.26 Met name economische actoren – te denken valt in het bijzonder aan bedrijven die op grotere schaal grensoverschrijdende activiteiten verrichten – hebben kritiek geuit op de huidige fragmentatie van de persoonsgegevensbescherming in de Europese Unie.27 Daarom is volgens de Commissie een verordening het meeste geschikte rechtsinstrument voor de vaststelling van het kader voor de bescherming van persoonsgegevens in de EU.28 Door de rechtstreekse toepasselijkheid zal een verordening de juridische fragmentatie verminderen en de rechtszekerheid bevorderen door een geharmoniseerd pakket basisregels in te voeren en tot de werking van de eengemaakte markt bijdragen, aldus de Europese Commissie.29 De uniformerende werking van een verordening moet derhalve leiden tot meer rechtszekerheid en een gelijk speelveld in de Europese Unie.
De voorgestelde ontwerpverordening roept vragen op over de consequenties van deze keuze voor het nationale recht en de onderlinge verhouding tussen het nationale recht en het EU-recht. De toelichting op en de overwegingen bij de ontwerpverordening geven daarvan onvoldoende blijk. Als gevolg hiervan rijst tevens de vraag in hoeverre de verordening de nagestreefde doelstelling van uniformering van regels zal weten te bereiken. Daarom behoeven de consequenties van de verordening zoals thans voorgesteld een nadere analyse. In de navolgende paragraaf wordt een aanzet tot een zodanige analyse gegeven.
De reikwijdte van de ontwerpverordening is zodanig geregeld dat gemakkelijk verschillen tussen lidstaten kunnen optreden. De huidige praktijk met Richtlijn 95/46, die als het gaat om de reikwijdte grotendeels dezelfde regels bevat als de ontwerpverordening, illustreert dat. In de richtlijn gedefinieerde begrippen als «persoonsgegevens», «bestand» en «voor de verwerking verantwoordelijke»30 die essentieel zijn voor het toepassingsbereik van de Europese regels, kunnen blijkens de rechtspraak zeer verschillend worden uitgelegd. Deels zullen deze begrippen in de rechtspraak nog verder tot ontwikkeling moeten komen. Andere begrippen uit de ontwerpverordening echter verdienen nadere overweging om zo mogelijk te komen tot een precisering in de wetgeving zelf. Een voorbeeld daarvan is artikel 2, tweede lid, onderdeel d, van de ontwerpverordening waarin wordt bepaald dat de verordening niet van toepassing is op de verwerking van persoonsgegevens «door een natuurlijke persoon zonder commercieel belang bij de uitoefening van zijn uitsluitend persoonlijke of huiselijke activiteiten.» Door de opkomst van de sociale media op internet is minder duidelijk dan voorheen welke verwerkingen nog uitsluitend tot de persoonlijke of huiselijke activiteiten mogen worden gerekend.31 Ook de uitsluiting van verwerkingen op het gebied van de nationale veiligheid op grond van artikel 2, tweede lid, onderdeel a, kent geen duidelijke begrenzing. Het is van belang om – mede gelet op de keuze voor een verordening – de reikwijdte van de verordening zo precies mogelijk in de verordening zelf te formuleren.
In de tweede plaats biedt de ontwerpverordening op verschillende punten ruimte om de daarin neergelegde bepalingen nader in of aan te vullen of daarvan af te wijken. In hoeverre dit afbreuk doet aan het streven van de ontwerpverordening om te komen tot uniformere regels is afhankelijk van degene die bevoegd is de door de ontwerpverordening geboden ruimte nader in te vullen. De ontwerpverordening bevat ten minste drie vormen van bevoegdheidstoekenning:
– De toekenning van de bevoegdheid tot nadere regelgeving aan de nationale wetgever;
– De toekenning van de bevoegdheid tot zelfregulering door de verantwoordelijke dan wel groepen van verantwoordelijken;
– De toekenning van delegatie- en uitvoeringsbevoegdheden aan de Europese Commissie;
Nadere analyse van deze bevoegdheidstoekenning levert het volgende beeld op.
Het valt op dat ondanks de keuze voor een verordening het huidige voorstel op bepaalde onderdelen aanzienlijke ruimte laat aan de nationale wetgever tot het stellen van regels. Het wellicht belangrijkste voorbeeld daarvan is artikel 21. Deze bepaling schept de mogelijkheid om de reikwijdte van de verplichtingen en rechten die zijn neergelegd in artikel 5, onder a tot met e, en de artikelen 11 tot en met 20 en 32 bij nationale wetgeving door middel van een wettelijke maatregel te beperken, wanneer een dergelijke beperking in een democratische samenleving een noodzakelijke en evenredige maatregel is ter waarborging van de in de in het eerste lid, onder a tot en met f genoemde belangen. Deze bevoegdheid kan er toe leiden dat in de afzonderlijke lidstaten de nationale wetgever uiteenlopende uitzonderingen vaststelt op cruciale onderdelen van de verordening. De doelstelling van de verordening om te komen tot een grotere uniformiteit zou in dat geval moeilijker kunnen worden gerealiseerd. Hetzelfde geldt voor andere bepalingen van de verordening waarin een ruime bevoegdheid van de nationale wetgever tot nadere regelgeving wordt vastgelegd.32
Het algemene kader voor de bescherming van persoonsgegevens wordt in de toekomst gevormd door de rechtstreeks toepasselijke verordening die niet omgezet mag worden in nationale wetgeving, aanwijzing van instanties en toezicht en handhavingsregels uitgezonderd. Dit heeft ingrijpende gevolgen voor de bestaande wetgeving. De huidige Wbp zal grotendeels moeten worden ingetrokken. De bijzondere wetgeving die valt onder de werkingssfeer van het EU-recht zal moeten worden doorgelicht en waar nodig moeten worden aangepast. Omdat de verordening in beginsel geen ruimte biedt voor preciseringen door de nationale wetgever op specifieke terreinen zou deze doorlichting grotendeels kunnen neerkomen op schrapping van bepalingen. De hierdoor ontstane leemte kan volgens de voorgestelde systematiek alleen worden opgevuld door zelfregulering, door aanvullende EU-regels of door rechtsvorming door de rechter.
Het valt voorts op dat de ontwerpverordening in veel van de gevallen waarin de nationale wetgever ruimte wordt gelaten, uitdrukkelijk ook de mogelijkheid noemt dat die ruimte nader ingevuld wordt door de EU-wetgever. Zo is bijvoorbeeld in artikel 9, tweede lid, van de ontwerpverordening bepaald dat het verbod op de verwerking van bijzondere categorieën persoonsgegevens niet geldt indien de betrokkene toestemming heeft gegeven voor de verwerking van die persoonsgegevens, mits de EU-wetgeving of de nationale wetgeving niet bepaalt dat het verbod niet door betrokkene kan worden opgeheven.33 Onduidelijk is of in een dergelijk geval EU-wetgeving en nationale wetgeving naast elkaar kunnen bestaan of dat de bevoegdheid van de nationale wetgever vervalt op het moment dat op EU-niveau nieuwe wetgeving tot stand komt. De Afdeling meent dat de verordening meer duidelijkheid moet verschaffen over het niveau – Europees dan wel nationaal – waarop aanvullende regels kunnen worden gesteld.
De ontwerpverordening laat op verschillende plaatsen ruimte om door middel van zelfregulering een nadere invulling te geven aan de rechten en verplichtingen van de verordening. Op grond van artikel 22, eerste lid, is de voor de verwerking verantwoordelijke verplicht beleid vast te stellen en passende maatregelen te nemen om ervoor te zorgen dat de verwerking van persoonsgegevens in overeenstemming met de verordening wordt uitgevoerd. Op grond van deze bepaling zullen beleidsregels en reglementen34 tot stand komen. Voorts kent artikel 38 een regeling voor de totstandkoming van gedragscodes. De lidstaten, de toezichthoudende autoriteiten en de Commissie dienen met het oog op een juiste toepassing van de verordening de opstelling van gedragscodes te bevorderen. De ontwerpverordening laat open of deze gedragscodes op EU-niveau of op dat van de lidstaten tot stand dienen te komen. Op artikel 38, vierde lid, kan de Commissie uitvoeringshandelingen vaststellen waarbij gedragscodes algemeen geldend worden verklaard.
Het antwoord op de vraag of de doelstelling van de verordening om te komen tot een sterkere uniformering, zal mede afhangen van de nadere regels en maatregelen die door de verantwoordelijke of door verenigingen van verantwoordelijken zullen worden getroffen. Dat geldt te meer nu de verordening op veel plaatsen een ruime interpretatiemarge bevat. Voorts kan de voorgestelde systematiek invloed hebben op de constitutionele verhoudingen binnen de lidstaten. Daar waar de nationale wetgever in belangrijke mate zal terugtreden zal er in beginsel meer ruimte komen voor zelfregulering binnen de onderscheiden maatschappelijke sectoren. Deze ruimte zal alleen kunnen worden ingeperkt door nadere EU-regels. Daarnaast is de rol van de rechter van belang. Of en in hoeverre de rechtsvormende taak van de rechter zal toenemen is mede afhankelijk van de mate waarin – op nationaal of Europees niveau – nadere regels worden gesteld.
Hoewel de ontwerpverordening enerzijds de nodige ruimte lijkt te laten voor een nationale invulling, wordt anderzijds veelvuldig aan de Europese Commissie de bevoegdheid toegekend om gedelegeerde handelingen35 en uitvoeringshandelingen36 vast te stellen. Hierdoor wordt de kans groter dat althans op bepaalde punten verregaande uniformering van de in de ontwerpverordening neergelegde materie alsnog op EU-niveau plaatsvindt, zij het niet in de verordening zelf, maar op een lager niveau.37 Een dergelijke uniformering draagt bij aan een van de doelstellingen van de verordening. Indien de Commissie deze bevoegdheden daadwerkelijk gaat uitoefenen, heeft dit echter wel tot gevolg dat er voor de lidstaten minder ruimte overblijft voor een aan de nationale situatie aangepaste invulling die recht doet aan de specifieke omstandigheden in de betreffende lidstaat.
Op de vraag in hoeverre de bevoegdheden van de Europese Commissie zich verhouden tot artikel 290 en 291 VWEU wordt hierna afzonderlijk ingegaan.38 Als het gaat om de nadere invulling van de verordening is in elk geval van belang om de bevoegdheidsverdeling tussen de Commissie en de lidstaten nader te bezien. Daartoe zal in elk afzonderlijk geval de bevoegdheid van de Commissie getoetst dienen te worden aan de artikel 5 VEU neergelegde beginselen van subsidiariteit en evenredigheid.39 Op grond van het subsidiariteitsbeginsel dient te worden aangetoond dat de doelstelling van de verordening niet kan worden verwezenlijkt als de nadere invulling van de daarin opgenomen regels uitsluitend aan de lidstaten wordt overgelaten. Daarnaast dient op grond van het evenredigheidsbeginsel een gedelegeerde handeling of uitvoeringshandeling van de Europese Commissie niet verder te gaan dan nodig is om de doelstelling van de verordening te realiseren.
In de afwegingen omtrent de instrumentkeuze is voorts van belang de wijze waarop de gedelegeerde en uitvoeringshandelingen van de Commissie tot stand komen. Voor beide soorten handelingen geldt dat de lidstaten, hetzij via de Raad, hetzij via de comitologieprocedure, invloed kunnen uitoefenen. Bij gedelegeerde handelingen is ook het Europees Parlement nadrukkelijk betrokken.40 Daarnaast zal de Commissie zich laten adviseren door het uit de nationale toezichthouders bestaande Europees Comité voor gegevensbescherming.41 Dit ziet toe op de consequente toepassing van de verordening. Met het oog daarop is het Comité op grond van artikel 66, eerste lid, onderdeel b, bevoegd om richtsnoeren, aanbevelingen en beste praktijken voor de toezichthoudende autoriteiten vast te stellen. Het Comité zendt deze op grond van artikel 66, derde lid, toe aan de Commissie. Deze informeert het Comité over de maatregelen die zij naar aanleiding daarvan heeft genomen. Richtsnoeren, aanbevelingen en beste praktijken kunnen langs deze weg een basis vormen voor de Commissie om een gedelegeerde handeling of uitvoeringshandeling vast te stellen of te wijzigen. Het voorgaande betekent dat de Commissie niet autonoom beslist maar pas tot besluitvorming zal komen nadat vele nationale en Europese actoren zijn geraadpleegd.
Het bovenstaande levert geen eenduidig beeld op. Enerzijds wordt aan de Commissie veelvuldig de bevoegdheid toegekend om gedelegeerde handelingen of uitvoeringshandelingen vast te stellen. Anderzijds laat de ontwerpverordening op specifieke onderdelen de nodige ruimte om op nationaal niveau hetzij via nationale wetgeving, hetzij via zelfregulering de regels nader in te vullen. Het is in dit stadium moeilijk te bepalen tot welk eindresultaat dit zal leiden. Vaststaat echter dat een verordening in deze vorm ingrijpende gevolgen zal hebben voor de nationale wetgeving. De Wbp zal grotendeels komen te vervallen en een groot aantal bepalingen uit de bijzondere wetgeving zal vermoedelijk moeten worden geschrapt. De gevolgen zullen te meer ingrijpend zijn gezien de vergaande mate waarin in de voorgestelde verordening bevoegdheden aan de Commissie worden toegekend.
De ontwerpverordening kan leiden tot een uniformere en coherente regeling van de bescherming van persoonsgegevens. Op de noodzaak van een dergelijke regeling die moet leiden tot meer rechtszekerheid en een gelijk speelveld binnen de Europese Unie, hebben ook betrokken economische actoren gewezen. Onvoldoende duidelijk is echter welke gevolgen de verordening heeft voor het nationale recht en voor de verhouding tussen het nationale recht en het EU-recht. Enerzijds rijst de vraag in hoeverre de verordening zoals thans voorgesteld vanwege het gebruik van open normen en de ruimte die de verordening laat voor nationale invulling, afbreuk zal doen aan de nagestreefde doelstelling van uniformering van regels. Anderzijds brengt de keuze voor een verordening als instrument in samenhang met de omvang van de voorgestelde bevoegdheidsdelegatie aan de Commissie met zich dat in vergelijking tot de huidige situatie de nationale beleidsruimte van de lidstaten hoe dan ook aanzienlijk kan worden beperkt.
Als het gaat om de bevoegdheden die in de ontwerpverordening aan de Europese Commissie zijn toegekend, wordt een onderscheid gemaakt tussen gedelegeerde handelingen en uitvoeringshandelingen. Zij zijn op verschillende verdragsartikelen gebaseerd. Bij gedelegeerde handelingen gaat het volgens artikel 290 VWEU om «niet-wetgevingshandelingen van algemene strekking». Deze kunnen worden vastgesteld ter aanvulling of wijziging van bepaalde niet-essentiële onderdelen van de wetgevingshandeling (in dit geval de verordening).42 Naast delegatiebevoegdheden zijn in de ontwerpverordening en -richtlijn ook bevoegdheden voor de Commissie neergelegd tot het vaststellen van uitvoeringshandelingen in de zin van artikel 291 VWEU. Zij dienen ter uitvoering van de juridisch bindende handelingen van de Unie, zoals bijvoorbeeld een verordening of een richtlijn. Het onderscheid tussen gedelegeerde en uitvoeringshandelingen bestaat pas sinds het Verdrag van Lissabon. Er is nog weinig ervaring mee opgedaan en er is nog geen rechtspraak van het Hof van Justitie voorhanden. Het onderscheid is met name ook relevant voor de totstandkomingsprocedure van deze handelingen.
De voorgestelde delegatie van bevoegdheden leidt ertoe dat een substantieel aantal normen voor de verwerking van persoonsgegevens niet op het niveau van de ontwerpverordening zal worden verankerd. Dit betekent dat niet het Europees Parlement en de Raad volgens de gewone wetgevingsprocedure maar de Commissie de maatregel vaststelt. Dat wil echter niet zeggen dat het Europees Parlement en de Raad niet betrokken zijn bij de totstandkoming daarvan. De betrokkenheid van de Raad43 en het Europees Parlement bij de totstandkoming van gedelegeerde handelingen en uitvoeringshandelingen verschilt echter. Voor de gedelegeerde handelingen geldt dat het Europees Parlement of de Raad kan besluiten de delegatie in te trekken.44 Voorts treedt de gedelegeerde handeling van de Commissie alleen in werking indien noch het Europees Parlement, noch de Raad binnen een termijn van twee maanden na kennisgeving geen bezwaar daartegen hebben gemaakt.45
Indien het Europees Parlement of de Raad bezwaar maakt, betekent dit dat de door de Commissie vastgestelde gedelegeerde handeling niet in werking treedt. De Commissie stelt zich op het standpunt dat zij in dat geval een nieuwe gedelegeerde handeling kan vaststellen, waarin rekening wordt gehouden met de bezwaren, of een wetgevingsvoorstel kan indienen overeenkomstig de verdragen, wanneer het bezwaar is gegrond op een overschrijding van de gedelegeerde bevoegdheden.46 Het is ook denkbaar dat de Commissie gelet op de naar voren gebrachte bezwaren volledig afziet van optreden. Voor zover Nederland bezwaren heeft tegen een door de Commissie vastgestelde gedelegeerde handeling is het noodzakelijk om binnen de Raad een gekwalificeerde meerderheid te vinden die dezelfde mening is toegedaan. Uit artikel 290, tweede lid, VWEU volgt verder dat het Europees Parlement en de Raad alleen kunnen voorkomen dat de gedelegeerde handeling in werking treedt. Er is niet voorzien in de mogelijkheid om amendementen in te dienen.47
Bij uitvoeringshandelingen zijn het Europees Parlement en de Raad veel minder sterk48 betrokken. Wel geldt bij uitvoeringshandelingen de comitologieprocedure.49 Dit houdt in dat een comité waarin vertegenwoordigers van de lidstaten zitting hebben en dat wordt voorgezeten door de Commissie, hun visie geven op de door de Commissie voorgestelde uitvoeringshandelingen. Indien het comité negatief adviseert stelt de Commissie de uitvoeringshandeling niet vast.50
Op grond van artikel 290, eerste lid, VWEU kan aan de Commissie de bevoegdheid worden overgedragen om niet-wetgevingshandelingen van algemene strekking vast te stellen, ter aanvulling of wijziging van bepaalde niet-essentiële onderdelen van de wetgevingshandeling. Voorgeschreven is dat in de verordening of richtlijn zelf uitdrukkelijk de doelstellingen, de inhoud, de strekking en de duur van de bevoegdheidsdelegatie worden afgebakend. Essentiële onderdelen van een gebied worden uitsluitend in de verordening of richtlijn geregeld en kunnen dan ook niet gedelegeerd worden.51 Nog niet is uitgekristalliseerd wat onder essentiële onderdelen in de zin van artikel 290, eerste lid, VWEU moet worden verstaan. De Commissie laat zich in de mededeling van december 2009 hierover niet duidelijk uit.52 Ook het Hof van Justitie heeft zich over deze vraag nog niet uitgesproken.53
Omdat het begrip «niet-essentiële onderdelen» vooralsnog geen duidelijke invulling heeft gekregen is de vraag of de in de ontwerpverordening aan de Commissie toegekende bevoegdheden binnen de grenzen blijven van artikel 290 VWEU niet in alle gevallen eenduidig te beantwoorden. In bepaalde gevallen is sprake van een zeer ruime uitleg van «niet-essentiële onderdelen» van de ontwerpverordening. Het betreft met name de volgende bepalingen:
– Artikel 6, vijfde lid
Op grond van 6, vijfde lid, mag de Commissie gedelegeerde handelingen vaststellen met het oog op de nadere invulling van de in het eerste lid, onder f, bedoelde voorwaarden. Laatstgenoemd artikel bepaalt dat de verwerking van persoonsgegevens rechtmatig is «indien de verwerking noodzakelijk is voor de behartiging van de gerechtvaardigde belangen van de voor de verwerking verantwoordelijke, mits het belang of de grondrechten en fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens noodzaken, niet boven dat belang prevaleren, met name wanneer de betrokkene een kind is». Het gaat hier om een voor de particuliere sector belangrijke grondslag voor gegevensverwerking die in de betreffende bepaling zeer open is geclausuleerd. In die clausule gaat het bovendien om de interpretatie van essentiële grondrechtelijke belangen.
– Artikel 9, derde lid
Op grond van artikel 9, derde lid, is de Commissie bevoegd om delegatiehandelingen vast te stellen met het oog op de nadere invulling van de criteria, de voorwaarden en de passende garanties voor de verwerking van bijzondere categorieën persoonsgegevens en de daarop vastgestelde uitzonderingen. Het gaat om gevoelige gegevens, zoals persoonsgegevens waaruit ras of etnische afkomst, politieke opvatting, religie of overtuiging, of het lidmaatschap van een vakvereniging blijkt, en de verwerking van genetische gegevens of gegevens over gezondheid of seksueel gedrag of strafrechtelijke veroordelingen of daarmee verband houdende veiligheidsmaatregelen. Het gaat hier om de interpretatie van essentiële grondrechtelijke belangen op een zeer breed terrein. De afweging van deze belangen is in bepaalde onderdelen van artikel 9 bovendien ruim geclausuleerd. Voorbeeld van een criterium waarvan de invulling door de Europese Commissie in een gedelegeerde handeling mogelijk verstrekkende gevolgen heeft is het criterium «de vervulling van een taak van algemeen belang», uit onderdeel g van het tweede lid.54
– Artikel 17, negende lid
In artikel 17, eerste lid, wordt – kort gezegd – bepaald onder welke voorwaarden de betrokkene zijn gegevens kan laten wissen. De Commissie mag op grond van artikel 17, negende lid, de in het artikel genoemde criteria en vereisten nader invullen met betrekking tot specifieke sectoren en in specifieke situaties op het gebied van gegevensverwerking. Het gaat hier om een nieuw recht dat niet of althans niet in deze vorm is vastgelegd in Richtlijn 95/46. Het is een uitvoerige en complex geformuleerde bepaling die sterk bepalend kan zijn voor mate waarin de rechten van de betrokkene op Internet worden beschermd.
– Artikel 20, vijfde lid
Artikel 20, eerste lid, bepaalt – kort gezegd – dat iedere natuurlijke persoon het recht heeft om niet te worden onderworpen aan een voor de betrokkene nadelige maatregel die louter wordt genomen op grond van een geautomatiseerde verwerking van persoonsgegevens (profilering). In het tweede lid worden hierop enkele uitzonderingen toegestaan. De aan deze uitzonderingen te stellen eisen zijn ruim geclausuleerd. In de meeste gevallen is vereist dat een persoon passende maatregelen zijn aangeboden ter bescherming van de gerechtvaardigde belangen van de betrokkene. Ingevolge het vijfde lid is de Commissie bevoegd om gedelegeerde handelingen vast te stellen met het oog op de nadere invulling van de genoemde criteria en voorwaarden. Het betreft hier een recht dat in zijn vormgeving en praktische toepassing complex is en waarmee grote economische belangen zijn gemoeid.
– Artikel 31, vijfde lid en 32, vijfde lid
Artikel 31 en 32 verplichten de voor de verwerking verantwoordelijke een inbreuk in verband met persoonsgegevens te melden aan de toezichthoudende autoriteit respectievelijk aan de betrokkene. Hierbij valt te denken aan het ontstaan van datalekken als gevolg van het feilen van beveiligingssystemen. Wat dient te worden verstaan onder de algemene noemer van «een inbreuk in verband met persoonsgegevens» wordt in de ontwerpverordening niet nader omschreven. Op grond van artikel 31, vijfde lid en 32, vijfde lid is de Commissie bevoegd om gedelegeerde handelingen vast te stellen teneinde nader te bepalen wat onder een zodanige inbreuk moet worden begrepen en de bijzondere omstandigheden te omschrijven waarin de verantwoordelijke verplicht is de inbreuk te melden. Deze delegatie komt erop neer dat de regeling van deze belangrijke verplichting vrijwel geheel aan de Commissie wordt overgelaten.
– Artikel 44, zevende lid
Artikel 44, eerste lid, onder d, bepaalt dat doorgifte van persoonsgegevens naar een derde land of een internationale organisatie onder omstandigheden kan plaatsvinden op voorwaarde dat de doorgifte noodzakelijk is wegens gewichtige redenen van algemeen belang. Op grond van artikel 44, zevende lid, is de Commissie bevoegd om gedelegeerde handelingen vast te stellen met het oog op onder meer de nadere invulling van het begrip «gewichtige redenen van algemeen belang». Het betreft hier een zeer ruime clausule op een zeer gevoelig terrein. Gezien de mogelijke verstrekkende gevolgen van een eventuele ruime invulling van deze uitzonderingsmogelijkheid is de vraag of hier niet sprake is van een essentieel element.55
De Afdeling is in elk geval bij de hiervoor besproken artikelen niet op voorhand overtuigd dat de bevoegdheidsdelegatie binnen de grenzen van artikel 290 VWEU blijft.
Naast de op basis van artikel 290 VWEU toegekende bevoegdheden zijn in de ontwerpverordening en -richtlijn ook bevoegdheden voor de Commissie neergelegd tot het vaststellen van uitvoeringshandelingen in de zin van artikel 291 VWEU. Blijkens deze bepaling is het de hoofdregel dat de lidstaten uitvoeringshandelingen vaststellen. Alleen indien het nodig is dat juridisch bindende handelingen van de Unie volgens eenvormige voorwaarden worden uitgevoerd, worden bij die handelingen aan de Commissie uitvoeringsbevoegdheden toegekend. Kort gezegd gaat het bij een uitvoeringshandeling om een maatregel van individuele aard of van algemene strekking die slechts zuiver uitvoering geeft aan bestaande regels van de basishandeling (in casu de verordening). Een uitvoeringshandeling van algemene strekking die beoogt een wetgevingshandeling aan te vullen of te wijzigen, is niet mogelijk. In dat geval dient op grond van artikel 290 VWEU een gedelegeerde handeling te worden vastgesteld.
Uit artikel 291 VWEU volgt dat voor elke bevoegdheid van de Commissie tot vaststelling van een uitvoeringshandeling moet worden gemotiveerd waarom de betreffende uitvoeringshandeling niet aan de lidstaten kan worden overgelaten. De hoofdregel van artikel 291, eerste lid, VWEU is immers dat de lidstaten met de uitvoering van het EU-recht zijn belast. Alleen indien kan worden aangetoond dat het noodzakelijk is dat de verordening «volgens eenvormige voorwaarden» wordt uitgevoerd, is toekenning van een uitvoeringsbevoegdheid aan de Commissie op grond van artikel 291, tweede lid, toegestaan. In de toelichting op en de overwegingen bij de ontwerpverordening wordt hier niet specifiek op ingegaan. Hoewel het heel wel denkbaar is dat met het oog op een eenvormige toepassing van de verordening het noodzakelijk is om bepaalde uitvoeringsbevoegdheden aan de Commissie toe te kennen, is de noodzaak daartoe op dit moment niet steeds duidelijk.
Voorts rijst de vraag of steeds terecht is gekozen voor een bevoegdheid tot het vaststellen van uitvoeringshandelingen en niet voor de bevoegdheid tot vaststelling van een gedelegeerde handeling. Over de vraag of een handeling een uitvoeringshandeling is (art. 291) of een niet-wetgevingshandeling van algemene strekking (art. 290) zal niet altijd consensus bestaan. Het onderscheid is ook daarom van belang omdat de procedure waarlangs de Commissie tot besluitvorming komt, verschillend is.56 Hoewel ook op de hier gemaakte keuzes in de toelichting op de ontwerpverordening niet is ingegaan, is het denkbaar dat, gelet op de veelal technische aard van de te regelen materie, in deze gevallen wordt gekozen voor de toekenning van een bevoegdheid tot het vaststellen van uitvoeringshandelingen in de zin van artikel 291 VWEU.
Zowel de ontwerpverordening als de ontwerprichtlijn bevat een aantal belangrijke veranderingen ten opzichte van de huidige Europese regelgeving en de implementatie daarvan in het Nederlandse recht. In een aantal opzichten wordt de bescherming van persoonsgegevens versterkt. Deze versterking kan niet los worden gezien van de wijziging van het constitutionele kader dat aan de ontwerpverordening en de ontwerprichtlijn ten grondslag ligt. De verankering van het recht op bescherming van persoonsgegevens en een aantal daarmee samenhangende beginselen in artikel 8 EU-Handvest57 betekent dat de nieuwe ontwerpverordening en ontwerprichtlijn niet buiten de kaders van deze beginselen mogen treden. Ze hebben daardoor een hogere status, namelijk die van primair Unierecht, verkregen dan toen ze nog «slechts» in richtlijnbepalingen, secundair Unierecht, stonden. Daarnaast heeft het Verdrag van Lissabon in artikel 16 VWEU een expliciete rechtsgrondslag gecreëerd voor Europese regelgeving inzake de verwerking van persoonsgegevens. De keuzemogelijkheden voor de Uniewetgever zijn in dat opzicht derhalve beperkter dan ten tijde van de totstandkoming van Richtlijn 95/46. Tegelijkertijd betekenen deze ontwikkelingen ook dat de ruimte voor de lidstaten om terzake van het fundamenteel recht op bescherming van persoonsgegevens eigen afwegingen te maken, beperkter is dan voorheen. De ontwerpverordening zal dat effect nog aanzienlijk versterken.
Voor de ontwerpverordening geldt dat zij veel uitgebreider is dan de huidige Richtlijn 95/46. In de ontwerpverordening wordt een aantal nieuwe onderwerpen geregeld terwijl de thans al in Richtlijn 95/46 geregelde thema’s in de ontwerpverordening ongewijzigd blijven dan wel terugkeren in de vorm van een gedetailleerdere regeling. Het belangrijkste verschil tussen het Kaderbesluit 2008/977 en de ontwerp-richtlijn is dat de laatste anders dan Kaderbesluit 2008/977 ook betrekking heeft op de verwerking van politiële en justitiële gegevens die uitsluitend binnen een en dezelfde lidstaat plaatsvindt. Dit heeft geen gevolgen voor de Nederlandse rechtsorde, omdat de Wpg en Wjsg dezelfde normen voor binnenlandse gegevensverwerking al bevatten.
Het voert te ver om in deze voorlichting alle verschillen uitputtend te behandelen. Op enkele essentiële aanpassingen ten opzichte van het thans geldende recht wordt wel ingegaan. Het betreft:
– het doelbindingsbeginsel;
– de rechten van de betrokkene;
– de verplichtingen van de verantwoordelijke.
Belangrijke verschillen met de huidige situatie die zien op de verhouding tot andere grondrechten, op de voorgestelde toezichts- en handhavingsstructuur en op de uitwisseling van gegevens met derde landen komen in de desbetreffende paragrafen aan de orde. Voor het overige zij verwezen naar de bijlage waarin de verschillen tussen de voorstellen van de Commissie en de op dit moment geldende regels zijn opgesomd.
Een van de beginselen die in artikel 8 EU-Handvest zijn verankerd is het beginsel van doelbinding. Dat beginsel houdt in dat het doel waarvoor gegevens worden verzameld duidelijk en specifiek omschreven moet worden, zodat voor de betrokkene kenbaar is waarvoor zijn gegevens gebruikt gaan worden. De doelbinding gaat niet zover dat gegevens alleen mogen worden verwerkt voor het doel waarvoor zij zijn verkregen. Evenals in de huidige Richtlijn 95/4658 wordt in de ontwerpverordening59 bepaald dat het doel voor verdere verwerking «verenigbaar» dient te zijn met het doel waarvoor de gegevens oorspronkelijk zijn verzameld. Uitzonderingen op het voorschrift van verenigbaar gebruik zijn onder strikte voorwaarden mogelijk.60
De grenzen van het aldus geregelde doelbindingsbeginsel zijn relatief onbepaald. Wat in een bepaalde situatie als «verenigbaar gebruik» heeft te gelden, is onduidelijk. Deze norm lijkt bovendien moeilijk toepasbaar in een Internetomgeving. Moeilijk te controleren valt op welke wijze en voor welke doeleinden persoonsgegevens worden gebruikt indien zij eenmaal op Internet zijn geplaatst. De vraag is daarmee hoe het doelbindingsbeginsel mede gelet op de technologische ontwikkelingen, in de nieuwe wetgeving moet worden vormgegeven en vervolgens moet worden gehandhaafd. Ter precisering van Richtlijn 95/46 is in artikel 9, tweede lid, Wbp een niet-limitatieve lijst van afwegingsfactoren opgenomen waarmee bij de interpretatie van de norm van «verenigbaar gebruik» rekening dient te worden gehouden. Het is van belang dat bij de totstandkoming van de ontwerpverordening en van de ontwerprichtlijn ernaar wordt gestreefd om enerzijds de betekenis van het doelbindingsbeginsel te concretiseren en anderzijds aandacht te besteden aan de wijze waarop dit beginsel kan worden gehandhaafd.
Artikel 6, vierde lid, van de ontwerpverordening bevat ten opzichte van Richtlijn 95/46 een nieuwe bepaling betreffende verwerkingen die niet verenigbaar zijn met het doel waarvoor persoonsgegevens oorspronkelijk zijn verzameld. De verwerking moet in dat geval minstens gegrond zijn op een van de in artikel 6, eerste lid, onder a tot en met e genoemde gronden. Deze bepaling kan zo worden gelezen dat indien een met het oorspronkelijk doel onverenigbare verwerking een rechtsgrondslag heeft in een van de in artikel 6, eerste lid, onder a tot en met e genoemde gronden, de verwerking reeds om die reden rechtmatig is. Daarmee wordt miskend dat de vereisten van doelbinding en van een rechtmatige grondslag complementair zijn. Een rechtmatige grondslag is op zichzelf onvoldoende reden om gegevens te gebruiken voor doeleinden die niet verenigbaar zijn met het doel waarvoor zij oorspronkelijk zijn verzameld. Dit blijkt ook uit artikel 8, tweede lid, van het EU-Handvest waarin beide uitgangspunten zelfstandig naast elkaar worden gewaarborgd. Voorts is de vraag hoe artikel 6, vierde lid, zich verhoudt tot de algemene uitzonderingsbepaling van artikel 21. Op grond van deze bepaling zijn reeds algemene uitzonderingen op het doelbindingsbeginsel mogelijk.61 Artikel 6, vierde lid, betekent daarom in zijn huidige vorm in vergelijking tot de huidige situatie, een substantiële verlaging van het beschermingsniveau.62
Artikel 7 van de ontwerprichtlijn lijkt een met artikel 6, vierde lid van de ontwerpverordening vergelijkbare beperking van het doelbindingsbeginsel tot gevolg te hebben. Dit artikel bepaalt dat het verwerken van persoonsgegevens slechts rechtmatig is wanneer de verwerking noodzakelijk is op een van de onder a tot en met d genoemde gronden. Een van die gronden (onderdeel a) betreft het uitvoeren van een taak door een bevoegde autoriteit met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen.63 De overige in artikel 7 opgesomde gronden noemen geen enkel concreet doel of een doel dat buiten het toepassingsgebied van de richtlijn valt.64 De formulering van artikel 7 lijkt daarmee de verwerking van persoonsgegevens mogelijk te maken voor doeleinden die niet verenigbaar zijn met het oorspronkelijke doel. Ook deze bepaling lijkt daarmee het zelfstandige belang van doelbinding te miskennen naast het vereiste van een rechtmatige grondslag.65
Een kanttekening is ook mogelijk bij de algemene beperkingsclausule van artikel 21 van de ontwerpverordening. Zij constateert dat de in artikel 21, eerste lid, genoemde doelstellingen verder gaan dan de doelstellingen zoals geformuleerd in artikel 13 Richtlijn 95/46. Artikel 21, eerste lid, maakt uitzonderingen mogelijk op een groot aantal bepalingen van de ontwerpverordening ter bescherming van algemene belangen van de Unie of van een lidstaat. Blijkens de formulering van artikel 21, eerste lid, onderdeel c, betreft het, anders dan in het geldende artikel 13 Richtlijn 95/46, geen limitatieve opsomming. Indien geen verlaging van het huidige beschermingsniveau is beoogd, is van belang om in lijn met het huidige artikel 13 Richtlijn 95/4666 de publieke belangen ter bescherming waarvan de in de ontwerpverordening neergelegde rechten mogen worden beperkt, nader te specificeren.67
Hoofdstuk III van de ontwerpverordening bevat de rechten van de betrokkene. In vergelijking met de bestaande wetgeving zijn enkele nieuwe rechten toegevoegd. De belangrijkste daarvan zijn:
– Het algemene recht om gegevens te laten uitwissen dat ook in Richtlijn 95/46 was opgenomen68 is in artikel 17 omgevormd tot een recht om – kort gezegd – vergeten te worden. Het recht is er vooral op gericht om persoonsgegevens op Internet te laten wissen en verdere verspreiding van die gegevens te voorkomen;
– Het recht op gegevensoverdraagbaarheid in artikel 18. Het vormt een versterking van de positie van de betrokkene om zelf de regie over de verwerking van zijn persoonsgegevens te houden door een kopie te krijgen van zijn gegevens en deze langs electronische weg over te dragen naar een ander geautomatiseerd verwerkingssysteem;
– Het recht niet te worden onderworpen aan profilering in artikel 20. Het artikel is een uitbreiding van artikel 15 Richtlijn 95/46 en heeft als doel te voorkomen dat voor burgers nadelige besluiten uitsluitend worden gebaseerd op door middel van geautomatiseerde verwerking van persoonsgegevens tot stand gebrachte persoonsprofielen.
Deze nieuwe rechten trachten een invulling te geven aan de doelstelling van de voorstellen om de wetgeving inzake bescherming van persoonsgegevens in overeenstemming te brengen met de technologische ontwikkelingen.
De Afdeling onderschrijft deze doelstelling. De voortschrijdende technologische ontwikkelingen dwingen de wetgever nader te bezien in hoeverre de bestaande regels nog voldoende bescherming bieden en voor zover dat niet het geval is de wetgeving aan te passen. Tegelijkertijd dient te worden gewaakt voor te hooggespannen verwachtingen. Wat de nieuwe rechten in de ontwerpverordening precies inhouden en onder welke voorwaarden deze rechten mogen worden beperkt, is nog niet voldoende geconcretiseerd. Ook rijst de vraag in hoeverre deze rechten in de praktijk effectief zullen zijn. Naar het oordeel van de Afdeling dienen de genoemde nieuwe rechten in de ontwerpverordening inhoudelijk nauwkeuriger te worden ingevuld om daadwerkelijk toegevoegde waarde te kunnen hebben. Zonder de noodzakelijke duidelijkheid zou de schijn van toegenomen bescherming van persoonsgegevens kunnen ontstaan, terwijl daarvan in de praktijk niet of slechts in beperkte mate sprake zal zijn.
Hoofdstuk IV van de ontwerpverordening bevat de belangrijkste verplichtingen van de verantwoordelijke voor de gegevensverwerking. In deze verplichtingen hebben zich belangrijke verschuivingen voorgedaan in vergelijking met Richtlijn 95/46. Het meest in het oog springt de afschaffing van de meldingsplicht aan de nationale toezichthoudende autoriteiten, voorafgaand aan verwerkingen van persoonsgegevens.69 Deze meldingsplicht werd door veel verantwoordelijken als een forse administratieve belasting ervaren. De naleving bleek gebrekkig terwijl met de binnengekomen meldingen weinig werd gedaan. Een belangrijke lastenverlichting is voorts gelegen in het feit dat de verantwoordelijke die in meer dan één lidstaat is gevestigd voortaan slechts te maken heeft met de toezichthoudende autoriteit van de lidstaat waar zich de belangrijkste vestiging van de verantwoordelijke bevindt.70
Tegenover deze lastenverlichtingen staat een substantieel aantal grotendeels nieuwe verplichtingen die voor de verantwoordelijke een aanzienlijke lastenverzwaring met zich kunnen brengen. Daarbij gaat het in de eerste plaats om bepalingen die beogen de transparantie van de gegevensverwerking en de verantwoording door de verantwoordelijke te bevorderen. Deze verplichtingen zijn vastgelegd in artikel 22 van de ontwerpverordening en uitgewerkt in de daaropvolgende artikelen. Uit het voorgestelde artikel 22, tweede lid, blijkt dat de maatregelen die een verantwoordelijke in elk geval moet nemen, betrekking hebben op:
– het bewaren van documentatie inzake alle verwerkingen die onder hun verantwoordelijkheid hebben plaatsgevonden;71
– het voldoen aan vereisten inzake de gegevensbeveiliging;72
– het uitvoeren van een privacyeffectbeoordeling;73
– het voldoen aan eisen inzake voorafgaande toestemming of voorafgaande raadpleging van de toezichthoudende autoriteit74 en
– het aanwijzen van een functionaris voor gegevensbescherming.75
Daarnaast bevat artikel 23 een verplichting tot gebruikmaking van privacy by design en privacy by default. Deze verplichting leidt ertoe dat al bij het vaststellen en ontwerpen van de middelen van verwerking (over het algemeen zijn dat geprogrammeerde elektronische verwerkingsmiddelen) passende technische en organisatorische maatregelen worden getroffen die erop gericht zijn de rechten van betrokkenen overeenkomstig de verordening te beschermen. Voorts kan nog gewezen worden op de verplichting tot melding van inbreuken in verband met persoonsgegevens op grond van artikel 31 en 32.76 Deze verplichtingen komen bovenop de reeds bestaande verplichting voor de verantwoordelijke om de betrokkene uit eigen beweging te informeren over de door hem verwerkte persoonsgegevens.77
De Afdeling onderschrijft het uitgangspunt dat primair de voor de verwerking verantwoordelijke moet kunnen worden aangesproken op de bescherming van persoonsgegevens die door hem worden verwerkt. Ook is met het oog op een effectieve bescherming noodzakelijk dat verantwoordelijken burgers zo goed mogelijk informeren. Deze doelstellingen worden echter niet vanzelfsprekend gediend door een opeenstapeling van wettelijke verplichtingen. Bovendien dient een afweging plaats te vinden tussen het belang van een optimale bescherming van persoonsgegevens en het belang van een adequate taakuitvoering door verantwoordelijken. Het laatste brengt met zich dat zekere grenzen worden gesteld aan de verplichtingen die aan verantwoordelijken worden opgelegd.
Gezien de aard en de omvang van de in de ontwerpverordening neergelegde verplichtingen is het de vraag of de vermindering van administratieve lasten die de ontwerpverordening beoogt te realiseren, daadwerkelijk zal worden bereikt.78 Wellicht is eerder het tegendeel het geval. Voor zover in de toelichting op de voorstellen op de omvang van de administratieve lasten wordt ingegaan, is deze toelichting te beperkt. In de effectenanalyse die de Commissie heeft laten uitvoeren wordt betoogd dat de verplichting om documenten te bewaren inzake alle verwerkingen die onder de verantwoordelijkheid van de verantwoordelijke plaatsvinden79 niet meer is dan een minimumvereiste dat deel uitmaakt van de standaard interne administratie en daarom op zichzelf geen extra last zou vormen.80 Naar het oordeel van de Afdeling is deze motivering niet overtuigend. Ook overigens krijgen de administratieve lasten in de voorstellen tot dusverre onvoldoende aandacht. Een beter inzicht in hoeverre de voorstellen leiden tot een af- dan wel een toename van de administratieve lasten en hoe gelet daarop het belang van de verantwoordelijke om de administratieve lasten te beperken enerzijds en het belang van het individu tot uitoefening van het recht op bescherming van zijn persoonsgegevens anderzijds dienen te worden afgewogen, is gewenst. Op grond daarvan dient nader bekeken te worden in hoeverre deze afweging ertoe moet leiden de voorstellen op bepaalde punten te vereenvoudigen.
Sommige verplichtingen zijn alleen van toepassing op bedrijven met meer dan 250 medewerkers.81 Het is de vraag of bedrijfsgrootte het juiste criterium is voor afwijkende rechtsregels en of de keuzes in de ontwerpverordening op dit punt niet beter kunnen worden gegrond op de risico’s die verwerkingen veroorzaken uit een oogpunt van de bescherming van de persoonlijke levenssfeer.82
De toelichtingen bij zowel de ontwerpverordening als de ontwerprichtlijn besteden aandacht aan de grondrechtelijke vraagstukken rondom de beide voorstellen. In de toelichting bij de ontwerpverordening staat voorop dat deze uitwerking geeft aan het recht op bescherming van persoonsgegevens zoals gewaarborgd in artikel 8 EU-Handvest, artikel 16 VWEU en artikel 8 EVRM. De toelichting wijst er op dat het Hof van Justitie in het arrest Schecke en Eifert heeft beklemtoond dat het recht op bescherming van persoonsgegevens geen absolute gelding heeft, maar in relatie tot de functie ervan in de maatschappij moet worden beschouwd.83 Dit brengt met zich dat het belang dat gediend wordt met de uitoefening van het recht op bescherming van persoonsgegevens moet worden afgewogen tegen andere in het geding zijnde belangen. Daarbij kunnen ook andere grondrechten dan het recht op bescherming van persoonsgegevens in het geding zijn.
De toelichting op de ontwerpverordening verwijst naar diverse bepalingen die raken aan specifieke grondrechten.84 Niet al deze bepalingen geven de Afdeling op dit moment aanleiding hierop in te gaan. In de hierna volgende paragrafen wordt alleen ingegaan op de verhouding met de vrijheid van meningsuiting (artikel 11 Handvest), het verbod op discriminatie (artikel 21 Handvest), de rechten van het kind (artikel 24 Handvest) en de vrijheid van godsdienst, meer in het bijzonder de positie van kerkgenootschappen (artikel 17 VWEU jo. artikel 10 Handvest).
Artikel 80 van de ontwerpverordening bevat een specifieke bepaling gericht op journalistieke of artistieke en literaire doeleinden. Deze houdt in dat de lidstaten met het oog op deze doeleinden voorzien in uitzonderingen op of afwijkingen van belangrijke onderdelen van de verordening. De uitzondering voor journalistieke doeleinden moet, gelet op de rechtspraak van het Hof van Justitie zeer ruim worden uitgelegd.85 Deze rechtspraak wordt in overweging 121 bij de ontwerpverordening vastgelegd:
«Voor de in het kader van deze verordening vast te stellen uitzonderingen en afwijkingen dienen de lidstaten activiteiten derhalve als «journalistiek» aan te merken, indien deze activiteiten de bekendmaking aan het publiek van informatie, meningen of ideeën tot doel hebben, ongeacht het voor de doorgifte gebruikte medium. Het hoeft niet noodzakelijkerwijs om activiteiten van mediaondernemingen te gaan en zij kunnen met of zonder winstoogmerk worden uitgevoerd.»
De Afdeling meent dat het vanuit het oogpunt van een juiste afstemming met de vrijheid van meningsuiting de voorkeur verdient in de tekst van artikel 80 aan te sluiten bij de formulering van het Hof van Justitie en de uitzondering toe te spitsen op uitingen die «tot doel hebben de bekendmaking aan het publiek van informatie, meningen of ideeën, ongeacht het overdrachtsmedium».86
De voorwaarden waaronder op grond van artikel 80 van de ontwerpverordening mag worden afgeweken, wijken af van het thans geldende artikel 9 van Richtlijn 95/46. Hierin is vastgelegd dat de uitzonderingen op of afwijkingen van de bepalingen van de richtlijn alleen zijn toegestaan «voor zover deze nodig blijken» om het recht op persoonlijke levenssfeer te verzoenen met de regels betreffende de vrijheid van meningsuiting. De afwezigheid van de noodzakelijkheidseis in de clausulering van het voorgestelde artikel 80 kan de suggestie wekken dat de uitzonderingsmogelijkheid verruimd is. In de toelichting op de ontwerpverordening wordt de wijziging van de formulering niet toegelicht. Naar het oordeel van de Afdeling verdient het de voorkeur in de tekst van de ontwerpverordening aan te sluiten bij het thans geldende artikel 9 Richtlijn 95/46.87
Artikel 9 van de ontwerpverordening en artikel 8 van de ontwerprichtlijn bevatten een verbod op de verwerking van bijzondere categorieën persoonsgegevens. In het tweede lid van beide bepalingen zijn limitatief de uitzonderingen op het verbod geformuleerd. De inhoud en systematiek van beide artikelen sluiten grotendeels aan bij het huidige artikel 8 van Richtlijn 95/46. Uitzonderingsmogelijkheden zijn limitatief opgenomen in het tweede lid van de beide bepalingen.
De in artikel 9, tweede lid, van de ontwerpverordening geregelde uitzonderingen bevatten allen een noodzakelijkheidscriterium.88 Dit betekent dat steeds moet worden aangetoond dat een uitzondering op het verbod om gevoelige gegevens te verwerken noodzakelijk en proportioneel is. Artikel 8, tweede lid, van de ontwerprichtlijn wijkt echter van deze systematiek af. Op grond van artikel 8, tweede lid, onder a, is het verbod van verwerking van gevoelige persoonsgegevens niet van toepassing indien de verwerking is toegestaan op grond van wetgeving die passende waarborgen biedt. De noodzakelijkheidseis ontbreekt. Dit wijkt tevens af van het thans geldende artikel 6 van Kaderbesluit 2008/977 dat bepaalt dat een uitzondering op het verbod van verwerking van gevoelige gegevens alleen mogelijk is «wanneer dit strikt noodzakelijk is». De Afdeling meent dat de formulering van artikel 8, tweede lid, onder a, van de ontwerprichtlijn uit grondrechtelijk oogpunt tekortschiet. Omdat artikel 8, tweede lid, onder a bescherming beoogt te bieden aan het verbod van discriminatie en uit dien hoofde het maken van onderscheid bij de verwerking van gevoelige persoonsgegevens alleen geoorloofd moet worden geacht voor zover dat onderscheid noodzakelijk is, dient de formulering van artikel 8, tweede lid, van de ontwerprichtlijn naar het oordeel van de Afdeling in overeenstemming te worden gebracht met het huidige artikel 6 van Kaderbesluit 2008/977.
De ontwerpverordening houdt op diverse plaatsen rekening met de rechten van het kind zoals gewaarborgd in artikel 24 Handvest. Dit is een belangrijke wijziging in vergelijking tot Richtlijn 95/46. Deze geeft geen specifieke regels ter bescherming van de rechten van het kind. Zo is in artikel 8 van de ontwerpverordening een bepaling ter bescherming van de rechten van kinderen opgenomen in de vorm van een toestemmingsvereiste voor ouders voor de rechtmatige aanbieding van «diensten van de informatiemaatschappij» aan kinderen onder de 13 jaar. In een internetomgeving is dit relevant. Hoewel de Afdeling voorstander is van een zodanige bescherming vraagt zij aandacht voor de effectiviteit van deze bepaling. Deze lijkt sterk afhankelijk van de verifieerbaarheid van de vereiste toestemming. Hier is een belangrijke taak weggelegd voor de Commissie. Op grond van artikel 8, derde lid, zal de Commissie nadere invulling moeten geven aan de criteria en vereisten voor de methoden ter verkrijging van deze verifieerbare toestemming.
Anders dan de ontwerpverordening bevat de ontwerprichtlijn geen specifieke bepalingen over kinderen.89 Gezien de bijzondere positie van kinderen in justitiële- en strafzaken is dat opvallend. Met name het bewaren en verder verwerken van strafrechtelijke gegevens van jeugdigen zou met de nodige waarborgen omgeven moeten zijn. In de huidige Nederlandse wetgeving is dat reeds het geval.90 De Afdeling is van oordeel dat parallel aan de voorgestelde ontwerpverordening, in de ontwerprichtlijn daar waar nodig bijzondere regels ter bescherming van de rechten van kinderen moeten worden opgenomen.91
Artikel 85 van de ontwerpverordening bevat een bijzondere bepaling omtrent reeds bestaande regels voor gegevensbescherming binnen kerken en religieuze verenigingen. Zij beoogt daarmee uitvoering te geven aan de waarborg van artikel 17, eerste lid, VWEU. Hierin wordt bepaald dat de EU de nationaalrechtelijke status van kerkgenootschappen en religieuze verenigingen en gemeenschappen eerbiedigt en daaraan geen afbreuk doet. Artikel 17 VWEU vormt een concretisering van een belang dat beschermd wordt door de vrijheid van godsdienst, zoals vastgelegd in artikel 10 EU-Handvest. Een bepaling als artikel 85 ontbreekt in Richtlijn 95/46. Ook naar de huidige stand van het Nederlands recht zijn voor kerken geen uitzonderingen gecreëerd. Zij zijn onderworpen aan de Wbp en aan het door het Cbp uitgeoefende toezicht.
Artikel 17, eerste lid, VWEU dwingt niet tot het opnemen in de ontwerpverordening van een bepaling als het voorgestelde artikel 85. De ontwerpverordening laat vanwege de veelvuldig daarin voorkomende open normstelling de nodige ruimte voor een op de specifieke positie van de betreffende verantwoordelijke toegespitste afweging. Dat geldt ook voor kerkgenootschappen. De clausulering van het voorgestelde artikel 21 staat immers beperkingen toe voor zover deze noodzakelijk en evenredig zijn ter waarborging van «de bescherming van de rechten en vrijheden van anderen». In het licht van het voorgaande wordt een motivering van de noodzaak van een bijzondere regeling zoals thans voorgesteld, node gemist.
Het voorgestelde artikel 85 lijkt voorts in zichzelf tegenstrijdig. Het artikel bepaalt immers dat bestaande eigen voorschriften van kerken en religieuze verenigingen en gemeenschappen met betrekking tot de verwerking van persoonsgegevens van toepassing kunnen blijven, mits zij in overeenstemming worden gebracht met de bepalingen van de verordening. Deze voorwaarde van inhoudelijke overeenstemming met de verordening lijkt de vrijheid om de eigen voorschriften in stand te houden grotendeels teniet te doen. Dat doet tevens de vraag rijzen hoe het voorgestelde artikel 85 zich verhoudt tot artikel 17, eerste lid, VWEU. Gezien het bovenstaande dient de formulering van artikel 85 van de ontwerpverordening voor het geval het wordt gehandhaafd, te worden verduidelijkt.
De technologische ontwikkelingen hebben het in sterk toenemende mate mogelijk gemaakt persoonsgegevens over de grenzen van landen heen met elkaar uit te wisselen. Zeker in een internetomgeving spelen landsgrenzen een steeds marginalere rol. Om een effectieve bescherming mogelijk te maken wordt in de voorstellen dan ook terecht veel aandacht besteed aan de extraterritoriale kenmerken van het stelsel. Een belangrijke vernieuwing is vanuit dit perspectief gelegen in artikel 3 van de ontwerpverordening waarin het geografisch toepassingsgebied van de regeling nader is bepaald. In artikel 3, tweede lid, is geregeld dat de verordening van toepassing is op de verwerking van persoonsgegevens van in de Unie wonende betrokkenen door een niet in de EU gevestigde verantwoordelijke wanneer de verwerking betrekking heeft op het aanbieden van goederen of diensten aan deze betrokkenen of op het observeren van hun gedrag. Deze bepaling betekent een belangrijke uitbreiding van de werkingssfeer van het Europese gegevensbeschermingsrecht in vergelijking tot de huidige situatie. De huidige Richtlijn 95/46 is in beginsel alleen van toepassing op verantwoordelijken voor zover zij een vestiging hebben in een of meer lidstaten.92
Daarnaast besteden de voorstellen veel aandacht aan de relatie tussen de lidstaten en derde landen. Hoofdstuk IV van de ontwerpverordening en Hoofdstuk V van de ontwerprichtlijn bevatten de voorwaarden waaronder persoonsgegevens kunnen worden doorgegeven naar een derde land. Deze bepalingen vormen in belangrijke mate een voortzetting van de bestaande regelgeving gebaseerd op Richtlijn 95/46. Het uitgangspunt van de voorgestelde regeling is met het oog op doorgifte van persoonsgegevens aan een derde land een passend beschermingsniveau gewaarborgd moet zijn in het betreffende derde land. De criteria van artikel 41, tweede lid, van de ontwerpverordening op basis waarvan de Commissie bepaalt of derde landen een passend beschermingsniveau van persoonsgegevens waarborgen om doorgifte van gegevens dit land mogelijk te maken, zijn in belangrijke mate gebaseerd op de bestaande criteria uit Richtlijn 95/46.93 Indien geen passend beschermingsniveau aanwezig is of een zodanig niveau nog niet door de Commissie is vastgesteld zijn er grosso modo twee categorieën van situaties waarin doorgifte van gegevens aan een derde land mogelijk is. Het betreft:
– Doorgiften op basis van een juridisch bindend instrument (bijvoorbeeld een contract of een bedrijfsvoorschrift) dat passende garanties biedt voor de bescherming van persoonsgegevens (art. 42–43).
– Doorgiften op grond van een van de uitdrukkelijk in de verordening genoemde uitzonderingsgronden (art. 44).
Deze systematiek komt overeen met die van Richtlijn 95/46. Op grond van de voorgestelde teksten moet voorshands worden aangenomen dat het huidige beschermingsniveau van Richtlijn 95/46 in de verordening zal worden gehandhaafd. Wel bevat de regeling in de ontwerpverordening op bepaalde punten een nadere specificatie ten opzichte van de geldende regels. Bijzondere aandacht vergt de verhouding met bestaande internationale overeenkomsten en voor de formulering van bepaalde uitzonderingen op grond waarvan gegevens kunnen worden doorgegeven aan een derde land waarvoor de Commissie geen passend beschermingsniveau heeft vastgesteld.
De ontwerpverordening bevat geen specifieke bepalingen omtrent internationale overeenkomsten tussen de EU en derde landen omtrent de uitwisseling van persoonsgegevens. Overweging 79 bij de ontwerpverordening bepaalt echter dat de verordening geen afbreuk doet aan dergelijke internationale overeenkomsten. Overweging 90 gaat in op de situatie waarin een derde land wettelijke voorschriften met extraterritoriale werking heeft vastgesteld waarmee wordt beoogd gegevensverwerkingen die vallen onder de jurisdictie van de lidstaten, rechtstreeks te regelen. In genoemde overweging wordt gesteld dat de extraterritoriale toepassing van deze voorschriften een belemmering kan vormen voor de bij deze verordening gewaarborgde bescherming. Doorgiften dienen ook in die gevallen alleen te kunnen plaatsvinden indien voldaan is aan de voorwaarden die in deze verordening worden gesteld aan doorgifte aan derde landen, aldus overweging 90.
Het onderwerp is de afgelopen jaren herhaaldelijk onderwerp van maatschappelijk debat geweest. Voorbeelden daarvan zijn de PNR-overeenkomsten aangaande de verstrekking van passagiersgegevens, de verstrekking van financiële transactiegegevens via SWIFT en de gevolgen van de USA Patriot-Act voor de bescherming van persoonsgegevens. Hoe deze verstrekkingen zich verhouden tot de ontwerpverordening, blijkt op dit moment nog niet uit de ontwerpverordening zelf. De tekst zou kunnen worden verduidelijkt door in de ontwerpverordening vast te leggen dat de verordening alleen buiten toepassing blijft bij reeds bestaande internationale overeenkomsten. Daarbij zou ook kunnen worden voorzien in overgangsrechtelijke maatregelen.94 Voor het overige zou overeenkomstig overweging 90 als uitgangspunt kunnen gelden dat toekomstige doorgiftes aan derde landen al dan niet op grond van een internationale overeenkomst alleen kunnen plaatsvinden indien voldaan is aan de in de verordening gestelde voorwaarden. Dit betekent enerzijds dat doorgifte aan een derde land op grond van extraterritoriale toepassing van in dat land geldende wettelijke voorschriften niet wordt erkend als de doorgifte niet in overeenstemming is met de verordening, anderzijds dat doorgifte aan een derde land waarvoor geen passend beschermingsniveau is vastgesteld, onder de in de verordening gestelde voorwaarden mogelijk blijft.
Artikel 44 van de ontwerpverordening bepaalt onder welke voorwaarden persoonsgegevens doorgegeven kunnen worden aan derde landen of internationale organisaties in de gevallen waarin geen besluit over een passend beschermingsniveau op grond van artikel 41 is genomen en er ook geen juridisch bindend instrument met passende garanties als bedoeld in artikel 42 voorhanden is op grond waarvan doorgifte naar een derde land kan worden gebaseerd. Vanwege het open karakter van sommige van de in artikel 44 opgenomen clausuleringen95 kan bij een al te ruimhartige toepassing de hoofdregel van de verordening – alleen doorgifte in geval van een passend beschermingsniveau – gemakkelijk worden ondermijnd. Dat risico kan worden beperkt door in de overwegingen vast te leggen dat de uitzonderingsmogelijkheden van artikel 44 strikt dienen te worden geïnterpreteerd.
In artikel 44, eerste lid, is voor de specifieke uitzonderingsgrond onder h vastgelegd dat doorgifte alleen is toegestaan voor zover deze niet als frequent of massaal kan worden beschouwd. De vraag is in hoeverre in overeenstemming daarmee niet ook voor alle overige in artikel 44 geregelde uitzonderingsgronden als uitgangspunt moet worden geformuleerd dat het alleen kan gaan om incidentele gevallen en niet om doorgiftes die veelvuldig en massaal moeten plaatsvinden. Voor dergelijke doorgiftes dient zo mogelijk in artikel 41 of 42 van de ontwerpverordening een grondslag te worden gevonden.
Artikel 44, eerste lid, onder d, maakt doorgifte naar een derde land mogelijk indien die doorgifte noodzakelijk is wegens «gewichtige redenen van algemeen belang». Uit overweging 87 bij de ontwerpverordening blijkt dat het daarbij kan gaan om internationale gegevensuitwisselingen tussen mededingingsautoriteiten, belasting- of douanediensten, financiële toezichthoudende autoriteiten, diensten met bevoegdheid op het gebied van de sociale zekerheid of de autoriteiten belast met de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten. Blijkens de formulering gaat het om een niet-limitatieve opsomming. In dit licht bezien is de in artikel 44, eerste lid, onder d, opgenomen clausule te ruim. Het is van belang om in lijn met artikel 8, tweede lid, EVRM en in overeenstemming met de opzet van de algemene beperkingsclausule van artikel 21 van de ontwerpverordening96, in artikel 44, eerste lid, de publieke belangen die een gewichtige reden kunnen opleveren voor doorgiftes naar een derde land, te specificeren.
Hiervoor is opgemerkt dat de ontwerpverordening als uitgangspunt kiest dat primair de verantwoordelijke dient te worden aangesproken op de bescherming van de persoonsgegevens die door hem worden verwerkt. Daartoe zijn in de ontwerpverordening de nodige verplichtingen voor de verantwoordelijke opgenomen. Los van de vraag of hier steeds de juiste keuzes zijn gemaakt97 zullen deze bepalingen hoe dan ook onvoldoende effect sorteren indien niet is voorzien in een effectief systeem van toezicht en handhaving. Dat geldt te meer nu uit de evaluaties van de op Richtlijn 95/46 gebaseerde Wbp blijkt dat de uitvoering van deze wet tekortschiet. Een sterk systeem van toezicht en handhaving vormt mede in dat licht bezien een onontbeerlijk sluitstuk.
Met name de in de ontwerpverordening voorziene toezichts- en handhavingsstructuur is ingewikkeld. Deze structuur is gelaagd. Enerzijds regelt de ontwerpverordening de instelling, de samenstelling, de status en de taken en bevoegdheden van de nationale toezichthoudende autoriteiten. Anderzijds voorziet zij in een versterkt Europees toezicht waarbij een rol is weggelegd voor het Europees Comité voor gegevensbescherming, de Europese Toezichthouder voor de gegevensbescherming en de Europese Commissie. Ook als het gaat om het handhavingsinstrumentarium zullen zowel op nationaal als op Europees niveau regels gaan gelden. Het is op dit moment nog onduidelijk hoe deze regels op de verschillende niveaus zich precies tot elkaar zullen gaan verhouden. Vaststaat wel dat in vergelijking tot de huidige situatie het toezicht en de handhaving in sterkere mate op EU-niveau zal plaatsvinden.
De Afdeling acht het nog te vroeg om zinvolle uitspraken te kunnen doen over de doeltreffendheid van de voorgestelde toezichts- en handhavingsregels. In dit stadium volstaat zij met een aantal beschouwingen die een nader licht kunnen werpen op enkele constitutioneelrechtelijke aspecten van de gedane voorstellen.
De ontwerpverordening voorziet in de eerste plaats in de oprichting, de samenstelling, de status en de taken en bevoegdheden van de nationale toezichthoudende autoriteiten. Een aantal van deze aspecten moet bij nationale wet worden geregeld.98 De bepalingen van de ontwerprichtlijn sluiten hier grotendeels bij aan. De lidstaten zijn vrij om voor het toezicht op de verwerkingen waarop de richtlijn betrekking zal hebben, een of meer afzonderlijke toezichthouders aan te wijzen. Op grond van artikel 39, tweede lid van de ontwerprichtlijn kunnen lidstaten evenwel ook de toezichthoudende autoriteit aanwijzen die bevoegd zal zijn om toezicht te houden op de naleving van de verordening.
In artikel 52 en 53 van de ontwerpverordening is een lange opsomming opgenomen van taken en bevoegdheden die aan de nationale toezichthoudende autoriteit worden toegekend.99 Het betreft onder meer de behandeling van klachten, het geven van voorlichting en advies, de beoordeling en goedkeuring van bepaalde verwerkingen, de toepassing van uiteenlopende handhavingsbevoegdheden en de samenwerking met en bijstand aan de toezichthoudende autoriteiten van andere lidstaten. De prestaties van de toezichthouder zijn voor de betrokkene in beginsel kosteloos.100 De kosten van deze activiteiten zijn vooralsnog niet op toereikende wijze in kaart gebracht.101 Uit de Nederlandse praktijk is bekend dat het Cbp uit capaciteitsoverwegingen besloten heeft om binnen zijn takenpakket bepaalde prioriteiten te stellen.102 Dat heeft tot gevolg gehad dat bepaalde taken niet meer of slechts zeer beperkt worden uitgevoerd. Dit doet de vraag rijzen in hoeverre de voorgestelde taken en bevoegdheden in deze vorm moeten worden gehandhaafd en zo ja, hoe de financiering daarvan zal plaatsvinden.
Een belangrijk onderdeel van de voorgestelde regeling betreft de onafhankelijkheid van de toezichthouder. De ontwerpverordening schrijft in artikel 47, eerste en tweede lid, voor dat de toezichthouder bij de uitvoering van haar taken en de uitoefening van haar bevoegdheden volledig onafhankelijk optreedt en haar leden van wie dan ook geen instructies mogen ontvangen. Deze onafhankelijke positie was ook al vastgelegd in Richtlijn 95/46103 maar is nadien versterkt in de rechtspraak van het Hof van Justitie EU en in het primaire EU-recht. In het arrest Commissie tegen Duitsland104 heeft het Hof overwogen dat artikel 28, eerste lid, van Richtlijn 95/46 zo moet worden uitgelegd dat niet alleen elke beïnvloeding door de organen waarop toezicht wordt uitgeoefend, is uitgesloten maar ook elk bevel of elke andere beïnvloeding van buitenaf, hetzij rechtstreeks hetzij indirect, die de taakvervulling van de toezichthouder in het gedrang zou kunnen brengen. De onafhankelijkheid van de toezichthouder wordt ook gewaarborgd door artikel 16, tweede lid VWEU en artikel 8, derde lid, van het EU-Handvest.
Het bovenstaande past in de algemene tendens waarin het EU-recht steeds vaker en op verschillende terreinen regels stelt die beogen de onafhankelijkheid van nationale toezichthouders te waarborgen.105 In een aantal EU-richtlijnen is de onafhankelijkheid van de betreffende toezichthouder op een vergelijkbare wijze als in artikel 47 van de ontwerpverordening gewaarborgd.106 In sommige van deze richtlijnen wordt bepaald dat de onafhankelijkheidseis geen beletsel vormt voor toezicht overeenkomstig het nationale constitutionele recht.107 De Afdeling heeft eerder uit laatstgenoemde clausule afgeleid dat de door het EU-recht gestelde onafhankelijkheidseis geen afbreuk doet aan het door de bevoegde minister uit te oefenen toezicht op het beleid van de toezichthouder.108 Een dergelijke clausule ontbreekt echter in artikel 47 van de ontwerpverordening.
De toezichthouder zal ook toezicht moeten uitoefenen op de verwerking van persoonsgegevens waarvoor de overheid verantwoordelijk is. Het is om die reden begrijpelijk dat de onafhankelijkheid van de toezichthouder in dit geval sterk in het EU-recht is verankerd en de toezichthouder als gevolg hiervan in beginsel gevrijwaard is van ministerieel toezicht. Dat laat echter onverlet dat de toezichthouder dient te voldoen aan algemene beginselen van goed bestuur («good governance»). Zeker indien de toezichthouder – zoals thans wordt voorgesteld – beschikt over sterke sanctionerende bevoegdheden dient naar het oordeel van de Afdeling duidelijkheid te bestaan over de openbaarheid van zijn werkwijze, over de wijze waarop de toezichthouder belanghebbenden bij zijn beslissingen betrekt en waarop de toezichthouder verantwoording aflegt over de uitoefening van zijn bevoegdheden. Afgezien van het recht van de betrokkene om in bepaalde gevallen beroep in te stellen bij de rechter109 en de verplichting voor de toezichthouder om een jaarverslag op te stellen en naar het nationaal parlement te zenden110, is hieromtrent niets in de ontwerpverordening of in de ontwerprichtlijn geregeld.111
De verordening voorziet in de instelling van een onafhankelijk112 Europees Comité voor gegevensbescherming.113 Dit bestaat uit de nationale toezichthouders van de lidstaten en de Europese Toezichthouder voor gegevensbescherming.114 Het ziet toe op de consequente toepassing van de verordening en is met het oog op dat doel gericht op versterking van de samenwerking tussen de nationale toezichthouders onderling en tussen de nationale toezichthouders en de Commissie. Het Comité is de opvolger van de op Richtlijn 95/46 gebaseerde artikel 29-werkgroep.115 Het beschikt echter over uitgebreidere taken. Deze hebben onder meer betrekking op advisering aan de Commissie, onderzoek naar de toepassing van de verordening, het opstellen en evalueren van richtsnoeren, aanbevelingen en beste praktijken en het bevorderen van samenwerking en uitwisseling van kennis en informatie.116
De instelling van het Europees Comité voor gegevensbescherming sluit aan bij de ontwikkeling van een steeds verdergaande Europeanisering van het markttoezicht.117 Door Europese netwerkvorming worden nationale toezichthouders geleidelijk ingebed in de institutionele structuur van de EU. Dit kan ertoe leiden dat nationale toezichthouders losser komen te staan van hun nationale rechtsstelsel en zich steeds sterker gaan richten op hun Europese partners, meer in het bijzonder hun collega-toezichthouders in de andere lidstaten en de Europese Commissie. Dit roept nieuwe vragen op betreffende democratische legitimatie, verantwoording en rechtsbescherming die in bredere zin meer aandacht behoeven.
Verwacht mag worden dat de activiteiten van het Comité de harmonisatie van het gegevensbeschermingsrecht in de EU verder zullen stimuleren. Daarvoor is met name van belang de bevoegdheid van het Comité om op grond van artikel 66, eerste lid, onderdeel b, van de ontwerpverordening richtsnoeren, aanbevelingen en beste praktijken voor de toezichthoudende autoriteiten vast te stellen. Deze zijn strikt genomen juridisch niet bindend maar bepalen wel in hoge mate de inhoud van de handhaving. Het Comité zendt de richtsnoeren, aanbevelingen en beste praktijken toe aan de Commissie. Deze informeert het Comité over de maatregelen die zij naar aanleiding daarvan heeft genomen.118 Langs deze weg kunnen de door het Comité opgestelde richtsnoeren, aanbevelingen en beste praktijken de basis vormen voor gedelegeerde handelingen en uitvoeringsmaatregelen van de Commissie.
Het bovenstaande roept de vraag op hoe de werkwijze van het Comité zal zijn, in hoeverre en op welke wijze het Comité belanghebbenden bij de voorbereiding van aanbevelingen en richtsnoeren zal betrekken en op welke wijze en door wie het Comité op zijn activiteiten kan worden aangesproken. In de voorstellen wordt hieraan weinig aandacht besteed.119 Overwogen zou moeten worden hierover een aantal regels in de ontwerpverordening op te nemen. Voorts is van belang dat als het gaat om beleidsaangelegenheden zoals de vaststelling van richtsnoeren, aanbevelingen en beste praktijken, openbaarheid de hoofdregel is. Artikel 72, eerste en tweede lid, van de ontwerpverordening waarin de vertrouwelijkheid van de besprekingen van het Comité en van de aan het Comité voorgelegde documenten wordt geregeld, dienen naar het oordeel van de Afdeling in het licht van het voorgaande te worden aangepast.
Het Europees Comité voor gegevensbescherming speelt ook een belangrijke rol bij de in de ontwerpverordening voorziene conformiteitstoetsing. Deze toetsing is erop gericht om in gevallen waarin grensoverschrijdende activiteiten worden verricht die een aanzienlijke invloed kunnen hebben op het vrije verkeer van persoonsgegevens binnen de EU, op Europees niveau vast te stellen of de verordening correct en consequent wordt toegepast. Daartoe bevat de ontwerpverordening een complexe procedure120 die op verzoek van een nationale toezichthouder, het Comité of de Commissie kan worden gestart.121 Het Comité brengt vervolgens advies uit dat de bevoegde nationale toezichthouder in aanmerking moet nemen.122 Daarnaast heeft de Commissie een machtige positie. Zij kan advies uitbrengen123, een voorgenomen maatregel van een nationale toezichthouder schorsen124 en een uitvoeringsmaatregel vaststellen.125 Deze regeling komt erop neer dat de Commissie in de hier aan de orde zijnde gevallen de nationale toezichthouder kan «overrulen».
Het is begrijpelijk dat de Commissie in gevallen met sterke grensoverschrijdende effecten waarbij de consistente toepassing van de EU-regels nadrukkelijk in het geding kan zijn, bevoegdheden krijgt toegekend. Niettemin is de vraag hoe de dwingende bevoegdheden van de Commissie van artikel 60 en 61 zich verhouden tot de onafhankelijkheid van de nationale toezichthouders zoals gewaarborgd in artikel 8, derde lid, EU-Handvest, artikel 16 VWEU en artikel 47, eerste lid, van de ontwerpverordening zelf. Voorts is de vraag of, gezien de in de ontwerpverordening voorziene advisering door het Comité en gezien het feit dat de Commissie aan de beraadslagingen van het Comité zal deelnemen, de genoemde bevoegdheden noodzakelijk zijn om een consistente toepassing van de verordening te waarborgen. Tegen deze achtergrond dient te worden afgewogen of aan de Commissie zodanige sterke toezichthoudende bevoegdheden moeten worden toegekend als thans wordt voorgesteld.126
In de artikelen 78 en 79 van de ontwerpverordening is een sanctieregeling neergelegd. Artikel 78 bevat een algemene regeling die de nodige ruimte laat aan de lidstaten. Hieronder vallen alle sancties anders dan die in artikel 79 worden geregeld. Deze kunnen met name strafsancties en bestuurlijke herstelsancties betreffen zoals de last onder bestuursdwang en de last onder dwangsom. Voor deze sancties verandert er weinig ten opzichte van Richtlijn 95/46.127 De sanctionering zal moeten worden geregeld in de Nederlandse uitvoeringswetgeving waarin kan worden aangesloten bij het Wetboek van Strafrecht en titel 5.3 van de Awb (herstelsancties). Daarbij dienen de in artikel 78 geregelde randvoorwaarden van doeltreffendheid, evenredigheid en afschrikking in acht worden genomen.
Nieuw en van groot belang is de bijzondere regeling van de bestuurlijke boete in artikel 79. In artikel 79, vierde tot en met het zesde lid, is geregeld dat de toezichthoudende autoriteit voor bepaalde inbreuken op de ontwerpverordening een maximale boete oplegt van respectievelijk € 250 000,–, € 500 000,– en € 1 000 000,–. Het gaat steeds om een zogenoemde gebonden bevoegdheid. Dit betekent dat de toezichthoudende autoriteit verplicht is om een boete op te leggen als een of meer van de in het vierde tot en met zesde genoemde inbreuken zich voordoen en bovendien sprake is van opzet of nalatigheid. Het gebonden karakter van de bevoegdheden komt ten eerste tot uitdrukking in de formulering van de betreffende leden: «De toezichthoudende autoriteit legt een geldboete tot (...) op.» Ten tweede is ook in de toelichting op het voorstel uitdrukkelijk aangegeven dat een verplichting is beoogd.128 De in artikel 79, vierde tot en met het zesde lid, opgenomen bedragen zijn maximale boetes. Een toezichthoudende autoriteit kan derhalve besluiten tot het opleggen van een lagere boete. Daarbij is deze autoriteit echter gebonden aan artikel 79, tweede lid, waarin is bepaald dat de op te leggen administratieve sanctie in elke zaak doeltreffend, evenredig en afschrikkend moet zijn. Deze eisen zijn nader ingevuld in de rechtspraak van het Hof van Justitie EU. In artikel 79, tweede lid, zijn voorts nog andere factoren genoemd waarmee de toezichthouder bij het bepalen van de hoogte van de boete rekening dient te houden.129
De regeling van de bestuurlijke boete roept verschillende vragen op. Deze betreffen in de eerste plaats het feit dat het gaat om een verplichting. In de eerste plaats is het zeer de vraag of het realistisch is te veronderstellen dat de toezichthouders in de lidstaten feitelijk in staat zullen om zijn bij elke geconstateerde overtreding een boete op te leggen.130 Het gaat om overtreding van een grote hoeveelheid bepalingen van de verordening. Vanwege de vaagheid van de meeste van deze bepalingen of belangrijke onderdelen daarvan gaat het potentieel om zeer omvangrijke aantallen zaken. De onbepaaldheid van de normstelling zou weliswaar in een aantal gevallen kunnen afnemen doordat de Commissie op grond van de verordening gedelegeerde handelingen vaststelt maar de vraag is of dat – los van de wenselijkheid daarvan – voldoende soelaas zal kunnen bieden.
Naast praktische zijn er juridische vragen. Op het eerste gezicht laat artikel 79, mede gelet op de daarop gegeven toelichting, geen ruimte om een boete achterwege te laten. Niettemin kan de vraag rijzen of de toezichthouder in bepaalde gevallen, rekening houdend met de in artikel 79, tweede lid, genoemde afwegingsfactoren, de boete op € 0,– mag stellen zodat de facto geen boete wordt opgelegd. Verder is van belang hoe de voorwaarde van artikel 79, vierde tot en met zesde lid, dat de overtreding van de regels «opzettelijk» of «uit nalatigheid» moet zijn gepleegd, zal worden uitgelegd. Zeker in de bepaald niet uitzonderlijke gevallen dat het een vage norm betreft en de overtreder zich in redelijkheid op het standpunt kan stellen dat hij de regel niet overtreedt dan wel zich van een overtreding niet bewust is geweest, behoeft van opzet of nalatigheid geen sprake te zijn. Aannemelijk is dat in de praktijk hieromtrent de nodige geschillen zullen ontstaan.
Gelet op het bovenstaande is de vraag of de verplichting van de toezichthouder niet moeten vervangen door een discretionaire bevoegdheid. Daarmee wordt meer recht gedaan aan de werkelijkheid en stelt het systeem de toezichthouder beter in staat prioriteiten te stellen en rekening te houden met bijzondere omstandigheden. Een dergelijke wijziging betekent niet dat de toezichthouder vrij is om niet te handhaven. Op grond van het EU-recht is de toezichthouder immers gehouden om de effectieve werking van de verordening te garanderen en in geval van overtreding van de verordening sancties te treffen die doeltreffend, evenredig en afschrikkend zijn.
Voorts kan de vraag rijzen of vanwege de onbepaaldheid van de normstelling de procedure die kan leiden tot de oplegging van een bestuurlijke boete niet moet worden gepreciseerd. Overwogen zou kunnen worden om de toezichthouder de bevoegdheid toe te kennen een aanwijzing te geven tot naleving van de verordening. In die aanwijzing zou de toezichthouder ter concretisering van de wettelijke norm moeten aangeven welke gedraging op grond van de verordening van de verantwoordelijke wordt verwacht en hem zo mogelijk moeten opdragen om de overtreding geheel of gedeeltelijk te herstellen. Indien de aanwijzing niet binnen een bepaalde termijn wordt opgevolgd, kan vervolgens een boete worden opgelegd. Elders in de Nederlandse wetgeving worden ter uitvoering en handhaving van Europese regels vergelijkbare constructies gehanteerd.131
Voor zover het gaat om de boeteregeling rijst ten slotte de vraag in hoeverre deze ruimte laat voor toepassing van het nationale recht. In de Nederlandse situatie gaat het in het bijzonder om titel 5.4 van de Awb waarin algemene regels zijn opgenomen aangaande het opleggen van bestuurlijke boetes. Uit de jurisprudentie van het Hof van Justitie blijkt dat aanvulling van een verordening door vaststelling of toepassing van het nationale recht in beginsel niet is toegestaan, voor zover de verordening uitputtend is bedoeld. De verordening dient in dat geval te worden beschouwd als een volledig stelsel.132 Nader bezien dient te worden of in aanvulling op de verordening en op de in het EU-Handvest gewaarborgde rechten133 ruimte zou dienen te bestaan voor toepassing van nationale regels zoals titel 5.4 Awb.
De vice-president van de Raad van State, J. P. H. Donner
Onderwerp en plaats in Richtlijn 95/46/EG |
Ontwerpverordening |
---|---|
Artikel 2 (definities) |
Artikel 4: enkele nieuwe begrippen worden gedefinieerd (genetische gegevens, biometrische gegevens, bindende bedrijfsvoorschriften, gegevens over gezondheid, kind, toezichthoudende autoriteit, en nog enkele andere), ook worden sommige bestaande begrippen (licht) aangepast (bijvoorbeeld toestemming). |
Artikel 4 (toepasselijk nationaal recht/geografisch toepassingsgebied) |
Artikel 3, tweede lid: de verordening is van toepassing op de verwerking van persoonsgegevens van inwoners van de EU door een niet in de EU gevestigde verantwoordelijke wanneer de verwerking betrekking heeft op het aanbieden van goederen of diensten aan deze betrokkenen of op het observeren van hun gedrag. Artikel 4 van Richtlijn 95/46 bepaalt dat de richtlijn in beginsel alleen van toepassing is op verantwoordelijken met een vestiging hebben in een lidstaat. |
Artikel 7, onderdeel f (gerechtvaardigde belangen van verantwoordelijke) |
Artikel 6, eerste lid, onderdeel f: de rechtmatige verwerking indien dat noodzakelijk is voor de behartiging van de gerechtvaardigde belangen van de verantwoordelijke. Anders dan onder de richtlijn is dit niet van toepassing op de verwerking door overheidsinstanties. Bovendien geeft artikel 6, vijfde lid, de mogelijkheid aan de Commissie om via gedelegeerde handelingen invulling te geven aan de voorwaarden. |
Artikel 7, onderdeel d en e (verwerking voor wettelijke plicht of taak van algemeen belang) |
Artikel 6, eerste lid, onderdeel c en e, juncto artikel 6, derde lid: er wordt een algemene proportionaliteitseis toegevoegd aan de wettelijke grondslag voor verwerking van persoonsgegevens die noodzakelijk is voor het voldoen aan een wettelijke verplichting en de vervulling van een taak van algemeen belang of uitoefening van openbaar gezag. |
Onverenigbare verdere verwerking |
Artikel 6, vierde lid bevat een mogelijkheid tot verdere verwerking die niet verenigbaar is met het doel waarmee de gegevens verzameld zijn, als er maar een rechtmatige grondslag voor is. Dit staat niet in Richtlijn 95/46. |
Voorwaarden voor toestemming (niet in richtlijn) |
Artikel 7 werkt de voorwaarden voor toestemming in de verordening uit. |
Verwerking van persoonsgegevens van kinderen (niet in Richtlijn 95/46) |
Artikel 8: belangrijkste element: toestemming van ouders voor aanbiedingen van diensten aan kinderen onder de 13. De Commissie kan hierover gedelegeerde handelingen vaststellen. |
Artikel 8 (verwerking van bijzondere categorieën persoonsgegevens). |
Artikel 9: in hoofdlijnen dezelfde regeling als Richtlijn 95/46. Lid 3 bevat wel een bevoegdheid voor de Commissie om nadere invulling te geven aan de criteria. |
Artikel 12, onderdelen b en c: recht van rectificatie of uitwissing van gegevens |
Artikel 17: recht om te worden vergeten en om gegevens te wissen. In de kern hetzelfde als onder Richtlijn 95/46, maar heeft een bredere ambitie en is gedetailleerder uitgewerkt. Het tweede lid geeft specifieke voorschriften voor het opschonen van persoonsgegevens op internet. Deze bepaling is beperkt tot «alle redelijke maatregelen». |
Recht op gegevensoverdraagbaarheid (niet in Richtlijn 95/46) |
Artikel 18: recht om je eigen gegevens weg te halen bij de verantwoordelijke en over te brengen naar een andere verwerker. |
Artikel 15 (geautomatiseerde individuele besluiten) |
Artikel 20: maatregelen op basis van profilering. De bepaling is breder dan artikel 15 van Richtlijn 95/46, maar is gebaseerd op dezelfde principes. |
Artikel 13 (uitzonderingen en beperkingen) |
Artikel 21: algemene beperkingsbepaling. Ruimer geformuleerd dan artikel 13 van Richtlijn 95/46, door mogelijkheid om de reikwijdte van alle artikelen van 11 tot en met 20 te beperken (onder voorwaarden). Op grond van artikel 13 van Richtlijn 95/46 kon de reikwijdte van minder artikelen worden beperkt. Artikel 21 bevat, anders dan artikel 13 van Richtlijn 95/46, een algemene noodzakelijkheids- en proportionaliteitseis. |
Artikel 18 (meldingsplicht) |
Niet in verordening |
Algemene verantwoordingsplicht (niet in Richtlijn 95/46) |
Artikel 22: misschien wel de grootste inhoudelijke omslag van richtlijn naar verordening: de vervanging van de melding vooraf door de algemene verantwoordingsplicht, waarvan een bewaarplicht, eisen aan gegevensbeveiliging, uitvoeren van privacyeffectbeoordeling en instelling van een functionaris voor gegevensbescherming deel uitmaken. |
Artikel 18, tweede lid: mogelijkheid functionaris voor gegevensbescherming |
Artikel 35: functionaris voor gegevensbescherming in beginsel verplicht. Is gedetailleerd uitgewerkt. |
Artikel 25–26 (gegevensuitwisseling naar derde landen) |
Artikel 40–41: de uitgangspunten van artikel 25 van Richtlijn 95/46 zijn gelijk gebleven (De commissie kan verklaren dat een derde land een passend beschermingsniveau heeft). Nieuw is dat de verordening bindende bedrijfsvoorschriften expliciet regelt (artikel 43). |
Artikel 28 (toezichthoudende autoriteiten) |
Artikel 46–55: de regels over de toezichthoudende autoriteiten zijn gedetailleerder vastgelegd in de ontwerpverordening. Zo bevat artikel 48 expliciet een aantal voorwaarden aan de (benoeming van de) leden van de toezichthouder. Artikel 51, tweede lid, bepaalt dat de toezichthouder van de belangrijkste vestiging van een multinational, toezicht houdt op de verwerking door de verantwoordelijke in alle lidstaten (one stop shop). |
Samenwerking en conformiteitsregeling (niet in Richtlijn 95/46) |
Artikel 55–63: omdat toezichthouders ook toezien op verwerkingen in andere lidstaten, moeten ze goed samenwerken en is er een conformiteitsregeling opgenomen in de verordening. Bepaalde maatregelen van toezichthouders moeten gemeld worden bij het Europees Comité voor gegevensbescherming en bij de Europese Commissie. De Commissie kan maatregelen schorsen (artikel 60). |
Artikel 29–30 (Groep artikel 29) |
Artikel 64–72: Europees Comité voor gegevensbescherming. Het bestaande samenwerkingsverband van nationale toezichthouders (groep artikel 29) wordt opgewaardeerd tot het Europees Comité voor gegevensbescherming, dat taken heeft op het gebied van onder meer advisering, onderzoek en bevordering van samenwerking. Ook heeft het Comité een taak in de conformiteitsprocedure en is het verplicht een jaarverslag uit te brengen. De besprekingen van het Comité zijn vertrouwelijk (artikel 72). |
Artikel 22–24 (beroep, aansprakelijkheid en sancties) |
Artikel 73–79: de mogelijkheden voor beroep en schadevergoeding bouwen voort op de bestaande bepalingen in Richtlijn 95/46. Dat is anders bij de sancties. Artikel 79 geeft de toezichthoudende autoriteiten de bevoegdheid sancties op te leggen. De leden 4, 5 en 6 van dat artikel schrijven boetes voor in verschillende zwaartecategorieën, variërend van maxima van € 250 000,– tot € 1 000 000,–. De boetebepalingen zijn zo geformuleerd dat er voor de toezichthouders geen mogelijkheid lijkt om bij een overtreding geen sanctie op te leggen. |
Onderwerp en plaats in Kaderbesluit 2008/977/JBZ |
Ontwerprichtlijn |
---|---|
Artikel 1 (toepassingsgebied) |
Artikel 2: anders dan het kaderbesluit is de ontwerprichtlijn niet alleen van toepassing op grensoverschrijdende gegevensverwerking. Ook de binnenlandse gegevensverwerking door bevoegde autoriteiten valt binnen de reikwijdte van de ontwerprichtlijn. |
Artikel 2 (definities) |
Artikel 3: de definities zijn uitgebreid met enkele nieuwe onderdelen (onder andere «biometrische gegevens», «genetische gegevens» en «bevoegde autoriteiten»), enkele andere begrippen zijn aangevuld of gewijzigd (zo is het begrip «afschermen», dat als dubbelzinnig werd ervaren, vervangen door «beperken van de verwerking»). |
Onderscheid tussen verschillende categorieën betrokkenen (niet in kaderbesluit) |
Artikel 5: verantwoordelijken moeten zoveel mogelijk onderscheid maken tussen verschillende categorieën betrokkenen, zoals verdachten, veroordeelden, slachtoffers en getuigen. |
Artikel 3 (beginsel van rechtmatigheid, evenredigheid en doelbinding) |
Artikelen 4 en 7: anders dan het kaderbesluit kent de ontwerprichtlijn een afzonderlijke bepaling voor de beginselen inzake verwerking van persoonsgegevens (artikel 4) en de gronden voor rechtmatige verwerking (artikel 7). De ontwerprichtlijn sluit daarmee beter aan bij de structuur van Richtlijn 95/46 en de ontwerpverordening, die ook een dergelijke tweedeling kennen. De bepaling over rechtmatige verwerking is uitvoeriger dan in het kaderbesluit, waarin het alleen als beginsel werd opgevoerd. Inhoudelijk verschilt artikel 7 wel van Richtlijn 95/46 en de ontwerpverordening. |
Artikel 6 (Verwerking bijzondere gegevenscategorieën) |
Artikel 8: de structuur van het nieuwe artikel sluit beter aan bij de corresponderende artikelen in Richtlijn 95/46 en de ontwerpverordening. Een verschil met artikel 6 van het kaderbesluit is dat niet langer de eis van «strikte noodzakelijkheid» wordt gesteld om van het verbod op verwerking van bijzondere persoonsgegevens af te kunnen wijken. In artikel 9 is als extra waarborg opgenomen dat geautomatiseerde gegevensverwerking niet uitsluitend gebaseerd mag zijn op bijzondere persoonsgegevens. |
Artikel 16–17 (informatieverplichting en recht op toegang) |
Artikel 11–12: de artikelen zijn aangepast aan de structuur van Richtlijn 95/46 en daarmee ook gedetailleerder. |
Verplichtingen verantwoordelijke (verspreid in kaderbesluit, o.a. artikel 10, eerste lid, 22 en 23) |
Artikel 18–32: de verplichtingen verantwoordelijke zijn uitgebreid en vernieuwd. Daarbij hebben verschillende bepalingen uit Richtlijn 95/46 model gestaan. Artikel 18 bevat algemene verplichtingen van de verantwoordelijke die in de volgende artikelen wordt gespecificeerd. Zo bevat de ontwerprichtlijn in artikel 21 een uitvoeriger regeling van de «verwerker». Nieuw is de meldplicht voor datalekken in de artikelen 28–29 die ook in de ontwerpverordening is opgenomen (en die ook al bestaat in de e-privacyrichtlijn 2000/58). Nieuw is ook de verplichte aanstelling van een functionaris voor de gegevensbescherming (artikelen 30–32). |
Artikel 13 (doorgifte aan bevoegde instanties in derde landen) |
Artikel 33–38: het uitgangspunt is hetzelfde gebleven: doorgifte indien dat noodzakelijk is voor preventie, onderzoek, opsporing en vervolging van strafbare feiten en tenuitvoerlegging van straffen. Bovendien moet een passend beschermingsniveau gewaarborgd zijn. Verschil met het kaderbesluit is de centrale rol die de Europese Commissie via artikel 34 van de ontwerprichtlijn krijgt in de vaststelling van een passend beschermingsniveau. Onder het kaderbesluit had de Commissie hierin geen rol. |
Artikel 25 (toezichthoudende autoriteit) |
Artikel 39–49: de regeling wordt uitgebreid: de autoriteiten moeten bijdragen tot een consequente toepassing van de richtlijn in de hele Unie. In de artikelen 40–45 zijn, anders dan in het kaderbesluit gedetailleerde bepalingen opgenomen over onder andere de onafhankelijkheid en voorwaarden aan de leden van de toezichthouder. De artikelen 48 en 49 bevatten nieuwe bepalingen over samenwerking van de toezichthouders en taken voor het Europees Comité voor gegevensbescherming dat in de ontwerpverordening wordt opgericht. |
Artikel 22 (beroep) en 24 (sancties) |
Artikel 50–55: de bepalingen over beroepsmogelijkheden sancties zijn gebaseerd op de bestaande uitgangspunten, maar aangevuld met elementen uit Richtlijn 95/46. Daarmee is de regeling uitvoeriger geworden. |
Zie Protocol betreffende de toepassing van de beginselen van subsidiariteit en evenredigheid, PbEU 2004, C310/207. Overigens zijn ook de andere EU-instellingen belast met de toetsing aan de subsidiariteit.
Artikel 12 VEU. Zie in dat verband ook het advies van de Raad van State van het Koninkrijk d.d. 15 februari 2008 over de goedkeuringswet voor het Verdrag van Lissabon: «Met des te meer klem wijst de Raad op het belang van versterking van de politieke controle door de Kamers der Staten-Generaal op de Nederlandse inbreng in de verschillende fasen van het Europese besluitvormingsproces, onder meer door Europese wetgevingsinitiatieven te behandelen als waren het nationale wetsvoorstellen. De betrokkenheid van de vaste kamercommissies en de fracties bij de voorbereiding daarvan, waartoe de Raad reeds adviseerde in zijn advies van 15 september 2005, is wezenlijk.» Kamerstukken II 2007/08, 31 384 – (R1850) nr. 4.
Kamerstukken II 2011/12, 31 570, nr. 20, blz. 8. Het kabinetsstandpunt is door de Tweede Kamer besproken: Kamerstukken II 2011/12, 31 570, nr. 23.
Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data, Strasbourg, 28 January 1981, ETS No. 108.
Het verdrag vindt zijn uitwerking in verschillende aanbevelingen binnen het kader van de Raad van Europa.
Additional Protocol to the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data, regarding supervisory authorities and transborder data flows, Strasbourg, 8 November 2001, ETS No. 181.
H.B. Winter e.a., Wat niet weet, wat niet deert, Een evaluatieonderzoek naar de werking van de Wet bescherming persoonsgegevens in de praktijk. 2008. Het eerste evaluatieonderzoek werd uitgevoerd door G.J. Zwenne e.a., Eerste fase evaluatie Wet bescherming persoonsgegevens. Literatuuronderzoek en knelpuntenanalyse, WODC, Leiden/Den Haag 2007. Zie het kabinetsstandpunt Kamerstukken II 2009/10, 31 051, nr. 5.
Richtlijn 97/66, PbEG 1998, L24/1 (telecom), Richtlijn 2002/58, PbEG 2002, L201/37 (electronische communicatie), Richtlijn 2006/24, PbEU 2006, L 105/54.
Mededeling van de Commissie aan het Europees Parlement, de Raad, het Europees Economisch en Sociaal Comité en het Comité van de regio’s, «Privacywaarborging in het online tijdperk. Een Europees gegevensbeschermingskader voor de 21e eeuw», Brussel, 25-1-2012, COM (2012) 9 final.
Toelichting bij de ontwerpverordening, blz. 4/5. Zie ook de toelichting bij de ontwerp-richtlijn, blz. 4.
De ontwerpverordening geldt niet voor de instellingen. Daarvoor gelden afzonderlijke regels krachtens Verordening 45/2001. Deze zal in een later stadium worden herzien.
Artikel 114 VWEU biedt een grondslag voor maatregelen die de werking van de interne markt betreffen (het oude artikel 95 EG-verdrag).
Naar het oordeel van de Afdeling verdient het aanbeveling dat de nodige wijzigingen in de e-privacy richtlijn zelf worden opgenomen. Daarbij dient specifiek te worden aangegeven door welke nieuwe bepalingen uit de verordening de in de e-privacy richtlijn genoemde bepalingen van richtlijn 95/46 worden vervangen.
Zie hieromtrent R. Kral, «National Normative Implementation of EC Regulations; An Exceptional or Rather Common Matter», ELRev. 2008, blz. 243–256. Het komt voor dat bepalingen uit verordeningen aan de lidstaten een beoordelingsmarge laten, zodat nationale uitvoeringsmaatregelen noodzakelijk zijn. Zie bijvoorbeeld HvJEG 11 januari 2001, C-403/98 (Azienda Agricola Monte Arcosu), Jur. 2001, blz. I-103, r.o. 28.
Ook de Awb-wetgever heeft dit erkend door in de toelichting op artikel 4:23 van de Awb te vermelden dat een Europese verordening kan dienen als een wettelijke grondslag voor het verstrekken van een subsidie, «nu aan een verordening evenzeer rechtstreeks bindende werking binnen de nationale rechtsorde toekomt als aan een nationaal wettelijk voorschrift». Zie Kamerstukken II 1993/1994, 23 700, nr. 3, blz. 41.
Zie de toelichting bij de ontwerpverordening, blz. 6. Zie ook het protocol betreffende de toepassing van de beginselen van subsidiariteit en evenredigheid, PbEU 2004, C310/207.
Een veelbesproken voorbeeld uit de rechtspraak is HvJ EU 6 november 2003, nr. C-101/01 (Lindqvist).
Zie bijvoorbeeld artikel 6, derde lid, van de ontwerpverordening waarin een ruim geformuleerde mogelijkheid wordt toegekend aan de nationale wetgever om voor bepaalde grondslagen voor gegevensverwerking nadere regels te stellen.
Andere soortgelijke voorbeelden bieden de artikelen 9, tweede lid, onder b, artikel 9, tweede lid, onder g, artikel 9, tweede lid, onder j, artikel 17, derde lid, onder d, artikel 20, tweede lid, onder b, artikel 21, eerste lid, en artikel 81, eerste lid, van de ontwerpverordening.
Zie ook artikel 42, tweede lid, onderdeel a, op grond waarvan met het oog op de doorgifte van gegevens aan derde landen bedrijfsvoorschriften tot stand kunnen komen.
Op 26 plaatsen. Het betreft de artikelen 6, vijfde lid, 8, derde lid, 9, derde lid, 12, vijfde lid, 14, zevende lid, 15, derde lid, 17, negende lid, 20, vijfde lid, 22, vierde lid, 23, derde lid, 26, vijfde lid, 28, vijfde lid, 30, derde lid, 31, vijfde lid, 32, vijfde lid, 33, zesde lid, 34, achtste lid, 35, elfde lid, 37, tweede lid, 39, tweede lid, 43, derde lid, 44, zevende lid, 79, zevende lid, 81, derde lid, 82, derde lid en 83, derde lid.
Op 19 plaatsen. Het betreft de artikelen 8, vierde lid, 12, zesde lid,14, achtste lid,15, vierde lid,18, derde lid, 23, vierde lid, 28, zesde lid, 30, vierde lid, 31, zesde lid, 32, zesde lid, 33, zevende lid, 34, negende lid, 38, vierde lid, 39, derde lid, 41, derde en vijfde lid, 42, tweede lid, 43, vierde lid, 55, tiende lid, 62, eerste en tweede lid.
Voor de ontwerprichtlijn geldt dat daarin nauwelijks delegatie- en uitvoeringsbevoegdheden zijn te vinden. Dit past bij het karakter van het instrument van de richtlijn.
Als het gaat om de beginselen van subsidiariteit en evenredigheid wordt in de ontwerpverordening ingegaan op de noodzaak van de verordening als zodanig, niet op de noodzaak van een nadere bevoegdheidstoedeling aan de Commissie. Zie overweging 133 en de toelichting op de ontwerpverordening blz. 6–7. Zie ook Protocol betreffende de toepassing van de beginselen van subsidiariteit en evenredigheid, PbEU 2004, C310/207.
Artikel 66, eerste lid, onder a, van de ontwerpverordening. Zie verder over het Comité § 7.3.
In de ontwerprichtlijn komt dit slechts één keer voor: zie artikel 28, vijfde lid, van de ontwerprichtlijn.
Zie de Mededeling van de Commissie aan het Europees Parlement en de Raad, tenuitvoerlegging van artikel 290 van het VWEU, paragraaf 5.3.3.
Paul Craig en Gráinne de Burca, EU Law, text, cases and materials, Oxford: University Press 2011, blz. 138.
Zie wel artikel 10, derde lid, van de Verordening nr. 182/2011 waarin is neergelegd dat het Europees Parlement en de Raad toegang hebben tot informatie over de werkzaamheden van het comité. Verder kunnen zij op grond van artikel 11 aan de Commissie op elk moment te kennen geven dat een ontwerpuitvoeringshandeling de bij de basishandeling verleende uitvoeringsbevoegdheden overschrijdt. In dat geval onderwerpt de Commissie de ontwerpuitvoeringshandeling aan een hernieuwd onderzoek, waarbij zij met de naar voren gebrachte standpunten rekening houdt, en deelt zij het Europees Parlement en de Raad mede of zij voornemens is de ontwerpuitvoeringshandeling te handhaven, te wijzigen of in te trekken.
Zie artikel 5, derde lid, van de Verordening nr. 182/2011. Overigens kan de ontwerpuitvoeringshandeling nog wel worden aangepast en opnieuw aan het comité worden voorgelegd.
De Mededeling van de Commissie aan het Europees Parlement en de Raad, tenuitvoerlegging van artikel 290 van het VWEU, COM (2009) 673 def. Op pagina 4 valt te lezen: «De Commissie waagt zich niet aan een onduidelijke interpretatie van deze criteria (de handeling moet van algemene strekking zijn en bepaalde niet-essentiële onderdelen van de wetgevingsprocedure wijzigen of aanvullen); het brede scala aan mogelijke maatregelen in een bepaalde situatie maakt elke classificatie onmogelijk.»
In de literatuur wordt algemeen aangenomen dat het Hof zich zal aansluiten bij de jurisprudentie van voor de inwerkingtreding van het Verdrag van Lissabon, waarin het ging om de vraag in hoeverre de Europese Commissie op grond van artikel 211 EG-verdrag bevoegd was om uitvoering te geven aan verordeningen of richtlijnen van de Raad en/of het Europees Parlement. Uit deze jurisprudentie volgt dat de hoofdzaken van de te regelen materie door de wetgever moeten worden vastgesteld. Er is sprake van hoofdzaken van de te regelen materie – de essentiële elementen – indien het gaat om bepalingen die de fundamentele doelstellingen van de communautaire politiek beogen te verwezenlijken. Uit deze jurisprudentie blijkt dat het onderscheid tussen essentiële en niet-essentiële elementen vooral een politieke beoordeling betreft. Zie HvJEG 17 december 1970, 25/70 (Köster), Jur. 1970, p. 1161, r.o. 6 en HvJEG 27 oktober 1992, C-240/90 (Duitsland/Commissie), Jur. 1992, p. I-5383, r.o. 37.
Overigens bestaat in het EU-recht wel ervaring met het begrip diensten van algemeen economisch belang (Artikel 106, tweede lid, VWEU).
Artikel 8 van het Handvest luidt als volgt:
1. Eenieder heeft recht op bescherming van zijn persoonsgegevens.
2. Deze gegevens moeten eerlijk worden verwerkt, voor bepaalde doeleinden en met toestemming van de betrokkene of op basis van een andere gerechtvaardigde grondslag waarin de wet voorziet. Eenieder heeft recht van inzage in de over hem verzamelde gegevens en op rectificatie daarvan.
3. Een onafhankelijke autoriteit ziet erop toe dat deze regels worden nageleefd.
Artikel 21 ligt in het verlengde van artikel 52, eerste lid, van het EU-Handvest. Op grond van deze bepaling zijn beperkingen van de in artikel 8 EU-Handvest neergelegde rechten en beginselen (waaronder het doelbindingsbeginsel) mogelijk. Vergelijk voorts artikel 8, tweede lid, EVRM.
Overigens heeft artikel 21 niet alleen betrekking op beperking van het doelbindingsbeginsel, zodat deze opmerking een verderstrekkend karakter heeft.
Artikel 12 Richtlijn 95/46. Zie ook artikel 8, tweede lid, EU-Handvest waarin het aanverwante recht op rectificatie is gewaarborgd.
Op dit punt is de vraag of een drempel, zoals die is opgenomen in het Nederlandse wetsvoorstel dat recentelijk ter consultatie is gepubliceerd, ook aan te bevelen zou zijn voor de ontwerpverordening.
Bijvoorbeeld artikel 25, tweede lid, artikel 28, vierde lid, artikel 35, eerste lid en artikel 79, derde lid.
Arrest van het Hof van Justitie van de EU van 9.11 2011 in gevoegde zaken C-92/09 en C-93/09, Volker und Markus Schecke en Eifert [2010], Jurispr. blz. I-0000. De toelichting verwijst in dat verband ook naar artikel 52, lid 1, van het Handvest van de grondrechten dat bepaalt dat beperkingen op de uitoefening van het recht op gegevensbescherming bij wet moeten worden vastgesteld en de wezenlijke inhoud van die rechten en vrijheden moeten eerbiedigen, en dat, met inachtneming van het evenredigheidsbeginsel slechts beperkingen kunnen worden vastgesteld, indien zij noodzakelijk zijn en daadwerkelijk beantwoorden aan door de Unie erkende doelstellingen van algemeen belang of aan de eisen van de bescherming van de rechten en vrijheden van anderen.
Daarnaast kan aansluiting worden gezocht bij de tekst van het tweede lid van artikel 11 van het EU-Handvest (de vrijheid en de pluriformiteit van de media worden geëerbiedigd).
Tenzij de verwerking is gebaseerd op duidelijke toestemming door de betrokkene (artikel 9, tweede lid, onderdeel a van de ontwerpverordening).
Afgezien van de specificatie van de voorlichtende taak voor toezichthoudende autoriteiten voor op kinderen gerichte activiteiten (artikel 45, tweede lid, ontwerprichtlijn).
Zie artikel 12 Wjsg dat strikte voorwaarden stelt aan de verdere verstrekking van justitiële gegevens van minderjarigen die volgens het jeugdstrafrecht zijn berecht.
Artikel 47, vijfde lid, bepaalt dat elke lidstaat ervoor zorgt dat de toezichthouder kan beschikken over passende menselijke, technische en financiële middelen die nodig zijn om haar taken en bevoegdheden effectief uit te voeren en uit te oefenen. Wat in dit geval «passend» is, zal nader moeten worden bepaald.
A.T. Ottow, S.C.M. Lavrijssen, Het Europese recht als hoeder van de onafhankelijkheid van nationale toezichthouders, Tijdschrift voor Toezicht 2011 (2) 3, blz. 34–50.
Zie artikel 1, derde lid, onder a en b van Richtlijn 2009/140/EG van het Europees parlement en de Raad van 25 november 2009 tot wijziging van de Richtlijnen 2002/21/EG inzake gemeenschappelijke regelgevingskader voor elektronische communicatienetwerken en -diensten, artikel 35 van Richtlijn 2009/72/EG van het Europees Parlement en de Raad van 13 juli 2009 betreffende gemeenschappelijke regels voor de interne markt voor elektriciteit en tot intrekking van Richtlijn 2003/54/EG en artikel 39 van Richtlijn 2009/73/EG van het Europees Parlement en de Raad van 13 juli 2009 betreffende gemeenschappelijke regels voor de interne markt voor aardgas en tot intrekking van Richtlijn 2003/55/EG; artikel 30 van Richtlijn 2001/14/EG inzake de toewijzing van spoorweginfrastructuurcapaciteit en de heffing van rechten voor het gebruik van spoorweginfrastructuur.
In deze bepalingen wordt weliswaar in de Nederlandse versie gesproken over «nationale grondwet» maar uit de overwegingen die aan deze bepaling ten grondslag liggen, en uit andere vertalingen van deze bepalingen moet worden afgeleid dat gedoeld wordt op het nationale constitutionele recht in bredere zin. Zie onder meer artikel 4, tweede lid, van het Verdrag betreffende de Europese Unie, over het eerbiedigen door de Unie van de politieke en constitutionele grondstructuren van de lidstaten. Zie in dit verband ook overweging 11 van de considerans van Richtlijn 2002/21/EG. Zie voorts de Engelse en Franse vertaling van artikel 1, derde lid, onder a en b van Richtlijn 2009/140/EG waarin wordt gesproken over national constitutional law» en «dispositions nationales de droit constitutionnel».
Zie het advies van de Afdeling advisering van de Raad van State over het voorstel van wet tot wijziging van de Elektriciteitswet 1998 en van de Gaswet (implementatie van richtlijnen en verordeningen op het gebied van elektriciteit en gas), Kamerstukken II 2010/11, 32 814, nr. 4, blz. 7–8.
Voorts valt nog te wijzen op het advies van de EDPS waarin ter versterking van de democratische legitimatie gepleit wordt voor meer invloed van nationale parlementen op de benoeming van de leden van de toezichthouders. Zie opinie EDPS nr. 236.
Deze ziet toe op de naleving van Verordening 45/2001. In deze verordening worden regels gesteld voor de verwerking van persoonsgegevens door de instellingen van de EU.
Artikel 66, eerste lid, ontwerpverordening. Zie ook artikel 49, eerste lid, ontwerprichtlijn.
Wel bepaalt artikel 46, eerste lid, dat het Comité een jaarverslag opstelt. Op grond van het tweede lid wordt dit openbaar gemaakt en toegezonden aan het Europees Parlement, de Raad en de Commissie.
Opinie EDPS nrs. 248–255. Daar wordt er terecht op gewezen dat de parallel met de handhavingsstructuur in mededingingszaken niet opgaat omdat in dat geval voorzien is in een rechtsgrondslag voor de bevoegdheden van de Commissie in artikel 105 VWEU.
Voor zover het de oplegging van een boete betreft gaat het om de aard, de ernst, de duur van de inbreuk, de mate waarin de natuurlijke of de rechtspersoon aansprakelijk is en reeds vorige inbreuken heeft gepleegd, de technische en organisatorische maatregelen en procedures die overeenkomstig artikel 23 ten uitvoer zijn gelegd en de mate waarin er met de toezichthoudende autoriteit is samengewerkt om de inbreuk te verhelpen.
De relatief zeldzame en voor de praktijk minder relevante gevallen van artikel 79, derde lid, van de ontwerpverordening waarin de eerste keer kan worden volstaan met een waarschuwing, blijven hier buiten beschouwing.
Bijvoorbeeld in artikel 60 Gaswet. Hierin wordt bepaald dat de raad van bestuur van de mededingingsautoriteit bindende aanwijzingen kan geven in verband met de naleving van het bepaalde bij of krachtens de Gaswet, van Verordening 1775/2005/EG en Verordening 994/2010/EU. Zie voorts artikel 56 Mededingingswet.
HvJEG 25 september 1984, 117/83 (Könecke), Jur. 1984, p. 3291. Zie ook Jacqueline Bonnes, Uitvoering van EG-verordeningen in Nederland, (diss. Tilburg), Zwolle: W.E.J. Tjeenk Willink 1994, blz. 91. Zie voorts artikel 56 van de Mededingingswet.
Artikel 47–50 EU-Handvest. De ontwerpverordening neemt het Handvest in acht, zie overweging 139 bij de ontwerpverordening.
Kopieer de link naar uw clipboard
https://zoek.officielebekendmakingen.nl/kst-32761-32.html
De hier aangeboden pdf-bestanden van het Staatsblad, Staatscourant, Tractatenblad, provinciaal blad, gemeenteblad, waterschapsblad en blad gemeenschappelijke regeling vormen de formele bekendmakingen in de zin van de Bekendmakingswet en de Rijkswet goedkeuring en bekendmaking verdragen voor zover ze na 1 juli 2009 zijn uitgegeven. Voor pdf-publicaties van vóór deze datum geldt dat alleen de in papieren vorm uitgegeven bladen formele status hebben; de hier aangeboden elektronische versies daarvan worden bij wijze van service aangeboden.