Voorlichting inzake de voorstellen van de Europese Commissie die strekken tot de herziening van het Europese regelgevend kader inzake verwerking en bescherming van persoonsgegevens.

Voorlichting inzake de voorstellen van de Europese Commissie die strekken tot de herziening van het Europese regelgevend kader inzake verwerking en bescherming van persoonsgegevens.Bij brief van 22 mei 2012 heeft de Voorzitter van de Tweede Kamer der Staten-Generaal op de voet van artikel 21a, eerste lid, van de Wet op de Raad van State aan de Afdeling advisering van de Raad van State gevraagd haar van voorlichting te dienen inzake de voorstellen van de Europese Commissie die strekken tot de herziening van het Europese regelgevend kader inzake verwerking en bescherming van persoonsgegevens.Onderwerp en plaats in Kaderbesluit 2008/977/JBZOntwerprichtlijnArtikel 1 (toepassingsgebied)Artikel 2: anders dan het kaderbesluit is de ontwerprichtlijn niet alleen van toepassing op grensoverschrijdende gegevensverwerking. Ook de binnenlandse gegevensverwerking door bevoegde autoriteiten valt binnen de reikwijdte van de ontwerprichtlijn.Artikel 2 (definities)Artikel 3: de definities zijn uitgebreid met enkele nieuwe onderdelen (onder andere 'biometrische gegevens', 'genetische gegevens' en 'bevoegde autoriteiten'), enkele andere begrippen zijn aangevuld of gewijzigd (zo is het begrip 'afschermen', dat als dubbelzinnig werd ervaren, vervangen door 'beperken van de verwerking').Onderscheid tussen verschillende categorieën betrokkenen (niet in kaderbesluit)Artikel 5: verantwoordelijken moeten zoveel mogelijk onderscheid maken tussen verschillende categorieën betrokkenen, zoals verdachten, veroordeelden, slachtoffers en getuigen.Artikel 3 (beginsel van rechtmatigheid, evenredigheid en doelbinding)Artikelen 4 en 7: anders dan het kaderbesluit kent de ontwerprichtlijn een afzonderlijke bepaling voor de beginselen inzake verwerking van persoonsgegevens (artikel 4) en de gronden voor rechtmatige verwerking (artikel 7). De ontwerprichtlijn sluit daarmee beter aan bij de structuur van Richtlijn 95/46 en de ontwerpverordening, die ook een dergelijke tweedeling kennen. De bepaling over rechtmatige verwerking is uitvoeriger dan in het kaderbesluit, waarin het alleen als beginsel werd opgevoerd. Inhoudelijk verschilt artikel 7 wel van Richtlijn 95/46 en de ontwerpverordening.Artikel 6 (Verwerking bijzondere gegevenscategorieën)Artikel 8: de structuur van het nieuwe artikel sluit beter aan bij de corresponderende artikelen in Richtlijn 95/46 en de ontwerpverordening. Een verschil met artikel 6 van het kaderbesluit is dat niet langer de eis van "strikte noodzakelijkheid" wordt gesteld om van het verbod op verwerking van bijzondere persoonsgegevens af te kunnen wijken. In artikel 9 is als extra waarborg opgenomen dat geautomatiseerde gegevensverwerking niet uitsluitend gebaseerd mag zijn op bijzondere persoonsgegevens.Artikel 16-17 (informatieverplichting en recht op toegang)Artikel 11-12: de artikelen zijn aangepast aan de structuur van Richtlijn 95/46 en daarmee ook gedetailleerder.Verplichtingen verantwoordelijke (verspreid in kaderbesluit, o.a. artikel 10, eerste lid, 22 en 23)Artikel 18-32: de verplichtingen verantwoordelijke zijn uitgebreid en vernieuwd. Daarbij hebben verschillende bepalingen uit Richtlijn 95/46 model gestaan. Artikel 18 bevat algemene verplichtingen van de verantwoordelijke die in de volgende artikelen wordt gespecificeerd. Zo bevat de ontwerprichtlijn in artikel 21 een uitvoeriger regeling van de 'verwerker'. Nieuw is de meldplicht voor datalekken in de artikelen 28-29 die ook in de ontwerpverordening is opgenomen (en die ook al bestaat in de e-privacyrichtlijn 2000/58). Nieuw is ook de verplichte aanstelling van een functionaris voor de gegevensbescherming (artikelen 30-32).Artikel 13 (doorgifte aan bevoegde instanties in derde landen)Artikel 33-38: het uitgangspunt is hetzelfde gebleven: doorgifte indien dat noodzakelijk is voor preventie, onderzoek, opsporing en vervolging van strafbare feiten en tenuitvoerlegging van straffen. Bovendien moet een passend beschermingsniveau gewaarborgd zijn. Verschil met het kaderbesluit is de centrale rol die de Europese Commissie via artikel 34 van de ontwerprichtlijn krijgt in de vaststelling van een passend beschermingsniveau. Onder het kaderbesluit had de Commissie hierin geen rol.Artikel 25 (toezichthoudende autoriteit)Artikel 39-49: de regeling wordt uitgebreid: de autoriteiten moeten bijdragen tot een consequente toepassing van de richtlijn in de hele Unie. In de artikelen 40-45 zijn, anders dan in het kaderbesluit gedetailleerde bepalingen opgenomen over onder andere de onafhankelijkheid en voorwaarden aan de leden van de toezichthouder. De artikelen 48 en 49 bevatten nieuwe bepalingen over samenwerking van de toezichthouders en taken voor het Europees Comité voor gegevensbescherming dat in de ontwerpverordening wordt opgericht.Artikel 22 (beroep) en 24 (sancties)Artikel 50-55: de bepalingen over beroepsmogelijkheden sancties zijn gebaseerd op de bestaande uitgangspunten, maar aangevuld met elementen uit Richtlijn 95/46. Daarmee is de regeling uitvoeriger geworden.