Korte beschouwing van de (voorgestelde) Privacyverordening

Bijdrage ingezonden door Filip van Eeckhoutte, Van Eeckhoutte advocaten. Het 'Recht om te worden vergeten' staat al in de Privacy-richtlijn uit 1995. De privacyrichtlijn bevat als kerngedachte het recht om te worden vergeten. Een persoon kan aan beheerders van o.a. zoekmachines verzoeken dat zijn persoonlijke gegevens worden gewist zodra de gegevens niet langer nodig zijn (artikel 12 Richtlijn). Wat dat betreft heeft de Commissie niets nieuws voorgesteld in de (aanstaande) privacyverordening.

Waarom is de voorgestelde privacyverordening dan nodig?
De voorgestelde verordening gegevensbescherming betreft veel meer dan het recht om te worden vergeten. Het bevat een fundamentele modernisering van de regels inzake gegevensbescherming in Europa, de vestiging van een aantal nieuwe rechten voor burgers waarvan het recht om te worden vergeten er een van is (andere zijn o.a. mobiliteitsbeheer van persoonsgegevens en data-inbreukmeldingen), de vorming van een interne markt voor persoonsgegevens in de Europese Unie en de stroomlijning van samenwerking tussen de regelgevende instanties van de lidstaten. In het besef dat het recht om te worden vergeten bestaat, heeft het Hof van Justitie een algemeen principe neergezet. Dit principe moet worden geactualiseerd en verduidelijkt voor het digitale tijdperk. De privacyverordening versterkt het principe en de rechtszekerheid (artikel 17 voorgestelde verordening).

Het recht om vergeten te worden zou een lege huls zijn als de EU-regels inzake gegevensbescherming niet van toepassing zouden zijn op niet-Europese bedrijven en voor zoekmachines. De voorgestelde privacyverordening stelt buiten twijfel dat het niet uitmaakt waar de fysieke server van een bedrijf (dat persoonsgegevens verwerkt) staat. Ook op niet-Europese ondernemingen die diensten aan de Europese consumenten aanbieden, zijn de Europese regels van toepassing (artikel 3 voorgestelde verordening).

Om het recht voor particulieren om te worden vergeten te versterken, heeft de Commissie voorgesteld de bewijslast om te keren: het bedrijf - en niet het individu - moet bewijzen dat de gegevens niet mogen worden verwijderd, omdat ze nog steeds nodig of relevant zijn.

De voorgestelde verordening gegevensbescherming schept een verplichting voor een databeheerder (bijv. zoekmachine) die persoonsgegevens openbaar maakt om redelijke maatregelen te nemen opdat derden worden geïnformeerd over het feit dat het individu wenst dat zijn persoonsgegevens worden verwijderd. Het Europees Parlement ging nog verder door de databeheerder te verplichten het wissen van deze persoonsgegevens te laten waarborgen. Het Parlement wil dat mensen ook het recht hebben op verwijdering wanneer een rechterlijke of regelgevende instantie in EU in kracht van gewijsde heeft geoordeeld dat de betrokken gegevens moeten worden gewist.

De voorgestelde verordening gegevensbescherming maakt het voor privacy-autoriteiten, zoals het CBP (College Bescherming Persoonsgegevens) voorts mogelijk om boetes van maximaal 2 % van de jaarlijkse wereldwijde omzet op te leggen van/aan bedrijven die de rechten van burgers met voeten treden, zoals het recht om te worden vergeten.

De voorgestelde privacyverordening is bepaalt ook de redenen van algemeen belang op grond waarvan het online in stand houden van persoonsgegevens kan worden gerechtvaardigd. De uitzonderingen op het recht om te worden vergeten, zijn beperkt en afgebakend. Deze omvatten de uitoefening van het recht van vrijheid van meningsuiting, het belang van de volksgezondheid, alsmede de gevallen waarin gegevens worden verwerkt voor historische, statistische en wetenschappelijke doeleinden.

Filip van Eeckhoutte