Rapportage eerste kwartaal EU-regelgeving gegevensbescherming

Verwerking en bescherming persoonsgegevens; Brief regering; Rapportage 1e kwartaal 2013 EU-regelgeving gegevensbescherming, Kamerstukken II 2012/13, 32 761, nr. 48.
Een artikelsgewijze bespreking van en de Nederlandse standpunten op diverse bepalingen rondom het toezichthouderschap, bestuursrechtelijke boete (artikel 79) en de bepalingen over de bijzondere gegevensverwerkingen (artikelen 80 tot en met 85), en geclusterd: het klachtrecht, het aansprakelijkheidsrecht en de sanctionering; uitwerking door de Raadswerkgroep van het thema "risico-georiënteerde benadering". Een vergadering over het thema "flexibiliteit voor gegevensverwerking in de publieke sector".

Een selectie: Artikel 46 voorziet in de verplichting van de lidstaten om een onafhankelijke toezichthouder in te stellen. Nederland stelt daarbij de vraag of dit artikel uitsluit dat meer dan één toezichthouder kan worden ingesteld, zodat de bestaande situatie kan worden gehandhaafd, waarbij het College bescherming persoonsgegevens (Cbp) en de Onafhankelijke Post- en Telecommunicatieautoriteit (OPTA) beiden taken vervullen voor de handhaving van de bescherming van persoonsgegevens. De verordening sluit dat niet uit, zo blijkt uit de behandeling.

In artikel 47 is de onafhankelijke positie van de toezichthouder gegarandeerd. Inzake art. 47, lid 5, spreekt het wat Nederland betreft voor zich dat elke lidstaat gehouden is de toezichthouder op redelijke en evenredige wijze in staat te stellen zijn taken en bevoegdheden onder de verordening en nationaal recht uit te kunnen oefenen. Nederland komt die verplichting na.

Artikel 48 bevat de algemene bepalingen voor de benoeming van leden van de toezichthouders. Nederland acht artikel 48, lid 2, dat kwaliteitseisen bevat voor deze leden te onbepaald.

De artikelen 49 en 50 bevatten bepalingen over, respectievelijk, de inrichting van de nationale instellingswet en het ambtsgeheim voor de toezichthouder. Deze bepalingen gaven geen aanleiding voor een interventie.

In artikel 51 is de belangrijke regeling van de bevoegdheid van toezichthouders in de EU neergelegd. Hoofdregel is dat de toezichthouder op het eigen territoir de bevoegdheden uitoefent, maar dat bij grensoverschrijdende aspecten de toezichthouder bevoegd is van de lidstaat waar de hoofdvestiging van de verantwoordelijke is gevestigd. Deze bepaling is in het concept van de verordening zeer belangrijk. De bepaling geeft echter ook aanleiding tot zeer veel vragen. Nederland stemt in met het one stop shop-principe, maar heeft nog wel de nodige vragen bij de invulling daarvan.

De eerste vraag van Nederland bij art. 51, lid 2, is wat het verwerken van persoonsgegevens in het kader van een vestiging betekent. De vraag is dus of er ook verwerkingen buiten het kader van een vestiging kunnen worden verricht. Het is immers zo dat iedereen uiteindelijk wel ergens gevestigd is, ook al worden data door de verantwoordelijke feitelijk mobiel verwerkt. De tweede vraag van Nederland is of het criterium van de hoofdvestiging dat gedefinieerd is in artikel 4, onder 13, van de verordening in de praktijk niet voor bijzonder veel interpretatieproblemen kan zorgen. Wanneer de plaats waar de beslissingen worden genomen verschilt van de plaats waar een eventuele centrale verwerking plaatsvindt, kan dat lastig te bepalen zijn. De derde vraag van Nederland is of de keuze van de hoofdvestigingsregel niet voor nodeloos veel problemen zal zorgen. Het is ogenschijnlijk aantrekkelijk voor bedrijven, die met één vaste toezichthouder te maken hebben, maar onaantrekkelijk voor betrokkenen die zich tot een buitenlandse toezichthouder moeten richten, als ze feitelijk al kunnen begrijpen dat dit de bedoeling is. Daarin ligt het gevaar dat dit leidt tot een overvraging van de nationale toezichthouder waartoe betrokkenen zich dan zullen moeten richten.

Verder is het een redelijk belang van de toezichthouders om zonder middeling van de EDPB te kunnen zien wat zich aan gegevensbeschermingszaken op het eigen grondgebied afspeelt. Een alternatief is dan om de nationale toezichthouder algemeen bevoegd te maken voor elke verwerking die op het grondgebied van de nationale staat plaatsvindt te regelen, waarna bij bestaande grensoverschrijdende aspecten het consistency mechanisme moet worden geadresseerd met het doel een "lead authority" aan te wijzen die in het vervolg als enig contactpunt voor verantwoordelijke en betrokkenen kan fungeren, zo hebben vele lidstaten, en ook Nederland, voorgesteld. In dit verband verdient ook artikel 73 aandacht, omdat het om dezelfde redenen niet wenselijk is dat elke betrokkene in elke lidstaat naar elke toezichthouder mag gaan om daar elke klacht in te dienen.