Wet van 8 december 1992 tot bescherming van de ... · bepalingen van de privacywet te verwijzen...

1

Wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens.

Inhoudsopgave

2

INHOUDSOPGAVE INHOUDSOPGAVE......................................................................................................... 2 VOORWOORD................................................................................................................ 3 METHODOLOGIE ........................................................................................................... 6 ANALYTISCHE INHOUDSOPGAVE ............................................................................ 22 HOOFDSTUK I. - Begripsomschrijvingen, beginsel en werkingssfeer. .................. 29 HOOFDSTUK II. - Algemene voorwaarden voor de rechtmatigheid van de verwerking van persoonsgegevens. .......................................................................... 82 HOOFDSTUK III. - Rechten van de betrokkene. ...................................................... 154 HOOFDSTUK IV. - Vertrouwelijkheid en beveiliging van de verwerking............... 189 HOOFDSTUK V. - Voorafgaande aangifte en openbaarheid van de verwerkingen.................................................................................................................................... 195 HOOFDSTUK VI. - Doorgifte van persoonsgegevens naar landen buiten de Europese Gemeenschap........................................................................................... 214 HOOFDSTUK VII. - Commissie voor de bescherming van de persoonlijke levenssfeer................................................................................................................. 244 HOOFDSTUK VII bis - Sectorale comités................................................................. 312 HOOFDSTUK VIII - Strafbepalingen. ........................................................................ 319 HOOFDSTUK IX. - Slotbepalingen............................................................................ 329 INDEX ......................................................................................................................... 340 BIJLAGEN .................................................................................................................. 360

voorwoord

3

VOORWOORD

De wet van 8 december 1992 tot bescherming van persoonsgegevens is het werkinstrument bij uitstek van de Commissie voor de bescherming van de persoonlijke levenssfeer. Zowel de commissarissen van de Commissie als de juristen van haar secretariaat buigen zich dagelijks over een vijftigtal artikelen; ze maken er gebruik van, ze passen ze toe en interpreteren de grondbeginsels, nuances en subtiliteiten maar ze denken ook na over de onduidelijkheden en tekortkomingen. Al vijftien jaar lang vormt de wet van 8 december 1992, samen met haar aanvullend koninklijk besluit van 13 februari 2001, hét denkschema waarbinnen de adviezen op verzoek van de wetgevende kamers en regeringen worden voorbereid, de klachten door de Commissie als bemiddelaar worden behandeld, en sinds kort ook de machtigingen voor sommige verwerkingen van persoonsgegevens worden verleend. Deze wet vormt daarnaast ook de basis voor alle antwoorden op vragen van de burger om informatie.

Deze wet die uit macht der gewoonte de “privacywet” wordt genoemd is echter geen geïsoleerd juridisch instrument. Zij ligt in het verlengde van internationale teksten, goedgekeurd met meerderheid van stemmen, door instellingen zoals de Verenigde Naties, de Organisatie voor Economische Samenwerking en Ontwikkeling (OESO), de Raad van Europa en de Europese Unie. Omdat ze ontsproten is uit de Europese richtlijn 95/46/EG betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens die op haar beurt het Verdrag 108 van de Raad van Europa voor de bescherming van personen ten opzichte van de geautomatiseerde verwerking van persoonsgegevens verduidelijkt en verder aanvult, is het vanzelfsprekend dat de privacywet verankerd ligt in de internationale – en vooral de Europese - regelgevende dynamiek inzake verwerkingen van persoonsgegevens.

Deze instellingen hebben hun grondtekst over de bescherming van persoonsgegevens

zeer dikwijls aangevuld met een interpretatief instrumentarium, aanvullende protocollen of sectorale regelgevingen.

Binnen de Europese Unie onthouden we vooral de kostbare bijdrage op het vlak van interpretatie en harmonisatie van de richtlijn – en daardoor ook van de omgezette nationale wetgeving – van de Werkgroep van het artikel 29 waarin de Commissie voor de bescherming van de persoonlijke levenssfeer samen met haar Europese collega’s vertegenwoordigd is.

Met haar adviezen, aanbevelingen en machtigingen, heeft de Commissie voor de bescherming van de persoonlijke levenssfeer een eigen jurisprudentie opgebouwd. Ook de jurisprudentie van de Rechtbank van eerste aanleg en het Hof van Justitie van de Europese Gemeenschappen en de Belgische hoven en rechtbanken breiden zich verder uit. De jurisprudentie die het Hof van Straatsburg, op basis van artikel 8 van het Europees Verdrag voor rechten van de mens ontwikkelde, moet hier eveneens worden vermeld omdat ze zo leerrijk is en omdat ze eraan herinnert dat de bescherming van persoonsgegevens een fundamenteel recht is.

En tot slot zijn ook de voorbereidende werkzaamheden, de artikelen van de rechtsleer, de interpretatiegidsen en andere informatieve handleidingen, bestemd voor de burger of bepaalde actoren, die in het bijzonder betrokken zijn bij de verwerking van persoonsgegevens -

voorwoord

4

zoals de verantwoordelijken voor de verwerking en de aangestelden voor gegevensbescherming – werkinstrumenten voor opzoekingen en diepgaande studies.

Het is die overvloed aan informatie die ons heeft aangezet om voor elk van de bepalingen van de privacywet te verwijzen naar een aantal nuttige – zowel normatieve als jurisprudentiële – bronnen die deze bepalingen terug in hun context plaatsen en zo bijdragen tot een beter begrip en juiste interpretatie van de privacywet.

Het oorspronkelijk concept werd opgezet door Willem Debeuckelaere en uitgewerkt door Elly Corten en Valérie Verbruggen. Het was Valérie Verbruggen die de huidige voorliggende “codex” heeft uitgewerkt en de redactie op zich heeft genomen met medewerking van Bea Reyns en Thierry Claessens, daarbij geholpen door de vertalers, allen werkzaam in de schoot van de Commissie. De voorliggende, geannoteerde versie van de wet is hiervan het resultaat.

Er moesten keuzes worden gemaakt en wat voorligt is niet exhaustief. Dit werk werd overigens niet vanuit een analytisch doch uitsluitend documentair perspectief gerealiseerd. Zo wordt geen enkele analyse gemaakt en worden de geciteerde bronnen niet becommentarieerd. Wij laten het aan de lezer over om zich met behulp van de geciteerde en eventueel andere bronnen, een mening te vormen. Bijvoorbeeld, niettegenstaande bepaalde voorschriften uit de privacywet rechtstreeks geïnspireerd zijn op het Verdrag 108 en de Europese richtlijn 95/46/EG, zijn ze toch niet volledig identiek en kan hun interpretatie verschillen.

Dit document is opgevat als een evoluerend document dat regelmatig wordt bijgewerkt en aangevuld.1 In een eerste fase werden 8 rubrieken weerhouden:

- Huishoudelijk reglement van de Commissie voor de bescherming van de persoonlijke levenssfeer;

- Koninklijk besluit van 13 februari 2001; - Verwijzingen naar andere wetgeving; - Internationale wetgeving; - Adviezen van de Werkgroep van het artikel 29 (Groep 29); - Verslagen en studies van de Raad van Europa; - Jurisprudentie van het Hof van Justitie van de Europese Gemeenschappen; - Jurisprudentie van het Europees Hof voor rechten van de mens; - Jurisprudentie van de hoven en rechtbanken.

De volgende bladzijden (zie “Methodologie” blz.6) omschrijven nauwkeurig de bronnen

waarnaar wordt verwezen in de verschillende rubrieken. Tot slot bevat dit document een chronologische index voor elke rubriek (zie “index” blz. 340).

Ook de internetadressen waarop het grootste deel van deze documenten kan geraadpleegd worden, zijn vermeld.

In een tweede fase wil het Secretariaat van de Commissie deze rubrieken nog verder aanvullen door onder meer te verwijzen naar de vroegere versies van de privacywet, haar

1 Deze versie dateert van 1 oktober 2007.

voorwoord

5

voorbereidende werkzaamheden en de adviezen, aanbevelingen en machtigingen, verleend door de Commissie en haar Sectorale comités.

Daarom zou het Secretariaat van de Commissie u erg dankbaar zijn voor uw opmerkingen en commentaar die bij het gebruik van dit document bij u zouden opkomen2. Hoewel dit document met de grootste zorg werd voorbereid, is het niet uitgesloten dat er in de tekst van dit document vergissingen zijn geslopen. Het spreekt vanzelf dat ook dit mag worden gemeld. De volgende versie kan er alleen maar beter op worden.

In tussentijd hopen we dat deze geannoteerde versie van de privacywet u van dienst kan zijn bij uw opzoekingen en beschouwingen over mogelijke problemen bij de bescherming van de persoonlijke levenssfeer wanneer persoonsgegevens worden verwerkt. Wij wensen u een boeiende ontdekkingstocht ! 8 december 2007

De voorzitter De ondervoorzitter Willem Debeuckelaere Stéfan Verschuere

2 Uw opmerkingen en commentaar kunt u sturen naar het volgend e-mailadres: [email protected]

methodologie

6

METHODOLOGIE Er werd reeds vermeld dat deze geannoteerde versie van de privacywet acht rubrieken bevat. Op de hiernavolgende bladzijden wordt uiteengezet waarom het secretariaat van de Commissie voor de bescherming van de persoonlijke levenssfeer voor deze rubrieken heeft gekozen ("Waarom deze rubriek?"), wat de inhoud ervan is ("Wat kan ik onder deze rubriek vinden?"), en waar en hoe de documenten waarnaar wordt verwezen en waarvan een relevant uittreksel of samenvatting wordt gegeven, kunnen geraadpleegd worden ("Waar kan ik deze documenten terugvinden?"). Elke uiteenzetting wordt afgesloten met een korte toelichting over de Index. In de Nederlandstalige tekst van deze geannoteerde versie worden de bronteksten in het Engels vermeld als de officiële Nederlandstalige vertaling ontbreekt. Het koninklijk besluit van 13 februari 2001

Waarom een rubriek "Koninklijk besluit van 13 februari 2001"? In de aanloop naar de goedkeuring van de wet van 8 december 1992 werden een zeker aantal complementaire koninklijke besluiten genomen. Het koninklijk besluit van 13 februari 2001 (KB van 13 februari 2001) is de samensmelting van 15 koninklijke besluiten die op dat ogenblik bestonden.

Wat kan ik onder deze rubriek vinden?

Het KB van 13 februari 2001 omschrijft onder welke voorwaarden sommige bepalingen van de privacywet moeten worden toegepast:

Voorbeelden:

- het koninklijk besluit voegt toe dat bij de verwerking van gevoelige persoonsgegevens over de gezondheid of gerechtelijke gegevens de verantwoordelijke voor de verwerking bijkomende maatregelen moet nemen, meer bepaald de aanduiding van de categorieën personen die gemachtigd zijn toegang te hebben dot deze gegevens alsook hun onderwerping aan een vertrouwelijkheidsverplichting (artikelen 25 en 26). Deze artikelen 25 en 26 van het KB van 13 februari 2001 zijn de weergave van de artikelen 6, 7 en 8 van de privacywet die respectievelijk handelen over de verwerking van gevoelige gegevens betreffende de gezondheid en gerechtelijke gegevens;

- de artikelen 37 tot 46 van hetzelfde koninklijk besluit vervolledigen artikel 13 van de privacywet met een omschrijving van de manier waarop de onrechtstreekse toegang – in tegenstelling tot de algemene regel van rechtstreekse toegang - tot bepaalde persoonsgegevens mag plaatsvinden. Zij vervolledigen de interpretatie van deze bepaling.

Waar kan ik het koninklijk besluit van 13 februari 2001 vinden?

Het koninklijk besluit is gevoegd bij de geannoteerde versie van de wet (zie "Bijlagen"). Het koninklijk besluit kan ook geraadpleegd worden op de wetsite van de Commissie voor de bescherming van de persoonlijke levenssfeer: http://www.privacycommission.be – rubriek "Wetgeving".

methodologie

7

Het huishoudelijk reglement van de Commissie voor de bescherming van de persoonlijke levenssfeer

Waarom een rubriek "Huishoudelijk reglement"?

Zoals de privacywet vereist, heeft de Commissie voor de bescherming van de persoonlijke levenssfeer een Huishoudelijk reglement goedgekeurd. Het eerste reglement (1995-2007) werd recent (mei 2007) vervangen door een geamendeerde versie waarin enerzijds rekening wordt gehouden met de verworven werkervaring van de Commissie en anderzijds met de integratie van de sectorale comités binnen haar instelling. Het Huishoudelijk reglement omschrijft de rol van de Commissie, haar bevoegdheden en de manier waarop zij die bevoegdheden moet uitoefenen.


Er wordt vooral verwezen naar uittreksels uit het Huishoudelijk reglement daar waar de voorschriften bepaalde bevoegdheden toekennen aan de Commissie.

Voorbeelden

- de artikelen 29 en 30 van de privacywet vertrouwen aan de Commissie een advies- en aanbevelingsbevoegdheid toe over elke kwestie vallend binnen het toepassingsgebied van de wet van 8 december 1992. Bijgevolg wordt hierbij verwezen naar het Huishoudelijk reglement. Dit reglement geeft een duidelijke toelichting over de manier waarop elke adviesaanvraag wordt behandeld en elke aanbevelingsprocedure wordt georganiseerd.

- Ook de manier waarop klachten worden behandeld (artikel 31 van de privacywet), waarin de Commissie een bemiddelende rol speelt, wordt door de voorschriften van het Huishoudelijk reglement verder aangevuld.

Waar kan ik het Huishoudelijk reglement terugvinden?

Het is gevoegd bij de geannoteerde versie van de wet (zie "Bijlagen"). Tot slot kan het Huishoudelijk reglement ook geraadpleegd worden op de wetsite van de Commissie voor de bescherming van de persoonlijke levenssfeer: http://www.privacycommission.be – rubriek "Wetgeving".

Verwijzing naar andere wetgeving

Waarom een rubriek "Verwijzing naar ander wetgeving"?

De wet van 8 december 1992 moet worden toegepast in diverse en gevarieerde contexten. Soms achtte de wetgever het nuttig dat haar voorschriften wijken voor andere normen die specifiek aangepast zijn aan de ene of andere context. Deze voorschriften worden immers geïntegreerd in het bestaand wetgevend corpus waarnaar zij soms verwijst en co-existeren met de andere specifieke wetgevingen waarmee zij nauw verbonden zijn.


In de rubriek "verwijzing naar andere wetgeving" worden de bepalingen van andere wetgeving weergegeven waarnaar de privacywet uitdrukkelijk verwijst.

Voorbeelden

methodologie

8

- Artikel 10, §2 van de privacywet regelt het recht op toegang tot persoonsgegevens betreffende de gezondheid, onverminderd artikel 9, § 2 van de wet van 22 augustus 2002 betreffende de rechten van de patiënt. Om het de lezer gemakkelijker te maken en bij te dragen aan de verstaanbaarheid van de tekst wordt artikel 9, §2 van die wet weergegeven.

- Als gevolg van een wijziging aan de privacywet in 2003 werden sectorale comités opgericht binnen de Commissie. Dit wordt bekrachtigd met de artikelen 31bis en 36bis van de privacywet. Het is echter vooral in de specifieke wetgeving tot oprichting van die comités en in dit geval het uitvoerend koninklijk besluit, dat hun samenstelling, bevoegdheden en werking nauwkeurig worden omschreven. Bijgevolg worden onder de artikelen 31bis en 36bis van de privacywet de relevante tekstgedeelten van die reglementeringen weergegeven – zoals de wet van 8 augustus 1983 tot regeling van een Rijksregister van de natuurlijke personen of het koninklijk besluit van 17 december 2003 - om er maar enkele van te citeren.

Waar kan ik "de andere wetgevingen" terugvinden?

De integrale tekst van de wetgeving tot oprichting van de sectorale comités kan geraadpleegd worden op de website van de Commissie voor de bescherming van de persoonlijke levenssfeer (http://www.privacycommission.be – rubriek "Wetgeving"). De wetgeving waarnaar de privacywet verwijst is ook altijd beschikbaar via de zoekmachine van de FOD Justitie op het volgend adres: http://www.just.fgov.be/index_fr.htm - "Belgisch Staatsblad").

Index

De chronologische index van de wetgeving waarnaar wordt verwezen, is terug te vinden op de laatste bladzijden van deze geannoteerde versie.

Internationale wetgeving

Waarom een rubriek "Internationale wetgeving"?

De privacywet is geen geïsoleerd juridisch instrument. Zij sluit aan op een internationale regelgevende dynamiek, meer bepaald, inzake verwerking van persoonsgegevens en breder nog, inzake de bescherming van het fundamenteel recht op privacy. De instrumenten die aan deze bescherming bijdragen, of ze nu goedgekeurd werden op het niveau van de Verenigde Naties, de OESO, de Raad van Europa of de Europese Unie, zijn waardevolle bronnen voor wie zich interesseert in het ontstaan maar ook in de toekomst van de normering inzake bescherming van persoonsgegevens. De privacywet is de omzetting van de richtlijn 95/46/EG en de toepassing van bepaalde van haar bepalingen – bijvoorbeeld deze over de grensoverschrijdende gegevensstroom - is nauw verweven met de besluitvorming op niveau van de Europese instellingen. Het is logisch dat deze geannoteerde versie ernaar verwijst.

Wat kan ik onder deze rubriek vinden ?

Enkele voorbeelden: - artikel 2 van de privacywet stelt het volgende: "Iedere natuurlijke persoon heeft in

verband met de verwerking van persoonsgegevens die op hem betrekking hebben, recht op bescherming van zijn fundamentele rechten en vrijheden, inzonderheid op bescherming van zijn persoonlijke levenssfeer". Teksten zoals het Internationaal pact

methodologie

9

voor burgerlijke en politieke rechten (artikel 17), het Europees verdrag voor de rechten van de mens (artikel 8) of het Handvest voor fundamentele rechten van de Europese Unie (artikelen 7 en 8) die het fundamenteel recht op bescherming van het privéleven bekrachtigen, worden bijgevolg vermeld onder deze algemene verklaring

- de beweegredenen van een wettige verwerking waarvan sprake in artikel 5 van de privacywet zijn geïnspireerd op die van artikel 7 van de richtlijn 95/46/EG; er wordt bijgevolg naar verwezen.

- Artikel 21 van de privacywet machtigt de doorgifte van gegevens naar landen die geen deel uitmaken van de Europese Unie voor zover die landen een passend beschermingsniveau kunnen waarborgen voor de doorgegeven persoonsgegevens. Dientengevolge worden onder artikel 21 van de privacywet de beslissingen vermeld waarmee de Europese Commissie erkent dat de ene of andere staat een passend beschermingsniveau waarborgt.

Waar kan ik de bronnen vermeld onder deze rubriek terugvinden?

Sommige bronteksten zijn terug te vinden op de cd-rom. Er werd in de index bij het vermeld document een hyperlink geplaatst. Deze kan desgewenst geactiveerd worden. Voor de documenten die niet op de cd-rom voorkomen, wordt de lezer verwezen naar websites die eveneens in de index worden vermeld.

- De Raad van Europa heeft een speciale bladzijde "Protection des données à caractère

personnel" waar de belangrijkste bronteksten en werkzaamheden van de Raad van Europa kunnen worden bekeken: http://www.coe.int/t/affaires_juridiques/coop%E9ration_juridique/Protection_des_donn%E9es (vertrekkende van de homepagina van de Raad van Europa – http://www.coe.int – de rubriek "Affaires juridiques/Legal Affairs" – "Coopération juridique/Legal Cooperation" – "protection des données/Data protection").

methodologie

10

Voor het Verdrag 108 met zijn aanvullende protocollen en toelichtende rapporten: klik op "Documents" vervolgens op "Instruments juridiques internationaux/International legal instruments" en ten slotte op "Traités du Conseil de l'Europe/Treaties of the Council of Europe".

Voor de sectorale aanbevelingen: klik op "Documents", vervolgens op "Instruments juridiques internationaux/International legal instruments" en ten slotte op "Recommandations et résolutions du Comité des ministres/Recommendations and resolutions of the Council of Europe".

methodologie

11

- Het grootste deel van de documenten dat van belang is voor de gegevensbescherming

binnen de Europese Unie kan worden geraadpleegd vanaf de homepagina "Protection des données" van de Direction générale Justice, Liberté Sécurité (JLS) van de Europese Commissie: http://ec.europa.eu/justice_home/fsj/privacy/index_fr.htm

methodologie

12

Enkele voorbeelden Voor de rechtstaat (richtlijnen enz.): klik op "Protection des données: le droit/Data protection – The Law", op "Etat de transposition de la directive/Status of implementation" of nog "instruments internationaux/International instruments". Voor de erkenningen van een passend beschermingsniveau in derde landen: klik op "Niveau adéquat de la protection des données dans les pays tiers/In third countries". Voor de contractuele modelbepalingen: klik op "Clauses contractuelles pour le transfert de données à caractère personnel/Model contracts".

Index

Een chronologische index van de teksten, goedgekeurd door de verschillende internationale referentie-instellingen waarnaar verwezen wordt in deze geannoteerde versie van de privacywet, is terug te vinden op het einde van dit document.

methodologie

13

De adviezen van de Werkgroep van het artikel 29 (Groep 29)

Waarom een rubriek "Advies van de Groep 29"? In de Groep 29 zijn de gegevensbeschermingsautoriteiten van de 27 lidstaten van de Europese Unie en de Europese toezichthouder voor gegevensbescherming vertegenwoordigd. De Commissie voor de bescherming van de persoonlijke levenssfeer neemt in die hoedanigheid deel aan deze werkgroep die onder meer moet bijdragen aan een geharmoniseerde toepassing van de richtlijn 95/46/EG.

Wat kan ik onder deze rubriek vinden ?

Tijdens de 10 jaar dat hij in werking is (1997-2007) gaf de Werkgroep ongeveer 150 adviezen, werkdocumenten, aanbevelingen en resoluties over verschillende onderwerpen zoals de bescherming van persoonsgegevens op het internet, binnen een werkrelatie of in het kader van terrorismebestrijding. Naast vele andere onderwerpen werden ook de onderwerpen biometrie, en RFID-technologie besproken.

In deze geannoteerde versie van de privacywet wordt verwezen naar meer dan negentig documenten die door de Groep 29 werden goedgekeurd. Van elk advies wordt een korte samenvatting gegeven of een punt aangehaald dat relevant is voor de geannoteerde bepaling. Zodoende wordt de lezer de weg gewezen en gestimuleerd zich verder in het onderwerp te verdiepen door het advies integraal door te nemen.

Voorbeelden

- artikel 1, §1 van de privacywet definieert het begrip "persoonsgegeven". Deze definitie is rechtstreeks geïnspireerd op het artikel 2 a) van de richtlijn 95/46/EG. In 2007 keurde de Groep 29 een werkdocument goed dat het begrip “persoonsgegeven” bekrachtigt: wat houdt dit begrip in? Wat zijn de wezenlijke elementen van deze definitie? Hoe moet ze worden toegepast? Bijgevolg wordt bij artikel 1§1 van de privacywet naar dit artikel verwezen.

- Artikel 7, § 2 van de privacywet beschrijft onder welke voorwaarden een verwerking van persoonsgegevens betreffende de gezondheid mag plaatsvinden. Bij deze bepaling wordt verwezen naar het advies van de Groep 29 over de elektronische medische dossiers.

Waar kan ik de adviezen van de Groep 29 vinden?

De goedgekeurde documenten van de Groep 29 (adviezen, werkdocumenten, aanbevelingen en resoluties) zijn te raadplegen op het volgend adres: http://www.ec.europa.eu/justice_home/fsj/privacy/workinggroup/index.fr.htm Deze documenten zijn bijna altijd beschikbaar in alle werktalen van de Europese Unie. Als de Franstalige of de Nederlandstalige versie ontbreekt, is er steeds een Engelse – de taal waarin de teksten in eerste instantie worden opgesteld – versie beschikbaar.3 De homepagina van de Groep bevat verschillende rubrieken die de geïnteresseerde lezer kan inkijken. Op die manier krijgt hij alle informatie omtrent zijn leden, de procedureregels, jaarverslagen, etc.

3 De vertalingen worden progressief online gezet. Om het document in de taal van zijn keuze te kunnen raadplegen wordt de lezer verzocht om regelmatig de wetsite van de Werkgroep te bezoeken.

methodologie

14

Om de werkzaamheden van de Groep te raadplegen klik op “Documents adoptés/Documents adopted”. De documenten zijn per jaar geïnventariseerd. U vindt het gewenste document met een eenvoudige klik op het jaar waarin het document werd goedgekeurd en door te klikken op het document in de lijst die verschijnt.

methodologie

15

Index De chronologische index van de teksten van de Groep 29 waarnaar in deze geannoteerde versie van de privacywet wordt verwezen vindt u op het einde van dit document. De Verslagen en Studies van de Raad van Europa

Waarom een rubriek “Verslagen en Studies van de Raad van Europa?”

Het Raadgevend Comité van het Verdrag 108 van de Raad van Europa voor de bescherming van personen ten opzichte van de geautomatiseerde verwerking van persoonsgegevens (T-PD) heeft de volgende opdrachten: formuleren van voorstellen die de toepassing van het Verdrag moet vergemakkelijken of verbeteren; uitbrengen van adviezen over elke kwestie betreffende de toepassing van het Verdrag. Het Comité mag ook beroep doen op deskundigen die zich moeten beraden over een specifieke problematiek die betrekking heeft op de bescherming van persoonsgegevens en de toepassing van het Verdrag 108. De werkzaamheden van het Comité zijn evenzeer nuttige bronnen omdat de begrippen die in het Verdrag 108 worden bekrachtigd, zijn overgenomen, weliswaar gedetailleerder, in de richtlijn 95/46/EG die werd omgezet in de privacywet.

methodologie

16

Wat kan ik onder deze rubriek vinden? Alle werkzaamheden zitten gegroepeerd onder de rubriek “Verslagen en Studies van de Raad van Europa”.

Voorbeelden - Het advies van het Raadgevend Comité van het Verdrag 108 (T-PD) over het begrip

“verwerking” en “verantwoordelijke voor de verwerking” wordt vermeld onder het artikel 1, 2de en 4de lid van de privacywet die respectievelijk de begrippen “verwerking” en “verantwoordelijke voor de verwerking” definiëren.

- In de artikelen 6, 7 en 8 van de privacywet die handelen over gevoelige gegevens sensu lato, wordt verwezen naar de Studie van de heer SIMITS over gevoelige gegevens.

Waar kan ik de Verslagen en Studies van de Raad van Europa terugvinden?

De Verslagen en Studies van de Raad van Europa kunnen in het Frans en in het Engels geraadpleegd worden op de website van de Raad van Europa op het adres: http://www.coe.int/t/f/affaires_juridiques/coop%E9ration_juridique/Protection_des_donn%E9es (pagina gewijd aan de gegevensbescherming). Klik op de rubriek “Documents” en vervolgens op “Reports and studies by experts” en op "Reports and studies of Data protection Committees" .

methodologie

17

Index

De chronologische index van de Verslagen en Studies van de Raad van Europa waarnaar wordt verwezen in deze geannoteerde versie van de privacywet is terug te vinden op eind van dit document. Rechtspraak van het Europese Hof van Justitie van de Europese Gemeenschappen

Waarom een rubriek “Rechtspraak van het Europees Hof van Justitie van de Europese

Gemeenschappen”? De rechtbank van eerste aanleg en het Hof van Justitie van Luxemburg zijn vanzelfsprekend bevoegd om zich naar aanleiding van een geschil uit te spreken over de bepalingen van de richtlijn 95/46/EG en de omvang van het toepassingsgebied ervan te omschrijven. Hun rechtspraak is essentieel voor een goede verstaanbaarheid en correcte toepassing van die begrippen van de richtlijn en derhalve van de nationale bepalingen die de omzetting ervan zijn.


De relevante uittreksels van enkele arresten ter zake van de Rechtbank van eerste aanleg en het Hof van Justitie worden weergegeven bij de desbetreffende bepalingen van de privacywet.

Voorbeeld

- In het arrest Bodil Lindqvist oordeelt het Hof dat wanneer op een internetpagina wordt verwezen naar diverse personen die geïdentificeerd worden hetzij via hun naam, hetzij via andere middelen, dit zonder twijfel een “verwerking van persoonsgegevens” betreft. Bijgevolg wordt naar deze rechtspraak verwezen in de artikelen 1 §§ 1 en 2 van de privacywet, die respectievelijk het begrip “persoonsgegeven” en “verwerking” definiëren.

Waar kan ik de arresten van het Hof van Justitie van de Europese Gemeenschappen vinden ?

De rechtspraak van de Rechtbank van eerst aanleg en het Hof van Justitie van Luxemburg is te vinden via de zoekmachine http://www.curia.europa.eu

Index

De chronologische index van de arresten van de Rechtbank van eerste aanleg het van het Hof van Justitie van de Europese Gemeenschappen waarnaar word verwezen in deze geannoteerde versie van de privacywet is te vinden op het einde van dit document. Rechtspraak van het Europees Hof voor de rechten van de mens

Waarom een rubriek “rechtspraak van het Europees Hof voor de rechten van de mens”?

Overeenkomstig de rechtspraak van het Europees Hof die stelt dat het Verdrag een “levend instrument” is heeft het Hof, vertrekkende van artikel 8 dat het recht op bescherming van het privéleven bevestigt, een omvangrijke jurisprudentie opgebouwd met betrekking tot de bescherming van persoonsgegevens. Het zijn vooral het rechtmatigheidsbeginsel en het proportionaliteitsbeginsel die bijzondere aandacht krijgen.


methodologie

18

Het Secretariaat van het Raadgevend Comité van het Verdrag 108 (T-PD) selecteerde een zestigtal arresten die handelen over persoonsgegevens. Deze selectie diende als basis voor de arresten waarnaar wordt verwezen bij de bepalingen van de privacywet. De beschouwingen in die arresten zijn nauw verwant met die bepalingen.

Voorbeelden

- Krachtens het arrest Rotaru t. Roemenië omschrijft het Hof nauwkeurig wat begrepen moet worden onder “inmenging bepaald door de wet”. Bijgevolg wordt naar dit arrest verwezen bij artikel 5 van de privacywet dat handelt over de rechtmatigheid van een verwerking.

- Het arrest Segersted-Wiberg en anderen t. Zweden: dit arrest gaat onder meer over de vraag wanneer, gelet op zijn bevoegdheden, de Zweedse autoriteit voor gegevensbescherming kan beschouwd worden als een overheid die een daadwerkelijke beroepsmogelijkheid biedt, zoals bedoeld in artikel 13 van het Europees Verdrag voor de rechten van de mens. Dit arrest wordt vermeld in de marge van de artikelen van de privacywet die handelen over de bevoegdheden van de Commissie.

Waar kan ik de arresten vinden van het Europees Hof voor de rechten van de mens?

De arresten van het Hof van Straatsburg zijn te vinden op de website van het Hof op het volgend adres: http://www.echr.coe.int/echr

methodologie

19

Om de arresten te raadplegen: klik op “Jurisprudence/Case law”. Met de zoekmachine van de Hof kunt u ook opzoekingen verrichten op basis van meerdere criteria.

methodologie

20

Er werd reeds gezegd dat het Secretariaat van het Raadgevend Comité van het Verdrag 108 (T-PD) de belangrijkste arresten inventariseerde over de bescherming van personen ten opzichte van de verwerking van persoonsgegevens. Dat resulteerde in een Compendium van de rechtspraak. Dit Compendium bevat voor elk geselecteerd arrest de relevante fragmenten uit het corpus van het arrest en het dispositief dat door het Hof werd aangenomen. Het wordt regelmatig bijgewerkt. Dit Compendium is beschikbaar bij de Raad van Europa.

Index

De chronologische index van de arresten van het Europees Hof voor de rechten van de mens waarnaar verwezen wordt in deze geannoteerde versie van de privacywet is terug te vinden op einde van dit document.

De rechtspraak van hoven en rechtbanken

Waarom een rubriek “rechtspraak van hoven en rechtbanken”?

De Commissie voor de bescherming van de persoonlijke levenssfeer oefent haar bevoegdheden uit onverminderd de bevoegdheden van de hoven en rechtbanken. De burger mag naast de klacht die hij op de Commissie kan indienen ook beroep doen op de hoven en rechtbanken als

methodologie

21

hij zich het slachtoffer voelt van een inbreuk op zijn privacy. Het parket kan ook het initiatief nemen om diegenen te vervolgen – strafrechtelijk te bestraffen – die bepaalde voorschriften van de privacywet niet geëerbiedigd hebben.


Deze geannoteerde versie bevat op dit ogenblik slechts enkele beslissingen ter zake van de nationale hoven en rechtbanken. Het Secretariaat opteerde ervoor om slechts enkele beslissingen te vermelden waarin een of ander grondbegrip betreffende het beschermingsregime wordt uiteengezet. Dit verklaart het relatief klein aantal beslissingen waarnaar tot nu toe wordt verwezen. Er mag ook niet worden vergeten dat de Commissie voor de bescherming van de persoonlijke levenssfeer in haar adviezen een eigen jurisprudentie ontwikkelt en de rechtbanken vrij zijn om zich daar al dan niet op te inspireren. In een latere uitgave van deze geannoteerde versie van de privacywet zou deze omvangrijke rechtspraak geïntegreerd kunnen worden.

Waar kan ik deze rechtspraak – index terugvinden?

De beslissingen van de hoven en rechtbanken staan niet op deze cd-rom. De chronologische index van de nationale jurisprudentie waarnaar in deze geannoteerde versie van de privacywet wordt verwezen is terug te vinden op het einde van dit document en vermeldt eveneens waar deze jurisprudentie te vinden is.

analytische inhoudsopgave trefwoorden

22

ANALYTISCHE INHOUDSOPGAVE INHOUDSOPGAVE......................................................................................................... 2 VOORWOORD................................................................................................................ 3 METHODOLOGIE ........................................................................................................... 6 ANALYTISCHE INHOUDSOPGAVE ............................................................................ 22 HOOFDSTUK I. - Begripsomschrijvingen, beginsel en werkingssfeer. .................. 29

Artikel 1.......................................................................................................................................29 begripsomschrijvingen en definities...................................................................................29 persoonsgegevens.............................................................................................................29 betrokkene..........................................................................................................................29 identiteit ..............................................................................................................................29 verwerking ..........................................................................................................................44 bestand...............................................................................................................................48 verantwoordelijke voor de verwerking ...............................................................................49 verwerker............................................................................................................................50 derde ..................................................................................................................................50 ontvanger............................................................................................................................51 toestemming van de betrokkene........................................................................................51

Artikel 2.......................................................................................................................................53 beginsel: recht op bescherming van persoonlijke levenssfeer..........................................53

Artikel 3.......................................................................................................................................57 toepassingsgebied WVP....................................................................................................57 toepassing: persoonsgegevens voor een bestand............................................................57 algemene uitzondering: privégebruik.................................................................................58 specifieke uitzondering: journalistieke, artistieke of literaire doeleinden: .........................61 gegevens van publieke aard: artikel 6, 7 en 8 WVP niet van toepassing.........................61 9,§1 en 9,§2 : journalistieke, artistieke of literaire doeleinden ..........................................63 specifieke uitzondering: veiligheid van de staat ................................................................65 specifieke uitzondering: politie ...........................................................................................72 witwassen geld ...................................................................................................................74 comité P..............................................................................................................................74 specifieke uitzondering: Centrum vermiste kinderen.........................................................75

Artikel 3bis. .................................................................................................................................77 territoriale toepassing.........................................................................................................77 vaste vestiging op Belgisch grondgebied ..........................................................................77 geen vaste vestiging op het grondgebied EU....................................................................79

HOOFDSTUK II. - Algemene voorwaarden voor de rechtmatigheid van de verwerking van persoonsgegevens. .......................................................................... 82

Artikel 4.......................................................................................................................................83 vereisten verwerking persoonsgegevens ..........................................................................83 wettigheidsbeginsel (legaliteitsbeginsel) ...........................................................................83 eerlijkheidsbeginsel ............................................................................................................83 finaliteitsbeginsel ................................................................................................................85 verdere verwerking.............................................................................................................85 latere verwerking voor historische, statistische of wetenschappelijke doeleinden ...........85 proportionaliteitsbeginsel ...................................................................................................97


23

nauwkeurig en volledig.....................................................................................................101 bewaartermijn...................................................................................................................102 nalevingsplicht van de verantwoordelijke voor de verwerking ........................................106

Artikel 5.....................................................................................................................................112 gronden tot verwerking.....................................................................................................112 ondubbelzinnige toestemming .........................................................................................112 ex-contractu......................................................................................................................112 ex-lege..............................................................................................................................113 vitaal belang .....................................................................................................................114 openbaar belang of gezag ...............................................................................................114 afgewogen en gerechtvaardigd belang ...........................................................................116

Artikel 6.....................................................................................................................................125 gevoelige persoonsgegevens ..........................................................................................125 verbod verwerking gevoelige persoonsgegevens ...........................................................125 uitzonderingen op het verbod van het verwerken van gevoelige gegevens...................126 bij schriftelijke toestemming die steeds intrekbaar is ......................................................127 arbeidsrechterlijke verplichting.........................................................................................128 verdediging vitale belangen .............................................................................................129 persoonsgegevens leden vereniging ...............................................................................129 zelf duidelijk geopenbaarde gegevens ............................................................................130 ter verdediging in rechte...................................................................................................130 wetenschappelijk onderzoek............................................................................................131 sociale zekerheid..............................................................................................................131 openbare statistiek ...........................................................................................................131 geneeskunde....................................................................................................................132 verdediging mensenrechten mits machtiging ..................................................................132 voor publiek belang door wet ...........................................................................................132 geheimhoudingsplicht geneeskunde ...............................................................................133 seksueel gedrag - misdadig .............................................................................................134 erkende instelling .............................................................................................................134 individuele machtiging......................................................................................................134 bijzondere voorwaarden verwerking gevoelige gegevens bij KB....................................134

Artikel 7.....................................................................................................................................136 gezondheidsgegevens .....................................................................................................136 verbod verwerking gezondheidsgegevens ......................................................................136 uitzonderingen op verwerkingsverbod: ............................................................................139 bij schriftelijke toestemming betrokkene steeds intrekbaar.............................................140 arbeidsrechterlijke verplichting.........................................................................................141 sociale zekerheid..............................................................................................................142 volksgezondheid...............................................................................................................142 zwaarwegend algemeen belang door wet verplicht ........................................................142 verdediging vitale belangen .............................................................................................143 ter voorkoming van gevaar of beteugeling bij strafrechtelijke inbreuk ............................143 zelf duidelijk geopenbaarde gegevens ............................................................................144 ter verdediging in rechte...................................................................................................144 geneeskunde....................................................................................................................144 wetenschappelijk onderzoek............................................................................................146 bijzondere voorwaarden bij KB ........................................................................................146


24

enkel verwerking door beroeps geheimhouding..............................................................147 inzameling bij betrokkene.................................................................................................148 voorwaarden inzameling ..................................................................................................148

Artikel 8.....................................................................................................................................150 gerechtelijke persoonsgegevens .....................................................................................150 verbod verwerking............................................................................................................150 toegelaten verwerking ......................................................................................................151 ter uitoefening van een taak onder toezicht van gerechtelijke overheid .........................151 ter verwezenlijking doel door of krachtens wet vastgesteld ............................................151 voor beheer eigen geschillen ...........................................................................................152 advocaat of raadsman ter verdediging ............................................................................152 wetenschappelijk onderzoek............................................................................................152 beroepsgeheim.................................................................................................................152 bijzondere voorwaarden...................................................................................................152

HOOFDSTUK III. - Rechten van de betrokkene. ...................................................... 154 Artikel 9.....................................................................................................................................154

informatieverplichting van de verantwoordelijke bij opname persoonsgegevens...........154 kennisgeving aan de betrokkene bij opname persoonsgegevens ..................................154 vrijstelling van kennisgeving ............................................................................................161

Artikel 10...................................................................................................................................164 inzagerecht van de betrokkene........................................................................................164 inzagerecht gezondheidsgegevens .................................................................................167 wet betreffende de rechten van de patiënt ......................................................................167 wetenschappelijk onderzoek............................................................................................168 herhaalde vraag: redelijke termijn....................................................................................169

Artikel. 11. (opgeheven) ...........................................................................................................171 Artikel 12...................................................................................................................................172

verbeteringsrecht..............................................................................................................172 recht van verzet tegen verwerking gevoelige gegevens .................................................172

Artikel 12bis. .............................................................................................................................177 geautomatiseerde besluitvorming....................................................................................177

Artikel 13...................................................................................................................................179 onrechtstreekse toegang..................................................................................................179

Artikel 14...................................................................................................................................183 justitiële handhaving: Voorzitter rechtbank eerste aanleg...............................................183 zoals in kortgeding ...........................................................................................................183 maatregelen tot vaststellingen .........................................................................................184 gemeenrechtelijke bevoegdheid ......................................................................................184

Artikel 15...................................................................................................................................186 meldingsplicht betwisting door verantwoordelijke ...........................................................186

Artikel 15bis. .............................................................................................................................187 burgerlijke aansprakelijkheid............................................................................................187

HOOFDSTUK IV. - Vertrouwelijkheid en beveiliging van de verwerking............... 189 Artikel 16...................................................................................................................................189

beveiliging.........................................................................................................................189 verplichtingen van de verantwoordelijke ten overstaan van de verwerker .....................189 beveiligingsvoorwaarden..................................................................................................189


25

exclusieve verwerking voor de verantwoordelijke ...........................................................190 gepaste technische en organisatorische beveiliging.......................................................190

HOOFDSTUK V. - Voorafgaande aangifte en openbaarheid van de verwerkingen.................................................................................................................................... 195

Artikel 17...................................................................................................................................195 voorafgaande aangifte .....................................................................................................195 uitzondering......................................................................................................................196 ontvangstbewijs................................................................................................................197 inhoud aangifte.................................................................................................................197 controle- en onderzoeksbevoegdheid..............................................................................198 één aangifte per doeleinde ..............................................................................................199 samenhangende doeleinden............................................................................................199 bijkomende aangifte bij buitenlandse transfer .................................................................199 aangifte wijziging en stopzetting ......................................................................................199 vrijstelling van aangifte voor bepaalde categorieën ........................................................200 betaling bijdrage ...............................................................................................................205

Artikel 17bis. .............................................................................................................................206 bijzondere categorieën van verwerking ...........................................................................206 bijzondere risico’s.............................................................................................................206 aangestelde voor de gegevensbescherming...................................................................206

Artikel 18...................................................................................................................................210 openbaar register .............................................................................................................210

Artikel 19...................................................................................................................................212 onderzoeksrecht van de Commissie................................................................................212 bestand verwerking van persoonsgegevens ...................................................................212

Artikel 20...................................................................................................................................213 specifieke aangifte door of krachtens wet .......................................................................213

HOOFDSTUK VI. - Doorgifte van persoonsgegevens naar landen buiten de Europese Gemeenschap........................................................................................... 214

Artikel 21...................................................................................................................................215 doorgifte beperkt tot landen met passend beschermingsniveau.....................................215 KB verboden doorgifte .....................................................................................................222

Artikel 22...................................................................................................................................224 uizondering op verbod doorgifte ......................................................................................224 afwezigheid van passend beschermingsniveau ..............................................................224 toestemming.....................................................................................................................224 uitvoering van een overeenkomst....................................................................................225 uitvoering van een contract - derden ...............................................................................226 zwaarwegend algemeen belang ......................................................................................227 verdediging in rechte........................................................................................................227 vitaal belang .....................................................................................................................227 openbaar register .............................................................................................................229 voldoende waarborgen.....................................................................................................230 contractuele bepalingen...................................................................................................230 bindende ondernemingsregels.........................................................................................233 internationaal akkoord......................................................................................................235


26

HOOFDSTUK VII. - Commissie voor de bescherming van de persoonlijke levenssfeer................................................................................................................. 244

Artikel 23...................................................................................................................................246 instelling van de Commissie ............................................................................................246 instelling bij Kamer van Volksvertegenwoordigers ..........................................................246 zetel ..................................................................................................................................246

Artikel 24...................................................................................................................................248 samenstelling ...................................................................................................................248 acht vaste, plaatsvervangende leden ..............................................................................248 N en F gelijk .....................................................................................................................248 ambtstermijn 6 jaar...........................................................................................................248 voordracht Ministerraad ...................................................................................................248 benoeming Kamer............................................................................................................248 ontheffing Kamer ..............................................................................................................248 onafhankelijke deskundige...............................................................................................248 evenwicht en competenties..............................................................................................249 benoemingsvoorwaarden.................................................................................................250 onafhankelijkheid..............................................................................................................251 persoonlijk belang ............................................................................................................251

Artikel 25...................................................................................................................................252 vervanging van een commissaris ....................................................................................252

Artikel 26...................................................................................................................................253 voorzitterschap .................................................................................................................253 voorzitter...........................................................................................................................253 ondervoorzitter .................................................................................................................255

Artikel 27...................................................................................................................................257 eed....................................................................................................................................257

Artikel 28...................................................................................................................................258 reglement van orde – quorum – wijze van beslissen ......................................................258

Artikel 29...................................................................................................................................259 advies ...............................................................................................................................259

Artikel 30...................................................................................................................................263 aanbeveling ......................................................................................................................263

Artikel 31...................................................................................................................................267 behandeling van klachten ................................................................................................267 controles en inspecties.....................................................................................................272

Artikel 31 bis.............................................................................................................................275 sectorale comités .............................................................................................................275 sectorale comités binnen Commissie: oprichting ............................................................275 samenstelling: 2X3 leden.................................................................................................275 procedure .........................................................................................................................276 vergoeding voorzitter........................................................................................................277 zetel ..................................................................................................................................277

Artikel 32...................................................................................................................................301 controle- en onderzoeksbevoegdheid..............................................................................301 beroep op deskundige......................................................................................................301 onderzoek ter plaatse.......................................................................................................301


27

officier van gerechtelijke politie ........................................................................................301 opeisen documenten........................................................................................................301 toegang tot alle plaatsen..................................................................................................301 controles en inspecties.....................................................................................................303 aangifte misdrijven PdK ...................................................................................................303 jaarverslag........................................................................................................................304 geschillenbeslechting door rechtbank eerste aanleg ......................................................305

Artikel 32 bis.............................................................................................................................306 internationale opdrachten ................................................................................................306

Artikel 33...................................................................................................................................307 beroepsgeheim.................................................................................................................307

Artikel 34...................................................................................................................................308 begroting...........................................................................................................................308 bestuursplan.....................................................................................................................308

Artikel 35...................................................................................................................................309 secretariaat.......................................................................................................................309 personeel - statuut............................................................................................................309 gelijkstelling met statuut van de vaste rijksambtenaren ..................................................309 overgangsregeling............................................................................................................309

Artikel 36...................................................................................................................................311 vergoeding commissarissen ............................................................................................311 emolumenten....................................................................................................................311 presentiegelden................................................................................................................311

HOOFDSTUK VII bis - Sectorale comités................................................................. 312 Artikel 36 bis.............................................................................................................................312

sectorale comités .............................................................................................................312 sectoraal comité federale overheid..................................................................................312 KB m.b.t. de 3 externen ...................................................................................................312 vereiste van machtiging ...................................................................................................312 onderzoek naar wettelijke of reglementaire grondslag....................................................312 openbaarheid en publicatie..............................................................................................312 raadgevende stem van de leidende ambtenaar ..............................................................313

HOOFDSTUK VIII - Strafbepalingen. ........................................................................ 319 Artikel 37...................................................................................................................................320

strafbaarstelling van overtreding van schending vertrouwelijkheid.................................320 Artikel 38...................................................................................................................................321

strafbaarstelling van het overtreden van artikel 15 of 16 § 1 ..........................................321 Artikel 39...................................................................................................................................322

strafbaarstelling van het overtreden van diverse bepalingen WVP ................................322 Artikel 40...................................................................................................................................324

publicatie vonnis veroordeling..........................................................................................324 Artikel 41...................................................................................................................................325

verbeurdverklaring............................................................................................................325 uitwissing ..........................................................................................................................325 beroepsverbod .................................................................................................................325 schending artikel 41 § 2 ...................................................................................................326 herhaling: artikel 37, 38 en 39..........................................................................................326


28

Artikel 42...................................................................................................................................327 burgerrechtelijke aansprakelijkheid .................................................................................327

Artikel 43...................................................................................................................................328 toepasselijkheid Boek 1 van het Strafwetboek................................................................328

HOOFDSTUK IX. - Slotbepalingen............................................................................ 329 Artikel 44...................................................................................................................................329

sectoriële regels ...............................................................................................................329 gedragscode.....................................................................................................................329

Artikel 45...................................................................................................................................332 vernietiging gegevens oorlogstijd ....................................................................................332

Artikel 46...................................................................................................................................333 Artikel 47...................................................................................................................................334 Artikel 48...................................................................................................................................335 Artikel 49...................................................................................................................................336 Artikel 50...................................................................................................................................337 Artikel 51...................................................................................................................................338 Artikel 52...................................................................................................................................339

INDEX ......................................................................................................................... 340 verwijzing naar andere wetgeving ...................................................................................340 internationale wetgeving ..................................................................................................342 adviezen van de Groep 29 ..............................................................................................346 studies en verslagen van de Raad van Europa...............................................................352 rechtspraak van eerste aanleg van de Europese Gemeenschappen.............................353 rechtspraak van het Hof van Justitie van de Europese Gemeenschappen....................353 rechtspraak van het Europees Hof voor de Rechten van de Mens ................................354 nationale rechtspraak.......................................................................................................359

BIJLAGEN .................................................................................................................. 360 Koninklijk besluit van 13 februari 2001 ............................................................................360 huishoudelijk reglement van de CBPL.............................................................................373

Artikel 1: begripsomschrijvingen en definities

29

HOOFDSTUK I. - Begripsomschrijvingen, beginsel en werkingssfeer.

Artikel 1.

begripsomschrijvingen en definities

persoonsgegevens

betrokkene

identiteit § 1. Voor de toepassing van deze wet wordt onder "persoonsgegevens" iedere informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon verstaan, hierna "betrokkene" genoemd; als identificeerbaar wordt beschouwd een persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificatienummer of van één of meer specifieke elementen die kenmerkend zijn voor zijn of haar fysieke, fysiologische, psychische, economische, culturele of sociale identiteit. PERSOONSGEGEVENS INTERNATIONALE WETGEVING • Artikel 2 a) van het Verdrag nr. 108 van de Raad van Europa tot bescherming van

personen ten opzichte van de geautomatiseerde verwerking van persoonsgegevens (1981): onder « persoonsgegevens » wordt verstaan : iedere informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.

• Explanatory Report of the Convention No.108 – punten 28 en 29: "Identifiable persons" means a person who can be easily identified: it does not cover identification of persons by means of very sophisticated methods. The notion of "data subject" expresses the idea that a person has a subjective right with regard to information about himself, even where this is gathered by others (cfr de zegswijze data subject)

• Recommendation No.R(99)5 of the Committee of Ministers to member states for the protection of privacy on the internet: Guidelines for the protection of individuals with regard to the collection and processing of personal data on information highways. (1999): Het e-mailadres is een persoonsgegeven.

• Artikel 2 a) van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende

de bescherming van natuurlijke personen in verband met de verwerking van


30

persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): onder: "persoonsgegevens" wordt verstaan, iedere informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon, hierna "betrokkene" te noemen; als identificeerbaar wordt beschouwd een persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificatienummer of van een of meer specifieke elementen die kenmerkend zijn voor zijn of haar fysieke, fysiologische, psychische, economische, culturele of sociale identiteit.

• Overweging 26 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): Overwegende dat de beschermingsbeginselen moeten gelden voor elk gegeven betreffende een geïdentificeerde of identificeerbare persoon; dat, om te bepalen of een persoon identificeerbaar is, moet worden gekeken naar alle middelen waarvan mag worden aangenomen dat zij redelijkerwijs door degene die voor de verwerking verantwoordelijk is dan wel door enig ander persoon in te zetten zijn om genoemde persoon te identificeren; dat de beschermingsbeginselen niet van toepassing zijn op gegevens die op zodanige wijze anoniem zijn gemaakt dat de persoon waarop ze betrekking hebben niet meer identificeerbaar is; dat de gedragscodes in de zin van artikel 27 een nuttig instrument kunnen zijn om een indicatie te geven omtrent de middelen waarmee de gegevens anoniem kunnen worden gemaakt en kunnen worden bewaard in een vorm die identificatie van de betrokkene niet langer mogelijk maakt.

ADVIEZEN VAN DE GROEP 29 • Groep 29, Aanbeveling 1/2001 over beoordelingsgegevens betreffende werknemers, (22

maart 2001- WP 42) : volgens de definitie in artikel 2 a) van de Richtlijn 95/46/EG wordt onder persoonsgegevens verstaan, iedere informatie betreffende een geïdentificeerde of identificeerbaar natuurlijke persoon, zoals gegevens over de fysieke, fysiologische, psychische, economische, culturele of sociale identiteit.

De omvang van deze definitie houdt in dat onder persoonsgegevens niet uit objectieve factoren voortvloeiende informatie vallen die kunnen worden gecontroleerd en gerectificeerd, maar ook elk ander element, elke andere informatie of omstandigheid die een informatie-inhoud heeft die iets toevoegt aan de kennis betreffende een geïdentificeerde of identificeerbare persoon. Persoonsgegevens kunnen daarom ook worden aangetroffen in subjectieve beoordelingen en evaluaties, die inderdaad elementen kunnen bevatten die specifiek zijn voor de fysieke, fysiologische, psychische, economische, culturele of sociale identiteit van betrokkenen. Dit geldt ook wanneer een beoordeling of evaluatie in punten of een rangschikking is samengevat of door middel van andere beoordelingscriteria wordt uitgedrukt. Dit kan van bijzonder belang zijn wanneer de verwerking van persoonsgegevens wordt verricht om de geschiktheid van de werknemer voor een bepaalde post te evalueren, wat zou kunnen leiden tot discriminatie of op basis van onvolledige informatie tot een onjuiste beoordeling van de werknemer. Het feit dat ingevolge het intern recht enkele van deze subjectieve gegevens niet altijd toegankelijk zijn en kunnen worden gerectificeerd, of slechts door invoeging van een nota of opmerking van betrokkenen, belet niet dat het desgevallend, met het oog op de doorzichtigheid van de verwerking en de uitoefening van het recht van toegang, verbetering, schrapping en verzet, persoonsgegevens zijn, zoals bedoeld in de Richtlijn 95/46/EG.


31

• Groep 29, Advies 3/99 betreffende Overheidsinformatie en de bescherming van

persoonsgegevens. Bijdrage aan de raadpleging naar aanleiding van het groenboek van de Europese Commissie getiteld “Overheidsinformatie: een essentiële hulpbron voor Europa”,COM (1998)585 (3 mei 1999 – WP 20).

• Groep 29 Advies 7/2003 inzake het hergebruik van overheidsinformatie en de bescherming

van persoonsgegevens (12 december 2003 – WP 83) :uit deze twee adviezen onthouden we voornamelijk dat de regels inzake gegevensbescherming van toepassing zijn op persoonsgegevens die openbaar werden gemaakt, zelfs indien, het gebruik van de term “publicy available” a priori beantwoordt aan het concept dat openbaar gemaakte gegevens door dit feit beschikbaar zouden zijn voor elk gebruik, zelfs indien het finaliteitsbeginsel niet past bij het adjectief "beschikbaar". Dit document wil dat wordt nagedacht over de omvang die de bescherming van persoonsgegevens inneemt en die, zodra die gegevens betrekking hebben op natuurlijke personen, essentieel is wanneer men er zich toe verbindt de toegang tot de gegevens van de openbare sector te vergemakkelijken. Het document brengt kort de problematiek ter sprake van de gegevensbanken met justitiële beslissingen en de problematiek van de nieuwe technologieën die bijdragen aan een versterking van de gegevensbescherming (technische toegangsvoorwaarden moeten bijdragen aan de eerbiediging van het finaliteitsbeginsel en het gebruik bevorderen van technische hulpmiddelen die beletten dat de hand kan worden gelegd op online beschikbare gegevens). En tenslotte komt het commercieel gebruik van openbare gegevens aan bod.

• Groep 29, Werkdocument over biometrie (1 augustus 2003. – WP 80): het document

beschrijft eerst enkele biometrische toepassingen om daarna de toepassing van de Richtlijn 95/46/EG op die technologieën te analyseren. De Groep wijst erop dat gelet op de definitie die de Richtlijn geeft aan persoonsgegevens, de biometrische identificatiemaatregelen of hun numerieke versie in modelvorm in de meeste gevallen persoonsgegevens zijn. Aangaande het finaliteits- en proportionaliteitsbeginsel is het aangewezen om eerst het doeleinde duidelijk te definiëren waarvoor er biometrische informatie wordt verzameld en verwerkt. De werkgroep is van mening dat wanneer voor de toegangscontrole gebruik wordt gemaakt van biometrische systemen die betrekking hebben op fysiologische kenmerken die geen sporen nalaten (bijvoorbeeld de handomtrek, maar geen digitale vingerafdrukken) of biometrische systemen die betrekking hebben op fysiologische kenmerken die wel sporen nalaten maar waarvan de gegevens niet worden geregistreerd in een geheugen dat wordt bijgehouden door een andere persoon dan de betrokken persoon, minder risico met zich mee brengt voor de bescherming van de fundamentele rechten en vrijheden van de persoon. Ook de problematiek rond het risico op hergebruik wordt erin besproken alsook het feit dat de biometrische gegevens behoren tot de categorie gevoelige gegevens. Voorts gaat het over de unieke identificatie, de gedragscodes en het gebruik van technologieën die de bescherming van de privacy versterken.

• Groep 29, Werkdocument over de problematiek van bescherming van gegevens verbonden

aan RFID-technologie (radio-identificatie) (19 januari 2005 – WP 105) (geen officiële Nederlandse vertaling): naast andere elementen bespreekt het document de toepasbaarheid van de Richtlijn op het verzamelen van gegevens via RFID-technologie. Het toepassingsgebied van de Richtlijn "Gegevensbescherming" dekt de verwerking van alle persoonsgegevens. Die Richtlijn definieert heel breed het begrip "persoonsgegevens" dat "alle informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon" bevat. De vraag kan worden gesteld of dit betekent dat de Richtlijn "Gegevensbescherming" wel noodzakelijk moet worden toegepast wanneer gegevens via


32

RFID-technologie worden verzameld. Algemeen gezien hangt het antwoord af van de toepassing van de concrete, specifieke radio-identifcatietechnologie, en meer in het bijzonder van het feit of de toepassing van de specifieke RFID een verwerking omvat van persoonsgegevens, zoals gedefinieerd in de algemene Richtlijn Gegevensbescherming.

• Groep 29, Advies 4/2007 over het begrip persoonsgegeven (20 juni 2007 – WP 136). In dit

advies geeft de Groep 29 richtsnoeren over de manier waarop het begrip persoonsgegevens moet worden geïnterpreteerd in de Richtlijn 95/46/EG en de verwante communautaire wetgeving alsook de toepassing ervan in diverse situaties. De Groep heeft in dit document richtsnoeren geformuleerd over de manier waarop het begrip “persoonsgegeven” in de Richtlijn 95/46/EG en de daarmee samenhangende communautaire wetgeving, in verschillende situaties moet worden opgevat en toegepast. Als algemene notie heeft de Groep geconstateerd dat de Europese wetgever de bedoeling had een brede inhoud te geven aan het begrip persoonsgegeven maar niet zonder er grenzen aan te stellen. Men mag niet vergeten dat het doel van de in de Richtlijn vervatte regels is om op het gebied van de verwerking van persoonsgegevens de fundamentele rechten en vrijheden van personen te beschermen, met name het recht op de persoonlijke levenssfeer. Die regels waren daarom bedoeld voor situaties waarin de rechten van personen in gevaar zouden kunnen komen en derhalve moesten worden beschermd. De reikwijdte van de regels voor gegevensbescherming mocht niet te ver worden opgerekt, maar ook moest worden voorkomen dat het begrip persoonsgegevens onterecht zou worden ingeperkt. In de Richtlijn wordt daarom de werkingssfeer vastgelegd, worden bepaalde activiteiten daarvan uitgesloten en wordt bij de toepassing van de regels op activiteiten die binnen het toepassingsgebied liggen enige flexibiliteit toegestaan. Voor de totstandkoming van een passend evenwicht bij die toepassing wordt een belangrijke rol gespeeld door de gegevensbeschermingsautoriteiten (zie hoofdstuk II). De analyse van de Groep gaat uit van de vier voornaamste “bouwstenen” die in de definitie van “persoonsgegeven” kunnen worden onderscheiden: “iedere informatie” “betreffende” “een geïdentificeerde of identificeerbare” “natuurlijke persoon”. Deze elementen zijn onderling nauw vervlochten en van elkaar afhankelijk, en zijn in combinatie bepalend voor de vraag of een gegeven als “persoonsgegeven” moet worden beschouwd. De analyse wordt geïllustreerd met voorbeelden uit de praktijk van de Europese nationale gegevensbeschermingsautoriteiten. - Het eerste element – “iedere informatie” – geeft ervan blijk dat een ruime definitie van

het begrip is nagestreefd, waarbij de aard of de inhoud van de informatie en de technische vorm ervan geen rol spelen. Dit betekent dat zowel objectieve als subjectieve informatie over een persoon, in welke hoedanigheid ook, als persoonsgegeven kan worden beschouwd, ongeacht het technische medium waarin die informatie is vervat. In het advies wordt ook aandacht besteed aan biometrische gegevens en aan het juridische onderscheid met monsters van menselijk weefsel waarvan die gegevens kunnen worden afgeleid (zie hoofdstuk III, punt 1).

- Het tweede element – “betreffende” – is tot dusver vaak over het hoofd gezien. Het

speelt echter een cruciale rol voor het bepalen van de inhoudelijke reikwijdte van het begrip, met name met betrekking tot voorwerpen en nieuwe technologieën. Het advies onderscheidt drie alternatieve aspecten – “inhoud”, “doel” en “resultaat” – aan de hand


33

waarvan wordt bepaald of informatie een persoon “betreft”. Dit dekt tevens informatie die een duidelijk gevolg kan hebben voor de wijze waarop iemand wordt behandeld of beoordeeld (zie hoofdstuk III, punt 2).

- Bij het derde element – “geïdentificeerd of identificeerbaar” – gaat het met name om de

voorwaarden waarop een persoon als “identificeerbaar” kan worden beschouwd, en wordt vooral aandacht besteed aan de “middelen waarvan mag worden aangenomen dat zij redelijkerwijs door degene die voor de verwerking verantwoordelijk is dan wel door enig ander persoon in te zetten zijn”. De specifieke context en omstandigheden van een geval spelen bij die analyse een belangrijke rol. Het advies gaat ook in op gepseudonimiseerde gegevens en op het gebruik van met een code aangeduide gegevens bij statistisch of farmaceutisch onderzoek (zie hoofdstuk III, punt 3).

- Bij het vierde element – “natuurlijke persoon” – wordt ingegaan op de vereiste dat

“persoonsgegevens” levende personen dienen te betreffen. In het advies worden raakvlakken besproken met gegevens over overledenen, ongeboren kinderen en rechtspersonen (zie hoofdstuk III, punt 4).

Het advies bespreekt tot slot wat er gebeurt als gegevens buiten de reikwijdte van de definitie van “persoonsgegeven” vallen. Er kunnen voor dergelijke gevallen verschillende oplossingen voorhanden zijn, waaronder nationale wetgeving met een breder toepassingsgebied dan dat van de Richtlijn, mits andere communautaire wetgeving zich daar niet tegen verzet (zie hoofdstuk IV).

RECHTSPRAAK VAN HET EUROPESE HOF VAN JUSTITIE • Europees Hof van Justitie, Arrest van 6 november 2003, Bodil Linqvist (prejudiciële

vragen), - Zaak C-101/01. Feiten Eind 1998 heeft Lindqvist thuis op haar eigen computer internetpagina's gecreëerd, zodat gemeenteleden die hun belijdenis wilden doen, gemakkelijk de door hen benodigde informatie konden opvragen. Op haar verzoek heeft de webmaster van de website van de Kerk van Zweden op die website een link naar die pagina's geplaatst. De bedoelde pagina's bevatten informatie over Lindqvist en 18 van haar collega's in de kerkgemeente, waaronder hun volledige naam of soms alleen hun voornaam. Bovendien beschreef Lindqvist in licht humoristische bewoordingen de werkzaamheden van haar collega's en hun liefhebberijen. In een aantal gevallen werden hun gezinssituatie, hun telefoonnummer en andere gegevens vermeld. Verder heeft zij verteld dat een van haar collega's haar voet had bezeerd en met gedeeltelijk ziekteverlof was. Met zijn eerste vraag wenst de verwijzende rechter te vernemen of het vermelden van verschillende personen op een internetpagina met hun naam of anderszins, bijvoorbeeld met hun telefoonnummer of informatie over hun werksituatie en hun hobby's, een geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens in de zin van artikel 3, lid 1, van Richtlijn 95/46 vormt. Antwoord van het Hof 24. Het in artikel 3, lid 1, van Richtlijn 95/46 gebezigde begrip persoonsgegevens

omvat volgens de definitie in artikel 2, sub a, daarvan iedere informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. Hieronder valt


34

vanzelfsprekend iemands naam tezamen met zijn telefoonnummer of gegevens over zijn werksituatie en zijn liefhebberijen.

Europees Hof van Justitie, Arrest van 6 november 2003, Bodil Linqvist (prejudiciële vragen), - Zaak C-101/01

• Europees Hof van Justitie, Arrest van 20 mei 2003, Rechnungshof c. Osterreichischer Rundfunk en anderen, Gevoegde zaken C-465/00, C-138/01 en C-139/01. De in gedingen gerezen vragen tussen enerzijds het Rechnungshof (de Rekenkamer) en een groot aantal organen waarover deze instantie toezicht uitoefent, en anderzijds tussen C. Neukomm en J. Lauermann en hun werkgever, de Österreichische Rundfunk (hierna: ÖRF), een publiekrechtelijke radio-omroep, betreffen de verplichting van rechtspersonen die onder toezicht van het Rechnungshof staan, deze laatste gegevens te verstrekken over salarissen en pensioenen, ingeval deze een bepaald plafond overschrijden, die zij aan hun werknemers en gepensioneerden uitbetalen, met vermelding van de naam van de begunstigden, ten behoeve van de opstelling van een jaarverslag waarvan inzage wordt verleend aan de Nationalrat, de Bundesrat alsmede de Landtagen, en dat ter beschikking wordt gesteld van het grote publiek (hierna: verslag). Met hun eerste vraag wensen de verwijzende rechterlijke instanties in wezen te vernemen of Richtlijn 95/46 aldus moet worden uitgelegd, dat zij zich verzet tegen een nationale regelgeving als die aan de orde in de hoofdgedingen, welke een controleorgaan van de staat verplicht, gegevens over het inkomen van werknemers van aan zijn toezicht onderworpen organen te verzamelen en door te geven met het oog op openbaarmaking, wanneer dat inkomen een bepaald plafond overschrijdt. 64. Om te beginnen zij vastgesteld dat de in de hoofdgedingen aan de orde zijnde

gegevens, die zowel betrekking hebben op de door bepaalde rechtspersonen uitgekeerde salarissen als op de ontvangers ervan, persoonsgegevens vormen in de zin van artikel 2, sub a, van Richtlijn 95/46, aangezien het gaat om informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. De inschrijving en het gebruik ervan door het betrokken orgaan, alsmede de doorgifte ervan aan het Rechnungshof, dat ze opneemt in een verslag dat bestemd is voor mededeling aan verschillende politieke instanties en voor ruime verspreiding, vormen een verwerking van persoonsgegevens in de zin van artikel 2, sub b, van die Richtlijn.

RECHTSPRAAK VAN HET EUROPEES HOF VOOR DE RECHTEN VAN DE MENS • Copland t. Verenigd Koninkrijk van 3 april 2007, verzoek nr. 62617/00. Artikel 8 van het

Verdrag – e-mails. The applicant complained about the monitoring of her Telephone calls, e-mail correspondence and internet usage under Articles 8 and 13. Aangaande het toepassingsgebied van het begrip "persoonlijke levenssfeer", stelt het arrest dat “according to the Court’s case-law, telephone calls from business premises are prima facie covered by the notions of « private life » and « correspondence » for the purposes of Article 8§1. It follows logically that e-mails sent from work should be similarly protected under Article 8, as should information derived from the monitoring of personal internet usage” (§41). Het Hof bevestigt haar jurisprudentie die stelt dat “storing of personal data relating to private life of an individual also falls within the application of article 8§1” (§43).


35

Tot slot concludeert het Hof dat de controlemaatregelen op de werkplaats in onderhavig geval door gebrek aan een wettelijke basis een schending inhoudt van artikel 8 van het Europees verdrag van de rechten van de mens en omschrijft dit als volgt : « The Court would not exclude that the monitoring of an employee’s use of a telephone, e-mail or internet at the pace of work may be considered « necessary in a democratic society » in certain situations in pursuit of a legitimate aim ».

NATIONALE RECHTSPRAAK • Civ. Nivelles (réf.), 15 novembre 1994, J.T., 1995, pp. 284 et s..

La loi du 8 décembre 1992 n’apporte à la notion de « donnée » aucune limitation en rapport avec son caractère commercial ou professionnel. [Le règlement d’ordre intérieur qui, régissant les relations entre le maître du fichier et les membres de l’entreprise, dégage celui-ci de toute responsabilité quant à l’exactitude des données, est inopposable aux personnes protégées par la loi. Le point de savoir si le maître de fichier a ou non failli à ses obligations, de résultat ou de moyen, relève de l’appréciation du juge du fond].

• Ordonnance rendue comme en référé, en application de l’article 14 de la loi du 8 décembre

1992, 13 février 2001. Il s’agit d’une demande de communication d’un avis rectificatif à l’ensemble des destinataires auxquels un annuaire a été délivré ; L’action est introduite par un médecin dont les coordonnées sont publiées dans l’annuaire - type toutes boîtes - sans que son consentement n’ait été recueilli. L’éditeur de l’annuaire invoque plusieurs arguments à l’encontre de cette demande : - contestation de la recevabilité dès lors que la publication des adresse et numéro de

téléphone n’entrerait pas dans le champ d’application de la LVP - les adresse et numéro de téléphone ont été publiées dans le tableau des médecins

publiés par l’Ordre des médecins, lequel ne s’est pas opposé à cette publication commerciale ;

Attendu que tant son adresse privée que son numéro de téléphone privé ressortissent incontestablement de la « vie privée » de toute personne dont la protection est assurée aussi bien par l’article 8 § 1 de la Convention européenne des droits de l’homme que par la loi du 8 décembre 1992. Attendu que la société X soutient qu’aucun reproche ne peut lui être fait car, d’une part les adresse et numéro de téléphone de Monsieur X. ont été publiés dans le « Tableau 2000 des médecins inscrits » de l’Ordre des médecins (…) et que, d’autre part, l’Ordre des médecins ne s’est pas opposé à une publication reprenant les adresses et numéros de téléphones des médecins demeurant dans les entités de (…). Que d’ailleurs, s’agissant ainsi qu’il est dit ci-dessus, d’informations concernant la vie privée, le Conseil de l’Ordre des médecins n’était pas habilité à donner une telle autorisation ; Attendu que la société X déduit erronément du droit reconnu – sur le plan déontologique (…) – aux médecins de faire publier dans des annuaires commerciaux des mentions identiques à celles prévues par les annuaires de téléphones, le droit pour tout éditeur de publier ces mêmes mentions. Attendu que la société X affirme d’autre part également erronément qu’aucun reproche ne peut lui être adressé à partir du moment où les informations litigieuses ont été publiées par l’ordre de médecins ; Qu’il n’y a pas lieu de confondre l’objet du « Tableau 2000 des médecins inscrits » dont la diffusion est essentiellement destinée aux médecins et un annuaire distribué comme « toutes boîtes » ;


36

Que d’autre part, ce n’est pas parce que des informations concernant la vie privée d’un individu sont disponibles qu’elles peuvent être généralement diffusées et ce, en violation même de ses droits ; Le tribunal se réfère ensuite à la Recommandation 01/1999 du 23 juin 1999 qui indique quels sont les principes que doit respecter tout opérateur de télécommunication ou autre acteur économique qui met à disposition du public le contenu des annuaires et permet la consultation des coordonnées de particuliers. Le tribunal en conclut que la société X a fautivement utilisé les adresse et numéro de téléphone privés de Monsieur X en les mentionnant dans l’annuaire litigieux ; Attendu que Monsieur X est maître de solliciter les mesures qui lui paraissent le plus adéquates suite à la publication fautive de ses adresse et numéro de téléphone privés dans l’annuaire litigieux ; Que toutefois, en ce qui concerne la communication d’un avis rectificatif à l’ensemble des destinataires auxquels l’annuaire a été délivré, il convient de relever qu’à défaut de toute indication quant au nombre d’annuaires imprimés et distribués, il n’est pas possible de contrôler l’exécution de la présente ordonnance de telle sorte que la mesure sollicitée ne peut raisonnablement pas être ordonnée ; Que d’autre part, le juge statuant en application de l’article 14 de la loi du 8 décembre 1992 statue come en matière de cessation et n’est dès lors pas compétent pour allouer des dommages et intérêts, même à titre de réparation d’un dommage moral.

IDENTIFICATIE KONINKLIJK BESLUIT VAN 13 FEBRUARI 2001 • Artikel 1 alinea's 3, 4 en 5 van het Koninklijk besluit van 13 februari 2001 ter uitvoering van

de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (2001): het koninklijk besluit maakt een onderscheid tussen: 3 gecodeerde persoonsgegevens: persoonsgegevens die slechts door middel van een

code in verband kunnen worden gebracht met een geïdentificeerd of identificeerbaar persoon;

4 niet-gecodeerde persoonsgegevens: andere dan gecodeerde persoonsgegevens; 5 anonieme gegevens: gegevens die niet met een geïdentificeerd of identificeerbaar

persoon in verband kunnen worden gebracht en derhalve geen persoonsgegevens zijn. INTERNATIONALE WETGEVING Naast de bronnen die hierboven zijn vermeld bij de rubriek “persoonsgegevens”, handelen hiernavolgende bronnen meer in het bijzonder over de identificatie- coderings- en anonimiseringprocedure. • Recommendation No.R(89)2 of the Committee of Ministers to Member States on the

protection of personal data used for employment purposes (1989) – (punt 1.3.): An individual shall not be regarded as "identifiable" if identification requires an unreasonable amount of time, cost and manpower.

• Recommendation No.R(97)5 of the Committee of Ministers to Member States on the

protection of medical data (1997) – (artikel 1): The expression "personal data" covers any information relating to an identified or identifiable individual. An individual shall not be regarded as "identifiable" if identification requires an unreasonable amount of time and


37

manpower. In cases where the individual is not identifiable, the data are referred to as anonymous.

• Explanatory Memorandum of the Recommendation No.R(97)5 of the Committee of Ministers to Member States on the protection of medical data (1997) – (punt 36): The definition of "personal data", which follows the definition in the convention as interpreted in the explanatory report to that convention, has already been used in many of the sectoral recommendations adopted by the Committee of Ministers in the field of data protection. However, with relation to some preceding recommendations, the drafters of the recommendation considered that in view of the developments in computer technology, the aspect of "costs" was no longer a reliable criterion for determining whether an individual was identifiable or not.

• Recommandation No.R(2002)9 of the Committee of Ministers to Member States on the protection of personal data collected and processed for insurance purposes (2002) – (punt 1.a)) : « personal data » covers any information relating to an identified or identifiable individual (« data subject »). An individual should not be regarded as « identifiable » of identification requires an unreasonable amount of time and manpower .

ADVIEZEN VAN DE GROEP 29 • Groep 29, Aanbeveling 3/97: anonimiteit op internet (3 december 1997 – WP 6): het

document start met algemene beschouwingen over anonieme gegevens als middel om de eerbiediging van de privacy de waarborgen. De noodzaak van anonimiteit gaat verder dan specifieke gevallen – zoals forums waar slachtoffers van seksueel misbruik van gedachten kunnen wisselen, alcoholverslaafde personen of personen voor wie de anonimiteit bijdraagt aan een grotere vrijheid van meningsuiting (totalitaire regimes). Door het simpele feit dat ze bestaan zijn de transactionele identificeerbare gegevens een instrument om het profiel van de gebruikers te bepalen en om hun gedrag te observeren. De belangrijkste conclusies van dit document zijn: - De mogelijkheid om anoniem te blijven is voor de particulier essentieel zodat hij online

zijn privacy kan beschermen die hij momenteel offline geniet. - Anonimiteit is niet in alle omstandigheden op zijn plaats. Om te bepalen wanneer de

"anonimiteitsoptie" wel of niet is aangewezen, moeten de fundamentele rechten op privacy en op vrije meningsuiting zorgvuldig worden afgewogen met andere belangrijke doelstellingen van algemeen belang zoals de misdaadpreventie. Als de overheid wettelijke beperkingen oplegt ten aanzien van het recht op anonimiteit of de technische middelen om dit te vrijwaren (bv. de beschikbaarheid van encryptieproducten), moet zij er steeds over waken dat de maatregelen evenredig zijn en niet restrictiever dan nodig voor de bescherming van een specifiek algemeen belang in een democratische maatschappij.

- Indien het mogelijk is, moet het evenwicht dat voor andere communicatietechnieken werd bereikt ook voor de aangeboden diensten op het internet worden gehandhaafd.

- Het versturen van elektronische berichten, passief surfen op websites en de aankoop van de meeste goederen en diensten via het internet zijn activiteiten die anoniem moeten kunnen gebeuren.

- Er moet een zekere controle kunnen worden uitgeoefend op de inhoud die individuele gebruikers op online publieke forums (nieuwsgroepen enz.) plaatsen, maar een identificatieplicht is veelal onevenredig en ondoenbaar. Andere oplossingen moeten hier de voorkeur krijgen.

- Anonieme toegangsmogelijkheden tot Internet (bv. openbare Internetkiosken, vooraf betaalde toegangskaarten) en anonieme betaalmiddelen zijn twee pijlers waarop echte


38

online-anonimiteit rust. De implementatie van deze conclusies vergt maatregelen op verschillende niveaus : op het vlak van regelgeving,op economisch vlak, op technologisch vlak en op het vlak van bewustmaking van de internetgebruiker, de toegangs- en dienstenleveranciers en de IT-industrie.

• Zie ook Groep 29, Advies 4/2007 over het begrip persoonsgegeven (20 juni 2007 – WP

136). De samenvatting van dit advies vindt u hierboven. “Anonieme gegevens” zoals bedoeld in de Richtlijn kunnen worden gedefinieerd als informatie betreffende een natuurlijke persoon die niet kan worden geïdentificeerd, noch door de verantwoordelijke voor de verwerking, noch door een andere persoon, rekening houdende met alle middelen waarvan mag worden aangenomen dat zij redelijkerwijs door degene die voor de verwerking verantwoordelijk is dan wel door enig ander persoon in te zetten zijn voor de identificatie van de betrokkene. “Geanonimiseerde gegevens” zijn dan anonieme gegevens betreffende een persoon die eerder identificeerbaar was, maar nu niet meer kan worden geïdentificeerd. In overweging 26 wordt hierover gesteld “dat de beschermingsbeginselen niet van toepassing zijn op gegevens die op zodanige wijze anoniem zijn gemaakt dat de persoon waarop ze betrekking hebben niet meer identificeerbaar is”. De beoordeling of de gegevens identificatie van de betrokkene mogelijk maken en of de informatie als anoniem kan worden beschouwd, is ook in dit geval afhankelijk van de omstandigheden. Per geval moet dit worden bekeken, met name of de voor identificatie redelijkerwijs in te zetten middelen aanwezig zijn zoals omschreven in overweging 26. Dit is met name relevant voor statistische informatie, wanneer de informatie weliswaar wordt gepresenteerd als geaggregeerde gegevens, maar de oorspronkelijke steekproef niet voldoende groot is en andere gegevens identificatie van betrokkenen mogelijk maken.

NATIONALE RECHTSPRAAK • Conseil d’Etat, arrêt n°84.880 du 26 janvier 2000:

« Considérant que le résumé psychiatrique minimum prévu par les articles 2 et 3 de l’acte attaqué et par le point 4 de son annexe est de nature à porter atteinte à l’anonymat des personnes concernées imposé par l’article 86, alinéa 2, précité de la loi sur les hôpitaux, par le nombre considérable et la nature des données à communiquer et en particulier par le recoupement possible des indications suivantes : l’année de naissance, le sexe, la date d’admission dans l’établissement exprimée en année, mois et jour de la semaine, la destination du patient classée par catégorie principale, les facteurs sociaux étant : le niveau d’enseignement, classé par catégorie principale, l’implication dans le processus de travail, classée par catégorie principale, la nature des revenus, classée par catégorie principale, l’activité professionnelle principale actuelle ou exercée en dernier lieu, classée par catégorie principale, l’anamnèse. Considérant que cette seule possibilité d’identification est suffisante pour entacher la légalité de l’acte attaqué (…).

• Conseil d’Etat, arrêt n° 45.218 du 18 décembre 1993:

« Qu’en l’absence de garanties appropriées, seul l’anonymat absolu est de nature à garantir la protection des données sensibles que sont les renseignements relatifs à la santé, c'est-à-dire la protection de la vie privée du patient. Qu’aux termes de l’arrêté attaqué, le résumé clinique minimum comporte notamment la mention du domicile (…), du sexe, de la date de naissance (…), de l’âge du patient lors de son admission à l’hôpital (…), de la date d’admission (…), de la date de sortie (…), de la durée du séjour en soins intensifs exprimée en jours, que ces renseignements sont


39

complétés par des données personnelles médicales telles que les diagnostics et les interventions encodées ; qu’une telle convergence et une telle multiplication de données précises et personnelles ne permettent pas d’adhérer à l’affirmation de la partie adverse selon laquelle l’anonymat du patient est toujours garanti ; qu’en outre, il ne ressort ni du dossier administratif ni des explications de la partie adverse que toutes les données que comporte le résumé clinique minimum sont liées de manière adéquate et indispensable aux finalités des statistiques relatives aux activités médicales. Considérant que la seule possibilité théorique d’identification est suffisante pour entacher la légalité de l’acte attaqué, sans qu’il soit besoin d’une démonstration s’appuyant sur des cas concrets ; que c’est au Roi fixant les règles relatives à la communication des données statistiques que la loi impose de respecter le principe de l’anonymat ; que la méconnaissance de ce principe ne saurait être corrigée par la création d’une commission uniquement chargée de donner des avis qui ne lient pas l’autorité.

HET ONGEBOREN KIND INTERNATIONALE WETGEVING • Recommendation No.R(97)5 of the Committee of Ministers to Member States on the

protection of medical data (1997) – (punten 4.5 en 4.6): Medical data concerning unborn children should be considered as personal data and enjoy a protection comparable to the protection of the medical data of a minor. Unless otherwise provided for by domestic law, the holder of parental responsibilities may act as the person legally entitled to act for the unborn child, the latter being a data subject. Zie ook in dezelfde zin punt 4.5. van Recommendation No.R(2002)9 of the Committee of Ministers to Member States on the protection of personal data collected and processed for insurance purposes (2002).

• Explanatory Memorandum of the Recommendation No.R(97)5 of the Committee of Ministers to Member States on the protection of medical data (1997) – (punten 86 tot 88): 86. The protection of the medical data of the unborn child, with a view to the protection of its privacy once it is born, raises specific questions, of in particular, an ethical nature, which are beyond the scope of this recommendation. 87. When drafting principles 4.5 and 4.6, the principal concern of the drafters of the recommendation was not to establish parental authority, but rather to ensure that a child's medical data were not "public" at the time of its birth. In the absence of a generally accepted legal rule on when an unborn child can be considered to be a person, the drafters of the recommendation were of the opinion that measures should be taken to ensure the protection of the medical data of a child which had been collected and processed before its birth, and that therefore the unborn child should be protected in a way similar to the protection of the medical data of a child after its birth. For example, this may be achieved by considering data of the unborn child to be the personal data of the mother. This requirement is confirmed in Principle 4.5. 88. Following the trend in family law in the member states, the drafters of the recommendation concluded in Principle 4.6 that unless domestic law provides otherwise, the holders of parental responsibilities of the future child should be entitled to act on behalf of the unborn child as a data subject. It was understood that in the exercise of the rights of access to and rectification of the medical data of the unborn child, the interests of the mother must be duly taken into account. Zie ook de punten 49 en 50 van Recommandation No.R(2002)9 of the Committee of Ministers to Member States on the protection of personal data collected and processed for insurance purposes (2002). .


40

ADVIEZEN VAN DE GROEP 29 • Zie ook Groep 29, Advies 4/2007 over het begrip persoonsgegeven (20 juni 2007 – WP

136). De samenvatting van dit advies vindt u hierboven. In hoeverre de regels voor gegevensbescherming vóór de geboorte al van toepassing zijn, hangt af van het standpunt dat in de nationale rechtsstelsels wordt ingenomen ten aanzien van de bescherming van ongeboren kinderen. Met name in het erfrecht hanteren sommige lidstaten het beginsel dat verwekte, maar nog niet geboren kinderen als reeds geboren worden beschouwd waar het gaat om het ontvangen van voordelen (en dus een erfenis of schenking kunnen krijgen), mits zij later ook daadwerkelijk geboren worden. In andere lidstaten bieden bepaalde rechtsregels specifieke bescherming, wanneer aan deze zelfde voorwaarde is voldaan. Om te bepalen of de nationale wetgeving inzake gegevensbescherming ook informatie betreffende ongeboren kinderen beschermt, moet rekening worden gehouden met de algemene aanpak die het nationale rechtsstelsel hanteert, en met het feit dat het doel van de regels voor gegevensbescherming is personen te beschermen. Een tweede vraag wordt opgeworpen door de overweging dat de algemene aanpak van het rechtsstelsel uitgaat van de veronderstelling dat de situatie van ongeboren kinderen beperkt blijft tot de duur van de zwangerschap. Er wordt geen rekening gehouden met de omstandigheid dat deze situatie in feite langer kan duren, bijvoorbeeld waar het gaat om ingevroren embryo’s. Tot slot kan een specifieke juridische respons te vinden zijn in bepalingen over voortplantingstechnieken, waarin het gebruik van medische of genetische informatie over embryo’s wordt geregeld.

OVERLEDEN PERSOON INTERNATIONALE WETGEVING • Explanatory Report of the Convention No.108 – (punt 45) : The meaning of the term

"personal data concerning health" has been carefully studied by the Committee of Experts on Data Protection in connection with its work on medical data banks. It includes information concerning the past, present and future, physical or mental health of an individual. The information may refer to a person who is sick, healthy or deceased. (…)


136). De samenvatting van dit advies vindt u hierboven. Informatie over overleden personen wordt dus in beginsel niet beschouwd als persoonsgegevens waarop de regels van de Richtlijn van toepassing zijn, aangezien overledenen civielrechtelijk geen natuurlijke personen meer zijn. Gegevens betreffende overledenen kunnen echter in bepaalde gevallen indirect nog enige bescherming genieten. Ten eerste is het mogelijk dat degene die verantwoordelijk is voor de gegevensverwerking, niet kan nagaan of de betrokkene nog leeft of inmiddels is overleden. Ook wanneer hij daartoe wel in staat is, kan het zijn dat gegevens over overledenen op dezelfde wijze worden verwerkt als gegevens betreffende levende personen. Aangezien de verantwoordelijke voor de verwerking, wat gegevens over levende personen betreft, volgens de Richtlijn onderworpen is aan de verplichting tot bescherming van de gegevens, is het voor hem waarschijnlijk eenvoudiger om gegevens over overledenen eveneens


41

volgens de regels voor gegevensbescherming te verwerken, in plaats van de twee soorten gegevens gescheiden te houden. Ten tweede kan het zijn dat informatie over overledenen daarnaast ook betrekking heeft op levende personen. Het gegeven dat de overleden persoon X aan hemofilie leed, wijst er bijvoorbeeld op dat de zoon dezelfde ziekte heeft, aangezien deze wordt doorgegeven door een gen op het X-chromosoom. Wanneer informatie over overledenen dus tegelijkertijd levende personen betreft en daardoor als persoonsgegeven in de zin van de Richtlijn geldt, geniet die informatie over een overleden persoon indirect de bescherming die de bepalingen van de Richtlijn bieden. Ten derde kan informatie over overledenen specifieke bescherming genieten op grond van andere regels dan de gegevensbeschermingswetgeving, die de grenzen afbakenen van wat sommigen “personalitas praeterita” noemen. De vertrouwelijkheidsplicht van medisch personeel eindigt niet met de dood van de patiënt. De nationale wetgeving inzake het portretrecht en ter bescherming tegen eerroof kan ook de nagedachtenis van de doden in bescherming nemen. Ten vierde verzet niets zich ertegen dat een lidstaat de draagwijdte van de nationale wettelijke regeling houdende uitvoering van de bepalingen van Richtlijn 95/46/EG uitbreidt tot niet binnen de werkingssfeer daarvan vallende gebieden, voor zover geen enkele andere bepaling van gemeenschapsrecht daaraan in de weg staat, zoals het Hof van Justitie heeft opgemerkt. Het is mogelijk dat een nationale wetgever de bepalingen van de nationale wetgeving inzake gegevensbescherming ook van toepassing verklaart op de verwerking van gegevens betreffende overledenen, indien een rechtmatig belang zulks rechtvaardigt

RECHTSPRAAK VAN HET EUROPEES HOF VOOR DE RECHTEN VAN DE MENS • Jaggi t. Zwitserland van 13 juli 2006 : de verzoeker beklaagt er zich over dat hij geen

DNA-analyse heeft kunnen laten uitvoeren op een overleden persoon om te bepalen of het hier ging om zijn biologische vader. Hij voert aan dat hierdoor artikel 8 van de EVRM werd geschonden. Het Hof is van oordeel dat het recht op identiteit, waaronder het recht om zijn afkomst te kennen, integraal deel uitmaakt van het begrip persoonlijke levenssfeer (§37). Het Hof meent dat de personen die hun afkomst trachten te achterhalen een vitaal belang hebben, beschermd door het Verdrag, om die informatie te bekomen die onontbeerlijk is om de waarheid te ontdekken omtrent hun persoonlijke identiteit. Tezelfdertijd mag niet worden vergeten dat de noodzaak om derden te beschermen de mogelijkheid kan uitsluiten om deze derden te dwingen zich te onderwerpen aan welke analyse dan ook, onder meer aan een DNA-test. Het Hof moet hier onderzoeken of bij de afweging van de tegenstrijdige belangen voor een juist evenwicht werd gezorgd (§38). Aangaande de eerbiediging van de persoonlijke levenssfeer van de overledene verwijst het Hof naar haar jurisprudentie in de zaak Erfenis van Kresten Filtenborg Mortensen t. Denemarken (15 mei 2006) waarin werd vastgesteld dat de persoonlijke levenssfeer van de overledene wiens DNA moest worden afgenomen niet kon worden geschonden door na zijn overlijden een verzoek voor dergelijke afname in te dienen (§ 42). In onderhavig geval concludeert het Hof dat gezien de omstandigheden en het overwegend belang die voor de verzoeker op het spel staat, de Zwitserse overheid de persoonlijke levenssfeer van de betrokkene niet heeft geëerbiedigd waarop hij krachtens het Verdrag recht had..


42

RECHTSPERSONEN INTERNATIONALE WETGEVING • Guidelines of the United Nations for the Regulation of Computerized Personal Data Files

(1990) – (10) Field of application: The present principles should be made applicable, in the first instance, to all public and private computerized files as well as, by means of optional extension and subject to appropriate adjustments, to manual files. Special provision, also optional, might be made to extend all or part of the principles to files on legal persons particularly when they contain some information on individuals.

• Recommandation No.R(2002)9 of the Committee of Ministers to Member States on the protection of personal data collected and processed for insurance purposes (2002) – (artikel 2.4.) : Member states may extend the application of the principles set out in this Recommendation to the collection and processing of data relating to groups of persons, associations, foundations, companies, corporations and any other bodies consisting directly or indirectly of individuals, wether or not such bodies possess legal personality. Zie ook punt 2.4. van Recommendation No.R(97)18 of the Committee of Ministers to Member States concerning the protection of personal data collected and processed for statistical purposes (1997). Zie ook punt 1.3. van Recommendation No.R(83)10 of the Committee of Ministers to Member States on the protection of personal data used for scientific research and statistics (1983).4

• Overweging 24 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995). Overwegende dat deze Richtlijn niet van invloed is op regelingen inzake de bescherming van rechtspersonen in verband met de verwerking van persoonsgegevens die op hen betrekking hebben.


136). De samenvatting van dit advies vindt u hierboven. Aangezien in de definitie van persoonsgegevens slechts naar natuurlijke personen wordt verwezen, valt informatie betreffende rechtspersonen in beginsel niet onder de Richtlijn en geldt de bescherming die de Richtlijn biedt niet voor rechtspersonen. Bepaalde regels inzake gegevensbescherming kunnen echter in bepaalde omstandigheden indirect toch van toepassing zijn op informatie betreffende ondernemingen of rechtspersonen. Sommige bepalingen van Richtlijn 2002/58/EG inzake e-privacy gelden ook voor rechtpersonen. In artikel 1 van die Richtlijn wordt bepaald: “2. Voor de doelstellingen van lid 1 vormen de bepalingen van deze Richtlijn een specificatie van en een aanvulling op Richtlijn 95/46/EG. Bovendien voorzien zij in bescherming van de rechtmatige belangen van abonnees die rechtspersonen zijn.” In de artikelen 12 en 13 wordt de toepassing van sommige bepalingen inzake abonneelijsten en ongewenste communicatie dan ook uitgebreid tot rechtspersonen.

4 deze aanbeveling is echter vandaag vervangen door de Aanbeveling 5(97)18 over de bescherming van persoonsgegevens verzameld en verwerkt voor statistische doeleinden (30 september 1997)


43

Volgens de criteria die in dit document zijn uiteengezet, kan informatie over rechtspersonen ook op eigen merites worden beschouwd als informatie “betreffende” natuurlijke personen. Dat kan het geval zijn als de naam van de rechtspersoon is afgeleid van de naam van een natuurlijke persoon. Een andere geval kan zich voordoen bij bedrijfs-e-mail, die normaliter wordt gebruikt door een specifieke werknemer, of bij informatie over een klein bedrijf (rechtens eerder een voorwerp dan een rechtspersoon) die ook iets zegt over het gedrag van de eigenaar. Wanneer informatie over een rechtspersoon of een bedrijf op grond van de criteria “inhoud”, “doel” of “resultaat” kan worden beschouwd als informatie “betreffende” een natuurlijke persoon, geldt in al deze gevallen dat deze informatie als persoonsgegeven moet worden beschouwd en dat de regels voor gegevensbescherming van toepassing moeten zijn. Het Hof van Justitie heeft duidelijk gesteld dat niets zich ertegen verzet dat een lidstaat de draagwijdte van de nationale wettelijke regeling houdende uitvoering van de bepalingen van de Richtlijn uitbreidt tot niet binnen de werkingssfeer daarvan vallende gebieden, voor zover geen enkele andere bepaling van gemeenschapsrecht daaraan in de weg staat. Sommige lidstaten, zoals Italië, Oostenrijk en Luxemburg, hebben de toepassing van sommige bepalingen van de nationale wetgeving houdende uitvoering van de Richtlijn (zoals de bepalingen inzake beveiligingsmaatregelen) dan ook uitgebreid tot de verwerking van gegevens betreffende rechtspersonen. Zoals ook geldt voor informatie over overleden personen, kunnen praktische overwegingen van de voor de verwerking verantwoordelijke er toe leiden dat de regels voor gegevensbescherming de facto ook worden toegepast op gegevens over rechtspersonen. Wanneer de voor de verwerking verantwoordelijke zonder onderscheid gegevens over zowel natuurlijke personen als rechtspersonen verzamelt en deze gegevens in dezelfde gegevensverzamelingen opneemt, kunnen de mechanismen voor gegevensverwerking en het auditingsysteem zo zijn opgezet dat aan de regels voor gegevensbescherming wordt voldaan. Het is voor degene die voor de verwerking verantwoordelijk is wellicht zelfs eenvoudiger de regels voor gegevensbescherming gewoonweg op alle gegevens in zijn bestanden toe te passen en niet uit te zoeken welke gegevens natuurlijke personen betreffen en welke rechtspersonen.

GELUID EN BEELD INTERNATIONALE WETGEVING • Artikel 33 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende

de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995). De Commissie zal met name de toepassing van deze Richtlijn op de verwerking van geluid- en beeldgegevens betreffende natuurlijke personen nagaan.

• Overwegingen 14 en 15 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): (14) Overwegende dat, gezien het belang van de in het kader van de informatiemaatschappij aan de gang zijnde ontwikkelingen inzake de technieken voor het opvangen, doorsturen, manipuleren, registreren, bewaren of mededelen van geluid- en beeldgegevens betreffende natuurlijke personen, deze Richtlijn ook van toepassing zal moeten zijn op verwerkingen die op deze gegevens betrekking hebben; (15) overwegende dat verwerkingen die op dergelijke gegevens betrekking hebben slechts onder deze Richtlijn


44

vallen als zij geautomatiseerd zijn of als de betrokken gegevens zijn opgeslagen of zullen worden opgeslagen in een bestand dat gestructureerd is volgens specifieke persoonscriteria teneinde een gemakkelijke toegang tot de betrokken persoonsgegevens mogelijk te maken. Zie ook overweging 16 (zie hieronder bij de bespreking van artikel 3).

RECHTSPRAAK VAN HET EUROPEES HOF VOOR DE RECHTEN VAN DE MENS • Murray t. Verenigd Koninkrijk van 28 oktober 1994, serie A, nr. 300-A (geen schending

van het Verdrag). Betreffende een persoon verdacht van terrorisme, binnendringen en huiszoeking in zijn woonst met het oog op zijn arrestatie; inbewaringstelling van zijn persoonlijke gegevens en foto's zonder zijn toestemming.

• Krone Verlag Gmbh & Cie KG t. Oostenrijk van 26 februari 2002, verzoek nr. 34315/96 (schending van artikel 10 van het Verdrag). Veroordeling van een firma als eisende partij voor het publiceren van foto's van een politicus.

• Perry t. Verenigd Koninkrijk van 17 juli 2003, verzoek nr. 63737/00 (schending van artikel 8 van het Verdrag). Cameraregistratie door de politie voor identificatie- en vervolgingsdoeleinden.

• Sciacca t. Italië van 11 januari 2005, verzoek nr. 50774/99. De verzoeker beweert dat door het verspreiden van zijn foto ter gelegenheid van een persconferentie die werd georganiseerd door het politieparket en financiële politie zijn recht op eerbiediging van zijn privéleven werd geschonden. Hij roep artikel 8 in (recht op eerbiediging van het privéleven) van het Verdrag.

• Von Hannover t. Duitsland van 28 juli 2005, verzoek nr. 59320/00. Het publiceren van foto's van een openbare persoonlijkheid genomen zonder zijn medeweten.

verwerking § 2. Onder "verwerking" wordt verstaan elke bewerking of elk geheel van bewerkingen met betrekking tot persoonsgegevens, al dan niet uitgevoerd met behulp van geautomatiseerde procédés, zoals het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op enigerlei andere wijze ter beschikking stellen, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van persoonsgegevens. INTERNATIONALE WETGEVING • Artikel 2 c) van het Verdrag nr. 108 van de Raad van Europa tot bescherming van

personen ten opzichte van de geautomatiseerde verwerking van persoonsgegevens (1981) : «geautomatiseerde verwerking» omvat: de volgende geheel of gedeeltelijk langs geautomatiseerde weg uitgevoerde bewerkingen : opslag van gegevens, toepassing van logische en/of rekenkundige bewerkingen op die gegevens; het wijzigen, uitwissen, opvragen en verspreiden van die gegevens.


45

• Explanatory Report of the Convention No.108 – (punt 31) : Subject to the provisions of

Articles 5.a (eerlijke en rechtmatig verkrijging en verwerking) and 12 (grensoverschrijdende flux), the collection of information falls outside the notion of "processing". In view of the rapid development of data processing technology it was found advisable to formulate a fairly general definition of "automatic data processing", capable of flexible interpretation. "Dissemination" is a broad term which covers both disclosure of information to a person (or several persons) and enabling persons to consult the information. Opmerking: de sectoriële aanbevelingen die na het Verdrag 108 werden goedgekeurd binnen de Raad van Europa zit de verzameling in het begrip verwerking vervat.


protection of personal data collected and processed for insurance purposes (2002) – (artikel 1 e)) : « Communication » refers to the act of making personal data accessible to third parties, regardless of the means or media used.

• Recommendation No.R(2002)9 of the Committee of Ministers to Member States on the protection of personal data collected and processed for insurance purposes (2002) – (artikel 2.3.) : No personal data should be processed in a non-automated manner in order to avoid applying the principles of this Recommandation. Zie in dezelfde zin: Recommendation No.R(97)18 of the Committee of Ministers to Member States concerning the protection of personal data collected and processed for statistical purposes (1997) – (punt 2.3.).

• Artikel 2 b) van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende

de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): elke bewerking of elk geheel van bewerkingen met betrekking tot persoonsgegevens, al dan niet uitgevoerd met behulp van geautomatiseerde procédés, zoals het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op enigerlei andere wijze ter beschikking stellen, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens.

• Overweging 27 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad

betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): Overwegende dat de bescherming van personen zowel op automatische als op niet-automatische verwerking van toepassing is; dat de reikwijdte van deze bescherming in feite niet afhankelijk mag zijn van de gebruikte technieken, omdat zulks ernstig gevaar voor ontduiking zou opleveren; dat niettemin wat de niet-automatische verwerking betreft alleen bestanden en geen ongestructureerde dossiers onder de Richtlijn vallen; dat met name de inhoud van een bestand moet zijn gestructureerd volgens specifieke criteria met betrekking tot personen, welke criteria de persoonsgegevens gemakkelijk toegankelijk maken; dat overeenkomstig de definitie in artikel 2, onder c), de verschillende criteria waarmee de elementen van een gestructureerd geheel van persoonsgegevens en de verschillende criteria die de toegang tot dit geheel van gegevens regelen door de Lid-Staten zelf kunnen worden bepaald; dat dossiers of een verzameling dossiers, evenals de omslagen ervan, die niet volgens specifieke criteria gestructureerd zijn in geen geval onder de toepassingssfeer van de onderhavige Richtlijn vallen..


46

ADVIEZEN VAN DE GROEP 29 • Groep 29 – Opinion 7/2007 on data protection issues related to the Internal market

Information System (IMI) (WP 140 – 21 septembre 2007). In dit advies bespreekt de Groep 29 onder meer het begrip medeverantwoordelijke van de verwerking. De relevante tekstgedeelten volgen hierna (blz. 7 van de Engelse versie).: Given that there are different roles and various actors in the IMI system, it is necessary to establish for which kind f processing each of these actors is considered to be the "data controller". The controller is defined in Article 2(d) of the data protection Directive as "the natural or legal person, public authority, agency or any other body which alone or jointly with others determines the purposes and means of the processing of personal data. (…). The Competent Authorities and the Commission must have an explicit understanding of shared responsibility for the storage and deletion of data. A document setting out the framework between the controller and processor for these processing acts will need to be drafted. This document must clearly identify the tasks and responsibilities of the parties. The structure of IMI creates an unusually complex network of controllers and processors. Accordingly, it is necessary to understand that the responsibilities of each party may vary with the nature of each individual action, and that it may not always be clear whether an actor is a controller or a processor. Of course, regardless of this distinction, all parties that control or process data must maintain the level of data security and comply with the data processing principles identified by the Data Protection Directive (…). Zie ook voor een ander voorbeeld van complexe constructie verantwoordelijke voor de verwerking/verwerker: Groep 29, Opinion 6/2007 on data protection issues related to the Consumer protection Cooperation System (CPCS) (21 septembre 2007 – WP 139).

VERSLAGEN EN STUDIES VAN DE RAAD VAN EUROPA • Raad van Europa, Opinion of the T-PD on the interpretation of the concepts of automatic

processing and controller of the file in the context of worldwide telecommunications networks (maart 2007).


vragen), - Zaak C-101/01.

Feiten Eind 1998 heeft Lindqvist thuis op haar eigen computer internetpagina's gecreëerd, zodat gemeenteleden die hun belijdenis wilden doen, gemakkelijk de door hen benodigde informatie konden opvragen. Op haar verzoek heeft de webmaster van de website van de Kerk van Zweden op die website een link naar die pagina's geplaatst. De bedoelde pagina's bevatten informatie over Lindqvist en 18 van haar collega's in de kerkgemeente, waaronder hun volledige naam of soms alleen hun voornaam. Bovendien beschreef Lindqvist in licht humoristische bewoordingen de werkzaamheden van haar collega's en hun liefhebberijen. In een aantal gevallen werden hun gezinssituatie, hun telefoonnummer en andere gegevens vermeld. Verder heeft zij verteld dat een van haar collega's haar voet had bezeerd en met gedeeltelijk ziekteverlof was. Met zijn eerste vraag wenst de verwijzende rechter te vernemen of het vermelden van verschillende personen op een internetpagina met hun naam of anderszins, bijvoorbeeld met hun telefoonnummer of informatie over hun werksituatie en hun hobby's, een geheel of


47

gedeeltelijk geautomatiseerde verwerking van persoonsgegevens in de zin van artikel 3, lid 1, van Richtlijn 95/46 vormt. Bij het Hof ingediende opmerkingen 20. Volgens Lindqvist is het niet aannemelijk dat de loutere vermelding van iemands naam

of van persoonsgegevens in een tekst op een internetpagina een geautomatiseerde gegevensverwerking is. Daarentegen kan de vermelding van die gegevens in een keyword van de meta tags van een internetpagina, waardoor indexering mogelijk is en die pagina met een zoekmachine kan worden gevonden, wel een dergelijke verwerking vormen.

21. De Zweedse regering stelt dat het begrip geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens als bedoeld in artikel 3, lid 1, van Richtlijn 95/46 alle elektronische, dus digitale, verwerkingen omvat. Wanneer een persoonsgegeven met een computer wordt verwerkt, bijvoorbeeld met een tekstverwerkingsprogramma of via plaatsing van dat gegeven op een internetpagina, valt de verwerking daarvan onder Richtlijn 95/46.

22. De Nederlandse regering voert aan dat het plaatsen van persoonsgegevens op een internetpagina geschiedt met behulp van een computer en een server, hetgeen een belangrijk kenmerk van automatisering is, zodat moet worden aangenomen dat er sprake is van een geautomatiseerde verwerking van die gegevens.

23. De Commissie stelt dat Richtlijn 95/46 van toepassing is op alle verwerkingen van persoonsgegevens als bedoeld in artikel 3 daarvan, ongeacht welke technische middelen worden gebruikt. De terbeschikkingstelling van persoonsgegevens op internet is derhalve aan te merken als geheel of gedeeltelijk geautomatiseerde verwerking, mits er geen technische beperkingen zijn waardoor de verwerking uitsluitend handmatig kan geschieden. Een internetpagina valt derhalve door haar aard onder de werkingssfeer van Richtlijn 95/46.

Antwoord van het Hof 24. Het in artikel 3, lid 1, van Richtlijn 95/46 gebezigde begrip persoonsgegevens omvat

volgens de definitie in artikel 2, sub a, daarvan iedere informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. Hieronder valt vanzelfsprekend iemands naam tezamen met zijn telefoonnummer of gegevens over zijn werksituatie en zijn liefhebberijen.

25. Het begrip verwerking van die gegevens in artikel 3, lid 1, van Richtlijn 95/46 omvat volgens de definitie in artikel 2, sub b, daarvan elke bewerking of elk geheel van bewerkingen met betrekking tot persoonsgegevens, al dan niet uitgevoerd met behulp van geautomatiseerde procédés. Laatstgenoemde bepaling noemt een aantal voorbeelden van die bewerkingen, waaronder verstrekken door middel van doorzending, verspreiden of op enigerlei andere wijze ter beschikking stellen van gegevens. Bijgevolg moet het plaatsen van persoonsgegevens op een internetpagina als een dergelijke verwerking worden aangemerkt.

26. Verder moet nog worden uitgemaakt of dit een geheel of gedeeltelijk geautomatiseerde verwerking is. In dit verband moet worden opgemerkt dat het plaatsen van informatie op een internetpagina volgens de thans toegepaste technische en elektronische procedures betekent, dat die pagina wordt geüploaded op een server en dat de nodige handelingen worden verricht om die pagina toegankelijk te maken voor degenen die een internetverbinding hebben gemaakt. Die handelingen worden ten minste gedeeltelijk geautomatiseerd verricht.

27. Derhalve moet op de eerste vraag worden geantwoord, dat het vermelden van verschillende personen op een internetpagina met hun naam of anderszins, bijvoorbeeld met hun telefoonnummer of informatie over hun werksituatie en hun


48

liefhebberijen, als een geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens in de zin van artikel 3, lid 1, van Richtlijn 95/46 is aan te merken.

bestand § 3. Onder "bestand" wordt verstaan elk gestructureerd geheel van persoonsgegevens die volgens bepaalde criteria toegankelijk zijn, ongeacht of dit geheel gecentraliseerd dan wel gedecentraliseerd is of verspreid op een functioneel of geografisch bepaalde wijze. INTERNATIONALE WETGEVING • Artikel 2 b) van het Verdrag nr. 108 van de Raad van Europa tot bescherming van

personen ten opzichte van de geautomatiseerde verwerking van persoonsgegevens (1981) : onder « geautomatiseerd bestand » wordt verstaan : iedere verzameling gegevens die langs geautomatiseerde weg wordt verwerkt.

• Explanatory Report of the Convention No.108 – (punt 30) : The definition covers not only data files consisting of compact sets of data, but also sets of data which are geographically distributed and are brought together via computer links for purposes of processing.

• Artikel 2 c) van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): "bestand van persoonsgegevens", hierna "bestand" te noemen, elk gestructureerd geheel van persoonsgegevens die volgens bepaalde criteria toegankelijk zijn, ongeacht of dit geheel gecentraliseerd dan wel gedecentraliseerd is of verspreid op een functioneel of geografisch bepaalde wijze.

• Overweging 27 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): overwegende dat met name de inhoud van een bestand moet zijn gestructureerd volgens specifieke criteria met betrekking tot personen, welke criteria de persoonsgegevens gemakkelijk toegankelijk maken; dat overeenkomstig de definitie in artikel 2, onder c), de verschillende criteria waarmee de elementen van een gestructureerd geheel van persoonsgegevens en de verschillende criteria die de toegang tot dit geheel van gegevens regelen door de Lid-Staten zelf kunnen worden bepaald; dat dossiers of een verzameling dossiers, evenals de omslagen ervan, die niet volgens specifieke criteria gestructureerd zijn in geen geval onder de toepassingssfeer van de onderhavige Richtlijn vallen.


49

verantwoordelijke voor de verwerking § 4. Onder "verantwoordelijke voor de verwerking" wordt de natuurlijke persoon of de rechtspersoon, de feitelijke vereniging of het openbaar bestuur verstaan die alleen of samen met anderen het doel en de middelen voor de verwerking van persoonsgegevens bepaalt. (tweede lid) Indien het doel en de middelen voor de verwerking door of krachtens een wet, een decreet of een ordonnantie zijn bepaald, is de verantwoordelijke voor de verwerking de natuurlijke persoon, de rechtspersoon, de feitelijke vereniging of het openbaar bestuur die door of krachtens de wet, het decreet of de ordonnantie als de voor de verwerking verantwoordelijke wordt aangewezen. INTERNATIONALE WETGEVING

Artikel 2 d) van het Verdrag nr. 108 van de Raad van Europa tot bescherming van personen ten opzichte van de geautomatiseerde verwerking van persoonsgegevens (1981) : onder “houder van een bestand” wordt verstaan : de natuurlijke persoon of rechtspersoon, de overheidsinstantie, de dienst of enig ander lichaam dat volgens het nationale recht de bevoegdheid heeft te beslissen welk doel het geautomatiseerde bestand moet dienen, welke categorieën persoonsgegevens dienen te worden opgeslagen en welke bewerkingen hierop zullen worden toegepast.

• Explanatory Report of the Convention n°108 – (punt 32) : By "controller of the file" the convention means only the person or body ultimately responsible for the file, not persons who carry out the operations according to the instructions given by the controller of the file.

• Artikel 2 d) van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): "voor de verwerking verantwoordelijke", de natuurlijke of rechtspersoon, de overheidsinstantie, de dienst of enig ander lichaam die, respectievelijk dat, alleen of te zamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt; wanneer het doel van en de middelen voor de verwerking worden vastgesteld bij nationale of communautaire wettelijke of bestuursrechtelijke bepalingen, kan in het nationale of communautaire recht worden bepaald wie de voor de verwerking verantwoordelijke is of volgens welke criteria deze wordt aangewezen.

• Overweging 47 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): Overwegende dat, wanneer een bericht dat persoonsgegevens bevat, wordt verzonden via een telecommunicatie- of elektronische postdienst waarvan het enige doel is dit soort berichten door te geven, het de persoon is van wie het bericht uitgaat, en niet degene die de dienst aanbiedt, die normaliter zal worden beschouwd als verantwoordelijk voor de verwerking van de in het bericht vervatte persoonsgegevens; dat evenwel de personen die deze diensten aanbieden normaliter zullen worden beschouwd als verantwoordelijk voor de verwerking van de aanvullende persoonsgegevens die noodzakelijk zijn voor de werking van de dienst;


50

VERSLAGEN EN STUDIES VAN DE RAAD VAN EUROPA • Raad van Europa, Opinion of the T-PD on the interpretation of the concepts of automatic

processing and controller of the file in the context of worldwide telecommunications networks (maart 2007).

verwerker § 5. Onder "verwerker" wordt de natuurlijke persoon, de rechtspersoon, de feitelijke vereniging of het openbaar bestuur verstaan die ten behoeve van de voor de verwerking verantwoordelijke persoonsgegevens verwerkt, met uitsluiting van de personen die onder rechtstreeks gezag van de verantwoordelijke voor de verwerking gemachtigd zijn om de gegevens te verwerken. INTERNATIONALE WETGEVING • Artikel 2 e) van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende

de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): "verwerker", de natuurlijke of rechtspersoon, de overheidsinstantie, de dienst of enig ander lichaam die, respectievelijk ten behoeve van de voor de verwerking verantwoordelijke persoonsgegevens verwerkt.

derde § 6. Onder "derde" wordt de natuurlijke persoon, de rechtspersoon, de feitelijke vereniging of het openbaar bestuur verstaan, niet zijnde de betrokkene, noch de verantwoordelijke voor de verwerking, noch de verwerker, noch de personen die onder rechtstreeks gezag van de verantwoordelijke of de verwerker gemachtigd zijn om de gegevens te verwerken. INTERNATIONALE WETGEVING • Artikel 2 f) van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende

de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): "derde", de natuurlijke of rechtspersoon, de overheidsinstantie, de dienst of enig ander lichaam, niet zijnde de betrokkene, noch de voor de verwerking verantwoordelijke, noch de verwerker, noch de personen die onder rechtstreeks gezag van de voor de verwerking verantwoordelijke of de verwerker gemachtigd zijn om de gegevens te verwerken;


51

ontvanger § 7. Onder "ontvanger" wordt de natuurlijke persoon, de rechtspersoon, de feitelijke vereniging of het openbaar bestuur verstaan, aan wie de gegevens worden meegedeeld, ongeacht of het al dan niet een derde betreft; administratieve of gerechtelijke instanties aan wie gegevens kunnen worden meegedeeld in het kader van een bijzondere onderzoeksprocedure worden evenwel niet beschouwd als ontvangers. INTERNATIONALE WETGEVING • Artikel 2 g) van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende

de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): "ontvanger", de natuurlijke of rechtspersoon, de overheidsinstantie, de dienst of enig ander lichaam aan wie, respectievelijk waaraan de gegevens worden meegedeeld, ongeacht of het al dan niet een derde betreft; instanties waaraan gegevens kunnen worden meegedeeld in het kader van een bijzondere onderzoeksopdracht worden evenwel niet beschouwd als ontvangers;

toestemming van de betrokkene § 8. Onder "toestemming van de betrokkene", wordt elke vrije, specifieke en op informatie berustende wilsuiting verstaan, waarmee de betrokkene of zijn wettelijke vertegenwoordiger aanvaardt dat persoonsgegevens betreffende de betrokkene worden verwerkt. TOESTEMMING – KWALITEIT INTERNATIONALE WETGEVING • Recommendation No. R(97)5 of the Committee of Ministers to Member States on the

protection of medical data (1997) - (6.1.): Where the data subject is required to give his/her consent, this consent should be free, express and informed.

• Recommandation No. R(2002)9 of the Committee of Ministers to Member States on the protection of personal data collected and processed for insurance purposes (2002) – (artikel 6) : 6.1. When data subjects are asked to give their consent, it must be freely given, specific and informed. Moreover, it must be unambiguous or, in the case of sensitive data, explicit (…). Er kunnen echter gevallen zijn waar het intern recht niet toestaat dat de toestemming geldt als een voldoende rechtmatig voor een verzameling of verwerking.

• Artikel 2 h) van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): "toestemming


52

van de betrokkene", elke vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat hem/haar betreffende persoonsgegevens worden verwerkt.

ADVIEZEN VAN DE GROEP 29 • Groep 29, Werkdocument betreffende de gevolgen van het eCall-initiatief vanuit het

oogpunt van bescherming van gegevens en van de persoonlijke levenssfeer (26 september 2006 – WP 125): de toestemming moet vrij zijn en terug kunnen worden ingetrokken. De toestemming wordt niet als vrij beschouwd als de betrokken persoon verklaart een bepaling te aanvaarden in een contract waarvan de bepalingen niet onderhandelbaar zijn (artikel 7 a) van de Richtlijn).

VERTEGENWOORDIGING – ONBEKWAAM INTERNATIONALE WETGEVING • Recommandation No. R(2002)9 of the Committee of Ministers to Member States on the

protection of personal data collected and processed for insurance purposes (2002) – (artikel 6) : 6.2. When personal data concern persons with no legal capacity and when domestic law does not permit the data subject to act on his/her own behalf, consent is required of his/her legal representative or an authority or any other person of body appointed by law. If, in accordance with Principle 5.5 above, data subjects with no legal capacity have been informed of the intention to collect and process data concerning them, their wishes should be taken into consideration, provided that this is not contrary to domestic law. Zie ook Recommendation No. R(97)5 of the Committee of Ministers to Member States on the protection of medical data (1997) - (point 6.3.).

• Recommendation No. R(97)5 of the Committee of Ministers to Member States on the protection of medical data (1997) – (punt 6.3.): If a legally incapacitated person is capable of understanding, he/she should be informed before his/her data are collected or processed. (5.5.).

Artikel 2: beginsel : recht op bescherming van persoonlijke levenssfeer

53

Artikel 2.

beginsel: recht op bescherming van persoonlijke levenssfeer Iedere natuurlijke persoon heeft in verband met de verwerking van persoonsgegevens die op hem betrekking hebben, recht op bescherming van zijn fundamentele rechten en vrijheden, inzonderheid op bescherming van zijn persoonlijke levenssfeer. INTERNATIONALE WETGEVING • Artikel 12 van de Universele Verklaring van de Rechten van de Mens (UVRM - 1948) :

Niemand zal onderworpen worden aan willekeurige inmenging in zijn persoonlijke aangelegenheden, in zijn gezin, zijn tehuis of zijn briefwisseling, noch aan enige aantasting van zijn eer of goede naam. Tegen een dergelijke inmenging of aantasting heeft een ieder recht op bescherming door de wet.

• Internationaal Verdrag inzake Burgerrechten en Politieke Rechten (BUPO verdrag – 1966):

Niemand mag worden onderworpen aan willekeurige of onwettige inmenging in zijn privé leven, zijn gezinsleven, zijn huis en zijn briefwisseling, noch aan onwettige aantasting van zijn eer en goede naam. Een ieder heeft recht op bescherming door de wet tegen zodanige inmenging of aantasting.

• Zie ook: General Comment No. 16: (Art. 17 BUPO-verdrag) van het Human Rights Committee. The Human Rights Committee preciseert onder meer wat men verstaat onder « arbitrary or unlawful interference with his privacy, family, home or correspondence ».

• Artikel 8 van het Verdrag tot Bescherming van de Rechten van de Mens en de Fundamentele Vrijheden (EVRM – 1950) : 1. Een ieder heeft recht op respect voor zijn privéleven, zijn familie- en gezinsleven,

zijn woning en zijn correspondentie. 2. Geen inmenging van enig openbaar gezag is toegestaan in de uitoefening van dit

recht, dan voor zover bij de wet is voorzien en in een democratische samenleving noodzakelijk is in het belang van de nationale veiligheid, de openbare veiligheid of het economisch welzijn van het land, het voorkomen van wanordelijkheden en strafbare feiten, de bescherming van de gezondheid of de goede zeden of voor de bescherming van de rechten en vrijheden van anderen.

• Artikel 1 van het Verdrag nr. 108 van de Raad van Europa tot bescherming van personen

ten opzichte van de geautomatiseerde verwerking van persoonsgegevens (1981): Dit Verdrag heeft tot doel op het grondgebied van elke Partij aan iedere natuurlijke persoon, ongeacht zijn nationaliteit of verblijfplaats, de eerbiediging van zijn rechten en fundamentele vrijheden te waarborgen en met name zijn recht op persoonlijke levenssfeer ten opzichte van de geautomatiseerde verwerking van persoonsgegevens hem betreffend (« databescherming »).


54

• Recommendation No. R(89)2 of the Committee of Ministers to Member States on the protection of personal data used for employment purposes (1989): Respect for the privacy and human dignity, in particular the possibility of exercising social and individual relations at the place of work, of the employee should be safeguarded in the collection and use of personal data for employment purposes.

• Artikel 1 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de

bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): De Lid-Staten waarborgen in verband met de verwerking van persoonsgegevens, overeenkomstig de bepalingen van deze Richtlijn, de bescherming van de fundamentele rechten en vrijheden van natuurlijke personen, inzonderheid van het recht op persoonlijke levenssfeer.

• Overweging 2 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): Overwegende dat de systemen voor de verwerking van gegevens ten dienste van de mens staan; dat zij de fundamentele rechten en vrijheden en inzonderheid de persoonlijke levenssfeer van natuurlijke personen, ongeacht hun nationaliteit of verblijfplaats, moeten eerbiedigen en tot de economische en sociale vooruitgang, tot de ontwikkeling van het handelsverkeer en tot het welzijn van de individuen moeten bijdragen.

• Overwegingen 10 en 11 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): (10) Overwegende dat met de nationale wetgevingen betreffende de verwerking van persoonsgegevens de eerbiediging moet worden gewaarborgd van de fundamentele rechten en vrijheden, en met name van het recht op bescherming van de persoonlijke levenssfeer, dat tevens in artikel 8 van het Europese Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden en in de algemene beginselen van het Gemeenschapsrecht is erkend; dat derhalve de onderlinge aanpassing van deze wetgevingen niet tot een verzwakking van de aldus geboden bescherming mag leiden, maar juist erop gericht moet zijn een hoog beschermingsniveau in de Gemeenschap te waarborgen. (11) Overwegende dat de in deze Richtlijn vervatte beginselen met betrekking tot de bescherming van de rechten en de vrijheden van personen, inzonderheid van de persoonlijke levenssfeer, de beginselen van het Verdrag van de Raad van Europa van 28 januari 1981 tot bescherming van personen ter zake van de geautomatiseerde verwerking van persoonsgegevens verduidelijken en versterken;

• Artikels 7 en 8 van het Handvest van de grondrechten van de Europese Unie (2000) : Artikel 7 : Eenieder heeft recht op eerbiediging van zijn privé-leven, zijn familie- en gezinsleven, zijn woning en zijn communicatie. Article 8 : 1. Eenieder heeft recht op bescherming van de hem betreffende persoonsgegevens. 2. Deze gegevens moeten eerlijk worden verwerkt, voor bepaalde doeleinden en met

toestemming van de betrokkene of op basis van een andere gerechtvaardigde grondslag waarin de wet voorziet. Eenieder heeft recht op toegang tot de over hem verzamelde gegevens en op rectificatie daarvan.

3. Een onafhankelijke autoriteit ziet toe op de naleving van deze regels.


55

• Toelichtend rapport bij het Handvest van de grondrechten (toelichting over de volledige tekst van het Handvest, zoals weergegeven in het document CHARTE 4487/00 CONVENT 50 (doc van Presidium): dit artikel baseert zich op artikel 286 van het verdrag tot oprichting van de Europese Gemeenschap en op de Richtlijn 85/46/EG van het Europees Parlement en de Raad betreffende de bescherming van de natuurlijke personen ten opzichte van de verwerking van persoonsgegevens en het vrije verkeer van die gegevens (J.O. nr. L 281 van 23 november 1995), maar ook op artikel 8 van de het Europees Verdrag voor rechten van de mens en de Overeenkomst van de Raad van Europa voor de bescherming van personen ten opzichte van de geautomatiseerde verwerking van persoonsgegevens van 28 januari 1981, geratificeerd door alle lidstaten. Het recht op bescherming van persoonsgegevens vindt zijn uitvoering in de voorwaarden vastgesteld in de bovenvermelde Richtlijn en kan ingeperkt worden onder de voorwaarden bepaald in artikel 52 van het Handvest.

ADVIEZEN VAN DE GROEP 29 • Groep 29, Aanbeveling 4/99 over de opname van het grondrecht op

gegevensbescherming in de Europese grondrechten (7 december 1999 – WP 26):de Groep 29 verklaart in dit document dat het ten volle het initiatief van Europese raad ondersteunt om een gemeenschappelijk handvest voor de grondrechten op te stellen. De Groep merkt op dat sommige Europese landen de bescherming van gegevens als grondrecht hebben opgenomen in hun Grondwet. De arresten van het Europees Hof voor de Rechten van de Mens bepalen en omschrijven duidelijk het begrip grondrecht en baseren zich daarvoor op het recht op bescherming van persoonsgegevens zoals dat in verschillende mensenrechten is vervat. Het artikel 286 van het Verdrag betreffende de Europese Unie bepaalde dat de besluiten van de Gemeenschap inzake gegevensbescherming met ingang van 1 januari 1999 van toepassing zijn op de Europese organen en instellingen. Door de gegevensbescherming in de Europese grondrechten te verankeren, wordt de toepassing ervan tot de volledige Unie uitgebreid en het toenemende belang van gegevensbescherming in de informatiemaatschappij erkend.

RECHTSPRAAK VAN HET EUROPESE HOF VAN JUSTITIE • Europees Hof van Justitie, Arrest van 20 mei 2003, Rechnungshof c. Osterreichischer

Rundfunk en anderen, Gevoegde zaken C-465/00, C-138/01 en C-139/01.

De in gedingen gerezen vragen tussen enerzijds het Rechnungshof (de Rekenkamer) en een groot aantal organen waarover deze instantie toezicht uitoefent, en anderzijds tussen C. Neukomm en J. Lauermann en hun werkgever, de Österreichische Rundfunk (hierna: ÖRF), een publiekrechtelijke radio-omroep, betreffen de verplichting van rechtspersonen die onder toezicht van het Rechnungshof staan, deze laatste gegevens te verstrekken over salarissen en pensioenen, ingeval deze een bepaald plafond overschrijden, die zij aan hun werknemers en gepensioneerden uitbetalen, met vermelding van de naam van de begunstigden, ten behoeve van de opstelling van een jaarverslag waarvan inzage wordt verleend aan de Nationalrat, de Bundesrat alsmede de Landtagen, en dat ter beschikking wordt gesteld van het grote publiek (hierna: verslag). Met hun eerste vraag wensen de verwijzende rechterlijke instanties in wezen te vernemen of Richtlijn 95/46 aldus moet worden uitgelegd, dat zij zich verzet tegen een nationale regelgeving als die aan de orde in de hoofdgedingen, welke een controleorgaan van de staat verplicht, gegevens over het inkomen van werknemers van aan zijn toezicht onderworpen organen te verzamelen en door te geven met het oog op openbaarmaking, wanneer dat inkomen een bepaald plafond overschrijdt.


56

68. Bovendien moet Richtlijn 95/46/EG, voorzover zij de verwerking regelt van persoonsgegevens die afbreuk kunnen doen aan de fundamentele vrijheden, inzonderheid het recht op persoonlijke levenssfeer, noodzakelijkerwijs worden uitgelegd op basis van de grondrechten, die volgens vaste rechtspraak integrerend deel uitmaken van de algemene rechtsbeginselen welker eerbiediging het Hof verzekert (zie met name het arrest van 6 maart 2001, Connolly/Commissie, C-274/99P, Jurispr. blz. I-1611, punt 37).

Artikel 3 : toepassingsgebied WVP

57

Artikel 3.

toepassingsgebied WVP

toepassing: persoonsgegevens voor een bestand § 1. Deze wet is van toepassing op elke geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, alsmede op elke niet geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen. Opmerking : voor het begrip "bestand" wordt verwezen naar artikel 1§3. INTERNATIONALE WETGEVING • Guidelines of the United Nations for the Regulation of Computerized Personal Data Files

(1990) – (10) Field of application: The present principles should be made applicable, in the first instance, to all public and private computerized files as well as, by means of optional extension and subject to appropriate adjustments, to manual files (…).

• Artikel 3 a) van het Verdrag nr. 108 van de Raad van Europa tot bescherming van

personen ten opzichte van de geautomatiseerde verwerking van persoonsgegevens (1981): De Partijen verbinden zich dit Verdrag toe te passen op de geautomatiseerde bestanden van persoonsgegevens en op de geautomatiseerde verwerking van persoonsgegevens in de openbare en particuliere sector.

• Recommendation No. R(89)2 of the Committee of Ministers to Member States on the protection of personal data used for employment purposes (1989): Manual processing of data should not be used by employers in order to avoid the principles contained in this recommendation. De meeste sectoriële aanbevelingen van de Raad van Europa bevatten een vergelijkbare bepaling. (Zie bvb.: Recommandation No. R(2002) 9 of the Committee of Ministers to Member States on the protection of personal data collected and processed for insurance purposes (2002) - (artikel 2.3.)).

• Artikel 3 § 1 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): De bepalingen van deze Richtlijn zijn van toepassing op de geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, alsmede op de niet-geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen.


58

algemene uitzondering: privégebruik § 2. . Deze wet is niet van toepassing op de verwerking van persoonsgegevens die door een natuurlijk persoon in activiteiten met uitsluitend persoonlijke of huishoudelijke doeleinden wordt verricht. INTERNATIONALE WETGEVING • Artikel 3 § 2 derde lid van de Richtlijn 95/46/EG van het Europees Parlement en de Raad

betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): De bepalingen van deze Richtlijn zijn niet van toepassing op de verwerking van persoonsgegevens:die door een natuurlijk persoon in activiteiten met uitsluitend persoonlijke of huishoudelijke doeleinden wordt verricht.

• Overweging 12 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): Overwegende dat de beginselen inzake bescherming moeten gelden voor alle verwerkingen van persoonsgegevens zodra de werkzaamheden van de voor de verwerking verantwoordelijke binnen de werkingssfeer van het Gemeenschapsrecht vallen; dat dit niet geldt voor de verwerking van gegevens door een natuurlijke persoon in activiteiten met uitsluitend persoonlijke of huishoudelijke doeleinden, bijvoorbeeld correspondentie en het bijhouden van adressenbestanden.



Feiten Eind 1998 heeft Lindqvist thuis op haar eigen computer internetpagina's gecreëerd, zodat gemeenteleden die hun belijdenis wilden doen, gemakkelijk de door hen benodigde informatie konden opvragen. Op haar verzoek heeft de webmaster van de website van de Kerk van Zweden op die website een link naar die pagina's geplaatst. De bedoelde pagina's bevatten informatie over Lindqvist en 18 van haar collega's in de kerkgemeente, waaronder hun volledige naam of soms alleen hun voornaam. Bovendien beschreef Lindqvist in licht humoristische bewoordingen de werkzaamheden van haar collega's en hun liefhebberijen. In een aantal gevallen werden hun gezinssituatie, hun telefoonnummer en andere gegevens vermeld. Verder heeft zij verteld dat een van haar collega's haar voet had bezeerd en met gedeeltelijk ziekteverlof was. Met zijn derde vraag wenst de verwijzende rechter in wezen te vernemen of een verwerking van persoonsgegevens als bedoeld in de eerste vraag, valt onder een van de uitzonderingen van artikel 3, lid 2, van Richtlijn 95/46/EG. Bij het Hof ingediende opmerkingen 30. Lindqvist stelt dat een particulier die met gebruikmaking van zijn vrijheid van

meningsuiting internetpagina's creëert in het kader van een activiteit zonder


59

winstoogmerk of van zijn hobby, geen economische activiteit uitoefent en dus niet onder de toepassing van het gemeenschapsrecht valt. Mocht het Hof een andere opvatting zijn toegedaan, dan rijst de vraag of Richtlijn 95/46/EG geldig is, want in dat geval zou de gemeenschapswetgever met de vaststelling van die Richtlijn de bevoegdheden hebben overschreden die hem bij artikel 100 A EG-Verdrag (thans, na wijziging, artikel 95 EG) zijn verleend. Immers, de harmonisatie van de wetgevingen die de instelling en de werking van de interne markt betreffen, kan niet als rechtsgrondslag dienen voor communautaire maatregelen die het recht van particulieren op vrijheid van meningsuiting op internet regelen.

31. De Zweedse regering voert aan dat de Zweedse wetgever bij de omzetting van Richtlijn 95/46 in nationaal recht ervan is uitgegaan dat de verwerking van persoonsgegevens door een natuurlijk persoon, die bestaat in de doorgifte van die gegevens aan een onbepaald aantal personen, bijvoorbeeld via internet, niet kon worden aangemerkt als activiteit met uitsluitend persoonlijke of huishoudelijke doeleinden in de zin van artikel 3, lid 2, tweede streepje, van Richtlijn 95/46/EG. Daarentegen sluit deze regering niet uit dat de uitzondering van artikel 3, lid 2, eerste streepje, betrekking heeft op gevallen waarin een natuurlijk persoon persoonsgegevens op een internetpagina openbaar maakt enkel in het kader van de uitoefening van zijn vrijheid van meningsuiting en zonder enige band met een beroepsmatige of commerciële activiteit.

32. Volgens de Nederlandse regering valt een geautomatiseerde verwerking van gegevens als de onderhavige onder geen van de uitzonderingen van artikel 3, lid 2, van Richtlijn 95/46. Wat meer in het bijzonder de uitzondering van het tweede streepje van artikel 3, lid 2, betreft, merkt die regering op dat wie een internetpagina creëert, de daarop geplaatste gegevens ter kennis brengt van een in beginsel onbepaalde groep personen.

33. De Commissie voert aan dat een internetpagina als die waarom het in het hoofdgeding gaat, niet kan worden geacht buiten de werkingssfeer van Richtlijn 95/46 te vallen krachtens artikel 3, lid 2, van die Richtlijn, maar, gelet op het doel van die pagina, een creatie voor artistieke of literaire doeleinden in de zin van artikel 9 van die Richtlijn is.

34. Artikel 3, lid 2, eerste streepje, van Richtlijn 95/46 kan volgens de Commissie op twee verschillende manieren worden uitgelegd. Volgens de ene uitlegging is de strekking van die bepaling beperkt tot de als voorbeelden aangehaalde gebieden, namelijk de activiteiten die voornamelijk vallen onder wat men de tweede en de derde pijler pleegt te noemen. Volgens de andere uitlegging is de uitoefening van alle niet onder het gemeenschapsrecht vallende activiteiten van de werkingssfeer van Richtlijn 95/46 uitgesloten.

35. De Commissie stelt dat het gemeenschapsrecht zich niet beperkt tot de economische activiteiten die verband houden met de vier fundamentele vrijheden. Uit de rechtsgrondslag van Richtlijn 95/46, het doel ervan, artikel 6 EU, het Handvest van de grondrechten van de Europese Unie dat op 18 december 2000 te Nice is afgekondigd (PB C 364, blz. 1), en het Verdrag van de Raad van Europa van 28 januari 1981 tot bescherming van personen ten aanzien van de geautomatiseerde verwerking van persoonsgegevens, moet volgens haar worden afgeleid, dat die Richtlijn beoogt het vrije verkeer van persoonsgegevens als de uitoefening van niet alleen een economische maar ook van een sociale activiteit in het kader van de integratie en de werking van de interne markt te regelen.

36. Bovendien zou een algemene uitsluiting van de werkingssfeer van Richtlijn 95/46 van internetpagina's die geen commercieel of dienstenelement bevatten, tot ernstige afbakeningsproblemen kunnen leiden. Een groot aantal internetpagina's met persoonsgegevens die bedoeld zijn om bepaalde personen in een kwaad daglicht te stellen, zou dan buiten de werkingssfeer van die Richtlijn kunnen vallen.


60

Antwoord van het Hof 37. In artikel 3, lid 2, van Richtlijn 95/46 worden twee uitzonderingen op de werkingssfeer

daarvan gemaakt. 38. De eerste uitzondering betreft de verwerking van persoonsgegevens die met het oog

op de uitoefening van niet binnen de werkingssfeer van het gemeenschapsrecht vallende activiteiten geschieden zoals die bedoeld in de titels V en VI van het Verdrag betreffende de Europese Unie, en in ieder geval de verwerking van gegevens die betrekking hebben op de openbare veiligheid, defensie, de veiligheid van de staat (waaronder de economie van de staat, wanneer deze verwerkingen in verband staan met vraagstukken van staatsveiligheid), en de activiteiten van de staat op strafrechtelijk gebied.

39. Daar de in het hoofdgeding betrokken activiteiten van Lindqvist in wezen niet economisch waren maar te maken hadden met vrijwilligerswerk en religieuze activiteiten, moet worden onderzocht of zij zijn aan te merken als verwerkingen van persoonsgegevens die met het oog op de uitoefening van niet binnen de werkingssfeer van het gemeenschapsrecht vallende activiteiten geschieden in de zin van artikel 3, lid 2, eerste streepje van Richtlijn 95/46.

40. Het Hof heeft ter zake van Richtlijn 95/46, die op artikel 100 A van het Verdrag is gebaseerd, reeds beslist dat voor een beroep op die rechtsgrondslag niet vereist is, dat in elke situatie die valt onder een op deze grondslag gebaseerde handeling een daadwerkelijk verband met het vrije verkeer tussen lidstaten bestaat (zie arrest van 20 mei 2003, Österreichischer Rundfunk e.a., C-465/00, C-138/01 en C-139/01, Jurispr. blz. I-4989, punt 41 en aldaar aangehaalde rechtspraak).

41. Iedere andere uitlegging brengt het gevaar met zich dat de grenzen van de werkingssfeer van die Richtlijn bijzonder onzeker en vaag worden, hetgeen strijdig zou zijn met de voornaamste doelstelling van de Richtlijn, namelijk de harmonisatie van de wettelijke en bestuursrechtelijke bepalingen van de lidstaten teneinde de belemmeringen van de werking van de interne markt die voortvloeien uit de verschillen tussen nationale wetgevingen weg te nemen (arrest Österreichischer Rundfunk e.a., reeds aangehaald, punt 42).

42. In die omstandigheden mag de uitdrukking niet binnen de werkingssfeer van het gemeenschapsrecht vallende activiteiten niet in dier voege worden uitgelegd, dat van geval tot geval moet worden nagegaan of de betrokken specifieke activiteit het vrije verkeer tussen lidstaten rechtstreeks beïnvloedt.

43. De in artikel 3, lid 2, eerste streepje, van Richtlijn 95/46 als voorbeeld genoemde activiteiten (te weten de activiteiten bedoeld in de titels V en VI van het Verdrag betreffende de Europese Unie, alsmede de verwerkingen die betrekking hebben op de openbare veiligheid, defensie, de veiligheid van de staat, en de activiteiten op strafrechtelijk gebied) zijn telkens specifieke activiteiten van de staten of de overheidsdiensten en hebben met de activiteiten van particulieren niets van doen.

44. Derhalve moet ervan worden uitgegaan dat de activiteiten die in artikel 3, lid 2, eerste streepje, van Richtlijn 95/46 als voorbeeld worden genoemd, dienen tot afbakening van het toepassingsgebied van de daarin geregelde uitzondering, zodat die uitzondering enkel geldt voor activiteiten die daarin dus uitdrukkelijk zijn vermeld of die in dezelfde categorie kunnen worden ondergebracht (ejusdem generis).

45. Vrijwilligerswerk of religieuze activiteiten, zoals door Lindqvist zijn uitgeoefend, zijn niet gelijk te stellen met de in artikel 3, lid 2, eerste streepje, van Richtlijn 95/46 genoemde activiteiten en vallen dus niet onder die uitzondering.

46. Met betrekking tot de tweede uitzondering van artikel 3, lid 2, tweede streepje, van Richtlijn 95/46 zijn in punt 12 van de considerans van die Richtlijn de correspondentie en het bijhouden van adressenbestanden genoemd als


61

voorbeelden van verwerking van gegevens door een natuurlijke persoon in activiteiten met uitsluitend persoonlijke of huishoudelijke doeleinden.

47. Die uitzondering moet derhalve aldus worden uitgelegd, dat zij uitsluitend betrekking heeft op activiteiten die tot het persoonlijke of gezinsleven van particulieren behoren, hetgeen klaarblijkelijk niet het geval is met de verwerking van persoonsgegevens die bestaat in hun openbaarmaking op internet waardoor die gegevens voor een onbepaald aantal personen toegankelijk worden gemaakt.

specifieke uitzondering: journalistieke, artistieke of literaire doeleinden: § 3.

gegevens van publieke aard: artikel 6, 7 en 8 WVP niet van toepassing a) De artikelen 6, 7 en 8 zijn niet van toepassing op verwerkingen van persoonsgegevens voor uitsluitend journalistieke, artistieke of literaire doeleinden wanneer de verwerking betrekking heeft op persoonsgegevens die kennelijk publiek zijn gemaakt door de betrokken persoon of die in nauw verband staan met het publiek karakter van de betrokken persoon of van het feit waarin die persoon betrokken is. INTERNATIONALE WETGEVING • Artikel 9 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de

bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): De Lid-Staten voorzien voor de verwerking van persoonsgegevens voor uitsluitend journalistieke of voor artistieke of literaire doeleinden in uitzonderingen op en afwijkingen van de bepalingen van Hoofdstuk II van de Richtlijn (algemene voorwaarden voor de rechtmatigheid van de verwerking van persoonsgegevens) en van de hoofdstukken IV (doorgifte van persoonsgegevens naar derde landen) en VI (Toezichthoudende autoriteit) uitsluitend voor zover deze nodig blijken om het recht op persoonlijke levenssfeer te verzoenen met de regels betreffende de vrijheid van meningsuiting.

• Overweging 17 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): Overwegende dat wat betreft verwerkingen van geluid- en beeldgegevens voor journalistieke, literaire of artistieke doeleinden, met name in de audiovisuele sector, de beginselen van de Richtlijn, met een aantal beperkingen overeenkomstig artikel 9 van toepassing zijn.

• Overweging 37 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van


62

persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): Overwegende dat voor de verwerking van persoonsgegevens voor journalistieke, artistieke of literaire, en met name audiovisuele, doeleinden moet worden voorzien in uitzonderingen op of beperkingen van bepalingen van deze Richtlijn, voor zover deze noodzakelijk zijn om de fundamentele rechten van de persoon te verzoenen met de vrijheid van meningsuiting, inzonderheid de vrijheid om inlichtingen te ontvangen of te verstrekken, zoals die met name bij artikel 10 van het Europese Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden wordt gewaarborgd; dat het derhalve de taak van de Lid-Staten is om in het kader van de afweging tussen fundamentele rechten de noodzakelijke uitzonderingen en beperkingen vast te stellen ten aanzien van de algemene maatregelen inzake de rechtmatigheid van de gegevensverwerking, de overdracht van gegevens naar derde landen alsmede de bevoegdheden van de controlerende instanties; dat zulks evenwel de Lid-Staten er niet toe mag bewegen te voorzien in uitzonderingen op de maatregelen om de beveiliging van de verwerking te garanderen; dat ten minste aan de op dit gebied bevoegde toezichthoudende instantie tevens bepaalde bevoegdheden a posteriori moeten worden verleend, zoals het op gezette tijden indienen van een verslag of het in rechte optreden.

ADVIEZEN VAN DE GROEP 29 • Groep 29, Aanbeveling 1/97 Wetgeving inzake gegevensbescherming en de media (25

februari 1997 – WP1): in deze aanbeveling geeft de Groep 29 nuttig advies over de interpretatie van artikel 9 van de Richtlijn. Dit artikel vermeldt dat de lidstaten bepaalde vrijstellingen en uitzonderingen kunnen voorzien op de reglementering inzake gegevensbescherming indien de persoonsgegevens worden verwerkt voor journalistieke doeleinden of voor artistieke of literaire uitdrukkingsvrijheid. In het eerste deel van het document worden enige algemene aspecten van de toepassing van de wetgeving inzake gegevensbescherming op de media uiteengezet, waarbij ook aandacht wordt besteed aan de wetgevingsgeschiedenis van artikel 9 van de Richtlijn. Het oorspronkelijke voorstel van de Commissie bepaalde immers dat de lidstaten de mogelijkheid kregen om te voorzien in afwijkingen op de bepalingen van de Richtlijn voor de pers en audiovisuele media. Deze mogelijkheid veranderde vervolgens in een verplichting. Het document eindigt met een lijst overwegingen waarin wordt gesteld dat bij de evaluatie van de afwijkingen die in toepassing van artikel 9 van de Richtlijn werden bepaald er steeds in het achterhoofd moet worden gehouden dat:

- de wetgeving inzake de bescherming van gegevens in beginsel van toepassing is op

de media. Uitzonderingen en vrijstellingen kunnen uitsluitend worden vastgesteld ten aanzien van hoofdstuk II inzake de algemene voorwaarden voor de rechtmatigheid van de verwerking van gegevens, hoofdstuk IV inzake de doorgifte van gegevens aan derde landen en hoofdstuk VI betreffende de bevoegdheden van toezichthoudende autoriteiten;

- alle uitzonderingen en vrijstellingen op grond van artikel 9 in overeenstemming moeten zijn met het evenredigheidsbeginsel;

- uitzonderingen en vrijstellingen krachtens artikel 9 wellicht niet nodig zijn wanneer de flexibiliteit van andere bepalingen van de Richtlijn of de uitzonderingen uit hoofde van andere specifieke bepalingen reeds een bevredigend evenwicht mogelijk maken tussen de persoonlijke levenssfeer en de vrijheid van meningsuiting;

- artikel 9 van de Richtlijn het recht respecteert van natuurlijke personen op vrijheid van meningsuiting. Uitzonderingen en vrijstellingen uit hoofde van dit artikel kunnen niet worden toegekend aan de media of aan journalisten als zodanig, maar uitsluitend aan een ieder die gegevens verwerkt voor journalistieke doeleinden;


63

- de uitzonderingen en vrijstellingen slechts betrekking kunnen hebben op gegevensverwerking voor journalistieke (redactionele) doeleinden, met inbegrip van elektronische uitgaven. Elke andere vorm van gegevensverwerking door journalisten of de media is onderworpen aan de gewone bepalingen van de Richtlijn. Dit onderscheid is vooral van belang voor elektronische uitgaven. De verwerking van abonneegegevens voor facturering of voor direct marketing (met inbegrip van de verwerking van gegevens door de media voor profielschetsen) valt onder de gewone regeling voor de bescherming van gegevens;

- de Richtlijn een evenwicht vereist tussen twee fundamentele vrijheden. Bij de beoordeling of beperkingen van de rechten en verplichtingen, welke voortvloeien uit de Richtlijn, evenredig zijn met het doel van de bescherming van de vrijheid van meningsuiting, moet bijzondere rekening worden gehouden met de specifieke garanties die personen genieten in relatie tot de media. Beperkingen van het recht van toegang en rectificatie voorafgaand aan publicatie kunnen slechts evenredig zijn voor zover de natuurlijke personen een recht van antwoord of rectificatie van onjuiste informatie hebben na publicatie;

- de natuurlijke personen in elk geval moeten kunnen gebruik maken van doeltreffende mogelijkheden om in beroep te gaan bij schending van hun rechten. Bij de beoordeling of vrijstellingen of afwijkingen evenredig zijn, moet rekening worden gehouden met de geldende ethische en beroepsgebonden verplichtingen van journalisten en met de vormen van toezicht in het kader van de zelfregulering van deze beroepsgroep.

VERSLAGEN EN STUDIES VAN DE RAAD VAN EUROPA • Raad van Europa, Data protection and media (1990).

9,§1 en 9,§2 : journalistieke, artistieke of literaire doeleinden b Artikel 9, § 1, is niet van toepassing op verwerkingen van persoonsgegevens voor uitsluitend journalistieke, artistieke of literaire doeleinden wanneer de toepassing ervan de verzameling van gegevens bij de betrokken persoon in het gedrang zou brengen. Artikel 9, § 2, is niet van toepassing op verwerkingen van persoonsgegevens voor uitsluitend journalistieke, artistieke of literaire doeleinden wanneer de toepassing ervan tot één of meer van de volgende gevolgen zou leiden : - door de toepassing wordt de verzameling van gegevens in het gedrang gebracht; - door de toepassing wordt een voorgenomen publicatie in het gedrang gebracht; - de toepassing zou aanwijzingen verschaffen over de bronnen van informatie. c) De artikelen 10 en 12 zijn niet van toepassing op verwerkingen van persoonsgegevens voor uitsluitend journalistieke, artistieke of literaire doeleinden in de mate dat de toepassing ervan een voorgenomen publicatie in het gedrang zou brengen of aanwijzingen zou verschaffen over de bronnen van informatie.


64

d) De artikelen 17, § 3, 9° en 12°, § 4 en § 8, evenals de artikelen 18, 21 en 22 zijn niet van toepassing op verwerkingen van persoonsgegevens voor uitsluitend journalistieke, artistieke of literaire doeleinden. INTERNATIONALE WETGEVING • Artikel 9 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de

bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): De Lid-Staten voorzien voor de verwerking van persoonsgegevens voor uitsluitend journalistieke of voor artistieke of literaire doeleinden in uitzonderingen op en afwijkingen van de bepalingen van Hoofdstuk II van de Richtlijn (algemene voorwaarden voor de rechtmatigheid van de verwerking van persoonsgegevens) en van de hoofdstukken IV (doorgifte van persoonsgegevens naar derde landen) en VI (Toezichthoudende autoriteit) uitsluitend voor zover deze nodig blijken om het recht op persoonlijke levenssfeer te verzoenen met de regels betreffende de vrijheid van meningsuiting.


betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): Overwegende dat wat betreft verwerkingen van geluid- en beeldgegevens voor journalistieke, literaire of artistieke doeleinden, met name in de audiovisuele sector, de beginselen van de Richtlijn, met een aantal beperkingen overeenkomstig artikel 9 van toepassing zijn.

• Overweging 37 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): Overwegende dat voor de verwerking van persoonsgegevens voor journalistieke, artistieke of literaire, en met name audiovisuele, doeleinden moet worden voorzien in uitzonderingen op of beperkingen van bepalingen van deze Richtlijn, voor zover deze noodzakelijk zijn om de fundamentele rechten van de persoon te verzoenen met de vrijheid van meningsuiting, inzonderheid de vrijheid om inlichtingen te ontvangen of te verstrekken, zoals die met name bij artikel 10 van het Europese Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden wordt gewaarborgd; dat het derhalve de taak van de Lid-Staten is om in het kader van de afweging tussen fundamentele rechten de noodzakelijke uitzonderingen en beperkingen vast te stellen ten aanzien van de algemene maatregelen inzake de rechtmatigheid van de gegevensverwerking, de overdracht van gegevens naar derde landen alsmede de bevoegdheden van de controlerende instanties; dat zulks evenwel de Lid-Staten er niet toe mag bewegen te voorzien in uitzonderingen op de maatregelen om de beveiliging van de verwerking te garanderen; dat ten minste aan de op dit gebied bevoegde toezichthoudende instantie tevens bepaalde bevoegdheden a posteriori moeten worden verleend, zoals het op gezette tijden indienen van een verslag of het in rechte optreden.

ADVIEZEN VAN DE GROEP 29 • Groep 29, Aanbeveling 1/97 Wetgeving inzake gegevensbescherming en de media (25

februari 1997 – WP1): (zie de samenvatting van het advies hierboven onder artikel 3, §3 a)).


65

VERSLAGEN EN STUDIES VAN DE RAAD VAN EUROPA • Raad van Europa, Data protection and media (1990). RECHTSPRAAK VAN HET EUROPEES HOF VOOR DE RECHTEN VAN DE MENS • Fressoz en Roire t. Frankrijk van 21 januari 1999, de gebundelde arresten en vonnissen

1999-I (schending van het artikel 10 van het Verdrag). Veroordeling voor geheimhouding van fotokopies van fiscale documenten (belastingbrief), als gevolg van een publicatie van een gedetailleerd artikel over de salarisevolutie van de voorzitter van een autobedrijf in het satirisch weekblad "le Canard".

• Krone Verlag Gmbh & Cie KG t. Oostenrijk van 26 februari 2002, verzoek nr. 34315/96

(schending van artikel 10 van het Verdrag). Veroordeling van een firma als eisende partij voor het publiceren van foto's van een politicus.

• A. t. Verenigd Koninkrijk van 17 december 2002, verzoek nr. 35373/97 (geen schending

van het Verdrag). Persoonlijke informatie verstrekt door en kwetsende opmerkingen geuit door een gedeputeerde die vervolgens werden gepubliceerd in de lokale en nationale kranten.

specifieke uitzondering: veiligheid van de staat § 4 De artikelen 6 tot 10, 12, 14, 15, 17, 17bis, eerste lid, 18, 20 en 31, §§ 1 tot 3, zijn niet van toepassing op de verwerkingen van persoonsgegevens door de Veiligheid van de Staat, door de Algemene Dienst inlichting en veiligheid van de Krijgsmacht, door de overheden bedoeld in de artikelen 15, 22ter en 22quinquies van de wet van 11 december 1998 betreffende de classificatie en de veiligheidsmachtigingen, veiligheidsattesten en veiligheidsadviezen en het beroepsorgaan opgericht bij wet van 11 december 1998 tot oprichting van een beroepsorgaan inzake veiligheidsmachtigingen, veiligheidsattesten en veiligheidsadviezen, door de veiligheidsofficieren en door het Vast Comité van Toezicht op de inlichtingendiensten en de Dienst Enquêtes ervan, en door het Coördinatieorgaan voor de dreiginganalyse indien die verwerkingen noodzakelijk zijn voor de uitoefening van hun opdrachten. VERWIJZING NAAR ANDERE WETGEVING • Wet van 10 juli 2006 betreffende de analyse van de dreiging, B.S., 20 juli 2006. • Wet van 11 december 1998 betreffende de classificatie en de veiligheidsmachtigingen,

veiligheidsattesten en veiligheidsadviezen, B.S., 7 mei 1999 Artikel 15: De Koning wijst de collegiale overheid of overheden aan, die bevoegd is of zijn de veiligheidsmachtigingen af te geven of in te trekken. Die overheid of overheden worden hierna " de veiligheidsoverheid " genoemd.


66

In afwijking van het eerste lid kunnen de volgende overheden de toestemming van de Koning krijgen om de door deze wet aan de veiligheidsoverheid toegewezen bevoegdheden uit te oefenen : 1 de administrateur-generaal van de Veiligheid van de Staat of, in geval van

verhindering, de adjunct-administrateur-generaal, voor de personeelsleden van die dienst en voor de kandidaten voor een betrekking binnen die dienst;

2 de chef van de Algemene Dienst inlichting en veiligheid van de Krijgsmacht, of een door hem afgevaardigde hoofdofficier, voor de personen die onder de minister van Landsverdediging ressorteren en voor de kandidaten voor een betrekking binnen het ministerie van Landsverdediging.

Artikel 22ter De veiligheidsoverheid bedoeld in artikel 15, eerste lid, is bevoegd om de veiligheidsattesten af te leveren of in te trekken. In afwijking van het eerste lid kunnen de volgende overheden deze bevoegdheid uitoefenen wanneer het de toegang tot lokalen, gebouwen of terreinen betreft waarvoor zij verantwoordelijk zijn of wanneer het evenementen betreft die zij zelf organiseren 1 de voorzitter van de Nationale Veiligheidsoverheid; 2 de administrateur-generaal van de Veiligheid van de Staat of een door hem

aangewezen ambtenaar van niveau 1; 3 de chef van de Algemene Dienst inlichting en veiligheid van de Krijgsmacht, of een

door hem aangewezen hoofdofficier; 4 de directeur-generaal van het Federaal Agentschap voor nucleaire controle of een door

hem aangewezen ambtenaar van niveau 1; 5 de commissaris-generaal van de federale politie of een door hem aangewezen officier

evenals de korpschef van de lokale politie of een door hem aangewezen officier; 6 de directeur-generaal van de Algemene Directie Crisiscentrum van de Federale

Overheidsdienst Binnenlandse Zaken of een door hem aangewezen ambtenaar van niveau 1.

Elk van deze overheden houdt een register bij van de door haar verrichte veiligheidsverificaties en de genomen beslissingen. De in dit register opgenomen gegevens en hun bewaartijd worden bepaald door de Koning na advies van de Commissie tot bescherming van de persoonlijke levenssfeer. Artikel 22 quinquies Behoudens in die gevallen waarin bijzondere wetten voorzien in de raadpleging van een inlichtingen-, veiligheids- of politiedienst, kan een administratieve overheid, voorafgaandelijk, beslissen dat voor de toelating tot de uitoefening van een bepaald beroep, functie, opdracht of mandaat, of voor de toelating tot de toegang tot bepaalde lokalen, gebouwen of terreinen, evenals voor het bezit van een bepaalde vergunning, licentie of toelating een in artikel 22sexies bedoelde veiligheidsverificatie wordt uitgevoerd door de overheid bedoeld in artikel 15, eerste lid. Deze beslissing kan slechts genomen worden wanneer de uitoefening van een beroep, een functie, een opdracht of mandaat, of de toegang tot lokalen, gebouwen of terreinen, of van het bezit van een vergunning, een licentie of een toelating door een niet-geëigend gebruik schade kan toebrengen aan de verdediging van de onschendbaarheid van het nationaal grondgebied en van de militaire defensieplannen, de vervulling van de opdrachten van de strijdkrachten, de inwendige veiligheid van de Staat, met inbegrip van het domein van de kernenergie, en het voortbestaan van de democratische en grondwettelijke orde, de uitwendige veiligheid van de Staat en de internationale betrekkingen van België, het


67

wetenschappelijk en economisch potentieel van het land, de veiligheid van de Belgische onderdanen in het buitenland of de werking van de besluitvormingsorganen van de Staat. De beslissing van de administratieve overheid wordt met redenen omkleed en ter kennis gebracht van de overheid bedoeld in artikel 15, eerste lid, en van de betrokken personen. De kennisgeving aan de betrokken personen gebeurt ten laatste op het moment dat zij zich kandidaat stellen voor een beroep, een functie, een opdracht of mandaat, of een aanvraag indienen voor toegang tot lokalen, gebouwen of terreinen, of voor het bezit van een vergunning, een licentie of een toelating. De overheid bedoeld in artikel 15, eerste lid, maakt haar met redenen omkleed veiligheidsadvies over aan de administratieve overheid die hierom verzocht. Indien binnen de voorgeschreven termijn geen advies werd verleend, stelt de administratieve overheid de veiligheidsoverheid in gebreke om een advies te verlenen binnen de termijn die zij bepaalt. Indien bij het verstrijken van de termijn geen antwoord werd gegeven, wordt het veiligheidsadvies geacht positief te zijn. Indien het veiligheidsadvies negatief is, moet de administratieve overheid die erom verzocht heeft, dit advies, met redenen omkleed overeenkomstig artikel 22, vijfde lid, in voorkomend geval samen met haar voorstel van beslissing, aan de betrokken persoon meedelen bij een ter post aangetekende brief. § 2. De overheid bedoeld in artikel 15, eerste lid, kan later een nieuw advies uitbrengen op basis van gegevens en inlichtingen zoals bedoeld in artikel 22sexies. Zij deelt dit advies mee aan de bevoegde administratieve overheid die een nieuwe beslissing kan nemen. De betrokken persoon kan aan de bevoegde administratieve overheid op ieder moment schriftelijk te kennen geven dat hij niet langer het voorwerp wil uitmaken van een veiligheidsverificatie. De bevoegde administratieve overheid brengt dit ter kennis van de overheid bedoeld in artikel 15, eerste lid, en kan een nieuwe beslissing nemen. § 3. De nadere regels en de diverse termijnen bedoeld in de §§ 1 en 2 worden door de Koning bepaald.

• Wet van 11 december 1998 betreffende de oprichting van een beroepsorgaan inzake veiligheidsmachtigingen, veiligheidsattesten en veiligheidsadviezen, B.S., 7 mei 1999.

INTERNATIONALE WETGEVING • Artikel 3 § 2 eerste lid van de Richtlijn 95/46/EG van het Europees Parlement en de Raad

betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): De bepalingen van deze Richtlijn zijn niet van toepassing op de verwerking van persoonsgegevens (1) die met het oog op de uitoefening van niet binnen de werkingssfeer van het Gemeenschapsrecht vallende activiteiten geschiedt zoals die bedoeld in de titels V en VI van het Verdrag betreffende de Europese Unie en in ieder geval verwerkingen die betrekking hebben op de openbare veiligheid, defensie, de veiligheid van de Staat (waaronder de economie van de Staat, wanneer deze verwerkingen in verband staan met vraagstukken van Staatsveiligheid), en de activiteiten van de Staat op strafrechtelijk gebied (…).


68

• Overwegingen 13 en 16 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): (13) Overwegende dat de in de titels V en VI van het Verdrag betreffende de Europese Unie bedoelde activiteiten met betrekking tot openbare veiligheid, defensie, staatsveiligheid en de activiteiten van de Staat op strafrechtelijk gebied niet onder de toepassingssfeer van het Gemeenschapsrecht vallen, onverminderd de verplichtingen die de Lid-Staten hebben uit hoofde van de artikelen 56, lid 2, 57 en 100 A van het Verdrag; dat de voor de economie van een Staat noodzakelijke verwerking van persoonsgegevens, niet onder deze Richtlijn valt indien deze verwerking verband houdt met de Staatsveiligheid. (16) Overwegende dat verwerkingen van geluid- en beeldgegevens, zoals gegevens van videobewaking, niet binnen de werkingssfeer van deze Richtlijn vallen als deze verwerkingen plaatsvinden met het oog op de openbare veiligheid, de defensie, de veiligheid van de Staat en de activiteiten van de Staat op strafrechtelijk gebied of met het oog op de uitoefening van andere activiteiten die niet onder het Gemeenschapsrecht vallen.

• Artikel 13 § 1 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): De Lid-Staten kunnen wettelijke maatregelen treffen ter beperking van de reikwijdte van de in artikel 6, lid 1, artikel 10, artikel 11, lid 1, artikel 12 en artikel 21 bedoelde rechten en plichten indien dit noodzakelijk is ter vrijwaring van: a) de veiligheid van de Staat; b) de landsverdediging; c) de openbare veiligheid; d) het voorkomen, het onderzoeken, opsporen en vervolgen van strafbare feiten of

schendingen van de beroepscodes voor gereglementeerde beroepen; e) een belangrijk economisch en financieel belang van een Lid-Staat of van de Europese

Unie, met inbegrip van monetaire, budgettaire en fiscale aangelegenheden; f) een taak op het gebied van controle, inspectie of regelgeving, verbonden, ook al is dit

incidenteel, met de uitoefening van het openbaar gezag in de onder c), d) en e), bedoelde gevallen;

g) de bescherming van de betrokkene of van de rechten en vrijheden van anderen.

• Overwegingen 43 en 44 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): (43) Overwegende dat de Lid-Staten ook het recht van toegang en informatie alsmede bepaalde verplichtingen van de voor de verwerking verantwoordelijke mogen beperken voor zover zulks nodig is om bij voorbeeld de staatsveiligheid, de defensie, de openbare veiligheid, een zwaarwegend economisch of financieel belang van een Lid-Staat of van de Unie te vrijwaren en om strafbare feiten of schending van de beroepscode door een beoefenaar van een gereglementeerd beroep op te sporen en te vervolgen; dat wat de uitzonderingen en beperkingen betreft, de noodzakelijke taken op het gebied van controle, inspectie of regelgeving op de drie voornoemde gebieden met betrekking tot de openbare veiligheid, het economisch of financieel belang en de strafvervolging moeten worden opgesomd; dat deze opsomming van taken op die drie gebieden de rechtmatigheid van uitzonderingen en beperkingen om redenen van staatsveiligheid en defensie onverlet laten. (44) Overwegende dat de Lid-Staten door het Gemeenschapsrecht gehouden kunnen zijn om van de bepalingen van deze Richtlijn met betrekking tot het recht van toegang, de informatie van personen en de kwaliteit van de gegevens af te wijken teneinde een of meer van bovengenoemde doeleinden in acht te nemen.


69

• Recommendation No. R(89)2 of the Committee of Ministers to Member States on the

protection of personal data used for employment purposes (1989) – (punt 1.5.): This recommendation does not, to the extent necessary for the protection of state security, public safety and the suppression of criminal offences, apply to confidential information collected or held by employers for employment purposes on persons recruited for posts or who work in jobs closely related to these matters.

RECHTSPRAAK VAN HET EUROPESE HOF VAN JUSTITIE • Rechtbank van eerste aanleg van de Europese Unie (2de kamer), arrest van 12 december

2006, 2006, Organisatie van Volksmujahedeen van Iran tegen Raad van de Europese Unie, Zaak T-228/02

Dit arrest is een antwoord op het verzoek van de Organisatie van Moedjahedin van het Iraanse volk tegen het gemeenschappelijk standpunt aangenomen door de Raad van de Europese Unie krachtens hetwelk deze organisatie op de lijst staat van groepen en entiteiten die ervan verdacht worden deel uit te maken van een “terroristische beweging” en waarvan naast andere maatregelen de fondsen moeten bevroren worden. In dit verband zij erop gewezen dat het Europees Hof voor de rechten van de mens weliswaar erkent dat het gebruik van vertrouwelijke informatie noodzakelijk kan blijken te zijn wanneer de nationale veiligheid op het spel staat, maar dat dit volgens hem niet betekent dat de nationale instanties aan elke controle van de nationale rechters ontsnappen, wanneer zij stellen dat de zaak met de nationale veiligheid of het terrorisme te maken heeft (zie EHRM, arrest Chahal v Verenigd Koninkrijk, punt 135 supra, § 131, en de aldaar aangehaalde rechtspraak, en arrest Öcalan v Turkije van 12 maart 2003, nr. 46221/99, (§ 156).

RECHTSPRAAK VAN HET EUROPEES HOF VOOR DE RECHTEN VAN DE MENS • Turek t. Slovakije van 14 februari 2006, verzoek nr. 57986/00. De verzoeker klaagt erover

dat hij is geregistreerd als medewerker van het vroeger Tsjecho-Slowaaks communistisch veiligheidsbureau, over de uitgifte van een veiligheidsbevoegdheid en het feit dat zijn actie om zijn inschrijving als medewerker in vraag te stellen werd afgewezen. Hij roept de artikelen 8 (recht op eerbiediging van het gezins- en privéleven) en 6 § 1 (recht op een rechtvaardig proces) in.

• Rotaru t. Roemenië van 4 mei 2000, verzoek nr. 28341/95 (schending van de artikelen 8 en 13 van het Verdrag). Het bewaren en gebruiken van persoonsgegevens en de onmogelijkheid om de exactheid ervan te bewijzen

Het Hof herinnert eraan dat zowel het opslaan van gegevens betreffende de persoonlijke levensfeer van een individu als het gebruik ervan en het weigeren van de mogelijkheid ze te weerleggen een inbreuk zijn op zijn privacy gewaarborgd door artikel 8 §1 van het Verdrag (Arrest Leander §48, Kopp t. Zwitserland §53 en Amann t. Zwitserland §§69 en 80). 47. Omdat hier een uitzondering wordt gemaakt op een recht dat door het Verdrag wordt

gewaarborgd vereist deze paragraaf een strikte interpretatie. Hoewel het Hof erkent dat in een democratische maatschappij het bestaan van inlichtingendiensten legitiem kan zijn, herinnert zij eraan dat het geheim toezicht op burgers volgens het Verdrag slechts


70

aanvaardbaar is wanneer dit strikt noodzakelijk is voor het behoud van de democratische instellingen. (Klass. §42)

48. Opdat er geen schending zou zijn van artikel 8 moet dergelijke tussenkomst door een "wet worden bepaald", voor een doel van algemeen belang ten opzichte van paragraaf 2 en meer nog, noodzakelijk zijn om zijn doel te bereiken in een democratische samenleving (…)

52. Het Hof herinnert aan haar onveranderlijke jurisprudentie die stelt dat de woorden "bepaald door de wet" niet alleen vereist dat de gewraakte maatregel een basis moet hebben in het interne recht maar ook de kwaliteit van de wet in kwestie beogen : zo moet die toegankelijk een voorzienbaar zijn voor de rechtszoekende (Amann §50). (…)

54. Het Hof acht de vereiste van toegankelijkheid van de wet vervuld zodra de wet (…) werd gepubliceerd in het officieel journaal..(…)

55. Over de voorzienbaarheidsvereiste herinnert het Hof eraan dat een regel "voorzienbaar" is wanneer die in duidelijke taal is geschreven zodat het voor iedere persoon mogelijk is om met behulp van helder advies zijn handelwijze daaraan af te stellen. Het Hof benadrukt hoe belangrijk dit concept is bij het geheim toezicht:

(vrije vertaling) "….het zinsdeel "bepaald door de wet" beperkt zich niet tot het intern recht, maar gaat ook over de kwaliteit van de "wet"; het moet verenigbaar zijn met de preëminentie van de wet, vermeld in de preambule van het Verdrag (…). Hieruit volgt dat – en dit blijkt uit het onderwerp en het doel van artikel 8 – dat het intern recht een zekere bescherming moet bieden tegen eigenmachtige inbreuken van de overheid op de door paragraaf 1 gewaarborgde rechten (…). Welnu, het gevaar op eigenmachtig optreden stelt zich bijzonder duidelijk daar waar de uitvoerende macht in het geheim handelt (…). Aangezien door de geheime toezichtmaatregel op communicaties zowel de betrokkene als het publiek geen controle meer hebben, gaat de "wet" in tegen de preëminentie van het recht wanneer de beoordelingsbevoegdheid die aan de executieve werd toegekend onbeperkt is. Bijgevolg moet de wet – rekening houdend met het gerechtvaardigd doel dat wordt nagestreefd – de omvang en de manier waarop dergelijke bevoegdheid wordt uitgeoefend klaar en duidelijk worden omschreven zodat aan het individu een passende bescherming kan worden geboden tegen eigenmachtig optreden". 56. De kwaliteit van de juridische regels moet worden onderzocht, meer bepaald moet

worden nagegaan of het intern recht de voorwaarden waaronder de inlichtingendiensten informatie over het privéleven van de verzoeker kunnen opslaan en gebruiken, nauwkeurig genoeg heeft vastgesteld (…).

57. Welnu, er is geen enkele bepaling in het interne recht die de in acht te nemen beperkingen vaststelt bij de uitoefening van deze prerogatieven. Zo definieert de wet noch het soort informatie dat kan worden bewaard, noch de categorieën van personen die het voorwerp kunnen uitmaken van een toezichtmaatregel zoals de inzameling en bewaring van gegevens, noch de omstandigheden waaronder deze maatregelen kunnen worden genomen en ook niet de te volgen procedure. Ook legt deze wet geen beperking op inzake anciënniteit of bewaartermijn van de bijgehouden gegevens. (…) Het Hof merkt op dat dit artikel geen enkele uitdrukkelijke en gedetailleerde bepaling bevat over de personen die gemachtigd zijn om de dossiers te raadplegen, de aard van de dossiers, de te volgen procedure en het gebruik dat gemaakt kan worden van de verkregen informatie.

59. Het Hof wil er zich ook van overtuigen dat er passende en toereikende garanties tegen misbruiken bestaan omdat een geheim toezichtsysteem dat bedoeld is om de nationale veiligheid te beschermen het risico met zich meebrengt dat de democratie met de bedoeling ze te verdedigen wordt ondermijnd en zelfs vernietigd (Klass §§49-50). De geheime toezichtsystemen zijn enkel verenigbaar met artikel 8 van het Verdrag als ze


71

garanties bevatten, vastgesteld door de wet, die van toepassing zijn bij de controle op de activiteiten van de betrokken diensten. De controleprocedures moeten zo goed mogelijk de waarden van een democratische samenleving eerbiedigen, meer bepaald de preëminentie van het recht waarnaar de preambule van het Verdrag uitdrukkelijk verwijst. Dit houdt onder meer in dat een executieve die inbreuk pleegt op de rechten van het individu, onderworpen is aan een doeltreffende controle, die normaal gezien wordt verzekerd – ten minste als laatste middel – door de rechterlijke macht omdat die de beste garanties op onafhankelijkheid, onpartijdigheid en regelmatige procedure kunnen bieden (KLass, §55).

• Association for European integration and human rights and Ekimdzhiev c. Bulgarie

van 28 juni 2007 een vereniging voor de verdediging van de rechten van de mens en een natuurlijk persoon laken de wetgeving betreffende de geheime diensten van de Bulgaarse staat : (…). Het Hof onderzoekt nauwgezet de voorzienbaarheid en de verenigbaarheid van de Bulgaarse wet met de preëminentie van het recht. Het Hof verduidelijkt meer bepaald de garanties die dit soort wetgeving moet bevatten: 75. In the context of covert measures of surveillance, the law must be sufficiently clear in its

terms to give citizens an adequate indication of the conditions and circumstances in which the authorities are empowered to resort to this secret and potentially dangerous interference with the right to respect for private life and correspondence (see, among other authorities, Malone, cited above, p. 32, § 67; Valenzuela Contreras v. Spain, judgment of 30 July 1998, Reports 1998-V, p. 1925, § 46 (iii); and Khan v. the United Kingdom, no. 35394/97, § 26, ECHR 2000-V). In view of the risk of abuse intrinsic to any system of secret surveillance, such measures must be based on a law that is particularly precise. It is essential to have clear, detailed rules on the subject, especially as the technology available for use is continually becoming more sophisticated (see Kruslin, p. 23, § 33; Huvig, p. 55, § 32; Amann, § 56 in fine; and Weber and Saravia, § 93, all cited above).

76. To ensure the effective implementation of the above principles, the Court has developed the following minimum safeguards that should be set out in statute law to avoid abuses: the nature of the offences which may give rise to an interception order; a definition of the categories of people liable to have their communications monitored; a limit on the duration of such monitoring; the procedure to be followed for examining, using and storing the data obtained; the precautions to be taken when communicating the data to other parties; and the circumstances in which data obtained may or must be erased or the records destroyed (see Weber and Saravia, cited above, § 95, with further references). Vervolgens vestigt het Hof de aandacht hoofdzakelijk op het ontbreken van een onafhankelijke controle en van enige informatieverstrekking aan de betrokken persoon.

84. It thus seems that during the initial stage, when surveillance is being authorised, the SSMA, if strictly adhered to – in particular, if care is taken not to stretch the concept of “national security” beyond its natural meaning (see Christie, cited above, p. 134; and, mutatis mutandis, Al-Nashif v. Bulgaria, no. 50963/99, § 124, 20 June 2002) –, provides substantial safeguards against arbitrary or indiscriminate surveillance. However, the Court must also examine whether such safeguards exist during the later stages, when the surveillance is actually carried out or has already ended. On this point, it notes the following elements.

85. Unlike the system of secret surveillance under consideration in the case of Klass and Others (cited above, p. 31, § 70; see also Weber and Saravia, § 57), the SSMA does not provide for any review of the implementation of secret surveillance measures by a body or official that is either external to the services deploying the means of


72

surveillance or at least required to have certain qualifications ensuring his independence and adherence to the rule of law. Under the SSMA, no one outside the services actually deploying special means of surveillance verifies such matters as whether these services in fact comply with the warrants authorising the use of such means, or whether they faithfully reproduce the original data in the written record. Similarly, there exists no independent review of whether the original data is in fact destroyed within the legal ten-day time-limit if the surveillance has proved fruitless (see, as examples to the contrary, Klass and Others, p. 11, § 20; and Weber and Saravia, § 100; and Aalmoes and Others, all cited above). On the contrary, it seems that all these activities are carried out solely by officers of the Ministry of Internal Affairs (see paragraphs 18, 21 and 22 above). It is true that the Code of 1974 provided, in its Article 111b § 6, that the judge who had issued a surveillance warrant had to be informed when the use of special means of surveillance has ended. So does Article 175 § 6 of the Code of 2005. It is also true that there is an obligation under section 19 of the SSMA to inform the issuing judge when the use of special means of surveillance has been discontinued before the end of the authorised period (see paragraphs 38 and 42 above). However, the texts make no provision for acquainting the judge with the results of the surveillance and do not command him or her to review whether the requirements of the law have been complied with. Moreover, it appears that the provisions of the Codes of 1974 and 2005 are applicable only in the context of pending criminal proceedings and do not cover all situations envisaged by the SSMA, such as the use of special means of surveillance to protect national security. Voy. Également les §§ qui suivent: 86-94.

• Zie ook de beslissing van het Hof over de ontvankelijkheid in de zaak Weber en Saravia t.

Duitsland van 29 juni 2006 (bestaat alleen in het Engels). In deze zaak wordt de wetgeving betreffende de uitzonderingen op de vertrouwelijkheid van correspondentie en telecommunicaties in vraag gesteld die werd goedgekeurd in het kader van de strijd tegen het terrorisme.

specifieke uitzondering: politie § 5 De artikelen 9, 10, § 1, en 12 zijn niet van toepassing : 1° op de verwerkingen van persoonsgegevens beheerd door openbare overheden met het oog op de uitoefening van hun opdrachten van gerechtelijke politie; 2° op de verwerkingen van persoonsgegevens beheerd door de politiediensten bedoeld in artikel 3 van de wet van 18 juli 1991 tot regeling van het toezicht op politie- en inlichtingendiensten, met het oog op de uitoefening van hun opdrachten van bestuurlijke politie; 3° op de verwerkingen van persoonsgegevens beheerd, met het oog op de uitoefening van hun opdrachten van bestuurlijke politie, door andere openbare overheden die aangewezen zijn bij een in Ministerraad overlegd koninklijk besluit, na advies van de Commissie voor de bescherming van de persoonlijke levenssfeer


73

VERWIJZING NAAR ANDERE WETGEVING • Artikel 3 van de Wet van 18 juli 1991 tot regeling van het toezicht op politie- en

inlichtingendiensten en op het Coördinatieorgaan voor de dreigingsanalyse, B.S., 26 juli 1991: In deze wet wordt verstaan onder :politiediensten, naast de lokale politie en de federale politie, de diensten die ressorteren onder de overheden en instellingen van openbaar nut, waarvan de leden met de hoedanigheid van officier van gerechtelijke politie of van agent van gerechtelijke politie zijn bekleed.

INTERNATIONALE WETGEVING • Artikel 13 § 1 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad

betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): De Lid-Staten kunnen wettelijke maatregelen treffen ter beperking van de reikwijdte van de in artikel 6, lid 1 (Beginselen betreffende de kwaliteit van de gegevens), artikel 10 (Informatieverstrekking in geval van verkrijging van gegevens bij de betrokkene), artikel 11, lid 1 1 (Informatieverstrekking aan de betrokkene wanneer de gegevens niet bij de betrokkene zijn verkregen), artikel 12 (Recht van toegang) en artikel 21 (Openbaarheid van de verwerkingen) bedoelde rechten en plichten indien dit noodzakelijk is ter vrijwaring van: a) de veiligheid van de Staat; b) de landsverdediging; c) de openbare veiligheid; d) het voorkomen, het onderzoeken, opsporen en vervolgen van strafbare feiten of

schendingen van de beroepscodes voor gereglementeerde beroepen; e) een belangrijk economisch en financieel belang van een Lid-Staat of van de Europese

Unie, met inbegrip van monetaire, budgettaire en fiscale aangelegenheden; f) een taak op het gebied van controle, inspectie of regelgeving, verbonden, ook al is dit

incidenteel, met de uitoefening van het openbaar gezag in de onder c), d) en e), bedoelde gevallen;

g) de bescherming van de betrokkene of van de rechten en vrijheden van anderen.

• Overwegingen 43 en 44 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): (43) Overwegende dat de Lid-Staten ook het recht van toegang en informatie alsmede bepaalde verplichtingen van de voor de verwerking verantwoordelijke mogen beperken voor zover zulks nodig is om bij voorbeeld de staatsveiligheid, de defensie, de openbare veiligheid, een zwaarwegend economisch of financieel belang van een Lid-Staat of van de Unie te vrijwaren en om strafbare feiten of schending van de beroepscode door een beoefenaar van een gereglementeerd beroep op te sporen en te vervolgen; dat wat de uitzonderingen en beperkingen betreft, de noodzakelijke taken op het gebied van controle, inspectie of regelgeving op de drie voornoemde gebieden met betrekking tot de openbare veiligheid, het economisch of financieel belang en de strafvervolging moeten worden opgesomd; dat deze opsomming van taken op die drie gebieden de rechtmatigheid van uitzonderingen en beperkingen om redenen van staatsveiligheid en defensie onverlet laten. (44) Overwegende dat de Lid-Staten door het Gemeenschapsrecht gehouden kunnen zijn om van de bepalingen van deze Richtlijn met betrekking tot het recht van toegang, de informatie van personen en de kwaliteit van de gegevens af te wijken teneinde een of meer van bovengenoemde doeleinden in acht te nemen.


74

• Recommendation No. R(87)15 of the Committee of Ministers to Member States regulating the use of personal data in the police sector (1987) en de evaluatieverslagen van de aanbeveling (1994), (1998) et (2002).

VERSLAGEN EN STUDIES VAN DE RAAD VAN EUROPA • Raad van Europa, Report on the Impact of Data Protection Principles on Judicial Data in

Criminal Matters including in the framework of Judicial Co-operation in Criminal Matters (2002)

• Raad van Europa, Third evaluation of Recommendation N° R(87)15 regulating the use of

personal data in the police sector (2002) • Raad van Europa, Paper outlining the T-PD’s initial remarks concerning a proposal for a

council framework decision on the protecdtion of personal data processed in the framework of palice and judicial co-operation in criminal (20 maart 2007)

RECHTSPRAAK VAN HET EUROPEES HOF VOOR DE RECHTEN VAN DE MENS • Leander t. Zweden van 26 maart 1987, serie A, nr. 116 (schending van de artikelen 8, 10

en 13 van het Verdrag). Gebruikmaking van inlichtingen bewaard in een register van de geheime politie voor het onderzoek naar de geschiktheid van een persoon voor een functie die van belang is voor de nationale veiligheid.

witwassen geld 4. op de verwerkingen van persoonsgegevens die noodzakelijk zijn geworden ten gevolge van de toepassing van de wet van 11 januari 1993 tot voorkoming van het gebruik van het financiële stelsel voor het witwassen van geld; VERWIJZING NAAR ANDERE WETGEVING • Wet van 11 januari 1993 tot voorkoming van het gebruik van het financiële stelsel voor het

witwassen van geld en de financiering van terrorisme, B.S., 9 februari 2003.

comité P 5. op de verwerking van persoonsgegevens beheerd door het Vast Comité van Toezicht op de politiediensten en de Dienst Enquêtes ervan met het oog op de uitoefening van hun wettelijke opdrachten.


75

specifieke uitzondering: Centrum vermiste kinderen § 6. De artikelen 6, 8, 9, 10, § 1, en 12 zijn niet van toepassing na een machtiging door de Koning bij een in Ministerraad overlegd besluit, op de verwerkingen beheerd door het Europees Centrum voor vermiste en seksueel uitgebuite kinderen, hierna genoemd "het Centrum", instelling van openbaar nut die is opgericht bij akte van 25 juni 1997 en erkend bij koninklijk besluit van 10 juli 1997 voor de ontvangst, de overzending aan de gerechtelijke overheid en de opvolging van gegevens betreffende personen die ervan verdacht worden in een bepaald dossier van vermissing of seksuele uitbuiting, een misdaad of wanbedrijf te hebben begaan. Dit besluit bepaalt de duur en de voorwaarden van de machtiging na advies van de Commissie voor de bescherming van de persoonlijke levenssfeer. (tweede lid) Het Centrum kan geen bestand houden betreffende personen die ervan verdacht worden een misdaad of wanbedrijf te hebben begaan of van veroordeelde personen. (derde lid) De raad van beheer van het Centrum wijst onder de personeelsleden van het Centrum een aangestelde voor de gegevensverwerking aan die kennis heeft van het beheer en de bescherming van persoonsgegevens. De uitoefening van zijn taken mag voor de aangestelde geen nadelen ten gevolge hebben. Hij mag in het bijzonder, niet ontslagen of als aangestelde vervangen worden wegens de uitoefening van de taken die hem zijn toevertrouwd. De Koning bepaalt bij een in Ministerraad overlegd besluit na advies van de Commissie voor de bescherming van de persoonlijke levenssfeer de taken van de aangestelde en de wijze waarop deze worden uitgevoerd, alsmede de wijze waarop het Centrum verslag dient uit te brengen aan de Commissie voor de bescherming van de persoonlijke levenssfeer over de verwerking van persoonsgegevens in het kader van de verleende machtiging. (vierde lid) De personeelsleden en degenen die voor het Centrum persoonsgegevens verwerken, zijn tot geheimhouding verplicht. (vijfde lid) Elke schending van die geheimhoudingsplicht wordt gestraft overeenkomstig het bepaalde in artikel 458 van het Strafwetboek. (zesde lid) In het raam van zijn ondersteunende taken inzake de opsporing van de als vermist of ontvoerd opgegeven kinderen, kan het Centrum alleen telefoongesprekken opnemen wanneer de oproeper hierover geïnformeerd wordt en voor zover hij zich daartegen niet heeft verzet. VERWIJZING NAAR ANDERE WETGEVING • Akte van 25 juni 1997 en Koninklijk besluit van 10 juli 1997.

• Artikel 458 van het Strafwetboek: Geneesheren, heelkundigen, officieren van gezondheid,

apothekers, vroedvrouwen en alle andere personen die uit hoofde van hun staat of beroep


76

kennis dragen van geheimen die hun zijn toevertrouwd, en deze bekendmaken buiten het geval dat zij geroepen worden om in rechte (of voor een parlementaire onderzoekscommissie) getuigenis af te leggen en buiten het geval dat de wet hen verplicht die geheimen bekend te maken, worden gestraft met gevangenisstraf van acht dagen tot zes maanden en met geldboete van honderd frank tot vijfhonderd frank.

Artikel 3bis: territoriale toepassing

77

Artikel 3bis.

territoriale toepassing Deze wet is van toepassing op de verwerking van persoonsgegevens:

vaste vestiging op Belgisch grondgebied 1° die wordt verricht in het kader van de effectieve en daadwerkelijke activiteiten van een vaste vestiging van de verantwoordelijke voor de verwerking op het Belgisch grondgebied of op een plaats waar de Belgische wet uit hoofde van het internationaal publiekrecht van toepassing is; INTERNATIONALE WETGEVING • Artikel 4 § 1 a) van de Richtlijn 95/46/EG van het Europees Parlement en de Raad

betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): Elke Lid-Staat past zijn nationale, ter uitvoering van deze Richtlijn vastgestelde bepalingen toe op de verwerking van persoonsgegevens indien die wordt verricht in het kader van de activiteiten van een vestiging op het grondgebied van de Lid-Staat van de voor de verwerking verantwoordelijke; wanneer dezelfde verantwoordelijke een vestiging heeft op het grondgebied van verscheidene Lid-Staten, dient hij de nodige maatregelen te treffen om ervoor te zorgen dat elk van die vestigingen voldoet aan de verplichtingen die worden opgelegd door de toepasselijke nationale wetgeving.

• Artikel 4 § 1 b) van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): Elke Lid-Staat past zijn nationale, ter uitvoering van deze Richtlijn vastgestelde bepalingen toe op de verwerking van persoonsgegevens indien de voor de verwerking verantwoordelijke niet gevestigd is op het grondgebied van de Lid-Staat, maar in een plaats waar de nationale wet uit hoofde van het internationale publiekrecht van toepassing is.

• Overwegingen 18 en 19 van de Richtlijn 95/46/EG van het Europees Parlement en de

Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): (18) Overwegende dat om te voorkomen dat een persoon wordt uitgesloten van de bescherming waarop hij krachtens deze Richtlijn recht heeft, alle verwerkingen van persoonsgegevens in de Gemeenschap moeten worden uitgevoerd overeenkomstig de wetgeving van een van de Lid-Staten; dat in dit verband de verwerking die wordt uitgevoerd door een persoon namens een voor de verwerking verantwoordelijke die in een Lid-Staat is gevestigd, door het recht van die Staat dient te worden geregeld. (19) Overwegende dat de vestiging op het grondgebied van een Lid-Staat het effectief en daadwerkelijk uitoefenen


78

van activiteiten door een vaste vestiging veronderstelt; dat de rechtsvorm van een dergelijke vestiging, of het nu gaat om een bijkantoor of om een dochteronderneming met rechtspersoonlijkheid, hier niet doorslaggevend is; dat, wanneer een en dezelfde voor de verwerking verantwoordelijke gevestigd is op het grondgebied van verscheidene Lid-Staten, met name door middel van een dochteronderneming, hij dient te waarborgen, in het bijzonder om elke vorm van wetsontduiking te voorkomen, dat elk van de vestigingen voldoet aan de verplichtingen die het nationale recht aan de activiteiten stelt.

ADVIEZEN VAN DE GROEP 29 • Groep 29. Werkdocument betreffende de internationale toepassing van de

gegevensbeschermingswetgeving van de EU op de verwerking van persoonsgegevens op internet door websites van buiten de EU (30 mei 2002 – WP 56). - Vestiging: de plaats waar de verantwoordelijke voor de verwerking is gevestigd,

betekent dat daar de activiteit op een normale duurzame manier wordt uitgeoefend en moet, in overeenstemming met de jurisprudentie van het Hof van Justitie van de Europese Gemeenschappen, worden vastgesteld. Volgens het Hof houdt het begrip vestiging in dat via een vaste vestiging voor onbepaalde duur een economische activiteit daadwerkelijk wordt uitgeoefend. Aan deze eis is ook voldaan wanneer een bedrijf voor een bepaalde periode is opgericht. De plaats van vestiging van een bedrijf dat diensten via een website aanbiedt, is niet de plaats waar de website ondersteunende technologie zich bevindt, noch de plaats waarop de website toegankelijk is, maar de plek waar het bedrijf zijn activiteiten uitoefent.

RECHTSPRAAK VAN HET EUROPESE HOF VAN JUSTITIE • Europees Hof van Justitie, arrest van 30 mei 2006, het Europees Parlement tegen de Raad

van de Europese Unie en tegen de Commissie van de Europese Gemeenschappen, gevoegde zaken C-317/04 en C-318/04 (arrest PNR)

54. Volgens artikel 3, lid 2, eerste streepje, van de Richtlijn is deze niet van toepassing op

de verwerking van persoonsgegevens die met het oog op de uitoefening van niet binnen de werkingssfeer van het gemeenschapsrecht vallende activiteiten geschiedt zoals die bedoeld in de titels V en VI van het Verdrag betreffende de Europese Unie, en in ieder geval verwerkingen die betrekking hebben op de openbare veiligheid, defensie, de veiligheid van de staat en de activiteiten van de staat op strafrechtelijk gebied.

55 De beschikking geldt enkel voor PNR-gegevens die aan het CBP worden doorgegeven. Blijkens overweging 6 van deze beschikking zijn de vereisten inzake deze doorgifte gebaseerd op een wet die door de Verenigde Staten in november 2001 is goedgekeurd, en op uitvoeringsvoorschriften die door het CBP krachtens die wet zijn vastgesteld. Volgens overweging 7 van de beschikking heeft de desbetreffende wetgeving van de Verenigde Staten betrekking op een grotere veiligheid en op de voorwaarden waaronder personen het land mogen binnenkomen en verlaten. Volgens overweging 8 steunt de Gemeenschap de Verenigde Staten ten volle in de strijd tegen het terrorisme binnen de grenzen van het gemeenschapsrecht. Naar luid van overweging 15 van de beschikking zullen de PNR-gegevens uitsluitend worden gebruikt ter voorkoming en bestrijding van terrorisme en aanverwante misdrijven, andere zware misdrijven, waaronder georganiseerde misdaad, die van grensoverschrijdende aard zijn, alsook het ontvluchten van een aanhoudingsbevel of arrestatie wegens die misdrijven.


79

56 De doorgifte van de PNR-gegevens aan het CBP is derhalve een verwerking die betrekking heeft op de openbare veiligheid en de activiteiten van de staat op strafrechtelijk gebied.

57 Hoewel de PNR-gegevens aanvankelijk door luchtvaartmaatschappijen worden verzameld in het kader van een onder het gemeenschapsrecht vallende activiteit, namelijk de verkoop van een vliegticket dat recht geeft op een dienstverlening, is de in de beschikking bedoelde gegevensverwerking van geheel andere aard. Zoals in punt 55 van dit arrest reeds in herinnering is gebracht, beoogt deze beschikking namelijk niet een verwerking die noodzakelijk is voor een dienstverrichting, maar een verwerking die noodzakelijk wordt geacht voor het waarborgen van de openbare veiligheid en voor de wetshandhaving.

58 In punt 43 van het arrest Lindqvist, dat de Commissie in haar verweerschrift heeft aangevoerd, overwoog het Hof dat de in artikel 3, lid 2, eerste streepje, van de Richtlijn als voorbeeld genoemde activiteiten telkens specifieke activiteiten van de staten of de overheidsdiensten zijn en niets van doen hebben met de gebieden waarop particulieren activiteiten ontplooien. Daaruit volgt evenwel niet dat op grond van het feit dat de PNR-gegevens door particuliere marktdeelnemers voor commerciële doeleinden zijn verzameld en het deze laatste zijn die ze doorgeven naar een derde land, de doorgifte in kwestie niet binnen de werkingssfeer van deze bepaling valt. Deze doorgifte geschiedt immers binnen een door de overheid ingesteld kader dat betrekking heeft op de openbare veiligheid.

59 Uit een en ander volgt dat de beschikking betrekking heeft op een verwerking van persoonsgegevens in de zin van artikel 3, lid 2, eerste streepje, van de Richtlijn. Deze beschikking valt dus niet binnen de werkingssfeer van de Richtlijn.

geen vaste vestiging op het grondgebied EU 2° door een verantwoordelijke die geen vaste vestiging op het grondgebied van de Europese Gemeenschap heeft, indien voor de verwerking van persoonsgegevens gebruik gemaakt wordt van al dan niet geautomatiseerde middelen die zich op het Belgisch grondgebied bevinden, andere dan degene die uitsluitend aangewend worden voor de doorvoer van de persoonsgegevens over het Belgisch grondgebied. (tweede lid) In de in het vorige lid onder 2° bedoelde omstandigheden moet de verantwoordelijke voor de verwerking een op het Belgisch grondgebied gevestigde vertegenwoordiger aanwijzen, onverminderd rechtsvorderingen die tegen de verantwoordelijke zelf kunnen worden ingesteld. INTERNATIONALE WETGEVING • Artikel 4 § 1 c) van de Richtlijn 95/46/EG van het Europees Parlement en de Raad

betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): Elke Lid-Staat past zijn nationale, ter uitvoering van deze Richtlijn vastgestelde bepalingen toe op de verwerking van persoonsgegevens indien de voor de verwerking verantwoordelijke


80

persoon niet gevestigd is op het grondgebied van de Gemeenschap en voor de verwerking van persoonsgegevens gebruik maakt van al dan niet geautomatiseerde middelen die zich op het grondgebied van genoemde Lid-Staat bevinden, behalve indien deze middelen op het grondgebied van de Europese Gemeenschap slechts voor doorvoer worden gebruikt.

• Artikel 4 § 2 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad

betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): In de in lid 1, onder c) (gebruikmaking van de middelen die op het grondgebied van de Europese Unie worden aangewend zonder vestiging) bedoelde omstandigheden moet de voor de verwerking verantwoordelijke een op het grondgebied van de betrokken Lid-Staat gevestigde vertegenwoordiger aanwijzen, onverminderd rechtsvorderingen die tegen de voor de verwerking verantwoordelijke zelf kunnen worden ingesteld.

• Overweging 20 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): Overwegende dat de vestiging in een derde land van de voor de verwerking verantwoordelijke de bescherming van personen waarin de onderhavige Richtlijn voorziet, niet in de weg mag staan; dat in dit geval de verwerking moet worden geregeld door het recht van de Lid-Staat waarin de gebruikte middelen zich bevinden, en dat gewaarborgd moet worden dat de rechten en verplichtingen waarin de onderhavige Richtlijn voorziet, in de praktijk worden geëerbiedigd;

ADVIEZEN VAN DE GROEP 29 • Groep 29. Werkdocument betreffende de internationale toepassing van de

gegevensbeschermingswetgeving van de EU op de verwerking van persoonsgegevens op internet door websites van buiten de EU (30 mei 2002 – WP 56): Dit document verduidelijkt de draagwijdte van artikel 4 van de Richtlijn 95/46/EG en beschrijft hoe dit artikel moet worden geïnterpreteerd. In artikel 4 komen de gevallen ter sprake waarbij het recht op verwerkingen van persoonsgegevens toegepast moet worden. Er wordt een onderscheid gemaakt tussen enerzijds situaties waarbij de grensoverschrijdende elementen beperkt blijven tot de lidstaten van de EU of met een grondgebied buiten de geografische grenzen van de Europese Unie, maar waarbij de wetgeving van een lidstaat van toepassing is op grond van het internationaal publiek recht en anderzijds situaties waarbij bij het verwerken elementen zijn betrokken die verder gaan dan de grenzen van de Europese Unie. Wat de situaties betreft binnen de Gemeenschap is het doeleinde van de Richtlijn tweevoudig: het vermijden van juridische lacunes en de toepassing van meerdere nationale wetgevingen. Aangezien de Richtlijn zelf het vraagstuk behandelt van de toepasselijke wetgeving is het niet nodig dat een beroep wordt gedaan op andere bestaande criteria van internationaal privaatrecht. De Richtlijn gebruikt het criterium van de plaats van vestiging van de verantwoordelijke voor de verwerking of het land van herkomst. De toepassing van het beginsel van het land van herkomst is gerechtvaardigd op een interne markt waar nationale gegevensbeschermingswetten dezelfde bescherming bieden dankzij de harmonisatie van de gegevensbeschermingsrechten van personen en de verplichtingen van de verantwoordelijken voor de verwerking. De situatie is anders wanneer het gaat om verwerkingen waarbij een verantwoordelijke in een derde land is betrokken. In dit geval werd besloten terug te grijpen naar een van de klassieke verbandsfactoren, namelijk de band tussen de handeling en een rechtssysteem, hetzij het land van de plaats waar de gebruikte middelen zich bevinden. De bedoeling van deze bepaling bestaat erin dat een persoon niet zonder bescherming zou zijn indien de verwerking in zijn land plaatsvindt,


81

alleen omdat de verantwoordelijke voor de verwerking niet op het grondgebied van de Gemeenschap is gevestigd. Het is namelijk niet noodzakelijk dat de persoon een EU-burger moet zijn, of in de EU fysiek aanwezig moet zijn of er verblijven. De Richtlijn maakt geen onderscheid op basis van nationaliteit of plaats.

Verantwoordelijke voor de verwerking die gebruik maakt van hulpmiddelen: aangaande de verantwoordelijke voor de verwerking gaat het hier over het algemeen begrip vervat in de Richtlijn (2d). De definitie zegt niets over de vestigingsplaats van de verantwoordelijke voor de verwerking. Zij is alomvattend omdat alle verwerkingen aan een of meerdere verantwoordelijken voor de verwerking moeten worden toegeschreven. "Gebruik maken van middelen" voor het verwerken van persoonsgegevens veronderstelt dat de verantwoordelijke voor de verwerking een activiteit uitoefent en een specifiek doel nastreeft. Wat nu de "middelen"/"equipment" betreft geeft de Groep PC's, terminals en servers op als voorbeelden. De middelen kunnen al dan niet geautomatiseerd zijn, als ze maar niet uitsluitend voor de doorvoer of informatie via het grondgebied van de Gemeenschap worden gebruikt. Een "typisch" voorbeeld waarbij middelen alleen voor doorvoer worden gebruikt zijn de telecommunicatienetwerken (backbones, kabels, enzovoorts) die onderdeel vormen van het internet en waarover de internetcommunicaties plaatsvinden vanaf het punt van vertrek tot de bestemming. Het is dus niet noodzakelijk dat de verantwoordelijke voor de verwerking een totale controle uitoefent op de middelen. De mate waarin de middelen de verantwoordelijke ter beschikking staan kan variëren. De noodzakelijke mate van beschikbaarheid wordt bereikt wanneer de verantwoordelijke bepaalt op welke manier de middelen worden gebruikt en zodoende relevante beslissingen neemt over de inhoud van de gegevens en de methode van de verwerking. Met andere woorden, de verantwoordelijke bepaalt welke gegevens op welke wijze en voor welke doel worden verzameld, opgeslagen, doorgegeven, gewijzigd, enzovoorts. De Groep is van mening dat het begrip "gebruikmaken" twee elementen impliceert: een vorm van activiteit die door de verantwoordelijke wordt uitgeoefend en het voornemen persoonsgegevens te verwerken. Dit betekent dat niet elk “gebruik” van “middelen” in de Europese Unie tot toepassing van de Richtlijn leidt. Het vraagstuk van de beschikbaarheid mag zowel in het geval van de verantwoordelijke als van de betrokkene niet verward worden met de vraag wie de middelen bezit of er eigenaar van is. De Richtlijn hecht dan ook helemaal geen belang aan het vraagstuk van de eigendom van de middelen. Het document bespreekt ook nog enkele aspecten van de procedure en geeft meerdere praktische voorbeelden : de Cookies, JavaScripts, banners en andere gelijkaardige toepassingen.

Artikel 4: vereisten verwerking persoonsgegevens

82

HOOFDSTUK II. - Algemene voorwaarden voor de rechtmatigheid van de verwerking van persoonsgegevens. <W 1998-12-11/54, art. 6, 004; Inwerkingtreding : 01-09-2001> INTERNATIONALE WETGEVING • Overweging 25 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad

betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): Overwegende dat de beginselen van de bescherming enerzijds tot uiting moeten komen in de verplichtingen die aan de personen, overheidsinstanties, ondernemingen of andere lichamen die de verwerkingen uitvoeren, worden opgelegd, verplichtingen die met name betrekking hebben op de kwaliteit van de gegevens, de technische beveiliging, de aanmelding bij de toezichthoudende autoriteit en de omstandigheden waarin de verwerking kan worden uitgevoerd, en anderzijds in het feit dat aan personen wier gegevens het voorwerp van verwerkingen zijn, het recht wordt verleend om daarvan in kennis te worden gesteld, tot die gegevens toegang te krijgen, de rectificatie ervan te verlangen en zelfs om zich in bepaalde omstandigheden tegen verwerking te verzetten;


83

Artikel 4.

vereisten verwerking persoonsgegevens Overtreden strafbaar gesteld: zie art. 39, 1°, 40, 41 WVP § 1. Persoonsgegevens dienen:

wettigheidsbeginsel (legaliteitsbeginsel)

eerlijkheidsbeginsel 1° eerlijk en rechtmatig te worden verwerkt; EERLIJKHEIDSBEGINSEL EN WETTIGHEIDSBEGINSEL INTERNATIONALE WETGEVING • Guidelines of the United Nations for the Regulation of Computerized Personal Data Files

(1990) – (1) Principle of lawfulness and fairness: Information about persons should not be collected or processed in unfair or unlawful ways, nor should it be used for ends contrary to the purposes and principles of the Charter of the United Nations.

• Artikel 5 a) van het Verdrag nr. 108 van de Raad van Europa tot bescherming van personen ten opzichte van de geautomatiseerde verwerking van persoonsgegevens (1981): Persoonsgegevens die langs geautomatiseerde weg worden verwerkt, dienen op eerlijke en wettige wijze te worden verkregen en verwerkt.

• Artikel 6 § 1 a) van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): De Lid-Staten bepalen dat de persoonsgegevens eerlijk en rechtmatig moeten worden verwerkt.

• Overweging 28 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): Overwegende dat elke verwerking van persoonsgegevens ten opzichte van de betrokkenen eerlijk en rechtmatig dient te geschieden (…).


betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): Overwegende dat eerlijke verwerking van gegevens veronderstelt dat de betrokkenen van het bestaan van de verwerkingen op de hoogte kunnen zijn en, wanneer van hen gegevens worden verkregen, daadwerkelijk en volledig worden ingelicht over de omstandigheden waaronder deze gegevens worden verkregen.


84

• Recommendation No. R(99)5 of the Committee of Ministers to member states for the

protection of privacy on the internet (1999): Guidelines for the protection of individuals with regard to the collection and processing of personal data on information highways (1999): deze Richtlijnen beschrijven de principes van een gedragscode inzake privacybescherming die door de gebruikers en leveranciers van internetdiensten moeten worden nageleefd.

MODALITEIT: VOORKEUR VOOR VERZAMELING BIJ DE PERSOON (rechtstreekse verzameling – zie ook artikel 9 van de privacywet) INTERNATIONALE WETGEVING • Recommendation No.R(89)2 of the Committee of Ministers to Member States on the

protection of personal data used for employment purposes (1989) – (punt 4): 4.1. Personal data should in principle be obtained from the individual employee. The individual concerned should be informed when it is appropriate to consult sources outside the employment relationship. 4.3. In the course of a recruitment procedure, the data collected should be limited to such as are necessary to evaluate the suitability of prospective candidates and their career potential. In the course of such a procedure, personal data should be obtained solely from the individual concerned. Subject to provisions of domestic law, sources other than the individual may only be consulted with his consent or if he has been informed in advance of this possibility.

• Recommendation No.R(97)5 of the Committee of Ministers to Member States on the protection of medical data (1997) – (punt 4.2.): Medical data shall in principle be obtained from the data subject. They may only be obtained from other sources if in accordance with Principles 4, 6 and 7 of this recommendation and if this is necessary to achieve the purpose of the processing or if the data subject is not in a position to provide the data.

ADVIEZEN VAN DE GROEP 29 • Groep 29, Aanbeveling inzake bepaalde minimumeisen voor het online verzamelen van

persoonsgegevens in de Europese Unie, 17 mei 2001 – WP 43): Deze aanbeveling, die een vervolg is op de twee bovenvermelde documenten, heeft als doel een bijdrage te leveren aan de doeltreffende en consistente toepassing van de nationale bepalingen die in overeenstemming met de Richtlijnen aangaande bescherming van persoonsgegevens zijn goedgekeurd, en wel door concrete aanwijzingen te verstrekken over de manier waarop de regels van de Richtlijnen dienen te worden toegepast bij de meest gangbare soorten verwerkingen die via internet plaatsvinden. Er worden 3 aanbevelingen onderscheiden: - Aanbevelingen voor de te verstrekken informatie bij het verzamelen van

persoonsgegevens binnen de grenzen van de lidstaten van de Europese Unie. Welke informatie moet worden verstrekt en op welk moment en hoe moet dat gebeuren ?

- Aanbevelingen inzake andere rechten en verplichtingen. - Het verzamelen van adressen voor direct marketing via e-mail en de toezending van

nieuwsbrieven.


85

finaliteitsbeginsel

verdere verwerking

latere verwerking voor historische, statistische of wetenschappelijke doeleinden 2° voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden te worden verkregen en niet verder te worden verwerkt op een wijze die, rekening houdend met alle relevante factoren, met name met de redelijke verwachtingen van de betrokkene en met de toepasselijke wettelijke en reglementaire bepalingen, onverenigbaar is met die doeleinden. Onder de voorwaarden vastgesteld door de Koning na advies van de Commissie voor de bescherming van de persoonlijke levenssfeer, wordt verdere verwerking van de gegevens voor historische, statistische of wetenschappelijke doeleinden niet als onverenigbaar beschouwd; FINALITEITSBEGINSEL INTERNATIONALE WETGEVING • Guidelines of the United Nations for the Regulation of Computerized Personal Data Files

(1990) – (3) Principle of the purpose-specification: The purpose which a file is to serve and its utilization in terms of that purpose should be specified, legitimate and, when it is established, receive a certain amount of publicity or be brought to the attention of the person concerned, in order to make it possible subsequently to ensure that: a) All the personal data collected and recorded remain relevant and adequate to the

purposes so specified; b) None of the said personal data is used or disclosed, except with the consent of the

person concerned, for purposes incompatible with those specified; c) The period for which the personal data are kept does not exceed that which would

enable the achievement of the purposes so specified. • Artikel 5 b) van het Verdrag nr. 108 van de Raad van Europa tot bescherming van

personen ten opzichte van de geautomatiseerde verwerking van persoonsgegevens (1981) : Persoonsgegevens die langs geautomatiseerde weg worden verwerkt, dienen te worden opgeslagen voor duidelijk omschreven en gerechtvaardigde doeleinden en niet te worden gebruikt op een wijze die onverenigbaar is met die doeleinden

• Explanatory Report of the Convention n°108 – (punt 41) : The reference to "purposes" in

litterae b and c indicates that it should not be allowed to store data for undefined purposes. The way in which the legitimate purpose is specified may vary in accordance with national legislation.


protection of personal data used for employment purposes (1989) – (punt4): 4.2. Personal data collected by employers for employment purposes should be relevant and not excessive, bearing in mind the type of employment as well as the evolving information needs of the employer. 4.3. In the course of a recruitment procedure, the data collected should be limited to such as are necessary to evaluate the suitability of prospective candidates and their career potential. In the course of such a procedure, personal data should be obtained solely from the individual concerned. Subject to provisions of domestic


86

law, sources other than the individual may only be consulted with his consent or if he has been informed in advance of this possibility. 4.4. Recourse to tests, analyses and similar procedures designed to assess the character or personality of the individual should not take place without his consent or unless domestic law provides other appropriate safeguards. If he so wishes, he should be informed of the results of these tests.

• Artikel 6 § 1 b) van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): De Lid-Staten bepalen dat de persoonsgegevens voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden moeten worden verkregen en vervolgens niet worden verwerkt op een wijze die onverenigbaar is met die doeleinden. Verdere verwerking van de gegevens voor historische, statistische of wetenschappelijke doeleinden wordt niet als onverenigbaar beschouwd, mits de Lid-Staten passende garanties bieden.

• Recommendation No.R (86) 1 of the Committee of Ministers to Member States on the protection of personal data used for social security purposes (1986) – (punt 4): 4.1. Personal data obtained by a social security institution for the accomplishment of a certain task may be used for other social security purposes within its competence. 4.2. Exchange of personal data between social security institutions should be permissible to the extent necessary for the accomplishment of their tasks. 4.3. Personal data should not be communicated outside the framework of social security for other than social security purposes except with the informed consent of the person concerned or in accordance with other guarantees laid down by domestic law.

• Recommendation No. R(97)5 of the Committee of Ministers to Member States on the protection of medical data (1997): genetic data – (punten 4.7 e.v.): 4.7. Genetic data collected and processed for preventive treatment, diagnosis or treatment of the data subject or for scientific research should only be used for these purposes or to allow the data subject to take a free and informed decision on these matters. 4.8. Processing of genetic data for the purpose of a judicial procedure or a criminal investigation should be the subject of a specific law offering appropriate safeguards. The data should only be used to establish whether there is a genetic link in the framework of adducing evidence, to prevent a real danger or to suppress a specific criminal offence. In no case should they be used to determine other characteristics which may be linked genetically. 4.9. For purposes other than those provided for in Principles 4.7 and 4.8, the collection and processing of genetic data should, in principle, only be permitted for health reasons and in particular to avoid any serious prejudice to the health of the data subject or third parties. However, the collection and processing of genetic data in order to predict illness may be allowed for in cases of overriding interest and subject to appropriate safeguards defined by law.

ADVIEZEN VAN DE GROEP 29 • Groep 29, Advies 5/2000 over Het gebruik van openbare abonneelijsten voor omgekeerd

zoeken of zoeken met meervoudige criteria (Omgekeerde abonneelijsten) (13 juli 2000 – WP 33): de Groep stelt vast dat het aantal elektronische telefoonlijsten toeneemt. Een van de belangrijkste innovaties van de elektronische uitgaven is dat er gemakkelijk en goedkoop extra mogelijkheden voor de verwerking van de informatie uit de abonneelijsten kunnen worden aangeboden. Deze producten bieden onder andere de mogelijkheid om omgekeerd of met meervoudige criteria te zoeken. Aangezien de persoonsgegevens uit openbare abonneelijsten nu gebruikt worden voor omgekeerd zoeken of zoeken met


87

meervoudige criteria, is er sprake van een nieuw doeleinde en moeten de verantwoordelijken voor de gegevensverwerking de betrokkenen daarover inlichten. Daarnaast moet die verwerking voldoen aan een van de vastgestelde criteria in artikel 7 van de Richtlijn 95/46/EG. De specifieke en geïnformeerde toestemming van de abonnee is vereist vooraleer zijn gegevens aan ieder type van openbare abonneelijst worden toegevoegd, die zal dienen voor omgekeerd zoeken of zoeken met multicriteria. Ontbreekt die toestemming dan is de verwerking onwettig.

• Groep 29, Advies 3/2001 over het beschermingsniveau van de Australische wet 2000 tot

wijziging (particuliere sector) van de privacywet (26 januari 2001 – WP 40): in haar analyse uit de werkgroep haar bezorgdheid over het feit dat bepaalde sectoren en activiteiten zijn uitgesloten van de door de wet geboden bescherming, onder meer de inlichtingen over werknemers. De werkgroep wijst erop dat de inlichtingen over werknemers dikwijls gevoelige informatie bevat en dat er geen enkele reden is om ze uit te sluiten van ten minste een bescherming van die gevoelige informatie. De Groep wijst er eveneens op dat de Australische wet de mogelijkheid biedt om informatie te gebruiken of bekend te maken voor een secundair doel wanneer het gebruik of de bekendmaking bij of uit kracht van wet is vereist of toegestaan. Volgens de Groep is het aanvaardbaar te voorzien in een uitzondering wanneer organisaties met strijdige juridische verplichtingen worden geconfronteerd, maar het uitbreiden van de uitzondering tot alle opties die door sectorspecifieke wetten – bestaande en toekomstige - worden geboden, dreigt de rechtszekerheid te ondermijnen en de basisbescherming uit te hollen (…)

• Groep 29, Advies 2/2003 over de toepassing van de gegevensbeschermingsbeginselen op

de Whois directories (13 juni 2003 – WP 76): het document onderzoekt de verschillende problemen op het vlak van gegevensbescherming die gepaard gaan met de Whois directories, en meer in het bijzonder de finaliteitsproblematiek. De Groep benadrukt dat het doel van de Whois directories niet kan worden uitgebreid tot andere doelstellingen alleen maar omdat dit door sommige potentiële gebruikers van de bestanden wenselijk wordt geacht. De Groep herinnert eraan dat het feit dat persoonsgegevens openbaar beschikbaar zijn niet betekent dat de bepalingen van de gegevensbeschermingsRichtlijn niet meer op die gegevens van toepassing zijn (zie hierover de definitie van persoonsgegevens in artikel 1 §1 van de privacywet).

NATIONALE RECHTSPRAAK • Antwerpen (5de k.), 3 mei 1999, A.J.T., 1999-2000, pp. 437.

De bank die van betalingsopdrachten inzake verzekeringspremie kennis neemt, niet enkel met het oog op de goede uitvoering ervan, maar ook om haar klanten, die de opdracht tot betaling hebben gegeven, bij brief te benaderen en, uitdrukkelijk verwijzend naar de betaalopdracht, erop te wijzen dat zij zelf ook als tussenpersoon optreedt bij verzekeringen, daarbij haar diensten desbetreffende aanprijzend met een voorstel tot verdere bespreking, pleegt een inbreuk op de privacywet van 8 december 1992 en begaat een daad strijdig met de eerlijke handelsgebruiken, waarvan de staking overeenkomstig artikel 93 WHPC kan worden gevorderd. Door de inhoudelijke redenen van betalingen te detecteren en uit te spelen, dringt de bank op ongeoorloofde (want overmatige) wijze binnen in de persoonlijke levensfeer van haar klanten en schendt hierdoor de in bankzaken geldende vertrouwelijkheid. De bank schendt haar discretieplicht door expliciet en ongevraagd gebruik te maken van een opdracht in een bankiersfunctie voor en verzekeringsfunctie.


88

De bank kan zich niet beroepen op het feit dat de klanten van de bank kennis hebben van of toestemming hebben verleend op de opslag, de verwerking en het gebruik van inlichtingen, aangezien de door haar gebruikte inlichtingen, namelijk de reden van de betaalopdrachten, niet voor haar als bankier bedoeld zijn, maar voor de begunstigde van de betaling, die op deze basis de betaling kan thuisbrengen.

• Ordonnance rendue comme en référé, en application de l’article 14 de la loi du 8 décembre

1992, 13 février 2001. Il s’agit d’une demande de communication d’un avis rectificatif à l’ensemble des destinataires auxquels un annuaire a été délivré ; L’action est introduite par un médecin dont les coordonnées sont publiées dans l’annuaire - type toutes boîtes - sans que son consentement n’ait été recueilli. L’éditeur de l’annuaire invoque plusieurs arguments à l’encontre de cette demande : - contestation de la recevabilité dès lors que la publication des adresse et numéro de

téléphone n’entrerait pas dans le champ d’application de la LVP - les adresse et numéro de téléphone ont été publiées dans le tableau des médecins

publiés par l’ordre des médecins, lequel ne s’est pas opposé à cette publication commerciale ;

Attendu que tant son adresse privée que son numéro de téléphone privé ressortissent incontestablement de la « vie privée » de toute personne dont la protection est assurée aussi bien par l’article 8 § 1 de la Convention européenne des droits de l’homme que par la loi du 8 décembre 1992. Attendu que la société X déduit erronément du droit reconnu – sur le plan déontologique (…) – aux médecins de faire publier dans des annuaires commerciaux des mentions identiques à celles prévues par les annuaires de téléphones, le droit pour tout éditeur de publier ces mêmes mentions. Attendu que la société X affirme d’autre part également erronément qu’aucun reproche ne peut lui être adressé à partir du moment où les informations litigieuses ont été publiées par l’ordre de médecins ; Qu’il n’y a pas lieu de confondre l’objet du « Tableau 2000 des médecins inscrits » dont la diffusion est essentiellement destinée aux médecins et un annuaire distribué comme « toutes boîtes » ; Que d’autre part, ce n’est pas parce que des informations concernant la vie privée d’un individu sont disponibles qu’elles peuvent être généralement diffusées et ce, en violation même de ses droits ; Le tribunal se réfère ensuite à la Recommandation 01/1999 du 23 juin 1999 [ Recommandation 01/1999 du 23 juin 1999: utilisation des données contenues dans les annuaires téléphoniques] qui indique quels sont les principes que doit respecter tout opérateur de télécommunication ou autre acteur économique qui met à disposition du public le contenu des annuaires et permet la consultation des coordonnées de particuliers. Le tribunal en conclut que la société X a fautivement utilisé les adresse et numéro de téléphone privés de Monsieur X en les mentionnant dans l’annuaire litigieux ;

• Hof van Beroep te Brussel, 15 février 2005 15. De verkrijging en verwerking van persoonsgegevens dient te beantwoorden aan de

kwalitatieve vereisten voorgeschreven door artikel 4 van de wet op de bescherming van de persoonlijke levensfeer en aan de vereiste van toelaatbaarheid opgelegd door artikel 5 van deze wet.(…)

Om te oordelen of een verwerking al dan niet verenigbaar is met de doeleinden die bij de verkrijging van de gegevens werden vastgesteld, moet rekening worden gehouden met alle relevante factoren, met name met de redelijke verwachtingen van de betrokkene en met de toepasselijke wettelijke en reglementaire bepalingen. Derhalve moet worden nagegaan of


89

de betrokkene redelijkerwijze mocht verwachten dat zijn gegevens zouden worden aangewend voor een ander dan het oorspronkelijk aangekondigde doeleinde. Clienten van een bank kunnen er zich redelijkerwijze aan verwachten dat hun gegevens worden aangewend voor bankactiviteiten- en diensten in ruime zin ten aanzien van hun persoon. Daarentegen kan niet worden aangenomen dat een client er zich ook redelijkerwijze aan mag verwachten dat zijn gegevens zouden worden gebruikt ter controle van derden, met name de agenten of makelaars, en zouden worden aangewend in procedures tegen derden. Het type van controle dat door appelante werd uitgevoerd beantwoordt niet aan het legitieme verwachtingspatroon van de clienten. Bepalingen van de artikelen 4 en 5 van de wet op de bescherming van de persoonlijke levensfeer cumulatief moeten worden vervuld om van een rechtmatige verwerking van persoonsgegevens te kunnen spreken, volstaat de vaststelling van een inbreuk op een van de bepalingen om te besluiten tot het inbreukmakende karakter van de verwerking. Zelfs indien de verwerking van persoonsgegevens op zich zou toegelaten zijn op grond van een van de gevallen opgesomd in artikel 5 van de wet, dan nog moet de verwerking uitgevoerd worden op de wijze opgelegd door artikel 4 van de wet.

• Voorzitter van de Rechtbank van Koophandel te Antwerpen, 7 juillet 1994. De onwettige registratie en verwerking door de bank, van persoonsgegevens afkomstig uit betaalorders, is een schending van de privacywet die de verzekeraars kunnen schaden. Het gebruik van informatie die op die manier verzameld werd, is onwettig. Feiten: Verweerster benadert haar cliënten met gebruikmaking van de informatie, haar ter kennis gebracht ingevolge de haar toevertrouwde betalingsopdrachten (betaling verzekeringengspremies), om aldus het cliënteel erop te wijzen dat deze diensten (verzekeringen) ook door haarzelf worden verstrekt. Overwegende dat eiseres schending voorhouden 1° van de Wet op de Privacy (art. 2 en 5) en 2° van de algemene zorgvuldigheidsnorm en de eigen gedragscode, en aldus cf. art. 93 inbreuk op de W.H.P. aanklagen. Overwegende dat spijts de beweringen van appellante in andere zin zij niet aantoont op algemene wijze aan haar klanten en in het bijzonder aan de klanten in kwestie kennis te hebben gegeven, laat staan hun toelating te hebben bekomen, inlichtingen uit de inhoud van betalingsopdracht als dusdanig waarvoor zij zich tot appellante als bankier hebben gewend; dat nergens uit blijkt dat appellante aan haar klanten heeft gemeld dat zij informatie zou opslaan en gebruiken omtrent de inhoudelijke redenen waarom de betalingen werden uitgevoerd; dat indient op de betalingsopdracht de reden van beding is vermeld (in casu de betaling van een verzekeringspremie) dit enkel gebeurt met de bedoeling dat de bankier deze vermelding zou doorgeven opdat de bestemmeling de betaling zou kunnen thuis brengen; dat het met andere woorden gaat om informatie die niet voor de bankier maar voor de begunstigde van de betaling bestemd is; dat indien de klanten van appellante kennis hebben van of zelfs toestemming hebben verleend tot opslag, verwerking en gebruik van inlichtingen, dit uiteraard slechts kan betrekking hebben op de inlichtingen, die voor appellante als bankier bedoeld zijn; dat hiertoe de redenen van betaling niet behoren; dat in strijd met artikel 5 van de wet van 8 dec. 1992 de verwerking van de persoonsgegevens en het gebruik ervan te dezen op overmatige manier gebeurde; dat gelet op de belangrijkheid van de verzekeringsbedrijvigheid en de probabiliteit dat de doorsneehouder van een bankrekening ook verzekeringsnemer is, appellante niet de opdracht tot betaling van een verzekeringspremie hoefde al te wachten om de aanbieding van haar eigen diensten ter zake te promoten; dat door expliciet naar de betalingsopdracht te verwijzen, appellante de in het kader van haar bankiersbedrijvigheid die geacht wordt te


90

gelden in bankzaken ook ten dele geldt tussen bankier en klant; dat uit de wijze waarop hij benaderd werd de rekeninghouder slechts kan afleiden dat de bank zich ongevraagd bezig houdt met de inhoud van de gegeven betalingsopdrachten en niet schijnt te aarzelen om van de bekomen informatie gebruik te maken; dat door de inhoudelijke redenen van betalingen te detecteren en uit te spelen appellante op ongeoorloofde wijze binnendringt in de persoonsgegevens van haar klanten; Overwegende dat hieraan geen afbreuk wordt gedaan door de vaststelling dat de bankiersfunctie van appellante niet los kan gezien worden van haar andere diensten in het kader van een breed aanbod van financiële diensten. Dat indien wellicht onvermijdelijk is dat de bankier door de betalingsopdrachten kennis verwerft die nuttig is voor zijn andere commerciële activiteiten, hij ongetwijfeld een discretieplicht in acht moet nemen; dat appellante deze discretieplicht geschonden heeft door expliciet en ongevraagd van een opdracht in een bankiersfunctie gebruik te maken voor een verzekeringsfunctie; dat trouwens moet worden opgemerkt, zeker gelet op de sindsdien ontstane marktsituatie met algemene verstrengeling van bank-en verzekeringssector, dat dezelfde motieven ook gelden voor de begunstigde van de betaling; Overwegende dat de eerste rechter derhalve heeft geoordeeld dat appellante een inbreuk pleegde op de bepaling van de Wet van 8 dec. 1992 en deze inbreuk meteen ook een daad strijdig met de eerlijke handelspraktijken oplevert waarvan de staking overeenkomstig art. 93 WHPC bevolen werd.

(VERDERE) VERWERKING VOOR ONDERZOEKS- EN STATISTICHE DOELEINDEN KONINKLIJK BESLUIT VAN 13 FEBRUARI 2001 Artikels 2 tot 24 (Hoofdstuk II) van het Koninklijk besluit van 13 februari 2001 ter uitvoering van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (2001) Algemene principes • Artikel 2: De latere verwerking van persoonsgegevens voor historische, statistische of

wetenschappelijke doeleinden wordt geacht in overeenstemming te zijn met artikel 4, § 1, 2°, tweede zin, van de wet wanneer zij wordt verricht onder de voorwaarden gesteld in dit hoofdstuk.

De bewaring van persoonsgegevens voor historische, statistische of wetenschappelijke doeleinden, die is bedoeld in artikel 4, § 1, 5°, tweede zin, van de wet, is toegestaan onder de voorwaarden gesteld in dit hoofdstuk.

• Artikel 3: De latere verwerking van persoonsgegevens voor historische, statistische of

wetenschappelijke doeleinden vindt plaats aan de hand van anonieme gegevens.

• Artikel 4: Indien een latere verwerking van anonieme gegevens niet de mogelijkheid biedt de historische, statistische of wetenschappelijke doeleinden te verwezenlijken, mag de verantwoordelijke voor de latere verwerking voor historische, statistische of wetenschappelijke doeleinden overeenkomstig de bepalingen van afdeling 2 van dit hoofdstuk gecodeerde persoonsgegevens verwerken.


91

In dat geval vermeldt hij in de aangifte betreffende de verwerking die hij overeenkomstig artikel 17 van de wet doet, waarom de latere verwerking van anonieme gegevens niet de mogelijkheid biedt de historische, statistische of wetenschappelijke doeleinden te verwezenlijken.

• Artikel 5: Indien een latere verwerking van gecodeerde gegevens niet de mogelijkheid biedt de historische, statistische of wetenschappelijke doeleinden te verwezenlijken, mag de verantwoordelijke voor de latere verwerking overeenkomstig afdeling 3 van dit hoofdstuk nietgecodeerde persoonsgegevens verwerken. In dat geval vermeldt hij in de aangifte betreffende de verwerking die hij overeenkomstig artikel 17 van de wet doet, waarom de latere verwerking van gecodeerde gegevens niet de mogelijkheid biedt de historische, statistische of wetenschappelijke doeleinden te verwezenlijken.

• Artikel 6: De verantwoordelijke voor de latere verwerking van persoonsgegevens voor historische, statistische of wetenschappelijke doeleinden mag geen handelingen verrichten die zijn gericht op de omzetting van anonieme gegevens in persoonsgegevens of van gecodeerde persoonsgegevens in niet-gecodeerde persoonsgegevens.

Verwerking van gecodeerde persoonsgegevens • Artikel 7: Persoonsgegevens worden gecodeerd alvorens later op enigerlei wijze voor

historische, statistische of wetenschappelijke doeleinden te worden verwerkt.

• Artikel 8: Ingeval de verantwoordelijke voor de verwerking van persoonsgegevens verzameld voor bepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden die persoonsgegevens later verwerkt voor historische, statistische of wetenschappelijke doeleinden of die verwerking toevertrouwt aan een verwerker, worden die persoonsgegevens voorafgaand aan de latere verwerking ervan gecodeerd, hetzij door de verantwoordelijke voor de verwerking, hetzij door de verwerker, hetzij door een intermediaire organisatie.

In dit laatste geval wordt de intermediaire organisatie beschouwd als een verwerker in de zin van artikel 1, § 5, van de wet.

• Artikel 9: Ingeval de verantwoordelijke voor de verwerking van persoonsgegevens verzameld voor bepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden deze persoonsgegevens aan een derde meedeelt met het oog op een latere verwerking voor historische, statistische of wetenschappelijke doeleinden, worden die persoonsgegevens voorafgaand aan die mededeling gecodeerd door de verantwoordelijke voor de verwerking of door een intermediaire organisatie. In dit laatste geval wordt de intermediaire organisatie beschouwd als een verwerker in de zin van artikel 1, § 5, van de wet.

• Artikel 10: Ingeval verscheidene verantwoordelijken voor verwerkingen van persoonsgegevens verzameld voor bepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden aan dezelfde derde(n) persoonsgegevens meedelen met het oog op de latere verwerking ervan voor historische, statistische of wetenschappelijke doeleinden, worden die persoonsgegevens voorafgaand aan die mededeling gecodeerd door een intermediaire organisatie.


92

In dit geval wordt de intermediaire organisatie beschouwd als een verantwoordelijke voor de verwerking in de zin van artikel 1, § 4, van de wet.

• Artikel 11: De intermediaire organisatie is onafhankelijk van de verantwoordelijke voor de latere verwerking van de persoonsgegevens voor historische, statistische of wetenschappelijke doeleinden.

• Artikel 12: De verantwoordelijke voor de verwerking van persoonsgegevens verzameld

voor bepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden en de intermediaire organisatie die gegevens coderen met het oog op de latere verwerking ervan voor historische, statistische of wetenschappelijke doeleinden, nemen de gepaste technische en organisatorische maatregelen om te beletten dat gecodeerde gegevens in niet-gecodeerde worden omgezet.


voor bepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden en de intermediaire organisatie kunnen gecodeerde gegevens slechts meedelen met het oog op de latere verwerking ervan voor historische, statistische of wetenschappelijke doeleinden tegen overlegging door de verantwoordelijke voor de latere verwerking van het ontvangbewijs van een volledige aangifte uitgereikt door de Commissie overeenkomstig artikel 17, § 2,van de wet.


voor bepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden of de intermediaire organisatie moeten voorafgaand aan de codering van de gegevens bedoeld in de artikelen 6 tot 8 van de wet aan de betrokken persoon volgende gegevens meedelen : - de identiteit van de verantwoordelijke voor de verwerking, - de verwerkte categorieën van persoonsgegevens, - de herkomst van de gegevens, - een precieze omschrijving van de historische, statistische of wetenschappelijke

doeleinden van de verwerking, - de personen of de categorieën van personen voor wie de persoonsgegevens bestemd

zijn, het bestaan van een recht op raadpleging van zijn eigen persoonsgegevens, alsook van een recht op verbetering ervan, het bestaan van een recht van verzet in hoofde van de betrokken persoon.

• Artikel 15: De verantwoordelijke voor de verwerking van persoonsgegevens verzameld voor bepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden en de intermediaire organisatie moeten de verplichting opgelegd in artikel 14 van dit besluit niet nakomen indien deze verplichting onmogelijk blijkt of onevenredig veel moeite kost en zij zich hebben gedragen naar de procedure bepaald in artikel 16 van dit besluit. De verantwoordelijke voor de verwerking van persoonsgegevens verzameld voor bepaalde, uitdrukkelijk omschreven doeleinden en de intermediaire organisatie moeten de verplichting opgelegd in artikel 14 van dit besluit niet nakomen indien de intermediaire organisatie een administratieve overheid is die door of krachtens de wet de uitdrukkelijke opdracht heeft om persoonsgegevens samen te brengen en te coderen, en hierbij onderworpen is aan door of krachtens de wet vastgelegde specifieke maatregelen die de bescherming van de persoonlijke levenssfeer tot doel hebben.


voor bepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden of de


93

intermediaire organisatie die de gegevens bedoeld in de artikelen 6 tot 8 van de wet wenst te coderen zonder voorafgaande kennisgeving aan de betrokken persoon, vult de aangifte die hij krachtens artikel 17 van de wet moet verrichten aan met de volgende gegevens : 1 de precieze omschrijving van de historische, statistische of wetenschappelijke

doeleinden van de verwerking, 2 de redenen ter verantwoording van de verwerking van persoonsgegevens bedoeld in

de artikelen 6 tot 8 van de wet, 3 de redenen waarom aan de betrokken persoon de gegevens vermeld in artikel 14 niet

kunnen worden meegedeeld of de onevenredigheid van de moeite nodig om zulks te doen,

4 de categorieën van personen van wie persoonsgegevens bedoeld in de artikelen 6 tot 8 van de wet worden verwerkt,

5 de personen of de categorieën van personen die de persoonsgegevens kunnen raadplegen;

6 de herkomst van de gegevens. De Commissie deelt binnen een termijn van vijfenveertig werkdagen te rekenen van de ontvangst van de aangifte aan de verantwoordelijke voor de verwerking of aan de intermediaire organisatie een aanbeveling mee, eventueel vergezeld van bijkomende voorwaarden die bij de latere verwerking van de gecodeerde persoonsgegevens bedoeld in de artikelen 6 tot 8 van de wet voor historische, statistische of wetenschappelijke doeleinden in acht moeten worden genomen. De termijn bepaald in het tweede lid kan eenmaal met vijfenveertig werkdagen worden verlengd. De Commissie deelt voor afloop van de eerste termijn aan de verantwoordelijke voor de verwerking mee dat zij deze verlengt. Indien de Commissie na afloop van de in dit artikel bedoelde termijnen geen aanbeveling heeft meegedeeld, wordt het verzoek geacht te zijn aanvaard. De Commissie maakt de aanbeveling bekend in het register bedoeld in artikel 18 van de wet.

• Artikel 17: De verantwoordelijke voor de verwerking moet elke wijziging in de gegevens die hij aan de Commissie heeft meegedeeld overeenkomstig artikel 16 van dit besluit, aan de Commissie melden.

Verwerking van niet-gecodeerde persoonsgegevens • Artikel 18: Alvorens niet-gecodeerde persoonsgegevens later voor historische, statistische

of wetenschappelijke doeleinden te verwerken, verstrekt de verantwoordelijke voor de latere verwerking aan de betrokken persoon volgende gegevens : 1 de identiteit van de verantwoordelijke voor de verwerking, 2 de verwerkte categorieën van persoonsgegevens, 3 de herkomst van de gegevens, 4 een precieze omschrijving van de historische, statistische of wetenschappelijke

doeleinden van de verwerking, 5 de personen of categorieën van personen voor wie de persoonsgegevens bestemd

zijn, 6 het bestaan van een recht op raadpleging van zijn eigen persoonsgegevens, alsook

van een recht op verbetering ervan,


94

7 het bestaan van de verplichting om aan de betrokken persoon voorafgaandelijk toestemming te vragen voor de verwerking van niet-gecodeerde persoonsgegevens voor historische, statistische of wetenschappelijke doeleinden.

• Artikel 19: De betrokken persoon moet uitdrukkelijk zijn toestemming geven voor de

verwerking van hem betreffende niet-gecodeerde persoonsgegevens voor historische, statistische of wetenschappelijke doeleinden vooraleer zij wordt aangevat.

• Artikel 20: De verantwoordelijke voor de latere verwerking van niet-gecodeerde

persoonsgegevens voor historische, statistische of wetenschappelijke doeleinden moet de verplichtingen opgelegd in de artikelen 18 en 19 van dit besluit niet nakomen : 1 indien de latere verwerking voor historische, statistische of wetenschappelijke

doeleinden beperkt blijft tot niet-gecodeerde persoonsgegevens die kennelijk door betrokkene zelf publiek zijn gemaakt of die in nauw verband staan met het publiek karakter van betrokkene of van de feiten waarbij deze laatste betrokken is of is geweest of

2 indien de nakoming van deze verplichtingen onmogelijk blijkt of onevenredig veel moeite kost en hij zich heeft gedragen naar de procedure bepaald in artikel 21 van dit besluit.

• Artikel 21: De verantwoordelijke voor de latere verwerking van niet-gecodeerde

persoonsgegevens voor historische, statistische of wetenschappelijke doeleinden die de gegevens wenst te verwerken zonder voorafgaande kennisgeving aan en toestemming van de betrokken persoon, vult daartoe de aangifte vereist op grond van artikel 17 van de wet aan met de volgende gegevens : 1 de precieze omschrijving van de historische, statistische of wetenschappelijke

doeleinden van de verwerking; 2 de redenen die de verwerking van niet-gecodeerde persoonsgegevens noodzakelijk

maken; 3 de redenen waarom aan de betrokken persoon geen toestemming met kennis van

zaken kan worden gevraagd of de onevenredigheid van de inspanningen nodig om die toestemming te verkrijgen;

4 de categorieën personen over wie niet-gecodeerde persoonsgegevens worden verwerkt;

5 de personen of categorieën van personen die de niet-gecodeerde persoonsgegevens kunnen raadplegen;

6 de herkomst van de gegevens. De Commissie richt binnen een termijn van vijfenveertig werkdagen te rekenen van de ontvangst van de aangifte een aanbeveling aan de verantwoordelijke voor de latere verwerking, zulks eventueel vergezeld van bijkomende voorwaarden die bij de latere verwerking van de niet-gecodeerde persoonsgegevens voor historische, statistische of wetenschappelijke doeleinden in acht moeten worden genomen. De termijn bepaald in het tweede lid kan eenmaal met vijfenveertig werkdagen worden verlengd. De Commissie deelt voor afloop van de eerste termijn aan de verantwoordelijke voor de latere verwerking mee dat zij de eerste termijn verlengt. Indien de Commissie voor afloop van de in dit artikel bedoelde termijnen geen aanbeveling heeft meegedeeld, wordt het verzoek geacht te zijn aanvaard.


95

De Commissie maakt haar aanbeveling bekend in het register bedoeld in artikel 18 van de wet.

• Artikel 22: Elke wijziging in de gegevens die de verantwoordelijke voor de verwerking overeenkomstig artikel 21 van dit besluit aan de Commissie heeft meegedeeld, moet door deze laatste vooraf aan de Commissie worden gemeld.

Bekendmaking van de resultaten van de verwerking • Artikel 23: De resultaten van de verwerking voor historische, statistische of

wetenschappelijke doeleinden mogen niet worden bekendgemaakt in een vorm die de identificatie van de betrokken persoon mogelijk maakt tenzij : 1 deze laatste daartoe zijn toestemming heeft gegeven en de persoonlijke levenssfeer

van derden niet wordt geschonden, of 2 de bekendmaking van niet-gecodeerde persoonsgegevens beperkt blijft tot gegevens

die kennelijk door betrokkene zelf publiek zijn gemaakt of die in nauw verband staan met het publiek karakter van betrokkene of van de feiten waarbij deze laatste betrokken is of is geweest.

Uitzonderingen • Artikel 24: Hoofdstuk II van dit besluit is niet van toepassing op de diensten en overheden

bedoeld in artikel 3, § 4, van de wet die een latere verwerking voor historische, statistische of wetenschappelijke doeleinden verrichten.

INTERNATIONALE WETGEVING • Recommendation N° R (97) 18 of the Committee of Ministers to Member States concerning

the protection of personal data collected and processed for statistical purposes (1997). • Recommendation No.R (83) 10 on the protection of personal data used for scientific

research and statistics (1983) De aanbeveling nr. R (97) 18 hieronder vervangt de aanbeveling nr. R(83)10 voor wat betreft de verzameling en verwerking van persoonsgegevens voor statistische doeleinden. Het toepassingsgebied van aanbeveling R(83)10 is dus beperkt tot wetenschappelijk onderzoek.

• Recommendation N°R(97)5 of the Committee of Ministers to Member States on the

protection of medical data (1997) – (punt 12 wetenschappelijk onderzoek): 12.1. Whenever possible, medical data used for scientific research purposes should be anonymous. Professional and scientific organisations as well as public authorities should promote the development of techniques and procedures securing anonymity. 12.2. However, if such anonymisation would make a scientific research project impossible, and the project is to be carried out for legitimate purposes, it could be carried out with personal data on condition that: a. the data subject has given his/her informed consent for one or more research

purposes; or b. when the data subject is a legally incapacitated person incapable of free decision, and

domestic law does not permit the data subject to act on his/her own behalf, his/her legal representative or an authority, or any person or body provided for by law, has given his/her consent in the framework of a research project related to the medical condition or illness of the data subject; or


96

c. disclosure of data for the purpose of a defined scientific research project concerning an important public interest has been authorised by the body or bodies designated by domestic law, but only if: i. the data subject has not expressly opposed disclosure; and ii. despite reasonable efforts, it would be impracticable to contact the data subject to

seek his consent; and iii. the interests of the research project justify the authorisation; or

d. the scientific research is provided for by law and constitutes a necessary measure for public health reasons.

12.3. Subject to complementary provisions determined by domestic law, health-care professionals entitled to carry out their own medical research should be able to use the medical data which they hold as long as the data subject has been informed of this possibility and has not objected. 12.4. As regards any scientific research based on personal data, the incidental problems, including those of an ethical and scientific nature, raised by respect of the provisions of the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data should also be examined in the light of other relevant instruments. 12.5. Personal data used for scientific research may not be published in a form which enables the data subjects to be identified, unless they have given their consent for the publication and publication is permitted by domestic law.

• Artikel 6 § 1 b) van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): De Lid-Staten bepalen dat de persoonsgegevens voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden moeten worden verkregen en vervolgens niet worden verwerkt op een wijze de onverenigbaar is met die doeleinden. Verdere verwerking van de gegevens voor historische, statistische of wetenschappelijke doeleinden wordt niet als onverenigbaar beschouwd, mits de Lid-Staten passende garanties bieden;


betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): Overwegende dat de latere verwerking van persoonsgegevens voor historische, statistische of wetenschappelijke doeleinden in het algemeen niet wordt beschouwd als onverenigbaar met de doeleinden waarvoor zij eerder werden verzameld, mits de Lid-Staten passende garanties bieden; dat deze garanties met name moeten voorkomen dat de gegevens worden gebruikt voor het nemen van maatregen of besluiten die tegen een bepaalde persoon gericht zijn.

• Artikel 4 § 1 b) van de Verordening (EG) nr. 45/2001 van het Europees Parlement en de

Raad van 18 december 2000 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de communautaire instellingen en organen en betreffende het vrije verkeer van die gegevens (2000): De persoonsgegevens moeten voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verkregen en mogen vervolgens niet op een met die doeleinden onverenigbare wijze worden verwerkt. Verdere verwerking van de gegevens voor historische, statistische of wetenschappelijke doeleinden wordt niet als onverenigbaar beschouwd, mits de verantwoordelijke voor de verwerking passende garanties biedt, met name om te waarborgen dat de gegevens niet voor andere doeleinden zullen worden verwerkt en dat zij niet gebruikt zullen worden ter ondersteuning van maatregelen of besluiten betreffende een bepaalde persoon


97

proportionaliteitsbeginsel 3° toereikend, terzake dienend en niet overmatig te zijn, uitgaande van de doeleinden waarvoor zij worden verkregen of waarvoor zij verder worden verwerkt; INTERNATIONALE WETGEVING • Guidelines of the United Nations for the Regulation of Computerized Personal Data Files

(1990) – (2) Principle of accuracy: Persons responsible for the compilation of files or those responsible for keeping them have an obligation to conduct regular checks on the accuracy and relevance of the data recorded and to ensure that they are kept as complete as possible in order to avoid errors of omission and that they are kept up to date regularly or when the information contained in a file is used, as long as they are being processed.

• Artikel 5 c) van het Verdrag nr. 108 van de Raad van Europa tot bescherming van

personen ten opzichte van de geautomatiseerde verwerking van persoonsgegevens (1981) : Persoonsgegevens die langs geautomatiseerde weg worden verwerkt, dienen toereikend, ter zake dienend en niet overmatig te zijn, uitgaande van de doeleinden waarvoor zij worden opgeslagen.


protection of personal data used for employment purposes (1989) – (punt 4): 4.2. Personal data collected by employers for employment purposes should be relevant and not excessive, bearing in mind the type of employment as well as the evolving information needs of the employer. 4.3. In the course of a recruitment procedure, the data collected should be limited to such as are necessary to evaluate the suitability of prospective candidates and their career potential (…).

• Artikel 6 § 1 c) van de Richtlijn 95/46/EG van het Europees Parlement en de Raad

betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): De Lid-Staten bepalen dat de persoonsgegevens toereikend, ter zake dienend en niet bovenmatig moeten zijn, uitgaande van de doeleinden waarvoor zij worden verzameld of waarvoor zij vervolgens worden verwerkt;

• Overweging 28 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): (…) dat de verwerking met name adequate en ter zake dienende, gegevens moet betreffen die met de doeleinden stroken en dat deze doeleinden expliciet en geoorloofd moeten zijn en moeten zijn vastgesteld bij het verzamelen van de gegevens; dat de doelstellingen van latere verwerkingen niet onverenigbaar mogen zijn met de oorspronkelijk omschreven doelen;


98

ADVIEZEN VAN DE GROEP 29 • Data retention

De Groep 29 sprak zich reeds herhaaldelijk uit over de verplichting gegevens te bewaren, onder meer om cybercriminaliteit en terrorisme te bestrijden. Dit onderwerp wordt verder becommentarieerd in het 4de lid van dit artikel – dat handelt over de proportionaliteit van de bewaartermijn – waarnaar de lezer wordt verwezen.

• Biometrie

Groep 29, Werkdocument over de biometrie (1 augustus 2003 – WP 80): het document beschrijft enkele biometrische toepassingen alvorens de toepassing van de Richtlijn 95/46/EG op deze technologieën te analyseren. Betreffende het finaliteits- en proportionaliteitsbeginsel: in de eerste plaats moet het doel klaar en duidelijk worden vastgesteld waarvoor de biometrische gegevens worden verzameld en verwerkt. De werkgroep is van mening dat wat toegangscontrole betreft het gebruik van biometrische systemen gebaseerd op fysieke kenmerken die geen sporen achterlaten (bv. vorm van de hand maar niet de vingerafdrukken) of biometrische systemen die gebaseerd zijn op fysieke kenmerken die weliswaar sporen achterlaten maar die niet op een drager zijn opgeslagen die in het bezit is van een andere persoon dan de betrokkene, minder risico's opleveren voor de bescherming van de fundamentele rechten en vrijheden van personen. Verder wordt in de tekst nog besproken: het risico op hergebruik, het feit dat biometrische gegevens tot de categorie gevoelige gegevens behoren, het uniek identificatiemiddel, de gedragscodes en het gebruik van technologieën die de bescherming van de privacy verhogen.

VERSLAGEN EN STUDIES VAN DE RAAD VAN EUROPA • Raad van Europa, Progress report on the application of the principles of Convention 108 to

the collection and processing of biometric data (2005)

• Raad van Europa, The introduction and use of personal identification numbers: the data protection issues (1991).



De in gedingen gerezen vragen tussen enerzijds het Rechnungshof (de Rekenkamer) en een groot aantal organen waarover deze instantie toezicht uitoefent, en anderzijds tussen C. Neukomm en J. Lauermann en hun werkgever, de Österreichische Rundfunk (hierna: ÖRF), een publiekrechtelijke radio-omroep, betreffen de verplichting van rechtspersonen die onder toezicht van het Rechnungshof staan, deze laatste gegevens te verstrekken over salarissen en pensioenen, ingeval deze een bepaald plafond overschrijden, die zij aan hun werknemers en gepensioneerden uitbetalen, met vermelding van de naam van de begunstigden, ten behoeve van de opstelling van een jaarverslag waarvan inzage wordt verleend aan de Nationalrat, de Bundesrat alsmede de Landtagen, en dat ter beschikking wordt gesteld van het grote publiek (hierna: verslag). Met hun eerste vraag wensen de verwijzende rechterlijke instanties in wezen te vernemen of Richtlijn 95/46 aldus moet worden uitgelegd, dat zij zich verzet tegen een nationale


99

regelgeving als die aan de orde in de hoofdgedingen, welke een controleorgaan van de staat verplicht, gegevens over het inkomen van werknemers van aan zijn toezicht onderworpen organen te verzamelen en door te geven met het oog op openbaarmaking, wanneer dat inkomen een bepaald plafond overschrijdt.

74. Vastgesteld zij dat de eenvoudige opslag door de werkgever van nominatieve

gegevens betreffende de aan zijn personeel betaalde salarissen, als zodanig weliswaar geen inmenging in de persoonlijke levenssfeer vormt, maar dat de mededeling van die gegevens aan een derde, in casu een overheidsorgaan, afbreuk doet aan het recht op eerbiediging van de persoonlijke levenssfeer van de betrokkenen, ongeacht het latere gebruik van de aldus meegedeelde gegevens, en een inmenging in de zin van artikel 8 EVRM vormt.

75. Voor de vaststelling van een dergelijke inmenging is van weinig belang, of de meegedeelde gegevens al dan niet gevoelig zijn en of de betrokkenen door die inmenging enig nadeel hebben ondervonden (zie in die zin arrest Amann v. Zwitserland, reeds aangehaald, § 70). Het volstaat dat de werkgever gegevens inzake het door een werknemer of een gepensioneerde ontvangen inkomen aan een derde heeft meegedeeld.

De rechtvaardiging van de inmenging 76. Een inmenging als vermeld in punt 74 van het onderhavige arrest schendt artikel 8

EVRM, behalve indien zij bij de wet is voorzien, één of meer van de in lid 2 van deze bepaling genoemde legitieme doelstellingen nastreeft en in een democratische samenleving noodzakelijk is om dat doel of die doelstellingen te bereiken.

81. Blijkens de verwijzingsbeschikking in zaak C-465/00 heeft artikel 8 BezBegrBVG tot doel op de betrokken rechtspersonen druk uit te oefenen opdat zij de salarissen binnen redelijke perken houden. De Oostenrijkse regering merkt meer in het algemeen op dat de door die bepaling voorziene inmenging tot doel heeft te waarborgen, dat overheidsgelden spaarzaam en doeltreffend worden gebruikt. Dit streven vormt een legitieme doelstelling, zowel in de zin van artikel 8, lid 2, EVRM, dat spreekt van het economisch welzijn van het land, als van artikel 6, lid 1, sub b, van Richtlijn 95/46, dat verwijst naar welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden.

82. Thans moet nog worden nagegaan of de betrokken inmenging in een democratische samenleving noodzakelijk is om het nagestreefde legitieme doel te bereiken.

83. Volgens het Europees Hof voor de rechten van de mens houdt het bijvoeglijk naamwoord noodzakelijk in de zin van artikel 8, lid 2, EVRM in dat een dwingende maatschappelijke behoefte aan de orde is en dat de maatregel evenredig is aan het nagestreefde legitieme doel (zie met name EHRM, arrest Gillow/Verenigd Koninkrijk van 24 november 1986, série A, nr. 109, § 55). Bovendien beschikken de nationale autoriteiten over een beoordelingsruimte waarvan de omvang niet alleen afhangt van de doelstelling, maar ook van de aard van de inmenging (zie EHRM, arrest Leander/Zweden van 26 maart 1987, série A, nr. 116, § 59).

84. In die zin moet het belang van de Republiek Oostenrijk bij een optimaal gebruik van de overheidsgelden, in het bijzonder de plafonnering van salarissen tot redelijke bedragen, worden afgewogen tegen de zwaarwichtigheid van de aantasting van het recht op persoonlijke levenssfeer van de betrokken personen.

85. Om een goed gebruik van de overheidsgelden te kunnen controleren, moeten het Rechnungshof en de diverse parlementaire organen onmiskenbaar het bedrag van de personeelskosten binnen de verschillende openbare organen kennen. Daar komt bij dat in een democratische samenleving de belastingplichtigen en de publieke opinie in het algemeen het recht hebben, geïnformeerd te worden over het gebruik van overheidsinkomsten, met name op het gebied van personeelskosten. De samenbrenging van die gegevens in het verslag draagt bij tot het openbare debat over een vraagstuk van algemeen belang en dient dus het openbaar belang.


100

86. Niettemin rijst de vraag of de vermelding van de naam van de betrokken personen met het ontvangen inkomen evenredig is aan het nagestreefde legitieme doel en of de voor het Hof ter rechtvaardiging van die openbaarmaking aangevoerde gronden relevant en toereikend zijn.

87. Vastgesteld zij, dat volgens de door de verwijzende rechters voorgestane uitlegging artikel 8 BezBegrBVG voorschrijft dat de namen van de betrokken personen met het ontvangen inkomen openbaar moeten worden gemaakt ingeval dat inkomen een bepaald bedrag overschrijdt, niet alleen ten aanzien van personen die een functie uitoefenen waarvoor de salarisschaal voor het publiek toegankelijk is, maar ten aanzien van alle personen die een salaris ontvangen van een aan toezicht van het Rechnungshof onderworpen rechtspersoon. Dergelijke informatie wordt bovendien niet alleen aan het Rechnungshof en, via dit laatste, aan de verschillende parlementaire organen meegedeeld, maar ook op ruime schaal onder het publiek verspreid.

88. Het staat aan de verwijzende rechterlijke instanties om na te gaan of een dergelijke openbaarmaking noodzakelijk is en evenredig is aan de doelstelling, de salarissen binnen aanvaardbare grenzen te houden, en inzonderheid om na te gaan of deze doelstelling niet op even doeltreffende wijze had kunnen worden bereikt door enkel gegevens te verstrekken aan de toezichthoudende organen. Daarbij is het ook de vraag of het niet voldoende zou zijn het grote publiek enkel gegevens te verstrekken over de salarissen en andere geldelijke voordelen waarop personeelsleden van de betrokken overheidsorganen contractueel of statutair aanspraak kunnen maken, maar niet over bedragen die elk personeelslid tijdens het betrokken jaar daadwerkelijk heeft ontvangen en waarvan een - variabele - fractie kan afhangen van de gezins- en persoonlijke situatie.

89. Wat de zwaarwichtigheid van de aantasting van het recht op persoonlijke levenssfeer van de betrokken personen betreft, is het niet uitgesloten dat deze personen schade lijden omdat openbaarmaking van hun inkomen uit arbeid negatieve gevolgen heeft, inzonderheid voor hun vooruitzichten op een dienstbetrekking bij andere, al dan niet in Oostenrijk gevestigde ondernemingen, die niet onder toezicht van het Rechnungshof staan.

90. Geconcludeerd moet worden dat de inmenging die voortvloeit uit de toepassing van een nationale regelgeving zoals die aan de orde in de hoofdgedingen, slechts gerechtvaardigd kan zijn uit hoofde van artikel 8, lid 2, EVRM, voorzover de ruime verspreiding niet alleen van het bedrag van het jaarinkomen, ingeval dit een bepaald plafond overschrijdt, van de werknemers van rechtspersonen die onder toezicht van het Rechnungshof staan, maar tevens van de namen van de personen die dat inkomen ontvangen, zowel noodzakelijk als passend is ter bereiking van het doel, de salarissen binnen aanvaardbare grenzen te houden, hetgeen door de verwijzende rechterlijke instanties moet worden beoordeeld.

• Europees Hof van Justitie, Arrest van 20 mei 2003, Rechnungshof c. Osterreichischer


De in gedingen gerezen vragen tussen enerzijds het Rechnungshof (de Rekenkamer) en een groot aantal organen waarover deze instantie toezicht uitoefent, en anderzijds tussen C. Neukomm en J. Lauermann en hun werkgever, de Österreichische Rundfunk (hierna: ÖRF), een publiekrechtelijke radio-omroep, betreffen de verplichting van rechtspersonen die onder toezicht van het Rechnungshof staan, deze laatste gegevens te verstrekken over salarissen en pensioenen, ingeval deze een bepaald plafond overschrijden, die zij aan hun werknemers en gepensioneerden uitbetalen, met vermelding van de naam van de begunstigden, ten behoeve van de opstelling van een jaarverslag waarvan inzage wordt verleend aan de Nationalrat, de Bundesrat alsmede de Landtagen, en dat ter beschikking wordt gesteld van het grote publiek (hierna: verslag).


101

Met hun tweede vraag wensen de verwijzende rechterlijke instanties te vernemen of de bepalingen van Richtlijn 95/46 die in de weg staan van een nationale regelgeving zoals die aan de orde in de hoofdgedingen, rechtstreekse werking hebben in dier voege dat een particulier er zich voor de nationale rechterlijke instanties op kan beroepen om de toepassing van die regelgeving te verhinderen. 101 Bijgevolg moet op de tweede vraag worden geantwoord dat de artikelen 6, lid 1, sub

c, en 7, sub c en e, van Richtlijn 95/46 rechtstreekse werking hebben in dier voege, dat een particulier er zich voor de nationale rechterlijke instanties op kan beroepen om de toepassing van met deze artikelen strijdige bepalingen van nationaal recht te verhinderen.

NATIONALE RECHTSPRAAK • Cour d’arbitrage (n°16/2005), 19 janvier 2005, Revue du Droit des technologies de

l’Information (RTDI), n° 22, septembre 2005, avec note d’observations de R. MARCHETTI « L’arrêt du 19 janvier 2005 de la Cour d’arbitrage : une application du principe de proportionnalité dans le cadre de la législation sur la protection de la vie privée ». La loi du 8 décembre 1992 relative à la protection de la vie privée à l’égard des traitements de données à caractère personnel constitue la réglementation fédérale minimale que le législateur décrétal est tenu de respecter lorsqu’il adopte, dans une matière relevant de ses compétences, une norme contenant une ingérence dans la vie privée. La publication des sanctions disciplinaires prononcées à l’égard des sportifs majeurs sur un site web non sécurisé et accessible à tous constitue une atteinte au droit au respect de la vie privée instauré par l’article 22 de la Constitution et l’article 8 de la CEDH. Une telle ingérence n’est admissible que si elle est nécessaire pour atteindre un objectif légitime déterminé, ce qui suppose que celui-ci ne puisse être réalisé de manière moins dommageable et qu’il existe un rapport de proportionnalité entre les effets de la mesure et le but poursuivi. La diffusion de semblables données sur un site web non sécurisé a pour effet disproportionné que chacun peut prendre connaissance des données, qu’elle soient utilisées à d’autres fins et soient traitées plus avant, ce qui a pour conséquence qu’elles peuvent être encore diffusées après l’expiration des sanctions et la disparition de la publication dudit site web. L’objectif poursuivi – aider les fonctionnaires chargés de la surveillance et les responsables des associations sportives à assurer le respect effectif des sanctions imposées – peut être atteint d’une manière moins dommageable. « Une forme retreinte de publication électronique pour les besoins des fonctionnaires chargés de la surveillance et des responsables des associations sportives peut être jugée nécessaire pour assurer le respect effectif des sanctions imposées aux sportifs et sert un but légitime. La diffusion de données personnelles prévue par le décret, sur un site web non sécurisé, et partant, accessible à chacun va cependant au-delà de ce que cet objectif requiert. Une telle publication n’a pas seulement pour effet que chacun peut prendre connaissance de ces données, même si cela n’est d’aucune utilité, mais elle permet également que les données publiées soient utilisées à d’autres fins et soient traitées plus avant, ce qui a pour conséquence qu’elles peuvent encore être diffusées après l’expiration des sanctions et la disparition de la publication du site web (point B.6.1) ».

nauwkeurig en volledig


102

4° nauwkeurig te zijn en, zo nodig, te worden bijgewerkt; alle redelijke maatregelen dienen te worden getroffen om de gegevens die, uitgaande van de doeleinden waarvoor zij worden verkregen of waarvoor zij verder worden verwerkt, onnauwkeurig of onvolledig zijn, uit te wissen of te verbeteren; INTERNATIONALE WETGEVING • Artikel 5 d) van het Verdrag nr. 108 van de Raad van Europa tot bescherming van

personen ten opzichte van de geautomatiseerde verwerking van persoonsgegevens (1981) : Persoonsgegevens die langs geautomatiseerde weg worden verwerkt, dienen nauwkeurig te zijn en, zonodig, te worden bijgewerkt.

• Artikel 6 § 1 d) van de Richtlijn 95/46/EG van het Europees Parlement en de Raad

betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): De Lid-Staten bepalen dat de persoonsgegevens nauwkeurig dienen te zijn en, zo nodig, dienen te worden bijgewerkt; alle redelijke maatregelen dienen te worden getroffen om de gegevens die, uitgaande van de doeleinden waarvoor zij worden verzameld of waarvoor zij vervolgens worden verwerkt, onnauwkeurig of onvolledig zijn, uit te wissen of te corrigeren;

• Recommendation No. R(89)2 of the Committee of Ministers to Member States on the protection of personal data used for employment purposes (1989) – (punt 5): 5.2. The data stored should be accurate, where necessary kept up to date, and represent faithfully the situation of the employee. They should not be stored or coded in a way that would infringe an employee's rights by allowing him to be characterised or profiled without his knowledge. 5.3. Where judgmental data are stored relating to the performance or potential of individual employees, such data should be based on fair and honest evaluations and must not be insulting in the way they are formulated.

bewaartermijn 5. in een vorm die het mogelijk maakt de betrokkenen te identificeren, niet langer te worden bewaard dan voor de verwezenlijking van de doeleinden waarvoor zij worden verkregen of verder worden verwerkt, noodzakelijk is. De Koning voorziet, na advies van de Commissie voor de bescherming van de persoonlijke levenssfeer, in passende waarborgen voor persoonsgegevens die, langer dan hiervoor bepaald, voor historische, statistische of wetenschappelijke doeleinden worden bewaard. INTERNATIONALE WETGEVING • Artikel 5 e) van het Verdrag nr. 108 van de Raad van Europa tot bescherming van

personen ten opzichte van de geautomatiseerde verwerking van persoonsgegevens (1981) : Persoonsgegevens die langs geautomatiseerde weg worden verwerkt, dienen te worden bewaard in een zodanige vorm. dat de betrokkene hierdoor niet langer te identificeren is dan strikt noodzakelijk is voor het doel waarvoor de gegevens zijn opgeslagen.


103

• Explanatory Report of the Convention n°108 – (punt 42) : The requirement appearing under

littera e concerning the time-limits for the storage of data in their name-linked form does not mean that data should after some time be irrevocably separated from the name of the person to whom they relate, but only that it should not be possible to link readily the data and the identifiers.


protection of personal data used for social security purposes (1986) – (punt 9): 9.1. Personal data should not be held by a social security institution for a period longer than is justified by the accomplishment of its task or is required in the interest of the person concerned. 9.2. Storage periods should be laid down in respect of each category of benefit having regard to the particular features of that benefit, the data necessary for determining other types of benefit and the sensitivity of the personal data which it involves. 9.3. Where, however, in the interests of historical research, scientific research or statistics it is desirable to conserve personal data that are no longer used for social security purposes, the data should whenever possible be rendered anonymous. If it should prove necessary to keep the data in an identifiable form, adequate security measures should be taken within the bodies ultimately handling such data.

• Recommendation No.R(97)5 of the Committee of Ministers to Member States on the protection of medical data (1997) – (punt 10): 10.1. In general, medical data shall be kept no longer than necessary to achieve the purpose for which they were collected and processed. 10.2. When, in the legitimate interest of public health, medical science, the person in charge of the medical treatment or the controller of the file, in order to enable him/her to defend or exercise a legal claim, or for historical or statistical reasons, it proves necessary to conserve medical data that no longer serve their original purpose, technical arrangements shall be made to ensure their correct conservation and security, taking into account the privacy of the patient. 10.3. On the request of the data subject, his/her medical data should be erased - unless they have been made anonymous or there are overriding and legitimate interests, in particular those stated in Principle 10.2 not to do so, or there is an obligation to keep the data on record.

• Artikel 6 § 1 e) van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): De Lid-Staten bepalen dat de persoonsgegevens in een vorm die het mogelijk maakt de betrokkenen te identificeren, niet langer mogen worden bewaard dan voor de verwezenlijking van de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt, noodzakelijk is. De Lid-Staten voorzien in passende waarborgen voor persoonsgegevens die langer dan hierboven bepaald voor historische, statistische of wetenschappelijke doeleinden worden bewaard.

• Recommandation No. R(2002)9 of the Committee of Ministers to Member States on the protection of personal data collected and processed for insurance purposes (2002) – (punt 13) : 13.1 Where personal data are no longer necessary for the accomplishment of the purposes for which they were collected and processed by the controller, they should be deleted. This principle also applies where a decision is taken to refuse insurance coverage. If they must nevertheless be conserved for purposes of scientific research or statistics, or other purposes provided for by law, they should be conserved deparately and be


104

accessible only for these purposes subject to appropriate safeguards. 13.2 In determining the period of conservation of data, accounts should be taken in particular of the need to retain data for the period necessary for the purpose of defending legal actions or for furnishing proof of transations or for justifying a decision to refuse insurance coverage.

• Artikel 4 § 1 e) van de Verordening (EG) nr. 45/2001 van het Europees Parlement en de Raad van 18 december 2000 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de communautaire instellingen en organen en betreffende het vrije verkeer van die gegevens (2000): De persoonsgegevens mogen in een vorm die het mogelijk maakt de betrokkenen te identificeren, niet langer worden bewaard dan noodzakelijk is voor de verwezenlijking van de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt. De communautaire instellingen of organen zorgen ervoor dat persoonsgegevens die voor historische, statistische of wetenschappelijke doeleinden langer dan de bedoelde periode moeten worden bewaard, ofwel alleen zo worden bewaard, dat zij anoniem worden, ofwel, indien zulks niet mogelijk is, alleen worden bewaard op voorwaarde dat de identiteit van de betrokkenen versleuteld wordt. De gegevens mogen in geen geval gebruikt worden voor andere dan historische, statistische of wetenschappelijke doeleinden.

ADVIEZEN VAN DE GROEP 29 Data retention De Groep 29 sprak zich reeds herhaaldelijk uit over de verplichting om gegevens te bewaren, voor onder meer het bestrijden van cybercriminaliteit en terrorisme. Die verschillende adviezen zijn hieronder geïnventariseerd. • Groep 29, Aanbeveling 2/99 betreffende de bescherming van de persoonlijke levenssfeer

in het kader van de interceptie van telecommunicatieverkeer (3 mei 1999 – WP 18). • Groep 29, Aanbeveling 3/99 over de bewaring van verkeersgegevens door

Internetdienstenaanbieders voor wetshandhavingsdoeleinden (7 september 1999 – WP 25).

• Groep 29, Advies 7/2000 over het door de Europese Commissie ingediende voorstel voor een Richtlijn van het Europees Parlement en de Raad betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie (12 november 2000 – WP 36).

• Groep 29, Advies 4/2001 over het ontwerp-verdrag van de Raad van Europa inzake cybercriminaliteit (22 maart 2001 – WP 41).

• Groep 29, Advies 9/2001 over de mededeling van de Commissie “De informatiemaatschappij veiliger maken door de informatie-infrastructuur beter te beveiligen en computercriminaliteit te bestrijden” (5 november 2001 – WP 51).

• Groep 29, Advies 10/2001 betreffende de behoefte aan een evenwichtige aanpak in de strijd tegen Terrorisme (14 december 2001 – WP 53).

• Groep 29, Advies 5/2002 over de verklaring van de Europese functionarissen voor gegevensbescherming tijdens de internationale conferentie van Cardiff (9-11 september 2002) over het verplicht systematisch bewaren van telecommunicatieverkeersgegevens (11 oktober 2002 – WP 64).


105

• Groep 29, Advies 1/2003 over de opslag van verkeersgegevens ten behoeve van

facturering (29 januari 2003 – WP69)

• Groep 29, Advies 9/2004 betreffende het ontwerp van kaderbesluit over de bewaring van verwerkte en opgeslagen gegevens in verband met publiekelijk ter beschikking staande elektronische communicatiediensten of gegevens op openbare communicatienetwerken met het oog op preventie, onderzoek, opsporing en vervolging van misdaden met inbegrip van terrorisme (voorstel ingediend door Frankrijk, Ierland, Zweden en Groot-Brittannië, document van de raad 8958/04 van 28 april 2004) (9 november 2004 - WP – 99) (geen officiële Nederlandse vertaling): dit advies onderzoekt of het ontwerp van kaderbesluit conform is aan de normen van artikel 8 van het Europese Verdrag voor de rechten van de mens. Hiervoor onderzoekt de Werkgroep of de bewaring van informatie, zoals bedoeld in het ontwerp van kaderbesluit conform is aan artikel 8 om het afluisteren/onderscheppen van communicaties te kunnen rechtvaardigen. De criteria zijn een wettelijke basis, de noodzaak van de maatregel in een democratische samenleving en de conformiteit met de wettelijke doeleinden, opgesomd in het Verdrag. De Werkgroep besluit dat - binnen het juridisch kader dat in artikel 8 werd omschreven - het verplicht bewaren van elk soort gegeven bij elke gebruikmaking van telecommunicatiediensten voor doeleinden van openbare orde, onder de voorwaarden zoals voorzien in het ontwerp van kaderbesluit niet aanvaardbaar is.

• Groep 29, Advies 4/2005 over het voorstel voor een Richtlijn van het Europees Parlement en de Raad betreffende de bewaring van gegevens die zijn verwerkt in verband met het aanbieden van openbare elektronische communicatiediensten en tot wijziging van Richtlijn 2002/58/EG (COM(2005) 438 definitief van 21.9.2005) (21 oktober 2005 – WP 113). In dit advies werden meerdere bedenkingen gemaakt: bewaring van verkeersgegevens raakt aan het onschendbare, fundamentele recht op vertrouwelijke communicatie; er moet een urgente noodzaak bestaan om dat fundamentele recht in te perken; het inperken mag slechts in uitzonderlijke gevallen worden toegestaan en het dient vergezeld te gaan van de nodige garanties. Dit advies definieert 20 specifieke te overwegen garanties, met name voor wat betreft de vereisten die van toepassing zijn voor de bestemmeling en op de latere verwerking van gegevens, de noodzakelijke machtigingen en controles, de maatregelen die van toepassing zijn op de dienstverleners op het vlak van veiligheid en logische scheiding van gegevens, het vaststellen van de betrokken gegevenscategorieën alsook de actualisering ervan en de noodzaak om inhoudelijke gegevens uit te sluiten.

• Groep 29, Advies 3/2006 inzake Richtlijn 2006/24/EG van het Europees Parlement en de Raad betreffende de bewaring van gegevens die worden gegenereerd of verwerkt in verband met het aanbieden van openbare elektronische communicatiediensten of van openbare communicatienetwerken en tot wijziging van Richtlijn 2002/58/EG (25 maart 2006 – WP 119): Het besluit om communicatiegegevens te bewaren ter bestrijding van ernstige strafbare feiten vervat in de Richtlijn 2006/24/EG betreffende de bewaring van gegevens die worden gegenereerd of verwerkt in verband met het aanbieden van openbare elektronische communicatiediensten of van openbare communicatienetwerken, is zonder weerga. Het heeft gevolgen voor het dagelijks leven van alle Europese burgers en kan de fundamentele waarden en vrijheden die zij genieten en waarderen, in gevaar brengen. Het is daarom van het allergrootste belang dat de omzetting van de Richtlijn in iedere lidstaat wordt begeleid door maatregelen die de inbreuk op de persoonlijke levenssfeer beperken. Om een uniforme tenuitvoerlegging van deze tekst te bewerkstelligen is de G29 van mening dat de lidstaten ten minste de volgende garanties zouden moeten inbouwen: een precieze beschrijving van de doeleinden voor bewaring; de beperking van de te bewaren gegevens (gegevensminimalisering); de toegang tot de bewaarde gegevens beperken tot


106

slechts de wethandhavingsautoriteiten; geen datamining; een daadwerkelijke onafhankelijke controle van machtigingen voor toegang; scheiding van de systemen bedoeld voor de opslag voor doeleinden van openbare orde en systemen die gebruikt worden voor commerciële doeleinden en ten slotte het treffen van passende veiligheidsmaatregelen (zie het advies WP 119).

RECHTSPRAAK VAN HET EUROPEES HOF VOOR DE RECHTEN VAN DE MENS • Segerstedt-Wiberg en anderen t. Zweden van 6 juni 2006, verzoek nr. 62332/00. Het

bewaren van bepaalde informatie over de verzoekers en weigering om ze te informeren over deze inlichtingen

• Copland t. Verenigd Koninkrijk van 3 april 2007, verzoek nr. 62617/00. Artikel 8 van het

Verdrag – e-mails.

The applicant complained about the monitoring of her Telephone calls, e-mail correspondence and internet usage under Articles 8 and 13. Aangaande het toepassingsgebied van het begrip "persoonlijke levenssfeer", verduidelijkt het arrest dat “according to the Court’s case-law, telephone calls from business premises are prima facie covered by the notions of « private life » and « correspondence » for the purposes of Article 8§1. It follows logically that e-mails sent from work should be similarly protected under Article 8, as should information derived from the monitoring of personal internet usage” (§41). Het Hof bevestigt haar jurisprudentie die stelt “storing of personal data relating to private life of an individual also falls within the application of article 8§1” (§43). Wat de controlemaatregelen op de werkplaats betreffen, concludeert het Hof dat bij gebrek aan wettelijke basis hier artikel 8 van het Verdrag voor de rechten van de mens is geschonden : « The Court would not exclude that the monitoring of an employee’s use of a telephone, e-mail or internet at the pace of work may be considered « necessary in a democratic society » in certain situations in pursuit of a legitimate aim ».

nalevingsplicht van de verantwoordelijke voor de verwerking § 2. Op de verantwoordelijke voor de verwerking rust de plicht om voor de naleving van het bepaalde in § 1 zorg te dragen. INTERNATIONALE WETGEVING • Artikel 9 1) en 2) van het Verdrag nr. 108 van de Raad van Europa tot bescherming van

personen ten opzichte van de geautomatiseerde verwerking van persoonsgegevens (1981) : Van het in de artikelen 5 (kwaliteit van de gegevens), 6 en 8 van, dit Verdrag bepaalde kan worden afgeweken, indien de wet in een dergelijke afwijking voorziet en het hier een maatregel betreft die in een democratische samenleving noodzakelijk is ten behoeve van :

- de bescherming van de veiligheid van de Staat, de openbare veiligheid, de geldelijke belangen van de Staat of de bestrijding van strafbare feiten;

- de bescherming van de betrokkene en van de rechten en vrijheden van anderen. • Artikel 6 § 2 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad

betreffende de bescherming van natuurlijke personen in verband met de verwerking van


107

persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): Op de voor de verwerking verantwoordelijke rust de plicht om voor de naleving van het bepaalde in artikel 6 § 1 zorg te dragen (beginselen betreffende de kwaliteit van de gegevens – zie artikel 4§1 van de WVP).

VOORBEELDEN VAN DOELEINDEN (ARTIKEL 4 §1) VERZEKERING INTERNATIONALE WETGEVING • Recommandation No.R(2002)9 of the Committee of Ministers to Member States on the

protection of personal data collected and processed for insurance purposes (2002): For "insurance purposes" comprises any operation involving the collection and processing of personal data relating to cover for a risk, in particular under a policy or an insurance contract. Over het finaliteitsbeginsel: zie artikel 4.4.

ADVIES VAN DE GROEP 29 • Groep 29, (vrije vertaling ) Rapport 1/2007 over de eerste gemeenschappelijke actie voor

tenuitvoerlegging: evaluatie en volgende fases (WP 137 – 20 juni 2007). In het eerste rapport over de implementatie van de Richtlijn verzocht de Europese Commissie de Groep 29 om regelmatig de beste manier ter sprake te brengen voor het doen naleven van de Richtlijn, om sectoraal onderzoek op communautair vlak te voeren en te proberen de normen ter zake vast te leggen. Zodoende wordt een overzicht verkregen van de tenuitvoerlegging en kan advies worden gegeven aan de verschillende sectoren over hoe de eerbiediging van de Richtlijn op de minst belastende manier kan worden verbeterd. In dit rapport worden conclusies getrokken uit het eerste onderzoek over de verwerkingen van persoonsgegevens (betreffende de gezondheid) dat werd gevoerd op niveau van de Europese Unie door de particuliere verzekeringsmaatschappijen. Naast de conclusies van het onderzoek zelf, worden in het document de goedgekeurde methodologie en de strategie voor toekomstige onderzoeken voor een eerste keer geëvalueerd.

DIRECT MARKETING INTERNATIONALE WETGEVING • Recommendation No.R (85) 20 of the Committee of Ministers to Member States on the

protection of personal data used for the purposes of direct marketing (1985): The guidelines in this appendix apply to the use of personal data for direct marketing purposes when such data are undergoing automatic processing. "Direct marketing" comprises all activities which make it possible to offer goods or services or to transmit any other messages to a segment of the population by post, telephone or other direct means aimed at informing or soliciting a response from the data subject as well as any service ancillary thereto.

BETALING INTERNATIONALE WETGEVING

• Recommendation No.R(90)19 of the Committee of Ministers to member states on the

protection of personal data used for payment and other related operations (1990): The principles contained in this recommendation apply to the automated processing of personal


108

data linked to the provision of means of payment and of their use for payment or other related operations. In addition, these principles apply to all parties involved in those operations (beneficiaries, bodies providing means of payment and communications network operators).

WETENSCHAPPELIJK ONDERZOEK INTERNATIONALE WETGEVING • Recommendation No.R(83)10 on the protection of personal data used for scientific

research and statistics (1983): De aanbeveling nr. R (97) 18 hieronder vervangt de aanbeveling nr. R(83)10 voor wat betreft de verzameling en verwerking van persoonsgegevens voor statistische doeleinden. Het toepassingsgebied van aanbeveling R(83)10 is dus beperkt tot wetenschappelijk onderzoek.

STATISTIEKEN INTERNATIONALE WETGEVING • Recommendation No.R(97)18 of the Committee of Ministers to Member States concerning

the protection of personal data collected and processed for statistical purposes (1997): For "statistical purposes" refers to any operation of collection and processing of personal data necessary for statistical surveys or for the production of statistical results.

SOCIALE ZEKERHEID INTERNATIONALE WETGEVING • Recommendation No.R(86)1 of the Committee of Ministers to Member States on the

protection of personal data used for social security purposes (1986) – (punt 1.2.): the expression "social security purposes" comprises all the tasks which social security institutions perform in regard to the following categories of benefits: sickness and maternity benefits; invalidity benefits; old-age benefits; survivors' benefits; benefits in respect of occupational injuries and diseases; death grants; unemployment benefits;family benefits.

WERK INTERNATIONALE WETGEVING • Recommendation No.R(89)2 of the Committee of Ministers to Member States on the

protection of personal data used for employment purposes (1989) 1.3. The expression "employment purposes" concerns the relations between employers and employees which relate to recruitment of employees, fulfilment of the contract of employment, management, including discharge of obligations laid down by law or laid down in collective agreements, as well as planning and organisation of work. 1.4. Unless provisions of domestic law exist to the contrary, the principles of this recommendation apply, where appropriate, to the activities of employment agencies, whether in the public or private sector, which collect and use personal data so as to enable a contract of employment to be established between the persons registered with them and prospective employers.


109

ADVIEZEN VAN DE GROEP 29 De werkgroep bracht meerdere adviezen uit over de problemen inzake gegevensbescherming die zich zouden kunnen voordoen op het werk. • Groep 29, Aanbeveling 1/2001 over beoordelingsgegevens betreffende werknemers 22

maart 2001 – WP 42)

• Groep 29, Advies 8/2001 over gegevensverwerking in de werkomgeving (13 september 2001 – WP 48).

• Groep 29, Werkdocument over de controle op elektronische communicatie op het werk (29 mei 2002 – WP 55).

• Groep 29, Advies 1/2006 over de toepassing van de EU-gegevensbeschermingsregels op interne klokkenluidersregelingen in de sfeer van boekhouding, interne boekhoudcontrole, auditing en bestrijding van omkoping en van bancaire en financiële criminaliteit (1 februari 2006 – WP 117): op 1 februari 2006 bracht de Groep 29 een advies uit over de toepassing van de gegevensbeschermingsregels op interne klokkenluidersregelingen in de sfeer van boekhouding, interne boekhoudcontrole, auditing en bestrijding van omkoping en van bancaire en financiële criminaliteit. Alhoewel in het huidig stadium slechts deze domeinen worden vooropgesteld, besliste de Groep om de problematiek verder uit te diepen om te kunnen bepalen of de gegevensbeschermingsregels van de Unie verenigbaar zijn met interne klokkenluidersregelingen in andere domeinen, zoals bijvoorbeeld in de sfeer van personeelsbeleid, gezondheid en veiligheid van werknemers, of bijvoorbeeld milieu-inbreuken. De Groep wijst er onder andere op dat toepassing van de EU-gegevensbeschermingsregels op klokkenluidersregelingen impliceert dat nauwlettend wordt toegezien op de bescherming van de persoon tegen wie in een klacht beschuldigingen worden geuit. Een correcte toepassing van de regels inzake gegevensbescherming op de klokkenluidersregelingen zal er toe bijdragen dat het risico vermindert dat de betrokkene het slachtoffer wordt van stigmatisatie nog voordat de betrokkene er weet van heeft dat tegen hem/haar een klacht is ingediend en voordat de gegrondheid van de gerapporteerde feiten is onderzocht. Vervolgens analyseert de Groep de verenigbaarheid van de klokkenluidersregelingen met de gegevensbeschermingsregels met inbegrip van de toelaatbaarheid ervan. Aangaande de toepassingen van het kwaliteits- en proportionaliteitsbeginsel voor gegevens dringt de Groep aan op een beperking van het aantal personen dat vermeende onregelmatigheden mag rapporteren via een klokkenluidersregeling en een beperking van het aantal personen tegen wie een klacht kan worden ingediend via een klokkenluidersregeling. De Groep vindt geïdentificeerde, vertrouwelijke rapportering verkieslijker dan anonieme meldingen. En tenslotte benadrukt de Groep de noodzakelijke proportionaliteit en exactheid van de verzamelde en verwerkte gegevens en de naleving van strikt gelimiteerde termijnen voor de bewaring van de gegevens. Ook de rechten van de betrokken personen – melders en beschuldigden – worden besproken.

RECHTSPRAAK VAN HET EUROPEES HOF VOOR DE RECHTEN VAN DE MENS • Niemietz t. Duitsland van 16 december 1992, serie A, nr. 251-B (schending van artikel 8

van het Verdrag). Huiszoeking in het kabinet van een advocaat in het kader van strafrechtelijke vervolging tegen een derde. Over het bestaan van inmenging (§29)


110

Het Hof is van oordeel dat het niet mogelijk en niet noodzakelijk is om het begrip "persoonlijke levenssfeer" exhaustief te definiëren. Het zou echter te restrictief zijn om de persoonlijke levenssfeer te beperken tot een "intieme kring" waar ieder naar eigen goeddunken zijn eigen leven kan leiden volledig afgescheiden van de buitenwereld. Eerbieding van de persoonlijke levenssfeer omvat in zekere mate ook het recht van het individu om relaties aan te knopen met zijn medemens. Daarnaast blijkt er geen enkele principiële reden te zijn om bij deze interpretatiewijze van het begrip "persoonlijke levenssfeer" de professionele of commerciële activiteiten uit te sluiten: het is tenslotte op het werk dat de meerderheid van de mensen veel, ja zelfs het meest gelegenheid heeft om hun banden met de buitenwereld nauwer aan te halen. Een feit dat door de Commissie wordt benadrukt en bevestigd: bij iemands bezigheden kan niet altijd het onderscheid worden gemaakt tussen datgene dat tot zijn professionele bezigheden behoort en wat niet (…) Over de noodzaak van inmenging in een democratische samenleving Zeker, het strafbaar feit dat de oorzaak is van de huiszoeking kan niet zonder meer als ondergeschikt belang gecatalogeerd worden. Het huiszoekingsbevel werd echter in zeer vage bewoordingen geformuleerd: het beval zonder enige beperking de opsporing en inbeslagname van "documenten" die de identiteit onthullen van de auteur van de beledigende brief; dit punt is van bijzonder belang wanneer, zoals in Duitsland, de huiszoeking wordt verricht in het kabinet van een advocaat zonder speciale procedurele garanties, zoals de aanwezigheid van een onafhankelijke waarnemer. Meer nog: gelet op de aard van de voorwerpen die daadwerkelijk werden onderzocht, schendt het onderzoek het beroepsgeheim dermate dat ze in dit geval disproportioneel blijkt te zijn; het is raadzaam om zich hier te herinneren dat in het geval van een advocaat een dergelijke inmenging gevolgen kan hebben voor de goede werking van justitie en dus voor de rechten gewaarborgd door artikel 6 (…).

• Halford t. Verenigd Koninkrijk van 25 juni 1997, de gebundelde arresten en vonnissen, 1997-III (schending van de artikelen 8 en 13 van het Verdrag). Afluisteren van telefoongesprekken via een intern telecommunicatiesysteem van de politie en via een openbaar netwerk; ontbreken van reglementering in het nationaal recht.

• Copland t. Verenigd Koninkrijk van 3 april 2007, verzoek nr. 62617/00. Artikel 8 van het

Verdrag – e-mails.

The applicant complained about the monitoring of her Telephone calls, e-mail correspondence and internet usage under Articles 8 and 13. Over het toepassingsgebied van het begrip "persoonlijke levenssfeer", verduidelijkt het arrest dat: (…) “according to the Court’s case-law, telephone calls from business premises are prima facie covered by the notions of « private life » and « correspondence » for the purposes of Article 8§1. It follows logically that e-mails sent from work should be similarly protected under Article 8, as should information derived from the monitoring of personal internet usage” (§41). La Cour confirme sa jurisprudence selon laquelle “storing of personal data relating to private life of an individual also falls within the application of article 8§1” (§43). Aangaande de controlemaatregelen op de werkplaats stelt het Hof tot slot dat in dit geval bij gebrek aan een wettelijke basis het artikel 8 van het Verdrag van de rechten van de mens is geschonden en verduidelijkt dat: « The Court would not exclude that the monitoring of an employee’s use of a telephone, e-mail or internet at the pace of work may be considered « necessary in a democratic society » in certain situations in pursuit of a legitimate aim ».


111

CAMERABEWAKING ADVIEZEN VAN DE GROEP 29 • Groep 29, Werkdocument over de verwerking van persoonsgegevens met videobewaking

(25 november 2002 – WP 67) Videobewaking

• Groep 29, Advies 4/2004 over de verwerking van persoonsgegevens met videobewaking (11 februari 2004 – WP 89). Videobewaking. Volgend op de volksraadpleging van de Groep over haar werkdocument in 2002-2003 (zie het zevende jaarverslag van de Groep, punt 1.3.7) bracht de Groep haar officieel advies uit over de verwerking van persoonsgegevens met videobewaking. De Werkgroep herinnert eraan dat met uitzondering van de uitdrukkelijk vermelde gevallen in de Richtlijn 95/46/EG (meer bepaald de verwerkingen voor openbare veiligheid, landsverdediging en veiligheid van de Staat, of voor activiteiten op strafrechtelijk gebied of activiteiten die niet vallen onder het toepassingsgebied van het gemeenschappelijk recht, de verwerkingen die verricht worden door een natuurlijke persoon voor uitsluitend persoonlijke en huishoudelijke activiteiten, of uitsluitend voor journalistieke, literaire of artistieke verwerkingen), de verwerking van persoonsgegevens met een videobewaking binnen het toepassingsgebied valt van de Richtlijn 95/46/EG, en bijgevolg om geoorloofd te zijn, de beginselen van de Richtlijn in acht moet nemen. De Groep onderstreept eveneens dat het belangrijk is dat de lidstaten ten behoeve van de activiteiten van producenten, dienstenaanbieders en -leveranciers, en onderzoekers richtsnoeren verstrekken voor de ontwikkeling van technologieën, software en apparatuur die beantwoorden aan de beginselen die in dit document zijn opgenomen.

VERSLAGEN EN STUDIES VAN DE RAAD VAN EUROPA • Raad van Europa, Protection of personal data with regard to surveillance (2000) and

Guiding principles for the protection of individuals with regard to the collection and processing of data by means of video surveillance, by Mr. Giovanni BUTTARELLI.

• Raad van Europa, Report containing guiding principles for the protection of individuals with

regard to the collection and processing of data by means of video surveillance (2003)

Artikel 5: gronden tot verwerking

112

Artikel 5.

gronden tot verwerking Overtreden strafbaar gesteld: zie art. 39; 2°, 40 en 41 WVP Persoonsgegevens mogen slechts verwerkt worden in één van de volgende gevallen :

ondubbelzinnige toestemming a) wanneer de betrokkene daarvoor zijn ondubbelzinnige toestemming heeft verleend; INTERNATIONALE WETGEVING • Recommandation No.R(2002)9 of the Committee of Ministers to Member States on the

protection of personal data collected and processed for insurance purposes (2002) – (punt 6.1.) : However, there may be circumstances in which domestic law does not permit consent to be considered as a sufficient basis for lawfulness of collection or processing

• Artikel 7 a) van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende

de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): De Lid-Staten bepalen dat de verwerking van persoonsgegevens slechts mag geschieden indien de betrokkene daarvoor zijn ondubbelzinnige toestemming heeft verleend, of


betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): Overwegende dat de verwerking van persoonsgegevens bovendien slechts geoorloofd kan zijn, indien zij plaatsvindt met toestemming van de betrokkene (…).

ex-contractu b) wanneer de verwerking noodzakelijk is voor de uitvoering van een overeenkomst waarbij de betrokkene partij is of voor de uitvoering van maatregelen die aan het sluiten van die overeenkomst voorafgaan en die op verzoek van de betrokkene zijn genomen;


113

INTERNATIONALE WETGEVING • Artikel 7 b) van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende

de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): De Lid-Staten bepalen dat de verwerking van persoonsgegevens slechts mag geschieden indien de verwerking noodzakelijk is voor de uitvoering van een overeenkomst waarbij de betrokkene partij is of voor het nemen van precontractuele maatregelen naar aanleiding van een verzoek van de betrokkene.

• Overweging 30 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): Overwegende dat de verwerking van persoonsgegevens slechts geoorloofd kan zijn, (…) indien ze noodzakelijk is voor de sluiting of uitvoering van een overeenkomst die de betrokkene bindt.

ex-lege c) wanneer de verwerking noodzakelijk is om een verplichting na te komen waaraan de verantwoordelijke voor de verwerking is onderworpen door of krachtens een wet, een decreet of een ordonnantie; INTERNATIONALE WETGEVING • Artikel 7 c) van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende

de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): de verwerking van persoonsgegevens mag slechts geschieden indien de verwerking noodzakelijk is om een wettelijke verplichting na te komen waaraan de voor de verwerking verantwoordelijke onderworpen is.

• Overweging 30 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): Overwegende dat de verwerking van persoonsgegevens slechts geoorloofd kan zijn, (…) indien ze noodzakelijk is voor de eerbiediging van een wettelijke verplichting.


Rundfunk en anderen, Gevoegde zaken C-465/00, C-138/01 en C-139/01. Zie ook de commentaar van dit arrest onder artikel 4 c) (proportionaliteit).

De in gedingen gerezen vragen tussen enerzijds het Rechnungshof (de Rekenkamer) en een groot aantal organen waarover deze instantie toezicht uitoefent, en anderzijds tussen C. Neukomm en J. Lauermann en hun werkgever, de Österreichische Rundfunk (hierna: ÖRF), een publiekrechtelijke radio-omroep, betreffen de verplichting van rechtspersonen


114

die onder toezicht van het Rechnungshof staan, deze laatste gegevens te verstrekken over salarissen en pensioenen, ingeval deze een bepaald plafond overschrijden, die zij aan hun werknemers en gepensioneerden uitbetalen, met vermelding van de naam van de begunstigden, ten behoeve van de opstelling van een jaarverslag waarvan inzage wordt verleend aan de Nationalrat, de Bundesrat alsmede de Landtagen, en dat ter beschikking wordt gesteld van het grote publiek (hierna: verslag). Met hun tweede vraag wensen de verwijzende rechterlijke instanties te vernemen of de bepalingen van Richtlijn 95/46 die in de weg staan van een nationale regelgeving zoals die aan de orde in de hoofdgedingen, rechtstreekse werking hebben in dier voege dat een particulier er zich voor de nationale rechterlijke instanties op kan beroepen om de toepassing van die regelgeving te verhinderen. 101 Bijgevolg moet op de tweede vraag worden geantwoord dat de artikelen 6, lid 1, sub c,

en 7, sub c en e, van Richtlijn 95/46 rechtstreekse werking hebben in dier voege, dat een particulier er zich voor de nationale rechterlijke instanties op kan beroepen om de toepassing van met deze artikelen strijdige bepalingen van nationaal recht te verhinderen.

vitaal belang d) wanneer de verwerking noodzakelijk is ter vrijwaring van een vitaal belang van de betrokkene; INTERNATIONALE WETGEVING • Artikel 7 d) van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende

de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): De Lid-Staten bepalen dat de verwerking van persoonsgegevens slechts mag geschieden indien de verwerking noodzakelijk is ter vrijwaring van een vitaal belang van de betrokkene.

• Overweging 31 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): Overwegende dat de verwerking van persoonsgegevens ook als geoorloofd moet worden beschouwd wanneer zij wordt uitgevoerd ter bescherming van een belang dat voor het leven van de betrokkene essentieel is;

openbaar belang of gezag e) wanneer de verwerking noodzakelijk is voor de vervulling van een taak van openbaar belang of die deel uitmaakt van de uitoefening van het openbaar gezag, die is opgedragen aan de verantwoordelijke voor de verwerking of aan de derde aan wie de gegevens worden verstrekt;


115

INTERNATIONALE WETGEVING • Artikel 7 e) van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende

de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): de verwerking van persoonsgegevens slechts mag geschieden indien de verwerking noodzakelijk is voor de vervulling van een taak van algemeen belang of die deel uitmaakt van de uitoefening van het openbaar gezag die aan de voor de verwerking verantwoordelijke of de derde aan wie de gegevens worden verstrekt, drager is opgedragen.

• Overweging 32 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): Overwegende dat de Lid-Staten moeten vaststellen of de voor de verwerking verantwoordelijke die belast is met een taak van algemeen belang dan wel met een taak in het kader van de uitoefening van het openbaar gezag een openbaar bestuur of een andere publiekrechtelijke of privaatrechtelijke persoon, zoals een beroepsvereniging, moet zijn;


Rundfunk en anderen, Gevoegde zaken C-465/00, C-138/01 en C-139/01. Zie ook de commentaar van dit arrest onder artikel 4 c) (proportionaliteit).

De in gedingen gerezen vragen tussen enerzijds het Rechnungshof (de Rekenkamer) en een groot aantal organen waarover deze instantie toezicht uitoefent, en anderzijds tussen C. Neukomm en J. Lauermann en hun werkgever, de Österreichische Rundfunk (hierna: ÖRF), een publiekrechtelijke radio-omroep, betreffen de verplichting van rechtspersonen die onder toezicht van het Rechnungshof staan, deze laatste gegevens te verstrekken over salarissen en pensioenen, ingeval deze een bepaald plafond overschrijden, die zij aan hun werknemers en gepensioneerden uitbetalen, met vermelding van de naam van de begunstigden, ten behoeve van de opstelling van een jaarverslag waarvan inzage wordt verleend aan de Nationalrat, de Bundesrat alsmede de Landtagen, en dat ter beschikking wordt gesteld van het grote publiek (hierna: verslag). Met hun tweede vraag wensen de verwijzende rechterlijke instanties te vernemen of de bepalingen van Richtlijn 95/46 die in de weg staan van een nationale regelgeving zoals die aan de orde in de hoofdgedingen, rechtstreekse werking hebben in dier voege dat een particulier er zich voor de nationale rechterlijke instanties op kan beroepen om de toepassing van die regelgeving te verhinderen. 101 Bijgevolg moet op de tweede vraag worden geantwoord dat de artikelen 6, lid 1, sub c,

en 7, sub c en e, van Richtlijn 95/46 rechtstreekse werking hebben in dier voege, dat een particulier er zich voor de nationale rechterlijke instanties op kan beroepen om de toepassing van met deze artikelen strijdige bepalingen van nationaal recht te verhinderen.


116

afgewogen en gerechtvaardigd belang

f) wanneer de verwerking noodzakelijk is voor de behartiging van het gerechtvaardigde belang van de verantwoordelijke voor de verwerking of van de derde aan wie de gegevens worden verstrekt, mits het belang of de fundamentele rechten en vrijheden van de betrokkene die aanspraak maakt op bescherming uit hoofde van deze wet, niet zwaarder doorwegen.

INTERNATIONALE WETGEVING • Artikel 7 f) van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende

de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): De Lid-Staten bepalen dat de verwerking van persoonsgegevens slechts mag geschieden indien de verwerking noodzakelijk is voor de behartiging van het gerechtvaardigde belang van de voor de verwerking verantwoordelijke of van de derde(n) aan wie de gegevens worden verstrekt, mits het belang of de fundamentele rechten en vrijheden van de betrokkene die aanspraak maakt op bescherming uit hoofde van artikel 1, lid 1, van deze Richtlijn, niet prevaleren.

• Overweging 30 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): Overwegende dat de verwerking van persoonsgegevens bovendien slechts geoorloofd kan zijn, indien zij plaatsvindt met toestemming van de betrokkene, noodzakelijk is voor de sluiting of uitvoering van een overeenkomst die de betrokkene bindt of voor de eerbiediging van een wettelijke verplichting, voor de uitvoering van een taak van openbaar belang of de uitoefening van overheidsgezag, of ook voor de behartiging van een wettig belang van een persoon, mits het belang of de rechten en vrijheden van de betrokkene niet prevaleren; dat de Lid-Staten, met name om het evenwicht tussen de in het geding zijnde belangen te verzekeren onder waarborging van een daadwerkelijke mededinging, de voorwaarden kunnen bepalen waaronder persoonsgegevens in het kader van wettige activiteiten zoals het dagelijks beheer van ondernemingen en andere organisaties kunnen worden gebruikt en aan derden verstrekt; dat zij evenzo de voorwaarden kunnen bepalen waaronder persoonsgegevens voor direct marketing of direct mail door een liefdadige instelling of door ander verenigingen of stichtingen, bij voorbeeld van politieke aard, aan derden mogen worden verstrekt, een en ander met inachtneming van de bepalingen waarbij aan de betrokkenen de mogelijkheid wordt geboden zich zonder opgave van redenen en zonder kosten tegen de verwerking van hen betreffende gegevens te verzetten;

RECHTSPRAAK VAN HET EUROPESE HOF VAN JUSTITIE • Europees Hof van Justitie, Arrest van 14 september 2000, The Queen v. Minister of

Agriculture, Fisheries & Food, Zaak C-369/98.

(...) Bij de beantwoording van de vraag, of sommige gegevens uit de databank mogen worden medegedeeld, moet de bevoegde instantie namelijk de belangen afwegen van degene die de informatie heeft verstrekt en van degene die ze nodig heeft om een rechtmatig doel te bereiken.


117

Bij de beoordeling van de respectieve belangen van de betrokkenen ten aanzien van persoonlijke gegevens moet echter rekening worden gehouden met de bescherming van de fundamentele rechten en vrijheden. Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (PB L 281, blz. 31; hierna: Richtlijn) bevat in dit verband criteria die de bevoegde instantie bij die beoordeling kan toepassen. Hoewel die Richtlijn ten tijde van de feiten van het hoofdgeding nog niet in werking was getreden, blijkt uit de tiende en de elfde overweging van de considerans, dat zij op gemeenschapsniveau de algemene beginselen overneemt die ter zake reeds deel uitmaakten van het recht van de lidstaten. Wat met name de bekendmaking van gegevens betreft, staat artikel 7, sub f, van de Richtlijn die slechts toe, indien dat noodzakelijk is voor de behartiging van het gerechtvaardigde belang van de derde aan wie de persoonlijke gegevens worden verstrekt, mits het belang of de fundamentele rechten en vrijheden van de betrokkene die aanspraak maakt op bescherming niet prevaleren. (§ 31 à 35).

De Koning kan, bij een in Ministerraad overlegd besluit, na advies van de Commissie voor de bescherming van de persoonlijke levenssfeer, nader bepalen in welke gevallen de onder f) bedoelde voorwaarde niet geacht wordt te zijn vervuld. NOODZAAK VAN EEN WETTELIJKE BASIS ADVIEZEN VAN DE GROEP 29

• Groep 29, Werkdocument over zwarte lijsten (3 oktober – WP 65). In dit advies overloopt

de Groep de verschillende soorten zwarte lijsten in de lidstaten van de Unie, hun gemeenschappelijke punten en hun verschillen (bestanden van debiteurs en diensten die informatie verstrekken over de patrimoniale solvabiliteit en kredietwaardigheid, misdaadbestanden, bestanden voor fraudebestrijding (verzekeringen) enz. De Groep dringt er bijzonder op aan dat voor de verwerking van als “zwarte lijsten” omschreven persoonsgegevens uniforme, geharmoniseerde criteria moeten worden gehanteerd die voor regels kunnen zorgen die de betrokkenen de in de regelgeving betreffende de bescherming van privacy en persoonsgegevens erkende rechten garanderen. Het is belangrijk dat mechanismen worden vastgesteld die op een duidelijke en transparante manier de persoonsgegevens definiëren die voor verwerking in aanmerking komen, het doel van de verwerking en de garanties die de betrokkenen ter beschikking staan (systemen voor de controle van de verwerkte informatie) alsmede de omstandigheden waarin en voorwaarden waaronder het maken van dergelijke bestanden geoorloofd is. Het document eindigt met een zeker aantal in acht te nemen aanbevelingen, inachtneming van het legitimiteitsbeginsel, bijwerking van de gegevens, het recht van de betrokkene op informatie (kennisgevingsprocedure), tussenkomstmechanismen voor de betrokkene, veiligheidsmaatregelen, etc.


118

RECHTSPRAAK VAN HET EUROPESE HOF VAN JUSTITIE • Rechtbank van eerste aanleg van de Europese Unie (2de kamer), arrest van 12 december

2006, 2006, Organisatie van Volksmujahedeen van Iran tegen Raad van de Europese Unie, Zaak T-228/02

Dit arrest is een antwoord op het verzoek van de Organisatie van Moedjahedin van het Iraanse volk tegen het gemeenschappelijk standpunt aangenomen door de Raad van de Europese Unie krachtens hetwelk deze organisatie op de lijst staat van groepen en entiteiten die ervan verdacht worden deel uit te maken van een “terroristische beweging” en waarvan naast andere maatregelen de fondsen moeten bevroren worden. In dit verband zij erop gewezen dat het Europees Hof voor de rechten van de mens weliswaar erkent dat het gebruik van vertrouwelijke informatie noodzakelijk kan blijken te zijn wanneer de nationale veiligheid op het spel staat, maar dat dit volgens hem niet betekent dat de nationale instanties aan elke controle van de nationale rechters ontsnappen, wanneer zij stellen dat de zaak met de nationale veiligheid of het terrorisme te maken heeft (zie EHRM, arrest Chahal v Verenigd Koninkrijk, punt 135 supra, § 131, en de aldaar aangehaalde rechtspraak, en arrest Öcalan v Turkije van 12 maart 2003, nr. 46221/99, (§ 156).

RECHTSPRAAK VAN HET EUROPEES HOF VOOR DE RECHTEN VAN DE MENS In talrijke arresten wordt vastgesteld dat er wordt binnengedrongen in de persoonlijke levenssfeer zonder dat daar een wettelijk basis voor is. Deze verschillende arresten – die diverse maatregelen en sectoren/initiatiefnemers betreffen – worden hieronder in chronologische orde opgesomd. • Klass en anderen t. Duitsland van 6 september 1978, serie A, nr. 28 (geen schending

van het Verdrag). Wet die de geheime diensten machtigt om in het geheim toezicht te houden op de communicaties per post of telefoon.

• Malone t. Verenigd Koninkrijk van 2 augustus 1984, serie A, nr. 82 (schending van artikel 8 van het Verdrag). Het onderscheppen van communicaties per post of per telefoon; leveren van inlichtingen verkregen via de "telling" van telefoons.

• Kruslin t. Frankrijk van 24 april 1990, serie A, nr. 176-A, en Huvig t. Frankrijk van 24

april 1990, serie A, nr. 176-B (schending van artikel 8 van het Verdrag). Het afluisteren van telefoongesprekken door een officier van de gerechtelijke politie per rogatoire commissie van een onderzoeksrechter

• Niemietz t. Duitsland van 16 december 1992, serie A, nr. 251-B (schending van artikel 8

van het Verdrag). Huiszoeking in het kabinet van een advocaat in het kader van strafrechtelijke vervolging tegen een derde.

• Funke t. Frankrijk van 25 februari 1993, serie A, nr. 256-A, Crémieux t. Frankrijk van 25

februari 1993, serie A, nr. 256-B, en Miailhe t. Frankrijk van 25 februari 1993, serie A, nr. 256-C (schending van artikel 8 van het Verdrag). Huisbezoeken en inbeslagnames uitgevoerd door de douane.


119

• A. t. Frankrijk van 23 november 1993, serie A, nr. 277-B (schending van artikel 8 van het Verdrag). Clandestiene opname van een telefoongesprek door een particulier met medewerking van een hoge politiefunctionaris.

• Murray t. Verenigd Koninkrijk van 28 oktober 1994, serie A, nr. 300-A (geen schending

van het Verdrag). Betreffende een persoon verdacht van terrorisme, binnendringen en huiszoeking in zijn woonst met het oog op zijn arrestatie; inbewaringstelling van zijn persoonlijke gegevens en foto's zonder zijn toestemming.

• Kopp t. Zwitserland van 25 maart 1998. de gebundelde arresten en vonnissen 1998-II

(schending van artikel 8 van het Verdrag). Het afluisteren van de telefoonlijnen van een advocatenkabinet in opdracht van de procureur-generaal van de confederatie.

• Valenzuela Contreras t. Spanje van 30 juli 1998; de gebundelde arresten- en

vonnissenboek 1998-V (schending van artikel 8 van het Verdrag). Afluisteren van een privételefoonlijn in het kader van een strafrechtelijke procedure tegen de houder ervan.

• Lambert t. Frankrijk van 24 augustus 1998, de gebundelde arresten en vonnissen 1998-V

(schending van artikel 8 van het Verdrag). Arrest van het Hof van Cassatie dat aan een persoon elke bevoegdheid weigert kritiek te uiten over het feit dat zijn telefoongesprekken werden afgeluisterd met het motief dat het afluisteren gebeurde op de lijn van een derde.

• Amann t. Zwitserland van 16 februari 2000, verzoek nr. 27798/95 (schending van de

artikel 8 van het Verdrag). Opname van een telefoongesprek, maken van een bestand waarin gegevens worden opgeslagen door het openbaar ministerie.

• Rotaru t. Roemenië van 4 mei 2000, verzoek nr. 28341/95 (schending van de artikelen 8

en 13 van het Verdrag). Het bewaren en gebruiken van persoonsgegevens en de onmogelijkheid om de exactheid ervan te bewijzen. Opmerking : dit arrest wordt frequent vermeld in de jurisprudentie en de rechtsleer. Hieronder worden de relevante tekstfragmenten uitgelicht:

Het Hof herinnert eraan dat zowel het opslaan door de overheid van gegevens over het privéleven van een individu als het gebruik ervan en de mogelijkheid te weigeren om die gegevens te weerleggen, een inmenging is in het privéleven dat wordt gewaarborgd door artikel 8, §1 van het Verdrag (Arrest Leander §48, Kopp t. Zwitserland §53 en Amann t. Zwitserland §§63 en 80). 47. Omdat hier een uitzondering wordt gemaakt op een recht dat door het Verdrag wordt

gewaarborgd vereist deze paragraaf een strikte interpretatie. Hoewel het hof erkent dat in een democratische maatschappij het bestaan van inlichtingendiensten legitiem kan zijn, herinnert zij eraan dat het geheim toezicht op burgers, volgens het Verdrag slechts aanvaardbaar is wanneer dit strikt noodzakelijk is voor het behoud van de democratische instellingen. (Klass. §42)

48. Opdat er geen schending zou zijn van artikel 8 moet dergelijke tussenkomst door een "wet worden bepaald", voor een doel van algemeen belang ten opzichte van paragraaf 2 en meer nog, noodzakelijk zijn om zijn doel te bereiken in een democratische samenleving (…)

52. Het Hof herinnert aan haar onveranderlijke jurisprudentie die stelt dat de woorden "bepaald door de wet" niet alleen vereist dat de gewraakte maatregel een basis moet hebben in het interne recht maar ook de kwaliteit van de wet in kwestie beogen : zo moet die toegankelijk een voorzienbaar zijn voor de rechtszoekende (Amann §50). (…)


120

54. Het Hof acht de vereiste van toegankelijkheid van de wet vervuld zodra de wet (…) werd gepubliceerd in het officieel journaal.(…)

55. Over de voorzienbaarheidsvereiste herinnert het Hof eraan dat een regel "voorzienbaar" is wanneer die in duidelijke taal is geschreven zodat het voor iedere persoon mogelijk is om met behulp van helder advies zijn handelwijze daaraan af te stellen. Het Hof benadrukt hoe belangrijk dit concept is bij het geheim toezicht: (vrije vertaling) "….het zinsdeel "bepaald door de wet" beperkt zich niet tot het intern recht, maar gaat ook over de kwaliteit van de "wet"; het moet verenigbaar zijn met de preëminentie van de wet, vermeld in de preambule van het Verdrag (…). Hieruit volgt dat – en dit blijkt uit het onderwerp en het doel van artikel 8 – dat het intern recht een zekere bescherming moet bieden tegen eigenmachtige inbreuken van de overheid op de door paragraaf 1 gewaarborgde rechten (…). Welnu, het gevaar op eigenmachtig optreden stelt zich bijzonder duidelijk daar waar de uitvoerende macht in het geheim handelt (…). Aangezien door de geheime toezichtmaatregel op communicaties zowel de betrokkene als het publiek geen controle meer hebben, gaat de "wet" in tegen de preëminentie van het recht wanneer de beoordelingsbevoegdheid die aan de executieve werd toegekend onbeperkt is. Bijgevolg moet de wet – rekening houdend met het gerechtvaardigd doel dat wordt nagestreefd – de omvang en de manier waarop dergelijke bevoegdheid wordt uitgeoefend klaar en duidelijk worden omschreven zodat aan het individu een passende bescherming kan worden geboden tegen eigenmachtig optreden".

56. De kwaliteit van de juridische regels moet worden onderzocht, meer bepaald moet worden nagegaan of het intern recht de voorwaarden waaronder de inlichtingendiensten informatie over het privéleven van de verzoeker kan opslaan en gebruiken, nauwkeurig genoeg heeft vastgesteld (…).

57. Welnu, er is geen enkele bepaling in het interne recht die de in acht te nemen beperkingen vaststelt bij de uitoefening van deze prerogatieven. Zo definieert de wet noch het soort informatie dat kan worden bewaard, noch de categorieën van personen die het voorwerp kunnen uitmaken van een toezichtmaatregel zoals de inzameling en bewaring van gegevens, noch de omstandigheden waaronder deze maatregelen kunnen worden genomen en ook niet de te volgen procedure. Ook legt deze wet geen beperking op inzake anciënniteit of bewaartermijn van de bijgehouden gegevens. (…) Het Hof merkt op dat dit artikel geen enkele uitdrukkelijke en gedetailleerde bepaling bevat over de personen die gemachtigd zijn om de dossiers te raadplegen, de aard van de dossiers, de te volgen procedure en het gebruik dat gemaakt kan worden van de verkregen informatie.

59. Het Hof wil er zich ook van overtuigen dat er passende en toereikende garanties tegen misbruiken bestaan omdat een geheim toezichtsysteem dat bedoeld is om de nationale veiligheid te beschermen het risico met zich meebrengt dat de democratie met de bedoeling ze te verdedigen wordt ondermijnd en zelfs vernietigd (Klass §§49-50). De geheime toezichtsystemen zijn enkel verenigbaar met artikel 8 van het Verdrag als ze door de wet vastgestelde garanties bevatten, die van toepassing zijn bij de controle op de activiteiten van de betrokken diensten. De controleprocedures moeten zo goed mogelijk de waarden van een democratische samenleving eerbiedigen, meer bepaald de preëminentie van het recht waarnaar de preambule van het Verdrag uitdrukkelijk verwijst. Dit houdt onder meer in dat een executieve die inbreuk pleegt op de rechten van het individu onderworpen is aan een doeltreffende controle, dat normaal gezien wordt verzekerd – ten minste als laatste middel – door de rechterlijke macht omdat die de beste garanties op onafhankelijkheid, onpartijdigheid en regelmatige procedure kunnen bieden (KLass, §55).


121

• Khan t. Verenigd Koninkrijk van 12 mei 2001, verzoek nr. 35394/97 (schending van artikel 8 van het Verdrag). Het ontbreken van een wettelijke basis voor het afluisteren van een gesprek met behulp van een afluisterapparaat dat werd geïnstalleerd in een privéwoning

• P.G. en J.H. t. Verenigd Koninkrijk van 25 september 2001, verzoek nr. 4487/98

(schending van de artikelen 8 en 13 van het Verdrag). Het ontbreken van een wettelijke basis voor de installatie van een afluisterapparaat in een privéwoning en voor het gebruik van verborgen afsluiterapparatuur op een politiekantoor om stemstalen te registreren; het verkrijgen van informatie door de politie over het privégebruik van de telefoon.

• Armstrong t. Verenigd Koninkrijk van 19 maart 2002, verzoek nr. 48521/99 (schending

van de artikelen 8 en 13 van het Verdrag). Veroordeling voor dealen van drugs, gebaseerd op bewijzen die werden bekomen tijdens een geheime bewakingsoperatie die erin bestond gesprekken te observeren en te registreren op het thuisadres.

• Taylor-Sabori t. Verenigd Koninkrijk van 22 oktober 2002, verzoek nr. 47114/99

(schending van de artikelen 8 en 13 van het Verdrag). Onderscheppen door de politie van de berichten die geregistreerd stonden op de beeper van de verzoeker en het gebruik ervan op zijn proces.

• Allan t. Verenigd Koninkrijk van 5 november 2002, verzoek nr. 48539/99 (schending van

de artikelen 6, 8 en 13 van het Verdrag). Het toepassen van geheime bewaking via audiovisuele middelen in een cel en in de bezoekruimte van de gevangenis.

• Perry t. Verenigd Koninkrijk van 17 juli 2003, verzoek nr. 63737/00 (schending van artikel

8 van het Verdrag). Cameraregistratie door de politie voor identificatie- en vervolgingsdoeleinden.

• Matheron t. Frankrijk van 29 maart 2005, verzoek nr. 57752/00. De verzoeker roept artikel

8 in (recht op eerbiediging van het privéleven) van het Verdrag voor de toevoeging in zijn dossier van een kopie van afgeluisterde telefoongesprekken die gebeurden in het kader van een procedure waar hij geen deel van uitmaakte en waarvan hij de regelmatigheid niet heeft kunnen betwisten.

• Vetter t. Frankrijk van 31 mei 2005, verzoek nr. 5984/00. Dient klacht in onder artikel 8

(recht op eerbiediging van het privéleven) en artikel 6 § 1 (recht op een rechtvaardig proces).

• Antunes Rocha t. Portugal van 31 mei 2005, verzoek nr. 64330/01. Dient klacht in onder

artikel 6 §1 (recht op een rechtvaardig proces) en artikel 8 (recht op eerbiediging van het privé- en het gezinsleven).

• Wisse t. Frankrijk van 20 december 2005, verzoek nr. 71611/01. Onder het inroepen van

artikel 8 van het Verdrag (recht op eerbiediging van het gezins- en privéleven), beweren de verzoekers dat de registratie van hun gesprekken in de bezoekersruimte van de gevangenis een schending is van hun recht op een gezins- en privéleven.

• Turek t. Slovakije van 14 februari 2006, verzoek nr. 57986/00. De verzoeker klaagt erover

dat hij is geregistreerd als medewerker van het vroeger Tsjecho-Slowaaks communistisch veiligheidsbureau, over de uitgifte van een veiligheidsbevoegdheid en het feit dat zijn actie om zijn inschrijving als medewerker in vraag te stellen werd afgewezen. Hij roept de


122

artikelen 8 (recht op eerbiediging van het gezins- en privéleven) en 6 § 1 (recht op een rechtvaardig proces) in

• Gabrielle Weber en Cesar Richard Sarava t. Duitsland van 29 juni 2006, verzoek nr.

54934/00. Provisies op de wet voor de criminaliteitsbestrijding die inbreuk maken op het recht van de verzoekers op eerbiediging van hun privéleven en briefgeheim.

• L.L. t. Frankrijk van 10 oktober 2006, nr. 7508/02 (schending van artikel 8). Niet-naleving

van het medisch geheim. Bekendmaken door het Franse Hof van Beroep van persoonlijke, medische gegevens over de verzoeker

• Association for European integration and human rights and Ekimdzhiev t. Bulgarije

van 28 juni 2007: terrorismebestrijding – wetgeving – inbreuken op de persoonlijke levenssfeer – onafhankelijke controle.

JURISPRUDENCE NATIONALE • Voorzitter van de Rechtbank van Koophandel te Antwerpen, 7 juillet 1994.

L’enregistrement et le traitement illicites par la banque de données personnelles provenant d’ordres de paiement, constitue une infraction à la loi sur la protection de la vie privée qui peut léser les assureurs. L’usage d’informations ainsi recueillies est illicite. Feiten: Verweerster benadert haar cliënten met gebruikmaking van de informatie, haar te kennis gebracht ingevolge de haar toevertrouwde betalingsopdrachten (betaling verzekeringengspremies), om aldus het cliënteel erop te wijzen dat deze diensten (verzekeringen) ook door haarzelf worden verstrekt. Overwegende dat eiseres schending voorhouden 1° van de Wet op de Privacy (art. 2 en 5) en 2° van de algemene zorgvuldigheidsnorm en de eigen gedragscode, en aldus cf. art. 93 inbreuk op de W.H.P. aanklagen. Overwegende dat spijts de beweringen van appellante in andere zin zij niet aantoont op algemene wijze aan haar klanten en in het bijzonder aan de klanten in kwestie kennis te hebben gegeven, laat staan hun toelating te hebben bekomen, inlichtingen uit de inhoud van betalingsopdracht als dusdanig waarvoor zij zich tot appellante als bankier hebben gewend; dat nergens uit blijkt dat appellante aan haar klanten heeft gemeld dat zij informatie zou opslaan en gebruiken omtrent de inhoudelijke redenen waarom de betalingen werden uitgevoerd; dat indien op de betalingsopdracht de reden van beting is vermeld (in casu de betaling van een verzekeringspremie) dit enkel gebeurt met de bedoeling dat de bankier deze vermelding zou doorgeven opdat de bestemmeling de betaling zou kunnen thuis brengen; dat het met andere woorden gaat om informatie die niet voor de bankier maar voor de begunstigde van de betaling bestemd is; dat indien de klanten van appellante kennis hebben van of zelfs toestemming hebben verleend tot opslag, verwerking en gebruik van inlichtingen, dit uiteraard slechts kan betrekking hebben op de inlichtingen, die voor appellante als bankier bedoeld zijn; dat hiertoe de redenen van betaling niet behoren; dat in strijd met artikel 5 van de wet van 8 dec. 1992 de verwerking van de persoonsgegevens en het gebruik ervan te dezen op overmatige manier gebeurde; dat gelet op de belangrijkheid van de verzekeringsbedrijvigheid en de probabiliteit dat de doorsneehouder van een bankrekening ook verzekeringsnemer is, appellante niet de opdracht tot betaling van een verzekeringspremie hoefde al te wachten om de aanbieding van haar eigen diensten ter zake te promoten; dat door expliciet naar de betalingsopdracht


123

te verwijzen, appellante de in het kader van haar bankiersbedrijvigheid die geacht wordt te gelden in bankzaken ook ten dele geldt tussen bankier en klant; dat uit de wijze waarop hij benaderd werd de rekeninghouder slechts kan afleiden dat de bank zich ongevraagd bezig houdt met de inhoud van de gegeven betalingsopdrachten en niet schijnt te aarzelen om van de bekomen informatie gebruik te maken; dat door de inhoudelijke redenen van betalingen te detecteren en uit te spelen appellante op ongeoorloofde wijze binnendringt in de persoonsgegevens van haar klanten; Overwegende dat hieraan geen afbreuk wordt gedaan door de vaststelling dat de bankiersfunctie van appellante niet los kan gezien worden van haar andere diensten in het kader van een breed aanbod van financiële diensten. Dat indien wellicht onvermijdelijk is dat de bankier door de betalingsopdrachten kennis verwerft die nuttig is voor zijn andere commerciële activiteiten, hij ongetwijfeld een discretieplicht in acht moet nemen; dat appellante deze discretieplicht geschonden heeft door expliciet en ongevraagd van een opdracht in een bankiersfunctie gebruik te maken voor een verzekeringsfunctie; dat trouwens moet worden opgemerkt, zeker gelet op de sindsdien ontstane marktsituatie met algemene verstrengeling van bank-en verzekeringssector, dat de zelfde motieven ook gelden voor de begunstigde van de betaling; Overwegende dat de eerste rechter derhalve heeft geoordeeld dat appellante een inbreuk pleegde op de bepaling van de Wet van 8 dec. 1992 en deze inbreuk meteen ook een daad strijdig met de eerlijke handelspraktijken oplevert waarvan de staking overeenkomstig art. 93 WHPC bevolen werd.

• Hof van Beroep te Brussel, 15 février 2005

15. De verkrijging en verwerking van persoonsgegevens dient te beantwoorden aan de kwalitatieve vereisten voorgeschreven door artikel 4 van de wet op de bescherming van de persoonlijke levensfeer en aan de vereiste van toelaatbaarheid opgelegd door artikel 5 van deze wet.(…) Om te oordelen of een verwerking al dan niet verenigbaar is met de doeleinden die bij de verkrijging van de gegevens werden vastgesteld, moet rekening worden gehouden met alle relevante factoren, met name met de redelijke verwachtingen van de betrokkene en met de toepasselijke wettelijke en reglementaire bepalingen. Derhalve moet worden nagegaan of de betrokkene redelijkerwijze mocht verwachten dat zijn gegevens zouden worden aangewend voor een ander dan het oorspronkelijk aangekondigde doeleinde. Clienten van een bank kunnen er zich redelijkerwijze aan verwachten dat hun gegevens worden aangewend voor bankactiviteiten- en diensten in ruime zin ten aanzien van hun persoon. Daarentegen kan niet worden aangenomen dat een client er zich ook redelijkerwijze aan mag verwachten dat zijn gegevens zouden worden gebruikt ter controle ven derden, met name de agenten of makelaars, en zouden worden aangewend in procedures tegen derden. Het type van controle dat door appelante werd uitgevoerd beantwoord niet aan het legitieme verwachtingspatroon van de clienten. Bepalingen van de artikelen 4 en 5 van de wet op de bescherming van de persoonlijke levensfeer cumulatief moeten worden vervuld om van een rechtmatige verwerking van persoonsgegevens te kunnen spreken, volstaat de vaststelling van een inbreuk op een van de bepalingen om te besluiten tot het inbreukmakende karakter van de verwerking. Zelfs indien de verwerking van persoonsgegevens op zich zou toegelaten zijn op grond van een van de gevallen opgesomd in artikel 5 van de wet, dan nog


124

moet de verwerking uitgevoerd worden op de wijze opgelegd door artikel 4 van de wet.

Artikel 6: gevoelige persoonsgegevens

125

Artikel 6.

gevoelige persoonsgegevens Overtreden strafbaar gesteld: zie art. 39; 3°, 40 en 41 WVP

verbod verwerking gevoelige persoonsgegevens § 1. De verwerking van persoonsgegevens waaruit de raciale of etnische afkomst, de politieke opvattingen, de godsdienstige of levensbeschouwelijke overtuiging of het lidmaatschap van een vakvereniging blijken, alsook de verwerking van persoonsgegevens die het seksuele leven betreffen, is verboden. INTERNATIONALE WETGEVING • Guidelines of the United Nations for the Regulation of Computerized Personal Data Files

(1990) – (5) Principle of non-discrimination: Subject to cases of exceptions restrictively envisaged under principle 6, data likely to give rise to unlawful or arbitrary discrimination, including information on racial or ethnic origin, colour, sex life, political opinions, religious, philosophical and other beliefs as well as membership of an association or trade union, should not be compiled.

• Artikel 6 van het Verdrag nr. 108 van de Raad van Europa tot bescherming van personen ten opzichte van de geautomatiseerde verwerking van persoonsgegevens (1981): Persoonsgegevens waaruit ras, politieke overtuiging, godsdienstige of andere levensbeschouwing blijkt, alsmede die welke betrekking hebben op gezondheid of seksueel gedrag, mogen niet langs geautomatiseerde weg worden verwerkt, tenzij het interne recht passende waarborgen ter zake biedt. Hetzelfde geldt voor persoonsgegevens over strafrechtelijke veroordelingen.

• Explanatory Report of the Convention n°108 – (punten 43 tot 48) : 43. While the risk that data processing is harmful to persons generally depends not on the contents of the data but on the context in which they are used, there are exceptional cases where the processing of certain categories of data is as such likely to lead to encroachments on individual rights and interests. Categories of data which in all member States are considered to be especially sensitive are listed in this article. 44. The expression "revealing ... political opinions, religious or other beliefs" covers also activities resulting from such opinions or beliefs. 48. The list of this article is not meant to be exhaustive. A Contracting State may, in conformity with Article 11, include in its domestic law other categories of sensitive data, the processing of which is prescribed or restricted. The degree of sensitivity of categories of data depends on the legal and sociological context of the country concerned. Information on trade union membership for example may be considered to entail as such a privacy risk in one country, whereas in other countries it is considered sensitive only in so far as it is closely connected with political or religious views.


126


betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): De Lid-Staten verbieden de verwerking van persoonlijke gegevens waaruit de raciale of etnische afkomst, de politieke opvattingen, de godsdienstige of levensbeschouwelijke overtuiging, of het lidmaatschap van een vakvereniging blijkt, alsook de verwerking van gegevens die de gezondheid of het seksuele leven betreffen.

• Overweging 33 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): Overwegende dat gegevens die wegens hun aard op de fundamentele vrijheden of op de persoonlijke levenssfeer inbreuk kunnen maken zonder uitdrukkelijke toestemming van de betrokkene niet het voorwerp van verwerking mogen zijn; dat evenwel uitdrukkelijk moet worden voorzien in afwijkingen van dit verbod om aan specifieke behoeften te voldoen (…).

VERSLAGEN EN STUDIES VAN DE RAAD VAN EUROPA • Raad van Europa, Revisiting Sensitive Data (1999), by M. Spiros SIMITIS

uitzonderingen op het verbod van het verwerken van gevoelige gegevens § 2. Het verbod om de in § 1 van dit artikel bedoelde persoonsgegevens te verwerken, is niet van toepassing in een van de volgende gevallen : INTERNATIONALE WETGEVING • Guidelines of the United Nations for the Regulation of Computerized Personal Data Files

(1990) – (6§2) Power to make exceptions: Exceptions to principle 5 relating to the prohibition of discrimination, in addition to being subject to the same safeguards as those prescribed for exceptions to principles I and 4, may be authorized only within the limits prescribed by the International Bill of Human Rights and the other relevant instruments in the field of protection of human rights and the prevention of discrimination.

De afwijkingen op beginsel 5 betreffende het verbod op discriminatie (gegevens betreffende het ras, etnische afkomst, politieke- en geloofsovertuigingen, etc.) kunnen, naast het feit dat zij onderhevig zijn aan dezelfde waarborgen als deze die voorzien werden voor de afwijkingen op de beginsels 1 tot 4 – namelijk dat zij alleen kunnen worden toegestaan als zijn noodzakelijk zijn voor de bescherming van de nationale veiligheid, de openbare orde, de volksgezondheid of welzijn maar ook de rechten en vrijheden van de anderen, in het bijzonder vervolgde personen (humanitaire clausule) mits deze afwijkingen uitdrukkelijk zijn voorzien door een gelijkwaardige wet of reglementering die werd goedgekeurd conform het intern juridisch systeem die daarvoor uitdrukkelijk de beperkingen vaststelt en de gepaste waarborgen aankondigt -, alleen toegestaan worden binnen de beperkingen voorzien in het Internationaal Handvest voor rechten van de mens en de andere relevante instrumenten op vlak van bescherming van de mensenrechten en de discriminatiebestrijding.


127

• Artikel 9 1) en 2) van het Verdrag nr. 108 van de Raad van Europa tot bescherming van personen ten opzichte van de geautomatiseerde verwerking van persoonsgegevens (1981) : Van het in de artikelen 5 (kwaliteit van de gegevens), 6 (bijzondere categorieën gegevens) en 8 van, dit Verdrag bepaalde kan worden afgeweken, indien de wet in een dergelijke afwijking voorziet en het hier een maatregel betreft die in een democratische samenleving noodzakelijk is ten behoeve van : - de bescherming van de veiligheid van de Staat, de openbare veiligheid, de geldelijke

belangen van de Staat of de bestrijding van strafbare feiten; - de bescherming van de betrokkene en van de rechten en vrijheden van anderen.

• De uitzonderingen voorzien door de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, worden hieronder gedetailleerd.

bij schriftelijke toestemming die steeds intrekbaar is a) wanneer de betrokkene schriftelijk heeft toegestemd in een dergelijke verwerking met dien verstande dat deze toestemming te allen tijde door de betrokkene kan worden ingetrokken; kan de Koning, bij een in Ministerraad overlegd besluit na advies van de Commissie voor de bescherming van de persoonlijke levenssfeer, bepalen in welke gevallen het verbod om de in dit artikel bedoelde gegevens te verwerken niet door de schriftelijke toestemming van de betrokkene ongedaan kan worden gemaakt; KONINKLIJK BESLUIT VAN 13 FEBRUARI 2001 • Artikel 26 van het Koninklijk besluit van 13 februari 2001 ter uitvoering van de wet van 8

december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (2001): Indien de verwerking van persoonsgegevens bedoeld in de artikelen 6 en 7 van de wet uitsluitend is toegestaan op grond van de schriftelijke toestemming van de betrokken persoon, moet de verantwoordelijke voor de verwerking hem, naast de gegevens overeenkomstig artikel 9 van de wet, vooraf de redenen van die verwerking mededelen, alsmede de lijst van de categorieën van personen die toegang hebben tot de persoonsgegevens.

• Artikel 27 van het Koninklijk besluit van 13 februari 2001 ter uitvoering van de wet van 8

december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (2001): Indien de verwerking van persoonsgegevens bedoeld in de artikelen 6 en 7 van de wet uitsluitend is toegestaan op grond van de schriftelijke toestemming van de betrokken persoon, is die verwerking verboden indien de verantwoordelijke voor de verwerking de huidige of potentiële werkgever van betrokkene is of indien de betrokken persoon zich ten aanzien van de verantwoordelijke voor de verwerking in een afhankelijke positie bevindt, wat hem belet vrij zijn toestemming te verlenen. Dit verbod wordt opgeheven wanneer de verwerking erop gericht is de betrokken persoon een voordeel te verstrekken.


128

Zie ook artikel 25 van het Koninklijk besluit van 13 februari 2001 ter uitvoering van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (2001): dat bijkomende voorwaarden oplegt voor dergelijke gegevensverwerkingen: Bij de verwerking van persoonsgegevens bedoeld in de artikelen 6 tot 8 van de wet, moet de verantwoordelijke voor de verwerking bovendien de volgende maatregelen nemen : 1. hij of, in voorkomend geval, de verwerker moet de categorieën van personen die de

persoonsgegevens kunnen raadplegen, aanwijzen waarbij hun hoedanigheid ten opzichte van de verwerking van de betrokken gegevens nauwkeurig moet worden omschreven;

2. hij of, in voorkomend geval, de verwerker moet de lijst van de aldus aangewezen categorieën van personen ter beschikking houden van de Commissie;

3. hij moet ervoor zorgen dat de aangewezen personen door een wettelijke of statutaire verplichting, of door een evenwaardige contractuele bepaling ertoe gehouden zijn het vertrouwelijk karakter van de betrokken gegevens in acht te nemen;

4. hij moet in de kennisgeving die krachtens artikel 9 van de wet aan de betrokken persoon moet worden gedaan of in de aangifte, bedoeld in artikel 17, § 1, van de wet, melding maken van de wet of verordening op grond waarvan de verwerking van persoonsgegevens, bedoeld in de artikelen 6 tot 8 van de wet, is toegestaan.

INTERNATIONALE WETGEVING • Artikel 8 § 2 a) van de Richtlijn 95/46/EG van het Europees Parlement en de Raad

betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): Lid 1 (De Lid-Staten verbieden de verwerking van persoonlijke gegevens waaruit de raciale of etnische afkomst, de politieke opvattingen, de godsdienstige of levensbeschouwelijke overtuiging, of het lidmaatschap van een vakvereniging blijkt, alsook de verwerking van gegevens die de gezondheid of het seksuele leven betreffen) is niet van toepassing wanneer de betrokkene uitdrukkelijk heeft toegestemd in een dergelijke verwerking, tenzij in de wetgeving van de Lid-Staat is bepaald dat het in lid 1 bedoelde verbod niet door toestemming van de betrokkene ongedaan kan worden gemaakt.

• Overweging 70 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): Overwegende dat er geen aanleiding toe is dat de betrokkene de voor de verwerking verantwoordelijke opnieuw toestemming geeft om na de inwerkingtreding van de nationale bepalingen die op grond van deze Richtlijn zijn vastgesteld een verwerking van gevoelige gegevens te blijven uitvoeren die nodig is voor de uitvoering van een overeenkomst die op basis van vrije en geïnformeerde toestemming is gesloten vóór de inwerkingtreding van voornoemde bepalingen.

arbeidsrechterlijke verplichting b) wanneer de verwerking noodzakelijk is met het oog op de uitvoering van de specifieke verplichtingen en rechten van de verantwoordelijke voor de verwerking met betrekking tot het arbeidsrecht;


129

INTERNATIONALE WETGEVING • Artikel 8 § 2 b) van de Richtlijn 95/46/EG van het Europees Parlement en de Raad

betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): Lid 1 (De Lid-Staten verbieden de verwerking van persoonlijke gegevens waaruit de raciale of etnische afkomst, de politieke opvattingen, de godsdienstige of levensbeschouwelijke overtuiging, of het lidmaatschap van een vakvereniging blijkt, alsook de verwerking van gegevens die de gezondheid of het seksuele leven betreffen) is niet van toepassing wanneer de verwerking noodzakelijk is met het oog op de uitvoering van de verplichtingen en de rechten van de voor de verwerking verantwoordelijke inzake arbeidsrecht, voor zover zulks is toegestaan bij de nationale wetgeving en deze adequate garanties biedt.

verdediging vitale belangen c) wanneer de verwerking noodzakelijk is ter verdediging van de vitale belangen van de betrokkene of van een andere persoon indien de betrokkene fysiek of juridisch niet in staat is zijn instemming te getuigen; INTERNATIONALE WETGEVING • Artikel 8 § 2 c) van de Richtlijn 95/46/EG van het Europees Parlement en de Raad

betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): Lid 1 (De Lid-Staten verbieden de verwerking van persoonlijke gegevens waaruit de raciale of etnische afkomst, de politieke opvattingen, de godsdienstige of levensbeschouwelijke overtuiging, of het lidmaatschap van een vakvereniging blijkt, alsook de verwerking van gegevens die de gezondheid of het seksuele leven betreffen) is niet van toepassing wanneer de verwerking noodzakelijk is ter verdediging van de vitale belangen van de betrokkene of van een andere persoon indien deze lichamelijk of juridisch niet in staat is van zijn instemming te getuigen

• Overweging 31 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): Overwegende dat de verwerking van persoonsgegevens ook als geoorloofd moet worden beschouwd wanneer zij wordt uitgevoerd ter bescherming van een belang dat voor het leven van de betrokkene essentieel is.

persoonsgegevens leden vereniging d) wanneer de verwerking wordt verricht door een stichting, een vereniging of enige andere instantie zonder winstoogmerk die op politiek, levensbeschouwelijk, godsdienstig, mutualistisch of vakbondsgebied werkzaam is, in het kader van haar gerechtvaardigde activiteiten, mits de verwerking uitsluitend betrekking heeft op de leden van de stichting, de vereniging of de


130

instantie of op de personen die in verband met haar streefdoelen regelmatige contacten met haar onderhouden, en de gegevens niet zonder de toestemming van de betrokkenen aan derden worden doorgegeven; INTERNATIONALE WETGEVING • Artikel 8 § 2 d) van de Richtlijn 95/46/EG van het Europees Parlement en de Raad

betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): Lid 1 (De Lid-Staten verbieden de verwerking van persoonlijke gegevens waaruit de raciale of etnische afkomst, de politieke opvattingen, de godsdienstige of levensbeschouwelijke overtuiging, of het lidmaatschap van een vakvereniging blijkt, alsook de verwerking van gegevens die de gezondheid of het seksuele leven betreffen) is niet van toepassing wanneer de verwerking wordt verricht door een stichting, een vereniging, of enige andere instantie zonder winstoogmerk die op politiek, levensbeschouwelijk, godsdienstig of vakbondsgebied werkzaam is, in het kader van hun gerechtvaardigde activiteiten en met de nodige garanties, mits de verwerking uitsluitend betrekking heeft op de leden van de stichting, de vereniging of de instantie of op de personen die in verband met haar streefdoelen regelmatige contacten met haar onderhouden, en de gegevens niet zonder de toestemming van de betrokkenen aan derden worden doorgegeven.

zelf duidelijk geopenbaarde gegevens e) wanneer de verwerking betrekking heeft op gegevens die duidelijk door de betrokkene openbaar zijn gemaakt; INTERNATIONALE WETGEVING • Artikel 8 § 2 e) van de Richtlijn 95/46/EG van het Europees Parlement en de Raad

betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): Lid 1 (De Lid-Staten verbieden de verwerking van persoonlijke gegevens waaruit de raciale of etnische afkomst, de politieke opvattingen, de godsdienstige of levensbeschouwelijke overtuiging, of het lidmaatschap van een vakvereniging blijkt, alsook de verwerking van gegevens die de gezondheid of het seksuele leven betreffen) is niet van toepassing wanneer de verwerking betrekking heeft op gegevens die duidelijk door de betrokkene openbaar zijn gemaakt of noodzakelijk is voor de vaststelling, de uitoefening of de verdediging van een recht in rechte.

ter verdediging in rechte f) wanneer de verwerking noodzakelijk is voor de vaststelling, de uitoefening of de verdediging van een recht in rechte;


131

INTERNATIONALE WETGEVING • Artikel 8 § 2 e) van de Richtlijn 95/46/EG van het Europees Parlement en de Raad


wetenschappelijk onderzoek g) wanneer de verwerking noodzakelijk is voor het wetenschappelijk onderzoek en verricht wordt onder de voorwaarden vastgesteld door de Koning bij een in Ministerraad overlegd besluit, na advies van de Commissie voor de bescherming van de persoonlijke levenssfeer;

sociale zekerheid h) wanneer de verwerking noodzakelijk is voor de verwezenlijking van een doelstelling vastgesteld door of krachtens de wet met het oog op de toepassing van de sociale zekerheid; INTERNATIONALE WETGEVING • Zie ook Recommendation No.R(86)1 of the Committee of Ministers to Member States on

the protection of personal data used for social security purposes (1986).

openbare statistiek i) wanneer de verwerking wordt verricht in uitvoering van de wet van 4 juli 1962 betreffende de openbare statistiek. VERWIJZING NAAR ANDERE WETGEVING • Zie Wet van 4 juli 1962 betreffende de openbare statistiek, B.S., 20 juli 1962.


132

geneeskunde j) wanneer de verwerking noodzakelijk is voor de doeleinden van preventieve geneeskunde of medische diagnose, het verstrekken van zorg of behandelingen aan de betrokkene of een verwant, of het beheer van gezondheidsdiensten handelend in het belang van de betrokkene en de gegevens worden verwerkt onder het toezicht van een beroepsbeoefenaar in de gezondheidszorg; INTERNATIONALE WETGEVING • Artikel 8 § 3 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad

betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): Lid 1 (De Lid-Staten verbieden de verwerking van persoonlijke gegevens waaruit de raciale of etnische afkomst, de politieke opvattingen, de godsdienstige of levensbeschouwelijke overtuiging, of het lidmaatschap van een vakvereniging blijkt, alsook de verwerking van gegevens die de gezondheid of het seksuele leven betreffen.) is niet van toepassing wanneer de verwerking van de gegevens noodzakelijk is voor de doeleinden van preventieve geneeskunde of medische diagnose, het verstrekken van zorg of behandelingen of het beheer van gezondheidsdiensten en wanneer die gegevens worden verwerkt door een gezondheidswerker die onderworpen is aan het in de nationale wetgeving, of in de door nationale bevoegde instanties vastgestelde regelgeving, vastgelegde beroepsgeheim of door een andere persoon voor wie een gelijkwaardige geheimhoudingsplicht geldt.

verdediging mensenrechten mits machtiging k) wanneer de verwerking door verenigingen met rechtspersoonlijkheid of instellingen van openbaar nut die als hoofddoel de verdediging van de rechten van de mens en van de fundamentele vrijheden hebben, verricht wordt voor de verwezenlijking van dat doel, op voorwaarde dat voor de verwerking een machtiging is verleend door de Koning bij een in Ministerraad overlegd besluit, na advies van de Commissie voor de bescherming van de persoonlijke levenssfeer;

voor publiek belang door wet l) wanneer de verwerking van de persoonsgegevens bedoeld in § 1 om een andere belangrijke reden van publiek belang door een wet, een decreet of een ordonnantie wordt toegelaten. INTERNATIONALE WETGEVING • Artikel 8 § 4 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad

betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): Mits


133

passende waarborgen worden geboden, mogen de Lid-Staten om redenen van zwaarwegend algemeen belang bij nationale wet of bij een besluit van de toezichthoudende autoriteit nog andere afwijkingen naast die bedoeld in lid 2 (toestemming, arbeidsrechterlijke verplichting, verdediging van de vitale belangen, gerechtvaardigde activiteiten van een stichting, zelf duidelijk geopenbaarde gegevens) vaststellen.

geheimhoudingsplicht geneeskunde In het geval bedoeld onder j) zijn de beroepsbeoefenaar in de gezondheidszorg en zijn aangestelden of gemachtigden tot geheimhouding verplicht. INTERNATIONALE WETGEVING • Artikel 8 § 3 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad



betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): Overwegende dat gegevens die wegens hun aard op de fundamentele vrijheden of op de persoonlijke levenssfeer inbreuk kunnen maken zonder uitdrukkelijke toestemming van de betrokkene niet het voorwerp van verwerking mogen zijn; dat evenwel uitdrukkelijk moet worden voorzien in afwijkingen van dit verbod om aan specifieke behoeften te voldoen, met name wanneer de gegevensverwerking wordt gebruikt voor gezondheidsdoeleinden door personen voor wie een beroepsgeheim geldt, of voor het uitvoeren van wettige activiteiten door bepaalde verenigingen of stichtingen (…).


134

seksueel gedrag - misdadig

erkende instelling

individuele machtiging § 3. Onverminderd de toepassing van de artikelen 7 en 8 van deze wet is de verwerking van persoonsgegevens die het seksuele leven betreffen, toegestaan wanneer de verwerking wordt verricht door een vereniging met rechtspersoonlijkheid of door een instelling van openbaar nut met als statutair hoofddoel de evaluatie, de begeleiding en de behandeling van personen van wie het seksueel gedrag gekwalificeerd kan worden als een misdrijf en die voor de verwezenlijking van dat doel door de bevoegde overheid worden erkend en gesubsidieerd; voor dergelijke verwerkingen, waarvan de bedoeling moet bestaan in de evaluatie, begeleiding en behandeling van de in deze paragraaf bedoelde personen en de verwerking uitsluitend persoonsgegevens betreft die, wanneer ze het seksueel leven betreffen, enkel betrekking hebben op laatstgenoemde personen, moet door de Koning bij een in Ministerraad overlegd besluit, na advies van de Commissie voor de bescherming van de persoonlijke levenssfeer, een bijzondere, individuele machtiging worden verleend. Het in deze paragraaf bedoelde besluit preciseert de duur van de machtiging, de modaliteiten voor de controle van de gemachtigde vereniging of instelling door de bevoegde overheid en de wijze waarop door deze overheid aan de Commissie voor de persoonlijke levenssfeer verslag moet worden uitgebracht over de verwerking van persoonsgegevens in het kader van de verleende machtiging.

bijzondere voorwaarden verwerking gevoelige gegevens bij KB § 4. De Koning legt bij een in Ministerraad overlegd besluit, na advies van de Commissie voor de bescherming van de persoonlijke levenssfeer de bijzondere voorwaarden op waaraan de verwerking van de in dit artikel bedoelde persoonsgegevens moet voldoen. KONINKLIJK BESLUIT VAN 13 FEBRUARI 2001 • Artikel 25 van het Koninklijk besluit van 13 februari 2001 ter uitvoering van de wet van 8

december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (2001): Bij de verwerking van persoonsgegevens bedoeld in de artikelen 6 tot 8 van de wet moet de verantwoordelijke voor de verwerking bovendien de volgende maatregelen nemen : 1 hij of, in voorkomend geval, de verwerker moet de categorieën van personen die de


2 hij of, in voorkomend geval, de verwerker moet de lijst van de aldus aangewezen categorieën van personen ter beschikking houden van de Commissie;


135

3 hij moet ervoor zorgen dat de aangewezen personen door een wettelijke of statutaire verplichting, of door een evenwaardige contractuele bepaling ertoe gehouden zijn het vertrouwelijk karakter van de betrokken gegevens in acht te nemen;

4 hij moet in de kennisgeving die krachtens artikel 9 van de wet aan de betrokken persoon moet worden gedaan of in de aangifte bedoeld in artikel 17, § 1, van de wet melding maken van de wet of verordening op grond waarvan de verwerking van persoonsgegevens bedoeld in de artikelen 6 tot 8 van de wet is toegestaan.

RECHTSPRAAK VAN HET EUROPEES HOF VOOR DE RECHTEN VAN DE MENS • Hoffmann t. Oostenrijk van 23 juni 1993, serie A, nr. 255-C (schending van de artikelen 8

en 14 van het Verdrag). weigering van hoederrecht aan de moeder na de scheiding omwille van het feit dat ze behoort tot de getuigen van Jehova.

• Lustig-Prean en Beckett t. Verenigd Koninkrijk van 27 september 1999, verzoeken nr.;

31417/96 en 32377/96 en Smith en Grady t. Verenigd Koninkrijk van 27 september 1999, verzoeken nr. 33985/96 en 33986/96 (schending van artikel 8 van het Verdrag). Het uitsluiten van homoseksuelen van het leger na een onderzoek naar het privéleven (in het bijzonder naar hun seksuele geaardheid).

• Salgueiro da Silva Mouta t. Portugal van 21 december 1999, verzoek 33290/96

(schending van de artikelen 8 tot 14 van het Verdrag). Weigering om het hoederecht toe te kennen aan een vader omwille van het feit dat hij homoseksueel is en samenleeft met een man.

• Christine Goodwin t. Verenigd Koninkrijk van 11 juli 2002, verzoek nr. 28957/95

(schending van de artikelen 8 en 12 van het Verdrag). Erkenning van een geslachtsverandering door een werkgever en de sociale diensten

Artikel 7: gezondheidsgegevens

136

Artikel 7.

gezondheidsgegevens

verbod verwerking gezondheidsgegevens Overtreden strafbaar gesteld: zie art. 39, 3°, 40 et 41 WVP § 1. De verwerking van persoonsgegevens die de gezondheid betreffen, is verboden. INTERNATIONALE WETGEVING • Artikel 6 van het Verdrag nr. 108 van de Raad van Europa tot bescherming van personen

ten opzichte van de geautomatiseerde verwerking van persoonsgegevens (1981) : Persoonsgegevens waaruit ras, politieke overtuiging, godsdienstige of andere levensbeschouwing blijkt, alsmede die welke betrekking hebben op gezondheid of seksueel gedrag, mogen niet langs geautomatiseerde weg worden verwerkt, tenzij het interne recht passende waarborgen ter zake biedt. Hetzelfde geldt voor persoonsgegevens over strafrechtelijke veroordelingen.

• Explanatory Report of the Convention n°108 (punten 43 – 48) : 43. While the risk that data processing is harmful to persons generally depends not on the contents of the data but on the context in which they are used, there are exceptional cases where the processing of certain categories of data is as such likely to lead to encroachments on individual rights and interests. Categories of data which in all member States are considered to be especially sensitive are listed in this article. 45. The meaning of the term "personal data concerning health" has been carefully studied by the Committee of Experts on Data Protection in connection with its work on medical data banks. It includes information concerning the past, present and future, physical or mental health of an individual. The information may refer to a person who is sick, healthy or deceased. This category of data also covers those relating to abuse of alcohol or the taking of drugs. 48. The list of this article is not meant to be exhaustive. A Contracting State may, in conformity with Article 11, include in its domestic law other categories of sensitive data, the processing of which is prescribed or restricted. The degree of sensitivity of categories of data depends on the legal and sociological context of the country concerned. Information on trade union membership for example may be considered to entail as such a privacy risk in one country, whereas in other countries it is considered sensitive only in so far as it is closely connected with political or religious views.

• Recommendation No.R(97)5 of the Committee of Ministers to Member States on the protection of medical data (1997): - the expression "medical data" refers to all personal data concerning the health of an individual. It refers also to data which have a clear and close link with health as well as to genetic data.


protection of medical data (1997): - the expression "genetic data" refers to all data, of whatever type, concerning the heriditary characteristics of an individual or concerning the


137

pattern of inheritance of such characteristics within a related group of individuals. It also refers to all data on the carrying of any genetic information (genes) in an individual or genetic line relating to any aspect of health or disease, whether present as identifiable characteristics or not. The genetic line is the line constituted by genetic similarities resulting from procreation and shared by two or more individuals.

• Artikel 8 § 1 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): De Lid-Staten verbieden de verwerking van persoonlijke gegevens waaruit de raciale of etnische afkomst, de politieke opvattingen, de godsdienstige of levensbeschouwelijke overtuiging, of het lidmaatschap van een vakvereniging blijkt, alsook de verwerking van gegevens die de gezondheid of het seksuele leven betreffen.

ADVIEZEN VAN DE GROEP 29 • Groep 29, Advies over het menselijk genoom (13 juli 2000 – WP 34): de Groep reageerde

naar aanleiding van de aankondiging destijds over een eerste poging om het DNA volledig in kaart te brengen. De Groep benadrukt dat het bekend is dat de risico's van misbruik van genetische kennis terecht bezorgdheid over de bescherming van de persoonlijke levenssfeer oproepen. De ontcijfering van het DNA maakt nieuwe ontdekkingen en toepassingen mogelijk op het gebied van genetische testen. Anderzijds kunnen met deze informatie mensen worden geïdentificeerd, met anderen in verband worden gebracht en complexe gegevens worden onthuld over de toekomstige gezondheid en ontwikkeling van deze mensen en van anderen met wie zij genetisch verwant zijn.

• Groep 29, Werkdocument over genetische gegevens, (17 maart 2004 – WP 91): een van

de belangrijkste conclusies van dit document is dat er nationale voorschriften nodig zijn voor elk gebruik van genetische gegevens voor andere doeleinden dan de rechtstreekse waarborging van de gezondheid van de betrokkene of wetenschappelijk onderzoek, die in overeenstemming moeten zijn met de gegevensbeschermingsbeginselen van de Richtlijn 95/46/EG. Een van de behouden definities over “genetische gegevens” is die van de Raad van Europa die werd omschreven in de Aanbeveling (97)5 en die luidt :”Gegevens van elke aard betreffende de erfelijke eigenschappen van een individu of betreffende het erfelijkheidspatroon van die eigenschappen binnen een verwante groep individuen” (zie hierboven). De verwerking van genetische gegevens – die onbetwistbaar persoonsgegevens zijn zoals bedoeld in artikel 2 a) van de Richtlijn maar ook gezondheidsgegevens zijn omwille van hun bijzonder gevoelig karakter zoals bedoeld in artikel 8 §3 van de Richtlijn – mag slechts plaatsvinden onder de strikte voorwaarden van artikel 8 §3. De Groep overloopt de doeleinden waarvoor in de praktijk genetische gegevens worden verzameld en verwerkt: (1) gezondheidszorg en medische behandeling (2) werk, (3) verzekeringen (4) medisch en wetenschappelijk onderzoek (5) identificatie. Hieronder worden de genomen conclusies beschreven: - Er zijn nationale voorschriften nodig voor elk gebruik van genetische gegevens voor

andere doeleinden dan de rechtstreekse waarborging van de gezondheid van de betrokkene of wetenschappelijk onderzoek, die in overeenstemming moeten zijn met de gegevensbeschermingsbeginselen van de Richtlijn, en met name met het doelbindings- en het evenredigheidsbeginsel. Door de toepassing van deze beginselen wordt de algemene toepassing van genetische screening op grote schaal onrechtmatig. Bovendien moet de verwerking van genetische gegevens in het kader van de arbeidsverhouding en verzekeringen overeenkomstig deze beginselen slechts in


138

uitzonderlijke, in de wet beschreven gevallen worden toegestaan, zodat individuen worden beschermd tegen discriminatie op grond van hun genetisch profiel.

- In verband met het gemak waarmee buiten medeweten van de betrokkene genetisch materiaal kan worden verkregen en vervolgens relevante informatie uit dat materiaal kan worden afgeleid, zijn tevens strikte voorschriften nodig ter voorkoming van de gevaren van nieuwe vormen van “identiteitsroof” (die buitengewoon gevaarlijk zouden zijn omdat daarbij het vaderschap en moederschap op het spel kunnen staan of zelfs materiaal kan worden gebruikt om te klonen). In de regelgeving inzake genetische gegevens moet daarom beslist aandacht worden besteed aan de wettelijke status van DNA-monsters die worden gebruikt om de betrokken informatie te verkrijgen. Daarbij moet een bijzonder belang worden toegekend aan de naleving van een breed scala van rechten voor de betrokkene bij het beheer van dergelijke monsters en aan de vernietiging en/of anonimisering van de monsters nadat de vereiste informatie is verkregen.

- Ten slotte moeten procedures worden ingevoerd om te waarborgen dat de genetische gegevens uitsluitend worden verwerkt onder toezicht van gekwalificeerde professionele medewerkers die daartoe gemachtigd zijn op grond van specifieke vergunningen en regels.

- In lidstaten waar de doelstellingen en passende waarborgen voor de verwerking van genetische gegevens niet bij wet zijn geregeld, worden de autoriteiten voor gegevensbescherming aangemoedigd een nog actievere rol te spelen om de volledige naleving van het doelbindings- en het evenredigheidsbeginsel van de Richtlijn te waarborgen. In dit verband beveelt de Groep de lidstaten aan te overwegen, overeenkomstig artikel 20 van de Richtlijn, onderzoek door de autoriteiten voor gegevensbescherming voorafgaand aan de verwerking van genetische gegevens verplicht te stellen. Dit moet in het bijzonder het geval zijn voor de oprichting en het gebruik van biobanken. Voorts kunnen de autoriteiten voor gegevensbescherming het ontbreken van een regelgevend kader voor genetische tests die op internet rechtstreeks aan consumenten worden aangeboden compenseren door onderling nauwer samen te werken en goede werkwijzen uit te wisselen.

- Opgemerkt zij dat een nieuwe juridisch relevante sociale groep ontstaat: de biologische groep (of biologische familie), die technisch gezien moet worden onderscheiden van de familie van een individu. Bepaalde familieleden, zoals echtgenoten of adoptiekinderen, behoren namelijk niet tot deze groep, terwijl anderzijds personen buiten de familiekring er wel rechtens of feitelijk toe behoren (bv. gameetdonoren).

• Groep 29, (vrije vertaling ) Rapport 1/2007 over de eerste gemeenschappelijke actie voor tenuitvoerlegging: evaluatie en volgende fases (WP 137 – 20 juni 2007). In het eerste rapport over de implementatie van de Richtlijn verzocht de Europese Commissie de Groep 29 om regelmatig de beste manier ter sprake te brengen voor het doen naleven van de Richtlijn, om sectoraal onderzoek op communautair vlak te voeren en te proberen de normen ter zake vast te leggen. Zodoende wordt een overzicht verkregen van de tenuitvoerlegging en kan advies worden gegeven aan de verschillende sectoren over hoe de eerbiediging van de Richtlijn op de minst belastende manier kan worden verbeterd. In dit rapport worden conclusies getrokken uit het eerste onderzoek over de verwerkingen van persoonsgegevens (betreffende de gezondheid) dat werd gevoerd op niveau van de Europese Unie door de particuliere verzekeringsmaatschappijen. Naast de conclusies van het onderzoek zelf, worden in het document de goedgekeurde methodologie en de strategie voor toekomstige onderzoeken voor een eerste keer geëvalueerd.


139

VERSLAGEN EN STUDIES VAN DE RAAD VAN EUROPA • Raad van Europa, Revisiting Sensitive Data (1999), by M. Spiros SIMITIS RECHTSPRAAK VAN HET EUROPESE HOF VAN JUSTITIE • Europees Hof van Justitie, Arrest van 6 november 2003, Bodil Linqvist (prejudiciële


Feiten Eind 1998 heeft Lindqvist thuis op haar eigen computer internetpagina's gecreëerd, zodat gemeenteleden die hun belijdenis wilden doen, gemakkelijk de door hen benodigde informatie konden opvragen. Op haar verzoek heeft de webmaster van de website van de Kerk van Zweden op die website een link naar die pagina's geplaatst. De bedoelde pagina's bevatten informatie over Lindqvist en 18 van haar collega's in de kerkgemeente, waaronder hun volledige naam of soms alleen hun voornaam. Bovendien beschreef Lindqvist in licht humoristische bewoordingen de werkzaamheden van haar collega's en hun liefhebberijen. In een aantal gevallen werden hun gezinssituatie, hun telefoonnummer en andere gegevens vermeld. Verder heeft zij verteld dat een van haar collega's haar voet had bezeerd en met gedeeltelijk ziekteverlof was. Met de vierde vraag wenst de verwijzende rechter te vernemen of de vermelding van het feit dat iemand zijn voet heeft bezeerd en met gedeeltelijk ziekteverlof is, een persoonsgegeven betreffende de gezondheid in de zin van artikel 8, lid 1, van Richtlijn 95/46 is. 50. Gelet op het doel van de Richtlijn, moet aan de uitdrukking gegevens die de

gezondheid betreffen in artikel 8, lid 1, een ruime uitlegging worden gegeven, zodat informatie over alle - zowel fysieke als psychische - aspecten van iemands gezondheid daaronder valt.

51. Op de vierde vraag moet derhalve worden geantwoord, dat de vermelding van het feit dat iemand zijn voet heeft bezeerd en met gedeeltelijk ziekteverlof is, een persoonsgegeven betreffende de gezondheid in de zin van artikel 8, lid 1, van Richtlijn 95/46 is.

uitzonderingen op verwerkingsverbod: § 2. Het verbod om de in § 1 bedoelde persoonsgegevens te verwerken, is niet van toepassing in de volgende gevallen : INTERNATIONALE WETGEVING • Artikel 6 1) en 2) van het Verdrag nr. 108 van de Raad van Europa tot bescherming van

personen ten opzichte van de geautomatiseerde verwerking van persoonsgegevens (1981) :Van het in de artikelen 5 (kwaliteit van de gegevens), 6 (bijzondere categorieën gegevens) en 8 van, dit Verdrag bepaalde kan worden afgeweken, indien de wet in een


140

dergelijke afwijking voorziet en het hier een maatregel betreft die in een democratische samenleving noodzakelijk is ten behoeve van :

- de bescherming van de veiligheid van de Staat, de openbare veiligheid, de geldelijke belangen van de Staat of de bestrijding van strafbare feiten;

- de bescherming van de betrokkene en van de rechten en vrijheden van anderen. • De uitzonderingen voorzien door de Richtlijn 95/46/EG van het Europees Parlement en de

Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995), worden hieronder gedetailleerd.

bij schriftelijke toestemming betrokkene steeds intrekbaar a) wanneer de betrokkene schriftelijk heeft toegestemd in een dergelijke verwerking met dien verstande dat deze toestemming te allen tijde door de betrokkene kan worden ingetrokken; de Koning kan, bij een in Ministerraad overlegd besluit na advies van de Commissie voor de bescherming van de persoonlijke levenssfeer, bepalen in welke gevallen het verbod om gegevens betreffende de gezondheid te verwerken niet door de schriftelijke toestemming van de betrokkene ongedaan kan worden gemaakt; KONINKLIJK BESLUIT VAN 13 FEBRUARI 2001 • Artikel 26 van het Koninklijk besluit van 13 februari 2001 ter uitvoering van de wet van 8

december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (2001): Indien de verwerking van persoonsgegevens bedoeld in de artikelen 6 en 7 van de wet uitsluitend is toegestaan op grond van de schriftelijke toestemming van de betrokken persoon, moet de verantwoordelijke voor de verwerking hem, naast de gegevens overeenkomstig artikel 9 van de wet, vooraf de redenen van die verwerking mededelen, alsmede de lijst van de categorieën van personen die toegang hebben tot de persoonsgegevens.

• Artikel 27 van het Koninklijk besluit van 13 februari 2001 ter uitvoering van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (2001): Indien de verwerking van persoonsgegevens bedoeld in de artikelen 6 en 7 van de wet uitsluitend is toegestaan op grond van de schriftelijke toestemming van de betrokken persoon, is die verwerking verboden indien de verantwoordelijke voor de verwerking de huidige of potentiële werkgever van betrokkene is of indien de betrokken persoon zich ten aanzien van de verantwoordelijke voor de verwerking in een afhankelijke positie bevindt, wat hem belet vrij zijn toestemming te verlenen. Dit verbod wordt opgeheven wanneer de verwerking erop gericht is de betrokken persoon een voordeel te verstrekken.


141

INTERNATIONALE WETGEVING • Artikel 8 § 2 a) van de Richtlijn 95/46/EG van het Europees Parlement en de Raad

betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): Lid 1 (De Lid-Staten verbieden de verwerking van persoonlijke gegevens waaruit de raciale of etnische afkomst, de politieke opvattingen, de godsdienstige of levensbeschouwelijke overtuiging, of het lidmaatschap van een vakvereniging blijkt, alsook de verwerking van gegevens die de gezondheid of het seksuele leven betreffen) is niet van toepassing wanneer de betrokkene uitdrukkelijk heeft toegestemd in een dergelijke verwerking, tenzij in de wetgeving van de Lid-Staat is bepaald dat het in lid 1 bedoelde verbod niet door toestemming van de betrokkene ongedaan kan worden gemaakt.

• Overweging 70 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): Overwegende dat er geen aanleiding toe is dat de betrokkene de voor de verwerking verantwoordelijke opnieuw toestemming geeft om na de inwerkingtreding van de nationale bepalingen die op grond van deze Richtlijn zijn vastgesteld een verwerking van gevoelige gegevens te blijven uitvoeren die nodig is voor de uitvoering van een overeenkomst die op basis van vrije en geïnformeerde toestemming is gesloten vóór de inwerkingtreding van voornoemde bepalingen;

• Recommendation No. R(97)5 of the Committee of Ministers to Member States on the protection of medical data (1997): Where the data subject is required to give his/her consent, this consent should be free, express and informed. The results of any genetic analysis should be formulated within the limits of the objectives of the medical consultation, diagnosis or treatment for which consent was obtained.

• Recommendation No.R(89)2 of the Committee of Ministers to Member States on the protection of personal data used for employment purposes (1989) - (punten 10.2 en 10.3): An employee or job applicant may only be asked questions concerning his state of health and be medically examined in order a) to determine the suitability of an employee or job applicant for his present or future employment; b) to fulfil the requirements of preventive medicine; or c) to allow social benefits to be granted. Health data may not be collected from sources other than the employee concerned except with his express and informed consent or in accordance with provisions of domestic law.

arbeidsrechterlijke verplichting b) wanneer de verwerking noodzakelijk is met het oog op de uitvoering van de specifieke verplichtingen en rechten van de verantwoordelijke voor de verwerking met betrekking tot het arbeidsrecht; INTERNATIONALE WETGEVING • Artikel 8 § 2 b) van de Richtlijn 95/46/EG van het Europees Parlement en de Raad



142

persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): Lid 1 (De Lid-Staten verbieden de verwerking van persoonlijke gegevens waaruit de raciale of etnische afkomst, de politieke opvattingen, de godsdienstige of levensbeschouwelijke overtuiging, of het lidmaatschap van een vakvereniging blijkt, alsook de verwerking van gegevens die de gezondheid of het seksuele leven betreffen) is niet van toepassing wanneer de verwerking noodzakelijk is met het oog op de uitvoering van de verplichtingen en de rechten van de voor de verwerking verantwoordelijke inzake arbeidsrecht, voor zover zulks is toegestaan bij de nationale wetgeving en deze adequate garanties biedt.

• Recommendation No. R(89)2 of the Committee of Ministers to Member States on the protection of personal data used for employment purposes (1989) – (punten 10.2 en 10.3): An employee or job applicant may only be asked questions concerning his state of health and be medically examined in order a) to determine the suitability of an employee or job applicant for his present or future employment; b) to fulfil the requirements of preventive medicine; or c) to allow social benefits to be granted. Health data may not be collected from sources other than the employee concerned except with his express and informed consent or in accordance with provisions of domestic law.

sociale zekerheid c) wanneer de verwerking noodzakelijk is voor de verwezenlijking van een doelstelling vastgesteld door of krachtens de wet met het oog op de toepassing van de sociale zekerheid; INTERNATIONALE WETGEVING • Recommendation No.R(86)1 of the Committee of Ministers to Member States on the

protection of personal data used for social security purposes (1986).

volksgezondheid d) wanneer de verwerking noodzakelijk is voor de bevordering en de bescherming van de volksgezondheid met inbegrip van bevolkingsonderzoek;

zwaarwegend algemeen belang door wet verplicht e) wanneer de verwerking om redenen van zwaarwegend algemeen belang verplicht wordt door of krachtens een wet, een decreet of een ordonnantie;


143


betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): Mits passende waarborgen worden geboden, mogen de Lid-Staten om redenen van zwaarwegend algemeen belang bij nationale wet of bij een besluit van de toezichthoudende autoriteit nog andere afwijkingen naast die bedoeld in lid 2 (toestemming, arbeidsrechterlijke verplichting, verdediging van de vitale belangen, gerechtvaardigde activiteiten van een stichting, zelf duidelijk geopenbaarde gegevens) vaststellen.

verdediging vitale belangen f) wanneer de verwerking noodzakelijk is ter verdediging van vitale belangen van de betrokkene of van een andere persoon indien de betrokkene fysiek of juridisch niet in staat is om zijn toestemming te geven; INTERNATIONALE WETGEVING • Artikel 8 § 2 c) van de Richtlijn 95/46/EG van het Europees Parlement en de Raad

betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): Lid 1 (De Lid-Staten verbieden de verwerking van persoonlijke gegevens waaruit de raciale of etnische afkomst, de politieke opvattingen, de godsdienstige of levensbeschouwelijke overtuiging, of het lidmaatschap van een vakvereniging blijkt, alsook de verwerking van gegevens die de gezondheid of het seksuele leven betreffen) is niet van toepassing wanneer de verwerking noodzakelijk is ter verdediging van de vitale belangen van de betrokkene of van een andere persoon indien deze lichamelijk of juridisch niet in staat is van zijn instemming te getuigen

• Overweging 31 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): (31) Overwegende dat de verwerking van persoonsgegevens ook als geoorloofd moet worden beschouwd wanneer zij wordt uitgevoerd ter bescherming van een belang dat voor het leven van de betrokkene essentieel is.

ter voorkoming van gevaar of beteugeling bij strafrechtelijke inbreuk g) wanneer de verwerking noodzakelijk is voor het voorkomen van een concreet gevaar of voor de beteugeling van een bepaalde strafrechtelijke inbreuk;


144

zelf duidelijk geopenbaarde gegevens h) wanneer de verwerking betrekking heeft op gegevens die duidelijk door de betrokkene zijn openbaar gemaakt; INTERNATIONALE WETGEVING • Artikel 8 § 2 e) van de Richtlijn 95/46/EG van het Europees Parlement en de Raad


ter verdediging in rechte i) wanneer de verwerking noodzakelijk is voor de vaststelling, de uitoefening of de verdediging van een recht in rechte; INTERNATIONALE WETGEVING • Artikel 8 § 2 e) van de Richtlijn 95/46/EG van het Europees Parlement en de Raad


geneeskunde j) wanneer de verwerking noodzakelijk is voor doeleinden van preventieve geneeskunde of medische diagnose, het verstrekken van zorg of behandelingen aan de betrokkene of een verwant, of het beheer van de gezondheidsdiensten handelend in het belang van de betrokkene en de gegevens worden verwerkt onder het toezicht van een beroepsbeoefenaar in de gezondheidszorg;


145



ADVIEZEN VAN DE GROEP 29 • Groep 29, Werkdocument inzake de verwerking van persoonsgegevens betreffende

gezondheid in elektronische medische dossiers (EMD) (15 februari 2007 – WP 131): in dit werkdocument over de verwerking van persoonsgegevens betreffende de gezondheid in elektronische medische dossiers (EMD) geeft de Werkgroep “Artikel 29” aanwijzingen over hoe het juridisch kader voor gegevensbescherming van toepassing kan zijn op de EMD-systemen, hoe het moet geïnterpreteerd worden en worden er bepaalde algemene beginselen toegelicht. Het document geeft ook aanwijzingen over de vereisten inzake gegevensbescherming waaraan de EMD-instellingen moeten voldoen alsook de toepasselijke garanties. De werkgroep “artikel 29” onderzoekt eerst het algemeen juridisch kader voor gegevensbescherming voor EMD-systemen. Er wordt herinnerd aan het algemeen verbod van artikel 8, § 1 van de Richtlijn 95/46/EG inzake gegevensbescherming op het verwerken van persoonsgegevens die de gezondheid betreffen om vervolgens te onderzoeken of de uitzonderingen die voorzien werden in artikel 8, § 2,3 en 4 van diezelfde Richtlijn van toepassing kunnen zijn voor EMD-systemen, waarbij wordt aangedrongen op de noodzaak van een strikte interpretatie van de uitzonderingen. De Groep “Artikel 29” denkt ook na over een aangepast juridisch kader voor EMD-systemen en doet daarbij aanbevelingen over elf onderwerpen waarvoor er binnen de EMD-systemen speciale garanties bijzonder noodzakelijk blijken te zijn om de rechten op gegevensbescherming van de patiënten en personen te kunnen waarborgen. Het gaat over de volgende onderwerpen: 1. eerbiediging van het zelfbeschikkingsrecht; 2. identificatie en authentificering van patiënten en zorgverleners; 3. machtiging voor de toegang tot EMD’s met het oog op lezen en schrijven van het EMD; 4. het gebruik van EMD’s voor andere doeleinden; 5. organisatorische opzet van een EMD-systeem; 6. categorieën van in het EMD opgeslagen gegevens en wijze van presentatie; 7. internationale doorgifte van medische dossiers; 8. gegevensbeveiliging; 9. transparantie; 10. aansprakelijkheidskwesties; 11. controlemechanismen voor de verwerking van in EMD’s opgenomen gegevens.


146

De Werkgroep “Artikel 29” heeft het medisch korps, alle zorgverleners, alle betrokken personen en instellingen en de bevolking in het algemeen verzocht dit werkdocument te becommentariëren. Deze raadpleging is lopende.

wetenschappelijk onderzoek k) wanneer de verwerking noodzakelijk is voor het wetenschappelijk onderzoek en verricht wordt onder de voorwaarden vastgesteld door de Koning bij een in Ministerraad overlegd besluit, na advies van de Commissie voor de bescherming van de persoonlijke levenssfeer.

bijzondere voorwaarden bij KB § 3. De Koning legt, bij een in Ministerraad overlegd besluit en na advies van de Commissie voor de bescherming van de persoonlijke levenssfeer, bijzondere voorwaarden vast waaraan de verwerking van de in dit artikel bedoelde persoonsgegevens moet voldoen. KONINKLIJK BESLUIT VAN 13 FEBRUARI 2001 • Artikel 25 van het Koninklijk besluit van 13 februari 2001 ter uitvoering van de wet van 8



2 hij of, in voorkomend geval, de verwerker moet de lijst van de aldus aangewezen categorien van personen ter beschikking houden van de Commissie;




147

enkel verwerking door beroeps geheimhouding

§ 4 Persoonsgegevens betreffende de gezondheid mogen, behoudens schriftelijke toestemming van de betrokkene of wanneer de verwerking noodzakelijk is voor het voorkomen van een dringend gevaar of voor de beteugeling van een bepaalde strafrechtelijke inbreuk, enkel worden verwerkt onder de verantwoordelijkheid van een beroepsbeoefenaar in de gezondheidszorg. De Koning kan, na advies van de Commissie voor de bescherming van de persoonlijke levenssfeer en bij een in Ministerraad overlegd besluit, bepalen welke categorieën van personen als beroepsbeoefenaars in de gezondheidszorg in de zin van deze wet worden beschouwd. Bij de verwerking van de in dit artikel bedoelde persoonsgegevens zijn de beroepsbeoefenaar in de gezondheidszorg en zijn aangestelden of gemachtigden, tot geheimhouding verplicht. INTERNATIONALE WETGEVING • Recommendation No.R(97)5 of the Committee of Ministers to Member States on the

protection of medical data (1997) – (punt 3.2.): Medical data may only be collected and processed if in accordance with appropriate safeguards which must be provided by domestic law. In principle, medical data should be collected and processed only by health-care professionals, or by individuals or bodies working on behalf of health-care professionals. Individuals or bodies working on behalf of health-care professionals who collect and process medical data should be subject to the same rules of confidentiality incumbent on health-care professionals, or to comparable rules of confidentiality.

• Recommendation No.R(89)2 of the Committee of Ministers to Member States on the protection of personal data used for employment purposes (1989) – (punt 10.4.): Health data covered by medical secrecy should only be stored by personnel who are bound by rules on medical secrecy. The information should only be communicated to other members of the personnel administration if it is indispensable for decision-making by the latter and in accordance with provisions of domestic law.

• Artikel 8 § 3 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): Lid 1 (De Lid-Staten verbieden de verwerking van persoonlijke gegevens waaruit de raciale of etnische afkomst, de politieke opvattingen, de godsdienstige of levensbeschouwelijke overtuiging, of het lidmaatschap van een vakvereniging blijkt, alsook de verwerking van gegevens die de gezondheid of het seksuele leven betreffen.) is niet van toepassing wanneer de verwerking van de gegevens noodzakelijk is voor de doeleinden van preventieve geneeskunde of medische diagnose, het verstrekken van zorg of behandelingen of het beheer van gezondheidsdiensten en wanneer die gegevens worden verwerkt door een gezondheidswerker die onderworpen is aan het in de nationale wetgeving, of in de door nationale bevoegde instanties vastgestelde regelgeving, vastgelegde


148

beroepsgeheim of door een andere persoon voor wie een gelijkwaardige geheimhoudingsplicht geldt.

• Overweging 33 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): Overwegende dat gegevens die wegens hun aard op de fundamentele vrijheden of op de persoonlijke levenssfeer inbreuk kunnen maken zonder uitdrukkelijke toestemming van de betrokkene niet het voorwerp van verwerking mogen zijn; dat evenwel uitdrukkelijk moet worden voorzien in afwijkingen van dit verbod om aan specifieke behoeften te voldoen, met name wanneer de gegevensverwerking wordt gebruikt voor gezondheidsdoeleinden door personen voor wie een beroepsgeheim geldt, of voor het uitvoeren van wettige activiteiten door bepaalde verenigingen of stichtingen (…).

inzameling bij betrokkene

voorwaarden inzameling § 5. Persoonsgegevens betreffende de gezondheid moeten worden ingezameld bij de betrokkene. Zij kunnen slechts via andere bronnen worden ingezameld op voorwaarde dat dit in overeenstemming is met de paragrafen 3 en 4 van dit artikel en dat dit noodzakelijk is voor de doeleinden van de verwerking of de betrokkene niet in staat is om de gegevens te bezorgen. RECHTSPRAAK VAN HET EUROPEES HOF VOOR DE RECHTEN VAN DE MENS • Z. t. Finland van 25 februari 1997, de gebundelde arresten en vonnissen 1997-1 (Artikel 8

van het Verdrag). Inbeslagname van medische bestanden en bijvoeging ervan aan het onderzoeksdossier zonder voorafgaande toestemming van de patiënt gedurende de strafrechtelijke vervolging; beperking van de vertrouwelijkheidstermijn voor de bedoelde medische gegevens; bekendmaking van de identiteit en de seroposiviteit van de betrokkene is een arrest dat tijdens de procedure werd geveld.

• Anne-Marie Andersson t. Zweden van 27 augustus 1997, de gebundelde arresten en vonnissen 1997 – IV (geen schending van het Verdrag). Onmogelijkheid voor een patiënte om een maatregel voor de rechtbank aan te vechten zonder voorafgaande doorgifte van haar persoonlijke, medische en vertrouwelijke gegevens door de medische autoriteit aan een sociale dienst.

• M.S. t. Zweden van 27 augustus 1997, de gebundelde arresten en vonnissen 1997 – IV,

(geen schending van het Verdrag). Mededeling van medische, vertrouwelijke, persoonlijke gegevens van een patiënte door een openbare overheid aan een andere openbare overheid zonder haar toestemming en de onmogelijkheid voor de betrokken om dit voordat de maatregel is genomen aan te vechten bij de rechtbank. Toepasbaarheid van artikel 8: in het Zweedse systeem hing de omstreden bekendmaking niet alleen af van het feit dat de verzoekster een aanvraag tot schadeloosstelling indiende


149

bij de sociale zekerheidskas maar ook van een reeks elementen waarover de betrokkene geen controle had – er kon dus uit haar aanvraag niet worden opgemaakt dat zij, voor wat haar medisch dossier bij de dienst gynaecologie betreft, ondubbelzinnig afstand heeft gedaan van haar recht op eerbiediging van haar persoonlijke levenssfeer – artikel 8§1 is hier dus van toepassing (§§31-33). Bestaan van een inmenging: het bewuste medisch dossier bevatte gegevens over de betrokkene van uiterst persoonlijke en gevoelige aard - hoewel vertrouwelijk werd het dossier van de ene openbare dienst doorgegeven naar de andere en bijgevolg aan een groter aantal ambtenaren – de verzameling en bewaring van informatie bij de dienst gynaecologie en de latere doorgifte ervan aan de Sociale kas gebeurde voor verschillende doeleinden – de mededeling is dus een schending van het recht van de verzoekster op eerbiediging van haar persoonlijke levenssfeer (§35). Rechtvaardiging van de inmenging?: het Hof concludeert dat de mededeling niet disproportioneel was ten opzichte van het gerechtvaardigd nagestreefd doel: de dienst oordeelde rechtmatig dat de mededeling van alle gegevens ter zake dienend waren, de mededeling was onderworpen aan aanzienlijke beperkingen en was vergezeld van doeltreffende en voldoende garanties tegen misbruik. Zie § 41: het Hof herinnert eraan dat de bescherming van persoonsgegevens en meer specifiek van medische gegevens van fundamenteel belang is voor de uitoefening van het recht op eerbiediging van het privé- en gezinsleven, gewaarborgd door artikel 8 van het Verdrag. Het eerbiedigen van het vertrouwelijk karakter van de informatie over de gezondheid is een essentieel beginsel binnen het juridisch systeem van alle contractanten van het Verdrag. Dit is van kapitaal belang om het leven van de zieken te beschermen maar ook om hun vertrouwen de behouden in het medisch korps en de gezondheidsdiensten in het algemeen. De interne wetgeving moet alle gepaste waarborgen inbouwen om te vermijden dat er persoonsgegevens betreffende de gezondheid worden medegedeeld of bekendgemaakt die niet conform zijn aan de waarborgen bepaald in artikel 8 van het Verdrag (Arrest Z. t. Finland van 25 februari 1997).

• Panteleyenko t. Oekraïne van 29 juni 2006, nr. 11907/02. Het bekendmaken van

vertrouwelijke informatie over de mentale en psychiatrische toestand van de verzoeker tijdens een zitting op de rechtbank

• L.L. t. Frankrijk van 10 oktober 2006, nr. 7508/02 (schending van artikel 8). Niet-naleving

van het medisch geheim. Bekendmaken door het Franse Hof van Beroep van persoonlijke, medische gegevens over de verzoeker.

Artikel 8: gerechtelijke persoonsgegevens

150

Artikel 8.

gerechtelijke persoonsgegevens

verbod verwerking Overtreden strafbaar gesteld: zie art. art; 39, 3°, 40 et 41 WVP § 1. De verwerking van persoonsgegevens inzake geschillen voorgelegd aan hoven en rechtbanken alsook aan administratieve gerechten, inzake verdenkingen, vervolgingen of veroordelingen met betrekking tot misdrijven, of inzake administratieve sancties of veiligheidsmaatregelen, is verboden. INTERNATIONALE WETGEVING • Artikel 6 van het Verdrag nr. 108 van de Raad van Europa tot bescherming van personen ten

opzichte van de geautomatiseerde verwerking van persoonsgegevens (1981) : Persoonsgegevens waaruit ras, politieke overtuiging, godsdienstige of andere levensbeschouwing blijkt, alsmede die welke betrekking hebben op gezondheid of seksueel gedrag, mogen niet langs geautomatiseerde weg worden verwerkt, tenzij het interne recht passende waarborgen ter zake biedt. Hetzelfde geldt voor persoonsgegevens over strafrechtelijke veroordelingen.

• Explanatory Report of the Convention n°108 (punten 43-48) : 43. While the risk that data processing is harmful to persons generally depends not on the contents of the data but on the context in which they are used, there are exceptional cases where the processing of certain categories of data is as such likely to lead to encroachments on individual rights and interests. Categories of data which in all member States are considered to be especially sensitive are listed in this article. 47. By "criminal convictions" in the sense of this article should be understood: convictions based on criminal law and in the framework of a criminal procedure. 48. The list of this article is not meant to be exhaustive. A Contracting State may, in conformity with Article 11, include in its domestic law other categories of sensitive data, the processing of which is prescribed or restricted. The degree of sensitivity of categories of data depends on the legal and sociological context of the country concerned. Information on trade union membership for example may be considered to entail as such a privacy risk in one country, whereas in other countries it is considered sensitive only in so far as it is closely connected with political or religious views.

VERSLAGEN EN STUDIES VAN DE RAAD VAN EUROPA • Raad van Europa, Revisiting Sensitive Data (1999), by M. Spiros SIMITIS • Raad van Europa, Report on the impact of data protection principles on judicial data in

criminal matters including in the framework of judicial co-operation in criminal matters (2002)


151

toegelaten verwerking § 2. Het verbod om de in § 1 bedoelde persoonsgegevens te verwerken, is niet van toepassing op verwerkingen : INTERNATIONALE WETGEVING • Artikel 9 1) en 2) van het Verdrag nr. 108 van de Raad van Europa tot bescherming van

personen ten opzichte van de geautomatiseerde verwerking van persoonsgegevens (1981) : Van het in de artikelen 5 (¨kwaliteit van de gegevens) , 6 (bijzondere categorieën gegevens) en 8 van, dit Verdrag bepaalde kan worden afgeweken, indien de wet in een dergelijke afwijking voorziet en het hier een maatregel betreft die in een democratische samenleving noodzakelijk is ten behoeve van : - de bescherming van de veiligheid van de Staat, de openbare veiligheid, de geldelijke

belangen van de Staat of de bestrijding van strafbare feiten; - de bescherming van de betrokkene en van de rechten en vrijheden van anderen.

• Artikel 8 § 5 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): Verwerkingen van gegevens inzake overtredingen, strafrechtelijke veroordelingen of veiligheidsmaatregelen mogen alleen worden verricht onder toezicht van de overheid of indien de nationale wetgeving voorziet in passende specifieke waarborgen, behoudens afwijkingen die een Lid-Staat kan toestaan uit hoofde van nationale bepalingen welke passende en specifieke waarborgen bieden. Een volledig register van strafrechtelijke veroordelingen mag alleen worden bijgehouden onder toezicht van de overheid.

De Lid-Staten kunnen voorschrijven dat ook verwerkingen van gegevens inzake administratieve sancties of burgerrechtelijke beslissingen onder toezicht van de overheid kunnen worden verricht.

ter uitoefening van een taak onder toezicht van gerechtelijke overheid a) onder toezicht van een openbare overheid of van een ministeriële ambtenaar in de zin van het Gerechtelijk Wetboek, indien de verwerking noodzakelijk is voor de uitoefening van hun taken;

ter verwezenlijking doel door of krachtens wet vastgesteld b) door andere personen, indien de verwerking noodzakelijk is voor de verwezenlijking van doeleinden die door of krachtens een wet, een decreet of een ordonnantie zijn vastgesteld;


152

voor beheer eigen geschillen c) door natuurlijke personen of door privaatrechtelijke of publiekrechtelijke rechtspersonen inzoverre dat noodzakelijk is voor het beheer van hun eigen geschillen;

advocaat of raadsman ter verdediging d) door advocaten of andere juridische raadgevers inzoverre de verwerking noodzakelijk is voor de verdediging van de belangen van de cliënten;

wetenschappelijk onderzoek e) die noodzakelijk zijn voor het wetenschappelijk onderzoek en verricht worden onder de voorwaarden vastgesteld door de Koning bij een in Ministerraad overlegd besluit, na advies van de Commissie voor de bescherming van de persoonlijke levenssfeer. RECHTSPRAAK VAN HET EUROPEES HOF VOOR DE RECHTEN VAN DE MENS • Petre t. Roemenië van 27 juni 2006, verzoek nr. 71649/01 (schending van artikel 6 § 1 van

het Verdrag). Voorlopige inschrijving in het strafregister. Verzoek om schrapping van de gegevens. De verzoeker beklaagt zich over de invloed ervan op zijn privé- en beroepsleven.

beroepsgeheim § 3. De personen die krachtens § 2 gemachtigd zijn om de in § 1 bedoelde persoonsgegevens te verwerken, zijn tot geheimhouding verplicht.

bijzondere voorwaarden § 4. De Koning legt, bij een in Ministerraad overlegd besluit, na advies van de Commissie voor de bescherming van de persoonlijke levenssfeer, bijzondere voorwaarden vast waaraan de verwerking van de in § 1 bedoelde persoonsgegevens moet voldoen.


153

KONINKLIJK BESLUIT VAN 13 FEBRUARI 2001 • Artikel 25 van het Koninklijk besluit van 13 februari 2001 ter uitvoering van de wet van 8



2 hij of, in voorkomend geval, de verwerker moet de lijst van de aldus aangewezen categorieën van personen ter beschikking houden van de Commissie;



Artikel 9: informatieverplichting van de verantwoordelijke bij opname persoonsgegevens kennisgeving aan de betrokkene bij opname persoonsgegevens

154

HOOFDSTUK III. - Rechten van de betrokkene. INTERNATIONALE WETGEVING • Overweging 25 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad

betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): Overwegende dat de beginselen van de bescherming enerzijds tot uiting moeten komen in de verplichtingen die aan de personen, overheidsinstanties, ondernemingen of andere lichamen die de verwerkingen uitvoeren, worden opgelegd, verplichtingen die met name betrekking hebben op de kwaliteit van de gegevens, de technische beveiliging, de aanmelding bij de toezichthoudende autoriteit en de omstandigheden waarin de verwerking kan worden uitgevoerd, en anderzijds in het feit dat aan personen wier gegevens het voorwerp van verwerkingen zijn, het recht wordt verleend om daarvan in kennis te worden gesteld, tot die gegevens toegang te krijgen, de rectificatie ervan te verlangen en zelfs om zich in bepaalde omstandigheden tegen verwerking te verzetten.

Artikel 9.

informatieverplichting van de verantwoordelijke bij opname persoonsgegevens

kennisgeving aan de betrokkene bij opname persoonsgegevens Overtreden strafbaar gesteld: zie art. 39, 9°, 40 et 41 WVP § 1. Indien persoonsgegevens betreffende de betrokkene bij hemzelf worden verkregen, moet de verantwoordelijke voor de verwerking of diens vertegenwoordiger uiterlijk op het moment dat de gegevens worden verkregen aan de betrokkene ten minste de hierna volgende informatie verstrekken, behalve indien hij daarvan reeds op de hoogte is : a) de naam en het adres van de verantwoordelijke voor de verwerking en, in voorkomend geval, van diens vertegenwoordiger; b) de doeleinden van de verwerking; c) het bestaan van een recht om zich op verzoek en kosteloos tegen de voorgenomen verwerking van hem betreffende persoonsgegevens te verzetten, indien de verwerking verricht wordt met het oog op direct marketing;


155

INTERNATIONALE WETGEVING • Zie Recommendation No.R(85)20 of the Committee of Ministers to Member States on the

protection of personal data used for the purposes of direct marketing (1985). d) andere bijkomende informatie, met name :

- de ontvangers of de categorieën ontvangers van de gegevens, - het al dan niet verplichte karakter van het antwoord en de eventuele

gevolgen van niet-beantwoording, - het bestaan van een recht op toegang en op verbetering van de

persoonsgegevens die op hem betrekking hebben; behalve indien die verdere informatie, met inachtneming van de specifieke omstandigheden waaronder de persoonsgegevens verkregen worden, niet nodig is om tegenover de betrokkene een eerlijke verwerking te waarborgen;

e) andere informatie afhankelijk van de specifieke aard van de verwerking, die wordt opgelegd door de Koning na advies van de Commissie voor de bescherming van de persoonlijke levenssfeer. INTERNATIONALE WETGEVING • Artikel 8 a) van het Verdrag nr. 108 van de Raad van Europa tot bescherming van

personen ten opzichte van de geautomatiseerde verwerking van persoonsgegevens (1981) : Een ieder dient in staat te worden gesteld kennis te nemen van het bestaan van een geautomatiseerd bestand van persoonsgegevens, de voornaamste doeleinden hiervan, alsmede de identiteit en de gewone verblijfplaats of de hoofdvestiging van de houder van het bestand.

• Recommendation No.R(86)1 of the Committee of Ministers to Member States on the protection of personal data used for social security purposes (1986) – (punt 3): 3.2. Wherever possible, personal data should be obtained by the social security institutions from the person concerned. 3.3. Social security institutions may, if appropriate, consult other sources as provided for by domestic law. However, personal data of a sensitive nature may be obtained from other sources only with the informed and express consent of the person concerned or in accordance with other safeguards laid down by domestic law.

• Recommendation No. R(89)2 of the Committee of Ministers to Member States on the protection of personal data used for employment purposes (1989): In accordance with domestic law or practice and, where appropriate, in accordance with relevant collective agreements, employers should, in advance, fully inform or consult their employees or the representatives of the latter about the introduction or adaptation of automated systems for the collection and use of personal data of employees. This principle also applies to the introduction or adaptation of technical devices designed to monitor the movements or productivity of employees. 3.2. The agreement of employees or their representatives should be sought before the introduction or adaptation of such systems or devices where the consultation procedure referred to in paragraph 3.1 reveals a possibility of infringement of employees' right to


156

respect for privacy and human dignity unless domestic law or practice provides other appropriate safeguards.

• Recommendation No. R(89)2 of the Committee of Ministers to Member States on the protection of personal data used for employment purposes (1989): 4.1. Personal data should in principle be obtained from the individual employee. The individual concerned should be informed when it is appropriate to consult sources outside the employment relationship.

• Recommendation No. R(89)2 of the Committee of Ministers to Member States on the protection of personal data used for employment purposes (1989): 4.3. In the course of a recruitment procedure, the data collected should be limited to such as are necessary to evaluate the suitability of prospective candidates and their career potential. In the course of such a procedure, personal data should be obtained solely from the individual concerned. Subject to provisions of domestic law, sources other than the individual may only be consulted with his consent or if he has been informed in advance of this possibility. 4.4. Recourse to tests, analyses and similar procedures designed to assess the character or personality of the individual should not take place without his consent or unless domestic law provides other appropriate safeguards. If he so wishes, he should be informed of the results of these tests.

• Recommendation No. R(97)5 of the Committee of Ministers to Member States on the protection of medical data (1997) – (punt 4.2.) Medical data shall in principle be obtained from the data subject. They may only be obtained from other sources if in accordance with Principles 4, 6 and 7 of this recommendation and if this is necessary to achieve the purpose of the processing or if the data subject is not in a position to provide the data. Zie ook punt 5 over de inhoud van de kennisgeving. 5.3. De kennisgeving aan de betrokken persoon zou bij voorkeur individueel moeten gebeuren.

• Recommendation No.R(97)5 of the Committee of Ministers to Member States on the protection of medical data (1997) – (punt 5.4.): Before a genetic analysis is carried out, the data subject should be informed about the objectives of the analysis and the possibility of unexpected findings.

• Recommandation No.R(2002)9 of the Committee of Ministers to Member States on the protection of personal data collected and processed for insurance purposes (2002) – (punt 5.4.) : Information for the data subject must be appropriate and adapted to the circumstances.

• Artikel 10 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): De Lid-Staten bepalen dat de voor de verwerking verantwoordelijke of diens vertegenwoordiger aan de betrokkene, bij wie de betrokkene zelf betreffende gegevens worden verkregen, ten minste de hierna volgende informatie moet verstrekken, behalve indien de betrokkene daarvan reeds op de hoogte is: a) de identiteit van de voor de verwerking verantwoordelijke en, in voorkomend geval, van

diens vertegenwoordiger, b) de doeleinden van de verwerking waarvoor de gegevens zijn bestemd, c) verdere informatie zoals

- de ontvangers of de categorieën ontvangers van de gegevens;


157

- antwoord op de vraag of men al dan niet verplicht is om te antwoorden en de eventuele gevolgen van niet-beantwoording,

- het bestaan van een recht op toegang tot zijn eigen persoonsgegevens en op rectificatie van deze gegevens,

voor zover die, met inachtneming van de specifieke omstandigheden waaronder de verdere informatie verkregen wordt, nodig is om tegenover de betrokkene een eerlijke verwerking te waarborgen.


betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): Overwegende dat eerlijke verwerking van gegevens veronderstelt dat de betrokkenen van het bestaan van de verwerkingen op de hoogte kunnen zijn en, wanneer van hen gegevens worden verkregen, daadwerkelijk en volledig worden ingelicht over de omstandigheden waaronder deze gegevens worden verkregen;

• Artikel 11 van de Verordening (EG) nr. 45/2001 van het Europees Parlement en de Raad

van 18 december 2000 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de communautaire instellingen en organen en betreffende het vrije verkeer van die gegevens (2000): 1. Naast de inlichtingen vereist door de Richtlijn 95/46/EG (artikel 10), stelt deze bepaling dat de verantwoordelijke voor de verwerking deelt ten minste (…) f) verdere informatie mee zoals: i) de rechtsgrondslag van de verwerking waarvoor de gegevens bestemd zijn, ii) de termijn gedurende welke de gegevens worden bewaard, iii) het recht om de Europese Toezichthouder voor gegevensbescherming te allen tijde aan te zoeken; voorzover die verdere informatie, met inachtneming van de bijzondere omstandigheden waaronder de gegevens worden verzameld, nodig is om tegenover de betrokkene eerlijke verwerking te waarborgen. 2. In afwijking van lid 1 mag mededeling van informatie of van een deel ervan, met uitzondering van de informatie bedoeld in lid 1, punten a), b) en d) worden uitgesteld zolang dit noodzakelijk is voor statistische doeleinden. De informatie wordt meegedeeld zodra de reden waarom zij werd achtergehouden, niet meer bestaat.

§ 2. Indien de persoonsgegevens niet bij de betrokkene zijn verkregen, moet de verantwoordelijke voor de verwerking of zijn vertegenwoordiger, op het moment van de registratie van de gegevens of wanneer mededeling van de gegevens aan een derde wordt overwogen, uiterlijk op het moment van de eerste mededeling van de gegevens, ten minste de volgende informatie verstrekken, tenzij de betrokkene daarvan reeds op de hoogte is : a) de naam en het adres van de verantwoordelijke voor de verwerking en, in voorkomend geval, van diens vertegenwoordiger; b) de doeleinden van de verwerking; c) het bestaan van een recht om zich op verzoek en kosteloos tegen de voorgenomen verwerking van hem betreffende persoonsgegevens te verzetten, indien de verwerking verricht wordt met het oog op direct marketing; in dit geval dient de betrokkene in kennis te worden gesteld vooraleer de


158

persoonsgegevens voor de eerste keer aan een derde worden verstrekt of voor rekening van derden worden gebruikt voor direct marketing; d) andere bijkomende informatie, met name : - de betrokken gegevenscategorieën; - de ontvangers of de categorieën ontvangers; - het bestaan van een recht op toegang en op verbetering van de persoonsgegevens die op hem betrekking hebben; behalve indien die verdere informatie, met inachtneming van de specifieke omstandigheden waaronder de gegevens verwerkt worden, niet nodig is om tegenover de betrokkene een eerlijke verwerking te waarborgen; e) andere informatie afhankelijk van de specifieke aard van de verwerking, die wordt opgelegd door de Koning na advies van de Commissie voor de bescherming van de persoonlijke levenssfeer KONINKLIJK BESLUIT VAN 13 FEBRUARI 2001 • Artikel 35 van het Koninklijk besluit van 13 februari 2001 ter uitvoering van de wet van 8

december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (2001): Ingeval de persoonsgegevens niet bij de betrokken persoon worden verzameld, vraagt de verantwoordelijke voor de verwerking, die onderworpen is aan artikel 9, § 2, c), van de wet, aan die persoon schriftelijk of hij het recht op verzet waarin artikel 12, § 1, derde lid, van de wet voorziet, wenst uit te oefenen.

INTERNATIONALE WETGEVING • Artikel 8 a) van het Verdrag nr. 108 van de Raad van Europa tot bescherming van

personen ten opzichte van de geautomatiseerde verwerking van persoonsgegevens (1981) : Een ieder dient in staat te worden gesteld kennis te nemen van het bestaan van een geautomatiseerd bestand van persoonsgegevens, de voornaamste doeleinden hiervan, alsmede de identiteit en de gewone verblijfplaats of de hoofdvestiging van de houder van het bestand.

• Zie Recommendation No.R(85)20 of the Committee of Ministers to Member States on the protection of personal data used for the purposes of direct marketing (1985).

• Recommendation No.R(89)2 of the Committee of Ministers to Member States on the protection of personal data used for employment purposes (1989) - (punt 4.1.): Personal data should in principle be obtained from the individual employee. The individual concerned should be informed when it is appropriate to consult sources outside the employment relationship.

• Recommendation No.R(97)5 of the Committee of Ministers to Member States on the protection of medical data (1997) – (punt 4.2.): Medical data shall in principle be obtained from the data subject. They may only be obtained from other sources if in accordance with Principles 4, 6 and 7 of this recommendation and if this is necessary to achieve the purpose of the processing or if the data subject is not in a position to provide the data.


159

Zie ook punt 5 betreffende de inhoud van de informatie.

• Recommandation No.R(2002)9 of the Committee of Ministers to Member States on the protection of personal data collected and processed for insurance purposes (2002) - (punt 5.4.) : Information for the data subject must be appropriate and adapted to the circumstances.

• Recommandation No.R(2002)9 of the Committee of Ministers to Member States on the protection of personal data collected and processed for insurance purposes (2002) – (punt 5.5.) : If data subjects have no legal capacity and are unable to make their own decisions freely, and if domestic law does not premit them to act on their own behalf, the information must be provided to the persons legally empowered to act on behalf of those data subjects. Recommendation N° R (97) 5 of the Committee of Ministers to Member States on the protection of medical data (1997) bevat identieke bepalingen. Zij voegt er echter (5.5. tweede lid) aan toe dat «If a legally incapacitated person is capable of understanding, he/she should be informed before his/her data are collected or processed».

• Artikel 11 § 1 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): Informatieverstrekking aan de betrokkene wanneer de gegevens niet bij de betrokkene zijn verkregen. De Lid-Staten bepalen dat wanneer de gegevens niet bij de betrokkene zijn verkregen de voor de verwerking verantwoordelijke of diens vertegenwoordiger, op het moment van registratie van de gegevens of wanneer verstrekking van de gegevens aan een derde wordt overwogen, aan de betrokkene uiterlijk op het moment van de eerste verstrekking van de gegevens ten minste de volgende informatie moet verstrekken, tenzij de betrokkene daarvan reeds op de hoogte is: a) de identiteit van de voor de verwerking verantwoordelijke en, in voorkomend geval, van

diens vertegenwoordiger, b) de doeleinden van de verwerking, c) verdere informatie zoals

- de betrokken gegevenscategorieën; - de ontvangers of de categorieën ontvangers; - het bestaan van een recht op toegang tot zijn eigen persoonsgegevens en op

rectificatie van deze gegevens, voor zover die, met inachtneming van de specifieke omstandigheden waaronder de verdere informatie verzameld wordt, nodig is om tegenover de betrokkene een eerlijke verwerking te waarborgen.


betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): Overwegende dat bepaalde verwerkingen betrekking hebben op gegevens die de verantwoordelijke niet rechtstreeks van de betrokkene heeft verkregen; dat gegevens voorts rechtmatig kunnen worden meegedeeld aan een derde, ook al was zulks ten tijde van het verkrijgen van de gegevens van de betrokkene niet voorzien; dat in al deze gevallen de informatie aan de betrokkene dient te worden verstrekt op het moment van de registratie van de gegevens of, uiterlijk, wanneer de gegevens voor de eerste maal aan een derde worden meegedeeld.

• Artikel 11 van de Verordening (EG) nr. 45/2001 van het Europees Parlement en de Raad van 18 december 2000 betreffende de bescherming van natuurlijke personen in verband


160

met de verwerking van persoonsgegevens door de communautaire instellingen en organen en betreffende het vrije verkeer van die gegevens (2000): 1. Naast de inlichtingen vereist door de Richtlijn 95/46/EG (artikel 10), stelt deze bepaling dat de verantwoordelijke voor de verwerking deelt ten minste (…) f) verdere informatie mee zoals: i) de rechtsgrondslag van de verwerking waarvoor de gegevens bestemd zijn, ii) de termijn gedurende welke de gegevens worden bewaard, iii) het recht om de Europese Toezichthouder voor gegevensbescherming te allen tijde aan te zoeken; voorzover die verdere informatie, met inachtneming van de bijzondere omstandigheden waaronder de gegevens worden verzameld, nodig is om tegenover de betrokkene eerlijke verwerking te waarborgen. 2. In afwijking van lid 1 mag mededeling van informatie of van een deel ervan, met uitzondering van de informatie bedoeld in lid 1, punten a), b) en d) worden uitgesteld zolang dit noodzakelijk is voor statistische doeleinden. De informatie wordt meegedeeld zodra de reden waarom zij werd achtergehouden, niet meer bestaat.

NATIONALE RECHTSPRAAK • Cour d’appel de Liège (3ème ch.), 5 juin 1991, Computer and Telecoms law Review, 1994/1,

pp. 32 et s. avec note de T. Léonard, E. Montero, « La responsabilité civile du fait de données à caractère personnel inexactes diffusées par une mutuelle d’information » et J.T., 1992. Sans que soit mis en cause le principe de la légalité et de la licéité d’une mutuelle d’information privée rassemblant des données sur les débiteurs défaillants, le système mis en place au sein de l’Union Professionnelle de Crédit (UPC) est jugé fautif et générateur de responsabilité. Il méconnaît en effet les droits essentiels de la personne privée et porte gravement atteinte à la protection du consommateur de crédit : - en édictant l’irresponsabilité de la mutuelle quant à l’exactitude des données fournies et

à l’utilisation qui en est faite ; - en instaurant et maintenant le caractère négatif et statistique des données ; - en fonctionnant à l’insu du débiteur mentionné, qui est sciemment laissé dans

l’ignorance de l’existence du fichier et de l’enregistrement d’une donnée le concernant ; - en rendant impossible tout contact entre la mutuelle et le débiteur mentionné autrement

que par l’intermédiaire du membre sollicitant l’inscription. • Civ. Bruxelles (prés.), 22 mars 1994, J.T., 1994, pp. 841 et s. avec Observations de T.

Léonard. Le droit à l’information conféré par la loi du 8 décembre 1992 est un droit fondamental qui a pour but d’autoriser tout citoyen à vérifier s’il n’y a pas, dans un fichier, d’information inexacte, incomplète ou non pertinente, qui pourrait donner ou menacer de donner une image inexacte, défavorable ou trompeuse de sa personnalité. Le maître du fichier doit procéder avec prudence au traitement des données qu’il reçoit, en étant constamment attentif à la finalité du traitement. Il ne peut donc reprendre servilement les données fournies par un tiers, mais doit vérifier s’il n’est pas prématuré de les traiter. Outre la suppression, sous peine d’astreinte, de la mention inexacte, un dédommagement moral peut être alloué et fixé ex aequo et bono.


161

vrijstelling van kennisgeving De verantwoordelijke voor de verwerking wordt van de in deze paragraaf bedoelde kennisgeving vrijgesteld : a) wanneer, met name voor statistische doeleinden of voor historisch of wetenschappelijk onderzoek of voor bevolkingsonderzoek met het oog op de bescherming en de bevordering van de volksgezondheid, de kennisgeving aan de betrokkene onmogelijk blijkt of onevenredig veel moeite kost; b) wanneer de registratie of de verstrekking van de persoonsgegevens verricht wordt met het oog op de toepassing van een bepaling voorgeschreven door of krachtens een wet, een decreet of een ordonnantie. De Koning bepaalt bij een in Ministerraad overlegd besluit na advies van de Commissie voor de bescherming van de persoonlijke levenssfeer de voorwaarden voor de toepassing van het vorige lid. Indien de eerste mededeling van de gegevens geschiedde vóór de inwerkingtreding van deze bepaling, moet de mededeling van de informatie, in afwijking van het eerste lid, uiterlijk geschieden binnen een termijn van 3 jaar vanaf de datum van inwerkingtreding van deze bepaling. De informatie moet evenwel niet worden meegedeeld indien de verantwoordelijke voor de verwerking was vrijgesteld van de verplichting om de betrokkene in kennis te stellen van de registratie van de gegevens krachtens de wettelijke en reglementaire bepalingen van toepassing op de dag voorafgaand aan de datum van inwerkingtreding van deze bepaling. KONINKLIJK BESLUIT VAN 13 FEBRUARI 2001 • Artikel 28 van het Koninklijk besluit van 13 februari 2001 ter uitvoering van de wet van 8

december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (2001): De verantwoordelijke voor de latere verwerking van persoonsgegevens voor historische, statistische of wetenschappelijke doeleinden die uitsluitend gecodeerde persoonsgegevens verwerkt is vrijgesteld van de verplichting tot kennisgeving bedoeld in artikel 9, § 2, van de wet op voorwaarde dat de voorwaarden bepaald in Hoofdstuk II, Afdeling II van dit besluit worden nageleefd.

• Artikel 29 van het Koninklijk besluit van 13 februari 2001 ter uitvoering van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (2001): Een administratieve overheid die door of krachtens de wet de uitdrukkelijke opdracht heeft om persoonsgegevens samen te brengen en te coderen, en hierbij onderworpen is aan door of krachtens de wet vastgelegde specifieke maatregelen die de bescherming van de persoonlijke levenssfeer tot doel hebben, is vrijgesteld van de verplichting tot kennisgeving bedoeld in artikel 9, § 2 van de wet indien zij optreedt als intermediaire organisatie.


162

• Artikel 30 van het Koninklijk besluit van 13 februari 2001 ter uitvoering van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (2001): De verantwoordelijke voor de verwerking die zich, buiten het geval omschreven in artikelen 28 en 29 van dit besluit, beroept op een vrijstelling van de verplichting tot kennisgeving bedoeld in artikel 9, § 2, van de wet omdat die kennisgeving onmogelijk blijkt of onevenredig veel moeite kost, verstrekt voornoemde informatie wanneer hij voor de eerste keer met de betrokken persoon in contact treedt. Indien de verantwoordelijke voor de verwerking bedoeld in het eerste lid de persoonsgegevens aan een derde meedeelt, verricht deze laatste de in artikel 9, § 2, van de wet bedoelde kennisgeving wanneer hij voor de eerste keer met de betrokken persoon in contact treedt.


december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (2001): De verantwoordelijke voor de verwerking die de kennisgeving aan de betrokken persoon niet kan verrichten omdat zij onmogelijk blijkt of onevenredig veel moeite kost, vermeldt dit in de aangifte die hij op grond van artikel 17 van de wet aan de Commissie doet. De Commissie maakt de lijst van de verantwoordelijken voor de verwerking bekend door middel van het publiek register omschreven in artikel 18 van de wet, met vermelding van de redenen die de vrijstelling verantwoorden.

INTERNATIONALE WETGEVING • Artikel 9 § 2 van het Verdrag nr. 108 van de Raad van Europa tot bescherming van

personen ten opzichte van de geautomatiseerde verwerking van persoonsgegevens (1981) : Van het in de artikelen 5, 6 en 8 (bijkomende garanties voor de betrokken persoon waaronder de kennisgeving) van dit Verdrag bepaalde kan worden afgeweken, indien de wet in een dergelijke afwijking voorziet en het hier een maatregel betreft die in een democratische samenleving noodzakelijk is ten behoeve van a) de bescherming van de veiligheid van de Staat, de openbare veiligheid, de geldelijke belangen van de Staat of de bestrijding van strafbare feiten; b) de bescherming van de betrokkene en van de rechten en vrijheden van anderen.

• Artikel 11 § 2 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): Het bepaalde in lid 1 is niet van toepassing indien, met name voor statistische doeleinden of voor historisch of wetenschappelijk onderzoek, verstrekking van informatie aan de betrokkene onmogelijk blijkt of onevenredig veel moeite kost of indien de registratie of verstrekking bij wet is voorgeschreven. In deze gevallen zorgen de Lid-Staten voor passende waarborgen.

• Overweging 40 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): Overwegende dat het evenwel niet noodzakelijk is deze verplichting op te leggen wanneer de betrokkene al op de hoogte is; dat deze verplichting evenmin geldt wanneer deze registratie of mededeling uitdrukkelijk bij de wet is voorgeschreven of wanneer verstrekking van informatie aan de betrokkene onmogelijk blijkt of onevenredig veel moeite kost, wat het


163

geval kan zijn bij verwerkingen voor historische, statistische of wetenschappelijke doeleinden; dat hierbij in aanmerking mag worden genomen om hoeveel betrokkenen het gaat, hoe oud de gegevens zijn en welke compenserende maatregelen kunnen worden getroffen.

• Zie ook Recommendation No.R(97)18 of the Committee of Ministers to Member States concerning the protection of personal data collected and processed for statistical purposes (1997) and Explanatory Memorandum.

• Recommendation No.R(83)10 on the protection of personal data used for scientific research and statistics (1983): Er wordt op gewezen dat Recommendation NoR(97)18 of the Committee of Ministers to Member States concerning the protection of personal data collected and processed for statistical purposes (1997) de plaats inneemt van deze aanbeveling van 1983 betreffende statistische activiteiten.

• Recommendation No.R(97)5 of the Committee of Ministers to Member States on the protection of medical data (1997) – (punt 5.6.): Derogations from Principles 5.1, 5.2 and 5.3 may be made in the following cases: a. information of the data subject may be restricted if the derogation is provided for by law

and constitutes a necessary measure in a democratic society: i. to prevent a real danger or to suppress a criminal offence; ii. for public health reasons; iii. to protect the data subject and the rights and freedoms of others;

b. in medical emergencies, data considered necessary for medical treatment may be collected prior to information.

• Artikel 12 § 2 van de Verordening (EG) nr. 45/2001 van het Europees Parlement en de Raad van 18 december 2000 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de communautaire instellingen en organen en betreffende het vrije verkeer van die gegevens (2000): Lid 1 is niet van toepassing indien, met name voor statistische doeleinden of voor historisch of wetenschappelijk onderzoek, de mededeling van dergelijke informatie onmogelijk blijkt of onevenredig veel moeite kost of indien registratie of vrijgave uitdrukkelijk door het Gemeenschapsrecht is voorgeschreven. In die gevallen draagt de communautaire instelling of het communautaire orgaan zorg voor passende waarborgen na raadpleging van de Europese Toezichthouder voor gegevensbescherming.

Artikel 10: inzagerecht van de betrokkene

164

Artikel 10.

inzagerecht van de betrokkene Overtreden strafbaar gesteld: zie art. 39, 5° et 6°, 40 et 41 WVP § 1. De betrokkene die zijn identiteit bewijst, heeft het recht om vanwege de verantwoordelijke voor de verwerking te verkrijgen : a) kennis van het al dan niet bestaan van verwerkingen van hem betreffende gegevens alsmede tenminste informatie over de doeleinden van deze verwerkingen, van de categorieën gegevens waarop deze verwerkingen betrekking hebben en van de categorieën ontvangers aan wie de gegevens worden verstrekt; b) verstrekking in begrijpelijke vorm van de gegevens zelf die worden verwerkt, alsmede alle beschikbare informatie over de oorsprong van die gegevens; c) mededeling van de logica die aan een geautomatiseerde verwerking van hem betreffende gegevens ten grondslag ligt in geval van geautomatiseerde besluitvorming in de zin van artikel 12bis; d) kennis van de mogelijkheid om de in de artikelen 12 en 14 bedoelde beroepen in te stellen en eventueel inzage te nemen van het in artikel 18 bedoelde openbaar register. Daartoe richt de betrokkene een gedagtekend en ondertekend verzoek aan de verantwoordelijke voor de verwerking of aan iedere andere persoon die de Koning aanwijst. De inlichtingen worden onverwijld en ten laatste binnen vijfenveertig dagen na ontvangst van het verzoek meegedeeld. De Koning kan nadere regelen voor de uitoefening van het in het eerste lid bedoelde recht bepalen. KONINKLIJK BESLUIT VAN 13 FEBRUARI 2001 • Artikel 32 van het Koninklijk besluit van 13 februari 2001 ter uitvoering van de wet van 8

december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (2001): Eenieder die zijn identiteit bewijst, heeft het recht om onder de voorwaarden gesteld bij de wet kennis te krijgen van de in artikel 10 van de wet vermelde informatie, zulks op ondertekend en gedagtekend verzoek dat ter plaatse wordt overhandigd, of over de post of met een telecommunicatiemiddel wordt toegezonden : - hetzij aan de verantwoordelijke voor de verwerking of aan zijn vertegenwoordiger in

Belgie¨, of aan een van de door hem gemachtigde of aangestelde personen;


165

- hetzij aan de verwerker van de persoonsgegevens die het in voorkomend geval aan een van voornoemde personen doorgeeft.

Indien het verzoek ter plaatse wordt overhandigd, reikt de persoon die het in ontvangst neemt aan de verzoeker onmiddellijk een gedagtekend en ondertekend ontvangbewijs uit.

INTERNATIONALE WETGEVING • Guidelines of the United Nations for the Regulation of Computerized Personal Data Files

(1990) – (4) Principle of interested-person access : Everyone who offers proof of identity has the right to know whether information concerning him is being processed and to obtain it in an intelligible form, without undue delay or expense, and to have appropriate rectifications or erasures made in the case of unlawful, unnecessary or inaccurate entries and, when it is being communicated, to be informed of the addressees. Provision should be made for a remedy, if need be with the supervisory authority specified in principle 8 below. The cost of any rectification shall be borne by the person responsible for the file. It is desirable that the provisions of this principle should apply to everyone, irrespective of nationality or place of residence.

• Artikel 8 b) van het Verdrag nr. 108 van de Raad van Europa tot bescherming van personen ten opzichte van de geautomatiseerde verwerking van persoonsgegevens (1981): Een ieder dient in staat te worden gesteld met redelijke tussenpozen en zonder overmatige vertraging of kosten uitsluitsel te verkrijgen over de vraag of persoonsgegevens over hem in het geautomatiseerde bestand zijn opgeslagen en die gegevens in begrijpelijke vorm meegedeeld te krijgen.


protection of personal data used for social security purposes (1986) – (punt 6): 6.1. Subject to provisions of national law concerning medical data or scientific research and statistics, the right of the individual to obtain and rectify data concerning him should not be restricted unless this is necessary for the suppression of fraud or abuse of the social security system or for the protection of the rights and freedoms of others.

• Artikel 12 a) van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995) : De Lid-Staten waarborgen elke betrokkene het recht van de voor de verwerking verantwoordelijke te verkrijgen: a) vrijelijk en zonder beperking, met redelijke tussenpozen en zonder bovenmatige

vertraging of kosten: - uitsluitsel omtrent het al dan niet bestaan van verwerkingen van hem betreffende

gegevens, alsmede ten minste informatie over de doeleinden van deze verwerkingen, de categorieën gegevens waarop deze verwerkingen betrekking hebben en de ontvangers of categorieën ontvangers aan wie de gegevens worden verstrekt;

- verstrekking, in begrijpelijke vorm, van de gegevens die zijn verwerkt, alsmede de beschikbare informatie over de oorsprong van de gegevens;

- mededeling van de logica die ten grondslag ligt aan de automatische verwerking van hem betreffende gegevens, in elk geval als het gaat om de geautomatiseerde besluiten als bedoeld in artikel 15, lid 1;




166

persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): Overwegende dat een ieder over het recht moet kunnen beschikken toegang te verkrijgen tot de gegevens die het voorwerp van een verwerking vormen en hemzelf betreffen, zodat hij zich van de juistheid en de rechtmatigheid van de verwerking ervan kan vergewissen; dat een ieder om dezelfde redenen ook het recht moet hebben de logica te kennen die aan de automatische verwerking van de hem betreffende gegevens ten grondslag ligt, in elk geval als het gaat om de in artikel 15, lid 1, bedoelde geautomatiseerde besluiten; dat dit recht geen afbreuk mag doen aan het zakengeheim of aan de intellectuele eigendom en met name aan het auteursrecht dat de software beschermt; dat zulks er evenwel niet toe mag leiden dat de betrokkene alle informatie wordt geweigerd;

• Artikel 13 van de Verordening (EG) nr. 45/2001 van het Europees Parlement en de Raad van 18 december 2000 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de communautaire instellingen en organen en betreffende het vrije verkeer van die gegevens. (2000): Elke betrokkene heeft het recht te allen tijde en ongehinderd binnen drie maanden na ontvangst van het verzoek kosteloos van de verantwoordelijke voor de verwerking: a) uitsluitsel te verkrijgen over het al dan niet plaatsvinden van gegevensverwerking die

de betrokkene betreft; b) ten minste informatie te verkrijgen over de doeleinden van de verwerking, over de

categorieën gegevens waarop de verwerking betrekking heeft en over de ontvangers, respectievelijk de categorieën ontvangers aan wie de gegevens worden verstrekt;

c) de gegevens die verwerking ondergaan, alsmede elke beschikbare informatie wat de bron van die gegevens betreft, in begrijpelijke vorm verstrekt te krijgen;

d) inzicht te verkrijgen in de achterliggende gedachte van elke hem betreffende geautomatiseerde gegevensverwerking.

ADVIEZEN VAN DE GROEP 29 • Groep 29, Advies 8/2003 over de ontwerp-modelcontractbepalingen ingediend door een

groep verenigingen van ondernemingen (“het alternatieve modelcontract”) (17 december 2003 – WP 84): Op grond van het onderzoek dat ze heeft gevoerd naar de Australische wetgeving, wijst de Groep betreffende de toegangsbeperkingen erop dat het feitelijk onjuist is dat een verantwoordelijke voor de verwerking op basis van artikel 12 van de Richtlijn gegevensbescherming gemachtigd is toegang tot gegevens te weigeren op basis van het argument dat het verlenen van dit recht de belangen van de verantwoordelijke voor de verwerking ernstig zou schaden. Hoewel artikel 13 van de Richtlijn aan de lidstaten de mogelijkheid biedt om wettelijke maatregelen te nemen om de rechten en plichten van artikel 12 te beperken is het niet de verantwoordelijke voor de verwerking die de afweging van die beperking maakt maar de wetgever zelf.



• Gaskin t. Verenigd Koninkrijk van 7 juli 1989, serie A, nr. 160 (schending van artikel 8

van het Verdrag). Weigering om volledige inzake te verlenen in de persoonlijke dossiers bijgehouden door de sociale diensten aan een voorheen steuntrekkende persoon.


167

• Mikulié t. Kroatië van 7 februari 2002, verzoek nr. 53176/99 (schending van artikel 8 van het Verdrag). Het belang van personen als eisende partij voor het bekomen van informatie die noodzakelijk is voor het ontdekken van een belangrijk aspect van hun identiteit: vaststelling van het vaderschap.

• M.G. t. Groot-Britannië van 24 september 2002, verzoek nr. 39393/98 (schending van

artikel 8 van het Verdrag). De verzoeker vroeg toegang tot zijn dossiers die door de sociale diensten worden bijgehouden

• Odièvre t. Frankrijk van 13 februari 2003, verzoek nr. 42326/98. Anonieme bevalling en

de onmogelijkheid voor de verzoeker zijn afkomst te kennen.

• Segerstedt-Wiberg en anderen t. Zweden van 6 juni 2006, verzoek nr. 62332/00. Het bewaren van bepaalde informatie over de verzoekers en weigering om ze te informeren over deze inlichtingen.

inzagerecht gezondheidsgegevens

wet betreffende de rechten van de patiënt § 2. Onverminderd hetgeen is bepaald in artikel 9, § 2, van de wet van 22 augustus 2002 betreffende de rechten van de patiënt, heeft elke persoon het recht om hetzij op rechtstreekse wijze, hetzij met behulp van een beroepsbeoefenaar in de gezondheidszorg, kennis te krijgen van de persoonsgegevens die betreffende zijn gezondheid worden verwerkt. (tweede lid) Onverminderd het bepaalde in artikel 9, § 2, van voornoemde wet, kan op verzoek van de verantwoordelijke van de verwerking of op verzoek van de betrokkene, de mededeling gebeuren door tussenkomst van een door de betrokkene gekozen beroepsbeoefenaar in de gezondheidszorg. VERWIJZING NAAR ANDERE WETGEVING • Artikel 9 § 2 van de Wet van 22 augustus 2002 betreffende de rechten van de patiënt, B.S.,

26 september 2002 : De patiënt heeft recht op inzage in het hem betreffend patiëntendossier. Aan het verzoek van de patiënt tot inzage in het hem betreffend patiëntendossier wordt onverwijld en ten laatste binnen 15 dagen na ontvangst ervan gevolg gegeven. De persoonlijke notities van een beroepsbeoefenaar en gegevens die betrekking hebben op derden zijn van het recht op inzage uitgesloten. Op zijn verzoek kan de patiënt zich laten bijstaan door of zijn inzagerecht uitoefenen via een door hem aangewezen vertrouwenspersoon. Indien deze laatste een beroepsbeoefenaar is, heeft hij ook inzage in de in het derde lid bedoelde persoonlijke notities. (In dit geval is het verzoek van de patiënt schriftelijk geformuleerd en worden het verzoek en de identiteit van de vertrouwenspersoon opgetekend in of toegevoegd aan het patiëntendossier.) Indien het patiëntendossier een schriftelijke motivering bevat zoals bedoeld in artikel 7, § 4, tweede lid, die nog steeds van toepassing is, oefent de patiënt zijn inzagerecht uit via een door


168

hem aangewezen beroepsbeoefenaar, die ook inzage heeft in de in het derde lid, bedoelde persoonlijke notities.

INTERNATIONALE WETGEVING • Recommendation No.R(89)2 of the Committee of Ministers to Member States on the

protection of personal data used for employment purposes (1989) – (punt 10.6.): The data subject's right of access to his health data should not be restricted unless access to such data could cause serious harm to the data subject, in which case the data may be communicated to him through a doctor of his choice.

• Recommendation No.R(97)5 of the Committee of Ministers to Member States on the protection of medical data (1997) – (punt 8): 8.1. Every person shall be enabled to have access to his/her medical data, either directly or through a health-care professional or, if permitted by domestic law, a person appointed by him/her. The information must be accessible in understandable form. 8.2. Access to medical data may be refused, limited or delayed only if the law provides for this and if: a. this constitutes a necessary measure in a democratic society in the interests of

protecting state security, public safety, or the suppression of criminal offences; or b. knowledge of the information is likely to cause serious harm to the data subject's

health; or c. the information on the data subject also reveals information on third parties or if, with respect to genetic data, this information is likely to cause serious harm to consanguine or uterine kin or to a person who has a direct link with this genetic line; or

d. the data are used for statistical or for scientific research purposes where there is clearly no risk of an infringement of the privacy of the data subject, notably the possibility of using the data collected in support of decisions or measures regarding any particular individual.

8.3. The data subject may ask for rectification of erroneous data concerning him/her and, in case of refusal, he/she shall be able to appeal.

• Overweging 43 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): Overwegende dat de Lid-Staten het recht van toegang en van informatie in het belang van de betrokkene of met het oog op de bescherming van andermans rechten en vrijheden mogen beperken; dat zij, bij voorbeeld, kunnen preciseren dat de toegang tot medische gegevens slechts kan worden verkregen door tussenkomst van een gezondheidswerker;

wetenschappelijk onderzoek (derde lid) Indien er duidelijk geen gevaar is voor inbreuken op de bescherming van de persoonlijke levenssfeer van de betrokkene en de gegevens niet gebruikt worden om maatregelen en besluiten te nemen ten aanzien van een individuele betrokkene, kan de kennisgeving ook worden uitgesteld indien de gezondheidsgegevens verwerkt worden voor medisch-wetenschappelijk onderzoek, doch slechts in de mate dat de kennisgeving het onderzoek op


169

ernstige wijze zou schaden en uiterlijk tot op het moment van de beëindiging van het onderzoek. (vierde lid) In dat geval moet de betrokkene aan de verantwoordelijke voor de verwerking vooraf zijn schriftelijke toestemming hebben gegeven dat de hem betreffende persoonsgegevens voor medisch-wetenschappelijke doeleinden kunnen worden verwerkt en dat kennisgeving van deze persoonsgegevens om die reden kan worden uitgesteld.

herhaalde vraag: redelijke termijn § 3. Aan een aanvraag bedoeld in § 1 en § 2 moet geen gevolg worden gegeven dan na verloop van een redelijke termijn, te rekenen van de dagtekening van een vroegere aanvraag van dezelfde persoon waarop is geantwoord of te rekenen van de dagtekening waarop de gegevens hem ambtshalve zijn meegedeeld. INTERNATIONALE WETGEVING • Artikel 8 b) van het Verdrag nr. 108 van de Raad van Europa tot bescherming van

personen ten opzichte van de geautomatiseerde verwerking van persoonsgegevens (1981) : Een ieder dient in staat te worden gesteld met redelijke tussenpozen en zonder overmatige vertraging of kosten uitsluitsel te verkrijgen over de vraag of persoonsgegevens over hem in het geautomatiseerde bestand zijn opgeslagen en die gegevens in begrijpelijke vorm meegedeeld te krijgen.

• Artikel 8 d) van het Verdrag nr. 108 van de Raad van Europa tot bescherming van personen ten opzichte van de geautomatiseerde verwerking van persoonsgegevens (1981) : Een ieder dient in staat te worden gesteld over een rechtsmiddel te beschikken, indien geen gevolg 'wordt gegeven aan een verzoek om uitsluitsel of, al naargelang het geval, mededeling, verbetering of uitwissing van persoonsgegevens als bedoeld in letter b en letter c van dit artikel.

• Artikel 12 a) van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): De Lid-Staten waarborgen elke betrokkene het recht van de voor de verwerking verantwoordelijke te verkrijgen: a) vrijelijk en zonder beperking, met redelijke tussenpozen en zonder bovenmatige

vertraging of kosten: - uitsluitsel omtrent het al dan niet bestaan van verwerkingen van hem betreffende

gegevens, alsmede ten minste informatie over de doeleinden van deze verwerkingen, de categorieën gegevens waarop deze verwerkingen betrekking hebben en de ontvangers of categorieën ontvangers aan wie de gegevens worden verstrekt;

- verstrekking, in begrijpelijke vorm, van de gegevens die zijn verwerkt, alsmede de beschikbare informatie over de oorsprong van de gegevens;


170

- mededeling van de logica die ten grondslag ligt aan de automatische verwerking van hem betreffende gegevens, in elk geval als het gaat om de geautomatiseerde besluiten als bedoeld in artikel 15, lid 1.


van 18 december 2000 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de communautaire instellingen en organen en betreffende het vrije verkeer van die gegevens. (2000): Elke betrokkene heeft het recht te allen tijde en ongehinderd binnen drie maanden na ontvangst van het verzoek kosteloos van de verantwoordelijke voor de verwerking: a) uitsluitsel te verkrijgen over het al dan niet plaatsvinden van gegevensverwerking die

de betrokkene betreft; b) ten minste informatie te verkrijgen over de doeleinden van de verwerking, over de

categorieën gegevens waarop de verwerking betrekking heeft en over de ontvangers, respectievelijk de categorieën ontvangers aan wie de gegevens worden verstrekt;

c) de gegevens die verwerking ondergaan, alsmede elke beschikbare informatie wat de bron van die gegevens betreft, in begrijpelijke vorm verstrekt te krijgen;

d) inzicht te verkrijgen in de achterliggende gedachte van elke hem betreffende geautomatiseerde gegevensverwerking.

Artikel 11

171

Artikel. 11. (opgeheven)

Artikel 12: verbeteringsrecht recht van verzet tegen verwerking gevoelige gegevens

172

Artikel 12.

verbeteringsrecht

recht van verzet tegen verwerking gevoelige gegevens § 1. Eenieder is gerechtigd alle onjuiste persoonsgegevens die op hem betrekking hebben kosteloos te doen verbeteren. INTERNATIONALE WETGEVING • Guidelines of the United Nations for the Regulation of Computerized Personal Data Files

(1990) – (4) Principle of interested-person access: Everyone who offers proof of identity has the right to know whether information concerning him is being processed and to obtain it in an intelligible form, without undue delay or expense, and to have appropriate rectifications or erasures made in the case of unlawful, unnecessary or inaccurate entries and, when it is being communicated, to be informed of the addressees. Provision should be made for a remedy, if need be with the supervisory authority specified in principle 8 below. The cost of any rectification shall be borne by the person responsible for the file. It is desirable that the provisions of this principle should apply to everyone, irrespective of nationality or place of residence.

• Artikel 8 c) van het Verdrag nr. 108 van de Raad van Europa tot bescherming van personen ten opzichte van de geautomatiseerde verwerking van persoonsgegevens (1981) : Een ieder dient in staat te worden gesteld in voorkomend geval die gegevens te doen verbeteren of uitwissen, indien deze zijn verwerkt in strijd met de bepalingen van het interne recht ter uitvoering van de grondbeginselen vervat in de artikelen 5 en 6 van dit Verdrag.

• Recommendation No.R(86)1 of the Committee of Ministers to Member States on the protection of personal data used for social security purposes (1986) – (punt 6): Subject to provisions of national law concerning medical data or scientific research and statistics, the right of the individual to obtain and rectify data concerning him should not be restricted unless this is necessary for the suppression of fraud or abuse of the social security system or for the protection of the rights and freedoms of others.

• Artikel 12 b) van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): De Lid-Staten waarborgen elke betrokkene het recht van de voor de verwerking verantwoordelijke te verkrijgen naar gelang van het geval, de rectificatie, de uitwissing of de afscherming van de gegevens waarvan de verwerking niet overeenstemt met de bepalingen van deze Richtlijn, met name op grond van het onvolledige of onjuiste karakter van de gegevens


173

RECHTSPRAAK VAN HET EUROPEES HOF VOOR DE RECHTEN VAN DE MENS • B. t. Frankrijk van 25 maart 1992, verzoek nr. 13343/87 (schending van artikel 8 van het

Verdrag). Inperking van het briefgeheim. Weigering om de burgerlijke staat van een persoon te corrigeren ten gevolge van zijn geslachtsverandering..

(tweede lid) Eenieder is bovendien gerechtigd om wegens zwaarwegende en gerechtvaardigde redenen die verband houden met zijn bijzondere situatie, zich ertegen te verzetten dat hem betreffende gegevens het voorwerp van een verwerking vormen, behalve wanneer de rechtmatigheid van de verwerking gesteund is op de in artikel 5, b) en c), bedoelde redenen. (derde lid) Indien de persoonsgegevens verkregen worden met het oog op direct marketing mag de betrokkene zich kosteloos en zonder enige motivering tegen de voorgenomen verwerking van hem betreffende persoonsgegevens verzetten. (vierde lid) In geval van gerechtvaardigd verzet mag de door de verantwoordelijke voor de verwerking verrichte verwerking niet langer op deze persoonsgegevens betrekking hebben. KONINKLIJK BESLUIT VAN 13 FEBRUARI 2001 • Artikel 34 van het Koninklijk besluit van 13 februari 2001 ter uitvoering van de wet van 8

december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (2001): Ingeval persoonsgegevens schriftelijk bij de betrokken persoon worden verzameld, vraagt de verantwoordelijke voor de verwerking op het document aan de hand waarvan de gegevens bij betrokkene worden verzameld aan deze laatste of hij het recht op verzet waarin artikel 12, § 1, derde lid, van de wet voorziet, wenst uit te oefenen. Ingeval de persoonsgegevens bij de betrokken persoon op een andere dan schriftelijke wijze worden verzameld, vraagt de verantwoordelijke aan die persoon of hij het recht op verzet waarin artikel 12, § 1, derde lid, van de wet voorziet, wenst uit te oefenen, De betrokkene kan zulks doen op een document dat de verantwoordelijke voor de verwerking hem bezorgt ten laatste twee maanden nadat de persoonsgegevens zijn verzameld of aan de hand van enig technisch middel op grond waarvan kan worden aangetoond dat hem de mogelijkheid is geboden voornoemd recht uit te oefenen.

INTERNATIONALE WETGEVING • Recommendation No.R(85)20 of the Committee of Ministers to Member States on the

protection of personal data used for the purposes of direct marketing (1985)

• Recommandation No.R(2002)9 of the Committee of Ministers to Member States on the protection of personal data collected and processed for insurance purposes (2002) – (4.8.) : Provided that the data subject has been informed and has not objected, the controller may use, for the purposes of marketing and promoting its range of services, the data collected and recorded for insurance purposes. If, however, processing concerns


174

sensitive data, the explicit consent of the data subject is required provided that this is not contrary to domestic law. The data subject should be informed of the fact that if he/she refuses to consent to or objects to his/her data being used for marketing purposes this will not prejudice the decision to provide him/her with insurance cover or to allow him/her to continue benefiting from insurance cover already issued.

• Artikel 14 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): De Lid-Staten kennen de betrokkene het recht toe: a) zich ten minste in de gevallen, bedoeld in artikel 7, onder e) en f), te allen tijde om

zwaarwegende en gerechtvaardigde redenen die verband houden met zijn bijzondere situatie ertegen te verzetten dat hem betreffende gegevens het voorwerp van een verwerking vormen, behoudens andersluidende bepalingen in de nationale wetgeving. In geval van gerechtvaardigd verzet mag de door de voor de verwerking verantwoordelijke persoon verrichte verwerking niet langer op deze gegevens betrekking hebben;

b) zich te verzetten, op verzoek en kosteloos, tegen de voorgenomen verwerking van hem betreffende persoonsgegevens door de voor de verwerking verantwoordelijke persoon met het oog op direct marketing, of te worden ingelicht voordat persoonsgegevens voor de eerste keer aan derden worden verstrekt of voor rekening van derden worden gebruikt voor direct marketing en het recht uitdrukkelijk ter kennis gebracht te krijgen dat hij of zij zich kosteloos kan verzetten tegen deze verstrekking of dit gebruik van gegevens.

• Overweging 45 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): Overwegende dat wanneer gegevens het voorwerp kunnen uitmaken van een rechtmatige verwerking op grond van een algemeen belang, de uitoefening van het openbaar gezag of het rechtmatig belang van een persoon, iedere betrokkene evenwel het recht dient te hebben om zich op grond van zwaarwegende en gerechtvaardigde redenen die met zijn specifieke situatie verband houden tegen verwerking van hem betreffende gegevens te verzetten; dat de Lid-Staten evenwel de mogelijkheid hebben andersluidende nationale bepalingen vast te stellen;

ADVIEZEN VAN DE GROEP 29 • Groep 29, Advies 3/2003 over de Europese gedragscode van de FEDMA voor het gebruik

van persoonsgegevens bij direct marketing (13 juni 2003 – WP 77): De Groep is van mening dat de gedragscode van de FEDMA overeenstemt met de Richtlijn 95/46/EG en voldoende meerwaarde toevoegt aan die Richtlijn in die mate dat deze duidelijk gericht is op de vragen en problemen rond gegevensbescherming in de direct marketingsector en heldere oplossingen voorstelt voor de eventuele voorkomende moeilijkheden. De gedragscode komt tegemoet aan de vereisten van artikel 27 van de Richtlijn (zie infra).

• Groep 29, Advies 5/2004 betreffende ongewenste communicatie voor

marketingdoeleinden in de context van artikel 13 van Richtlijn 2002/58/EG (27 februari 2004 – WP 90): dit advies is gebaseerd op de juridische vereisten betreffende het verzenden van elektronische berichten (bijvoorbeeld via e-mail, sms, fax, telefoon) naar


175

natuurlijke personen voor direct marketing doeleinden, zoals bepaald in artikel 13 van de Richtlijn 2002/58/EG. Dit advies brengt meer in het bijzonder verduidelijking omtrent bepaalde begrippen die in artikel 13 werden gebruikt, zoals het begrip elektronische post, voorafgaande toestemming van de abonnee, direct marketing, uitzondering op de opt-in regel en de regelingen voor berichten aan rechtspersonen.

(vijfde lid) Eenieder is tevens gerechtigd kosteloos de verwijdering van of het verbod op de aanwending van alle hem betreffende persoonsgegevens te bekomen die gelet op het doel van de verwerking, onvolledig of niet ter zake dienend zijn, of waarvan de registratie, de mededeling of de bewaring verboden zijn, of die na verloop van de toegestane duur zijn bewaard. INTERNATIONALE WETGEVING • Artikel 12 b) van de Richtlijn 95/46/EG van het Europees Parlement en de Raad

betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): De Lid-Staten waarborgen elke betrokkene het recht van de voor de verwerking verantwoordelijke te verkrijgen naar gelang van het geval, de rectificatie, de uitwissing of de afscherming van de gegevens waarvan de verwerking niet overeenstemt met de bepalingen van deze Richtlijn, met name op grond van het onvolledige of onjuiste karakter van de gegevens

§ 2. Om de in §1 bedoelde rechten uit te oefenen dient de belanghebbende een gedagtekend en ondertekend verzoek in bij de verantwoordelijke voor de verwerking of bij iedere andere persoon die de Koning aanwijst. KONINKLIJK BESLUIT VAN 13 FEBRUARI 2001 • Artikel 33 van het Koninklijk besluit van 13 februari 2001 ter uitvoering van de wet van 8

december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (2001): De verzoeken tot verbetering, verwijdering of verbod op de aanwending van de persoonsgegevens en enig verzet gegrond op artikel 12 van de wet worden ingediend volgens dezelfde procedure en bij dezelfde personen dan die vermeld in het artikel 32 van dit besluit.5

5 Artikel 32 KB van 13 februari 2001: Eenieder die zijn identiteit bewijst, heeft het recht om onder de voorwaarden gesteld bij de wet kennis te krijgen van de in artikel 10 van de wet vermelde informatie, zulks op ondertekend en gedagtekend verzoek dat ter plaatse wordt overhandigd, of over de post of met een telecommunicatiemiddel wordt toegezonden: - hetzij aan de verantwoordelijke voor de verwerking of aan zijn vertegenwoordiger in België, of aan een

van de door hem gemachtigde of aangestelde personen; - hetzij aan de verwerker van de persoonsgegevens die het in voorkomend geval aan een van

voornoemde personen doorgeeft. Indien het verzoek ter plaatse wordt overhandigd, reikt de persoon die het in ontvangst neemt aan de verzoeker onmiddellijk een gedagtekend en ondertekend ontvangbewijs uit.


176

§ 3. Binnen een maand te rekenen van het tijdstip van indiening van het verzoek op grond van § 2, deelt de verantwoordelijke voor de verwerking de verbeteringen of verwijderingen van gegevens, gedaan op grond van § 1, mee aan de betrokkene zelf, alsmede aan de personen aan wie de onjuiste, onvolledige of niet ter zake dienende gegevens zijn meegedeeld, voor zover hij nog kennis heeft van de bestemmelingen van de mededeling en de kennisgeving aan deze bestemmelingen niet onmogelijk blijkt of onevenredig veel moeite kost. (tweede lid) Indien de betrokkene zich tegen de verwerking of de voorgenomen verwerking van hem betreffende persoonsgegevens verzet in toepassing van § 1, tweede en derde lid, deelt de verantwoordelijke voor de verwerking aan de betrokkene binnen dezelfde termijn mee welk gevolg hij aan het verzoek heeft gegeven. INTERNATIONALE WETGEVING • Artikel 8 d) van het Verdrag nr. 108 van de Raad van Europa tot bescherming van

personen ten opzichte van de geautomatiseerde verwerking van persoonsgegevens (1981) : Een ieder dient in staat te worden gesteld over een rechtsmiddel te beschikken, indien geen gevolg 'wordt gegeven aan een verzoek om uitsluitsel of, al naargelang het geval, mededeling, verbetering of uitwissing van persoonsgegevens als bedoeld in letter b en letter c van dit artikel.

• Artikel 12 c) van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): De Lid-Staten waarborgen elke betrokkene het recht van de voor de verwerking verantwoordelijke te verkrijgen (…) kennisgeving aan derden aan wie de gegevens zijn verstrekt, van elke rectificatie, uitwissing of afscherming, uitgevoerd overeenkomstig punt b), tenzij zulks onmogelijk blijkt of onevenredig veel moeite kost.

§ 4. (opgeheven)

Artikel 12bis: geautomatiseerde besluitvorming

177

Artikel 12bis.

geautomatiseerde besluitvorming Een besluit waaraan voor een persoon rechtsgevolgen verbonden zijn of dat hem in aanmerkelijke mate treft, mag niet louter worden genomen op grond van een geautomatiseerde gegevensverwerking die bestemd is om bepaalde aspecten van zijn persoonlijkheid te evalueren. INTERNATIONALE WETGEVING • Zie ook Recommendation No.R(97)18 of the Committee of Ministers to Member States

concerning the protection of personal data collected and processed for statistical purposes (1997) and Explanatory Memorandum.

• Recommandation No.R(2002)9 of the Committee of Ministers to Member States on the protection of personal data collected and processed for insurance purposes (2002) - (punt 9) : Insurance decisions which have a legal effect on data subjects or affect them significantly should not be taken solely on the basis of automated data processing intended to evaluate certain personal aspects relating to them according to pre-established criteria or statistical results.

• Artikel 15 § 1 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): De Lid-Staten kennen een ieder het recht toe niet te worden onderworpen aan een besluit waaraan voor hem rechtsgevolgen zijn verbonden of dat hem in aanmerkelijke mate treft en dat louter wordt genomen op grond van een geautomatiseerde gegevensverwerking die bestemd is om bepaalde aspecten van zijn persoonlijkheid, zoals beroepsprestatie, kredietwaardigheid, betrouwbaarheid, gedrag, enz. te evalueren.

• Artikel 19 van de Verordening (EG) nr. 45/2001 van het Europees Parlement en de Raad van 18 december 2000 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de communautaire instellingen en organen en betreffende het vrije verkeer van die gegevens (2000): De betrokkene heeft het recht niet te worden onderworpen aan een besluit waaraan voor hem rechtsgevolgen zijn verbonden of dat hem verregaand treft en dat uitsluitend op een geautomatiseerde gegevensverwerking berust die bestemd is om bepaalde aspecten van zijn persoonlijkheid, zoals beroepsprestatie, betrouwbaarheid of gedrag te beoordelen, tenzij het besluit uitdrukkelijk is toegestaan krachtens een nationale of communautaire regelgeving of, indien nodig, door de Europese Toezichthouder voor gegevensbescherming. In beide gevallen worden maatregelen genomen om de legitieme belangen van de betrokkene te beschermen, zoals regelingen die de betrokkene in staat stellen zijn standpunt kenbaar te maken.

Artikel 12bis: geautomatiseerde besluitvorming

178

(tweede lid) Het in het eerste lid vastgestelde verbod geldt niet indien het besluit wordt genomen in het kader van een overeenkomst of zijn grondslag vindt in een bepaling voorgeschreven door of krachtens een wet, decreet of ordonnantie. In die overeenkomst of in die bepaling moeten passende maatregelen zijn genomen ter bescherming van de gerechtvaardigde belangen van de betrokkene. Minstens moet hem de mogelijkheid geboden worden om op nuttige wijze zijn standpunt naar voor te brengen. INTERNATIONALE WETGEVING • Artikel 15 § 2 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad

betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): Onverminderd het bepaalde in de overige artikelen van deze Richtlijn bepalen de Lid-Staten dat een persoon aan een besluit als bedoeld in lid 1 kan worden onderworpen, indien dat besluit: a) wordt genomen in het kader van het sluiten of uitvoeren van een overeenkomst, mits

aan het verzoek van de betrokkene is voldaan of passende maatregelen, zoals de mogelijkheid zijn standpunt te doen gelden, zijn genomen ter bescherming van zijn gerechtvaardigde belang; of

b) zijn grondslag vindt in een wet waarin de maatregelen zijn omschreven die strekken tot bescherming van het gerechtvaardigde belang van de betrokkene.


van 18 december 2000 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de communautaire instellingen en organen en betreffende het vrije verkeer van die gegevens (2000): De betrokkene heeft het recht niet te worden onderworpen aan een besluit waaraan voor hem rechtsgevolgen zijn verbonden of dat hem verregaand treft en dat uitsluitend op een geautomatiseerde gegevensverwerking berust die bestemd is om bepaalde aspecten van zijn persoonlijkheid, zoals beroepsprestatie, betrouwbaarheid of gedrag te beoordelen, tenzij het besluit uitdrukkelijk is toegestaan krachtens een nationale of communautaire regelgeving of, indien nodig, door de Europese Toezichthouder voor gegevensbescherming. In beide gevallen worden maatregelen genomen om de legitieme belangen van de betrokkene te beschermen, zoals regelingen die de betrokkene in staat stellen zijn standpunt kenbaar te maken.

• Recommandation No.R(2002)9 of the Committee of Ministers to Member States on the protection of personal data collected and processed for insurance purposes (2002) – (punt 9) : (…) Such decisions (beslissingen van verzekeringsinstellingen met juridische gevolgen voor de betrokken personen of die hen op veelbetekende wijze raken) may nevertheless be taken if they satisfy a request made by the data subjects with a view to the conclusion or execution of an insurance contract, or if the data subjects are permitted to put their point of view in order to guarantee protection of their legitimate interests. Such decisions may also be taken if they are authorised by law which safeguards the legitimate interests of the data subject.

Artikel 13: onrechtstreekse toegang

179

Artikel 13.

onrechtstreekse toegang Eenieder die zijn identiteit bewijst, is gerechtigd zich kosteloos tot de Commissie voor de bescherming van de persoonlijke levenssfeer te wenden, teneinde de in de artikelen 10 en 12 bedoelde rechten uit te oefenen ten aanzien van de verwerkingen van persoonsgegevens bedoeld in artikel 3, paragrafen 4, 5 en 6. (tweede lid) De Koning bepaalt, na advies van de Commissie voor de bescherming van de persoonlijke levenssfeer en bij een in Ministerraad overlegd besluit, de wijze waarop deze rechten worden uitgeoefend. (derde lid) De Commissie voor de bescherming van de persoonlijke levenssfeer deelt uitsluitend aan de betrokkene mede dat de nodige verificaties werden verricht. (vierde lid) Evenwel bepaalt de Koning, na advies van de Commissie voor de bescherming van de persoonlijke levenssfeer, bij een in Ministerraad overlegd besluit, welke informatie de Commissie aan de betrokkene mag meedelen indien het verzoek van de betrokkene een verwerking van persoonsgegevens betreft door politiediensten met het oog op identiteitscontrole. KONINKLIJK BESLUIT VAN 13 FEBRUARI 2001 • Artikel 37 van het Koninklijk besluit van 13 februari 2001 ter uitvoering van de wet van 8

december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (2001): De betrokken persoon dient het verzoek bij de Commissie in aan de hand van een gedagtekend en ondertekend schrijven waarin zijn naam, voornaam, geboortedatum en nationaliteit zijn vermeld en waarbij een fotokopie is gevoegd van zijn identiteitskaart, van zijn paspoort of van het daarmee gelijkgestelde document. In het verzoek worden tevens volgende gegevens vermeld indien de verzoeker daarover beschikt : - de naam van de betrokken overheid of dienst; - alle relevante elementen betreffende de betwiste gegevens zoals de aard ervan, de

omstandigheden of de aanleiding van de kennisneming ervan, alsook de eventueel gewenste verbeteringen.

• Artikel 38 van het Koninklijk besluit van 13 februari 2001 ter uitvoering van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (2001): Indien de Commissie zulks nuttig acht, kan zij aan de betrokken persoon bijkomende inlichtingen vragen.


180

• Artikel 39 van het Koninklijk besluit van 13 februari 2001 ter uitvoering van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (2001): Indien de gegevens bedoeld in de artikelen 37 en 38 van dit besluit niet worden meegedeeld, kan het verzoek als niet-ontvankelijk worden beschouwd.

• Artikel 40 van het Koninklijk besluit van 13 februari 2001 ter uitvoering van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (2001): Het verzoek is niet-ontvankelijk wanneer het wordt ingediend binnen een termijn van een jaar te rekenen van de verzendingsdatum van het vorige antwoord van de Commissie betreffende dezelfde gegevens en dezelfde diensten. Van die termijn kan worden afgeweken ingeval de betrokken persoon in zijn verzoek redenen ter staving van die afwijking aanvoert.

• Artikel 41 van het Koninklijk besluit van 13 februari 2001 ter uitvoering van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (2001): Wanneer het verzoek als niet-ontvankelijk wordt beschouwd, wordt de betrokken persoon daarvan per brief in kennis gesteld. In dit schrijven wordt vermeld dat de betrokken persoon op verzoek wordt gehoord, zulks eventueel bijgestaan door zijn raadsman.


december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (2001): De controle bij de betrokken dienst wordt verricht door de voorzitter van de Commissie of door een of meer leden ervan die hij aanwijst. De controle op de verwerkingen van persoonsgegevens bedoeld in artikel 3, § 5, 1°, van de wet wordt verricht door magistraten die de Commissie in haar midden aanwijst. De voorzitter en de leden die de controle verrichten, kunnen zich laten bijstaan of vertegenwoordigen door een of meer leden van het secretariaat van de Commissie.

• Artikel 43 van het Koninklijk besluit van 13 februari 2001 ter uitvoering van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (2001): In het kader van de controle bij de betrokken dienst verricht of beveelt de Commissie alle verificaties die zij nuttig acht. Ter gelegenheid van de controle uitgeoefend bij de betrokken dienst bedoeld in artikel 3, § 5 van de wet, kan ze gegevens doen verbeteren of verwijderen, of gegevens doen invoeren die verschillen van die welke de betrokken dienst verwerkt. Zij kan de mededeling van de gegevens verbieden. Ter gelegenheid van de contrôle uitgeoefend bij de betrokken dienst bedoeld in artikel 3, § 4 van de wet, beveelt de Commissie de maatregelen aan die ze noodzakelijk acht. Zij motiveert haar aanbevelingen.

• Artikel 44 van het Koninklijk besluit van 13 februari 2001 ter uitvoering van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (2001): De betrokken dienst geeft na die verificaties aan de Commissie schriftelijk kennis van het gevolg dat eraan is gegeven.


december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (2001): De Commissie antwoordt per brief op het


181

verzoek van de betrokken persoon binnen een termijn van drie maanden te rekenen van de kennisgeving bedoeld in het artikel 44 van dit besluit.

• Artikel 46 van het Koninklijk besluit van 13 februari 2001 ter uitvoering van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (2001): Ingeval het verzoek van de betrokken persoon betrekking heeft op een verwerking van persoonsgegevens beheerd door een politiedienst met het oog op een identiteitscontrole, deelt de Commissie aan die persoon mee dat de nodige verificaties zijn verricht. In voorkomend geval verstrekt de Commissie, na advies van de betrokken dienst, aan de betrokken persoon alle andere inlichtingen die zij relevant acht.

HUISHOUDELIJK REGLEMENT VAN DE CBPL (B.S., 10 MEI 2007) • Artikel 22 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk II, Sectie V - 2007) :

De uitoefening van het recht van toegang, zoals bedoeld in artikel 13 van de WVP,dient door de verzoeker ondertekend en gedateerd te worden alsook de informatie te bevatten opgesomd in artikel 37 van het koninklijk besluit van 13 februari 2001 ter uitvoering van de WVP. Wanneer het verzoek bij elektronisch bericht wordt verstuurd dient het een elektronische handtekening te bevatten. Is dit niet geval dan zal het verzoek slechts kunnen worden behandeld na een schriftelijke en ondertekende bevestiging op papieren drager.

• Artikel 23 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk II, Sectie V - 2007) : In uitvoering van artikel 26, §1, tweede lid van de WVP en de artikelen 37 tot 46 van het voormeld KB van 2001, behandelt de voorzitter alle verzoeken voor de uitoefening van een onrechtstreekse toegang. De voorzitter kan echter te allen tijde de behandeling op zijn niveau afbreken en het dossier formeel ter zitting brengen. Hij brengt daarover de betrokkene op de hoogte. Wanneer een controle gepaard gaat met een onderzoek ter plaatse wordt, onverminderd het bepaalde in artikel 43 van het voormelde KB van 2001, gehandeld met toepassing van artikel 40.


betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): Een ieder kan meer bepaald bij elke autoriteit een verzoek indienen om de rechtmatigheid van een verwerking te verifiëren, wanneer de krachtens artikel 13 van deze Richtlijn vastgestelde nationale bepalingen van toepassing zijn. Hij wordt in ieder geval in kennis gesteld van het feit dat een verificatie heeft plaatsgevonden.




182

• Segerstedt-Wiberg en anderen t. Zweden van 6 juni 2006, verzoek nr. 62332/00. Het bewaren van bepaalde informatie over de verzoekers en weigering om ze te informeren over deze inlichtingen.

Artikel 14: justitiële handhaving : Voorzitter rechtbank eerste aanleg

183

Artikel 14.

justitiële handhaving: Voorzitter rechtbank eerste aanleg

zoals in kortgeding § 1. De voorzitter van de rechtbank van eerste aanleg, zitting houdende zoals in kortgeding, neemt kennis van de vorderingen betreffende het door of krachtens de wet verleende recht om kennis te krijgen van persoonsgegevens, alsook van de vorderingen tot verbetering, tot verwijdering of tot het verbieden van de aanwending van onjuiste persoonsgegevens of die gelet op het doel van de verwerking onvolledig of niet ter zake dienend zijn, dan wel waarvan de registratie de mededeling of de bewaring verboden is, tegen de verwerking waarvan de betrokkene zich heeft verzet of die langer bewaard werden dan de toegestane duur. § 2. De voorzitter van de rechtbank van de woonplaats van de eiser is bevoegd voor de in § 1 bedoelde vorderingen. Indien de eiser geen woonplaats in België heeft, is de voorzitter van de rechtbank van de woonplaats van de verantwoordelijke voor de verwerking, die een natuurlijke persoon is, bevoegd. Indien de verantwoordelijke voor de verwerking een rechtspersoon is, is de voorzitter van de rechtbank van de maatschappelijke of administratieve zetel bevoegd. (tweede lid) De beschikking wordt in openbare rechtszitting uitgesproken. Zij is uitvoerbaar bij voorraad, niettegenstaande hoger beroep of verzet. § 3. De vordering wordt ingediend bij verzoekschrift op tegenspraak. Het verzoekschrift vermeldt op straffe van nietigheid : 1° de dag, de maand en het jaar; 2° de naam, de voornaam, het beroep en de woonplaats van de eiser; 3° de naam, de voornaam en de woonplaats van de op te roepen persoon; 4° het voorwerp van de vordering en de korte samenvatting van de middelen; 5° de handtekening van de eiser of van zijn advocaat. § 4. Het verzoekschrift wordt bij ter post aangetekende brief toegezonden aan de griffier van het gerecht of ter griffie neergelegd. (tweede lid) Nadat, in voorkomend geval de rolrechten zijn betaald, worden de partijen door de griffier bij gerechtsbrief opgeroepen om te verschijnen op de zitting die de rechter bepaalt. Bij de oproeping wordt een afschrift van het verzoekschrift gevoegd. § 5. De op grond van § 1 ingestelde vordering is pas ontvankelijk als het verzoek, bedoeld in artikel 10, § 1, of dat bedoeld in artikel 12, § 2, is afgewezen


184

of als daaraan naargelang het geval, binnen de door artikel 10, § 1, tweede lid dan wel door artikel 12, § 3, eerste lid, voorgeschreven termijn geen gevolg is gegeven. § 6. Indien onjuiste, onvolledige of niet ter zake dienende gegevens of gegevens waarvan de bewaring verboden is aan derden zijn medegedeeld, dan wel wanneer een mededeling van gegevens heeft plaatsgehad na verloop van de tijd waarin de bewaring van die gegevens toegelaten is, kan de voorzitter van de rechtbank gelasten dat de verantwoordelijke voor de verwerking aan die derden van de verbetering of de verwijdering van die gegevens kennis geeft.

maatregelen tot vaststellingen § 7. Wanneer dwingende redenen de vrees doen rijzen dat bewijsmateriaal dat kan worden aangevoerd bij een in § 1 bedoelde vordering zou kunnen worden verheeld of verdwijnen, gelast de voorzitter van de rechtbank van eerste aanleg op eenzijdig verzoekschrift, ondertekend en ingediend door de partij of haar advocaat, elke maatregel ter voorkoming van die verheling of verdwijning.

gemeenrechtelijke bevoegdheid § 8. De bepalingen van de §§ 6 en 7 houden geen beperking in van de algemene bevoegdheid ter zake van de voorzitter van de rechtbank van eerste aanleg, zetelend in kort geding. JURISPRUDENCE NATIONALE • Tribunal de première instance de Bruxelles comme en référé, 19 décembre 2000, Bull.

Ass., 2001, n°335, pp. 267 et s.. avec les Observations de C-A van Oldeneel, « Une décision qui donne raison à Datassur ». Attendu que Datassur allègue l’incompétence du juge des référés pour connaître cette demande d’indemnisation. Qu’il fait valoir que l’article 14 § 1 de la loi du 8 décembre 1992, qui définit le champ d’application de la compétence du président du tribunal de première instance statuant comme en référés, ne vise pas les demandes d’indemnisation ; Qu’à titre principal, Madame V. soutient que cette compétence, telle que définie par l’article 14§1 précité ne serait pas exclusive et qu’il existe une connexité entre la demande en suppression des données litigieuses et la demande d’indemnisation du préjudice subi suite à la résiliation de son contrat d’assurances par P. (…) Attendu qu’aux termes de l’article 14§1 de la loi du 8 décembre 1992, « le président du tribunal de première instance siégeant comme en référé connaît de toute demande relative au droit accordé par ou en vertu de la loi, d’obtenir communication de données à caractère personnel, et de toute demande tendant à faire rectifier, supprimer, interdire d’utiliser toute donnée à caractère personnel inexacte ou, compte tenu du but du traitement, incomplète ou a conservation sont interdits ou encore qui a été conservée au-delà de la période autorisée ». Que la compétence ainsi reconnue au président du tribunal de première


185

instance siégeant comme en référé, outre qu’elle est exclusive, est surtout restrictive, avec pour conséquence qu’il est incompétent pour connaître d’autres demandes que celles visées par l’article 14§1 précité et notamment d’une demande d’indemnisation, même connexe. (…). Que le juge de céans n’est donc pas compétent pour connaître de la demande d’indemnisation formée par Madame V.

• Ordonnance rendue comme en référé, en application de l’article 14 de la loi du 8 décembre 1992, 13 février 2001. (…) Que d’autre part, le juge statuant en application de l’article 14 de la loi du 8 décembre 1992 statue come en matière de cessation et n’est dès lors pas compétent pour allouer des dommages et intérêts, même à titre de réparation d’un dommage moral.

• Tribunal de première instance de Nivelles comme en référé, 28 octobre 2003, Bull. Ass., 2004, n°346 et Observations de C-A. van Oldeneel, « la légalité du fichier des risques spéciaux en assurance une nouvelle fois reconnue ». L’action fondée sur l’article 14 de la loi du 8 décembre 1992 sur la protection de la vie privée est recevable dès lors que les conditions de recevabilité prévues au paragraphe 5 de cet article sont remplies en cours d’instance. Le juge saisi sur cette base ne peut connaître que de la légalité de l’enregistrement des données relatives au demandeur, et non de l’ensemble du traitement. Il est incompétent pour statuer sur une demande d’indemnisation. Opmerking : een tegenstrijdige rechtspraak bestaat ook.

Artikel 15: meldingsplicht betwisting door verantwoordelijke

186

Artikel 15. Overtreden strafbaar gesteld: zie art. 38, 40 en 41, §3 WVP

meldingsplicht betwisting door verantwoordelijke Onmiddellijk bij het ontvangen van het verzoek tot verbetering, verwijdering of verbod van gebruik of bekendmaking van persoonsgegevens of bij de kennisgeving van de instelling van het geding bedoeld in artikel 14 en tot een beslissing in kracht van gewijsde is getreden, dient de verantwoordelijke voor de verwerking bij elke mededeling van een persoonsgegeven duidelijk aan te geven dat het gegeven betwist is.

Artikel 15bis: burgerlijke aansprakelijkheid

187

Artikel 15bis.

burgerlijke aansprakelijkheid Indien een betrokkene schade lijdt doordat ten opzichte van hem in strijd wordt gehandeld met de bij of krachtens deze wet bepaalde voorschriften, zijn het hiernavolgende tweede en derde lid van toepassing, onverminderd de aanspraken op grond van andere wettelijke regels. (tweede lid) De verantwoordelijke voor de verwerking is aansprakelijk voor de schade die voortvloeit uit een handeling in strijd met de bij of krachtens deze wet bepaalde voorschriften. (derde lid) Hij is van deze aansprakelijkheid ontheven indien hij bewijst dat het feit dat de schade heeft veroorzaakt hem niet kan worden toegerekend. INTERNATIONALE WETGEVING • Artikel 23 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende

de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): 1. De Lid-Staten bepalen dat een ieder die schade heeft geleden ten gevolge van een onrechtmatige verwerking of van enige andere daad die onverenigbaar is met de ter uitvoering van deze Richtlijn vastgestelde nationale bepalingen het recht heeft van de voor de verwerking verantwoordelijke vergoeding van de geleden schade te verkrijgen. 2. De voor de verwerking verantwoordelijke kan geheel of gedeeltelijk worden ontheven van deze aansprakelijkheid, indien hij bewijst dat de schade hem niet kan worden toegerekend.

• Overweging 55 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): Overwegende dat in geval van niet-eerbiediging van de rechten van de betrokkenen door de voor de verwerking verantwoordelijke, krachtens de nationale wetgeving een beroep op de rechter mogelijk moet zijn; dat de schade die de betrokkenen ten gevolge van een onrechtmatige verwerking kunnen lijden, moet worden hersteld door de voor de verwerking verantwoordelijke, die van zijn aansprakelijkheid kan worden vrijgesteld indien hij bewijst dat het schade veroorzakende feit hem niet kan worden toegerekend, met name wanneer hij aantoont dat er sprake is van een fout van de betrokkene of van overmacht; dat voor iedere privaatrechtelijke dan wel publiekrechtelijke persoon die de ter uitvoering van deze Richtlijn vastgestelde nationale bepalingen niet in acht neemt, sancties moeten gelden;

JURISPRUDENCE NATIONALE • Cour d’appel de Liège (3ème ch.), 5 juin 1991, Computer and Telecoms law Review, 1994/1,

pp. 32 et s. avec note de T. Léonard, E. Montero, « La responsabilité civile du fait de

Artikel 15bis: burgerlijke aansprakelijkheid

188

données à caractère personnel inexactes diffusées par une mutuelle d’information » et J.T., 1992. Sans que soit mis en cause le principe de la légalité et de la licéité d’une mutuelle d’information privée rassemblant des données sur les débiteurs défaillants, le système mis en place au sein de l’Union Professionnelle de Crédit (UPC) est jugé fautif et générateur de responsabilité. Il méconnaît en effet les droits essentiels de la personne privée et porte gravement atteinte à la protection du consommateur de crédit : - en édictant l’irresponsabilité de la mutuelle quant à l’exactitude des données fournies et

à l’utilisation qui en est faite ; - en instaurant et maintenant le caractère négatif et statistique des données ; - en fonctionnant à l’insu du débiteur mentionné, qui est sciemment laissé dans

l’ignorance de l’existence du fichier et de l’enregistrement d’une donnée le concernant ; - en rendant impossible tout contact entre la mutuelle et le débiteur mentionné autrement

que par l’intermédiaire du membre sollicitant l’inscription.

Artikel 16: beveiliging

189

HOOFDSTUK IV. - Vertrouwelijkheid en beveiliging van de verwerking.

Artikel 16. Overtreden strafbaar gesteld: zie art. 38, 40 et 41, §3 WVP

beveiliging

verplichtingen van de verantwoordelijke ten overstaan van de verwerker § 1. Indien de verwerking wordt toevertrouwd aan een verwerker, moet de verantwoordelijke voor de verwerking, en in voorkomend geval zijn vertegenwoordiger in België : 1° een verwerker kiezen die voldoende waarborgen biedt ten aanzien van de technische en organisatorische beveiligingsmaatregelen met betrekking tot de te verrichten verwerking; 2° toezien op de naleving van die maatregelen, met name door ze vast te leggen in contractuele bepalingen; 3° de aansprakelijkheid van de verwerker ten aanzien van de verantwoordelijke voor de verwerking vaststellen in de overeenkomst; 4° met de verwerker overeenkomen dat de verwerker slechts handelt in opdracht van de verantwoordelijke voor de verwerking en dat de verwerker is gebonden door dezelfde verplichtingen als deze die waartoe de verantwoordelijke in toepassing van paragraaf 3 is gehouden; 5° in een geschrift of op een elektronische drager de elementen van de overeenkomst met betrekking tot de bescherming van de gegevens en de eisen met betrekking tot de maatregelen bedoeld in paragraaf 3 vaststellen.

beveiligingsvoorwaarden § 2. De verantwoordelijke voor de verwerking of, in voorkomend geval, zijn vertegenwoordiger in België moet : 1° er nauwlettend over waken dat de gegevens worden bijgewerkt, dat de onjuiste, onvolledige en niet terzake dienende gegevens, alsmede die welke zijn verkregen of verder verwerkt in strijd met de artikelen 4 tot 8, worden verbeterd of verwijderd;


190

2° ervoor zorgen dat voor de personen die onder zijn gezag handelen, de toegang tot de gegevens en de verwerkingsmogelijkheden, beperkt blijven tot hetgeen die personen nodig hebben voor de uitoefening van hun taken of tot hetgeen noodzakelijk is voor de behoeften van de dienst; 3° alle personen die onder zijn gezag handelen, kennisgeven van de bepalingen van deze wet en haar uitvoeringsbesluiten, alsmede van alle relevante voorschriften inzake de bescherming van de persoonlijke levenssfeer die bij het verwerken van persoonsgegevens gelden; 4° zich ervan vergewissen of programma's voor de geautomatiseerde verwerking van persoonsgegevens in overeenstemming zijn met de vermeldingen van de aangifte waarvan sprake is in artikel 17 en dat er geen wederrechtelijk gebruik van wordt gemaakt.

exclusieve verwerking voor de verantwoordelijke § 3. Eenieder die handelt onder het gezag van de verantwoordelijke voor de verwerking of van de verwerker alsmede de verwerker zelf, die toegang heeft tot persoonsgegevens, mag deze slechts in opdracht van de verantwoordelijke voor de verwerking verwerken, behoudens op grond van een verplichting door of krachtens een wet, een decreet of een ordonnantie.

gepaste technische en organisatorische beveiliging § 4. Om de veiligheid van de persoonsgegevens te waarborgen, moeten de verantwoordelijke van de verwerking, en in voorkomend geval zijn vertegenwoordiger in België, alsmede de verwerker, de gepaste technische en organisatorische maatregelen treffen die nodig zijn voor de bescherming van de persoonsgegevens tegen toevallige of ongeoorloofde vernietiging, tegen toevallig verlies, evenals tegen de wijziging van of de toegang tot, en iedere andere niet toegelaten verwerking van persoonsgegevens. (tweede lid) Deze maatregelen moeten een passend beveiligingsniveau verzekeren, rekening houdend, enerzijds, met de stand van de techniek terzake en de kosten voor het toepassen van de maatregelen en, anderzijds, met de aard van de te beveiligen gegevens en de potentiële risico's. (derde lid) Op advies van de Commissie voor de bescherming van de persoonlijke levenssfeer kan de Koning voor alle of voor bepaalde categorieën van verwerkingen aangepaste normen inzake informaticaveiligheid uitvaardigen.


191


(1990) – (7) Principle of security: Appropriate measures should be taken to protect the files against both natural dangers, such as accidental loss or destruction and human dangers, such as unauthorized access, fraudulent misuse of data or contamination by computer viruses.

• Artikel 7 van het Verdrag nr. 108 van de Raad van Europa tot bescherming van personen ten opzichte van de geautomatiseerde verwerking van persoonsgegevens (1981): Er dienen passende beveiligingsmaatregelen te worden getroffen om persoonsgegevens opgeslagen in geautomatiseerde bestanden te beschermen tegen toevallige of ongeoorloofde vernietiging, toevallig verlies en ongeoorloofde toegang, wijziging of verspreiding.

• Explanatory Report of the Convention n°108 – (punt 49) : There should be specific security measures for every file, taking into account its degree of vulnerability, the need to restrict access to the information within the organisation, requirements concerning long-term storage, and so forth. The security measures must be appropriate, i.e. adapted to the specific function of the file and the risks involved They should be based on the current state of the art of data security methods and techniques in the field of data processing.


protection of medical data (1997) – (punt 9): Appropriate technical and organisational measures shall be taken to protect medical data Such measures shall ensure an appropriate level of security taking account, on the one hand, of the technical state of the art and, on the other hand, of the sensitive nature of medical data and the evaluation of potential risks. These measures shall be reviewed periodically. 9.2. In order to ensure in particular the confidentiality, integrity and accuracy of processed data, as well as the protection of patients, appropriate measures should be taken: a. to prevent any unauthorised person from having access to installations used for

processing personal data (control of the entrance to installations); b. to prevent data media from being read, copied, altered or removed by unauthorised

persons (control of data media); c. to prevent the unauthorised entry of data into the information system, and any

unauthorised consultation, modification or deletion of processed personal data (memory control);

d. to prevent automated data processing systems from being used by unauthorised persons by means of data transmission equipment (control of utilisation);

e. with a view to, on the one hand, selective access to data and, on the other hand, the security of the medical data, to ensure that the processing as a general rule is so designed as to enable the separation of: - identifiers and data relating to the identity of persons; - administrative data; - medical data; - social data; - genetic data (access control);

f. to guarantee the possibility of checking and ascertaining to which persons or bodies personal data can be communicated by data transmission equipment (control of communication);


192

g. to guarantee that it is possible to check and establish a posteriori who has had access to the system and what personal data have been introduced into the information system, when and by whom (control of data introduction);

h. to prevent the unauthorised reading, copying, alteration or deletion of personal data during the communication of personal data and the transport of data media (control of transport);

i. to safeguard data by making security copies (availability control). • Recommendation No.R(89)2 of the Committee of Ministers to Member States on the

protection of personal data used for employment purposes (1989): - (punt 10.5.): Health data covered by medical secrecy should be stored separate from other categories of personal data held by the employer. Security measures should be taken to prevent persons outside the medical service having access to the data.

• Recommendation No.R(86)1 of the Committee of Ministers to Member States on the protection of personal data used for social security purposes (1986) – (punt 7): 7.1 Each social security institution should implement adequate technical and organisational

measures to ensure the security and confidentiality of personal data used for social security purposes.

7.2 The personnel of the social security institution and any other person participating in the processing of the data should be kept informed of such measures and the need to respect them.

• Recommandation No.R(2002)9 of the Committee of Ministers to Member States on the

protection of personal data collected and processed for insurance purposes (2002) – (punt 7) : 7.1. In accordance with the provisions of domestic law, controllers may contract out the collection and processing of personal data for a specific purpose, in so far as they are authorised to collect and process these data and the processor undertakes to act solely on instruction from the controller and to respect the provisions of domestic law which implement Chapter 11 of the Appendix to this Recommendation. 7.2. Controllers should choose processors who offer adequate safeguards regarding the technical and organisational aspects of the processing to be carried out. They must ensure that these safeguards are observed and that, in particular, the processing is in accordance with their instructions. 7.3. The collection and processing of personal data by processors should be governed by a contract or legal instrument binding the processor to the controller and specifying that the processor will only act within the terms of reference issued by the controller and the provisions of domestic law concerning the obligations of processors. ce que les traitements soient conformes à leurs instructions. De veiligheidsmaatregelen voorzien in punt 11.2, zijn identiek aan deze voorzien in de Aanbeveling betreffende de bescherming van medische gegevens (zie hierboven).

• Artikels 16 en 17 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): Artikel 16 Een ieder die handelt onder het gezag van de voor de verwerking verantwoordelijke of van de verwerker alsmede de verwerker zelf, die toegang heeft tot persoonsgegevens, mag deze slechts in opdracht van de voor de verwerking verantwoordelijke verwerken, behoudens op grond van wettelijke verplichtingen.


193

Artikel 17 1. De Lid-Staten bepalen dat de voor de verwerking verantwoordelijke passende

technische en organisatorische maatregelen ten uitvoer dient te leggen om persoonsgegevens te beveiligen tegen vernietiging, hetzij per ongeluk, hetzij onrechtmatig, tegen verlies, vervalsing, niet-toegelaten verspreiding of toegang, met name wanneer de verwerking doorzending van gegevens in een netwerk omvat, dan wel tegen enige andere vorm van onwettige verwerking. Deze maatregelen moeten, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau garanderen gelet op de risico's die de verwerking en de aard van te beschermen gegevens met zich brengen.

2. De Lid-Staten bepalen dat de voor de verwerking verantwoordelijke, in geval van verwerking te zijnen behoeve, een verwerker moet kiezen die voldoende waarborgen biedt ten aanzien van de technische en organisatorische beveiligingsmaatregelen met betrekking tot de te verrichten verwerking en moet toezien op de naleving van die maatregelen.

3. De uitvoering van verwerkingen door een verwerker moet worden geregeld in een overeenkomst of een rechtsakte die de verwerker bindt jegens de voor de verwerker verantwoordelijke en waarin met name wordt bepaald dat - de verwerker slechts handelt in opdracht van de voor de verwerking

verantwoordelijke, - de in lid 1 bedoelde verplichtingen, zoals gedefinieerd door de wetgeving van de

Lid-Staat waarin de verwerker is gevestigd, eveneens op deze persoon rusten. 4. Met het oog op de bewaring van de bewijzen, worden de elementen van de

overeenkomst of rechtsakte betreffende de bescherming van de gegevens en de vereisten inzake de in lid 1 bedoelde maatregelen schriftelijk of in een gelijkwaardige vorm vastgelegd.


betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): Overwegende dat de bescherming van de rechten en vrijheden van de betrokkenen in verband met de verwerking van persoonsgegevens zowel bij het ontwerpen als bij de uitvoering van de verwerking passende technische maatregelen vergt, in het bijzonder om de veiligheid te waarborgen en zodoende elke ongeoorloofde verwerking te verhinderen; dat de Lid-Staten erop moeten toezien dat de voor de verwerking verantwoordelijken aan deze maatregelen de hand houden; dat deze maatregelen een passend niveau van veiligheid moeten waarborgen, rekening houdend met de stand van de techniek en met de kosten van de tenuitvoerlegging gelet op de risico's die de verwerking en de aard van de te beschermen gegevens met zich brengen;

• Artikel 22 van de Verordening (EG) nr. 45/2001 van het Europees Parlement en de Raad van 18 december 2000 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de communautaire instellingen en organen en betreffende het vrije verkeer van die gegevens (2000): Artikel 22 1. De verantwoordelijke voor de verwerking treft passende technische en

organisatorische maatregelen om, gelet op de risico's die de verwerking en de aard van de te beschermen persoonsgegevens met zich meebrengen, een passend beveiligingsniveau te waarborgen, hierbij houdt hij rekening met de stand van de techniek en met de kosten van uitvoering van de maatregelen.


194

Dergelijke maatregelen worden met name getroffen ter voorkoming van enigerlei niet-geautoriseerde verspreiding of toegang, accidentele of onwettige vernietiging, accidenteel verlies of accidentele wijziging alsmede alle overige onwettige vormen van verwerking.

2. Wanneer persoonsgegevens met geautomatiseerde middelen worden verwerkt, worden met name in verhouding tot de risico's passende maatregelen genomen om: a) te voorkomen dat onbevoegden toegang krijgen tot

persoonsgegevensverwerkende computersystemen; b) onbevoegde inzage, verveelvoudiging, wijziging of verwijdering van opslagmedia te

voorkomen; c) onbevoegde invoer in het geheugen alsmede onbevoegde verspreiding, wijziging

of wissing van opgeslagen persoonsgegevens te voorkomen; d) te voorkomen dat onbevoegden met behulp van datatransmissieapparatuur de

gegevensverwerkingssystemen gebruiken; e) er zorg voor te dragen dat bevoegde gebruikers van een

gegevensverwerkingssysteem geen toegang tot andere persoonsgegevens kunnen krijgen dan die waarvoor hun recht van toegang geldt;

f) te registreren welke persoonsgegevens op welk tijdstip en aan wie zijn meegedeeld;

g) er zorg voor te dragen dat het achteraf mogelijk is na te gaan en te controleren wanneer en door wie bepaalde persoonsgegevens zijn verwerkt;

h) er zorg voor te dragen dat persoonsgegevens die voor rekening van derden worden verwerkt, uitsluitend op de door de opdrachtgevende communautaire instelling of het opdrachtgevende communautaire orgaan voorgeschreven wijze kunnen worden verwerkt;

i) er zorg voor te dragen dat de gegevens tijdens de mededeling van persoonsgegevens en tijdens het transport van opslagmedia niet onrechtmatig kunnen worden ingezien, gekopieerd of gewist;

j) de organisatiestructuur binnen een instelling of orgaan zodanig op te zetten dat deze aan de bijzondere vereisten inzake gegevensbescherming beantwoordt.

Artikel 17: voorafgaande aangifte

195

HOOFDSTUK V. - Voorafgaande aangifte en openbaarheid van de verwerkingen

Artikel 17. Overtreden strafbaar gesteld: zie art. 39, 7° et 8°, 40 et 41 WVP

voorafgaande aangifte § 1. Voordat wordt overgegaan tot één of meer volledig of gedeeltelijk geautomatiseerde verwerkingen van gegevens die voor de verwezenlijking van een doeleinde of van verscheidene samenhangende doeleinden bestemd zijn, doet de verantwoordelijke voor de verwerking of, in voorkomend geval, diens vertegenwoordiger, daarvan aangifte bij de Commissie voor de bescherming van de persoonlijke levenssfeer. HUISHOUDELIJK REGLEMENT VAN DE CBPL (B.S., 10 MEI 2007) • Artikel 19 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk II, Sectie III - 2007) :

De voorzitter is gelast met de organisatie van het systeem van de aangiften en het houden van het openbaar register, als bedoeld in de artikelen 17 tot 20 WVP. De voorzitter kan te allen tijde beslissen een bepaalde aangelegenheid formeel ter zitting te brengen. Hij brengt daarover de betrokkene op de hoogte.

INTERNATIONALE WETGEVING • Recommandation No.R(2002)9 of the Committee of Ministers to Member States on the

protection of personal data collected and processed for insurance purposes (2002) – (punt 15) : The following information should be publicised appropriately and be readily available to all :

- the name and address of the controller and of his representative, if any ; - the purpose or purposes of the processing ; - the category or categories of data subject and of the data ; - the recipient or categories of recipient to whom the data might be disclosed ; - any proposed transfers of data to third countries


betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): De Lid-Staten bepalen dat de voor de verwerking verantwoordelijke of, in voorkomend geval, diens vertegenwoordiger, bij de in artikel 28 bedoelde toezichthoudende autoriteit aanmelding dient te doen, voordat wordt overgegaan tot een of meer volledig of gedeeltelijk


196

geautomatiseerde verwerkingen van gegevens die voor de verwezenlijking van een doeleinde of van verscheidene samenhangende doeleinden bestemd zijn.

• Overweging 48 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): Overwegende dat de aanmelding bij de toezichthoudende autoriteit strekt tot de openbaarmaking van het doel van de gegevensverwerking en van de belangrijkste kenmerken ervan, opdat een en ander aan de ter uitvoering van deze Richtlijn vastgestelde nationale bepalingen kan worden getoetst;

ADVIEZEN VAN DE GROEP 29 • Groep 29, Werkdocument aanmelding (3 december 1997 – WP 8): de Groep geeft een

historisch overzicht van de relevante wetgeving en bepalingen van de Richtlijn over de aanmelding (aangifte). Het document beschrijft vervolgens de situatie in het nationaal recht en stipt de grote verschillen aan tussen de werkende systemen (vereenvoudigde aangifte, papieren drager, elektronische drager, vrijstellingen, voorgedefinieerde doelstellingen op het aanmeldingsformulier). Aanmelding draagt bij tot de naleving van de beginselen van de Richtlijn, aangezien de verantwoordelijken voor de verwerking met het oog op de aanmelding hun verwerkingen moeten beoordelen en beschrijven, vooraf bepalen welke gegevens moeten worden gebruikt en voor welk doel. Om deze functies naar behoren te kunnen uitvoeren en tot de doorzichtigheid van de gegevensverwerking bij te dragen, moet de desbetreffende informatie niet algemeen maar specifiek zijn. Het is vooral van belang dat de doeleinden van de verwerkingen naar behoren worden gespecificeerd. Aanzienlijke verschillen in de beschrijving van het doeleinde van de verwerkingen in de diverse lidstaten zou niet alleen een belasting voor de verantwoordelijken voor de verwerking meebrengen, maar kan ook de gelijkwaardigheid van het beschermingsniveau binnen de Gemeenschap op het spel zetten. Overdreven bureaucratische eisen in verband met de aanmelding vormen niet alleen een belasting voor de verantwoordelijken voor de verwerking maar ontnemen de aanmelding haar grondslag doordat de belasting voor de gegevensbeschermingsautoriteit te groot wordt. Diverse landen hebben vereenvoudigde aanmelding of vrijstellingen van aanmelding ingevoerd of zijn van plan het in te voeren. Krachtens de Richtlijn kunnen vereenvoudigde aanmelding of vrijstellingen van de aanmeldingsplicht worden toegestaan voor verwerkingen waarbij inbreuk op de rechten en vrijheden van de betrokkenen onwaarschijnlijk is. Voor dergelijke verwerkingen moeten diverse elementen worden gespecificeerd. (artikel 18, § 2 van de Richtlijn). Een van de functies van aanmelding is het publiek over bestaande verwerkingen te informeren door middel van een openbaar register van verwerkingen. De Groep acht het zeer belangrijk dat het register voor het publiek gemakkelijk toegankelijk wordt gemaakt. Zij kijkt belangstellend uit naar de projecten om de openbare registers via het World Wide Web toegankelijk te maken. Zij constateert dat passende maatregelen vereist zijn om te voorkomen dat de persoonsgegevens in de registers van verwerkingen voor oneigenlijke doeleinden worden gebruikt.

uitzondering Het vorige lid is niet van toepassing op verwerkingen die alleen tot doel hebben een register bij te houden dat door of krachtens een wet, een decreet of een ordonnantie bedoeld is om het publiek voor te lichten en door eenieder dan wel


197

door iedere persoon die zich op een gerechtvaardigd belang kan beroepen, kan worden geraadpleegd. INTERNATIONALE WETGEVING • Artikel 18 § 3 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad

betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): De Lid-Staten kunnen bepalen dat lid 1 niet van toepassing is op verwerkingen die alleen tot doel hebben een register bij te houden dat volgens de wettelijke of bestuursrechtelijke bepalingen bedoeld is om het publiek voor te lichten en dat door een ieder dan wel door iedere persoon die zich op een gerechtvaardigd belang kan beroepen, kan worden geraadpleegd.

• Overwegingen 50, 51 en 52 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): 50. Overwegende dat in vrijstelling of vereenvoudiging kan worden voorzien bij verwerkingen die alleen tot doel hebben een register bij te houden dat overeenkomstig het nationale recht bestemd is ter voorlichting van het publiek en dat door het publiek of door iedere persoon die zich op een gerechtvaardigd belang kan beroepen, kan worden geraadpleegd. 51. Overwegende dat het feit dat hij voor vereenvoudiging of vrijstelling van de aanmelding in aanmerking komt, de voor de verwerking verantwoordelijke niet ontslaat van de overige verplichtingen uit hoofde van deze Richtlijn. 52 Overwegende dat in dit verband toezicht achteraf door de bevoegde autoriteiten in het algemeen als afdoende moet worden beschouwd.

ontvangstbewijs § 2. De Commissie doet binnen drie werkdagen een ontvangbewijs van de aangifte geworden. Indien de aangifte onvolledig is, moet de Commissie de aangever daarvan op de hoogte brengen.

inhoud aangifte § 3. Deze aangifte moet vermelden : 1° de datum van de aangifte en in voorkomend geval, de wet, het decreet of de

ordonnantie of de reglementaire akte waarbij de geautomatiseerde verwerking wordt ingesteld;

2° de naam, de voornamen en het volledig adres of de benaming en de zetel van de verantwoordelijke voor de verwerking en in voorkomend geval van zijn vertegenwoordiger in België;

3° (opgeheven) 4° de benaming van de geautomatiseerde verwerking; 5° het doel of het geheel van samenhangende doeleinden van de

geautomatiseerde verwerking;


198

6° de categorieën van de verwerkte persoonsgegevens met een bijzondere beschrijving van de gegevens bedoeld in de artikelen 6 tot 8;

7° de categorieën van ontvangers aan wie de gegevens kunnen worden verstrekt;

8° de waarborgen die aan de mededeling van gegevens aan derden verbonden moeten zijn;

9° de wijze waarop de personen op wie de gegevens betrekking hebben daarvan in kennis worden gesteld, de dienst waarbij het recht op toegang kan worden uitgeoefend en de maatregelen genomen om de uitoefening van dat recht te vergemakkelijken;

10° de termijn waarna, in voorkomend geval, de gegevens niet meer mogen bewaard, gebruikt of verspreid worden;

11° een algemene beschrijving om op voorhand te kunnen beoordelen of de veiligheidsmaatregelen die in toepassing van artikel 16 van deze wet genomen zijn, afdoende zijn;

12° de redenen waarop de verantwoordelijke voor de verwerking in voorkomend geval de toepassing van artikel 3, § 3, van deze wet steunt.

INTERNATIONALE WETGEVING • Artikel 19 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende

de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): De Lid-Staten bepalen welke inlichtingen in de aanmelding moeten worden opgenomen. Deze inlichtingen behelzen ten minste: a) de naam en het adres van de voor verwerking verantwoordelijke en, in voorkomend

geval, van diens vertegenwoordiger; b) het (de) doeleinde(n) van de verwerking; c) een beschrijving van de categorie(ën) betrokkenen en van de gegevens of categorieën

gegevens die daarop betrekking hebben; d) de ontvangers of categorieën ontvangers aan wie de gegevens kunnen worden

verstrekt; e) de voorgenomen overdrachten van gegevens naar derde landen; f) een algemene beschrijving om op voorhand te kunnen beoordelen of de genomen

maatregelen om, ter toepassing van artikel 17, de beveiliging van de verwerking te waarborgen, afdoende zijn.

controle- en onderzoeksbevoegdheid § 4. In het kader van haar controle- en onderzoeksbevoegdheid bedoeld in artikel 31 en 32 is de Commissie voor de bescherming van de persoonlijke levenssfeer gemachtigd tot het opeisen van andere gegevens, met name de oorsprong van de persoonsgegevens, de gekozen automatiseringstechniek en de voorziene beveiligingsmaatregelen.


199

één aangifte per doeleinde

samenhangende doeleinden § 5. Voor elk doeleinde of geheel van samenhangende doeleinden waarvoor tot een of meer volledig of gedeeltelijk geautomatiseerde verwerkingen wordt overgegaan, is een aangifte vereist. De Commissie stelt de aard en de structuur van de aangifte vast.

bijkomende aangifte bij buitenlandse transfer § 6. Wanneer de verwerkte gegevens, zelfs occasioneel, bestemd zijn om naar het buitenland te worden doorgezonden, moet, ongeacht de gebruikte gegevensdrager, daarenboven in de aangifte worden vermeld : 1° de categorieën van gegevens die worden doorgezonden; 2° voor elke categorie van gegevens, het land van bestemming. (lid 2 opgeheven)

aangifte wijziging en stopzetting § 7. Ingeval aan een geautomatiseerde verwerking een einde wordt gemaakt of enige informatie vermeld in de § 3 wijzigt, moet daarvan eveneens aangifte worden gedaan. KONINKLIJK BESLUIT VAN 13 FEBRUARI 2001 • Artikel 71 van het Koninklijk besluit van 13 februari 2001 ter uitvoering van de wet van 8

december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (2001): De aangiften bedoeld in artikel 17, § 7, van de wet die zijn verricht voor de datum van inwerkingtreding van dit besluit, worden geacht te voldoen aan de bepalingen van de wet en van dit besluit. Bij wijziging van gegevens in de aangifte bedoeld in het eerste lid handelt de verantwoordelijke voor de verwerking die aangifte doet in de zin van artikel 17, § 7, van de wet, overeenkomstig de bepalingen van de wet en van dit besluit.


betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): De Lid-Staten geven nader aan volgens welke procedures wijzigingen in de in lid 1 bedoelde inlichtingen bij de toezichthoudende autoriteit moeten worden aangemeld.


200

vrijstelling van aangifte voor bepaalde categorieën § 8. De Koning kan na advies van de Commissie voor de bescherming van de persoonlijke levenssfeer bepaalde categorieën vrijstellen van de in dit artikel bedoelde aangifte wanneer, rekening houdend met de verwerkte gegevens, er kennelijk geen gevaar is voor inbreuken op de rechten en vrijheden van de betrokkenen, en de doeleinden van de verwerking, de categorieën van verwerkte gegevens, de categorieën betrokkenen, de categorieën ontvangers en de periode gedurende welke de gegevens worden bewaard, gepreciseerd worden. Indien voor geautomatiseerde verwerkingen in toepassing van het vorige lid een vrijstelling van de aanmeldingsplicht wordt verleend, moeten de inlichtingen vermeld in de §§ 3 en 6 door de verantwoordelijke voor de verwerking meegedeeld worden aan iedereen die daarom verzoekt. KONINKLIJK BESLUIT VAN 13 FEBRUARI 2001 • Artikel 51 van het Koninklijk besluit van 13 februari 2001 ter uitvoering van de wet van 8

december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (2001): Met uitzondering van de §§ 4 en 8 zijn de bepalingen van artikel 17 van de wet niet van toepassing op verwerkingen van persoonsgegevens die uitsluitend betrekking hebben op gegevens welke noodzakelijk zijn voor de loonadministratie van personen in dienst van of werkzaam ten behoeve van de verantwoordelijke voor de verwerking wanneer de gegevens uitsluitend worden gebruikt voor die loonadministratie, alleen worden meegedeeld aan de ontvangers die daartoe gerechtigd zijn en niet langer worden bewaard dan nodig voor de doeleinden van de verwerking.

• Artikel 52 van het Koninklijk besluit van 13 februari 2001 ter uitvoering van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (2001): Met uitzondering van de §§ 4 en 8 zijn de bepalingen van artikel 17 van de wet niet van toepassing op verwerkingen van persoonsgegevens die uitsluitend betrekking hebben op de administratie van het personeel in dienst van of werkzaam ten behoeve van de verantwoordelijke voor de verwerking. De verwerking mag geen betrekking hebben op gegevens betreffende de gezondheid van de betrokken persoon, noch op gevoelige of gerechtelijke gegevens in de zin van de artikelen 6 en 8 van de wet of op gegevens die een beoordeling van de betrokken persoon tot doel hebben. De verwerkte persoonsgegevens mogen niet langer worden bewaard dan nodig voor de personeelsadministratie en mogen alleen in het kader van de toepassing van een wets- of verordeningsbepaling of indien nodig voor de verwezenlijking van de doelstellingen van de verwerking aan derden worden meegedeeld.

• Artikel 53 van het Koninklijk besluit van 13 februari 2001 ter uitvoering van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (2001): Met uitzondering van de §§ 4 en 8 zijn de bepalingen van artikel 17 van de wet niet van toepassing op verwerkingen van persoonsgegevens die uitsluitend betrekking hebben op de boekhouding van de verantwoordelijke voor de verwerking wanneer de gegevens uitsluitend worden gebruikt voor die boekhouding, de verwerking alleen betrekking heeft op personen van wie de gegevens noodzakelijk zijn voor de boekhouding en de persoonsgegevens niet langer worden bewaard dan nodig voor de doeleinden van de verwerking.


201

De verwerkte persoonsgegevens mogen alleen aan derden worden meegedeeld in het kader van de toepassing van een wets- of verordeningsbepaling of wanneer de mededeling noodzakelijk is voor de boekhouding.

• Artikel 54 van het Koninklijk besluit van 13 februari 2001 ter uitvoering van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (2001): Met uitzondering van de §§ 4 en 8 zijn de bepalingen van artikel 17 van de wet niet van toepassing op verwerkingen van persoonsgegevens die uitsluitend betrekking hebben op de administratie van aandeelhouders en vennoten wanneer de verwerking alleen betrekking heeft op gegevens nodig voor die administratie, die gegevens alleen personen betreffen van wie de gegevens nodig zijn voor die administratie, de gegevens alleen in het kader van de toepassing van een wets- of verordeningsbepaling aan derden worden meegedeeld en de persoonsgegevens niet langer worden bewaard dan nodig voor de doeleinden van de verwerking.

• Artikel 55 van het Koninklijk besluit van 13 februari 2001 ter uitvoering van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (2001): Met uitzondering van de §§ 4 en 8 zijn de bepalingen van artikel 17 van de wet niet van toepassing op verwerkingen van persoonsgegevens die uitsluitend betrekking hebben op het beheer van de klanten of leveranciers van de verantwoordelijke voor de verwerking. De verwerking mag alleen betrekking hebben op potentiële, bestaande en gewezen klanten of leveranciers van de verantwoordelijke voor de verwerking. De verwerking mag geen betrekking hebben op persoonsgegevens betreffende de gezondheid van de betrokken persoon of op gevoelige of gerechtelijke gegevens in de zin van de artikelen 6 en 8 van de wet. In het kader van de klantenadministratie mogen geen personen in de verwerking worden geregistreerd op grond van gegevens verkregen van derden. De gegevens mogen niet langer worden bewaard dan nodig voor de normale bedrijfsvoering van de verantwoordelijke voor de verwerking en mogen alleen in het kader van de toepassing van een wets- of verordeningsbepaling of voor de normale bedrijfsvoering aan derden worden meegedeeld.

• Artikel 56 van het Koninklijk besluit van 13 februari 2001 ter uitvoering van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (2001): Met uitzondering van de §§ 4 en 8 zijn de bepalingen van artikel 17 van de wet niet van toepassing op verwerkingen van persoonsgegevens verricht door een stichting, een vereniging of enig andere instelling zonder winstoogmerk in het kader van haar gewone activiteiten. De verwerking mag uitsluitend betrekking hebben op persoonsgegevens betreffende de eigen leden, betreffende personen met wie de verantwoordelijke voor de verwerking regelmatige contacten onderhoudt en betreffende begunstigers van de stichting, vereniging of instelling. In het kader van de verwerking mogen geen personen worden geregistreerd op grond van gegevens verkregen van derden. De verwerkte persoonsgegevens mogen niet langer worden bewaard dan nodig voor de administratie van de leden, van de contactpersonen en van de begunstigers en mogen alleen in het kader van de toepassing van een wets- of verordeningsbepaling aan derden worden meegedeeld.


december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (2001): Met uitzondering van de §§ 4 en 8 zijn de bepalingen van artikel 17 van de wet niet van toepassing op verwerkingen van


202

identificatiegegevens noodzakelijk voor communicatie die alleen worden verricht om met de betrokken persoon in contact te treden wanneer die gegevens niet aan derden worden meegedeeld en niet langer worden bewaard dan nodig voor het doel van de verwerking. Het eerste lid van dit artikel heeft alleen betrekking op verwerkingen van persoonsgegevens die niet zijn bedoeld in een andere bepaling van dit besluit.

• Artikel 58 van het Koninklijk besluit van 13 februari 2001 ter uitvoering van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (2001): Met uitzondering van de §§ 4 en 8 zijn de bepalingen van artikel 17 van de wet niet van toepassing op verwerkingen van persoonsgegevens die uitsluitend betrekking hebben op de registratie van bezoekers in het kader van een toegangscontrole wanneer de verwerkte gegevens beperkt blijven tot de naam en het beroepsadres van de bezoeker, de identificatie van zijn werkgever, de identificatie van het voertuig van de bezoeker, de naam, afdeling en functie van de bezochte persoon en het tijdstip van het bezoek. De verwerkte persoonsgegevens mogen uitsluitend worden gebruikt voor de toegangscontrole en niet langer worden bewaard dan nodig voor dat doel.

• Artikel 59 van het Koninklijk besluit van 13 februari 2001 ter uitvoering van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (2001): Met uitzondering van de §§ 4 en 8 zijn de bepalingen van artikel 17 van de wet niet van toepassing op verwerkingen van persoonsgegevens verricht door onderwijsinstellingen met het oog op het beheer van hun relaties met hun leerlingen of studenten. De verwerking mag alleen betrekking hebben op persoonsgegevens betreffende potentiële, huidige en gewezen leerlingen of studenten van de betrokken onderwijsinstelling. In het kader van de verwerking mogen geen personen worden geregistreerd op grond van gegevens verkregen van derden. De verwerkte persoonsgegevens mogen alleen in het kader van de toepassing van een wets- of verordeningsbepaling aan derden worden meegedeeld en niet langer worden bewaard dan nodig voor het beheer van de relatie met de leerling of student.

• Artikel 60 van het Koninklijk besluit van 13 februari 2001 ter uitvoering van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (2001): Met uitzondering van de §§ 4 en 8 zijn de bepalingen van artikel 17 van de wet niet van toepassing op verwerkingen die de gemeenten verrichten overeenkomstig de wet van 19 juli 1991 betreffende de bevolkingsregisters en de identiteitskaarten en tot wijziging van de wet van 8 augustus 1983 tot regeling van een Rijksregister van de natuurlijke personen, overeenkomstig de kieswetgeving en overeenkomstig de wetsbepalingen inzake de registers van de burgerlijke stand.

• Artikel 61 van het Koninklijk besluit van 13 februari 2001 ter uitvoering van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (2001): Met uitzondering van de §§ 4 en 8 zijn de bepalingen van artikel 17 van de wet niet van toepassing op verwerkingen van persoonsgegevens verricht door administratieve overheden indien de verwerking is onderworpen aan specifieke door of krachtens de wet uitgevaardigde regelgevingen waarin de raadpleging, het gebruik en de verkrijging van de verwerkte gegevens worden geregeld.

• Artikel 62 van het Koninklijk besluit van 13 februari 2001 ter uitvoering van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (2001): De bepalingen van artikel 17 van de wet met


203

uitzondering van §§ 4 en 8 zijn niet van toepassing op de verwerkingen van persoonsgegevens door instellingen van sociale zekerheid bedoeld in de artikelen 1 en 2, eerste lid, 2° van de wet van 15 januari 1990 houdende oprichting en organisatie van de Kruispuntbank van de Sociale Zekerheid die de toepassing van de sociale zekerheid tot doel hebben, op voorwaarde dat deze instellingen met betrekking tot deze verwerkingen voldoen aan de bepalingen van de vermelde wet en haar uitvoeringsbesluiten. De lijst bedoeld in artikel 46, eerste lid, 6°bis van de wet van 15 januari 1990 houdende oprichting en organisatie van de Kruispuntbank van de Sociale Zekerheid wordt door de Kruispuntbank ter beschikking gehouden aan de Commissie voor de bescherming van de persoonlijke levenssfeer overeenkomstig de modaliteiten bepaald in onderling overleg tussen deze beide instanties. De Commissie voor de bescherming van de persoonlijke levenssfeer verricht op grond van deze lijst de bijwerkingen van het openbaar register van de geautomatiseerde verwerkingen van persoonsgegevens bedoeld in artikel 18 van de wet.


betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): De Lid-Staten kunnen alleen in de volgende gevallen en onder de volgende voorwaarden voorzien in vereenvoudigde aanmelding of vrijstelling van deze verplichting tot aanmelding: - wanneer zij voor de categorieën verwerkingen waarbij, rekening houdend met de

verwerkte gegevens, inbreuk op de rechten en vrijheden van de betrokkenen onwaarschijnlijk is, preciseren: de doeleinden van de verwerking, de verwerkte gegevens of categorieën verwerkte gegevens, de categorie(ën) betrokkenen, de ontvangers of categorieën ontvangers aan wie de gegevens worden verstrekt, en de periode gedurende welke de gegevens worden bewaard, en/of

- wanneer de voor de verwerking verantwoordelijke, overeenkomstig het nationale recht waaraan hij is onderworpen, een functionaris voor de gegevensbescherming aanwijst die met name - op onafhankelijke wijze toezicht uitoefent op de toepassing binnen de organisatie

van de krachtens deze Richtlijn getroffen nationale maatregelen, - een register bijhoudt van de door de voor verwerking verantwoordelijke verrichte

verwerkingen, waarin de in artikel 21, lid 2, bedoelde gegevens opgenomen zijn, en er aldus voor zorgt dat inbreuk op de rechten en vrijheden van de betrokkenen door de verwerkingen onwaarschijnlijk is.


betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): Overwegende dat, om inadequate administratieve formaliteiten te vermijden, voor de verwerkingen die geen inbreuk kunnen maken op de rechten en vrijheden van de betrokkenen, in vrijstelling of vereenvoudiging van de aanmelding kan worden voorzien, mits deze verwerkingen in overeenstemming zijn met een door de Lid-Staat genomen besluit, waarin de grenzen van een en ander worden aangegeven; dat de Lid-Staten eveneens in vrijstelling of vereenvoudiging kunnen voorzien wanneer een persoon die door de voor de verwerking verantwoordelijke is aangewezen zich ervan vergewist dat de verwerkingen geen inbreuk op de rechten en vrijheden van de betrokkenen kunnen maken; dat de aldus voor de bescherming van de gegevens aangewezen persoon, die al dan niet in dienst is van de voor de verwerking verantwoordelijke, zijn taak in volledige onafhankelijkheid moet kunnen uitoefenen. Over de aangestelde voor de gegevensbescherming, zie artikel 17 bis van de WVP (infra).


204


betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): De Lid-Staten dragen er zorg voor, met betrekking tot de van aanmelding vrijgestelde verwerkingen, dat de voor de verwerking verantwoordelijke of een door de Lid-Staten aangewezen instantie, ten minste de inlichtingen als bedoeld in artikel 19, lid 1, onder a) tot en met e), op passende wijze verstrekken aan een ieder die daarom verzoekt.

• Overweging 51 en 52 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): 51 Overwegende dat het feit dat hij voor vereenvoudiging of vrijstelling van de aanmelding in aanmerking komt, de voor de verwerking verantwoordelijke niet ontslaat van de overige verplichtingen uit hoofde van deze Richtlijn.52 Overwegende dat in dit verband toezicht achteraf door de bevoegde autoriteiten in het algemeen als afdoende moet worden beschouwd.

ADVIEZEN VAN DE GROEP 29 • Groep 29, Werkdocument : aanmelding (3 december 1997 – WP 8): de Groep geeft een

historisch overzicht van de relevante wetgeving en bepalingen van de Richtlijn over de aanmelding. Het document beschrijft vervolgens de situatie in het nationaal recht en stipt de grote verschillen aan tussen de in werking zijnde systemen (vereenvoudigde aangifte, papieren drager, elektronische drager, vrijstellingen, voorgedefinieerde doelstellingen op het aanmeldingsformulier). Aanmelding draagt bij tot de naleving van de beginselen van de Richtlijn, aangezien de verantwoordelijken voor de verwerking met het oog op de aanmelding hun verwerkingen moeten beoordelen en beschrijven, vooraf bepalen welke gegevens moeten worden gebruikt en voor welk doel. Om deze functies naar behoren te kunnen uitvoeren en tot de doorzichtigheid van de gegevensverwerking bij te dragen, moet de desbetreffende informatie niet algemeen maar specifiek zijn. Het is vooral van belang dat de doeleinden van de verwerkingen naar behoren worden gespecificeerd. Aanzienlijke verschillen in de beschrijving van het doeleinde van de verwerkingen in de diverse lidstaten zou niet alleen een belasting voor de verantwoordelijken voor de verwerking meebrengen, maar kan ook de gelijkwaardigheid van het beschermingsniveau binnen de Gemeenschap op het spel zetten. Overdreven bureaucratische eisen in verband met de aanmelding vormen niet alleen een belasting voor de verantwoordelijken voor de verwerking maar ontnemen de aanmelding haar grondslag doordat de belasting voor de gegevensbeschermingsautoriteit te groot wordt. Diverse landen hebben vereenvoudigde aanmelding of vrijstellingen van aanmelding ingevoerd of zijn van plan het in te voeren. Krachtens de Richtlijn kunnen vereenvoudigde aanmelding of vrijstellingen van de aanmeldingsplicht worden toegestaan voor verwerkingen waarbij inbreuk op de rechten en vrijheden van de betrokkenen onwaarschijnlijk is. Voor dergelijke verwerkingen moeten diverse elementen worden gespecificeerd. (artikel 18, § 2 van de Richtlijn). Een van de functies van aanmelding is het publiek over bestaande verwerkingen te informeren door middel van een openbaar register van verwerkingen. De Groep acht het zeer belangrijk dat het register voor het publiek gemakkelijk toegankelijk wordt gemaakt. Zij kijkt belangstellend uit naar de projecten om de openbare registers via het World Wide Web toegankelijk te maken. Zij benadrukt dat passende maatregelen vereist zijn om te voorkomen dat de persoonsgegevens in de registers van verwerkingen voor oneigenlijke doeleinden worden gebruikt.


205

betaling bijdrage § 9. De verantwoordelijke voor de verwerking is gehouden op het ogenblik van de verrichting van de aangifte, een bijdrage te storten aan de rekenplichtige aangesteld bij de Commissie voor de bescherming van de persoonlijke levenssfeer, overeenkomstig de bepalingen van de wetten op de Rijkscomptabiliteit. De Koning stelt het bedrag van deze bijdrage, die tienduizend frank niet mag overschrijden, vast (...). Hij regelt tevens de modaliteiten voor de betaling ervan. KONINKLIJK BESLUIT VAN 13 FEBRUARI 2001 • Artikel 47 van het Koninklijk besluit van 13 februari 2001 ter uitvoering van de wet van 8

december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (2001): Indien de aangifte bedoeld in artikel 17 van de wet wordt verricht aan de hand van het papieren formulier dat de Commissie daartoe ter beschikking stelt, wordt het bedrag van de bijdrage die de verantwoordelijke voor de verwerking aan de Commissie moet storten, vastgesteld op 125 euro of 5042 frank voor de aangifte van alle gegevens die dezelfde verantwoordelijke op hetzelfde tijdstip aan de Commissie verstrekt.

• Artikel 48 van het Koninklijk besluit van 13 februari 2001 ter uitvoering van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (2001): Indien de aangifte wordt verricht aan de hand van de magnetische informatiedrager die de Commissie daartoe ter beschikking stelt, wordt het bedrag van de bijdrage die de verantwoordelijke voor de verwerking aan de Commissie moet storten, vastgesteld op 25 euro of 1008 frank voor de aangifte van alle gegevens die dezelfde verantwoordelijke op hetzelfde tijdstip aan de Commissie verstrekt.

• Artikel 49 van het Koninklijk besluit van 13 februari 2001 ter uitvoering van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (2001): Het bedrag van de bijdrage die aan de Commissie moet worden gestort bij aangifte door dezelfde verantwoordelijke op hetzelfde tijdstip van een of meer wijzigingen in de vermeldingen van zijn oorspronkelijke aangifte wordt vastgesteld op 20 euro of 807 frank.

• Artikel 50 van het Koninklijk besluit van 13 februari 2001 ter uitvoering van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (2001): De verantwoordelijke voor de verwerking betaalt de bijdragen bedoeld in deze afdeling aan de hand van de stukken die de Commissie daartoe ter beschikking stelt.

Artikel 17bis: bijzondere categorieën van verwerking aangestelde voor de gegevensbescherming

206

Artikel 17bis.

bijzondere categorieën van verwerking

bijzondere risico’s

aangestelde voor de gegevensbescherming De Koning stelt, na advies van de Commissie voor de bescherming van de persoonlijke levenssfeer de categorieën van verwerkingen vast die specifieke risico's inhouden voor de persoonlijke rechten en vrijheden van de betrokkenen en stelt voor deze verwerkingen, eveneens op voorstel van de Commissie voor de bescherming van de persoonlijke levenssfeer, bijzondere voorwaarden vast om de rechten en de vrijheden van de betrokkenen te waarborgen. tweede lid In het bijzonder kan Hij bepalen dat de verantwoordelijke voor de verwerking, alleen of samen met andere verantwoordelijken, een aangestelde voor de gegevensbescherming aanwijst die op onafhankelijke wijze zorgt voor de toepassing van deze wet en van haar uitvoeringsmaatregelen. derde lid De Koning bepaalt bij een in Ministerraad overlegd besluit, na advies van de Commissie voor de bescherming van de persoonlijke levenssfeer, het statuut van de aangestelde voor de gegevensbescherming. HUISHOUDELIJK REGLEMENT VAN DE CBPL (B.S., 10 MEI 2007) • Artikel 19 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk II, Sectie III - 2007) :


BIJZONDERE RISICO'S EN AANGESTELDE VOOR DE GEGEVENSBESCHERMING 6 INTERNATIONALE WETGEVING • Artikel 20 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende

de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): 1. De Lid-Staten geven aan welke verwerkingen mogelijk specifieke risico's voor de

persoonlijke rechten en vrijheden inhouden en dragen er zorg voor dat zij vóór de aanvang van de verwerking onderzocht worden.

2. Deze voorafgaande onderzoeken worden uitgevoerd door de toezichthoudende autoriteit na ontvangst van een aanmelding van de voor de verwerking verantwoordelijke, of door de functionaris voor de gegevensbescherming, die in twijfelgevallen de toezichthoudende autoriteit moet raadplegen.

6 Over de aangestelde voor de gegevensbescherming en AFWEZIGHEID van bijzondere risico's inzake gegevensbescherming, zie artikel 17 hierboven.


207

3. De Lid-Staten kunnen een dergelijk onderzoek ook uitvoeren in het kader van de voorbereiding van een maatregel van het nationale parlement ofwel van een op een dergelijke wettelijke maatregel gebaseerde maatregel waarin de aard van de verwerking is omschreven en passende waarborgen zijn opgenomen.

• Overwegingen 53 en 54 van de Richtlijn 95/46/EG van het Europees Parlement en de

Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): 53 Overwegende evenwel dat bepaalde verwerkingen door hun aard, reikwijdte of doel, voor de rechten en vrijheden van de betrokkenen bijzondere risico's meebrengen, zoals het uitsluiten van personen van een recht, een uitkering of een overeenkomst, of verwerkingen waarbij een bijzonder gebruik wordt gemaakt van nieuwe technologie, dat de Lid-Staten desgewenst in hun wetgeving dergelijke risico's dienen te preciseren. 54 Overwegende dat van alle verwerkingen die in de samenleving worden uitgevoerd, het aantal waaraan dergelijke risico's kleven zeer beperkt zou moeten zijn, dat de Lid-Staten voor deze verwerkingen in een voorafgaand onderzoek door de toezichthoudende autoriteit of door de met gegevensbescherming belaste functionaris in overleg met de toezichthoudende autoriteit dienen te voorzien; dat de toezichthoudende autoriteit na dit voorafgaand onderzoek naar gelang van het nationale recht waaronder zij valt advies kan uitbrengen of toestemming kan geven voor de verwerking; dat een dergelijk onderzoek ook kan worden uitgevoerd in het kader van de voorbereiding van een door het nationale parlement aan te nemen maatregel of op basis van een dergelijke wettelijke maatregel, waarin de aard van de verwerking is omschreven en passende waarborgen zijn opgenomen.

• Artikels 24 tot 26 van de Verordening (EG) nr. 45/2001 van het Europees Parlement en de

Raad van 18 december 2000 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de communautaire instellingen en organen en betreffende het vrije verkeer van die gegevens (2000): Artikel 24 1. Elke communautaire instelling en elk communautair orgaan stelt ten minste één

persoon aan tot functionaris voor gegevensbescherming, die a) er zorg voor draagt dat de verantwoordelijken voor de verwerking en de

betrokkenen van hun rechten en plichten die uit deze verordening voortvloeien, in kennis worden gesteld;

b) ingaat op verzoeken van de Europese Toezichthouder voor gegevensbescherming en, binnen het kader van diens bevoegdheden, samenwerkt met de Europese Toezichthouder voor gegevensbescherming, op verzoek van deze laatste of op eigen initiatief;

c) op onafhankelijke wijze zorg draagt voor de interne toepassing van de bepalingen van deze verordening;

d) een register van de verwerkingen die door de verantwoordelijke voor de verwerking zijn verricht, bijhoudt, waarin de in artikel 25, lid 2, bedoelde gegevens zijn opgenomen;

e) de Europese Toezichthouder voor gegevensbescherming kennis geeft van de verwerkingen die waarschijnlijk bijzondere risico's in de zin van artikel 27 inhouden.

Hij draagt er daarmee zorg voor dat verwerkingen geen schending van de rechten en vrijheden van de betrokkenen zullen veroorzaken.

2. De functionaris voor gegevensbescherming wordt gekozen op grond van zijn persoonlijke en professionele kwaliteiten en, in het bijzonder, zijn deskundigheid inzake gegevensbescherming.

3. De keuze van de functionaris voor gegevensbescherming mag niet kunnen uitlopen op een belangenconflict tussen zijn taak als functionaris en andere officiële taken, met name ten aanzien van de toepassing van deze verordening.

4. De functionaris voor gegevensbescherming wordt voor een termijn van ten minste twee jaar en ten hoogste vijf jaar benoemd. Hij kan worden herbenoemd, maar de totale duur van zijn mandaat mag niet meer dan tien jaar bedragen. Indien hij niet langer aan


208

de voor de uitoefening van zijn functie vereiste voorwaarden voldoet, kan hij alleen door de communautaire instelling die of het communautaire orgaan dat hem heeft aangesteld, met instemming van de Europese Toezichthouder voor gegevensbescherming als functionaris voor gegevensbescherming worden ontslagen.

5. Na zijn benoeming wordt de functionaris voor gegevensbescherming door de instelling die, of het orgaan dat hem heeft benoemd, bij de Europese Toezichthouder voor gegevensbescherming geregistreerd.

6. De functionaris voor gegevensbescherming krijgt van de communautaire instelling die of het communautaire orgaan dat hem heeft aangesteld, de beschikking over het personeel en de middelen die voor de uitvoering van zijn taken noodzakelijk zijn.

7. Met betrekking tot de uitoefening van zijn functie mag de functionaris voor gegevensbescherming geen enkele instructie krijgen.

8. Nadere uitvoeringsvoorschriften betreffende de functionaris voor gegevensbescherming worden door de communautaire instelling of door het communautaire orgaan vastgesteld overeenkomstig de bijlage. De uitvoeringsvoorschriften hebben met name betrekking op de taken, verplichtingen en bevoegdheden van de functionaris voor gegevensbescherming.

Het artikel 25 handelt over de voorafgaande aangifte bij de Europese Toezichthouder voor de gegevensbescherming en artikel 26 van het register der aangegeven verwerkingen.


van 18 december 2000 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de communautaire instellingen en organen en betreffende het vrije verkeer van die gegevens. (2000): 1. Verwerkingen die gezien hun aard, reikwijdte of doeleinden bijzondere risico's kunnen

inhouden voor de rechten en vrijheden van de betrokkenen, worden vooraf gecontroleerd door de Europese Toezichthouder voor gegevensbescherming.

2. De volgende verwerkingen kunnen dergelijke risico's meebrengen: a) verwerkingen van gegevens betreffende de gezondheid en verwerkingen van

gegevens inzake verdenkingen, strafbare feiten, strafrechtelijke veroordelingen of veiligheidsmaatregelen;

b) verwerkingen die ten doel hebben de persoonlijke eigenschappen van de betrokkenen, zoals bekwaamheid, rendement of gedrag, te beoordelen;

c) verwerkingen waarmee voor verschillende doeleinden verwerkte gegevens onderling kunnen worden gekoppeld zonder dat hiervoor nationale of communautaire regelgeving bestaat;

d) verwerkingen die gericht zijn op het ontzeggen van het genot van een recht, van een uitkering of van de mogelijkheid een contract aan te gaan.

ADVIEZEN VAN DE GROEP 29 • Groep 29, Werkdocument: aanmelding (3 december 1997 – WP 8): het document

bespreekt eveneens de kwestie van de functionaris voor gegevensbescherming (vereenvoudigde aanmelding of vrijstelling). De aanstelling binnen de organisatie van een functionaris voor de gegevensbescherming beperkt de behoefte aan centraal toezicht. De Groep ondersteunt de verplichte dan wel vrijwillige aanstelling van dergelijke functionarissen. Dergelijke functionarissen moeten echter wel de middelen krijgen om hun taak op doeltreffende wijze uit te oefenen. Indien dergelijke functionarissen onvoldoende bevoegdheden of middelen krijgen om te verzekeren dat inbreuk op de rechten en vrijheden van de betrokkene onwaarschijnlijk is, zijn afwijkingen van de gebruikelijke aanmeldingseisen niet langer gerechtvaardigd. Er moeten voldoende garanties worden geboden zodat de functionaris zijn functie, vooral van de directie, in alle onafhankelijkheid kan uitoefenen.


209

• Groep 29, Verslag van de Werkgroep “artikel 29” over de verplichting van aangifte bij controleautoriteiten, het optimaal gebruik van uitzonderingen en vereenvoudiging en de rol van de functionaris voor bescherming van persoonsgegevens in de Europese Unie (18 januari 2005 – WP 106) (vrije vertaling): Dit verslag identificeert de meest aangewezen praktijk voor de aangifteplicht in de lidstaten alsook de rol van de functionaris voor gegevensbescherming. Het bestudeert ook een vereenvoudigingssysteem voor organisaties met meer dan een vestiging in de Unie en ze doet enkele aanbevelingen waarbij ze de Europese Commissie verzoekt er rekening mee te willen houden, mocht die in de toekomst overwegen de harmonisatie verder uit te werken. Dit verslag moet worden gezien als een eerste bijdrage tot een beter begrip van de rol die de aangifteplicht en de functionaris belast met gegevensbescherming spelen in het gegevensbeschermingssysteem zoals het vandaag bestaat in de Europese Unie, en als een eerste stap in de richting van een harmonisatie en verhoogde vereenvoudiging van de aangiftemechanismen binnen de Gemeenschap.

Artikel 18: openbaar register

210

Artikel 18.

openbaar register Bij de Commissie voor de bescherming van de persoonlijke levenssfeer wordt een register gehouden van de geautomatiseerde verwerkingen van persoonsgegevens. Bij de inschrijving in dat register moeten de gegevens bedoeld in artikel 17, §§ 3 en 6 worden opgenomen. Dat register staat ter inzage van eenieder op de wijze door de Koning bepaald. (lid 4 opgeheven) KONINKLIJK BESLUIT VAN 13 FEBRUARI 2001

• Artikel 63 van het Koninklijk Besluit van 13 februari 2001 ter uitvoering van de wet van 8

december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (2001): Het openbaar register van de geautomatiseerde verwerkingen van persoonsgegevens bedoeld in artikel 18 van de wet, hierna ‘openbaar register’ genoemd, kan op de volgende wijzen worden geraadpleegd : a) rechtstreekse raadpleging op afstand aan de hand van telecommunicatiemiddelen; b) rechtstreekse raadpleging ter plaatse in de ruimten die de Commissie daartoe aanwijst; c) onrechtstreekse raadpleging aan de hand van een verzoek aan de Commissie tot het verkrijgen van een uittreksel.

• Artikel 64 van het Koninklijk Besluit van 13 februari 2001 ter uitvoering van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (2001): Voor rechtstreekse raadplegingen op afstand stelt de Commissie een kopie van het openbaar register ter beschikking op een server die toegankelijk is via Internet. Naast de in het eerste lid omschreven toegangswijze kan de Commissie andere mogelijkheden voor raadpleging voorstellen.

• Artikel 65 van het Koninklijk Besluit van 13 februari 2001 ter uitvoering van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (2001): Voor rechtstreekse raadplegingen ter plaatse stelt de Commissie tijdens de normale kantooruren de nodige ruimte en computerapparatuur uitgerust met de gepaste software ter beschikking van eenieder die zich bij haar aanmeldt om het openbaar register te raadplegen.

• Artikel 66 van het Koninklijk Besluit van 13 februari 2001 ter uitvoering van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (2001): Eenieder kan zich bij de Commissie aanmelden of een schriftelijk verzoek tot haar richten om een uittreksel uit het openbaar register te verkrijgen. In het mondeling of schriftelijk verzoek om een uittreksel moet tenminste een van de volgende gegevens worden vermeld: 1 het identificatienummer of de naam van de verwerking of verwerkingen waarop het

uittreksel betrekking heeft; 2 de volledige of afgekorte naam van de verantwoordelijke of verantwoordelijken voor de

verwerking die in het gevraagde uittreksel moeten worden vermeld; 3 bij een schriftelijk verzoek toegezonden over de post, het adres waarnaar het uittreksel

moet worden verzonden.

Artikel 18: openbaar register

211

• Artikel 67 van het Koninklijk Besluit van 13 februari 2001 ter uitvoering van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (2001): Indien het gevraagde uittreksel uit het openbaar register betrekking heeft op meer dan tien verwerkingen en verscheidene verantwoordelijken voor verwerkingen of op meer dan honderd verwerkingen van dezelfde verantwoordelijke, kan de Commissie een vereenvoudigd uittreksel uitreiken waarin het identificatienummer, de benaming en het doel van iedere verwerking, alsook het identificatienummer, de naam en de gemeente met postcode van iedere verantwoordelijke voor de verwerking zijn vermeld. In het geval bedoeld in het eerste lid stelt de Commissie de aanvrager van het uittreksel in kennis van zijn recht op rechtstreekse raadpleging van het openbaar register en van de wijzen waarop dit recht kan worden uitgeoefend.

• Artikel 68 van het Koninklijk Besluit van 13 februari 2001 ter uitvoering van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (2001): De raadpleging van het openbaar register is kosteloos.

• Artikel 69 van het Koninklijk Besluit van 13 februari 2001 ter uitvoering van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (2001): Niemand kan worden verplicht de redenen voor de raadpleging van het openbaar register aan de Commissie mee te delen, ongeacht of het gaat om een rechtstreekse of onrechtstreekse raadpleging.

HUISHOUDELIJK REGLEMENT VAN DE CBPL (B.S., 10 MEI 2007) • Artikel 19 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk II, Sectie III - 2007) :


INTERNATIONALE WETGEVING • Artikel 21 §§ 1 en 2 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad

betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): 1. De Lid-Staten nemen maatregelen om te zorgen voor de openbaarheid van de verwerkingen. 2. De Lid-Staten bepalen dat de toezichthoudende autoriteit een register van de uit hoofde van artikel 18 (Verplichting tot aanmelding bij de toezichthoudende autoriteit) aangemelde verwerkingen behoudt. Het register bevat ten minste de in artikel 19, lid 1, onder a) tot en met e), bedoelde inlichtingen.

Artikel 19: onderzoeksrecht van de Commissie naar bestand verwerking persoonsgegevens

212

Artikel 19. Overtreden strafbaar gesteld: zie art. 39, 10°, 40 et 41 WVP

onderzoeksrecht van de Commissie

bestand verwerking van persoonsgegevens Wanneer de Commissie voor de bescherming van de persoonlijke levenssfeer meent dat een niet-geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of bestemd zijn om daarin te worden opgenomen een mogelijke schending van de persoonlijke levenssfeer inhoudt, kan zij hetzij ambtshalve, hetzij op verzoek van een betrokkene de verantwoordelijke voor de verwerking opleggen haar mededeling te verstrekken van het geheel of een gedeelte van de inlichtingen opgesomd in artikel 17. HUISHOUDELIJK REGLEMENT VAN DE CBPL (B.S., 10 MEI 2007) • Artikel 19 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk II, Sectie III - 2007) :



betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): De Lid-Staten kunnen bepalen dat sommige of alle niet-geautomatiseerde verwerkingen van persoonsgegevens aangemeld moeten worden, eventueel in vereenvoudigde vorm.

Artikel 20: specifieke aangifte door of krachtens wet

213

Artikel 20.

specifieke aangifte door of krachtens wet Indien door of krachtens een wet wordt voorzien in een specifiek systeem van voorafgaande machtigingen of aangiften van verwerkingen van gegevens, dat voorziet in het ter beschikking stellen van een bijzonder toezichtscomité van de inlichtingen vermeld in artikel 17, §§ 3 en 6 en in het inschrijven in een openbaar register van de vermeldingen bedoeld in artikel 17, §§ 3 en 6, wordt geacht aan de verplichtingen van de artikelen 17, 18 en 19 te zijn voldaan wanneer het geheel van deze informatie op permanente wijze ter beschikking wordt gehouden van de Commissie voor de bescherming van de persoonlijke levenssfeer. Artikel 17, § 9 is van overeenkomstige toepassing. KONINKLIJK BESLUIT VAN 13 FEBRUARI 2001 • Artikel 62 van Het Koninklijk Besluit van 13 februari 2001 ter uitvoering van de wet van 8

december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (2001): De bepalingen van artikel 17 van de wet met uitzondering van §§ 4 en 8 zijn niet van toepassing op de verwerkingen van persoonsgegevens door instellingen van sociale zekerheid, bedoeld in de artikelen 1 en 2, eerste lid, 2°, van de wet van 15 januari 1990 houdende oprichting en organisatie van de Kruispuntbank van de sociale zekerheid, die de toepassing van de sociale zekerheid tot doel hebben, op voorwaarde dat deze instellingen met betrekking tot deze verwerkingen voldoen aan de bepalingen van de vermelde wet en haar uitvoeringsbesluiten. De lijst, bedoeld in artikel 46, eerste lid, 6°bis, van de wet van 15 januari 1990 houdende oprichting en organisatie van de Kruispuntbank van de sociale zekerheid, wordt door de Kruispuntbank ter beschikking gehouden aan de Commissie voor de bescherming van de persoonlijke levenssfeer, overeenkomstig de modaliteiten bepaald in onderling overleg tussen deze beide instanties. De Commissie voor de bescherming van de persoonlijke levenssfeer verricht op grond van deze lijst de bijwerkingen van het openbaar register van de geautomatiseerde verwerkingen van persoonsgegevens bedoeld in artikel 18 van de wet.

HUISHOUDELIJK REGLEMENT VAN DE CBPL (B.S., 10 MEI 2007) • Artikel 19 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk II, Sectie III - 2007) :


Artikel 21: doorgifte beperkt tot landen met passend beschermingsniveau

214

HOOFDSTUK VI. - Doorgifte van persoonsgegevens naar landen buiten de Europese Gemeenschap. ALGEMENE BRONNEN INTERNATIONALE WETGEVING • Guidelines of the United Nations for the Regulation of Computerized Personal Data Files

(1990) – (9) Transborder data flows

• Guidelines of the Organisation for Economic Co-operation and Development (OECD) governing the protection of privacy and transborder flows of personal data (1980)

• Artikel 12 van het Verdrag nr. 108 van de Raad van Europa tot bescherming van personen

ten opzichte van de geautomatiseerde verwerking van persoonsgegevens (1981) : Grensoverschrijdend verkeer van persoonsgegevens en internationaal recht

• Explanatory Report of the Convention n°108: punten 62-70 die de reikwijdte omschrijft van de bepalingen over de grensoverschrijdende flux zoals geformuleerd in het Verdrag.

• Artikel 2 van het Additional Protocol to the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data regarding supervisory authorities and transborder data flows. Zie ook Explanatory Memorandum of the Convention and Additional Protocol

• Artikels 25 en 26 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995).


215

Artikel 21.

doorgifte beperkt tot landen met passend beschermingsniveau § 1. Persoonsgegevens die aan een verwerking worden onderworpen na doorgifte ervan naar een land buiten de Europese Gemeenschap, mogen slechts worden doorgegeven indien dat land een passend beschermingsniveau waarborgt en de andere bepalingen van deze wet en de uitvoeringsbesluiten ervan worden nageleefd. tweede lid De vraag of het beschermingsniveau passend is, wordt beoordeeld met inachtneming van alle omstandigheden die op de doorgifte van gegevens of op een categorie gegevensdoorgiften van invloed zijn; in het bijzonder wordt rekening gehouden met de aard van de gegevens, met het doeleinde en met de duur van de voorgenomen verwerking of verwerkingen, het land van herkomst en het land van eindbestemming, de algemene en sectoriële rechtsregels die in het betrokken land gelden, alsmede de beroepscodes en de veiligheidsmaatregelen die in die landen worden nageleefd. BEGRIP DOORGIFTE RECHTSPRAAK VAN HET EUROPESE HOF VAN JUSTITIE • Europees Hof van Justitie, Arrest van 6 november 2003, Bodil Linqvist (prejudiciële


Feiten Eind 1998 heeft Lindqvist thuis op haar eigen computer internetpagina's gecreëerd, zodat gemeenteleden die hun belijdenis wilden doen, gemakkelijk de door hen benodigde informatie konden opvragen. Op haar verzoek heeft de webmaster van de website van de Kerk van Zweden op die website een link naar die pagina's geplaatst. De bedoelde pagina's bevatten informatie over Lindqvist en 18 van haar collega's in de kerkgemeente, waaronder hun volledige naam of soms alleen hun voornaam. Bovendien beschreef Lindqvist in licht humoristische bewoordingen de werkzaamheden van haar collega's en hun liefhebberijen. In een aantal gevallen werden hun gezinssituatie, hun telefoonnummer en andere gegevens vermeld. Verder heeft zij verteld dat een van haar collega's haar voet had bezeerd en met gedeeltelijk ziekteverlof was. Met zijn vijfde vraag wenst de verwijzende rechter in wezen te vernemen of er sprake is van doorgifte van gegevens naar een derde land in de zin van artikel 25 van Richtlijn 95/46, wanneer een zich in een lidstaat bevindende persoon op een internetpagina, die is opgeslagen bij een in dezelfde of in een andere lidstaat gevestigde natuurlijke of rechtspersoon, waarbij de website is ondergebracht waarop de pagina kan worden geraadpleegd (hierna: hosting provider), persoonsgegevens plaatst en ze daarmee toegankelijk maakt voor eenieder die een internetverbinding tot stand brengt, met inbegrip van personen in derde landen. De verwijzende rechter vraagt ook nog of het antwoord op deze vraag hetzelfde luidt wanneer blijkt dat geen enkel onderdaan van een derde land daadwerkelijk kennis heeft genomen van die gegevens of dat de server waarop de pagina is opgeslagen, zich zuiver fysiek in een derde land bevindt.


216

Bij het Hof ingediende opmerkingen 53. Volgens de Commissie en de Zweedse regering is het met behulp van een computer plaatsen van persoonsgegevens op een internetpagina, zodat die gegevens toegankelijk worden voor onderdanen van derde landen, een doorgifte van gegevens naar derde landen in de zin van Richtlijn 95/46. Het maakt voor het antwoord niet uit dat geen enkele onderdaan van een derde land daadwerkelijk kennis heeft genomen van die gegevens of dat de server waarop die gegevens zijn opgeslagen, zich zuiver fysiek in een derde land bevindt. 54. De Nederlandse regering wijst erop dat het begrip doorgifte in Richtlijn 95/46 niet is gedefinieerd. Zij is om te beginnen van mening dat dit begrip moet worden opgevat als een activiteit die bewust gericht is op het doorgeven van persoonsgegevens van het grondgebied van een lidstaat naar een derde land, en vervolgens dat geen onderscheid kan worden gemaakt tussen de verschillende vormen waarin gegevens voor derden toegankelijk kunnen worden gemaakt. Haar conclusie luidt dat het met behulp van een computer plaatsen van persoonsgegevens op een internetpagina niet kan worden beschouwd als een doorgifte van persoonsgegevens naar een derde land in de zin van artikel 25 van Richtlijn 95/46. 55. De regering van het Verenigd Koninkrijk voert aan dat artikel 25 van Richtlijn 95/46 betrekking heeft op de doorgifte van gegevens naar derde landen en niet op de vraag of zij vanuit derde landen toegankelijk zijn. Het begrip doorgifte houdt in dat een gegeven door een zich op een bepaalde plaats bevindende persoon wordt verzonden naar een zich op een andere plaats bevindende derde. Enkel in het geval van een dergelijke doorgifte verplicht artikel 25 van Richtlijn 95/46 de lidstaten ertoe, voor een passend beschermingsniveau van de persoonsgegevens in een derde land te zorgen. Antwoord van het Hof 56. Richtlijn 95/46 definieert het begrip doorgifte naar een derde land noch in artikel 25 noch in enige andere bepaling, met name niet in artikel 2 ervan. 57. Om uit te maken of het plaatsen van persoonsgegevens op een internetpagina een doorgifte van die gegevens naar een derde land in de zin van artikel 25 van Richtlijn 95/46 is, op de enkele grond dat die gegevens daardoor toegankelijk worden gemaakt voor personen in een derde land, moet rekening worden gehouden met de technische aard van de aldus verrichte handelingen, en met het doel en de systematiek van hoofdstuk VI van die Richtlijn waarin artikel 25 is opgenomen. 58. De informatie op internet kan nagenoeg te allen tijde worden geraadpleegd door een onbepaald aantal personen die op zeer verschillende plaatsen wonen. Dat die informatie overal toegankelijk is vloeit met name voort uit het feit dat de in het kader van internet gebruikte technische middelen betrekkelijk eenvoudig en steeds minder duur zijn. 59. Volgens de mogelijkheden voor het gebruik van internet, zoals die in de loop van de negentiger jaren voor particulieren als Lindqvist beschikbaar zijn geworden, verzendt de maker van een op internet te publiceren pagina de gegevens van die pagina naar zijn hosting provider. Die provider beheert de informatica-infrastructuur die noodzakelijk is voor het opslaan van die gegevens en voor de verbinding met de server waarbij de website is ondergebracht. Daardoor kunnen die gegevens vervolgens worden doorgegeven aan iedereen die een internetverbinding heeft en de gegevens wil opvragen. De computers die deze informatica-infrastructuur vormen, kunnen zich in een of meer andere landen dan dat van vestiging van de hosting provider bevinden - wat ook dikwijls het geval is -, zonder dat diens klanten dit weten of redelijkerwijs kunnen weten. 60. Blijkens het dossier diende een internetgebruiker om toegang te krijgen tot de informatie op de internetpagina waarop Lindqvist gegevens over haar collega's had geplaatst, niet alleen een verbinding met internet te maken maar diende hij ook eigenhandig de voor het raadplegen van die pagina's nodige handelingen te verrichten. Met andere woorden, de internetpagina's van Lindqvist bevatten niet de technische middelen waardoor die informatie automatisch had kunnen worden verzonden aan personen die niet bewust toegang tot die pagina's hadden proberen te krijgen.


217

61. Hieruit volgt dat in omstandigheden als de onderhavige de persoonsgegevens die afkomstig zijn van een persoon die ze op een website heeft geplaatst, op de computer van een persoon in een derde land verschijnen, niet rechtstreeks tussen die twee personen zijn doorgegeven, maar via de informatica-infrastructuur van de hosting provider waarbij de pagina is opgeslagen. 62. In die context moet worden onderzocht of de gemeenschapswetgever met het oog op de toepassing van hoofdstuk IV van Richtlijn 95/46 in het begrip doorgifte van gegevens naar een derde land in de zin van artikel 25 van deze Richtlijn ook handelingen wilde opnemen als die welke door Lindqvist zijn verricht. Er moet op worden gewezen dat de vijfde vraag van de verwijzende rechter enkel die handelingen betreft en niet die welke door de hosting providers worden verricht. 63. Hoofdstuk IV van Richtlijn 95/46, waarin artikel 25 is opgenomen, voert een bijzondere regeling met specifieke voorschriften in, die beoogt een controle door de lidstaten van de doorgiften van persoonsgegevens naar derde landen te waarborgen. Bij dit hoofdstuk is een regeling ingevoerd die een aanvulling is op de algemene regeling van hoofdstuk II van die Richtlijn, dat de rechtmatigheid van verwerkingen van persoonsgegevens betreft. 64. Het doel van hoofdstuk IV is gedefinieerd in de punten 56 tot en met 60 van de considerans van Richtlijn 95/46, waarin met name is vermeld dat, ofschoon de door deze Richtlijn in de Gemeenschap gewaarborgde bescherming van personen niet in de weg staat aan het doorgeven van persoonsgegevens naar derde landen wanneer daarbij een passend beschermingsniveau is gewaarborgd, bij de beoordeling van dit niveau rekening dient te worden gehouden met alle omstandigheden van een doorgifte of een categorie doorgiften. Doorgifte van persoonsgegevens naar een derde land dient te worden verboden, indien daar geen passend beschermingsniveau wordt geboden. 65. Artikel 25 van Richtlijn 95/46 legt de lidstaten en de Commissie een aantal verplichtingen op voor de controle van de doorgiften van persoonsgegevens naar derde landen met inachtneming van het in elk land voor die gegevens geboden beschermingsniveau. 66. Artikel 25, lid 4, van Richtlijn 95/46 bepaalt in het bijzonder dat, wanneer de Commissie constateert dat een derde land geen waarborgen voor een passend beschermingsniveau biedt, de lidstaten de nodige maatregelen nemen om doorgifte van persoonsgegevens naar het betrokken land te voorkomen. 67. In hoofdstuk IV van Richtlijn 95/46 is niets bepaald over het gebruik van internet. Het formuleert met name geen criteria om te bepalen of voor de door tussenkomst van de hosting provider verrichte handelingen moet worden uitgegaan van de plaats van vestiging of van de bedrijfszetel van de provider dan wel van de plaats(en) waar zich de computers bevinden die de informatica-infrastructuur van de provider vormen. 68. Gezien de ontwikkeling van internet ten tijde van de opstelling van Richtlijn 95/46 en het ontbreken van criteria voor het gebruik van internet in hoofdstuk IV, kan niet worden aangenomen dat het de bedoeling was van de gemeenschapswetgever, vooruitlopend op latere ontwikkelingen, het begrip doorgifte van gegevens naar een derde land ook te laten gelden voor de handeling van een persoon in de situatie van Lindqvist die gegevens op een internetpagina plaatst, ook wanneer die gegevens daarmee toegankelijk worden gemaakt voor personen uit derde landen die de technische middelen hebben om zich toegang daartoe te verschaffen. 69. Indien artikel 25 van Richtlijn 95/46 aldus werd uitgelegd dat er sprake is van een doorgifte van gegevens naar een derde land telkens wanneer persoonsgegevens op een internetpagina worden geplaatst, zou dat noodzakelijkerwijs een doorgifte zijn naar alle derde landen waar de technische middelen voor toegang tot internet bestaan. De bijzondere regeling van hoofdstuk IV van die Richtlijn zou daarmee, voor de verrichtingen op internet, noodzakelijkerwijs een algemene toepassingsregeling worden. Immers, zodra de Commissie overeenkomstig artikel 25, lid 4, van Richtlijn 95/46 zou vaststellen dat één enkel derde land geen waarborgen voor een passend beschermingsniveau biedt, zouden de lidstaten het plaatsen van persoonsgegevens op het internet moeten verhinderen. 70. In die omstandigheden moet worden vastgesteld dat artikel 25 van Richtlijn 95/46 aldus moet worden uitgelegd, dat handelingen als die van Lindqvist als zodanig


218

geen doorgifte van gegevens naar een derde land vormen. Derhalve behoeft niet te worden onderzocht of iemand uit een derde land toegang tot de betrokken internetpagina heeft gehad dan wel of de server van die provider zich fysiek in een derde land bevindt.

BEGINSEL VAN PASSEND BESCHERMINGSNIVEAU INTERNATIONALE WETGEVING • Guidelines of the United Nations for the Regulation of Computerized Personal Data Files

(1990) – (9) Transborder data flows : When the legislation of two or more countries concerned by a transborder data flow offers comparable safeguards for the protection of privacy, information should be able to circulate as freely as inside each of the territories concerned. If there are no reciprocal safeguards, limitations on such circulation may not be imposed unduly and only in so far as the protection of privacy demands.

• Artikel 2 van het Additional Protocol to the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data regarding supervisory authorities and transborder data flows: Each Party shall provide for the transfer of personal data to a recipient that is subject to the jurisdiction of a State or organisation that is not Party to the Convention only if that State or organisation ensures an adequate level of protection for the intended data transfer. Zie ook Explanatory Memorandum of the Convention

• Artikel 25 §§ 1 en 2 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad

betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): 1. De Lid-Staten bepalen dat persoonsgegevens die aan een verwerking worden onderworpen of die bestemd zijn om na doorgifte te worden verwerkt, slechts naar een derde land mogen worden doorgegeven indien, onverminderd de naleving van de nationale bepalingen die zijn vastgesteld ter uitvoering van de andere bepalingen van deze Richtlijn, dat land een passend beschermingsniveau waarborgt. 2. Het passend karakter van het door een derde land geboden beschermingsniveau wordt beoordeeld met inachtneming van alle omstandigheden die op de doorgifte van gegevens of op een categorie gegevensdoorgiften van invloed zijn; in het bijzonder wordt rekening gehouden met de aard van de gegevens, met het doeleinde en met de duur van de voorgenomen verwerking of verwerkingen, het land van herkomst en het land van eindbestemming, de algemene en sectoriële rechtsregels die in het betrokken derde land gelden, alsmede de beroepscodes en de veiligheidsmaatregelen die in die landen worden nageleefd.

• Overweging 56 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): Overwegende dat grensoverschrijdend verkeer van persoonsgegevens voor de ontwikkeling van het internationale handelsverkeer noodzakelijk is; dat de door deze Richtlijn in de Gemeenschap gewaarborgde bescherming van personen het doorgeven van persoonsgegevens naar derde landen die een passend beschermingsniveau waarborgen niet in de weg staat; dat bij de beoordeling van het door een derde land geboden beschermingsniveau rekening dient te worden gehouden met alle omstandigheden van een doorgifte of een categorie doorgiften;

• Overweging 57 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): Overwegende dat daarentegen doorgifte van persoonsgegevens naar een derde land dient te worden verboden, indien daar geen passend beschermingsniveau wordt geboden;


219

ADVIEZEN VAN DE GROEP 29 • Groep 29, Eerste richtsnoeren voor de doorgifte van persoonsgegevens naar derde

landen. Voorstel inzake een methode voor de beoordeling van het passend karakter van het beschermingsniveau (26 juni 1997- WP 4): het document onderzoekt wat moet worden verstaan onder “passende bescherming” en stelt voor de volgende basisbeginselen te weerhouden: Beginselen die aan de inhoud raken: - doorgifte wordt beperkt tot een specifiek doel; - kwaliteit en proportionaliteit van de gegevens; - transparantie; - beveiliging; - recht op toegang, verbetering en verzet; - beperking van verdere doorgifte naar andere derde landen; - gevoelige gegevens; - direct marketing; - geautomatiseerde individuele besluiten. Procedurele- en handhavingsmechanismen: - een goede naleving van de voorschriften verzekeren; - ondersteuning en bijstand verlenen aan de betrokken personen; - een passende schadeloosstelling verzekeren.

• Groep 29, Werkdocument: Doorgifte van persoonsgegevens naar derde landen:

toepassing van de artikelen 25 en 26 van de EU-Richtlijn betreffende gegevensbescherming (24 juli 1998 – WP 12): dit document geeft een algemene benadering van de problematiek van de doorgifte van gegevens naar derde landen en bevat: - onderzoek naar het karakter van een passende bescherming zoals bedoeld in artikel

25 van de Richtlijn 95/46/EG: wat wordt begrepen onder “passende bescherming”? Welke beginselen raken aan de inhoud en procedurele- en handhavingsmechanismen die nodig zijn om tot een passend beschermingsniveau te komen? Quid voor de landen die het Verdrag 108 van de Raad van Europa ratificeerden? Toepassing van deze aanpak op de sectorale zelfregulering.

- Onderzoek naar de middelen die voldoende waarborgen kunnen bieden met behulp van contractuele oplossingen (artikel 26, § 2) ingeval de bescherming geen passend karakter heeft: dit deel bespreekt onder meer de specifieke vereisten bij een contractuele oplossing door in het bijzonder 3 punten te benadrukken: (1) verzekeren van schadeloosstelling aan de betrokken personen, (2) verlenen van bijstand aan de betrokken personen en (3) verzekeren van een goede naleving van de voorschriften.

- Een onderzoek naar de afwijkingen van de eisen inzake de passende bescherming, zoals omschreven in artikel 26, § 1.

DERDE LANDEN DIE EEN PASSENDE BESCHERMING BIEDEN INTERNATIONALE WETGEVING • Beschikking 2000/518/EG van de Commissie van 26 juli 2000 overeenkomstig Richtlijn

95/46/EG van het Europees Parlement en de Raad betreffende de passende bescherming van persoonsgegevens in Zwitserland

• Beschikking 2000/520/EG van de Commissie van 26 juli 2000 overeenkomstig Richtlijn

95/46/EG van het Europees Parlement en de Raad betreffende de gepastheid van de bescherming geboden door de Veiligehavenbeginselen en de daarmee verband houdende vaak gestelde vragen die door het Ministerie van Handel van de Verenigde Staten zijn gepubliceerd (Safe Harbor).


220

• Beschikking 2002/2/EG van de Commissie van 20 december 2001 overeenkomstig Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de passende bescherming van persoonsgegevens geboden door de Canadese Personal Information Protection and Electronic Documents Act.

• Beschikking 2003/1731 van de Commissie van 30 juni 2003 overeenkomstig Richtlijn

95/46/EG van het Europees Parlement en de Raad betreffende de passende bescherming van persoonsgegevens in Argentinië

• Beschikking 2003/821/EG van de Commissie van 21 november 2003 over de passende

bescherming van persoonsgegevens op Guernsey • Commission Decision 2004/411/EC of 28 April 2004 on the adequate protection of personal

data in the Isle of Man • Council Decision 2006/729/PESC/JHA of 16 Octobre 2006 on the signing, on behalf of the

European Union, of an agreement between the European Union and the United States of America on the processing and transfer of Passenger Name Record (PNR) data by air carriers to the United States Department of Homeland Security

• Council Decision 2006/551/PESC/JHA of 23 July 2007 on the signing, on behalf of the

European Union, of an agreement between the European Union and the United States of America on the processing and transfer of Passenger Name Record (PNR) data by air carriers to the United States Department of Homeland Security (DHS) (PNR agreement 2007).

ADVIEZEN VAN DE GROEP 29 • Groep 29, Advies 5/99 inzake het beschermingsniveau van persoonsgegevens in

Zwitserland (7 juni 1999 – WP 22). Volgens dit document is de Groep 29 van mening dat de federale wet op de bescherming van gegevens een passend beschermingsniveau waarborgt zelfs al moeten er verduidelijkingen worden aangebracht over het transparantiebeginsel en de bescherming van gevoelige gegevens. Hoewel de Groep de situatie op het niveau van de kantons moeilijker te beoordelen acht, vestigt ze er toch de aandacht op dat de aangenomen voorschriften overwegend geïnspireerd zijn op het Verdrag 108, overeenkomstig de internationale verbintenissen die Zwitserland heeft aangegaan; dat de verwerking van persoonsgegevens moet voldoen aan de algemene beginselen die voortkomen uit de jurisprudentie van het federaal gerechtshof met betrekking tot de persoonlijke vrijheid. In die jurisprudentie wordt een minimumstandaard vastgesteld voor gegevensbescherming en wanneer de verwerking van persoonsgegevens door kantonnale organen niet onder de kantonnale voorschriften inzake gegevensbescherming valt, is de federale wet van toepassing. Op dit advies volgde een door de Commissie aangenomen beschikking van passend beschermingsniveau op basis van artikel 31 van de Richtlijn 95/46/EG (zie supra het gedeelte over de internationale wetgeving).

• Groep 29, Advies 6/99 over het passend beschermingsniveau in Hongarije (7 september

1999 – WP 24): dit document werd goedgekeurd toen Hongarije nog geen deel uitmaakte van de Unie en concludeert dat de Hongaarse wetgeving inzake bescherming van persoonsgegevens een passend beschermingsniveau biedt. Naast de Hongaarse wetgeving over de gegevensbescherming, vestigt de Groep de aandacht op de internationale verbintenissen die Hongarije heeft aangegaan door het Verdrag 108 te ratificeren; de bescherming die door de Grondwet tot regel is verheven en het bestaan van sectorale wetten waarin bepalingen werden opgenomen inzake bescherming van persoonsgegevens in diverse domeinen zoals geheime diensten, statistieken, direct marketing, wetenschappelijk onderzoek en de medische sector.


221

Op dit advies volgde een door de Commissie aangenomen beschikking van passend beschermingsniveau op basis van artikel 31 van de Richtlijn 95/46/EG (zie supra het gedeelte over de internationale wetgeving).

• Groep 29, Advies 2/2001 over de gepastheid van de Canadese Personal Information and

Electronic Documents Act (26 januari 2001 – WP 39): de Groep vestigt de aandacht op het feit dat de onderzochte Canadese wetgeving slechts van toepassing is op organisaties uit de particuliere sector die in het kader van commerciële activiteiten persoonsgegevens verzamelen, gebruiken of mededelen (personal information). De Groep beveelt daarom aan om bij de vaststelling van gepastheid ten aanzien van de Personal Information and Electronic Documents Act rekening te houden met het beperkte toepassingsgebied en het tijdschema voor invoering van deze wet. De Groep moedigt sterk elk initiatief aan uitgaande van de Canadese overheid dat een zo hoog mogelijke beschermingsniveau betracht voor de verwerking van gevoelige gegevens - vooral de medische gegevens - die niet als zodanig werden erkend maar beschouwd worden als gevoelig naargelang de context waarin ze worden gebruikt. Op dit advies volgde een door de Commissie aangenomen beschikking van passend beschermingsniveau op basis van artikel 31 van de Richtlijn 95/46/EG (zie supra het gedeelte over de internationale wetgeving).

• Groep 29, Advies 3/2001 over het beschermingsniveau van de Australische wet 2000 tot

wijziging (particuliere sector) van de privacywet (26 januari 2001 – WP 40): in dit document uit de Werkgroep haar bezorgdheid over het feit dat bepaalde sectoren en activiteiten uitgesloten worden van wettelijke bescherming, met name de inlichtingen over werknemers. De Groep stelt dat inlichtingen over werknemers dikwijls gevoelige gegevens bevatten en dat er geen enkele reden is om hen ten minste van bescherming van de gevoelige gegevens uit te sluiten. De Groep wijst er ook op dat de mogelijkheid wordt geboden om informatie te gebruiken of bekend te maken voor een secundair doel wanneer het gebruik of de bekendmaking bij of uit kracht van wet is vereist of toegestaan. Volgens de Groep is het aanvaardbaar te voorzien in een uitzondering wanneer organisaties met strijdige juridische verplichtingen worden geconfronteerd, maar het uitbreiden van de uitzondering tot alle opties die door sectorspecifieke wetten – bestaande en toekomstige - worden geboden, dreigt de rechtszekerheid te ondermijnen en de basisbescherming uit te hollen. De Groep herinnert er ook aan dat het feit dat wordt toegestaan dat persoonsgegevens worden gebruikt voor direct marketing zonder recht van verzet in geen geval als “gepast” kan worden beschouwd. De Groep verwerpt ook de beperking op de uitoefening van het recht die wordt opgelegd aan de burgers die de Australische nationaliteit niet bezitten of die niet permanent in Australië verblijven. Dit zou betekenen dat een Australische onderneming gegevens zou kunnen invoeren van Europese burgers om ze vervolgens uit te voeren naar een land dat over geen enkele wet beschikt inzake gegevensbescherming zonder dat de Australische wet moet worden toegepast. Een dergelijke maatregelen zou de mogelijkheid bieden om de Richtlijn van de Unie te omzeilen ingeval Australië zou beschouwd worden als een land dat een passende bescherming biedt. Als besluit is de Groep van oordeel dat gegevensoverdrachten naar Australië alleen als passend kunnen worden beschouwd indien geschikte waarborgen worden ingevoerd om aan de bovenvermelde punten van bezorgdheid tegemoet te komen.

• Groep 29, Advies 4/2002 over het niveau van persoonsgegevensbescherming in

Argentinië (3 oktober 2002 – WP 63): de Groep is van oordeel dat Argentinië wordt verondersteld in de mogelijkheid te zijn om een passend beschermingsniveau te bieden zoals bedoeld in artikel 25 (6) van de Richtlijn 95/46/EG en dit niettegenstaande bepaalde prangende zwakheden zoals de kwestie van de onafhankelijke status van de autoriteit voor gegevensbescherming. In zoverre dat die autoriteit binnen de structuur valt van het Ministerie van Justitie en de directeur van deze autoriteit wordt benoemd en ook ontslagen kan worden van zijn functie door de Minister van Justitie, die eveneens beslist over de samenstelling van het personeel van deze controleautoriteit, is de Groep van oordeel dat


222

deze situatie niet betekent dat niet gegarandeerd zou kunnen worden dat deze autoriteit in volle onafhankelijkheid kan handelen. Op dit advies volgde een door de Commissie aangenomen beschikking van passend beschermingsniveau op basis van artikel 31 van de Richtlijn 95/46/EG (zie supra het gedeelte over de internationale wetgeving).

• Groep 29, Advies 5/2003 over het niveau van persoonsgegevensbescherming in Guernsey

(13 juni 2003 – WP 79): in dit document oordeelt de Groep 29 dat Guernsey een passend beschermingsniveau biedt zoals bedoeld in artikel 25, § 6 van de Richtlijn 95/46/EG. Op dit advies volgde een door de Commissie aangenomen beschikking van passend beschermingsniveau op basis van artikel 31 van de Richtlijn 95/46/EG (zie supra het gedeelte over de internationale wetgeving).

• Groep 29, Advies 6/2003 over het persoonsgegevensbeschermingsniveau op het Eiland

Man (21 november 2003 – WP 82): in dit document oordeelt de Groep 29 dat het Eiland Man een passend beschermingsniveau biedt zoals bedoeld in artikel 25, § 6 van de Richtlijn 95/46/EG. Op dit advies volgde een door de Commissie aangenomen beschikking van passend beschermingsniveau op basis van artikel 31 van de Richtlijn 95/46/EG (zie supra het gedeelte over de internationale wetgeving)

KB verboden doorgifte § 2. De Koning bepaalt, na advies van de Commissie voor de bescherming van de persoonlijke levenssfeer en conform artikel 25 van Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrij verkeer van die gegevens, voor welke categorieën van verwerkingen van persoonsgegevens en in welke omstandigheden de doorgifte van persoonsgegevens aan landen buiten de Europese Unie niet is toegestaan. Overtreden van art. 21, §2 is strafbaar: zie art. 39, 12°, 40 en 41 WVP VERWIJZING NAAR ANDERE WETGEVING • Artikel 25 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende

de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): 1. De Lid-Staten bepalen dat persoonsgegevens die aan een verwerking worden onderworpen of die bestemd zijn om na doorgifte te worden verwerkt, slechts naar een derde land mogen worden doorgegeven indien, onverminderd de naleving van de nationale bepalingen die zijn vastgesteld ter uitvoering van de andere bepalingen van deze Richtlijn, dat land een passend beschermingsniveau waarborgt. 2. Het passend karakter van het door een derde land geboden beschermingsniveau wordt beoordeeld met inachtneming van alle omstandigheden die op de doorgifte van gegevens of op een categorie gegevensdoorgiften van invloed zijn; in het bijzonder wordt rekening gehouden met de aard van de gegevens, met het doeleinde en met de duur van de voorgenomen verwerking of verwerkingen, het land van herkomst en het land van eindbestemming, de algemene en sectoriële rechtsregels die in het betrokken derde land gelden, alsmede de beroepscodes en de veiligheidsmaatregelen die in die landen worden nageleefd.


223

3. De Lid-Staten en de Commissie brengen elkaar op de hoogte van de gevallen waarin, naar hun oordeel, een derde land geen waarborgen biedt voor een passend beschermingsniveau in de zin van lid 2. 4. Wanneer de Commissie volgens de procedure van artikel 31, lid 2, constateert dat een derde land geen waarborgen biedt voor een passend beschermingsniveau in de zin van lid 2, nemen de Lid-Staten de nodige maatregelen om doorgifte van gegevens van dezelfde aard naar het betrokken land te voorkomen. 5. De Commissie opent op het gepaste ogenblik onderhandelingen ter verhelping van de situatie die voortvloeit uit de in lid 4 bedoelde constatering. 6. De Commissie kan volgens de procedure van artikel 31, lid 2, constateren dat een derde land, op grond van zijn nationale wetgeving of zijn internationale verbintenissen, die het met name na de in lid 5 bedoelde onderhandelingen is aangegaan, waarborgen biedt voor een passend beschermingsniveau in de zin van lid 2 met het oog op de bescherming van de persoonlijke levenssfeer en de fundamentele vrijheden en rechten van personen. De Lid-Staten nemen de nodige maatregelen om zich naar het besluit van de Commissie te voegen.

Artikel 22: afwezigheid van passende beschermingsniveau

224

Artikel 22. Overtreden strafbaar gesteld: zie art. 39, 12°, 40 et 41 WVP

uizondering op verbod doorgifte

afwezigheid van passend beschermingsniveau § 1 In afwijking van het bepaalde in artikel 21 mag een doorgifte of categorie doorgiften van persoonsgegevens naar een land buiten de Europese Gemeenschap dat geen waarborgen biedt voor een adequaat beschermingsniveau, plaatsvinden in één van de volgende gevallen: INTERNATIONALE WETGEVING • Artikel 2 van het Additional Protocol to the Convention for the Protection of Individuals with

regard to Automatic Processing of Personal Data regarding supervisory authorities and transborder data flows (1981): (…) By way of derogation from paragraph 1 of Article 2 of this Protocol, each Party may allow for the transfer of personal data : a. If domestic law provides for it because of :

– specific interests of the data subject, or – egitimate prevailing interests, especially important public interests, or

b. if safeguards, which can in particular result from contractual clauses, are provided by the controller responsible for the transfer and are found adequate by the competent authorities according to domestic law.

toestemming 1° de betrokkene heeft daarvoor zijn ondubbelzinnige toestemming gegeven; INTERNATIONALE WETGEVING • Artikel 26 § 1 a) van de Richtlijn 95/46/EG van het Europees Parlement en de Raad

betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): De Lid-Staten bepalen dat een doorgifte van persoonsgegevens naar een derde land dat geen waarborgen voor een passend beschermingsniveau biedt, mag plaatsvinden mits: de betrokkene daarvoor zijn ondubbelzinnige toestemming heeft gegeven.

ADVIEZEN VAN DE GROEP 29 • Groep 29, Werkdocument: Doorgifte van persoonsgegevens naar derde landen :

toepassing van de artikelen 25 en 26 van de EU-Richtlijn betreffende gegevensbescherming (24 juli 1998 – WP 12): dit document benadert op algemene wijze


225

de problematiek van gegevensoverdrachten naar derde landen en het bevat onder meer een onderzoek naar de afwijkingen op de vereiste van een passende bescherming zoals omschreven in artikel 26, §1. De eerste afwijking dekt de gevallen waar de betrokken persoon zijn ondubbelzinnige toestemming heeft gegeven voor de geplande overdracht (vrij, specifiek en geïnformeerd – zie artikel 2h). De persoon moet correct geïnformeerd worden over het specifiek risico als zijn gegevens worden doorgegeven naar landen die geen passend beschermingsniveau bieden. Als deze informatie niet wordt verstrekt, is de afwijking niet van toepassing. Zo is de afwijking niet van toepassing van zodra er enige twijfel bestaat rond de toestemming (impliciete toestemming).

uitvoering van een overeenkomst 2° de doorgifte is noodzakelijk voor de uitvoering van een overeenkomst tussen de betrokkene en de verantwoordelijke voor de verwerking of voor de uitvoering van op verzoek van de betrokkene genomen precontractuele maatregelen; INTERNATIONALE WETGEVING • Artikel 26 § 1 b) van de Richtlijn 95/46/EG van het Europees Parlement en de Raad

betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): De Lid-Staten bepalen dat een doorgifte van persoonsgegevens naar een derde land dat geen waarborgen voor een passend beschermingsniveau biedt, mag plaatsvinden mits de doorgifte noodzakelijk is voor de uitvoering van een overeenkomst tussen de betrokkene en de voor de verwerking verantwoordelijke of voor de uitvoering van op verzoek van de betrokkene genomen precontractuele maatregelen.

ADVIEZEN VAN DE GROEP 29 • Groep 29, Werkdocument: Doorgifte van persoonsgegevens naar derde landen:

toepassing van de artikelen 25 en 26 van de EU-Richtlijn betreffende gegevensbescherming (24 juli 1998 – WP 12): dit document benadert op algemene wijze de problematiek van gegevensoverdrachten naar derde landen en het bevat onder meer een onderzoek naar de afwijkingen op de vereiste van een passende bescherming zoals omschreven in artikel 26, §1. De draagwijdte van de 2de en 3de afwijking (zie infra) lijkt ruim opgezet te zijn maar net zoals voor de 4de en 5de afwijking (zie infra) wordt de toepassing ervan beperkt door het “noodzakelijkheidscriterium”: alle doorgegeven gegevens moeten noodzakelijk zijn voor de uitvoering van de overeenkomst. Indien aanvullende niet-essentiële gegevens worden doorgegeven of indien de doorgifte niet voor de uitvoering van de overeenkomst bedoeld is maar een ander doel heeft (bijvoorbeeld follow-up van marketing) geldt de afwijking niet meer. Precontractuele situaties hebben alleen betrekking op situaties die door toedoen van de betrokkene zijn ontstaan (zoals een verzoek om informatie over een bepaalde dienst) en niet diegene die voortvloeien uit marketingdoeleinden van de verantwoordelijke voor de gegevensverwerking. Zij zullen waarschijnlijk vaak toepasbaar zijn voor bijvoorbeeld de doorgiften die noodzakelijk zijn voor vliegticketreservaties of voor doorgiften van persoonsgegevens die noodzakelijk zijn voor het verrichten van een internationale betaling via de bank of met een kredietkaart. De afwijking voor overeenkomsten "in het belang van de betrokkene" heeft namelijk specifiek betrekking op de doorgifte van gegevens over de ontvangers van betalingen via een bank die, hoewel zij betrokkenen zijn, vaak geen partij zijn bij een overeenkomst met de verantwoordelijke voor de verwerking.


226

uitvoering van een contract - derden 3° de doorgifte is noodzakelijk voor de sluiting of de uitvoering van een in het belang van de betrokkene tussen de verantwoordelijke voor de verwerking en een derde gesloten of te sluiten overeenkomst; INTERNATIONALE WETGEVING • Artikel 26 § 1 c) van de Richtlijn 95/46/EG van het Europees Parlement en de Raad

betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): De Lid-Staten bepalen dat een doorgifte van persoonsgegevens naar een derde land dat geen waarborgen voor een passend beschermingsniveau biedt, mag plaatsvinden mits de doorgifte noodzakelijk is voor de sluiting of de uitvoering van een in het belang van de betrokkene tussen de voor de verwerking verantwoordelijke en een derde gesloten of te sluiten overeenkomst.


toepassing van de artikelen 25 en 26 van de EU-Richtlijn betreffende gegevensbescherming (24 juli 1998 – WP 12): dit document benadert op algemene wijze de problematiek van gegevensoverdrachten naar derde landen en het bevat onder meer een onderzoek naar de afwijkingen op de vereiste van een passende bescherming zoals omschreven in artikel 26, §1. De draagwijdte van de 2de en 3de afwijking (zie infra) lijkt ruim opgezet te zijn maar net zoals voor de 4de en 5de afwijking (zie infra) wordt de toepassing ervan beperkt door het “noodzakelijkheidscriterium”: alle doorgegeven gegevens moeten noodzakelijk zijn voor de uitvoering van de overeenkomst. Indien aanvullende niet-essentiële gegevens worden doorgegeven of indien de doorgifte niet voor de uitvoering van de overeenkomst bedoeld is maar een ander doel heeft (bijvoorbeeld follow-up van marketing) geldt de afwijking niet meer. Precontractuele situaties hebben alleen betrekking op situaties die door toedoen van de betrokkene zijn ontstaan (zoals een verzoek om informatie over een bepaalde dienst) en niet diegene die voortvloeien uit marketingdoeleinden van de verantwoordelijke voor de gegevensverwerking. Zij zullen waarschijnlijk vaak toepasbaar zijn voor bijvoorbeeld de doorgiften die noodzakelijk zijn voor vliegticketreservaties of voor doorgiften van persoonsgegevens die noodzakelijk zijn voor het verrichten van een internationale betaling via de bank of met een kredietkaart. De afwijking voor overeenkomsten "in het belang van de betrokkene" heeft namelijk specifiek betrekking op de doorgifte van gegevens over de ontvangers van betalingen via een bank die, hoewel zij betrokkenen zijn, vaak geen partij zijn bij een overeenkomst met de verantwoordelijke voor de verwerking.


227

zwaarwegend algemeen belang

verdediging in rechte 4° de doorgifte is noodzakelijk of wettelijk verplicht vanwege een zwaarwegend algemeen belang of voor de vaststelling, de uitoefening of de verdediging van een recht in rechte; INTERNATIONALE WETGEVING • Artikel 26 § 1 d) van de Richtlijn 95/46/EG van het Europees Parlement en de Raad

betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): De Lid-Staten bepalen dat een doorgifte van persoonsgegevens naar een derde land dat geen waarborgen voor een passend beschermingsniveau biedt mag plaatsvinden mits de doorgifte noodzakelijk of wettelijk verplicht is vanwege een zwaarwegend algemeen belang of voor de vaststelling, de uitoefening of de verdediging van een recht in rechte.

• Overweging 58 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): Overwegende dat onder bepaalde omstandigheden, wanneer de betrokkene daartoe toestemming heeft gegeven, afwijkingen van dit verbod moeten kunnen worden toegestaan, wanneer de doorgifte nodig is in het kader van een overeenkomst of van een rechtsvordering, wanneer de bescherming van een zwaarwegend algemeen belang zulks vereist, bij voorbeeld in het geval van internationale gegevensuitwisselingen tussen belasting of douanediensten of tussen voor de sociale zekerheid bevoegde diensten (…).


toepassing van de artikelen 25 en 26 van de EU-Richtlijn betreffende gegevensbescherming (24 juli 1998 – WP 12): dit document benadert op algemene wijze de problematiek van gegevensoverdrachten naar derde landen en het bevat onder meer een onderzoek naar de afwijkingen op de vereiste van een passende bescherming zoals omschreven in artikel 26, §1. Het eerst luik van de 4de afwijking slaat op bepaalde beperkte doorgiften tussen overheidsdiensten, hoewel deze bepaling niet te ruim mag worden geïnterpreteerd. Een eenvoudig algemeen belang voor het rechtvaardigen van een doorgifte is niet voldoende; het moet gaan om een zwaarwegend algemeen belang. Volgens overweging 58 vallen gegevensdoorgiften tussen belasting- of douanediensten of tussen voor de sociale zekerheid bevoegde diensten in het algemeen onder deze afwijking. Doorgiften tussen toezichthoudende autoriteiten in de financiële dienstensector kunnen ook onder deze afwijking vallen. Het tweede aspect heeft betrekking op doorgiften die plaatsvinden in het kader van internationale geschillen of rechtsgedingen, met name doorgiften die noodzakelijk zijn voor de vaststelling, de uitoefening of de verdediging van een recht in rechte

vitaal belang 5° de doorgifte is noodzakelijk ter vrijwaring van het vitaal belang van de betrokkene;


228

INTERNATIONALE WETGEVING • Artikel 26 § 1 e) van de Richtlijn 95/46/EG van het Europees Parlement en de Raad

betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): De Lid-Staten bepalen dat een doorgifte van persoonsgegevens naar een derde land dat geen waarborgen voor een passend beschermingsniveau biedt, mag plaatsvinden mits de doorgifte noodzakelijk is ter vrijwaring van het vitale belang van de betrokkene.

• Overweging 31 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): Overwegende dat de verwerking van persoonsgegevens ook als geoorloofd moet worden beschouwd wanneer zij wordt uitgevoerd ter bescherming van een belang dat voor het leven van de betrokkene essentieel is;


toepassing van de artikelen 25 en 26 van de EU-Richtlijn betreffende gegevensbescherming (24 juli 1998 – WP 12): dit document benadert op algemene wijze de problematiek van gegevensoverdrachten naar derde landen en het bevat onder meer een onderzoek naar de afwijkingen op de vereiste van een passende bescherming zoals omschreven in artikel 26, §1. Een duidelijk voorbeeld waarbij de 5de afwijking wordt toegepast (vitaal belang van de betrokkene) is de dringende doorgifte van medische bestanden aan een derde land waar een toerist die tevoren in de EU een medische behandeling heeft ondergaan, het slachtoffer is geworden van een ongeval of ernstig ziek is geworden. Er moet echter rekening mee worden gehouden dat overweging 31 van de Richtlijn ‘vitaal belang’ vrij restrictief wordt opgevat als een “belang dat voor het leven van de betrokkene essentieel is”. Dit sluit normaal gesproken bijvoorbeeld financiële, eigendoms- of familiebelangen uit.

• Groep 29, Advies 4/200 inzake de Notice of proposed rule making van het Department of

Health and Human Services van de Verenigde Staten inzake de bestrijding van overdraagbare ziekten en het verzamelen van passagiersgegevens van 20 november 2005 (Control of Communicable Disease Proposed 42 CFR Parts 70 and 71) (14 juni 2006 – WP 121): de Groep boog zich ook over een nieuw Amerikaans wetsvoorstel betreffende het verzamelen van passagiersinformatie door Europese lucht- en scheepvaartmaatschappijen voor het bestrijden van overdraagbare ziekten. Dit Amerikaans wetsontwerp zou de Europese lucht- en scheepvaartmaatschappijen de algemene verplichting opleggen om voor een periode van 60 dagen een bepaald aantal gegevens – niet bij de PNR inbegrepen - te verzamelen en op te slaan over alle passagiers die per vliegtuig naar de VS reizen, zoals de nummers van contactpersonen in geval van nood, de e-mailadressen, de reisgenoten en inlichtingen over de terugvlucht om hen later te kunnen traceren. Over PNR zie infra de rubriek “Internationale Akkoorden”. De Groep artikel 29 is van oordeel dat de bestrijding van overdraagbare ziekten een waardevol streven is, dat door alle landen wordt gedeeld en daarom op de best mogelijke wijze moet worden ondersteund. Anderzijds is de Groep artikel 29 van mening dat, wanneer maatregelen ter bestrijding van overdraagbare ziekten worden genomen, het fundamentele recht op bescherming van persoonsgegevens moet worden gerespecteerd. Na het onderzoek van het Amerikaans wetsvoorstel en in het licht van de Richtlijn 95/46/EG, stelt de Groep vast dat aan de voorgenomen algemene verplichting die zou


229

worden opgelegd aan de transportmaatschappijen met zetel in de Europese Unie om bij hun passagiers en derden informatie in te winnen en op te slaan gedurende 60 dagen – zonder dat er een precieze en specifieke dreiging heerst voor de gezondheid – het noodzakelijk karakter ontbreekt en overmatig is. Deze verplichting is tegengesteld aan het minimaliseringbeginsel (zie WP 121).

openbaar register 6° de doorgifte geschiedt vanuit een openbaar register dat krachtens wettelijke of bestuursrechtelijke bepalingen bedoeld is om het publiek voor te lichten en dat door eenieder dan wel door iedere persoon die zich op een gerechtvaardigd belang kan beroepen, kan worden geraadpleegd, voor zover in het betrokken geval is voldaan aan de wettelijke voorwaarden voor raadpleging. INTERNATIONALE WETGEVING • Artikel 26 § 1 f) van de Richtlijn 95/46/EG van het Europees Parlement en de Raad

betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): De Lid-Staten bepalen dat een doorgifte van persoonsgegevens naar een derde land dat geen waarborgen voor een passend beschermingsniveau biedt mag plaatsvinden mits de doorgifte geschiedt vanuit een openbaar register dat krachtens wettelijke of bestuursrechtelijke bepalingen bedoeld is om het publiek voor te lichten en dat door een ieder dan wel door iedere persoon die zich op een gerechtvaardigd belang kan beroepen, kan worden geraadpleegd, voor zover in het betrokken geval is voldaan aan de wettelijke voorwaarden voor raadpleging.


betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): Overwegende dat onder bepaalde omstandigheden, wanneer de betrokkene daartoe toestemming heeft gegeven, afwijkingen van dit verbod moeten kunnen worden toegestaan, wanneer de doorgifte nodig is in het kader van een overeenkomst of van een rechtsvordering, wanneer de bescherming van een zwaarwegend algemeen belang zulks vereist, bij voorbeeld in het geval van internationale gegevensuitwisselingen tussen belasting of douanediensten of tussen voor de sociale zekerheid bevoegde diensten (…).


toepassing van de artikelen 25 en 26 van de EU-Richtlijn betreffende gegevensbescherming (24 juli 1998 – WP 12): dit document benadert op algemene wijze de problematiek van gegevensoverdrachten naar derde landen en het bevat onder meer een onderzoek naar de afwijkingen op de vereiste van een passende bescherming zoals omschreven in artikel 26, §1. De zesde afwijking houdt in dat wanneer een openbaar register in een Lidstaat kan geraadpleegd worden door het publiek of door personen die een algemeen belang kunnen aantonen, de persoon die het recht heeft het register te raadplegen de gevraagde informatie kan verkrijgen zelfs al bevindt hij zich in werkelijkheid in een derde land en dat de raadpleging in feite een doorgifte van gegevens met zich meebrengt. Overweging 58 verduidelijkt dat deze afwijking niet als algemene afwijking voor de doorgifte van gegevens uit openbare registers worden beschouwd. Het is bijvoorbeeld


230

duidelijk dat massale doorgiften van gegevens uit openbare registers voor commerciële doeleinden of het aanwenden van openbaar beschikbare gegevens voor het profileren van bepaalde personen niet voor deze afwijking in aanmerking komen.

voldoende waarborgen

contractuele bepalingen Onverminderd het bepaalde in het vorige lid kan de Koning, na advies van de Commissie voor de bescherming van de persoonlijke levenssfeer, machtiging verlenen voor een doorgifte of een categorie doorgiften van persoonsgegevens naar een land buiten de Europese Gemeenschap dat geen waarborgen voor een passend beschermingsniveau biedt, indien de verantwoordelijke voor de verwerking voldoende waarborgen biedt ten aanzien van de bescherming van de persoonlijke levenssfeer, de fundamentele rechten en vrijheden van personen, alsmede ten aanzien van de uitoefening van de daaraan verbonden rechten; deze waarborgen kunnen met name voortvloeien uit passende contractuele bepalingen. BEGINSEL INTERNATIONALE WETGEVING

• Artikel 2 van het Additional Protocol to the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data regarding supervisory authorities and transborder data flows (2001): Each party may provide for the transfer of personal data to a recipient which is not subject to the jurisdiction of a Party and does not ensure an adequate level of protection, provided that the person in charge of the transfer supplies sufficient safeguards. These safeguards must be found adequate by the competent supervisory authorities according to domestic law. Such safeguards may in particular be the result of contractual clauses binding the controller who makes the transfer and the recipient who is not subject to the jurisdiction of a Party.

• Artikel 26 §§ 2, 3 en 4 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): 2. Onverminderd het bepaalde in lid 1 kan een Lid-Staat toestemming geven voor een

doorgifte of een categorie doorgiften van persoonsgegevens naar een derde land dat geen waarborgen voor een passend beschermingsniveau in de zin van artikel 25, lid 2, biedt, indien de voor de verwerking verantwoordelijke voldoende waarborgen biedt ten aanzien van de bescherming van de persoonlijke levenssfeer, de fundamentele rechten en vrijheden van personen, alsmede ten aanzien van de uitoefening van de daaraan verbonden rechten; deze waarborgen kunnen met name voortvloeien uit passende contractuele bepalingen.

3. De Lid-Staat stelt de Commissie en de overige Lid-Staten in kennis van de toestemmingen die hij op grond van lid 2 verleent. Indien een andere Lid-Staat of de Commissie met het oog op de bescherming van de persoonlijke levenssfeer en de fundamentele rechten en vrijheden van personen een


231

naar behoren gemotiveerd verzet aantekent, stelt de Commissie passende maatregelen vast volgens de procedure van artikel 31, lid 2. De Lid-Staten nemen de nodige maatregelen om zich naar het besluit van de Commissie te voegen.

4. Wanneer de Commissie volgens de in artikel 31, lid 2, bedoelde procedure besluit dat bepaalde modelcontractbepalingen voldoende waarborgen bieden in de zin van lid 2, nemen de Lid-Staten de nodige maatregelen om zich naar het besluit van de Commissie te voegen.

CONTRACTUELE BEPALINGEN: MODEL GOEDGEKEURD DOOR DE EUROPESE GEMEENSCHAP INTERNATIONALE WETGEVING • Beschikking 2004/915/EG van de Commissie van 27 december 2004 tot wijziging van

beschikking 2001/497/EG betreffende de invoering van alternatieve modelcontractbepalingen voor de doorgifte van persoonsgegevens naar derde landen.

• Beschikking 2001/497/EG van de Commissie van 15 juni 2001 betreffende

modelcontractbepalingen voor de doorgifte van persoonsgegevens naar derde landen krachtens Richtlijn 95/46/EG.

• Beschikking 2002/16/EG van de Commissie van 27 december 2001 betreffende

modelcontractbepalingen voor de doorgifte van persoonsgegevens naar in derde landen gevestigde verwerkers krachtens Richtlijn 95/46/EG

ADVIEZEN VAN DE GROEP 29 • Groep 29, Advies 1/2001 over de ontwerp-beschikking van de Commissie betreffende

modelcontractbepalingen voor de doorgifte van persoonsgegevens naar derde landen krachtens artikel 26, lid 4, van Richtlijn 95/46/EG (16 januari 2001 – WP 38): - De modelcontractbepalingen richten zich op de doorgifte van gegevens van

verantwoordelijke voor de verwerking naar verantwoordelijke voor de verwerking (opm.: voor een doorgifte van een verantwoordelijke voor de verwerking naar een verwerker, zie infra).

- Rechtmatigheid van de doorgifte op grond van het nationaal recht: elke doorgifte vanuit de Unie naar een derde land op basis van de modelcontractbepalingen is op zichzelf een verwerking die valt onder de nationale wetgeving tot omzetting van de Richtlijn in de lidstaten. De rechtmatigheid van de verwerking blijft onderworpen aan de nationale wetgeving.

- De vrijwaringsclausule: beoogt het geval wanneer de wetgeving waaraan de gegevensimporteur is onderworpen prevaleert op zijn contractuele verplichtingen. De gegevensimporteur mag alzo handelen en zal niet aansprakelijk worden gesteld ten opzichte van de betrokkenen wanneer er hem noodzakelijke verplichtingen worden opgelegd die in artikel 13 worden omschreven. Wanneer de aan de gegevensimporteur opgelegde verplichtingen verdergaan dan de in artikel 13 van de Richtlijn opgesomde democratische grondslagen zou de daaruit voortvloeiende schending van de persoonlijke levenssfeer niet kunnen worden beschouwd als gerechtvaardigd op grond van de bepalingen van de Richtlijn, en daarom moet de doorgifte in de eerste plaats worden vermeden of, als ze per ongeluk toch heeft plaatsgevonden, moet ze ten minste leiden tot de hoofdelijke aansprakelijkheid van de gegevensexporteur en de gegevensimporteur jegens de betrokkenen voor eventuele schade die het gevolg is van de niet-naleving van de contractuele verplichtingen.

- Het beperken van de doorgifte voor een specifiek doel, beperking van verdere doorgiften en het recht van toegang, rectificatie, uitwissing en verzet zijn 3


232

fundamentele en onontbeerlijke voorwaarden om een minimum beschermingsniveau te waarborgen;

- De hoofdelijke aansprakelijkheid van de gegevensexporteur en de gegevensimporteur tegenover de betrokkene voor eventuele schade die het gevolg is van de schending van de modelcontractbepalingen, is onontbeerlijk om de ernstige moeilijkheden het hoofd te bieden die de contractuele oplossing doet rijzen voor de handhaving van de rechten van het individu en het verkrijgen van een passende schadevergoeding.

- De clausule betreffende de rechtsmacht ( zowel in het land van de gegevensuitvoerder als het land waar zijn woonplaats zich bevindt) en de rol van de gegevensbeschermingsautoriteiten als mechanismen voor geschillenbeslechting.

• Groep 29, Advies 7/2001 over de ontwerp-beschikking van de Commissie (versie van 31

augustus 2001) betreffende modelcontractbepalingen voor de doorgifte van persoonsgegevens naar in derde landen gevestigde verwerkers krachtens artikel 26, lid 4, van Richtlijn 95/46 (13 september 2001 – WP 47): het document maakt een duidelijk onderscheid tussen enerzijds de bepalingen van een contract in de zin van artikel 17 van de Richtlijn en anderzijds de modelcontractbepalingen die het onderwerp van dit advies zijn. Op het eerste gezicht lijken beide soorten gegevensdoorgiften inderdaad sterk op elkaar, aangezien de contractpartijen (de verantwoordelijke voor de verwerking en verwerker) en het doel van de doorgifte (de verwerking van persoonsgegevens) gelijk zijn. Overeenkomstig de Richtlijn zijn de aard van de doorgifte (intercommunautaire doorgifte en internationale doorgifte) evenals de bepalingen die de inhoud van het contract vaststellen (artikel 17 en artikel 26 paragraaf 4). Het is echter geheel anders wanneer de verwerker gevestigd is buiten de Gemeenschap. De naleving van de op grond van artikel 17 van Richtlijn 95/46/EG vastgestelde nationale voorschriften door de verantwoordelijke voor de verwerking KOMT niet automatisch overeen met een maatregel van artikel 26, lid 2, van de Richtlijn, dat wil zeggen dat zij niet automatisch voldoende waarborgen biedt waardoor een lidstaat toestemming kan geven voor een doorgifte of categorie doorgiften in de zin van artikel 26, lid 2, omdat deze contracten het gebrek aan een passende bescherming in het land van bestemming moeten compenseren, hetgeen niet het oogmerk van artikel 17 van Richtlijn 95/46/EG is. De gegevensimporteur moet de beveiligingsmaatregelen treffen die in de wetgeving van de lidstaat van vestiging van de gegevensexporteur zijn vastgesteld. Het document bespreekt ook nog de kwestie van de derde rechthebbenden (waardoor de betrokken personen volop hun rechten kunnen uitoefenen), de informatieverstrekking, de uitzonderlijke aansprakelijkheid van de importeur in specifieke gevallen en de noodzakelijke controle door de autoriteiten voor gegevensbescherming (onderzoek).

• Groep 29, Advies 8/2003 over de ontwerp-modelcontractbepalingen ingediend door een

groep verenigingen van ondernemingen (“het alternatieve modelcontract”)(17 december 2003 – WP 84): in dit document spreekt de Groep zich uit over een ontwerp van modelcontractbepalingen ingediend door de Internationale Kamer van Koophandel. Aangezien de Europese Commissie reeds in 2001 een reeks modelcontractbepalingen heeft goedgekeurd, moeten de nieuw voorgestelde modelcontractbepalingen de volgende beginselen in acht nemen: (I) dat de voorgestelde modelcontractbepalingen een vergelijkbaar beschermingsniveau bieden als de bepalingen die zijn goedgekeurd krachtens Beschikking 497/2001/EG van de Commissie; (II) dat de voorgestelde bepalingen een toegevoegde waarde hebben die uitstijgt boven het enkele feit dat zij gunstiger zijn voor ondernemingen. De Groep herinnert eraan dat de toezichthoudende functie en de klachtenprocedure van de gegevensbeschermingsautoriteiten niet de enige manieren zijn om de handhaving van de regels te waarborgen en derhalve een passend beschermingsniveau te garanderen. Er zijn nog andere mogelijkheden. Toch zou het strijdig zijn met de plicht een passend beschermingsniveau te bieden om niet op gepaste wijze te voorzien in de toezichthoudende functie en de klachtenprocedure die de gegevensbeschermingsautoriteiten van de EU nu bieden, zonder alternatieve procedurele-/handhavingsvereisten op te nemen voor de betrokkenen. Aangaande het beperken van


233

het recht op toegang, laat artikel 12 niet toe dat de verantwoordelijke voor de verwerking de toegang weigert op grond van het argument dat de uitoefening van dit recht zijn belangen ernstig zou schaden. Hoewel artikel 13 van de Richtlijn aan de Lidstaten de mogelijkheid biedt om wettelijke maatregelen te nemen tot beperking van de in artikel 12 bepaalde rechten en plichten, is het de Lidstaat en niet de verantwoordelijke voor de verwerking die beoordeelt of de voorgenomen beperking al dan niet gerechtvaardigd is. De Groep omschrijft ook gedetailleerd de garanties die het aansprakelijkheidssysteem moet bieden dat door de Internationale Kamer van Koophandel werd voorgesteld en dat afwijkt van het systeem van de hoofdelijke aansprakelijkheid in de modelcontractbepalingen die door de Commissie werden goedgekeurd.

• Groep 29, Werkdocument: Doorgifte van persoonsgegevens naar derde landen:

toepassing van de artikelen 25 en 26 van de EU-Richtlijn betreffende gegevensbescherming (24 juli 1998 – WP 12): dit document geeft een algemene benadering van de problematiek van de doorgifte van gegevens naar derde landen en bevat: - een onderzoek naar het karakter van een passende bescherming zoals bedoeld in

artikel 25 van de Richtlijn 95/46/EG: wat wordt begrepen onder “passende bescherming”? Welke beginselen raken aan de inhoud en procedurele- en handhavingmechanismen die nodig zijn om tot een passend beschermingsniveau te komen? Quid voor de landen die het Verdrag 108 van de Raad van Europa ratificeerden? Toepassing van deze aanpak op de sectorale zelfregulering;

- een onderzoek naar de middelen die voldoende waarborgen kunnen bieden met behulp van contractuele oplossingen (artikel 26, § 2) ingeval de bescherming geen passend karakter heeft: dit deel bespreekt onder meer de specifieke vereisten bij een contractuele oplossing door in het bijzonder 3 punten te benadrukken: (1) verzekeren van schadeloosstelling aan de betrokken personen, (2) verlenen van bijstand aan de betrokken personen en (3) verzekeren van een goede naleving van de voorschriften;

- een onderzoek naar de afwijkingen van de eisen inzake de passende bescherming zoals omschreven in artikel 26, § 1.

VERSLAGEN EN STUDIES VAN DE RAAD VAN EUROPA • Raad van Europa, Guide to the preparation of contractual clauses governing data

protection during the transfer of personal data to third parties not bound by an adequate level of data protection (2002).

• Raad van Europa, model contract to ensure equivalent protection in the context of

transborder data flows with explanatory report (1992).

bindende ondernemingsregels BINDENDE ONDERNEMINGSREGELS (BCR) ADVIEZEN VAN DE GROEP 29 • Groep 29, Werkdocument: doorgifte van persoonsgegevens naar derde landen:

toepassing van artikel 26(2) van de Richtlijn van de Europese Unie met betrekking tot de gegevensbescherming bij bindende ondernemingsregels van toepassing op de internationale doorgifte van gegevens (3 juni 2003 – WP 74) (officiële Nederlandse vertaling ontbreekt): omwille van hun complexe, internationale vertakking zouden de multinationals een “gedragscode voor de internationale doorgifte” (Binding Corporate Rules – BCR) willen invoeren. Die gedragscode zou de internationale doorgifte van


234

persoonsgegevens binnen éénzelfde multinationalgroep, overeenkomstig artikel 26(2) van de Richtlijn mogelijk maken. Als deze unilaterale verbintenis op juridisch vlak daadwerkelijk een bindend effect kan bieden, is er geen enkele reden om deze mogelijkheid uit te sluiten zelfs al worden de BCR beschouwd als een bijkomend hulpmiddel, daar waar de bestaande instrumenten (modelcontractbepalingen) problemen opleveren. Het document bespreekt eerst de mogelijkheid van contractuele oplossingen, vervolgens de definitie van BCR en enkele beschouwingen over hun bindend karakter. Daarna pas wordt de wezenlijke inhoud onderzocht die deze ondernemingsregels zouden moeten bevatten, de garanties inzake conformiteit en hun interne toepassing (bepalingen die een goed niveau van conformiteit garanderen, audits, klachtenbeheer, de plicht tot samenwerking met de autoriteiten voor gegevensbescherming, aansprakelijkheid en transparantie). Ten slotte vermeldt het document de noodzakelijke samenwerking met de autoriteiten voor gegevensbescherming (gecoördineerde procedure) voor de multinationalgroepen die toestemming willen bekomen om vanuit meerdere lidstaten gelijkaardige gegevensoverdrachten te realiseren.

• Groep 29, Werkdocument voor het opstellen van een modelcontrolelijst voor een

aanvraag tot goedkeuring van bindende ondernemingsregels 14 april 2005 – WP 108) (officiële Nederlandse vertaling ontbreekt): de tussenkomst van de autoriteiten voor gegevensbescherming om bindende ondernemingsregels goed te keuren, is volledig facultatief en er kan slechts geval per geval over beslist worden. De ondernemingen worden verzocht gebruik te maken van de controlelijst uit dit document wanneer zij hun BCR willen voorleggen aan de nationale autoriteit voor gegevensbescherming. Zij moeten er ook rekening mee houden dat de voorgestelde regels kunnen worden vervolledigd opdat ze zouden tegemoetkomen aan de relevante vereisten van de nationale juridische systemen, met name de geplande middelen ten behoeve van de betrokken personen zodat ze – overeenkomstig deze regels - hun rechten kunnen doen gelden. De voorgestelde lijst is zodanig ontworpen dat ze tegemoetkomen aan de in het document WP 74 (zie hierboven) omschreven vereisten en legt het accent op de vragen die de autoriteiten voor gegevensbescherming moeten beantwoorden wanneer zij het passend karakter beoordelen van het geboden beschermingsniveau.

• Groep 29, Werkdocument over de samenwerkingsprocedure voor het uitbrengen van

een gemeenschappelijk advies over het passend beschermingsniveau dat wordt aangeboden door de “bindende ondernemingsregels” (14 april 2005 – WP 107) (officiële Nederlandse vertaling ontbreekt): elke groep die een ontwerp van bindende ondernemingsregels wil voorleggen aan meerdere autoriteiten belast met de gegevensbescherming moet één leidende autoriteit aanduiden voor de samenwerkingsprocedure. De keuze van de autoriteit die met deze opdracht wordt belast berust op de criteria opgesomd in dit document en moet door de ondernemingsgroep gemotiveerd worden. Vervolgens omschrijft het document de onderzoeksprocedure die de leidende autoriteit en de andere autoriteiten voor gegevensbescherming moeten voeren.

• Groep 29, Aanbeveling 1/2007 over de standaardprocedure voor goedkeuring van

bindende ondernemingsregels voor de doorgifte van persoonsgegevens (10 januari 2007 – WP 133) (officiële Nederlandse vertaling ontbreekt): het betreft een modelformulier bestemd voor de ondernemingen die hun BCR wensen te laten goedkeuren. Het document gaat ook gedetailleerd in op de stappen die de onderneming moet zetten en over de fases die de autoriteiten voor gegevensbescherming moeten volgen in de onderzoeksprocedure (zie hierboven de documenten 74 en 108 van de Groep 29). Het document is als volgt gestructureerd: Deel I bestaat uit de volgende afdelingen: - Structuur en contactdetails over de verantwoordelijke en de ondernemingsroep - Korte beschrijving van de gegevensflux - Bepaling van de leidende autoriteit voor gegevensbescherming Deel II is als volgt ingedeeld:


235

- Bindend karakter van de BCR - Uitvoerbaarheid - Samenwerking met de autoriteiten voor gegevensbescherming - Omschrijving van processing en gegevensflux - Mechanismen voor reporting en recording changes - Data protection safeguards.

internationaal akkoord INTERNATIONAAL AKKOORD INTERNATIONALE WETGEVING SAFE HARBOR • Beschikking van de Commissie van 26 juli 2000 overeenkomstig Richtlijn 95/46/EG van het

Europees Parlement en de Raad betreffende de gepastheid van de bescherming geboden door de Veiligehavenbeginselen en de daarmee verband houdende Vaak gestelde vragen die door het ministerie van Handel van de Verenigde Staten zijn gepubliceerd (Safe Harbor) J.O. van 25 augustus 2000, L 215/7.

• Gegevensbeschermingspanel (in verband met de vaak gestelde vragen 8 en 9 die door het ministerie van Handel van de Verenigde Staten zijn gepubliceerd als bijlage bij de beschikking 2000/520/EG van de Commissie betreffende de gepastheid van de bescherming geboden door de Veiligehavenbeginselen zijn gevoegd).

• Standaardklachtenformulier voor de niet-naleving van de Veiligehavenbeginselen van de VS ter bescherming van de persoonlijke levenssfeer die bij de Beschikking 2000/520 van de Commissie zijn gevoegd.

PNR • Agreement between the European Union and the United States of America on the

processing and transfer of passenger name records (PNR) by air carriers to the United States Department of Homeland and Security. J.O. van 27 oktober 2006, L 298/29.

• Council Decision 2006/729/PESC/JHA of 16 Octobre 2006 on the signing, on behalf of the

European Union, of an agreement between the European Union and the United States of America on the processing and transfer of Passenger Name Record (PNR) data by air carriers to the United States Department of Homeland Security J.O. van 27 oktober 2006, L. 298/27.

• Letter to the Council Presidency and the Commission from the Department of Homeland

Security (DHS) of the Unhited States of America concerning the interpretation of certain provisions of the undertakings issued by DHS on 11 May 2004 in connection with the transfer by air carriers of passenger name record (PNR) data. J.O. van 27 oktober 2006, L 259/1

• Reply by the Council Presidency and the Commission to the letter from the USA’s

Department of Homeland Security, J.O. van 27 oktober 2006, C 259/4. • Council Decision 2006/551/PESC/JHA of 23 July 2007 on the signing, on behalf of the

European Union, of an agreement between the European Union and the United States of


236

America on the processing and transfer of Passenger Name Record (PNR) data by air carriers to the United States Department of Homeland Security (DHS) (PNR agreement 2007).

ADVIEZEN VAN DE GROEP 29 SAFE HARBOUR • Groep 29, ADVIES 1/99 over het niveau van gegevensbescherming in de Verenigde Staten

en het lopend overleg tussen de Europese Commissie en de regering van de Verenigde Staten (26 januari 1999 – WP 15)

• Groep 29, Advies 2/99 over het passend karakter van de “International Safe Harbor

Principles” die op 19 april 1999 door het Amerikaanse Ministerie van Handel zijn gepubliceerd (3 mei 1999 – WP 19)

• Groep 29, Advies 4/99 over de door het Amerikaanse Ministerie van Handel te publiceren

vaak gestelde vragen (FAQ's) met betrekking tot de voorgestelde "Beginselen voor een veilige haven" (7 juni 1999 – WP 21).

• Groep 29, Werkdocument over de huidige stand van de lopende beraadslagingen tussen

de Europese Commissie en de regering van de VS betreffende de "Internationale veiligehavenbeginselen" (7 juli 1999 – WP 23).

• Groep 29, Advies 7/99 over het niveau van gegevensbescherming dat door de "Veilige

havenbeginselen" wordt geboden, die samen met de vaak gestelde vragen (FAQ's) en andere documenten op 15 en 16 november 1999 door het Ministerie van Handel van de VS zijn gepubliceerd (3 december 1999 – WP 27).

• Groep 29, Advies 3/2000 Over de dialoog tussen de EU en de VS over de

veiligehavenregeling (16 maart 2000 – WP 31). • Groep 29, Advies 4/2000 over het beschermingsniveau van de "Beginselen voor een

veilige haven" (16 mei 2000 – WP 32): in dit advies volgt de Groep 29 de verschillende onderhandelingsfases van het Safe Harbor-akkoord tussen de Europese Unie en de Verenigde Staten. De Groep legt regelmatig het accent op de volgende elementen: de onderschrijving door de Verenigde Staten van de Richtlijnen van de OESO betreffende de grensoverschrijdende flux, het toepassingsgebied van het akkoord en de beperkingen ervan, de vrijstellingen, de waarde van FAQ, de rol van de autoriteiten voor gegevensbescherming, het zwakke punt m.b.t. een mechanisme gebaseerd op auto-certificering en auto-evaluatie zonder externe controle, de beroepsmechanismen bij inbreuken, de kennisgeving, de veiligheidsmaatregelen, de integriteit van de gegevens, het recht op toegang, verdere doorgifte, het toepasselijk recht, etc.

• Groep 29, Ontwerp-werkdocument over de werking van de veiligehavenovereenkomst

(2 juli 2002 – WP 62): in dit document oordeelt de Groep 29 dat het noodzakelijk is om de stand van zaken te bestuderen in de tenuitvoerlegging van deze “veiligehavenovereenkomst”. De Groep wenst vooral zeer nauwkeurige informatie in te zamelen over de volgende elementen: regelingen die de transparantie vergroten, de mogelijkheid om te voorzien in extra controlemechanismen met betrekking tot de procedure om zich bij de overeenkomst aan te sluiten, de overeenstemming van het gedrag van veiligehavendeelnemers met hun privacybeleid en het eventuele verlies van de voordelen van de veilige haven; de te nemen maatregelen om geschillenafhandelingsmechanismen te verfijnen, de samenwerking tussen het Europese gegevensbeschermingspanel, instanties voor geschillenafhandeling en de Federal Trade Commission


237

PNR • Groep 29, Advies 6/2002 over de doorgifte van informatie over passagiers,

bemanningsleden en ander gegevens door de luchtvaartmaatschappijen aan de Verenigde Staten (24 oktober 2002 – WP 66) (geen officiële Nederlandse vertaling).

• Groep 29, Advies 4/2003 over het in de VS voor de doorgifte van passagiersgegevens

gewaarborgde beschermingsniveau (13 juni 2003 – WP 78). • Groep 29, Advies 1/2004 over het beschermingsniveau dat in Australië wordt

gewaarborgd bij de doorgifte van PNR-gegevens van luchtvaartmaatschappijen (16 januari 2004 – WP 85): de Australische wetgeving inzake grensbescherming verleent de Australische douanediensten de bevoegdheid om een risico-evaluatie te doen van de passagiersgegevens (PNR) vóór de aankomst van de betrokken passagiers in Australië en bij hun vertrek uit Australië. Deze wetgeving beoogt de veiligheid aan de Australische grenzen te vergroten en ligt meer bepaald in de lijn van het verkiezingsprogramma van de regering van 2001 ter versterking van de nationale veiligheid. De Werkgroep sprak zich gunstig uit over het beschermingsniveau dat door de Australische douane wordt aangeboden voor de doorgifte van PNR-gegevens in Australië. Dit advies werd gegeven op voorwaarde dat de restrictie van subsectie 41(4) van de Australische privacywetgeving wordt ingetrokken die de Commissaris voor bescherming van de persoonlijke levenssfeer belet om klachten van niet-Australische onderdanen of ingezetenen te onderzoeken in verband met vragen om rectificatie. De wet op bescherming van de persoonlijke levenssfeer werd in antwoord hierop gewijzigd.

• Groep 29, Advies 2/2004 over de passende bescherming van in het PNR van passagiers

vervatte persoonsgegevens die aan het Bureau of Customs and Border Protection van de Verenigde Staten (US CBP) worden doorgegeven (9 januari 2004 – WP 87): ingevolge de adviezen 6/2002 en 4/2003, bracht de Werkgroep een advies uit over de evolutie in de doorgifte van PNR gegevens naar de Verenigde Staten, en vooral in de mededeling van de Commissie in december 2003 voor het nemen van een globaal initiatief ten opzichte van de PNR gegevens en van de onderhandelingen tussen de Europese Commissie en de Amerikaanse autoriteiten. De Werkgroep beveelt de Commissie aan om de doorgifte van PNR gegevens naar het CAPPS II-programma uit te sluiten en naar alle andere systemen die in staat zijn massaal gegevensverwerkingsoperaties uit te voeren. De Werkgroep vestigt de aandacht op het gebrek aan uitvoeringskracht van de Amerikaanse verbintenissen en vraagt een bijkomende beperking van de doeleinden waarvoor de gegevens worden doorgegeven, een proportionele lijst van door te geven gegevens, dat geen enkel gevoelig gegeven wordt doorgegeven, de aanname van een “gerichte” methode van doorgifte, strikte beperkingen voor bijkomende doorgifte van PNR-gegevens aan andere regeringen of buitenlandse autoriteiten, specifieke rechten voor de passagiers op vlak van informatieverstrekking, voor toegang en rectificatie en de bewaartermijnen voor de proportionele gegevens.

• Groep 29, Advies 3/2004 over het beschermingsniveau dat geboden wordt door Canada

voor de doorgifte van passagiersdossiers en geanticipeerde informatie over de reizigers door luchtvaartmaatschappijen (11 februari 2004 – WP 88): Canada heeft een aantal wetten en reglementen goedgekeurd waarin de luchtvaartmaatschappijen die op het grondgebied werkzaam zijn, verzocht worden om persoonsgegevens over passagiers en bemanningsleden door te geven met het oog op de integriteit van de landsgrenzen en de veiligheid van Canada. Het Canadees API/PNR-programma was reeds in ontwikkeling voor de gebeurtenissen van 11 september 2001, want het maakte deel uit van de programma’s die werden gebruikt voor een beter grensbeheer in Canada, en bood aan Canada de mogelijkheid haar informatie over reizigers met een hoog risicogehalte te identificeren en


238

samen te brengen terwijl de binnenkomst voor de passagiers met laag risicogehalte gemakkelijker werd. De Werkgroep is voor een zeker aantal redenen van mening dat de Canadese vereisten ingaan tegen de Richtlijn 95/46/EG. De doeleinden waarvoor de gegevens worden opgevraagd zijn te ruim gedefinieerd en gaan met name verder dan het doeleinde terrorismebestrijding. De Werkgroep heeft een lijst gevraagd waarin de ernstige inbreuken die rechtstreeks in verband staan met terrorisme duidelijk en gelimiteerd worden opgesomd. De Werkgroep is ook van oordeel dat de hoeveelheid gegevens die aan de Canadese overheid moeten worden overgedragen niet kan beschouwd worden als passend, ter zake dienend en niet overmatig in de zin van artikel 6 (1) c) van de Richtlijn. De Werkgroep heeft gevraagd dat de gegevens uit de lijst in verband staan met de verschillende openbare belangen die op het spel staan. De gegevens zouden slechts gedurende een korte periode mogen bewaard worden en zou niet langer mogen duren dan enkele weken of maanden na de aankomst in Canada. Een periode van 6 jaar, zoals gevraagd door de Canadese overheid is te lang.

• Groep 29, Advies 6/2004 betreffende de tenuitvoerlegging van de Beschikking van de

Commissie van 14-V-2004 voor de passende bescherming van persoonsgegevens in de dossiers over vliegtuigpassagiers (Passenger Name Records – PNR) die worden doorgegeven aan het bureau voor douane en bescherming van de grenzen van de Verenigde Staten en het akkoord tussen de Europese Gemeenschap en de Verenigde Staten van Amerika over de verwerking en de doorgifte van PNR-gegevens door de luchtvaartvervoerders aan het Amerikaans Ministerie voor binnenlandse veiligheid, bureau voor douane en bescherming van de grenzen (22 juni 2004 – WP 95). EN Advies 8/2004 inzake de informatie voor passagiers in verband met de doorgifte van PNR-gegevens op vluchten tussen de Europese Unie en de Verenigde Staten van Amerika (30 september 2004 – WP 97)7: na de goedkeuring van de beschikking van passende bescherming van de Commissie van 14 mei 2004, bracht de Groep twee adviezen uit. Het advies 6/2004 stelt vast dat de Commissie slechts gedeeltelijk rekening heeft gehouden met de vereisten die de Werkgroep formuleerde, met name over de reikwijdte van de gegevens die doorgegeven worden, de bewaartermijn ervan en de manier waarop ze worden gebruikt. De Werkgroep vestigt de aandacht op twee punten waarover alle partijen akkoord waren; de methode van de “doelgerichte” doorgifte en de informatieverstrekking aan de passagiers. De Werkgroep verzocht de luchtvaartmaatschappijen om zo vlug mogelijk hun techniek voor de gegevensdoorgifte te wijzigen en om van de “globale” methode over te stappen naar de “gerichte” methode, want overeenkomstig de algemene beginselen inzake gegevensbescherming mag de bestemmeling slechts die gegevens ontvangen die hij daadwerkelijk nodig heeft. De Werkgroep raadde aan om regelmatige verificaties uit te voeren om de regels inzake gegevensbescherming die met de Verenigde Staten werden overeengekomen, te kunnen evalueren. De Werkgroep benadrukte eveneens dat de informatie aan de passagiers moet verstrekt worden zoals het hoort, met name de noodzaak om de passagiers te informeren op een homogene manier, onafhankelijk van de luchtvaartmaatschappij of reisagent waarvan zij gebruik maken. In dit verband heeft de Werkgroep twee informatienota’s goedgekeurd in haar advies 8/2004 en verzoekt de luchtvaartvervoerders, de reisagenten en de geïnformatiseerde reserveringssystemen dit advies zo veel mogelijk te gebruiken.

• Groep 29, Advies 1/2005 over het niveau van bescherming in Canada voor de doorgifte

van Passenger Name Records en Advanced Passenger Information door luchtvaartmaatschappijen (19 januari 2005 – WP 103): dit advies werd uitgebracht op basis van overeenkomsten (document van de Commissie met de verbintenissen van Canada Border Services Agency (hierna “CBSA” genoemd) over de toepassing van het PNR-programma). Dit advies heeft ook betrekking op het beschermingsniveau dat door Canada zal worden gewaarborgd zodra luchtvaartmaatschappijen API- en PNR-gegevens over hun

7 Dit advies werd vervangen door advies 2/2007 – WP 132


239

passagiers en bemanningsleden aan het CBSA hebben doorgegeven overeenkomstig de Canadese wetgeving en de verbintenissen. De Werkgroep veronderstelt dat Canada een passend beschermingsniveau biedt zoals bedoeld in artikel 25(6) van de Richtlijn.

• Groep 29, Advies 7/2006 over het arrest van het Europees Hof van Justitie van 30 mei

2006 in de gevoegde zaken C-317/04 en C-318/04 betreffende de doorgifte van passagiersgegevens aan de Verenigde Staten en de urgente noodzaak van een nieuwe overeenkomst (27 september 2006 – WP 124) EN Advies 5/2006 over het arrest van het Europees Hof van Justitie van 30 mei 2006 in de gevoegde zaken C-317/04 en C-318/04 betreffende de overdracht van ‘Passenger Name Records’ aan de Verenigde Staten (14 juni 2006 – WP 122): net zoals in 2005 volgde de Groep 29 de problematiek op rond Passenger Name Record (PNR) dat hoewel dit ook de transportsector raakt, vooral aantoont hoe moeilijk het is – zelfs in het kader van terrorismebestrijding – om de Europese regelgeving inzake gegevensbescherming te verzoenen met de wetgevende vereisten van de Amerikanen. Het arrest van het Hof van Justitie van de Gemeenschappen van 30 mei 2006 verbreekt met ingang van 30 september 2006 de beschikking van passende bescherming van de Commissie alsook de beschikking van de Raad betreffende de PNR-overeenkomst die werd afgesloten met de Verenigde Staten. Om een juridische leemte te vermijden vanaf 1 oktober en om het behoud te kunnen waarborgen van een beschermingsniveau van de rechten en vrijheden van de passagiers die op zijn minst gelijk is aan deze die voorheen in werking was, bracht de Groep 29 op 14 juni 2006 een advies uit waarin dringend werd verzocht om te zijner tijd een nieuw akkoord tussen de Verenigde Staten en de Europese Unie te bewerkstelligen.

De Groep 29 beveelt onder meer aan om niet alleen rekening te houden met de opmerkingen die zij in haar vorige adviezen formuleerde maar dat de overeenkomst ook zou gebaseerd zijn op een “push”-systeem, hetzij een uitvoersysteem van gegevens vanuit de Europese Unie en niet op een “pull”-systeem, hetzij een systeem van gegevenswinning door de Amerikaanse overheid. De Groep uit eveneens de wens dat het systeem van gezamenlijke jaarlijkse evaluatie (annual joint review) wordt behouden overeenkomstig de bestaande overeenkomst en dat de nieuwe overeenkomst de datum van uitdoving van de bestaande overeenkomst niet overschrijdt, hetzij november 2007. Volgend op het bovenvermeld “PNR”-arrest hebben de Verenigde Staten en de Europese Unie op 19 oktober 20068 een nieuwe PNR-overeenkomst gesloten. Deze overeenkomst houdt geen rekening met de opmerkingen die de Groep in haar vorige adviezen formuleerde. Het valt overigens te betreuren dat de inwerkingstelling van het push-systeem nog niet effectief is. Op middellange en lange termijn is de Werkgroep van oordeel dat een coherentere aanpak nodig is voor de uitwisseling van PNR-gegevens zodat tezelfdertijd de veiligheid van de luchtvaart kan verzekerd worden als de naleving van de rechten van de mens op wereldschaal. Tenslotte toont het arrest van het Hof van Justitie eens te meer de moeilijkheden aan die te wijten zijn aan een kunstmatige scheiding tussen de pijlers en de behoefte aan een samenhangende en pijleroverschrijdende gegevensbeschermingregeling (zie WP 122 en 124).9

8 Beschikking 2006/729/PESC/JAI van de Raad van 16 oktober 2006 in verband met de ondertekening in naam van de Europese Unie van een overeenkomst tussen de Europese Unie en de Verenigde Staten van Amerika over de verwerking en de doorgifte van gegevens uit passagiersdossiers “PNR-gegevens” door luchtvaartmaatschappijen aan het Amerikaans Ministerie voor binnenlandse veiligheid. (geen officiële Nederlandse vertaling beschikbaar). 9 Het Raadgevend Comité bij het Verdrag 108 van de Raad van Europa voor de bescherming van personen ten aanzien van de verwerking van persoonsgegevens bracht eveneens advies uit over deze problematiek.


240

• Groep 29, Advies 4/2006 inzake de Notice of proposed rule making van het Department of Health and Human Services van de Verenigde Staten inzake de bestrijding van overdraagbare ziekten en het verzamelen van passagiersgegevens van 20 november 2005 (Control of Communicable Disease Proposed 42 CFR Parts 70 and 71) (14 juni 2006 – WP 121): de Groep boog zich ook over een nieuw Amerikaans wetsvoorstel betreffende het verzamelen van passagiersinformatie door Europese lucht- en scheepvaartmaatschappijen voor het bestrijden van overdraagbare ziekten. Dit Amerikaans wetsontwerp zou de Europese lucht- en scheepvaartmaatschappijen de algemene verplichting opleggen om voor een periode van 60 dagen een bepaald aantal gegevens – niet bij de PNR inbegrepen - te verzamelen en op te slaan over alle passagiers die per vliegtuig naar de VS reizen, zoals de nummers van contactpersonen in geval van nood, de e-mailadressen, de reisgenoten en inlichtingen over de terugvlucht om hen later te kunnen traceren.

De Groep artikel 29 is van oordeel dat de bestrijding van overdraagbare ziekten een waardevol streven is, dat door alle landen wordt gedeeld en daarom op de best mogelijke wijze moet worden ondersteund. Anderzijds is de Groep artikel 29 van mening dat, wanneer maatregelen ter bestrijding van overdraagbare ziekten worden genomen, het fundamentele recht op bescherming van persoonsgegevens moet worden gerespecteerd. Na het onderzoek van het Amerikaans wetsvoorstel en in het licht van de Richtlijn 95/46/EG, stelt de Groep vast dat aan de voorgenomen algemene verplichting die zou worden opgelegd aan de transportmaatschappijen met zetel in de Europese Unie om bij hun passagiers en derden informatie in te winnen en op te slaan gedurende 60 dagen – zonder dat er een precieze en specifieke dreiging heerst voor de gezondheid – het noodzakelijk karakter ontbreekt en overmatig is. Deze verplichting is tegengesteld aan het minimaliseringbeginsel (zie WP 121).

• Groep 29, Advies 2/2007 inzake informatieverstrekking aan passagiers over de doorgifte

van PNR-gegevens aan de Amerikaanse overheid (15 februari 2007 – WP 132): dit advies en de bijlagen (vaak gestelde vragen en standaardberichten) zijn bestemd voor reisagenten, luchtvaartmaatschappijen en andere organisaties die diensten verstrekken aan passagiers die naar en van de Verenigde Staten vliegen. Zij komen in de plaats van het advies van 30 september 2004 (WP 97). Het huidige wettelijke kader voor de doorgifte van PNR-gegevens aan de Amerikaanse overheid is de tijdelijke overeenkomst van 16 oktober 2006. De onderhandelingen over een nieuwe overeenkomst zullen waarschijnlijk in 2007 van start gaan. Intussen blijven reisagenten, luchtvaartmaatschappijen en andere organisaties verplicht om passagiers te informeren over de verwerking van hun persoonsgegevens; het is de bedoeling met dit advies te verduidelijken wie, op welke manier en wanneer welke informatie moet verstrekken. Er dient informatie aan passagiers te worden verstrekt wanneer zij een vliegticket boeken en daarvan bevestiging ontvangen. Het advies behandelt de verstrekking van informatie via de telefoon, van persoon tot persoon en via internet. De Groep 29 heeft de standaardberichten (zie bijlagen bij dit advies) opgesteld die de informatieverstrekking moeten vergemakkelijken voor organisaties en ervoor moeten zorgen dat in de gehele Europese Unie op een coherente manier wordt geïnformeerd. Via het korte bericht krijgen passagiers beknopte informatie over de doorgifte van hun gegevens aan de Amerikaanse overheid en aanwijzingen voor het verkrijgen van meer uitvoerige informatie. Het lange bericht bestaat uit een aantal vaak gestelde vragen en gaat uitvoeriger in op de gegevensverwerking. Het behandelt passagiersgegevens in brede zin en daarna in het bijzonder PNR-gegevens. Het bevat tevens koppelingen naar de tijdelijke overeenkomst en andere relevante documentatie.

• Groupe 29, Opinion 5/2007 on the follow-up agreement between the European Union and

the United States of America on the processing and transfer of passenger name record


241

(PNR) data by air carriers to the United States Department of Homeland Security concluded in July 2007 (WP 138 – 17 augustus 2007) (de tekst bestaat alleen in het Engels): This opinion aims to analyse the impact on fundamental rights and freedoms and in particular the passengers’ right to privacy of the new and third agreement on the transfer of passenger name record (PNR) data to the US Department of Homeland Security (DHS). The fact that a new long-term agreement has been reached provides for a legal basis for the transfer of passenger data. The Working Party has always supported the fight against international terrorism and international organised crime, and considers it necessary and legitimate. However, any limitation of the fundamental rights and freedoms of individuals, including the right to privacy and data protection, has to be well justified and has to strike the right balance between demands for the protection of public safety and other public interests, such as the privacy rights of individuals. The Working Party is not convinced the agreement succeeds in striking this right balance. The data protection related issues of the new agreement as analysed in this opinion can be summarised by the following two findings: 1 In general, the safeguards provided for under the previous agreement have been

markedly weakened: a The number of transferable data elements has been increased and includes

information on third parties other than the data subject. b The filtering of sensitive data continues to be done by DHS even with a “push”

system. c DHS may now use sensitive data in exceptional cases, which was excluded by the

previous agreement. d Onward transfers to domestic and foreign agencies are easier and no longer

subject to the same data protection safeguards. e The retention period has been extended to at least fifteen years and might be even

longer. f The mechanism for joint review does not mention the involvement of independent

data protection authorities.

2 The new agreement leaves open serious questions and shortcomings, and contains too many emergency exceptions. a The safeguards contained in the agreement and in the DHS letter are not

formulated in a precise way and leave open for too many exceptions, that can be used under the exclusive discretion of the authorities of the United States.

b The purposes for which the data can be transferred, including the broad exceptions to these purposes, are not sufficiently specified and are wider than those recognised by data protection standards.

c The transition from 'pull' to 'push' is finally foreseen for 1 January 2008, but it remains unclear if and under what conditions this new method of transfer will eventually be worked out

d It remains unclear how DHS, allowed in exceptional cases to retrieve data other than those listed, may access such data after the transition from a “pull” to a “push” system.

e It remains unclear when and under what circumstances a joint review will take place.

f The agreement does not foresee any mechanism aimed at resolving disputes, leaving it up to the contracting parties. This is particularly relevant for a joint review.

g The data regime of onward transfers by third agencies to other units is unclear. h It is unclear what the effects of the provisions on reciprocity mean for the level of

data protection in any EU PNR regime. i The agreement runs the risk that that any change in US legislation might

unilaterally affect the level of data protection as foreseen in the new PNR agreement.


242

The Working Party is dissatisfied that the opportunity to have adopted a more balanced approach based upon real need has been missed. While there has been much comment on the new agreement, the Working Party would have wished for a different outcome of the EU-US negotiations and feels that the new agreement does not strike the right balance to uphold the fundamental rights of citizens as regards data protection. The Working Party regrets also not being consulted or asked for advice on the data protection elements of the agreement, especially given its role as an official EU data protection advisory body, and given the lack of an equivalent framework or group for third pillar activities. It regrets this fact all the more as the members of the Working Party are the supervisory authorities as regards data protection compliance by the air carriers, which will need to implement the agreement in close co-operation with the EU data protection authorities. The Working Party would like to continue its constructive relationship with the Council of the European Union and the European Commission, particularly as regards implementing this new agreement. In particular, the Working Party expects to be involved in the preparation and the actual carrying out of the joint review. It also expects to be involved in any discussions as to the definition of sensitive data and other follow-up activities.

RECHTSPRAAK VAN HET EUROPEES HOF VAN JUSTITIE • Europees Hof van Justitie, arrest van 30 mei 2006, het Europees Parlement tegen de

Raad van de Europese Unie en tegen de Commissie van de Europese Gemeenschappen, gevoegde zaken C-317/04 en C-318/04 (arrest PNR).

54. Volgens artikel 3, lid 2, eerste streepje, van de Richtlijn is deze niet van toepassing op

de verwerking van persoonsgegevens die met het oog op de uitoefening van niet binnen de werkingssfeer van het gemeenschapsrecht vallende activiteiten geschiedt zoals bedoeld in de titels V en VI van het Verdrag betreffende de Europese Unie, en in ieder geval verwerkingen die betrekking hebben op de openbare veiligheid, defensie, de veiligheid van de staat en de activiteiten van de staat op strafrechtelijk gebied.

55 De beschikking geldt enkel voor PNR-gegevens die aan het CBP worden doorgegeven. Blijkens overweging 6 van deze beschikking zijn de vereisten inzake deze doorgifte gebaseerd op een wet die door de Verenigde Staten in november 2001 is goedgekeurd, en op uitvoeringsvoorschriften die door het CBP krachtens die wet zijn vastgesteld. Volgens overweging 7 van de beschikking heeft de desbetreffende wetgeving van de Verenigde Staten betrekking op een grotere veiligheid en op de voorwaarden waaronder personen het land mogen binnenkomen en verlaten. Volgens overweging 8 steunt de Gemeenschap de Verenigde Staten ten volle in de strijd tegen het terrorisme binnen de grenzen van het gemeenschapsrecht. Naar luid van overweging 15 van de beschikking zullen de PNR-gegevens uitsluitend worden gebruikt ter voorkoming en bestrijding van terrorisme en aanverwante misdrijven, andere zware misdrijven, waaronder georganiseerde misdaad, die van grensoverschrijdende aard zijn, alsook het ontvluchten van een aanhoudingsbevel of arrestatie wegens die misdrijven.

56 De doorgifte van de PNR-gegevens aan het CBP is derhalve een verwerking die betrekking heeft op de openbare veiligheid en de activiteiten van de staat op strafrechtelijk gebied.

57 Hoewel de PNR-gegevens aanvankelijk door luchtvaartmaatschappijen worden verzameld in het kader van een onder het gemeenschapsrecht vallende activiteit, namelijk de verkoop van een vliegticket dat recht geeft op een dienstverlening, is de in de beschikking bedoelde gegevensverwerking van geheel andere aard. Zoals in punt 55 van dit arrest reeds in herinnering is gebracht, ziet deze beschikking namelijk niet op een verwerking die noodzakelijk is voor een dienstverrichting, maar op een


243

verwerking die noodzakelijk wordt geacht voor het waarborgen van de openbare veiligheid en voor de wetshandhaving.

58 In punt 43 van het arrest Lindqvist, dat de Commissie in haar verweerschrift heeft aangevoerd, overwoog het Hof dat de in artikel 3, lid 2, eerste streepje, van de Richtlijn als voorbeeld genoemde activiteiten telkens specifieke activiteiten van de staten of de overheidsdiensten zijn en niets van doen hebben met de gebieden waarop particulieren activiteiten ontplooien. Daaruit volgt evenwel niet dat op grond van het feit dat de PNR-gegevens door particuliere marktdeelnemers voor commerciële doeleinden zijn verzameld en het deze laatste zijn die ze doorgeven naar een derde land, de doorgifte in kwestie niet binnen de werkingssfeer van deze bepaling valt. Deze doorgifte geschiedt immers binnen een door de overheid ingesteld kader dat betrekking heeft op de openbare veiligheid.

59 Uit een en ander volgt dat de beschikking betrekking heeft op een verwerking van persoonsgegevens in de zin van artikel 3, lid 2, eerste streepje, van de Richtlijn. Deze beschikking valt dus niet binnen de werkingssfeer van de Richtlijn.


244

HOOFDSTUK VII. - Commissie voor de bescherming van de persoonlijke levenssfeer. INTERNATIONALE COMMISSIES • Artikels 18, 19 en 20 van het Verdrag nr. 108 van de Raad van Europa tot bescherming

van personen ten opzichte van de geautomatiseerde verwerking van persoonsgegevens (1981) : betreffende het Raadgevend Comité waarin elke deelnemende staat aan het Verdrag 108 vertegenwoordigd is. De opdracht van dit Comité bestaat erin voorstellen te formuleren om de toepassing van het Verdrag te verbeteren of te vergemakkelijken, amendementen voor te stellen en op vraag van een Staat, advies uitbrengen over elke kwestie betreffende de toepassing van het Verdrag.

• Explanatory Report of the Convention n°108 – (punten 85 – 87) : de aard en de rol van het Comité worden erin omschreven. Er wordt uitdrukkelijk vermeld dat het niet wenselijk wordt geacht dat het Comité de vorm aanneemt van een internationale gegevensbeschermingsautoriteit. Het werd ook niet opportuun geacht om aan het Comité de formele regelgeving voor geschillen toe te vertrouwen die zouden kunnen ontstaan bij de toepassing van het Verdrag.

• Artikel 29 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): Groep voor de bescherming van personen in verband met de verwerking van persoonsgegevens ((genaamd “Werkgroep van het Artikel 29” of “Groep 29”. De artikelen 29 en 30 van de richtlijn regelen de samenstelling en de bevoegdheden van de Werkgroep. De Groep is samengesteld uit een vertegenwoordiger van de controle-autoriteit of -autoriteiten aangeduid door iedere lidstaat, een vertegenwoordiger van de autoriteit(en) opgericht voor de communautaire instellingen en organen – de Europese Toezichthouder van de gegevensbescherming – en een vertegenwoordiger van de Commissie (Groep 29).

• Overweging 65 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): Overwegende dat op communautair niveau een werkgroep voor de bescherming van personen in verband met de verwerking van persoonsgegevens dient te worden ingesteld, welke haar taken in volstrekte onafhankelijkheid moet kunnen vervullen; dat deze werkgroep, gelet op het bijzondere karakter ervan, de Commissie moet adviseren en met name moet bijdragen tot een homogene toepassing van de ter uitvoering van deze Richtlijn vastgestelde nationale voorschriften;

• Artikel 31 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): De Commissie wordt bijgestaan door een Comité bestaande uit vertegenwoordigers van de Lid-Staten en voorgezeten door de vertegenwoordiger van de Commissie (Comité de l’article 31).

• Artikels 27 tot 33 en 41 tot 48 van de Verordening (EG) nr. 45/2001 van het Europees Parlement en de Raad van 18 december 2000 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de communautaire


245

instellingen en organen en betreffende het vrije verkeer van die gegevens (2000): Deze artikelen handelen over de bevoegdheden van de Europese Toezichthouder voor gegevensbescherming (EDPS), zijn benoeming en de kwaliteiten waarover hij moet beschikken (onafhankelijkheid, beroepsgeheim).

ADVIEZEN VAN DE GROEP 29 • Groep 29, Herziene en bijgewerkte beleid ter bevordering van de transparantie van de

activiteiten van de Werkgroep opgericht bij artikel 29 van de Richtlijn 95/46/EG (15 februari 2007 – WP 135).

• Groep 29, Huishoudelijk reglement goedgekeurd door de Groep tijdens zijn derde

vergadering op 11 september 1996.

Artikel 23: de Commissie voor de Bescherming van de Persoonlijke Levenssfeer

246

Artikel 23

instelling van de Commissie

instelling bij Kamer van Volksvertegenwoordigers Bij de Kamer van volksvertegenwoordigers wordt een Commissie voor de bescherming van de persoonlijke levenssfeer ingesteld, die samengesteld is uit leden die worden aangewezen door de Kamer van volksvertegenwoordigers, onder wie de voorzitter en de ondervoorzitter.

zetel tweede lid De zetel van de Commissie is gevestigd in het administratief arrondissement Brussel-Hoofdstad. HUISHOUDELIJK REGLEMENT VAN DE CBPL (B.S., 10 MEI 2007) • Artikel 1 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk I, - 2007) :

De Commissie voor de bescherming van de persoonlijke levenssfeer, hierna de Commissie genoemd, heeft haar zetel te Brussel.


(1990) – (8) Supervision and sanctions: The law of every country shall designate the authority which, in accordance with its domestic legal system, is to be responsible for supervising observance of the principles set forth above. This authority shall offer guarantees of impartiality, independence vis-a-vis persons or agencies responsible for processing and establishing data, and technical competence. In the event of violation of the provisions of the national law implementing the aforementioned principles, criminal or other penalties should be envisaged together with the appropriate individual remedies.

• Artikel 1 van het Additional Protocol to the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data regarding supervisory authorities and transborder data flows: 1. Each Party shall provide for one or more authorities to be responsible for ensuring

compliance with the measures in its domestic law giving effect to the principles stated in Chapters II and III of the Convention and in this Protocol.

2. a. To this end, the said authorities shall have, in particular, powers of investigation and intervention, as well as the power to engage in legal proceedings or bring to the attention of the competent judicial authorities violations of provisions of domestic law giving effect to the principles mentioned in paragraph 1 of Article 1 of this Protocol.

b. Each supervisory authority shall hear claims lodged by any person concerning the protection of his/her rights and fundamental freedoms with regard to the processing of personal data within its competence.

Artikel 23: de Commissie voor de Bescherming van de Persoonlijke Levenssfeer

247

3. The supervisory authorities shall exercise their functions in complete independence. 4. Decisions of the supervisory authorities, which give rise to complaints, may be

appealed against through the courts. 5. In accordance with the provisions of Chapter IV, and without prejudice to the

provisions of Article 13 of the Convention, the supervisory authorities shall co-operate with one another to the extent necessary for the performance of their duties, in particular by exchanging all useful information.

• Explanatory Report of the Additional Protocol to the Convention for the Protection of

Individuals with regard to Automatic Processing of Personal Data regarding supervisory authorities and transborder data flows (punten 7 – 20): artikel 1 van het aanvullend protocol werd hier toegelicht.

• Artikel 28 § 1 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): Elke Lid-Staat bepaalt dat een of meer autoriteiten worden belast met het toezicht op de toepassing op zijn grondgebied van de ter uitvoering van deze Richtlijn door de Lid-Staten vastgestelde bepalingen.

• Overweging 62 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): Overwegende dat het voor de bescherming van personen in verband met de verwerking van persoonsgegevens van wezenlijk belang is dat in elke Lid-Staat onafhankelijke toezichthoudende autoriteiten worden ingesteld;

Artikel 24: Commissie voor de bescherming van de persoonlijke levenssfeer samenstelling

248

Artikel 24

samenstelling

acht vaste, plaatsvervangende leden § 1. De Commissie bestaat uit acht vaste leden, onder wie ten minste één magistraat die het voorzitterschap waarneemt, en acht plaatsvervangende leden, onder wie ten minste één magistraat.

N en F gelijk § 2. De Commissie bestaat uit een gelijk aantal Nederlandstalige en Franstalige leden. § 3. (opgeheven)

ambtstermijn 6 jaar

voordracht Ministerraad

benoeming Kamer

ontheffing Kamer § 4. De leden van de Commissie worden gekozen voor een hernieuwbare termijn van 6 jaar op door de Ministerraad voorgedragen lijsten die voor ieder te bekleden mandaat twee kandidaten bevatten. Zij kunnen door de Kamer van volksvertegenwoordigers, van hun opdracht worden ontheven wegens tekortkomingen in hun taken of wegens inbreuk op de waardigheid van hun ambt.

onafhankelijke deskundige tweede lid De leden moeten alle waarborgen bieden met het oog op een onafhankelijke uitoefening van hun opdracht alsmede volkomen deskundig zijn op het stuk van de bescherming van gegevens.


249

evenwicht en competenties derde lid De Commissie is op zodanige wijze samengesteld dat in haar midden een evenwicht bestaat tussen de verschillende sociaal-economische groepen. vierde lid Benevens de voorzitter, bevat de Commissie onder haar vaste leden en onder haar plaatsvervangende leden, ten minste een jurist, een informaticus, een persoon die beroepservaring kan voorleggen in het beheer van persoonsgegevens afhangende van de private sector en een persoon die beroepservaring kan voorleggen in het beheer van persoonsgegevens afhangende van de openbare sector. HUISHOUDELIJK REGLEMENT VAN DE CBPL (B.S., 10 MEI 2007) • Artikel 46 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk III, - 2007) :

in toepassing van de artikelen 26, 34 en 35 van de WVP komt de Commissie bijeen voor de behandeling van alle aangelegenheden met betrekking tot het administratief beheer, de begroting, het bestuursplan, de personele en materiële middelen en de rapportering over de werkzaamheden. De dossiers worden ingeleid door de voorzitter bijgestaan door de administrateur.

• Artikel 47 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk III, - 2007) :

binnen de maand na de goedkeuring van dit reglement stelt de Commissie, op voorstel van de voorzitter, twee commissarissen aan voor het nazicht van de rekeningen van de Commissie. Ze vervullen de taken die zijn opgelegd in het reglement betreffende de begroting- boekhoudingprocedure, zoals goedgekeurd door de Commissie.

• Artikel 48 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk III, - 2007) :

binnen de maand na de goedkeuring van dit reglement stelt de Commissie, op voorstel van de voorzitter, de raden van beroep samen die zijn voorzien in artikel 84 van het statuut van de ambtenaren van het secretariaat, zoals goedgekeurd door de Kamer van Volksvertegenwoordigers.



• Artikel 1.3) van het Additional Protocol to the Convention for the Protection of Individuals

with regard to Automatic Processing of Personal Data regarding supervisory authorities and transborder data flows: The supervisory authorities shall exercise their functions in complete independence.

• Overweging 2 van het Additional Protocol to the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data regarding supervisory authorities and transborder data flows: The Parties to this additional Protocol to the Convention for the


250

Protection of Individuals with regard to Automatic Processing of Personal Data are convinced that supervisory authorities, exercising their functions in complete independence, are an element of the effective protection of individuals with regard to the processing of personal data.


Individuals with regard to Automatic Processing of Personal Data regarding supervisory authorities and transborder data flows – (punt 17): Supervisory authorities cannot effectively safeguard individual rights and freedoms unless they exercise their functions in complete independence A number of elements contribute to safeguarding the independence of the supervisory authority in the exercise of its functions. These could include the composition of the authority, the method for appointing its members, the duration of exercise and conditions of cessation of their functions, the allocation of sufficient resources to the authority or the adoption of decisions without being subject to external orders or injunctions.

• Artikel 28 § 1 tweede lid van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): deze autoriteiten vervullen de hun opgedragen taken in volledige onafhankelijkheid.

• Overweging 62 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): overwegende dat het voor de bescherming van personen in verband met de verwerking van persoonsgegevens van wezenlijk belang is dat in elke Lid-Staat onafhankelijke toezichthoudende autoriteiten worden ingesteld;

• Artikel 44 van de Verordening (EG) nr. 45/2001 van het Europees Parlement en de Raad van 18 december 2000 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de communautaire instellingen en organen en betreffende het vrije verkeer van die gegevens (2000): 1. de Europese Toezichthouder voor gegevensbescherming handelt in de uitoefening van

zijn taken volkomen onafhankelijk; 2. bij de vervulling van zijn taken vraagt noch aanvaardt de Europese Toezichthouder

voor gegevensbescherming van wie dan ook instructies; 3. de Europese Toezichthouder voor gegevensbescherming onthoudt zich van alle

handelingen die onverenigbaar zijn met zijn taken en verricht gedurende zijn ambtstermijn geen andere, al dan niet bezoldigde beroepswerkzaamheden;

4. bij het aanvaarden van functies en voordelen na beëindiging van zijn ambt betracht de Europese Toezichthouder voor gegevensbescherming eerlijkheid en kiesheid.

benoemingsvoorwaarden § 5. Om tot vast dan wel plaatsvervangend lid van de Commissie te worden benoemd en het te blijven, moeten de kandidaten aan de volgende voorwaarden voldoen : 1° Belg zijn; 2° de burgerlijke en politieke rechten genieten; 3° geen lid zijn van het Europees Parlement of van de Wetgevende Kamers, noch van een Gemeenschaps- of Gewestraad.


251

onafhankelijkheid § 6. Binnen de perken van hun bevoegdheden krijgen de leden van de Commissie van niemand onderrichtingen. Zij kunnen niet van hun mandaat worden ontheven voor meningen die zij uiten of daden die zij stellen bij het vervullen van hun functie.

persoonlijk belang § 7. Het is de leden van de Commissie verboden aanwezig te zijn bij een beraadslaging over zaken waarbij zij een persoonlijk belang hebben of waarbij hun bloed- of aanverwanten tot en met de vierde graad een persoonlijk belang hebben.

Artikel 25: Commissie voor de bescherming van de persoonlijke levenssfeer vervanging van een commissaris

252

Artikel 25

vervanging van een commissaris Wanneer een vast lid verhinderd is of afwezig alsmede in het geval dat zijn mandaat openvalt, wordt het lid vervangen door zijn plaatsvervanger. tweede lid Het vorige lid is van toepassing bij de berekening van het aanwezigheidsquorum en, desgevallend op de stemming, bedoeld in artikel 28, tweede lid. Het vormt geen beletsel dat de Commissie vergadert in een formatie die zowel de vaste leden als de plaatsvervangende leden verenigt. derde lid Het vast of het plaatsvervangend lid waarvan het mandaat een einde neemt voor het verstrijken van de termijn van zes jaar wordt volgens de in artikel 24 bedoelde procedures vervangen door een vast of een plaatsvervangend lid dat voor de rest van de termijn wordt gekozen. HUISHOUDELIJK REGLEMENT VAN DE CBPL (B.S., 10 MEI 2007) • Artikel 7 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk II, - 2007): zowel de

vaste leden als hun plaatsvervangers kunnen aan de vergaderingen deelnemen en kunnen tot verslaggever worden aangewezen. Alleen de vaste leden en de plaatsvervangende leden die een verhinderd vast lid vervangen, worden in aanmerking genomen voor de berekening van het aanwezigheidsquorum en zijn stemgerechtigd.

Artikel 26: Commissie voor de bescherming van de persoonlijke levenssfeer voorzitterschap

253

Artikel 26

voorzitterschap

voorzitter § 1. De Voorzitter van de Commissie oefent zijn functie voltijds uit. Hij wordt van rechtswege gedetacheerd door zijn rechtscollege. Hij is belast met het dagelijks beheer van de Commissie, leidt het secretariaat, zit de vergaderingen van de Commissie in haar verschillende afdelingen voor of machtigt daartoe een ander lid en vertegenwoordigt de Commissie. Hij brengt geregeld verslag uit aan de in bestuursvergadering verenigde Commissie. tweede lid Tijdens de duur van zijn mandaat mag hij geen andere beroepsbezigheid uitoefenen. De Kamer die hem heeft benoemd kan afwijkingen op die onverenigbaarheid toestaan op voorwaarde dat ze de betrokkene niet beletten zijn opdracht naar behoren te vervullen. derde lid In zijn vervanging als magistraat wordt voorzien door een benoeming in overtal. Wanneer het een korpschef betreft wordt in zijn vervanging voorzien door de benoeming in overtal van een magistraat tot de onmiddellijk lagere rang. vierde lid Hij geniet een wedde die gelijkstaat met die van eerste-advocaat-generaal bij het Hof van Cassatie, alsmede de daaraan verbonden verhogingen en voordelen. vijfde lid Hij neemt zijn plaats op de ranglijst weer in van het ogenblik af dat hij zijn mandaat neerlegt. HUISHOUDELIJK REGLEMENT VAN DE CBPL (B.S., 10 MEI 2007) Organisatie van de zittingen

• Artikel 2 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk I, - 2007): de voorzitter

waakt over de goede werking van de Commissie.

• Artikel 3 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk I, - 2007): de voorzitter roept de Commissie samen en stelt de plaats, de dag en het uur van de vergaderingen vast. Hij opent en sluit de vergaderingen. Hij leidt de debatten. Bij verhindering van de voorzitter worden zijn bevoegdheden uitgeoefend door de ondervoorzitter, die dan dezelfde bevoegdheden en verplichtingen heeft.

• Artikel 4 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk I, - 2007): behoudens spoedeisende gevallen, door de voorzitter te beoordelen, worden de oproepingen tenminste acht dagen voor de vergadering aan de leden verzonden. Zij bevatten de agenda van de vergadering, vergezeld van de nodige documenten.

• Artikel 5 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk I, - 2007): de voorzitter roept de Commissie bijeen wanneer tenminste drie leden erom verzoeken. Dit verzoek wordt gedaan, hetzij met een tot de voorzitter gericht schrijven, hetzij op een vergadering


254

van de Commissie. Het verzoek preciseert het voorwerp van de bijeen te roepen vergadering. De vergadering van de Commissie wordt gehouden binnen de vijftien dagen na de indiening van het verzoek, tenzij de aanvragers instemmen met een latere datum.

• Artikel 6 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk I, - 2007): de voorzitter stelt de agenda vast. De agenda wordt opgedeeld in punten “A“en “B” . De aangelegenheden gerangschikt onder “B” worden ter zitting aangenomen zonder bijkomende bespreking, tenzij een lid de bespreking ervan heeft aangevraagd aan de voorzitter ten laatste om 10 uur de 2de werkdag voorafgaand aan deze van de desbetreffende zitting. De voorzitter of de administrateur verwittigt de andere leden dezelfde dag per mail. De andere aangelegenheden, gerangschikt onder “A” en deze op verzoek van een lid aldus omgevormd, worden steeds ter bespreking voorgelegd. Een aangelegenheid die niet op de agenda is vermeld, kan alleen in behandeling worden genomen mits tenminste de helft van de aanwezige leden daarmee instemt. Het lid dat de inschrijving van een punt op de agenda wenst, dient hiervoor een aanvraag in bij de voorzitter. Deze zal het punt inschrijven op de agenda van de volgende vergadering.

• Artikel 7 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk I, - 2007): zowel de vaste leden als hun plaatsvervangers kunnen aan de vergaderingen deel nemen en kunnen tot verslaggever worden aangewezen. Alleen de vaste leden en de plaatsvervangende leden die een verhinderd vast lid vervangen, worden in aanmerking genomen voor de berekening van het aanwezigheidsquorum en zijn stemgerechtigd.

• Artikel 8 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk I, - 2007): over de vergaderingen van de Commissie wordt een syntheseverslag opgesteld. Dit verslag wordt ondertekend door de voorzitter en de administrateur, hoofd van het secretariaat. De administrateur is belast met de bewaring van de stukken en levert de voor eensluidende verklaarde afschriften af van de akten en verslagen van de vergaderingen van de Commissie. De ontwerpen van verslag worden aan de leden van de Commissie medegedeeld. Zij worden op de eerstvolgende vergadering door de Commissie goedgekeurd.

Bevoegdheden van de voorzitter • Artikel 20 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk II, Sectie IV – 2007):

onverminderd het bepaalde in het Koninklijk besluit van 13 februari 2001 ter uitvoering van de WVP, hierna het KB, kan de Commissie aanbevelingen richten tot de verantwoordelijke voor een bepaald soort verwerking of tot een bepaalde verantwoordelijke voor een verwerking. In uitvoering van artikel 26, §1, tweede lid van de WVP, kan de voorzitter bij gelegenheid van het onderzoek van een dossier, nagaan in welke mate de behandeling ervan niet door zijn toedoen kan geschieden zonder dat het ter zitting dient te worden gebracht. Hij zal daarbij handelen in overeenstemming met de beleidslijnen bepaald door de Commissie. De voorzitter kan echter te allen tijde de behandeling op zijn niveau afbreken en het dossier formeel ter zitting brengen. Hij brengt daarover de betrokkene op de hoogte.

• Artikel 23 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk II, Sectie V – 2007): in uitvoering van artikel 26, §1, tweede lid van de WVP en de artikelen 37 tot 46 van het voormeld KB van 2001, behandelt de voorzitter alle verzoeken voor de uitoefening van een onrechtstreekse toegang. De voorzitter kan echter te allen tijde de behandeling op zijn niveau afbreken en het dossier formeel ter zitting brengen. Hij brengt daarover de betrokkene op de hoogte.


255

Wanneer een controle gepaard gaat met een onderzoek ter plaatse wordt, onverminderd het bepaalde in artikel 43 van het voormelde KB van 2001, gehandeld met toepassing van artikel 40.

• Artikel 24 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk II, Sectie VI – 2007): in uitvoering van artikel 26, §1, tweede lid van de WVP, beantwoordt de voorzitter alle vragen om inlichtingen of om een advies of standpunt, gericht aan de Commissie. Het antwoord wordt gegeven op basis van de inlichtingen en de gegevens waarover het secretariaat voor de behandeling van het verzoek beschikt en dit onverminderd de bevoegdheid van de Commissie om daarover als collegiaal orgaan een uitspraak te doen. De verzoeker wordt daarover in het antwoord in kennis gesteld. De voorzitter kan echter te allen tijde de behandeling op zijn niveau afbreken en het dossier formeel ter zitting brengen. Hij brengt daarover de verzoeker op de hoogte. Wanneer het antwoord wordt gegeven na een beraadslaging van de Commissie ter zitting, wordt dit uitdrukkelijk vermeld.

• Artikel 39 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk II, Sectie VIII – 2007) : § 1. In uitvoering van artikel 26, §1, tweede lid van de WVP, kan de voorzitter bij gelegenheid van een controle of van een inspectie aan de verantwoordelijke voor de verwerking een inlichtingenblad laten invullen en alle bijkomende vragen om uitleg stellen die nuttig kunnen zijn om zich een beeld te vormen over de wijze van verwerking. Hij kan ook aan derden inlichtingen vragen. De verantwoordelijke voor de verwerking heeft het recht alle bijkomende informatie en toelichting te verstrekken die hij nodig acht. Wanneer een onderzoek ter plaatse noodzakelijk is, wordt gehandeld in overeenstemming met de bepalingen van artikel 40.

Administratief beheer, begroting en boekhouding • Artikel 46 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk III – 2007): in

toepassing van de artikelen 26, 34 en 35 van de WVP komt de Commissie bijeen voor de behandeling van alle aangelegenheden met betrekking tot het administratief beheer, de begroting, het bestuursplan, de personele en materiële middelen en de rapportering over de werkzaamheden. De dossiers worden ingeleid door de voorzitter bijgestaan door de administrateur.

• Artikel 47 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk III – 2007): binnen de maand na de goedkeuring van dit reglement stelt de Commissie, op voorstel van de voorzitter, twee commissarissen aan voor het nazicht van de rekeningen van de Commissie. Ze vervullen de taken die zijn opgelegd in het reglement betreffende de begroting- boekhoudingprocedure, zoals goedgekeurd door de Commissie.

• Artikel 48 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk III – 2007): binnen de maand na de goedkeuring van dit reglement stelt de Commissie, op voorstel van de voorzitter, de raden van beroep samen die zijn voorzien in artikel 84 van het statuut van de ambtenaren van het secretariaat, zoals goedgekeurd door de Kamer van Volksvertegenwoordigers.

ondervoorzitter § 2. De voorzitter wordt in zijn functies bijgestaan door een ondervoorzitter, die door de Kamer van volksvertegenwoordigers wordt aangewezen uit de in artikel 24, § 1, bedoelde vaste leden en die tot een andere taalgroep behoort dan de


256

voorzitter. De ondervoorzitter oefent zijn ambt voltijds uit en de bepalingen van § 1, tweede en vierde lid, zijn op hem van toepassing. tweede lid Paragraaf 1, derde en vijfde lid, is van toepassing op de ondervoorzitter als die magistraat is. derde lid Ingeval de voorzitter verhinderd is, neemt de ondervoorzitter zijn taak over.

Artikel 27: Commissie voor de bescherming van de persoonlijke levenssfeer eed

257

Artikel 27

eed Alvorens hun ambt te aanvaarden, leggen de voorzitter, de ondervoorzitter, de andere vaste leden en de plaatsvervangende leden in handen van de voorzitter van de Kamer van volksvertegenwoordigers de volgende eed af : "Ik zweer de plichten van mijn opdracht gewetensvol en onpartijdig te vervullen."

Artikel 28: Commissie voor de bescherming van de persoonlijke levenssfeer reglement van orde – quorum – wijze van beslissen

258

Artikel 28

reglement van orde – quorum – wijze van beslissen De Commissie voor de bescherming van de persoonlijke levenssfeer moet binnen een maand na haar instelling, haar reglement van orde opstellen. Het wordt medegedeeld aan de Wetgevende Kamers. tweede lid De Commissie beraadslaagt slechts dan op geldige wijze, wanneer ten minste de meerderheid van haar leden aanwezig is. Zij beslist bij volstrekte meerderheid. Bij staking van de stemmen is de stem van de Voorzitter of bij diens afwezigheid, van zijn plaatsvervanger doorslaggevend. HUISHOUDELIJK REGLEMENT VAN DE CBPL (B.S., 10 MEI 2007) • Huishoudelijk Reglement van de CBPL (2007): op 11 april keurde de CBPL een tweede

huishoudelijk reglement goed dat het eerste reglement van 5 april 1995 vervangt en vernietigt.

Artikel 29: Commissie voor de bescherming van de persoonlijke levenssfeer advies

259

Artikel 29

advies § 1. De Commissie dient van advies, hetzij uit eigen beweging, hetzij op verzoek van de Regering, van de Wetgevende Kamers, van de Gemeenschaps- of Gewestregeringen, van de Gemeenschaps- of Gewestparlementen, van het Verenigd College of van de Verenigde Vergadering bedoeld in artikel 60 van de bijzondere wet van 12 januari 1989 met betrekking tot de Brusselse instellingen, of van een toezichtscomité, omtrent iedere aangelegenheid die betrekking heeft op de toepassing van de grondbeginselen van de bescherming van de persoonlijke levenssfeer, in het kader van deze wet en van de wetten die bepalingen bevatten inzake de bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens. VERWIJZING NAAR ANDERE WETGEVING • Artikel 60 van de Bijzondere wet van 12 januari 1989 met betrekking tot de Brusselse

Instellingen, B.S. 14 januari 1989 : Er zijn drie instellingen met rechtspersoonlijkheid voor de uitoefening van de bevoegdheden bedoeld bij de artikelen 59bis, § 4bis, tweede lid, en 108ter, § 3, van de Grondwet. De instelling die bevoegd is voor de aangelegenheden van de Vlaamse Gemeenschap van Brussel-Hoofdstad, hierna "de Vlaamse Gemeenschapscommissie" genoemd, heeft als organen de Nederlandse taalgroep van de Raad van het Brusselse Hoofdstedelijk Gewest en een college bestaande uit de leden van de Brusselse Hoofdstedelijke Regering en de gewestelijke staatssecretarissen die tot de Nederlandse taalgroep behoren. De instelling die bevoegd is voor de aangelegenheden van de Franse Gemeenschap van Brussel-Hoofdstad, hierna "de Franse Gemeenschapscommissie" genoemd, heeft als organen de Franse taalgroep van de Raad van het Brusselse Hoofdstedelijk Gewest en een college bestaande uit de leden van de Brusselse Hoofdstedelijke Regering en de gewestelijke staatssecretarissen die tot de Franse taalgroep behoren. De instelling die bevoegd is voor de gemeenschapsaangelegenheden gemeen aan beide Gemeenschappen van Brussel-Hoofdstad, hierna "de Gemeenschappelijke Gemeenschapscommissie" genoemd, heeft als organen een verenigde vergadering bestaande uit de leden van de taalgroepen bedoeld bij het tweede en het derde lid en een verenigd college bestaande uit de leden van de Brusselse Hoofdstedelijke Regering. Voor de bevoegdheden die de Vlaamse Gemeenschapscommissie alleen uitoefent omvat de in het tweede lid bedoelde taalgroep bovendien vijf leden die overeenkomstig artikel 60bis worden verkozen. Binnen de beperkingen van artikel 25 en onverminderd artikel 83, bepaalt de Vergadering van de Vlaamse Gemeenschapscommissie het bedrag van de aan deze vijf leden toegekende vergoeding, alsook hun pensioenstelsel en de terugbetaling van hun verplaatsingskosten. De lasten die voortvloeien uit de toepassing van het vijfde en het zesde lid worden gefinancierd middels de begroting van de Vlaamse Gemeenschapscommissie.


260


betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): Elke Lid-Staat bepaalt dat de toezichthoudende autoriteiten worden geraadpleegd bij de opstelling van de wettelijke of bestuursrechtelijke bepalingen met betrekking tot de bescherming van de rechten en vrijheden van personen in verband met de verwerking van persoonsgegevens.

§ 2. Elk verzoek wordt bij de Commissie ingediend bij ter post aangetekende brief. tweede lid Tenzij de wet anders bepaalt, brengt de Commissie advies uit binnen zestig dagen nadat alle daartoe noodzakelijke gegevens aan de Commissie zijn medegedeeld. § 3. In de gevallen waar het advies van de Commissie door of krachtens een wet, een decreet of een ordonnantie vereist is, mag aan deze vereiste voorbijgegaan worden wanneer het advies niet werd verleend binnen de termijn bedoeld in paragraaf 2. tweede lid In de gevallen waar het advies van de Commissie vereist is krachtens een bepaling van deze wet, met uitzondering van artikel 11, wordt de termijn bedoeld in § 2 in speciaal gemotiveerde dringende gevallen verminderd tot ten minste vijftien dagen. HUISHOUDELIJK REGLEMENT VAN DE CBPL (B.S., 10 MEI 2007) Wat betreft de adviezen • Artikel 9 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk II, Sectie I – 2007):

voor elk advies, elke aanbeveling, elke aan de Commissie gerichte klacht of elk verzoek, of voor elke aangelegenheid die de voorzitter nuttig oordeelt, wijst hij één of meerdere verslaggevers aan. De voorzitter zorgt voor de ondersteuning van de verslaggever door een ambtenaar van het secretariaat. De verslaggever kan de ambtenaar aansturen bij de werkzaamheden.

• Artikel 10 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk II, Sectie I – 2007): de voorzitter of de verslaggever kan aan de verzoekende partij, aan de klager, aan elke overheid, aan elke verantwoordelijke van een verwerking, of aan een derde, alle inlichtingen vragen die hij nodig oordeelt. Hij kan ze, gezamenlijk of afzonderlijk, uitnodigen voor een verhoor. De voorzitter of verslaggever kan beslissen ter plaatse te gaan. De voorzitter of de verslaggever brengt bij de Commissie verslag uit van zijn handelingen.

• Artikel 11 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk II, Sectie I – 2007): de verslaggever stelt een ontwerp van beslissing op. Bij het onderzoek van het dossier en bij de voorbereiding van de besluitvorming zal aandacht worden geschonken aan het feitelijk en wettelijk kader, de toetsing aan de principes voor een verwerking van persoonsgegevens in het bijzonder en het impact op de persoonlijke levenssfeer van de


261

betrokkenen. Zo nodig zullen deze elementen in het voorstel van beslissing worden opgenomen.

• Artikel 12 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk II, Sectie I – 2007): de Commissie vergadert en beraadslaagt als college. De Commissie vergadert met gesloten deuren tenzij zij uitdrukkelijk beslist de zitting openbaar te laten verlopen. Elke bespreking van een dossier “A” wordt ingeleid door de verslaggever waarna elk lid vragen kan stellen en zijn standpunt, inzonderheid over het voorstel tot beslissing, kan uiten. De voorzitter gaat na welk gemeenschappelijk standpunt kan ingenomen worden. Zo nodig wordt overgegaan tot stemming met naleving van artikel 28, tweede lid van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (hierna WVP). De voorzitter legt de verschillende vragen en eventuele alternatieven voor aan de Commissie zodat over elk vraagpunt of standpunt afzonderlijk kan beslist worden. Het proces-verbaal van de vergadering vermeldt uitdrukkelijk de gestelde vragen en het resultaat van de stemming. Over het geheel van de door de stemming bereikte beslissing wordt globaal gestemd. De stemming is verplicht wanneer een lid dit uitdrukkelijk vraagt. De stemming gebeurt bij handopsteking.

• Artikel 13 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk II, Sectie I – 2007): § 1. Wanneer het noodzakelijk is voor de goede werking van de Commissie of voor de naleving van de wettelijke termijnen, kan de Commissie, na bespreking ter zitting, beslissen de behandeling van de beraadslaging over de ontwerpen van adviezen, 3 aanbevelingen, machtigingen en andere beslissingen verder te zetten volgens een schriftelijke procedure. De voorzitter verstuurt de ontwerpen aangepast volgens de beslissingen van de Commissie ter zitting, aan de leden en bepaalt de termijn en de modaliteiten voor hun eventuele reactie. Deze procedure strekt ertoe zich uit te spreken over de conformiteit van de aanpassing aan de ter zitting genomen beslissing. Op basis van de ingestuurde reacties zal de voorzitter het ontwerp aanpassen, dan wel beslissen tot bijkomende agendering op een volgende nuttige zitting. Indien het ontwerp onverkort kan worden afgewerkt zonder bijkomende zitting, krijgt het de dagtekening van de laatste zitting waarop het werd behandeld. § 2 Wanneer het noodzakelijk is voor de goede werking van de Commissie en / of in dringende gevallen kan de voorzitter beslissen een ontwerp van besluitvorming via een schriftelijke procedure te laten behandelen. De voorzitter verstuurt het desbetreffende document aan de leden en bepaalt de termijn en de modaliteiten voor hun eventuele reactie. Deze termijn kan niet korter zijn dan 48 uur. Op basis van de ingestuurde reacties zal de voorzitter het ontwerp aanpassen, dan wel beslissen tot een agendering op een volgende nuttige zitting. De goedgekeurde beslissing van de Commissie krijgt al naar gelang het geval de dagtekening van de zitting waarop ze het laatst werd besproken en, indien het niet ter zitting is behandeld, waarop de voorzitter het document in definitieve versie zal hebben ondertekend.

• Artikel 16 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk II, Sectie I – 2007): voor de behandeling van de aanvragen om advies bedoeld in artikel 29 van de WVP, gaat de voorzitter of de verslaggever zo snel mogelijk na of alle voor het advies noodzakelijke gegevens aan de Commissie zijn medegedeeld. In voorkomend geval richt de voorzitter of de verslaggever zich tot de betrokken overheid met de vraag tot mededeling van de door hem te preciseren gegevens. De betrokken overheid wordt erop gewezen dat de termijn bepaald in artikel 29, §2 of §3, van de WVP slechts begint te lopen vanaf het ogenblik dat die gegevens aan de Commissie worden medegedeeld.


262

• Artikel 17 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk II, Sectie I – 2007): het advies vermeldt of het gunstig of ongunstig is, desgevallend onder de vermelding van de voorwaarden waarvan deze conclusie afhankelijk is.

§ 4. De adviezen van de Commissie zijn met redenen omkleed. § 5. De Commissie deelt haar advies aan de betrokken overheid mede. tweede lid Een afschrift van het advies wordt medegedeeld aan de Minister van Justitie. derde lid In de gevallen waar het advies van de Commissie vereist is, wordt het samen met de reglementsbepaling waarop het betrekking heeft, in het Belgisch Staatsblad bekendgemaakt. HUISHOUDELIJK REGLEMENT VAN DE CBPL (B.S., 10 MEI 2007) Wat de kennisgeving betreft • Artikel 14 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk II, Sectie I – 2007): §

1.De Commissie kan haar adviezen, aanbevelingen en beslissingen, naast de door of krachtens de wet opgelegde kennisgeving ervan, ook op een andere wijze openbaar maken. De bijkomende openbaarmaking bedoeld in het vorige lid vormt het voorwerp van een afzonderlijke beslissing. In afwijking van het bepaalde in het tweede lid, worden de adviezen en de aanbevelingen bedoeld in respectievelijk de artikelen 29 en 30, § 1 van de WVP bekendgemaakt op de website van de Commissie. Uitzonderlijk kan de Commissie echter beslissen op met redenen omklede wijze het advies of de aanbeveling niet op de website te plaatsen. De aanvrager van een advies bedoeld in artikel 29 van de WVP kan vragen, bij gemotiveerd verzoek, dat het advies niet bekend wordt gemaakt. De Commissie dient daarop in te gaan tenzij de Commissie van oordeel is dat dit niet strookt met de beginselen van de democratische rechtstaat en de rechten van de mens. De Commissie motiveert deze weigering en maakt deze bekend in bijlage van het advies. § 2. De Commissie bouwt een website waarop ze in overeenstemming met de vorige paragraaf en behoudens de voormelde uitzonderingen, al haar beslissingen bekend maakt. Het openbaar register en het systeem van de aangiften als bedoeld in de WVP worden via deze website beschikbaar gesteld. Op de website is ruimte voorzien voor de verscheidene sectorale comités.

Artikel 30: Commissie voor de bescherming van de persoonlijke levenssfeer aanbeveling

263

Artikel 30

aanbeveling § 1. De Commissie kan aanbevelingen richten, hetzij uit eigen beweging, hetzij op verzoek van de Regering, van de Wetgevende Kamers, van de Gemeenschaps- of Gewestregeringen, van de Gemeenschaps- of Gewestparlementen, van het Verenigd College of van de Verenigde Vergadering bedoeld in artikel 60 van de bijzondere wet van 12 januari 1989 met betrekking tot de Brusselse instellingen, of van een toezichtscomité, omtrent iedere aangelegenheid die betrekking heeft op de toepassing van de grondbeginselen van de bescherming van de persoonlijke levenssfeer, in het kader van deze wet en van de wetten die bepalingen bevatten inzake de bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens. HUISHOUDELIJK REGLEMENT VAN DE CBPL (B.S., 10 MEI 2007) • Artikel 18 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk II, Sectie II – 2007):

voor de behandeling van de aanvragen om aanbevelingen als bedoeld in artikel 30, § 1 van de WVP wordt gehandeld op dezelfde wijze als bepaald in artikel 16.

VERWIJZING NAAR ANDERE WETGEVING • Artikel 60 van de Bijzondere wet van 12 januari 1989 met betrekking tot de Brusselse

Instellingen, B.S. 14 januari 1989: er zijn drie instellingen met rechtspersoonlijkheid voor de uitoefening van de bevoegdheden bedoeld bij de artikelen 59bis, § 4bis, tweede lid, en 108ter, § 3, van de Grondwet. De instelling die bevoegd is voor de aangelegenheden van de Vlaamse Gemeenschap van Brussel-Hoofdstad, hierna "de Vlaamse Gemeenschapscommissie" genoemd, heeft als organen de Nederlandse taalgroep van de Raad van het Brusselse Hoofdstedelijk Gewest en een college bestaande uit de leden van de Brusselse Hoofdstedelijke Regering en de gewestelijke staatssecretarissen die tot de Nederlandse taalgroep behoren. De instelling die bevoegd is voor de aangelegenheden van de Franse Gemeenschap van Brussel-Hoofdstad, hierna "de Franse Gemeenschapscommissie" genoemd, heeft als organen de Franse taalgroep van de Raad van het Brusselse Hoofdstedelijk Gewest en een college bestaande uit de leden van de Brusselse Hoofdstedelijke Regering en de gewestelijke staatssecretarissen die tot de Franse taalgroep behoren. De instelling die bevoegd is voor de gemeenschapsaangelegenheden gemeen aan beide Gemeenschappen van Brussel-Hoofdstad, hierna "de Gemeenschappelijke Gemeenschapscommissie" genoemd, heeft als organen een verenigde vergadering bestaande uit de leden van de taalgroepen bedoeld bij het tweede en het derde lid en een verenigd college bestaande uit de leden van de Brusselse Hoofdstedelijke Regering. Voor de bevoegdheden die de Vlaamse Gemeenschapscommissie alleen uitoefent omvat de in het tweede lid bedoelde taalgroep bovendien vijf leden die overeenkomstig artikel 60bis worden verkozen. Binnen de beperkingen van artikel 25 en onverminderd artikel 83, bepaalt de Vergadering van de Vlaamse Gemeenschapscommissie het bedrag van de aan deze vijf leden toegekende vergoeding, alsook hun pensioenstelsel en de terugbetaling van hun verplaatsingskosten.


264

De lasten die voortvloeien uit de toepassing van het vijfde en het zesde lid worden gefinancierd middels de begroting van de Vlaamse Gemeenschapscommissie.

§ 2. Alvorens een aanbeveling te richten tot een bepaalde verantwoordelijke voor de verwerking, geeft de Commissie de verantwoordelijke voor de verwerking de gelegenheid zijn standpunt te doen kennen. HUISHOUDELIJK REGLEMENT VAN DE CBPL (B.S., 10 MEI 2007) Wat de aanbevelingen betreft • Artikel 9 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk II, Sectie IV – 2007):

voor elk advies, elke aanbeveling, elke aan de Commissie gerichte klacht of elk verzoek, of voor elke aangelegenheid die de voorzitter nuttig oordeelt, wijst hij één of meerdere verslaggevers aan De voorzitter zorgt voor de ondersteuning van de verslaggever door een ambtenaar van het secretariaat. De verslaggever kan de ambtenaar aansturen bij de werkzaamheden.

• Artikel 10 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk II, Sectie IV – 2007).

de voorzitter of de verslaggever kan aan de verzoekende partij, aan de klager, aan elke overheid, aan elke verantwoordelijke van een verwerking, of aan een derde, alle inlichtingen vragen die hij nodig oordeelt. Hij kan ze, gezamenlijk of afzonderlijk, uitnodigen voor een verhoor. De voorzitter of verslaggever kan beslissen ter plaatse te gaan. De voorzitter of de verslaggever brengt bij de Commissie verslag uit van zijn handelingen.

• Artikel 11 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk II, Sectie IV – 2007). de verslaggever stelt een ontwerp van beslissing op. Bij het onderzoek van het dossier en bij de voorbereiding van de besluitvorming zal aandacht worden geschonken aan het feitelijk en wettelijk kader, de toetsing aan de principes voor een verwerking van persoonsgegevens in het bijzonder en het impact op de persoonlijke levenssfeer van de betrokkenen. Zo nodig zullen deze elementen in het voorstel van beslissing worden opgenomen.

• Artikel 12 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk II, Sectie IV – 2007): de Commissie vergadert en beraadslaagt als college. De Commissie vergadert met gesloten deuren tenzij zij uitdrukkelijk beslist de zittingopenbaar te laten verlopen. Elke bespreking van een dossier “A” wordt ingeleid door de verslaggever waarna elk lid vragen kan stellen en zijn standpunt, inzonderheid over het voorstel tot beslissing, kan uiten. De voorzitter gaat na welk gemeenschappelijk standpunt kan ingenomen worden. Zo nodig wordt overgegaan tot stemming met naleving van artikel 28, tweede lid van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (hierna WVP). De voorzitter legt de verschillende vragen en eventuele alternatieven voor aan de Commissie zodat over elk vraagpunt of standpunt afzonderlijk kan beslist worden. Het proces-verbaal van de vergadering vermeldt uitdrukkelijk de gestelde vragen en het resultaat van de stemming. Over het geheel van de door de stemming bereikte beslissing wordt globaal gestemd. De stemming is verplicht wanneer een lid dit uitdrukkelijk vraagt. De stemming gebeurt bij handopsteking.

• Artikel 13 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk II, Sectie IV – 2007).


265

wanneer het noodzakelijk is voor de goede werking van de Commissie of voor de naleving van de wettelijke termijnen, kan de Commissie, na bespreking ter zitting, beslissen de behandeling van de beraadslaging over de ontwerpen van adviezen, aanbevelingen, machtigingen en andere beslissingen verder te zetten volgens een schriftelijke procedure. De voorzitter verstuurt de ontwerpen aangepast volgens de beslissingen van de Commissie ter zitting, aan de leden en bepaalt de termijn en de modaliteiten voor hun eventuele reactie. Deze procedure strekt ertoe zich uit te spreken over de conformiteit van de aanpassing aan de ter zitting genomen beslissing. Op basis van de ingestuurde reacties zal de voorzitter het ontwerp aanpassen, dan wel beslissen tot bijkomende agendering op een volgende nuttige zitting. Indien het ontwerp onverkort kan worden afgewerkt zonder bijkomende zitting, krijgt het de dagtekening van de laatste zitting waarop het werd behandeld. § 2 Wanneer het noodzakelijk is voor de goede werking van de Commissie en / of in dringende gevallen kan de voorzitter beslissen een ontwerp van besluitvorming via een schriftelijke procedure te laten behandelen. De voorzitter verstuurt het desbetreffende document aan de leden en bepaalt de termijn en de modaliteiten voor hun eventuele reactie. Deze termijn kan niet korter zijn dan 48 uur. Op basis van de ingestuurde reacties zal de voorzitter het ontwerp aanpassen, dan wel beslissen tot een agendering op een volgende nuttige zitting. De goedgekeurde beslissing van de Commissie krijgt al naar gelang het geval de dagtekening van de zitting waarop ze het laatst werd besproken en, indien het niet ter zitting is behandeld, waarop de voorzitter het document in definitieve versie zal hebben ondertekend.

• Artikel 20 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk II, Sectie IV – 2007): onverminderd het bepaalde in het Koninklijk besluit van 13 februari 2001 ter uitvoering van de WVP, hierna het KB, kan de Commissie aanbevelingen richten tot de verantwoordelijke voor een bepaald soort verwerking of tot een bepaalde verantwoordelijke voor een verwerking. In uitvoering van artikel 26, §1, tweede lid van de WVP, kan de voorzitter bij gelegenheid van het onderzoek van een dossier, nagaan in welke mate de behandeling ervan niet door zijn toedoen kan geschieden zonder dat het ter zitting dient te worden gebracht. Hij zal daarbij handelen in overeenstemming met de beleidslijnen bepaald door de Commissie. De voorzitter kan echter te allen tijde de behandeling op zijn niveau afbreken en het dossier formeel ter zitting brengen. Hij brengt daarover de betrokkene op de hoogte.

• Artikel 21 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk II, Sectie IV – 2007): alvorens een aanbeveling te richten tot een bepaalde verantwoordelijke voor een verwerking, geeft de Commissie of de voorzitter deze de gelegenheid om, binnen een door haar, de voorzitter of de verslaggever bepaalde termijn, schriftelijk zijn standpunt te doen kennen.

§ 3. De aanbevelingen van de Commissie zijn met redenen omkleed. Een afschrift van elke aanbeveling wordt medegedeeld aan de Minister van Justitie. HUISHOUDELIJK REGLEMENT VAN DE CBPL (B.S., 10 MEI 2007) Wat de kennisgeving betreft

• Artikel 14 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk II, Sectie IV – 2007):

§ 1.De Commissie kan haar adviezen, aanbevelingen en beslissingen, naast de door of krachtens de wet opgelegde kennisgeving ervan, ook op een andere wijze openbaar maken.


266

De bijkomende openbaarmaking bedoeld in het vorige lid vormt het voorwerp van een afzonderlijke beslissing. In afwijking van het bepaalde in het tweede lid, worden de adviezen en de aanbevelingen bedoeld in respectievelijk de artikelen 29 en 30, § 1 van de WVP bekendgemaakt op de website van de Commissie. Uitzonderlijk kan de Commissie echter beslissen op met redenen omklede wijze het advies of de aanbeveling niet op de website te plaatsen. De aanvrager van een advies bedoeld in artikel 29 van de WVP kan vragen, bij gemotiveerd verzoek, dat het advies niet bekend wordt gemaakt. De Commissie dient daarop in te gaan tenzij de Commissie van oordeel is dat dit niet strookt met de beginselen van de democratische rechtstaat en de rechten van de mens. De Commissie motiveert deze weigering en maakt deze bekend in bijlage van het advies. § 2. De Commissie bouwt een website waarop ze in overeenstemming met de vorige paragraaf en behoudens de voormelde uitzonderingen, al haar beslissingen bekend maakt. Het openbaar register en het systeem van de aangiften als bedoeld in de WVP worden via deze website beschikbaar gesteld. Op de website is ruimte voorzien voor de verscheidene sectorale comités.

Artikel 31: Commissie voor de bescherming van de persoonlijke levenssfeer behandeling van klachten

controles en inspecties

267

Artikel 31

behandeling van klachten § 1. Onverminderd enige vordering voor de rechtbanken en tenzij de wet anders bepaalt, onderzoekt de Commissie de getekende en gedateerde klachten die haar worden toegestuurd. Deze klachten kunnen betrekking hebben op haar opdracht in verband met de bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens of op andere opdrachten die haar door de wet zijn toevertrouwd. CONTROLEAUTORITEIT INTERNATIONALE WETGEVING • Artikel 1. 2 b) van het Additional Protocol to the Convention for the Protection of Individuals

with regard to Automatic Processing of Personal Data regarding supervisory authorities and transborder data flows: Each supervisory authority shall hear claims lodged by any person concerning the protection of his/her rights and fundamental freedoms with regard to the processing of personal data within its competence.

• Explanatory Report of the Additional Protocol to the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data regarding supervisory authorities and transborder data flows (2001) – (punt 19): Moreover, in cases where the supervisory authority does not itself have judicial competence, the intervention of a supervisory authority shall not constitute an obstacle to the possibility for the individual to have a judicial remedy. Zie ook punt 14 van het Explanatory report.

• Artikel 28 § 4 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): Een ieder kan in eigen persoon of door middel van een vereniging die als zijn vertegenwoordiger optreedt bij elke toezichthoudende autoriteit een verzoek indienen met betrekking tot de bescherming van zijn rechten en vrijheden in verband met de verwerking van persoonsgegevens. Hij wordt van het gevolg dat daaraan wordt gegeven in kennis gesteld.

• Overweging 63 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): Overwegende dat die autoriteiten over de nodige middelen dienen te beschikken om hun taak te vervullen, of het nu gaat om onderzoekbevoegdheden, om het recht om actief in te grijpen, met name wanneer bij hen klachten aanhangig worden gemaakt, dan wel om de bevoegdheid om in rechte op te treden; dat die autoriteiten moeten bijdragen tot de doorzichtigheid van de verwerking van gegevens in hun Lid-Staat;

GEWOON BEROEP BIJ RECHTBANKEN INTERNATIONALE WETGEVING • Artikels 22 en 23 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad




268

persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): (22) Onverminderd de administratieve voorziening die met name bij de in artikel 28 bedoelde toezichthoudende autoriteit kan worden getroffen voordat de zaak aanhangig wordt gemaakt voor de rechter, bepalen de Lid-Staten dat een ieder zich tot de rechter kan wenden wanneer de rechten die hem worden gegarandeerd door het op de betrokken verwerking toepasselijke nationale recht geschonden worden. (23) De Lid-Staten bepalen dat een ieder die schade heeft geleden ten gevolge van een onrechtmatige verwerking of van enige andere daad die onverenigbaar is met de ter uitvoering van deze Richtlijn vastgestelde nationale bepalingen het recht heeft van de voor de verwerking verantwoordelijke vergoeding van de geleden schade te verkrijgen.

• Overweging 55 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): Overwegende dat in geval van niet-eerbiediging van de rechten van de betrokkenen door de voor de verwerking verantwoordelijke, krachtens de nationale wetgeving een beroep op de rechter mogelijk moet zijn; dat de schade die de betrokkenen ten gevolge van een onrechtmatige verwerking kunnen lijden, moet worden hersteld door de voor de verwerking verantwoordelijke, die van zijn aansprakelijkheid kan worden vrijgesteld indien hij bewijst dat het schade veroorzakende feit hem niet kan worden toegerekend, met name wanneer hij aantoont dat er sprake is van een fout van de betrokkene of van overmacht; dat voor iedere privaatrechtelijke dan wel publiekrechtelijke persoon die de ter uitvoering van deze Richtlijn vastgestelde nationale bepalingen niet in acht neemt, sancties moeten gelden;

§ 2. De rechtspleging wordt geregeld in het reglement van orde. Dit voorziet in de uitoefening van een recht van verdediging. § 3. De Commissie onderzoekt of de klacht ontvankelijk is. Ten aanzien van ontvankelijke klachten vervult de Commissie elke bemiddelingstaak die zij nuttig oordeelt. Zo een minnelijke schikking tussen de partijen wordt bereikt, op basis van het respect voor de persoonlijke levenssfeer, stelt zij een proces-verbaal op, waarin de bereikte oplossing wordt uiteengezet. Zo geen minnelijke schikking wordt bereikt, geeft de Commissie een advies over de gegrondheid van de klacht. Zij kan het advies vergezeld doen gaan van aanbevelingen aan de verantwoordelijke voor de verwerking. HUISHOUDELIJK REGLEMENT VAN DE CBPL (B.S., 10 MEI 2007) Wat betreft de klachten • Artikel 9 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk II, Sectie VII – 2007):

voor elk advies, elke aanbeveling, elke aan de Commissie gerichte klacht of elk verzoek, of voor elke aangelegenheid die de voorzitter nuttig oordeelt, wijst hij één of meerdere verslaggevers aan. De voorzitter zorgt voor de ondersteuning van de verslaggever door een ambtenaar van het secretariaat. De verslaggever kan de ambtenaar aansturen bij de werkzaamheden.

• Artikel 10 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk II, Sectie VII – 2007): de voorzitter of de verslaggever kan aan de verzoekende partij, aan de klager, aan elke overheid, aan elke verantwoordelijke van een verwerking, of aan een derde, alle inlichtingen vragen die hij nodig oordeelt. Hij kan ze, gezamenlijk of afzonderlijk, uitnodigen voor een verhoor.



269

De voorzitter of verslaggever kan beslissen ter plaatse te gaan. De voorzitter of de verslaggever brengt bij de Commissie verslag uit van zijn handelingen.

• Artikel 11 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk II, Sectie VII – 2007): de verslaggever stelt een ontwerp van beslissing op. Bij het onderzoek van het dossier en bij de voorbereiding van de besluitvorming zal aandacht worden geschonken aan het feitelijk en wettelijk kader, de toetsing aan de principes voor een verwerking van persoonsgegevens in het bijzonder en het impact op de persoonlijke levenssfeer van de betrokkenen. Zo nodig zullen deze elementen in het voorstel van beslissing worden opgenomen.

• Artikel 12 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk II, Sectie VII – 2007): de Commissie vergadert en beraadslaagt als college. De Commissie vergadert met gesloten deuren tenzij zij uitdrukkelijk beslist de zitting openbaar te laten verlopen. Elke bespreking van een dossier “A” wordt ingeleid door de verslaggever waarna elk lid vragen kan stellen en zijn standpunt, inzonderheid over het voorstel tot beslissing, kan uiten. De voorzitter gaat na welk gemeenschappelijk standpunt kan ingenomen worden. Zo nodig wordt overgegaan tot stemming met naleving van artikel 28, tweede lid van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (hierna WVP). De voorzitter legt de verschillende vragen en eventuele alternatieven voor aan de Commissie zodat over elk vraagpunt of standpunt afzonderlijk kan beslist worden. Het proces-verbaal van de vergadering vermeldt uitdrukkelijk de gestelde vragen en het resultaat van de stemming. Over het geheel van de door de stemming bereikte beslissing wordt globaal gestemd. De stemming is verplicht wanneer een lid dit uitdrukkelijk vraagt. De stemming gebeurt bij handopsteking.

• Artikel 13 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk II, Sectie VII – 2007): § 1. Wanneer het noodzakelijk is voor de goede werking van de Commissie of voor de naleving van de wettelijke termijnen, kan de Commissie, na bespreking ter zitting, beslissen de behandeling van de beraadslaging over de ontwerpen van adviezen, aanbevelingen, machtigingen en andere beslissingen verder te zetten volgens een schriftelijke procedure. De voorzitter verstuurt de ontwerpen aangepast volgens de beslissingen van de Commissie ter zitting, aan de leden en bepaalt de termijn en de modaliteiten voor hun eventuele reactie. Deze procedure strekt ertoe zich uit te spreken over de conformiteit van de aanpassing aan de ter zitting genomen beslissing. Op basis van de ingestuurde reacties zal de voorzitter het ontwerp aanpassen, dan wel beslissen tot bijkomende agendering op een volgende nuttige zitting. Indien het ontwerp onverkort kan worden afgewerkt zonder bijkomende zitting, krijgt het de dagtekening van de laatste zitting waarop het werd behandeld. § 2 Wanneer het noodzakelijk is voor de goede werking van de Commissie en / of in dringende gevallen kan de voorzitter beslissen een ontwerp van besluitvorming via een schriftelijke procedure te laten behandelen. De voorzitter verstuurt het desbetreffende document aan de leden en bepaalt de termijn en de modaliteiten voor hun eventuele reactie. Deze termijn kan niet korter zijn dan 48 uur. Op basis van de ingestuurde reacties zal de voorzitter het ontwerp aanpassen, dan wel beslissen tot een agendering op een volgende nuttige zitting. De goedgekeurde beslissing van de Commissie krijgt al naar gelang het geval de dagtekening van de zitting waarop ze het laatst werd besproken en, indien het niet ter zitting is behandeld, waarop de voorzitter het document in definitieve versie zal hebben ondertekend.

• Artikel 25 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk II, Sectie VII – 2007): § 1.De personen die van een belang doen blijken, kunnen bij de Commissie klacht indienen.



270

De klacht dient door de klager ondertekend en gedateerd te worden. Wanneer de klacht bij elektronisch bericht wordt verstuurd dient zij een elektronische handtekening te bevatten. Is dit niet geval dan zal de klacht slechts kunnen worden behandeld na een schriftelijke en ondertekende bevestiging op papieren drager. De klacht bevat een uiteenzetting van de feiten. Zij moet de nodige aanwijzingen bevatten die toelaten de verwerking, voorwerp van de klacht, identificeren. § 2. Wanneer een persoon een schrijven richt tot de Commissie dat niet aan de vormelijke vereisten van de kwalificatie voldoet als gesteld in de voorgaande paragraaf, wordt zijn schrijven enkel beschouwd als een verzoek om inlichtingen. De betrokkene wordt hierover op de hoogte gebracht. De voorzitter kan aan de betrokken persoon vragen zijn verzoek te preciseren. § 3. Wanneer het schrijven voldoet aan de vormelijke vereisten van de kwalificatie doch eruit niet duidelijk kan worden opgemaakt of het om een eigenlijke klacht gaat, wordt onderzocht in welke mate aan het gestelde probleem geen bevredigend en afdoend gevolg kan worden gegeven zonder dat een formele behandeling in overeenstemming met de klachtprocedure dient te worden aangevat. De voorzitter kan aan de betrokken persoon vragen zijn verzoek te preciseren. Hij kan eveneens inlichtingen vragen aan de verantwoordelijke van de verwerking waarop het schrijven betrekking heeft.

• Artikel 26 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk II, Sectie VII, 2007): de identiteit van de klager wordt in beginsel niet bekendgemaakt. De identiteit wordt echter bekendgemaakt indien de bekendmaking vereist is voor het onderzoek van de klacht en indien de klager daarmee uitdrukkelijk of stilzwijgend heeft ingestemd. Indien de bekendmaking van de identiteit van de klager vereist is voor het onderzoek van de klacht, doch de klager met de bekendmaking niet instemt, wordt de klacht zonder gevolg gerangschikt.

• Artikel 27 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk II, Sectie VII, 2007): bij de behandeling van een klacht stellen de Commissie of haar voorzitter zich te allen tijde op vanuit een zorg om een minnelijke regeling tot stand te brengen tussen de verantwoordelijke voor de verwerking en de klager.

• Artikel 28 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk II, Sectie VII, 2007) : In uitvoering van artikel 26, §1, tweede lid van de WVP, kan de voorzitter bij gelegenheid van een klacht, nagaan in welke mate de zaak niet door zijn bemiddeling tot een oplossing kan komen zonder dat ze ter zitting dient te worden gebracht. De voorzitter kan echter te allen tijde de bemiddeling op zijn niveau afbreken en het dossier formeel ter zitting brengen. Hij brengt daarover de partijen op de hoogte.

• Artikel 29 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk II, Sectie VII, 2007): alvorens de behandeling ten gronde aan te vangen onderzoekt, al gelang het geval, de Commissie of de voorzitter de ontvankelijkheid van de aan de Commissie gerichte klachten. De beslissing over ontvankelijkheid wordt aan de klager ter kennis gebracht.

• Artikel 30 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk II, Sectie VII, 2007): de voorzitter kan aan de klager alle inlichtingen vragen die hij nuttig oordeelt. Hij kan zich in verbinding stellen met de verantwoordelijke voor de verwerking waarop de klacht betrekking heeft, hem op de hoogte brengen van de klacht en hem alle inlichtingen en uitleg vragen die hij nodig acht om zijn standpunt met het oog op bemiddeling te kunnen bepalen. Hij kan ook aan derden inlichtingen vragen. De verantwoordelijke voor de verwerking heeft het recht zijn antwoord te verduidelijken met alle bijkomende informatie en toelichting die hij nodig acht.



271

De voorzitter kan dit antwoord mededelen aan de klager om hem de mogelijkheid te bieden te reageren. Hij kan daarbij eventueel toelichting verstrekken om te komen tot een oplossing.

• Artikel 31 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk II, Sectie VII, 2007): wanneer na verloop van de procedure op het niveau van de voorzitter geen oplossing mogelijk is gebleken, maakt de voorzitter een verslag op over de zaak. Indien de voorzitter meent dat er geen reden is tot voortzetting van de bemiddeling stelt hij ter attentie van de partijen een met redenen omkleed voorstel van advies op over de gegrondheid van de klacht. Hij kan zijn voorstel doen vergezeld gaan van met redenen omklede aanbevelingen aan de verantwoordelijke voor de verwerking. De voorzitter legt het verslag met het voorstel van advies en de eventuele aanbevelingen voor aan de Commissie. De Commissie neemt, in voorkomend geval op de eerstvolgende nuttige zitting, kennis van de zaak en beslist desgevallend over het vervolg. De voorzitter brengt de eindbeslissing van de Commissie ter kennis van de partijen. De voorzitter kan ook beslissen het dossier voor verdere behandeling aan de Commissie voor te leggen. Hij brengt daarover de partijen op de hoogte.

• Artikel 32 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk II, Sectie VII, 2007): voor het onderzoek van een klacht kan de Commissie een of meerdere leden aanstellen tot verslaggever en het stellen van onderzoeksdaden. Behalve in geval dat de klacht al het voorwerp heeft uitgemaakt van een bemiddelingsprocedure op het niveau van de voorzitter, brengt de Commissie, nadat ze in overeenstemming met artikel 29 de klacht ontvankelijk heeft verklaard, voor de verantwoordelijke voor de verwerking waarop de klacht betrekking heeft, op de hoogte van de klacht. Zij kan, in het belang van het onderzoek, deze kennisgeving verdagen tot het ogenblik dat ze geschikt acht. De Commissie of de verslaggever kan alle nuttige inlichtingen vragen aan de klager, de verantwoordelijke voor de verwerking en aan derden. Zij kan een termijn opleggen voor het verstrekken van een schriftelijk antwoord. Zij kan in elke stand van de procedure aanvullende onderzoeksmaatregelen bevelen. De verantwoordelijke voor de verwerking heeft het recht zijn antwoord te verduidelijken met alle bijkomende informatie en toelichting die hij nodig acht. Het antwoord wordt aan de klager medegedeeld. Deze heeft het recht om, binnen een door de Commissie of de verslaggever bepaalde termijn, schriftelijk een wederantwoord in te dienen. Wanneer een onderzoek ter plaatse noodzakelijk is, wordt gehandeld in overeenstemming met de bepalingen van artikel 40.

• Artikel 33 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk II, Sectie VII, 2007): de Commissie kan beslissen de klager en de betrokken verantwoordelijke voor de verwerking uit te nodigen voor een verhoor. Zo beiden uitgenodigd worden, gebeurt het verhoor afzonderlijk of gezamenlijk volgens de beslissing van de Commissie.

• Artikel 34 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk II, Sectie VII, 2007): de Commissie kan met het oog op het bereiken van een minnelijke schikking tussen de partijen een of meerdere leden afvaardigen om deze te bewerkstelligen. Zo een minnelijke schikking wordt bereikt, stellen de afgevaardigde leden een procesverbaal op, waarin de bereikte oplossing wordt uiteengezet. De Commissie neemt, in voorkomend geval op de eerstvolgende nuttige zitting, akte van het bereikte akkoord en beslist desgevallend over het vervolg.

• Artikel 35 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk II, Sectie VII, 2007): zo met betrekking tot een ontvankelijk verklaarde klacht geen minnelijke schikking wordt bereikt, geeft de Commissie een met redenen omkleed advies over de gegrondheid van de



272

klacht. Zij kan haar advies doen vergezeld gaan van met redenen omklede aanbevelingen aan de verantwoordelijke voor de verwerking.

• Artikel 36 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk II, Sectie VII, 2007): indien de Commissie beslist dat haar beslissing, advies of aanbevelingen, naast de door of krachtens de wet opgelegde kennisgeving ervan, ook op een andere wijze openbaar gemaakt wordt, beslist zij afzonderlijk over het al dan niet openbaar maken van de identiteit van de partijen.

§ 4. De beslissingen, adviezen en aanbevelingen van de Commissie zijn met redenen omkleed. § 5. De Commissie deelt haar beslissing, advies of aanbeveling mede aan de klager, de verantwoordelijke voor de verwerking en alle andere in de rechtspleging betrokken partijen. Een afschrift van de beslissing, het advies of de aanbevelingen wordt medegedeeld aan de Minister van Justitie. HUISHOUDELIJK REGLEMENT VAN DE CBPL (B.S., 10 MEI 2007) Wat de openbaarmaking betreft • Artikel 14 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk II, Sectie VII – 2007):

§ 1.De Commissie kan haar adviezen, aanbevelingen en beslissingen, naast de door of krachtens de wet opgelegde kennisgeving ervan, ook op een andere wijze openbaar maken. De bijkomende openbaarmaking bedoeld in het vorige lid vormt het voorwerp van een afzonderlijke beslissing. In afwijking van het bepaalde in het tweede lid, worden de adviezen en de aanbevelingen bedoeld in respectievelijk de artikelen 29 en 30, § 1 van de WVP bekendgemaakt op de website van de Commissie. Uitzonderlijk kan de Commissie echter beslissen op met redenen omklede wijze het advies of de aanbeveling niet op de website te plaatsen. De aanvrager van een advies bedoeld in artikel 29 van de WVP kan vragen, bij gemotiveerd verzoek, dat het advies niet bekend wordt gemaakt. De Commissie dient daarop in te gaan tenzij de Commissie van oordeel is dat dit niet strookt met de beginselen van de democratische rechtstaat en de rechten van de mens. De Commissie motiveert deze weigering en maakt deze bekend in bijlage van het advies. § 2. De Commissie bouwt een website waarop ze in overeenstemming met de vorige paragraaf en behoudens de voormelde uitzonderingen, al haar beslissingen bekend maakt. Het openbaar register en het systeem van de aangiften als bedoeld in de WVP worden via deze website beschikbaar gesteld. Op de website is ruimte voorzien voor de verscheidene sectorale comités.

controles en inspecties Opmerking: de privacywet bevat eigenlijk geen bepalingen betreffende de controle of inspectie. Anderzijds verwijst de Europese Richtlijn 95/46/EG uitdrukkelijk naar de controle- en onderzoeksbevoegdheden van de gegevensbeschermingsautoriteiten. Zie hierna het commentaar in artikel 32.



273

HUISHOUDELIJK REGLEMENT VAN DE CBPL (B.S., 10 MEI 2007) • Artikel 37 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk II, Sectie VII – 2007):

voor de toepassing van de wet wordt verstaan onder controle, het nagaan van de eerbiediging van de regelgeving met betrekking tot de bescherming van de persoonlijke levenssfeer in hoofde van een individuele verantwoordelijke voor de verwerking. Voor de toepassing van de wet wordt verstaan onder inspectie, het organiseren van een algemene verificatie over de eerbiediging van de regelgeving met betrekking tot de bescherming van de persoonlijke levenssfeer in hoofde van een groep, categorie of sector van verantwoordelijken voor de verwerking. Bij gelegenheid van een inspectie kan een specifieke controle ten overstaan van een individuele verantwoordelijke plaatsvinden.

• Artikel 38 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk II, Sectie VII – 2007): tot controle kan worden overgegaan naar aanleiding van een aangifte, van een eenvoudig verzoek van een persoon, van een verzoek om onrechtstreekse toegang, van een klacht, dan wel spontaan naar aanleiding van een bepaalde vaststelling met betrekking tot de verwerking van persoonsgegevens. Tot inspectie kan worden overgegaan naar aanleiding van bepaalde specifieke vaststellingen met betrekking tot de verwerking van persoonsgegevens bij gelegenheid van een controle, vanuit bepaalde algemene vaststellingen met betrekking tot de verwerking van persoonsgegevens, vanuit een algemene bezorgdheid, dan wel op basis van gerichte proactieve en preventieacties door de Commissie. Controle en inspectie kunnen worden georganiseerd op basis van een nationaal dan wel een internationaal initiatief. De beslissing tot het verrichten van een controle wordt genomen door de voorzitter. Het organiseren van een inspectie wordt op voorstel van de voorzitter beslist door de Commissie.

• Artikel 39 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk II, Sectie VII – 2007): § 1. In uitvoering van artikel 26, §1, tweede lid van de WVP, kan de voorzitter bij gelegenheid van een controle of van een inspectie aan de verantwoordelijke voor de verwerking een inlichtingenblad laten invullen en alle bijkomende vragen om uitleg stellen die nuttig kunnen zijn om zich een beeld te vormen over de wijze van verwerking. Hij kan ook aan derden inlichtingen vragen. De verantwoordelijke voor de verwerking heeft het recht alle bijkomende informatie en toelichting te verstrekken die hij nodig acht. Wanneer een onderzoek ter plaatse noodzakelijk is, wordt gehandeld in overeenstemming met de bepalingen van artikel 40. § 2. Bij de uitoefening van een opdracht van controle of inspectie stellen de Commissie of haar voorzitter zich te allen tijde op vanuit een bekommernis om een minnelijke regeling tot stand te brengen tussen de verantwoordelijke voor de verwerking en de betrokken personen wiens persoonsgegevens worden verwerkt. Wanneer de controle het gevolg is van een aangifte, van een verzoek om onrechtstreekse toegang of van een klacht wordt verder gehandeld in overeenstemming met de bijzondere wettelijke regelgeving en dit reglement, dienaangaande. § 3. Onverminderd het bepaalde in de vorige paragraaf kan de Commissie of de voorzitter namens de Commissie, naar aanleiding van een controle, aan de verantwoordelijke voor de verwerking aanbevelingen richten. Alvorens een aanbeveling te richten tot een bepaalde verantwoordelijke voor de verwerking, wordt aan deze de gelegenheid geboden om binnen de termijn bepaald door de voorzitter, schriftelijk zijn standpunt te doen kennen. Al naar gelang het geval kan de Commissie of de voorzitter beslissen de verantwoordelijke te horen. Wanneer geen minnelijke regeling tot stand kan worden gebracht kan de voorzitter beslissen aanbevelingen te richten tot de betrokken verantwoordelijke voor de verwerking, dan wel de zaak voor de Commissie te brengen. In elk geval kan de voorzitter echter te allen tijde het dossier ter zitting brengen. Hij brengt de verantwoordelijke voor de verwerking daarvan op de hoogte.



274

§ 4. Wanneer naar aanleiding van een inspectieopdracht de Commissie, de voorzitter of een lid van de Commissie in hoofde van een verantwoordelijke voor de verwerking bepaalde vaststellingen doen die aanleiding geven tot een specifieke controle, wordt verder gehandeld in overeenstemming met het bepaalde in de vorige paragraaf.

INTERNATIONALE WETGEVING

• Artikel 28 §§ 1, 2 en 3 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad

betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): 1. Elke Lid-Staat bepaalt dat een of meer autoriteiten worden belast met het toezicht op de toepassing op zijn grondgebied van de ter uitvoering van deze Richtlijn door de Lid-Staten vastgestelde bepalingen. Deze autoriteiten vervullen de hun opgedragen taken in volledige onafhankelijkheid. 2. Elke Lid-Staat bepaalt dat de toezichthoudende autoriteiten worden geraadpleegd bij de opstelling van de wettelijke of bestuursrechtelijke bepalingen met betrekking tot de bescherming van de rechten en vrijheden van personen in verband met de verwerking van persoonsgegevens. 3. Elke toezichthoudende autoriteit beschikt met name over: onderzoeksbevoegdheden, zoals het recht van toegang tot gegevens die het voorwerp vormen van een verwerking en het recht alle inlichtingen in te winnen die voor de uitoefening van haar toezichtstaak noodzakelijk zijn; effectieve bevoegdheden om in te grijpen, zoals bij voorbeeld de bevoegdheid om voorafgaand aan de uitvoering van de verwerking advies uit te brengen, overeenkomstig artikel 20, en te zorgen voor een passende bekendmaking van deze adviezen of de bevoegdheid om afscherming, uitwissing of vernietiging van gegevens te gelasten, dan wel een verwerking voorlopig of definitief te verbieden of de bevoegdheid tot de voor de verwerking verantwoordelijke een waarschuwing of berisping te richten of de bevoegdheid de nationale parlementen of andere politieke instellingen in te schakelen; de bevoegdheid om in rechte op te treden in geval van inbreuken op ter uitvoering van deze Richtlijn vastgestelde nationale bepalingen, of om die inbreuken onder de aandacht van het gerecht te brengen. Tegen beslissingen van de toezichthoudende autoriteit kan beroep bij de rechter worden aangetekend.

• Overweging 63 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): overwegende dat die autoriteiten over de nodige middelen dienen te beschikken om hun taak te vervullen, of het nu gaat om onderzoekbevoegdheden, om het recht om actief in te grijpen, met name wanneer bij hen klachten aanhangig worden gemaakt, dan wel om de bevoegdheid om in rechte op te treden; dat die autoriteiten moeten bijdragen tot de doorzichtigheid van de verwerking van gegevens in hun Lid-Staat;

ADVIES VAN DE GROEP 29 • Groep 29, (vrije vertaling ) Rapport 1/2007 over de eerste gemeenschappelijke actie

voor tenuitvoerlegging: evaluatie en volgende fases (WP 137 – 20 juni 2007). In het eerste rapport over de implementatie van de Richtlijn verzocht de Europese Commissie de Groep 29 om regelmatig de beste manier ter sprake te brengen voor het doen naleven van de Richtlijn, om sectoraal onderzoek op communautair vlak te voeren en te proberen de normen ter zake vast te leggen. Zodoende wordt een overzicht verkregen van de tenuitvoerlegging en kan advies worden gegeven aan de verschillende sectoren over hoe de eerbiediging van de Richtlijn op de minst belastende manier kan worden verbeterd. In dit rapport worden conclusies getrokken uit een eerste onderzoek over de verwerkingen van persoonsgegevens (betreffende de gezondheid) dat werd gevoerd op niveau van de Europese Unie door de particuliere verzekeringsmaatschappijen. Naast de conclusies van het onderzoek zelf, worden in het document de goedgekeurde methodologie en de strategie voor toekomstige onderzoeken voor een eerste keer geëvalueerd.

Artikel 31bis: Commissie voor de bescherming van de persoonlijke levenssfeer sectorale comités

275

Artikel 31 bis

sectorale comités

sectorale comités binnen Commissie: oprichting § 1. De wet richt binnen de Commissie sectorale comités op die bevoegd zijn om aanvragen met betrekking tot de verwerking of de mededeling van gegevens waarvoor bijzondere wetgevingen gelden te onderzoeken en er uitspraak over te doen binnen de door de wet vastgestelde perken. Opmerking: de relevante bepalingen over de verschillende bestaande sectorale comités zijn te vinden onder de rubriek "verwijzing naar andere wetgeving" op het eind van dit artikel 31bis. Het betreffen de volgende sectorale comités: - het Sectoraal comité van de Sociale Zekerheid en de Gezondheid - het Sectoraal comité van het Rijksregister - het Sectoraal comité van de Kruispuntbank van Ondernemingen - het Statistisch Toezichtscomité - het Sectoraal Toezichtscomité Phénix - voor het Sectoraal comité voor de Federale Overheid (zie commentaar hierna in

artikel 36bis)

samenstelling: 2X3 leden § 2. Onverminderd artikel 37 van de wet van 15 januari 1990 houdende oprichting en organisatie van een Kruispuntbank van de sociale zekerheid, is elk sectoraal comité samengesteld uit drie vaste of plaatsvervangende leden van de Commissie, onder wie de voorzitter of een door de Commissie als voorzitter aangewezen lid, alsmede drie externe leden die worden aangewezen door de Kamer van volksvertegenwoordigers overeenkomstig de voorwaarden en de nadere regels die zijn bepaald in of krachtens de bijzondere wetgeving tot regeling van het betrokken comité. Bij staking van stemmen is de stem van de voorzitter beslissend. (tweede lid) De leidend ambtenaar van de beheersinstelling van de betrokken sector kan met raadgevende stem uitgenodigd worden aan de vergaderingen van het comité. VERWIJZING NAAR ANDERE WETGEVING • Artikel 37 van de Wet van 15 januari 1990 houdende oprichting en organisatie van een

Kruispuntbank van de sociale zekerheid, B.S. 22 februari 1990: § 1. Binnen de Commissie voor de bescherming van de persoonlijke levenssfeer, bedoeld in artikel 23 van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens, wordt een sectoraal comité van de sociale zekerheid en van de gezondheid opgericht.


276

Het sectoraal comité van de sociale zekerheid en van de gezondheid bestaat uit volgende twee afdelingen : 1 de afdeling sociale zekerheid; 2 de afdeling gezondheid.

§ 2. In afwijking van artikel 31bis, § 2, eerste lid, van de hogervermelde wet van 8 december 1992, bestaat het sectoraal comité van de sociale zekerheid en van de gezondheid uit : 1 de voorzitter van de Commissie of een door de Commissie onder haar leden aangewezen lid,

aan wie het voorzitterschap van beide afdelingen van het comité is opgedragen; 2 een door de Commissie onder haar leden aangewezen lid, dat deel uitmaakt van beide

afdelingen; 3 een extern lid met de hoedanigheid van doctor of licentiaat in de rechten, dat deel uitmaakt van

de afdeling sociale zekerheid; 4 een extern lid met de hoedanigheid van deskundige op het vlak van de informatica, dat deel

uitmaakt van de afdeling sociale zekerheid; 5 een extern lid met de hoedanigheid van geneesheer, deskundige op het vlak van het beheer

van gezondheidsgegevens, dat deel uitmaakt van beide afdelingen; 6 twee externe leden met de hoedanigheid van geneesheer, deskundige op het vlak van het

beheer van gezondheidsgegevens, die deel uitmaken van de afdeling gezondheid.

procedure § 3. De Commissie zendt de bij haar ingediende aanvragen betreffende de verwerking of de mededeling van gegevens die door een bijzondere wetgeving worden gereglementeerd, over aan het bevoegd sectoraal comité indien het werd samengesteld en aan de beheersinstelling van de betrokken sector. Die zendt binnen vijftien dagen na de ontvangst van de aanvraag en voor zover het dossier in gereedheid is, aan het comité een technisch en juridisch advies over. Onder hetzelfde voorbehoud doet het comité uitspraak binnen dertig dagen na de ontvangst van dat advies of, in voorkomend geval, nadat de voormelde termijn van vijftien dagen verstreken is. Zo niet, wordt zijn uitspraak geacht overeen te stemmen met het technisch en juridisch advies. (tweede lid) Indien een aanvraag als bedoeld in het vorige lid om dringende reden moet worden behandeld en binnen een termijn die korter is dan die welke in dat lid is bepaald, deelt de voorzitter de aanvraag, het juridische en technische advies en het ontwerpbesluit zo spoedig mogelijk mee aan de leden, die worden verzocht hun standpunt over het ontwerpbesluit aan de voorzitter kenbaar te maken binnen de door hem gestelde termijn. (derde lid) Het ontwerpbesluit wordt pas definitief wanneer geen enkel lid, binnen de door de voorzitter gestelde termijn, laat weten dat hij het niet eens is met de essentiële elementen van dat ontwerp. Indien nodig, organiseert de voorzitter een buitengewone vergadering van het sectoraal comité. In overleg met de leidend ambtenaar van de betrokken instelling gaat de voorzitter na of er dringende redenen bestaan die de toepassing van de twee vorige leden verantwoorden. Onverminderd artikel 44 van voornoemde wet van 15 januari 1990, kan de voorzitter van het comité het onderzoek van een dossier


277

opschorten om het aan de Commissie te overhandigen die binnen een maand uitspraak doet. VERWIJZING NAAR ANDERE WETGEVING • Artikel 44 van de Wet van 15 januari 1990 houdende oprichting en organisatie van een

Kruispuntbank van de sociale zekerheid, B.S. 22 februari 1990: de voorzitter van het (sectoraal comité van de sociale zekerheid en van de gezondheid) zorgt, in overleg met het lid bedoeld in (artikel 37, § 2, 2°), voor de coördinatie tussen de werkzaamheden van het (sectoraal comité van de sociale zekerheid en van de gezondheid) en die van de Commissie voor de bescherming van de persoonlijke levenssfeer; hij waakt over de verenigbaarheid van de aan het sectoraal comité voorgelegde ontwerpbesluiten met de beginselen en normen inzake de bescherming van de persoonlijke levenssfeer. Daartoe kan hij beslissen en advies, beslissing of aanbeveling uit te stellen en de kwestie eerst aan de Commissie voor de bescherming van de persoonlijke levenssfeer voor te leggen. Bij een dergelijke beslissing wordt de bespreking van het dossier in het (sectoraal comité van de sociale zekerheid en van de gezondheid) opgeschort en het dossier onverwijld aan de Commissie meegedeeld. De Commissie beschikt over een termijn van één maand te rekenen vanaf de ontvangst van het dossier om haar advies aan het (sectoraal comité van de sociale zekerheid en van de gezondheid) mee te delen. Indien die termijn niet wordt nageleefd, verleent het (sectoraal comité van de sociale zekerheid en van de gezondheid) zijn advies, beslissing of aanbeveling zonder het advies van de Commissie af te wachten. Het standpunt van de Commissie wordt uitdrukkelijk in het advies, de beslissing of de aanbeveling van het (sectoraal comité van de sociale zekerheid en van de gezondheid) opgenomen; in voorkomend geval geeft het sectoraal comité een uitdrukkelijke motivering van de redenen waarom het standpunt van de Commissie geheel of gedeeltelijk niet gevolgd wordt.

vergoeding voorzitter § 4. Het voorzitterschap van een afdeling geeft recht op dubbel presentiegeld, behalve indien het wordt waargenomen door de voorzitter of de ondervoorzitter van de Commissie.

zetel § 5. Onverminderd artikel 41 van voormelde wet van 15 januari 1990 worden de sectorale comités ingesteld en vergaderen zij op de zetel van de Commissie, behalve indien de betrokken beheersinstelling vraagt dat het comité waaronder zij valt, bij haar wordt ingesteld en vergadert. (tweede lid) De Commissie kan dat verzoek inwilligen, op voorwaarde dat de beheersinstelling de voorzitter van het sectoraal comité vooraf de kantoren en kantooruitrusting ter beschikking stelt die nodig zijn voor de werking van het comité en zijn voorzitterschap, alsook een secretaris die wordt gekozen door de voorzitter in overleg met de leidend ambtenaar van de betrokken instelling, en gespecialiseerd personeel, met name juristen en informatici, voorzover daar


278

nood aan is om de taken van het sectoraal comité tot een goed einde te brengen. De voorzitter van het sectoraal comité draagt de functionele verantwoordelijkheid over dat personeel wat de opdrachten betreft die het voor dit comité uitvoert. HUISHOUDELIJK REGLEMENT VAN DE CBPL (B.S., 10 MEI 2007) • Artikel 41 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk II, Sectie X – 2007):

elk dossier dat bij de Commissie wordt ingediend, en dat betrekking heeft op een aangelegenheid waarvoor door of krachtens de wet een sectoraal comité uitdrukkelijk bevoegd is, wordt door de voorzitter of de daartoe gemachtigde administrateur onverwijld doorgestuurd aan het bevoegde sectoraal comité.

• Artikel 42 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk II, Sectie X – 2007): wanneer een dossier dat in behandeling is bij een sectoraal comité of waarover een sectoraal comité een beslissing heeft genomen, aan de Commissie voor onderzoek wordt overgezonden door de door of krachtens de wet bevoegde instantie, wijst de voorzitter onverwijld een verslaggever aan. De verslaggever is gerechtigd zich te wenden tot de voorzitter van het sectoraal comité om hem alle nuttige inlichtingen te verstrekken. Artikel 10 is van toepassing.

• Artikel 43 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk II, Sectie X – 2007): onverminderd de toepassing van artikel 14 wordt een afschrift van de beslissing van de Commissie genomen in het kader van deze procedure, onverwijld overgezonden aan het bevoegde sectoraal comité.

• Artikel 44 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk II, Sectie X – 2007): de voorzitters van de verscheidene sectorale comités komen minstens één maal per trimester bijeen in een conferentie van de voorzitters. Ze maken afspraken over de organisatie van de werkzaamheden, de samenwerking tussen de Commissie en de sectorale comités en de comités onderling. Zij werken onder meer een regeling uit over mogelijke bevoegdheidsvraagstukken. De afspraken maken het voorwerp van een protocolakkoord dat ter goedkeuring wordt voorgelegd aan de Commissie. Het secretariaat van de conferentie wordt gehouden door de administrateur bijgestaan door de staf van de voorzitter.

• Artikel 45 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk II, Sectie X – 2007): voor de regeling van de bevoegdheidsvraagstukken en de samenloop van bevoegdheden tussen de Commissie en de sectorale comités alsook tussen de sectorale comités onderling, gelden de volgende principes: - de Commissie zendt het dossier door aan het bevoegde sectoraal comité op basis van

de uitdrukkelijke bevoegdheidstoewijzing door of krachtens de wet van een materie aan een sectoraal comité;

- tussen de sectorale comités geldt in beginsel de regel van de materietoewijzing door of krachtens de wet;

- voor wat de machtigingsdossiers betreft is het sectorale comité dat de controle uitoefent op de overheidsdienst die de mededeling van de gegevens verricht, bevoegd;

- wanneer de mededeling een antwoord is op een vraag die op zich de voorafgaande mededeling van gegevens vereist, is de instelling die antwoordt bepalend voor het criterium van de bevoegdheidstoewijzing;

- indien nog twijfel bestaat kan de conferentie van de voorzitters de bevoegdheid regelen en desnoods zich wenden tot de Commissie.


279

VERWIJZING NAAR ANDERE WETGEVING • Artikel 41 van de Wet van 15 januari 1990 houdende oprichting en organisatie van een

Kruispuntbank van de sociale zekerheid, B.S., 22 februari 1990 : Beide afdelingen van het sectoraal comité van de sociale zekerheid en van de gezondheid zijn gevestigd en hebben hun vergaderingen bij de Kruispuntbank, mits naleving van de voorwaarden beschreven in artikel 31bis, § 5, tweede lid, van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens. Indien de voorzitter verhinderd of afwezig is of niet kan deelnemen aan de besluitvorming in het sectoraal comité van de sociale zekerheid en van de gezondheid) wegens een belangenconflict, wordt zijn functie uitgeoefend door het lid van de Commissie, bedoeld in artikel 37, 2°. Indien het lid van de Commissie, bedoeld in (artikel 37, § 2, 2°), niet beschikbaar is, verdelen de overige leden diens taken onder elkaar onder leiding van degene met de grootste anciënniteit of, bij gelijkheid van anciënniteit, van de oudste onder hen.

BESTAANDE SECTORALE COMITES Sectoraal comité van de sociale zekerheid en van de gezondheid : Artikels 37 tot 52 van de Wet van 15 januari 1990 houdende oprichting en organisatie van een Kruispuntbank van de sociale zekerheid, B.S., 22 februari 1990. HOOFDSTUK VI - (Het sectoraal comité van de sociale zekerheid en van de gezondheid)

Afdeling 1 - Oprichting en samenstelling van het Comité

• Artikel 37 van de Wet van 15 januari 1990 houdende oprichting en organisatie van een

Kruispuntbank van de sociale zekerheid (1990): § 1. Binnen de Commissie voor de bescherming van de persoonlijke levenssfeer, bedoeld in artikel 23 van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens, wordt een sectoraal comité van de sociale zekerheid en van de gezondheid opgericht. Het sectoraal comité van de sociale zekerheid en van de gezondheid bestaat uit volgende twee afdelingen : 1 de afdeling sociale zekerheid; 2 de afdeling gezondheid. § 2. In afwijking van artikel 31bis, § 2, eerste lid, van de hogervermelde wet van 8

december 1992, bestaat het sectoraal comité van de sociale zekerheid en van de gezondheid uit :

1 de voorzitter van de Commissie of een door de Commissie onder haar leden aangewezen lid, aan wie het voorzitterschap van beide afdelingen van het comité is opgedragen;

2 een door de Commissie onder haar leden aangewezen lid, dat deel uitmaakt van beide afdelingen;

3 een extern lid met de hoedanigheid van doctor of licentiaat in de rechten, dat deel uitmaakt van de afdeling sociale zekerheid;

4 een extern lid met de hoedanigheid van deskundige op het vlak van de informatica, dat deel uitmaakt van de afdeling sociale zekerheid;

5 een extern lid met de hoedanigheid van geneesheer, deskundige op het vlak van het beheer van gezondheidsgegevens, dat deel uitmaakt van beide afdelingen;

6 twee externe leden met de hoedanigheid van geneesheer, deskundige op het vlak van het beheer van gezondheidsgegevens, die deel uitmaken van de afdeling gezondheid.

Afdeling 2 - Benoeming en statuut van de leden


280

• Artikel 38 van de Wet van 15 januari 1990 houdende oprichting en organisatie van een Kruispuntbank van de sociale zekerheid (1990): De externe leden bedoeld in (artikel 37, § 2, 3°, 4°, 5° en 6°), worden voor een hernieuwbare termijn van zes jaar benoemd door de Kamer van volksvertegenwoordigers, uit een dubbeltal dat door de Ministerraad voor elk van de vacante mandaten wordt voorgedragen. Ze kunnen van hun opdracht worden ontheven door de Kamer van volksvertegenwoordigers. Onder dezelfde voorwaarden worden vijf plaatsvervangende externe leden benoemd. Ze vervangen de werkende externe leden indien deze verhinderd of afwezig zijn, of in afwachting van hun vervanging bedoeld in het derde lid. Wanneer het mandaat van een extern lid een einde neemt vóór de vastgestelde datum, wordt binnen drie maanden in de vervanging van de werkende of plaatsvervangende titularis voorzien. Het nieuw extern lid voleindigt het mandaat van degene die hij vervangt. (De Commissie voor de bescherming van de persoonlijke levenssfeer wijst de leden bedoeld in artikel 37, § 2, 1° en 2°, evenals hun respectieve plaatsvervangers aan voor dezelfde hernieuwbare termijn van zes jaar. Onverminderd artikel 41, tweede lid, vervangt de plaatsvervanger van het lid bedoeld in artikel 37, § 2, 1°, dat lid in afwachting van diens vervanging door de Commissie voor de bescherming van de persoonlijke levenssfeer. De plaatsvervanger van het lid bedoeld in artikel 37, § 2, 2°, vervangt dat lid indien het verhinderd of afwezig is of in afwachting van diens vervanging door de Commissie voor de bescherming van de persoonlijke levenssfeer.)

• Artikel 39 van de Wet van 15 januari 1990 houdende oprichting en organisatie van een Kruispuntbank van de sociale zekerheid (1990): § 1. Om tot werkend of plaatsvervangend extern lid van het (sectoraal comité van de sociale zekerheid en van de gezondheid) benoemd te kunnen worden en het te kunnen blijven, moeten de kandidaten aan de volgende voorwaarden voldoen : 1 Belg zijn; 2 de burgerlijke en politieke rechten genieten; 3 niet onder het hiërarchisch gezag van een Minister staan en onafhankelijk zijn van de

instellingen van sociale zekerheid, van de organisaties die in het Beheerscomité van de Kruispuntbank vertegenwoordigd zijn en, voor wat betreft de leden bedoeld in artikel 37, § 2, 5° en 6°, onafhankelijk zijn van de Federale Overheidsdienst Volksgezondheid, Veiligheid van de Voedselketen en Leefmilieu, het Federaal Kenniscentrum voor de Gezondheidszorg en de stichting bedoeld in artikel 45quinquies van het koninklijk besluit nr. 78 van 10 november 1967 betreffende de uitoefening van de gezondheidszorgberoepen;

4 geen lid zijn van het Europees Parlement of van een federale wetgevende kamer noch van een Gemeenschaps- of Gewestparlement.

§ 2. (...)

• Artikel 40 van de Wet van 15 januari 1990 houdende oprichting en organisatie van een Kruispuntbank van de sociale zekerheid (1990): De artikelen 24, § 6, 27 en 36, tweede en derde lid, van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens zijn van toepassing op de werkende en plaatsvervangende externe leden van het (sectoraal comité van de sociale zekerheid en van de gezondheid). Afdeling 2bis - Werking van het Comité

• Artikel 41 van de Wet van 15 januari 1990 houdende oprichting en organisatie van een Kruispuntbank van de sociale zekerheid (1990): beide afdelingen van het sectoraal comité van de sociale zekerheid en van de gezondheid zijn gevestigd en hebben hun vergaderingen bij de Kruispuntbank, mits naleving van de voorwaarden beschreven in artikel 31bis, § 5, tweede lid, van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens.


281

Indien de voorzitter verhinderd of afwezig is of niet kan deelnemen aan de besluitvorming in het sectoraal comité van de sociale zekerheid en van de gezondheid wegens een belangenconflict, wordt zijn functie uitgeoefend door het lid van de Commissie, bedoeld in artikel 37, 2°. Indien het lid van de Commissie, bedoeld in (artikel 37, § 2, 2°), niet beschikbaar is, verdelen de overige leden diens taken onder elkaar onder leiding van degene met de grootste anciënniteit of, bij gelijkheid van anciënniteit, van de oudste onder hen.

• Artikel 42 van de Wet van 15 januari 1990 houdende oprichting en organisatie van een Kruispuntbank van de sociale zekerheid (1990): overeenkomstig artikel 31bis § 3 van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens, staat de Kruispuntbank in voor het opstellen van een juridisch en technisch advies aangaande elke aanvraag met betrekking tot de mededeling van sociale gegevens van persoonlijke aard waarvan zij vanwege de afdeling sociale zekerheid van het sectoraal comité van de sociale zekerheid en van de gezondheid of vanwege de Commissie voor de bescherming van de persoonlijke levenssfeer een afschrift heeft ontvangen. § 2. Overeenkomstig artikel 31bis, § 3, van de hogervermelde wet van 8 december 1992, staat het Federaal Kenniscentrum voor de Gezondheidszorg, tot op een door de Koning te bepalen datum, in voor het opstellen van een juridisch en technisch advies aangaande elke aanvraag met betrekking tot de mededeling van persoonsgegevens die de gezondheid betreffen in de zin van de hogervermelde wet van 8 december 1992, waarvan het vanwege de afdeling gezondheid van het sectoraal comité van de sociale zekerheid en van de gezondheid of vanwege de Commissie voor de bescherming van de persoonlijke levenssfeer een afschrift heeft ontvangen. In afwijking van het eerste lid, staat de stichting bedoeld in artikel 45quinquies van het koninklijk besluit nr. 78 van 10 november 1967 betreffende de uitoefening van de gezondheidszorgberoepen, in voor het opstellen van een juridisch en technisch advies aangaande elke aanvraag met betrekking tot de verwerkingen van persoonsgegevens bedoeld in artikel 45quinquies van het koninklijk besluit nr. 78 van 10 november 1967 betreffende de uitoefening van de gezondheidszorgberoepen, die zij bij de afdeling gezondheid van het sectoraal comité van de sociale zekerheid en van de gezondheid of bij de Commissie voor de bescherming van de persoonlijke levenssfeer aanhangig maakt.

• Artikel 43 van de Wet van 15 januari 1990 houdende oprichting en organisatie van een Kruispuntbank van de sociale zekerheid (1990): de werkingskosten van beide afdelingen van het sectoraal comité van de sociale zekerheid en van de gezondheid worden gedragen door de Kruispuntbank, met uitzondering evenwel van : 1. de aan de leden uitgekeerde vergoedingen en terugbetalingen van kosten, die worden

gedragen door de Commissie voor de bescherming van de persoonlijke levenssfeer; 2. de kosten voor het opstellen van het juridisch en technisch advies bedoeld in artikel 42,

§ 2, eerste lid, die worden gedragen door het Federaal Kenniscentrum voor de Gezondheidszorg;

3. de kosten voor het opstellen van het juridisch en technisch advies bedoeld in artikel 42, § 2, tweede lid, die worden gedragen door de stichting bedoeld in artikel 45quinquies van het koninklijk besluit nr. 78 van 10 november 1967 betreffende de uitoefening van de gezondheidszorgberoepen.

Het voorzitterschap van het sectoraal comité van de sociale zekerheid en van de gezondheid is een deeltijdse opdracht ten belope van 20 %. De voorzitter oefent zijn opdrachten uit op de zetel van het sectoraal comité volgens een arbeidsrooster afgesproken tussen de voorzitter en de administrateur-generaal van de Kruispuntbank. In afwijking van artikel 31bis, § 4, van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens, heeft de voorzitter van het sectoraal comité van de sociale zekerheid en van de gezondheid recht op een vergoeding die als loon geldt en waarvan het bedrag gelijk is aan 20 % van de wedde en de andere voordelen die hij zou ontvangen mocht hij raadsheer bij het hof van


282

beroep zijn. Dit recht geldt evenwel niet indien het voorzitterschap van het sectoraal comité van de sociale zekerheid en van de gezondheid wordt waargenomen door de voorzitter of de ondervoorzitter van de Commissie voor de bescherming van de persoonlijke levenssfeer, die in dat geval recht hebben op het dubbele van het presentiegeld bedoeld in artikel 36, tweede lid, van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens.

• Artikel 43bis van de Wet van 15 januari 1990 houdende oprichting en organisatie van een Kruispuntbank van de sociale zekerheid (1990): de voorzitter van het sectoraal comité van de sociale zekerheid en van de gezondheid regelt de werkzaamheden van het comité en van de afdelingen. Behoudens andersluidende bepalingen in de wet is de afdeling sociale zekerheid bevoegd voor de behandeling van aangelegenheden betreffende de verwerking van persoonsgegevens in de zin van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens, door de instellingen van sociale zekerheid en de personen tot wie het geheel of een deel van de rechten en verplichtingen voortvloeiend uit deze wet en haar uitvoeringsmaatregelen met toepassing van artikel 18 werden uitgebreid en voor de behandeling van aangelegenheden betreffende de verwerking van sociale gegevens van persoonlijke aard door de toekennende instanties bedoeld in artikel 11bis. Behoudens andersluidende bepalingen in de wet is de afdeling gezondheid bevoegd voor de behandeling van aangelegenheden betreffende de verwerking van persoonsgegevens die de gezondheid betreffen in de zin van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens, met uitzondering van de verwerkingen van persoonsgegevens die de gezondheid betreffen door de instellingen van sociale zekerheid en de personen tot wie het geheel of een deel van de rechten en verplichtingen voortvloeiend uit deze wet en haar uitvoeringsmaatregelen met toepassing van artikel 18 werden uitgebreid en de verwerkingen van sociale gegevens van persoonlijke aard die de gezondheid betreffen door de toekennende instanties bedoeld in artikel 11bis. Voor zover een aangelegenheid tot de bevoegdheid van beide afdelingen behoort, wordt deze behandeld tijdens een gezamenlijke vergadering van de afdelingen. De voorzitter van het sectoraal comité van de sociale zekerheid en van de gezondheid zorgt, in overleg met de leden bedoeld in artikel 37, § 2, 2° en 5°, voor de coördinatie van de werkzaamheden tussen de afdelingen. Zij kunnen beslissen om een dossier door de beide afdelingen gezamenlijk te laten behandelen.

• Artikel 44 van de Wet van 15 januari 1990 houdende oprichting en organisatie van een Kruispuntbank van de sociale zekerheid (1990): de voorzitter van het sectoraal comité van de sociale zekerheid en van de gezondheid zorgt, in overleg met het lid bedoeld in (artikel 37, § 2, 2°), voor de coördinatie tussen de werkzaamheden van het sectoraal comité van de sociale zekerheid en van de gezondheid en die van de Commissie voor de bescherming van de persoonlijke levenssfeer; hij waakt over de verenigbaarheid van de aan het sectoraal comité voorgelegde ontwerpbesluiten met de beginselen en normen inzake de bescherming van de persoonlijke levenssfeer. Daartoe kan hij beslissen een advies, beslissing of aanbeveling uit te stellen en de kwestie eerst aan de Commissie voor de bescherming van de persoonlijke levenssfeer voor te leggen. Bij een dergelijke beslissing wordt de bespreking van het dossier in het sectoraal comité van de sociale zekerheid en van de gezondheid opgeschort en het dossier onverwijld aan de Commissie meegedeeld. De Commissie beschikt over een termijn van één maand te rekenen vanaf de ontvangst van het dossier om haar advies aan het sectoraal comité van de sociale zekerheid en van de gezondheid mee te delen. Indien die termijn niet wordt nageleefd, verleent het sectoraal


283

comité van de sociale zekerheid en van de gezondheid zijn advies, beslissing of aanbeveling zonder het advies van de Commissie af te wachten. Het standpunt van de Commissie wordt uitdrukkelijk in het advies, de beslissing of de aanbeveling van het sectoraal comité van de sociale zekerheid en van de gezondheid opgenomen; in voorkomend geval geeft het sectoraal comité een uitdrukkelijke motivering van de redenen waarom het standpunt van de Commissie geheel of gedeeltelijk niet gevolgd wordt.

• Artikel 45 van de Wet van 15 januari 1990 houdende oprichting en organisatie van een Kruispuntbank van de sociale zekerheid (1990): het sectoraal comité van de sociale zekerheid en van de gezondheid stelt zijn huishoudelijk reglement vast. De administrateur-generaal of de adjunct-administrateur-generaal van de Kruispuntbank, en, in voorkomend geval, op uitnodiging van het comité, de voorzitter van het Algemeen Coördinatiecomité wonen de vergaderingen van het sectoraal comité van de sociale zekerheid en van de gezondheid met raadgevende stem bij. De leidende ambtenaren van het Federaal Kenniscentrum voor de Gezondheidszorg en van de stichting bedoeld in artikel 45quinquies van het koninklijk besluit nr. 78 van 10 november 1967 betreffende de uitoefening van de gezondheidszorgberoepen, kunnen de vergaderingen van de afdeling gezondheid van het sectoraal comité van de sociale zekerheid en van de gezondheid met raadgevende stem bijwonen voor wat betreft de behandeling van de aanvragen met betrekking tot dewelke hun instelling, met toepassing van artikel 42, § 2, een juridisch en technisch advies heeft opgesteld. Afdeling 3 - Opdrachten en bevoegdheden

• Artikel 46 van de Wet van 15 januari 1990 houdende oprichting en organisatie van een Kruispuntbank van de sociale zekerheid (1990): § 1. onverminderd het bepaalde in hoofdstuk VII en de bevoegdheid van de rechterlijke macht is de afdeling sociale zekerheid van het sectoraal comité van de sociale zekerheid en van de gezondheid, met het oog op de bescherming van de persoonlijke levenssfeer, belast met de hierna volgende taken : 1 het toezicht verzekeren op de naleving van deze wet en haar

uitvoeringsmaatregelen. Het kan daartoe aan de Kruispuntbank, onder de voorwaarden en binnen de perken die het vaststelt, de toestemming geven om de uitvoering van artikel 13 op te schorten zolang de instellingen van sociale zekerheid hun verplichting om de sociale gegevens mede te delen overeenkomstig artikel 10 niet vervullen; het behandelt daartoe elke aanvraag, in het bijzonder om onderzoek, uitgaande van de Commissie voor de bescherming van de persoonlijke levenssfeer; het kan daartoe bij de sociale inspecteurs bedoeld in artikel 53 aangifte doen van alle gevallen die een overtreding uitmaken of kunnen doen vermoeden;

2 alle aanbevelingen formuleren die het nuttig acht voor de uitvoering en de naleving van deze wet en haar uitvoeringsmaatregelen;

3 bijdragen tot het oplossen van elk principieel probleem of elk geschil betreffende de toepassing van deze wet en haar uitvoeringsmaatregelen, en, zo nodig, de geschillen te beslechten die op geen andere wijze konden worden opgelost;

4 advies verlenen overeenkomstig artikel 5; 5 overeenkomstig artikel 12, tweede lid, aan de instellingen van sociale zekerheid

vrijstelling verlenen van de verplichting om zich tot de Kruispuntbank te richten om de in het netwerk beschikbare sociale gegevens te bekomen of de juistheid ervan te controleren;

6 machtiging verlenen voor de mededeling van sociale gegevens van persoonlijke aard, overeenkomstig artikel 15;

6bis een lijst bijhouden die enerzijds betreffende iedere geautomatiseerde verwerking van persoonsgegevens die door een instelling van sociale zekerheid wordt verricht met het oog op de toepassing van de sociale zekerheid tenminste de gegevens bevat bedoeld in artikel 17, § 3, van de wet van 8 december 1992 tot bescherming van de


284

persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens, zoals ze zijn meegedeeld of gevalideerd door de betrokken instelling van sociale zekerheid, en anderzijds de krachtens artikel 15 toegelaten mededelingen bevat, alsook de mededelingen waarvan de afdeling sociale zekerheid van het sectoraal comité van de sociale zekerheid en van de gezondheid krachtens hetzelfde artikel 15 in kennis moet worden gesteld; de Koning bepaalt de nadere regelen volgens welke iedere belanghebbende persoon deze lijst bij de Kruispuntbank kan raadplegen;

7 zijn advies verstrekken omtrent de aanwijzing van de veiligheidsconsulent van de Kruispuntbank, zoals voorzien in artikel 24, tweede lid;

8 nagaan of de veiligheidsconsulenten een passende voortdurende vorming genieten en werken op een gecoördineerde wijze; bij gebreke hieraan, alle nodige maatregelen treffen om die passende vorming te verzekeren of om de coördinatie tot stand te brengen, ondermeer op het technische vlak; 9° ieder jaar, op de eerste dag van de gewone zitting, aan de Wetgevende Kamers verslag uitbrengen over de vervulling van zijn opdrachten gedurende het afgelopen jaar en daarbij de in 6° van dit artikel vermelde lijst te voegen. Dit verslag wordt gedrukt en verstuurd naar de Koning, naar de Ministers die de sociale zekerheid onder hun bevoegdheden hebben, naar het Beheerscomité van de Kruispuntbank, naar de Commissie voor de bescherming van de persoonlijke levenssfeer en naar de leden van de commissies voor Sociale Zaken van de Wetgevende Kamers. Het kan door iedere belanghebbende persoon worden geraadpleegd of verkregen. § 2. De afdeling gezondheid van het sectoraal comité van de sociale zekerheid en van de gezondheid is belast met het verlenen van een machtiging voor de mededeling van persoonsgegevens die de gezondheid betreffen in de zin van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens, voor zover die wordt opgelegd ingevolge artikel 42 van de wet van 13 december 2006 houdende diverse bepalingen betreffende gezondheid of ingevolge een andere bepaling vastgesteld door of krachtens de wet. Zij houdt een lijst bij van de mededelingen waarvoor zij aldus een machtiging verleent. Zij is voorts belast met het verzekeren van het toezicht op de naleving van de door of krachtens de wet vastgestelde bepalingen tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens die de gezondheid betreffen. Daarbij kan zij alle aanbevelingen formuleren die zij nuttig acht en bijdragen tot het oplossen van principiële problemen of geschillen.

• Artikel 47 van de Wet van 15 januari 1990 houdende oprichting en organisatie van een

Kruispuntbank van de sociale zekerheid (1990): in het kader van de uitvoering van zijn taken kan het sectoraal comité van de sociale zekerheid en van de gezondheid onderzoeken instellen, een of meer van zijn leden gelasten met het verrichten van onderzoeken ter plaatse en een beroep doen op deskundigen. Het Comité of zijn leden, eventueel bijgestaan door deskundigen, heeft in dit geval, onder dezelfde voorwaarden, de bevoegdheden om onderzoeken te doen die zijn toegekend aan de ambtenaren belast met het strafrechtelijk toezicht op deze wet en haar uitvoeringsmaatregelen. Ze kunnen onder meer mededeling eisen van alle documenten die hen bij hun onderzoek van nut kunnen zijn. Ze hebben tevens toegang tot alle plaatsen waarvan ze redelijkerwijze kunnen vermoeden dat er werkzaamheden worden verricht die in verband staan met de toepassing van de sociale zekerheid in de zin van deze wet. De Voorzitter van het sectoraal comité van de sociale zekerheid en van de gezondheid en de andere leden van het Comité en de daarbij betrokken deskundigen zijn gehouden tot het beroepsgeheim zoals bepaald in artikel 28 met betrekking tot alles wat ze uit hoofde van hun functie hebben kunnen vernemen.


285

• Artikel 48 van de Wet van 15 januari 1990 houdende oprichting en organisatie van een Kruispuntbank van de sociale zekerheid (1990): het sectoraal comité van de sociale zekerheid en van de gezondheid handelt hetzij op eigen initiatief, hetzij op verzoek van onder meer de Commissie voor de bescherming van de persoonlijke levenssfeer, hetzij ingevolge een aan hem gerichte aanvraag om advies of een bij hem ingediende klacht. Wanneer de klacht of de aanvraag tot de Commissie wordt gericht, maakt zij ze onverwijld aanhangig bij het sectoraal comité van de sociale zekerheid en van de gezondheid. De Kruispuntbank, de instellingen van sociale zekerheid en de personen geroepen om deel te nemen aan de toepassing van de sociale zekerheid, moeten aan het sectoraal comité van de sociale zekerheid en van de gezondheid of zijn leden die werden belast met een onderzoek, alle nodige informatie verstrekken en medewerking verlenen. Elke hiërarchische overheid, de werkgevers, hun aangestelden of lasthebbers moeten hun personeelsleden, aangestelden of werknemers toestaan te antwoorden op de vragen welke hen, in het kader van een onderzoek, worden gesteld door het sectoraal comité van de sociale zekerheid en van de gezondheid of door een van zijn leden, en gevolg te geven aan hun verzoeken of oproepingen.

• Artikel 49 van de Wet van 15 januari 1990 houdende oprichting en organisatie van een Kruispuntbank van de sociale zekerheid (1990): iedere persoon, en in het bijzonder ieder personeelslid van de Kruispuntbank, van een instelling van sociale zekerheid, van een administratief bestuur of van welke openbare dienst dan ook, kan zich, zonder daartoe vooraf toestemming te moeten verkrijgen, tot het sectoraal comité van de sociale zekerheid en van de gezondheid wenden om het de feiten of toestanden mee te delen welke naar zijn oordeel diens optreden noodzakelijk maken of om het alle nuttige suggesties te doen. Het sectoraal comité van de sociale zekerheid en van de gezondheid mag de naam van de persoon, die zich tot hem wendt niet bekendmaken, tenzij met diens uitdrukkelijke toestemming, en evenmin aan wie dan ook laten weten dat het op die wijze werd gevat.

• Artikel 50 van de Wet van 15 januari 1990 houdende oprichting en organisatie van een Kruispuntbank van de sociale zekerheid (1990): de Voorzitter van het sectoraal comité van de sociale zekerheid en van de gezondheid licht de indieners van klachten, aanvragen of voorstellen binnen een redelijke termijn in over het gevolg dat aan hun tussenkomst werd gegeven en stelt ze in kennis van de redenen die ten grondslag liggen van het standpunt van het sectoraal comité van de sociale zekerheid en van de gezondheid of, in voorkomend geval, van het standpunt van de Commissie voor de bescherming van de persoonlijke levenssfeer.

• Artikel 51 van de Wet van 15 januari 1990 houdende oprichting en organisatie van een Kruispuntbank van de sociale zekerheid (1990): wanneer het sectoraal comité van de sociale zekerheid en van de gezondheid een schriftelijke aanbeveling formuleert, een probleem oplost of uitspraak doet over een betwisting, moet het in kennis worden gesteld van het gevolg dat aan zijn optreden wordt gegeven. Bij gebrek aan een bevredigend antwoord binnen de termijn die het sectoraal comité van de sociale zekerheid en van de gezondheid vaststelt kan het op elk ogenblik de aanbeveling en de beslissing openbaar maken. De bestemmeling van de aanbeveling of van de beslissing kan in dat geval ook zijn antwoord openbaar maken evenals de uiteindelijke getroffen beslissing.

• Artikel 52 van de Wet van 15 januari 1990 houdende oprichting en organisatie van een Kruispuntbank van de sociale zekerheid (1990): onverminderd de bevoegdheid van de gewone hoven en rechtbanken met het oog op de toepassing van de algemene beginselen inzake bescherming van de persoonlijke levenssfeer, kan de Voorzitter van het sectoraal comité van de sociale zekerheid ieder geschil aangaande de toepassing van deze wet en haar uitvoeringsmaatregelen aan de arbeidsgerechten voorleggen.


286

Sectoraal comité van het Rijksregister: Artikels 15 en 16 van de Wet van 8 augustus 1983 tot regeling van een Rijksregister van de natuurlijke personen, B.S. 21 april 1984. Zie ook het Koninklijk Besluit van 17 december 2003 (infra).

• Artikel 15 van de Wet van 8 augustus 1983 tot regeling van een Rijksregister van de

natuurlijke personen (1983): binnen de Commissie voor de bescherming van de persoonlijke levenssfeer wordt een sectoraal comité van het Rijksregister opgericht, dat belast is met de afgifte van de machtigingen bedoeld in de artikelen 5 en 8. Dat sectoraal comité is samengesteld uit drie leden van de Commissie, van wie de voorzitter of een ander door de Commissie in die hoedanigheid aangewezen lid, dat het comité voorzit, alsmede uit drie externe leden aangewezen door de Kamer van volksvertegenwoordigers overeenkomstig de door de Koning, bij een besluit vastgesteld na overleg in de Ministerraad, bepaalde voorwaarden en nadere regels. Bij staking van stemmen beslist de stem van de voorzitter. De werkingsregels van dat sectoraal comité worden, zonder afbreuk te doen aan deze wet, bepaald door of krachtens de wet. Die regels bekrachtigen het recht van de voorzitter van het sectoraal comité om een aan dat comité voorgelegd dossier voor de Commissie zelf te brengen en de beslissing van het comité zo nodig te herzien.

• Artikel 16 van de Wet van 8 augustus 1983 tot regeling van een Rijksregister van de natuurlijke personen (1983): het sectoraal comité van het Rijksregister bedoeld in artikel 15 is belast met de volgende taken : 1 machtiging verlenen om toegang tot of mededeling van de informatiegegevens uit het

Rijksregister te bekomen overeenkomstig artikel 5, alsook machtiging verlenen om het identificatienummer van het Rijksregister te gebruiken overeenkomstig artikel 8;

2 het toezicht verzekeren op de naleving van deze wet en van de wet van 19 juli 1991 betreffende de bevolkingsregisters en de identiteitskaarten;

3 alle aanbevelingen formuleren die het nuttig acht voor de uitvoering en de naleving van de huidige wet en haar uitvoeringsmaatregelen;

4 bijdragen tot het oplossen van elk principieel probleem of elk geschil betreffende de toepassing van de huidige wet en haar uitvoeringsmaatregelen;

5 zijn advies verstrekken omtrent de aanwijzing van de consulent inzake informatieveiligheid en bescherming van de persoonlijke levenssfeer voor het Rijksregister en voor het Register van de identiteitskaarten, bedoeld in artikel 6bis van de wet van 19 juli 1991 betreffende de bevolkingsregisters en de identiteitskaarten;

6 erop toezien dat alle wettelijke en reglementaire bepalingen inzake identiteitsdocumenten in acht genomen worden;

7 toezicht houden op het volledige proces van aanmaak en afgifte van de elektronische identiteitskaarten, alsook van de gekwalificeerde elektronische identiteits- en handtekeningcertificaten;

8 beschikken over een sterk beveiligde website waarop iedere belanghebbende de actieve rootcertificaten van de overheid, de conformiteit van zijn eigen gekwalificeerd certificaat, van de geaccrediteerde certificatiedienstverlener en van de identiteitskaartproducent, de identiteitskaartpersonalisator en de identiteitskaartinitialisator, bedoeld in de wet van 19 juli 1991 betreffende de bevolkingsregisters en de identiteitskaarten, kan nagaan;

9 aan de Minister van Binnenlandse Zaken elk voorstel voorleggen dat het nuttig acht met betrekking tot de veiligheid van de gegevens en de bescherming van de persoonlijke levenssfeer;

10 aan de Minister van Binnenlandse Zaken advies verstrekken omtrent de eventuele vervaardiging van veiligheidsdocumenten voor andere doeleinden;

11 aan de Minister van Binnenlandse Zaken advies verstrekken omtrent de machtiging van de geautomatiseerde controle van de identiteitskaart door elektronische of andere leesprocédés;

12 de gemeenten verplichten, wanneer de Belgische openbare overheden of de openbare en private instellingen van Belgisch recht die een opdracht van algemeen belang


287

vervullen, bedoeld in artikel 5, krachtens een wet, decreet of ordonnantie de gemeenten om andere dan de in artikel 3 vermelde informatiegegevens kunnen verzoeken, deze gegevens te verstrekken door toedoen van het Rijksregister; de aldus verstrekte gegevens worden niet in het Rijksregister bewaard;

13° ieder jaar, op de eerste dag van de gewone zitting, aan de federale Wetgevende Kamers verslag uitbrengen over de vervulling van zijn opdrachten gedurende het afgelopen jaar; dit verslag wordt gedrukt en verstuurd naar de Minister van Binnenlandse Zaken en naar de federale Wetgevende Kamers; het kan door iedere belanghebbende persoon worden geraadpleegd of verkregen.

In de gevallen bedoeld in 1° en 12° van het eerste lid stuurt het sectoraal comité binnen dertig dagen na zijn beslissing een afschrift ervan naar de Minister van Binnenlandse Zaken en de Minister van Justitie. De Koning bepaalt, bij een besluit vastgesteld na overleg in de Ministerraad en na advies van het sectoraal comité, in welke gevallen geen machtiging vereist is.

Wet van 8 augustus 1983 tot regeling van een Rijksregister van de natuurlijke personen (1983)

• Artikel 5 van de Wet van 8 augustus 1983 tot regeling van een Rijksregister van de natuurlijke personen (1983): de machtiging om toegang te hebben tot de informatiegegevens bedoeld in artikel 3, eerste en tweede lid, of om er mededeling van te verkrijgen, wordt verleend door het sectoraal comité van het Rijksregister ingesteld door artikel 15 : 1 aan de Belgische openbare overheden voor de informatiegegevens die zij gemachtigd

zijn te kennen uit hoofde van een wet, een decreet of een ordonnantie; 2 aan de openbare en private instellingen van Belgisch recht voor de informatie die zij

nodig hebben voor het vervullen van taken van algemeen belang die hen zijn toevertrouwd door of krachtens een wet, een decreet of een ordonnantie of voor taken die uitdrukkelijk als zodanig erkend worden door het voormelde sectoraal comité;

3 aan de natuurlijke- of rechtspersonen die handelen als onderaannemer van de Belgische openbare overheden en de openbare of private instellingen van Belgisch recht bedoeld in 1° en 2°; de eventuele onderaanneming gebeurt op verzoek, onder controle en verantwoordelijkheid van deze overheden en instellingen; deze onderaannemers moeten zich er formeel toe verbinden de bepalingen van de onderhavige wet en deze van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens te respecteren en zij nemen daartoe de nodige maatregelen, waarvan zij melding maken aan de personen waarvoor zij als onderaannemer optreden;

4 aan de notarissen en de gerechtsdeurwaarders voor de informatie die zij gemachtigd zijn te kennen uit hoofde van een wet, een decreet of een ordonnantie;

5 aan de Orde van apothekers met als doel aan hun leden de hoofdverblijfplaats mede te delen van een cliënt waaraan een geneesmiddel dat gevaarlijk is voor de gezondheid werd afgeleverd;

6 aan de Orde van de Vlaamse balies en de Ordre des barreaux francophones et germanophone, met als enig doel aan de advocaten de informatie mede te delen die zij nodig hebben voor de taken die zij als medewerkers van het gerecht vervullen.

Het sectoraal comité beoordeelt of de doeleinden, waarvoor de toegang tot de informatiegegevens van het Rijksregister van de natuurlijke personen wordt gevraagd of om er een mededeling van te verkrijgen, welbepaald, duidelijk omschreven en wettig zijn en, in voorkomend geval, of de gevraagde informatiegegevens uit het Rijksregister toereikend, ter zake dienend en niet overmatig zijn ten opzichte van die doeleinden. Vooraleer zijn machtiging te geven, gaat het sectoraal comité na of de toegang of de mededeling geschiedt in overeenstemming met deze wet, de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens en hun uitvoeringsbepalingen, alsmede met de andere pertinente normen inzake de bescherming van de persoonlijke levenssfeer of persoonsgegevens.


288

Het sectoraal comité stuurt binnen dertig dagen na zijn beslissing een afschrift ervan naar de minister van Binnenlandse Zaken en de minister van Justitie. De Koning bepaalt, bij een besluit vastgesteld na overleg in de Ministerraad en na advies van het sectoraal comité, in welke gevallen geen machtiging vereist is. De Koning kan uitsluitend toegang verlenen tot de inlichtingen betreffende de vreemdelingen die zijn ingeschreven in het wachtregister bedoeld in artikel 1, eerste lid, 2°, van de wet van 19 juli 1991 betreffende de bevolkingsregisters en de identiteitskaarten en tot wijziging van de wet van 8 augustus 1983 tot regeling van een Rijksregister van de natuurlijke personen, aan de hierna opgesomde overheden en aan de bij naam aangewezen diensten die er rechtstreeks onder ressorteren, voor de informatie die zij krachtens een wet of een decreet bevoegd zijn te kennen : 1 de minister tot wiens bevoegdheid de maatschappelijke dienstverlening behoort; 2 de federale minister en de gewestelijke ministers tot wier bevoegdheid de

tewerkstelling en de arbeid behoren; 3 de minister tot wiens bevoegdheid de toegang tot het grondgebied, het verblijf, de

vestiging en de verwijdering van vreemdelingen behoren; 4 de leidende ambtenaar van de Directie voor de Inschrijving der Voertuigen (DIV) die

afhangt van het Ministerie van Verkeerswezen en Infrastructuur; 5 de gemeenteoverheden, de gemeentelijke politiediensten en de voorzitters van de

openbare centra voor maatschappelijk welzijn; 6 de Commissaris-generaal voor de vluchtelingen en de staatlozen; 7 de Voorzitter van de vaste beroepscommissie voor vluchtelingen; 8 de Commandant van de Rijkswacht; 9 de magistraten van de hoven en rechtbanken van de rechterlijke macht; 10 de Eerste Voorzitter en de Auditeur-generaal van de Raad van State; 11 de Kruispuntbank van de sociale zekerheid en de instellingen van sociale zekerheid

zoals bepaald in artikel 2, eerste lid, 2°, van de wet van 15 januari 1990 houdende oprichting en organisatie van een Kruispuntbank van de sociale zekerheid;

12 de administrateur-generaal van de Veiligheid van de Staat, ressorterend onder de Minister van Justitie;

13 de Minister van Financiën; 14 de minister van Sociale Zaken; 15 de federale minister en de gewestelijke ministers tot wier bevoegdheid het leefmilieu

behoort; 16 het Centrum voor gelijkheid van kansen en voor racismebestrijding; 17 de gemeenschapsministers tot wier bevoegdheid het onderwijs behoort.

• Artikel 8 van de Wet van 8 augustus 1983 tot regeling van een Rijksregister van de natuurlijke personen (1983): § 1. de machtiging om het identificatienummer van het Rijksregister te gebruiken wordt verleend door het sectoraal comité van het Rijksregister bedoeld in artikel 15, aan de overheden, de instellingen en de personen die zijn bepaald in artikel 5, eerste lid. Het sectoraal comité stuurt binnen dertig dagen na zijn beslissing een afschrift ervan naar de minister van Binnenlandse Zaken en de minister van Justitie. De Koning bepaalt, bij een besluit vastgesteld na overleg in de Ministerraad en na advies van het sectoraal comité, in welke gevallen geen machtiging vereist is. De machtiging om het identificatienummer van het Rijksregister te gebruiken, houdt de verplichting in dit identificatienummer in de contacten met het Rijksregister van de natuurlijke personen ook aan te wenden. De aanvraag tot deze machtiging vermeldt op specifieke wijze de netwerkverbindingen die voortvloeien uit het gebruik van het identificatienummer van het Rijksregister, teneinde de publicatie van het kadaster van de netwerkverbindingen door het sectoraal comité mogelijk te maken. Elke wijziging aan de beoogde netwerkverbindingen die voortvloeien uit het gebruik van het identificatienummer van het Rijksregister moet voorafgaandelijk ter goedkeuring worden voorgelegd aan het sectoraal comité. Het sectoraal comité stuurt binnen dertig dagen na zijn beslissing een afschrift ervan naar de minister van Binnenlandse Zaken en de minister van Justitie. De Koning bepaalt, bij een besluit


289

vastgesteld na overleg in de Ministerraad en na advies van het sectoraal comité, in welke gevallen geen machtiging vereist is. Het vorige lid is niet van toepassing op netwerkverbindingen en mededelingen van persoonsgegevens waarvoor een machtiging is verleend door een sectoraal comité opgericht bij de Commissie voor de bescherming van de persoonlijke levenssfeer. § 2. Bij machtiging tot het gebruik van het identificatienummer van het Rijksregister moeten de bepalingen van artikel 10 worden nageleefd. Het identificatienummer van het Rijksregister mag niet worden gebruikt zonder machtiging of voor andere doeleinden dan die waarvoor die machtiging is verleend.

Sectoraal comité van de Kruispuntbank van Ondernemingen, Wet van 16 januari 2003 tot modernisering van het handelsregister, tot oprichting van erkende ondernemingsloketten en houdende diverse bepalingen. B.S. 5 februari 2003. Zie ook het Koninklijk Besluit van 17 december 2003 (infra).

• Artikel 27 van de Wet van 16 januari 2003 tot oprichting van een Kruispuntbank van

Ondernemingen, tot modernisering van het handelsregister, tot oprichting van erkende ondernemingsloketten en houdende diverse bepalingen (2003): binnen de Commissie voor de bescherming van de persoonlijke levenssfeer wordt een sectoraal comité voor de Kruispuntbank van Ondernemingen, "Toezichtscomité genaamd" opgericht, dat belast is met de afgifte van de machtiging bedoeld in artikel 18, § 2. Het comité verstrekt tevens de adviezen bedoeld in de artikelen 6, § 2, 18, § 1, en 20, binnen dertig dagen na de aanhangigmaking door de beheersdienst. Bij ontstentenis van advies binnen de voorgeschreven termijn, wordt het advies geacht het voorstel te volgen dat de beheersdienst in de adviesaanvraag had geformuleerd. Dat sectoraal comité is samengesteld uit drie leden van de Commissie, van wie de voorzitter of een ander, door de Commissie in die hoedanigheid aangewezen lid, dat het comité voorzit, alsmede uit drie externe leden aangewezen door de Kamer van volksvertegenwoordigers overeenkomstig de door de Koning, bij een besluit vastgesteld na overleg in de Ministerraad, bepaalde voorwaarden en nadere regels. Bij staking van stemmen beslist de stem van de voorzitter. De werkingsregels van dat sectoraal comité worden, zonder afbreuk te doen aan deze wet, bepaald in of krachtens de wet. Die regels bekrachtigen het recht van de voorzitter van het sectoraal comité om een aan dat comité voorgelegd dossier voor de Commissie zelf te brengen en de beslissing van het comité zo nodig te herzien.

• Artikel 28 van de Wet van 16 januari 2003 tot oprichting van een Kruispuntbank van Ondernemingen, tot modernisering van het handelsregister, tot oprichting van erkende ondernemingsloketten en houdende diverse bepalingen (2003): in afwachting van de installatie en de benoeming van de leden van het Toezichtscomité, is de Commissie voor de Bescherming van de Persoonlijke Levenssfeer belast met de opdrachten die aan het Toezichtscomité worden toebedeeld krachtens deze wet. De termijn van 30 dagen voorzien om een advies te verlenen en bepaald door artikel 27 wordt beperkt tot 20 dagen voor wat betreft de besluiten die prioritair nodig zijn in het raam van de opstartfase van de Kruispuntbank voor Ondernemingen.

• Artikel 6 § 2 van de Wet van 16 januari 2003 tot oprichting van een Kruispuntbank van Ondernemingen, tot modernisering van het handelsregister, tot oprichting van erkende ondernemingsloketten en houdende diverse bepalingen (2003): de Koning kan, na advies van het in artikel 27 bedoelde toezichtcomité en bij een besluit vastgesteld na overleg in de Ministerraad, de in § 1 opgesomde gegevens aanvullen met andere gegevens vereist voor de identificatie van ondernemingen of van gemeenschappelijk belang voor meerdere overheidsdiensten.

• Artikel 20 van de Wet van 16 januari 2003 tot oprichting van een Kruispuntbank van Ondernemingen, tot modernisering van het handelsregister, tot oprichting van erkende


290

ondernemingsloketten en houdende diverse bepalingen (2003): de Koning bepaalt, na advies van het toezichtscomité, welke in artikel 17 opgesomde gegevens van de Kruispuntbank van Ondernemingen, gelet op hun openbaar karakter, vrij mogen worden gecommercialiseerd en onder welke voorwaarden en waarborgen. Enkel de beheersdienst mag deze basisgegevens aan ondernemingen verstrekken.

• Artikel 18 § 1 van de Wet van 16 januari 2003 tot oprichting van een Kruispuntbank van Ondernemingen, tot modernisering van het handelsregister, tot oprichting van erkende ondernemingsloketten en houdende diverse bepalingen (2003): § 1. De Koning stelt, op advies van de coördinatiecommissie en van het toezichtscomité, bedoeld in de artikelen 26 en 27, de nadere regelen voor de toegang tot de Kruispuntbank van Ondernemingen vast.

Sectoraal Toezichtscomité Phenix: wet van 10 augustus 2005 tot oprichting van het informatiesysteem Phenix, B.S. 1 september 2005. • Artikel 22 van de Wet van 10 augustus 2005 tot oprichting van het informatiesysteem

Phenix (2005): binnen de Commissie voor de bescherming van de persoonlijke levenssfeer wordt een sectoraal toezichtscomité " Phenix " opgericht, samengesteld uit : - 3 vaste leden en 3 plaatsvervangende leden aangewezen door en uit de Commissie

voor de bescherming van de persoonlijke levenssfeer, onder wie ten minste een magistraat;

- 3 vaste leden, onder wie de voorzitter, en 3 plaatsvervangende leden, met de hoedanigheid van magistraat van de rechterlijke orde, werkend, op rust gesteld of emeritus, benoemd door de Kamer van volksvertegenwoordigers op voordracht van de Ministerraad, na gelijkluidend en gezamenlijk advies van de eerste voorzitter van en van de procureur-generaal bij het Hof van Cassatie.

De voorzitter wordt gekozen onder de magistraten van de rechterlijke orde, die een duidelijke deskundigheid hebben inzake de bescherming van de persoonlijke levenssfeer en de bescherming van de persoonsgegevens. Het toezichtscomité is samengesteld uit een gelijk aantal leden van de Nederlandse taalrol en van de Franse taalrol. De leden worden voor een hernieuwbare termijn van 6 jaar benoemd. Zij zijn gebonden door het beroepsgeheim. Binnen de perken van hun bevoegdheden ontvangen zij van niemand instructies. Zij kunnen niet uit hun ambt worden ontheven naar aanleiding van de meningen die zij uiten of van de daden die zij stellen om hun functie uit te oefenen. De bevoegde tuchtrechtelijke overheid stelt het toezichtscomité in kennis van elke tuchtrechtelijke vervolging tegen een van zijn leden en van de redenen die hieraan ten grondslag liggen. Ingeval die feiten verband houden met de werkzaamheden van het lid in het toezichtscomité, verleent het toezichtscomité een advies dat bij het tuchtdossier wordt gevoegd.

• Artikel 23 van de Wet van 10 augustus 2005 tot oprichting van het informatiesysteem Phenix (2005): ingeval de voorzitter zijn ambt niet kan vervullen, wordt hij vervangen door het lid met de meeste dienstanciënniteit en, onder de leden met dezelfde dienstanciënniteit, door het oudste lid. De Koning bepaalt het bedrag van de zitpenningen en van de verplaatsingskosten dat kan worden toegekend aan de leden.Artikel 24

• Artikel 24 van de Wet van 10 augustus 2005 tot oprichting van het informatiesysteem Phenix (2005): § 1. Het toezichtscomité verleent advies op eigen initiatief of op verzoek van de regering, van de Wetgevende Kamers, van het beheerscomité, van de Minister van Justitie of van het Hof van Cassatie, van andere gerechtelijke instanties of van de Hoge Raad voor de Justitie.


291

Het toezichtscomité ziet erop toe dat de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van de persoonsgegevens, in het kader van de gegevensbank Phenix wordt nageleefd. Onverminderd enige vordering voor de rechtbanken onderzoekt het toezichtscomité de getekende en gedateerde klachten en verzoeken betreffende het informatiesysteem Phenix. Ingeval zij ontvankelijk zijn, verricht het comité elke bemiddelingsopdracht die het nuttig acht. Het verleent advies over de gegrondheid van de klachten en verzoeken. Het comité bezorgt jaarlijks een verslag over de klachtenbehandeling aan de Commissie voor de bescherming van de persoonlijke levenssfeer. § 2. In afwijking van artikel 31bis, § 3, derde lid, laatste zin, van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens wordt het onderzoek van een dossier door het toezichtscomité in het kader van de eraan verleende bevoegdheden in of krachtens deze wet opgeschort op verzoek van twee leden van het comité teneinde het vooraf voor te leggen aan de Commissie voor de bescherming van de persoonlijke levenssfeer. De Commissie beschikt over een maand te rekenen vanaf de ontvangst van het dossier om zich uit te spreken. Het toezichtscomité beschikt dan over vijftien dagen te rekenen vanaf de ontvangst van het advies van de Commissie om zich uit te spreken. Het standpunt van de Commissie wordt uitdrukkelijk vermeld in het advies van het toezichtscomité. In voorkomend geval omschrijft het comité uitdrukkelijk de redenen die ertoe hebben geleid dat het standpunt van de Commissie niet of slechts gedeeltelijk is gevolgd. Indien de Commissie zich niet uitspreekt binnen de termijn van een maand bedoeld in het tweede lid, spreekt het toezichtscomité zich onverwijld uit. Indien het toezichtscomité zich niet uitspreekt binnen vijftien dagen te rekenen vanaf de ontvangst van het advies van de Commissie, wordt het advies van het comité geacht conform dat van de Commissie te zijn. De Commissie bezorgt de steller van het verzoek om advies hoe dan ook onverwijld een afschrift van het advies dat zij verleent. § 3. Het toezichtscomité doet bij het parket aangifte van de inbreuken, waarvan het kennis heeft, op deze wet.

• Artikel 25 van de Wet van 10 augustus 2005 tot oprichting van het informatiesysteem Phenix (2005): Het toezichtscomité beraadslaagt alleen op geldige wijze als de meerderheid van zijn leden aanwezig is.

• Artikel 26 van de Wet van 10 augustus 2005 tot oprichting van het informatiesysteem Phenix (2005): Het toezichtscomité heeft bij de uitoefening van zijn functie toegang tot alle in Phenix opgenomen gegevens.

Statistisch Toezichtscomité: wet van 4 juli 1962 betreffende de openbare statistiek, B.S. 20 juli 1962 (gewijzigd door de wet van 22 maart 2006 betreffende, met name het Sectoraal comité) Zie ook het Koninklijk besluit van 7 juni 2007 tot vaststelling van de nadere regels met betrekking tot de samenstelling en de werking van het Statistisch Toezichtscomité opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer, B.S., 20 juni 2007 (hieronder).

HOOFDSTUK VII. – Statistisch Toezichtscomité

• Artikel 33 van de wet van 22 maart 2006 tot wijziging van de wet van 4 juli 1962 betreffende de openbare statistiek en van de wet van 8 augustus 1983 tot regeling van een Rijksregister van de natuurlijke personen (2006): In dezelfde wet, gewijzigd bij de wetten van 1 augustus 1985, 21 december 1994 en 2 januari 2001, wordt een hoofdstuk VII ter ingevoegd, bestaande uit de artikelen 24sexies tot 24octies, luidende : " Hoofdstuk VIIter - Het Statistisch Toezichtscomité "


292

• Artikel 34 van de wet van 22 maart 2006 tot wijziging van de wet van 4 juli 1962

betreffende de openbare statistiek en van de wet van 8 augustus 1983 tot regeling van een Rijksregister van de natuurlijke personen (2006): In dezelfde wet wordt een artikel 24sexies ingevoegd, luidende : " Art. 24sexies. - In de schoot van de Commissie voor de bescherming van de persoonlijke levenssfeer wordt een Statistisch Toezichtscomité opgericht. Dit Comité bestaat uit drie leden van de Commissie, waaronder de Voorzitter of, in geval van afwezigheid of verhindering van de Voorzitter, een ander lid dat eventueel in die hoedanigheid door de Commissie wordt aangewezen, die het Comité voorzit, alsook uit drie externe leden aangewezen door de Kamer van volksvertegenwoordigers overeenkomstig de voorwaarden en de nadere regels vastgelegd bij koninklijk besluit, vastgesteld na overleg in de Ministerraad. Bij staking van stemmen is de stem van de Voorzitter doorslaggevend. In bijzondere gevallen kan het een beroep doen op bijkomende experts. De Directeur-generaal van de Algemene Directie Statistiek en Economische Informatie en de afgevaardigde voor de gegevensbescherming hebben zitting met raadgevende stem. Onverminderd de bepalingen van artikel 31bis van voormelde wet van 8 december 1992, worden de bijkomende werkingsregels van het Statistisch Toezichtscomité door de Koning bepaald. ".

• Artikel 35 van de wet van 22 maart 2006 tot wijziging van de wet van 4 juli 1962 betreffende de openbare statistiek en van de wet van 8 augustus 1983 tot regeling van een Rijksregister van de natuurlijke personen (2006): In dezelfde wet wordt een artikel 24septies ingevoegd, luidende : " Art. 24septies. - Onverminderd de bepalingen van artikel 31bis van voormelde wet van 8 december 1992 is het Statistisch Toezichtscomité belast met de volgende taken : 1° toegang verlenen tot de gegevens overeenkomstig artikel 15; 2° zonder afbreuk te doen aan de bevoegdheden van de Commissie voor de bescherming van de persoonlijke levenssfeer, alle aanbevelingen formuleren die nuttig zijn voor de uitvoering en de naleving door het Nationaal Instituut voor de Statistiek van voormelde wet van 8 december 1992 en haar uitvoeringsmaatregelen. ".

• Artikel 36 van de wet van 22 maart 2006 tot wijziging van de wet van 4 juli 1962 betreffende de openbare statistiek en van de wet van 8 augustus 1983 tot regeling van een Rijksregister van de natuurlijke personen (2006): In dezelfde wet wordt een artikel 24octies ingevoegd, luidende : " Art. 24octies. - In het kader van de uitvoering van zijn taken kan het Statistisch Toezichtscomité onderzoeken instellen, een of meer van zijn leden belasten met het verrichten van die onderzoeken en een beroep doen op deskundigen. Het Toezichtscomité kan mededeling eisen van alle documenten die hem bij hun onderzoek van nut kunnen zijn. De Voorzitter van het Statistisch Toezichtscomité alsook de andere leden van het Comité en de daarbij betrokken deskundigen zijn gehouden tot het statistisch geheim en het beroepsgeheim zoals bepaald in artikel 18 met betrekking tot alles wat ze uit hoofde van hun functie hebben kunnen vernemen. "

Koninklijk besluit van 7 juni 2007 tot vaststelling van de nadere regels met betrekking tot de samenstelling en de werking van het Statistisch Toezichtscomité opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer, B.S. 20 juni 2007.

• Artikel 1 van het Koninklijk besluit van 7 juni 2007 tot vaststelling van de nadere regels met

betrekking tot de samenstelling en de werking van het Statistisch Toezichtscomité opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer (2007): de Federale Overheidsdienst Economie, KMO, Middenstand en Energie wordt voor het Statistisch Toezichtscomité beschouwd als beheersinstelling in de zin van artikel 31bis,


293

§ 3, van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens.

• Artikel 2 van het Koninklijk besluit van 7 juni 2007 tot vaststelling van de nadere regels met betrekking tot de samenstelling en de werking van het Statistisch Toezichtscomité opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer (2007): § 1. Benevens de leden van de Commissie voor de bescherming van de persoonlijke levenssfeer, bedoeld in artikel 24sexies, tweede lid, van de wet van 4 juli 1962 betreffende de openbare statistiek, is het Statistisch Toezichtscomité samengesteld uit: 1 een extern lid met een deskundigheid in openbare statistiek; 2 een extern lid met een bijzondere expertise in de juridische ondersteuning van de

verwerking en uitwisseling van statistische gegevens; 3 een extern lid met een bijzondere expertise in de bescherming van gegevens met een

statistisch doeleinde. § 2. Onverminderd artikel 3, tweede lid, kan elk extern lid van het Statistisch Toezichtscomité geen deel uitmaken van een ander sectoraal comité opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer.

• Artikel 3 van het Koninklijk besluit van 7 juni 2007 tot vaststelling van de nadere regels met betrekking tot de samenstelling en de werking van het Statistisch Toezichtscomité opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer (2007): de externe leden bedoeld in artikel 2, § 1, worden voor een hernieuwbare termijn van zes jaar benoemd door de Kamer van Volksvertegenwoordigers, uit een dubbeltal dat door de Ministerraad voor elk van de vacante mandaten wordt voorgedragen. Ze kunnen van hun opdracht worden ontheven door de Kamer van Volksvertegenwoordigers. Onder dezelfde voorwaarden wordt voor elk extern lid bedoeld in artikel 2, § 1, één plaatsvervangend lid benoemd. Dit plaatsvervangend lid vervangt het effectief lid indien dit verhinderd of afwezig is, of in afwachting van zijn vervanging. Wanneer het mandaat van een extern lid een einde neemt vóór de vastgestelde datum, wordt binnen de drie maanden in de vervanging van de titularis voorzien. Het nieuwe externe lid voleindigt het mandaat van degene die het vervangt. De voorzitter van het Statistisch Toezichtscomité en de overige leden afkomstig uit de Commissie, worden aangewezen voor een hernieuwbare termijn van maximum zes jaar.

• Artikel 4 van het Koninklijk besluit van 7 juni 2007 tot vaststelling van de nadere regels met betrekking tot de samenstelling en de werking van het Statistisch Toezichtscomité opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer (2007): om tot extern lid van het Statistisch Toezichtscomité benoemd te kunnen worden en het te kunnen blijven, moeten de kandidaten aan de volgende voorwaarden voldoen: 1 Belg of onderdaan van de Europese Unie zijn; 2 de burgerlijke en politieke rechten genieten; 3 onafhankelijk zijn van de betrokken beheersinstelling en niet onder het hiërarchisch

gezag staan van de Minister die de betrokken beheersinstelling onder zijn bevoegdheid heeft;

4 geen lid zijn van het Europees of nationaal parlement, noch van een Gemeenschaps- of Gewestparlement;

5 geen deel uitmaken van het personeel van een instelling die vertegenwoordigd is in het Coördinatiecomité van het Nationaal Instituut voor de Statistiek.

§ 2. De in § 1, 1°, 2°, 3° en 4° bedoelde voorwaarden gelden onverkort voor de Voorzitter van het Statistisch Toezichtscomité en de overige leden afkomstig uit de Commissie.

• Artikel 5 van het Koninklijk besluit van 7 juni 2007 tot vaststelling van de nadere regels met betrekking tot de samenstelling en de werking van het Statistisch Toezichtscomité opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer (2007): het Statistisch Toezichtscomité bestaat uit evenveel Franstalige leden als Nederlandstalige leden.


294

• Artikel 6 van het Koninklijk besluit van 7 juni 2007 tot vaststelling van de nadere regels met

betrekking tot de samenstelling en de werking van het Statistisch Toezichtscomité opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer (2007): de artikelen 24, §§ 6 en 7, 27, 31bis, § 4 en 36, tweede en derde lid, van voornoemde wet van 8 december 1992 zijn van toepassing op de leden van het Statistisch Toezichtscomité.

• Artikel 7 van het Koninklijk besluit van 7 juni 2007 tot vaststelling van de nadere regels met betrekking tot de samenstelling en de werking van het Statistisch Toezichtscomité opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer (2007): onverminderd artikel 31bis, § 2, eerste lid, laatste zin van voornoemde wet van 8 december 1992, verleent het Statistisch Toezichtscomité advies en machtigingen bij meerderheid der stemmen. Het Statistisch Toezichtscomité kan slechts geldig beraadslagen voorzover ten minste 2 leden van de Commissie onder wie steeds de voorzitter of diens plaatsvervanger, en 2 externe leden aanwezig zijn. Indien er op het ogenblik van de beraadslaging geen pariteit bestaat tussen de leden van de Commissie enerzijds en de externe leden anderzijds, wordt de pariteit hersteld volgens een regeling beschreven in het huishoudelijk reglement van het Statistisch Toezichtscomité.

• Artikel 8 van het Koninklijk besluit van 7 juni 2007 tot vaststelling van de nadere regels met betrekking tot de samenstelling en de werking van het Statistisch Toezichtscomité opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer (2007): ingeval van toepassing van artikel 31bis, § 5, tweede lid van voornoemde wet van 8 december 1992, worden de werkingskosten van het betrokken sectoraal comité gedragen door de beheersinstelling, met uitzondering van de vergoedingen en terugbetalingen van kosten uitgekeerd aan de voorzitter en aan de leden van het Statistisch Toezichtscomité, die ten laste van de Commissie blijven.

• Artikel 9 van het Koninklijk besluit van 7 juni 2007 tot vaststelling van de nadere regels met betrekking tot de samenstelling en de werking van het Statistisch Toezichtscomité opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer (2007): de voorzitter van het Statistisch Toezichtscomité zorgt, in overleg met de andere leden van de Commissie in het comité, voor de coördinatie tussen de werkzaamheden van het Statistisch Toezichtscomité en die van de Commissie voor de bescherming van de persoonlijke levenssfeer; hij waakt over de verenigbaarheid van de aan het Statistisch Toezichtscomité voorgelegde ontwerpbeslissingen met de beginselen en normen inzake de bescherming van de persoonlijke levenssfeer. De nadere werkingsregels van het Statistisch Toezichtscomité zijn, overeenkomstig artikel 31bis van voornoemde wet van 8 december 1992, bepaald door datzelfde artikel, met uitzondering van de afwijkingen die, uitsluitend ten behoeve van het sectoraal comité van de sociale zekerheid, worden voorzien ten opzichte van de §§ 2 en 5.

• Artikel 10 van het Koninklijk besluit van 7 juni 2007 tot vaststelling van de nadere regels met betrekking tot de samenstelling en de werking van het Statistisch Toezichtscomité opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer (2007): de voorzitter van het Statistisch Toezichtscomité kan, binnen een termijn van 3 werkdagen te tellen vanaf de dag waarop zijn comité zich uitgesproken heeft, het dossier overmaken aan de Commissie om het opnieuw te laten onderzoeken, indien hij vaststelt dat de beslissing van zijn comité niet strookt met de beginselen en normen inzake de bescherming van de persoonlijke levenssfeer. In dit geval wordt het gehele dossier zonder verwijl aan de Commissie overgemaakt. De Commissie doet uitspraak binnen de 30 dagen te rekenen vanaf de datum van de overmaking van het dossier aan de Commissie. Indien deze termijn niet wordt nageleefd, wordt de Commissie geacht in te stemmen met de beslissing van het comité.


295

Ingeval de Commissie beslist de door het Statistisch Toezichtscomité genomen beslissing te herzien, wordt haar beslissing overgemaakt aan de instanties bedoeld in artikel 13, tweede en derde lid.

• Artikel 11 van het Koninklijk besluit van 7 juni 2007 tot vaststelling van de nadere regels met betrekking tot de samenstelling en de werking van het Statistisch Toezichtscomité opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer (2007): het Statistisch Toezichtscomité stelt zijn huishoudelijk reglement vast. Dit huishoudelijk reglement wordt voor goedkeuring aan de Commissie voorgelegd.

• Artikel 12 van het Koninklijk besluit van 7 juni 2007 tot vaststelling van de nadere regels met betrekking tot de samenstelling en de werking van het Statistisch Toezichtscomité opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer (2007): het Statistisch Toezichtscomité kan de aanvrager of de betrokken beheersinstelling alle aanvullende inlichtingen vragen die het nuttig acht.

• Artikel 13 van het Koninklijk besluit van 7 juni 2007 tot vaststelling van de nadere regels met betrekking tot de samenstelling en de werking van het Statistisch Toezichtscomité opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer (2007): de adviezen en de machtigingen van het Statistisch Toezichtscomité worden met redenen omkleed. Een afschrift van elk advies wordt na afloop van de termijn bedoeld in artikel 10, eerste lid, overgemaakt aan de Minister die de betrokken beheersinstelling onder zijn bevoegdheid heeft. Een afschrift van de machtiging of van de weigering tot machtiging wordt na afloop van de termijn bedoeld in artikel 10, eerste lid, overgemaakt aan de aanvrager die erom heeft verzocht en aan de betrokken beheersinstelling.

• Artikel 14 van het Koninklijk besluit van 7 juni 2007 tot vaststelling van de nadere regels met betrekking tot de samenstelling en de werking van het Statistisch Toezichtscomité opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer (2007): de adviezen en de machtigingen van het Statistisch Toezichtscomité worden binnen de maand bekendgemaakt op de internetsite van de Commissie. De adviezen en de machtigingen van het Statistisch Toezichtscomité of een referentie naar hun vindplaats op de internetsite van de Commissie worden bekendgemaakt in het verslag dat de Commissie opstelt op grond van artikel 32, § 2, van voornoemde wet van 8 december 1992.

• Artikel 15 van het Koninklijk besluit van 7 juni 2007 tot vaststelling van de nadere regels met betrekking tot de samenstelling en de werking van het Statistisch Toezichtscomité opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer (2007): behalve indien voor het Statistisch Toezichtscomité uitvoering wordt gegeven aan artikel 31bis, § 5, tweede lid, van voornoemde wet van 8 december 1992, wordt het secretariaat van het Statistisch Toezichtscomité waargenomen door het secretariaat van de Commissie voor de bescherming van de persoonlijke levenssfeer.

• Artikel 16 van het Koninklijk besluit van 7 juni 2007 tot vaststelling van de nadere regels met betrekking tot de samenstelling en de werking van het Statistisch Toezichtscomité opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer (2007): de Commissie voor de bescherming van de persoonlijke levenssfeer is tot de installatie en de benoeming van de leden van het Statistisch Toezichtscomité, belast met de opdrachten die aan het Statistisch Toezichtscomité worden toebedeeld door de wet van 4 juli 1962 betreffende de openbare statistiek.

• Artikel 17 van het Koninklijk besluit van 7 juni 2007 tot vaststelling van de nadere regels met betrekking tot de samenstelling en de werking van het Statistisch Toezichtscomité


296

opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer (2007): treden in werking op de dag van de bekendmaking van dit besluit in het Belgisch Staatsblad : 1 de artikelen 17 tot 18, 33 tot 36 van de wet van 22 maart 2006 tot wijziging van de wet

van 4 juli 1962 betreffende de openbare statistiek en van de wet van 8 augustus 1983 tot regeling van een Rijksregister van de natuurlijke personen;

2 dit besluit.

Koninklijk besluit van 17 december 2003 tot vaststelling van de nadere regels met betrekking tot de samenstelling en de werking van bepaalde sectorale comités opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer.

• Artikel 1 van het Koninklijk besluit van 17 december 2003 tot vaststelling van de nadere

regels met betrekking tot de samenstelling en de werking van bepaalde sectorale comités opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer (2003): § 1. Voor de toepassing van dit besluit dient te worden verstaan onder " de wet van 8 december 1992 " : de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens. § 2. Voor de toepassing van dit besluit dient te worden verstaan onder "sectorale comités": - het Sectoraal Comité voor het Rijksregister opgericht binnen de Commissie voor de

bescherming van de persoonlijke levenssfeer, overeenkomstig artikel 15 van de wet van 8 augustus 1983 tot regeling van een Rijksregister van de natuurlijke personen;

- het Sectoraal Comité voor de Kruispuntbank van Ondernemingen opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer, overeenkomstig artikel 27 van de wet van 16 januari 2003 tot oprichting van een Kruispuntbank van Ondernemingen, tot modernisering van het handelsregister, tot oprichting van erkende ondernemingsloketten en houdende diverse bepalingen;

- het Sectoraal Comité voor de Federale Overheid opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer, overeenkomstig artikel 36bis van de wet van 8 december 1992.


regels met betrekking tot de samenstelling en de werking van bepaalde sectorale comités opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer (2003): de Federale Overheidsdienst Economie, KMO, Middenstand en Energie wordt voor het Sectoraal Comité voor de Kruispuntbank van Ondernemingen beschouwd als beheersinstelling in de zin van artikel 31bis, § 3, van de wet van 8 december 1992. De Federale Overheidsdienst Binnenlandse Zaken wordt voor het Sectoraal Comité voor het Rijksregister beschouwd als beheersinstelling in de zin van artikel 31bis, § 3, van de wet van 8 december 1992.

• Artikel 3 van het Koninklijk besluit van 17 december 2003 tot vaststelling van de nadere regels met betrekking tot de samenstelling en de werking van bepaalde sectorale comités opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer (2003): naast de leden van de Commissie voor de bescherming van de persoonlijke levenssfeer bedoeld in artikel 31bis, § 2, van de wet van 8 december 1992, is elk sectoraal comité afzonderlijk samengesteld uit : 1 een extern lid met een expertise in de juridische domeinen gerelateerd aan de

bijzondere wetgevingen die voorzien in de oprichting van een sectoraal comité; 2 een extern lid met een bijzondere professionele en praktische ervaring in het gebruik

van gegevens in de domeinen gerelateerd aan de bijzondere wetgevingen die voorzien de oprichting van een sectoraal comité;

3 een extern lid met een bijzondere expertise in e-government en administratieve vereenvoudiging. E-government is een grondige herdenking van de relaties tussen de openbare diensten, de burgers en de ondernemingen door gebruik te maken van opportuniteiten geboden door moderne technologieën, internet en nieuwe media.


297

Onverminderd artikel 4, tweede lid, kan elk extern lid slechts deel uitmaken van één sectoraal comité opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer.

• Artikel 4 van het Koninklijk besluit van 17 december 2003 tot vaststelling van de nadere regels met betrekking tot de samenstelling en de werking van bepaalde sectorale comités opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer (2003): de externe leden bedoeld in artikel 3, eerste lid, worden voor een hernieuwbare termijn van zes jaar benoemd door de Kamer van Volksvertegenwoordigers, uit een dubbeltal dat door de Ministerraad voor elk van de vacante mandaten wordt voorgedragen. Ze kunnen van hun opdracht worden ontheven door de Kamer van volksvertegenwoordigers. Onder dezelfde voorwaarden wordt voor elk extern lid bedoeld in artikel 3, eerste lid, één plaatsvervangend lid benoemd. Dit plaatsvervangend lid vervangt het effectief lid indien deze verhinderd of afwezig is, of in afwachting van zijn vervanging. Wanneer het mandaat van een extern lid een einde neemt vóór de vastgestelde datum, wordt binnen de drie maanden in de vervanging van de titularis voorzien. Het nieuw extern lid voleindigt het mandaat van degene die hij vervangt. De voorzitter van het sectoraal comité en de overige leden afkomstig uit de Commissie, worden aangewezen voor een hernieuwbare termijn van maximum zes jaar.

• Artikel 5 van het Koninklijk besluit van 17 december 2003 tot vaststelling van de nadere regels met betrekking tot de samenstelling en de werking van bepaalde sectorale comités opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer (2003): § 1. Om tot extern lid van het desbetreffende sectoraal comité benoemd te kunnen worden en het te kunnen blijven, moeten de kandidaten aan de volgende voorwaarden voldoen : 1. Belg of onderdaan van de Europese Unie zijn; 2. de burgerlijke en politieke rechten genieten; 3 onafhankelijk zijn van de betrokken beheersinstelling en niet onder het hiërarchisch


4. geen lid zijn van het Europees of nationaal parlement, noch van een Gemeenschaps- of Gewestraad.

§ 2. De in § 1 bedoelde voorwaarden gelden onverkort voor de Voorzitter van het sectoraal comité en de overige leden afkomstig uit de Commissie.

• Artikel 6 van het Koninklijk besluit van 17 december 2003 tot vaststelling van de nadere regels met betrekking tot de samenstelling en de werking van bepaalde sectorale comités opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer (2003): elk sectoraal comité bestaat uit evenveel Franstalige leden als Nederlandstalige leden.

• Artikel 7 van het Koninklijk besluit van 17 december 2003 tot vaststelling van de nadere regels met betrekking tot de samenstelling en de werking van bepaalde sectorale comités opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer (2003): de artikelen 24, §§ 6 en 7, 27, 31bis, § 4 en 36, tweede en derde lid, van de wet van 8 december 1992 zijn van toepassing op de leden van de sectorale comités.

• Artikel 8 van het Koninklijk besluit van 17 december 2003 tot vaststelling van de nadere regels met betrekking tot de samenstelling en de werking van bepaalde sectorale comités opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer (2003): onverminderd artikel 31bis, § 2, eerste lid, laatste zin van de wet van 8 december 1992, verlenen de sectorale comités advies en machtigingen bij meerderheid der stemmen. De sectorale comités kunnen slechts geldig beraadslagen voorzover ten minste 2 leden van de Commissie onder wie steeds de voorzitter of diens plaatsvervanger, en 2 externe


298

leden aanwezig zijn. Indien er op het ogenblik van de beraadslaging geen pariteit bestaat tussen de leden van de Commissie enerzijds en de externe leden anderzijds, wordt de pariteit hersteld volgens een regeling beschreven in het huishoudelijk reglement van het betrokken sectoraal comité.

• Artikel 9 van het Koninklijk besluit van 17 december 2003 tot vaststelling van de nadere regels met betrekking tot de samenstelling en de werking van bepaalde sectorale comités opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer (2003): indien de voorzitter verhinderd of afwezig is, wordt zijn functie uitgeoefend door het ander lid van de Commissie met de grootste anciënniteit of, bij gelijkheid van anciënniteit van de Commissieleden, door de oudste onder hen.

• Artikel 10 van het Koninklijk besluit van 17 december 2003 tot vaststelling van de nadere regels met betrekking tot de samenstelling en de werking van bepaalde sectorale comités opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer (2003): in geval van toepassing van artikel 31bis, § 5, tweede lid, van de wet van 8 december 1992, draagt de beheersinstelling de werkingskosten van het betrokken sectoraal comité, met uitzondering van de vergoedingen en terugbetalingen van kosten uitgekeerd aan de voorzitter en aan de leden van het sectoraal comité, die ten laste van de Commissie blijven.

• Artikel 11 van het Koninklijk besluit van 17 december 2003 tot vaststelling van de nadere regels met betrekking tot de samenstelling en de werking van bepaalde sectorale comités opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer (2003): de voorzitter van elk sectoraal comité zorgt, in overleg met de andere leden van de Commissie in het comité, voor de coördinatie tussen de werkzaamheden van het sectoraal comité en die van de Commissie voor de bescherming van de persoonlijke levenssfeer; hij waakt over de verenigbaarheid van de aan het sectoraal comité voorgelegde ontwerpbeslissingen met de beginselen en normen inzake de bescherming van de persoonlijke levenssfeer. De nadere werkingsregels van elk sectoraal comité zijn, overeenkomstig artikel 31bis van de wet van 8 december 1992, bepaald door datzelfde artikel, met uitzondering van de afwijkingen die, uitsluitend ten behoeve van het sectoraal comité van de sociale zekerheid, worden voorzien ten opzichte van de §§ 2 en 5.

• Artikel 12 van het Koninklijk besluit van 17 december 2003 tot vaststelling van de nadere regels met betrekking tot de samenstelling en de werking van bepaalde sectorale comités opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer (2003): de voorzitter van een sectoraal comité kan, binnen een termijn van 3 werkdagen te tellen vanaf de dag waarop zijn comité zich uitgesproken heeft, het dossier overmaken aan de Commissie om het opnieuw te laten onderzoeken, indien hij vaststelt dat de beslissing van zijn sectoraal comité niet strookt met de beginselen en normen inzake de bescherming van het privéleven. In dit geval wordt het gehele dossier zonder verwijl aan de Commissie overgemaakt. De Commissie doet uitspraak binnen de dertig dagen te rekenen vanaf de datum van de overmaking van het dossier aan de Commissie. Indien deze termijn niet wordt nageleefd, wordt de Commissie geacht in te stemmen met de beslissing van het comité. Ingeval de Commissie beslist de door het sectoraal comité genomen beslissing te herzien, wordt haar beslissing overgemaakt aan de instanties bedoeld in artikel 15, tweede en derde lid.

• Artikel 13 van het Koninklijk besluit van 17 december 2003 tot vaststelling van de nadere regels met betrekking tot de samenstelling en de werking van bepaalde sectorale comités opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer (2003): elk sectoraal comité stelt zijn huishoudelijk reglement vast. Dit huishoudelijk reglement wordt voor goedkeuring aan de Commissie voorgelegd.


299


regels met betrekking tot de samenstelling en de werking van bepaalde sectorale comités opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer (2003): elk sectoraal comité kan de aanvrager of de betrokken beheersinstelling alle aanvullende inlichtingen vragen die het nuttig acht.

• Artikel 15 van het Koninklijk besluit van 17 december 2003 tot vaststelling van de nadere regels met betrekking tot de samenstelling en de werking van bepaalde sectorale comités opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer (2003): de adviezen en de machtigingen van de sectorale comités worden met redenen omkleed. Een afschrift van elk advies wordt na afloop van de termijn bedoeld in artikel 12, eerste lid overgemaakt aan de Minister die de betrokken beheersinstelling onder zijn bevoegdheid heeft. Een afschrift van de machtiging of van de weigering tot machtiging wordt na afloop van de termijn bedoeld in artikel 12, eerste lid, overgemaakt aan de aanvrager die erom heeft verzocht en aan de betrokken beheersinstelling.

• Artikel 16 van het Koninklijk besluit van 17 december 2003 tot vaststelling van de nadere regels met betrekking tot de samenstelling en de werking van bepaalde sectorale comités opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer (2003): de adviezen en de machtigingen van de sectorale comités worden binnen de maand bekendgemaakt op de internetsite van de Commissie. De adviezen en de machtigingen van de sectorale comités of een referentie naar hun vindplaats op de internetsite van de Commissie worden bekendgemaakt in het verslag dat de Commissie opstelt op grond van artikel 32, § 2, van de wet van 8 december 1992.

• Artikel 17 van het Koninklijk besluit van 17 december 2003 tot vaststelling van de nadere regels met betrekking tot de samenstelling en de werking van bepaalde sectorale comités opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer (2003): behalve indien voor een sectoraal comité uitvoering wordt gegeven aan artikel 31bis, § 5, tweede lid, van de wet van 8 december 1992, wordt het secretariaat van dat sectoraal comité waargenomen door het secretariaat van de Commissie voor de bescherming van de persoonlijke levenssfeer.

• Artikel 18 van het Koninklijk besluit van 17 december 2003 tot vaststelling van de nadere regels met betrekking tot de samenstelling en de werking van bepaalde sectorale comités opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer (2003): onverminderd artikel 28 van de wet van 16 januari 2003 tot oprichting van een Kruispuntbank van Ondernemingen, tot modernisering van het handelsregister, tot oprichting van erkende ondernemingsloketten en houdende diverse bepalingen, is de Commissie voor de bescherming van de persoonlijke levenssfeer tot de installatie en de benoeming van de leden van de sectorale comités bedoeld in artikel 1, § 2, belast met de opdrachten die aan elk van deze sectorale comités worden toebedeeld door de wetten bedoeld in hetzelfde artikel, elk voor wat hem betreft.

• Artikel 19 van het Koninklijk besluit van 17 december 2003 tot vaststelling van de nadere regels met betrekking tot de samenstelling en de werking van bepaalde sectorale comités opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer (2003): dit besluit treedt in werking op de twintigste dag volgend op die waarop het is bekendgemaakt in het Belgisch Staatsblad.

• Artikel 20 van het Koninklijk besluit van 17 december 2003 tot vaststelling van de nadere regels met betrekking tot de samenstelling en de werking van bepaalde sectorale comités


300

opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer (2003): Onze Minister van Begroting en Overheidsbedrijven, Onze Minister van Binnenlandse Zaken, Onze Minister van Economie, Energie, Buitenlandse Handel en Wetenschapsbeleid, Onze Minister van Ambtenarenzaken, Onze Minister van Middenstand en Landbouw en Onze Staatssecretaris voor Informatisering van de Staat zijn, ieder wat hem betreft, belast met de uitvoering van dit besluit.

Artikel 32: Commissie voor de bescherming van de persoonlijke levenssfeer controle- en onderzoeksbevoegdheid

301

Artikel 32 Overtreden strafbaar gesteld: zie art. 39, 13°, 40 et 41 WVP

controle- en onderzoeksbevoegdheid

beroep op deskundige

onderzoek ter plaatse § 1. De Commissie mag voor het vervullen van al haar taken een beroep doen op de medewerking van deskundigen. Zij mag een of meer van haar leden, eventueel bijgestaan door deskundigen, belasten met de uitvoering van een onderzoek ter plaatse.

officier van gerechtelijke politie tweede lid De leden van de Commissie hebben in dit geval de hoedanigheid van officier van gerechtelijke politie, hulpofficier van de procureur des Konings.

opeisen documenten derde lid Ze kunnen onder meer mededeling eisen van elk document dat hen bij hun onderzoek van nut kan zijn.

toegang tot alle plaatsen vierde lid Ze hebben tevens toegang tot alle plaatsen waarvan ze redelijkerwijze kunnen vermoeden dat er werkzaamheden worden verricht die in verband staan met de toepassing van deze wet. INTERNATIONALE WETGEVING • Artikel 1.2 a) Additional Protocol to the Convention for the Protection of Individuals with

regard to Automatic Processing of Personal Data regarding supervisory authorities and transborder data flows: To this end, the said authorities shall have, in particular, powers of investigation and intervention, as well as the power to engage in legal proceedings or bring to the attention of the competent judicial authorities violations of provisions of


302

domestic law giving effect to the principles mentioned in paragraph 1 of Article 1 of this Protocol.


Individuals with regard to Automatic Processing of Personal Data regarding supervisory authorities and transborder data flows (2001) - (punten 12 en 13): The authority shall be endowed with powers of investigation, such as the possibility to ask the controller (1) for information concerning the processing of personal data and to obtain it. Such information should be accessible in particular when the supervisory authority is approached by a person wishing to exercise the rights provided for in domestic law, by virtue of Article 8 of the Convention. The supervisory authority's power of intervention may take various forms in domestic law. For example, the authority could be empowered to oblige the controller of the file to rectify, delete or destroy inaccurate or illegally collected data on its own account or if the data subject is not able to exercise these rights himself/herself. The power to issue injunctions on controllers who are unwilling to communicate the required information within a reasonable time would be a particularly effective manifestation of the power of intervention. This power could also include the possibility to issue opinions prior to the implementation of data processing operations, or to refer cases to national parliaments or other state institutions. The supervisory authority should have the power to inform the public through regular reports, the publication of opinions or any other means of communication. Deze interventie- en onderzoeksbevoegdheden maken deel uit van de bevoegdheden waarover de controle-autoriteit ten minste zou moeten beschikken (punt 11). De lijst van die bevoegdheden toegekend aan de controle-autoriteit is niet exhaustief (punt 16).

• Artikel 28 § 3 eerste lid van de Richtlijn 95/46/EG van het Europees Parlement en de Raad

betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): elke toezichthoudende autoriteit beschikt met name over onderzoeksbevoegdheden, zoals het recht van toegang tot gegevens die het voorwerp vormen van een verwerking en het recht alle inlichtingen in te winnen die voor de uitoefening van haar toezichtstaak noodzakelijk zijn;

• Artikel 28 § 3 tweede lid van de Richtlijn 95/46/EG van het Europees Parlement en de

Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): elke toezichthoudende autoriteit beschikt met name over effectieve bevoegdheden om in te grijpen, zoals bij voorbeeld de bevoegdheid om voorafgaand aan de uitvoering van de verwerking advies uit te brengen, overeenkomstig artikel 20, en te zorgen voor een passende bekendmaking van deze adviezen of de bevoegdheid om afscherming, uitwissing of vernietiging van gegevens te gelasten, dan wel een verwerking voorlopig of definitief te verbieden of de bevoegdheid tot de voor de verwerking verantwoordelijke een waarschuwing of berisping te richten of de bevoegdheid de nationale parlementen of andere politieke instellingen in te schakelen;


betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): overwegende dat die autoriteiten over de nodige middelen dienen te beschikken om hun taak te vervullen, of het nu gaat om onderzoekbevoegdheden, om het recht om actief in te grijpen, met name wanneer bij hen klachten aanhangig worden gemaakt, dan wel om de bevoegdheid om in rechte op te treden; dat die autoriteiten moeten bijdragen tot de doorzichtigheid van de verwerking van gegevens in hun Lid-Staat;


303

controles en inspecties HUISHOUDELIJK REGLEMENT VAN DE CBPL (B.S., 10 MEI 2007) Het huishoudelijk reglement bevat ook een zeker aantal bepalingen over de controle en inspectie. De lezer wordt verwezen naar het commentaar over artikel 30 hierboven. • Artikel 40 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk II, Sectie IX – 2007) :

De Commissie beslist over het onderzoek ter plaatse waarmee zij één of meer van haar leden kan belasten. De Commissie of de voorzitter kan beslissen dat ambtenaren van het secretariaat de afgevaardigde leden vergezellen. Over het onderzoek ter plaatse wordt een proces-verbaal opgemaakt. Daarin wordt een volledig verslag opgemaakt over het verloop van het onderzoek. Het wordt getekend door de verantwoordelijke commissaris(-sen) en desgevallend de ambtenaren van het secretariaat. De verantwoordelijke voor de verwerking of zijn afgevaardigde op de plaats waar het onderzoek plaatsvindt, wordt bij aanvang in kennis gesteld van het beoogde onderzoek en van de geldende wetgeving. Een afschrift van het verslag over het verloop van het onderzoek wordt onverwijld overgezonden aan deze verantwoordelijke of zijn afgevaardigde. De verantwoordelijke of zijn afgevaardigde kan een verklaring of commentaar opmaken en dit laten voegen bij het proces-verbaal. Korte verklaringen worden opgetekend in het verslag zelf. In geval van hoogdringendheid oefent de voorzitter de in het eerste lid bedoelde bevoegdheid uit. In dat geval brengt hij op de eerstvolgende vergadering verslag uit over de door hem genomen beslissingen.

aangifte misdrijven PdK § 2. Tenzij de wet anders bepaalt, doet de Commissie bij de procureur des Konings aangifte van de misdrijven waarvan zij kennis heeft. INTERNATIONALE WETGEVING • Artikel 1.2 a) van het Additional Protocol to the Convention for the Protection of Individuals

with regard to Automatic Processing of Personal Data regarding supervisory authorities and transborder data flows (2001): To this end, the said authorities shall have, in particular, powers of investigation and intervention, as well as the power to engage in legal proceedings or bring to the attention of the competent judicial authorities violations of provisions of domestic law giving effect to the principles mentioned in paragraph 1 of Article 1 of this Protocol.

• Explanatory Report of the Additional Protocol to the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data regarding supervisory


304

authorities and transborder data flows – (punt 11): The authorities must at least be given powers of investigation and intervention, as well as the power to engage in legal proceedings or bring to the attention of the competent judicial authorities any violations of the relevant provisions. Zie ook punt 15.

• Artikel 28 § 3 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): elke toezichthoudende autoriteit beschikt met name over de bevoegdheid om in rechte op te treden in geval van inbreuken op ter uitvoering van deze Richtlijn vastgestelde nationale bepalingen, of om die inbreuken onder de aandacht van het gerecht te brengen.

• Overweging 63 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): overwegende dat die autoriteiten over de nodige middelen dienen te beschikken om hun taak te vervullen, of het nu gaat om onderzoekbevoegdheden, om het recht om actief in te grijpen, met name wanneer bij hen klachten aanhangig worden gemaakt, dan wel om de bevoegdheid om in rechte op te treden; dat die autoriteiten moeten bijdragen tot de doorzichtigheid van de verwerking van gegevens in hun Lid-Staat;

jaarverslag De Commissie dient ieder jaar bij de Wetgevende Kamers een verslag over haar werkzaamheden in. Dit verslag, dat openbaar is, bevat naast de algemene informatie over de toepassing van deze wet en over de activiteiten van de Commissie, specifieke informatie over de toepassing van de artikelen 3, §§ 3 en 6,13,17 en 18. INTERNATIONALE WETGEVING • Artikel 28 § 5 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad

betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): elke toezichthoudende autoriteit stelt op gezette tijden een verslag op over haar activiteiten. Dit verslag wordt gepubliceerd.

ADVIEZEN VAN DE GROEP 29 • Groep 29, Resolutie van de Werkgroep artikel 29 op de 1ste Europese dag van de

gegevensbescherming (24 januari 2007 – WP 130) (officiële Nederlandse vertaling ontbreekt): in deze resolutie worden de gegevensbeschermingsautoriteiten uitgenodigd om actief deel te nemen aan de eerste Europese dag van de gegevensbescherming die op initiatief van de Raad van Europa tot stand kwam en feliciteert de Raad voor haar initiatief om de burger te sensibiliseren voor zijn grondrecht op bescherming van zijn privéleven ten opzichte van de verwerking van persoonsgegevens.


305

geschillenbeslechting door rechtbank eerste aanleg § 3. Onverminderd de bevoegdheid van de gewone hoven en rechtbanken met het oog op de toepassing van de algemene beginselen inzake bescherming van de persoonlijke levenssfeer, kan de voorzitter van de Commissie ieder geschil aangaande de toepassing van deze wet en haar uitvoeringsmaatregelen aan de rechtbank van eerste aanleg voorleggen. INTERNATIONALE WETGEVING • Artikel 1.2 a) van het Additional Protocol to the Convention for the Protection of Individuals

with regard to Automatic Processing of Personal Data regarding supervisory authorities and transborder data flows: To this end, the said authorities shall have, in particular, powers of investigation and intervention, as well as the power to engage in legal proceedings or bring to the attention of the competent judicial authorities violations of provisions of domestic law giving effect to the principles mentioned in paragraph 1 of Article 1 of this Protocol.

• Explanatory Report of the Additional Protocol to the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data regarding supervisory authorities and transborder data flows – (punt 15): The Parties should give to the supervisory authority the power either to engage in legal proceedings or to bring any violations of data protection rules to the attention of the judicial authorities. This power derives in particular from the power to carry out investigations, which may lead the authority to discover an infringement of a person's right to protection. The Parties may fulfil the obligation to grant this power to the authority by enabling it to make judgments. According to the Protocol, however, they must at least be given powers of investigation and intervention, as well as the power to engage in legal proceedings or bring to the attention of the competent judicial authorities any violations of the relevant provisions. (punt 11). The supervisory authority’s competences are not limited to the ones listed in Article 1 paragraph 2. (punt 16).

• Artikel 28 § 3 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): elke toezichthoudende autoriteit beschikt met name over de bevoegdheid om in rechte op te treden in geval van inbreuken op ter uitvoering van deze Richtlijn vastgestelde nationale bepalingen, of om die inbreuken onder de aandacht van het gerecht te brengen.

Artikel 32bis: Commissie voor de bescherming van de persoonlijke levenssfeer internationale opdrachten

306

Artikel 32 bis

internationale opdrachten §1. Met het oog op de toepassing van internationale verdragen, kan de Koning bij een in Ministerraad overlegd besluit de Commissie voor de bescherming van de persoonlijke levenssfeer aanwijzen om, krachtens deze verdragen, opdrachten uit te voeren die identiek zijn aan die welke deze wet aan de Commissie toekent. § 2. Met het oog op de toepassing van internationale verdragen, is de Commissie voor de bescherming van de persoonlijke levenssfeer gemachtigd om bepaalde van haar leden of personeelsleden aan te wijzen in de hoedanigheid van vertegenwoordigers bij internationale autoriteiten, belast met opdrachten die identiek zijn aan die welke deze wet aan de Commissie toekent. De Koning bepaalt de nadere regels van de vertegenwoordiging na advies van de Commissie voor de bescherming van de persoonlijke levenssfeer.

Artikel 33: Commissie voor de bescherming van de persoonlijke levenssfeer beroepsgeheim

307

Artikel 33 Overtreding strafbaar gesteld: zie art. 37 en 41, §3 WVP

beroepsgeheim Onverminderd artikel 32, § 2, zijn de leden en de personeelsleden van de Commissie en de deskundigen om wier medewerking is verzocht, verplicht het vertrouwelijk karakter te bewaren van de feiten, de handelingen of de inlichtingen waarvan zij uit hoofde van hun functie kennis hebben gehad. INTERNATIONALE WETGEVING • Artikel 28 § 7 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad

betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): de Lid-Staten bepalen dat de leden en personeelsleden van de toezichthoudende autoriteit ook na beëindiging van hun werkzaamheden aan het beroepsgeheim zijn onderworpen voor wat betreft de vertrouwelijke gegevens waartoe zij toegang hebben.

Artikel 34: Commissie voor de bescherming van de persoonlijke levenssfeer begroting - bestuursplan

308

Artikel 34

begroting

bestuursplan Onverminderd de bevoegdheid van de Kamer van volksvertegenwoordigers om de gedetailleerde begroting van de Commissie voor de bescherming van de persoonlijke levenssfeer te onderzoeken en goed te keuren alsook de uitvoering ervan te controleren en de gedetailleerde rekeningen te verifiëren en goed te keuren, worden de kredieten voor deze begroting uitgetrokken als dotatie op de algemene uitgavenbegroting van het Rijk. De Commissie voegt bij haar begrotingsvoorstel een bondig bestuursplan waarvan zij, onverminderd de opmerkingen van de Kamer van volksvertegenwoordigers, de inhoud en de vorm bepaalt; het in artikel 32, § 2, tweede lid, bedoelde jaarlijkse verslag over haar werkzaamheden bevat een onderdeel waarin de opvolging van dat plan wordt omschreven. HUISHOUDELIJK REGLEMENT VAN DE CBPL (B.S., 10 MEI 2007) • Artikel 46 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk III – 2007): in

toepassing van de artikelen 26, 34 en 35 van de WVP komt de Commissie bijeen voor de behandeling van alle aangelegenheden met betrekking tot het administratief beheer, de begroting, het bestuursplan, de personele en materiële middelen en de rapportering over de werkzaamheden. De dossiers worden ingeleid door de voorzitter bijgestaan door de administrateur.

• Artikel 47 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk III – 2007): binnen de maand na de goedkeuring van dit reglement stelt de Commissie, op voorstel van de voorzitter, twee commissarissen aan voor het nazicht van de rekeningen van de Commissie. Ze vervullen de taken die zijn opgelegd in het reglement betreffende de begroting- boekhoudingprocedure, zoals goedgekeurd door de Commissie.

• Artikel 48 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk III – 2007): binnen de maand na de goedkeuring van dit reglement stelt de Commissie, op voorstel van de voorzitter, de raden van beroep samen die zijn voorzien in artikel 84 van het statuut van de ambtenaren van het secretariaat, zoals goedgekeurd door de Kamer van Volksvertegenwoordigers.

Artikel 35: Commissie voor de bescherming van de persoonlijke levenssfeer secretariaat

309

Artikel 35

secretariaat

personeel - statuut § 1. De Commissie beschikt over een secretariaat, waarvan de personeelsformatie, het statuut en de wijze van aanwerving bepaald worden door de Kamer van volksvertegenwoordigers, op voorstel van de Commissie. De personeelsformatie kan, in beperkte en behoorlijk verantwoorde mate, voorzien in de mogelijkheid om werknemers met een arbeidsovereenkomst van bepaalde duur in dienst te nemen.

gelijkstelling met statuut van de vaste rijksambtenaren (tweede lid) Behalve indien de Commissie er ter wille van de goede werking van haar diensten er in een door de Kamer van volksvertegenwoordigers goedgekeurde verordening anders over beslist, is het personeel van het secretariaat onderworpen aan de wettelijke en statutaire bepalingen die gelden voor de vaste Rijksambtenaren.

overgangsregeling § 2. De personeelsleden die op het ogenblik van de inwerkingtreding van de wet van 26 februari 2003 tot wijziging van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens en van de wet van 15 januari 1990 houdende oprichting en organisatie van een Kruispuntbank van de sociale zekerheid tot aanpassing van het statuut van de Commissie voor de bescherming van de persoonlijke levenssfeer en tot uitbreiding van haar bevoegdheden in dienst zijn bij de Commissie behouden hun functie en hun statuut totdat de met toepassing van § 1 genomen maatregelen zijn goedgekeurd. Indien die ambtenaren ter gelegenheid van de aanwijzingen die overeenkomstig de voormelde maatregelen worden gedaan niet worden overgenomen, keren ze van rechtswege terug naar de diensten van de Federale Overheidsdienst Justitie, met het statuut dat daarop van toepassing is. VERWIJZING NAAR ANDERE WETGEVING • Wet van 26 februari 2003 tot wijziging van de wet van 8 december 1992 tot bescherming

van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens en van de wet van 15 januari 1990 houdende oprichting en organisatie van een Kruispuntbank

Artikel 35: Commissie voor de bescherming van de persoonlijke levenssfeer secretariaat

310

van de Commissie voor de bescherming van de persoonlijke levenssfeer en tot uitbreiding van haar bevoegdheden, B.S. 26 juni 2003.

Artikel 36: Commissie voor de bescherming van de persoonlijke levenssfeer vergoeding commissarissen

311

Artikel 36

vergoeding commissarissen

emolumenten

presentiegelden De Voorzitter heeft recht op een vergoeding gelijk aan de weddebijslag toegekend aan een onderzoeksrechter met negen jaar ambtsuitoefening in een rechtbank waarvan het rechtsgebied ten minste 500 000 inwoners telt. De plaatsvervangend voorzitter, de plaatsvervangend ondervoorzitter en de vaste of plaatsvervangende leden hebben recht op presentiegeld voor een bedrag van EUR 223.18 (indexcijfer 1,2682). Dat bedrag is gekoppeld aan de evolutie van het indexcijfer van de consumptieprijzen. Zij zijn gerechtigd op de vergoedingen voor reis- en verblijfskosten overeenkomstig de bepalingen die van toepassing zijn op het personeel van de ministeries. De personen die niet tot het bestuur behoren of voor wie de rang waartoe hun graad behoort niet is bepaald, worden gelijkgesteld met ambtenaren van rang 13. De Voorzitter wordt gelijkgesteld met een ambtenaar van rang 17. De deskundigen wier medewerking door de Commissie wordt gevorderd of die de leden bijstaan welke belast zijn met een onderzoek ter plaatse, kunnen worden vergoed op de wijze bepaald door de Minister van Justitie in overleg met de ministers tot wiens bevoegdheid de Ambenarenzaken en de Begroting behoren. De vergoeding bedoeld in het eerste lid wordt gekoppeld aan de mobiliteitsregeling toepasselijk op de bezoldiging van het Rijkspersoneel in actieve dienst.

Artikel 36bis: Commissie voor de bescherming van de persoonlijke levenssfeer sectoraal comité federale overheid

312

HOOFDSTUK VII bis - Sectorale comités.

Artikel 36 bis

sectorale comités

sectoraal comité federale overheid Binnen de Commissie voor de bescherming van de persoonlijke levenssfeer wordt een sectoraal comité voor de federale overheid opgericht, in de zin van artikel 31bis. De Federale Overheidsdienst Informatie- en Communicatietechnologie wordt voor het sectoraal comité voor de federale overheid beschouwd als de beheersinstelling bedoeld in artikel 31bis.

KB m.b.t. de 3 externen De Koning bepaalt bij een besluit vastgesteld na overleg in de Ministerraad, de voorwaarden en de nadere regels waaraan de drie externe leden van het Sectoraal Comité voor de Federale Overheid moeten voldoen.

vereiste van machtiging Behalve in de door de Koning bepaalde gevallen, vereist elke elektronische mededeling van persoonsgegevens door een federale overheidsdienst of door een openbare instelling met rechtspersoonlijkheid die onder de federale overheid ressorteert een principiële machtiging van dit sectoraal comité, tenzij de mededeling reeds onderworpen is aan een principiële machtiging van een andere sectoraal comité opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer.

onderzoek naar wettelijke of reglementaire grondslag Vooraleer het zijn machtiging verleent, gaat het Sectoraal Comité voor de Federale Overheid na of de mededeling in overeenstemming is met de wettelijke en reglementaire bepalingen.

openbaarheid en publicatie


313

De machtigingen verstrekt door het sectoraal comité voor de federale overheid zijn zodra zij definitief zijn, openbaar. Zij worden gepubliceerd op de website van de Commissie voor de bescherming van de persoonlijke levenssfeer.

raadgevende stem van de leidende ambtenaar De leidend ambtenaar van de betrokken federale overheidsdienst of van de betrokken openbare instelling met rechtspersoonlijkheid die onder de federale overheid ressorteert, of een door hem aangewezen medewerker, kan met raadgevende stem deelnemen aan de vergaderingen van het sectoraal comité voor de federale overheid. HUISHOUDELIJK REGLEMENT VAN DE CBPL (B.S., 10 MEI 2007) • Artikel 41 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk II, Sectie X – 2007):

elk dossier dat bij de Commissie wordt ingediend, en dat betrekking heeft op een aangelegenheid waarvoor door of krachtens de wet een sectoraal comité uitdrukkelijk bevoegd is, wordt door de voorzitter of de daartoe gemachtigde administrateur onverwijld doorgestuurd aan het bevoegde sectoraal comité.

• Artikel 42 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk II, Sectie X – 2007): wanneer een dossier dat in behandeling is bij een sectoraal comité of waarover een sectoraal comité een beslissing heeft genomen, aan de Commissie voor onderzoek wordt overgezonden door de door of krachtens de wet bevoegde instantie, wijst de voorzitter onverwijld een verslaggever aan. De verslaggever is gerechtigd zich te wenden tot de voorzitter van het sectoraal comité om hem alle nuttige inlichtingen te verstrekken. Artikel 10 is van toepassing.

• Artikel 43 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk II, Sectie X – 2007): onverminderd de toepassing van artikel 14 wordt een afschrift van de beslissing van de Commissie genomen in het kader van deze procedure, onverwijld overgezonden aan het bevoegde sectoraal comité.

• Artikel 44 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk II, Sectie X – 2007): de voorzitters van de verscheidene sectorale comités komen minstens één maal per trimester bijeen in een conferentie van de voorzitters. Ze maken afspraken over de organisatie van de werkzaamheden, de samenwerking tussen de Commissie en de sectorale comités en de comités onderling. Zij werken onder meer een regeling uit over mogelijke bevoegdheidsvraagstukken. De afspraken maken het voorwerp van een protocolakkoord dat ter goedkeuring wordt voorgelegd aan de Commissie. Het secretariaat van de conferentie wordt gehouden door de administrateur bijgestaan door de staf van de voorzitter.

• Artikel 45 van het Huishoudelijk Reglement van de CBPL (Hoofdstuk II, Sectie X – 2007): voor de regeling van de bevoegdheidsvraagstukken en de samenloop van bevoegdheden tussen de Commissie en de sectorale comités alsook tussen de sectorale comités onderling, gelden de volgende principes: - de Commissie zendt het dossier door aan het bevoegde sectoraal comité op basis van

de uitdrukkelijke bevoegdheidstoewijzing door of krachtens de wet van een materie aan een sectoraal comité;


314

- tussen de sectorale comités geldt in beginsel de regel van de materietoewijzing door of krachtens de wet;

- voor wat de machtigingsdossiers betreft is het sectorale comité dat de controle uitoefent op de overheidsdienst die de mededeling van de gegevens verricht, bevoegd;

- wanneer de mededeling een antwoord is op een vraag die op zich de voorafgaande mededeling van gegevens vereist, is de instelling die antwoordt bepalend voor het criterium van de bevoegdheidstoewijzing;

- indien nog twijfel bestaat kan de conferentie van de voorzitters de bevoegdheid regelen en desnoods zich wenden tot de Commissie.

VERWIJZING NAAR ANDERE WETGEVING Koninklijk besluit van 17 december 2003 tot vaststelling van de nadere regels met betrekking tot de samenstelling en de werking van bepaalde sectorale comités opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer.


regels met betrekking tot de samenstelling en de werking van bepaalde sectorale comités opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer (2003): § 1. Voor de toepassing van dit besluit dient te worden verstaan onder " de wet van 8 december 1992 " : de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens. § 2. Voor de toepassing van dit besluit dient te worden verstaan onder "sectorale comités": - het Sectoraal Comité voor het Rijksregister opgericht binnen de Commissie voor de

bescherming van de persoonlijke levenssfeer, overeenkomstig artikel 15 van de wet van 8 augustus 1983 tot regeling van een Rijksregister van de natuurlijke personen;

- het Sectoraal Comité voor de Kruispuntbank van Ondernemingen opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer, overeenkomstig artikel 27 van de wet van 16 januari 2003 tot oprichting van een Kruispuntbank van Ondernemingen, tot modernisering van het handelsregister, tot oprichting van erkende ondernemingsloketten en houdende diverse bepalingen;

- het Sectoraal Comité voor de Federale Overheid opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer, overeenkomstig artikel 36bis van de wet van 8 december 1992.


regels met betrekking tot de samenstelling en de werking van bepaalde sectorale comités opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer (2003): de Federale Overheidsdienst Economie, KMO, Middenstand en Energie wordt voor het Sectoraal Comité voor de Kruispuntbank van Ondernemingen beschouwd als beheersinstelling in de zin van artikel 31bis, § 3, van de wet van 8 december 1992. De Federale Overheidsdienst Binnenlandse Zaken wordt voor het Sectoraal Comité voor het Rijksregister beschouwd als beheersinstelling in de zin van artikel 31bis, § 3, van de wet van 8 december 1992.

• Artikel 3 van het Koninklijk besluit van 17 december 2003 tot vaststelling van de nadere regels met betrekking tot de samenstelling en de werking van bepaalde sectorale comités opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer (2003): naast de leden van de Commissie voor de bescherming van de persoonlijke levenssfeer bedoeld in artikel 31bis, § 2, van de wet van 8 december 1992, is elk sectoraal comité afzonderlijk samengesteld uit : 1 een extern lid met een expertise in de juridische domeinen gerelateerd aan de

bijzondere wetgevingen die voorzien in de oprichting van een sectoraal comité; 2 een extern lid met een bijzondere professionele en praktische ervaring in het gebruik

van gegevens in de domeinen gerelateerd aan de bijzondere wetgevingen die voorzien in de oprichting van een sectoraal comité;


315

3 een extern lid met een bijzondere expertise in e-government en administratieve vereenvoudiging. E-government is een grondige herdenking van de relaties tussen de openbare diensten, de burgers en de ondernemingen door gebruik te maken van opportuniteiten geboden door moderne technologieën, internet en nieuwe media.

Onverminderd artikel 4, tweede lid, kan elk extern lid slechts deel uitmaken van één sectoraal comité opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer.

• Artikel 4 van het Koninklijk besluit van 17 december 2003 tot vaststelling van de nadere regels met betrekking tot de samenstelling en de werking van bepaalde sectorale comités opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer (2003): de externe leden bedoeld in artikel 3, eerste lid, worden voor een hernieuwbare termijn van zes jaar benoemd door de Kamer van Volksvertegenwoordigers, uit een dubbeltal dat door de Ministerraad voor elk van de vacante mandaten wordt voorgedragen. Ze kunnen van hun opdracht worden ontheven door de Kamer van volksvertegenwoordigers. Onder dezelfde voorwaarden wordt voor elk extern lid bedoeld in artikel 3, eerste lid, één plaatsvervangend lid benoemd. Dit plaatsvervangend lid vervangt het effectief lid indien deze verhinderd of afwezig is, of in afwachting van zijn vervanging. Wanneer het mandaat van een extern lid een einde neemt vóór de vastgestelde datum, wordt binnen de drie maanden in de vervanging van de titularis voorzien. Het nieuw extern lid voleindigt het mandaat van degene die hij vervangt. De voorzitter van het sectoraal comité en de overige leden afkomstig uit de Commissie, worden aangewezen voor een hernieuwbare termijn van maximum zes jaar.

• Artikel 5 van het Koninklijk besluit van 17 december 2003 tot vaststelling van de nadere regels met betrekking tot de samenstelling en de werking van bepaalde sectorale comités opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer (2003): § 1. Om tot extern lid van het desbetreffende sectoraal comité benoemd te kunnen worden en het te kunnen blijven, moeten de kandidaten aan de volgende voorwaarden voldoen : 1. Belg of onderdaan van de Europese Unie zijn; 2. de burgerlijke en politieke rechten genieten; 3 onafhankelijk zijn van de betrokken beheersinstelling en niet onder het hiërarchisch


4. geen lid zijn van het Europees of nationaal parlement, noch van een Gemeenschaps- of Gewestraad.

§ 2. De in § 1 bedoelde voorwaarden gelden onverkort voor de Voorzitter van het sectoraal comité en de overige leden afkomstig uit de Commissie.

• Artikel 6 van het Koninklijk besluit van 17 december 2003 tot vaststelling van de nadere regels met betrekking tot de samenstelling en de werking van bepaalde sectorale comités opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer (2003): elk sectoraal comité bestaat uit evenveel Franstalige leden als Nederlandstalige leden.

• Artikel 7 van het Koninklijk besluit van 17 december 2003 tot vaststelling van de nadere regels met betrekking tot de samenstelling en de werking van bepaalde sectorale comités opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer (2003): de artikelen 24, §§ 6 en 7, 27, 31bis, § 4 en 36, tweede en derde lid, van de wet van 8 december 1992 zijn van toepassing op de leden van de sectorale comités.

• Artikel 8 van het Koninklijk besluit van 17 december 2003 tot vaststelling van de nadere regels met betrekking tot de samenstelling en de werking van bepaalde sectorale comités opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer


316

(2003): onverminderd artikel 31bis, § 2, eerste lid, laatste zin van de wet van 8 december 1992, verlenen de sectorale comités advies en machtigingen bij meerderheid der stemmen. De sectorale comités kunnen slechts geldig beraadslagen voorzover ten minste 2 leden van de Commissie onder wie steeds de voorzitter of diens plaatsvervanger, en 2 externe leden aanwezig zijn. Indien er op het ogenblik van de beraadslaging geen pariteit bestaat tussen de leden van de Commissie enerzijds en de externe leden anderzijds, wordt de pariteit hersteld volgens een regeling beschreven in het huishoudelijk reglement van het betrokken sectoraal comité.

• Artikel 9 van het Koninklijk besluit van 17 december 2003 tot vaststelling van de nadere regels met betrekking tot de samenstelling en de werking van bepaalde sectorale comités opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer (2003): indien de voorzitter verhinderd of afwezig is, wordt zijn functie uitgeoefend door het ander lid van de Commissie met de grootste anciënniteit of, bij gelijkheid van anciënniteit van de Commissieleden, door de oudste onder hen.

• Artikel 10 van het Koninklijk besluit van 17 december 2003 tot vaststelling van de nadere regels met betrekking tot de samenstelling en de werking van bepaalde sectorale comités opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer (2003): in geval van toepassing van artikel 31bis, § 5, tweede lid, van de wet van 8 december 1992, draagt de beheersinstelling de werkingskosten van het betrokken sectoraal comité, met uitzondering van de vergoedingen en terugbetalingen van kosten uitgekeerd aan de voorzitter en aan de leden van het sectoraal comité, die ten laste van de Commissie blijven.

• Artikel 11 van het Koninklijk besluit van 17 december 2003 tot vaststelling van de nadere regels met betrekking tot de samenstelling en de werking van bepaalde sectorale comités opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer (2003): de voorzitter van elk sectoraal comité zorgt, in overleg met de andere leden van de Commissie in het comité, voor de coördinatie tussen de werkzaamheden van het sectoraal comité en die van de Commissie voor de bescherming van de persoonlijke levenssfeer; hij waakt over de verenigbaarheid van de aan het sectoraal comité voorgelegde ontwerpbeslissingen met de beginselen en normen inzake de bescherming van de persoonlijke levenssfeer. De nadere werkingsregels van elk sectoraal comité zijn, overeenkomstig artikel 31bis van de wet van 8 december 1992, deze bepaald door datzelfde artikel, met uitzondering van de afwijkingen die, uitsluitend ten behoeve van het sectoraal comité van de sociale zekerheid, worden voorzien ten opzichte van de §§ 2 en 5.

• Artikel 12 van het Koninklijk besluit van 17 december 2003 tot vaststelling van de nadere regels met betrekking tot de samenstelling en de werking van bepaalde sectorale comités opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer (2003): ve voorzitter van een sectoraal comité kan, binnen een termijn van 3 werkdagen te tellen vanaf de dag waarop zijn comité zich uitgesproken heeft, het dossier overmaken aan de Commissie om het opnieuw te laten onderzoeken, indien hij vaststelt dat de beslissing van zijn sectoraal comité niet strookt met de beginselen en normen inzake de bescherming van het privéleven. In dit geval wordt het gehele dossier zonder verwijl aan de Commissie overgemaakt. De Commissie doet uitspraak binnen de dertig dagen te rekenen vanaf de datum van de overmaking van het dossier aan de Commissie. Indien deze termijn niet wordt nageleefd, wordt de Commissie geacht in te stemmen met de beslissing van het comité. Ingeval de Commissie beslist de door het sectoraal comité genomen beslissing te herzien, wordt haar beslissing overgemaakt aan de instanties bedoeld in artikel 15, tweede en derde lid.


317

• Artikel 13 van het Koninklijk besluit van 17 december 2003 tot vaststelling van de nadere regels met betrekking tot de samenstelling en de werking van bepaalde sectorale comités opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer (2003): elk sectoraal comité stelt zijn huishoudelijk reglement vast. Dit huishoudelijk reglement wordt voor goedkeuring aan de Commissie voorgelegd.

• Artikel 14 van het Koninklijk besluit van 17 december 2003 tot vaststelling van de nadere regels met betrekking tot de samenstelling en de werking van bepaalde sectorale comités opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer (2003): elk sectoraal comité kan de aanvrager of de betrokken beheersinstelling alle aanvullende inlichtingen vragen die het nuttig acht.

• Artikel 15 van het Koninklijk besluit van 17 december 2003 tot vaststelling van de nadere regels met betrekking tot de samenstelling en de werking van bepaalde sectorale comités opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer (2003): de adviezen en de machtigingen van de sectorale comités worden met redenen omkleed. Een afschrift van elk advies wordt na afloop van de termijn bedoeld in artikel 12, eerste lid overgemaakt aan de Minister die de betrokken beheersinstelling onder zijn bevoegdheid heeft. Een afschrift van de machtiging of van de weigering tot machtiging wordt na afloop van de termijn bedoeld in artikel 12, eerste lid, overgemaakt aan de aanvrager die erom heeft verzocht en aan de betrokken beheersinstelling.

• Artikel 16 van het Koninklijk besluit van 17 december 2003 tot vaststelling van de nadere regels met betrekking tot de samenstelling en de werking van bepaalde sectorale comités opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer (2003): de adviezen en de machtigingen van de sectorale comités worden binnen de maand bekendgemaakt op de internetsite van de Commissie. De adviezen en de machtigingen van de sectorale comités of een referentie naar hun vindplaats op de internetsite van de Commissie worden bekendgemaakt in het verslag dat de Commissie opstelt op grond van artikel 32, § 2, van de wet van 8 december 1992.

• Artikel 17 van het Koninklijk besluit van 17 december 2003 tot vaststelling van de nadere regels met betrekking tot de samenstelling en de werking van bepaalde sectorale comités opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer (2003): behalve indien voor een sectoraal comité uitvoering wordt gegeven aan artikel 31bis, § 5, tweede lid, van de wet van 8 december 1992, wordt het secretariaat van dat sectoraal comité waargenomen door het secretariaat van de Commissie voor de bescherming van de persoonlijke levenssfeer.

• Artikel 18 van het Koninklijk besluit van 17 december 2003 tot vaststelling van de nadere regels met betrekking tot de samenstelling en de werking van bepaalde sectorale comités opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer (2003): onverminderd artikel 28 van de wet van 16 januari 2003 tot oprichting van een Kruispuntbank van Ondernemingen, tot modernisering van het handelsregister, tot oprichting van erkende ondernemingsloketten en houdende diverse bepalingen, is de Commissie voor de bescherming van de persoonlijke levenssfeer tot de installatie en de benoeming van de leden van de sectorale comités bedoeld in artikel 1, § 2, belast met de opdrachten die aan elk van deze sectorale comités worden toebedeeld door de wetten bedoeld in hetzelfde artikel, elk voor wat hem betreft.

• Artikel 19 van het Koninklijk besluit van 17 december 2003 tot vaststelling van de nadere regels met betrekking tot de samenstelling en de werking van bepaalde sectorale comités opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer


318

(2003): dit besluit treedt in werking op de twintigste dag volgend op die waarop het is bekendgemaakt in het Belgisch Staatsblad.

• Artikel 20 van het Koninklijk besluit van 17 december 2003 tot vaststelling van de nadere regels met betrekking tot de samenstelling en de werking van bepaalde sectorale comités opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer (2003): Onze Minister van Begroting en Overheidsbedrijven, Onze Minister van Binnenlandse Zaken, Onze Minister van Economie, Energie, Buitenlandse Handel en Wetenschapsbeleid, Onze Minister van Ambtenarenzaken, Onze Minister van Middenstand en Landbouw en Onze Staatssecretaris voor Informatisering van de Staat zijn, ieder wat hem betreft, belast met de uitvoering van dit besluit.

ADVIEZEN VAN DE GROEP 29 • Groep 29, Werkdocument over de e-overheid (8 mei 2003 – WP 73).

Artikel 37: strafbepalingen strafbaarstelling van overtreding van schending vertrouwelijkheid

319

HOOFDSTUK VIII - Strafbepalingen. INTERNATIONALE WETGEVING • Guidelines of the United Nations for the Regulation of Computerized Personal Data Files


• Artikel 10 van het Verdrag nr. 108 van de Raad van Europa tot bescherming van personen ten opzichte van de geautomatiseerde verwerking van persoonsgegevens (1981) : Elke Partij verbindt zich passende sancties en rechtsmiddelen in te stellen ter zake van schending van bepalingen van het interne recht waarmede uitvoering wordt gegeven aan de grondbeginselen van databescherming, vervat in dit hoofdstuk.

• Explanatory Report of the Convention n°108 – (punt 60) : In order that this convention can guarantee effective data protection, the duties of the data users and the rights of data subjects should be reflected in the national legislation of member States by corresponding sanctions and remedies. In keeping with the non self-executing character of the convention, it should be left to each State to determine the nature of these sanctions and remedies (civil, administrative, criminal).

• Artikel 24 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): De Lid-Staten nemen passende maatregelen om de onverkorte toepassing van de bepalingen van deze Richtlijn te garanderen en stellen met name de sancties vast die gelden bij inbreuk op de ter uitvoering van deze Richtlijn vastgestelde bepalingen.

Artikel 37: strafbepalingen strafbaarstelling van overtreding van schending vertrouwelijkheid

320

Artikel 37

strafbaarstelling van overtreding van schending vertrouwelijkheid Met een geldboete van tweehonderd tot tienduizend euro, wordt gestraft elk lid of elk personeelslid van de Commissie voor de bescherming van de persoonlijke levenssfeer of elke deskundige die de in artikel 33 bepaalde verplichting tot vertrouwelijkheid heeft geschonden.

Artikel 38 : strafbepalingen strafbaarstelling van het overtreden van artikel 15 of 16 § 1

321

Artikel 38

strafbaarstelling van het overtreden van artikel 15 of 16 § 1 Met geldboete van honderd euro tot twintigduizend euro wordt gestraft de verantwoordelijke voor de verwerking, zijn vertegenwoordiger in België, zijn aangestelde of lasthebber die een van de verplichtingen opgelegd bij de artikelen 15 of 16, § 1 niet nakomt.

Artikel 39: strafbepalingen strafbaarstelling van het overtreden van diverse bepalingen WVP

322

Artikel 39

strafbaarstelling van het overtreden van diverse bepalingen WVP Met geldboete van honderd euro tot honderdduizend euro wordt gestraft : 1° de verantwoordelijke, zijn vertegenwoordiger in België, zijn aangestelde of gemachtigde die persoonsgegevens verwerkt met overtreding van de voorwaarden die in artikel 4, § 1, worden opgelegd; 2° de verantwoordelijke voor de verwerking, zijn vertegenwoordiger in België, zijn aangestelde of gemachtigde die persoonsgegevens verwerkt buiten de door artikel 5 toegelaten gevallen; 3° de verantwoordelijke voor de verwerking, zijn vertegenwoordiger in België, zijn aangestelde of gemachtigde die persoonsgegevens verwerkt in overtreding van de artikelen 6, 7 of 8; 4° de verantwoordelijke voor de verwerking, zijn vertegenwoordiger in België, zijn aangestelde of gemachtigde die de verplichtingen bepaald in artikel 9 niet heeft nageleefd; 5° de verantwoordelijke voor de verwerking, zijn vertegenwoordiger in België, zijn aangestelde of gemachtigde die geen mededeling doet van de inlichtingen bedoeld in artikel 10, § 1, binnen vijfenveertig dagen na ontvangst van het verzoek, of die wetens onjuiste of onvolledige inlichtingen verstrekt; 6° hij die om een persoon te dwingen hem inlichtingen mede te delen verkregen door de uitoefening van het recht omschreven in artikel 10, § 1, of zijn instemming te geven met de verwerking van hem betreffende persoonsgegevens, jegens die persoon gebruik maakt van feitelijkheden, geweld, bedreigingen, giften of beloften. 7° de verantwoordelijke voor de verwerking, zijn vertegenwoordiger in België, zijn aangestelde of gemachtigde die een geautomatiseerde verwerking van persoonsgegevens start, het beheer erover heeft of blijft hebben dan wel daaraan een einde maakt, zonder dat aan de vereisten van artikel 17 is voldaan; 8° de verantwoordelijke voor de verwerking, zijn vertegenwoordiger in België, zijn aangestelde of gemachtigde die, onvolledige of onjuiste inlichtingen verstrekt in de aangiften voorgeschreven bij artikel 17; 9° (opgeheven) 10° de verantwoordelijke voor de verwerking, zijn vertegenwoordiger in België, zijn aangestelde of gemachtigde die, in overtreding van artikel 19, weigert om aan de Commissie de informatie mee te delen met betrekking tot een niet-

Artikel 39: strafbepalingen strafbaarstelling van het overtreden van diverse bepalingen WVP

323

geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of bestemd zijn om daarin te worden opgenomen; 11° (opgeheven) 12° hij die persoonsgegevens doorgeeft, doet of laat doorgeven naar een land buiten de Europese Gemeenschap dat is opgenomen in de lijst bedoeld in artikel 21, § 2, met miskenning van de vereisten van artikel 22; 13° hij die de Commissie, haar leden of de door haar gevorderde deskundigen verhindert de in artikel 32 bedoelde verificaties te doen.

Artikel 40: publicatie vonnis veroordeling

324

Artikel 40

publicatie vonnis veroordeling Bij veroordeling wegens een misdrijf omschreven in de artikelen 38 of 39, kan de rechtbank bevelen dat het vonnis in zijn geheel of bij uittreksel wordt opgenomen in één of meer dagbladen op de wijze die zij bepaalt, een en ander op kosten van de veroordeelde.

Artikel 41: verbeurdverklaring

325

Artikel 41

verbeurdverklaring

uitwissing § 1. Bij de veroordeling wegens een misdrijf omschreven in artikel 39 kan de rechter de verbeurdverklaring uitspreken van de dragers van persoonsgegevens waarop het misdrijf betrekking heeft, zoals manuele bestanden, magneetschijven of magneetbanden, met uitzondering van de computers of enige andere apparatuur, of de uitwissing van die gegevens gelasten. De verbeurdverklaring of de uitwissing kunnen worden gelast, ook wanneer de dragers van persoonsgegevens niet aan de veroordeelde toebehoren. Artikel 8, § 1, van de wet van 29 juni 1964 betreffende de opschorting, het uitstel en de probatie is niet van toepassing op de verbeurdverklaring, noch op de uitwissing gelast overeenkomstig het eerste en tweede lid. De verbeurdverklaarde voorwerpen moeten worden vernietigd wanneer de beslissing in kracht van gewijsde is gegaan. VERWIJZING NAAR ANDERE WETGEVING

• Artikel 8 van de Wet van 29 juni 1964 betreffende de opschorting, het uitstel en de

probatie, B.S. 17 juli 1964: § 1. Indien de veroordeelde nog niet veroordeeld is geweest tot een criminele straf of tot een hoofdgevangenisstraf van meer dan twaalf maanden, kunnen de vonnisgerechten, wanneer zij tot (een werkstraf of) een of meer straffen van niet meer dan vijf jaar veroordelen, bij een met redenen omklede beslissing gelasten dat de tenuitvoerlegging hetzij van het vonnis of het arrest, hetzij van de hoofdstraffen of vervangende straffen dan wel van een gedeelte ervan, wordt uitgesteld. De beslissing waarbij het uitstel en, in voorkomend geval, de probatie wordt toegestaan of geweigerd, moet met redenen omkleed zijn overeenkomstig de bepalingen van artikel 195 van het Wetboek van Strafvordering.

Nochtans, wanneer artikel 65, tweede lid, van het Strafwetboek wordt toegepast, vormen de vroegere straffen uitgesproken voor feiten die voortvloeien uit hetzelfde misdadige opzet, geen beletsel voor het toekennen van een uitstel. De duur van het uitstel mag niet minder dan een jaar en niet meer dan vijf jaar bedragen, met ingang van de datum van het vonnis of het arrest. De duur van het uitstel mag echter niet meer dan drie jaar bedragen voor de geldstraffen, (de werkstraffen) en de gevangenisstraffen die zes maanden niet te boven gaan.

beroepsverbod § 2. Onverminderd de ontzeggingen van een bevoegdheid gesteld in bijzondere bepalingen, kan de rechtbank, bij veroordeling wegens een misdrijf genoemd in

Artikel 41: verbeurdverklaring

326

artikel 39, het verbod uitspreken om gedurende ten hoogste twee jaar rechtstreeks of door een tussenpersoon, het beheer te hebben over enige verwerking van persoonsgegevens.

schending artikel 41 § 2

herhaling: artikel 37, 38 en 39 § 3. Elke overtreding van het verbod bepaald in § 2 of elke herhaling met betrekking tot de in de artikelen 37, 38 en 39 voorziene misdrijven, worden gestraft met gevangenisstraf van drie maanden tot twee jaar en met geldboete van honderd euro tot honderdduizend euro of met één van die straffen alleen.

Artikel 42: burgerrechtelijke aansprakelijkheid

327

Artikel 42

burgerrechtelijke aansprakelijkheid De verantwoordelijke voor de verwerking of zijn vertegenwoordiger in België is burgerrechtelijk aansprakelijk voor de betaling van de boeten waartoe zijn aangestelde of lasthebber is veroordeeld.

Artikel 43: toepasselijkheid Boek 1 van het Strafwetboek

328

Artikel 43

toepasselijkheid Boek 1 van het Strafwetboek Alle bepalingen van Boek I van het Strafwetboek, met inbegrip van hoofdstuk VII en artikel 85, worden toegepast op de misdrijven, omschreven bij deze wet of bij de uitvoeringsbesluiten ervan. VERWIJZING NAAR ANDERE WETGEVING • Boek I van het Strafwetboek, Hoofdstuk VII (over de deelneming van verscheidene

personen aan eenzelfde misdaad of wanbedrijf) inbegrepen en het artikel 85. Artikel 85: Indien verzachtende omstandigheden aanwezig zijn, kunnen de gevangenisstraffen, de werkstraffen en de geldboeten onderscheidenlijk tot beneden acht dagen, vijfenveertig uren en zesentwintig EUR worden verminderd, zonder dat zij lager mogen zijn dan politiestraffen. De rechter kan ook een van die straffen afzonderlijk toepassen. Indien alleen gevangenisstraf bepaald is, kan de rechter die straf vervangen door geldboete van ten hoogste vijfhonderd frank. Indien ontzetting van de in artikel 31 genoemde rechten (...) voorgeschreven of toegelaten is, kan de rechter die straf uitspreken voor een termijn van een jaar tot vijf jaar, of in het geheel niet opleggen.

Artikel 44: sectoriële regels gedragscode

329

HOOFDSTUK IX. - Slotbepalingen.

Artikel 44

sectoriële regels

gedragscode INTERNATIONALE WETGEVING • Artikel 28 § 2 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad

betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): Elke Lid-Staat bepaalt dat de toezichthoudende autoriteiten worden geraadpleegd bij de opstelling van de wettelijke of bestuursrechtelijke bepalingen met betrekking tot de bescherming van de rechten en vrijheden van personen in verband met de verwerking van persoonsgegevens.

• Artikel 27 van de Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1995): 1. De Lid-Staten en de Commissie moedigen de opstelling aan van gedragscodes, die

bestemd zijn om naar gelang van de specifieke kenmerken van de sectoren bij te dragen tot een goede toepassing van de ter uitvoering van deze Richtlijn door de Lid-Staten vastgestelde nationale bepalingen.

2. De Lid-Staten bepalen dat beroepsverenigingen en andere

vertegenwoordigingsorganen van andere categorieën van voor de verwerking verantwoordelijken die ontwerpen van nationale gedragscodes hebben opgesteld, of voornemens zijn bestaande nationale codes te wijzigen of te verlengen, deze voor advies aan de nationale autoriteit kunnen voorleggen.

De Lid-Staten bepalen dat deze autoriteit zich er inzonderheid van vergewist dat de

haar voorgelegde ontwerpen in overeenstemming zijn met de ter uitvoering van deze Richtlijn vastgestelde nationale voorschriften. Desgewenst neemt zij de opmerkingen van de betrokkenen of van hun vertegenwoordigers in ontvangst.

3. De ontwerpen van communautaire codes, alsmede wijzigingen of verlengingen van

bestaande communautaire codes, kunnen aan de in artikel 29 bedoelde Groep worden voorgelegd. Deze spreekt er zich met name over uit of de haar voorgelegde ontwerpen in overeenstemming zijn met de ter uitvoering van deze Richtlijn vastgestelde nationale bepalingen. Desgewenst neemt zij de opmerkingen van de betrokkenen of van hun vertegenwoordigers in ontvangst. De Commissie kan zorg dragen voor een passende bekendmaking van de gedragscodes waarover de Groep een gunstig advies heeft uitgebracht.

De Koning kan bij een in Ministerraad overlegd besluit, na advies van de Commissie voor de bescherming van de persoonlijke levenssfeer, nadere regels


330

stellen voor de toepassing van de bepalingen van deze wet teneinde rekening te houden met de specificiteit van de onderscheiden sectoren. Beroepsverenigingen en andere organisaties die categorieën van verantwoordelijken voor de verwerking vertegenwoordigen, die ontwerpen van gedragscodes hebben opgesteld of voornemens zijn bestaande gedragscodes te wijzigen of te verlengen, kunnen deze voorleggen aan de Commissie voor de bescherming van de persoonlijke levenssfeer. De Commissie vergewist er zich in het bijzonder van dat de haar voorgelegde ontwerpen in overeenstemming zijn met deze wet en met haar uitvoeringsbesluiten, en onderzoekt, voor zover dat mogelijk is, de standpunten van de betrokkenen of van hun vertegenwoordigers. ADVIEZEN VAN DE GROEP 29 • Groep 29, Toekomstige werkzaamheden op het gebied van gedragscodes: Werkdocument

betreffende de procedure voor de beoordeling van communautaire gedragscodes door de Groep (10 september 1998 – WP 13): Dit werkdocument geeft een uiteenzetting van de door belanghebbenden te volgen procedure voor de indiening van communautaire gedragscodes en de daaropvolgende evaluatie door de Groep overeenkomstig het bepaalde in de artikelen 27 en 29 van Richtlijn 95/46/EG. Iedere voor de sector representatieve organisatie die in een aanmerkelijk aantal lidstaten gevestigd of actief is kan bij de Groep een ontwerp-gedragscode ter beoordeling door de Werkgroep indienen Deze ontwerp-code moet zorgvuldig zijn opgesteld, bij voorkeur in overleg met de degenen op wie de gegevens betrekking hebben of hun vertegenwoordigers, en moet duidelijk de organisatie of sector aangeven waarvoor de code is bedoeld. De ontwerp-code moet in een Gemeenschapstaal worden ingediend, voorzien van vertalingen in het Engels en Frans en vergezeld zijn van een toelichting. De voorzitter beoordeelt of een ingediende ontwerp-code aan de aanvaardingscriteria voldoet. Indien de voorzitter van mening is dat niet aan de criteria wordt voldaan, stelt hij de leden van de Groep daarvan in kennis en bepaalt een tijdslimiet voor reacties. De ingediende ontwerp-codes die aan de aanvaardingscriteria voldoen, worden aan alle leden van de groep toegezonden. Het secretariaat stelt in overleg met de voorzitter ter voorbereiding van het advies voorstellen op die in de Groep worden besproken. Bij de voorbereiding van het advies kan met de indienende partij en andere belanghebbenden contact worden opgenomen De Groep stelt vast of een ingediende gedragscode: (I) voldoet aan de Richtlijnen op het gebied van gegevensbescherming en, voor zover van toepassing, aan de nationale voorschriften op basis van deze Richtlijnen, (II) van toereikende kwaliteit en intern consistent is en voldoende waarde toevoegt aan de Richtlijnen en andere regelgeving op het gebied van gegevensbescherming en met name of de ontwerpcode voldoende is toegespitst op de problemen rond gegevensbescherming in de organisatie of sector waarvoor hij is bedoeld en voor deze vragen en problemen voldoende duidelijke oplossingen biedt. Indien een advies negatief is, wordt het met redenen omkleed. De Commissie kan zo nodig voor openbaarmaking van het advies van de Groep zorgen

• Groep 29, Advies 3/2003 over de Europese gedragscode van de FEDMA voor het gebruik

van persoonsgegevens bij direct marketing (13 juni 2003 – WP 77): De Groep is van mening dat de gedragscode van de FEDMA overeenstemt met de Richtlijn 95/46/EG en voldoende meerwaarde toevoegt aan die Richtlijn in die mate dat deze duidelijk gericht is op de vragen en problemen rond gegevensbescherming in de direct marketingsector en


331

heldere oplossingen voorstelt voor de eventuele voorkomende moeilijkheden. De gedragscode komt tegemoet aan de vereisten van artikel 27 van de Richtlijn.

Artikel 45: vernietiging gegevens oorlogstijd

332

Artikel 45

vernietiging gegevens oorlogstijd De Koning kan de overheden aanwijzen welke in oorlogstijd of in de tijd die overeenkomstig artikel 7 van de wet van 12 mei 1927 op de militaire opeisingen daarmee gelijkstaat, alsmede tijdens de bezetting van het Belgisch grondgebied door de vijand, het bevel geven om de verwerkte gegevens te vernietigen of die zelf belast zijn met de vernietiging van die gegevens. De Koning kan tevens de bedragen vaststellen van de vergoeding voor de vernietigingen bepaald in het vorige lid. Met geldboete van honderd euro tot honderdduizend euro wordt gestraft, hij die de besluiten ter uitvoering van het eerste lid, overtreedt of ten onrechte gebruikt, dan wel misbruik maakt van het daarin bepaalde recht tot vernietiging. VERWIJZING NAAR ANDERE WETGEVING • Artikel 7 van de Wet van 12 mei 1927 op de militaire opeisingen, B.S. 25 mei 1927: Staat

met oorlogstijd gelijk, de tijd wanneer de troepen op mars zijn, samengetrokken worden of gekantonneerd liggen om te waken over 's lands veiligheid op de grenzen, het vervullen zijner verplichtingen krachtens de verdragen, de handhaving der orde en de uitvoering der wetten. Die omstandigheden worden, in gemeen overleg, bepaald door de ministers van binnenlandse zaken en volksgezondheid en van landsverdediging, die de burgerlijke en militaire overheden daarvan te gepasten tijde verwittigen.

Artikel 46

333

Artikel 46 <Wijzigingsbepaling van art. 580, 14° van het GERW 1967-10-10/03>

Artikel 47

334

Artikel 47 <Wijzigingsbepaling van art. 587 van het GERW 1967-10-10/03>

Artikel 48

335

Artikel 48 <Wijzigingsbepaling van art. 5, tweede lid van de W 1983-08-08/36>

Artikel 49

336

Artikel 49 1° <Wijzigingsbepaling van art. 18, eerste lid van de W 1990-01-15/31> 2° <Wijzigingsbepaling van art. 44, zesde lid van de W 1990-01-15/31> 3° <opheffingsbepaling van art. 92 van W 1990-01-15/31> 4° <opheffingsbepaling van art. 92bis van W 1990-01-15/31>

Artikel 50

337

Artikel 50 <Wijzigingsbepaling van de §§ 4 en 5 van art. 25 van KB 1968-03-16/31>

Artikel 51

338

Artikel 51 1° <Wijzigingsbepaling van art. 70, §1 van de W 1991-06-12/30> 2° <opheffingsbepaling van art. 72, §1, van W 1991-06-12/30> 3° <Wijzigingsbepaling van art. 72, § 5 van de W 1991-06-12/30>

Artikel 52

339

Artikel 52 Iedere bepaling van deze wet treedt in werking op de datum bepaald door de Koning en uiterlijk op de eerste dag van de vierentwintigste maand volgend op die waarin zij in het Belgisch Staatsblad is bekendgemaakt. De Koning bepaalt de termijn binnen dewelke de houder van een bestand zich naar de bepalingen van deze wet dient te schikken voor de verwerkingen die op het ogenblik van hun inwerkingtreding bestaan.

index

340

INDEX

verwijzing naar andere wetgeving Verwijzing naar andere wetgevingen door de Privacy Wet Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, Publicatieblad, L 281/31 van 23 november 1995. Strafwetboek Wet van 12 mei 1927 op de militaire opeisingen, B.S., 25 mei 1927. Wet van 29 juni 1964 betreffende de opschorting, het uitstel en de probatie, B.S., 17 juli 1964. Wet van 4 juli 1962 betreffende de openbare statistiek, B.S., 20 juli 1962. Bijzondere wet van 12 januari 1989 met betrekking tot de Brusselse Instellingen, B.S., 14 januari 1989.. Wet van 15 januari 1990 houdende oprichting en organisatie van een Kruispuntbank van de sociale zekerheid, B.S., 22 februari 1990. Wet van 18 juli 1989 tot regeling van het toezicht op politie- en inlichtingendiensten en op het Coördinatieorgaan voor de dreigingsanalyse, B.S., 26 juli 1991. Wet van 22 augustus 2002 betreffende de rechten van de patiënt, B.S., 26 september 2002. Wet van 26 februari 2003 tot wijziging van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens en van de wet van 15 januari 1990 houdende oprichting en organisatie van een Kruispuntbank van de Commissie voor de bescherming van de persoonlijke levenssfeer en tot uitbreiding van haar bevoegdheden, B.S., 26 juni 2003. Wet van 11 januari 1993 tot voorkoming van het gebruik van het financiële stelsel voor het witwassen van geld en de financiering van terrorisme, B.S., 9 februari 2003. Programmawet (I) van 24 december 2003 (art. 479) - Titel XIII - Hoofdstuk VI : Voogdij over niet-begeleide minderjarige vreemdelingen., B.S., 31 december 2002. Koninklijk besluit van 10 juli 1997. SECTORALE COMITES (artikel 31bis en artikel 36 bis van de Privacy Wet) Wet van 4 juli 1962 betreffende de openbare statistiek, B.S., 20 juli 1962 (wijzigingen door de Wet van 22 maart 2006 ingevoerd betreffende het Sectoraal comité, B.S., 21 april 2006). Wet van 8 augustus 1983 tot regeling van een Rijksregister van de natuurlijke personen, B.S., 21 april 1984.

index

341

Wet van 15 januari 1990 houdende oprichting en organisatie van een Kruispuntbank van de sociale zekerheid, B.S., 22 februari 1990. Wet van 16 januari 2003 tot oprichting van een Kruispuntbank van Ondernemingen, tot modernisering van het handelsregister, tot oprichting van erkende ondernemingsloketten en houdende diverse bepalingen, B.S., 5 februari 2003. Wet van 10 augustus 2005 tot oprichting van het informatiesysteem Phenix, B.S., 1 september 2005. Koninklijk besluit van 17 december 2003 tot vaststelling van de nadere regels met betrekking tot de samenstelling en de werking van bepaalde sectorale comités opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer, B.S., 30 december 2003. Koninklijk besluit van 7 juni 2007 tot vaststelling van de nadere regels met betrekking tot de samenstelling en de werking van het Statistisch Toezichtcomité opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer, B.S., 20 juni 2007.

index

342

internationale wetgeving INTERNATIONAAL VERENIGDE NATIES10 Universele Verklaring van de Rechten van de Mens (UVRM – 10 december 1948). Guidelines of the United Nations for the Regulation of Computerized Personal Data Files (1990). Internationaal Verdrag inzake Burgerrechten en Politieke Rechten (BUPO verdrag – 1966). General Comment No. 16: (Art. 17 BUPO-Verdrag) van het Human Rights Committee. Organisatie voor Economische Samenwerking en Ontwikkeling (OESO)11 Guidelines of the Organisation for Economic Co-operation and Development (OECD) governing the protection of privacy and transborder flows of personal data (1980) RAAD VAN EUROPA Europees Verdrag van de rechten van de mens12 Verdrag tot Bescherming van de Rechten van de Mens en de Fundamentele Vrijheden aangenomen op 4 november 1950 (Europees Verdrag van de rechten van de mens – EVRM). Verdrag n°10813 Verdrag tot bescherming van personen ten opzichte van de geautomatiseerde verwerking van persoonsgegevens (STE Nr. 108), aangenomen in Straatsburg op 28 januari 1981 (Verdrag Nr. 108). Verdrag nr. 108 van de Raad van Europa tot bescherming van personen ten opzichte van de geautomatiseerde verwerking van persoonsgegevens (1981) – Explanatory Report. Amendment to Convention ETS No.108 allowing the European Communities to accede (adopted the 15 June 1999). Additional Protocol to the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data regarding supervisory authorities and transborder data flows (STE n°181), aangenomen in Strasbourg op 8 November 2001.

10 Documenten van de Verenigde Naties zijn beschikbaar op http://www.unchr.ch 11 Documenten van OESO zijn beschikbaar op http://www.oecd.org. 12 Het Europees Verdrag van de rechten van de mens is beschikbaar op http://www.echr.coe.int/ECHR/FR/Header/Basic+Texts/Basic+Texts/The+European+Convention+on+Human+Rights+and+its+Protocols/. 13 Het Verdrag n°108 is beschikbaar op (rubriek “Documents”) http://www.coe.int/T/F/Affaires_juridiques/Coop%E9ration_juridique/Protection_des_donn%E9es/

index

343

Additional Protocol to the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data regarding supervisory authorities and transborder data flows – Explanatory Memorandum. Sectorale aanbevelingen14 Recommendation N°. R (2002) 9 on the protection of personal data collected and processed for insurance purposes (18 September 2002) and Explanatory Memorandum. Recommendation N°. R (99) 5 for the protection of privacy on the Internet (23 February 1999). Recommendation N°. R (97) 18 on the protection of personal data collected and processed for statistical purposes (30 September 1997) and Explanatory Memorandum. Recommendation N°. R (97) 5 on the protection of medical data (13 February 1997) and Explanatory Memorandum. Recommendation N°. R (95) 4 on the protection of personal data in the area of telecommunication services, with particular reference to telephone services (7 February 1995) and Explanatory Memorandum Recommendation N°. R (91) 10 on the communication to third parties of personal data held by public bodies (9 September 1991) and Explanatory Memorandum. Recommendation N°. R (90) 19 on the protection of personal data used for payment and other operations (13 September 1990) and Explanatory Memorandum. Recommendation N°. R (89) 2 on the protection of personal data used for employment purposes (18 January 1989) and Explanatory Memorandum. Recommendation N°. R (87) 15 regulating the use of personal data in the police sector (17 September 1987) First evaluation of the relevance of recommendation N°. R (87) 15 regulating the use of personal data in the police sector, done in 1994. Second evaluation of the relevance of recommendation N°. R (87) 15 regulating the use of personal data in the police sector, done in 1998. Report on the third evaluation of the relevance of recommendation N°. R (87) 15 regulating the use of personal data in the police sector, done in 2002. Recommendation N°. R (86) on the protection of personal data for social security purposes (23 January 1986) and Explanatory Memorandum. Recommendation N°. R (85) 20 on the protection of personal data used for the purposes of direct marketing (25 October 1985). Recommendation No.R(83) 10 on the protection of personal data used for scientific research and statistics (23 September 1983) [replaced by Recommendation No. R(97) 18 with regard to statistics]. Recommendation No.R(81) 1 on regulations for automated medical data banks (23 January 1981) [replaced by Recommendation No. R (97) 5].

14 De sectorale aanbevelingen en resoluties zijn beschikbaar op http://www.coe.int/T/F/Affaires_juridiques/Coop%E9ration_juridique/Protection_des_donn%E9es/ (rubriek Documents).

index

344

Sectorale resoluties Resolution (74) 29 on the protection of individuals vis-à-vis electronic data banks in the public sector. Resolution (73) 22 on the protection of privacy of individuals vis-à-vis electronic data banks in the private sector EUROPESE UNIE Wetgeving15 Handvest van de grondrechten van de Europese Unie aangenomen op 4 december 2000.16 Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, Publicatieblad, L 281/31 van 23 november 1995. Verordening (EG) Nr. 45/2001 van het Europees Parlement en de Raad van 18 december 2000 betreffende de bescherming van natuurlĳke personen in verband met de verwerking van persoonsgegevens door de communautaire instellingen en organen en betreffende het vrĳe verkeer van die gegevens. Internationaal akkoord Beschikking 2000/520/CE van de Commissie van 26 juli 2000 overeenkomstig Richtlijn 95/46/EG van het Europees Parlement en de Raad, betreffende de gepastheid van de bescherming geboden door de Veiligehavenbeginselen voor de bescherming van de persoonlijke levenssfeer en de daarmee verband houdende Vaak gestelde vragen, die door het ministerie van Handel van de Verenigde Staten zijn gepubliceerd, Publicatieblad van 25 augustus 2000, L 215/7 Gegevensbeschermingspanel (in verband met de vaak gestelde vragen 5 en 9,die door het ministerie van Handel van de Verenigde Staten zijn gepubliceerd als bijlage bij Beschikking 2000/520/EG van de Commissie betreffende de gepastheid van de bescherming geboden door de Veiligehavenbeginselen zijn gevoegd). Standaardklachtenformulier voor de niet-naleving van de "veilige havenbeginselen van de VS ter bescherming van de persoonlijke levenssfeer" die bij beschikking 2000/5201 van de Commissie zijn gevoegd. Agreement between the European Union and the United States of America on the processing and transfer of passenger name record (PNR) data by air carriers to the United States Department of Homeland Security, Publicatieblad van 27 oktober 2006, L 298/29. Council Decision 2006/729/CFSP/JHA of 16 October 2006 on the signing, on behalf of the European Union, of an Agreement between the European Union and the United States of America on the processing and transfer of passenger name record (PNR) data by air carriers to the United States Department of Homeland Security, Publicatieblad van 27 oktober 2006, L. 298/27. Letter to the Council Presidency and the Commission from the Department of Homeland Security (DHS) of the United States of America, concerning the interpretation of certain provisions of the undertakings issued by DHS on 11 MAY 2004 in connection with the transfer by air carriers of passenger name record (PNR) data, Publicatieblad van 27 oktober 2006, L 259/1.

15 Zie http://ec.europa.eu/justice_home/fsj/privacy/law/index_fr.htm 16 Zie http://www.europarl.europa.eu/comparl/libe/elsj/charter/default_fr.htm

index

345

Reply by the Council Presidency and the Commission to the letter from the USA’s Department of Homeland Security, J.O. du 27 octobre 2006, C 259/4. Council Decision 2007/551/PESC/JHA of 23 July 2007 on the signing, on behalf of the European Union, of an agreement between the European Union and the United States of America on the processing and transfer of Passenger Name Record (PNR) data by air carriers to the United States Department of Homeland Security (DHS) (PNR agreement 2007). Modelcontractbepalingen17 Beschikking 2004/915/EG van de Commissie van 27 december 2004 tot wijziging van Beschikking 2001/497/EG betreffende de invoering van alternatieve modelcontractbepalingen voor de doorgifte van persoonsgegevens naar derde landen, Publicatieblad, L 385/74 van 29 december 2004. Beschikking 2001/497/EG van de Commissie van 15 juni 2001 betreffende modelcontractbepalingen voor de doorgifte van persoonsgegevens naar derde landen krachtens Richtlĳn 95/46/EG, Publicatieblad, L 181/19 van 4 juli 2001. Beschikking 2002/16/EG van de Commissie van 27 december 2001 betreffende modelcontractbepalingen voor de doorgifte van persoonsgegevens naar in derde landen gevestigde verwerkers krachtens Richtlĳn 95/46/EG, Publicatieblad, L 6/52 van 10 januari 2002. Beschikking betreffende de passende bescherming van persoonsgegevens18 Beschikking 2000/518/EG van de Commissie van 26 juli 2000 overeenkomstig richtlijn 95/46/CE van het Europees Parlement en de Raad betreffende de passende bescherming van persoonsgegevens in Zwitserland, , Publicatieblad., L 215/1 van 25 augustus 2000. Beschikking 2000/520/EG van de Commissie van 26 juli 2000 overeenkomstig richtlijn 95/46/CE van het Europees Parlement en de Raad betreffende de gepastheid van de bescherming geboden door de Veiligehavenbeginselen en de daarmee verband houdende Vaak gestelde vragen die door het ministerie van Handel van de Verenigde Staten zijn gepubliceerd (Safe Harbor), Publicatieblad., L 215/7 van 25 augustus 2000. Beschikking 2002/2/EG van de Commissie van 20 december 2001 overeenkomstig richtlijn 95/46/CE van het Europees Parlement en de Raad betreffende de passende bescherming van persoonsgegevens geboden door de Canadese Personal Information Protection and Electronic Documents Act, Publicatieblad., L 2/13 van 4 januari 2002. Beschikking 2003/1731 van de Commissie van 30 juni 2003 overeenkomstig richtlijn 95/46/CE van het Europees Parlement en de Raad betreffende de passende bescherming van persoonsgegevens in Argentinië, Publicatieblad, L 168 van 5 juli 2003. Beschikking 2003/821/EG van de Commissie van 21 november 2003 over de passende bescherming van persoonsgegevens op Guernsey, Publicatieblad, L 308 van 25 november 2003. Commission Decision 2004/411/EC of 28 April 2004 on the adequate protection of personal data in the Isle of Man, Publicatieblad, L 151 van 30 april 2004. Council Decision 2006/729/PESC/JHA of 16 Octobre 2006 on the signing, on behalf of the European Union, of an agreement between the European Union and the United States of America on the processing and transfer of Passenger Name Record (PNR) data by air carriers to the United States Department of Homeland Security, Publicatieblad, L 298/27 du 27 octobre 2006.

17 Zie http://ec.europa.eu/justice_home/fsj/privacy/modelcontracts/index_fr.htm 18 Zie http://ec.europa.eu/justice_home/fsj/privacy/thridcountries/index_en.htm

index

346

adviezen van de Groep 29 19 1996 Groep 29, Huishoudelijk reglement goedgekeurd door de Groep tijdens zijn derde vergadering op 11 september 1996. 1997 Groep 29, Aanbeveling 1/97: Wetgeving inzake gegevensbescherming en de media (25 februari 1997 – WP1). Groep 29, Eerste richtsnoeren voor de doorgifte van persoonsgegevens naar derde landen. Voorstel inzake een methode voor de beoordeling van het passend karakter van het beschermingsniveau (26 juni 1997- WP 4). Groep 29, Aanbeveling 3/97: Anonimiteit op Internet (3 december 1997 – WP 8). Groep 29, Werkdocument: aanmelding (3 december 1997 – WP 8). 1998 Groep 29, Werkdocument: Doorgifte van persoonsgegevens naar derde landen: toepassing van de artikelen 25 en 26 van de EU-richtlijn betreffende gegevensbescherming (24 juli 1998 – WP 12) Groep 29, Toekomstige werkzaamheden op het gebied van gedragscodes: Werkdocument betreffende de procedure voor de beoordeling van communautaire gedragscodes door de Groep (10 september 1998 – WP 13): 1999 Groep 29, Advies 1/99 over het niveau van gegevensbescherming in de Verenigde Staten en het lopend overleg tussen de Europese Commissie en de regering van de Verenigde Staten (26 januari 1999 – WP 15). Groep 29, Aanbeveling 2/99 betreffende de bescherming van de persoonlijke levenssfeer in het kader van de interceptie van telecommunicatieverkeer (3 mei 1999 – WP 18). Groep 29, Advies 2/99 over het passend karakter van de “International Safe Harbor Principles” die op 19 april 1999 door het Amerikaanse ministerie van Handel zijn gepubliceerd (3 mei 1999 – WP 19). Groep 29, Advies 3/99 Advies 3/99 betreffende Overheidsinformatie en de bescherming van persoonsgegevens. Bijdrage aan de raadpleging naar aanleiding van het groenboek van de Europese Commissie getiteld “Overheidsinformatie: een essentiële hulpbron voor Europa”,COM (1998)585 (3 mei 1999 – WP 20). Groep 29, Advies 4/99 over de door het Amerikaanse ministerie van Handel te publiceren vaak gestelde vragen (FAQ's) met betrekking tot de voorgestelde "Beginselen voor een veilige haven" (7 juni 1999 – WP 21). Groep 29, Advies 5/99 inzake het beschermingsniveau van persoonsgegevens in Zwitserland (7 juni 1999 – WP 22).

19 Deze documenten zijn beschikbaar op (Rubriek "Documents adopted"): http://ec.europa.eu/justice_home/fsj/privacy/workinggroup/index_en.htm

index

347

Groep 29, Werkdocument over de huidige stand van de lopende beraadslagingen tussen de Europese Commissie en de regering van de VS betreffende de "Internationale veiligehavenbeginselen" (7 juli 1999 – WP 23). Groep 29, Advies 6/99 over het passend beschermingsniveau in Hongarije (7 september 1999 – WP 24). Groep 29, Aanbeveling 3/99 over de bewaring van verkeersgegevens door Internetdienstenaanbieders voor wetshandhavingsdoeleinden (7 september 1999 – WP 25). Groep 29, Aanbeveling 4/99 over de opname van het grondrecht op gegevensbescherming in de Europese grondrechten (7 december 1999 – WP 26). Groep 29, Advies 7/99 over het niveau van gegevensbescherming dat door de "veilige haven"-beginselen wordt geboden, die samen met de vaak gestelde vragen (FAQ's) en andere documenten op 15 en 16 november 1999 door het ministerie van Handel van de VS zijn gepubliceerd (3 december 1999 – WP 27). 2000 Groep 29, Advies 3/2000 Over de dialoog tussen de EU en de VS over de veiligehavenregeling (16 maart 2000 – WP 31). Groep 29, Advies 4/2000 over het beschermingsniveau van de "Beginselen voor een veilige haven" (16 mei 2000 – WP 32). Groep 29, Advies 5/2000 over Het gebruik van openbare abonneelijsten voor omgekeerd zoeken of zoeken met meervoudige criteria (Omgekeerde abonneelijsten) (13 juli 2000 – WP 33). Groep 29, Advies 6/2000 over het menselijk genoom (13 juli 2000 – WP 34). Groep 29, Advies 7/2000 over het door de Europese Commissie ingediende voorstel voor een Richtlijn van het Europees Parlement en de Raad betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie (12 november 2000 – WP 36). 2001 Groep 29, Advies 1/2001 over de ontwerp-beschikking van de Commissie betreffende modelcontractbepalingen voor de doorgifte van persoonsgegevens naar derde landen krachtens artikel 26, lid 4, van Richtlijn 95/46/EG (16 januari 2001 – WP 38). Groep 29, Advies 2/2001 over de gepastheid van de Canadese Personal Information and Electronic Documents Act (26 januari 2001 – WP 39). Groep 29, Advies 3/2001 over het beschermingsniveau van de Australische wet 2000 tot wijziging (particuliere sector) van de privacywet (26 januari 2001 – WP 40). Groep 29, Advies 4/2001 over het ontwerp-verdrag van de Raad van Europa inzake cybercriminaliteit (22 maart 2001 – WP 41). Groep 29, Aanbeveling 1/2001 over beoordelingsgegevens betreffende werknemers (22 maart 2001 - WP 42). Groep 29, Aanbeveling inzake bepaalde minimumeisen voor het online verzamelen van persoonsgegevens in de Europese Unie (17 mei 2001 – WP 43).

index

348

Groep 29, Advies 7/2001 over de ontwerp-beschikking van de Commissie (versie van 31 augustus 2001) betreffende modelcontractbepalingen voor de doorgifte van persoonsgegevens naar in derde landen gevestigde verwerkers krachtens artikel 26, lid 4, van Richtlijn 95/46 (13 september 2001 – WP 47). Groep 29, Advies 8/2001 over gegevensverwerking in de werkomgeving (13 september 2001 – WP 48). Groep 29, Advies 9/2001 over de mededeling van de Commissie “De informatiemaatschappij veiliger maken door de informatie-infrastructuur beter te beveiligen en computercriminaliteit te bestrijden” (5 november 2001 – WP 51). Groep 29, Advies 10/2001 betreffende de behoefte aan een evenwichtige aanpak in de strijd tegen Terrorisme (14 december 2001 – WP 53). 2002 Groep 29, Werkdocument over de controle op elektronische communicatie op het werk (29 mei 2002 – WP 55). Groep 29, Werkdocument betreffende de internationale toepassing van de gegevensbeschermingswetgeving van de EU op de verwerking van persoonsgegevens op internet door websites van buiten de EU (30 mei 2002 – WP 56). Groep 29, Ontwerp-werkdocument over de werking van de veiligehavenovereenkomst (2 juli 2002 – WP 62). Groep 29, Advies 4/2002 over het niveau van persoonsgegevensbescherming in Argentinië (3 oktober 2002 – WP 63): Groep 29, Advies 5/2002 over de verklaring van de Europese functionarissen voor gegevensbescherming tijdens de internationale conferentie van Cardiff (9-11 september 2002) over het verplicht systematisch bewaren van telecommunicatieverkeersgegevens (11 oktober 2002 – WP 64). Groep 29, Werkdocument over zwarte lijsten (3 oktober 2002 – WP 65). Groep 29, Advies 6/2002 over de doorgifte van informatie over passagiers, bemanningsleden en ander gegevens door de luchtvaartmaatschappijen aan de Verenigde Staten (24 oktober 2002 – WP 66). Groep 29, Werkdocument over de verwerking van persoonsgegevens met videobewaking (25 november 2002 – WP 67). 2003 Groep 29, Advies 1/2003 over de opslag van verkeersgegevens ten behoeve van facturering (29 januari 2003 – WP69). Groep 29, Werkdocument over de e-overheid (8 mei 2003 – WP 73). Groep 29, Werkdocument: doorgifte van persoonsgegevens naar derde landen: toepassing van artikel 26(2) van de richtlijn van de Europese Unie met betrekking tot de gegevensbescherming bij bindende ondernemingsregels van toepassing op de internationale doorgifte van gegevens (3 juni 2003 – WP 74).

index

349

Groep 29, Advies 3/2003 over de Europese gedragscode van de FEDMA voor het gebruik van persoonsgegevens bij direct marketing (13 juni 2003 – WP 77). Groep 29, Advies 4/2003 over het in de VS voor de doorgifte van passagiersgegevens gewaarborgde beschermingsniveau (13 juni 2003 – WP 78). Groep 29, Advies 5/2003 over het niveau van persoonsgegevensbescherming in Guernsey (13 juni 2003 – WP 79). Groep 29, Werkdocument over biometrie (1 augustus 2003 – WP 80). Groep 29, Advies 6/2003 over het persoonsgegevensbeschermingsniveau op het Eiland Man (21 november 2003 – WP 82). Groep 29 Advies 7/2003 inzake het hergebruik van overheidsinformatie en de bescherming van persoonsgegevens (12 december 2003 – WP 83). Groep 29, Advies 8/2003 over de ontwerp-modelcontractbepalingen ingediend door een groep verenigingen van ondernemingen (“het alternatieve modelcontract”) (17 december 2003 – WP 84). 2004 Groep 29, Advies 1/2004 over het beschermingsniveau dat in Australië wordt gewaarborgd bij de doorgifte van PNR-gegevens van luchtvaartmaatschappijen (16 januari 2004 – WP 85). Groep 29, Advies 2/2004 over de passende bescherming van in het PNR van passagiers vervatte persoonsgegevens die aan het Bureau of Customs and Border Protection van de Verenigde Staten (US CBP) worden doorgegeven (9 januari 2004 – WP 87). Groep 29, Advies 3/2004 over het beschermingsniveau dat geboden wordt door Canada voor de doorgifte van passagiersdossiers en geanticipeerde informatie over de reizigers door luchtvaartmaatschappijen (11 februari 2004 – WP 88). Groep 29, Advies 4/2004 over de verwerking van persoonsgegevens met videobewaking (11 februari 2004 – WP 89). Groep 29, Advies 5/2004 betreffende ongewenste communicatie voor marketingdoeleinden in de context van artikel 13 van Richtlijn 2002/58/EG (27 februari 2004 – WP 90). Groep 29, Werkdocument over genetische gegevens (17 maart 2004 – WP 91). Groep 29, Advies 6/2004 betreffende de tenuitvoerlegging van de Beschikking van de Commissie van 14-V-2004 voor de passende bescherming van persoonsgegevens in de dossiers over vliegtuigpassagiers (Passenger Name Records – PNR) die worden doorgegeven aan het bureau voor douane en bescherming van de grenzen van de Verenigde Staten en het akkoord tussen de Europese Gemeenschap en de Verenigde Staten van Amerika over de verwerking en de doorgifte van PNR gegevens door de luchtvaartvervoerders aan het Amerikaans Ministerie voor binnenlandse veiligheid, bureau voor douane en bescherming van de grenzen (22 juni 2004 – WP 95) en Advies 8/2004 inzake de informatie voor passagiers in verband met de doorgifte van PNR-gegevens op vluchten tussen de Europese Unie en de Verenigde Staten van Amerika (30 september 2004 – WP97). Groep 29, Advies 8/2004 inzake de informatie voor passagiers in verband met de doorgifte van PNR-gegevens op vluchten tussen de Europese Unie en de Verenigde Staten van Amerika (30 september 2004 – WP 97).

index

350

Groep 29, Advies 9/2004 betreffende het ontwerp van kaderbesluit over de bewaring van verwerkte en opgeslagen gegevens in verband met publiekelijk ter beschikking staande elektronische communicatiediensten of gegevens op openbare communicatienetwerken met het oog op preventie, onderzoek opsporing en vervolging van misdaden met inbegrip van terrorisme (voorstel ingediend door Frankrijk, Ierland, Zweden en Groot-Brittannië, document van de raad 8958/04 van 28 april 2004) (9 november 2004 - WP – 99). 2005 Groep 29, Advies 1/2005 over het niveau van bescherming in Canada voor de doorgifte van Passenger Name Records en Advanced Passenger Information door Luchtvaartmaatschappijen (19 januari 2005 – WP 103). Groep 29, Werkdocument over problematiek van bescherming van gegevens verbonden aan RFID-technologie (radio-identificatie) (19 januari 2005 – WP 105). Groep 29, Verslag van de Werkgroep “artikel 29” over de verplichting van aangifte bij controleautoriteiten, het optimaal gebruik van uitzonderingen en vereenvoudiging en de rol van de functionaris voor bescherming van persoonsgegevens in de Europese Unie (18 januari 2005 – WP 106). Groep 29, Werkdocument over de samenwerkingsprocedure voor het uitbrengen van een gemeenschappelijk advies over het passend beschermingsniveau dat wordt aangeboden door de “bindende ondernemingsregels” (14 april 2005 – WP 107). Groep 29, Werkdocument voor het opstellen van een modelcontrolelijst voor een aanvraag tot goedkeuring van bindende ondernemingsregels 14 april 2005 – WP 108). Groep 29, Advies 4/2005 over het voorstel voor een Richtlijn van het Europees Parlement en de Raad betreffende de bewaring van gegevens die zijn verwerkt in verband met het aanbieden van openbare elektronischecommunicatiediensten en tot wijziging van Richtlijn 2002/58/EG (COM(2005) 438 definitief van 21.9.2005) (21 oktober 2005 – WP 113). Groep 29, Werkdocument over een gemeenschappelijke interpretatie van artikel 26, lid 1, van Richtlijn 95/46/EG van 24 oktober 1995 (25 november 2005 – WP 114). 2006 Groep 29, Advies 1/2006 over de toepassing van de EU-gegevensbeschermingsregels op interne klokkenluidersregelingen in de sfeer van boekhouding, interne boekhoudcontrole, auditing en bestrijding van omkoping en van bancaire en financiële criminaliteit (1 februari 2006 – WP 117). Groep 29, Advies 3/2006 inzake Richtlijn 2006/24/EG van het Europees Parlement en de Raad betreffende de bewaring van gegevens die worden gegenereerd of verwerkt in verband met het aanbieden van openbare elektronische communicatiediensten of van openbare communicatienetwerken en tot wijziging van Richtlijn 2002/58/EG (25 maart 2006 – WP 119). Groep 29, Advies 4/2006 inzake de Notice of proposed rule making van het Department of Health and Human Services van de Verenigde Staten inzake de bestrijding van overdraagbare ziekten en het verzamelen van passagiersgegevens van 20 november 2005 (Control of Communicable Disease Proposed 42 CFR Parts 70 and 71) (14 juni 2006 – WP 121). Groep 29, Advies 5/2006 over het arrest van het Europees Hof van Justitie van 30 mei 2006 in de gevoegde zaken C-317/04 en C-318/04 betreffende de overdracht van ‘Passenger Name Records’ aan de Verenigde Staten (14 juni 2006 – WP 122).

index

351

Groep 29, Advies 7/2006 over het arrest van het Europees Hof van Justitie van 30 mei 2006 in de gevoegde zaken C-317/04 en C-318/04 betreffende de doorgifte van passagiersgegevens aan de Verenigde Staten en de urgente noodzaak van een nieuwe overeenkomst (27 september 2006 – WP 124). Groep 29, Werkdocument betreffende de gevolgen van het eCall-initiatief vanuit het oogpunt van bescherming van gegevens en van de persoonlijke levenssfeer (26 september 2006 – WP 125). Groep 29, Advies 10/2006 over de verwerking van persoonsgegevens door de Society for Worldwide Interbank Financial Telecommunication (SWIFT) (22 november 2006 – WP 128). 2007 Groep 29, Resolutie van de Werkgroep artikel 29 op de 1ste Europese dag van de gegevensbescherming (24 januari 2007 – WP 130). Groep 29, Werkdocument inzake de verwerking van persoonsgegevens betreffende gezondheid in elektronische medische dossiers (EMD) (15 februari 2007 – WP 131). Groep 29, Advies 2/2007 inzake informatieverstrekking aan passagiers over de doorgifte van PNR-gegevens aan de Amerikaanse overheid (15 februari 2007 – WP 132). Groep 29, Aanbeveling 1/2007 over de standaardprocedure voor goedkeuring van bindende ondernemingsregels voor de doorgifte van persoonsgegevens (10 januari 2007 – WP 133). Groep 29, Herziene en bijgewerkte beleid ter bevordering van de transparantie van de activiteiten van de Werkgroep opgericht bij artikel 29 van de richtlijn 95/46/EG (15 februari 2007 – WP 135). Groep 29, Advies 4/2007 over het begrip persoonsgegeven (20 juni WP 136). Groep 29, Report 1/2007 on the first joint enforcement action: evaluation and future steps (20 juni 2007 – WP 137). Groep 29, Advies 5/2007 over de follow-upovereenkomst tussen de Europese Unie en de Verenigde Staten van Amerika inzake de verwerking en overdracht van persoonsgegevens van passagiers (PNR-gegevens) door luchtvaartmaatschappijen aan het ministerie van Binnenlandse veiligheid van de Verenigde Staten van Amerika, gesloten in juli 2007 (17 augustus 2007 – WP 138). Groep 29, Opinion 6/2007 on data protection issues related to the Consumer Protection Cooperation System (CPCS) (20 september 2007 – WP 139). Groep 29, Opinion 7/2007 on data protection issues related to the Internal Market Information System (IMI) (20 september 2007 – WP 140).

index

352

studies en verslagen van de Raad van Europa Raad van Europa, Data protection and media (1990). Raad van Europa, The introduction and use of personal identification numbers: the data protection issues (1991). Raad van Europa, Model contract to ensure equivalent protection in the context of transborder data flows with explanatory report (1992). Raad van Europa, Revisiting Sensitive Data (1999), by Mr. Spiros SIMITIS. Raad van Europa, Protection of personal data with regard to surveillance (2000) and Guiding principles for the protection of individuals with regard to the collection and processing of data by means of video surveillance, by Mr. Giovanni BUTTARELLI. Raad van Europa, Report on the Impact of Data Protection Principles on Judicial Data in Criminal Matters including in the framework of Judicial Co-operation in Criminal Matters (2002). Raad van Europa, Guide to the preparation of contractual clauses governing data protection during the transfer of personal data to third parties not bound by an adequate level of data protection (2002). Raad van Europa, Third evaluation of Recommendation N° R (87) 15 regulating the use of personal data in the police sector (2002). Raad van Europa, Report containing guiding principles for the protection of individuals with regard to the collection and processing of data by means of video surveillance (2003). Raad van Europa, Progress report on the application of the principles of Convention 108 to the collection and processing of biometric data (2005). Raad van Europa, Oinion of the T-PD on the interpretation of the concepts of automatic processing and controller of the file in the context of worldwide telecommunications networks (mart 2007). Raad van Europa, Paper outlining the T-PD's initial remarks concerning a proposal for a Council framework decision on the protection of personal data processed in the framework of police and judicial co-operation in criminal matters (mart 2007).

index

353

rechtspraak van eerste aanleg van de Europese Gemeenschappen

rechtspraak van het Hof van Justitie van de Europese Gemeenschappen Hof van Justitie van de Europese Gemeenschappen (HvJ EG), Arrest van 14 september 2000, The Queen v. Minister of Agriculture, Fisheries & Food, Zaak C-369/98. Hof van Justitie van de Europese Gemeenschappen (HvJ EG), Arrest van 20 mei 2003, Rechnungshof t. Osterreichischer Rundfunk en andere, gevoegde zaken C-465/00, C-138/01 en C-139/01. Hof van Justitie van de Europese Gemeenschappen (HvJ EG), Arrest van 6 november 2003, Bodil Linqvist (prejudiciële vragen), - Zaak C-101/01. Hof van Justitie van de Europese Gemeenschappen (HvJ EG), Arrest van 30 mei 2006, Europees Parlement t. Raad van de Europese Unie en Commissie van de Europese Gemeenschappen, gevoegde zaken C-317/04 en C-318/04 (Arrest PNR). Het gerecht van eerste aanleg van de Europese Gemeenschappen (Tweede kamer), arrest van 12 december 2006, Organisatie van Volksmujahedeen van Iran t. Raad van de Europese Unie, zaak T-228 :02

index

354

rechtspraak van het Europees Hof voor de Rechten van de Mens20 Klass en anderen t. Duitsland van 6 september 1978, serie A, nr. 28 (geen schending van het Verdrag). Wet die de geheime diensten machtigt om in het geheim toezicht te houden op de communicaties per post of telefoon. Malone t. Verenigd Koninkrijk van 2 augustus 1984, serie A, nr. 82 (schending van artikel 8 van het Verdrag). Het onderscheppen van communicaties per post of per telefoon; leveren van inlichtingen verkregen via de "telling" van telefoons. Leander t. Zweden van 26 maart 1987, serie A, nr. 116 (schending van de artikelen 8, 10 en 13 van het Verdrag). Gebruikmaking van inlichtingen bewaard in een register van de geheime politie voor het onderzoek naar de geschiktheid van een persoon voor een functie die van belang is voor de nationale veiligheid. Gaskin t. Verenigd Koninkrijk van 7 juli 1989, serie A, nr. 160 (schending van artikel 8 van het Verdrag). Weigering om volledige inzake te verlenen in de persoonlijke dossiers bijgehouden door de sociale diensten aan een voorheen steuntrekkende persoon. Kruslin t. Frankrijk van 24 april 1990, serie A, nr. 176-A, en Huvig t. Frankrijk van 24 april 1990, serie A, nr. 176-B (schending van artikel 8 van het Verdrag). Het afluisteren van telefoongesprekken door een officier van de gerechtelijke politie per rogatoire commissie van een onderzoeksrechter. B. t. Frankrijk van 25 maart 1992, verzoek nr. 13343/87 (schending van artikel 8 van het Verdrag). Inperking van het briefgeheim. Weigering om de burgerlijke staat van een persoon te corrigeren ten gevolge van zijn geslachtsverandering. Lüdi t. Zwitserland van 15 juni 1992, serie A, nr. 238 (geen schending van het Verdrag). Het inzetten van afluisterapparatuur en gebruikmaking van een infiltrant. Niemietz t. Duitsland van 16 december 1992, serie A, nr. 251-B (schending van artikel 8 van het Verdrag). Huiszoeking in het kabinet van een advocaat in het kader van strafrechtelijke vervolging tegen een derde. Funke t. Frankrijk van 25 februari 1993, serie A, nr. 256-A, Crémieux t. Frankrijk van 25 februari 1993, serie A, nr. 256-B, en Miailhe t. Frankrijk van 25 februari 1993, serie A, nr. 256-C (schending van artikel 8 van het Verdrag). Huisbezoeken en inbeslagnames uitgevoerd door de douane. Hoffmann t. Oostenrijk van 23 juni 1993, serie A, nr. 255-C (schending van de artikelen 8 en 14 van het Verdrag). weigering van hoederrecht aan de moeder na de scheiding omwille van het feit dat ze behoort tot de getuigen van Jehova. A. t. Frankrijk van 23 november 1993, serie A, nr. 277-B (schending van artikel 8 van het Verdrag). Clandestiene opname van een telefoongesprek door een particulier met medewerking van een hoge politiefunctionaris. Murray t. Verenigd Koninkrijk van 28 oktober 1994, serie A, nr. 300-A (geen schending van het Verdrag). Betreffende een persoon verdacht van terrorisme, binnendringen en huiszoeking

20 Zie http://www.coe.int/echr

index

355

in zijn woonst met het oog op zijn arrestatie; inbewaringstelling van zijn persoonlijke gegevens en foto's zonder zijn toestemming. Z. t. Finland van 25 februari 1997, de gebundelde arresten en vonnissen 1997-1 (Artikel 8 van het Verdrag). Inbeslagname van medische bestanden en bijvoeging ervan aan het onderzoeksdossier zonder voorafgaande toestemming van de patiënt gedurende de strafrechtelijke vervolging; beperking van de vertrouwelijkheidstermijn voor de bedoelde medische gegevens; bekendmaking van de identiteit en de seroposiviteit van de betrokkene is een arrest dat tijdens de procedure werd geveld. Halford t. Verenigd Koninkrijk van 25 juni 1997, de gebundelde arresten en vonnissen, 1997-III (schending van de artikelen 8 en 13 van het Verdrag). Afluisteren van telefoongesprekken via een intern telecommunicatiesysteem van de politie en via een openbaar netwerk; ontbreken van reglementering in het nationaal recht. Anne-Marie Andersson t. Zweden van 27 augustus 1997, de gebundelde arresten en vonnissen 1997 – IV (geen schending van het Verdrag). Onmogelijkheid voor een patiënte om een maatregel voor de rechtbank aan te vechten zonder voorafgaande doorgifte van haar persoonlijke, medische en vertrouwelijke gegevens door de medische autoriteit aan een sociale dienst. M.S. t. Zweden van 27 augustus 1997, de gebundelde arresten en vonnissen 1997 – IV, (geen schending van het Verdrag). Mededeling van medische, vertrouwelijke, persoonlijke gegevens van een patiënte aan door een openbare overheid aan een andere openbare overheid zonder haar toestemming en de onmogelijkheid voor de betrokken om dit voordat de maatregel is genomen aan te vechten bij de rechtbank. Kopp t. Zwitserland van 25 maart 1998. de gebundelde arresten en vonnissen 1998-II (schending van artikel 8 van het Verdrag). Het afluisteren van de telefoonlijnen van een advocatenkabinet in opdracht van de procureur-generaal van de confederatie. Valenzuela Contreras t. Spanje van 30 juli 1998; de gebundelde arresten- en vonnissenboek 1998-V (schending van artikel 8 van het Verdrag). Afluisteren van een privételefoonlijn in het kader van een strafrechtelijke procedure tegen de houder ervan. Lambert t. Frankrijk van 24 augustus 1998, de gebundelde arresten en vonnissen 1998-V (schending van artikel 8 van het Verdrag). Arrest van het Hof van Cassatie dat aan een persoon elke bevoegdheid weigert kritiek te uiten over het feit dat zijn telefoongesprekken werden afgeluisterd met het motief dat het afluisteren gebeurde op de lijn van een derde. Fressoz en Roire t. Frankrijk van 21 januari 1999, de gebundelde arresten en vonnissen 1999-I (schending van het artikel 10 van het Verdrag). Veroordeling voor geheimhouding van fotokopies van fiscale documenten (belastingbrief), als gevolg van een publicatie van een gedetailleerd artikel over de salarisevolutie van de voorzitter van een autobedrijf in het satirisch weekblad "le Canard". Lustig-Prean en Beckett t. Verenigd Koninkrijk van 27 september 1999, verzoeken nr.; 31417/96 en 32377/96 en Smith en Grady t. Verenigd Koninkrijk van 27 september 1999, verzoeken nr. 33985/96 en 33986/96 (schending van artikel 8 van het Verdrag). Het uitsluiten van homoseksuelen van het leger na een onderzoek naar het privéleven (in het bijzonder naar hun seksuele geaardheid). Salgueiro da Silva Mouta t. Portugal van 21 december 1999, verzoek 33290/96 (schending van de artikelen 8 tot 14 van het Verdrag). Weigering om het hoederecht toe te kennen aan een vader omwille van het feit dat hij homoseksueel en samenleeft met een man.

index

356

Amann t. Zwitserland van 16 februari 2000, verzoek nr. 27798/95 (schending van de artikel 8 van het Verdrag). Opname van een telefoongesprek, maken van een bestand waarin gegevens worden opgeslagen door het openbaar ministerie. Rotaru t. Roemenië van 4 mei 2000, verzoek nr. 28341/95 (schending van de artikelen 8 en 13 van het Verdrag). Het bewaren en gebruiken van persoonsgegevens en de onmogelijkheid om de exactheid ervan te bewijzen. Khan t. Verenigd Koninkrijk van 12 mei 2001, verzoek nr. 35394/97 (schending van artikel 8 van het Verdrag). Het ontbreken van een wettelijke basis voor het afluisteren van een gesprek met behulp van een afluisterapparaat dat werd geïnstalleerd in een privéwoning. P.G. en J.H. t. Verenigd Koninkrijk van 25 september 2001, verzoek nr. 4487/98 (schending van de artikelen 8 en 13 van het Verdrag). Het ontbreken van een wettelijke basis voor de installatie van een afluisterapparaat in een privéwoning en voor het gebruik van verborgen afsluiterapparatuur op een politiekantoor om stemstalen te registreren; het verkrijgen van informatie door de politie over het privégebruik van de telefoon. Krone Verlag Gmbh & Cie KG t. Oostenrijk van 26 februari 2002, verzoek nr. 34315/96 (schending van artikel 10 van het Verdrag). Veroordeling van een firma als eisende partij voor het publiceren van foto's van een politicus. Mikulié t. Kroatië van 7 februari 2002, verzoek nr. 53176/99 (schending van artikel 8 van het Verdrag). Het belang van personen als eisende partij voor het bekomen van informatie die noodzakelijk is voor het ontdekken van een belangrijk aspect van hun identiteit: vaststelling van het vaderschap. Armstrong t. Verenigd Koninkrijk van 19maart 2002, verzoek nr. 48521/99 (schending van de artikelen 8 en 13 van het Verdrag). Veroordeling voor dealen van drugs, gebaseerd op bewijzen die werden bekomen tijden een geheime bewakingsoperatie die erin bestond gesprekken te observeren en te registreren op het thuisadres. Christine Goodwin t. Verenigd Koninkrijk van 11 juli 2002, verzoek nr. 28957/95 (schending van de artikelen 8 en 12 van het Verdrag). Erkenning van een geslachtsverandering door een werkgever en de sociale diensten. M.G. t. Groot-Britannië van 24 september 2002, verzoek nr. 39393/98 (schending van artikel 8 van het Verdrag). De verzoeker vroeg toegang tot zijn dossiers die door de sociale diensten worden bijgehouden. Taylor-Sabori t. Verenigd Koninkrijk van 22 oktober 2002, verzoek nr. 47114/99 (schending van de artikelen 8 en 13 van het Verdrag). Onderscheppen door de politie van de berichten die geregistreerd stonden op de beeper van de verzoeker en het gebruik ervan op zijn proces. Allan t. Verenigd Koninkrijk van 5 november 2002, verzoek nr. 48539/99 (schending van de artikelen 6, 8 en 13 van het Verdrag). Het toepassen van geheime bewaking via audiovisuele middelen in een cel en in de bezoekruimte van de gevangenis. A. t. Verenigd Koninkrijk van 17 december 2002, verzoek nr. 35373/97 (geen schending van het Verdrag). Persoonlijke informatie verstrekt door en kwetsende opmerkingen geuit door een gedeputeerde die vervolgens werden gepubliceerd in de lokale en nationale kranten. Peck t. Verenigd Koninkrijk van 17 juli 2003, verzoek nr. 63737/00 (schending van het artikel 8 van het Verdrag). Het recht van eenieder op eerbiediging van zijn privéleven.

index

357

Odièvre t. Frankrijk van 13 februari 2003, verzoek nr. 42326/98. Anonieme bevalling en de onmogelijkheid voor de verzoeker zijn afkomst te kennen. Perry t. Verenigd Koninkrijk van 17 juli 2003, verzoek nr. 63737/00 (schending van artikel 8 van het Verdrag). Cameraregistratie door de politie voor identificatie- en vervolgingsdoeleinden. Sciacca t. Italië van 11 januari 2005, verzoek nr. 50774/99. De verzoeker beweert dat het verspreiden van zijn foto ter gelegenheid van een persconferentie die werd georganiseerd door het politieparket en financiële politie zijn recht op eerbiediging van zijn privéleven werd geschonden. Hij roep artikel 8 in (recht op eerbiediging van het privéleven) van het Verdrag. Matheron t. Frankrijk van 29 maart 2005, verzoek nr. 57752/00. De verzoeker roept artikel 8 in (recht op eerbiediging van het privéleven) van het Verdrag voor de toevoeging in zijn dossier van een kopie van afgeluisterde telefoongesprekken die gebeurden in het kader van een procedure waar hij geen deel van uitmaakte en waarvan hij de regelmatigheid niet heeft kunnen betwisten. Vetter t. Frankrijk van 31 mei 2005, verzoek nr. 5984/00. Dient klacht in onder artikel 8 (recht op eerbiediging van het privéleven) en artikel 6 § 1 (recht op een rechtvaardig proces). Antunes Rocha t. Portugal van 31 mei 2005, verzoek nr. 64330/01. Dient klacht in onder artikel 6 §1 (recht op een rechtvaardig proces) en artikel 8 (recht op eerbiediging van het privé- en het gezinsleven). Von Hannover t. Duitsland van 28 juli 2005, verzoek nr. 59320/00. Het publiceren van foto's van een openbare persoonlijkheid genomen zonder zijn medeweten. Wisse t. Frankrijk van 20 december 2005, verzoek nr. 71611/01. Onder het inroepen van artikel 8 van het Verdrag (recht op eerbiediging van het gezins- en privéleven), beweren de verzoekers dat de registratie van hun gesprekken in de bezoekersruimte van de gevangenis een schending is van hun recht op een gezins- en privéleven. Turek t. Slovakije van 14 februari 2006, verzoek nr. 57986/00. De verzoeker klaagt erover dat hij is geregistreerd als medewerker van het vroeger Tsjecho-Slowaaks communistisch veiligheidsbureau, over de uitgifte van een veiligheidsbevoegdheid en het feit dat zijn actie om zijn inschrijving als medewerker in vraag te stellen werd afgewezen. Hij roep de artikelen 8 (recht op eerbiediging van het gezins- en privéleven) en 6 § 1 (recht op een rechtvaardig proces) in. Segerstedt-Wiberg en anderen t. Zweden van 6 juni 2006, verzoek nr. 62332/00. Het bewaren van bepaalde informatie over de verzoekers en weigering om ze te informeren over deze inlichtingen. Petre t. Roemenië van 27 juni 2006, verzoek nr. 71649/01 (schending van artikel 6 § 1 van het Verdrag). Voorlopige inschrijving in het strafregister. Verzoek om schrapping van de gegevens. De verzoeker beklaagt zich over de invloed ervan op zijn privé- en beroepsleven. Gabrielle Weber en Cesar Richard Saravia t. Duitsland van 29 juni 2006, verzoek nr. 54934/00. Provisies op de wet voor de criminaliteitsbestrijding die inbreuk maken op het recht van de verzoekers op eerbiediging van hun privéleven en briefgeheim. Panteleyenko t. Oekraïne van 29 juni 2006, nr. 11907/02. Het bekendmaken van vertrouwelijke informatie over de mentale en psychiatrische toestand van de verzoeker tijdens een zitting op de rechtbank. Jaggi t. Switserland van 13 juli 2006.

index

358

L.L. t. Frankrijk van 10 oktober 2006, nr. 7508/02 (schending van artikel 8). Niet-naleving van het medisch geheim. Bekendmaken door het Franse Hof van Beroep van persoonlijke, medische gegevens over de verzoeker. Copland t. Verenigd Koninkrijk van 3 april 2007, verzoek nr. 62617/00. Artikel 8 van het Verdrag – e-mails. Association for European integration and human rights ans Ekimdzhiev t. Bulgarije van 28 juni 2007.

index

359

nationale rechtspraak Civ. Bruxelles (réf), 7 mars 1988, J.T., 1988 Cour d’appel de Liège (3ème ch.), 5 juin 1991, Computer and Telecoms law Review, 1994/1, pp. 32 et s. avec note de T. Léonard, E. Montero, « La responsabilité civile du fait de données à caractère personnel inexactes diffusées par une mutuelle d’information » et J.T., 1992. Conseil d’Etat, arrêt n° 45.218 du 18 décembre 1993 Civ. Bruxelles (prés.), 22 mars 1994, J.T., 1994, pp. 841 et s. avec Observations de T. Léonard Voorzitter van de Rechtbank van Koophandel te Antwerpen, 7 juillet 1994 Civ. Nivelles (réf.), 15 novembre 1994, J.T., 1995, pp. 284 et s.. Antwerpen (5de k.), 3 mei 1999, A.J.T., 1999-2000, pp. 437 Conseil d’Etat, arrêt n°84.880 du 26 janvier 2000 Ordonnance rendue comme en référé, en application de l’article 14 de la loi du 8 décembre 1992, 13 février 2001 Tribunal de première instance de Nivelles comme en référé, 28 octobre 2003, Bull. Ass., 2004, n°346 et Observations de C-A. van Oldeneel, « la légalité du fichier des risques spéciaux en assurance une nouvelle fois reconnue » Tribunal de première instance de Bruxelles comme en référé, 19 décembre 2000, Bull. Ass., 2001, n°335, pp. 267 et s.. avec les Observations de C-A van Oldeneel, « Une décision qui donne raison à Datassur » Tribunal de première instance de Bruxelles (8ème ch.), 11 juin 2004, Bull. Ass., 2005, n°350, pp. 47 et s. avec Observations de C-A. van Oldeneel, « Datassur conforté par une jurisprudence favorable » Cour d’arbitrage (n°16/2005), 19 janvier 2005, Revue du Droit des technologies de l’Information (RTDI), n° 22, septembre 2005, avec note d’observations de R. MARCHETTI « L’arrêt du 19 janvier 2005 de la Cour d’arbitrage : une application du principe de proportionnalité dans le cadre de la législation sur la protection de la vie privée » Hof van Beroep te Brussel, 15 février 2005

bijlagen

360

BIJLAGEN

Koninklijk besluit van 13 februari 2001 HOOFDSTUK I. - Definities. Artikel 1. Voor de toepassing van dit besluit, wordt verstaan onder : 1. " de wet " : de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer

ten opzichte van de verwerking van persoonsgegevens; 2. " de Commissie " : de Commissie voor de bescherming van de persoonlijke levenssfeer; 3. " gecodeerde persoonsgegevens " : persoonsgegevens die slechts door middel van een

code in verband kunnen worden gebracht met een geïdentificeerd of identificeerbaar persoon;

4. " niet-gecodeerde persoonsgegevens " : andere dan gecodeerde persoonsgegevens; 5. " anonieme gegevens " : gegevens die niet met een geïdentificeerd of identificeerbaar

persoon in verband kunnen worden gebracht en derhalve geen persoonsgegevens zijn; 6. " intermediaire organisatie " : de natuurlijke persoon, de rechtspersoon, de feitelijke

vereniging of de openbare overheid, andere dan de verantwoordelijke voor de verwerking van de niet-gecodeerde gegevens, die voornoemde gegevens codeert.

HOOFDSTUK II. - Latere verwerking van persoonsgegevens voor historische, statistische of wetenschappelijke doeleinden. Afdeling I. - Algemene beginselen. Art. 2. De latere verwerking van persoonsgegevens voor historische, statistische of wetenschappelijke doeleinden wordt geacht in overeenstemming te zijn met artikel 4, § 1, 2°, tweede zin, van de wet wanneer zij wordt verricht onder de voorwaarden gesteld in dit hoofdstuk. De bewaring van persoonsgegevens voor historische, statistische of wetenschappelijke doeleinden, die is bedoeld in artikel 4, § 1, 5°, tweede zin, van de wet, is toegestaan onder de voorwaarden gesteld in dit hoofdstuk. Art. 3. De latere verwerking van persoonsgegevens voor historische, statistische of wetenschappelijke doeleinden vindt plaats aan de hand van anonieme gegevens. Art. 4. Indien een latere verwerking van anonieme gegevens niet de mogelijkheid biedt de historische, statistische of wetenschappelijke doeleinden te verwezenlijken, mag de verantwoordelijke voor de latere verwerking voor historische, statistische of wetenschappelijke doeleinden overeenkomstig de bepalingen van Afdeling 2 van dit hoofdstuk gecodeerde persoonsgegevens verwerken. In dat geval, vermeldt hij in de aangifte betreffende de verwerking die hij overeenkomstig artikel 17 van de wet aflegt, waarom de latere verwerking van anonieme gegevens niet de mogelijkheid biedt de historische, statistische of wetenschappelijke doeleinden te verwezenlijken. Art. 5. Indien een latere verwerking van gecodeerde gegevens niet de mogelijkheid biedt de historische, statistische of wetenschappelijke doeleinden te verwezenlijken, mag de verantwoordelijke voor de latere verwerking overeenkomstig Afdeling 3 van dit hoofdstuk niet-gecodeerde persoonsgegevens verwerken. In dat geval, vermeldt hij in de aangifte betreffende de verwerking die hij overeenkomstig artikel 17 van de wet doet, waarom de latere verwerking van gecodeerde gegevens niet de

bijlagen

361

mogelijkheid biedt de historische, statistische of wetenschappelijke doeleinden te verwezenlijken. Art. 6. De verantwoordelijke voor de latere verwerking van persoonsgegevens voor historische, statistische of wetenschappelijke doeleinden mag geen handelingen verrichten die zijn gericht op de omzetting van anonieme gegevens in persoonsgegevens of van gecodeerde persoonsgegevens in niet-gecodeerde persoonsgegevens. Afdeling II. - Verwerking van gecodeerde persoonsgegevens. Art. 7. Persoonsgegevens worden gecodeerd alvorens later op enigerlei wijze voor historische, statistische of wetenschappelijke doeleinden te worden verwerkt. Art. 8. Ingeval de verantwoordelijke voor de verwerking van persoonsgegevens verzameld voor bepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden die persoonsgegevens later verwerkt voor historische, statistische of wetenschappelijke doeleinden of die verwerking toevertrouwt aan een verwerker, worden die persoonsgegevens voorafgaand aan de latere verwerking ervan gecodeerd, hetzij door de verantwoordelijke voor de verwerking, hetzij door de verwerker, hetzij door een intermediaire organisatie. In dit laatste geval, wordt de intermediaire organisatie beschouwd als een verwerker in de zin van artikel 1, § 5, van de wet. Art. 9. Ingeval de verantwoordelijke voor de verwerking van persoonsgegevens verzameld voor bepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden deze persoonsgegevens aan een derde meedeelt met het oog op een latere verwerking voor historische, statistische of wetenschappelijke doeleinden, worden die persoonsgegevens voorafgaand aan die mededeling gecodeerd door de verantwoordelijke voor de verwerking of door een intermediaire organisatie. In dit laatste geval, wordt de intermediaire organisatie beschouwd als een verwerker in de zin van artikel 1, § 5, van de wet. Art. 10. Ingeval verscheidene verantwoordelijken voor verwerkingen van persoonsgegevens verzameld voor bepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden aan dezelfde derde(n) persoonsgegevens meedelen met het oog op de latere verwerking ervan voor historische, statistische of wetenschappelijke doeleinden, worden die persoonsgegevens voorafgaand aan die mededeling gecodeerd door een intermediaire organisatie. In dit geval, wordt de intermediaire organisatie beschouwd als een verantwoordelijke voor de verwerking in de zin van artikel 1, § 4, van de wet. Art. 11. De intermediaire organisatie is onafhankelijk van de verantwoordelijke voor de latere verwerking van de persoonsgegevens voor historische, statistische of wetenschappelijke doeleinden. Art. 12. De verantwoordelijke voor de verwerking van persoonsgegevens verzameld voor bepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden en de intermediaire organisatie die gegevens coderen met het oog op de latere verwerking ervan voor historische, statistische of wetenschappelijke doeleinden, nemen de gepaste technische en organisatorische maatregelen om te beletten dat gecodeerde gegevens in niet-gecodeerde worden omgezet. Art. 13. De verantwoordelijke voor de verwerking van persoonsgegevens verzameld voor bepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden en de intermediaire organisatie kunnen gecodeerde gegevens slechts meedelen met het oog op de latere verwerking ervan voor historische, statistische of wetenschappelijke doeleinden tegen overlegging door de verantwoordelijke voor de latere verwerking van het ontvangbewijs van een volledige aangifte uitgereikt door de Commissie overeenkomstig artikel 17, § 2, van de wet.

bijlagen

362

Art. 14. De verantwoordelijke voor de verwerking van persoonsgegevens verzameld voor bepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden of de intermediaire organisatie moeten voorafgaand aan de codering van de gegevens, bedoeld in de artikelen 6 tot 8 van de wet, aan de betrokken persoon volgende gegevens meedelen : • de identiteit van de verantwoordelijke voor de verwerking; • de verwerkte categorieën van persoonsgegevens; • de herkomst van de gegevens; • een precieze omschrijving van de historische, statistische of wetenschappelijke doeleinden

van de verwerking; • de personen of de categorieën van personen voor wie de persoonsgegevens bestemd zijn; • het bestaan van een recht op raadpleging van zijn eigen persoonsgegevens, alsook van

een recht op verbetering ervan; • het bestaan van een recht van verzet in hoofde van de betrokken persoon. Art. 15. De verantwoordelijke voor de verwerking van persoonsgegevens verzameld voor bepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden en de intermediaire organisatie moeten de verplichting opgelegd in artikel 14 van dit besluit niet nakomen indien deze verplichting onmogelijk blijkt of onevenredig veel moeite kost en zij zich hebben gedragen naar de procedure bepaald in artikel 16 van dit besluit. De verantwoordelijke voor de verwerking van persoonsgegevens verzameld voor bepaalde, uitdrukkelijk omschreven doeleinden en de intermediaire organisatie moeten de verplichting opgelegd in artikel 14 van dit besluit niet nakomen indien de intermediaire organisatie een administratieve overheid is die door of krachtens de wet de uitdrukkelijke opdracht heeft om persoonsgegevens samen te brengen en te coderen, en hierbij onderworpen is aan door of krachtens de wet vastgelegde specifieke maatregelen die de bescherming van de persoonlijke levenssfeer tot doel hebben. Art. 16. De verantwoordelijke voor de verwerking van persoonsgegevens verzameld voor bepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden of de intermediaire organisatie die de gegevens, bedoeld in de artikelen 6 tot 8 van de wet, wenst te coderen zonder voorafgaande kennisgeving aan de betrokken persoon, vult de aangifte die hij krachtens artikel 17 van de wet moet verrichten aan met de volgende gegevens : 1. de precieze omschrijving van de historische, statistische of wetenschappelijke doeleinden

van de verwerking; 2. de redenen ter verantwoording van de verwerking van persoonsgegevens bedoeld in de

artikelen 6 tot 8 van de wet; 3. de redenen waarom aan de betrokken persoon de gegevens, vermeld in artikel 14, niet

kunnen worden meegedeeld of de onevenredigheid van de moeite nodig om zulks te doen; 4. de categorieën van personen van wie persoonsgegevens, bedoeld in de artikelen 6 tot 8

van de wet, worden verwerkt; 5. de personen of de categorieën van personen die de persoonsgegevens kunnen

raadplegen; 6. de herkomst van de gegevens. De Commissie deelt binnen een termijn van vijfenveertig werkdagen te rekenen van de ontvangst van de aangifte aan de verantwoordelijke voor de verwerking of aan de intermediaire organisatie een aanbeveling mee, eventueel vergezeld van bijkomende voorwaarden die bij de latere verwerking van de gecodeerde persoonsgegevens, bedoeld in de artikelen 6 tot 8 van de wet, voor historische, statistische of wetenschappelijke doeleinden in acht moeten worden genomen. De termijn, bepaald in het tweede lid, kan eenmaal met vijfenveertig werkdagen worden verlengd. De Commissie deelt voor afloop van de eerste termijn aan de verantwoordelijke voor de verwerking mee dat zij deze verlengt.

bijlagen

363

Indien de Commissie na afloop van de in dit artikel bedoelde termijnen geen aanbeveling heeft meegedeeld, wordt het verzoek geacht te zijn aanvaard. De Commissie maakt de aanbeveling bekend in het register bedoeld in artikel 18 van de wet. Art. 17. De verantwoordelijke voor de verwerking moet elke wijziging in de gegevens die hij aan de Commissie heeft meegedeeld overeenkomstig artikel 16 van dit besluit, aan de Commissie melden. Afdeling III. - Verwerking van niet-gecodeerde persoonsgegevens. Art. 18. Alvorens niet-gecodeerde persoonsgegevens later voor historische, statistische of wetenschappelijke doeleinden te verwerken, verstrekt de verantwoordelijke voor de latere verwerking aan de betrokken persoon volgende gegevens : 1. de identiteit van de verantwoordelijke voor de verwerking; 2. de verwerkte categorieën van persoonsgegevens; 3. de herkomst van de gegevens; 4. een precieze omschrijving van de historische, statistische of wetenschappelijke doeleinden

van de verwerking; 5. de personen of categorieën van personen voor wie de persoonsgegevens bestemd zijn; 6. het bestaan van een recht op raadpleging van zijn eigen persoonsgegevens, alsook van

een recht op verbetering ervan; 7. het bestaan van de verplichting om aan de betrokken persoon voorafgaandelijk

toestemming te vragen voor de verwerking van niet-gecodeerde persoonsgegevens voor historische, statistische of wetenschappelijke doeleinden.

Art. 19. De betrokken persoon moet uitdrukkelijk zijn toestemming geven voor de verwerking van hem betreffende niet-gecodeerde persoonsgegevens voor historische, statistische of wetenschappelijke doeleinden vooraleer zij wordt aangevat. Art. 20. De verantwoordelijke voor de latere verwerking van niet-gecodeerde persoonsgegevens voor historische, statistische of wetenschappelijke doeleinden moet de verplichtingen opgelegd in de artikelen 18 en 19 van dit besluit niet nakomen : 1° indien de latere verwerking voor historische, statistische of wetenschappelijke doeleinden beperkt blijft tot niet-gecodeerde persoonsgegevens die kennelijk door betrokkene zelf publiek zijn gemaakt of die in nauw verband staan met het publiek karakter van betrokkene of van de feiten waarbij deze laatste betrokken is of is geweest, of; 2° indien de nakoming van deze verplichtingen onmogelijk blijkt of onevenredig veel moeite kost en hij zich heeft gedragen naar de procedure bepaald in artikel 21 van dit besluit. Art. 21. De verantwoordelijke voor de latere verwerking van niet-gecodeerde persoonsgegevens voor historische, statistische of wetenschappelijke doeleinden die de gegevens wenst te verwerken zonder voorafgaande kennisgeving aan en toestemming van de betrokken persoon, vult daartoe de aangifte vereist op grond van artikel 17 van de wet aan met de volgende gegevens : 1. de precieze omschrijving van de historische, statistische of wetenschappelijke doeleinden

van de verwerking; 2. de redenen die de verwerking van niet-gecodeerde persoonsgegevens noodzakelijk

maken; 3. de redenen waarom aan de betrokken persoon geen toestemming met kennis van zaken

kan worden gevraagd of de onevenredigheid van de inspanningen nodig om die toestemming te verkrijgen;

4. de categorieën personen over wie niet-gecodeerde persoonsgegevens worden verwerkt; 5. de personen of categorieën van personen die de niet-gecodeerde persoonsgegevens

kunnen raadplegen; 6. de herkomst van de gegevens.

bijlagen

364

De Commissie richt binnen een termijn van vijfenveertig werkdagen te rekenen van de ontvangst van de aangifte een aanbeveling aan de verantwoordelijke voor de latere verwerking, zulks eventueel vergezeld van bijkomende voorwaarden die bij de latere verwerking van de niet-gecodeerde persoonsgegevens voor historische, statistische of wetenschappelijke doeleinden in acht moeten worden genomen. De termijn, bepaald in het tweede lid, kan eenmaal met vijfenveertig werkdagen worden verlengd. De Commissie deelt voor afloop van de eerste termijn aan de verantwoordelijke voor de latere verwerking mee dat zij de eerste termijn verlengt. Indien de Commissie voor afloop van de in dit artikel bedoelde termijnen geen aanbeveling heeft meegedeeld, wordt het verzoek geacht te zijn aanvaard. De Commissie maakt haar aanbeveling bekend in het register bedoeld in artikel 18 van de wet. Art. 22. Elke wijziging in de gegevens die de verantwoordelijke voor de verwerking overeenkomstig artikel 21 van dit besluit aan de Commissie heeft meegedeeld, moet door deze laatste vooraf aan de Commissie worden gemeld. Afdeling IV. - Bekendmaking van de resultaten van de verwerking. Art. 23. De resultaten van de verwerking voor historische, statistische of wetenschappelijke doeleinden mogen niet worden bekendgemaakt in een vorm die de identificatie van de betrokken persoon mogelijk maakt tenzij : 1. deze laatste daartoe zijn toestemming heeft gegeven en de persoonlijke levenssfeer van

derden niet wordt geschonden, of; 2. de bekendmaking van niet-gecodeerde persoonsgegevens beperkt blijft tot gegevens die

kennelijk door betrokkene zelf publiek zijn gemaakt of die in nauw verband staan met het publiek karakter van betrokkene of van de feiten waarbij deze laatste betrokken is of is geweest.

Afdeling V. - Uitzondering. Art. 24. Hoofdstuk II van dit besluit is niet van toepassing op de diensten en overheden, bedoeld in artikel 3, § 4, van de wet, die een latere verwerking voor historische, statistische of wetenschappelijke doeleinden verrichten. HOOFDSTUK III. - Voorwaarden voor de verwerking van persoonsgegevens bedoeld in de artikelen 6 tot 8 van de wet. Art. 25. Bij de verwerking van persoonsgegevens bedoeld in de artikelen 6 tot 8 van de wet, moet de verantwoordelijke voor de verwerking bovendien de volgende maatregelen nemen : 5. hij of, in voorkomend geval, de verwerker moet de categorieën van personen die de


6. hij of, in voorkomend geval, de verwerker moet de lijst van de aldus aangewezen categorieën van personen ter beschikking houden van de Commissie;

7. hij moet ervoor zorgen dat de aangewezen personen door een wettelijke of statutaire verplichting, of door een evenwaardige contractuele bepaling ertoe gehouden zijn het vertrouwelijk karakter van de betrokken gegevens in acht te nemen;

8. hij moet in de kennisgeving die krachtens artikel 9 van de wet aan de betrokken persoon moet worden gedaan of in de aangifte, bedoeld in artikel 17, § 1, van de wet, melding maken van de wet of verordening op grond waarvan de verwerking van persoonsgegevens, bedoeld in de artikelen 6 tot 8 van de wet, is toegestaan.

Art. 26. Indien de verwerking van persoonsgegevens, bedoeld in de artikelen 6 en 7 van de wet, uitsluitend is toegestaan op grond van de schriftelijke toestemming van de betrokken persoon, moet de verantwoordelijke voor de verwerking hem, naast de gegevens

bijlagen

365

overeenkomstig artikel 9 van de wet, vooraf de redenen van die verwerking mededelen, alsmede de lijst van de categorieën van personen die toegang hebben tot de persoonsgegevens. Art. 27. Indien de verwerking van persoonsgegevens, bedoeld in de artikelen 6 en 7 van de wet, uitsluitend is toegestaan op grond van de schriftelijke toestemming van de betrokken persoon, is die verwerking verboden indien de verantwoordelijke voor de verwerking de huidige of potentiële werkgever van betrokkene is of indien de betrokken persoon zich ten aanzien van de verantwoordelijke voor de verwerking in een afhankelijke positie bevindt, wat hem belet vrij zijn toestemming te verlenen. Dit verbod wordt opgeheven wanneer de verwerking erop gericht is de betrokken persoon een voordeel te verstrekken. HOOFDSTUK IV. - Voorwaarden voor de vrijstelling van de verplichting tot kennisgeving bedoeld in artikel 9, § 2, van de wet. Art. 28. De verantwoordelijke voor de latere verwerking van persoonsgegevens voor historische, statistische of wetenschappelijke doeleinden die uitsluitend gecodeerde persoonsgegevens verwerkt is vrijgesteld van de verplichting tot kennisgeving, bedoeld in artikel 9, § 2, van de wet, op voorwaarde dat de voorwaarden, bepaald in Hoofdstuk II, Afdeling II van dit besluit, worden nageleefd. Art. 29. Een administratieve overheid die door of krachtens de wet de uitdrukkelijke opdracht heeft om persoonsgegevens samen te brengen en te coderen, en hierbij onderworpen is aan door of krachtens de wet vastgelegde specifieke maatregelen die de bescherming van de persoonlijke levenssfeer tot doel hebben, is vrijgesteld van de verplichting tot kennisgeving, bedoeld in artikel 9, § 2, van de wet, indien zij optreedt als intermediaire organisatie. Art. 30. De verantwoordelijke voor de verwerking die zich, buiten het geval omschreven in artikelen 28 en 29 van dit besluit, beroept op een vrijstelling van de verplichting tot kennisgeving, bedoeld in artikel 9, § 2, van de wet, omdat die kennisgeving onmogelijk blijkt of onevenredig veel moeite kost, verstrekt voornoemde informatie wanneer hij voor de eerste keer met de betrokken persoon in contact treedt. Indien de verantwoordelijke voor de verwerking, bedoeld in het eerste lid, de persoonsgegevens aan een derde meedeelt, verricht deze laatste de in artikel 9, § 2, van de wet bedoelde kennisgeving wanneer hij voor de eerste keer met de betrokken persoon in contact treedt. Art. 31. De verantwoordelijke voor de verwerking die de kennisgeving aan de betrokken persoon niet kan verrichten omdat zij onmogelijk blijkt of onevenredig veel moeite kost, vermeldt dit in de aangifte die hij op grond van artikel 17 van de wet aan de Commissie doet. De Commissie maakt de lijst van de verantwoordelijken voor de verwerking bekend door middel van het publiek register omschreven in artikel 18 van de wet, met vermelding van de redenen die de vrijstelling verantwoorden. HOOFDSTUK V. - Uitoefening van de rechten bedoeld in de artikelen 10 en 12 van de wet. Art. 32. Eenieder die zijn identiteit bewijst, heeft het recht om onder de voorwaarden gesteld bij de wet kennis te krijgen van de in artikel 10 van de wet vermelde informatie, zulks op ondertekend en gedagtekend verzoek dat ter plaatse wordt overhandigd, of over de post of met een telecommunicatiemiddel wordt toegezonden : • hetzij aan de verantwoordelijke voor de verwerking of aan zijn vertegenwoordiger in België,

of aan een van de door hem gemachtigde of aangestelde personen; • hetzij aan de verwerker van de persoonsgegevens die het in voorkomend geval aan een

van voornoemde personen doorgeeft.

bijlagen

366

Indien het verzoek ter plaatse wordt overhandigd, reikt de persoon die het in ontvangst neemt aan de verzoeker onmiddellijk een gedagtekend en ondertekend ontvangbewijs uit. Art. 33. De verzoeken tot verbetering, verwijdering of verbod op de aanwending van de persoonsgegevens en enig verzet gegrond op artikel 12 van de wet worden ingediend volgens dezelfde procedure en bij dezelfde personen dan die vermeld in het artikel 32 van dit besluit. Art. 34. Ingeval persoonsgegevens schriftelijk bij de betrokken persoon worden verzameld, vraagt de verantwoordelijke voor de verwerking op het document aan de hand waarvan de gegevens bij betrokkene worden verzameld aan deze laatste of hij het recht op verzet waarin artikel 12, § 1, derde lid, van de wet voorziet, wenst uit te oefenen. Ingeval de persoonsgegevens bij de betrokken persoon op een andere dan schriftelijke wijze worden verzameld, vraagt de verantwoordelijke aan die persoon of hij het recht op verzet waarin artikel 12, § 1, derde lid, van de wet voorziet, wenst uit te oefenen, De betrokkene kan zulks doen op een document dat de verantwoordelijke voor de verwerking hem bezorgt ten laatste twee maanden nadat de persoonsgegevens zijn verzameld of aan de hand van enig technisch middel op grond waarvan kan worden aangetoond dat hem de mogelijkheid is geboden voornoemd recht uit te oefenen. Art. 35. Ingeval de persoonsgegevens niet bij de betrokken persoon worden verzameld, vraagt de verantwoordelijke voor de verwerking, die onderworpen is aan artikel 9, § 2, c), van de wet, aan die persoon schriftelijk of hij het recht op verzet waarin artikel 12, § 1, derde lid, van de wet voorziet, wenst uit te oefenen. HOOFDSTUK VI. - Uitoefening van het recht bedoeld in artikel 13 van de wet. Art. 36. Dit hoofdstuk bepaalt de procedure voor de indiening van verzoeken op grond van artikel 13 van de wet. Art. 37. De betrokken persoon dient het verzoek bij de Commissie in aan de hand van een gedagtekend en ondertekend schrijven waarin zijn naam, voornaam, geboortedatum en nationaliteit zijn vermeld en waarbij een fotokopie is gevoegd van zijn identiteitskaart, van zijn paspoort of van het daarmee gelijkgestelde document. In het verzoek, worden tevens volgende gegevens vermeld indien de verzoeker daarover beschikt : - de naam van de betrokken overheid of dienst; - alle relevante elementen betreffende de betwiste gegevens, zoals de aard ervan, de

omstandigheden of de aanleiding van de kennisneming ervan, alsook de eventueel gewenste verbeteringen.

Art. 38. Indien de Commissie zulks nuttig acht, kan zij aan de betrokken persoon bijkomende inlichtingen vragen. Art. 39. Indien de gegevens, bedoeld in de artikelen 37 en 38 van dit besluit, niet worden meegedeeld, kan het verzoek als niet-ontvankelijk worden beschouwd. Art. 40. Het verzoek is niet-ontvankelijk wanneer het wordt ingediend binnen een termijn van een jaar te rekenen van de verzendingsdatum van het vorige antwoord van de Commissie betreffende dezelfde gegevens en dezelfde diensten. Van die termijn kan worden afgeweken ingeval de betrokken persoon in zijn verzoek redenen ter staving van die afwijking aanvoert. Art. 41. Wanneer het verzoek als niet-ontvankelijk wordt beschouwd, wordt de betrokken persoon daarvan per brief in kennis gesteld. In dit schrijven wordt vermeld dat de betrokken persoon op verzoek wordt gehoord, zulks eventueel bijgestaan door zijn raadsman.

bijlagen

367

Art. 42. De controle bij de betrokken dienst wordt verricht door de voorzitter van de Commissie of door een of meer leden ervan die hij aanwijst. De controle op de verwerkingen van persoonsgegevens, bedoeld in artikel 3, § 5, 1°, van de wet, wordt verricht door magistraten die de Commissie in haar midden aanwijst. De voorzitter en de leden die de controle verrichten, kunnen zich laten bijstaan of vertegenwoordigen door een of meer leden van het secretariaat van de Commissie. Art. 43. In het kader van de controle bij de betrokken dienst verricht of beveelt de Commissie alle verificaties die zij nuttig acht. Ter gelegenheid van de controle uitgeoefend bij de betrokken dienst bedoeld in artikel 3, § 5, van de wet, kan ze gegevens doen verbeteren of verwijderen, of gegevens doen invoeren die verschillen van die welke de betrokken dienst verwerkt. Zij kan de mededeling van de gegevens te verbieden. Ter gelegenheid van de controle uitgeoefend bij de betrokken dienst bedoeld in artikel 3, § 4, van de wet, beveelt de Commissie de maatregelen aan die ze noodzakelijk acht. Zij motiveert haar aanbevelingen. Art. 44. De betrokken dienst geeft na die verificaties aan de Commissie schriftelijk kennis van het gevolg dat eraan is gegeven. Art. 45. De Commissie antwoordt per brief op het verzoek van de betrokken persoon binnen een termijn van drie maanden te rekenen van de kennisgeving bedoeld in het artikel 44 van dit besluit. Art. 46. Ingeval het verzoek van de betrokken persoon betrekking heeft op een verwerking van persoonsgegevens beheerd door een politiedienst met het oog op een identiteitscontrole, deelt de Commissie aan die persoon mee dat de nodige verificaties zijn verricht. In voorkomend geval, verstrekt de Commissie, na advies van de betrokken dienst, aan de betrokken persoon alle andere inlichtingen die zij relevant acht. HOOFDSTUK VII. - Aangifte van geautomatiseerde verwerkingen van persoonsgegevens. Afdeling I. - Bijdragen die bij de aangifte aan de Commissie moeten worden gestort. Art. 47. Indien de aangifte, bedoeld in artikel 17 van de wet, wordt verricht aan de hand van het papieren formulier dat de Commissie daartoe ter beschikking stelt, wordt het bedrag van de bijdrage die de verantwoordelijke voor de verwerking aan de Commissie moet storten, vastgesteld op 125 euro of 5042 frank voor de aangifte van alle gegevens die dezelfde verantwoordelijke op hetzelfde tijdstip aan de Commissie verstrekt. Art. 48. Indien de aangifte wordt verricht aan de hand van de magnetische informatiedrager die de Commissie daartoe ter beschikking stelt, wordt het bedrag van de bijdrage die de verantwoordelijke voor de verwerking aan de Commissie moet storten, vastgesteld op 25 euro of 1008 frank voor de aangifte van alle gegevens die dezelfde verantwoordelijke op hetzelfde tijdstip aan de Commissie verstrekt. Art. 49. Het bedrag van de bijdrage die aan de Commissie moet worden gestort bij aangifte door dezelfde verantwoordelijke op hetzelfde tijdstip van een of meer wijzigingen in de vermeldingen van zijn oorspronkelijke aangifte wordt vastgesteld op 20 euro of 807 frank. Art. 50. De verantwoordelijke voor de verwerking betaalt de bijdragen, bedoeld in deze afdeling, aan de hand van de stukken die de Commissie daartoe ter beschikking stelt. Afdeling II. - Categorieën van verwerkingen vrijgesteld van de aangifteplicht.

bijlagen

368

Art. 51. Met uitzondering van de §§ 4 en 8, zijn de bepalingen van artikel 17 van de wet niet van toepassing op verwerkingen van persoonsgegevens die uitsluitend betrekking hebben op gegevens welke noodzakelijk zijn voor de loonadministratie van personen in dienst van of werkzaam ten behoeve van de verantwoordelijke voor de verwerking wanneer de gegevens uitsluitend worden gebruikt voor die loonadministratie, alleen worden meegedeeld aan de ontvangers die daartoe gerechtigd zijn en niet langer worden bewaard dan nodig voor de doeleinden van de verwerking. Art. 52. Met uitzondering van de §§ 4 en 8, zijn de bepalingen van artikel 17 van de wet niet van toepassing op verwerkingen van persoonsgegevens die uitsluitend betrekking hebben op de administratie van het personeel in dienst van of werkzaam ten behoeve van de verantwoordelijke voor de verwerking. De verwerking mag geen betrekking hebben op gegevens betreffende de gezondheid van de betrokken persoon, noch op gevoelige of gerechtelijke gegevens in de zin van de artikelen 6 en 8 van de wet of op gegevens die een beoordeling van de betrokken persoon tot doel hebben. De verwerkte persoonsgegevens mogen niet langer worden bewaard dan nodig voor de personeelsadministratie en mogen alleen in het kader van de toepassing van een wets- of verordeningsbepaling of indien nodig voor de verwezenlijking van de doelstellingen van de verwerking aan derden worden meegedeeld. Art. 53. Met uitzondering van de §§ 4 en 8, zijn de bepalingen van artikel 17 van de wet niet van toepassing op verwerkingen van persoonsgegevens die uitsluitend betrekking hebben op de boekhouding van de verantwoordelijke voor de verwerking wanneer de gegevens uitsluitend worden gebruikt voor die boekhouding, de verwerking alleen betrekking heeft op personen van wie de gegevens noodzakelijk zijn voor de boekhouding en de persoonsgegevens niet langer worden bewaard dan nodig voor de doeleinden van de verwerking. De verwerkte persoonsgegevens mogen alleen aan derden worden meegedeeld in het kader van de toepassing van een wets- of verordeningsbepaling of wanneer de mededeling noodzakelijk is voor de boekhouding. Art. 54. Met uitzondering van de §§ 4 en 8, zijn de bepalingen van artikel 17 van de wet niet van toepassing op verwerkingen van persoonsgegevens die uitsluitend betrekking hebben op de administratie van aandeelhouders en vennoten wanneer de verwerking alleen betrekking heeft op gegevens nodig voor die administratie, die gegevens alleen personen betreffen van wie de gegevens nodig zijn voor die administratie, de gegevens alleen in het kader van de toepassing van een wets- of verordeningsbepaling aan derden worden meegedeeld en de persoonsgegevens niet langer worden bewaard dan nodig voor de doeleinden van de verwerking. Art. 55. Met uitzondering van de §§ 4 en 8, zijn de bepalingen van artikel 17 van de wet niet van toepassing op verwerkingen van persoonsgegevens die uitsluitend betrekking hebben op het beheer van de klanten of leveranciers van de verantwoordelijke voor de verwerking. De verwerking mag alleen betrekking hebben op potentiële, bestaande en gewezen klanten of leveranciers van de verantwoordelijke voor de verwerking. De verwerking mag geen betrekking hebben op persoonsgegevens betreffende de gezondheid van de betrokken persoon of op gevoelige of gerechtelijke gegevens in de zin van de artikelen 6 en 8 van de wet. In het kader van de klantenadministratie, mogen geen personen in de verwerking worden geregistreerd op grond van gegevens verkregen van derden. De gegevens mogen niet langer worden bewaard dan nodig voor de normale bedrijfsvoering van de verantwoordelijke voor de verwerking en mogen alleen in het kader van de toepassing van een wets- of verordeningsbepaling of voor de normale bedrijfsvoering aan derden worden meegedeeld. Art. 56. Met uitzondering van de §§ 4 en 8, zijn de bepalingen van artikel 17 van de wet niet van toepassing op verwerkingen van persoonsgegevens verricht door een stichting, een

bijlagen

369

vereniging of enig andere instelling zonder winstoogmerk in het kader van haar gewone activiteiten. De verwerking mag uitsluitend betrekking hebben op persoonsgegevens betreffende de eigen leden, betreffende personen met wie de verantwoordelijke voor de verwerking regelmatige contacten onderhoudt en betreffende begunstigers van de stichting, vereniging of instelling. In het kader van de verwerking, mogen geen personen worden geregistreerd op grond van gegevens verkregen van derden. De verwerkte persoonsgegevens mogen niet langer worden bewaard dan nodig voor de administratie van de leden, van de contactpersonen en van de begunstigers en mogen alleen in het kader van de toepassing van een wets- of verordeningsbepaling aan derden worden meegedeeld. Art. 57. Met uitzondering van de §§ 4 en 8, zijn de bepalingen van artikel 17 van de wet niet van toepassing op verwerkingen van identificatiegegevens noodzakelijk voor communicatie die alleen worden verricht om met de betrokken persoon in contact te treden wanneer die gegevens niet aan derden worden meegedeeld en niet langer worden bewaard dan nodig voor het doel van de verwerking. Het eerste lid van dit artikel heeft alleen betrekking op verwerkingen van persoonsgegevens die niet zijn bedoeld in een andere bepaling van dit besluit. Art. 58. Met uitzondering van de §§ 4 en 8, zijn de bepalingen van artikel 17 van de wet niet van toepassing op verwerkingen van persoonsgegevens die uitsluitend betrekking hebben op de registratie van bezoekers in het kader van een toegangscontrole wanneer de verwerkte gegevens beperkt blijven tot de naam en het beroepsadres van de bezoeker, de identificatie van zijn werkgever, de identificatie van het voertuig van de bezoeker, de naam, afdeling en functie van de bezochte persoon en het tijdstip van het bezoek. De verwerkte persoonsgegevens mogen uitsluitend worden gebruikt voor de toegangscontrole en niet langer worden bewaard dan nodig voor dat doel. Art. 59. Met uitzondering van de §§ 4 en 8, zijn de bepalingen van artikel 17 van de wet niet van toepassing op verwerkingen van persoonsgegevens verricht door onderwijsinstellingen met het oog op het beheer van hun relaties met hun leerlingen of studenten. De verwerking mag alleen betrekking hebben op persoonsgegevens betreffende potentiële, huidige en gewezen leerlingen of studenten van de betrokken onderwijsinstelling. In het kader van de verwerking, mogen geen personen worden geregistreerd op grond van gegevens verkregen van derden. De verwerkte persoonsgegevens mogen alleen in het kader van de toepassing van een wets- of verordeningsbepaling aan derden worden meegedeeld en niet langer worden bewaard dan nodig voor het beheer van de relatie met de leerling of student. Art. 60. Met uitzondering van de §§ 4 en 8, zijn de bepalingen van artikel 17 van de wet niet van toepassing op verwerkingen die de gemeenten verrichten, overeenkomstig de wet van 19 juli 1991 betreffende de bevolkingsregisters en de identiteitskaarten en tot wijziging van de wet van 8 augustus 1983 tot regeling van een Rijksregister van de natuurlijke personen, overeenkomstig de kieswetgeving en overeenkomstig de wetsbepalingen inzake de registers van de burgerlijke stand. Art. 61. Met uitzondering van de §§ 4 en 8, zijn de bepalingen van artikel 17 van de wet niet van toepassing op verwerkingen van persoonsgegevens verricht door administratieve overheden indien de verwerking is onderworpen aan specifieke door of krachtens de wet uitgevaardigde regelgevingen waarin de raadpleging, het gebruik en de verkrijging van de verwerkte gegevens worden geregeld. Art. 62. De bepalingen van artikel 17 van de wet met uitzondering van §§ 4 en 8 zijn niet van toepassing op de verwerkingen van persoonsgegevens door instellingen van sociale zekerheid, bedoeld in de artikelen 1 en 2, eerste lid, 2°, van de wet van 15 januari 1990 houdende oprichting en organisatie van de Kruispuntbank van de sociale zekerheid, die de toepassing

bijlagen

370

van de sociale zekerheid tot doel hebben, op voorwaarde dat deze instellingen met betrekking tot deze verwerkingen voldoen aan de bepalingen van de vermelde wet en haar uitvoeringsbesluiten. De lijst, bedoeld in artikel 46, eerste lid, 6°bis, van de wet van 15 januari 1990 houdende oprichting en organisatie van de Kruispuntbank van de sociale zekerheid, wordt door de Kruispuntbank ter beschikking gehouden aan de Commissie voor de bescherming van de persoonlijke levenssfeer, overeenkomstig de modaliteiten bepaald in onderling overleg tussen deze beide instanties. De Commissie voor de bescherming van de persoonlijke levenssfeer verricht op grond van deze lijst de bijwerkingen van het openbaar register van de geautomatiseerde verwerkingen van persoonsgegevens bedoeld in artikel 18 van de wet. HOOFDSTUK VIII. - Openbaar register van de geautomatiseerde verwerkingen van persoonsgegevens. Art. 63. Het openbaar register van de geautomatiseerde verwerkingen van persoonsgegevens, bedoeld in artikel 18 van de wet, hierna " openbaar register " genoemd, kan op de volgende wijzen worden geraadpleegd : a) rechtstreekse raadpleging op afstand aan de hand van telecommunicatiemiddelen; b) rechtstreekse raadpleging ter plaatse in de ruimten die de Commissie daartoe aanwijst; c) onrechtstreekse raadpleging aan de hand van een verzoek aan de Commissie tot het

verkrijgen van een uittreksel. Art. 64. Voor rechtstreekse raadplegingen op afstand, stelt de Commissie een kopie van het openbaar register ter beschikking op een server die toegankelijk is via internet. Naast de in het eerste lid omschreven toegangswijze, kan de Commissie andere mogelijkheden voor raadpleging voorstellen. Art. 65. Voor rechtstreekse raadplegingen ter plaatse, stelt de Commissie tijdens de normale kantooruren de nodige ruimte en computerapparatuur uitgerust met de gepaste software ter beschikking van eenieder die zich bij haar aanmeldt om het openbaar register te raadplegen. Art. 66. Eenieder kan zich bij de Commissie aanmelden of een schriftelijk verzoek tot haar richten om een uittreksel uit het openbaar register te verkrijgen. In het mondeling of schriftelijk verzoek om een uittreksel, moet tenminste een van de volgende gegevens worden vermeld : 1. het identificatienummer of de naam van de verwerking of verwerkingen waarop het

uittreksel betrekking heeft; 2. de volledige of afgekorte naam van de verantwoordelijke of verantwoordelijken voor de

verwerking die in het gevraagde uittreksel moeten worden vermeld; 3. bij een schriftelijk verzoek toegezonden over de post, het adres waarnaar het uittreksel

moet worden verzonden. Art. 67. Indien het gevraagde uittreksel uit het openbaar register betrekking heeft op meer dan tien verwerkingen en verscheidene verantwoordelijken voor verwerkingen of op meer dan honderd verwerkingen van dezelfde verantwoordelijke, kan de Commissie een vereenvoudigd uittreksel uitreiken waarin het identificatienummer, de benaming en het doel van iedere verwerking, alsook het identificatienummer, de naam en de gemeente met postcode van iedere verantwoordelijke voor de verwerking zijn vermeld. In het geval bedoeld in het eerste lid, stelt de Commissie de aanvrager van het uittreksel in kennis van zijn recht op rechtstreekse raadpleging van het openbaar register en van de wijzen waarop dit recht kan worden uitgeoefend. Art. 68. De raadpleging van het openbaar register is kosteloos.

bijlagen

371

Art. 69. Niemand kan worden verplicht de redenen voor de raadpleging van het openbaar register aan de Commissie mee te delen, ongeacht of het gaat om een rechtstreekse of onrechtstreekse raadpleging. HOOFDSTUK IX. - Slotbepalingen. Art. 70. Alle bepalingen van de wet van 11 december 1998 treden in werking de eerste dag van de zesde maand volgend op die gedurende welke zij in het Belgisch Staatsblad is bekendgemaakt. Vanaf dezelfde dag, moeten de verantwoordelijken voor de verwerking zich voor alle bestaande en toekomstige verwerkingen van persoonsgegevens gedragen naar de bepalingen van de wet van 11 december 1998. Art. 71. De aangiften, bedoeld in artikel 17, § 7, van de wet, die zijn verricht voor de datum van inwerkingtreding van dit besluit, worden geacht te voldoen aan de bepalingen van de wet en van dit besluit. Bij wijziging van gegevens in de aangifte bedoeld in het eerste lid, handelt de verantwoordelijke voor de verwerking die aangifte doet in de zin van artikel 17, § 7, van de wet, overeenkomstig de bepalingen van de wet en van dit besluit. Art. 72. De volgende koninklijke besluiten worden opgeheven : 1. koninklijk besluit nr. 1 tot vaststelling van de datum van inwerkingtreding van de bepalingen

van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens;

2. koninklijk besluit nr. 2 van 28 februari 1993 tot vaststelling van de termijnen binnen welke de houder van een bestand zich moet schikken naar de bepalingen van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens met betrekking tot de verwerkingen die op het tijdstip van de inwerkingtreding van die bepalingen bestaan;

3. koninklijk besluit van 12 augustus 1993 ter uitvoering van artikel 11, 4°, van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens;

4. koninklijk besluit nr. 3 van 7 september 1993 tot aanwijzing van de personen bij wie het verzoek om mededeling van persoonsgegevens gegrond op artikel 10 van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens moet worden ingediend;

5. koninklijk besluit nr. 4 van 7 september 1993 tot vaststelling van het bedrag, de voorwaarden en de wijze van een voorafgaande heffing aan de houder van het bestand bij de uitoefening van het recht om overeenkomstig artikel 10 van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens, kennis te krijgen van persoonsgegevens;

6. koninklijk besluit nr. 5 van 7 september 1993 tot aanwijzing van de personen bij wie de verzoeken tot verbetering, verwijdering of verbod op de aanwending van persoonsgegevens gegrond op artikel 12 van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens moet worden ingediend;

7. koninklijk besluit nr. 8 van 7 februari 1995 tot vaststelling van de doeleinden, de criteria en de voorwaarden van toegestane verwerkingen van de gegevens bedoeld in artikel 8 van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens, gewijzigd door koninklijk besluit nr. 17 van 21 november 1996;

8. koninklijk besluit nr. 9 van 7 februari 1995 betreffende het verlenen van vrijstellingen van de toepassing van artikel 9 van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens en tot vaststelling van een procedure van collectieve informatieverstrekking aan de personen op

bijlagen

372

wie bepaalde verwerkingen betrekking hebben, gewijzigd bij koninklijk besluit nr. 15 van 12 maart 1996;

9. koninklijk besluit nr. 12 van 7 maart 1995 tot vaststelling van de bedragen die aan de Commissie voor de bescherming van de persoonlijke levenssfeer moeten worden gestort bij de aangifte van de verwerkingen van persoonsgegevens, gewijzigd bij koninklijk besluit nr. 12bis van 12 maart 1996;

10. koninklijk besluit nr. 13 van 12 maart 1996 tot voorwaardelijke vrijstelling van de aangifteplicht voor bepaalde soorten van geautomatiseerde verwerkingen van persoonsgegevens die kennelijk geen gevaar inhouden op het gebied van de schending van de persoonlijke levenssfeer, gewijzigd bij het koninklijk besluit van 18 april 1996;

11. koninklijk besluit nr. 14 van 22 mei 1996 tot vaststelling van de doeleinden, de criteria en de voorwaarden van toegestane verwerkingen van de gegevens bedoeld in artikel 6 van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens.

Art. 73. Dit besluit treedt in werking de eerste dag van de zesde maand volgend op die gedurende welke het in het Belgisch Staatsblad is bekendgemaakt. Art. 74. Onze Minister van Justitie is belast met de uitvoering van dit besluit. Gegeven te Brussel, 13 februari 2001. ALBERT Van Koningswege : De Minister van Justitie, M. VERWILGHEN

bijlagen

373

huishoudelijk reglement van de CBPL HUISHOUDELIJK REGLEMENT HOOFDSTUK I. ALGEMENE BEPALINGEN. Artikel 1. De Commissie voor de bescherming van de persoonlijke levenssfeer, hierna de Commissie genoemd, heeft haar zetel te Brussel. Art. 2. De voorzitter waakt over de goede werking van de Commissie. Art. 3. De voorzitter roept de Commissie samen en stelt de plaats, de dag en het uur van de vergaderingen vast. Hij opent en sluit de vergaderingen. Hij leidt de debatten. Bij verhindering van de voorzitter worden zijn bevoegdheden uitgeoefend door de ondervoorzitter, die dan dezelfde bevoegdheden en verplichtingen heeft. Art. 4. Behoudens spoedeisende gevallen, door de voorzitter te beoordelen, worden de oproepingen tenminste acht dagen voor de vergadering aan de leden verzonden. Zij bevatten de agenda van de vergadering, vergezeld van de nodige documenten. Art. 5. De voorzitter roept de Commissie bijeen wanneer tenminste drie leden erom verzoeken. Dit verzoek wordt gedaan, hetzij met een tot de voorzitter gericht schrijven, hetzij op een vergadering van de Commissie. Het verzoek preciseert het voorwerp van de bijeen te roepen vergadering. De vergadering van de Commissie wordt gehouden binnen de vijftien dagen na de indiening van het verzoek, tenzij de aanvragers instemmen met een latere datum. Art. 6. De voorzitter stelt de agenda vast. De agenda wordt opgedeeld in punten “A“en “B” . De aangelegenheden gerangschikt onder “B” worden ter zitting aangenomen zonder bijkomende bespreking, tenzij een lid de bespreking ervan heeft aangevraagd aan de voorzitter ten laatste om 10 uur de 2de werkdag voorafgaand aan deze van de desbetreffende zitting. De voorzitter of de administrateur verwittigt de andere leden dezelfde dag per mail. De andere aangelegenheden, gerangschikt onder “A” en deze op verzoek van een lid aldus omgevormd, worden steeds ter bespreking voorgelegd. Een aangelegenheid die niet op de agenda is vermeld, kan alleen in behandeling worden genomen mits tenminste de helft van de aanwezige leden daarmee instemt. Het lid dat de inschrijving van een punt op de agenda wenst, dient hiervoor een aanvraag in bij de voorzitter. Deze zal het punt inschrijven op de agenda van de volgende vergadering. Art. 7. Zowel de vaste leden als hun plaatsvervangers kunnen aan de vergaderingen deel nemen en kunnen tot verslaggever worden aangewezen. Alleen de vaste leden en de plaatsvervangende leden die een verhinderd vast lid vervangen, worden in aanmerking genomen voor de berekening van het aanwezigheidsquorum en zijn stemgerechtigd. Art. 8. Over de vergaderingen van de Commissie wordt een syntheseverslag opgesteld. Dit verslag wordt ondertekend door de voorzitter en de administrateur, hoofd van het secretariaat. De administrateur is belast met de bewaring van de stukken en levert de voor eensluidende verklaarde afschriften af van de akten en verslagen van de vergaderingen van de Commissie. De ontwerpen van verslag worden aan de leden van de Commissie medegedeeld. Zij worden op de eerstvolgende vergadering door de Commissie goedgekeurd. Art. 9. Voor elk advies, elke aanbeveling, elke aan de Commissie gerichte klacht of elk verzoek, of voor elke aangelegenheid die de voorzitter nuttig oordeelt, wijst hij één of meerdere verslaggevers aan. De voorzitter zorgt voor de ondersteuning van de verslaggever door een

bijlagen

374

ambtenaar van het secretariaat. De verslaggever kan de ambtenaar aansturen bij de werkzaamheden. Art. 10. De voorzitter of de verslaggever kan aan de verzoekende partij, aan de klager, aan elke overheid, aan elke verantwoordelijke van een verwerking, of aan een derde, alle inlichtingen vragen die hij nodig oordeelt. Hij kan ze, gezamenlijk of afzonderlijk, uitnodigen voor een verhoor. De voorzitter of verslaggever kan beslissen ter plaatse te gaan. De voorzitter of de verslaggever brengt bij de Commissie verslag uit van zijn handelingen. Art. 11. De verslaggever stelt een ontwerp van beslissing op. Bij het onderzoek van het dossier en bij de voorbereiding van de besluitvorming zal aandacht worden geschonken aan het feitelijk en wettelijk kader, de toetsing aan de principes voor een verwerking van persoonsgegevens in het bijzonder en het impact op de persoonlijke levenssfeer van de betrokkenen. Zo nodig zullen deze elementen in het voorstel van beslissing worden opgenomen. Art.12. De Commissie vergadert en beraadslaagt als college. De commissie vergadert met gesloten deuren tenzij zij uitdrukkelijk beslist de zitting openbaar te laten verlopen. Elke bespreking van een dossier “A” wordt ingeleid door de verslaggever waarna elk lid vragen kan stellen en zijn standpunt, inzonderheid over het voorstel tot beslissing, kan uiten. De voorzitter gaat na welk gemeenschappelijk standpunt kan ingenomen worden. Zo nodig wordt overgegaan tot stemming met naleving van artikel 28, tweede lid van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (hierna WVP). De voorzitter legt de verschillende vragen en eventuele alternatieven voor aan de Commissie zodat over elk vraagpunt of standpunt afzonderlijk kan beslist worden. Het proces-verbaal van de vergadering vermeldt uitdrukkelijk de gestelde vragen en het resultaat van de stemming. Over het geheel van de door de stemming bereikte beslissing wordt globaal gestemd. De stemming is verplicht wanneer een lid dit uitdrukkelijk vraagt. De stemming gebeurt bij handopsteking. Art. 13, § 1. Wanneer het noodzakelijk is voor de goede werking van de Commissie of voor de naleving van de wettelijke termijnen, kan de Commissie, na bespreking ter zitting, beslissen de behandeling van de beraadslaging over de ontwerpen van adviezen, aanbevelingen, machtigingen en andere beslissingen verder te zetten volgens een schriftelijke procedure. De voorzitter verstuurt de ontwerpen aangepast volgens de beslissingen van de Commissie ter zitting, aan de leden en bepaalt de termijn en de modaliteiten voor hun eventuele reactie. Deze procedure strekt ertoe zich uit te spreken over de conformiteit van de aanpassing aan de ter zitting genomen beslissing. Op basis van de ingestuurde reacties zal de voorzitter het ontwerp aanpassen, dan wel beslissen tot bijkomende agendering op een volgende nuttige zitting. Indien het ontwerp onverkort kan worden afgewerkt zonder bijkomende zitting, krijgt het de dagtekening van de laatste zitting waarop het werd behandeld. § 2 Wanneer het noodzakelijk is voor de goede werking van de Commissie en / of in dringende gevallen kan de voorzitter beslissen een ontwerp van besluitvorming via een schriftelijke procedure te laten behandelen. De voorzitter verstuurt het desbetreffende document aan de leden en bepaalt de termijn en de modaliteiten voor hun eventuele reactie. Deze termijn kan niet korter zijn dan 48 uur. Op basis van de ingestuurde reacties zal de voorzitter het ontwerp aanpassen, dan wel beslissen tot een agendering op een volgende nuttige zitting. De goedgekeurde beslissing van de Commissie krijgt al naar gelang het geval de dagtekening van de zitting waarop ze het laatst werd besproken en, indien het niet ter zitting is behandeld, waarop de voorzitter het document in definitieve versie zal hebben ondertekend. Art. 14, § 1.De Commissie kan haar adviezen, aanbevelingen en beslissingen, naast de door of krachtens de wet opgelegde kennisgeving ervan, ook op een andere wijze openbaar maken. De bijkomende openbaarmaking bedoeld in het vorige lid vormt het voorwerp van een afzonderlijke beslissing. In afwijking van het bepaalde in het tweede lid, worden de adviezen en de aanbevelingen bedoeld in respectievelijk de artikelen 29 en 30, § 1 van de WVP bekendgemaakt op de website van de Commissie. Uitzonderlijk kan de Commissie echter

bijlagen

375

beslissen op met redenen omklede wijze het advies of de aanbeveling niet op de website te plaatsen. De aanvrager van een advies bedoeld in artikel 29 van de WVP kan vragen, bij gemotiveerd verzoek, dat het advies niet bekend wordt gemaakt. De Commissie dient daarop in te gaan tenzij de Commissie van oordeel is dat dit niet strookt met de beginselen van de democratische rechtstaat en de rechten van de mens. De Commissie motiveert deze weigering en maakt deze bekend in bijlage van het advies. § 2. De Commissie bouwt een website waarop ze in overeenstemming met de vorige paragraaf en behoudens de voormelde uitzonderingen, al haar beslissingen bekend maakt. Het openbaar register en het systeem van de aangiften als bedoeld in de WVP worden via deze website beschikbaar gesteld. Op de website is ruimte voorzien voor de verscheidene sectorale comités. Art. 15, § 1. Onverminderd de bijzondere taken die in dit reglement aan de voorzitter worden opgedragen is hij belast met de algemene uitvoering van de beslissingen van de Commissie. § 2. Om redenen van organisatorische aard en met het oog op de goede werking van de dienst kan de voorzitter bepaalde uitvoerende en voorbereidende taken opdragen aan een ambtenaar van het secretariaat. HOOFDSTUK II. BIJZONDERE BEPALINGEN. Afdeling I. – Adviezen in toepassing van artikel 29 WVP. Art. 16. Voor de behandeling van de aanvragen om advies bedoeld in artikel 29 van de WVP, gaat de voorzitter of de verslaggever zo snel mogelijk na of alle voor het advies noodzakelijke gegevens aan de Commissie zijn medegedeeld. In voorkomend geval richt de voorzitter of de verslaggever zich tot de betrokken overheid met de vraag tot mededeling van de door hem te preciseren gegevens. De betrokken overheid wordt erop gewezen dat de termijn bepaald in artikel 29, §2 of §3, van de WVP slechts begint te lopen vanaf het ogenblik dat die gegevens aan de Commissie worden medegedeeld. Art. 17. Het advies vermeldt of het gunstig of ongunstig is, desgevallend onder de vermelding van de voorwaarden waarvan deze conclusie afhankelijk is. Afdeling II. – Aanbevelingen als bedoeld in artikel 30, § 1 WVP. Art. 18. Voor de behandeling van de aanvragen om aanbevelingen als bedoeld in artikel 30, § 1 van de WVP wordt gehandeld op dezelfde wijze als bepaald in artikel 16. Afdeling III. – De aangiften en het openbaar register als bedoeld in de artikelen 17 tot 20 WVP. Art. 19. De voorzitter is gelast met de organisatie van het systeem van de aangiften en het houden van het openbaar register, als bedoeld in de artikelen 17 tot 20 WVP. De voorzitter kan te allen tijde beslissen een bepaalde aangelegenheid formeel ter zitting te brengen. Hij brengt daarover de betrokkene op de hoogte. Afdeling IV. – Aanbevelingen over verwerkingen als bedoeld in artikel 30, § 2 WVP. Art. 20. Onverminderd het bepaalde in het Koninklijk besluit van 13 februari 2001 ter uitvoering van de WVP, hierna het KB, kan de Commissie aanbevelingen richten tot de verantwoordelijke voor een bepaald soort verwerking of tot een bepaalde verantwoordelijke voor een verwerking. In uitvoering van artikel 26, §1, tweede lid van de WVP, kan de voorzitter bij gelegenheid van het onderzoek van een dossier, nagaan in welke mate de behandeling ervan niet door zijn toedoen kan geschieden zonder dat het ter zitting dient te worden gebracht. Hij zal daarbij handelen in overeenstemming met de beleidslijnen bepaald door de Commissie. De voorzitter kan echter te allen tijde de behandeling op zijn niveau afbreken en het dossier formeel ter zitting brengen. Hij brengt daarover de betrokkene op de hoogte.

bijlagen

376

Art. 21. Alvorens een aanbeveling te richten tot een bepaalde verantwoordelijke voor een verwerking, geeft de Commissie of de voorzitter deze de gelegenheid om, binnen een door haar, de voorzitter of de verslaggever bepaalde termijn, schriftelijk zijn standpunt te doen kennen. Afdeling V. – Onrechtstreekse toegang als bedoeld in artikel 13 WVP. Art. 22. De uitoefening van het recht van toegang, zoals bedoeld in artikel 13 van de WVP, dient door de verzoeker ondertekend en gedateerd te worden alsook de informatie te bevatten opgesomd in artikel 37 van het koninklijk besluit van 13 februari 2001 ter uitvoering van de WVP. Wanneer het verzoek bij elektronisch bericht wordt verstuurd dient het een elektronische handtekening bevatten. Is dit niet geval dan zal het verzoek slechts kunnen worden behandeld na een schriftelijke en ondertekende bevestiging op papieren drager. Art. 23. In uitvoering van artikel 26, §1, tweede lid van de WVP en de artikelen 37 tot 46 van het voormeld KB van 2001, behandelt de voorzitter alle verzoeken voor de uitoefening van een onrechtstreekse toegang. De voorzitter kan echter te allen tijde de behandeling op zijn niveau afbreken en het dossier formeel ter zitting brengen. Hij brengt daarover de betrokkene op de hoogte. Wanneer een controle gepaard gaat met een onderzoek ter plaatse wordt, onverminderd het bepaalde in artikel 43 van het voormelde KB van 2001, gehandeld met toepassing van artikel Afdeling VI. – Informatie en inlichtingen. Art. 24. In uitvoering van artikel 26, §1, tweede lid van de WVP, beantwoordt de voorzitter alle vragen om inlichtingen of om een advies of standpunt, gericht aan de Commissie. Het antwoord wordt gegeven op basis van de inlichtingen en de gegevens waarover het secretariaat voor de behandeling van het verzoek beschikt en dit onverminderd de bevoegdheid van de Commissie om daarover als collegiaal orgaan een uitspraak te doen. De verzoeker wordt daarover in het antwoord in kennis gesteld. De voorzitter kan echter te allen tijde de behandeling op zijn niveau afbreken en het dossier formeel ter zitting brengen. Hij brengt daarover de verzoeker op de hoogte. Wanneer het antwoord wordt gegeven na een beraadslaging van de Commissie ter zitting, wordt dit uitdrukkelijk vermeld. Afdeling VII. – Klachten als bedoeld in artikel 31 WVP. Art. 25, § 1.De personen die van een belang doen blijken, kunnen bij de Commissie klacht indienen. De klacht dient door de klager ondertekend en gedateerd te worden. Wanneer de klacht bij elektronisch bericht wordt verstuurd dient zij een elektronische handtekening te bevatten. Is dit niet geval dan zal de klacht slechts kunnen worden behandeld na een schriftelijke en ondertekende bevestiging op papieren drager. De klacht bevat een uiteenzetting van de feiten. Zij moet de nodige aanwijzingen bevatten die toelaten de verwerking, voorwerp van de klacht, identificeren. § 2. Wanneer een persoon een schrijven richt tot de Commissie dat niet aan de vormelijke vereisten van de kwalificatie voldoet als gesteld in de voorgaande paragraaf, wordt zijn schrijven enkel beschouwd als een verzoek om inlichtingen. De betrokkene wordt hierover op de hoogte gebracht. De voorzitter kan aan de betrokken persoon vragen zijn verzoek te preciseren. § 3. Wanneer het schrijven voldoet aan de vormelijke vereisten van de kwalificatie doch eruit niet duidelijk kan worden opgemaakt of het om een eigenlijke klacht gaat, wordt onderzocht in welke mate aan het gestelde probleem geen bevredigend en afdoend gevolg kan worden gegeven zonder dat een formele behandeling in overeenstemming met de klachtprocedure dient te worden aangevat. De voorzitter kan aan de betrokken persoon vragen zijn verzoek te preciseren. Hij kan eveneens inlichtingen vragen aan de verantwoordelijke van de verwerking waarop het schrijven betrekking heeft.

bijlagen

377

Art. 26. De identiteit van de klager wordt in beginsel niet bekendgemaakt. De identiteit wordt echter bekendgemaakt indien de bekendmaking vereist is voor het onderzoek van de klacht en indien de klager daarmee uitdrukkelijk of stilzwijgend heeft ingestemd. Indien de bekendmaking van de identiteit van de klager vereist is voor het onderzoek van de klacht, doch de klager met de bekendmaking niet instemt, wordt de klacht zonder gevolg gerangschikt. Art. 27. Bij de behandeling van een klacht stellen de Commissie of haar voorzitter zich te allen tijde op vanuit een zorg om een minnelijke regeling tot stand te brengen tussen de verantwoordelijke voor de verwerking en de klager. Art. 28. In uitvoering van artikel 26, §1, tweede lid van de WVP, kan de voorzitter bij gelegenheid van een klacht, nagaan in welke mate de zaak niet door zijn bemiddeling tot een oplossing kan komen zonder dat ze ter zitting dient te worden gebracht. De voorzitter kan echter te allen tijde de bemiddeling op zijn niveau afbreken en het dossier formeel ter zitting brengen. Hij brengt daarover de partijen op de hoogte. Art. 29. Alvorens de behandeling ten gronde aan te vangen onderzoekt, al gelang het geval, de Commissie of de voorzitter de ontvankelijkheid van de aan de Commissie gerichte klachten. De beslissing over ontvankelijkheid wordt aan de klager ter kennis gebracht. Art. 30. De voorzitter kan aan de klager alle inlichtingen vragen die hij nuttig oordeelt. Hij kan zich in verbinding stellen met de verantwoordelijke voor de verwerking waarop de klacht betrekking heeft, hem op de hoogte brengen van de klacht en hem alle inlichtingen en uitleg vragen die hij nodig acht om zijn standpunt met het oog op bemiddeling te kunnen bepalen. Hij kan ook aan derden inlichtingen vragen. De verantwoordelijke voor de verwerking heeft het recht zijn antwoord te verduidelijken met alle bijkomende informatie en toelichting die hij nodig acht. De voorzitter kan dit antwoord mededelen aan de klager om hem de mogelijkheid te bieden te reageren. Hij kan daarbij eventueel toelichting verstrekken om te komen tot een oplossing. Art. 31. Wanneer na verloop van de procedure op het niveau van de voorzitter geen oplossing mogelijk is gebleken, maakt de voorzitter een verslag op over de zaak. Indien de voorzitter meent dat er geen reden is tot voortzetting van de bemiddeling stelt hij ter attentie van de partijen een met redenen omkleed voorstel van advies op over de gegrondheid van de klacht. Hij kan zijn voorstel doen vergezeld gaan van met redenen omklede aanbevelingen aan de verantwoordelijke voor de verwerking. De voorzitter legt het verslag met het voorstel van advies en de eventuele aanbevelingen voor aan de Commissie. De Commissie neemt, in voorkomend geval op de eerstvolgende nuttige zitting, kennis van de zaak en beslist desgevallend over het vervolg. De voorzitter brengt de eindbeslissing van de Commissie ter kennis van de partijen. De voorzitter kan ook beslissen het dossier voor verdere behandeling aan de Commissie voor te leggen. Hij brengt daarover de partijen op de hoogte. Art. 32. Voor het onderzoek van een klacht kan de Commissie een of meerdere leden aanstellen tot verslaggever en het stellen van onderzoeksdaden. Behalve in geval dat de klacht al het voorwerp heeft uitgemaakt van een bemiddelingsprocedure op het niveau van de voorzitter, brengt de Commissie, nadat ze in overeenstemming met artikel 29 de klacht ontvankelijk heeft verklaard, voor de verantwoordelijke voor de verwerking waarop de klacht betrekking heeft, op de hoogte van de klacht. Zij kan, in het belang van het onderzoek, deze kennisgeving verdagen tot het ogenblik dat ze geschikt acht. De Commissie of de verslaggever kan alle nuttige inlichtingen vragen aan de klager, de verantwoordelijke voor de verwerking en aan derden. Zij kan een termijn opleggen voor het verstrekken van een schriftelijk antwoord. Zij kan in elke stand van de procedure aanvullende onderzoeksmaatregelen bevelen. De verantwoordelijke voor de verwerking heeft het recht zijn antwoord te verduidelijken met alle bijkomende informatie en toelichting die hij nodig acht. Het antwoord wordt aan de klager medegedeeld. Deze heeft het recht om, binnen een door de Commissie of de verslaggever

bijlagen

378

bepaalde termijn, schriftelijk een wederantwoord in te dienen. Wanneer een onderzoek ter plaatse noodzakelijk is, wordt gehandeld in overeenstemming met de bepalingen van artikel 40. Art. 33. De Commissie kan beslissen de klager en de betrokken verantwoordelijke voor de verwerking uit te nodigen voor een verhoor. Zo beiden uitgenodigd worden, gebeurt het verhoor afzonderlijk of gezamenlijk volgens de beslissing van de Commissie. Art. 34. De Commissie kan met het oog op het bereiken van een minnelijke schikking tussen de partijen een of meerdere leden afvaardigen om deze te bewerkstelligen. Zo een minnelijke schikking wordt bereikt, stellen de afgevaardigde leden een procesverbaal op, waarin de bereikte oplossing wordt uiteengezet. De Commissie neemt, in voorkomend geval op de eerstvolgende nuttige zitting, akte van het bereikte akkoord en beslist desgevallend over het vervolg. Art. 35. Zo met betrekking tot een ontvankelijk verklaarde klacht geen minnelijke schikking wordt bereikt, geeft de Commissie een met redenen omkleed advies over de gegrondheid van de klacht. Zij kan haar advies doen vergezeld gaan van met redenen omklede aanbevelingen aan de verantwoordelijke voor de verwerking. Art. 36. Indien de Commissie beslist dat haar beslissing, advies of aanbevelingen, naast de door of krachtens de wet opgelegde kennisgeving ervan, ook op een andere wijze openbaar gemaakt wordt, beslist zij afzonderlijk over het al dan niet openbaar maken van de identiteit van de partijen. Afdeling VIII. – Controle en inspectie. Art. 37. Voor de toepassing van de wet wordt verstaan onder controle, het nagaan van de eerbiediging van de regelgeving met betrekking tot de bescherming van de persoonlijke levenssfeer in hoofde van een individuele verantwoordelijke voor de verwerking. Voor de toepassing van de wet wordt verstaan onder inspectie, het organiseren van een algemene verificatie over de eerbiediging van de regelgeving met betrekking tot de bescherming van de persoonlijke levenssfeer in hoofde van een groep, categorie of sector van verantwoordelijken voor de verwerking. Bij gelegenheid van een inspectie kan een specifieke controle ten overstaan van een individuele verantwoordelijke plaatsvinden. Art. 38. Tot controle kan worden overgegaan naar aanleiding van een aangifte, van een eenvoudig verzoek van een persoon, van een verzoek om onrechtstreekse toegang, van een klacht, dan wel spontaan naar aanleiding van een bepaalde vaststelling met betrekking tot de verwerking van persoonsgegevens. Tot inspectie kan worden overgegaan naar aanleiding van bepaalde specifieke vaststellingen met betrekking tot de verwerking van persoonsgegevens bij gelegenheid van een controle, vanuit bepaalde algemene vaststellingen met betrekking tot de verwerking van persoonsgegevens, vanuit een algemene bezorgdheid, dan wel op basis van gerichte proactieve en preventieacties door de Commissie. Controle en inspectie kunnen worden georganiseerd op basis van een nationaal dan wel een internationaal initiatief. De beslissing tot het verrichten van een controle wordt genomen door de voorzitter. Het organiseren van een inspectie wordt op voorstel van de voorzitter beslist door de Commissie. Art. 39, § 1. In uitvoering van artikel 26, §1, tweede lid van de WVP, kan de voorzitter bij gelegenheid van een controle of van een inspectie aan de verantwoordelijke voor de verwerking een inlichtingenblad laten invullen en alle bijkomende vragen om uitleg stellen die nuttig kunnen zijn om zich een beeld te vormen over de wijze van verwerking. Hij kan ook aan derden inlichtingen vragen. De verantwoordelijke voor de verwerking heeft het recht alle bijkomende informatie en toelichting te verstrekken die hij nodig acht. Wanneer een onderzoek ter plaatse noodzakelijk is, wordt gehandeld in overeenstemming met de bepalingen van artikel 40.

bijlagen

379

§ 2. Bij de uitoefening van een opdracht van controle of inspectie stellen de Commissie of haar voorzitter zich te allen tijde op vanuit een bekommernis om een minnelijke regeling tot stand te brengen tussen de verantwoordelijke voor de verwerking en de betrokken personen wiens persoonsgegevens worden verwerkt. Wanneer de controle het gevolg is van een aangifte, van een verzoek om onrechtstreekse toegang of van een klacht wordt verder gehandeld in overeenstemming met de bijzondere wettelijke regelgeving en dit reglement, dienaangaande. § 3. Onverminderd het bepaalde in de vorige paragraaf kan de Commissie of de voorzitter namens de Commissie, naar aanleiding van een controle, aan de verantwoordelijke voor de verwerking aanbevelingen richten. Alvorens een aanbeveling te richten tot een bepaalde verantwoordelijke voor de verwerking, wordt aan deze de gelegenheid geboden om binnen de termijn bepaald door de voorzitter, schriftelijk zijn standpunt te doen kennen. Al naar gelang het geval kan de Commissie of de voorzitter beslissen de verantwoordelijke te horen. Wanneer geen minnelijke regeling tot stand kan worden gebracht kan de voorzitter beslissen aanbevelingen te richten tot de betrokken verantwoordelijke voor de verwerking, dan wel de zaak voor de Commissie te brengen. In elk geval kan de voorzitter echter te allen tijde het dossier ter zitting brengen. Hij brengt de verantwoordelijke voor de verwerking daarvan op de hoogte. § 4. Wanneer naar aanleiding van een inspectieopdracht de Commissie, de voorzitter of een lid van de Commissie in hoofde van een verantwoordelijke voor de verwerking bepaalde vaststellingen doen die aanleiding geven tot een specifieke controle, wordt verder gehandeld in overeenstemming met het bepaalde in de vorige paragraaf. Afdeling IX. – Onderzoeken ter plaatse als bedoeld in artikel 32 WVP. Art. 40. De Commissie beslist over het onderzoek ter plaatse waarmee zij één of meer van haar leden kan belasten. De Commissie of de voorzitter kan beslissen dat ambtenaren van het secretariaat de afgevaardigde leden vergezellen. Over het onderzoek ter plaatse wordt een proces-verbaal opgemaakt. Daarin wordt een volledig verslag opgemaakt over het verloop van het onderzoek. Het wordt getekend door de verantwoordelijke commissaris(-sen) en desgevallend de ambtenaren van het secretariaat. De verantwoordelijke van de verwerking of zijn afgevaardigde op de plaats waar het onderzoek plaats vindt, wordt bij aanvang in kennis gesteld van het beoogde onderzoek en van de geldende wetgeving. Een afschrift van het verslag over het verloop van het onderzoek wordt onverwijld overgezonden aan deze verantwoordelijke of zijn afgevaardigde. De verantwoordelijke of zijn afgevaardigde kan een verklaring of commentaar opmaken en dit laten voegen bij het proces-verbaal. Korte verklaringen worden opgetekend in het verslag zelf. In geval van hoogdringendheid oefent de voorzitter de in het eerste lid bedoelde bevoegdheid uit. In dat geval brengt hij op de eerstvolgende vergadering verslag uit over de door hem genomen beslissingen. Afdeling X. – Sectorale comités. Art. 41. Elk dossier dat bij de Commissie wordt ingediend, en dat betrekking heeft op een aangelegenheid waarvoor door of krachtens de wet een sectoraal comité uitdrukkelijk bevoegd is, wordt door de voorzitter of de daartoe gemachtigde administrateur onverwijld doorgestuurd aan het bevoegde sectoraal comité. Art. 42. Wanneer een dossier dat in behandeling is bij een sectoraal comité of waarover een sectoraal comité een beslissing heeft genomen, aan de Commissie voor onderzoek wordt overgezonden door de door of krachtens de wet bevoegde instantie, wijst de voorzitter onverwijld een verslaggever aan. De verslaggever is gerechtigd zich te wenden tot de voorzitter van het sectoraal comité om hem alle nuttige inlichtingen te verstrekken. Artikel 10 is van toepassing. Art. 43. Onverminderd de toepassing van artikel 14 wordt een afschrift van de beslissing van de Commissie genomen in het kader van deze procedure, onverwijld overgezonden aan het bevoegde sectoraal comité.

bijlagen

380

Art. 44. De voorzitters van de verscheidene sectorale comités komen minstens één maal per trimester bijeen in een conferentie van de voorzitters. Ze maken afspraken over de organisatie van de werkzaamheden, de samenwerking tussen de Commissie en de sectorale comités en de comités onderling. Zij werken onder meer een regeling uit over mogelijke bevoegdheidsvraagstukken. De afspraken maken het voorwerp van een protocolakkoord dat ter goedkeuring wordt voorgelegd aan de Commissie. Het secretariaat van de conferentie wordt gehouden door de administrateur bijgestaan door de staf van de voorzitter. Art. 45. Voor de regeling van de bevoegdheidsvraagstukken en de samenloop van bevoegdheden tussen de Commissie en de sectorale comités alsook tussen de sectorale comités onderling, gelden de volgende principes: - de Commissie zendt het dossier door aan het bevoegde sectoraal comité op basis van de uitdrukkelijke bevoegdheidstoewijzing door of krachtens de wet van een materie aan een sectoraal comité; - tussen de sectorale comités geldt in beginsel de regel van de materietoewijzing door of krachtens de wet; - voor wat de machtigingsdossiers betreft is het sectorale comité dat de controle uitoefent op de overheidsdienst die de mededeling van de gegevens verricht, bevoegd; - wanneer de mededeling een antwoord is op een vraag die op zich de voorafgaande mededeling van gegevens vereist, is de instelling die antwoordt bepalend voor het criterium van de bevoegdheidstoewijzing; - indien nog twijfel bestaat kan de conferentie van de voorzitters de bevoegdheid regelen en desnoods zich wenden tot de Commissie. HOOFDSTUK III. BESTUURSVERGADERING. Art. 46. In toepassing van de artikelen 26, 34 en 35 van de WVP komt de Commissie bijeen voor de behandeling van alle aangelegenheden met betrekking tot het administratief beheer, de begroting, het bestuursplan, de personele en materiële middelen en de rapportering over de werkzaamheden. De dossiers worden ingeleid door de voorzitter bijgestaan door de administrateur. Art. 47. Binnen de maand na de goedkeuring van dit reglement stelt de Commissie, op voorstel van de voorzitter, twee commissarissen aan voor het nazicht van de rekeningen van de Commissie. Ze vervullen de taken die zijn opgelegd in het reglement betreffende de begroting- boekhoudingprocedure, zoals goedgekeurd door de Commissie. Art. 48. Binnen de maand na de goedkeuring van dit reglement stelt de Commissie, op voorstel van de voorzitter, de raden van beroep samen die zijn voorzien in artikel 84 van het statuut van de ambtenaren van het secretariaat, zoals goedgekeurd door de Kamer van Volksvertegenwoordigers. HOOFDSTUK IV. SLOTBEPALINGEN. Art. 49. Het huishoudelijk reglement, goedgekeurd door de Commissie op 5 april 1995, wordt opgeheven. Art. 50. Dit huishoudelijk reglement wordt medegedeeld aan de wetgevende kamers. Het wordt bekend gemaakt in het Belgisch Staatsblad en op de website van de Commissie. Het wordt medegedeeld aan eenieder die erom verzoekt. Art. 51. Dit huishoudelijk reglement treedt in werking de dag waarop het in het Belgisch Staatsblad wordt bekend gemaakt. Brussel, 11 april 2007.

bijlagen

381

De Administrateur, De Voorzitter, (get.) Jo BARET (get.) Willem DEBEUCKELAERE

bijlagen

382

bijlagen

383

Wet van 8 december 1992 tot bescherming van de ... · bepalingen van de privacywet te verwijzen...

Documents

Transcript of Wet van 8 december 1992 tot bescherming van de ... · bepalingen van de privacywet te verwijzen...