Artikelen bij COM(2016)214 - Mededeling aan EP over Raadsstandpunt inzake de algemene verordening gegevensbescherming

Dit is een beperkte versie

U kijkt naar een beperkte versie van dit dossier in de EU Monitor.

EUROPESE COMMISSIE

Brussel, 11.4.2016

COM(2016) 214 final

2012/0011(COD)

MEDEDELING VAN DE COMMISSIE AAN HET EUROPEES PARLEMENT

overeenkomstig artikel 294, lid 6, van het Verdrag betreffende de werking van de Europese Unie

over het

standpunt van de Raad betreffende de vaststelling van een verordening van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en 
betreffende het vrije verkeer van die gegevens (algemene verordening gegevensbescherming)
en tot intrekking van Richtlijn 95/46/EG


2012/0011 (COD)

MEDEDELING VAN DE COMMISSIE AAN HET EUROPEES PARLEMENT

overeenkomstig artikel 294, lid 6, van het Verdrag betreffende de werking van de Europese Unie

over het

standpunt van de Raad betreffende de vaststelling van een verordening van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en 
betreffende het vrije verkeer van die gegevens (algemene verordening gegevensbescherming)
en tot intrekking van Richtlijn 95/46/EG

1. Achtergrond

Toezending van het voorstel aan het Europees Parlement en de Raad
(document COM(2012) 11 final – 2012/11 COD):
25 januari 2012;
Advies van het Europees Economisch en Sociaal Comité:

SOC/455 EESC-2012-1303
23 mei 2012.
Standpunt van het Europees Parlement in eerste lezing:12 maart 2014.
Indiening van het gewijzigd voorstel:N.v.t.
Vaststelling van het standpunt van de Raad:8 april 2016.

2. Doel van het voorstel van de Commissie

Richtlijn 95/46/EC 1 , het centrale wetgevingsinstrument voor de bescherming van persoonsgegevens in Europa, was een mijlpaal in de geschiedenis van de gegevensbescherming. De doelstellingen ervan – de werking van de eengemaakte markt en doeltreffende bescherming van de grondrechten en fundamentele vrijheden van personen waarborgen – blijven van kracht. Toen de richtlijn 21 jaar geleden werd vastgesteld, stond het internet echter nog in de kinderschoenen. De bestaande regels zorgen in de nieuwe, uitdagende digitale omgeving van nu noch voor de vereiste harmonisering, noch voor de efficiëntie die nodig is om het recht op bescherming van persoonsgegevens te waarborgen.

Tegen deze achtergrond stelde de Commissie op 25 januari 2012 een verordening voor ter vervanging van Richtlijn 95/46/EG; deze verordening voorziet in een algemeen EU-kader voor gegevensbescherming. Het voorstel voor een verordening moderniseert de beginselen van de richtlijn van 1995 door ze op het digitale tijdperk toe te snijden en de wetgeving inzake gegevensbescherming in Europa te harmoniseren. Er zijn strenge gegevensbeschermingsregels nodig om het vertrouwen van de burger in de wijze waarop zijn persoonsgegevens worden gebruikt, te herstellen.

Het voorstel voor een verordening is erop gericht de rechten van natuurlijke personen, de interne markt van de EU en de handhaving van de regels te versterken, internationale doorgiften van persoonsgegevens te stroomlijnen en mondiale normen voor gegevensbescherming vast te stellen.

Door deze veranderingen krijgen mensen meer controle over en gemakkelijker toegang tot hun persoonsgegevens. De veranderingen moeten waarborgen dat persoonsgegevens overal beschermd zijn. De nieuwe regels dragen hiertoe bij door middel van:

• gemakkelijker toegang tot de eigen persoonsgegevens – natuurlijke personen krijgen duidelijke en begrijpelijke informatie over de wijze waarop hun persoonsgegevens worden verwerkt;

• het recht te worden vergeten – als een natuurlijke persoon niet meer wil dat zijn gegevens worden verwerkt, worden deze gewist, gesteld dat er geen rechtmatige gronden zijn om deze gegevens te bewaren;

• het recht om te worden ingelicht als de eigen persoonsgegevens zijn gehackt – ondernemingen moeten inbreuken in verband met persoonsgegevens die een risico inhouden voor natuurlijke personen melden aan de toezichthoudende autoriteit en de betrokkene zo snel mogelijk in kennis stellen van inbreuken die een groot risico inhouden, zodat gebruikers passende maatregelen kunnen nemen;

• het recht op gegevensportabiliteit – hierdoor kunnen natuurlijke personen hun persoonsgegevens gemakkelijker meenemen als zij overstappen naar een andere provider.

De voorgestelde verordening draagt ook bij tot de verwezenlijking van het potentieel van de digitale eengemaakte markt:

• één aanpak voor de gehele EU – één pan-Europese wetgeving inzake gegevensbescherming, in plaats van de huidige, onsamenhangende lappendeken van 28 nationale wetgevingsinstrumenten;

• één centraal loket – bedrijven krijgen te maken met slechts één toezichthoudende autoriteit, in plaats van 28. Dat maakt het voor bedrijven eenvoudiger en goedkoper om zaken te doen in de EU;

• gelijk speelveld – momenteel moeten Europese bedrijven strengere normen in acht nemen dan bedrijven die buiten de EU zijn gevestigd, maar ook zaken doen op de eengemaakte markt. Door de hervorming zullen buiten Europa gevestigde ondernemingen zich aan dezelfde regels moeten houden wanneer zij goederen of diensten aanbieden op de EU-markt;

• technologische neutraliteit – dankzij de nieuwe regels van de verordening blijft er volop ruimte voor innovatie.

Ten slotte biedt de voorgestelde verordening toezichthoudende autoriteiten de mogelijkheid om ondernemingen die niet voldoen aan de EU-regels een maximale geldboete van 2 % van de totale jaaromzet opleggen.

3. Opmerkingen over het standpunt van de Raad

Het standpunt van de Raad weerspiegelt het politieke akkoord dat het Europees Parlement en de Raad na informele trilogen op 15 december 2015 hebben bereikt en dat op 8 april 2016 is bekrachtigd door de Raad.

Dit akkoord stemt overeen met de doelstellingen van het voorstel van de Commissie en kan dan ook op de steun van de Commissie rekenen.

Het akkoord gaat uit van het door de Commissie voorgestelde soort rechtsinstrument, namelijk een verordening, in plaats van een richtlijn, die vervolgens nog in 28 nationale rechtsstelsels zou moeten zou worden omgezet. Ook zorgt het voor de vereiste mate van harmonisering en laat het de lidstaten speelruimte met betrekking tot de uitwerking van de gegevensbeschermingsregels voor de publieke sector.

Het standpunt van de Raad bevestigt de aanpak van de Commissie wat betreft het geografische toepassingsgebied van de verordening. Dit strekt zich dus ook uit tot in een derde land gevestigde verwerkingsverantwoordelijken en verwerkers als deze in de Unie goederen of diensten aanbieden of het gedrag van betrokkenen volgen.

Geheel in lijn met de aanpak van de Commissie versterkt het akkoord de beginselen betreffende gegevensverwerking (bv. minimale gegevensverwerking) en de rechten van de betrokkenen door het recht te worden vergeten en het recht op gegevensportabiliteit vast te stellen en door bestaande rechten, zoals het recht op informatie en het recht van toegang, verder te ontwikkelen.

Ook handhaaft en ontwikkelt het akkoord de op risico gebaseerde benadering die al in het voorstel van de Commissie was vervat, nl. dat verwerkingsverantwoordelijken, en in bepaalde gevallen de verwerkers, rekening moeten houden met de aard, het toepassingsgebied, de context en de doeleinden van de verwerking en met de waarschijnlijkheid en de ernst van de risico's voor de rechten en vrijheden van degene wiens persoonsgegevens worden verwerkt. Bovendien is het akkoord dat is bereikt over het éénloketsysteem uit juridisch en institutioneel oogpunt valide en leidt het tot een significante meerwaarde voor bedrijven en betrokkenen. Het mechanisme berust op het beginsel dat het besluit moet worden genomen door de meest aangewezen autoriteit en zal uitsluitend gericht zijn op zaken met een belangrijke grensoverschrijdende dimensie. De Raad handhaaft de belangrijkste vereenvoudiging, nl. één besluit voor de hele EU en één aanspreekpunt voor bedrijven en natuurlijke personen.

Verder verduidelijkt en preciseert het akkoord de regels inzake internationale doorgiften met betrekking tot, bijvoorbeeld, de criteria waarmee rekening dient te worden gehouden bij de beoordeling van het niveau van bescherming in een derde land, of de instrumenten die voor passende waarborgen voor internationale doorgiften kunnen zorgen.

Het standpunt van de Raad houdt in dat toezichthoudende autoriteiten de bevoegdheid krijgen om inbreuken op deze verordening te bestraffen met maximale geldboetes van 2-4 % van totale jaaromzet van een onderneming.

Ten slotte wordt de verordening in het standpunt van de Raad, anders dan in het voorstel van de Commissie, niet als een ontwikkeling van het Schengenacquis beschouwd. Derhalve acht de Commissie een verklaring daaromtrent nodig.

4. Conclusie

De Commissie staat achter de resultaten van de interinstitutionele onderhandelingen en kan bijgevolg het standpunt van de Raad in eerste lezing aanvaarden.

5. Verklaring van de Commissie – Relevantie van de verordening in verband met Schengen

"De Commissie betreurt het dat haar oorspronkelijke voorstel is gewijzigd door de schrapping van de overwegingen 136, 137 en 138, die verband houden met het Schengenacquis. De Commissie is van mening dat met name wat visa, grenscontroles en terugkeer betreft, de algemene verordening gegevensbescherming een ontwikkeling van het Schengenacquis inhoudt voor de vier lidstaten die betrokken zijn bij de uitvoering, de toepassing en de ontwikkeling van dit acquis."


(1) Richtlijn 95/46/EG betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, PB L 281 van 23.11.1995, blz. 31.