Toelichting bij COM(2018)451 - Machtiging van de lidstaten om de wijziging van het Verdrag tot bescherming van personen met betrekking tot de geautomatiseerde verwerking van persoonsgegevens te ratificeren - Hoofdinhoud
Dit is een beperkte versie
U kijkt naar een beperkte versie van dit dossier in de EU Monitor.
| dossier | COM(2018)451 - Machtiging van de lidstaten om de wijziging van het Verdrag tot bescherming van personen met betrekking tot de ... |
|---|---|
| bron | COM(2018)451   |
| datum | 05-06-2018 |
Dit voorstel heeft betrekking op een besluit waarbij de lidstaten worden gemachtigd om, in het belang van de Europese Unie, het Protocol tot wijziging van het Verdrag van de Raad van Europa tot bescherming van personen met betrekking tot de geautomatiseerde verwerking van persoonsgegevens (ETS nr. 108) ("het wijzigingsprotocol") te ratificeren.
2. ACHTERGROND VAN HET VOORSTEL
2.1.Achtergrond
Het Verdrag van de Raad van Europa tot bescherming van personen met betrekking tot de geautomatiseerde verwerking van persoonsgegevens ("Verdrag 108") is het enige juridisch bindende multilaterale verdrag op het gebied van gegevensbescherming. Doel van het verdrag is de bescherming van het recht op privacy, dat is erkend in artikel 8 van het Europees Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden. Het recht op privacy en het recht op bescherming van persoonsgegevens zijn ook vastgelegd in de artikelen 7 en 8 van het EU-Grondrechtenhandvest en in artikel 16 VWEU.
Op grond van Verdrag 108 moeten de partijen in hun nationale wetgeving de nodige maatregelen opnemen om het universele mensenrecht met betrekking tot de verwerking van persoonsgegevens te doen eerbiedigen. Het verdrag was een van de voornaamste inspiratiebronnen voor de ontwikkeling van het EU-acquis op het gebied van gegevensbescherming. Volgens overweging 11 van Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, heeft die richtlijn onder meer ten doel de beginselen en de rechten van Verdrag 108 te "verduidelijken en [te] versterken".
Tot nog toe hebben 51 staten Verdrag 108 geratificeerd, waaronder alle 28 EU-lidstaten, de vier EVA-staten, alle landen van de Westelijke Balkan, verschillende nabuurschapslanden (bijv. Armenië en Georgië), de Russische Federatie, Turkije en verschillende niet-Europese landen in Afrika (bijv. Senegal en Tunesië) en Latijns-Amerika (Uruguay). Verschillende toetredingsverzoeken (bijv. van Argentinië, Mexico en Marokko) zijn in behandeling en een aantal landen heeft de status van waarnemer (bijv. Japan en Zuid-Korea).
Verdrag 108 werd voor ondertekening opengesteld in 1981, lang vóór het tijdperk van internet en elektronische communicatie. De ontwikkeling van technologie en de globalisering van informatie heeft nieuwe uitdagingen op het gebied van de bescherming van persoonsgegevens meegebracht. Het doel van het wijzigingsprotocol is Verdrag 108 te moderniseren om die uitdagingen het hoofd te bieden.
2.2.Het wijzigingsprotocol
Het gemoderniseerde verdrag (d.w.z. Verdrag 108 zoals gewijzigd door het wijzigingsprotocol) zal dezelfde werkingssfeer hebben voor alle partijen bij het verdrag, die niet langer de mogelijkheid zullen hebben om sectoren of activiteiten (bijv. op het gebied van de nationale veiligheid) volledig van de toepassing ervan uit te sluiten, zoals op basis van het huidige Verdrag 108 wel mogelijk is. Het zal dus betrekking hebben op alle vormen van gegevensverwerking die onder de jurisdictie van de partijen vallen, zowel in de openbare als in de particuliere sector.
Met het wijzigingsprotocol wordt het niveau van gegevensbescherming dat uit hoofde van Verdrag 108 wordt geboden, aanzienlijk verhoogd. Het gemoderniseerde verdrag zal met name het beginsel van rechtmatige verwerking verder specificeren (voornamelijk wat de vereisten voor toestemming betreft) en de bescherming van bijzondere categorieën gegevens verder versterken (en tegelijkertijd de categorieën uitbreiden tot die welke in het Unierecht zijn erkend als bijzondere categorieën persoonsgegevens). Daarnaast zal het gemoderniseerde verdrag personen aanvullende garanties bieden wanneer hun persoonsgegevens worden verwerkt (met name de verplichting om de waarschijnlijke impact van een voorgenomen gegevensverwerking na te gaan en om de relevante technische en organisatorische maatregelen uit te voeren, en de verplichting om ernstige inbreuken op het gebied van gegevensbescherming te melden) en hun rechten versterken (vooral op het gebied van transparantie en toegang tot gegevens). Er worden ook nieuwe rechten ingevoerd, zoals het recht om niet te worden onderworpen aan een louter op geautomatiseerde verwerking gebaseerd besluit dat de betrokkene in aanmerkelijke mate treft, het recht om bezwaar te maken tegen de verwerking en het recht op een voorziening in rechte in geval van schending van de rechten van een betrokken persoon.
In het gemoderniseerde Verdrag zullen herziene bepalingen (die momenteel zijn opgenomen in een aanvullend protocol dat slechts door sommige partijen is ondertekend) worden opgenomen, op grond waarvan de partijen een of meer onafhankelijke instanties moeten oprichten die erop moeten toezien dat de bepalingen van Verdrag 108 worden nageleefd. Die instanties zouden meer armslag krijgen doordat de partijen hen aanvullende bevoegdheden moeten geven, zoals de bevoegdheid om besluiten te nemen met betrekking tot schendingen van Verdrag 108 en om administratieve sancties op te leggen.
Het systeem van afwijkingen op de bovengenoemde rechten en verplichtingen, zoals geformuleerd in het wijzigingsprotocol, voldoet aan drie essentiële voorwaarden: behoud van de brede werkingssfeer van Verdrag 108 (geen algemene uitzonderingsbepalingen), flexibiliteit (waardoor hoge gegevensbeschermingsnormen in overeenstemming kunnen worden gebracht met andere belangrijke openbare belangen, bijvoorbeeld in verband met nationale veiligheid) en algehele samenhang met de jurisprudentie van het Europees Hof voor de Rechten van de Mens (met name geen wezenlijke inperking van het fundamentele recht op gegevensbescherming).
Al bij al zou het gemoderniseerde verdrag een hoog niveau van bescherming bieden en tegelijkertijd de partijen een zekere flexibiliteitsmarge bieden voor de omzetting van de bepalingen ervan in nationaal recht. Op die manier wordt toetreding tot het gemoderniseerde Verdrag 108 aantrekkelijk voor die landen, ook buiten Europa, die erover denken een systeem voor gegevensbescherming op te zetten of een bestaand systeem te versterken. De praktische gevolgen zullen naar verwachting veel groter zijn dan die van het huidige Verdrag 108, zowel wat de reikwijdte als wat de erin vastgestelde verplichtingen betreft.
Zodra het in werking is getreden zal het wijzigingsprotocol de Unie de mogelijkheid bieden partij te worden bij het (gemoderniseerde) verdrag. Wat het stemrecht in het Verdragscomité betreft, waarborgt de overeengekomen tekst het beginsel dat de Unie, binnen haar bevoegdheidsgebied, een aantal stemmen voor de Unie mag uitbrengen dat overeenstemt met het aantal lidstaten die partij zijn bij het verdrag. Om tegemoet te komen aan bezwaren in verband met het gewicht van de stemmen van de Unie, werd een compromis bereikt waarbij besluiten alleen kunnen worden genomen met een 'supermeerderheid' (vier vijfde) van de partijen en waarbij, voor de belangrijkste besluiten die betrekking hebben op de naleving van het verdrag door een partij, een 'dubbele meerderheid' is vereist (gekwalificeerde meerderheid plus een gewone meerderheid van niet-EU-partijen).
Het gemoderniseerde verdrag zou ook de effectiviteit van gegevensbescherming versterken door te bepalen dat het Verdragscomité de doeltreffendheid kan beoordelen van de maatregelen die in nationale wetgeving zijn genomen om uitvoering te geven aan de bepalingen van het verdrag.
De tekst van het wijzigingsprotocol is gecoördineerd met de vertegenwoordigers van de lidstaten in de bevoegde werkgroep van de Raad en geeft uitvoering aan de onderhandelingsrichtsnoeren van de Raad. Hij is ook volledig in overeenstemming met zowel Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (algemene verordening gegevensbescherming of 'GDPR') als met Richtlijn (EU) 2016/680 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en betreffende het vrije verkeer van die gegevens ("politierichtlijn" gegevensbescherming), waardoor wordt uitgesloten dat de lidstaten worden onderworpen aan verschillende of zelfs tegenstrijdige verplichtingen uit hoofde van het recht van de Unie en het recht van de Raad van Europa. De vaststelling van een robuust verdrag, gebaseerd op dezelfde aanpak en dezelfde beginselen als het (nieuwe) acquis van de Unie, is van bijzonder belang voor de internationale strategie van de Unie op het gebied van gegevensbescherming. Verdrag 108, dat ook openstaat voor niet-Europese staten, heeft sterk aan aantrekkingskracht gewonnen bij landen in de hele wereld die wetgeving inzake gegevensbescherming aan het opstellen zijn of die van plan zijn dergelijke wetgeving vast te stellen. In haar mededeling van januari 2017, getiteld 'Uitwisseling en bescherming van persoonsgegevens in een geglobaliseerde wereld' (COM(2017) 7 final), heeft de Commissie verwezen naar Verdrag 108 en heeft zij erkend dat het gemoderniseerde verdrag op dezelfde beginselen zou gebaseerd zijn als de EU-gegevensbeschermingswetgeving en aldus zou 'bijdragen tot convergentie in de richting van hoge gegevensbeschermingsnormen' op mondiaal niveau. Zij heeft daarom toegezegd 'de snelle vaststelling' van het wijzigingsprotocol te zullen 'bevorderen'.
2.3.Bestaande wetgeving en bestaand beleid van de Unie op dit gebied
Het gebied waarop het gewijzigde verdrag betrekking heeft, valt nu grotendeels onder het wetgevingskader inzake gegevensbescherming van de Unie. De GDPR, die van toepassing is sinds 25 mei 2018, en de politierichtlijn, waarvan de omzettingstermijn is verstreken op 6 mei 2018, voorzien in een omvattend systeem van regels op het gebied van gegevensbescherming en staan borg voor een niveau van bescherming dat ten minste gelijkwaardig is en in veel gevallen hoger ligt. Overeenkomstig artikel 13 van het gemoderniseerde verdrag kunnen de partijen de betrokkenen een 'ruimere mate van bescherming bieden dan in dit verdrag is vastgesteld', zodat het hen vrijstaat in een sterkere bescherming te voorzien.
2.4.Motivering van het voorstel
Het wijzigingsprotocol treedt in werking zodra alle partijen hun akten van bekrachtiging, aanvaarding of goedkeuring hebben neergelegd bij de Secretaris-Generaal van de Raad van Europa. Gezien het grote aantal partijen dat het wijzigingsprotocol moet ratificeren, is voorzien in de mogelijkheid van een 'gedeeltelijke inwerkingtreding' voor een kleinere groep partijen na vijf jaar, zodra ten minste 38 partijen hebben verklaard dat zij ermee instemmen erdoor gebonden te zijn.
De EU-lidstaten (momenteel alleen apart partij bij Verdrag 108) moeten de nodige stappen zetten om ervoor te zorgen dat het wijzigingsprotocol snel in werking treedt:
In de eerste plaats zou de (gedeeltelijke) inwerkingtreding van het gemoderniseerde verdrag, dat grotendeels gelijkaardige waarborgen zou bieden als de GDPR en de politierichtlijn, bijdragen tot de bevordering van de normen inzake gegevensbescherming van de Unie over de hele wereld. Verdrag 108 heeft immers een cruciale rol gespeeld in de wereldwijde verspreiding van het 'Europese model voor gegevensbescherming', gezien het feit dat het vaak een inspiratiebron is geweest voor landen die overwegen privacywetgeving aan te nemen of bestaande wetgeving te moderniseren. Het belang daarvan is vandaag nog groter, gezien het toenemende aantal landen in veel regio's van de wereld die dergelijke wetgeving vaststellen. Als de partijen bij het verdrag een hogere norm voor gegevensbescherming hanteren, kunnen ook gemakkelijker gegevens worden uitgewisseld tussen de EU en derde partijen bij het verdrag. Voor een aantal landen is de toetreding tot Verdrag 108 ook een nuttige voorbereiding gebleken voor het verkrijgen van een adequaatheidsbesluit van de Europese Commissie. De GDPR heeft dit aspect versterkt door uitdrukkelijk te bepalen dat de toetreding tot Verdrag 108 een belangrijke factor is waarmee de Europese Commissie rekening moet houden bij haar beoordeling van de adequaatheid. Zelfs bij gebrek aan adequaatheid zou een hoger niveau van bescherming (vooral wat betreft de beschikbaarheid van zowel gerechtelijke als buitengerechtelijke rechtsmiddelen, alsmede een doeltreffend toezicht door de toezichthoudende autoriteiten) de uitwisseling van gegevens op basis van passende waarborgen vergemakkelijken (met name omdat die waarborgen gemakkelijker zouden kunnen worden afgedwongen in de rechtsstelsels van de partijen).
In de tweede plaats is het van belang dat het gemoderniseerde verdrag ten volle in overeenstemming is met de bepalingen van de GDPR en de politierichtlijn, zodat de EU-lidstaten partij bij het verdrag kunnen blijven en de bepalingen ervan kunnen naleven zonder inbreuk te maken op de wetgeving van de Unie. Dit geldt in het bijzonder voor de bepalingen inzake het vrije verkeer van gegevens tussen de partijen. In tegenstelling tot de huidige tekst bevat het gemoderniseerde verdrag immers een uitzondering op deze regel voor partijen die 'gebonden zijn door geharmoniseerde regels inzake bescherming die worden gedeeld door staten die behoren tot een regionale internationale organisatie'. Dit zal ervoor zorgen dat de EU-lidstaten aan het verdrag kunnen voldoen, ondanks de bepalingen in de Uniewetgeving inzake gegevensbescherming die betrekking hebben op internationale doorgiften.
In de derde plaats voorziet het huidige Verdrag 108 niet in de mogelijkheid van toetreding door internationale organisaties. Het wijzigingsprotocol brengt daar verandering in en de inwerkingtreding ervan is bijgevolg noodzakelijk voor de toekomstige toetreding van de EU tot het Verdrag.
3. RECHTSGRONDSLAG
Het voorgestelde besluit van de Raad is gebaseerd op artikel 218, lid 6, VWEU, in samenhang met artikel 16 VWEU.