Het Verdrag van de Raad van Europa tot bescherming van personen met betrekking tot de geautomatiseerde verwerking van persoonsgegevens (Conventie 108) viert in 2011 haar dertigste verjaardag. Conventie 108 vormde een mijlpaal in de geschiedenis van de bescherming van persoonsgegevens, maar is nu aan modernisering toe wil ze geen dode letter worden. Op 29 januari 2011, de European Privacy and Data Protection Day, ging alvast de publieke consultatieronde tot wijziging van Conventie 108 van start.

Ook op het niveau van de Europese Unie (EU) heerst het gevoel dat de privacywetgeving, richtlijn 95/46/EG betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrij verkeer van die gegevens, aan een update toe is. Een voorstel heeft de Europese Commissie nog niet, maar in een mededeling aan het Europese Parlement en de Raad gaf ze aan een integrale aanpak van de bescherming van persoonsgegevens na te streven door:

- de rechten van individuen te versterken;

- de interne markt dimensie verder uit te werken;

- de voorschriften inzake gegevensbescherming in het kader van de politionele en justitiële samenwerking in strafzaken te herzien;

- de regels voor internationale doorgifte van gegevens te verduidelijken en te vereenvoudigen;

- de institutionele regeling voor handhaving van de voorschriften inzake gegevensbescherming te verbeteren.

De Europese Commissie geeft in haar mededeling tot een integrale aanpak van de bescherming van persoonsgegevens in de Europese Unie aan dat richtlijn 95/46/EG onvoldoende is geslaagd in een van haar primaire doelstellingen, namelijk de harmonisatie van de nationale privacyregels. Die verschillen doen zich voor in een groot aantal sectoren en situaties, bijvoorbeeld bij de verwerking van persoonsgegevens in de context van arbeidsvoorzieningen of voor gezondheidsdoeleinden. De nefaste gevolgen hiervan zijn niet te overzien (bijvoorbeeld extra kosten en administratieve lasten voor particulieren belanghebbenden, rechtsonzekerheid voor de verantwoordelijken voor gegevensverwerking en voor de betrokken zelf, …).

Om de werking van de interne markt te verbeteren onderzoekt de Commissie daarom momenteel hoe een verdere harmonisatie van de regels inzake gegevensbescherming op EU-niveau kan worden bereikt. In dit licht lijkt het me onoverkomelijk dat de EU nu voor eens en voor altijd een positie inneemt inzake de bescherming van persoonsgegevens voor rechtspersonen. De huidige richtlijn spreekt zich hier niet over uit, maar laat het aan de Lidstaten over om rechtspersonen al dan niet op te nemen in hun privacybeschermende wetgeving. Die vrijwillige basis is ook aanwezig in Conventie 108 van de Raad van Europa. Artikel 3 van het Verdrag stelt: " Elke Staat kan bij de ondertekening of de neerlegging van zijn akte van bekrachtiging, aanvaarding, goedkeuring of toetreding, of op elk later tijdstip, door middel van een verklaring gericht aan de secretaris-generaal van de Raad van Europa kenbaar maken dat hij dit Verdrag eveneens zal toepassen op gegevens betreffende groeperingen, verenigingen, stichtingen, vennootschappen of enig ander lichaam dat direct of indirect uit natuurlijke personen bestaat, ongeacht of het rechtspersoonlijkheid bezit ". Het merendeel van de Lidstaten van de Raad van Europa, waaronder België, hebben van deze mogelijkheid geen gebruik gemaakt. In Noorwegen, Oostenrijk, Italië en Denemarken (enkel gedeeltelijk) hebben rechtspersonen wel recht op bescherming van hun persoonsgegevens. Deze verscheidenheid in de reikwijdte van de nationale wetgevingen heeft geleid tot een stroeve werking van de interne markt. In bepaalde landen moeten de verantwoordelijken voor de verwerking namelijk de persoonsgegevens van rechtspersonen beschermen en in andere landen niet. Een eenduidige regeling lijkt wenselijk.

De vraag komt dan aan de orde of rechtspersonen nu moeten worden uitgesloten of ingesloten van het recht op bescherming van persoonsgegevens. In de Raad van Europa werd hier een discussie over gevoerd. Daaruit bleek dat een gehele of ten minste een gedeeltelijke bescherming van de persoonsgegevens van rechtspersonen sterk moet overwogen worden. Als argumentatie werd aangegeven dat blijkens de jurisprudentie van het Europees Hof van de rechten van de mens rechtspersonen onder bepaalde omstandigheden aanspraak kunnen maken op artikel 8 van het Europees Verdrag van de rechten van de mens (recht op privacy) en dat rechtspersonen pas massaal gebruik zullen maken van " cloud computing " indien hun gegevens voldoende beschermd zijn.

Graag kreeg ik een antwoord op de volgende vragen:

1) Kan de geachte minister aangeven in welk stadium de wijziging van EU-richtlijn 95/46/EG en de wijziging van Conventie 108 van de Raad van Europa zich momenteel bevindt? Wanneer wordt voor beiden een akkoord verwacht?

2) Is hij voorstander om in EU-verband:

a) specifieke verplichtingen in te voeren voor de verantwoordelijke voor de verwerking met betrekking tot het soort informatie dat mag worden verstrekt en de voorwaarden waaronder die worden verstrekt ten aanzien van kinderen? Zo ja, aan welke verplichtingen denkt de geachte minister?

b) voor alle sectoren (en dus niet enkel voor de telcommunicatiesector) een meldingsplicht in te voeren aan de gebruiker wanneer er een schending van zijn privacy heeft plaatsgevonden?

c) het opzetten van bewustmakingsacties op het gebied van gegevensbescherming te verplichten? Zo ja, koppelt hij die verplichting aan een medefinanciering via de EU-begroting?

d) de categorieën van gevoelige gegevens uit te breiden naar bijvoorbeeld genetische gegevens?

e) de gegevensbeschermingsautoriteiten de bevoegdheid te geven om een zaak aanhangig te maken bij de nationale rechter?

f) de bestaande sanctieregeling aan te scherpen? Zo ja, moet het voor consumenten mogelijk zijn om een collectieve schadeclaim in te dienen?

g) een EU-certificeringregeling in te voeren op het gebied van privacy- en gegevensbescherming?

h) de toepassing van de algemene regels inzake gegevensbescherming uit te breiden tot de politionele en justitiële samenwerking in strafzaken?

3) Vormen de verschillende nationale regelgevingen inzake het recht op bescherming van de persoonsgegevens voor rechtspersonen een belemmering voor het vrij verkeer van persoonsgegevens binnen de interne markt? Zo ja, moet de nieuwe EU-richtlijn de persoonsgegevens van rechtspersonen beschermen? Bij afwezigheid van een akkoord op Europees niveau, is hij voor of tegen een bescherming van de persoonsgegevens voor rechtspersonen op nationaal niveau? Kan hij, rekening houdende met de rechtspraak van het Europees Hof voor de rechten van de mens, zijn antwoord argumenteren?

1. Met betrekking tot de herziening van de richtlijn 95/46/EG heeft de Raad Justitie en Binnenlandse Zaken (JBZ) van de Europese Unie, gehouden op 24 en 25 februari 2011, conclusies goedgekeurd inzake de mededeling van de Commissie aan het Europees Parlement en de Raad met als titel "Een integrale aanpak van de bescherming van persoonsgegevens in de Europese Unie".

Mijneer de senator kan deze conclusies op het volgende adres te vinden: http://www.consilium.europa.eu/uedocs/cms_data/docs/pressdata/fr/jha/119462.pdf

Punt 2 van de conclusies bepaalt dat een nieuw, op een integrale aanpak gebaseerd juridisch kader de inachtneming van gepaste normen voor de bescherming van de gegevens moet waarborgen op alle vlakken waarop de persoonsgegevens worden verwerkt.

De Raad wacht thans op een voorstel voor een richtlijn van de Europese Commissie dat voor eind 2011 zou moeten worden ingediend.

Met betrekking tot de herziening van het Verdrag 108 heeft het Ministercomité van de Raad van Europa van 10 maart 2010 de modernisering van het Verdrag 108 aangemoedigd teneinde rekening te houden met de nieuwe uitdagingen die volgen uit de nieuwe technologieën en het mechanisme van follow-up van het Verdrag te versterken. Op 28 januari 2011 is de Raad van Europa een openbare raadpleging gestart, waarvan de synthese nog loopt gelet op het onderzoek ervan door het Bureau van de Adviescommissie van het Verdrag 108.

2; Om op de verschillende vragen van de senator te antwoorden zal ik mij houden aan de bovenvermelde conclusies van de JBZ-raad van 24 en 25 februari, die de gemeenschappelijke conclusies over deze vragen van de ministers van Justitie van de 27 lidstaten zijn.

a) In punt 7 van zijn conclusies vraagt de Raad dat bijzondere aandacht wordt geschonken aan de minderjarigen die vaak toegang hebben tot allerharde soorten informaticatools en zo hun gegevens via verschillende middelen met andere gebruikers kunnen delen. De Raad oordeelt dat het van wezenlijk belang is om de bewustmaking op dit vlak te doen groeien, inzonderheid wat de vraag van de toestemming betreft.

b) In punt 19 van zijn bovenvermelde conclusies moedigt de Raad de Commissie aan om te bestuderen of het wenselijk is de verplichting om de schendingen van persoonsgegevens te melden, uit te breiden naar andere sectoren dan de telecommunicatie en om te onderzoeken welke kost een dergelijke uitbreiding voor de ondernemingen zal hebben en welke de gevolgen ervan zijn voor het concurrentievermogen van de EU. De melding mag evenwel niet systematisch worden gebruikt om alle vormen van schending van de veiligheid van persoonsgegevens aan te geven. Er mag enkel naar gegrepen worden wanneer de risico's die uit de schending voortvloeien negatieve gevolgen kunnen hebben voor de bescherming van de persoonlijke levenssfeer van de persoon.

c) In punt 2.1.4. van de mededeling van de Commissie met als titel "Een integrale aanpak van de bescherming van persoonsgegevens in de Europese Unie" is gesteld dat de Commissie zal nagaan of de medefinanciering van bewustmakingsacties op het gebied van gegevensbescherming via de EU-begroting mogelijk is.

In punt 18 van zijn bovenvermelde conclusies verduidelijkt de Raad dat het nodig is om de betrokken persoon meer bewust te maken van de gevolgen van het delen van zijn persoonsgegevens, maar spreekt hij zich niet uit over medegefinancierde bewustmakingsacties.

d) In punt 8 van zijn bovenvermelde conclusies hoopt de Raad dat de bijzondere bescherming van gevoelige persoonsgegevens de kern van het voorstel van de Commissie blijft en nodigt hij deze laatste uit om te evalueren of de categorieën van gevoelige gegevens moeten worden uitgebreid, rekening houdend met de nieuwe technologische evoluties.

In punt 10 van zijn conclusies is de Raad van mening dat de verwerking van genetische gegevens zou moeten gebeuren in overeenstemming met de beginselen van noodzakelijkheid en evenredigheid en oordeelt dat bijzondere bepalingen inzake de aangelegenheden van grensoverschrijdende verwerking moeten worden onderzocht.

e) In punt 2. 1. 7 van haar mededeling met als titel "Een integrale aanpak van de bescherming van persoonsgegevens in de Europese Unie" stelt de Commissie dat zij de mogelijkheid zal overwegen om de bevoegdheid om de zaken aanhangig te maken bij de nationale rechtscolleges toe te kennen aan de autoriteiten voor de gegevensbescherming.

In punt 23 van zijn bovenvermelde conclusies “verklaart de Raad voorstander te zijn van een verhoogde harmonisatie van de rol van de autoriteiten belast met de bescherming van de persoonsgegevens (…).”

In punt 26 van zijn conclusies voegt de Raad toe: “(…) het past ook de rol van de met de gegevensbescherming belaste autoriteiten te harmoniseren en verder uit te werken (…)”.

De Raad overweegt niet expliciet om aan de autoriteiten voor gegevensbescherming de bevoegdheid te geven om de zaak aanhangig te maken bij de nationale rechtscolleges, maar sluit dit ook niet uit.

Hij wacht op de voorstellen van de Commissie hierover.

Ter herinnering: die bevoegdheid bestaat al in het Belgische recht.

Artikel 32, § 2, van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens bepaalt dat "tenzij de wet anders bepaalt, (...) de Commissie bij de procureur des Konings aangifte doet van de misdrijven waarvan zij kennis heeft."

Artikel 32, § 3, van de bovenvermelde wet voegt daaraan toe dat: "onverminderd de bevoegdheid van de gewone hoven en rechtbanken met het oog op de toepassing van de algemene beginselen inzake bescherming van de persoonlijke levenssfeer, (...) de voorzitter van de Commissie ieder geschil aangaande de toepassing van deze wet en haar uitvoeringsmaatregelen aan de rechtbank van eerste aanleg [kan] voorleggen."

f) In de punten 16 en 17 van zijn conclusies erkent de Raad de verwezenlijkte werkzaamheden inzake de definitie van het verantwoordelijkheidsbeginsel, die de nadruk leggen op de fundamentele banden tussen de verschillende elementen van de bepalingen; te weten duidelijke regels, de duidelijke toekenning van verantwoordelijkheid, de gevolgen van de niet-naleving van de regels (sancties) en de bescherming van de betrokken persoon.

Teneinde de bepalingen inzake de gegevensbescherming beter te doen naleven, nodigt de Raad de Commissie uit de mogelijkheden te bestuderen om een beroep te doen op het verantwoordelijkheidsbeginsel en op de instrumenten voor zelfregulering die kunnen leiden tot een harmonieuzere werking van de interne markt.

In punt 25 van zijn conclusies ondersteunt de Raad de doelstelling van de Commissie die eruit bestaat om de verantwoordelijke voor de verwerking meer verantwoordelijkheid te geven en moedigt de Raad de Commissie aan om in haar impactanalyse te voorzien in een evaluatie van de mogelijke aanwijzing van afgevaardigden voor de gegevensbescherming, zonder overbodige administratieve of reglementaire lasten te willen opleggen.

g) In punt 11 van zijn conclusies verklaart de Raad een voorstander te zijn van het idee van Europese labels voor bescherming van de persoonlijke levenssfeer (Europese stelsels van certificering) en van initiatieven inzake zelfregulering; in die twee gevallen zouden die maatregelen voorzien in een nauwe samenwerking met de betrokken actoren van de sector, zoals dienstverleners, en zouden zij het niveau van gegevensbescherming kunnen doen toenemen en de bewustmaking kunnen worden versterkt. De Commissie wordt aangemoedigd om te onderzoeken welke rol de autoriteiten voor de gegevensbescherming zouden kunnen spelen om de naleving van de regelgevingen in de twee scenario's te waarborgen.

h) In het punt 3 en 4 van zijn conclusies onderstreept de Raad:

• dat moet worden overwogen om in het nieuwe kader bepalingen op te nemen inzake de gegevensbescherming op het gebied van de politiële en justitiële samenwerking in strafzaken waarbij uitdrukkelijk rekening wordt gehouden met het specifieke karakter van die gebieden en met de evaluatie van de tenuitvoerlegging van het kaderbesluit 2008/977/JBZ van 27 november 2008 over de bescherming van persoonsgegevens die worden verwerkt in het kader van de politiële en justitiële samenwerking in strafzaken;

• dat de Raad het in de mededeling van de Commissie uitgedrukte standpunt deelt waarin het idee van integrale aanpak inzake gegevensbescherming niet noodzakelijk de goedkeuring van regels specifiek voor de politiële en justitiële samenwerking in strafzaken uitsluit binnen dit stelsel van integrale bescherming en

• dat de Raad de Commissie aanmoedigt om een nieuw juridisch kader voor te stellen dat rekening houdt met het specifieke karakter van dit gebied. In deze context moeten bepaalde grenzen van de rechten van de betrokken persoon worden vastgelegd op harmonieuze en evenwichtige wijze, wanneer blijkt dat dit noodzakelijk en evenredig is en rekening houdt met de wettelijke doelstellingen van de wetshandhavingsautoriteiten inzake de strijd tegen de criminaliteit en het behoud van de openbare veiligheid.

3. Over de vraag of de verschillende nationale wetgevingen inzake de gegevensbescherming van de rechtspersonen een hindernis zijn voor het vrije verkeer van persoonsgegevens op de interne markt spreekt de mededeling van de Commissie met als titel "Een integrale aanpak van de bescherming van persoonsgegevens in de Europese Unie" zich niet uit.

De Commissie geeft alleen aan dat "de verschillen tussen de nationale wettelijke regelingen tot omzetting van de richtlijn (...) in strijd [zijn] met een van de hoofddoelstellingen ervan, namelijk het verzekeren van het vrije verkeer van persoonsgegevens binnen de interne markt" en dat "de Commissie zal onderzoeken hoe een verdere harmonisatie van de regels inzake gegevensbescherming kan worden bereikt".

De vraag van de gegevensbescherming van rechtspersonen werd in België in 1991 besproken, op het tijdstip van de goedkeuring van de wet van 8 december 1992. De toenmalige parlementaire werkzaamheden (Gedr. St., Kamer 1610/1-90/91, blz. 6) onderstrepen dat de wet de gegevensbescherming tot de natuurlijke personen beperkt.

De bescherming van de gegevens met betrekking tot de rechtspersonen levert immer complexere moeilijkheden op en bevindt zich in een ander kader dan dat omschreven door artikel 8 van het Europees Verdrag voor de Rechten van de Mens. Het spreekt vanzelf dat indien gegevens inzake rechtspersonen informatie bevatten met betrekking tot natuurlijke personen (bijvoorbeeld de namen van de bestuurders van een vennootschap of van de leden van een vereniging zonder winstoogmerk) zij, met betrekking tot de gegevens die over hen gaan, de volledige door de wet toegekende bescherming genieten.