Rina Steenkamp - Privacy en technologie
Hoofdstuk 1. Algemene bepalingen
verwerking van persoonsgegevens: elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens
[In de zin van deze richtlijn wordt verstaan onder:]
"verwerking van persoonsgegevens", hierna "verwerking" te noemen, elke bewerking of elk geheel van bewerkingen met betrekking tot persoonsgegevens, al dan niet uitgevoerd met behulp van geautomatiseerde procédés, zoals het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op enigerlei andere wijze ter beschikking stellen, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens
Het object van regeling is de verwerking van persoonsgegevens. Het is conform de richtlijn gedefinieerd als elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, al dan niet uitgevoerd met behulp van geautomatiseerde procédés, zoals het verzamelen, vastleggen, ordenen, bewaren, uitwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens. In plaats van het begrip 'bewerking of elk geheel van bewerkingen' wordt gesproken van 'handeling of elk geheel van handelingen' teneinde rekening te houden met de omstandigheid dat verwerkingen kunnen plaatsvinden door verschillende personen, zoals de verantwoordelijke, bewerker en derde. Een uitbreiding ten opzichte van de bestaande regelgeving ligt in het onderdeel 'verkrijgen'. Tot dusver komt de rechtmatigheid eerst in beeld nadat gegevens in een registratie waren ondergebracht. Blijkens artikel 5, eerste lid, van de Wet persoonsregistraties mogen persoonsgegevens slechts worden opgenomen in een registratie wanneer deze rechtmatig zijn verkregen. Dit sluit aan bij artikel 5, onder a, van het Verdrag inzake gegevensbescherming dat stelt dat persoonsgegevens slechts mogen worden verwerkt indien zij op eerlijke en rechtmatige wijze zijn verkregen. Het begrip 'verwerken' in het Verdrag omvat blijkens deze regeling evenmin de fase van het verzamelen van gegevens. Dit laat de mogelijkheid open dat gegevens zijn verkregen, doch nog niet aan enige verwerking zijn onderworpen. Deze onttrekken zich aan normering. De richtlijn maakt aan deze situatie een einde en normeert reeds de fase van het verkrijging van gegevens. Het verkrijgen van gegevens is een vorm van verwerken van gegevens. Dit leidt er bij voorbeeld toe dat voorafgaand aan het verkrijgen van persoonsgegevens reeds een doel moet zijn vastgesteld, de aanmelding bij het toezichthoudend orgaan moet zijn voltooid en, wanneer het gaat om een verwerking met bijzondere risico’s, het toezichthoudend orgaan een voorafgaand onderzoek moet hebben ingesteld.
De opsomming beoogt blijkens de zinsnede 'waaronder in ieder geval' een illustratie te geven van het begrip gegevensverwerking en is derhalve niet uitputtend. Zo is in overweging 14 van de richtlijn mede sprake van het opvangen, doorsturen en manipuleren van gegevens. Ook de vorm van verstrekking en openbaarmaking, alsmede het genereren van gegevens valt onder de begripsomschrijving van 'gegevensverwerking'. Het ruime bereik van het begrip is cruxiaal voor de bescherming die dit wetsvoorstel beoogt te bieden.
Het naast elkaar vermelden van 'elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens' impliceert, dat iedere bepaling in het wetsvoorstel waarin het begrip 'verwerking' wordt gebruikt zowel betrekking heeft op elke handeling afzonderlijk als op elk geheel van handelingen. Onder 'elk geheel van handelingen met betrekking tot persoonsgegevens' kan worden verstaan een bundeling van verwerkingshandelingen die in het maatschappelijk verkeer als een eenheid wordt beschouwd. Dit kan bijvoorbeeld verschillende handelingen in een samenhangende reeks betreffen: de verzameling, de opslag en het gebruik van een bepaald type persoonsgegevens. Daarnaast is denkbaar dat dezelfde verwerkingshandelingen met betrekking tot bepaalde persoonsgegevens naar de wettelijke maatstaven als een geheel van verwerkingen moet worden aangeduid: bijvoorbeeld een groot aantal verstrekkingen van dezelfde gegevens aan verschillende derden. Onder 'handelingen met betrekking tot persoonsgegevens' dienen alle verwerkingen waaraan persoonsgegevens kunnen worden onderworpen, te worden verstaan. Een nader onderscheid op basis van het doel of de methode van verwerking speelt geen rol. Ook niet op individuele personen gerichte verwerkingen waarbij gebruik wordt gemaakt van persoonsgegevens, vallen dus onder de begripsomschrijving. Indien bijvoorbeeld voor verschillende doeleinden aangelegde bestanden binnen een instelling worden doorzocht op een bepaald criterium (bijvoorbeeld een bepaalde inkomenspositie) dan kan dit al als een vorm van gegevensverwerking worden beschouwd, ongeacht het feit dat het bij voorbaat om een niet op voorhand te bepalen aantal personen gaat.
Zowel geautomatiseerde als niet geautomatiseerde handelingen met betrekking tot persoonsgegevens vallen onder het begrip 'gegevensverwerking' met dien verstande dat ten aanzien van de niet geautomatiseerde verwerkingen het wetsvoorstel slechts van toepassing is voor zover deze in een bestand zijn opgenomen of bestemd zijn om daarin te worden opgenomen (artikel 2, eerste lid).
Zodra er enige feitelijke macht over persoonsgegevens is, is het wetsvoorstel van toepassing. Hiervoor hoeft niet altijd sprake te zijn van menselijke tussenkomst. Ook volledig geautomatiseerde vormen van verwerking kunnen onder de wettelijke regeling vallen. Cruxiaal blijft dat de verwerking gepaard moet gaan met de mogelijkheid daarop (enige) invloed uit te kunnen oefenen. Niet relevant is of de invloed ook daadwerkelijk wordt uitgeoefend. Een telecomoperator die enkel gegevens doorvoert zonder daarop enige invloed uit te kunnen oefenen, verwerkt daarmee geen persoonsgegevens. Wanneer echter bijvoorbeeld een Internet service provider de mogelijkheid heeft het verspreiden van onrechtmatige berichten tegen te gaan, is er wel sprake van mogelijke invloed en daarmee van gegevensverwerking en is daarom de wet volledig van toepassing.
Dat wil niet zeggen dat een telecomoperator niet gehouden is beveiligingsvoorschriften na te komen. Deze verplichting volgt echter uit de Wet op de telecommunicatievoorzieningen en heeft een ruimer bereik dan het enkel beschermen van persoonsgegevens. Anders wordt het wanneer een telecommunicatiebedrijf persoonsgegevens in het kader van een toegevoegde waardedienst met het oog op raadpleging of ander gebruik vastlegt. Dan is er geen sprake meer van een eenvoudige overdracht van gegevens.
Een andere vraagstuk betreft de vraag of er zodanige feitelijke macht kan worden uitgeoefend dat er sprake is van verantwoordelijkheid. Daarvan is eerst sprake indien de bevoegdheid bestaat het doel van de verwerking en de middelen waarmee deze geschiedt, te bepalen. Is dit niet het geval dan gelden de regels voor de bewerker.
Het begrip gegevensverwerking omvat het gehele proces dat een gegeven doormaakt vanaf het moment van verzamelen van een gegeven tot aan het moment van vernietiging. Iedere handeling of geheel van handelingen met betrekking tot het gegeven, al dan niet uitgevoerd met behulp van geautomatiseerde procédés, valt daaronder. Hieruit vloeit voort dat iedere 'losse' verwerking van geheel of gedeeltelijk geautomatiseerde gegevens onder het bereik van dit wetsvoorstel valt. Gedacht kan worden aan het opslaan van een persoonsgegeven op een (optisch-)magnetische gegevensdrager als de tekstverwerker of een chipcard. Ook de verwerking van persoonsgegevens voor datamining of de uitvoering van bepaalde zoekopdrachten (queries) met behulp van daartoe geschreven programma’s, al dan niet verricht door de verantwoordelijke zelf, valt onder de algemene normering van gegevensverwerking.
Daarbij moet echter worden opgemerkt dat niet alle voorschriften van dit wetsvoorstel ook steeds moeten worden toegepast op iedere 'losse' geautomatiseerde verwerking van een persoonsgegeven. De aanmeldingsprocedure is bijvoorbeeld blijkens de formulering van artikel 27, eerste lid, jo. artikel 1, onderdeel b, zo ingericht dat de verantwoordelijke de vrijheid heeft een geheel van op persoonsgegevens betrekking hebbende handelingen aan te melden, die voor de verwezenlijking van één doeleinde of verscheidene samenhangende doeleinden zijn bestemd. Hetzelfde geldt voor de procedure van voorafgaand onderzoek. Een melding of een onderzoek van iedere verwerking, bij voorbeeld iedere verstrekking, zou in die gevallen leiden tot onwerkbare situaties. Er wordt dan uitgegaan van een bundeling van gegevensverwerkingen naar gelang de doelstelling van die gegevensverwerkingen.
Niet elke verwerking van persoonsgegevens behoeft dus afzonderlijk te worden aangemeld. De artikelen waarin de gronden voor het verwerken van gegevens geregeld zijn – met name de bepalingen van hoofdstuk II – gelden daarentegen wel op iedere 'losse' geautomatiseerde gegevensverwerking. Dit leidt ertoe dat bijvoorbeeld de opslag van het gegeven niet onverenigbaar mag zijn met het doel waarvoor het gegeven oorspronkelijk is verzameld, en het gegeven niet mag worden verwerkt voor doeleinden van direct marketing als de betrokkene daartegen bezwaar heeft gemaakt, ongeacht of de verantwoordelijke zelf dan wel een derde uiteindelijk de direct marketing verricht. Met betrekking tot de handmatig gevoerde gegevens volgt uit artikel 2 dat de voorschriften van dit wetsvoorstel enkel betrekking hebben op een verwerking van handmatig gevoerde gegevens voor zover deze deel uitmaken van een bestand.
Het begrip 'gegevensverwerking' dient op één lijn te worden gesteld met het ook in deze toelichting gehanteerde begrip 'verwerken van persoonsgegevens'.
Omdat ten aanzien van enkele, specifieke vormen van gegevensverwerking in dit wetsvoorstel afzonderlijke normen zijn opgenomen, zijn specifieke vormen van gegevensverwerking nader gedefinieerd, zoals het verzamelen en verstrekken van persoonsgegevens. Gewezen kan worden op de afzonderlijke voorschriften met betrekking tot bijvoorbeeld het verzamelen en verstrekken van gegevens. Ook in bijzondere regelgeving kunnen regels over bepaalde aspecten van verwerking worden gegeven. De vernietiging van gegevens die in overeenstemming met de Archiefwet 1995 worden bewaard, vindt plaats met inachtneming van de regels van die wet.
Door het enkel wettelijke definiëren van het begrip 'gegevensverwerking' wordt onderstreept dat het uitgangspunt van dit wetsvoorstel is uniforme regels te stellen voor alle vormen van gegevensverwerking.
[MvT, pagina 50-53]