Rina Steenkamp - Privacy en technologie
Hoofdstuk 4. Melding en voorafgaand onderzoek
1. De Lid-Staten bepalen dat de voor de verwerking verantwoordelijke of, in voorkomend geval, diens vertegenwoordiger, bij de in artikel 28 bedoelde toezichthoudende autoriteit aanmelding dient te doen, voordat wordt overgegaan tot een of meer volledig of gedeeltelijk geautomatiseerde verwerkingen van gegevens die voor de verwezenlijking van een doeleinde of van verscheidene samenhangende doeleinden bestemd zijn.
5. De Lid-Staten kunnen bepalen dat sommige of alle niet-geautomatiseerde verwerkingen van persoonsgegevens aangemeld moeten worden, eventueel in vereenvoudigde vorm.
Aanmelding heeft tot doel de transparantie van de gegevensverwerking te bevorderen. De handelingsvrijheid van een ieder om voor op zichzelf gerechtvaardigde doeleinden gegevens te verwerken, wordt ingeperkt door de grondwettelijk gewaarborgde vrijheid van de betrokkene om niet onnodig aan verwerking van hem betreffende gegevens te worden onderworpen. Dit leidt enerzijds tot het materiële voorschrift dat de belangen van de verantwoordelijke en de betrokkene tegen elkaar moeten worden afgewogen; anderzijds tot het procedurele voorschrift dat de afweging controleerbaar dient te zijn. Artikel 18 van de richtlijn bepaalt in het belang van die controleerbaarheid dat – kort samengevat – een verantwoordelijke alvorens over te gaan tot een of meer geautomatiseerde verwerkingen van gegevens voor een bepaald doel, deze dient aan te melden bij een toezichthoudende autoriteit. Dit beginsel is neergelegd in het eerste lid van artikel 27.
Object van aanmelding in artikel 27 is 'een geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens die voor de verwezenlijking van een doeleinde of van verscheidene samenhangende doeleinden bestemd is'. De betekenis van het begrip 'verwerking van persoonsgegevens' is in deze bepaling van groot belang. Blijkens artikel 1, onderdeel deel b, wordt hiermee gedoeld op elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens. In het kader van artikel 1, onderdeel b, is in de toelichting reeds opgemerkt dat onder 'geheel van handelingen' moet worden verstaan een bundeling van verwerkingshandelingen die in het maatschappelijk verkeer als een eenheid wordt beschouwd. In het kader van de meldingsverplichting in het onderhavige artikel betekent dit dat het de verantwoordelijke in beginsel vrijstaat niet elke verwerkingshandeling afzonderlijk te melden, maar alleen verwerkingshandelingen gezamenlijk voor zover deze als een 'geheel van verwerkingen' in de zin van artikel 1, onderdeel b kunnen worden beschouwd.
Voor melding van een geheel van verwerkingen bestaat te meer aanleiding indien de betreffende verwerkingen voor de verwezenlijking van een en hetzelfde doel of voor verscheidene samenhangende doeleinden zijn bestemd. In dat geval immers zullen de verwerkingen in het maatschappelijk verkeer al gauw als een eenheid kunnen worden beschouwd. De mogelijkheid om verwerkingen gezamenlijk te melden voor zover zij voor verscheiden samenhangende doeleinden zijn bestemd, is uitdrukkelijk in het eerste lid opengesteld. Daarmee wordt rekening gehouden met de praktijk dat verwerkingen nog al eens in een groter verband geschieden ten behoeve van meerdere doeleinden (zie tevens de toelichting bij artikel 7). Artikel 27, eerste lid, beoogt de aanmeldingsplicht in dit opzicht beter hanteerbaar te maken. Aansluitend bij de realiteit van multifunctionele informatiesystemen is het mogelijk meerdere, uiteenlopende doeleinden voor gegevensverwerking vast te stellen. Bij verwerkingen die geschieden voor meerdere, samenhangende doeleinden kan de aanmelding zo worden ingericht dat ze is gerelateerd aan deze samenhangende doeleinden. Het is daarbij niet relevant of deze doeleinden verenigbaar zijn met de doeleinden waarvoor de desbetreffende gegevens zijn verzameld. Het wordt daarmee mogelijk gemaakt informatiesystemen, die zijn opgezet om diensten te verlenen aan burgers of klanten via één loket voor een scala van activiteiten, via één aanmelding af te doen. Een concern met een breed pakket aan diensten, kan zijn informatiesysteem met behulp van een centrale verwijzingsindex zo inrichten dat enkele medewerkers, wanneer zij de uiteenlopende gegevens behoeven om klanten te woord te staan, uit dit ene informatiesysteem kunnen putten. Voor een dergelijk systeem kan worden volstaan met een enkele aanmelding.
Het criterium inzake de samenhangende doeleinden dient uitdrukkelijk los te worden gezien van de materiële voorschriften van de wet. In artikel 4 WPR wordt thans bepaald dat een persoonsregistratie slechts wordt aangelegd voor 'een bepaald doel'. Artikel 7 van dit wetsvoorstel verwoordt dezelfde norm ook uitdrukkelijk voor verwerkingen. Dat artikel bepaalt dat persoonsgegevens voor welbepaalde doeleinden kunnen worden verkregen. In aansluiting hierop bepaalt artikel 9 vervolgens dat persoonsgegevens niet mogen worden verwerkt op een wijze die onverenigbaar is met de doeleinden waarvoor zij zijn verkregen. Deze verenigbaarheidseis geldt echter niet in het kader van de aanmeldingsprocedure: alsdan geldt alleen de voorwaarde dat de doeleinden in het belang waarvan de verwerkingen moeten geschieden, samenhangend zijn. Het materieelrechtelijke voorschrift van verenigbaarheid op grond van artikel 9 speelt dus geen rol bij de aanmeldingsprocedure, hetgeen tot een vermindering van het aantal aanmeldingen leidt. Het al dan niet geoorloofd zijn van de onderscheidene verwerkingen die worden aangemeld wordt dus getoetst aan een ander kader dan de vraag of de aanmelding op een correcte wijze is uitgevoerd. Deze versoepeling die geldt ten aanzien van de aanmeldingsplicht doet niets af aan de plicht van de verantwoordelijke met betrekking tot de onderscheidene verwerkingen de voor hem geldende materieelrechtelijke voorwaarden in acht te nemen.
In paragraaf 9 van het algemeen deel van deze toelichting is reeds uitgebreid ingegaan op de verschillen tussen de aanmeldingsprocedure, zoals geregeld in de WPR en de procedure zoals voorgesteld in dit wetsvoorstel. In aanvulling hierop zij nog het volgende opgemerkt. Anders dan in de artikelen 21 en 26 van de WPR wordt gesteld, heeft de aanmelding in de WBP strikt genomen niet meer het karakter van zelfregulering op het niveau van de individuele verantwoordelijke. In de WBP houdt de melding aan de Registratiekamer in de eerste plaats een feitelijke beschrijving van de desbetreffende gegevensverwerking in. Onder het onderhavige wetsvoorstel is een handelen in strijd met de aanmelding onder omstandigheden het niet-nakomen van de plicht tot melding van een wijziging. Het gaat meer om een procedurevoorschrift strekkende tot transparantie dan om een normering op het niveau van de individuele gegevensverwerking. In de praktijk zal het verschil met de huidige situatie echter niet groot zijn. Het melden van een feitelijke beschrijving omtrent de wijze waarop de gegevens worden verwerkt, impliceert dat de verantwoordelijke in beginsel ook dienovereenkomstig zal moeten handelen.
Het vervallen van de reglementsplicht heeft het voordeel dat het soms kunstmatige onderscheid tussen twee regimes op grond van de WPR vervalt. Het opstellen van een reglement of enige andere vorm van regeling is echter in de praktijk een goede methode gebleken om de werking van een persoonsregistratie te beschrijven. Het vervallen van de reglementsplicht behoeft dus niet te leiden tot het achterwege laten van dergelijke vormen van beschrijving van gegevensverwerking.
Volgens artikel 18, eerste lid, van de richtlijn heeft de meldingsverplichting betrekking op 'een of meer volledig of gedeeltelijk geautomatiseerde verwerkingen van gegevens'. Niet geautomatiseerde verwerkingen vallen hierbuiten. Het vijfde lid van dat artikel geeft de Lid-Staten de mogelijkheid te bepalen dat sommige of alle handmatige verwerkingen van persoonsgegevens moeten worden aangemeld, eventueel in vereenvoudigde vorm. Van deze voorziening wordt geen gebruik gemaakt ondanks het feit dat uit de juridische evaluatie is gebleken dat een groot aantal meldingen juist betrekking heeft op handmatige bestanden. Handmatige verwerkingen zijn immers vormen van gegevensverwerking die in de regel minder bedreigend zijn voor de persoonlijke levenssfeer. In paragraaf 9 van het algemeen deel van deze toelichting is al opgemerkt dat om die reden er voor gekozen is deze gegevensverwerkingen vrij te stellen van de aanmeldingsprocedure. Voor zover handmatige verwerkingen wel bedreigend zijn, is het wenselijk deze te onderwerpen aan voorafgaand toezicht. Artikel 31 geeft hierover nadere regels. Enkel in dit geval is het zinvol handmatige verwerkingen te melden bij de Registratiekamer.
Ook ten aanzien van niet geautomatiseerde verwerkingen geldt dat de verantwoordelijke de mogelijkheid heeft verwerkingen die plaatsvinden voor meerdere, samenhangende doeleinden als zodanig te melden. Verwezen wordt naar hetgeen hieromtrent is opgemerkt onder het eerste lid van dit artikel.
Gesteld kan worden dat voor de handmatig gevoerde bestanden van persoonsgegevens wat betreft de meldingsplicht een apart regime geldt. Bij de handmatige bestanden wordt uitgegaan van een tweedeling: in beginsel vrijstelling tenzij sprake is van voorafgaand onderzoek. Bij de geautomatiseerde verwerking daarentegen kan sprake zijn van een drieslag: voorafgaand onderzoek, melding en vrijstelling.
Het in beginsel niet behoeven aan te melden van handmatige verwerkingen leidt tot een vermindering in transparantie dat in zekere zin echter weer gecompenseerd wordt door het voorschrift van artikel 30, derde lid. Hierin is bepaald dat een verantwoordelijke verplicht is aan een ieder die daarom verzoekt de informatie te verstrekken die grotendeels overeenkomt met de informatie die moet worden verstrekt bij aanmelding van de verwerking (artikel 28, eerste lid, onderdelen a tot en met e).
In artikel 28, tweede lid, van de richtlijn is voorzien in de mogelijkheid voor de Lid-Staten een vereenvoudige aanmelding of een vrijstelling van de aanmeldingsplicht in hun wetgeving op te nemen. Vereenvouding of vrijstelling van de aanmelding is mogelijk voor nader te omschrijven categorieën van verwerkingen waarbij inbreuk op de rechten en vrijheden van de betrokkenen onwaarschijnlijk is. Voorts kan aanmelding bij een functionaris voor de gegevensbescherming in de plaats komen van de aanmelding bij de toezichthoudende autoriteit.
Artikel 29 geeft een wettelijke basis voor een vrijstelling van de aanmeldingsplicht voor nader bij algemene maatregel van bestuur te omschrijven categorieën van verwerkingen. In het belang van de eenvoud en overzichtelijkheid van de aanmeldingssystematiek is er van afgezien in de WBP een vorm van vereenvoudigde aanmeldingen op te nemen. De behoefte daaraan wordt tevens minder groot geacht gezien de voorziening in artikel 27, derde lid. In dit artikel is namelijk de mogelijkheid opgenomen de verwerking aan te melden bij een functionaris voor de gegevensbescherming in plaats van bij de Registratiekamer. Dat de Lid-Staten de mogelijkheden tot vrijstelling van het eerste en het tweede gedachtenstreepje van artikel 18, tweede lid, cumulatief kunnen gebruiken, blijkt uit de keuzemogelijkheid die besloten ligt in de clausule 'en/of' aan het slot van het eerste gedachtenstreepje. De onderhandelingen in de desbetreffende raadswerkgroep over dit punt hebben geresulteerd in de aldus tot stand gekomen tekst van de richtlijn. Volgens de WPR moet melding plaatsvinden aan de Registratiekamer; in de WBP kan deze melding dus worden vervangen door een melding aan de functionaris. Dit betekent dat vrijgestelde gegevensverwerkingen die niet bij de Registratiekamer aangemeld moeten worden, ook niet bij de functionaris te hoeven worden gemeld. De plicht om te melden rust op de verantwoordelijke. Deze heeft dan ook de vrije keuze of hij wil melden bij de Registratiekamer of de functionaris, indien deze binnen het verband waarbinnen de verantwoordelijke werkt is aangesteld. Voor de verantwoordelijke bestaat de mogelijkheid om zich aan één van deze twee keuzemogelijkheden te binden. Dit kan bijvoorbeeld door in de vereniging van verantwoordelijken een functionaris aan te stellen, terwijl in de statuten van de vereniging is opgenomen dat de leden verplicht zijn wanneer zij persoonsgegevens verwerken, dit te melden bij de functionaris. Artikel 2:34a BW opent hiertoe de mogelijkheid.
Het derde lid verplicht tot aanmelding van een voorgenomen verwerking, dat wil zeggen dat de aanmelding dient te geschieden alvorens tot de verwerking wordt overgegaan. Omdat 'verwerking' ook betrekking heeft op het verzamelen, houdt dit in dat de verantwoordelijke voordat hij de beschikking krijgt over persoonsgegevens, de verwerking moet melden. Dit geldt eveneens voor de niet geautomatiseerde verwerkingen die vallen onder het tweede lid.
Daar het meldingenbestand van de Registratiekamer en van de functionaris beide openbaar zijn, kan iedereen, de functionarissen niet uitgezonderd, nagaan of een verantwoordelijke gemeld heeft dat hij persoonsgegevens verwerkt. Denkbaar is dat de Registratiekamer bepaalde afspraken maakt met een functionaris over de uitwisseling van relevante meldingen. Dergelijke afspraken kunnen nodig zijn voor het goed kunnen uitoefenen van beider taak. Is aan dit criterium voldaan, dan kunnen ook de meldingen van natuurlijke personen worden uitgewisseld en verwerkt. De verantwoordelijke dient daarover dan wel in zijn hoedanigheid van betrokkene te worden geïnformeerd, bijvoorbeeld in samenhang met de ontvangstbevestiging van zijn melding.
Voor de regeling van het instituut van de functionaris voor de gegevensbescherming zij verwezen naar artikel 62 tot en met 64 van dit wetsvoorstel.
[MvT, pagina 132-136]