Rina Steenkamp - Privacy en technologie
Hoofdstuk 4. Melding en voorafgaand onderzoek
[Meldplicht] [Meer informatie]
[Inhoud van de melding] [Meer informatie]
[Vrijstellingen] [Meer informatie]
[Register aangemelde gegevensverwerkingen] [Meer informatie]
[Memorie van Toelichting | Aantekeningen | CBP: Melden en vrijstellingen]
[...]
[...]
Vanuit de gedachte van transparantie bestaat het voornemen geen vrijstellingen op de aanmeldingsprocedure op te nemen voor gegevensverwerkingen die geheel of ten dele het gevolg zijn van onopgemerkte waarneming van de betrokkene. Een verdere aanscherping van de transparantie ligt voorts besloten in de eis van artikel 30, derde lid. In dit artikel wordt vermeld dat ook omtrent gegevensverwerkingen die van aanmelding zijn vrijgesteld de verantwoordelijke desgevraagd aan een ieder informatie moet verstrekken, vergelijkbaar met de informatie die in het kader van de aanmelding aan de Registratiekamer moet worden verstrekt.
Tegenover de aanscherping van de informatieverplichting van de verantwoordelijke jegens de betrokkene staan vereenvoudigingen met betrekking tot de melding van verwerkingen aan de Registratiekamer. Op grond van de WPR bestaat een reglementsplicht voor – kort gezegd – de publieke en semi-publieke sector en een meldingsverplichting voor de private sector, behoudens de gevallen die zijn vrijgesteld ingevolge het Besluit genormeerde vrijstelling. Uit de evaluaties blijkt dat dit systeem niet goed heeft gefunctioneerd. Aannemelijk is dat de genoemde verplichtingen in aanzienlijke mate zijn genegeerd, dan wel slechts gediend hebben als papieren formaliteit. Het bestand van aanmeldingen en reglementen bij de Registratiekamer schiet kwalitatief gezien ernstig tekort. Ook is er veel kritiek op het Besluit genormeerde vrijstelling: zij heeft naar uit de evaluaties blijkt tot veel onduidelijkheid en onzekerheid in de uitvoeringspraktijk geleid.
Artikel 18 van de richtlijn laat de lidstaten niet de ruimte om volledig af te zien van een systeem van meldingsverplichtingen. Een dergelijk vergaande stap gaat ook te ver. Bij verwerkingen die afwijken van het normale patroon of uit privacyoogpunt een gevoelig karakter dragen, is er reden de meldingsverplichting te handhaven om de Registratiekamer en andere toezichthouders in staat te stellen op adequate wijze hun taak uit te voeren. Niettemin zijn er gezien ook de evaluaties enige vereenvoudigingen aangebracht.
Een eerste belangrijke verandering is dat de reglementsplicht voor de publieke en semi-publieke sector wordt geschrapt. Over de gehele linie geldt in beginsel een meldingsverplichting. Dit is te beschouwen als een vereenvoudiging. Het als problematisch ervaren onderscheid tussen publieke en private sector – neergelegd in het op artikel 17 WPR gebaseerde Afbakeningsbesluit – vervalt.
Een tweede verandering is dat handmatige verwerkingen in beginsel niet hoeven te worden gemeld. Aan deze beperking ligt de gedachte ten grondslag dat handmatige vormen van gegevensverwerking in de regel minder bedreigend zijn voor de persoonlijke levenssfeer. Voorts is van belang dat in de melding minder gegevens hoeven te worden opgenomen dan onder de WPR het geval is. Ook in dat opzicht is sprake van een zekere vereenvoudiging.
In het verlengde van de WPR geeft de richtlijn in artikel 20, tweede lid, aan de lidstaten de mogelijkheid om gegevensverwerkingen van de meldingsplicht vrij te stellen. Vrijstelling is krachtens deze bepaling alleen mogelijk voor zover een 'inbreuk op de rechten en vrijheden van de betrokkenen onwaarschijnlijk is'. Dit criterium is minder stringent dan het wellicht op het eerste gezicht lijkt. Tijdens de totstandkoming van de richtlijn is de bedoeling uitgesproken dat een groot deel van de vele vormen van gegevensverwerking zal worden vrijgesteld. Daarbij moet vooral worden gedacht aan verwerkingen die standaard zijn en waarvan algemeen bekend is dat zij plaatsvinden. Het ligt in de rede dat de verwerkingen die thans onder de WPR zijn vrijgesteld, straks opnieuw van de meldingsplicht zullen worden uitgezonderd. In dat opzicht zal de bestaande situatie derhalve worden gecontinueerd. Bij de totstandkoming van de algemene maatregel van bestuur die het Besluit genormeerde vrijstelling gaat vervangen, zal voorts nader worden bezien in hoeverre het aantal vrijstellingen nog verder kan worden uitgebreid.
Ten slotte is van belang dat de richtlijn de mogelijkheid biedt om per organisatie of per branche een functionaris voor de gegevensbescherming aan te stellen. Van deze mogelijkheid wordt in het wetsvoorstel gebruik gemaakt. De taak van deze functionaris is om op onafhankelijke wijze toezicht uit te oefenen op de toepassing van de op grond van de richtlijn geldende wettelijke voorschriften binnen de betreffende organisatie of branche. De aanstelling van een functionaris voor de gegevensbescherming betekent dat de melding in beginsel bij hem kan plaatsvinden en niet bij de Registratiekamer. Voor de verantwoordelijke bestaat in dat geval de mogelijkheid tussen beide opties te kiezen.
[MvT, pagina 19-20]
CBP: Melden en vrijstellingen
[Open link in dit venster | Open link in nieuw venster]
CBP
[Open link in dit venster | Open link in nieuw venster]
Dit informatieblad is bestemd voor de verantwoordelijke, dat is degene die voor eigen doeleinden persoonsgegevens gebruikt.
Dit informatieblad gaat in op de volgende vragen:
(Bron: Melden en vrijstellingen)