Het advies van de Raad van State wordt niet openbaar gemaakt, omdat het zonder meer instemmend luidt/uitsluitend opmerkingen van redactionele aard bevat (artikel 25a, vierde lid, onderdeel b, van de Wet op de Raad van State).Dit wetsvoorstel strekt tot aanpassing van de Wet bescherming persoonsgegevens (Wbp) allereerst in verband met de uitvoering van de op 26 juli 2007 te Washington tot stand gekomen PNR-Overeenkomst 2007 tussen de Europese Unie en de Verenigde Staten van Amerika inzake de verwerking en overdracht van persoonsgegevens van passagiers (PNR-gegevens) door luchtvaartmaatschappijen aan het Ministerie van Binnenlandse Veiligheid van de Verenigde Staten van Amerika (PNR-Overeenkomst 2007) met briefwisseling en verklaring (Trb. 2007, 129). De in dit wetsvoorstel opgenomen voorziening zal ook voor de uitvoering van andere verdragen of bindende EUof EG-besluiten met betrekking tot de doorgifte van gegevens buiten de Europese Unie bruikbaar zijn.
In de PNR-Overeenkomst 2007 hebben de Europese Unie en de Verenigde Staten overeenstemming bereikt over de voorwaarden waaronder luchtvaartmaatschappijen die vanuit de Europese Unie vluchten uitvoeren naar de Verenigde Staten persoonsgegevens die betrekking hebben op de passagiers van die vluchten aan de autoriteiten van de Verenigde Staten mogen doorgeven.
Achtergrond, inhoud en aard van de PNR-Overeenkomst 2007 zijn uitvoerig toegelicht in de memorie van toelichting bij het voorstel van wet houdende goedkeuring van de op 26 juli 2007 te Washington tot stand gekomen PNR-Overeenkomst 2007 tussen de Europese Unie en de Verenigde Staten van Amerika inzake de verwerking en overdracht van persoonsgegevens van passagiers (PNR-gegevens) door luchtvaartmaatschappijen aan het Ministerie van Binnenlandse Veiligheid van de Verenigde Staten van Amerika (PNR-Overeenkomst 2007) met briefwisseling en verklaring (Trb. 2007, 129).
3. Rechtvaardiging van de verwerking van bijzondere persoonsgegevens in een Passenger Name Record
Van elke passagier die een vlucht boekt worden in de boekingssystemen van de luchtvaartmaatschappij standaard een aantal vaste en variabele gegevens verwerkt. Die gegevens betreffen uiteraard altijd naam, voornaam en geslacht van de passagier, vluchtgegevens (routes en vluchtnummers, data en tijdstippen van vertrek en aankomst), hoe de rservering is gemaakt (rechtstreeks of via een intermediair), wanneer de reservering is gemaakt en eventueel tussentijds is aangepast. Daarnaast worden, afhankelijk van opgave door de passagier, ook gegevens verwerkt als de wijze van betaling, gewenst stoelnummer, bijzondere maaltijdwensen of eventuele andere wensen. Ook wordt achteraf bijgehouden of de passagier daadwerkelijk met het gereserveerde vliegtuig is vertrokken. Daarnaast worden zogeheten API (Advanced Passenger Information) data verzameld, die ontleend zijn aan het paspoort van de passagier. Deze gegevens worden in deze memorie aangeduid als passagiersgegevens.
In zijn algemeenheid geldt dat de verwerking van persoonsgegevens, ook wanneer deze bestaat uit de doorgifte van persoonsgegevens aan de autoriteiten van een derde land, alleen mogelijk is, wanneer daarvoor één van de in artikel 8 van de Wbp genoemde rechtvaardigingsgronden valt aan te wijzen. Bij de reservering van een luchtreis zal in verreweg de meeste gevallen de toestemming van de betrokkene, alsmede de noodzaak van de uitvoering van de reisovereenkomst kunnen worden ingeroepen (art. 8, onder a en b, Wbp). Mocht de betrokkene daartegen bezwaar hebben, én dit voor hem geen aanleiding is van de reis af te zien, dan kan de luchtvaartmaatschappij een beroep doen op art. 8, onder f, van de Wbp. Toepassing van deze rechtvaardigingsgrond vergt overigens een afweging tussen het gerechtvaardigd belang van de verantwoordelijke en het belang van de betrokkene, respectievelijk de bescherming van zijn fundamentele rechten en vrijheden, waaronder het recht op bescherming van de persoonlijke levenssfeer.
In situaties als die waarop de PNR-Overeenkomst 2007 ziet, heeft de luchtvaartmaatschappij een – naar de mening van ondergetekenden duidelijk – gerechtvaardigd belang bij doorgifte van de gegevens. Zij is blootgesteld aan het risico van sancties van de zijde van het derde land indien die gegevens niet worden doorgegeven. Dit belang weegt zwaarder dan het belang van betrokkene. Immers, de betrokkene heeft het bij reservering van een luchtreis in belangrijke mate zelf in de hand welke gegevens hij ter beschikking wenst te stellen. Voor de gegevens waarvan het onvermijdelijk is dat zij worden verwerkt, geldt dat de doorgifte daarvan als een verhoudingsgewijs geringe inbreuk op zijn fundamentele rechten en vrijheden, waaronder het recht op bescherming van de persoonlijke levenssfeer moet worden aangemerkt. (Dit ligt overigens anders bij de verwerking van bijzondere gegevens, omdat daar het anti-discrminatiebelang een zwaar gewicht in de schaal legt. Daarop wordt hieronder uitgebreid ingegaan.) Een dergelijke afweging ligt mede voor de hand, gelet op hetgeen uit de parlementaire geschiedenis van de Wbp naar voren komt. In de memorie van toelichting (Kamerstukken II 1997/98, 25 892, nr. 3, p. 86) is verduidelijkt dat gegevensverwerking als bedoeld in art. 8, onder f, van de Wbp noodzakelijk moet zijn om de reguliere bedrijfsactiviteiten te kunnen verrichten. Ook overweging 30 van richtlijn nr. 95/46/EG van het Europees Parlement en de Raad van de Europese Unie van 24 oktober 1995 betreffende de de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (PbEG L 281) refereert aan het «dagelijks beheer van ondernemingen en andere organisaties» als rechtvaardigingsgrond voor de verwerking van persoonsgegevens. Ondergetekenden zijn van oordeel dat het risico van ingrijpende sancties door een derde land een omstandigheid is die de reguliere bedrijfsuitoefening als bovenbedoeld op ingrijpende wijze kan beïnvloeden. Volledigheidshalve wordt nog opgemerkt dat het bovenstaande geldt, onverminderd de toepassing van hoofdstuk 11 van de Wbp waarin de wettelijke voorwaarden voor grensoverschrijdend gegevensverkeer zijn geregeld.
Bij het reserveren van een luchtreis is het, behoudens wellicht zeer uitzonderlijke omstandigheden, niet goed denkbaar dat er sprake is van het direct verwerken van bijzondere persoonsgegevens in de zin van artikel 16 van de Wbp. Het betreft hier godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, het seksuele leven of het lidmaatschap van een vakvereniging. Voor het boeken van een luchtreis heeft dat geen enkele functie. Bovendien worden passagiersgegevens verwerkt volgens een vast stramien, neergelegd in de door de International Civil Aviation Organization (ICAO) opgestelde Passenger Name Record (PNR) Data, Guidelines on matters including data requirements, the transfer of such data and its frequency and timing, the processing of such data, passenger redress, and the protection and security of data, 9 June 2005. Dat stramien voorziet niet in de rechtstreekse verwerking van bijzondere persoonsgegevens.
Dat neemt niet weg dat onder omstandigheden de godsdienst of levensovertuiging kan worden afgeleid uit een bijzondere maaltijdwens, en iemands gezondheidstoestand kan worden afgeleid uit een verzoek om assistentie bij het in- en uitstappen of om het gebruik van een rolstoel op de luchthaven. Dergelijke gegevens worden in het Passenger Name Record (PNR) doorgaans verwerkt onder het veld «SSR»(Special Service Request). Aldus is sprake van het verwerkenn van gegevens die op directe of indirecte wijze als bijzondere gegevens kunnen worden aangemerkt.
Zonder de verwerking van deze gegevens kan de desbetreffende passagier de bijzondere dienstverlening waarom hij verzoekt niet worden geboden.
Voor de verwerking van persoonsgegevens behoort ingevolge de artikelen 7 en 8 van de Wbp naast een doelomschrijving, ook een rechtvaardiging te zijn gegeven.
Voor de verwerking van bijzondere persoonsgegevens geldt dat dit ingevolge artikel 16 van de Wbp verboden is, behoudens het bepaalde in paragraaf 2 van hoofdstuk 2 van de Wbp. In de desbetreffende paragraaf is een stelsel van doorbrekingen van het verbod geformuleerd. Die doorbrekingen kunnen op een specifiek type bijzondere persoonsgegevens betrekking hebben, of voor alle bijzondere persoonsgegevens gelden. Laatstbedoelde categorie van doorbrekingen is geregeld in artikel 23 van de Wbp.
Een aantal in artikel 23 Wbp geregelde doorbrekingen van het verbod verdienen hier afzonderlijk bespreking.
Ingevolge artikel 23, eerste lid, onder a, van de Wbp mogen bijzondere gegevens worden verwerkt indien dit geschiedt met uitdrukkelijke toestemming van de betrokkene. Aangenomen mag worden dat bij de boeking van luchtreis die toestemming gegeven wordt. Van de luchtvaartmaatschappij mag op grond van artikel 33 Wbp worden verwacht dat zij de betrokkene inlicht over de doeleinden en voorwaarden van de onder haar verantwoordelijkheid staande gegevensverwerking. Echter, ook moet worden aangenomen dat die toestemming van de betrokkene in de regel niet verder zal gaan dan het gebruik van de persoonsgegevens ten behoeve van de uitvoering van de reisof vervoerovereenkomst. Er kan niet zonder meer van worden uitgegaan dat die toestemming ook betrekking heeft op de doorgifte door de luchtvaartmaatschappij aan de autoriteiten van een ander land van gegevens die niet noodzakelijkerwijs onontbeerlijk zijn voor de controle ten behoeve van, bijvoorbeeld de toelating tot het grondgebied van dat land. Uiteraard kan de passagier ook om toestemming voor die doorgifte worden gevraagd, maar wanneer die niet gegeven wordt ontstaat voor de luchtvaartmaatschappij het probleem dat zij dan niet of slechts tegen voor haar bezwaarlijke voorwaarden in staat is te voldoen aan de eisen die een ander land aan haar stelt. De luchtvaartmaatschappij loopt dan het risico op sancties.
Ingevolge artikel 23, eerste lid, onder d, van de Wbp mogen bijzondere gegevens worden verwerkt indien dit noodzakelijk is ter voldoening aan een volkenrechtelijke verplichting. Zou bij verdrag een regeling zijn getroffen voor de doorgifte van persoonsgegevens door luchtvaartmaatschappijen, dan kan verwerking in de vorm van doorgifte aan een derde land wel plaatsvinden, zo nodig ook bij gebreke van toestemming van de betrokkene.
De PNR-Overeenkomst 2007 is een verdrag, maar dit verdrag bevat geen verplichting voor luchtvaartmaatschappijen om persoonsgegevens door te geven. Onderdeel 1 van de tekst van de eigenlijke overeenkomst bevat slechts een zorgplicht waarvan de uitvoering is overgelaten aan de lidstaten. Wanneer derde landen, zoals de Verenigde Staten, krachtens hun interne, nationale recht verplichtingen opleggen aan luchtvaartmaatschappijen is er evenmin sprake van een volkenrechtelijke verplichting. Dat betekent dat ook artikel 23, eerste lid, onder d, van de Wbp niet kan worden ingeroepen als rechtvaardiging voor de doorgifte van gevoelige gegevens.
Ingevolge artikel 23, eerste lid, onder e, van de Wbp mogen bijzondere gegevens worden verwerkt, indien dit noodzakelijk is met het oog op een zwaarwegend algemeen belang, passende waarborgen worden geboden ter bescherming van de persoonlijke levenssfeer en dit bij wet wordt bepaald, dan wel het College bescherming persoonsgegevens (Cbp) ontheffing heeft verleend.
Het is evident dat de PNR-Overeenkomst 2007 is opgesteld met het oog op een zwaarwegend algemeen belang: de bestrijding van terrorisme en ernstige vormen van grensoverschrijdende criminaliteit is een dergelijk belang. De PNR-Overeenkomst 2007 biedt voorts de nodige waarborgen voor de bescherming van de persoonlijke levenssfeer van degenen op wie de bijzondere persoonsgegevens betrekking hebben. In paragraaf 6.2.2 van de memorie van toelichting van het goedkeuringswetsvoorstel is daarop inhoudelijk ingegaan. Ook wanneer in aanmerking wordt genomen dat er op het specifieke punt van bescherming van bijzondere gegevens nog vraagpunten overblijven, blijft overeind dat er voorzien is in zodanige waarborgen dat in beginsel sprake is van de nodige waarborgen in de zin van artikel 23, eerste lid, onder e, van de Wbp. Aan het vereiste dat de overdracht bij wet moet zijn bepaald is niet voldaan. De PNR-Overeenkomst 2007 kan niet worden aangemerkt als een wet. Bij gebreke aan een wet kan een ontheffing van het Cbp uitkomst bieden. De vraag is echter of ontheffingverlening voor deze aangelegenheid het juiste instrument is. Immers, ontheffingverlening zal in de regel gepaard moeten gaan met de oplegging van voorschriften en beperkingen in het belang van bescherming van de persoonlijke levenssfeer. Het eenzijdige karakter van ontheffingverlening past slecht bij verhoudingen waarin van beide bij de doorgifte van gegevens betrokken partijen rechten en verplichtingen worden vastgesteld. De aard van een besluit tot ontheffingverlening brengt bovendien met zich dat dit alleen betrekking kan hebben op een individueel geval. Zouden ook met andere landen verdragen tot stand komen, of zou EU-regelgeving daartoe aanleiding geven, dan zou dat tot gevolg hebben dat telkens ontheffing zou moeten worden verleend. Dit wordt niet wenselijke geacht.
Dat levert op dat ook artikel 23, eerste lid, onder e, van de Wbp niet in aanmerking komt als grondslag voor de verwerking van bijzondere gegevens.
De overige rechtvaardigingsgronden van artikel 23 Wbp behoeven hier geen bespreking.
De conclusie kan dus worden getrokken dat een afzonderlijke grondslag voor de doorgifte van bijzondere persoonsgegevens noodzakelijk is om volledig uitvoering te kunnen geven aan de PNR-Overeenkomst 2007. Dit wetsvoorstel voorziet daarin. Omdat de in dit wetsvoorstel neergelegde voorziening een afzonderlijke motivering van nut en noodzaak en van rechtmatigheid vergt is er voor gekozen een afzonderlijk wetsvoorstel op te stellen.
4. De inhoud van het wetsvoorstel
Het voorgestelde artikel 23a van de Wbp bevat drie cumulatieve voorwaarden waaronder het verbod op de verwerking van bijzondere persoonsgegevens kan worden doorbroken. Die voorwaarden hebben achtereenvolgens betrekking op de aard van de verwerking, de grond voor doorgifte van gegevens en de voorwaarden en beperkingen waaronder de verwerking mag plaatsvinden. Aan alle voorwaarden moet worden voldaan alvorens de verwerking van bijzondere persoonsgegevens rechtmatig is.
Verwerking mag ingevolge onderdeel a van het voorgestelde artikel 23a alleen plaatsvinden, wanneer deze uitsluitend bestaat in doorgifte van bijzondere gegevens naar de autoriteiten van een land buiten de Europese Unie ten behoeve van een zwaarwegend algemeen belang. De verwerking van de desbetreffende bijzondere persoonsgegevens die voorafgaat aan de doorgifte wordt niet bestreken door deze bepaling, maar door de bestaande artikelen 17 tot en met 23 van de Wbp. Aan deze bepalingen doet dit wetsvoorstel geen afbreuk. De gegevensdoorgifte mag uitsluitend plaatsvinden aan de autoriteiten, dat wil zeggen: de overheid, van een derde land. Dat betekent dat verstrekking aan particulieren, in welke hoedanigheid dan ook, is uitgesloten.
Overwogen is of nog expliciet moet worden geregeld dat de door te geven gegevens beperkt moeten zijn tot gegevens die in het kader van een vervoerovereenkomst, of meer specifiek, een overeenkomst van vervoer van passagiers en bagage door de lucht zou moeten worden beperkt. Daarvan is afgezien. Een meer algemene regeling van dit probleem past bij de meer algemeen omschreven normering in de Wbp. De noodzakelijke waarborgen (en beperking tot specifieke gegevens) moeten worden gezocht in de onderliggende EU- of EG-besluiten. Bovendien bestaat het risico dat van een meer specifieke beperkende omschrijving – bijvoorbeeld tot vervoerovereenkomsten (of zelfs bepaalde vervoerovereenkomsten) wordt aangebracht – een discriminerend effect uitgaat. Dit moet worden vermeden.
Voor een regeling van gegevensoverdracht en de daarop betrekking hebbende regels voor de bescherming van de privacy binnen de Europese Unie wordt thans geen regeling getroffen, aangezien daarvoor recent een voorstel voor een kaderbesluit door de Europese Commissie is gedaan (COM (2007) 654 def., zie ook Kamerstukken I/II 2007/08, 23 490, CC en nr. 475, blz. 7). Dit kaderbesluit vergt te zijner tijd een eigen implementatieregeling.
Tenslotte is gegevensdoorgifte alleen mogelijk wanneer dit geschiedt ten behoeve van een zwaarwegend algemeen belang. Hieronder wordt in elk geval begrepen de bestrijding van terrorisme en ernstige grensoverschrijdende criminaliteit. Het is niet uitsluitend aan de verantwoordelijke om vast te stellen of er sprake is van een dergelijk belang. Dit behoort te zijn ingebed in een EU- of EG-besluit, dan wel een verdrag. Hierop wordt in paragraaf 4.3 teruggekomen.
4.2 Verplichting krachtens buitenlands recht
Verwerking mag ingevolge onderdeel b alleen plaats indien daartoe een wettelijke of anderszins uit het recht van het derde land voortvloeiende verplichting bestaat. Het gaat hier om verplichtingen van publiekrechtelijke aard, niet om contractuele verplichtingen of andere verplichtingen van privaatrechtelijke aard. Deze voorwaarde blijkt bij de PNR-Overeenkomst 2007 van bijzonder belang, aangezien de Verenigde Staten de verplichting voor luchtvaartmaatschappijen om passagiersgegevens door te geven hebben vastgesteld krachtens nationaal recht (de Aviation Transportation Security Act). Het ligt in de lijn van de verwachtingen dat er meer landen zullen komen die dergelijke verplichtingen gaan opleggen.
4.3 Voorwaarden en beperkingen in het belang van de bescherming van persoonsgegevens
Het enkel binden van de rechtvaardiging van de gegevensverwerking aan het stellen van een regel van buitenlands recht zou onvoldoende zijn. Elk land zou daarmee in beginsel kunnen bepalen of de Nederlandse wetgeving wel of niet van toepassing is op een bepaald aspect van gegevensverwerking in Nederland zelf. Op die manier zou het recht op bescherming van persoonsgegevens aanzienlijk in kracht inboeten. Daarom wordt voorgesteld dat de verwerking van bijzondere persoonsgegevens in de vorm van doorgifte naar een derde land alleen gerechtvaardigd is wanneer daar een bindend EUof EG-besluit, dan wel een verdrag aan ten grondslag ligt. Bij een dergelijk besluit of verdrag moet ten minste het doel van de gegevensverwerking zijn geëxpliciteerd. Dat doel moet bovendien verband houden met een zwaarwegend algemeen belang. Het gaat niet aan om voor elk willekeurig doel een rechtvaardiging van de doorgifte van gegevens aan te nemen.
In de PNR-Overeenkomst 2007 zijn de doeleinden voor gegevensverwerking opgesomd. In paragraaf 6.1 van de memorie van toelichting bij het wetsvoorstel tot goedkeuring van de PNR-Overeenkomst 2007 is daarover een uiteenzetting gegeven, met inbegrip van enkele kanttekeningen die bij de opsomming nog zijn te maken. Verder is voldoende duidelijk dat de PNR-Overeenkomst 2007 is gesloten met het oog op zwaarwegende algemene belangen. De bestrijding van terrorisme en ernstige grensoverschrijdende criminaliteit vallen aan te merken als zwaarwegende algemene belangen. Daarnaast behoort de inbreuk op het recht op bescherming van persoonsgegevens zo gering mogelijk te zijn. Een EU- of EG-besluit, dan wel een verdrag behoort passende waarborgen te bieden ter bescherming van de persoonlijke levenssfeer. Wat de PNR-Overeenkomst 2007 betreft, is in paragraaf 6.2.2 van de memorie van toelichting bij het wetsvoorstel tot goedkeuring van de PNR-Overeenkomst 2007 een toelichting gegeven op het in de overeenkomst opgenomen niveau van bescherming van bijzondere persoonsgegevens, en de daarbij nog gemaakte kanttekeningen.
Met het voorgestelde artikel 23a wordt geen afbreuk gedaan aan andere bepalingen in de Wbp die de voorwaarden regelen waaronder het doorbreken van het verbod op het verwerken van bijzondere persoonsgegevens gerechtvaardigd is. Op die bepalingen wordt geen uitzondering gemaakt. Evenmin is een verruiming van die bepalingen beoogd. Beoogd is alleen een regeling te treffen voor de gevolgen van de PNR-Overeenkomst 2007 en mogelijke volgende besluiten of verdragen in deze sfeer voor de nationale wetgeving.
Verder wordt ook niet beoogd een uitzondering te maken op de regeling in hoofdstuk 11 voor het gegevensverkeer naar landen buiten de EuropeseUnie. Ook voor een rechtmatige inbedding van de PNR-Overeenkomst 2007 blijft het noodzakelijk dat de Minister van Justitie (na goedkeuring van de overeenkomst) daartoe op grond van artikel 78, tweede lid, van de Wbp een regeling vaststelt.
5. De verhouding van het wetsvoorstel tot het recht op bescherming van de persoonlijke levenssfeer
Het doorbreken van het verbod op het verwerken, door middel van doorgifte aan een derde land, van bijzondere persoonsgegevens roept de vraag op hoe deze mogelijkheid zich verhoudt tot het recht op bescherming van persoonsgegevens. Dit recht vormt een onderdeel van het meer omvattende recht op eerbiediging van het privé-leven, neergelegd in artikel 8, eerste lid, van het Verdrag tot bescherming van de Rechten van de Mens en de fundamentele vrijheden (EVRM) en het recht op eerbiediging van de persoonlijke levenssfeer van artikel 10, eerste lid, van de Grondwet. In het onderstaande wordt achtereenvolgens ingegaan op de verhouding van het wetsvoorstel tot artikel 8 EVRM, tot artikel 10, eerste lid, van de Grondwet, tot het Dataprotectieverdrag van de Raad van Europa en tot richtlijn nr. 95/46/EG van het Europees Parlement en de Raad van de Europese Unie van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (PbEG L 281) (hierna: de richtlijn).
Artikel 8, eerste lid, EVRM beschermt het recht op respect voor het privé-leven. Dit recht is evenwel niet absoluut. Ingevolge het tweede lid van artikel 8 EVRM is een inmenging in de uitoefening van dit recht slechts gerechtvaardigd, wanneer de inmenging bij de wet is voorzien en in een democratische samenleving noodzakelijk is in het belang van de nationale veiligheid, de openbare veiligheid of het economisch welzijn van het land, het voorkomen van wanordelijkheden en strafbare feiten, de bescherming van de gezondheid of de goede zeden of voor de bescherming van de rechten en vrijheden van anderen.
De eis dat de inmenging «bij de wet is voorzien» houdt in dat sprake is van een wettelijke basis, en die basis voor de burger voldoende toegankelijk en voorzienbaar is. De wettelijke regeling dient bovendien afdoende waarborgen te bevatten teneinde willekeur en misbruik te vermijden. Een inmenging is noodzakelijk in een democratische samenleving, wanneer sprake is van een dringende maatschappelijke behoefte (pressing social need) daartoe. Voorts dient te zijn voldaan aan de voorwaarden van proportionaliteit (er dient een redelijke verhouding te bestaan tussen de ernst van de inbreuk en de zwaarte van het belang dat met de inbreuk wordt gediend) en subsidiariteit (er is geen alternatief, dat even effectief, maar minder ingrijpend is).
De omstandigheid dat passagiersgegevens door een luchtvaartmaatschappij aan de Amerikaanse autoriteiten worden overgedragen kan, wanneer dit buiten toestemming van de betrokkene plaatsvindt, worden aangemerkt als een inmenging op het recht op respect voor het privé-leven.
Toetsing aan de hierboven weergegeven vereisten voor een gerechtvaardigde inmenging levert het volgende beeld op.
Aan de eis dat de inmenging bij de wet is voorzien, is voldaan. De wettelijke basis wordt gevormd door het onderhavige wetsvoorstel, bezien in samenhang met het bindend besluit van de Raad van de Europese Unie, van het Europees Parlement en de Raad gezamenlijk of van de Commissie van de Europese Gemeenschappen, dan wel het verdrag, in combinatie met de daarop betrekking hebbende goedkeuring door de Staten-Generaal.
Wat betreft de eis van toegankelijkheid, geldt dat zowel de bindende EU- of EG-besluiten, als de verdragen die ten grondslag zullen moeten liggen aan een doorgifte worden bekendgemaakt in de daarvoor aangewezen bekendmakingsbladen. Ook het onderhavige wetsvoorstel en de daarop betrekking hebbende stukken worden behoorlijk bekendgemaakt. Aan de eis van toegankelijkheid is dan ook voldaan.
Wat betreft de eis van voorzienbaarheid, geldt dat het voorgestelde artikel 23a van de Wbp mede beoogt te waarborgen dat de betrokkene via een bindend EU- of EG-besluit, dan wel een verdrag een voldoende duidelijk beeld krijgt van de doeleinden van gegevensverwerking, de soorten gegevens die worden doorgegeven, de omstandigheden waaronder deze worden verwerkt en de daarbij in acht te nemen waarborgen ter bescherming van de persoonlijke levenssfeer. De voorgestelde regeling kan daarin zelf niet in concreto voorzien.
In de memorie van toelichting bij het wetsvoorstel tot goedkeuring van de PNR-Overeenkomst 2007 is al ingegaan op de verhouding tussen de inhoud van die overeenkomst en het voorzienbaarheidsvereiste. Daarin is uiteengezet dat de PNR-Overeenkomst 2007 de nodige waarborgen bevat. Voor dit geval is aan de eis dat de inmenging bij de wet is voorzien voldaan. Het is niet goed doenlijk reeds nu beschrijven hoe dat in volgende gevallen zal worden geregeld. Wat betreft het doel van de gegevensdoorgifte, deze kan slechts geschieden ter uitvoering van een zwaarwegend algemeen belang. Een dergelijke omschrijving is ook opgenomen in artikel 23, eerste lid, onder e, van de Wbp. Het voorgestelde artikel 23a sluit daar zoveel mogelijk bij aan. De door artikel 8, tweede lid, EVRM opgesomde belangen: noodzaak in het belang van de nationale veiligheid, het voorkomen van strafbare feiten en de bescherming van de rechten en vrijheden van anderen vallen als dergelijke belangen aan te merken. Niet slechts voor de PNR-Overeenkomst 2007, maar in zijn algemeenheid geldt dat de noodzaak om op te treden tegen de dreiging van de zijde van terroristische en criminele groeperingen kan worden beschouwd als een pressing social need. De uitwisseling van informatie is een essentieel onderdeel van de bestrijding van terrorisme en grensoverschrijdende criminaliteit en het gebruik van passagiersgegevens is in dit verband een belangrijk instrument. Bij de eis dat de inmenging noodzakelijk moet zijn in een democratische samenleving, geldt voorts een eigen beoordelingsruimte voor de lidstaten. Volgens vaste rechtspraak van het Europees Hof voor de Rechten van de Mens (EHRM) (bijvoorbeeld EHRM 28 oktober 1994, Murray tegen het Verenigd Koninkrijk, appl. no. 14 310, NJ 1995, 509) komt aan staten ingeval van maatregelen die betrekking hebben op de nationale veiligheid een grotere beoordelingsmarge toe bij de beoordeling of sprake is van een redelijke verhouding tussen de ernst van de inbreuk op het in artikel 8 gegarandeerde recht en de zwaarte van het belang dat met de inbreuk wordt gediend. In dit verband is tevens van belang dat het EVRM een living instrument is, dat door het EHRM naar present day conditions wordt uitgelegd.
Daarnaast dient bedacht te worden dat ook (preventieve) maatregelen in de strijd tegen het terrorisme een zekere mensenrechtelijke status genieten. Het Europees Hof voor de Rechten van de Mens (EHRM) heeft in zijn jurisprudentie aanvaard dat staten op basis van artikel 2 van het EVRM verplicht zijn alle redelijke (preventieve) maatregelen te nemen teneinde het leven van hun ingezetenen tegen levensbedreigende situaties te beschermen (zie EHRM, 28 oktober 1998, Osman t. Verenigd Koninkrijk, Reports 1998, 3124). Een soortgelijke overweging is te vinden in de op 11 juli 2002 door het Comité van Ministers van de Raad van Europa aanvaarde Guidelines on human rights and the fight against terrorism.
Het bieden van veiligheid is een kerntaak van de overheid. Verschillende maatregelen die het belang van de veiligheid dienen maken echter een inbreuk op het recht op bescherming van de persoonlijke levenssfeer. Voor de bestrijding van vormen van criminaliteit, als terrorisme, waarbij geen enkel respect wordt getoond voor de integriteit van de persoon en het menselijk lichaam, is het juist omwille van het recht op bescherming van de persoonlijke levenssfeer noodzakelijk dat aan het recht op privacy niet onverkort kan worden vastgehouden. Ondergetekenden zijn daarmee van oordeel dat het wetsvoorstel voldoet aan de eisen, voortvloeiend uit artikel 8 EVRM.
5.2 Artikel 10, eerste lid, van de Grondwet
Voor zover de omstandigheid dat passagiersgegevens door een luchtvaartmaatschappij zonodig buiten toestemming van de betrokkene aan de autoriteiten van een derde land worden overgedragen, moet die overdracht worden aangemerkt als een inbreuk op het recht op eerbiediging van de persoonlijke levenssfeer. Ingevolge artikel 10, eerste lid, van de Grondwet is een beperking van dat recht slechts mogelijk bij of krachtens de wet.
Met het voorgestelde artikel 23a wordt aan die eis voldaan.
Artikel 6 van het op 28 januari 1981 te Straatsburg totstandgekomen Verdrag tot bescherming van personen met betrekking tot de geautomatiseerde verwerking van persoonsgegevens (Trb. 1988, 7) (hierna: Dataprotectieverdrag) bevat een regeling met betrekking tot de verwerking van persoonsgegevens waaruit een godsdienstige of andere levensbeschouwing blijkt, alsmede persoonsgegevens welke betrekking hebben op de gezondheid. Dergelijke gegevens mogen ingevolge artikel 6 van het Dataprotectieverdrag niet worden verwerkt, tenzij het interne recht passende waarborgen biedt.
Wat betreft de vraag of de voorgestelde voorziening als een passende waarborg in de zin van artikel 6 van het Dataprotectieverdrag kan worden aangemerkt, wordt verwezen naar hetgeen in paragraaf 4 van deze memorie is uiteengezet. Ondergetekenden zijn van oordeel dat de wetsvoorstel in overeenstemming is met de eis van artikel 6.
Wat betreft artikel 2, eerste lid, van het op 8 november 2001 te Straatsburg totstandgekomen Aanvullend Protocol bij het Verdrag tot bescherming van personen met betrekking tot de geautomatiseerde verwerking van persoonsgegevens inzake toezichthoudende autoriteiten en grensoverschrijdende verkeer van gegevens (Trb. 2003, 122) zij het volgende opgemerkt. Dit artikellid bepaalt elke Partij dat de doorgifte van persoonsgegevens naar een ontvanger die valt onder de rechtsmacht van een staat of organisatie die geen Partij is bij het Verdrag uitsluitend kan plaatsvinden wanneer die staat of organisatie een passend niveau van bescherming waarborgt voor de beoogde gegevensoverdracht. Ingevolge het tweede lid van genoemd artikellid kan elke Partij de overdracht van persoonsgegevens toestaan in afwijking van het eerste lid indien: a. het nationale recht daarin voorziet vanwege de bijzondere belangen van de betrokkene, of rechtmatige prevalerende belangen, in het bijzonder belangrijke algemene belangen, of b. indien de houder die verantwoordelijk is voor de overdracht voorziet in waarborgen die met name kunnen voortvloeien uit contractuele bepalingen en deze voldoende worden geacht door de bevoegde autoriteiten overeenkomstig het nationale recht. Voor Nederland is dit Protocol in werking getreden op 1 januari 2005. Uit de toelichtende nota, ingediend door de regering ter gelegenheid van de goedkeuring van het Protocol (Kamerstukken I/II 2003/04, 29 580, nr. 2) blijkt dat in Nederland door de wetgever uitvoering is gegeven aan het Protocol door middel van vaststelling van de artikelen 76 en 77 van de Wbp.
Het wetsvoorstel laat deze bepalingen onaangetast. De regeling in het voorgestelde artikel 23a beoogt om gegevensdoorgifte aan de autoriteiten van een derde land mogelijk te maken met het oog op een zwaarwegend algemeen belang. Welke belangen daaronder worden begrepen is in het voorgaande van deze memorie uiteengezet. Ondergetekenden zijn dan ook van oordeel dat het wetsvoorstel in overeenstemming is met het Dataprotectieverdrag.
Artikel 8, eerste lid, van de richtlijn verbiedt de lidstaten de verwerking van persoonlijke gegevens waaruit de raciale of etnische afkomst, de politieke opvattingen, de godsdienstige of levensbeschouwelijke overtuiging, of het lidmaatschap van een vakvereniging blijkt, alsook de verwerking van gegevens die de gezondheid of het seksuele leven betreffen. Het tweede lid van de richtlijn bevat een aantal uitzonderingen op dit verbod. Het wetsvoorstel past niet in deze uitzonderingen. Deze uitzonderingen kunnen niet worden ingeroepen ter rechtvaardiging van dit wetsvoorstel.
Artikel 8, vierde lid, van de richtlijn regelt dat, mits passende waarborgen worden geboden, de lidstaten om redenen van zwaarwegend algemeen belang bij nationale wet of bij besluit van de toezichthoudende autoriteit nog andere afwijkingen naast die bedoeld in het tweede lid mogen vaststellen. Hoewel de overwegingen 34, 35 en 36 van de richtlijn als voorbeelden voor het gebruik van deze bevoegdheid refereren aan de belangen van de volksgezondheid en de sociale bescherming, de lidmaatschapsadministraties van kerkgenootschappen en daarmee gelijk te stellen organisaties, en van politieke partijen, is niet uitgesloten dat artikel 8, vierde lid, ook voor andere redenen van zwaarwegend algemeen belang kan worden ingeroepen.
Naar het oordeel van ondergetekenden is de bestrijding van terrorisme en andere vormen van ernstige grensoverschrijdende criminaliteit een dergelijke reden van zwaarwegend algemeen belang. Nu het voorgestelde artikel 23a van de Wbp verlangt dat er een bindend EU- of EG-besluit aan de verstrekking vooraf moet gaan, waarin doelbinding en passende waarborgen voor de bescherming van de persoonlijke levenssfeer moeten zijn geregeld, is daarmee voldaan aan de voorwaarden die artikel 8, vierde lid, terzake stelt.
Dat de PNR-Overeenkomst 2007 berust op een andere Europeesrechtelijke grondslag dan de richtlijn doet hieraan niet af (voor de achtergrond daarvan zij verwezen naar de paragrafen 4.2, 7.4 en 7.5 van de memorie van toelichting bij het wetsvoorstel tot goedkeuring van de PNR-Overeenkomst 2007).
Artikel 8, zesde lid, van de richtlijn voorziet in de verplichting tot notificatie van het inroepen van artikel 8, vierde lid, door een lidstaat. Dit zal plaatsvinden nadat het wetsvoorstel tot wet zal zijn verheven.
6. Uitvoerings- en handhavingsaspecten, administratieve lasten
Ingevolge artikel 51, eerste lid, van de Wbp is het Cbp belast met het toezicht op de verwerking van persoonsgegevens overeenkomstig het bij en krachtens de wet bepaalde. Dat strekt zich ook uit tot de verwerking van persoonsgegevens krachtens het voorgestelde artikel 23a. Gelet op artikel 4, eerste lid, van de Wbp is dit toezicht echter beperkt tot hetgeen op grond van artikel 23a door een verantwoordelijke met een vestiging in Nederland wordt verricht of nagelaten. Het komt er in de praktijk op neer dat het Cbp toezicht kan houden op hetgeen in Nederland door hier gevestigde luchtvaartmaatschappijen wordt gedaan. Naar verwachting zal het wetsvoorstel niet leiden tot een substantiële toename van de toezicht- en handhavingslast.
Het wetsvoorstel leidt niet tot een verandering in de administratieve lastendruk of nalevingskosten voor burgers of bedrijven. Evenmin leidt het wetsvoorstel tot administratieve lasten voortvloeiend uit subsidieverhoudingen. Dit wetsvoorstel is daarom niet aan het Adviescollege toetsing administratieve lasten voorgelegd.
Ingevolge artikel 51, tweede lid, van de Wbp is dit wetsvoorstel voor advies voorgelegd aan het Cbp. Het Cbp heeft bij brief van 7 februari 2008, no. z2007–01530, advies uitgebracht.1 In zijn advies stelt het Cbp een zestal onderwerpen aan de orde.
Allereerst meent het college dat het voorgestelde artikel 23a, onder c, van de Wbp niet de voorwaarde moet bevatten dat het verbod om bijzondere persoonsgegevens te verwerken kan worden opgeheven, indien daaraan een bindend besluit van de Europese Commissie ten grondslag ligt. Het Cbp is van oordeel dat een dergelijk besluit binnen het kader van verdragen of andere Europeesrechtelijke instrumenten alleen aan de orde kan zijn bij besluiten op grond van artikelen 25 en 26 van de richtlijn. Het wetsvoorstel, aldus het Cbp, beoogt nu juist een voorziening te treffen voor de implementatie van instrumenten uit de derde pijler, waar niet is voorzien in bindende besluiten van de Commissie.
Op zichzelf genomen is het juist dat de Europese Commissie thans geen zelfstandige of afgeleide bevoegdheden tot regelgeving heeft op het gebied van de bescherming van persoonsgegevens, voor zover het betreft de politiële en justitiële samenwerking in strafzaken in de zin van titel VI van het Verdrag betreffende de Europese Unie. Niettemin valt niet uit te sluiten dat die bevoegdheden op enig moment in de toekomst wel zullen worden toegekend. Onder het thans nog van kracht zijnde Verdrag betreffende de Europese Unie zou dat kunnen via toepassing van artikel 42 van genoemd verdrag. Zou dat artikel toepassing vinden, dan bestaat de mogelijkheid dat de Europese Commissie op grond van artikel 202 van het EG-Verdrag uitvoeringsbevoegdheden krijgt toegekend. In het op termijn geldende Hervormingsverdrag zal dat op grond van de artikelen 15bis, gelezen in samenhang met de artikelen 249B en 249C van dat verdrag, de mogelijkheid van delegatie van EU-regelgeving aan de Commissie – ook op het terrein van de gegevensbescherming – een reële mogelijkheid zijn. Dit onderdeel van het advies wordt dan ook niet overgenomen.
In een ander punt vraagt het Cbp nadere aandacht voor de verhouding van het wetsvoorstel tot het Dataprotectieverdrag. Het college meent dat uit de onderlinge verhouding van de artikelen 6 en 9, tweede lid, van dat verdrag voortvloeit dat een toetsing van de in het wetsvoorstel opgenomen voorziening slechts behoeft te worden getoetst aan de norm van artikel 6, dat immers regelt dat bijzondere gegevens slechts mogen worden verwerkt indien het interne recht van de verdragsluitende staten passende waarborgen ter zake biedt. Artikel 9, tweede lid, van dat verdrag heeft in de visie van het Cbp een andere functie. Het laat volgens het college de mogelijkheid open om in het belang van, bijvooorbeeld de veiligheid van de staat of de opsporing van strafbare feiten bepaalde beginselen buiten toepassing te laten. Dit advies wordt gevolgd. Dit heeft geleid tot een bijstelling van de memorie van toelichting.
In de overige vier punten wijst het Cbp op enkele onduidelijkheden en onjuistheden in de memorie van toelichting van ondergeschikte aard. De memorie is op deze punten aangepast.
Artikel I van het wetsvoorstel is reeds toegelicht in paragraaf 4 van het algemeen gedeelte van deze memorie. In artikel II is geregeld dat inwerkingtreding plaatsvindt op een bij koninklijk besluit te bepalen tijdstip. Het ligt in de bedoeling dit tijdstip te laten samenvallen met het tijdstip waarop de PNR-Overeenkomst 2007 in werking treedt.