AANBEVELING VAN DE COMMISSIE van 26.3.2009 inzake richtsnoeren betreffende gegevensbescherming voor het informatiesysteem voor de interne markt (IMI) - Hoofdinhoud

Inhoudsopgave van deze pagina:

Delen

1. Tekst
2. Originele weergave

3. Meer informatie

Hierbij gaat voor de delegaties Commissiedocument C(2009) 2041 definitief.

Bijlage: C(2009) 2041 definitief

COMMISSIE VAN DE EUROPESE GEMEENSCHAPPEN

Brussel, 26.3.2009 C(2009) 2041 definitief

AANBEVELING VAN DE COMMISSIE

van 26.3.2009

inzake richtsnoeren betreffende gegevensbescherming voor

het informatiesysteem voor de interne markt (IMI)

AANBEVELING VAN DE COMMISSIE

van 26.3.2009

inzake richtsnoeren betreffende gegevensbescherming voor

het informatiesysteem voor de interne markt (IMI)

(Voor de EER relevante tekst)

DE COMMISSIE VAN DE EUROPESE GEMEENSCHAPPEN,

Gelet op het Verdrag tot oprichting van de Europese Gemeenschap, en met name op artikel 211, tweede streepje,

Na raadpleging van de Europese Toezichthouder voor gegevensbescherming,

Overwegende hetgeen volgt:

(1) Besluit 2004/387/EG van het Europees Parlement en de Raad van 21 april 2004 betreffende de interoperabele levering van pan-Europese e-overheidsdiensten aan overheidsdiensten, ondernemingen en burgers (IDABC) 1

, en met name artikel 4 van

dat besluit, voorziet in de tenuitvoerlegging van projecten van gemeenschappelijk belang, om de doeltreffende, effectieve en veilige uitwisseling van informatie mogelijk te maken tussen overheidsdiensten op alle passende niveaus, alsmede tussen die overheidsdiensten en de instellingen van de Gemeenschap of andere entiteiten voor zover nodig.

(2) Op 17 maart 2006 hebben vertegenwoordigers van de lidstaten in het Raadgevend Comité voor de interne markt 2

het algemene invoeringsplan voor het

informatiesysteem voor de interne markt, hierna "IMI" genoemd, en het doel ervan, namelijk een betere communicatie tussen de diensten van de lidstaten, goedgekeurd.

(3) Naar aanleiding van deze goedkeuring heeft de Commissie bij de Besluiten C/2006/3606 van 14 augustus 2006, C/2007/3514 van 25 juli 2007 en C/2008/1881 van 14 mei 2008 besloten het informatiesysteem voor de interne markt als project van gemeenschappelijk belang te financieren en op te zetten.

(4) IMI is bedoeld om de uitvoering te vergemakkelijken van relevante communautaire besluiten die een uitwisseling van informatie tussen overheidsdiensten van de lidstaten vereist, zoals Richtlijn 2005/36/EG van het Europees Parlement en de Raad van 7 september 2005 3

betreffende de erkenning van beroepskwalificaties en

1 PB L 144 van 30.4.2004, zoals gerectificeerd bij PB L 181 van 18.5.2004, blz. 25. 2

Ingesteld bij Besluit 93/72/EEG van de Commissie (PB L 26 van 3.2.1993, blz. 18).

3 PB L 255 van 30.9.2005, blz. 22. Richtlijn laatstelijk gewijzigd bij Verordening (EG) nr. 1137/2008 van de Commissie (PB L 311 van 21.11.2008, blz. 1-54).

Richtlijn 2006/123/EG van het Europees Parlement en de Raad van 12 december 2006 betreffende diensten op de interne markt

4

.

(5) Bij de elektronische uitwisseling van informatie tussen lidstaten onderling en tussen lidstaten en de Commissie dient te worden voldaan aan de regels inzake de bescherming van persoonsgegevens van Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens 5

en van Verordening (EG) nr. 45/2001

van het Europees Parlement en de Raad van 18 december 2000 betreffende de bescherming van natuurlke personen in verband met de verwerking van persoonsgegevens door de communautaire instellingen en organen en betreffende het vre verkeer van die gegevens

6

.

(6) Het recht op gegevensbescherming wordt erkend in het Handvest van de grondrechten van de Europese Unie, in het bijzonder in artikel 8. Informatiesystemen zoals IMI dienen ervoor te zorgen dat de verschillende verantwoordelijkheden en verplichtingen van zowel de Commissie als de lidstaten met betrekking tot regels voor gegevensbescherming duidelijk zijn en dat betrokkenen gebruik kunnen maken van eenvoudige en gemakkelijk beschikbare mechanismen om hun rechten te doen gelden. (7) In Beschikking 2008/49/EG van de Commissie van 12 december 2007 inzake de bescherming van persoonsgegevens bij de invoering van het informatiesysteem interne markt (IMI) zijn de functies, rechten en verplichtingen van actoren en gebruikers van IMI vastgelegd. In deze beschikking van de Commissie is het advies van de werkgroep gegevensbescherming van artikel 29 meegenomen 7

.

(8) Na de goedkeuring van deze beschikking heeft de Europese Toezichthouder voor gegevensbescherming een advies 8

aangenomen waarin wordt opgeroepen tot de

goedkeuring van een juridisch instrument, bij voorkeur in de vorm van een verordening van de Raad en het Parlement, aangezien de werkingssfeer van IMI naar verwachting geleidelijk zal worden uitgebreid naar andere wetgevingsterreinen voor de interne markt, met een grotere complexiteit en een groter aantal deelnemende autoriteiten en gegevensuitwisselingen als gevolg. Op diverse bijeenkomsten en in een briefwisseling tussen de Europese Toezichthouder voor gegevensbescherming en de Commissiediensten

9

is overeengekomen een stapsgewijze benadering te volgen, te

beginnen met de goedkeuring van richtsnoeren voor gegevensbescherming, die in nauw overleg met de EDPS moeten worden opgesteld.

4 PB L 376 van 27.12.2006, blz. 36.

5 PB L 281 van 23.11.1995, blz. 31. Richtlijn gewijzigd bij Verordening (EG) nr. 1882/2003 (PB L 284 van 31.10.2003, blz. 1). 6

PB L 8 van 12.1.2001, blz. 1.

7 Advies 01911/07/EN, WP 140.

8 Advies van de Europese Toezichthouder voor Gegevensbescherming ("EDPS") over de beschikking van de Commissie van 12 december 2007 inzake de bescherming van persoonsgegevens bij de invoering van het informatiesysteem interne markt (IMI) van 22 februari 2008, PB C 270 van 25.10.2008, blz. 1. 9 http://www.edps.europa.eu/EDPSWEB/edps/site/mySite/pid/87.

(9) Deze richtsnoeren vormen een aanvulling op Beschikking 2008/49/EG van de Commissie. Zowel de aanbevelingen van de werkgroep gegevensbescherming van artikel 29 als die van de EDPS zijn hierin meegenomen. BEVEELT AAN DAT DE LIDSTATEN:

• 1) 

  stappen ondernemen om de tenuitvoerlegging van de in de bijlage opgenomen richtsnoeren door actoren en gebruikers van IMI te waarborgen;
• 2) 

  nationale IMI-coördinatoren ertoe aansporen contact te leggen met hun

nationale autoriteiten voor gegevensbescherming zodat deze sturing en bijstand kunnen bieden voor de beste wijze van tenuitvoerlegging van deze richtsnoeren krachtens nationale wetgeving;

• 3) 

  de Europese Commissie uiterlijk negen maanden na de goedkeuring van deze

aanbeveling en met de hulp van de nationale IMI-coördinatoren feedback verstrekken over de tenuitvoerlegging van de in de bijlage opgenomen richtsnoeren. Deze feedback wordt door de Europese Commissie meegenomen in een verslag dat zij uiterlijk een jaar na de goedkeuring van deze aanbeveling zal opstellen. In dit verslag zullen de situatie op het gebied van gegevensbescherming in IMI alsmede de inhoud en adequate termijn van toekomstige maatregelen, waaronder de mogelijke goedkeuring van een juridisch instrument, worden beoordeeld.

Gedaan te Brussel, 26.3.2009

Voor de Commissie Charlie McCreevy

Lid van de Commissie

BIJLAGE

Richtsnoeren voor de tenuitvoerlegging van regels inzake gegevensbescherming in IMI

• 1. 

  IMI - een instrument voor administratieve samenwerking

IMI is een softwaretoepassing die via internet toegankelijk is en door de Europese Commissie in samenwerking met de lidstaten is ontwikkeld. Doel van het programma is lidstaten bijstand te bieden voor de praktische tenuitvoerlegging van EU-wetgeving die in wederzijdse bijstand en administratieve samenwerking voorziet. IMI is geen database die tot doel heeft informatie gedurende lange tijd op te slaan, maar een centraal mechanisme waarmee nationale overheidsdiensten van de EER-landen informatie kunnen uitwisselen. Gegevens worden gedurende een beperkte periode bewaard.

Inlogpagina IMI

IMI biedt op dit moment ondersteuning voor het uitwisselen van informatie op grond van de richtlijn betreffende beroepskwalificaties en zal vanaf eind 2009 ook ondersteuning bieden voor de uitwisseling van informatie krachtens de Dienstenrichtlijn. In de bijlage bij Beschikking 2008/49/EG van de Commissie zult u altijd een bijgewerkte lijst van deze wetgevingsterreinen kunnen vinden. Deze bijlage zal immers van tijd tot tijd worden gewijzigd. IMI kan niet worden gebruikt voor het uitwisselen van informatie op wetgevingsterreinen die niet specifiek in deze bijlage worden vermeld.

Weergave van de toepassing wanneer bevoegde autoriteiten te maken hebben met

beroepskwalificaties

Samenwerking tussen nationale overheden is van essentieel belang voor de goede werking van de interne markt. Europese burgers kunnen hun rechten op het gebied van de interne markt, zoals de vrijheid van vestiging in een andere lidstaat of de vrijheid van dienstverrichting in het buitenland, alleen doen gelden als hiervoor praktische regelingen inzake administratieve samenwerking bestaan.

Voorbeelden

Een Duitse arts uit Berlijn trouwt met een Fransman en besluit een nieuw leven in Parijs op te bouwen. De Duitse arts wil haar beroep in Frankrijk uitoefenen en dient haar titels en diploma's daarvoor in bij de Franse Orde van Geneesheren. De persoon die het dossier behandelt, heeft twijfels over de authenticiteit van een van de diploma's en voert met IMI een controle uit bij de bevoegde autoriteit in Berlijn.

Een Frans industrieel schoonmaakbedrijf dat in Frankrijk actief is, biedt ook schoonmaakwerkzaamheden aan in het Spaanse Catalonië. Een Spaanse niet-gouvernementele organisatie dient een klacht in bij het Catalaanse milieuloket. Volgens de organisatie beschikt het Franse bedrijf niet over de benodigde gespecialiseerde arbeidskrachten voor het gebruik van bepaalde schoonmaakmiddelen. De Catalaanse bevoegde autoriteit gaat met IMI na of het schoonmaakbedrijf legaal in Frankrijk werkzaam is.

Administratieve samenwerking in de EU is niet eenvoudig. Er zijn taalbarrières (de EU heeft 23 officiële talen), er is een gebrek aan administratieve procedures voor grensoverschrijdende samenwerking, de administratieve structuren en culturen zijn verschillend en er zijn geen duidelijk geïdentificeerde partners in andere lidstaten.

De lidstaten dienen er weliswaar zelf voor te zorgen dat regelgeving op het gebied van de interne markt effectief werkt op hun grondgebied, maar de Commissie is van oordeel dat lidstaten over instrumenten moeten beschikken om te kunnen samenwerken. IMI is ontworpen met de volgende doelstellingen: identificatie van de juiste bevoegde autoriteit in een andere lidstaat (zoekfunctie), beheer van de uitwisseling van informatie op basis van eenvoudige en geharmoniseerde procedures en opheffing van taalbarrières op basis van vooraf gedefinieerde en reeds vertaalde vragenreeksen.

Schermvoorbeelden met vragen in de talen van twee bevoegde autoriteiten die betrokken zijn

bij de uitwisseling van informatie

• 2. 

  Toepassingsgebied en doelstelling van deze richtsnoeren

IMI-gebruikers zijn deskundigen op hun respectieve bevoegdheidsterreinen, of het nu gaat om de regels die voor een bepaalde beroepsgroep gelden of om wetgeving voor dienstverrichting. Zij zijn echter geen deskundigen op het gebied van gegevensbescherming en zijn zich wellicht niet altijd voldoende bewust van de nationale wetgeving op het gebied van gegevensbescherming.

Daarom is het raadzaam om gebruikers richtsnoeren aan te reiken waarin het functioneren van IMI

wordt toegelicht in het licht van gegevensbescherming, alsmede de veiligheidsmechanismen in het systeem en de mogelijke risico's die aan het gebruik van IMI zijn verbonden

10

.

Deze richtsnoeren zijn niet bedoeld als uitgebreid overzicht van alle kwesties op het gebied van gegevensbescherming in verband met IMI, maar vormen een gebruikersvriendelijke uitleg, een kader voor naleving dat begrijpelijk is voor alle gebruikers van het programma. Indien nodig kunnen IMI-gebruikers altijd nadere informatie en bijstand krijgen van de autoriteiten op het gebied van gegevensbescherming in de lidstaten. Op het volgende adres is een lijst van deze autoriteiten met hun contactgegevens en websites te vinden:

http://ec.europa.eu/justice_home/fsj/privacy/nationalcomm/index_en.htm.

• 3. 

  Een omgeving waarin gegevens worden beschermd

Bij de ontwikkeling van IMI is de wetgeving op het gebied van gegevensbescherming voor ogen gehouden. In het ontwerp is dan ook volledig rekening gehouden met de bescherming van gegevens.

IMI-gebruikers weten zich ervan verzekerd dat IMI in het licht van gegevensbescherming een betrouwbaar programma is. Dit kan aan de hand van een aantal eenvoudige voorbeelden worden geïllustreerd:

• a) 

  IMI wordt alleen gebruikt door bevoegde autoriteiten binnen de Europese Economische Ruimte (EU-lidstaten plus Noorwegen, IJsland en Liechtenstein) en er vindt geen overdracht van persoonsgegevens plaats buiten de EER;

11

• b) 

  de Europese Commissie en de IMI-coördinatoren hebben geen toegang tot de persoonsgegevens van beroepsbeoefenaren of dienstverrichters die in het systeem worden uitgewisseld;

10

De lidstaten dienen te overwegen om in hun IMI-opleidingen informatie over gegevensbescherming op te nemen. 11 Zie artikel 12 van Beschikking 2008/49/EG.

• c) 

  alleen de bevoegde autoriteiten die betrokken zijn bij een informatieaanvraag mogen de persoonsgegevens van de dienstverrichter bekijken

12

. De bescherming gaat zo ver dat degene

voor wie de aanvraag is bedoeld de persoonsgegevens over de dienstverrichter pas te zien krijgt nadat de ontvanger de aanvraag formeel heeft geaccepteerd;

Weergave van een aanvraag vóór aanvaarding door de ontvanger

• d) 

  alle persoonsgegevens met betrekking tot aanvragen worden zes maanden na de sluiting van een aanvraag automatisch uit het systeem verwijderd. De gegevens kunnen op verzoek van de betrokken bevoegde autoriteiten zelfs eerder worden verwijderd (zie voor meer informatie hoofdstuk 12 over de bewaringstermijn).
• 4. 

  Wie is wie in IMI? De kwestie van gezamenlijke verantwoordelijkheid

IMI is een duidelijk voorbeeld van gezamenlijke verwerking en gedeelde

verantwoordelijkheid. Zo mogen alleen de bevoegde autoriteiten in de lidstaten persoonsgegevens uitwisselen, maar valt de opslag van deze gegevens op de servers onder de verantwoordelijkheid van de Europese Commissie. De Europese Commissie mag deze persoonsgegevens weliswaar niet bekijken, maar bedient wel het systeem dat zorgt voor de fysieke verwerking van de verwijdering en rectificatie van de gegevens.

12 Bevoegde autoriteiten kunnen gekoppeld zijn aan andere autoriteiten voor toezicht (zo kan een regionale autoriteit zijn gekoppeld aan een nationale autoriteit). Deze "gekoppelde autoriteiten" zijn op die manier op de hoogte van het aantal en de aard van de aanvragen, maar hebben geen toegang tot de persoonsgegevens van de dienstverrichters of de migrerende beroepsbeoefenaren.

Door de toewijzing van verschillende verantwoordelijkheden aan de Commissie en de lidstaten doet zich dus de volgende situatie voor:

• a) 

  iedere bevoegde autoriteit en iedere IMI-coördinator is verantwoordelijk voor zijn eigen activiteiten met betrekking tot gegevensverwerking;
• b) 

  de Commissie is geen gebruiker maar beheerder van het systeem en is in de eerste plaats verantwoordelijk voor het onderhoud en de veiligheid van het systeem

13

;

• c) 

  de IMI-actoren hebben dezelfde verantwoordelijkheden met betrekking tot het verstrekken van informatie en rechten van toegang, bezwaar en rectificatie.

In complexe scenario's van gedeelde verantwoordelijkheid zoals IMI bestaat de meest efficiënte benadering voor naleving erin gegevensbescherming vanaf het begin in het systeem te verankeren (zie gedeelte "Werk in uitvoering" in hoofdstuk 13: "Samenwerking met autoriteiten op het gebied van gegevensbescherming en de EDPS") en een kader voor naleving te definiëren zoals voorzien in deze richtsnoeren. Het is de verantwoordelijkheid van alle IMI-actoren en -gebruikers dit kader in acht te nemen.

• 5. 

  Actoren en gebruikers in IMI

Alle actoren die gebruik maken van IMI worden gevalideerd door IMI-coördinatoren. Actoren en gebruikers en hun taken, rechten en verplichtingen worden nader omschreven in de artikelen 6 t/m 12 van Beschikking 2008/49/EG van de Commissie. Deze richtsnoeren behoeven hier niet te worden herhaald.

IMI is een uiterst flexibel systeem waarin lidstaten verantwoordelijkheden en taken op zeer verschillende manieren kunnen toewijzen aan bevoegde autoriteiten en coördinatoren, zodat deze aansluiten op hun specifieke administratieve structuur en de wetgevingsterreinen waarop administratieve samenwerking moet plaatsvinden.

Ook is belangrijk om voor ogen te houden dat IMI-gebruikers in de lidstaten verantwoordelijk zijn voor vele andere verwerkingsprocessen. Naleving van gegevensbescherming in IMI moet niet onnodig complex zijn en mag geen buitensporige administratieve last vormen. Het systeem hoeft ook niet voor alle betrokkenen hetzelfde te zijn.

In de meeste gevallen voeren bevoegde autoriteiten gewoon de verwerkingshandelingen in IMI uit volgens dezelfde regels en goede praktijken die normaliter gelden voor personen die verantwoordelijk zijn voor gegevensverwerking, volgens hun eigen behoeften en de nationale wetgeving op het gebied van gegevensbescherming.

Een voordeel voor de gebruikers is dat gegevensbescherming in IMI is verankerd. Zo worden zij ertoe aangezet de uitgewisselde persoonsgegevens nog vóór het verstrijken van de bewaringstermijn van zes maanden uit IMI te laten verwijderen als zij de informatieuitwisseling in IMI niet meer hoeven te bewaren.

13 Zoals bepaald in artikel 10, lid 3, van Beschikking 2008/49/EG van de Commissie mag de Commissie alleen aan een uitwisseling van informatie deelnemen in de bijzondere gevallen waarin de relevante Gemeenschapswetgeving voorziet in een uitwisseling van informatie tussen de lidstaten en de Commissie. In deze gevallen heeft de Commissie dezelfde verplichtingen als een bevoegde autoriteit. Zo moet zij de betrokkenen adequaat informeren en toegang tot hun gegevens bieden als zij hierom vragen.

• 6. 

  Juridische grondslagen voor de uitwisseling van persoonsgegevens in IMI

In Beschikking 2008/49/EG van de Commissie zijn de taken, rechten en verplichtingen van IMI-actoren en -gebruikers inzake de bescherming van persoonsgegevens bij de invoering van IMI vastgelegd.

Niet alle informatie die in IMI wordt uitgewisseld, heeft betrekking op persoonsgegevens. Zo kan de uitgewisselde informatie betrekking hebben op rechtspersonen

14

of kunnen de vraag en

het antwoord geen verband houden met individuen (bijvoorbeeld de algemene vraag of een bepaald beroep in een bepaalde lidstaat gereglementeerd is).

In veel gevallen heeft de uitwisseling van informatie wel betrekking op individuen en moet er dan ook een juridische grondslag zijn voor de verwerking van persoonsgegevens. Het gebruik van IMI is vaak in het belang van de betrokkene. Ook als de uitwisseling van informatie niet noodzakelijkerwijs in het belang van de betrokkene plaatsvindt, kunnen gegevens door bevoegde autoriteiten worden uitgewisseld met IMI, mits deze uitwisseling krachtens een specifieke juridische grondslag is vereist.

In artikel 7 van Richtlijn 95/46/EG worden de juridische grondslagen voor de verwerking van persoonsgegevens vermeld. Artikel 7, onder c) en e), zijn het meest relevant voor de uitwisseling van gegevens binnen IMI.

• I) 

  Nakomen van een wettelijke verplichting (artikel 7, onder c))

Als algemeen beginsel geldt dat de EU-lidstaten verplicht zijn om met elkaar en met de instellingen van de EU samen te werken. De verplichting van administratieve samenwerking is expliciet en specifiek vastgelegd in Richtlijn 2005/36/EG (erkenning van beroepskwalificaties) en Richtlijn 2006/123/EG (Dienstenrichtlijn).

In artikel 56 van de richtlijn inzake beroepskwalificaties is het volgende bepaald:

"1. De bevoegde autoriteiten van de ontvangende lidstaat en van de lidstaat van oorsprong werken nauw samen en verlenen elkaar wederzijds bijstand bij de toepassing van deze richtlijn. Zij zien toe op de vertrouwelijkheid van de door hen uitgewisselde informatie."

"2. De bevoegde autoriteiten van de ontvangende lidstaat en van de lidstaat van oorsprong wisselen informatie uit over tuchtrechtelijke maatregelen of strafrechtelijke sancties die genomen zijn, en over alle andere specifieke ernstige feiten die van invloed kunnen zijn op de uitoefening van werkzaamheden in het kader van deze richtlijn, met inachtneming van de wetgeving inzake de bescherming van persoonsgegevens in de Richtlijnen 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1) en 2002/58/EG van het Europees Parlement en de Raad van 12 juli 2002 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie (richtlijn betreffende privacy en elektronische communicatie)."

14 In bepaalde lidstaten, zoals Italië, Luxemburg, Oostenrijk en Denemarken, vallen rechtspersonen in zekere mate binnen de werkingssfeer van wetgeving inzake gegevensbescherming.

In artikel 28 van de Dienstenrichtlijn is het volgende bepaald:

"1. De lidstaten verlenen elkaar wederzijdse bijstand en nemen maatregelen om doeltreffend met elkaar samen te werken bij het toezicht op dienstverrichters en hun diensten."

"6. De lidstaten verstrekken de informatie waarom door andere lidstaten of door de Commissie is gevraagd, langs elektronische weg en binnen de kortst mogelijke termijn."

In artikel 34 van de Dienstenrichtlijn is het volgende bepaald:

"1. De Commissie zet, in samenwerking met de lidstaten, een elektronisch systeem op voor de uitwisseling, en met inachtneming van bestaande informatiesystemen, van informatie tussen de lidstaten."

II) Vervulling van een taak van algemeen belang of die deel uitmaakt van de uitoefening van het openbaar gezag die aan de drager is opgedragen (artikel 7, onder e)).

IMI-actoren en -gebruikers vervullen taken van algemeen belang of taken die deel uitmaken van de uitoefening van het openbaar gezag die aan hen zijn opgedragen. Alle registraties in IMI worden gevalideerd door de IMI-coördinator. Daarbij wordt eerst nagegaan of de bevoegde autoriteit in kwestie taken van algemeen belang vervult (bijvoorbeeld maatschappijen ter bevordering der genees- en dierengeneeskunst, om te waarborgen dat hun leden werken volgens ethische regels of regels op het gebied van de volksgezondheid) of taken die deel uitmaken van de uitoefening van het openbaar gezag die aan hen zijn opgedragen (bijvoorbeeld ministeries van Onderwijs die controleren of docenten middelbaar onderwijs over de juiste kwalificaties beschikken).

Op basis van het voorgaande kunt u IMI gebruiken voor de uitwisseling van persoonsgegevens krachtens de richtlijn inzake beroepskwalificaties en de Dienstenrichtlijn voor de doelen die in de bepalingen worden uiteengezet. Informatie met betrekking tot andere wetgeving op het gebied van de interne markt kan niet in IMI worden uitgewisseld. Indien de werkingssfeer van IMI op enig moment wordt uitgebreid met aanvullende wetgeving, wordt in de bijlage van Beschikking 2008/49/EG van de Commissie adequaat verwezen naar de relevante Gemeenschapswetgeving.

• 7. 

  Toepasselijke wetgeving en adequaat toezicht

De toepasselijke wetgeving op het gebied van gegevensbescherming hangt af van de identiteit van de IMI-actor of -gebruiker. Voor de Europese Commissie is bijvoorbeeld Verordening (EG) nr. 45/2001 inzake gegevensbescherming van toepassing. Voor een nationale gebruiker (zoals een bevoegde autoriteit) is de toepasselijke wetgeving de nationale wetgeving op het gebied van gegevensbescherming, die moet stroken met Richtlijn 95/46/EG.

De Europese Unie beschikt over een stevig juridisch kader inzake gegevensbescherming, dat is vastgelegd in genoemde richtlijn en in Verordening (EG) nr. 45/2001

15

. De richtlijn inzake

gegevensbescherming biedt lidstaten enige flexibiliteit. Nationale IMI-coördinatoren wordt

15 Richtlijn 95/46/EG is van toepassing op de lidstaten, terwijl Verordening (EG) nr. 45/2001 van toepassing is op de Europese instellingen.

dan ook aangeraden deze richtsnoeren te bespreken met de autoriteiten op het gebied van gegevensbescherming. Het gaat hierbij bijvoorbeeld om de gegevensdetails die aan individuen moeten worden verstrekt (zie hoofdstuk 9 over deze kwestie) of de verplichting om bepaalde handelingen

voor gegevensverwerking te melden aan autoriteiten inzake gegevensbescherming.

Richtlijn 95/46/EG inzake gegevensbescherming is een richtlijn op het gebied van de interne markt met een tweeledig doel. Met de harmonisering van nationale wetgeving op het gebied van gegevensbescherming wordt beoogd zowel een hoog niveau van gegevensbescherming te waarborgen als de fundamentele rechten van individuen te beschermen en zo vrij verkeer van persoonsgegevens tussen lidstaten toe te staan. Nationale specifieke omstandigheden hoeven dan ook geen praktische of aanzienlijke gevolgen te hebben voor het gebruik van IMI en de uitwisseling van gegevens die op grond van andere Gemeenschapswetgeving zijn vereist.

Een van de belangrijkste kenmerken van het Europese juridisch kader inzake gegevensbescherming is dat het toezicht bij onafhankelijke openbare autoriteiten inzake gegevensbescherming berust. Hierdoor kunnen burgers een klacht bij deze autoriteiten indienen zodat geschillen inzake gegevensbescherming onverwijld en buiten de rechtbank kunnen worden beslecht. Nationale autoriteiten voor gegevensbescherming houden toezicht op de verwerking van persoonsgegevens op nationaal niveau. De Europese Toezichthouder voor gegevensbescherming (EDPS) houdt toezicht op de verwerking van persoonsgegevens door de Europese instellingen. De Europese Commissie staat dan ook onder toezicht van de EDPS, terwijl andere gebruikers van IMI onder toezicht van de betrokken nationale autoriteiten voor gegevensbescherming staan. Meer informatie over de behandeling van klachten of verzoeken van betrokkenen zijn te vinden in hoofdstuk 10 over de rechten van toegang en rectificatie en in hoofdstuk 13 over samenwerking met autoriteiten voor gegevensbescherming en de EDPS.

• 8. 

  Beginselen van gegevensbescherming die van toepassing zijn op de uitwisseling van informatie

In Gemeenschapswetgeving is bepaald dat persoonsgegevens alleen onder bepaalde voorwaarden mogen worden verwerkt (zie hoofdstuk 6: "Juridische grondslagen voor de uitwisseling van persoonsgegevens in IMI") en overeenkomstig bepaalde beginselen die in de richtlijn inzake gegevensbescherming worden aangemerkt als "beginselen betreffende de kwaliteit van de gegevens" (zie artikel 6 van deze richtlijn).

Personen die verantwoordelijk zijn voor gegevensverwerking mogen persoonsgegevens enkel voor gerechtvaardigde en specifieke doeleinden verzamelen, en deze niet verwerken voor andere doeleinden die onverenigbaar zijn met de doeleinden op het moment van verzameling. Een klassiek voorbeeld van onverenigbare doeleinden is het geval waarin een bevoegde autoriteit adresgegevens die voor het dossier van migrerende beroepsbeoefenaren krachtens de Dienstenrichtlijn zijn verzameld, voor marketingdoeleinden doorverkoopt aan bedrijven.

Voorts moet de verwerking van persoonsgegevens proportioneel zijn (adequaat, relevant en niet buitensporig) met de doeleinden van de verzameling en de verantwoordelijke persoon moet tevens redelijke stappen ondernemen om ervoor te zorgen dat de gegevens worden bijgewerkt en dat deze worden vernietigd of anoniem worden gemaakt zodra de identificatie van de betrokkenen niet meer noodzakelijk is. Beginselen betreffende de gegevenskwaliteit zijn goede beginselen van informatiebeheer, want in een goed informatiesysteem worden niet zomaar gigabytes aan gegevens opgeslagen die snel verouderd raken en onbetrouwbaar

worden. In een goed elektronisch informatiesysteem worden alleen gegevens verzameld die noodzakelijk zijn voor de doeleinden die op voorhand worden uiteengezet. Deze gegevens moeten ook worden bijgewerkt zodat volledige betrouwbaarheid is gewaarborgd.

De toepassing van deze beginselen betreffende de gegevenskwaliteit op het functioneren van IMI leidt tot de volgende aanbevelingen:

(1) Het gebruik van IMI dient strikt te worden beperkt tot de doeleinden die in de toepasselijke wetgeving zijn vastgelegd (bijvoorbeeld in geval van gerechtvaardigde twijfel of om andere redenen die in de toepasselijke wetgeving worden uiteengezet). Hoewel IMI naar verwachting de standaardwijze zal worden waarop bevoegde autoriteiten gegevens met elkaar uitwisselen, moet het absoluut duidelijk zijn dat IMI niet systematisch mag worden gebruikt om controles van de achtergrond van migrerende beroepsbeoefenaren of dienstverrichters uit te voeren. (2) De bevoegde autoriteit die de aanvraag indient, dient alleen de persoonsgegevens te verstrekken die de bevoegde autoriteit die de aanvraag beantwoordt nodig heeft om de persoon in kwestie ondubbelzinnig te identificeren of de vragen te beantwoorden. Zo kan een migrerende beroepsbeoefenaar worden geïdentificeerd aan de hand van zijn naam en registratienummer in een beroepsregister. Het burgerservice- of rijksregisternummer hoeft dan niet te worden verstrekt. (3) IMI-gebruikers moeten de vragen zorgvuldig selecteren en niet meer vragen stellen dan absoluut noodzakelijk is. Hiermee worden niet alleen de beginselen betreffende de gegevenskwaliteit in acht genomen, maar wordt ook de administratieve last verminderd. Met het oog op transparantie zijn de vooraf gedefinieerde vragenreeksen gepubliceerd op de IMI-website 16

.

17

Wat zijn gevoelige gegevens ?

Dit zijn gegevens waaruit de volgende informatie over iemand naar voren komt: raciale of etnische oorsprong, politieke overtuigingen, religieuze of filosofische opvattingen, lidmaatschap van een vakbond, gezondheid, seksleven, overtredingen, veroordelingen voor misdrijven of beveiligingsmaatregelen. Sommige lidstaten kunnen ook informatie betreffende administratieve sancties of boetes als gevoelige gegevens beschouwen.

(4) Bevoegde autoriteiten moeten bijzonder waakzaam zijn wanneer er informatie wordt uitgewisseld over gevoelige gegevens. Alleen in zeer beperkte omstandigheden kunnen gevoelige gegevens worden uitgewisseld. De meest relevante vereisten voor de verwerking van gevoelige gegevens in IMI zijn de volgende: (a) De verwerking van gevoelige gegevens is noodzakelijk voor de vaststelling, de uitoefening of de verdediging van een recht in rechte (zie artikel 8, lid 2, onder e) van de richtlijn inzake gegevensbescherming en de overeenkomstige bepalingen in nationale wetgeving).

16

http://ec.europa.eu/internal_market/imi-net/docs/questions_and_data_fields_en.pdf.

17 Een juridische definitie is te vinden in artikel 8 van Richtlijn 95/46/EG en artikel 10 van Verordening (EG) nr. 45/2001.

Dit kan van toepassing zijn op de uitwisseling van informatie in IMI waarbij een migrerende beroepsbeoefenaar of een dienstverrichter zijn recht doet gelden om zijn beroep uit te oefenen of zich te vestigen in een andere lidstaat. In ieder geval moeten bevoegde autoriteiten nauwkeurig beoordelen of het gebruik van de gevoelige gegevens daadwerkelijk absoluut noodzakelijk is om het recht vast te stellen.

Met betrekking tot de uitwisseling van specifieke gevoelige gegevens in IMI hebben lidstaten

specifieke bepalingen vastgelegd in de richtlijn betreffende beroepskwalificaties en de Dienstenrichtlijn:

4.a.1. In artikel 56, lid 2, van de richtlijn betreffende beroepskwalificaties is het volgende bepaald: "De bevoegde autoriteiten van de ontvangende lidstaat en van de lidstaat van oorsprong wisselen informatie uit over tuchtrechtelijke maatregelen of strafrechtelijke sancties die genomen zijn, en over alle andere specifieke ernstige feiten die van invloed kunnen zijn op de uitoefening van werkzaamheden in het kader van deze richtlijn, met inachtneming van de wetgeving inzake de bescherming van persoonsgegevens..."

4.a.2. In artikel 33 van de Dienstenrichtlijn zijn specifieke regels vastgelegd voor de uitwisseling van informatie over de goede naam van de migrerende dienstverrichter: "De lidstaten verstrekken op verzoek van een bevoegde instantie van een andere lidstaat informatie overeenkomstig hun nationale recht over tuchtrechtelijke of administratieve maatregelen of strafrechtelijke sancties en over beslissingen betreffende insolventie of faillissement..." (b) De betrokkene geeft uitdrukkelijk toestemming. Indien de administratieve samenwerking in het belang van de betrokkene is, zal het niet moeilijk zijn om de uitdrukkelijke toestemming van de betrokkene te verkrijgen voor de verwerking van persoonsgegevens.

(5) Er dient extreme voorzichtigheid te worden betracht met betrekking tot informatie over gerechtelijke antecedenten, aangezien nauwkeurigheid van deze gegevens van groot belang is. Andere beginselen van de richtlijn betreffende gegevensbescherming en de verordening waarnaar in deze aanbeveling 18

wordt verwezen, moeten dan ook

worden nageleefd en deze categorie gegevens dient alleen te worden aangevraagd wanneer dit is toegestaan op grond van de relevante Gemeenschapswetgeving en de aanvraag absoluut noodzakelijk is voor een besluit in het desbetreffende dossier, dat rechtstreeks verband houdt met de aanvraag. Met andere woorden: de verwerking moet rechtstreeks verband houden met de uitoefening van de beroepsactiviteit of de dienstverrichting en noodzakelijk zijn voor het doel van controle van naleving van de bepalingen van de relevante richtlijn. IMI-gebruikers dienen altijd in gedachten te houden dat de voor een besluit noodzakelijke informatie in veel gevallen niet specifiek hoeft te verwijzen naar de gerechtelijke antecedenten van de migrerende beroepsbeoefenaar of dienstverrichter.

18

Dat wil zeggen: er dient adequate informatie te worden verstrekt aan de betrokkenen, de verwerking dient proportioneel te zijn en gegevens mogen niet verder worden verwerkt voor doeleinden die onverenigbaar zijn met de doeleinden op het moment van verzameling.

Er zijn slechts een paar vragen in de IMI-vragenreeks die betrekking hebben op het strafregister of andere gevoelige gegevens

19

. Naast deze beperkte gevallen moeten

gevoelige gegevens alleen worden uitgewisseld in de uitzonderlijke gevallen waarin de concrete omstandigheden van het dossier dusdanig zijn dat de gevoelige gegevens rechtstreeks verband houden met het uitoefenen van de activiteit in kwestie en absoluut noodzakelijk zijn voor de vaststelling van het recht in rechte.

Bevoegde autoriteiten mogen IMI niet gebruiken voor routinecontroles van de gerechtelijke antecedenten van migrerende beroepsbeoefenaars, aangezien dit indruist tegen het doel waarvoor IMI is opgezet. Onderzoeken naar overtredingen of disciplinaire maatregelen moeten ook verband houden met het beroep of de dienst in kwestie en niet met andere overtredingen die de migrerende beroepsbeoefenaar in het land van oorsprong heeft begaan of disciplinaire maatregelen die tegen hem zijn getroffen. Zo hoeft de bevoegde autoriteit die een aanvraag indient om te bepalen of een arts daadwerkelijk is geregistreerd en een goede naam heeft bij de orde van geneesheren, niet te weten of de arts in kwestie een verkeersovertreding heeft begaan. Een dergelijke overtreding vormt in het land van oorsprong immers geen belemmering om als arts werkzaam te zijn.

Verdere verwerking en opslag buiten IMI

Het gebruik van IMI zal vaak worden gecombineerd met het verstrekken van informatie voor andere verwerkingshandelingen die in de lidstaat plaatsvinden (bijvoorbeeld voor de behandeling van een aanvraag om een dienst te mogen verrichten of voor het verlenen van een vergunning voor een bepaalde activiteit). Het is dan ook normaal dat bevoegde autoriteiten de verkregen data voor deze doeleinden verder verwerken. Wanneer gegevens worden verkregen via IMI en deze buiten het systeem verder worden verwerkt, blijft nationale wetgeving inzake gegevensbescherming van toepassing. U dient dan ook de volgende regels in acht te nemen:

• - 

  Deze verdere verwerking mag niet onverenigbaar zijn met de doeleinden van verzameling en uitwisseling die in IMI hebben plaatsgevonden.
• - 

  Deze verdere verwerking is noodzakelijk en proportioneel (adequaat, relevant en niet buitensporig) met de oorspronkelijke doeleinden van verzameling in IMI.
• - 

  U moet redelijke stappen ondernemen om de gegevens up-to-date te houden en deze te verwijderen wanneer deze niet meer nodig zijn.
• - 

  Wanneer gegevens uit IMI worden geëxporteerd voor verstrekking aan een derde, moet de betrokkene hiervan op de hoogte worden gesteld om eerlijke verwerking te waarborgen, tenzij dit onmogelijk blijkt of onevenredig veel moeite kost of indien de verstrekking wettelijk verplicht is (zie artikel 11, lid 2, van Richtlijn 95/46/EG inzake gegevensbescherming). Aangezien verstrekking in slechts één van de betrokken lidstaten wettelijk verplicht kan zijn, en dit elders mogelijk niet bekend is, stelt de Commissie voor informatie te verstrekken, zelfs wanneer doorgifte uitdrukkelijk wettelijk is vastgelegd.

19 Een specifieke lijst van deze vragen is beschikbaar op de IMI-website: http://ec.europa.eu/internal_market/imi-net/docs/questions_and_data_fields_en.pdf.

• 9. 

  Informatieverstrekking aan betrokkenen

Een van de pijlers onder systemen voor gegevensbescherming is dat verantwoordelijken voor de verwerking van gegevens informatie verstrekken aan betrokkenen over de verwerkingshandelingen die zij voornemens zijn te verrichten met hun persoonsgegevens.

In artikel 10 van de richtlijn inzake gegevensbescherming is bepaald dat op het moment van verkrijging ten minste de volgende informatie moet worden verstrekt aan de betrokkene: de identiteit van de voor de verwerking verantwoordelijke, de doeleinden van de verwerking, de ontvangers of de categorieën ontvangers van de gegevens, antwoord op de vraag of men al dan niet verplicht is om te antwoorden en de eventuele gevolgen van niet-beantwoording, alsmede het bestaan van het recht op toegang en rectificatie.

Wanneer persoonsgegevens worden verkregen van een individu, dient de bevoegde autoriteit de betrokkene ervan op de hoogte te stellen dat de gegevens kunnen worden ingevoerd in IMI zodat voor de doeleinden van zijn of haar aanvraag kan worden gecorrespondeerd met andere overheden in andere lidstaten. Ook dient te worden gemeld dat de betrokkene indien nodig bij een van de betrokken bevoegde autoriteiten kan verzoeken om toegang tot en rectificatie van de uitgewisselde gegevens (meer informatie hierover wordt uiteengezet in hoofdstuk 10 over rechten van toegang en rectificatie).

Iedere bevoegde autoriteit dient zelf uit te maken hoe deze informatie aan betrokkenen wordt verstrekt. Aangezien de meeste (en wellicht alle) bevoegde autoriteiten andere verwerkingshandelingen zullen verrichten dan de uitwisseling van informatie in IMI, kan de manier waarop zij individuen informeren dezelfde zijn als de manier waarop soortgelijke informatie voor andere verwerkingshandelingen wordt doorgegeven overeenkomstig nationale wetgeving (bijvoorbeeld aan de hand van borden, in correspondentie met betrokkenen en/of op websites).

Informatieverstrekking in de richtlijn inzake gegevensbescherming

Artikel 10 van de richtlijn inzake gegevensbescherming bevat een lijst met de minimale informatie die aan individuen dient te worden verstrekt, behalve wanneer de betrokkene hierover reeds beschikt:

• a) 

  de identiteit van de voor verwerking verantwoordelijke(n) (de bevoegde autoriteit die de gegevens verkrijgt en soortgelijke autoriteiten in andere lidstaten)
• b) 

  de doeleinden van de verwerking (correspondentie met andere autoriteiten in verband met de aanvraag van de migrerende beroepsbeoefenaar of dienstverrichter)
• c) 

  verdere informatie voor zover die nodig is om een eerlijke verwerking te waarborgen of als de verstrekking van nadere informatie volgens nationale wetgeving verplicht is, zoals:

c.1) ontvangers of categorieën ontvangers

c.2) het bestaan van een recht op toegang tot en rectificatie van de eigen gegevens, de

manier waarop de betrokkene deze rechten kan doen gelden en eventuele uitzonderingen op deze rechten krachtens nationale wetgeving

c.3) recht op verhaal (bijv. toegang tot rechtbanken en recht op eisen van schadeloosstelling)

c.4) opslag- en bewaringstermijn c.5) veiligheidsmaatregelen

c.6) verwijzing naar relevante documenten en websites, inclusief de IMI-website van de Commissie

In de richtlijn inzake gegevensbescherming zijn twee gevallen voorzien waarin informatie aan betrokkenen dient te worden verstrekt: wanneer de gegevens rechtstreeks bij de betrokkene zijn verkregen en wanneer de gegevens niet bij de betrokkene zijn verkregen. In artikel 11 van de richtlijn is echter bepaald dat dergelijke informatie in het laatste geval niet aan de betrokkene hoeft te worden verstrekt indien dit onevenredig veel moeite kost of indien de registratie of verstrekking bij wet is voorgeschreven (zoals het geval is voor de uitwisseling van informatie in IMI), hoewel in de richtlijn verder wordt gesteld dat de lidstaten in deze gevallen voor passende waarborgen zorgen.

Bevoegde autoriteiten moeten de verstrekking van informatie aan betrokkenen dan ook nader uitwerken op basis van hun respectieve nationale wetgeving op het gebied van gegevensbescherming, mogelijk in overleg met de nationale IMI-coördinatoren en de nationale autoriteiten voor gegevensbescherming. Een meerlagenbenadering is aanbevolen, met de verstrekking van basisinformatie bij de verzameling (bijvoorbeeld in aanvraagformulieren voor bevoegde autoriteiten) en een indicatie van de plaats waar betrokkenen indien gewenst nadere informatie kunnen verkrijgen.

Voor deze tweede, meer gedetailleerde laag informatie vormen privacybeleid of privacyverklaringen op websites een doeltreffende vorm van informatieverstrekking aan betrokkenen.

Indien bevoegde autoriteiten reeds dergelijke privacyverklaringen hebben, dienen zij deze bij te werken of aan te vullen met een specifieke verwijzing naar de uitwisseling van persoonsgegevens in IMI. Als dat niet het geval is, moeten bevoegde autoriteiten beslissen of er in het licht van het gebruik van IMI en de hoeveelheid verzamelde persoonsgegevens een online privacyverklaring moet worden opgesteld.

Wanneer sporadisch wordt gebruikgemaakt van IMI, kan het voldoende zijn om individuen bij de verzameling van gegevens slechts kort te informeren over IMI, en indien nodig op een later moment nogmaals. Wanneer de bevoegde autoriteit geen specifieke privacyverklaring over IMI aan betrokkenen verstrekt, dient duidelijk te worden aangegeven waar zij nadere informatie kunnen verkrijgen, bijvoorbeeld op de website van de nationale IMI-coördinator en de website van de Commissie.

20

In het gedeelte over gegevensbescherming van de IMI-website van de Commissie is de

privacyverklaring over IMI te vinden. Het bevat ook aanvullende informatie voor betrokkenen over de manier waarop zij hun rechten kunnen doen gelden en waar zij indien nodig bijstand kunnen

krijgen van nationale bevoegde autoriteiten of autoriteiten voor gegevensbescherming:

"Als u persoonlijke gegevens over uzelf in IMI wil inzien, verwijderen of corrigeren, neem dan contact op met de overheid of beroepsorganisatie waarmee u eerder contact heeft gehad of met een andere gebruiker van IMI die bij het verzoek betrokken is geweest. Als u niet tevreden bent over het antwoord, neem dan contact op met een andere IMI-gebruiker of dien een klacht in bij de autoriteit voor gegevensbescherming van een van de IMI-gebruikers die bij het verzoek

betrokken is. Deze zal u kosteloos helpen. Een lijst van gegevensbeschermingsautoriteiten vindt u hier:

http://ec.europa.eu/justice_home/fsj/privacy/nationalcomm/index_en.htm

Let wel: in sommige gevallen zijn op grond van nationale wetgeving niet alle persoonsgegevens toegankelijk."

Belangrijke actoren in IMI die grote aantallen aanvragen verwerken, wordt ten zeerste aanbevolen hun privacybeleid op hun websites te publiceren. Dit privacybeleid dient een link te bevatten naar de site over gegevensbescherming van de IMI-website van de Commissie. Andere bevoegde autoriteiten die kleine aantallen aanvragen verwerken, kunnen in eerste instantie volstaan met een link naar de IMI-website van de Commissie.

Nationale IMI-coördinatoren moeten bijstand verlenen aan bevoegde autoriteiten. Het kan bijvoorbeeld gaan om hulp bij het opstellen van voorbeelden van privacyverklaringen die de nationale bevoegde autoriteiten als sjabloon kunnen gebruiken. Ook kan een gemeenschappelijke, nationale privacyverklaring worden opgesteld en op internet worden gepubliceerd door de nationale coördinator. Iedere bevoegde autoriteit kan dan bij het contact met betrokkenen naar deze verklaring verwijzen (bijvoorbeeld in aanvraagformulieren of andere documenten die aan betrokkenen worden verstrekt).

20 Het gedeelte over gegevensbescherming van de IMI-website bevat alle documenten inzake gegevensbescherming met betrekking tot IMI en een link naar een lijst van alle wetgevingdocumenten over gegevensbescherming op EU-niveau: http://ec.europa.eu/internal_market_/imi-net/data_protection_en.html .

Privacyverklaring van de Europese Commissie Informatiesysteem interne markt - IMI

• 1. 

  Doel van IMI en deelnemers Het doel van IMI is de bestuurlijke samenwerking tussen de lidstaten vergemakkelijken zodat de interne markt naar behoren kan werken en vrij verkeer van personen en diensten mogelijk is. Via IMI kan informatie (waaronder bepaalde persoonsgegevens) tussen overheidsdiensten van EER-landen worden uitgewisseld. Deze privacyverklaring heeft betrekking op het deel van IMI waarvoor de Commissie verantwoordelijk is, namelijk de inzameling, registratie, opslag en vernietiging van persoonsgegevens van de eerste gebruikers bij de nationale IMI-coördinatoren, alsmede de opslag en vernietiging, maar niet de inzameling, opvraging en inzage van persoonsgegevens van andere IMI-gebruikers en van personen wier gegevens worden uitgewisseld. Zij is dus niet van toepassing op de behandeling van gegevens onder verantwoordelijkheid van de lidstaten.
• 2. 

  Toepasselijk recht Op de behandeling van gegevens onder verantwoordelijkheid van de Europese Commissie is Verordening (EG) nr. 45/2001 van het Europees Parlement en de Raad van 18 december 2000 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de communautaire instellingen en organen en betreffende het vrije verkeer van die gegevens van toepassing. Eveneens van toepassing is Beschikking 2008/49/EG van de Commissie van 12 december 2007 inzake de bescherming van persoonsgegevens bij de invoering van het informatiesysteem interne markt (IMI).
• 3. 

  Welke gegevens worden door de Commissie met IMI verwerkt? De Commissie verzamelt de noodzakelijke contactgegevens van de eerste gebruikers bij de nationale IMI-coördinatoren, waaronder naam, telefoonnummer, faxnummer en e-mailadres op het werk. Hun gegevens en die van alle gebruikers bij de gedelegeerde IMI-coördinatoren en bevoegde autoriteiten worden opgeslagen op een server van de Europese Commissie. De gegevens van personen waarover informatie wordt uitgewisseld, worden om technische redenen eveneens op een server van de Europese Commissie bewaard.
• 4. 

  Waarvoor worden de IMI-gegevens gebruikt? De contactgegevens van de nationale IMI-coördinatoren zijn essentieel voor de introductie en de goede werking van IMI. De Commissie moet toegang hebben tot deze gegevens om het systeem samen met de lidstaten doeltreffend te kunnen beheren. De gegevens van personen waarover de nationale autoriteiten informatie uitwisselen, worden met IMI verwerkt en tijdelijk opgeslagen. Dit verbetert en vereenvoudigt de samenwerking tussen de bevoegde autoriteiten in de lidstaten. Op grond van de interne-marktwetgeving van de Gemeenschap kan een lidstaat namelijk om aanvullende informatie verzoeken als een dienstverrichter uit een andere lidstaat tijdelijk diensten wil verstrekken in die lidstaat of zich daar wil vestigen.
• 5. 

  Wie heeft toegang tot de gegevens? Binnen de grenzen van artikel 12, lid 7, van Beschikking 2008/49/EG van de Commissie van 12 december 2007 inzake de bescherming van persoonsgegevens bij de invoering van het informatiesysteem interne markt (IMI) hebben de lokale gegevensbeheerders van de Commissie toegang tot de persoonsgegevens van de lokale gegevensbeheerders van de nationale IMI-coördinatoren. Commissiepersoneel heeft geen toegang tot gegevens van personen waarover informatie wordt uitgewisseld.
• 6. 

  Hoe lang worden de gegevens bewaard? De persoonsgegevens van gebruikers bij de bevoegde autoriteiten en coördinatoren worden bewaard zolang zij IMI-gebruiker zijn. Alle persoonsgegevens die via IMI tussen de bevoegde autoriteiten worden uitgewisseld, worden zes maanden na het formele einde van de informatie-uitwisseling automatisch door de Commissie gewist. Om statistische redenen wordt de informatie-uitwisseling via IMI bewaard, maar worden alle persoonlijke gegevens geanonimiseerd. Een bevoegde autoriteit kan na het einde van de informatie-uitwisseling met een andere bevoegde autoriteit de Commissie verzoeken bepaalde persoonsgegevens te wissen. De Commissie komt binnen tien werkdagen tegemoet aan een dergelijk verzoek, tenzij de andere bevoegde autoriteit zich daartegen verzet.
• 7. 

  Hoe wordt het systeem beschermd tegen ongeoorloofde toegang? IMI wordt met een aantal technische maatregelen beschermd. De verschillende niveaus van toegang tot de database worden afgeschermd met een gewoon systeem van wachtwoorden plus een aanvullende digitale code zoals bij diverse thuisbankiersystemen gebruikelijk is. Alleen de in punt 5 bedoelde personen hebben toegang tot de persoonsgegevens in IMI. Het systeem wordt bovendien beschermd met https, een beveiligd internetprotocol.
• 8. 

  Toegang tot eigen gegevens De nationale IMI-coördinatoren kunnen toegang krijgen tot hun eigen gegevens via het in punt 10 vermelde contactadres.
• 8. 

  Aanvullende informatie Behalve deze privacyverklaring is ook de "belangrijke juridische mededeling" (

http://europa.eu/geninfo/legal_notices_en.htm ) van toepassing.

• 10. 

  Contactadres IMI wordt beheerd door eenheid E.3 van directoraat-generaal Interne markt en diensten van de Europese Commissie. Nicholas Leapman, hoofd van eenheid E.3, draagt de eindverantwoordelijkheid. Het contactadres voor IMI is: Europese Commissie DG Interne Markt en Diensten Eenheid E.3 B-1049 Brussel België

markt-imidataprotection@ec.europa.eu

Met klachten over de wijze waarop onder verantwoordelijkheid van de Commissie met gegevens is omgegaan, kunt u bij de Europese Toezichthouder voor gegevensbescherming terecht. De Europese Toezichthouder voor gegevensbescherming (EDPS) Wiertzstraat 60 (MO 63) B-1047 Brussel België Tel.: +32 2 283 19 00 Fax: +32 2 283 19 50

edps@edps.europa.eu

• 10. 

  Rechten van toegang en rectificatie

Transparantie jegens de betrokkenen is essentieel. Dit kan ten eerste worden bereikt door de informatie te verstrekken die in voorgaand hoofdstuk is besproken en ten tweede door de persoon in kwestie het recht te bieden op toegang tot zijn of haar persoonsgegevens en indien nodig het recht op verwijdering, rectificatie of afscherming als deze onnauwkeurig zijn of onwettig zijn verwerkt.

IMI is een complex systeem, waarin een groot aantal actoren en gebruikers betrokken is bij gezamenlijke verwerking en gezamenlijk beheer. Dit vergt voor betrokkenen een eenvoudige en duidelijke benadering. Zij zijn niet bekend met de technische aspecten van gezamenlijke verwerking of het functioneren van IMI en hoeven deze ook niet te kennen.

Belangrijk is een duidelijke en eenvoudige benadering: Als algemene regel kunnen betrokkenen hun rechten van toegang, rectificatie en verwijdering doen gelden door zich te richten tot een bevoegde autoriteit die bij een aanvraag is betrokken. Hiervoor gelden alleen gerechtvaardigde uitzonderingen waarmee de betrokkene en alle andere betrokken partijen hebben ingestemd. Bevoegde autoriteiten mogen toegang, rectificatie of verwijdering van gegevens niet weigeren met het argument dat zij de gegevens niet in het systeem hebben ingevoerd of dat de betrokkene contact moet opnemen met een andere bevoegde autoriteit. De bevoegde autoriteit die het verzoek ontvangt, neemt het in behandeling en stemt ermee in of wijst het af overeenkomstig de ontvankelijkheid van het verzoek en de bepalingen van de nationale wetgeving inzake gegevensbescherming. Indien nodig kan de bevoegde autoriteit contact opnemen met andere bevoegde autoriteiten alvorens een besluit te nemen. Indien bevoegde autoriteiten van mening verschillen, schakelen zij hun respectieve autoriteiten inzake gegevensbescherming in om tijdig en efficiënt tot overeenstemming te komen.

Indien de betrokkene niet tevreden is met het besluit, kan hij of zij contact opnemen met een andere bevoegde autoriteit die betrokken is bij de uitwisseling van informatie of met de nationale autoriteit voor gegevensbescherming van een van deze bevoegde autoriteiten die het meest gepast is: bijvoorbeeld de autoriteit van het land waar hij of zij is gevestigd, of zijn of haar eigen nationale autoriteit voor gegevensbescherming, of de autoriteit van het land waar hij of zij werkt. Indien nodig en passend werken autoriteiten voor gegevensbescherming samen bij de behandeling van de klacht (zie artikel 28 van de richtlijn inzake gegevensbescherming).

Er zij op gewezen dat betrokkenen altijd het recht hebben om juridische stappen te ondernemen en in voorkomend geval verhaal te zoeken (zie de artikelen 22 en 23 van de richtlijn inzake gegevensbescherming en overeenkomstige bepalingen in nationale wetgeving).

In artikel 12, onder c), van de richtlijn inzake gegevensbescherming is bepaald dat de voor verwerking verantwoordelijke derden aan wie de gegevens zijn verstrekt, in kennis stelt van elke rectificatie, uitwissing of afscherming, tenzij zulks onmogelijk blijkt of onevenredig veel moeite kost. Dit is tevens van toepassing op informatie die verder wordt verwerkt buiten IMI.

Naar aanleiding van de aanbevelingen van de werkgroep gegevensbescherming van artikel 29 en de EDPS werkt de Commissie momenteel aan een IMI-functie waarmee gegevens online kunnen worden gerectificeerd met automatische kennisgeving aan de betrokken bevoegde autoriteiten. (Dit geschiedt volgens de procedure die reeds wordt toegepast voor vroegtijdige uitwissing van gegevens op verzoek van bevoegde autoriteiten, zie hoofdstuk 12.) De

implementatie van deze functie is technisch complex. Voorgesteld wordt dan ook vooralsnog de volgende procedure toe te passen voor rectificatie van persoonsgegevens: de bevoegde autoriteit dient een verzoek tot rectificatie rechtstreeks in bij de voor verwerking in IMI verantwoordelijke persoon bij de Europese Commissie (zie vorig gedeelte "Privacyverklaring van de Europese Commissie").

Op grond van de richtlijn inzake gegevensbescherming en de nationale wetgeving voor de tenuitvoerlegging ervan hebben betrokkenen het recht om bezwaar te maken tegen de verwerking van hun persoonsgegevens en de verwerking stop te zetten als het bezwaar ontvankelijk is. Indien een betrokkene contact met u opneemt en bezwaar maakt tegen de verwerking van zijn of haar persoonsgegevens, neemt u contact op met uw nationale autoriteit voor gegevensbescherming voor meer informatie over de manier waarop dit recht op bezwaar in uw lidstaat werkt.

• 11. 

  Gegevensbeveiliging

Voor de beveiliging van IMI wordt gebruikgemaakt van een aantal organisatorische en technische maatregelen die vergelijkbaar zijn met maatregelen in banksystemen voor computers. De communicatie met IMI via internet wordt beschermd met https, een beveiligd internetprotocol. De technische beveiligingsmaatregelen voor IMI moeten binnen de gehele Europese Unie zijn geïntegreerd. De technische beveiliging van het systeem wordt verder ontwikkeld in het licht van de stand van de techniek en de kosten van tenuitvoerlegging (zie artikel 17 van Richtlijn 95/46/EG en artikel 22 van Verordening (EG) nr. 45/2001).

Voor meer informatie over de regels voor beveiliging van informatiesystemen die door de Europese Commissie worden gebruikt, kunt u Besluit C(2006) 3602 van de Commissie raadplegen. U vindt dit document in het gedeelte over gegevensbescherming van de IMIwebsite:

http://ec.europa.eu/internal_market/imi-net/data_protection_en.html.

• 12. 

  Bewaringstermijn

De regels met betrekking tot de bewaringstermijn zijn vastgelegd in de artikelen 4 en 5 van Besluit 2008/49/EG.

Als algemene regel geldt dat alle persoonsgegevens in uitwisselingen van informatie zes maanden na de formele sluiting van een informatie-uitwisseling automatisch worden gewist. De Commissie brengt op dit moment een aantal wijzigingen aan in het systeem (herinneringen en urgentielijsten) waarmee wordt beoogd de formele sluiting van aanvragen zo snel mogelijk te voltooien.

Het is ook mogelijk dat een bevoegde autoriteit vóór het aflopen van de termijn van zes maanden verzoekt om verwijdering van persoonsgegevens. Indien de andere bevoegde autoriteit hiermee instemt, neemt de Commissie binnen tien werkdagen stappen om dergelijke verzoeken in te willigen.

Bevoegde autoriteiten moeten weten dat verzoeken om verwijdering van persoonsgegevens online kunnen worden ingediend door het desbetreffende gesloten verzoek te openen en te klikken op de knop "Om anonimisering verzoeken".

Schermvoorbeeld van een bevoegde autoriteit die verzoekt om vroegtijdige anonimisering van

het verzoek

Schermvoorbeeld van een bevoegde autoriteit die wordt geraadpleegd over het vroegtijdig

wissen van persoonlijke gegevens

De Commissie zal ook een aantal verbeteringen in het systeem aanbrengen, zoals automatische herinneringen voor acceptatie van antwoorden of formele sluiting van aanvragen in gevallen waarin een bevredigend antwoord is gegeven.

Het is tevens belangrijk erop te wijzen dat de nationale regelgeving inzake gegevensbescherming van toepassing is op de opslag van persoonsgegevens buiten IMI door bevoegde autoriteiten.

• 13. 

  Samenwerking met nationale autoriteiten voor gegevensbescherming en de EDPS

Het netwerk van nationale autoriteiten voor gegevensbescherming en de EDPS is een van de krachtigste

waarborgen voor het goed functioneren van ons systeem voor

gegevensbescherming. Bevoegde autoriteiten kunnen op deze instanties vertrouwen en bij hen advies inwinnen wanneer zij te maken krijgen met een moeilijke kwestie die niet in deze richtsnoeren aan de orde komt. Nationale IMI-coördinatoren hebben in dit verband ook een belangrijke rol te vervullen. Een lijst met contactadressen bij de autoriteiten voor gegevensbescherming is beschikbaar in het gedeelte over gegevensbescherming op de IMIwebsite.

Bevoegde autoriteiten dienen zich er tevens van bewust te zijn dat het mogelijk is dat zij hun respectieve nationale autoriteiten voor gegevensbescherming op de hoogte moeten stellen wanneer zij aan IMI willen deelnemen. In bepaalde lidstaten kan toestemming vooraf noodzakelijk zijn. IMI-coördinatoren moeten een actieve coördinerende rol spelen wanneer contact moet worden opgenomen met autoriteiten voor gegevensbescherming.

Werk in uitvoering

In een toekomstige versie van IMI, die in de loop van 2009 beschikbaar komt, worden de volgende verbeteringen aangebracht ter bevordering van gegevensbescherming:

• a) 

  wanneer gevoelige gegevens worden uitgewisseld (zoals gegevens over gezondheid, gerechtelijke antecedenten of disciplinaire maatregelen), wordt een herinnering weergegeven dat het gevoelige informatie betreft en dat degene die het dossier behandelt, deze gegevens alleen moet aanvragen als dit absoluut noodzakelijk is en deze rechtstreeks verband houden met de uitoefening van de beroepsactiviteit of de dienstverrichting;
• b) 

  er wordt een online procedure opgezet voor de rectificatie, uitwissing of afscherming van gegevens die op onwettige wijze zijn verwerkt of onjuist zijn. Dit geschiedt volgens de procedure die reeds wordt toegepast voor vroegtijdige uitwissing van gegevens op verzoek van bevoegde autoriteiten;
• c) 

  er worden automatische herinneringen en urgentielijsten toegevoegd waarmee een antwoord kan worden geaccepteerd, zodat aanvragen niet langer dan noodzakelijk open blijven;
• d) 

  er zijn passende maatregelen getroffen om met de nieuwe informatiestromen uit hoofde van de Dienstenrichtlijn om te gaan (waarschuwingsmechanisme en vrijstellingen per geval). Als algemene regel wordt voor deze maatregelen dezelfde benadering gevolgd als voor algemene uitwisselingen van informatie, bijvoorbeeld: herinneringen over de gevoelige aard van deze informatiestromen, herinneringen om meldingen zo snel mogelijk te sluiten en mogelijke manieren om individuen op de hoogte te stellen van de uitwisseling van informatie en hun rechten op toegang tot de gegevens en eventueel op afscherming, verwijdering of rectificatie. Het is mogelijk dat er aanvullende maatregelen inzake gegevensbescherming dienen te worden getroffen. Deze worden in overleg met de Europese Toezichthouder voor gegevensbescherming opgesteld.
• 14. 

  Herzieningsclausule

IMI is een hoogtechnologisch informatiesysteem dat permanent in ontwikkeling is. De Commissie verzamelt continu informatie bij coördinatoren en bevoegde autoriteiten ter verbetering van het systeem. Daarom zullen er de komende maanden wijzigingen worden doorgevoerd. Sommige wijzigingen hebben geen gevolgen voor gegevensbescherming, maar andere mogelijk wel.

Het betekent dan ook geenszins dat deze richtsnoeren voorgoed vastliggen. Zij moeten worden bijgewerkt op basis van de ervaring met het dagelijks gebruik van IMI. Uiterlijk een jaar na de goedkeuring van deze aanbeveling zal de Commissie een verslag opstellen waarin de situatie wordt beoordeeld en waarin onder meer ook de vaststelling van een nieuwe wettelijke maatregel kan worden voorgesteld.

• 23 nov '07
  COM(2007)741 - Aanpassing aan Besluit 1999/468/EG, zoals gewijzigd bij Besluit 2006/512/EG, van een aantal besluiten waarop de procedure van artikel 251 van het Verdrag van toepassing is, wat de regelgevingsprocedure met toetsing betreft - Deel 1 - Aanpassing aan de regelgevingsprocedure met toetsing
  
  
  
• 13 jan '04
  COM(2004)2 - Diensten op de interne markt [SEC(2004) 21]
  
  
  
• 8 jul '03
  COM(2003)406 - Interoperabele levering van pan-Europese e-overheidsdiensten aan overheidsdiensten, ondernemingen en burgers (IDABC)
  
  
  
• 7 mrt '02
  COM(2002)119 - Erkenning van beroepskwalificaties
  
  
  
• 27 dec '01
  COM(2001)789 - Aanpassing van de bepalingen betreffende de comités die de Commissie bijstaan in de uitoefening van haar uitvoeringsbevoegden die zijn vastgelegd in volgens de procedure van artikel 251 van het Verdrag goedgekeurde besluiten van het Europees Parlement en de Raad
  
  
  
• 14 jul '99
  COM(1999)337 - Bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de instellingen en organen van de EG en betreffende het vrije verkeer van die gegevens
  
  
  
• 18 jul '90
  COM(1990)314 - Bescherming van personen in verband met de behandeling van persoonsgegevens
  
  
  
• Instelling van een Raadgevend Comité coördinatie interne markt
  
  
  
• Bescherming van persoonsgegevens bij de invoering van het informatiesysteem interne markt (IMI)