Eén privacywet voor de gehele Europese Unie: dat klinkt bijna te mooi of eenvoudig om waar te zijn. En dat is het ook. Voordat het eerste voorstel voor een nieuwe privacywet op 25 januari 2012 door de Europese Commissie werd ingediend, was het idee dat de Privacy Richtlijn (richtlijn 95/46/EG) moest worden vervangen door een verordening, aangezien een verordening directe werking heeft. Anders dan een richtlijn hoeft een verordening niet eerst in een nationale wet te worden geïmplementeerd. Er kan direct een beroep op worden gedaan. Dit zou leiden tot een geharmoniseerd geheel van privacyregels.
coauteur: Jacintha van Dorp
Al snel bleek in Brussel dat de meningen verdeeld waren: de 28 lidstaten onderhandelen ruim vier jaar over het voorstel. In die tijd is door het Europees Parlement een recordaantal van 3999 amendementen ingediend. Over sommige onderdelen konden de verschillende lidstaten het niet eens worden of ontbreekt simpelweg de bevoegdheid om op Europees niveau afspraken te maken.
Mede door dit onderhandelingstraject en de wetgevingskaders van de Europese Unie kent de Algemene Verordening Gegevensbescherming (AVG) nu veel ruimte voor lidstaten om een eigen invulling te geven aan de bepalingen. Er wordt gesteld dat de AVG op die plekken materieel gezien het karakter van een richtlijn heeft en een ‘atypische verordening’ is.
Afhankelijk van het terrein is het ofwel verplicht ofwel facultatief voor lidstaten om via uitvoerings- en sectorspecifieke wetten de AVG verder in te kleuren. Deze aanvullende wetgeving zou in werking moeten treden op hetzelfde moment als de AVG, op 25 mei 2018. Niet alle lidstaten hebben deze termijn gehaald. In Nederland is de Uitvoeringswet AVG op de valreep aangenomen (15 mei 2018), maar in Portugal, Bulgarije, Griekenland, Slovenië en Tsjechië is er nog geen of onvoldoende aanvullende wet- en regelgeving van kracht.
Verplichte nationale implementatie
Een belangrijke verplichte bepaling om op nationaal niveau nader uit te werken is het instellen van een toezichthoudende autoriteit. In Nederland is dat bijvoorbeeld de Autoriteit Persoonsgegevens, in Frankrijk de Commission Nationale de l'Informatique et des Libertés (CNIL) en in België de Gegevensbeschermingsautoriteit.
De AVG geeft de toezichthoudende autoriteit de mogelijkheid om sancties op te leggen, zoals een administratieve boete. De AVG heeft niet in alle gevallen aangegeven welke sanctie past bij welke overtreding. Dit moeten de lidstaten zelf verder uitwerken. Zo is in de Nederlandse Uitvoeringswet AVG een sanctie opgenomen voor het overtreden van het verbod op het verwerken van strafrechtelijke persoonsgegevens.
Verder moeten lidstaten er onder andere voor zorgen dat het mogelijk is om af te wijken van de AVG bij de verwerking van persoonsgegevens voor journalistieke doeleinden.
Facultatieve nationale implementatie
Op andere punten is nadere nationale regelgeving niet verplicht, maar wordt wel mogelijkheid tot afwijking / uitwerking geboden. Een belangrijk onderdeel waar dat kan is de grondslag voor een gegevensverwerking. Om persoonsgegevens te mogen verwerken, moet sprake zijn van één van de zes grondslagen die in de AVG staan genoemd. Twee van die grondslagen kunnen nationaal worden ingevuld: de wettelijke verplichting en het vervullen van een publieke taak. Wanneer deze grondslagen van toepassing zijn hangt af van nationale wetten waarin deze verplichtingen of publiekrechtelijke taken worden beschreven.
Ook als het gaat om bijzondere persoonsgegevens of persoonsgegevens die om een andere reden gevoelig zijn, kunnen lidstaten verdergaande bescherming in hun uitvoeringswetten opnemen. Deze categorieën van persoonsgegevens verdienen aanvullende bescherming omdat onrechtmatige verwerking kan leiden tot discriminatie, uitsluiting of fraude. In de Nederlandse Uitvoeringswet AVG is een speciaal regime opgenomen voor het BSN, waarbij is bepaald dat dit nummer alleen mag worden verwerkt indien voorgeschreven door een specifieke wet.
Een ander voorbeeld waar lidstaten afwijkende bepalingen kunnen hanteren is de minimale leeftijd om toestemming te geven voor het verwerken van persoonsgegevens. In de AVG is opgenomen dat ouders toestemming moeten geven wanneer toestemming vereist is voor de verwerking van persoonsgegevens van minderjarigen onder de 16 jaar. Lidstaten kunnen ervoor kiezen om deze leeftijd te verlagen tot 13 jaar. In onder andere Nederland, Duitsland, Polen, Ierland en Hongarije is niet van deze leeftijd afgeweken, maar in België, Denemarken en Zweden ligt de leeftijd wel op 13 jaar. Frankrijk kiest voor 15 jaar en in Cyprus wordt een leeftijd van 14 jaar gehanteerd.
Ook wat betreft het beperken van de rechten van betrokkenen kunnen lidstaten in bepaalde omstandigheden afwijkende bepalingen hanteren. Zo’n omstandigheid is bijvoorbeeld de nationale veiligheid. In Nederland mag een verwerkingsverantwoordelijke zelf afwegen of in bepaalde situaties van deze rechten kan worden afgeweken. In Duitsland kan worden afgeweken van het recht van een betrokkene op vergetelheid – dat inhoudt dat gegevens gewist moeten worden. Persoonsgegevens hoeven niet verwijderd te worden als het verwijderen onmogelijk is door de manier van opslag van deze gegevens of als het verwijderverzoek disproportioneel is in vergelijking met het belang dat de betrokkene bij het verzoek heeft.
Conclusie
De AVG heeft directe werking, maar dat betekent niet dat in iedere lidstaat de privacy op eenzelfde manier wordt gewaarborgd. Doordat de AVG op veel plaatsen ruimte laat voor nationale invulling, kunnen lokale (uitvoerings)wetten per lidstaat verschillen. Zorg bij grensoverschrijdende gegevensverwerking dan ook altijd voor een lokale compliance check.
Meer artikelen van SOLV Advocaten
Dit artikel is ook te vinden in het dossier AVG
