Vergroot contrast

Artikel 27 lid 1 Wbp

Wbp Naslag > Hoofdstuk 4 > Artikel 27.1

 

WETTEKST
 
1. Een geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, die voor de verwezenlijking van een doeleinde of van verscheidene samenhangende doeleinden bestemd is, wordt gemeld.
 
 
 
TOELICHTING
 
NB In onderstaande teksten uit de parlementaire behandeling van de Wbp worden zowel de termen 'Registratiekamer' als 'College bescherming persoonsgegevens gebruikt. Dit hangt samen met het feit dat de naam 'College bescherming persoonsgegevens' voor de toezichthouder pas in de Eerste Nota van wijziging (II, nr. 7, blz. 1 juncto blz. 6) is geïntroduceerd.
 
Bedoeling van de meldplicht
Aanmelding heeft tot doel de transparantie van de gegevensverwerking te bevorderen. De handelingsvrijheid van een ieder om voor op zichzelf gerechtvaardigde doeleinden gegevens te verwerken, wordt ingeperkt door de grondwettelijk gewaarborgde vrijheid van de betrokkene om niet onnodig aan verwerking van hem betreffende gegevens te worden onderworpen. Dit leidt enerzijds tot het materiële voorschrift dat de belangen van de verantwoordelijke en de betrokkene tegen elkaar moeten worden afgewogen; anderzijds tot het procedurele voorschrift dat de afweging controleerbaar dient te zijn. Artikel 18 van de richtlijn bepaalt in het belang van die controleerbaarheid dat - kort samengevat - een verantwoordelijke alvorens over te gaan tot een of meer geautomatiseerde verwerkingen van gegevens voor een bepaald doel, deze dient aan te melden bij een toezichthoudende autoriteit. Dit beginsel is neergelegd in het eerste lid van artikel 27. (II, nr. 3, blz. 132/133)
 
Wat moet gemeld worden?
Object van aanmelding in artikel 27 is 'een geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens die voor de verwezenlijking van een doeleinde of van verscheidene samenhangende doeleinden bestemd is'. (II, nr. 3, blz.133)
 
Object van aanmelding toegelicht o.g.v. artikel 1 sub b Wbp
De betekenis van het begrip 'verwerking van persoonsgegevens' is in deze bepaling van groot belang. Blijkens artikel 1, onderdeel deel b, wordt hiermee gedoeld op elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens. In het kader van artikel 1, onderdeel b, is in de toelichting reeds opgemerkt dat onder 'geheel van handelingen' moet worden verstaan een bundeling van verwerkingshandelingen die in het maatschappelijk verkeer als een eenheid wordt beschouwd. In het kader van de meldingsverplichting in het onderhavige artikel betekent dit dat het de verantwoordelijke in beginsel vrijstaat niet elke verwerkingshandeling afzonderlijk te melden, maar alleen verwerkingshandelingen gezamenlijk voor zover deze als een 'geheel van verwerkingen' in de zin van artikel 1, onderdeel b kunnen worden beschouwd. (II, nr. 3, blz. 133)
 
Samenhangende doeleinden
Voor melding van een geheel van verwerkingen bestaat te meer aanleiding indien de betreffende verwerkingen voor de verwezenlijking van een en hetzelfde doel of voor verscheidene samenhangende doeleinden zijn bestemd. In dat geval immers zullen de verwerkingen in het maatschappelijk verkeer al gauw als een eenheid kunnen worden beschouwd. De mogelijkheid om verwerkingen gezamenlijk te melden voor zover zij voor verscheiden samenhangende doeleinden zijn bestemd, is uitdrukkelijk in het eerste lid opengesteld. Daarmee wordt rekening gehouden met de praktijk dat verwerkingen nog al eens in een groter verband geschieden ten behoeve van meerdere doeleinden (zie tevens de toelichting bij artikel 7). Artikel 27, eerste lid, beoogt de aanmeldingsplicht in dit opzicht beter hanteerbaar te maken. Aansluitend bij de realiteit van multifunctionele informatiesystemen is het mogelijk meerdere, uiteenlopende doeleinden voor gegevensverwerking vast te stellen.
Bij verwerkingen die geschieden voor meerdere, samenhangende doeleinden kan de aanmelding zo worden ingericht dat ze is gerelateerd aan deze samenhangende doeleinden. Het is daarbij niet relevant of deze doeleinden verenigbaar zijn met de doeleinden waarvoor de desbetreffende gegevens zijn verzameld. Het wordt daarmee mogelijk gemaakt informatiesystemen, die zijn opgezet om diensten te verlenen aan burgers of klanten via één loket voor een scala van activiteiten, via één aanmelding af te doen. Een concern met een breed pakket aan diensten, kan zijn informatiesysteem met behulp van een centrale verwijzingsindex zo inrichten dat enkele medewerkers, wanneer zij de uiteenlopende gegevens behoeven om klanten te woord te staan, uit dit ene informatiesysteem kunnen putten. Voor een dergelijk systeem kan worden volstaan met een enkele aanmelding. (II, nr. 3, blz. 133)
 
Daarbij moet echter worden opgemerkt dat niet alle voorschriften van dit wetsvoorstel ook steeds moeten worden toegepast op iedere 'losse' geautomatiseerde verwerking van een persoonsgegeven. De aanmeldingsprocedure is bijvoorbeeld blijkens de formulering van artikel 27, eerste lid, jo. artikel 1, onderdeel b, zo ingericht dat de verantwoordelijke de vrijheid heeft een geheel van op persoonsgegevens betrekking hebbende handelingen aan te melden, die voor de verwezenlijking van één doeleinde of verscheidene samenhangende doeleinden zijn bestemd.
Hetzelfde geldt voor de procedure van voorafgaand onderzoek. Een melding of een onderzoek van iedere verwerking, bij voorbeeld iedere verstrekking, zou in die gevallen leiden tot onwerkbare situaties. Er wordt dan uitgegaan van een bundeling van gegevensverwerkingen naar gelang de doelstelling van die gegevensverwerkingen. Niet elke verwerking van persoonsgegevens behoeft dus afzonderlijk te worden aangemeld. (II, nr. 3, blz. 52-53)
 
Misbruik door onverenigbaarheid van doelen
Artikel 27, eerste lid, van de Wbp is deels stringenter, deels ruimer dan de Wpr. Het is strin-genter in de zin dat voor elke verwerking een doel moet worden vastgesteld, niet alleen voor de registratie. Het is ruimer omdat voor meerdere, samenhangende doeleinden gegevens kunnen worden verzameld en verder verwerkt. Daarbij is niet de eis gesteld dat de verschillende doeleinden zodanig met elkaar samenhangen dat is voldaan aan de eis van het verenigbaar gebruik in de zin van artikel 9 van het wetsvoorstel. Het is in het recht alleszins gebruikelijk dat de doeleinden waartoe bepaalde juridisch relevante figuren zijn gegeven, bepalend zijn voor daaraan verbonden rechtsgevolgen.
In het administratieve recht mogen bevoegdheden niet worden gebruikt voor andere doeleinden dan waarvoor ze zijn gegeven. Dit leerstuk staat bekend als 'détournement de pouvoir' (artikel 3.3 Algemene Wet bestuursrecht). In het civiele recht is bepaald dat degene wie een bevoegdheid toekomt, deze niet kan inroepen, voor zover hij haar misbruikt (artikel 3.13 BW). Zonder voldoende belang komt niemand een rechtsvordering toe (artikel 3 303 BW). Een rechtspersoon pleegt voor een bepaald doel te worden opgericht en haar rechtshandelingen zijn vernietigbaar indien daardoor het doel wordt overschreden (artikel 2.7 BW). Telkens is een zeker doel bepalend voor de rechtmatigheid van een bepaalde juridische figuur. Nu de verhouding tussen een persoonsgegeven en de persoon waarop deze gegevens betrekking hebben, juridisch relevant wordt geacht, is ook de vraag gerezen hoe misbruik van persoonsgegevens kan worden tegengegaan.
Misbruik is in dit verband het gebruik voor een ander doel, onverenigbaarmet dat waarvoor deze oorspronkelijk zijn verzameld. Het recht inzake de bescherming van persoonsgegevens is wat betreft de doelbinding dus geenszins specifiek.
 
Doeleinden buiten Vrijstellingsbesluit
Voor zover deze doeleinden in algemene zin zijn te bepalen, gebeurt dit in het Vrijstellingsbesluit. De wet laat evenwel ruimte om ook voor daarbuiten gelegen gerechtvaardigde doelen persoonsgegevens te verwerken. Dergelijke verwerkingen zijn echter slechts toegelaten wanneer het gebruik kan worden gerelateerd aan een bepaald doel dat als juridisch relevant ijkpunt kenbaar dient te zijn. Het bepalen van één of meerdere doeleinden van een gegevensverwerking is dus geen administratieve last, doch in de eerste plaats een civielrechtelijke verplichting jegens de betrokkene zonder welke de verwerking van diens gegevens jegens hem onrechtmatig is. De melding van een dergelijke doelbepaling aan het College is daarvan slechts een afgeleide. (I, nr. 92 c, blz. 20)
 
Geen toetsing op verenigbaarheid doelen bij melding
Het criterium inzake de samenhangende doeleinden dient uitdrukkelijk los te worden gezien van de materiële voorschriften van de wet. Artikel 7 van dit wetsvoorstel bepaalt dat persoonsgegevens voor welbepaalde doeleinden kunnen worden verkregen. In aansluiting hierop bepaalt artikel 9 vervolgens dat persoonsgegevens niet mogen worden verwerkt op een wijze die onverenigbaar is met de doeleinden waarvoor zij zijn verkregen. Deze verenigbaarheidseis geldt echter niet in het kader van de aanmeldingsprocedure: alsdan geldt alleen de voorwaarde dat de doeleinden in het belang waarvan de verwerkingen moeten geschieden, samenhangend zijn.
Het materieelrechtelijke voorschrift van verenigbaarheid op grond van artikel 9 speelt dus geen rol bij de aanmeldingsprocedure, hetgeen tot een vermindering van het aantal aanmeldingen leidt. Het al dan niet geoorloofd zijn van de onderscheidene verwerkingen die worden aangemeld wordt dus getoetst aan een ander kader dan de vraag of de aanmelding op een correcte wijze is uitgevoerd. Deze versoepeling die geldt ten aanzien van de aanmeldingsplicht doet niets af aan de plicht van de verantwoordelijke met betrekking tot de onderscheidene verwerkingen de voor hem geldende materieelrechtelijke voorwaarden in acht te nemen. (II, nr. 3, blz. 133/134)
 
Geen onderscheid meer tussen reglementsplicht en meldplicht
Het bestaande onderscheid tussen de publieke en private sector komt ingevolge het wetsvoorstel te vervallen. De reglementplicht voor de publieke sector wordt daarmee afgeschaft. De meldingsplicht wordt verzacht: handmatige verwerkingen behoeven in beginsel niet te worden gemeld, de melding omvat minder gegevens en het aantal vrijstellingen zal ten opzichte van de WPR worden uitgebreid (nader te regelen bij algemene maatregel van bestuur). (II, nr. 3, blz. 17)
Een eerste belangrijke verandering is dat de reglementsplicht voor de publieke en semi-publieke sector wordt geschrapt. Over de gehele linie geldt in beginsel een meldingsverplichting. Dit is te beschouwen als een vereenvoudiging. Het als problematisch ervaren onderscheid tussen publieke en private sector - neergelegd in het op artikel 17 WPR gebaseerde Afbakeningsbesluit - vervalt. (II, nr. 3, blz. 19)
Het vervallen van de reglementplicht heeft het voordeel dat het soms kunstmatige onderscheid tussen twee regimes op grond van de WPR vervalt. Het opstellen van een reglement of enige andere vorm van regeling is echter in de praktijk een goede methode gebleken om de werking van een persoonsregistratie te beschrijven. Het vervallen van de reglementplicht behoeft dus niet te leiden tot het achterwege laten van dergelijke vormen van beschrijving van gegevensverwerking. (II, nr. 3, blz. 134)
 
Karakter van de melding verandert
Anders dan in de artikelen 21 en 26 van de WPR wordt gesteld, heeft de aanmelding in de Wbp strikt genomen niet meer het karakter van zelfregulering op het niveau van de individuele verantwoordelijke. In de Wbp houdt de melding aan de Registratiekamer in de eerste plaats een feitelijke beschrijving van de desbetreffende gegevensverwerking in. Onder het onderhavige wetsvoorstel is een handelen in strijd met de aanmelding onder omstandigheden het niet-nakomen van de plicht tot melding van een wijziging.
Het gaat meer om een procedurevoorschrift strekkende tot transparantie dan om een normering op het niveau van de individuele gegevensverwerking. In de praktijk zal het verschil met de huidige situatie echter niet groot zijn. Het melden van een feitelijke beschrijving omtrent de wijze waarop de gegevens worden verwerkt, impliceert dat de verantwoordelijke in beginsel ook dienovereenkomstig zal moeten handelen. (II, nr. 3, 132 - 134)
 
Ten slotte is van belang dat de richtlijn de mogelijkheid biedt om per organisatie of per branche een functionaris voor de gegevensbescherming aan te stellen. Van deze mogelijkheid wordt in het wetsvoorstel gebruik gemaakt. De taak van deze functionaris is om op onafhankelijke wijze toezicht uit te oefenen op de toepassing van de op grond van de richtlijn geldende wettelijke voorschriften binnen de betreffende organisatie of branche. De aanstelling van een functionaris voor de gegevensbescherming betekent dat de melding in beginsel bij hem kan plaatsvinden en niet bij de Registratiekamer. Voor de verantwoordelijke bestaat in dat geval de mogelijkheid tussen beide opties te kiezen. (II, nr. 3, blz. 20)
 
De plicht om te melden rust op de verantwoordelijke. Deze heeft dan ook de vrije keuze of hij wil melden bij de Registratiekamer of de functionaris, indien deze binnen het verband waarbinnen de verantwoordelijke werkt is aangesteld. Voor de verantwoordelijke bestaat de mogelijkheid om zich aan één van deze twee keuzemogelijkheden te binden. Dit kan bijvoorbeeld door in de vereniging van verantwoordelijken een functionaris aan te stellen, terwijl in de statuten van de vereniging is opgenomen dat de leden verplicht zijn. (II, nr. 3 blz. 135)
 
Geen vereenvoudigde melding
In het belang van de eenvoud en overzichtelijkheid van de aanmeldingssystematiek is er van afgezien in de Wbp een vorm van vereenvoudigde aanmeldingen op te nemen. De behoefte daaraan wordt tevens minder groot geacht gezien de voorziening in artikel 27, derde lid. In dit artikel is namelijk de mogelijkheid opgenomen de verwerking aan te melden bij een functionaris voor de gegevensbescherming in plaats van bij de Registratiekamer.
 
Dat de Lid-Staten de mogelijkheden tot vrijstelling van het eerste en het tweede gedachtenstreepje van artikel 18, tweede lid, cumulatief kunnen gebruiken, blijkt uit de keuzemogelijkheid die besloten ligt in de clausule 'en/of' aan het slot van het eerste gedachtenstreepje. Volgens de WPR moet melding plaatsvinden aan de Registratiekamer; in de Wbp kan deze melding dus worden vervangen door een melding aan de functionaris. Dit betekent dat vrijgestelde gegevensverwerkingen die niet bij de Registratiekamer aangemeld moeten worden, ook niet bij de functionaris te hoeven worden gemeld. (II, nr. 3 blz. 135)
 
Melding bij de functionaris
Elders is uiteengezet dat de optie in de richtlijn om eigen toezichthouders mogelijk te maken, in het onderhavige wetsvoorstel is uitgewerkt. De aanmelding van niet vrijgestelde registraties kan dan volgens intern te bepalen regels verlopen, terwijl de uitoefening door hem van zijn toezichthoudende taak minder als inmenging van buitenaf zal worden ervaren.(II, nr. 3, blz. 41)
 
Aanmelden alvorens tot verwerking wordt overgegaan
Het derde lid (NB inmiddels verwerkt in het eerste lid) verplicht tot aanmelding van een voorgenomen verwerking, dat wil zeggen dat de aanmelding dient te geschieden alvorens tot de verwerking wordt overgegaan. Omdat 'verwerking' ook betrekking heeft op het verzamelen, houdt dit in dat de verantwoordelijke voordat hij de beschikking krijgt over persoonsgegevens, de verwerking moet melden. Dit geldt eveneens voor de niet geautomatiseerde verwerkingen die vallen onder het tweede lid. (II, nr. 3, blz. 137)
 
Vrijstelling van melding
In artikel 18 van de richtlijn is uitdrukkelijk bepaald dat lidstaten in hun regelgeving moeten voorzien in een systeem met als uitgangspunt het aanmelden van verwerkingen. Enkel ten aanzien van bepaalde categorieën verwerkingen waarbij, rekening houdend met de verwerkte gegevens, inbreuk op de rechten en vrijheden van de betrokkenen onwaarschijnlijk is, mag - onder voorwaarden - in een vrijstelling of een vereenvoudiging van de aanmeldingsplicht worden voorzien. Het beperken van de aanmeldingsplicht tot verwerkingen die een specifiek risico inhouden voor de persoonlijke levenssfeer van de betrokkene, is eveneens in strijd met de voorschriften van de richtlijn. Deze verwerkingen dienen immers - in afwijking van de reguliere aanmeldingsprocedure - overeenkomstig artikel 20 van de richtlijn te worden onderworpen aan een voorafgaand onderzoek door het College. De aanmeldingsprocedure richt zich op de overige verwerkingen met risico's voor de persoonlijke levenssfeer voor betrokkenen. (I, nr. 92c, blz. 11)
 
 
 
JURISPRUDENTIE
 
Geen nader onderzoek bij volgen procesbeschrijving
Indien een RIF (Regionaal Interdisciplinair Fraudeteam) bij de melding van de verwerking aangeeft dat het voor de desbetreffende verwerking de werkwijze zoals neergelegd in de procesbeschrijving (die door het CBP op rechtmatigheid is beoordeeld) naleeft, ziet het CBP af van een nader onderzoek. Voorwaarde is wel dat de werkwijze, zoals in de procesbeschrijving is omschreven, telkens per projectplan wordt geconcretiseerd.
CBP 26 november 2002, z2002-00569