Europese Unie : over de openbaarheid van persoonsgegevens
Kranenborg, H.R.
Citation
Kranenborg, H. R. (2007, September 20). Toegang tot documenten en bescherming van
persoonsgegevens in de Europese Unie : over de openbaarheid van persoonsgegevens.
Kluwer, Deventer. Retrieved from https://hdl.handle.net/1887/12352
Version: Corrected Publisher’s Version
License: Licence agreement concerning inclusion of doctoral thesis in the
Institutional Repository of the University of Leiden
Downloaded from: https://hdl.handle.net/1887/12352
Note: To cite this publication please use the final published version (if applicable).
bescherming van persoonsgegevens in de EU
5.1 INLEIDING
In hoofdstuk 1 werd de volgende figuur gebruikt:
Cirkel A, het regime van toegang tot documenten in de Europese rechtsorde, is beschreven in hoofdstuk 2. Cirkel B, het regime van bescherming van persoonsgegeven in de Europese rechtsorde, is in hoofdstuk 3 (en 4) besproken.
In dit hoofdstuk staat vlak C centraal: de overlap van beide rechtsregimes.
Daarbij gaat het nog niet om de afstemming van beide regels, maar om de beschrijving van het raakvlak: welke situaties vallen in vlak C?1
Het ligt voor de hand te denken dat een recht op toegang tot documenten en een recht op bescherming van persoonsgegevens beide van toepassing zijn op de situatie waarin om toegang wordt gevraagd tot een document dat persoonsgegevens bevat. Deze algemene omschrijving is in beginsel juist maar moet nader gepreciseerd worden. Zo moet het duidelijk zijn wat onder een
‘document’ wordt verstaan en wanneer van ‘persoonsgegevens’ wordt gespro- ken. Verder moet bekend zijn wat binnen de gegevenbescherming precies met
‘het verwerken van persoonsgegevens’ wordt bedoeld. Deze begrippen worden in § 5.2 besproken aan de hand van de Eurowob, aanbeveling REC(2002)2, verordening 45/2001 en het Verdrag van Straatsburg. Hiermee is de materiële reikwijdte van het raakvlak omschreven. Deze omschrijving vormt, zoals ik in hoofdstuk 1 al aangaf, het uitgangspunt van het verdere onderzoek: voor
1 De afstemming van beide rechtsregimes komt in de volgende vier hoofdstukken ter sprake.
A B
C
deze situaties moeten de regels over toegang tot documenten en bescherming van persoonsgegevens op elkaar worden afgestemd.2De materiële buitengren- zen van beide regimes worden daarmee als gegeven beschouwd.
Voor de specifieke EU context is de beschrijving nog niet helemaal volledig.
Aan de volle werking van de materiële reikwijdte van het raakvlak wordt namelijk afbreuk gedaan omdat op de werking van zowel de Eurowob als verordening 45/2001 een beperking is aangebracht. De Eurowob is alleen van toepassing op het Europees Parlement, de Raad en de Commissie en de wer- king van verordening 45/2001 is beperkt tot de eerste pijler van de Unie. In
§ 5.3 zal ik deze beperkingen kort bespreken.
5.2 EEN ALGEMENE OMSCHRIJVING VAN HET RAAKVLAK VAN TOEGANG TOT DOCUMENTEN EN BESCHERMING VAN PERSOONSGEGEVENS IN DEEUROPESE RECHTSORDE
5.2.1 Documenten en persoonsgegevens
In de Eurowob wordt onder ‘document’ verstaan:
iedere inhoud, ongeacht de drager ervan (op papier, in elektronische vorm, als geluids-, beeld- of audiovisuele opname), betreffende een materie die verband houdt met beleidsmaatregelen, acties en besluiten welke tot de bevoegdheid van de instelling behoren.3
In aanbeveling REC(2002)2 wordt de volgende definitie gehanteerd:
“official documents” shall mean all information recorded in any form, drawn up or received and held by public authorities and linked to any public or administra- tive function, with the exception of documents under preparation.4
De definitie van het begrip ‘document’ in de Eurowob en aanbeveling REC(2002) is bijzonder breed. Het komt er op neer dat elke informatie die op enigerlei wijze is vastgelegd, als document kan worden aangemerkt.
In verordening 45/2001 worden ‘persoonsgegevens’ omschreven als ‘iedere informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon’.5Om te bepalen of een persoon identificeerbaar is, moeten volgens
2 Zie ook § 1.5. Alleen in § 8.4 wordt op de definitie van het begrip ‘persoonsgegevens’
ingegaan naar aanleiding van een uitspraak van de Britse Court of Appeal in de zaak Durant, zie § 8.4.
3 Artikel 3 sub a Eurowob.
4 Artikel I aanbeveling REC(2002)2.
5 Artikel 2 sub a verordening 45/2001. Deze omschrijving is identiek aan de omschrijving in het Verdrag van Straatsburg.
de considerans alle middelen in aanmerking worden genomen waarvan redelij- kerwijs te verwachten valt dat zij door de verwerker worden gebruikt om de persoon te identificeren.6Geanonimiseerde gegevens vallen buiten de reikwijd- te van de verordening.7
Een combinatie van ‘document’ en ‘persoonsgegevens’ leidt tot de conclusie dat elk vastgelegd persoonsgegeven onder het recht op toegang tot documenten valt. Immers, als een document niet alleen geschreven tekst bevat, maar ook gesproken tekst of beeldmaterialen dan is iedere vastgelegde informatie (inclu- sief stem of beeltenis) die herleidbaar is tot een natuurlijke persoon als een document aan te duiden. Alleen persoonsgegevens die niet zijn vastgelegd vallen buiten het toepassingsbereid van de Eurowob. Daarbij kan gedacht worden aan informatie over een natuurlijke persoon die mondeling wordt uitgewisseld tussen EU-ambtenaren.
De toevoeging in de geciteerde Eurowob-definitie, dat de inhoud (informa- tie) verband moet houden met, kort gezegd, het bevoegdheidsterrein van de betrokken instelling, heeft als consequentie dat persoonsgegevens die buiten het bevoegdheidsterrein van de instelling om toch in handen van de instelling zijn gekomen buiten het raakvlak vallen: de regels van de Eurowob zijn op die documenten niet van toepassing. Eventuele openbaarmaking van deze gegevens wordt alleen bestreken door de regels over bescherming van per- soonsgegevens.
5.2.2 Verwerking van persoonsgegevens
Dat het toegankelijk maken voor derden van documenten met persoonsgege- vens onder het ‘verwerken’ van persoonsgegevens valt, blijkt helder uit de definitie van dit begrip in verordening 45/2001. Onder verwerking valt (onder meer) het, al dan niet met behulp van een geautomatiseerd procédé, ‘verstrek- ken door middel van doorgifte, verspreiden of op enigerlei andere wijze ter beschikking stellen’ van persoonsgegevens.8Ook in het Verdrag van Straats- burg wordt dissemination (verspreiding) genoemd als voorbeeld van wat onder verwerking van persoonsgegevens valt.9In de toelichting wordt hier verder op ingegaan:
“Dissemination” is a broad term which covers both disclosure of information to a person (or several persons) and enabling persons to consult the information.10
6 Considerans 8 verordening 45/2001.
7 Considerans 8 verordening 45/2001.
8 Artikel 2 sub b verordening 45/2001.
9 Artikel 2 sub c Verdrag van Straatsburg.
10 Paragraaf 31 van het Explanatory Report, zie § 3.2.1, voetnoot 6 en § 3.3.1.
In artikel 3 lid 2 van verordening 45/2001 wordt verder het volgende bepaald:
De bepalingen van deze verordening zijn van toepassing op de geheel of gedeeltelij- ke geautomatiseerde, alsmede op de niet-geautomatiseerde verwerking van per- soonsgegevens die in een bestand zijn opgenomen of die zijn bestemd daarin te worden opgenomen.
De verwerking moet ook volgens het Verdrag van Straatsburg geheel of gedeeltelijk geautomatiseerd worden verricht.11Dit vereiste vloeit voort uit de oorsprong van de regels: de introductie van de computer die verwerking van persoonsgegevens op grote schaal mogelijk maakte.12
Een verschil tussen het Verdrag van Straatsburg en verordening 45/2001 is dat in de verordening ook de niet-geautomatiseerde verwerking van per- soonsgegevens binnen de reikwijdte van de verordening kan vallen.13 De gegevens moeten dan wel uit een bestand van persoonsgegevens afkomstig zijn of voor opname daarin bedoeld zijn. Dit vereiste lijkt overigens ook van toepassing te zijn op de (gedeeltelijke) geautomatiseerde verwerking. In de Engelse versie van de verordening is dat anders:
The Regulation shall apply to the processing of personal data wholly or partly by automatic means, and to the processing otherwise than by automatic means of personal data which form part of a filing system or are intended to form part of a filing system.
En ook in de Franse vertaling:
Le présent règlement s’applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier.
Als deze bepaling van verordening 45/2001 vergeleken wordt met de equiva- lente bepaling uit richtlijn 95/46 dan lijkt het erop dat de Engelse en Franse vertaling de situatie juist weergeven.14Handmatige verwerking van persoons- gegevens valt alleen binnen de reikwijdte van verordening 45/2001 als de gegevens afkomstig zijn uit een bestand van persoonsgegevens.
Het lijkt onbetwist dat het verstrekken van persoonsgegevens aan derden door een instelling een handeling is die door de regels van de bescherming van persoonsgegevens wordt beheerst. Toch werpt de bovengenoemde voor-
11 Artikel 2 sub c Verdrag van Straatsburg.
12 Zie hierover § 3.1.
13 De verdragspartijen hebben wel de mogelijkheid om de regels ook op niet-geautomatiseerde verwerking van toepassing te verklaren. Zie artikel 3 lid 2 sub c Verdrag van Straatsburg.
Zie hierover § 3.3.1 en § 3.4.2.1.
14 Zie artikel 3 lid 2 richtlijn 95/46. Zie ook considerans 27 richtlijn 95/46.
waarde van de (gedeeltelijke) geautomatiseerde verwerking de vraag op of wel elke verstrekking van persoonsgegevens aan een derde binnen de reikwijd- te van verordening 45/2001 valt. Het is namelijk zeer goed voorstelbaar dat openbaarmaking helemaal niet op geautomatiseerde wijze plaatsvindt, maar bijvoorbeeld door overhandiging van een (geprint) document. Verordening 45/2001 is zoals gezegd dan alleen van toepassing als het document afkomstig is uit een bestand van persoonsgegevens. De definitie van het begrip ‘bestand van persoonsgegevens’ in artikel 2 sub c is niet eenduidig:
elk gestructureerd geheel van persoonsgegevens die volgens bepaalde criteria toegankelijk zijn, ongeacht of dit geheel gecentraliseerd dan wel gedecentraliseerd is of verspreid op een functioneel of geografisch bepaalde wijze
Een enge uitleg van deze definitie is dat het bestand moet zijn opgesteld met als doel het structureren van persoonsgegevens. Een brede uitleg is dat elk gestructureerd bestand dat (toevallig) persoonsgegevens bevat als een bestand van persoonsgegevens kan worden aangemerkt. Een dossier waarin jarenlang de notulen van vergaderingen van een bepaalde instantie zijn bewaard, is niet bijgehouden met het specifieke doel persoonsgegevens (de namen van de aanwezigen) te structuren. In de considerans van richtlijn 95/46 wordt over de niet-geautomatiseerde verwerking van persoonsgegevens het volgende overwogen:
Overwegende […] dat […] wat de niet-automatische verwerking betreft alleen bestanden en geen ongestructureerde dossiers onder de richtlijn vallen; dat met name de inhoud van een bestand moet zijn gestructureerd volgens specifieke criteria met betrekking tot personen, welke criteria de persoonsgegevens gemakkelijk toegankelijk maken; […] dat dossiers of een verzameling dossiers, evenals de omslagen ervan, die niet volgens specifieke criteria gestructureerd zijn in geen geval onder de toepassingssfeer van de onderhavige richtlijn vallen;15
De considerans lijkt een achterliggende reden te onthullen voor het opnemen van de voorwaarde: de regels van de richtlijn (en de verordening) moeten geen onredelijke last vormen voor degene die voor de verwerking van persoonsgege- vens verantwoordelijk is. Het is immers ondoenlijk alle materiële waarborgen ten aanzien van de bescherming van persoonsgegevens in acht te nemen als de aanwezige informatie voor de verantwoordelijke zelf nagenoeg ontoeganke- lijk is. De stoffige, uitpuilende dossierkast vormt het excuus om geen rekening te hoeven houden met de bescherming van persoonsgegevens. Overigens is ook het risico voor de betrokken persoon in die situatie klein. Door het (nog) steeds toenemende gebruik van computers en de mogelijkheid om gericht (op naam) te zoeken in ongestructureerde digitale dossiers, zal van ontoegankelijk-
15 Considerans 27 richtlijn 95/46.
heid echter steeds minder sprake zijn. Een enge uitleg van het begrip ‘bestand van persoonsgegevens’ zou in het huidige digitale tijdperk niet stroken met de achterliggende gedachte dat de regels geen onredelijke last voor de verant- woordelijke moeten vormen.
Dat de voorwaarde van (gedeeltelijk) geautomatiseerde verwerking inder- daad de vraag oproept of wel elke openbaarmaking van persoonsgegevens binnen de reikwijdte van de regels over bescherming van persoonsgegevens valt, blijkt uit de zaak Lindqvist. Hierin had een particulier, de Zweedse Bodil Lindqvist, een website aangemaakt waarop zij (ongevraagd en zonder melding aan de Zweedse toezichthouder) persoonsgegevens van collega-vrijwilligers had geplaatst. Eén van de vragen die de Zweedse Göta hovrätt aan het Hof van Justitie stelde was of hier sprake was van geheel of gedeeltelijk geautomati- seerde verwerking van persoonsgegevens in de zin van artikel 3 lid 1 richtlijn 95/46. Het HvJ toetste expliciet aan de aan artikel 3 lid 2 verordening 45/2001 equivalente bepaling in richtlijn 95/46.
25. Het begrip verwerking van […] gegevens in artikel 3, lid 1, van richtlijn 95/46 omvat volgens de definitie in artikel 2, sub b, daarvan elke bewerking of elk geheel van bewerkingen met betrekking tot persoonsgegevens, al dan niet uitgevoerd met behulp van geautomatiseerde procédés. […] Laatstgenoemde bepaling noemt een aantal voorbeelden van die bewerkingen, waaronder verstrekken door middel van doorzending, verspreiden of op enigerlei andere wijze ter beschikking stellen van gegevens. Bijgevolg moet het plaatsen van persoonsgegevens op een internetpagina als een dergelijke verwerking worden aangemerkt.
26. Verder moet nog worden uitgemaakt of dit een geheel of gedeeltelijk geauto- matiseerde verwerking is. In dit verband moet worden opgemerkt dat het plaatsen van informatie op een internetpagina volgens de thans toegepaste technische en elektronische procedures betekent, dat die pagina wordt geüploaded op een server en dat de nodige handelingen worden verricht om die pagina toegankelijk te maken voor degenen die een internetverbinding hebben gemaakt. Die handelingen worden ten minste gedeeltelijk geautomatiseerd verricht.16
Voor het recht op toegang tot eigen persoonsgegevens heeft de voorwaarde van (gedeeltelijk) geautomatiseerde verwerking dezelfde beperkende werking.
Dit recht strekt zich uit tot persoonsgegevens die op dergelijke wijze zijn verwerkt of die zich in een bestand van persoonsgegevens bevinden.
De praktische relevantie van het geconstateerde vereiste is waarschijnlijk vrij klein. Uitgaande van een brede interpretatie van het begrip ‘bestand van persoonsgegevens’ en de voortschrijdende digitalisering van de Europese overheid, zal het in de praktijk niet al te vaak voorkomen dat het verstrekken
16 HvJ EG 6 november 2003, Lindqvist, C-101/01, Jur. 2003, p. I-12971.
van informatie niet aan de vereisten voldoet.17De gegevensbeschermingsregels uit de verordening zullen dan ook bijna altijd op de openbaarmaking van toepassing zijn.
5.3 DE BEPERKTE WERKING VAN DEEUROWOB EN VERORDENING45/2001 5.3.1 De beperkte ratione personae van de Eurowob
De werking van Eurowob is, conform artikel 255 EG-Verdrag, alleen van toepassing op documenten die berusten bij het Europees Parlement, de Raad en de Commissie. Alle overige Europese instellingen, organen en agentschap- pen zijn daarom niet direct gebonden aan de regels van de Eurowob. Zoals beschreven in hoofdstuk 2 zijn de drie instellingen na inwerkingtreding van de Eurowob overeengekomen dat de door de Europese wetgever in het leven geroepen agentschappen en soortgelijke organen zich aan de Eurowob moeten conformeren.18Andere agentschappen en organen werden verzocht hiertoe over te gaan. Het komt er in de praktijk op neer dat de Eurowob op bijna alle instellingen, organen en agentschappen van toepassing is.
De Eurowob kent het recht op toegang toe aan ‘iedere burger van de Unie en iedere […]persoon met verblijfplaats […] in een lidstaat’.19Daarmee komt het recht in eerste instantie niet iedereen toe, personen zonder verblijfplaats in de lidstaten vallen er buiten. De Eurowob geeft de instellingen echter de mogelijkheid het recht ook toe te kennen aan personen die geen verblijfplaats hebben in een lidstaat.20Zoals aangegeven in hoofdstuk 2 hebben alledrie de instellingen hier gebruik van gemaakt.21 Dit heeft tot gevolg dat in de praktijk, althans ten aanzien van documenten in handen van de drie grote instellingen, alle natuurlijke personen zich op de Eurowob kunnen beroepen.
Voor verordening 45/2001 maakt het overigens wel verschil of de ontvan- ger van de gegevens zich binnen of buiten de Europese Unie bevindt. Zoals aangegeven in hoofdstuk 3 kan doorgifte naar een land buiten de EU immers alleen plaatsvinden als dit land een equivalent beschermingsniveau biedt.22 Als een persoon of instantie die vanuit een derde land om toegang tot docu- menten vraagt in zijn handelen onderworpen is aan de wetgeving ter plaatse,
17 Zoals aangegeven in § 4.3.2 en § 4.3.3 wordt door het EHRM in zijn jurisprudentie over artikel 8 EVRM en de bescherming van persoonsgegeven ook waarde gehecht aan het systematisch bewaren van persoonsgegevens. Het EHRM lijkt bij het systematisch bewaren van gegevens die geen beeld- of geluidsmateriaal betreffen aan te sluiten bij de enge interpretatie van een bestand van persoonsgegevens.
18 Zie § 2.4.2.1.
19 Artikel 2 lid 1 Eurowob.
20 Artikel 2 lid 2 Eurowob.
21 Zie § 2.4.2.1.
22 Zie § 3.4.2.1.
dan is doorgifte volgens verordening 45/2001 in geval van ongelijkwaardige bescherming in beginsel verboden.23
5.3.2 Verordening 45/2001 geldt alleen voor de eerste pijler
Terwijl de Eurowob op het hele werkterrein van de EU van toepassing is, is de werking van verordening 45/2001 beperkt tot het verwerken van persoons- gegevens door instellingen en organen in het kader van de eerste pijler. In de derde pijler zijn per activiteit regels voor de bescherming van persoonsgege- vens vastgesteld en moet meer algemeen worden teruggevallen op het Verdrag van Straatsburg en artikel 8 EVRM.24Dit laatste wordt in de considerans van verordening 45/2001 in algemene bewoording bevestigd:
Als de verwerking door de communautaire instellingen of organen plaatsvindt ten behoeve van de uitvoering van werkzaamheden die buiten het toepassings- gebied van deze verordening vallen, inzonderheid die welke zijn bedoeld in de titels V en VI van het Verdrag betreffende de Europese Unie, wordt de bescherming van de fundamentele rechten en vrijheden van personen gewaarborgd met inacht- neming van artikel 6 van het Verdrag betreffende de Europese Unie.25
Dat in de tweede en derde pijler de juridische afdwingbaarheid van de beginse- len voor de burger moeilijk is, doet aan de toepasselijkheid van de beginselen niet af.26Het lijkt er op neer te komen dat steeds bekeken moet worden welke gegevensbeschermingsregels er precies tegenover de bepalingen van de Euro- wob staan.
Interessant in dit verband is het vervolg van de geciteerde considerans uit verordening 45/2001:
De toegang tot documenten, met inbegrip van de voorwaarden voor toegang tot documenten die persoonsgegevens bevatten, valt onder regelingen die zijn vast- gesteld op grond van artikel 255 van het Verdrag, waarvan het toepassingsgebied ook de titels V en VI van het Verdrag betreffende de EU bestrijkt.
Dat toegang tot documenten die persoonsgegevens bevatten binnen het bereik van de Eurowob valt, is niets nieuws. Maar waarom wordt er in deze conside- rans zoveel nadruk gelegd op het feit dat de Eurowob ook gelding heeft onder
23 Artikel 9 verordening 45/2001.
24 Momenteel wordt over een overkoepelend kaderbesluit gediscussieerd, zie verder § 3.2.3.
25 Considerans nr. 15 verordening 45/2001.
26 Zie § 3.4.3 en § 3.4.4.
de tweede en derde pijler?27Wordt deze considerans naast het laatste deel van considerans 11 van de Eurowob gelegd dan ontstaat een interessant beeld:
Bij het beoordelen van de uitzonderingen dienen de instellingen rekening te houden met de beginselen van de communautaire wetgeving betreffende de bescherming van persoonsgegevens, op alle terreinen van de activiteiten van de Unie.28
Het lijkt er sterk op dat in deze considerans de communautaire beginselen over de bescherming van persoonsgegevens van toepassing worden verklaard op (toegang tot) documenten uit de tweede en derde pijler van de Unie. Met andere woorden, als op basis van de Eurowob toegang wordt gevraagd tot een document dat persoonsgegevens van een ander bevat, en dit document is opgesteld of ontvangen in het kader van tweede of derde pijler activiteiten, dan moet de betrokken instelling rekening houden met de regels van verorde- ning 45/2001. Met deze considerans in het achterhoofd, zou de privacyuitzon- dering in artikel 4 lid 1 sub b van de Eurowob ook op die wijze kunnen worden geïnterpreteerd.29 Daarin wordt in eerste instantie verwezen naar de privacy en integriteit van het individu, waaraan wordt toegevoegd: ‘in het bijzonder gelet op de Gemeenschapswetgeving inzake de bescherming van persoonsgegevens’. De toevoeging zou bedoeld kunnen zijn om de gelding van de communautaire regels over gegevensbescherming ook van toepassing te laten zijn op toegang tot tweede en derde pijler documenten. Hiermee zou uiteraard niet het gehele gegevensbeschermingsregime voor de EU gelijkgetrok- ken worden: dit ziet alleen op het verstrekken van persoonsgegevens aan derden, en niet op de vele andere vormen van verwerking.
Het bovenstaande impliceert dat op alle werkterreinen van de EU steeds de Eurowob en verordening 45/2001 van toepassing zijn op het openbaren van persoonsgegevens door de instellingen aan derden. Hoewel dit wel zo overzichtelijk zou zijn, is het de vraag of verordening 45/2001 op deze manier van toepassing kan worden verklaard op de tweede en derde pijler.
Deze vraag leidt naar de grondvesten van de overlap tussen beide regimes:
de communautaire wetgever is zowel voor toegang tot documenten als voor bescherming van persoonsgegevens bevoegd regels te stellen. Voor toegang tot documenten creëren artikel 255 EG-Verdrag en artikel 41 lid 1 EU-Verdrag de bevoegdheid om voor het gehele terrein van de EU wetgeving aan te nemen. De artikelen 286 EG-Verdrag en 41 lid 1 EU-Verdrag beperken de
27 Overigens ziet deze considerans niet op toegang tot eigen persoonsgegevens. Dit wordt in de eerste pijler immers geregeld door verordening 45/2001 zelf, en in de tweede en derde pijler door artikel 8 EVRM dat, zoals aangegeven in hoofdstuk 3, het recht op toegang tot eigen persoonsgegevens omvat.
28 Considerans 11 Eurowob (eigen cursivering).
29 Zie in die zin ook I. Harden, ‘Openness and Data Protection in the European Union’, Queen’s Papers on Europeanisation, 2002, p. 17.
bevoegdheid om gegevensbescherming te reguleren echter tot de eerste pij- ler.30Hoe ver reikt nu de bevoegdheid van de communautaire wetgever om regels te stellen ten aanzien van toegang tot documenten die persoonsgegevens bevatten? Voor toegang tot documenten strekt deze bevoegdheid zich uit over alledrie de pijlers van EU, terwijl zij zich beperkt tot de communautaire pijler als de bescherming van persoonsgegevens als rechtsbasis wordt beschouwd.
Kan de Europese wetgever kiezen voor de ruimste bevoegdheid wanneer hij de overlap tussen beide regimes wil regelen?
Over de vraag wat de Europese wetgever moet kiezen in het geval hij wordt geconfronteerd met een onduidelijke rechtsgrondslag of met twee potentiële rechtsgrondslagen bestaat de nodige jurisprudentie van het HvJ.31 Zaken waarin over een te ruime interpretatie van een bevoegdheidsgrond door de Europese wetgever werd getwist, werden vaak getoetst aan de subsidiari- teit.32De vraag was dan of het stellen van regels niet tot de bevoegdheid van de lidstaten behoorde. In het onderhavige geval doet de subsidiariteit niet ter zake; beide regelingen zien op het rechtmatig handelen of het onrechtmatig nalaten door Europese instellingen en organen. Het gaat om bevoegdheden die juist niet als bevoegdheid van de lidstaten kunnen worden aangemerkt.
In andere zaken over de juiste rechtsgrondslag voor Europese wetgeving betrof het de keuze tussen twee potentiële grondslagen. De keuze voor een bepaalde rechtsgrondslag had negatieve gevolgen voor de wetgevingsinvloed van een van de Europese instellingen.33Veelal was dit het Europees Parlement die afhankelijk van de rechtsgrondslag wel of niet een bindende inbreng had.34 Meer recent zijn de zaken waarin de Commissie meent dat ten onrechte een besluit in het kader van de derde pijler is genomen.35In tegenstelling tot de eerste pijler, moet de Commissie in de derde pijler haar initiatiefrecht delen met de lidstaten. De door de Commissie betwiste wetgeving betrof dan ook regelingen die berustten op het initiatief van een (of meer) van de lidstaten.36 Ten aanzien van de Eurowob en verordening 45/2001 bestond deze onenigheid niet.
Met het oog op het onderwerp van beide verordeningen, transparantie van de Europese instellingen en een zorgvuldige omgang met persoonsgege- vens, lijkt een keuze voor de ruimste bevoegdheidsgrond verdedigbaar. Daarbij
30 Harden gaat op de juridische geldigheid van deze considerans niet in; hij concludeert dat dezelfde communautaire beginselen inzake bescherming van persoonsgegevens van toepas- sing zijn op toegang tot documenten in alle drie de pijlers van de EU. Harden 2002, p. 17.
31 Zie ook R.H. van Ooik, De keuze der rechtsgrondslag voor besluiten van de Europese Unie, Deventer 1999 (diss. Utrecht).
32 Zie bijv. HvJ EG 10 december 2002, British American Tobacco, C-491/01, Jur. 2002, p. I-11453.
33 Zie bijv. HvJ EG 10 januari 2006, Commissie t. Raad en Europees Parlement, C-178/03, Jur.
2006, p. I-107.
34 Zie bijv. HvJ EG 11 juni 1991, Commissie t. Raad, C-300/89, Jur. 1991, p. I-2867.
35 Zie bijv. HvJ EG 13 september 2005, Commissie t. Raad, C-176/03, Jur. 2005, p. I-7879. De Commissie werd in deze zaak ondersteund door het Europees Parlement.
36 Ibidem.
beperkt de invloed op de bescherming van persoonsgegevens in de tweede en derde pijler zich tot het openbaar maken van gegevens. Alle andere vormen van verwerking blijven onderhevig aan de in hoofdstuk 3 beschreven regelin- gen. Het is overigens mogelijk dat ten tijde van het opstellen van de Eurowob de wens er daadwerkelijk was om tegenover de Eurowob één regeling over gegevensbescherming te plaatsen.37
Omdat de formulering in de beide consideransen en de woordkeuze in artikel 4 lid 1 sub b sterk die kant op wijzen, wordt er in dit onderzoek vanuit gegaan dat in alledrie de pijlers van EU de Eurowob en verordening 45/2001 van toepassing zijn op het openbaar maken van persoonsgegevens.38
5.4 CONCLUSIE
Het ligt voor de hand te denken dat een recht op toegang tot documenten en een recht op bescherming van persoonsgegevens beide van toepassing zijn op de situatie waarin om toegang wordt gevraagd tot een document dat persoonsgegevens bevat. Deze algemene omschrijving is in dit hoofdstuk verduidelijkt. Uit de Eurowob en aanbeveling REC(2002)2 volgt dat het begrip
‘document’ zeer ruim wordt opgevat. Hetzelfde geldt voor het begrip ‘per- soonsgegeven’. Uit verordening 45/2001 en het Verdrag van Straatsburg volgt dat het om elke informatie gaat die is terug te voeren op een identificeerbare persoon. Alleen geanonimiseerde persoonsgegevens vallen buiten de reikwijdte van de gegevensbescherming. Het komt er in feite op neer dat elk vastgelegd persoonsgegevens onder het recht op toegang tot documenten valt. Het open- baren van gegevens is zonder meer een vorm van ‘verwerken van persoons- gegevens’. Uit verordening 45/2001 en het Verdrag van Straatsburg volgt dat het moet gaan om geheel of gedeeltelijk geautomatiseerde verwerking. Hand- matige verwerking wordt ook binnen de reikwijdte van verordening 45/2001 gebracht als de gegevens bestemd zijn voor opname in een bestand van per- soonsgegevens of daaruit afkomstig zijn. Ik heb beredeneerd dat het begrip
‘bestand van persoonsgegevens’ ruim moet worden opgevat.
Deze algemene materiële definiëring van de overlap van de rechtsregimes van toegang tot documenten en bescherming van persoonsgegevens vormt het uitgangspunt voor het verdere onderzoek.
Aan de volle werking van de algemene materiële reikwijdte van het raak- vlak wordt in de EU afbreuk gedaan omdat op de werking van zowel de
37 Harden wijst erop dat tijdens de discussie over verordening 45/2001 in het Europees Parlement de piecemeal approach van de bescherming van persoonsgegevens in de tweede en derde pijler heftig werd bekritiseerd. Harden 2002, p. 17.
38 In § 3.4.3.1 werd al beredeneerd dat op de verwerking van persoonsgegevens van personen die in dienst zijn van de communautaire instellingen en organen ongeacht het beleidsterrein waarop deze personen handelen de regels van verordening 45/2001 van toepassing zijn.
Eurowob als verordening 45/2001 een beperking is aangebracht. Vastgesteld is dat de praktische gevolgen van deze beperkingen vrij gering zijn. De perso- nele beperking van de Eurowob is in de praktijk voor een groot deel weggeno- men en de werking van verordening 45/2001 lijkt zich ten aanzien van het raakvlak met de Eurowob alsnog uit te strekken tot de tweede en derde pijler van de Unie. Overigens hebben deze beperkingen hoe dan ook geen consequen- ties voor het antwoord op de normatieve vraagstelling van dit onderzoek, namelijk hoe de regels over toegang tot documenten en bescherming van persoonsgegevens inhoudelijk op elkaar afgestemd dienen te worden.
