Europees Toezichthouder voor gegevensbescherming

Als kerntaak van de EDPS bij het vervullen van zijn toezichthoudende functie waakt hij over de verwerking van persoonsgegevens in de Europese instellingen en organen. De EDPS doet dit in samenwerking met de functionarissen voor gegevensbescherming (Data Protection Officers of DPO's) die aanwezig zijn in alle Europese instellingen en organen. De DPO moet de EDPS in kennis stellen van elke verwerking die betrekking heeft op gevoelige persoonsgegevens of die andere bijzondere risico's kan inhouden. De EDPS onderzoekt deze verwerking dan in het licht van de gegevensbeschermingsverordening en brengt een advies na voorafgaande controle uit. In de meeste gevallen leidt dit tot een reeks aanbevelingen die de instelling of het orgaan moet naleven om te voldoen aan de regels voor gegevensbescherming.

Zo bracht de EDPS in 2009 ruim 100 adviezen na voorafgaande controles uit, voornamelijk over zaken als gezondheidsgegevens, personeelsbeoordeling, aanwerving, tijdbeheer, performancetools voor telefoonopnames, veiligheidsonderzoeken. De adviezen worden gepubliceerd op zijn website en de tenuitvoerlegging ervan wordt systematisch gevolgd.

De toepassing van de gegevensbeschermingsverordening in de instellingen van de Europese Unie wordt tevens nauwlettend gecontroleerd aan de hand van een regelmatig opgemaakte balans van prestatie-indicatoren in alle EU-instellingen en -organen. Naast deze algemene controle voert de EDPS ook inspecties ter plaatse uit om de naleving in de praktijk te beoordelen.

De toezichthoudende functie van de EDPS omvat ook het onderzoeken van klachten die worden ingediend door EU-personeelsleden of door andere personen die vinden dat hun persoonsgegevens verkeerd behandeld zijn door een Europese instelling of een Europees orgaan. Zulke klachten hebben onder andere betrekking op vermeende inbreuken op de vertrouwelijkheid, de toegang tot gegevens, het recht op correctie, het wissen van gegevens en het overdadig verzamelen of onrechtmatig gebruiken van gegevens door de voor de verwerking verantwoordelijke.

De EDPS heeft ook andere vormen van toezicht ontwikkeld, zoals advisering over bestuursrechtelijke maatregelen en het opstellen van thematische richtsnoeren.

In zijn adviserende functie verstrekt de EDPS aan de Europese Commissie, het Europees Parlement en de Raad van de Europese Unie adviezen over gegevensbeschermingsvraagstukken op allerlei beleidsgebieden. Deze adviserende functie heeft betrekking op voorstellen voor nieuwe wetten en andere initiatieven die de bescherming van persoonsgegevens in de EU kunnen beïnvloeden. Dit resulteert gewoonlijk in een formeel advies, maar de EDPS kan ook begeleiding bieden in de vorm van commentaar of beleidsnota's. Voorts worden technologische ontwikkelingen die een effect hebben op de gegevensbescherming nauwlettend gevolgd.

Recente belangrijke vraagstukken waaraan de EDPS bijzondere aandacht heeft besteed, zijn onder andere de TFTP-SWIFT-overeenkomst betreffende de toegang tot financiële informatie, de herziening van de e-privacyrichtlijn voor elektronische communicatie, de ontwikkelingen van het programma van Stockholm inzake justitie en binnenlandse zaken, de herziening van de Eurodac-verordening en de verordening van Dublin inzake asielbeleid, en de publieke toegang tot documenten.

De EDPS volgt ook van nabij de huidige herziening van het wettelijke kader voor gegevensbescherming. De databeschermingsrichtlijn (95/46/EG) is vervangen door de algemene verordening gegevensbescherming. Hierdoor sluit de wetgeving beter aan op de 'nieuwe' digitale wereld. Het bereiken van deze kritieke doelstelling zal de komende jaren bovenaan op de agenda van de EDPS staan.

Als onderdeel van zijn adviserende functie treedt de EDPS ook op in zaken die voor het Hof van Justitie van de Europese Unie worden gebracht en die relevant zijn voor zijn taken. Zo trad hij in juni 2009 op in een zaak betreffende de verhouding tussen transparantie en gegevensbescherming (de zaak "Bavarian Lager"[3]).

De EDPS werkt samen met andere gegevensbeschermingsautoriteiten ten behoeve van een consistente benadering van de gegevensbescherming in heel Europa.

Het belangrijkste platform voor samenwerking tussen gegevensbeschermingsautoriteiten in Europa is de Groep gegevensbescherming artikel 29 (van Richtlijn 95/46/EG). De EDPS neemt deel aan de activiteiten van deze groep, die een belangrijke rol vervult bij de eenvormige toepassing van de gegevensbeschermingsrichtlijn. De EDPS en de groep hebben doeltreffend samengewerkt rond diverse onderwerpen, maar vooral op het gebied van de tenuitvoerlegging van de gegevensbeschermingsrichtlijn en de problemen die ontstaan door nieuwe technologieën. De EDPS heeft ook nadrukkelijk steun verleend aan initiatieven die ervoor moeten zorgen dat internationale gegevensstromen voldoen aan de Europese beginselen van gegevensbescherming.

Een van de belangrijkste samenwerkingstaken van de EDPS betreft Eurodac, waar de verantwoordelijkheid voor het toezicht gedeeld wordt met de nationale gegevensbeschermingsautoriteiten.

De EDPS werkt samen met gegevensbeschermingsautoriteiten in de vroegere "derde pijler" - politionele en juridische samenwerking - en met de Werkgroep politie en justitie.

Er vindt ook samenwerking plaats via deelname aan twee grote jaarlijkse conferenties over gegevensbescherming: een Europese conferentie, waar gegevensbeschermingsautoriteiten uit de EU-lidstaten en de Raad van Europa samenkomen, en een internationale conferentie, die wordt bijgewoond door een breed scala van deskundigen uit de publieke en private sector.

Ondanks de erg gelijkende benaming (vooral in het Engels) gaat het om twee erg verschillende instellingen. De Europees Toezichthouder voor gegevensbescherming (EDPS) is vooral belast met toezicht op de gegevensbescherming binnen de Europese instellingen, terwijl het Europees Comité voor gegevensbescherming de nationale Gegevensbeschermingsautoriteiten coördineert.

Wel is het zo dat de Europees Toezichthouder voor gegevensbescherming zetelt in het Comité (EDPB), en tevens het secretariaat van de EDPB verzorgt.