De beveiliging van persoonsgegevens (O&R nr. 135) 2022/4.7.1:4.7.1 De AVG in het algemeen

De beveiliging van persoonsgegevens (O&R nr. 135) 2022/4.7.1

4.7.1 De AVG in het algemeen

Documentgegevens:

mr. J.A. Hofman, datum 01-07-2022

Datum: 01-07-2022
Auteur: mr. J.A. Hofman
JCDI: JCDI:ADS660913:1
Vakgebied(en): Privacy (V)

De AVG vormt sinds mei 2018 de kern van het gegevensbeschermingsrecht. In de AVG zijn uiteenlopende onderwerpen geregeld, zoals de verplichtingen van verwerkingsverantwoordelijken en verwerkers, de rechten van betrokkenen en de bevoegdheden van de toezichthouders.1 In navolging van de Dataprotectierichtlijn kenmerkt de AVG zich onder meer door haar dubbele doelstelling: zij beschermt de grondrechten en fundamentele vrijheden van natuurlijke personen (met name hun recht op bescherming van persoonsgegevens) en bepaalt tegelijkertijd dat het vrije verkeer van persoonsgegevens in de EU niet wordt beperkt of verboden om redenen die verband houden met de bescherming van natuurlijke personen ten aanzien van de verwerking van persoonsgegevens.2 Hoewel deze doelstelling grotendeels gelijk is aan die van de Dataprotectierichtlijn, was het onder de Dataprotectierichtlijn het recht op de eerbiediging van de persoonlijke levenssfeer (ook wel het privéleven) dat ‘met name’ werd beschermd. Dit verschil, dat is terug te voeren op de tussentijdse erkenning van het recht op de bescherming van persoonsgegevens als fundamenteel recht, klinkt ook door in de grondslag van de AVG. Anders dan de Dataprotectierichtlijn, die was gebaseerd op de bevoegdheid van de EU-wetgever om regels te treffen ten aanzien van de interne markt, vindt de AVG haar grondslag in art. 16 VWEU. De gevolgen van dit alles voor de uitleg van het persoonsgegevensbeschermingsrecht, bespreek ik in §5.4.3

Gelijktijdig met het van toepassing worden van de AVG is de Dataprotectierichtlijn ingetrokken.4 De EU-wetgever achtte een nieuwe regeling noodzakelijk omdat de richtlijn onvoldoende harmonisatie teweeg had gebracht en er ten gevolge van globalisering en technische ontwikkelingen bovendien nieuwe uitdagingen waren ontstaan.5 De AVG dient ertoe een hoog, consistent en gelijkwaardig beschermingsniveau tot stand te brengen, dat wordt gesteund door strenge handhaving en in dit kader meer rechtszekerheid en praktische zekerheid te bieden aan natuurlijke personen, marktdeelnemers en overheidsinstanties. Hiermee wil de EU-wetgever zowel het recht op bescherming van persoonsgegevens als de ontwikkeling van de interne markt waarborgen.6 Om persoonsgegevens ook daadwerkelijk doeltreffend(er) te beschermen voorziet de AVG in een ‘versterking en nadere omschrijving’ van de rechten van de betrokkene en de verplichtingen van de verwerkingsverantwoordelijke en de verwerker.7 De nieuwe regeling inzake gegevensbescherming is een verordening.8 Hiermee heeft de EU-wetgever willen voorkomen dat zich onder de AVG dezelfde problemen voordoen als zich onder de Dataprotectierichtlijn voordeden.9 Deze richtlijn is dusdanig verschillend toegepast en uitgevoerd, dat zij het gewenste beschermingsniveau niet heeft kunnen bewerkstelligen.10 In tegenstelling tot richtlijnen zijn verordeningen rechtstreeks toepasselijk in alle lidstaten van de EU. De AVG hoeft dus niet te worden omgezet, hetgeen de harmonisatie ten goede komt.11

Toon alle voetnoten

Voetnoten

Voetnoten

Resp. hfdst. 4, 3 en 6 van de AVG.

Art. 1 lid 2 en 3 AVG. In de Engelstalige literatuur wordt dit beschreven als de ‘dual objective’ (bijv. González Fuster 2014, §5.2.1.1; Lynskey 2015) of ‘double objective’ (bijv. Hijmans 2016, p. 56). Zie hfdst. 5 van dit boek voor meer over deze doelstelling.

Zie §5.2.3 over het recht op de bescherming van persoonsgegevens, §5.2.4 voor het recht de eerbiediging van het privéleven en de gevolgen van de erkenning van dit recht voor de jurisprudentie van het HvJ EU §5.4.4.

Art. 94 (jo. art. 99) AVG.

Preambule AVG, o. 9, Mededeling Commissie 2010, §1.

Preambule AVG, o. 6-10.

Preambule AVG, o. 11. Zie voor een uitgebreide uiteenzetting van de argumenten voor een nieuw juridisch kader voor gegevensbescherming: Hustinx 2017, §A.5.

Preambule AVG, o. 13.

Verder beoogt de EU-wetgever met de AVG rechtszekerheid en transparantie te bewerkstelligen, het systeem van toezicht en sancties consistent en gelijk te maken en een doeltreffende samenwerking tussen toezichthoudende autoriteiten te bewerkstelligen.

10.

Preambule AVG, o. 3 en 9; Mededeling Commissie 2010, §1. Hoewel deze verschillen al in 2003 duidelijk werden, heeft de AVG nog jaren op zich laten wachten (zie over dit proces Hustinx 2017, §A.5).

11.

Preambule AVG, o. 10 en 13. Verordeningen gelden zonder enige voorafgaande handeling van de lidstaat en hebben voorrang op strijdig nationaal recht (art. 288 VWEU, zie ook bijv. Sieburgh 2009, p. 242-243 en Barents & Brinkhorst 2012, pt. 346). Lidstaten mogen bovendien geen parallelle nationale bepalingen handhaven (zie bijv. HvJ EU 15 november 2012, ECLI:EU:C:2012:711, pt. 85 (Al-Aqsa)). De Wbp is dan ook met de UAVG ingetrokken (art. 51 UAVG). Een richtlijn is daarentegen – in beginsel – slechts verbindend ten aanzien van het te bereiken resultaat, maar laat vaak ruimte voor lidstaten om de vorm en middelen te kiezen. Waar een richtlijn moet worden omgezet, mag een verordening niet worden geïmplementeerd (zie Chalmers, Davies & Monti 2014, §3.3(i)). Het van oorsprong scherpe verschil tussen de twee wetgevingsinstrumenten is in de loop van de tijd wel vervaagd (zie Van der Burg & Voermans 2012, §2.2.2). De AVG biedt nationale wetgevers ten aanzien van sommige onderwerpen overigens wel de mogelijkheid zelf regels te treffen (zie bijv. art. 8 lid 1 AVG en art. 9 AVG).