Besluit 2008/49 - Bescherming van persoonsgegevens bij de invoering van het informatiesysteem interne markt (IMI) - Hoofdinhoud

1. Wettekst

16.1.2008

Publicatieblad van de Europese Unie

L 13/18

BESCHIKKING VAN DE COMMISSIE

van 12 december 2007

inzake de bescherming van persoonsgegevens bij de invoering van het informatiesysteem interne markt (IMI)

(Kennisgeving geschied onder nummer C(2007) 6306)

(Voor de EER relevante tekst)

(2008/49/EG)

DE COMMISSIE VAN DE EUROPESE GEMEENSCHAPPEN,

Gelet op het Verdrag tot oprichting van de Europese Gemeenschap,

Gelet op Besluit 2004/387/EG van het Europees Parlement en de Raad van 21 april 2004 betreffende de interoperabele levering van pan-Europese e-overheidsdiensten aan overheidsdiensten, ondernemingen en burgers (IDABC) (1), en met name op artikel 4,

Overwegende hetgeen volgt:

(1)

Op 17 maart 2006 hebben vertegenwoordigers van de lidstaten in het Raadgevend Comité voor de interne markt (2) het algemene invoeringsplan voor het informatiesysteem interne markt, hierna „IMI” te noemen, en het doel ervan, namelijk een betere communicatie tussen de diensten van de lidstaten, goedgekeurd.

(2)	Bij de op 14 augustus 2006 goedgekeurde derde herziening van het IDABC-werkprogramma 2005-2009 (COM/2006/3606) heeft de Commissie besloten IMI als project van algemeen belang te financieren en op te zetten.

(3)	Tot verdere financiering is besloten bij de op 25 juli 2007 goedgekeurde vierde herziening van het IDABC-werkprogramma door de Commissie (COM/2007/3514).

(4)

IMI is bedoeld om de uitvoering te vergemakkelijken van internemarktwetgeving die een uitwisseling van informatie tussen de overheidsdiensten van de lidstaten vereist, zoals Richtlijn 2006/123/EG van het Europees Parlement en de Raad van 12 december 2006 betreffende diensten op de interne markt (3) en Richtlijn 2005/36/EG van het Europees Parlement en de Raad van 7 september 2005 betreffende de erkenning van beroepskwalificaties (4).

(5)

Aangezien de bescherming van persoonsgegevens in IMI gewaarborgd moet zijn, is een aanvulling nodig op het besluit om IMI op te zetten. Aangezien de diverse IMI-taken van de Commissie en de lidstaten uiteenlopende verantwoordelijkheden en verplichtingen op gegevensbeschermingsgebied met zich brengen, moeten hun taken, verantwoordelijkheden en rechten van toegang worden vastgelegd.

(6)	De in het kader van artikel 29 van de Gegevensbeschermingsrichtlijn opgerichte groep heeft in haar IMI-advies (5) nadrukkelijk gepleit voor een beschikking van de Commissie waarin de rechten en plichten van de IMI-actoren worden vastgesteld.

(7)

Bij de elektronische uitwisseling van informatie tussen de lidstaten moet worden voldaan aan de regels inzake de bescherming van persoonsgegevens van Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (6) en van Verordening (EG) nr. 45/2001 van het Europees Parlement en de Raad van 18 december 2000 betreffende de bescherming van natuurlĳke personen in verband met de verwerking van persoonsgegevens door de communautaire instellingen en organen en betreffende het vrĳe verkeer van die gegevens (7).

(8)

Om navraag tussen de bevoegde autoriteiten mogelijk te maken en voorbereid te zijn op situaties waarin een betrokkene beroep wenst aan te tekenen tegen een na een informatie-uitwisseling negatief uitgevallen beslissing van een overheidsdienst, moeten alle persoonsgegevens die tussen de bevoegde autoriteiten zijn uitgewisseld en in IMI zijn verwerkt, na de formele beëindiging van de informatie-uitwisseling nog zes maanden worden bewaard. Daarna mogen ze worden gewist. Een bewaarperiode van zes maanden wordt passend geacht omdat deze overeenkomt met de duur van administratieve procedures die zijn vastgesteld in Gemeenschapswetgeving op basis waarvan informatie wordt uitgewisseld,

HEEFT DE VOLGENDE BESCHIKKING GEGEVEN:

HOOFDSTUK 1

ALGEMENE BEPALINGEN

Artikel 1

Onderwerp

In deze beschikking worden de taken, rechten en plichten van de in artikel 6 bedoelde IMI-actoren en -gebruikers vastgelegd die met het oog op gegevensbeschermingsvereisten van belang zijn voor het informatiesysteem interne markt, hierna „IMI” te noemen.

Artikel 2

Kwaliteit van de gegevens

Persoonsgegevens worden door de bevoegde autoriteiten van de lidstaten alleen uitgewisseld en verder verwerkt voor de doeleinden die beschreven worden in de in de bijlage genoemde Gemeenschapswetgeving op basis waarvan de informatie wordt uitgewisseld, hierna „de relevante Gemeenschapswetgeving” te noemen.

Voor informatieverzoeken van de bevoegde autoriteiten van de ene lidstaat aan de andere en voor de antwoorden daarop wordt gebruikgemaakt van de speciaal voor IMI ontworpen meertalige vragen en gegevensvelden waaraan de Commissie samen met de lidstaten heeft gewerkt.

Artikel 3

Verantwoordelijken voor de verwerking

De verantwoordelijkheden van de voor de verwerking verantwoordelijke als bedoeld in artikel 2, onder d), van Richtlijn 95/46/EG en artikel 2, onder d), van Verordening (EG) nr. 45/2001, worden door de IMI-actoren overeenkomstig artikel 6 al naar gelang hun verantwoordelijkheden in IMI gemeenschappelijk uitgeoefend.

De voor de verwerking verantwoordelijken zorgen ervoor dat de betrokkenen hun rechten van informatie, toegang, rectificatie en verzet overeenkomstig de geldende gegevensbeschermingswetgeving effectief kunnen uitoefenen. De IMI-actoren geven privacyverklaringen in een passende vorm af.

Artikel 4

Bewaring van persoonsgegevens van betrokkenen over wie informatie wordt uitgewisseld

Alle persoonsgegevens die betrekking hebben op de betrokkenen en die tussen de bevoegde autoriteiten worden uitgewisseld en in IMI worden verwerkt, worden zes maanden na de formele beëindiging van de informatie-uitwisseling gewist, tenzij een bevoegde autoriteit de Commissie uitdrukkelijk verzoekt om deze al eerder te wissen.

De Commissie geeft binnen tien werkdagen gevolg aan zo'n verzoek, indien de andere betrokken bevoegde autoriteit ermee instemt.

Artikel 5

Bewaring van persoonsgegevens van IMI-gebruikers

Persoonsgegevens van IMI-gebruikers als bedoeld in artikel 6, worden in IMI opgeslagen zolang zij IMI-gebruiker blijven, en worden door de bevoegde autoriteit gewist als zij geen IMI-gebruiker meer zijn.

Tot de in de eerste alinea bedoelde persoonsgegevens behoren de volledige naam en het e-mailadres, telefoon- en faxnummer op het werk van de IMI-gebruikers.

HOOFDSTUK 2

TAKEN EN VERANTWOORDELIJKHEDEN IN IMI

Artikel 6

IMI-actoren en -gebruikers

1.

IMI-actoren zijn:

a)	bevoegde autoriteiten van de lidstaten overeenkomstig artikel 7;

b)	coördinatoren overeenkomstig artikel 8;

c)	de Commissie.

2.

IMI mag overeenkomstig artikel 9 alleen worden gebruikt door natuurlijke personen die onder toezicht van een bevoegde autoriteit of van een coördinator werken, hierna „IMI-gebruikers” te noemen.

Artikel 7

Bevoegde autoriteiten

De bevoegde autoriteiten zorgen voor de uitwisseling van de betrokken informatie in IMI voor de doeleinden die beschreven worden in de relevante Gemeenschapswetgeving op basis waarvan informatie wordt uitgewisseld.

Artikel 8

IMI-coördinatoren

1.

Elke lidstaat stelt een nationale IMI-coördinator aan die ervoor zorgt dat IMI op nationaal niveau wordt ingevoerd.

Elke lidstaat mag daarnaast al naar gelang zijn bestuurlijke organisatie een of meer gedelegeerde IMI-coördinatoren aanstellen die verantwoordelijk zijn voor de coördinatie voor een bepaald wetgevingsgebied, een bestuurlijk gebied of een regio.

2.

De Commissie registreert de nationale IMI-coördinatoren in IMI en verleent hun toegang tot IMI.

3.

Als een lidstaat een gedelegeerde IMI-coördinator overeenkomstig lid 1 aanstelt, registreert de nationale IMI-coördinator de gedelegeerde IMI-coördinator in IMI en verleent hij of zij deze persoon toegang tot IMI.

4.

Coördinatoren registreren of authenticeren de registratie van bevoegde autoriteiten die toegang wensen tot IMI, en zorgen voor een efficiënte werking ervan. Zij verlenen de bevoegde autoriteiten toegang tot de wetgevingsgebieden waarvoor zij bevoegd zijn.

5.

Coördinatoren mogen optreden als bevoegde autoriteiten. In zo'n geval beschikt een coördinator over dezelfde rechten van toegang als een bevoegde autoriteit.

Artikel 9

IMI-gebruikersprofielen

1.

IMI-gebruikers mogen een of meer van de volgende taken vervullen: behandelaar, toewijzer, toezichthouder en lokale gegevensbeheerder.

2.

IMI-gebruikers krijgen in verband met hun taak bepaalde rechten van toegang als beschreven in artikel 12.

3.

IMI-gebruikers mogen in het systeem een bepaalde bevoegde autoriteit opzoeken.

4.

IMI-gebruikers die zijn aangewezen als behandelaar, mogen namens hun bevoegde autoriteit deelnemen aan de informatie-uitwisseling.

5.

IMI-gebruikers die in een bevoegde autoriteit zijn aangewezen als toewijzer, mogen een informatieverzoek binnen deze autoriteit toewijzen aan een of meer behandelaars.

IMI-gebruikers die in een coördinator zijn aangewezen als toewijzer, mogen een informatieverzoek binnen deze autoriteit toewijzen aan een of meer toezichthouders.

6.

IMI-gebruikers in een coördinator mogen worden aangewezen als toezichthouder.

Zij mogen goedkeuring verlenen om een verzoek of een antwoord van een bevoegde autoriteit te verzenden, wanneer de coördinator zo'n goedkeuringsprocedure als vereiste heeft aangemerkt, en mogen aangeven of de verzoekende bevoegde autoriteit al dan niet tevreden is met het ontvangen antwoord.

7.

IMI-gebruikers die zijn aangewezen als lokale gegevensbeheerder, mogen:

a)	persoonsgegevens van IMI-gebruikers van hun eigen autoriteit bijwerken;

b)	aanvullende gebruikers voor hun eigen autoriteit registreren;

c)	gebruikersprofielen van gebruikers van hun eigen autoriteit wijzigen.

Artikel 10

Commissie

1.

De Commissie zorgt voor de beschikbaarheid en het onderhoud van de IT-infrastructuur voor IMI. Ook zorgt zij ervoor dat het systeem in alle officiële talen werkt en dat een centrale helpdesk de lidstaten ondersteuning biedt bij het gebruik van IMI.

2.

De Commissie stelt de in artikel 2, lid 2, bedoelde vragen en gegevensvelden algemeen beschikbaar.

3.

De Commissie mag alleen aan een uitwisseling van informatie deelnemen in de bijzondere gevallen waarin de relevante Gemeenschapswetgeving voorziet in een uitwisseling van informatie tussen de lidstaten en de Commissie.

4.

In de in lid 3 bedoelde gevallen beschikt de Commissie over dezelfde rechten van toegang overeenkomstig artikel 12 als een bevoegde autoriteit.

HOOFDSTUK 3

RECHTEN VAN TOEGANG TOT PERSOONSGEGEVENS

Artikel 11

Betrokkene

Voor de toepassing van dit hoofdstuk wordt onder een „betrokkene” alleen de persoon over wie bepaalde informatie wordt uitgewisseld, en dus niet een IMI-gebruiker verstaan.

Artikel 12

Rechten van toegang van IMI-gebruikers

1.

Behandelaars van een bevoegde autoriteit hebben bij een uitwisseling van informatie alleen toegang tot persoonsgegevens van:

a)	andere behandelaars van dezelfde bevoegde autoriteit die betrokken zijn bij de desbetreffende informatie-uitwisseling;

b)	de behandelaars van de andere bevoegde autoriteit die betrokken zijn bij de desbetreffende informatie-uitwisseling;

c)	de toezichthouders van de coördinatoren die verantwoordelijk zijn voor de desbetreffende informatie-uitwisseling;

d)	de betrokkenen van de desbetreffende informatie-uitwisseling. Behandelaars van een antwoordende bevoegde autoriteit hebben pas toegang tot de persoonsgegevens van de betrokkenen als het verzoek door hun bevoegde autoriteit is aanvaard.

2.

Toewijzers van een bevoegde autoriteit hebben alleen toegang tot persoonsgegevens van:

a)	de behandelaars van dezelfde bevoegde autoriteit;

b)	de behandelaars van de andere bevoegde autoriteit die betrokken zijn bij de desbetreffende informatie-uitwisseling;

c)	de toezichthouders van de coördinatoren die verantwoordelijk zijn voor de desbetreffende informatie-uitwisseling.