Overwegingen bij COM(2017)10 - Verordening betreffende privacy en elektronische communicatie - Hoofdinhoud
Dit is een beperkte versie
U kijkt naar een beperkte versie van dit dossier in de EU Monitor.
| dossier | COM(2017)10 - Verordening betreffende privacy en elektronische communicatie. |
|---|---|
| document | COM(2017)10   |
| datum | 10 januari 2017 |
(2) De inhoud van elektronische communicatie kan zeer gevoelige informatie weergeven over de natuurlijke personen die bij de communicatie betrokken zijn, gaande van persoonlijke ervaringen en emoties tot medische gegevens, seksuele voorkeur en politieke standpunten, die, wanneer zij openbaar worden gemaakt, zouden kunnen leiden tot persoonlijke en maatschappelijke schade, economische verliezen of complicaties. Op dezelfde manier kunnen metagegevens met betrekking tot elektronische communicatie ook zeer gevoelige en persoonlijke informatie weergeven. Deze metagegevens omvatten de opgeroepen nummers, de bezochte websites, de geografische locatie, het tijdstip, de datum en de duur wanneer een persoon een oproep doet, enz., op basis waarvan precieze conclusies kunnen worden getrokken over het privéleven van de personen die bij de elektronische communicatie betrokken zijn, zoals hun sociale relaties, hun dagelijkse gewoonten en activiteiten, hun interesses, smaken, enz.
(3) Elektronische-communicatiegegevens kunnen ook informatie betreffende rechtspersonen weergeven, zoals bedrijfsgeheimen of andere gevoelige gegevens met een economische waarde. Derhalve moeten de bepalingen van deze verordening gelden voor zowel natuurlijke personen als rechtspersonen. Voorts moet deze verordening ervoor zorgen dat de bepalingen van Verordening (EU) 2016/679 van het Europees Parlement en de Raad 21 eveneens toegepast worden op eindgebruikers die rechtspersonen zijn. Hieronder valt de definitie van toestemming krachtens Verordening (EU) 2016/679. Wanneer naar de goedkeuring van eindgebruikers, waaronder rechtspersonen, wordt verwezen, moet deze definitie worden toegepast. Voorts moeten rechtspersonen ten aanzien van de toezichthoudende autoriteiten dezelfde rechten hebben als eindgebruikers die natuurlijke personen zijn: de toezichthoudende autoriteiten uit hoofde van deze verordening moeten verder ook worden belast met het toezicht op de toepassing van deze verordening ten aanzien van rechtspersonen.
(4) Op grond van artikel 8, lid 1, van het Handvest en artikel 16, lid 1, van het Verdrag betreffende de werking van de Europese Unie heeft eenieder recht op bescherming van de hem betreffende persoonsgegevens. Bij Verordening (EU) 2016/679 worden regels vastgesteld betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van persoonsgegevens. Elektronische-communicatiegegevens kunnen persoonsgegevens omvatten zoals gedefinieerd in Verordening (EU) 2016/679.
(5) De bepalingen van deze verordening vormen een specificatie van en een aanvulling op de algemene regels inzake bescherming van persoonsgegevens neergelegd in Verordening (EU) 2016/679 wat betreft de elektronische-communicatiegegevens die als persoonsgegevens worden aangemerkt. Deze verordening leidt dus niet tot een lager niveau van bescherming van natuurlijke personen in de zin van Verordening (EU) 2016/679. Verwerking van elektronische-communicatiegegevens door aanbieders van elektronische-communicatiediensten moet alleen worden toegestaan in overeenstemming met deze verordening.
(6) Hoewel de beginselen en de belangrijkste bepalingen van Richtlijn 2002/58/EG van het Europees Parlement en de Raad 22 in het algemeen geldig blijven, heeft deze richtlijn geen gelijke tred gehouden met de ontwikkeling van de technologie en de markt, hetgeen resulteert in inconsistenties of gebreken in de doeltreffende bescherming van de privacy en de vertrouwelijkheid met betrekking tot elektronische communicatie. Tot deze ontwikkelingen behoort de komst op de markt van elektronische-communicatiediensten die uit het standpunt van de consument verwisselbaar zijn met traditionele diensten maar niet hoeven te voldoen aan dezelfde reeks regels. Een andere ontwikkeling heeft betrekking op nieuwe technieken voor het volgen van het onlinegedrag van eindgebruikers, die niet onder Richtlijn 2002/58/EG vallen. Richtlijn 2002/58/EEG moet derhalve worden ingetrokken en vervangen door deze verordening.
(7) De lidstaten moeten, binnen de grenzen van deze verordening, nationale bepalingen kunnen handhaven of invoeren om met het oog op een effectieve uitvoering en interpretatie van de regels van deze verordening de toepassing ervan nader te specificeren en te verduidelijken. Daarom moet in de beoordelingsmarge die de lidstaten op dit gebied hebben, gezorgd worden voor een evenwicht tussen de bescherming van de persoonlijke levenssfeer en persoonsgegevens en het vrije verkeer van elektronische-communicatiegegevens.
(8) Deze verordening moet van toepassing zijn op aanbieders van elektronische-communicatiediensten, aanbieders van algemeen beschikbare telefoongidsen en aanbieders van software voor elektronische communicatie, waaronder het opvragen en weergeven van informatie op het internet. Deze verordening moet eveneens van toepassing zijn op natuurlijke en rechtspersonen die gebruik maken van elektronische-communicatiediensten om commerciële boodschappen van direct marketing te verzenden of om informatie te verzamelen die verbonden is aan of opgeslagen is in eindapparatuur van eindgebruikers.
(9) Deze verordening moet van toepassing te zijn op elektronische-communicatiegegevens die verwerkt zijn in verband met het aanbieden en het gebruiken van elektronische-communicatiediensten in de Unie, ongeacht of de verwerking in de Unie plaatsvindt. Om te vermijden dat eindgebruikers in de Unie verstoken blijven van doeltreffende bescherming, dient deze verordening verder ook van toepassing te zijn op elektronische-communicatiegegevens die zijn verwerkt in verband met het aanbieden van elektronische-communicatiediensten van buiten de Unie aan eindgebruikers in de Unie.
(10) Radioapparatuur en bijbehorende software die in de Unie op de markt wordt gebracht, moet voldoen aan Richtlijn 2014/53/EU van het Europees Parlement en de Raad 23 . Deze verordening mag geen afbreuk doen aan de toepasselijkheid van de voorschriften van Richtlijn 2014/53/EU of aan de bevoegdheid van de Commissie om overeenkomstig Richtlijn 2014/53/EU gedelegeerde handelingen vast te stellen waarbij voorgeschreven wordt dat bepaalde categorieën of klassen radioapparatuur voorzieningen moeten bevatten om de bescherming van persoonsgegevens en de persoonlijke levenssfeer van eindgebruikers te garanderen.
(11) De diensten die voor communicatiedoeleinden worden gebruikt en de technische middelen die daarbij worden aangewend, hebben een sterke ontwikkeling doorgemaakt. Eindgebruikers maken in de plaats van traditionele spraaktelefonie, tekstboodschappen (SMS) en elektronische post (e-mail) steeds vaker gebruik van functioneel gelijkwaardige onlinediensten zoals Voice over IP, berichtendiensten en webmail. Met het oog op een effectieve en gelijke bescherming van eindgebruikers bij het gebruik van functioneel gelijkwaardige diensten wordt in deze verordening de definitie van elektronische-communicatiediensten gebruikt die in de [richtlijn van het Europees Parlement en de Raad tot vaststelling van het Europees wetboek voor elektronische communicatie 24 ] is voorgesteld. Deze definitie omvat niet alleen diensten voor toegang tot internet en diensten die geheel of gedeeltelijk bestaan in het overbrengen van signalen, maar ook persoonlijke communicatiediensten, die al dan niet gebruik maken van nummers, zoals bijvoorbeeld Voice over IP, berichtendiensten en webmail. De bescherming van de vertrouwelijkheid van de communicatie is van cruciaal belang, ook met betrekking tot persoonlijke communicatiediensten die ondergeschikt zijn ten opzichte van een andere dienst; daarom moeten dergelijke diensten die ook een communicatiefunctie dienen, onder deze verordening vallen.
(12) Aangesloten apparaten en machines gaan steeds meer met elkaar communiceren via elektronische-communicatienetwerken ("internet van dingen"). De transmissie van communicatie tussen machines ("machine-to-machine") houdt in dat signalen via een netwerk worden overgedragen, en vormt dus meestal een elektronische-communicatiedienst. Met het oog op een volledige bescherming van het recht op privacy en vertrouwelijkheid van communicatie alsook om een betrouwbaar en veilig internet van dingen te bevorderen in het kader van de digitale interne markt, moet worden verduidelijkt dat deze verordening van toepassing dient te zijn op de doorgifte van communicatie tussen machines. Derhalve moet het beginsel van vertrouwelijkheid zoals vastgelegd in deze verordening ook van toepassing zijn op de doorgifte van communicatie tussen machines. Er moet ook voor specifieke voorzieningen worden gezorgd in het kader van sectorale wetgeving, zoals Richtlijn 2014/53/EU.
(13) De ontwikkeling van snelle en efficiënte draadloze technologieën heeft ertoe bijgedragen dat internettoegang via draadloze netwerken in toenemende mate voor iedereen toegankelijk wordt gesteld in openbare en semi-openbare ruimten zoals „hotspots”, die zich op verschillende plaatsen in de stad, supermarkten, winkelcentra en ziekenhuizen bevinden. Voor zover deze communicatienetwerken worden verleend aan een onbepaalde groep van eindgebruikers, moet het vertrouwelijke karakter van de communicatie via dergelijke netwerken worden beschermd. Het feit dat draadloze elektronische-communicatiediensten ondergeschikt kunnen zijn aan andere diensten, mag niet ten koste gaan van de bescherming van de vertrouwelijkheid van communicatiegegevens en de toepassing van deze verordening. Daarom moet deze verordening van toepassing zijn op elektronische-communicatiegegevens die gebruikmaken van elektronische-communicatiediensten en openbare communicatienetwerken. Deze verordening mag daarentegen niet van toepassing zijn op gesloten groepen eindgebruikers zoals bedrijfsnetwerken, waarvan de toegang beperkt is tot leden van de onderneming.
(14) Elektronische-communicatiegegevens moeten voldoende ruim en op technologisch neutrale wijze worden gedefinieerd zodat de definitie slaat op alle informatie die betrekking heeft op de doorgegeven of uitgewisselde inhoud (inhoud van elektronische communicatie), alsook op de informatie over eindgebruikers van elektronische-communicatiediensten die verwerkt wordt met het oog op de transmissie, de distributie of de uitwisseling van elektronische-communicatie-inhoud, waaronder gegevens om de bron en de bestemming, te traceren en te omschrijven de geografische lokalisatie en de datum, het tijdstip, de duur en het soort communicatie. Ongeacht of deze signalen en de bijbehorende gegevens door middel van kabels, radiogolven, optische of elektromagnetische middelen waaronder satellietnetwerken, kabelnetwerken, (circuit- en pakketgeschakelde, met inbegrip van internet) vaste en mobiele terrestrische netwerken of elektriciteitskabelsystemen worden overgebracht, de gegevens met betrekking tot deze signalen moeten worden beschouwd als elektronische-communicatiemetagegevens en moeten derhalve onderworpen zijn aan de bepalingen van deze verordening. Tot de elektronische-communicatiemetagegevens kan ook de informatie worden gerekend die deel uitmaakt van de inschrijving op de dienst, wanneer deze informatie verwerkt wordt met het oog op de transmissie, de distributie of de uitwisseling van elektronische-communicatie-inhoud.
(15) Elektronische-communicatiegegevens moeten als vertrouwelijk moeten worden behandeld. Dit betekent dat elke interferentie in de transmissie van elektronische-communicatiegegevens, hetzij rechtstreeks door menselijk ingrijpen, hetzij via de tussenkomst van geautomatiseerde verwerking door machines, zonder de toestemming van alle communicerende partijen, moet worden verboden. Het verbod op interceptie van communicatiegegevens moet gelden tijdens de overdracht ervan, met andere woorden totdat de inhoud van de elektronische communicatie door de beoogde geadresseerde is ontvangen. Het onderscheppen van elektronische communicatie kan zich bijvoorbeeld voordoen wanneer iemand anders dan de communicerende partijen naar oproepen luistert, de inhoud van elektronische communicatie of de bijbehorende metagegevens leest, scant of opslaat voor andere doeleinden dan de uitwisseling van communicatie. Interceptie vindt ook plaats wanneer derden toezicht houden op de bezochte websites, het tijdstip van de bezoeken, de interactie met anderen, enzovoort, zonder toestemming van de betrokken eindgebruiker. Naarmate de technologie zich verder ontwikkelt, zijn ook de technische mogelijkheden voor interceptie toegenomen. Deze middelen kunnen variëren van de installatie van apparatuur waarmee gegevens van eindapparatuur worden verzameld gegevens over welbepaalde terreinen, zoals de zogenoemde 'IMSI-catchers' (international mobile subscriber identity), tot programma’s en technieken die bijvoorbeeld ongemerkt surfgewoonten volgen om eindgebruikersprofielen te creëren. Andere voorbeelden van interceptie zijn het opvangen van payloadgegevens of gegevens over inhoud uit niet-versleutelde draadloze netwerken en routers, met inbegrip van surfgewoonten, zonder toestemming van de eindgebruiker.
(16) Het verbod op de opslag van communicatie is niet bedoeld om de automatische, tussentijdse en tijdelijke opslag van deze informatie te verbieden voor zover deze plaatsvindt met als uitsluitend doel de transmissie in het elektronische-communicatienetwerk tot stand te brengen. Evenmin mag een verbod worden ingesteld op verwerking van elektronische-communicatiegegevens om de veiligheid en de continuïteit van de elektronische-communicatiediensten te garanderen, waaronder de controle van veiligheidsbedreigingen zoals de aanwezigheid van malware of de verwerking van metagegevens om de vereiste kwaliteit van de dienstverlening, zoals latency, jitter, enz. te waarborgen.
(17) Verwerking van elektronische-communicatiegegevens kan nuttig zijn voor ondernemingen, consumenten en de samenleving in haar geheel. Ten opzichte van Richtlijn 2002/58/EG verruimt deze verordening de mogelijkheden voor aanbieders van elektronische-communicatiediensten om metagegevens van elektronische communicatie te verwerken op basis van de toestemming van eindgebruikers. Eindgebruikers hechten echter veel belang aan de vertrouwelijkheid van hun communicatie, waaronder hun onlineactiviteiten, en willen controle uitoefenen over het gebruik van elektronische-communicatiegegevens voor andere doeleinden dan de overdracht van de communicatie. Daarom moeten aanbieders van elektronische-communicatiediensten op basis van deze verordening ertoe verplicht worden van de eindgebruikers toestemming te verkrijgen voor de verwerking van elektronische-communicatiemetagegevens, waaronder gegevens betreffende de locatie van de apparatuur die gegenereerd worden om de toegang tot en de verbinding met de dienst te verlenen en te onderhouden. Locatiegegevens die in een andere context dan bij het aanbieden van elektronische communicatiediensten worden gegenereerd, hoeven niet te worden beschouwd als metagegevens. Als voorbeeld van commercieel gebruik van elektronische-communicatiemetagegevens door aanbieders van elektronische-communicatiediensten kan het verstrekken van 'heatmaps' worden aangehaald, een grafische voorstelling van gegevens met kleuren om de aanwezigheid van individuele personen aan te geven. Om verkeersbewegingen in bepaalde richtingen gedurende een bepaalde periode weer te geven, is een identificatiecode nodig om de posities van individuele personen op bepaalde tijdstippen met elkaar te verbinden. Deze identificatiecode zou ontbreken indien anonieme gegevens dienden te worden gebruikt en dan kon een dergelijke beweging niet worden weergegeven. Een dergelijk gebruik van elektronische-communicatiemetagegevens kan bijvoorbeeld nuttig zijn voor autoriteiten en exploitanten van openbaar vervoer om te bepalen waar zij nieuwe infrastructuur moeten ontwikkelen, op basis van het gebruik van en de druk op de bestaande structuur. Wanneer een bepaald soort verwerking van metagegevens van elektronische communicatie, in het bijzonder wanneer nieuwe technologieën worden gebruikt en rekening houdend met de aard, het bereik, de context en de doelen van de verwerking, een groot risico kan opleveren voor de rechten en vrijheden van natuurlijke personen, moet overeenkomstig de artikelen 35 en 36 van Verordening (EU) 2016/679 vóór de verwerking van de gegevens een effectbeoordeling inzake gegevensbescherming worden verricht en moet naargelang van het geval de toezichthoudende autoriteit worden geraadpleegd.
(18) De eindgebruikers kunnen hun toestemming voor de verwerking van hun metagegevens verlenen om specifieke diensten te ontvangen zoals diensten van bescherming tegen frauduleuze activiteiten (door analyse van gebruiksgegevens, locatie en klantenrekening in real time). In de digitale economie worden diensten vaak geleverd voor een andere tegenprestatie dan geld, bijvoorbeeld door eindgebruikers bloot te stellen aan reclame. Voor de toepassing van deze verordening moet de goedkeuring van een eindgebruiker, ongeacht of het om een natuurlijke dan wel een rechtspersoon gaat, dezelfde betekenis krijgen en aan dezelfde voorwaarden worden onderworpen als de toestemming van de betrokkene overeenkomstig Verordening (EU) 2016/679. Een basistoegang tot breedbandinternet en spraakcommunicatiediensten moeten worden beschouwd als essentiële diensten waarmee particulieren kunnen communiceren en deelnemen aan de voordelen van de digitale economie. De toestemming voor de verwerking van gegevens van internet- of spraakcommunicatiegebruik is niet geldig indien de betrokkene geen echte vrije keuze heeft of niet in staat is zijn toestemming te weigeren of in te trekken zonder nadelige gevolgen.
(19) De inhoud van elektronische communicatie behoort tot het wezen van het grondrecht op eerbiediging van het privéleven en het familie- en gezinsleven, de woning en de communicatie zoals beschermd door artikel 7 van het Handvest. Elke interferentie in de inhoud van elektronische communicatie mag alleen worden toegestaan onder zeer duidelijk omschreven voorwaarden, voor specifieke doeleinden en moet worden onderworpen aan passende waarborgen tegen misbruik. Deze verordening voorziet in de mogelijkheid voor aanbieders van elektronische-communicatiediensten om elektronische-communicatiegegevens in doorvoer te verwerken, op voorwaarde dat alle betrokken eindgebruikers hun toestemming met kennis van zaken hebben gegeven. Zo kunnen aanbieders diensten leveren die het scannen van e-mails impliceren om een aantal vooraf bepaalde materialen te verwijderen. Gezien de gevoeligheid van de inhoud van communicatie stelt deze verordening een vermoeden in dat de verwerking van dergelijke inhoudgegevens zal resulteren in hoge risico's voor de rechten en vrijheden van natuurlijke personen. Bij de verwerking van dit soort gegevens moet de aanbieder van de elektronische-communicatiediensten altijd de toezichthoudende autoriteit raadplegen voordat de verwerking plaatsvindt. Deze raadpleging dient te verlopen in overeenstemming met artikel 36, leden 2 en 3, van Verordening (EU) 2016/679. Het vermoeden geldt niet wanneer de verwerking van inhoudgegevens plaatsvindt om op verzoek van de eindgebruiker een dienst te verstrekken, wanneer de eindgebruiker heeft ingestemd met deze verwerking en deze wordt verricht voor de doeleinden en de duur die strikt noodzakelijk en evenredig zijn voor deze dienst. Nadat inhoud van elektronische communicatie door de eindgebruiker is verzonden en door de beoogde eindgebruiker of eindgebruikers is ontvangen, kan deze worden geregistreerd en opgeslagen door de eindgebruiker(s) of een derde die door hem belast is met de registratie en de opslag van deze gegevens. Elke verwerking van persoonsgegevens dient in overeenstemming te zijn met Verordening (EU) 2016/679.
(20) Eindapparatuur van gebruikers van elektronische-communicatienetwerken en informatie met betrekking tot het gebruik van dergelijke eindapparatuur, ongeacht of deze met name in dergelijke apparatuur wordt opgeslagen of daardoor wordt uitgezonden, wordt opgevraagd of verwerkt om een verbinding met andere apparaten of netwerkuitrusting mogelijk te maken, behoren tot de persoonlijke levenssfeer van de eindgebruikers die krachtens het Handvest van de grondrechten van de Europese Unie en het Europees Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden moet worden beschermd. Aangezien in dergelijke apparatuur gegevens zitten of verwerkt worden die nadere informatie kunnen vrijgeven over iemands persoonlijke, politieke of maatschappelijke ingesteldheid, waaronder de inhoud van de communicatie, foto’s, de locatie van de personen door gebruik van de GPS-functie van het apparaat, contactlijsten en andere informatie die reeds in het apparaat is opgeslagen, moet de informatie met betrekking tot deze apparaten een sterkere privacybescherming krijgen. Voorts kunnen zogenoemde spyware, webbugs, verborgen identificatoren, tracking cookies en andere soortgelijke ongewenste volgsystemen de eindapparatuur van de eindgebruiker zonder zijn medeweten binnendringen om toegang te zoeken tot informatie, verborgen informatie op te slaan of de activiteiten te volgen. Informatie met betrekking tot de uitrusting van eindgebruiker kan ook op afstand worden verzameld met het oog op identificatie en traceeractiviteit, met gebruik van technieken zoals de zogenoemde 'device fingerprinting', vaak zonder medeweten van de eindgebruiker, hetgeen kan leiden tot ernstig inbreuken op de persoonlijke levenssfeer van deze eindgebruikers. Technieken om ongemerkt handelingen van eindgebruikers te controleren, bijvoorbeeld door hun onlineactiviteiten op het internet of de locatie van hun eindapparatuur te volgen of de werking van de eindapparatuur van eindgebruikers te verstoren, vormen een ernstige bedreiging voor de privacy van de eindgebruikers. Daarom mag een dergelijke interferentie met de eindapparatuur van de eindgebruiker alleen worden toegestaan met de toestemming van de eindgebruiker en voor specifieke en transparante toepassingen.
(21) Uitzonderingen op het verplicht verkrijgen van toestemming om gebruik te maken van de verwerkings- en opslagcapaciteit van eindapparatuur of om toegang te krijgen tot informatie die in eindapparatuur is opgeslagen, moeten beperkt blijven tot situaties waarin er geen of slechts in zeer beperkte mate sprake is van inmenging in de persoonlijke levenssfeer. Zo hoeft geen toestemming te worden gevraagd om technische opslag of toegang mogelijk te maken wanneer dit strikt noodzakelijk en evenredig is voor het rechtmatige doel het gebruik mogelijk te maken van een specifieke dienst die een eindgebruiker uitdrukkelijk heeft aangevraagd. Het kan gaan om de opslag van cookies voor de duur van één bezoeksessie op een website waarop de gegevens van de eindgebruiker worden bijgehouden tijdens het invullen van een onlineformulier dat uit verschillende pagina’s bestaat. Cookies kunnen ook een legitiem en nuttig hulpmiddel zijn om bijvoorbeeld het bezoekersverkeer op een website te meten. In het geval van aanbieders van diensten van de informatiemaatschappij die de configuratie controleren om de dienst in overeenstemming met de instellingen van de eindgebruiker te verlenen, en bij het louter registreren van het feit dat het apparaat van de eindgebruiker niet in staat is de door de eindgebruiker opgevraagde inhoud te ontvangen, is er geen sprake van toegang tot het apparaat of gebruik van de verwerkingscapaciteit van het apparaat.
(22) De aangewende methoden om informatie te verstrekken en om de toestemming van de eindgebruiker te verkrijgen moeten zo gebruiksvriendelijk mogelijk zijn. Gezien het alomtegenwoordige gebruik van tracking cookies en andere volgtechnieken worden eindgebruikers steeds vaker verzocht om toestemming voor de opslag van dergelijke tracking cookies in hun eindapparatuur. Het gevolg is dat eindgebruikers worden overstelpt met verzoeken om toestemming. Het gebruik van technische middelen om toestemming te verlenen, bijvoorbeeld door middel van transparante en gebruiksvriendelijke instellingen, kan dit probleem verhelpen. Daarom moet deze verordening voorzien in de mogelijkheid om de toestemming uit te drukken door gebruik van passende instellingen van de browser of een andere applicatie. De keuzes die eindgebruikers maken bij het invoeren van de algemene privacyinstellingen van een browser of een andere applicatie, moeten bindend zijn en moeten kunnen worden afgedwongen ten aanzien van derden. Een webbrowser is een soort softwareapplicatie die het opvragen en het weergeven van informatie op het internet mogelijk maakt. Andere soorten applicaties, zoals applicaties om gesprekken te verrichten of boodschappen te verzenden of voor verkeersnavigatie, bieden ook dezelfde capaciteiten. Webbrowsers vervullen in vele gevallen een bemiddelende functie tussen de eindgebruiker en de website. Uit dit oogpunt bekleden zij een bevoorrechte positie en spelen zij om een actieve rol om de eindgebruiker te helpen greep te krijgen op de stroom van informatie van en naar de eindapparatuur. Meer in het bijzonder kunnen webbrowsers worden gebruikt als poortwachters en dus als hulpmiddel voor eindgebruikers om toegang tot informatie uit hun eindapparatuur (bijvoorbeeld computer, tablet of smartphone) of opslag van dergelijke informatie te voorkomen.
(23) De beginselen van gegevensbescherming door ontwerp en door standaardinstellingen werden vastgelegd in artikel 25 van Verordening (EU) 2016/679. Momenteel is de standaardinstelling voor cookies in de meest voorkomende browsers het 'aanvaarden van alle cookies'. Daarom moeten aanbieders van software voor het opvragen en het weergeven van informatie op het internet ertoe verplicht worden de software zo te configureren dat de optie wordt geboden om derden te verhinderen informatie in de eindapparatuur op te slaan; dit wordt vaak aangeboden als 'cookies van derden verwerpen'. Aan eindgebruikers moet een reeks privacyopties worden geboden, variërend van hogere (bijvoorbeeld "nooit cookies accepteren”) tot lagere privacy (bijvoorbeeld 'altijd cookies accepteren') met een tussenniveau (bijvoorbeeld 'cookies van derden verwerpen' of 'alleen first party cookies accepteren'). Deze privacyinstellingen moeten op een duidelijk zichtbare en begrijpelijke wijze worden gepresenteerd.
(24) Om de toestemming van eindgebruikers zoals gedefinieerd in Verordening (EU) 2016/679 te kunnen verkrijgen, bijvoorbeeld voor de opslag van tracking cookies van derden, moeten webbrowsers onder meer een ondubbelzinnige actieve handeling van de eindgebruiker van eindapparatuur eisen waaruit blijkt dat hij of zij vrijelijk, specifiek met kennis van zaken en ondubbelzinnig instemt met de opslag van en de toegang tot dergelijke cookies in en vanuit de eindapparatuur. Dergelijke handeling kan worden beschouwd als actief, bijvoorbeeld indien de eindgebruikers actief 'cookies van derden aanvaarden' moeten selecteren om hun toestemming te bevestigen en indien hun de nodige informatie wordt verstrekt om de keuze te maken. Daarom moeten aanbieders van software die internettoegang mogelijk maakt, ertoe verplicht worden eindgebruikers op het moment van de installatie te informeren over de mogelijkheid om tussen de verschillende opties de privacyinstellingen te kiezen en hen vragen om een keuze. De verstrekte informatie mag eindgebruikers er niet van weerhouden de hogere privacyinstellingen te selecteren en moet relevante informatie bieden over de risico’s die verbonden zijn aan de optie om opslag van cookies van derden in de computer toe te staan, onder meer met betrekking tot het verzamelen van langetermijngegevens uit de individuele browsergeschiedenis van een persoon en het gebruik van die gegevens om gerichte advertenties te sturen. Webbrowsers worden ertoe aangezet de eindgebruikers gemakkelijke middelen te verschaffen om de privacyinstellingen op elk moment tijdens het gebruik te wijzigen, en om de gebruiker uitzonderingen te laten maken of een witte lijst te laten aanleggen voor bepaalde websites of te laten verduidelijken voor welke websites cookies (van derden) nooit dan wel altijd zijn toegestaan.
(25) Voor de toegang tot elektronische-communicatienetwerken moet regelmatig een aantal gegevenspakketjes worden uitgezonden om een verbinding met het netwerk of met andere apparaten op het netwerk op te sporen of in stand te houden. Verder moet aan apparaten een uniek adres worden toegewezen om identificeerbaar te zijn om op dat netwerk. Ook voor draadloze- en mobieletelefoonnormen moeten actieve signalen worden uitgezonden met unieke identificatoren zoals een MAC-adres, de IMEI (International Mobile Equipment Identity station), de IMSI, enzovoort. Een enkel draadloos basisstation (d.w.z. een zender en ontvanger), zoals een draadloos toegangspunt, heeft een bepaald bereik waarbinnen deze informatie kan worden opgevangen. Er zijn dienstverrichters op de markt gekomen met een aanbod van volgdiensten op basis van het scannen van aan de uitrusting verbonden informatie, die diverse functies kunnen verrichten, onder meer het tellen van personen, de verstrekking van gegevens over het aantal personen in de wachtrij, de controle van het aantal mensen in een specifiek gebied, enz. Deze informatie kan worden gebruikt voor meer agressieve doeleinden, zoals het verzenden van commerciële boodschappen aan eindgebruikers, bijvoorbeeld bij het binnengaan van een winkel, met gepersonaliseerde aanbiedingen. Hoewel sommige van deze functies geen hoge risico’s voor de persoonlijke levenssfeer inhouden, wordt bij andere functies bijvoorbeeld gebruik gemaakt van het traceren van personen in de tijd, onder meer voor herhaalde bezoeken aan specifieke plaatsen. Aanbieders die zich op dergelijke praktijken toeleggen, moeten aan de rand van het dekkingsgebied duidelijk zichtbare berichten aanbrengen waarmee eindgebruikers voordat zij het afgebakende gebied betreden, worden geïnformeerd over de operationele werking van de technologie binnen een bepaalde perimeter, het doel van de volgtechniek, de persoon die daarvoor verantwoordelijkheid draagt en het bestaan van elke maatregel die de eindgebruiker van de eindapparatuur kan nemen om het verzamelen van gegevens te beperken of te beëindigen. Er moet aanvullende informatie worden verstrekt wanneer er persoonsgegevens overeenkomstig artikel 13 van Verordening (EU) nr. 2016/679 worden verzameld.
(26) Wanneer de verwerking van elektronische-communicatiegegevens door aanbieders van elektronische-communicatiediensten binnen het toepassingsgebied van de verordening valt, dient te worden voorzien in de mogelijkheid voor de Unie of de lidstaten om onder specifieke voorwaarden bepaalde rechten en verplichtingen bij wet te beperken indien een dergelijke beperking een noodzakelijke en evenredige maatregel in een democratische samenleving vormt ter bescherming van specifieke openbare belangen, waaronder de nationale veiligheid, de landsverdediging, de openbare veiligheid, het voorkomen, opsporen, onderzoeken of vervolgen van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van bedreigingen voor de openbare veiligheid en andere belangrijke doelstellingen van algemeen belang van de Unie of van een lidstaat, met name een belangrijk economisch of financieel belang van de Unie of een lidstaat, of een taak op het gebied van controle, inspectie of regelgeving die verbonden is aan de uitoefening van het openbaar gezag voor deze belangen. Deze verordening mag derhalve geen afbreuk doen aan het vermogen van de lidstaten om wettelijk toegestane interceptie van elektronische communicatie te verrichten of andere maatregelen te nemen, indien die noodzakelijk en evenredig is ter bescherming van de bovengenoemde openbare belangen, in overeenstemming met het Handvest van de grondrechten van de Europese Unie en het Europees Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden, zoals uitgelegd door het Hof van Justitie en het Europees Hof voor de rechten van de mens. Aanbieders van elektronische-communicatiediensten moeten zorgen voor passende procedures om legitieme verzoeken van bevoegde autoriteiten te vergemakkelijken, indien nodig ook rekening houdend met de rol van de overeenkomstig artikel 3, lid 3, aangewezen vertegenwoordiger.
(27) Wat de identificatie van de oproepende lijn betreft, moet bescherming worden geboden voor het recht van de oproeper om de weergave van de identificatie van het oproepende nummer te blokkeren en het recht van de opgeroepene om niet geïdentificeerde oproepen te weigeren. Bepaalde eindgebruikers, zoals hulplijnen en soortgelijke instanties, hebben er belang bij de anonimiteit van de oproepers te waarborgen. Wat de identificatie van het opgeroepen nummer betreft, moet het recht en het rechtmatige belang van de opgeroepene worden beschermd om de weergave van de identificatie van het nummer waarmee de oproeper in werkelijkheid verbonden is, te blokkeren.
(28) Het is gerechtvaardigd om in specifieke gevallen de uitschakeling van de identificatie van het oproepende nummer op te heffen. De rechten van eindgebruikers op bescherming van hun privéleven moeten worden beperkt wat betreft de identificatie van het oproepende nummer, wanneer dit noodzakelijk is om hinderlijke oproepen te traceren, en wat betreft de identificatie van het oproepende nummer en de locatiegegevens, wanneer dit noodzakelijk is om nooddiensten zoals eCall in staat te stellen hun taken zo effectief mogelijk uit te voeren.
(29) Er bestaat technologie waarmee aanbieders van elektronische-communicatiediensten de ontvangst van ongewenste oproepen van eindgebruikers op verschillende manieren kunnen beperken, onder meer door stille oproepen en andere frauduleuze en hinderlijke oproepen te blokkeren. Aanbieders van algemeen beschikbare nummergebaseerde persoonlijke communicatiediensten dienen deze technologie in te voeren en eindgebruikers kosteloos te beschermen tegen hinderlijke oproepen. Aanbieders moeten ervoor zorgen dat de eindgebruikers op de hoogte zijn van het bestaan van dergelijke functies, bijvoorbeeld door dit gegeven op hun website bekend te maken.
(30) Algemeen beschikbare telefoongidsen van eindgebruikers van elektronische-communicatiediensten zijn ruim verspreid. Een algemeen beschikbare telefoongids is een gids of dienst die informatie over eindgebruikers bevat zoals telefoonnummers (inclusief mobiele telefoonnummers), e-mailadressen, contactgegevens, en voorziet ook in inlichtingendiensten. Het recht op eerbiediging van het privéleven en op bescherming van de persoonsgegevens van natuurlijke personen vereist dat eindgebruikers die natuurlijke personen zijn, om toestemming worden verzocht voordat hun persoonlijke gegevens in een repertorium worden opgenomen. De rechtmatige belangen van rechtspersonen vereisen dat eindgebruikers die juridische entiteiten zijn, het recht hebben om bezwaar te maken tegen opname van de hen betreffende gegevens in een repertorium.
(31) Indien eindgebruikers die natuurlijke personen zijn, hun toestemming geven voor de opname van hun gegevens in dergelijke telefoongidsen, moeten zij door middel van hun toestemming kunnen bepalen welke categorieën persoonsgegevens in het repertorium worden opgenomen (bijvoorbeeld naam, e-mailadres, woonadres, gebruikersnaam, telefoonnummer). Daarnaast moeten eindgebruikers door aanbieders van algemeen beschikbare telefoongidsen worden geïnformeerd over de doeleinden van de gids en de zoekfuncties die deze biedt, voordat zij in de lijst worden opgenomen. Eindgebruikers moeten door middel van hun toestemming kunnen bepalen welke categorieën persoonsgegevens en contactgegevens kunnen worden opgevraagd. De categorieën persoonsgegevens die in het repertorium zijn opgenomen, en de categorieën persoonsgegevens op basis waarvan contactgegevens van eindgebruikers kunnen worden opgevraagd, hoeven niet noodzakelijk dezelfde te zijn.
(32) In deze verordening heeft direct marketing betrekking op elke vorm van reclame waarbij een natuurlijke of rechtspersoon directmarketingberichten rechtstreeks toezendt aan een of meer geïdentificeerde of identificeerbare eindgebruikers die gebruik maken van elektronische-communicatiediensten. Naast het aanbieden van producten en diensten voor commerciële doeleinden moet dit ook betrekking hebben op berichten die politieke partijen via elektronische-communicatiediensten aan natuurlijke personen zenden om hun partij te promoten. Hetzelfde moet gelden voor berichten van andere organisaties zonder winstoogmerk om de doelstellingen van de organisatie te ondersteunen.
(33) Er moeten garanties komen om eindgebruikers te beschermen tegen ongewenste communicatie voor directmarketingdoeleinden, die een inbreuk vormt op het privéleven van eindgebruikers. De mate waarin inbreuk de privacy wordt gepleegd en overlast wordt veroorzaakt, wordt vrij gelijk geacht onafhankelijk van het brede scala van technologieën en kanalen die voor deze elektronische communicatie worden gebruikt, of het nu gaat om automatische oproep- en communicatiesystemen dan wel om applicaties voor instant messaging, e-mail, SMS, MMS, bluetooth, enz. Met het oog op een doeltreffende bescherming van particulieren tegen inbreuken op hun persoonlijke levenssfeer en van de rechtmatige belangen van rechtspersonen, Het is het derhalve gerechtvaardigd voor te schrijven dat de toestemming van de eindgebruiker moet worden verkregen voordat commerciële elektronische communicatie voor doeleinden van direct marketing aan eindgebruikers kan worden toegezonden. Omwille van de rechtszekerheid en om ervoor te zorgen dat de regelgeving ter bescherming tegen ongewenste elektronische communicatie ook in de toekomst haar nut kan blijven bewijzen, moet één enkel pakket regels worden vastgesteld dat niet verschilt naargelang van de toegepaste technologie om deze ongewenste communicatie over te brengen, en moet tegelijkertijd een gelijkwaardig niveau van bescherming voor alle burgers in de hele Unie worden gewaarborgd. Het is echter redelijk het gebruik van e-mailcontactgegevens binnen de context van een bestaande klantrelatie toe te staan voor het aanbieden van soortgelijke producten of diensten. Deze mogelijkheid mag alleen maar openstaan voor dezelfde onderneming die de elektronische contactgegevens heeft verkregen overeenkomstig Verordening (EU) 2016/679.
(34) Wanneer een eindgebruiker zijn toestemming heeft gegeven om ongevraagde communicatie voor directmarketingdoeleinden te ontvangen, moet hij nog steeds de mogelijkheid hebben om zijn toestemming te allen tijde op eenvoudige wijze in te trekken. Met het oog op een doeltreffende handhaving van de Unievoorschriften inzake ongewenste direct marketing is een verbod noodzakelijk op het afschermen van de identiteit en het gebruiken van valse identiteiten, valse terugzendadressen of nummers bij verzending van ongevraagde commerciële communicatie van direct marketing. Ongevraagde commerciële communicatie moet derhalve duidelijk als zodanig herkenbaar zijn en moet melding maken van de identiteit van de rechtspersoon of de natuurlijke persoon die de mededeling verricht of namens wie het bericht wordt verzonden. Aan de ontvanger van het bericht moet de nodige informatie worden verstrekt om zijn hun recht van bezwaar tegen verdere ontvangst van schriftelijke en/of mondelinge reclameboodschappen uit te oefenen.
(35) Om de gemakkelijke intrekking van de toestemming mogelijk te maken, moeten natuurlijke of rechtspersonen die direct marketing per e-mail verrichten, een link of een geldig e-mailadres vermelden dat gemakkelijk door de eindgebruiker kan worden gebruikt om zijn toestemming in te trekken. Natuurlijke of rechtspersonen die zich toeleggen op direct marketing verrichten via spraakoproepen en oproepen door automatische oproep- en communicatiesystemen, moeten de identiteit bekendmaken van de lijn waarop de onderneming kan worden opgeroepen, of een specifieke code vermelden ter identificatie van het feit dat het om een marketingoproep gaat.
(36) Telefoongesprekken van direct marketing die geen gebruik maken van automatische oproep- en communicatiesystemen, zijn duurder voor de verzender en brengen geen financiële kosten mee voor de eindgebruiker. De lidstaten moeten daarom de mogelijkheid hebben nationale systemen in te stellen of te handhaven waarbij dergelijke oproepen alleen zijn toegestaan in het geval van eindgebruikers die geen bezwaar hebben gemaakt.
(37) Dienstverleners die elektronische-communicatiediensten aanbieden, moeten eindgebruikers in kennis stellen van maatregelen die zij kunnen nemen om de veiligheid van hun communicatie te beschermen, bijvoorbeeld door gebruik te maken van specifieke soorten software of encryptietechnologieën. Het voorschrift dat eindgebruikers in kennis moeten worden gesteld van bijzondere veiligheidsrisico's, ontheft de dienstenaanbieder niet van de verplichting om op eigen kosten onmiddellijk passende maatregelen te nemen om nieuwe onvoorziene veiligheidsrisico's te vermijden en het gebruikelijke beveiligingsniveau van de dienst te herstellen. Het verstrekken van informatie over veiligheidsrisico’s aan de abonnee dient kosteloos te geschieden. De beveiliging wordt beoordeeld in het licht van artikel 32 van Verordening (EU) 2016/679.
(38) Om volledige samenhang met Verordening (EU) 2016/679 te garanderen, moet de handhaving van de bepalingen van deze verordening worden toevertrouwd aan dezelfde autoriteiten die belast zijn met de handhaving van de bepalingen van Verordening (EU) 2016/679 en berust de onderhavige verordening op het coherentiemechanisme van Verordening (EU) 2016/679. De lidstaten moeten de mogelijkheid hebben om in overeenstemming met hun constitutionele, organisatorische en bestuurlijke structuur meer dan één toezichthoudende autoriteit in te stellen. De toezichthoudende autoriteiten moeten ook belast worden met het toezicht op de toepassing van deze verordening ten aanzien van elektronische-communicatiegegevens van juridische entiteiten. Dergelijke bijkomende taken mogen niet ten koste gaan van de capaciteit van de toezichthoudende autoriteit om haar taken met betrekking tot de bescherming van persoonsgegevens in het kader van Verordening (EU) nr. 2016/679 en deze verordening uit te oefenen. Elke toezichthoudende autoriteit dient te beschikken over de bijkomende financiële en personele middelen, dienstruimten en infrastructuur die nodig zijn om haar taken uit hoofde van deze verordening doeltreffend uit te voeren.
(39) Elke toezichthoudende autoriteit moet bevoegd zijn om op het grondgebied van haar lidstaat de bevoegdheden uit te oefenen en de taken uit te voeren die zijn vastgesteld in deze verordening. Met het oog op een consequente monitoring en handhaving van deze verordening in de hele Unie dienen de toezichthoudende autoriteiten in elke lidstaat dezelfde taken en effectieve bevoegdheden te hebben, onverminderd de bevoegdheden van de met vervolging belaste autoriteiten in het kader van de nationale wetgeving om inbreuken op deze verordening ter kennis te brengen van de gerechtelijke autoriteiten en in rechte op te treden. De lidstaten en hun toezichthoudende autoriteiten worden ertoe aangezet rekening te houden met de specifieke behoeften van micro-, kleine en middelgrote ondernemingen bij de toepassing van deze verordening.
(40) Om de handhaving van de regels van deze verordening te verbeteren dient elke toezichthoudende autoriteit bevoegd te zijn om sancties op te leggen, met inbegrip van administratieve boetes voor inbreuken op deze verordening, in aanvulling op of in plaats van andere passende maatregelen overeenkomstig deze verordening. In deze verordening dienen de inbreuken te worden benoemd, evenals de maxima en de criteria voor de vaststelling van de daaraan verbonden administratieve geldboetes, die per afzonderlijk geval door de bevoegde toezichthoudende autoriteit dienen te worden bepaald rekening houdend met alle relevante omstandigheden van de specifieke situatie en met inachtneming van met name de aard, de ernst en de duur van de inbreuk en van de gevolgen ervan en de maatregelen die zijn genomen om naleving van de verplichtingen uit hoofde van deze verordening te waarborgen en de gevolgen van de inbreuk te voorkomen of te beperken. Met het oog op de vaststelling van een geldboete uit hoofde van deze verordening moet een onderneming worden begrepen als een onderneming in overeenstemming met de artikelen 101 en 102 van het Verdrag.
(41) Met het oog op de verwezenlijking van de doelstellingen van deze verordening, namelijk de bescherming van de grondrechten en de fundamentele vrijheden van natuurlijke personen, in het bijzonder hun recht op bescherming van persoonsgegevens, en het waarborgen van het vrije verkeer van persoonsgegevens in de Unie, dient aan de Commissie de bevoegdheid te worden verleend om handelingen overeenkomstig artikel 290 VWEU vast te stellen. Met name dienen gedelegeerde handelingen te worden vastgesteld met betrekking tot de te verschaffen informatie, inclusief door middel van gestandaardiseerde iconen, om de betrokkene een goed zichtbaar en begrijpelijk overzicht te bieden van het verzamelen van gegevens uit eindapparatuur, de doelstelling daarvan, de persoon die daarvoor verantwoordelijk is en alle maatregelen die de eindgebruiker van de eindapparatuur kan nemen om het verzamelen van gegevens zoveel mogelijk te beperken. Ook moeten gedelegeerde handelingen worden vastgesteld om een code te bepalen voor identificatie van oproepen van direct marketing die onder meer via automatische oproep- en communicatiesystemen worden verricht. Het is van bijzonder belang dat de Commissie tot passende raadpleging overgaat overeenkomstig de beginselen die zijn neergelegd in het interinstitutioneel akkoord over beter wetgeven van 13 april 2016 25 . Met name om te zorgen voor gelijke deelname aan de voorbereiding van gedelegeerde handelingen ontvangen het Europees Parlement en de Raad alle documenten op hetzelfde tijdstip als de deskundigen van de lidstaten, en hebben hun deskundigen systematisch toegang tot de vergaderingen van de deskundigengroepen van de Commissie die de gedelegeerde handelingen voorbereiden. Om te zorgen voor uniforme voorwaarden voor de tenuitvoerlegging van deze verordening dienen aan de Commissie uitvoeringsbevoegdheden te worden verleend waar dit in deze verordening is bepaald. Die bevoegdheden moeten worden uitgeoefend overeenkomstig Verordening (EU) nr. 182/2011.
(42) Daar de doelstelling van deze verordening, namelijk het waarborgen van een gelijkwaardig niveau van bescherming voor natuurlijke personen en rechtspersonen en van het vrije verkeer van persoonsgegevens in de hele Unie, niet voldoende door de lidstaten alleen kan worden verwezenlijkt en derhalve, gezien de omvang en de gevolgen van de maatregelen, beter door de Unie kan worden verwezenlijkt, kan de Unie, overeenkomstig het in artikel 5 van het Verdrag betreffende de Europese Unie neergelegde subsidiariteitsbeginsel, maatregelen nemen. In overeenstemming met het evenredigheidsbeginsel van dat artikel gaat deze verordening niet verder dan hetgeen noodzakelijk is voor het bereiken van deze doelstelling,
(43) Richtlijn 2002/58/EG dient te worden ingetrokken.