Het recht op privacy is een fundamenteel mensenrecht dat is vastgelegd in diverse internationale, Europese en nationale regelgeving. In een tijdperk waarin digitale technologieën diepgaand zijn geïntegreerd in het dagelijks leven, is de bescherming van deze rechten belangrijker dan ooit. Privacy is nauw verbonden met gegevensbescherming, aangezien digitale technologieën en online diensten voortdurend grote hoeveelheden persoonsgegevens verzamelen en verwerken.
Hieronder bespreken we de belangrijkste regelgeving op het vlak van van privacy en gegevensbescherming.
1. Het recht op privacy en het recht op gegevensbescherming
Hoewel privacy en gegevensbescherming vaak in één adem worden genoemd, zijn het afzonderlijke rechten met unieke kenmerken en toepassingen:
- Privacy verwijst naar de bescherming van de persoonlijke levenssfeer. Het omvat zaken zoals persoonlijke relaties, huiselijke omgeving, gewoontes en gedachten. Privacybescherming strekt zich ook uit tot de vertrouwelijkheid van communicatie, bijvoorbeeld e-mails en telefoongesprekken. Het concept “privéleven” wordt in de rechtspraak ruim geformuleerd en kan ook aspecten van het openbare of beroepsleven omvatten.
- Gegevensbescherming heeft betrekking op de wettelijke regels voor de (geautomatiseerde) verwerking van persoonsgegevens. Dit omvat de rechten van individuen om controle uit te oefenen over hoe hun persoonsgegevens worden verzameld, gebruikt, opgeslagen en gedeeld. Gegevensbescherming omvat een systeem van controlemechanismen om bescherming te bieden aan personen wiens persoonsgegevens worden verwerkt.
2. Wettelijk kader
2.1 Verenigde Naties
Het recht op privacy is een erkend mensenrecht in verschillende internationale verdragen en verklaringen, waaronder:
- Universele Verklaring van de Rechten van de Mens (UVRM): Artikel 12 stelt dat niemand onderworpen mag worden aan willekeurige inmenging in zijn of haar privacy, familie, woning of correspondentie, noch aan aanvallen op zijn of haar eer en reputatie. Deze verklaring uit 1948 dient als een niet-bindend richtsnoer voor staten wereldwijd, maar legt de basis voor latere bindende verdragen.
- Internationaal Verdrag inzake Burgerrechten en Politieke Rechten (IVBPR of BUPO): Artikel 17 van het BUPO-verdrag, dat in 1966 werd aangenomen, legt soortgelijke bepalingen vast als de UVRM, maar heeft een bindend karakter voor de staten die het hebben geratificeerd. Het artikel verbiedt zowel willekeurige als onwettige inmenging in de privacy van personen.
- Verdrag inzake de Rechten van het Kind (IRVK): Artikel 16 beschermt het recht van kinderen op privacy en benadrukt dat zij dezelfde bescherming verdienen tegen willekeurige inmenging in hun privéleven als volwassenen.
In deze verdragen wordt het recht op gegevensbescherming niet vermeld.
De VN heeft ook beleidsdocumenten aangenomen over de impact van moderne technologieën op de privacy in het digitale tijdperk, zoals kunstmatige intelligentie en massale surveillance, op het recht op privacy. In een resolutie van 7 oktober 2021 heeft de VN-Mensenrechtenraad gewezen op de gevaren van geavanceerde technologieën voor de privacy en opgeroepen tot een adequate wettelijke bescherming.
2.2 Raad van Europa
De Raad van Europa, opgericht in 1949, bestaat uit 46 staten (waaronder de EU lidstaten) en heeft een aantal belangrijke teksten aangenomen die het recht op privacy waarborgen.
2.2.1 Europees Verdrag voor de Rechten van de Mens (EVRM)
Artikel 8 van het Europees Verdrag voor de Rechten van de Mens (EVRM), dat in 1950 werd aangenomen, stelt dat iedereen recht heeft op respect voor zijn privé- en gezinsleven, zijn woning en zijn correspondentie. Dit recht is echter niet absoluut; inmenging door de overheid is mogelijk indien dat noodzakelijk is in een democratische samenleving, bijvoorbeeld voor nationale veiligheid of de bescherming van de gezondheid. Het Europees Hof voor de Rechten van de Mens (EHRM) gevestigd in Straatsburg, speelt een belangrijke rol bij de interpretatie van artikel 8 en heeft vastgesteld dat “privéleven” een breed scala aan zaken omvat, zoals identiteit, persoonlijke ontwikkeling en zelfs aspecten van iemands werkende leven.
2.2.2 Conventie 108+
De Conventie voor de bescherming van personen met betrekking tot de geautomatiseerde verwerking van Persoonsgegevens (Conventie 108), die oorspronkelijk in 1981 werd aangenomen, was het eerste bindende internationale verdrag specifiek gericht op de bescherming van persoonsgegevens. De gemoderniseerde versie, Conventie 108+, biedt een actueel juridisch kader dat rekening houdt met de uitdagingen van het digitale tijdperk. Het stelt dat persoonsgegevens alleen mogen worden verwerkt wanneer dat eerlijk en rechtmatig gebeurt, voor specifieke en legitieme doeleinden, en dat gegevens alleen mogen worden bewaard zolang als noodzakelijk is voor die doeleinden. Bovendien worden er strengere eisen gesteld aan de verwerking van gevoelige gegevens, zoals informatie over ras, gezondheid en politieke overtuigingen. Alle leden van de Raad van Europa (en dus alle EU lidstaten) hebben deze conventie geratificeerd en zijn er door gebonden.
2.3 Europese Unie
De Europese Unie heeft privacy en gegevensbescherming verankerd in haar primaire en secundaire wetgeving.
2.3.1 Primaire regelgeving
In het Verdrag betreffende de werking van de Europese Unie (VWEU), stelt artikel 16.1 dat eenieder recht heeft op bescherming van zijn persoonsgegevens. Artikel 6.3 van het Verdrag betreffende de Europese Unie (VEU) bepaalt dat de grondrechten, zoals zij worden gewaarborgd door het EVRM, als algemene beginselen deel uitmaken van het EU-recht.
Het Handvest van de Grondrechten van de Europese Unie (HGEU), dat sinds 2009 van kracht is, bevat specifieke bepalingen over privacy en gegevensbescherming:
- Artikel 7 garandeert het recht op respect voor privé- en gezinsleven, woning en communicatie.
- Artikel 8 erkent expliciet het recht op bescherming van persoonsgegevens en legt vast dat dergelijke gegevens eerlijk moeten worden verwerkt, voor specifieke doeleinden en op basis van toestemming of een andere legitieme grondslag.
Deze beide rechten zijn wel niet absoluut en kunnen dan ook in bepaalde omstandigheden beperkt worden, bijvoorbeeld om hen in balans te brengen met de expressie- en informatievrijheid. Deze beperkingen moeten volgens artikel 52.1 HGEU evenwel wettelijk zijn, noodzakelijk in een democratische samenleving, een legitiem doel hebben en de wezenlijke inhoud van deze rechten eerbiedigen. Zo oordeelde het Hof van Justitie in de Digital Rights Ireland zaak uit 2014 dat de (voormalige) Dataretentierichtlijn in strijd was met artikel 7 en 8 HGEU.
2.3.2 Secundaire regelgeving
De secundaire wetgeving van de EU is van groot belang voor de bescherming van persoonsgegevens. De belangrijkste instrumenten zijn:
- Algemene Verordening Gegevensbescherming (AVG/GDPR): De AVG harmoniseert de gegevensbeschermingsregels in de hele EU en legt de regels vast waaronder persoonsgegevens kunnen worden verwerkt alsook de rechten van betrokkenen, zoals het recht op toegang tot, rectificatie en verwijdering van hun persoonsgegevens. De AVG introduceert ook het principe van gegevensbescherming door ontwerp en standaardinstellingen, verplicht in bepaalde gevallen organisaties om een functionaris voor gegevensbescherming aan te stellen en legt hen een verantwoordingsplicht op. De AVG is in alle EU-lidstaten van kracht geworden op 25 mei 2018.
- ePrivacy Richtlijn: Deze richtlijn heeft als doel om de privacy en vertrouwelijkheid van communicatie te verzekeren en stelt regels vast voor de verwerking van persoonsgegevens in de elektronische communicatiesector (zoals verkeers- en locatie gegevens). In het bijzonder bevat artikel 5.1 het principe dat communicatie vertrouwelijk moet zijn.
Er wordt momenteel gewerkt aan een vervanging van de ePrivacy Richtlijn door een Privacy Verordening, die beter inspeelt op de huidige technologische ontwikkelingen zoals VoIP, online gedragstracking, berichtendiensten etc. Het is de bedoeling dat deze verordening de AVG op een aantal punten aanvullen. Momenteel is er nog geen consensus bereikt over een definitieve tekst.
2.4 België
In België is het recht op privacy opgenomen in Artikel 22 van de Grondwet, waarin wordt gesteld dat iedereen recht heeft op respect voor zijn privéleven, behalve in gevallen waarin de wet anders bepaalt.
De voorbije jaren botste het recht op privacy in België vaak met de toepassing van digitale technologieën, zoals bij de verplichte vingerafdrukken op identiteitskaarten (van minderjarigen), dataretentie, gezichtsherkenningstechnologie door politie, bewakingscamera’s in publieke ruimtes. Ook de Covid19 pandemie bracht controverse op het vlak van contacttracering, temperatuurcontroles op luchthavens en de surveillance van werknemers.
Het recht op gegevensbescherming werd voor het eerst geregeld door de wet van 8 december 1992 tot bescherming van de persoonlijke levensfeer ten opzichte van de verwerking van persoonsgegevens. Deze wet werd vervangen door de wet verwerking persoonsgegevens van 30 juli 2018, die een aantal bepalingen bevat die de AVG nader uitwerkt en bijvoorbeeld aanvullende waarborgen biedt voor de verwerking van gevoelige gegevens, zoals biometrische en gezondheidsgegevens. Deze wet legt de leeftijd waarop minderjarigen rechtmatig toestemming kunnen geven voor de verwerking van hun persoonsgegevens met betrekking tot diensten van de informatiemaatschappij vast op 13 jaar.
De Gegevensbeschermingsautoriteit (GBA) (de opvolger van de Privacycommissie) is de toezichthouder die verantwoordelijk is voor de handhaving van de AVG in België. De GBA behandelt klachten, voert onderzoeken uit en kan sancties opleggen wanneer de wet overtreden wordt. Daarnaast geeft de GBA richtlijnen en adviezen om de naleving van de AVG en te bevorderen.
3. Hoe kan ons advocatenkantoor u helpen
Digitale technologieën zijn onlosmakelijk verbonden met de manier waarop individuen vandaag de dag leven en werken. Apparaten zoals smartphones, tablets, slimme speakers en fitness trackers zijn wijdverspreid in huishoudens, en de toepassing van digitale technologieën strekt zich uit tot gezondheidszorg, openbaar bestuur, onderwijs en zelfs publieke veiligheid. Tijdens de Covid-19-pandemie is het belang van digitale technologieën voor de toegang tot diensten, zoals online onderwijs en teleconsultaties in de gezondheidszorg, sterk toegenomen.
Met deze technologische vooruitgang ontstaan echter ook risico’s. Het vermogen van technologie om enorme hoeveelheden persoonlijke gegevens te verzamelen en op te slaan stelt de privacy van individuen onder druk. De verzameling van gevoelige informatie, zoals locatiegegevens, biometrische gegevens (bijv. gezichtsherkenning en vingerafdrukken), en online gedragsprofielen, kan leiden tot aanzienlijke inbreuken op de persoonlijke levenssfeer. Bovendien maken sociale media en slimme apparaten het mogelijk om het gedrag van individuen in detail te volgen, wat kan resulteren in ongewenste profilering of discriminatie.
Het recht op privacy en gegevensbescherming is van essentieel belang in het digitale tijdperk. Ondanks de uitgebreide wetgeving blijft de bescherming van deze rechten een uitdaging door de voortdurende technologische ontwikkelingen. Ons advocatenkantoor biedt uitgebreide ondersteuning en juridische expertise op het gebied van privacy en gegevensbescherming. Wij helpen met:
- Compliance en audits: Beoordeling van naleving van de AVG en nationale regelgeving.
- Beleidsadvies: Opstellen van privacybeleid en richtlijnen.
- Geschillenbeslechting: Vertegenwoordiging in juridische procedures en conflicten met de GBA.