FOR PREVIEWING & TESTING PURPOSES ONLY.
This notification will disappear once the page will be published.
This link is available for less than 30 minutes.
  • Makkelijk te lezen
  • Tekstgrootte

Wilt u een klacht indienen tegen een instelling of orgaan van de EU?

Huidige taal: 
  • Nederlands
Brontaal: 
beschikbare talen: 
De vertaling van deze pagina is automatisch geproduceerd met behulp van machinevertaling.
Machinevertalingen kunnen fouten bevatten die de duidelijkheid en nauwkeurigheid van de informatie kunnen schaden; de Ombudsman kan niet aansprakelijk worden gehouden voor eventuele afwijkingen. Voor de grootste mate van betrouwbaarheid en rechtszekerheid wordt verwezen naar de bronversie in het Engels (klik op de link hierboven).
Meer informatie vindt u in ons taal- en vertaalbeleid.

Besluit van de Europese Ombudsman inzake klacht 224/2004/PB tegen de Europese Commissie

De klacht betrof een antwoord van de vertegenwoordiging van de Commissie in Kopenhagen op een verzoek van klager om informatie over de verwerking van zijn gegevens. Het bleek dat (1) op 10 juni 2003 de Vertegenwoordiging klager had gebeld in verband met een verzoek om toegang van het publiek tot documenten. Diezelfde dag heeft klager de Vertegenwoordiging verzocht hem te informeren over de wijze waarop zij zijn telefoonnummer had verkregen. De vertegenwoordiging deelde hem op 13 juni 2003 mee dat zijn telefoonnummer "door u was vermeld in uw [vorige] klacht bij de Europese Ombudsman"; (2) Op 14 juni 2003 verzocht klager de Vertegenwoordiging om volledige informatie over de verwerking van zijn persoonsgegevens. Zijn verzoek is ingediend op grond van de Deense wetgeving inzake gegevensbescherming ter uitvoering van Richtlijn 95/46/EG, die in wezen dezelfde vereisten bevat als die van artikel 13 van Verordening (EG) nr. 45/2001. Op 1 juli 2003 deelde de Vertegenwoordiging klager het volgende mee: "[a]s een addendum bij mijn brief aan u van 13 juni 2003, referentie [...], voeg ik een afdruk uit ons register van inkomende en uitgaande post bij. Zoals u kunt zien, bent u geregistreerd als 'Private Person from [town] in Denmark' met het adres '[address]'. Uw naam staat geregistreerd als '[naam]'. De meest recente update is de datum van vandaag (01/07/2003) waarop de afdruk is gemaakt. De vertegenwoordiging van de Commissie in Denemarken heeft niet eerder andere persoonsgegevens onder uw naam geregistreerd." (nadruk toegevoegd); (3) Vervolgens deelde de Vertegenwoordiging klager in een brief van 27 augustus 2003 mee dat "de gegevens in ons register van uzelf afkomstig waren. Om contact met u op te nemen, hebben we echter gezocht naar een telefoonnummer in de internetservice van TDC. Dit nummer, dat niet correct bleek te zijn, is opgenomen in ons register, maar is vervolgens verwijderd." (nadruk toegevoegd.)

Uit de feiten bleek dat de vertegenwoordiging van de Commissie klager in haar brief van 13 juni 2003 niet had meegedeeld of het telefoonnummer dat zij op 10 juni 2003 had gebruikt om contact met hem op te nemen, daadwerkelijk was geregistreerd of niet. Pas in haar in de loop van het onderhavige onderzoek overgelegde advies heeft de Commissie verduidelijkt dat dit telefoonnummer niet was geregistreerd. Voorts bleek dat toen de vertegenwoordiging klager op 27 augustus 2003 in kennis stelde van het onjuiste telefoonnummer dat onder zijn naam was geregistreerd en dat vervolgens was geschrapt, zij geen informatie had verstrekt over het tijdstip waarop dat nummer was geregistreerd of dat het was geschrapt. Bovendien blijkt uit de brief van de vertegenwoordiging van 27 augustus 2003 dat haar brief van 1 juli 2003, waarin zij had verklaard dat de "vertegenwoordiging van de Commissie in Denemarken niet eerder andere persoonsgegevens onder uw naam heeft geregistreerd", onjuist was, aangezien in deze brief niet het onjuiste telefoonnummer werd vermeld dat was geregistreerd. Op basis van deze bevindingen is de Ombudsman van oordeel dat de vertegenwoordiging geen correcte en gemakkelijk te begrijpen informatie heeft verstrekt overeenkomstig artikel 13 van Verordening (EG) nr. 45/2001. Dit was een geval van wanbeheer en de Ombudsman had kritiek op de Commissie. Voorts heeft de Ombudsman de Europese Toezichthouder voor gegevensbescherming van zijn besluit in kennis gesteld.

In een daaropvolgende brief van 7 december 2005 aan de Ombudsman betreurde de Commissie dat artikel 13 van Verordening (EG) nr. 45/2001 in deze zaak was geschonden. De vertegenwoordiging van de Commissie in Denemarken wordt eraan herinnerd dat de regels inzake gegevensbescherming altijd in acht moeten worden genomen.


Straatsburg, 23 maart 2005

Geachte heer X.,

Op 18 januari 2004 heeft u bij de Europese Ombudsman een klacht ingediend over vermeende inbreuken op Verordening (EG) nr. 45/2001 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de communautaire instellingen en organen. In uw klacht heeft u mij verzocht geen persoonsgegevens over uzelf te publiceren. Ik heb daarom besloten uw klacht als vertrouwelijk aan te merken.

Op 18 februari 2004 heb ik de klacht doorgestuurd naar de voorzitter van de Europese Commissie. De Commissie heeft haar advies op 27 mei 2004 toegezonden en ik heb u verzocht desgewenst opmerkingen te maken. Op 31 juli 2004 heeft u mij een mededeling gestuurd met diverse opmerkingen. In die mededeling werd verduidelijkt dat de opmerkingen niet als opmerkingen over het advies van de Commissie mogen worden beschouwd en behandeld.

Ik schrijf u nu om u de resultaten te laten weten van de onderzoeken die zijn gedaan.

Mijn excuses voor de tijd die het heeft gekost om uw klacht te behandelen.


Het KLACHT

Op 10 juni 2003 verzocht klager de vertegenwoordiging van de Commissie in Denemarken om een "mededeling" (in het Deens "meddelelse") op grond van artikel 31 van de Deense wetgeving inzake gegevensbescherming, waarmee Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1) ten uitvoer wordt gelegd. De gevraagde "mededeling" was de in artikel 12, sub a, van richtlijn 95/46 bedoelde informatie, op grond waarvan betrokkenen recht hebben op toegang tot informatie over gegevens die over hen worden bewaard (2).

In zijn verzoek merkte klager op dat een personeelslid van de vertegenwoordiging van de Commissie diezelfde dag telefonisch contact met hem had opgenomen (3). Klager had het betrokken personeelslid gevraagd hoe hij in het bezit was gekomen van zijn telefoonnummer. Hij had vernomen dat het telefoonnummer in "enige correspondentie" stond.

Op 13 juni 2003 zond de vertegenwoordiging klager een antwoord, waarvan het desbetreffende deel de volgende verklaring bevatte (vertaling door de diensten van de Ombudsman):

"Op 10 juni 2003 heb ik u gebeld. Uw naam, adres en telefoonnummer zijn door u vermeld in uw klacht bij de Europese Ombudsman (4). Deze klacht is vervolgens door de Europese Ombudsman voor commentaar naar de Commissie gestuurd."

Klager was van mening dat dit antwoord niet voldeed aan de vereisten met betrekking tot een "gegevensmededeling". Op 14 juni 2003 diende hij een klacht in bij de Deense autoriteit voor gegevensbescherming.

Op 1 juli 2003 zond de vertegenwoordiging van de Commissie klager nog een brief. De brief bevatte de volgende verklaring (vertaling door de diensten van de Ombudsman):

"Als aanvulling op mijn brief aan u van 13 juni 2003, referentie 150603, voeg ik een afdruk bij uit ons register van inkomende en uitgaande post. Zoals u kunt zien, bent u geregistreerd als 'Private Person from [town] in Denmark' met het adres '[address]'. Uw naam staat geregistreerd als '[naam]'. De meest recente update is de datum van vandaag (01/07/2003) waarop de afdruk is gemaakt. De vertegenwoordiging van de Commissie in Denemarken heeft nog niet eerder andere persoonsgegevens onder uw naam geregistreerd."

Op 21 juli 2003 deelde de Deense autoriteit voor gegevensbescherming klager mee dat zij van mening was dat de vertegenwoordiging in overeenstemming met de Deense wetgeving inzake gegevensbescherming had gehandeld. Zij verwees naar de hierboven geciteerde brief van de vertegenwoordiging van 1 juli 2003, waarvan zij een afschrift bijvoegde. Zij heeft ook een kopie bijgevoegd van de brief die de vertegenwoordiging haar naar aanleiding van de klacht van klager had toegezonden aan de Deense autoriteit voor gegevensbescherming. Deze brief bevatte hoofdzakelijk verwijzingen naar de brief van de vertegenwoordiging van 1 juli 2003 aan klager. De Deense gegevensbeschermingsautoriteit zond klager ook een kopie van de brief aan de vertegenwoordiging.

Op 4 augustus 2003 heeft klager de gegevensbeschermingsautoriteit verzocht haar besluit te herzien. Hij merkte op dat de "gegevenscommunicatie" die hij had ontvangen geen betrekking leek te hebben op gegevens die onder zijn naam waren geregistreerd op de datum waarop hij zijn verzoek om de communicatie had ingediend. Hij merkte op dat hij zijn verzoek op 10 juni 2003 had ingediend, maar dat in de mededeling van de vertegenwoordiging werd verwezen naar een latere datum (d.w.z. de actualisering op 1 juli 2003). Klager merkte voorts op dat hij niet van mening was dat hem alle informatie was verstrekt die hij op grond van artikel 31 van de Deense wetgeving inzake gegevensbescherming had moeten ontvangen. Dit artikel bepaalt dat de "gegevensoverdracht" het volgende omvat:

1. de gegevens die worden verwerkt;

2. de doeleinden van de verwerking;

3. de categorieën ontvangers van de gegevens; en

4. alle beschikbare informatie over de bron van dergelijke gegevens.

Klager was van mening dat hem geen informatie was verstrekt over de punten 2 tot en met 4.

De Deense autoriteit voor gegevensbescherming deelde klager op 25 augustus 2003 mee dat zij de vertegenwoordiging van de Commissie had verzocht (1) haar informatie te verstrekken over de vraag of er sinds 10 juni 2003 (d.w.z. de datum waarop hij zijn verzoek om een "gegevensmededeling" indiende) een herziening had plaatsgevonden van de onder de naam van klager geregistreerde persoonsgegevens en (2) klager informatie te verstrekken over de categorieën 2 tot en met 4 van artikel 31 van de bovengenoemde Deense wetgeving inzake gegevensbescherming.

Op 27 augustus 2003 zond de vertegenwoordiging van de Commissie brieven aan de Deense gegevensbeschermingsautoriteit en aan klager. Het relevante deel van de brief aan de Gegevensbeschermingsautoriteit bevatte de volgende verklaring (vertaling door de diensten van de Ombudsman):

"Als addendum bij onze brief aan u van 3 juli 2003, kenmerk 150683, kan ik u meedelen dat eerder een telefoonnummer in ons register is opgenomen. Dit telefoonnummer werd verwijderd nadat ik [klager] had gebeld en duidelijk was meegedeeld dat hij niet met mij wilde spreken en dat hij niet telefonisch wenste te worden gecontacteerd. Er zijn vervolgens geen schrappingen of toevoegingen gedaan aan de basisinformatie in ons register."

In de brief aan klager schreef de Vertegenwoordiging het volgende (vertaling door de diensten van de Ombudsman):

"Hierbij wordt u meegedeeld dat

• in ons interne register wordt inkomende en uitgaande post geregistreerd onder de naam van de persoon of organisatie waarmee wij contact hebben, waaronder naam, adres en, indien van toepassing, telefoonnummer, faxnummer en/of e-mailadres. De informatie is opgenomen in de bijlage bij de brief van 3 juli 2003 aan u, kenmerk 150681 (5);

• het doel van de verwerking is te zorgen voor een correct beheer van onze inkomende en uitgaande post;

• het register is uitsluitend bestemd voor intern gebruik door de Europese Commissie en de gegevens worden niet doorgegeven;

• de gegevens in ons register zijn van uzelf afkomstig. Om contact met u op te nemen, hebben we echter gezocht naar een telefoonnummer in de internetdienst van TDC [de Deense openbare telefoonmaatschappij]. Dit nummer, dat niet correct bleek te zijn, is opgenomen in ons register, maar is vervolgens geschrapt."

Op 16 december 2003 deelde de gegevensbeschermingsautoriteit klager mee dat zij van mening was dat de vertegenwoordiging in overeenstemming met de Deense wetgeving inzake gegevensbescherming had gehandeld. Zij verwees naar de hierboven aangehaalde brieven van 27 augustus 2003, waarvan zij kopieën bijvoegde.

In zijn klacht bij de Ombudsman beweerde klager dat de vertegenwoordiging Verordening (EG) nr. 45/2001 van het Europees Parlement en de Raad van 18 december 2000 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de communautaire instellingen en organen en betreffende het vrije verkeer van die gegevens (6) had geschonden. Hij was van mening dat de vertegenwoordiging artikel 12, lid 7, van de verordening had geschonden door informatie over hem uit andere bronnen dan zichzelf te verzamelen, en dat zij artikel 13, lid 8, had geschonden door hem geen gemakkelijk te begrijpen informatie te verstrekken over de verwerking van zijn persoonsgegevens door de vertegenwoordiging. Wat dit laatste betreft, merkte klager met name op dat de twee bovengenoemde brieven van 27 augustus 2003 in één opzicht inconsistent leken. Hij wees erop dat de brief aan de Deense autoriteit voor gegevensbescherming in feite twee telefoonnummers betrof, namelijk i) het onjuiste nummer dat uit het register van de vertegenwoordiging was geschrapt en ii) - althans indirect - het juiste nummer als de brief waarin werd verwezen naar een telefoongesprek dat de vertegenwoordiging met hem had gevoerd. In de brief aan klager werd alleen verwezen naar het onjuiste telefoonnummer. Klager concludeerde dat de Vertegenwoordiging twee telefoonnummers onder zijn naam moet hebben geregistreerd, en niet slechts één zoals vermeld in haar brief aan hemzelf.

In zijn klacht heeft klager voorts de volgende argumenten uiteengezet (vertaling door de diensten van de Ombudsman):

"1) dat erkend wordt dat de vertegenwoordiging van de Commissie in Kopenhagen een persoon in dienst heeft die liegt, en die bovendien zo dom is, dat hij denkt dat hij weg kan komen met het vertellen van verschillende versies aan de toezichthoudende autoriteit en de burger.

2) dat wordt erkend dat de vertegenwoordiging van de Commissie in Kopenhagen op onrechtmatige wijze telefoonnummers heeft verzameld van een particulier die deze nummers niet zelf heeft verstrekt, zonder deze persoon daarvan in kennis te stellen.

3) dat de Europese Ombudsman aantoont in staat te zijn de klacht van een burger tegen de Commissie te behandelen zonder te worden gedwongen het advies van de Commissie eenvoudigweg in zijn besluit over te nemen, en tegen elke prijs zonder goede vrienden met de Commissie te hoeven blijven."

Om de in deel 1 van het besluit hieronder uiteengezette redenen heeft de Ombudsman de Commissie niet verzocht deze argumenten te behandelen. Het verzoek van de Ombudsman om advies over de klacht verwees alleen naar de hierboven samengevatte beweringen.

Het onderzoek

Advies van de Commissie

De klacht werd doorgestuurd naar de Commissie, die de volgende opmerkingen maakte:

1. De Commissie neemt nota van de opmerkingen van klager over de vermeende onbevredigende toegang tot en kennisgeving van zijn door de vertegenwoordiging van de Europese Commissie in Denemarken geregistreerde persoonsgegevens.

2. Klager stelt dat de wijze waarop zijn zaak door de vertegenwoordiging is behandeld, een inbreuk vormt op artikel 12 (betreffende de verzameling van persoonsgegevens uit andere bronnen dan de betrokkene) en artikel 13 (betreffende begrijpelijke kennisgeving hiervan) van Verordening (EG) nr. 45/2001.

3. Deze zaak houdt verband met een eerdere klacht van klager bij de Europese Ombudsman (5/2003/PB). Om klager zo goed mogelijk van dienst te zijn met betrekking tot zijn latere verzoek om toegang tot de documenten betreffende die klacht, had de vertegenwoordiging getracht persoonlijk telefonisch contact met hem op te nemen.

4. Als achtergrondinformatie moet bovendien worden opgemerkt dat de huidige klacht van klager reeds bij de Deense toezichthoudende autoriteit voor gegevens is ingediend met het argument dat de vertegenwoordiging geen passende kennisgeving heeft gedaan op grond van artikel 31 van de Deense wet inzake persoonsgegevens. Hoewel de Deense toezichthoudende autoriteit voor gegevens in beginsel mogelijk niet verplicht was deze klacht over gegevensverwerking binnen een instelling van de Europese Unie (in tegenstelling tot een nationale autoriteit) te behandelen, heeft zij de zaak wel onderzocht en na een grondig onderzoek van de Deense wetgeving (waarin de formulering betreffende kennisgevingen vrijwel identiek is aan die van Verordening (EG) nr. 45/2001) op 21 juli 2003 besloten geen verdere maatregelen ter zake te nemen.

5. Met betrekking tot deze klacht bij de Europese Ombudsman wenst de Commissie de Europese Ombudsman te informeren over de volgende gang van zaken:

Op 10 juni 2003 heeft de vertegenwoordiging van de Europese Commissie in Kopenhagen klager tweemaal gebeld om te verduidelijken naar welke documenten in zijn brief van 29 mei 2003 aan de vertegenwoordiging werd verwezen met het verzoek om toegang tot documenten in verband met zijn klacht 5/2003/PB aan de Europese Ombudsman.

Het eerste telefoonnummer dat werd gebruikt om contact op te nemen met klager, werd door de vertegenwoordiging verkregen via een zoekopdracht op de website van de TDC (de Deense nationale telefoonmaatschappij) op basis van de naam en het adres die klager zelf in een e-mail van 4 november 2002 aan de vertegenwoordiging had gegeven. De vertegenwoordiging heeft dit TDC-nummer geregistreerd in het register van inkomende en uitgaande post van de vertegenwoordiging (d.w.z. Adonis). Klager antwoordde echter niet en de vertegenwoordiging kreeg te horen dat hij niet kon worden gevonden op het telefoonnummer in kwestie. Bijgevolg concludeerde de vertegenwoordiging dat het nummer onjuist was.

In haar verlangen om te weten te komen tot welke dossiers of documenten klager toegang vroeg, realiseerde de vertegenwoordiging zich vervolgens dat bij een brief van 11 februari 2003 van het directoraat-generaal Pers en Communicatie aan het toenmalige hoofd van de vertegenwoordiging, de heer J., een document was gevoegd, namelijk klacht 5/2003/PB bij de Europese Ombudsman, waarin klager zelf zijn privételefoonnummer had vermeld. De vertegenwoordiging heeft vervolgens naar dit nummer gebeld en klager heeft geantwoord. Klager reageerde echter zeer boos op de oproep en verklaarde dat hij niet langer telefonisch gecontacteerd wilde worden. Dus eigenlijk was dit nummer het juiste telefoonnummer, maar het werd nooit geregistreerd. Hierna heeft de vertegenwoordiging, in overeenstemming met de duidelijke instructies van de klager, het bovengenoemde TDC-nummer uit het Adonis-register geschrapt. Om dezelfde reden schreef de vertegenwoordiging klager in plaats daarvan een brief van 11 juni 2003 met de mogelijke relevante documenten voor klacht 5/2003/PB.

Als gevolg van de bovenstaande telefoongesprekken schreef klager diezelfde dag een brief aan de vertegenwoordiging met het verzoek om toegang tot de correspondentie die de vertegenwoordiging in staat had gesteld zijn telefoonnummer te verkrijgen en met het verzoek om een passende kennisgeving op grond van artikel 31 van de Deense wet op de persoonsgegevens van alle over hem geregistreerde persoonsgegevens.

- Op 13 juni 2003 antwoordde de vertegenwoordiging dat de naam, het adres en het telefoonnummer van klager afkomstig waren van klacht 5/2003/PB, die voor commentaar aan de vertegenwoordiging was doorgegeven. De vertegenwoordiging heeft niet expliciet aangegeven welke persoonsgegevens zij heeft geregistreerd.

- Op 14 juni 2003 diende klager een klacht in bij de Deense autoriteit voor gegevensbescherming.

- Op 1 juli 2003 zond de vertegenwoordiging klager een extra kopie van de schermpagina uit het register van inkomende en uitgaande post van de vertegenwoordiging (d.w.z. Adonis), die op dat moment alleen de naam en het adres van klager en geen telefoonnummers bevatte.

- Op 4 augustus 2003 diende klager opnieuw een klacht in bij de Deense toezichthoudende autoriteit voor gegevensbescherming, waarin hij beweerde geen behoorlijke kennisgeving overeenkomstig artikel 31 van de Deense wetgeving inzake gegevensbescherming te hebben ontvangen op de exacte datum van zijn oorspronkelijke verzoek, d.w.z. 10 juni 2003, met betrekking tot de telefoonnummers die de vertegenwoordiging gebruikte om contact met hem op te nemen.

- Op 27 augustus 2003 zond de vertegenwoordiging, op verzoek van de Deense autoriteit voor gegevenstoezicht, klager een nieuwe kennisgeving waarin de verwerking van zijn persoonsgegevens in het postregister en het feit dat het telefoonnummer waarnaar de vertegenwoordiging bij de internetdienst van TDC had gezocht, kortstondig in het postregister was geregistreerd, duidelijk werden toegelicht. Op dezelfde dag schreef de vertegenwoordiging ook een brief aan de Deense autoriteit voor gegevenstoezicht, waarin zij haar verwerking van de gegevens van klager opnieuw toelichtte en duidelijk verwees naar het feit dat eerder een telefoonnummer van de TDC-internetdienst was geregistreerd. Klager voerde vervolgens aan dat de inhoud van die twee brieven inconsistent was en diende de onderhavige klacht in bij de Europese Ombudsman.

6. Na onderzoek van de brieven van 11 juni 2003 en 13 juni 2003, 1 juli 2003 en 27 augustus 2003 van de vertegenwoordiging aan klager in deze zaak, is de Commissie van mening dat deze zaak op de juiste wijze en in overeenstemming met de artikelen 12 en 13 van Verordening (EG) nr. 45/2001 van de Raad is behandeld. Met name moet worden opgemerkt dat artikel 13 voorziet in een termijn van drie maanden vanaf de datum van ontvangst van het verzoek om de gegevens over de geregistreerde persoonsgegevens mee te delen, die inderdaad door de vertegenwoordiging in acht is genomen. Wat betreft de wens van klager om op de dag van zijn verzoek, d.w.z. op 10 juni 2003, een kopie van zijn persoonsgegevens in het e-mailregister te hebben, is het technisch gezien helaas niet mogelijk om het e-mailregister van Adonis te back-daten. De vertegenwoordiging heeft in plaats daarvan geprobeerd klager schriftelijk uit te leggen dat eerder een TDC-telefoonnummer was geregistreerd. Bovendien moet worden opgemerkt dat de vertegenwoordiging heeft getracht klager een goede dienst te verlenen, zowel door hem altijd te voorzien van wat hij vroeg als door de gegevens te verwijderen waarvan hij aangaf dat hij ze niet wilde laten registreren, en aldus de eigen instructies van klager op te volgen.

7. Aangezien de klacht van klager betrekking heeft op de verwerking van zijn persoonsgegevens binnen een EU-instelling, is de Commissie ten slotte van mening dat deze zaak moet worden doorverwezen naar de Europese Toezichthouder voor gegevensbescherming (EDPS).

Opmerkingen van klager

Het standpunt van de Commissie werd voor opmerkingen doorgestuurd naar klager. Op 31 juli 2004 zond hij de Ombudsman een mededeling met diverse opmerkingen. In die mededeling werd verduidelijkt dat de opmerkingen niet als opmerkingen over het advies van de Commissie mogen worden beschouwd en behandeld. Het was echter duidelijk dat klager zijn klacht handhaafde.

BESLUIT

1 Inleidende opmerkingen

1.1 Deze klacht betreft het antwoord van de vertegenwoordiging van de Commissie in Kopenhagen op het verzoek van klager om informatie over de verwerking door de vertegenwoordiging van gegevens die op hem betrekking hebben. Omdat klager niet tevreden was met het antwoord van de vertegenwoordiging, diende hij aanvankelijk klachten in bij de Deense autoriteit voor gegevensbescherming. Laatstgenoemde kreeg antwoorden van de vertegenwoordiging en constateerde dat er geen sprake was van inbreuken op de relevante wetgeving. De herziening van de Deense gegevensbeschermingsautoriteit vond plaats op basis van de Deense wetgeving inzake gegevensbescherming, die uitvoering geeft aan Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (9). In zijn klacht bij de Ombudsman verwees klager naar Verordening (EG) nr. 45/2001 van het Europees Parlement en de Raad van 18 december 2000 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de communautaire instellingen en organen en betreffende het vrije verkeer van die gegevens (10).

1.2 In het licht van het feit dat de relevante bepalingen inzake gegevensbescherming in de Deense wetgeving (tot uitvoering van Richtlijn 95/46) en Verordening (EG) nr. 45/2001 tot doel hebben eenzelfde soort bescherming te bieden aan betrokkenen, heeft de Ombudsman zorgvuldig onderzocht of het passend zou zijn een onderzoek in te stellen, niettegenstaande het onderzoek van de Deense gegevensbeschermingsautoriteit. De Ombudsman concludeerde dat een onderzoek relevant zou zijn omdat 1) de verschillen in de formulering van de brieven van de vertegenwoordiging van 27 augustus 2003 aan klager enerzijds en aan de Deense gegevensbeschermingsautoriteit anderzijds het redelijk maakten dat klager zich afvroeg of hem gemakkelijk te begrijpen informatie was verstrekt, en 2) omdat de Deense gegevensbeschermingsautoriteit niet leek te hebben onderzocht of de vertegenwoordiging onrechtmatig gegevens over klager had verzameld en geregistreerd.

1.3 Wat betreft de verklaring van de Commissie dat deze zaak aan de Europese Toezichthouder voor gegevensbescherming moet worden voorgelegd, is de Ombudsman van mening dat het met het oog op de uitwisseling van informatie en een consistente interpretatie zeker nuttig is om de Europese Toezichthouder voor gegevensbescherming (EDPS) te informeren over besluiten inzake gegevensbescherming. In het onderhavige geval zal de EDPS derhalve in kennis worden gesteld van het besluit van de Ombudsman (11). In passende omstandigheden, bijvoorbeeld wanneer het gaat om complexe juridische interpretatiekwesties, kan de Ombudsman het bovendien nuttig achten de Europese Toezichthouder voor gegevensbescherming rechtstreeks te raadplegen. De omstandigheden van de onderhavige zaak lijken een dergelijke raadpleging echter niet noodzakelijk te maken.

1.4 Met betrekking tot de drie beweringen van klager (hierboven geciteerd aan het einde van de samenvatting van de klacht) was de Ombudsman van mening dat op de in de eerste en de tweede bewering vervatte punten van zorg adequaat kon worden gereageerd bij zijn onderzoek van de beweringen die hierboven onder "De klacht" zijn samengevat. De Commissie werd derhalve niet verzocht deze argumenten rechtstreeks in haar advies te behandelen. Wat het derde argument betreft, geeft het uiting aan de bezorgdheid over de onafhankelijkheid van de Ombudsman die klager reeds naar voren had gebracht in verband met zijn klacht 5/2003/(PB)BB. De Ombudsman is van mening dat in het kader van dat onderzoek adequaat op deze bezwaren is gereageerd. In dit onderzoek wordt in de brief waarin klager in kennis wordt gesteld van de opening van het onderzoek herhaald dat de Europese Ombudsman volledig onafhankelijk handelt.

2 Vermeende schending van Verordening 45/2001

2.1 Klager beweerde dat de Vertegenwoordiging Verordening (EG) nr. 45/2001 van het Europees Parlement en de Raad van 18 december 2000 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de communautaire instellingen en organen en betreffende het vrije verkeer van die gegevens (12) had geschonden. Hij was van mening dat de vertegenwoordiging artikel 12 van de verordening had geschonden door informatie over hem uit andere bronnen dan zichzelf te verzamelen, en dat zij artikel 13 had geschonden door hem geen begrijpelijke informatie te verstrekken over de verwerking van zijn persoonsgegevens door de vertegenwoordiging.

2.2 Volgens haar verwierp de Commissie de bewering van klager.

2.3 Wat betreft het standpunt van klager dat de vertegenwoordiging van de Commissie artikel 12 van Verordening (EG) nr. 45/2001 heeft geschonden door informatie over hem te verzamelen uit andere bronnen dan zichzelf ,, merkt de Ombudsman op dat het artikel als volgt luidt:

1. Wanneer de gegevens niet van de betrokkene zijn verkregen, verstrekt de verwerkingsverantwoordelijke de betrokkene ten tijde van de registratie van de persoonsgegevens of, indien openbaarmaking aan een derde wordt overwogen, uiterlijk op het tijdstip waarop de gegevens voor het eerst worden bekendgemaakt, ten minste de volgende informatie, tenzij hij deze reeds heeft:

a) de identiteit van de verwerkingsverantwoordelijke;
b) de doeleinden van de verwerking;
c) de betrokken gegevenscategorieën;
d) de ontvangers of categorieën ontvangers;
e) het bestaan van het recht op toegang tot en het recht op rectificatie van de hem betreffende gegevens;
f) alle verdere informatie, zoals:
(i) de rechtsgrondslag van de verwerking waarvoor de gegevens zijn bestemd,
(ii) de termijnen voor de opslag van de gegevens,
(iii) het recht om te allen tijde een beroep te doen op de Europese Toezichthouder voor gegevensbescherming,
(iv) de oorsprong van de gegevens, behalve wanneer de verwerkingsverantwoordelijke deze informatie om redenen van beroepsgeheim niet kan verstrekken,
voor zover dergelijke aanvullende informatie, gelet op de specifieke omstandigheden waarin de gegevens worden verwerkt, noodzakelijk is om een eerlijke verwerking ten aanzien van de betrokkene te waarborgen.

2. Lid 1 is niet van toepassing wanneer, met name voor statistische doeleinden of met het oog op historisch of wetenschappelijk onderzoek, het verstrekken van dergelijke informatie onmogelijk blijkt of onevenredig veel inspanning zou vergen, of wanneer het Gemeenschapsrecht uitdrukkelijk voorziet in registratie of openbaarmaking. In deze gevallen voorziet de communautaire instelling of het communautaire orgaan in passende waarborgen na raadpleging van de Europese Toezichthouder voor gegevensbescherming.

2.4 Uit de feiten van de zaak blijkt dat de vertegenwoordiging van de Commissie een zoekopdracht in een onlinedatabank heeft uitgevoerd om telefonisch contact op te nemen met klager om opheldering te krijgen over een verzoek om toegang tot documenten dat hij op 29 mei 2003 had ingediend. Het telefoonnummer dat zij heeft aangetroffen, is in het register van de vertegenwoordiging geregistreerd onder de naam van klager. Het telefoonnummer bleek echter onjuist te zijn. De vertegenwoordiging ontdekte vervolgens het juiste nummer in een klacht van klager die door de Europese Ombudsman was doorgestuurd naar de Europese Commissie. Nadat de Vertegenwoordiging het juiste nummer had gevonden, belde zij klager op 10 juni 2003. Na het gesprek met klager, die de wens lijkt te hebben geuit om niet telefonisch te worden gecontacteerd, heeft de Vertegenwoordiging het onjuiste telefoonnummer uit haar register verwijderd. Wat betreft het juiste telefoonnummer waarmee de Vertegenwoordiging op 10 juni 2003 contact heeft opgenomen met klager, blijkt dat dit nummer nooit in het register van de Vertegenwoordiging is ingeschreven. Dit deel van de onderhavige zaak heeft dus alleen betrekking op de wijze waarop de vertegenwoordiging het onjuiste telefoonnummer behandelt.

2.5 Het is duidelijk dat de Vertegenwoordiging in de zin van Verordening (EG) nr. 45/2001 de gegevens (het onjuiste telefoonnummer) heeft verkregen van een andere bron dan de klager (de onlinedatabank) en deze gegevens heeft verwerkt (door deze te registreren). Het feit dat het telefoonnummer achteraf onjuist bleek te zijn, lijkt niet af te doen aan zijn status als gegevens betreffende klager, aangezien het onder zijn naam werd aangetroffen en geregistreerd. Formeel gezien lijkt het dus onverenigbaar met verordening nr. 45/2001 om klager niet overeenkomstig artikel 12 van die verordening in kennis te stellen. Uit het standpunt van de Commissie blijkt echter duidelijk dat haar vertegenwoordiging klager in zijn eigen belang heeft gebeld om opheldering te verkrijgen over een verzoek om documenten dat hij kort tevoren had ingediend. Toen klager de vertegenwoordiging meedeelde dat hij niet telefonisch wenste te worden gecontacteerd, heeft de vertegenwoordiging het onjuiste telefoonnummer naar behoren uit haar register verwijderd. De vertegenwoordiging lijkt derhalve redelijke maatregelen te hebben genomen om de belangen van klager te beschermen. In deze omstandigheden is de Ombudsman van mening dat het niet nodig is nader onderzoek te doen naar dit aspect van de klacht. Klager blijft echter vrij om contact op te nemen met de Europese Toezichthouder voor gegevensbescherming indien hij de beoordeling van deze laatste wenst te verkrijgen (13).

2.6 Wat betreft het standpunt van klager dat de vertegenwoordiging van de Commissie artikel 13 van Verordening (EG) nr. 45/2001 heeft geschonden, merkt de Ombudsman op dat dit artikel als volgt luidt:

"Recht op toegang
De betrokkene heeft het recht om te allen tijde binnen drie maanden na ontvangst van het verzoek en kosteloos van de verwerkingsverantwoordelijke het volgende te verkrijgen:
a) bevestiging of hem betreffende gegevens al dan niet worden verwerkt;
b) informatie over ten minste de doeleinden van de verwerking, de betrokken categorieën gegevens en de ontvangers of categorieën ontvangers aan wie de gegevens worden verstrekt;
c) mededeling in begrijpelijke vorm van de gegevens die worden verwerkt en van alle beschikbare informatie over de bron ervan;
d) kennis van de logica die betrokken is bij een geautomatiseerd besluitvormingsproces dat op hem of haar betrekking heeft."

2.7 Volgens klager heeft de Vertegenwoordiging hem geen gemakkelijk te begrijpen informatie verstrekt en daarmee artikel 13 van Verordening 45/2001 geschonden. Deze bepaling bevat categorieën informatie die aan de betrokkene moeten worden verstrekt, zoals welke gegevens worden verwerkt, de bron ervan en mogelijke ontvangers. De Ombudsman is van mening dat het een goede administratieve praktijk is om ervoor te zorgen dat de aldus verstrekte informatie correct en gemakkelijk te begrijpen is.

2.8 Met het oog op het onderzoek van de bewering van klager acht de Ombudsman het passend de volledige correspondentie tussen klager en de vertegenwoordiging te onderzoeken.

- Op 10 juni 2003 heeft de vertegenwoordiging klager gebeld over een verzoek om toegang van het publiek tot documenten. Diezelfde dag heeft klager de Vertegenwoordiging verzocht hem te informeren over de wijze waarop zij zijn telefoonnummer had verkregen. De vertegenwoordiging deelde hem op 13 juni 2003 mee dat zijn telefoonnummer "door u was vermeld in uw klacht bij de Europese Ombudsman".

- Op 14 juni 2003 verzocht klager de Vertegenwoordiging om volledige informatie over de verwerking van zijn persoonsgegevens. Zijn verzoek is ingediend op grond van de Deense wetgeving inzake gegevensbescherming ter uitvoering van Richtlijn 95/46/EG, die in wezen dezelfde vereisten bevat als die welke zijn uiteengezet in artikel 13 van bovengenoemde Verordening 45/2001. Op 1 juli 2003 deelde de Vertegenwoordiging klager het volgende mee: "Als aanvulling op mijn brief aan u van 13 juni 2003, referentie 150603, voeg ik een afdruk bij uit ons register van inkomende en uitgaande post. Zoals u kunt zien, bent u geregistreerd als 'Private Person from [town] in Denmark' met het adres '[address]'. Uw naam staat geregistreerd als '[naam]'. De meest recente update is de datum van vandaag (01/07/2003) waarop de afdruk is gemaakt. De vertegenwoordiging van de Commissie in Denemarken heeft niet eerder andere persoonsgegevens onder uw naam geregistreerd."(nadruk toegevoegd.)

Naar aanleiding van de klacht van klager bij de Deense gegevensbeschermingsautoriteit deelde de vertegenwoordiging klager in haar brief van 27 augustus 2003 mee dat "de gegevens in ons register van uzelf afkomstig waren. Om contact met u op te nemen, hebben we echter gezocht naar een telefoonnummer in de internetservice van TDC. Dit nummer, dat niet correct bleek te zijn, is opgenomen in ons register, maar is vervolgens verwijderd." (nadruk toegevoegd.)

2.9 Uit het voorgaande blijkt dat de vertegenwoordiging van de Commissie klager in haar brief van 13 juni 2003 niet heeft meegedeeld of het telefoonnummer dat zij op 10 juni 2003 had gebruikt om contact met hem op te nemen, al dan niet daadwerkelijk was geregistreerd. Pas in haar in de loop van het onderhavige onderzoek overgelegde advies heeft de Commissie verduidelijkt dat dit telefoonnummer niet was geregistreerd. Voorts blijkt dat de Vertegenwoordiging, toen zij klager op 27 augustus 2003 in kennis stelde van het onjuiste telefoonnummer dat onder zijn naam was geregistreerd en dat vervolgens was geschrapt, geen informatie heeft verstrekt over het tijdstip waarop dat nummer was geregistreerd of dat het was geschrapt. Bovendien blijkt uit de brief van de vertegenwoordiging van 27 augustus 2003 dat haar brief van 1 juli 2003, waarin zij had verklaard dat de "vertegenwoordiging van de Commissie in Denemarken niet eerder andere persoonsgegevens onder uw naam heeft geregistreerd", onjuist was, aangezien in deze brief niet het onjuiste telefoonnummer werd vermeld dat was geregistreerd. Op basis van deze bevindingen is de Ombudsman van oordeel dat de vertegenwoordiging geen correcte en gemakkelijk te begrijpen informatie heeft verstrekt overeenkomstig artikel 13 van Verordening (EG) nr. 45/2001. Dit is een geval van wanbeheer en de Ombudsman maakt de onderstaande kritische opmerking.

2.10 Wat betreft de opmerkingen van klager over de mogelijke inconsistentie tussen de brieven die de vertegenwoordiging op 27 augustus 2003 aan zichzelf en aan de Deense autoriteit voor gegevensbescherming heeft gestuurd, is de Ombudsman van mening dat verder onderzoek naar deze kwestie niet nodig is in het licht van de bovenstaande bevindingen.

3 Conclusie

Op basis van het onderzoek van de Ombudsman naar deze klacht moet de volgende kritische opmerking worden gemaakt:

Artikel 13 van Verordening (EG) nr. 45/2001 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de communautaire instellingen en organen bevat categorieën informatie die aan de betrokkene moeten worden verstrekt, zoals welke gegevens worden verwerkt, de bron en mogelijke ontvangers ervan. De Ombudsman is van mening dat het een goede administratieve praktijk is om ervoor te zorgen dat de aldus verstrekte informatie correct en gemakkelijk te begrijpen is.

In casu heeft de vertegenwoordiging van de Commissie klager in haar brief van 13 juni 2003 niet meegedeeld of het telefoonnummer dat zij op 10 juni 2003 had gebruikt om contact met hem op te nemen, daadwerkelijk was geregistreerd of niet. Pas in haar in de loop van het onderhavige onderzoek overgelegde advies heeft de Commissie verduidelijkt dat dit telefoonnummer niet was geregistreerd. Voorts blijkt dat de Vertegenwoordiging, toen zij klager op 27 augustus 2003 in kennis stelde van het onjuiste telefoonnummer dat onder zijn naam was geregistreerd en dat vervolgens was geschrapt, geen informatie heeft verstrekt over het tijdstip waarop dat nummer was geregistreerd of dat het was geschrapt. Bovendien blijkt uit de brief van de vertegenwoordiging van 27 augustus 2003 dat haar brief van 1 juli 2003, waarin zij verklaarde dat "de vertegenwoordiging van de Commissie in Denemarken niet eerder andere persoonsgegevens onder uw naam heeft geregistreerd", onjuist was, aangezien in deze brief geen melding werd gemaakt van het onjuiste telefoonnummer dat was geregistreerd. Op basis van deze bevindingen is de Ombudsman van oordeel dat de vertegenwoordiging geen correcte en gemakkelijk te begrijpen informatie heeft verstrekt overeenkomstig artikel 13 van Verordening (EG) nr. 45/2001. Dit is een geval van wanbeheer.

Wat betreft de mogelijkheid om een minnelijke schikking voor te stellen (14) is de Ombudsman van mening dat, hoewel de Commissie geen correcte en gemakkelijk te begrijpen informatie heeft verstrekt zoals bepaald in artikel 13 van Verordening (EG) nr. 45/2001 toen de klager in 2003 om dergelijke informatie vroeg, de Commissie deze informatie in haar advies over de onderhavige klacht lijkt te hebben verstrekt. Hij merkt voorts op dat de Commissie heeft uitgelegd dat het om technische redenen niet mogelijk is klager een kopie te verstrekken van de gegevens die oorspronkelijk zijn geregistreerd en vervolgens zijn verwijderd. In deze omstandigheden is de Ombudsman van mening dat het niet passend is een minnelijke schikking van de zaak na te streven.

Wat betreft het onderzoek van de Ombudsman naar de bewering van klager dat er sprake was van een inbreuk op artikel 12 van Verordening (EG) nr. 45/2001, is de Ombudsman van mening dat verder onderzoek niet nodig is.

De Ombudsman sluit daarom de zaak.

De voorzitter van de Europese Commissie zal ook van dit besluit in kennis worden gesteld, evenals de Europese Toezichthouder voor gegevensbescherming.

Met vriendelijke groet,

 

P. Nikiforos DIAMANDOUROS


(1) Publicatieblad 1995 L 281, blz. 31.

(2) Artikel 12, sub a, bepaalt:
Recht van inzage
De lidstaten waarborgen elke betrokkene het recht om van de verwerkingsverantwoordelijke te verkrijgen:
a) zonder beperking met redelijke tussenpozen en zonder buitensporige vertraging of kosten:
- bevestiging of hem betreffende gegevens al dan niet worden verwerkt en informatie over ten minste de doeleinden van de verwerking, de betrokken categorieën gegevens en de ontvangers of categorieën ontvangers aan wie de gegevens worden verstrekt,
- mededeling aan hem in begrijpelijke vorm van de gegevens die worden verwerkt en van alle beschikbare informatie over de bron ervan,
- kennis van de logica die gepaard gaat met een automatische verwerking van hem betreffende gegevens, ten minste in het geval van de in artikel 15, lid 1, bedoelde geautomatiseerde besluiten.

(3) Uit het standpunt van de Commissie (hieronder samengevat) blijkt dat met klager contact is opgenomen om opheldering te verkrijgen over een verzoek om toegang tot documenten dat hij kort tevoren bij de Commissie had ingediend.

(4) Klager had eerder contact gehad met de vertegenwoordiging van de Commissie over de mogelijkheid om advies in te winnen over het Gemeenschapsrecht. Dit contact heeft aanleiding gegeven tot klacht 5/2003/(PB)BB bij de Europese Ombudsman.

(5) Uit het referentienummer blijkt dat de brief waarnaar hier wordt verwezen, de brief is die op 1 juli 2003 aan klager is gezonden (zie hierboven).

(6) Publicatieblad 2001 L 8, blz. 1.

(7) Artikel 12
Te verstrekken informatie wanneer de gegevens niet van de betrokkene zijn verkregen
1. Wanneer de gegevens niet van de betrokkene zijn verkregen, verstrekt de verwerkingsverantwoordelijke de betrokkene ten tijde van de registratie van de persoonsgegevens of, indien openbaarmaking aan een derde wordt overwogen, uiterlijk op het tijdstip waarop de gegevens voor het eerst worden bekendgemaakt, ten minste de volgende informatie, tenzij hij deze reeds heeft:
a) de identiteit van de verwerkingsverantwoordelijke;
b) de doeleinden van de verwerking;
c) de betrokken gegevenscategorieën;
d) de ontvangers of categorieën ontvangers;
e) het bestaan van het recht op toegang tot en het recht op rectificatie van de hem betreffende gegevens;
f) alle verdere informatie, zoals:
(i) de rechtsgrondslag van de verwerking waarvoor de gegevens zijn bestemd,
(ii) de termijnen voor de opslag van de gegevens,
(iii) het recht om te allen tijde een beroep te doen op de Europese Toezichthouder voor gegevensbescherming,
(iv) de oorsprong van de gegevens, behalve wanneer de verwerkingsverantwoordelijke deze informatie om redenen van beroepsgeheim niet kan verstrekken,
voor zover dergelijke aanvullende informatie, gelet op de specifieke omstandigheden waarin de gegevens worden verwerkt, noodzakelijk is om een eerlijke verwerking ten aanzien van de betrokkene te waarborgen.
2. Lid 1 is niet van toepassing wanneer, met name voor statistische doeleinden of met het oog op historisch of wetenschappelijk onderzoek, het verstrekken van dergelijke informatie onmogelijk blijkt of onevenredig veel inspanning zou vergen, of wanneer het Gemeenschapsrecht uitdrukkelijk voorziet in registratie of openbaarmaking. In deze gevallen voorziet de communautaire instelling of het communautaire orgaan in passende waarborgen na raadpleging van de Europese Toezichthouder voor gegevensbescherming.

(8)
Recht
van inzage De betrokkene heeft te allen tijde het recht om binnen drie maanden na ontvangst van het verzoek en kosteloos van de verwerkingsverantwoordelijke het volgende te verkrijgen:
a) bevestiging of hem betreffende gegevens al dan niet worden verwerkt;
b) informatie over ten minste de doeleinden van de verwerking, de betrokken categorieën gegevens en de ontvangers of categorieën ontvangers aan wie de gegevens worden verstrekt;
c) mededeling in begrijpelijke vorm van de gegevens die worden verwerkt en van alle beschikbare informatie over de bron ervan;
d) kennis van de logica die betrokken is bij een geautomatiseerd besluitvormingsproces dat op hem of haar betrekking heeft.

(9) Publicatieblad 1995 L 281, blz. 31.

(10) Publicatieblad 2001 L 8, blz. 1.

(11) Aangezien de klacht vertrouwelijk is, ontvangt de Europese Toezichthouder voor gegevensbescherming een geanonimiseerde versie van het besluit van de Ombudsman. Deze versie zal ook worden gepubliceerd op de homepage van de Ombudsman.

(12) Publicatieblad 2001 L 8, blz. 1.

(13) Europese Toezichthouder voor gegevensbescherming, Wiertzstraat 60, B-1047 Brussel, edps@edps.eu.int.

(14) Artikel 3, lid 5, van het Statuut van de Ombudsman bepaalt: "Voor zover mogelijk tracht de Ombudsman met de betrokken instelling of het betrokken orgaan een oplossing te vinden om een einde te maken aan het geval van wanbeheer en aan de klacht te voldoen."

Wat vond u van deze automatische vertaling? Deel uw mening!