GROEP GEGEVENSBESCHERMING ARTIKEL 29

Transcriptie

1 GROEP GEGEVENSBESCHERMING ARTIKEL /NL WP 156 Advies 3/2008 over het ontwerp voor een internationale standaard inzake de bescherming van de persoonlijke levenssfeer in het kader van de wereldantidopingcode Goedgekeurd op 1 augustus 2008 De groep is opgericht op grond van artikel 29 van Richtlijn 95/46/EG. Het is een onafhankelijk Europees adviesorgaan inzake gegevensbescherming en de persoonlijke levenssfeer, waarvan de taken zijn omschreven in artikel 30 van Richtlijn 95/46/EG en in artikel 15 van Richtlijn 2002/58/EG. Het secretariaat wordt verzorgd door directoraat C (Civiel recht, grondrechten en burgerschap) van het directoraat-generaal Justitie, vrijheid en veiligheid van de Europese Commissie, B-1049 Brussel, België, bureau LX-46 01/43. Website:

2 De Groep voor de bescherming van personen in verband met de verwerking van persoonsgegevens Opgericht bij Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995, Gelet op artikel 29 en artikel 30, lid 1, onder a), en lid 3, van die richtlijn en artikel 15, lid 3, van Richtlijn 2002/58/EG van het Europees Parlement en de Raad van 12 juli 2002, Gelet op artikel 255 van het Verdrag tot oprichting van de Europese Gemeenschap en op Verordening (EG) nr. 1049/2001 van het Europees Parlement en de Raad van 30 mei 2001 inzake de toegang van het publiek tot documenten van het Europees Parlement, de Raad en de Commissie, Gelet op het reglement van orde van de Groep, Heeft het volgende document goedgekeurd: Inleiding Het directoraat-generaal Onderwijs en cultuur van de Commissie (DG EAC) heeft de Groep Artikel 29 verzocht advies uit te brengen over het ontwerp voor de internationale standaard inzake de bescherming van de persoonlijke levenssfeer die door het Wereldantidopingagentschap (WADA) is opgesteld. Het ontwerp voor de standaard moet worden gelezen in samenhang met de Wereldantidopingcode (hierna ook de code genoemd) van het WADA, en met name artikel 14 daarvan. Volgens de code moeten sporters regelmatig specifieke gegevens verstrekken aan antidopingorganisaties. Deze gegevens worden later, samen met andere gegevens (waaronder gevoelige gegevens) opgeslagen in een database die de naam ADAMS heeft gekregen en zich in Canada bevindt. In het kader van de voorschriften van de code worden ook gegevens verwerkt betreffende begeleidend personeel, zoals bij de code gedefinieerd. Voor de toepassing van de code worden onder deelnemer zowel sporters als hun begeleidend personeel verstaan. Deel I Inleiding, bepalingen van de code en definities Punt 2 Bepalingen van de code Hoewel het advies van de Groep zich beperkt tot het ontwerp voor de internationale standaard, zoals dat op 7 juli 2008 aan de Groep is verstrekt, en zich niet tot de wereldantidopingcode zelf uitstrekt, wil de Groep erop wijzen dat sommige bepalingen van de code (waarnaar in de ontwerpstandaard wordt verwezen) twijfel doen rijzen aan hun verenigbaarheid met de Europese normen voor gegevensbescherming. Iedereen die betrokken is bij antidopingactiviteiten heeft recht op eerbiediging van zijn persoonlijke levenssfeer en bescherming van zijn persoonsgegevens. Artikel 14 van de code 2

3 zou daarom als volgt kunnen worden gewijzigd: De ondertekenaars gaan akkoord met de principes van de coördinatie van dopingresultaten, openbare transparantie en verantwoordelijkheid en respect voor de privacybelangen van alle personen, met inbegrip van personen die worden beschuldigd van het overtreden van antidopingregels. Artikel 14.2 van de code Openbaarmaking De Groep wijst erop dat er bij bekendmaking en doorgifte van gegevens sprake is van verwerking van gegevens, waarop de regeling voor de bescherming van gegevens van toepassing is. De Groep is verheugd dat besluiten in gevallen dat een sporter geen dopingovertreding heeft begaan, slechts met toestemming van de sporter mogen worden bekendgemaakt. Zij beveelt echter aan de internationale standaard te verduidelijken in die zin dat het voor antidopingorganisaties duidelijk wordt dat, wat bekendmaking betreft, redelijke inspanningen om deze toestemming te verkrijgen geen geldige vervanging zijn van de toestemming zelf (zie artikel ). De Groep betwijfelt ook of verwerking die bestaat in publieke bekendmaking door op internet gedurende een jaar het oordeel en andere informatie betreffende de sporter of andere personen te plaatsen, wel evenredig is met het doel (artikel zie ook deel II, punt 10). De Groep stelt in dit verband voor dat de standaard tevens van toepassing moet zijn op deze personen, tenzij daarmee de sporters zelf of hun begeleidend personeel worden bedoeld. Er zijn in dit geval geen redenen om hen van bescherming uit te sluiten. Artikel 14.5 van de code (ADAMS-database) Buiten de paar regels van artikel 14.4 van de code voorziet de ontwerpstandaard niet in precieze voorschriften betreffende gegevensverwerking in samenhang met de ADAMSdatabase. De ontwerpstandaard is uitsluitend gericht tot antidopingorganisaties. De bepalingen inzake gegevensbescherming in het kader van de bestrijding van doping moeten echter worden gewaarborgd voor zowel de gegevensverwerking door de antidopingorganisaties als het gebruik van de ADAMS-database. De Groep merkt op dat deze database onder de bevoegdheid valt van de Canadese autoriteiten inzake gegevensbescherming. Wat de Groep Artikel 29 betreft, is de beknopte verwijzing in de standaard naar de database echter niet toereikend. De Groep beveelt daarom aan dat ofwel de internationale standaard wordt gewijzigd en daarin nadere informatie over de ADAMS-database wordt opgenomen, ofwel door het WADA procedures voor de gebruikers van de ADAMS-database worden uitgewerkt. Ook moet worden vermeld dat bij de doorgifte van gegevens van de EU naar Canada de nodige zorg in acht moet worden genomen dat dit gebeurt overeenkomstig de EU-wetgeving inzake passende waarborgen bij verdere doorgifte. Artikel 14.6 van de code De term derde wordt niet gedefinieerd. In het algemeen moeten de specifieke doeleinden worden gedefinieerd van de gegevensverwerking die in het kader van de code plaatsvindt. Het is niet voldoende uitsluitend te verwijzen naar gegevensverwerking door de antidopingorganisaties in het kader van hun antidopingactiviteiten. 3

4 Punt 3 Termen en definities Deelnemer De Groep is van mening dat het begrip deelnemer, zoals in de code gedefinieerd, zodanig restrictief is dat niet kan worden gewaarborgd dat iedere persoon bescherming geniet van wie gegevens worden verwerkt in het kader van de uitvoering van de code (zie de eerdere opmerkingen betreffende het begrip persoon in artikel van de code en het begrip derde in artikel 14.6 van de code). De Groep is zich ervan bewust dat uitsluitend sporters en hun begeleidend personeel verplicht zijn persoonsgegevens aan het WADA te verstrekken, maar meent dat het gebruik van dezelfde terminologie in de internationale standaard en de code zou bijdragen tot het voorkomen van verwarring. In artikel 3.2 van de ontwerpstandaard worden drie nieuwe definities ingevoerd: Persoonlijke informatie De definitie omvat wat in artikel 2, onder a), van de richtlijn onder persoonsgegevens wordt verstaan. De Groep merkt op dat de ontwerpstandaard buiten punt 9 (Handhaving van de veiligheid van persoonlijke informatie) geen aanvullende waarborgen biedt voor de bescherming van gezondheidsgegevens en justitiële gegevens die in het kader van antidopingactiviteiten worden verwerkt. Gevoelige persoonlijke informatie Welke persoonlijke informatie als gevoelig wordt beschouwd, stemt overeen met de definitie in artikel 8 van de richtlijn. De Groep verwijst hier naar haar commentaar op punt 6 van de standaard betreffende de verwerking van dergelijke gegevens (zie hieronder). Verwerking De definitie stemt weliswaar niet letterlijk overeen met de definitie in artikel 2, onder b), van de richtlijn, maar is niettemin aanvaardbaar. Deel II Standaarden voor het omgaan met persoonlijke informatie Punt 4 Verwerking van persoonlijke informatie overeenkomstig de internationale standaard en de toepasselijke wetgeving De Groep is van oordeel dat het begrip derde-gevolmachtigde tevens subcontractanten omvat in de zin van artikel 2, onder e), van de richtlijn. Verder commentaar betreffende dit begrip (zie punt 9) gaat van deze veronderstelling uit. De reikwijdte van dit begrip dient nader te worden gedefinieerd. Artikel 4.1 De Groep meent dat artikel 4.1 in die zin moet worden gewijzigd, dat ook derdengevolmachtigden aan de standaard moeten voldoen, ook wanneer een dergelijke bepaling strenger zou zijn dan die van standaarden die volgens binnenlands recht van toepassing zijn. 4

5 De ontwerpstandaard maakt geen onderscheid tussen de verschillende categorieën personen op wie hij van toepassing is (sporters, begeleidend personeel, derden). De toepassing van het evenredigheidsbeginsel is echter afhankelijk van de categorie waartoe een persoon behoort (welke gegevens worden verwerkt? welke gegevens worden opgeslagen?). De ontwerpstandaard moet daarom wat dit betreft worden gewijzigd. Punt 5 Verwerking van relevante en evenredige persoonlijke informatie In artikel 5.3 moet worden aangegeven welke persoonlijke informatie of categorieën persoonlijke informatie noodzakelijk is resp. zijn om de onder a, b en c genoemde doelen te verwezenlijken, met inachtneming van de beginselen van noodzakelijkheid en evenredigheid. Zoals eerder aangegeven, is de uitvoering van deze beginselen afhankelijk van de categorie personen van wie de gegevens worden verwerkt (sporter, begeleidend personeel). In artikel 5.4 van de ontwerpstandaard wordt bepaald dat de verwerkte persoonlijke informatie nauwkeurig en volledig moet zijn en moet worden bijgehouden. In de laatste zin van dit artikel lijkt deze verplichting ten aanzien van antidopingorganisaties echter te worden versoepeld. Zelfs lijkt de verantwoordelijkheid te worden verschoven van de voor de verwerking verantwoordelijke naar de betrokkene 1. Het commentaar lijkt deze verschuiving te bevestigen. De Groep benadrukt in dit verband dat overeenkomstig artikel 6, onder d), van de richtlijn gegevensbescherming alle redelijke maatregelen dienen te worden getroffen om gegevens die, uitgaande van de doeleinden waarvoor zij worden verzameld of waarvoor zij vervolgens worden verwerkt, onnauwkeurig of onvolledig zijn, uit te wissen of te corrigeren. Dit is de taak van de voor de verwerking verantwoordelijke, in voorkomend geval naar aanleiding van een correctieverzoek van de betrokkene. Punt 6 Verwerking van persoonlijke informatie met toestemming Overeenkomstig artikel 7 van de richtlijn gegevensbescherming mogen gegevens uitsluitend op rechtsgeldige gronden worden verwerkt. Voor de verwerking van gezondheidsgegevens is het bestaan van een dergelijke rechtsgrond van fundamenteel belang. Artikel 6.1 Volgens artikel 6.1 van de ontwerpstandaard dienen de antidopingorganisaties de toestemming van de sporter en van zijn begeleidend personeel te verkrijgen, teneinde hun gegevens rechtmatig te kunnen verwerken. De Groep is van oordeel dat een dergelijke toestemming niet voldoet aan artikel 2, onder h), van de richtlijn gegevensbescherming. Toestemming wordt daarin gedefinieerd als elke vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat hem/haar betreffende persoonsgegevens worden verwerkt. De toestemming tot het verwerken van gegevens die zijn verzameld in het kader van de uitvoering van de verplichtingen op grond van de wereldantidopingcode is noch vrij, noch op informatie berustend. Gezien de sancties die verbonden zijn aan weigering van de deelnemers om zich aan de verplichtingen van de code (mededeling van lokalisatiegegevens, dopingcontroles) te onderwerpen, kan de Groep niet 1 ( ). Alhoewel dit niet noodzakelijkerwijs betekent dat antidopingorganisaties de nauwkeurigheid moeten nagaan van alle persoonlijke informatie die zij verwerken, zijn antidopingorganisaties wel verplicht persoonlijke informatie waarvan zij zeker weten dat die onjuist of onnauwkeurig is, zo snel mogelijk te corrigeren of te wijzigen. 5

6 aannemen dat de toestemming in welke zin dan ook vrijelijk wordt gegeven 2. De Groep betwijfelt tevens of de toestemming op informatie berust (zie punt 7). Aangezien de gegevensverwerking niet op basis van artikel 7, onder a), of artikel 8, onder a), kan geschieden, zal dat op een andere aanvaardbare rechtsgrond moeten gebeuren. De Groep wijst erop dat de verwerking van gegevens inzake overtredingen niet is toegestaan, zelfs niet indien dat op basis van toestemming gebeurt, ook al berust die toestemming op informatie (artikel 8, lid 2, van de richtlijn gegevensbescherming). De Groep beveelt daarom aan dat het WADA voor de verwerking van persoonsgegevens andere overeenkomstig artikel 7 toegestane gronden overweegt, en voor de verwerking van gevoelige persoonsgegevens andere gronden die overeenkomstig artikel 8 zijn toegelaten. Een aantal internationale overeenkomsten betreffende dopingbestrijding, zoals het Internationaal Verdrag tegen doping in de sport of de Overeenkomst ter bestrijding van doping (Raad van Europa), zou mogelijke rechtsgronden voor de verwerking kunnen bieden, voor zover deze overeenkomsten een bindende wettelijke verplichting opleggen, waaraan de antidopingorganisaties op grond van de tenuitvoerlegging van artikel 7, onder c), en artikel 8, lid 4, van de richtlijn gegevensbescherming in de lidstaten als voor de verwerking verantwoordelijken onderworpen zijn. Artikel 6.2 Artikel 6.2 van de ontwerpstandaard voorziet in de mogelijke verwerking van gevoelige gegevens, zoals die eerder in artikel 3.2 zijn gedefinieerd. Volgens de richtlijn gegevensbescherming zijn gevoelige persoonsgegevens, onder andere, gegevens betreffende raciale of etnische afkomst, politieke opvattingen, godsdienstige of levensbeschouwelijke overtuiging, lidmaatschap van een vakvereniging of seksueel gedrag. De Groep heeft ernstige twijfels ten aanzien van de relevantie van de verwerking van gegevens van verschillende van deze categorieën, met name als deze gegevens ook in de ADAMS-database zouden worden opgenomen. De Groep verzoekt het WADA daarom meer informatie te verstrekken, dan wel de relevantie van de mogelijke verwerking van dergelijke gegevens opnieuw te bezien, en in artikel 6.2 te specificeren welke significante gegevens in dat kader zullen worden verwerkt. De in artikel 3.2 gegeven definitie omvat bovendien ook genetische kenmerken. De Groep twijfelt aan de legitimiteit en de noodzaak van de verwerking van dergelijke gegevens en verzoekt het WADA te onderzoeken of die verwerking noodzakelijk is. In ieder geval beveelt de Groep aan dat bij de verwerking van deze gegevens een bijzonder hoog beschermingsniveau in acht wordt genomen. Artikel 6.4 Het toepassingsgebied van artikel 6.4 zou zo moeten worden uitgebreid dat de wettelijke vertegenwoordigers van deelnemers de andere rechten waarin de ontwerpstandaard voorziet, kunnen uitoefenen, zoals die welke in punt 11 worden opgesomd. 2 Zie bijvoorbeeld in artikel 6.3 van de ontwerpstandaard: Antidopingorganisaties lichten de deelnemers in over de negatieve gevolgen die uit hun weigering om zich te onderwerpen aan dopingcontroles, met inbegrip van tests, zouden kunnen voortvloeien. 6

7 Punt 7 Waarborgen van passende informatieverstrekking aan deelnemers De Groep wijst op de verplichtingen die in de artikelen 10 en 11 van de richtlijn gegevensbescherming zijn vervat, met name de verplichting om, naast de identiteit van de voor de verwerking verantwoordelijke, ook de identiteit bekend te maken van eventuele vertegenwoordigers van de voor de verwerking verantwoordelijke. In artikel 7.2 wordt bepaald dat indien persoonlijke informatie niet van de deelnemer is verkregen, deze zo spoedig mogelijk wordt ingelicht. Om aan de bepalingen van de richtlijn gegevensbescherming te voldoen (artikel 11, lid 1), moet deze informatie worden verstrekt op het moment van registratie van de gegevens of, wanneer verstrekking van de gegevens aan een derde wordt overwogen, uiterlijk op het moment van de eerste verstrekking van de gegevens. In uitzonderlijke omstandigheden hoeft deze informatie niet te worden verstrekt, namelijk indien, met name voor statistische doeleinden of voor historisch of wetenschappelijk onderzoek, verstrekking van informatie aan de betrokkene onmogelijk blijkt of onevenredig veel moeite kost of indien de registratie of verstrekking bij wet is voorgeschreven. Deze beperkingen dienen strikt te worden uitgelegd. De Groep wijst er tevens op dat de formulering hij of zij redelijke toegang moet [ ] hebben tot informatie in het commentaar op artikel 7.2 de informatierechten van de betrokkenen lijkt te verzwakken. De Groep herinnert eraan dat het recht van de betrokkene om te worden geïnformeerd wezenlijk is en onderdeel is van de verplichting tot transparantie van de gegevensverwerking. Punt 8 Verstrekking van persoonlijke informatie aan andere antidopingorganisaties en aan derden De Groep onderstreept dat doorgifte van gegevens vanuit de Europese Economische Ruimte naar een derde land slechts is toegestaan indien het derde land een passend beschermingsniveau waarborgt, zoals omschreven in artikel 25, lid 2, van de richtlijn gegevensbescherming, ofwel indien de voor de verwerking verantwoordelijke voldoende waarborgen biedt ten aanzien van de bescherming van de persoonlijke levenssfeer, ofwel wanneer de doorgifte plaatsvindt op grond van een van de uitzonderingen of afwijkingsbepalingen van artikel 26, lid 1, van de richtlijn. In dit geval bevindt de ADAMS-database zich in Canada. Voor de toepassing van artikel 25, lid 2, van de richtlijn wordt ervan uitgegaan dat Canada een passend beschermingsniveau biedt voor persoonsgegevens die vanuit de Europese Gemeenschap worden doorgegeven aan geadresseerden die onderworpen zijn aan de Canadese Personal Information Protection and Electronic Documents Act (PIPEDA) 3. Het is voor de Groep echter niet duidelijk of het WADA dan wel een nationale antidopingautoriteit in Canada de voor de verwerking in de ADAMS-database verantwoordelijke is, en evenmin of de PIPEDA op de voor de verwerking verantwoordelijke van toepassing is. De Groep beveelt aan dit punt te verduidelijken, en in het geval dat de verantwoordelijke voor de verwerking in de ADAMS-database niet onder de PIPEDA valt, maatregelen te nemen om een passend beschermingsniveau te waarborgen voor 3 Beschikking 2002/2/EG van de Commissie van 20 december 2001 overeenkomstig Richtlijn 95/46/EG van het Europees Parlement en de Raad, betreffende de gepastheid van de bescherming van persoonsgegevens geboden door de Canadese Personal Information Protection and Electronic Documents Act (kennisgeving geschied onder nummer C(2001) 4539). 7

8 informatie die vanuit de Europese Gemeenschap naar de ADAMS-database wordt doorgegeven. De Groep wijst met klem op de noodzaak het doelbindingsbeginsel in acht te nemen en te waarborgen dat verdere gegevensverwerking verenigbaar is met het doel waarvoor de gegevens oorspronkelijk zijn verzameld. Ten aanzien van artikel 8.4 herhaalt de Groep haar opmerkingen in punt 6 over de geldigheid van de toestemming. De Groep wijst er tevens op dat deze bepaling niet voorziet in de mogelijkheid persoonlijke informatie betreffende sporters of andere personen op internet te publiceren, zoals bepaald in artikel van de antidopingcode (zie punt 2 Bepalingen van de code). Punt 9 Handhaving van de veiligheid van persoonlijke informatie Artikel 9.1: de contactgegevens van de persoon die door de antidopingorganisatie is aangewezen, moeten onmiddellijk aan de betrokkenen worden meegedeeld (evenals de informatie bedoeld in artikel 7.1, en niet uitsluitend op hun verzoek). Ten aanzien van subcontractanten waarop de antidopingorganisaties een beroep zouden kunnen doen (derden-gevolmachtigden artikel 9.4) wijst de Groep op de bepalingen van de artikelen 16 en 17 van de richtlijn gegevensbescherming, en met name de bepaling dat de voor de verwerking verantwoordelijke een verwerker moet kiezen die voldoende waarborgen biedt ten aanzien van de technische en organisatorische beveiligingsmaatregelen met betrekking tot de te verrichten verwerking. Punt 10 Bewaren van persoonlijke informatie slechts zolang dat noodzakelijk is en zorgen voor de vernietiging ervan De Groep is verheugd dat in deze versie van de ontwerpstandaard een bepaling is opgenomen betreffende de bewaringstermijn van gegevens en de verplichting de gegevens te wissen wanneer zij niet langer noodzakelijk zijn, gelet op het doel waarvoor zij werden verwerkt. Zij verzoekt het WADA echter, voor zover dat mogelijk is en rekening houdende met de ervaring die op dit terrein is opgedaan, een redelijke maximumtermijn vast te stellen voor de bewaring van deze gegevens of in ieder geval bepaalde categorieën gegevens door antidopingorganisaties. Punt 2 betreffende de regels inzake openbaarmaking die in artikel van de antidopingcode zijn opgenomen, mag hier niet als model dienen, aangezien die bepalingen buitenproportioneel zijn: er wordt namelijk bepaald dat persoonlijke gegevens over sporters of andere personen die de antidopingregels geacht worden te hebben overtreden, op de website van de antidopingorganisatie worden geplaatst en daar ten minste een jaar moeten blijven staan (zie deel I). De Groep verwijst voorts naar haar Advies 4/2007 over het begrip persoonsgegeven 4, waarin zij uitlegt wat volgens de richtlijn wordt verstaan onder anonimiseren en anonieme gegevens. Punt 11 Rechten van deelnemers met betrekking tot persoonlijke informatie De standaard voorziet in een toegangsrecht voor sporters en hun begeleidend personeel. Op grond van artikel 12 van de richtlijn gegevensbescherming heeft iedereen het recht van de 4 8

9 voor de verwerking verantwoordelijke ten minste informatie te verkrijgen over de doeleinden van de verwerking, de categorieën gegevens waarop de verwerking betrekking heeft en de ontvangers of categorieën ontvangers aan wie de gegevens worden verstrekt. De standaard voorziet hierin niet. De ontwerptekst bepaalt dat antidopingorganisaties in bepaalde gevallen niet verplicht zijn in te gaan op verzoeken om toegang. De Groep merkt hierover op dat de bijzonder vaag geformuleerde uitzonderingsbepalingen in artikel 11.1 (tenzij dat in een bepaald geval afbreuk zou doen aan het vermogen van de antidopingorganisatie om aan haar verplichtingen op grond van de code te voldoen) en artikel 11.2 (verzoeken die duidelijk vexatoir of excessief zijn in hun reikwijdte of frequentie, of een onevenredige belasting vormen in termen van kosten of inspanningen) op het eerste gezicht niet in overeenstemming lijken met de artikelen 12 en 15 van de richtlijn. Beperkingen op het recht van toegang zijn slechts toegestaan indien wordt voldaan aan de bepalingen van artikel 13 van de richtlijn, dat de lidstaten toestaat wettelijke maatregelen te treffen ter beperking van de reikwijdte van deze verplichting indien dit noodzakelijk is ter vrijwaring van de aldaar genoemde belangen. De Groep merkt met voldoening op dat indien een deelnemer het recht op uitoefening van zijn of haar recht op toegang wordt ontzegd, hem of haar de redenen daarvoor schriftelijk worden medegedeeld. Zij wijst er echter op dat weigering van toegang slechts is toegestaan onder de voorwaarden van artikel 13 van de richtlijn, die strikt moeten worden uitgelegd. Ten aanzien van artikel 11.4 benadrukt de Groep dat de voor de verwerking verantwoordelijke, overeenkomstig artikel 12, onder c), van de richtlijn, derden aan wie de gegevens zijn verstrekt in kennis moet stellen van elke rectificatie of uitwissing op grond van het onvolledige of onjuiste karakter van de gegevens, tenzij zulks onmogelijk blijkt of onevenredig veel moeite kost. Om aan de Europese regelgeving inzake gegevensbescherming te voldoen, mogen de woorden in voorkomend geval slechts in de zin van de twee genoemde uitzonderingen worden uitgelegd. Aanvullende bepalingen Tot slot betreurt de Groep het dat enkele essentiële beginselen van de Europese regelgeving inzake gegevensbescherming niet in de ontwerpstandaard zijn terug te vinden. Zij verzoekt het WADA te overwegen een aantal aanvullende bepalingen in te voegen om het volgende te waarborgen: een verbod op geautomatiseerde individuele besluiten (artikel 15 van de richtlijn): gezien de sancties waartoe de gegevensverwerking kan leiden, acht de Groep zo n verbod van wezenlijk belang; onafhankelijke controle op de uitvoering van de minimumbepalingen van de standaard door de antidopingorganisaties. In artikel 8.3 van de ontwerpstandaard wordt aangegeven dat een antidopingorganisatie bij het WADA haar bezorgdheid kan uiten over mogelijke niet-naleving van de standaard door een andere organisatie. Volgens de Groep doet een dergelijk mechanisme voor informanten twijfels rijzen aan de verbintenis van het WADA om zorg te dragen voor de effectieve tenuitvoerlegging en eerbiediging van de minimumbepalingen die in de standaard zijn opgenomen. Voorts merkt de Groep op dat op niet-naleving van de standaarden door de antidopingorganisaties geen sancties staan. Kortom, de vraag rijst hoe effectief deze standaard zal zijn; 9

10 het bestaan van beroepsmogelijkheden en een recht op compensatie voor schade die is geleden tengevolge van gegevensverwerking die onverenigbaar is met de standaard; het feit dat de nationale antidopingorganisaties onderworpen zijn aan de nationale wetgeving inzake de verwerking van persoonsgegevens. *** De Groep Artikel 29 steunt het initiatief van het WADA voor de vaststelling van minimumnormen voor de bescherming van de persoonlijke levenssfeer en de persoonsgegevens van sporters en andere personen die bij de strijd tegen doping betrokken zijn. De Groep is van oordeel dat deze standaard, gezien het geografische toepassingsgebied ervan, een belangrijke kan spelen ten aanzien van gegevensverwerking die niet onderworpen is aan de EU-wetgeving of wetgeving die de EU als toereikend beschouwt. Ook kan worden verwacht dat deze standaard in alle landen, ook landen waar de bescherming van persoonsgegevens niet toereikend is, zal bijdragen aan de bewustwording bij antidopingorganisaties. Het doet de Groep genoegen dat in de preambule van de ontwerpstandaard wordt verwezen naar de richtlijn inzake gegevensbescherming. Zij kan de standaard echter nog niet haar volledige steun geven, aangezien de minimumvereisten die erin zijn opgenomen niet lijken te voldoen aan de minimumnormen die volgens de Europese regelgeving inzake gegevensbescherming vereist zijn. Indien met de bovenstaande opmerkingen rekening wordt gehouden en nadere exacte informatie over de ADAMS-database wordt verstrekt, kan de Groep wellicht wel tot een positieve conclusie komen. De Groep verzoekt het WADA daarom haar opmerkingen in aanmerking te nemen bij de verdere ontwikkeling van de standaard, zij ziet nadere verduidelijking gaarne tegemoet van het WADA en is bereid daartoe met het WADA bijeen te komen, mocht dat noodzakelijk zijn. De Groep verzoekt in ieder geval op de hoogte te worden gehouden van het gevolg dat aan haar opmerkingen wordt gegeven en, meer in het algemeen, van de ontwikkeling van het werk van het WADA aan de opstelling van de standaard. Gedaan te Brussel, 1 augustus 2008 Voor de Groep De voorzitter Alex Türk 10