52012DC0012

VERSLAG VAN DE COMMISSIE AAN HET EUROPEES PARLEMENT, DE RAAD, HET EUROPEES ECONOMISCH EN SOCIAAL COMITÉ EN HET COMITÉ VAN DE REGIO'S

op grond van artikel 29, lid 2, van het kaderbesluit van de Raad van 27 november 2008 over de bescherming van persoonsgegevens die worden verwerkt in het kader van de politiële en justitiële samenwerking in strafzaken

1. INLEIDING 1.1. Achtergrond

Kaderbesluit 2008/977/JBZ van de Raad van 27 november 2008[1] (hierna "het kaderbesluit" genoemd) over de bescherming van persoonsgegevens die worden verwerkt in het kader van de politiële en justitiële samenwerking in strafzaken vormt het algemeen rechtskader voor dit specifieke aspect van de bescherming van persoonsgegevens. Dit besluit is per 19 januari 2009 in werking getreden[2].

Het kaderbesluit was nodig omdat er toentertijd geen overkoepelend instrument op Europees niveau was dat de verwerking van persoonsgegevens in het kader van de politiële en justitiële samenwerking in strafzaken regelde[3]. Artikel 3 van Richtlijn 95/46/EG betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens, en betreffende het vrije verkeer van die gegevens, bepaalt dat de richtlijn niet van toepassing is op "de verwerking van persoonsgegevens in het kader van een activiteit die buiten de werkingssfeer van het Gemeenschapsrecht valt, zoals de activiteiten in het kader van titel VI van het Verdrag betreffende de Europese Unie, en zeker niet op de verwerking van gegevens in verband met openbare veiligheid, defensie, de staatsveiligheid en de activiteiten van de staat op strafrechtelijk gebied".

Doel van het kaderbesluit is op EU-niveau een hoge mate van bescherming te waarborgen van de fundamentele rechten en vrijheden van natuurlijke personen in verband met de verwerking van persoonsgegevens in het kader van de politiële en justitiële samenwerking in strafzaken. Terzelfdertijd dient een hoog niveau van openbare veiligheid te worden gegarandeerd[4]. De lidstaten kunnen, ter bescherming van de op nationaal niveau verzamelde of verwerkte persoonsgegevens, uitgebreidere waarborgen bieden dan die waarin dit kaderbesluit voorziet[5].

Het toepassingsgebied[6] van het kaderbesluit is beperkt tot de verwerking van persoonsgegevens die met het oog op de preventie, het onderzoek, de opsporing en de vervolging ter zake van strafbare feiten of de tenuitvoerlegging van straffen:

- worden of zijn verstrekt of beschikbaar gesteld tussen de lidstaten;

- door de lidstaten worden of zijn verstrekt of beschikbaar gesteld aan autoriteiten of informatiesystemen die krachtens titel VI ('Politiële samenwerking en justitiële samenwerking in strafzaken') van het Verdrag betreffende de Europese Unie zijn ingesteld; of

- aan de bevoegde autoriteiten van de lidstaten worden of zijn verstrekt of beschikbaar gesteld door autoriteiten of informatiesystemen die krachtens het Verdrag betreffende de Europese Unie of het Verdrag tot oprichting van de Europese Gemeenschap zijn ingesteld.

Persoonsgegevens die door de ene lidstaat aan een andere zijn verstrekt mogen worden doorgegeven aan derde landen of internationale organen mits aan bepaalde voorwaarden is voldaan[7].

Het kaderbesluit is integraal van toepassing op het Verenigd Koninkrijk en Ierland, omdat het een ontwikkeling inhoudt van het Schengenacquis. Het Verenigd Koninkrijk en Ierland nemen aan dit besluit deel overeenkomstig artikel 5 van het Protocol tot opneming van het Schengenacquis in het kader van de Europese Unie, dat aan het EU-Verdrag en het EG-Verdrag is gehecht, en aan de Besluiten 2000/365/EG en 2002/192/EG van de Raad.

Wat IJsland, Noorwegen, Zwitserland en Liechtenstein betreft, houdt het kaderbesluit een ontwikkeling in van de bepalingen van het Schengenacquis in de zin van de door de Raad van de Europese Unie of de Europese Unie met IJsland en Noorwegen, de Zwitserse Bondsstaat en Liechtenstein gesloten Overeenkomsten en Protocollen, en de Besluiten 1999/437/EG, 2008/149/JBZ en 2008/262/JBZ van de Raad.

1.2. Inhoud van Kaderbesluit 2008/977/JBZ

De binnenlandse verwerking van persoonsgegevens door de bevoegde gerechtelijke of politiële autoriteiten in de lidstaten valt niet onder het toepassingsgebied van het kaderbesluit (overeenkomstig artikel 1, lid 2).

Sectorspecifieke wetgevingsinstrumenten betreffende de politiële en justitiële samenwerking in strafzaken die bepalingen bevatten inzake de bescherming van persoonsgegevens en die vóór de datum van inwerkingtreding van het kaderbesluit zijn aangenomen, hebben in het algemeen voorrang boven de bepalingen van het kaderbesluit (artikel 28). Instrumenten waarvan wordt aangenomen dat zij een "volledig en samenhangend pakket van regels" inzake gegevensbescherming vormen, worden door het kaderbesluit onverlet gelaten (overweging 39). Andere sectorspecifieke instrumenten die gegevensbeschermingsregels met een beperkter toepassingsgebied bevatten, hebben voorrang boven het kaderbesluit als die regels restrictiever zijn. In het andere geval moet het kaderbesluit worden toegepast (overweging 40).

Het kaderbesluit bepaalt wat de doelstellingen zijn van de gegevensbescherming in het kader van de werkzaamheden van politie en justitie. Het bevat regels die moeten garanderen dat alle gegevens die worden uitgewisseld, op een wettelijke en rechtmatige manier en volgens de grondbeginselen betreffende de gegevenskwaliteit zijn verwerkt.

Het bakent tevens de rechten van de betrokken personen af om de bescherming van persoonsgegevens te garanderen zonder afbreuk te doen aan de belangen van het strafrechtelijk onderzoek. Betrokkenen moeten worden ingelicht en toegang hebben tot hun persoonsgegevens.

De nationale toezichthoudende autoriteiten vervullen de hun opgedragen taken in volstrekte onafhankelijkheid en moeten over de toepassing van de maatregelen die de lidstaten nemen om het kaderbesluit om te zetten, advies uitbrengen en toezicht houden.

1.3. Verplichting voor de Commissie om verslag uit te brengen over de uitvoering

Artikel 29, lid 1, van het kaderbesluit bepaalt dat de lidstaten de nodige maatregelen treffen om uiterlijk op 27 november 2010 aan het besluit te voldoen.

Volgens artikel 29, lid 2, delen de lidstaten het secretariaat-generaal van de Raad en de Commissie de tekst mee van de bepalingen waarmee zij de uit dit kaderbesluit voortvloeiende verplichtingen omzetten in nationaal recht, alsmede informatie over de in artikel 25 bedoelde toezichthoudende autoriteiten.

Op basis van een verslag van de Commissie dat is opgesteld met gebruikmaking van deze informatie, gaat de Raad vóór 27 november 2011 na in hoeverre de lidstaten de maatregelen hebben genomen die noodzakelijk zijn om aan het kaderbesluit te voldoen.

1.4. Aan dit verslag ten grondslag liggende informatie

De Commissie had op 9 november 2011 informatie over de uitvoering van het kaderbesluit ontvangen van 26 van de 27 lidstaten en van Liechtenstein, Noorwegen, IJsland en Zwitserland.

In 14 van die 26 lidstaten waren wetgevende maatregelen genomen en van kracht om uitvoering te geven aan het kaderbesluit (België, Tsjechië, Denemarken, Duitsland, Estland, Ierland, Hongarije, Letland, Litouwen, Luxemburg, Oostenrijk, Slowakije, Zweden en het Verenigd Koninkrijk). In Duitsland, Ierland, Estland en Zweden werd nog onderzocht of er behoefte was aan nadere uitvoeringsmaatregelen.

In 9 lidstaten is er sprake van een gedeeltelijke uitvoering van het kaderbesluit, aangezien de desbetreffende wetgevende maatregelen nog moeten worden goedgekeurd.

4 lidstaten hebben op het verzoek om informatie van de Commissie ofwel niet gereageerd (Roemenië), ofwel geantwoord dat het kaderbesluit niet is uitgevoerd (Griekenland, Italië[8] en Cyprus).

Er zijn inhoudelijke verschillen, voornamelijk qua detaillering, wat betreft de informatie die de lidstaten in antwoord op haar vragenlijst aan de Commissie hebben verstrekt. In het overzicht van de antwoorden in tabel 1 is weergegeven hoe de lidstaten de stand van uitvoering van het kaderbesluit evalueren.

2. OMZETTING VAN HET KADERBESLUIT 2.1. Kaderbesluit ex-artikel 34, lid 2, onder b), van het Verdrag betreffende de Europese Unie

Dit kaderbesluit is gebaseerd op het Verdrag betreffende de Europese Unie (VEU), en met name op artikel 30, artikel 31, onder e), en artikel 34, lid 2, onder b).

Als wetgevingsinstrument kan het kaderbesluit het best worden vergeleken met een richtlijn: het is bindend voor de lidstaten wat het resultaat betreft, maar de keuze van de vorm en de methoden wordt aan hen overgelaten. Kaderbesluiten hebben echter geen directe werking[9].

Krachtens artikel 10 van het aan de Verdragen gehechte Protocol (nr. 36) betreffende de overgangsbepalingen, met betrekking tot de handelingen die op grond van de titels V en VI van het VEU voor de inwerkingtreding van het Verdrag van Lissabon zijn vastgesteld, zijn de bevoegdheden van de Commissie uit hoofde van artikel 258 VWEU wat betreft handelingen inzake de voormalige "derde pijler" niet van toepassing (en blijven die van het Hof van Justitie beperkt) gedurende een overgangsperiode van vijf jaar na de datum van inwerkingtreding van het Verdrag van Lissabon (d.w.z. tot 1 december 2014).

Hierna wordt nader ingegaan op de uitvoering van vier essentiële bepalingen van het kaderbesluit, aan de hand van de informatie die door de lidstaten is verstrekt nadat de Commissie daarom op 9 december 2010 had verzocht.

2.1.1. Werkingssfeer van de nationale uitvoeringsmaatregelen

Het toepassingsgebied van het kaderbesluit is beperkt tot de verwerking van persoonsgegevens die worden verstrekt of beschikbaar gesteld tussen lidstaten. De "binnenlandse" verwerking van persoonsgegevens door de politie of justitie in strafzaken valt daarbuiten.

Tabel 2 in de bijlage geeft een overzicht van de uitvoeringsmaatregelen in de lidstaten. De meeste lidstaten vermeldden de algemene gegevensbeschermingswetgeving bij de uitvoeringsmaatregelen voor het kaderbesluit en verwezen ook naar sectorale wetgeving die van toepassing is op de politie, het gerecht, de douane en de belastingdiensten. Sommige lidstaten kozen ervoor om geen wetgevende maatregelen te nemen, maar het kaderbesluit uit te voeren door middel van ambtelijke circulaires (b.v. Duitsland en het Verenigd Koninkrijk).

In het merendeel van de lidstaten is de algemene gegevensbeschermingswetgeving van toepassing op de verwerking van persoonsgegevens door politie en justitie, zowel op de binnenlandse als op de grensoverschrijdende verwerking[10], vaak samen met het wetboek van strafvordering en politie(gegevens)wetten[11]. Dertien lidstaten (België, Tsjechië, Duitsland, Estland, Italië, Luxemburg, Hongarije, Malta, Nederland, Slovenië, Slowakije, Finland en Zweden) noemden het wetboek van strafvordering of soortgelijke wetgeving. Zeven lidstaten (Tsjechië, Duitsland, Hongarije, Nederland, Slovenië, Finland en Zweden) maken melding van een specifieke "wet politiegegevens"[12]. Drie lidstaten (Bulgarije, Portugal en Litouwen) vermeldden voorts dat zij ook specifieke wetgeving hadden aangenomen om sommige, uitsluitend op grensoverschrijdende verwerking van persoonsgegevens toepasselijke, bepalingen van het kaderbesluit uit te voeren die niet door de algemene wetgeving waren behandeld[13].

Voor drie lidstaten was het beperkte toepassingsgebied van het kaderbesluit een probleem. Italië en Nederland wezen erop dat het in de praktijk lastig is om onder het kaderbesluit vallende grensoverschrijdende verwerking van gegevens en "binnenlandse" verwerking van elkaar te onderscheiden, alsook op de daarmee samenhangende complicatie voor de wetshandhavingsautoriteiten in de lidstaten, namelijk dat voor dezelfde persoonsgegevens verschillende verwerkingsregels moeten worden toegepast. Polen belichtte de tekortkomingen van het kaderbesluit in het algemeen en stelde in het bijzonder het eens te zijn met het streven van de Commissie om een alomvattend kader te creëren en ook het gebied van de politiële en justitiële samenwerking in strafzaken onder de algemene gegevensbeschermingsregels te laten vallen[14].

2.1.2. Informatie voor de betrokkene (artikel 16, overwegingen 26-27)

De lidstaten moeten er overeenkomstig het kaderbesluit op toezien dat de betrokkenen door de bevoegde autoriteiten op de hoogte worden gebracht van het feit dat de persoonsgegevens kunnen worden of worden verzameld, verwerkt of verstrekt aan een andere lidstaat met het oog op het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten en de tenuitvoerlegging van straffen. De vorm, de inhoud, de gebruikte methoden en de mogelijke uitzonderingen (geen of beperkte kennisgeving), worden nader geregeld in het nationaal recht. Dit kan in een algemene vorm gebeuren, bijvoorbeeld langs wettelijke weg of door bekendmaking van een lijst van verwerkingen. Wanneer lidstaten persoonsgegevens aan elkaar doorgeven, kunnen zij verlangen dat de betrokkene niet wordt geïnformeerd.

Zoals uit tabel 3 kan worden opgemaakt, informeren nagenoeg alle lidstaten de betrokkenen op de ene of de andere manier over de verwerking van hun persoonsgegevens. Frankrijk doet dat niet. Denemarken voorziet evenmin in dit recht, maar verplicht de voor de verwerking verantwoordelijke om een register bij te houden en het publiek te informeren.

Het recht om geïnformeerd te worden, is in de grote meerderheid van de lidstaten onderhevig aan beperkingen. De nationale wetgever heeft dit recht ofwel ingeperkt in het kader van het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten, ofwel bepaald dat het niet van toepassing is op de verwerking van gegevens door specifieke verantwoordelijken (politie en/of justitie). In sommige gevallen gelden er beperkingen/uitzonderingen zonder dat is gepreciseerd voor welke activiteiten. Heel wat lidstaten maken melding van zulke beperkingen ten behoeve van de politie, de militaire politie, het gerecht, de douane of de fiscus.

Volgens Nederland valt een algemene verplichting om de betrokkene te informeren niet te rijmen met de aard van het werk van politie en justitie, maar zijn de nodige voorzieningen getroffen om de betrokkene voldoende erover te informeren dat persoonsgegevens door de politie en justitie worden verwerkt (namelijk wetten die vastleggen in welke gevallen en onder welke voorwaarden gegevens worden verwerkt, het openbaar ministerie dat de betrokkene meedeelt wanneer bijzondere onderzoeksbevoegdheden worden uitgeoefend, als zulks het onderzoek niet schaadt). Nog volgens Nederland is er geen verplichting om deze bepaling ten uitvoer te leggen, aangezien artikel 16, lid 1, uitsluitend betrekking heeft op het nationaal recht van de lidstaten.

Het kaderbesluit stelt het recht van de betrokkene om te worden geïnformeerd vast, maar bevat geen nadere bepalingen inzake de methoden of eventuele uitzonderingen. Dat recht wordt volgens de lidstaten over het algemeen verleend, maar de invulling ervan verschilt aanzienlijk.

2.1.3. Recht van toegang voor betrokkenen (artikel 17)

Het kaderbesluit bepaalt dat de betrokkene gerechtigd is om, zonder beperking en zonder bovenmatige vertraging of kosten:

a)         van de toezichthoudende instantie of persoon of van de nationale toezichthoudende overheid tenminste antwoord te krijgen op de vraag of de hem betreffende gegevens zijn verstrekt of beschikbaar gesteld, informatie te krijgen over de ontvangers of categorieën van ontvangers aan wie de gegevens zijn verstrekt, alsook een opgave te krijgen van de gegevens die verwerking ondergaan, of

b)         van de nationale toezichthoudende autoriteit tenminste de bevestiging te krijgen dat alle nodige verificaties zijn verricht.

De lidstaten kunnen wettelijke maatregelen treffen ter beperking van het recht van toegang om belemmering van officiële of gerechtelijke onderzoeken of procedures te voorkomen; om te voorkomen dat de preventie, de opsporing, het onderzoek of de vervolging ter zake van strafbare feiten of de tenuitvoerlegging van straffen in het gedrang komt; ter bescherming van de openbare veiligheid; ter bescherming van de nationale veiligheid, en ter bescherming van de betrokkene of van de rechten en vrijheden van anderen. (artikel 17, lid 2). Iedere weigering of beperking van de toegang wordt schriftelijk aan de betrokkene toegelicht. (artikel 17, lid 3)

In tabel 4 wordt op basis van de inlichtingen die door de lidstaten zijn meegedeeld, een overzicht gegeven van de situatie in de lidstaten met betrekking tot het recht van toegang tot informatie van de betrokkene. Daaruit kan worden geconcludeerd dat alle lidstaten[15] de betrokkenen, in de ene of de andere vorm, een recht van toegang verlenen. Dit recht is doorgaans verankerd in de algemene gegevensbeschermingswetgeving van de lidstaten. Heel wat lidstaten hebben in sectorspecifieke wetgeving (bv. betreffende politiegegevens) ook gedetailleerde regels vastgesteld voor de uitoefening van het recht van toegang.

In alle lidstaten gelden ook uitzonderingen op het toegangsrecht. De motiveringen die daarvoor het vaakst worden vermeld, zijn:

– het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten;

– de nationale veiligheid, defensie en openbare veiligheid;

– financieel-economische belangen van de lidstaat en de EU (o.a. ook in monetaire, budgettaire en fiscale aangelegenheden)[16];

– bescherming van de rechten en vrijheden van de betrokkene of van anderen.

De manier waarop toegang tot persoonsgegevens wordt verleend, is in sommige lidstaten uitdrukkelijk geregeld en in andere niet. In sommige lidstaten kan de betrokkene direct bij de bevoegde autoriteit toegang tot zijn gegevens vragen (Bulgarije, Duitsland, Finland, Ierland, Letland, Malta, Nederland, Oostenrijk, Polen, Slowakije, het Verenigd Koninkrijk, Zweden), terwijl in andere (België, Frankrijk) slechts "indirecte" toegang wordt verkregen. In dit laatste geval is het de nationale toezichthoudende autoriteit die toegang heeft tot alle persoonsgegevens en niet de betrokkene zelf. In Finland en Litouwen kan de betrokkene kiezen. In Portugal is directe toegang de algemene regel, maar is voorzien in indirecte toegang wanneer er een raakvlak is tussen de verwerking van persoonsgegevens en de staatsveiligheid of het voorkomen of onderzoeken van strafbare feiten. De situatie is vergelijkbaar in Luxemburg, waar in de regel directe toegang wordt verleend, maar in gevallen waarin een uitzondering geldt, het verzoek om toegang moet worden gericht tot de toezichthoudende autoriteit.

Het kaderbesluit bevat algemene bepalingen inzake het verlenen van een recht van toegang aan de betrokkene. Er wordt niet gepreciseerd welke informatie aan de betrokkene moet worden verstrekt. Het wordt eveneens aan de lidstaten overgelaten of de betrokkene directe toegang krijgen of een indirecte route moeten volgen.

2.1.4. Nationale toezichthoudende autoriteiten (artikel 25)

Het kaderbesluit erkent dat het "een essentieel onderdeel van de bescherming van persoonsgegevens die worden verwerkt in het kader van de politiële en justitiële samenwerking in strafzaken tussen de lidstaten, is dat de lidstaten toezichthoudende autoriteiten aanwijzen die hun opdracht volledig onafhankelijk vervullen" (overweging 33). Voorts word bepaald dat de in de lidstaten reeds krachtens de richtlijn ingestelde toezichthoudende autoriteiten eveneens deze taken op zich kunnen nemen (overweging 34). De inhoud van artikel 28 (leden 1-4 en 7) van de richtlijn, betreffende de bevoegdheden van de toezichthoudende autoriteit, haar volstrekte onafhankelijkheid bij het vervullen van de opgedragen taken en de inachtneming van het beroepsgeheim, wordt grotendeels overgenomen in artikel 25 van het kaderbesluit. Elke toezichthoudende autoriteit moet met name beschikken over onderzoeksbevoegdheden, (zoals toegang tot gegevens en bevoegdheden om alle noodzakelijke inlichtingen in te winnen), effectieve bevoegdheden om in te grijpen (zoals de bevoegdheid om voorafgaand aan de uitvoering van de verwerking advies uit te brengen en te zorgen voor een passende bekendmaking van het advies; de bevoegdheid om gegevens te laten afschermen, wissen of vernietigen, een verwerking voorlopig of definitief te verbieden, de voor de verwerking verantwoordelijke te waarschuwen of te berispen, of de nationale parlementen of andere politieke instellingen in te schakelen) en de bevoegdheid om in rechte op te treden.

Zoals tabel 5 laat zien, zijn de nationale autoriteiten die bevoegd zijn voor het toezicht op de omzetting en de toepassing van de algemene gegevensbeschermingsregels meestal ook verantwoordelijk voor het toezicht op de omzetting en de toepassing van het kaderbesluit.

Zweden deelde mee dat zijn Gegevensinspectie (Data Inspection Board) nog moet worden aangesteld als toezichthoudende autoriteit ter uitvoering van artikel 25 van het kaderbesluit.

Sommige lidstaten stelden de kwestie van het toezicht op de gegevensverwerking door justitie nadrukkelijk aan de orde[17]. Denemarken vermeldde dat de gerechtelijke administratie verantwoordelijk is voor het toezicht op die gegevensverwerking en Oostenrijk stipte aan dat de toezichthoudende autoriteit voor gegevensverwerking niet bevoegd is om te oordelen over klachten in verband met schendingen van de gegevensbeschermingsregels door justitie. In Luxemburg is de commissie Gegevensbescherming in het algemeen bevoegd voor het toezicht op de verwerking van persoonsgegevens. Verwerkingen die worden gedaan op grond van nationale bepalingen tot uitvoering van internationale overeenkomsten staan onder toezicht van een autoriteit die bestaat uit de Procureur Général d’Etat of zijn gemachtigde en twee leden van de commissie Gegevensbescherming, voorgedragen door de commissie en benoemd door de minister.

2.1.5. Andere door de lidstaten aan de orde gestelde punten

Twintig van de 26 lidstaten, waarvan er 8 deze vraag onbeantwoord lieten (België, Denemarken, Estland, Griekenland, Hongarije, Luxemburg, Cyprus en Oostenrijk), hebben geen bijzondere problemen met het kaderbesluit gemeld. Zoals in tabel 6 is weergegeven, hebben 6 lidstaten een aantal punten gesignaleerd die volgens hen aandacht vereisen:

- Polen vond dat het kaderbesluit op verschillende punten moet worden verbeterd en zegde steun toe voor een hervorming die moet leiden tot een geïntegreerd, coherent gegevensbeschermingskader op EU-niveau;

- Italië en Nederland wezen erop dat het in de praktijk lastig is om onder het kaderbesluit vallende grensoverschrijdende verwerking van gegevens en "binnenlandse" verwerking van elkaar te onderscheiden, alsook op de daarmee samenhangende complicatie voor de wetshandhavingsautoriteiten in de lidstaten, namelijk dat voor dezelfde persoonsgegevens verschillende verwerkingsregels moeten worden toegepast;

- Italië, Tsjechië en Nederland hadden kritiek op wat in het kaderbesluit is bepaald voor internationale doorgiften. Met name volgens Italië is het noodzakelijk om een adequaat, gelijkwaardiger niveau van gegevensbescherming tot stand te brengen voor de doorgifte van persoonsgegevens aan derde landen. Volgens Nederland is het een probleem dat het kaderbesluit geen criteria bevat om te bepalen of het beschermingsniveau dat een derde land biedt adequaat is, wat tot uitvoeringsverschillen tussen de lidstaten leidt. Tsjechië tot slot, gaf te kennen de regels inzake internationale doorgiften "onrealistisch" te vinden.

- Frankrijk maakte melding van een specifiek nationaal probleem in verband met de bewaartermijnen van persoonsgegevens doorgegeven aan en ontvangen uit derde landen waar op dit gebied andere eisen gelden; - Volgens Slowakije moet een duidelijker onderscheid worden gemaakt tussen gegevensverwerking door de politie en door het gerecht (gerechtelijke procedures);

- Zowel Tsjechië als Nederland wees erop dat het voor de wetshandhavingsdiensten verwarrend is rekening te moeten houden met verschillende regels op internationaal (bv. Raad van Europa), EU- en nationaal niveau.

3. VERVOLGWERKZAAMHEDEN

Dit verslag geeft de stand van zaken weer met betrekking tot de uitvoering en de werking van het kaderbesluit over de bescherming van persoonsgegevens die worden verwerkt in het kader van de politiële en justitiële samenwerking in strafzaken.

De moeilijkheden die in de praktijk door een aantal lidstaten zijn ondervonden om het onderscheid te maken tussen regels voor "binnenlandse" verwerking en die voor grensoverschrijdende verwerking, kunnen worden verholpen door één stel regels uit te vaardigen dat beide vormen van verwerking bestrijkt. De reikwijdte van het recht van informatie van de betrokkene en de mogelijke uitzonderingen op dat recht op EU-niveau moeten nader worden gepreciseerd. Geharmoniseerde minimumcriteria voor het recht van toegang van de betrokkene zijn een middel niet alleen om de rechten van de betrokkene te versterken, maar ook om te voorzien in uitzonderingen die politie en justitie in staat moeten stellen om hun taken naar behoren te vervullen.

Artikel 16 van het Verdrag betreffende de werking van de Europese Unie, dat het recht op bescherming van persoonsgegevens vestigt, maakt het nu mogelijk een alomvattend kader te creëren dat een hoog niveau van bescherming van persoonsgegevens waarborgt op het gebied van de politiële en justitiële samenwerking in strafzaken en de uitwisseling van persoonsgegevens tussen de politiële en justitiële autoriteiten van de lidstaten vergemakkelijkt, zonder afbreuk te doen aan het beginsel van subsidiariteit.

[1]               PB L 350 van 30.12.2008, blz. 60.

[2]               Artikel 30.

[3]               Overweging (5) bij Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, PB L 281, 23.11.1995, blz. 31.

[4]               Artikel 1.

[5]               Artikel 1, lid 5.

[6]               Artikel 1, lid 2.

[7]               Artikel 13.

[8]               Italië deelde de Commissie mee dat specifieke uitvoeringsmaatregelen nog niet formeel zijn vastgesteld. Er wordt verwezen naar de wet bescherming persoonsgegevens, de strafprocedurewet en andere wetten die bepalingen bevatten die van toepassing zijn op de gegevensverwerking op de betrokken gebieden. Andere lidstaten hanteren een andere benadering: de geldende gegevensbeschermingsregels zijn ook van toepassing op de binnenlandse verwerking van persoonsgegevens door politie en justitie, en op de grensoverschrijdende verwerking door politie en justitie in strafzaken. Zij hebben de Commissie tevens ervan in kennis gesteld dat aanvullende uitvoeringsmaatregelen worden voorbereid.

[9]               Zie het arrest in zaak C-105/03, Pupino, punten 34, 43-45, 47 en 61, waarin het Hof van Justitie stelde dat de nationale rechter ertoe verplicht is de bepalingen van zijn nationale recht zoveel mogelijk op een consequente manier uit te leggen, ook voor kaderbesluiten.

[10]             En dat was reeds zo voordat het kaderbesluit werd goedgekeurd (zie werkdocument van de diensten van de Commissie, effectbeoordeling, SEC(2005) 1241 van 4.10.2005, punt 5.1.2).

[11]             Zie tabel 2.

[12]             Zie tabel 2.

[13]             Zie opmerkingen van Nederland.

[14]             Zie ook de bijdrage van Polen (ministerie van Binnenlandse Zaken) in het kader van de openbare raadpleging die de Commissie eind 2010 hield (en waarnaar in het antwoord op de vragenlijst werd verwezen): http://ec.europa.eu/justice/news/consulting_public/0006/contributions/public_authorities/pl_min_pl.pdf.

[15]             Dit kan worden geconcludeerd niettegenstaande sommige lidstaten geen nadere bijzonderheden hebben verstrekt (zie details in tabel 3).

[16]             Deze uitzondering wordt niet uitdrukkelijk genoemd in artikel 17 van het Kaderbesluit 2008/977/JBZ. Er is wel sprake van een soortgelijke uitzondering in artikel 13, lid 1, van Richtlijn 95/46/EG.

[17]             Zie overweging 35, laatste zin, van het kaderbesluit, bepalende dat de bevoegdheden van de toezichthoudende autoriteiten "geen afbreuk [mogen] doen aan de bestaande regels van het strafprocesrecht en de onafhankelijkheid van de rechterlijke macht".