This document is an excerpt from the EUR-Lex website
Document 52012DC0012
REPORT FROM THE COMMISSION TO THE EUROPEAN PARLIAMENT, THE COUNCIL, THE EUROPEAN ECONOMIC AND SOCIAL COMMITTEE AND THE COMMITTEE OF THE REGIONS based on Article 29 (2) of the Council Framework Decision of 27 November 2008 on the protection of personal data processed in the framework of police and judicial cooperation in criminal matters
VERSLAG VAN DE COMMISSIE AAN HET EUROPEES PARLEMENT, DE RAAD, HET EUROPEES ECONOMISCH EN SOCIAAL COMITÉ EN HET COMITÉ VAN DE REGIO'S op grond van artikel 29, lid 2, van het kaderbesluit van de Raad van 27 november 2008 over de bescherming van persoonsgegevens die worden verwerkt in het kader van de politiële en justitiële samenwerking in strafzaken
VERSLAG VAN DE COMMISSIE AAN HET EUROPEES PARLEMENT, DE RAAD, HET EUROPEES ECONOMISCH EN SOCIAAL COMITÉ EN HET COMITÉ VAN DE REGIO'S op grond van artikel 29, lid 2, van het kaderbesluit van de Raad van 27 november 2008 over de bescherming van persoonsgegevens die worden verwerkt in het kader van de politiële en justitiële samenwerking in strafzaken
/* COM/2012/012 final */
VERSLAG VAN DE COMMISSIE AAN HET EUROPEES PARLEMENT, DE RAAD, HET EUROPEES ECONOMISCH EN SOCIAAL COMITÉ EN HET COMITÉ VAN DE REGIO'S op grond van artikel 29, lid 2, van het kaderbesluit van de Raad van 27 november 2008 over de bescherming van persoonsgegevens die worden verwerkt in het kader van de politiële en justitiële samenwerking in strafzaken /* COM/2012/012 final */
VERSLAG VAN DE COMMISSIE AAN HET EUROPEES
PARLEMENT, DE RAAD, HET EUROPEES ECONOMISCH EN SOCIAAL COMITÉ EN HET COMITÉ VAN
DE REGIO'S op grond van artikel 29, lid 2, van het
kaderbesluit van de Raad van 27 november 2008 over de bescherming van
persoonsgegevens die worden verwerkt in het kader van de politiële en
justitiële samenwerking in strafzaken
1.
INLEIDING
1.1.
Achtergrond
Kaderbesluit 2008/977/JBZ van de Raad van 27
november 2008[1]
(hierna "het kaderbesluit" genoemd) over de bescherming van
persoonsgegevens die worden verwerkt in het kader van de politiële en
justitiële samenwerking in strafzaken vormt het algemeen rechtskader voor dit
specifieke aspect van de bescherming van persoonsgegevens. Dit besluit is per 19
januari 2009 in werking getreden[2]. Het kaderbesluit was nodig omdat er
toentertijd geen overkoepelend instrument op Europees niveau was dat de
verwerking van persoonsgegevens in het kader van de politiële en justitiële
samenwerking in strafzaken regelde[3].
Artikel 3 van Richtlijn 95/46/EG betreffende de bescherming van natuurlijke
personen in verband met de verwerking van persoonsgegevens, en betreffende het
vrije verkeer van die gegevens, bepaalt dat de richtlijn niet van toepassing is
op "de verwerking van persoonsgegevens in het kader van een activiteit die
buiten de werkingssfeer van het Gemeenschapsrecht valt, zoals de activiteiten
in het kader van titel VI van het Verdrag betreffende de Europese Unie, en
zeker niet op de verwerking van gegevens in verband met openbare veiligheid,
defensie, de staatsveiligheid en de activiteiten van de staat op
strafrechtelijk gebied". Doel van het kaderbesluit is op EU-niveau een
hoge mate van bescherming te waarborgen van de fundamentele rechten en
vrijheden van natuurlijke personen in verband met de verwerking van
persoonsgegevens in het kader van de politiële en justitiële samenwerking in
strafzaken. Terzelfdertijd dient een hoog niveau van openbare veiligheid te
worden gegarandeerd[4].
De lidstaten kunnen, ter bescherming van de op nationaal niveau verzamelde of
verwerkte persoonsgegevens, uitgebreidere waarborgen bieden dan die waarin dit
kaderbesluit voorziet[5]. Het toepassingsgebied[6] van het kaderbesluit is beperkt
tot de verwerking van persoonsgegevens die met het oog op de preventie, het
onderzoek, de opsporing en de vervolging ter zake van strafbare feiten of de
tenuitvoerlegging van straffen: - worden of zijn verstrekt of beschikbaar
gesteld tussen de lidstaten; - door de lidstaten worden of zijn verstrekt
of beschikbaar gesteld aan autoriteiten of informatiesystemen die krachtens
titel VI ('Politiële samenwerking en justitiële samenwerking in strafzaken')
van het Verdrag betreffende de Europese Unie zijn ingesteld; of - aan de bevoegde autoriteiten van de
lidstaten worden of zijn verstrekt of beschikbaar gesteld door autoriteiten of
informatiesystemen die krachtens het Verdrag betreffende de Europese Unie of
het Verdrag tot oprichting van de Europese Gemeenschap zijn ingesteld. Persoonsgegevens die door de ene lidstaat aan
een andere zijn verstrekt mogen worden doorgegeven aan derde landen of
internationale organen mits aan bepaalde voorwaarden is voldaan[7]. Het kaderbesluit is integraal van toepassing
op het Verenigd Koninkrijk en Ierland, omdat het een ontwikkeling inhoudt van
het Schengenacquis. Het Verenigd Koninkrijk en Ierland nemen aan dit besluit
deel overeenkomstig artikel 5 van het Protocol tot opneming van het
Schengenacquis in het kader van de Europese Unie, dat aan het EU-Verdrag en het
EG-Verdrag is gehecht, en aan de Besluiten 2000/365/EG en 2002/192/EG van de
Raad. Wat IJsland, Noorwegen, Zwitserland en
Liechtenstein betreft, houdt het kaderbesluit een ontwikkeling in van de
bepalingen van het Schengenacquis in de zin van de door de Raad van de Europese
Unie of de Europese Unie met IJsland en Noorwegen, de Zwitserse Bondsstaat en
Liechtenstein gesloten Overeenkomsten en Protocollen, en de Besluiten 1999/437/EG,
2008/149/JBZ en 2008/262/JBZ van de Raad.
1.2.
Inhoud van Kaderbesluit 2008/977/JBZ
De binnenlandse verwerking van
persoonsgegevens door de bevoegde gerechtelijke of politiële autoriteiten in de
lidstaten valt niet onder het toepassingsgebied van het kaderbesluit
(overeenkomstig artikel 1, lid 2). Sectorspecifieke wetgevingsinstrumenten
betreffende de politiële en justitiële samenwerking in strafzaken die
bepalingen bevatten inzake de bescherming van persoonsgegevens en die vóór
de datum van inwerkingtreding van het kaderbesluit zijn aangenomen, hebben in
het algemeen voorrang boven de bepalingen van het kaderbesluit (artikel 28).
Instrumenten waarvan wordt aangenomen dat zij een "volledig en
samenhangend pakket van regels" inzake gegevensbescherming vormen, worden
door het kaderbesluit onverlet gelaten (overweging 39). Andere sectorspecifieke
instrumenten die gegevensbeschermingsregels met een beperkter toepassingsgebied
bevatten, hebben voorrang boven het kaderbesluit als die regels restrictiever
zijn. In het andere geval moet het kaderbesluit worden toegepast (overweging 40). Het kaderbesluit bepaalt wat de doelstellingen
zijn van de gegevensbescherming in het kader van de werkzaamheden van politie
en justitie. Het bevat regels die moeten garanderen dat alle gegevens die
worden uitgewisseld, op een wettelijke en rechtmatige manier en volgens de
grondbeginselen betreffende de gegevenskwaliteit zijn verwerkt. Het bakent tevens de rechten van de betrokken
personen af om de bescherming van persoonsgegevens te garanderen zonder afbreuk
te doen aan de belangen van het strafrechtelijk onderzoek. Betrokkenen moeten
worden ingelicht en toegang hebben tot hun persoonsgegevens. De nationale toezichthoudende autoriteiten
vervullen de hun opgedragen taken in volstrekte onafhankelijkheid en moeten
over de toepassing van de maatregelen die de lidstaten nemen om het
kaderbesluit om te zetten, advies uitbrengen en toezicht houden.
1.3.
Verplichting voor de Commissie om verslag uit te
brengen over de uitvoering
Artikel 29, lid 1, van het kaderbesluit
bepaalt dat de lidstaten de nodige maatregelen treffen om uiterlijk op 27
november 2010 aan het besluit te voldoen. Volgens artikel 29, lid 2, delen de lidstaten
het secretariaat-generaal van de Raad en de Commissie de tekst mee van de
bepalingen waarmee zij de uit dit kaderbesluit voortvloeiende verplichtingen
omzetten in nationaal recht, alsmede informatie over de in artikel 25 bedoelde
toezichthoudende autoriteiten. Op basis van een verslag van de Commissie dat
is opgesteld met gebruikmaking van deze informatie, gaat de Raad vóór 27
november 2011 na in hoeverre de lidstaten de maatregelen hebben genomen die
noodzakelijk zijn om aan het kaderbesluit te voldoen.
1.4.
Aan dit verslag ten grondslag liggende informatie
De Commissie had op 9 november 2011
informatie over de uitvoering van het kaderbesluit ontvangen van 26 van de 27
lidstaten en van Liechtenstein, Noorwegen, IJsland en Zwitserland. In 14 van die 26 lidstaten waren
wetgevende maatregelen genomen en van kracht om uitvoering te geven aan het
kaderbesluit (België, Tsjechië, Denemarken, Duitsland, Estland, Ierland,
Hongarije, Letland, Litouwen, Luxemburg, Oostenrijk, Slowakije, Zweden en het
Verenigd Koninkrijk). In Duitsland, Ierland, Estland en Zweden werd nog
onderzocht of er behoefte was aan nadere uitvoeringsmaatregelen. In 9 lidstaten is er sprake van een
gedeeltelijke uitvoering van het kaderbesluit, aangezien de desbetreffende
wetgevende maatregelen nog moeten worden goedgekeurd. 4 lidstaten hebben
op het verzoek om informatie van de Commissie ofwel niet gereageerd (Roemenië),
ofwel geantwoord dat het kaderbesluit niet is uitgevoerd (Griekenland, Italië[8] en Cyprus). Er zijn
inhoudelijke verschillen, voornamelijk qua detaillering, wat betreft de
informatie die de lidstaten in antwoord op haar vragenlijst aan de Commissie
hebben verstrekt. In het overzicht van de antwoorden in tabel 1 is
weergegeven hoe de lidstaten de stand van uitvoering van het kaderbesluit
evalueren.
2.
OMZETTING VAN HET KADERBESLUIT
2.1.
Kaderbesluit ex-artikel 34, lid 2, onder b), van
het Verdrag betreffende de Europese Unie
Dit kaderbesluit
is gebaseerd op het Verdrag betreffende de Europese Unie (VEU), en met name op
artikel 30, artikel 31, onder e), en artikel 34, lid 2, onder b). Als
wetgevingsinstrument kan het kaderbesluit het best worden vergeleken met een
richtlijn: het is bindend voor de lidstaten wat het resultaat betreft, maar de
keuze van de vorm en de methoden wordt aan hen overgelaten. Kaderbesluiten
hebben echter geen directe werking[9]. Krachtens artikel 10
van het aan de Verdragen gehechte Protocol (nr. 36) betreffende de
overgangsbepalingen, met betrekking tot de handelingen die op grond van de titels
V en VI van het VEU voor de inwerkingtreding van het Verdrag van Lissabon zijn
vastgesteld, zijn de bevoegdheden van de Commissie uit hoofde van artikel 258
VWEU wat betreft handelingen inzake de voormalige "derde pijler" niet
van toepassing (en blijven die van het Hof van Justitie beperkt) gedurende een
overgangsperiode van vijf jaar na de datum van inwerkingtreding van het Verdrag
van Lissabon (d.w.z. tot 1 december 2014). Hierna wordt nader
ingegaan op de uitvoering van vier essentiële bepalingen van het kaderbesluit,
aan de hand van de informatie die door de lidstaten is verstrekt nadat de
Commissie daarom op 9 december 2010 had verzocht.
2.1.1.
Werkingssfeer van de nationale
uitvoeringsmaatregelen
Het
toepassingsgebied van het kaderbesluit is beperkt tot de verwerking van
persoonsgegevens die worden verstrekt of beschikbaar gesteld tussen lidstaten.
De "binnenlandse" verwerking van persoonsgegevens door de politie of
justitie in strafzaken valt daarbuiten. Tabel 2 in de bijlage geeft een overzicht van de uitvoeringsmaatregelen in de
lidstaten. De meeste lidstaten vermeldden de algemene
gegevensbeschermingswetgeving bij de uitvoeringsmaatregelen voor het
kaderbesluit en verwezen ook naar sectorale wetgeving die van toepassing is op
de politie, het gerecht, de douane en de belastingdiensten. Sommige lidstaten
kozen ervoor om geen wetgevende maatregelen te nemen, maar het kaderbesluit uit
te voeren door middel van ambtelijke circulaires (b.v. Duitsland en het
Verenigd Koninkrijk). In het merendeel
van de lidstaten is de algemene gegevensbeschermingswetgeving van toepassing
op de verwerking van persoonsgegevens door politie en justitie, zowel op de
binnenlandse als op de grensoverschrijdende verwerking[10], vaak samen met het
wetboek van strafvordering en politie(gegevens)wetten[11]. Dertien lidstaten
(België, Tsjechië, Duitsland, Estland, Italië, Luxemburg, Hongarije, Malta,
Nederland, Slovenië, Slowakije, Finland en Zweden) noemden het wetboek van
strafvordering of soortgelijke wetgeving. Zeven lidstaten (Tsjechië, Duitsland,
Hongarije, Nederland, Slovenië, Finland en Zweden) maken melding van een
specifieke "wet politiegegevens"[12].
Drie lidstaten (Bulgarije, Portugal en Litouwen) vermeldden voorts dat zij ook
specifieke wetgeving hadden aangenomen om sommige, uitsluitend op
grensoverschrijdende verwerking van persoonsgegevens toepasselijke, bepalingen
van het kaderbesluit uit te voeren die niet door de algemene wetgeving waren
behandeld[13]. Voor drie
lidstaten was het beperkte toepassingsgebied van het kaderbesluit een probleem.
Italië en Nederland wezen erop dat het in de praktijk lastig is om onder het
kaderbesluit vallende grensoverschrijdende verwerking van gegevens en
"binnenlandse" verwerking van elkaar te onderscheiden, alsook op de
daarmee samenhangende complicatie voor de wetshandhavingsautoriteiten in de
lidstaten, namelijk dat voor dezelfde persoonsgegevens verschillende
verwerkingsregels moeten worden toegepast. Polen belichtte de tekortkomingen
van het kaderbesluit in het algemeen en stelde in het bijzonder het eens te
zijn met het streven van de Commissie om een alomvattend kader te creëren en
ook het gebied van de politiële en justitiële samenwerking in strafzaken onder
de algemene gegevensbeschermingsregels te laten vallen[14].
2.1.2.
Informatie voor de betrokkene (artikel 16,
overwegingen 26-27)
De lidstaten
moeten er overeenkomstig het kaderbesluit op toezien dat de betrokkenen door de
bevoegde autoriteiten op de hoogte worden gebracht van het feit dat de
persoonsgegevens kunnen worden of worden verzameld, verwerkt of verstrekt aan
een andere lidstaat met het oog op het voorkomen, onderzoeken, opsporen en
vervolgen van strafbare feiten en de tenuitvoerlegging van straffen. De vorm,
de inhoud, de gebruikte methoden en de mogelijke uitzonderingen (geen of
beperkte kennisgeving), worden nader geregeld in het nationaal recht. Dit kan
in een algemene vorm gebeuren, bijvoorbeeld langs wettelijke weg of door
bekendmaking van een lijst van verwerkingen. Wanneer lidstaten persoonsgegevens
aan elkaar doorgeven, kunnen zij verlangen dat de betrokkene niet wordt
geïnformeerd. Zoals uit tabel
3 kan worden opgemaakt, informeren nagenoeg alle lidstaten de
betrokkenen op de ene of de andere manier over de verwerking van hun
persoonsgegevens. Frankrijk doet dat niet. Denemarken voorziet evenmin
in dit recht, maar verplicht de voor de verwerking verantwoordelijke om een
register bij te houden en het publiek te informeren. Het recht om
geïnformeerd te worden, is in de grote meerderheid van de lidstaten
onderhevig aan beperkingen. De nationale wetgever heeft dit recht ofwel
ingeperkt in het kader van het voorkomen, onderzoeken, opsporen en vervolgen
van strafbare feiten, ofwel bepaald dat het niet van toepassing is op de
verwerking van gegevens door specifieke verantwoordelijken (politie en/of
justitie). In sommige gevallen gelden er beperkingen/uitzonderingen zonder dat
is gepreciseerd voor welke activiteiten. Heel wat lidstaten maken melding van
zulke beperkingen ten behoeve van de politie, de militaire politie, het
gerecht, de douane of de fiscus. Volgens Nederland
valt een algemene verplichting om de betrokkene te informeren niet te rijmen
met de aard van het werk van politie en justitie, maar zijn de nodige
voorzieningen getroffen om de betrokkene voldoende erover te informeren dat
persoonsgegevens door de politie en justitie worden verwerkt (namelijk wetten
die vastleggen in welke gevallen en onder welke voorwaarden gegevens worden
verwerkt, het openbaar ministerie dat de betrokkene meedeelt wanneer bijzondere
onderzoeksbevoegdheden worden uitgeoefend, als zulks het onderzoek niet
schaadt). Nog volgens Nederland is er geen verplichting om deze bepaling ten
uitvoer te leggen, aangezien artikel 16, lid 1, uitsluitend betrekking heeft op
het nationaal recht van de lidstaten. Het kaderbesluit
stelt het recht van de betrokkene om te worden geïnformeerd vast, maar bevat
geen nadere bepalingen inzake de methoden of eventuele uitzonderingen. Dat
recht wordt volgens de lidstaten over het algemeen verleend, maar de invulling
ervan verschilt aanzienlijk.
2.1.3.
Recht van toegang voor betrokkenen (artikel
17)
Het kaderbesluit bepaalt dat de betrokkene
gerechtigd is om, zonder beperking en zonder bovenmatige vertraging of kosten: a) van de toezichthoudende instantie
of persoon of van de nationale toezichthoudende overheid tenminste antwoord te
krijgen op de vraag of de hem betreffende gegevens zijn verstrekt of
beschikbaar gesteld, informatie te krijgen over de ontvangers of categorieën
van ontvangers aan wie de gegevens zijn verstrekt, alsook een opgave te krijgen
van de gegevens die verwerking ondergaan, of b) van de nationale toezichthoudende
autoriteit tenminste de bevestiging te krijgen dat alle nodige verificaties
zijn verricht. De lidstaten kunnen wettelijke maatregelen
treffen ter beperking van het recht van toegang om belemmering van officiële of
gerechtelijke onderzoeken of procedures te voorkomen; om te voorkomen dat de
preventie, de opsporing, het onderzoek of de vervolging ter zake van strafbare
feiten of de tenuitvoerlegging van straffen in het gedrang komt; ter
bescherming van de openbare veiligheid; ter bescherming van de nationale
veiligheid, en ter bescherming van de betrokkene of van de rechten en vrijheden
van anderen. (artikel 17, lid 2). Iedere weigering of beperking van de toegang
wordt schriftelijk aan de betrokkene toegelicht. (artikel 17, lid 3) In tabel 4 wordt op basis van de
inlichtingen die door de lidstaten zijn meegedeeld, een overzicht gegeven van
de situatie in de lidstaten met betrekking tot het recht van toegang tot
informatie van de betrokkene. Daaruit kan worden geconcludeerd dat alle
lidstaten[15]
de betrokkenen, in de ene of de andere vorm, een recht van toegang verlenen.
Dit recht is doorgaans verankerd in de algemene gegevensbeschermingswetgeving
van de lidstaten. Heel wat lidstaten hebben in sectorspecifieke wetgeving (bv.
betreffende politiegegevens) ook gedetailleerde regels vastgesteld voor de
uitoefening van het recht van toegang. In alle lidstaten
gelden ook uitzonderingen op het toegangsrecht. De motiveringen die
daarvoor het vaakst worden vermeld, zijn: –
het voorkomen, onderzoeken, opsporen en vervolgen
van strafbare feiten; –
de nationale veiligheid, defensie en openbare
veiligheid; –
financieel-economische belangen van de lidstaat en
de EU (o.a. ook in monetaire, budgettaire en fiscale aangelegenheden)[16]; –
bescherming van de rechten en vrijheden van de
betrokkene of van anderen. De manier
waarop toegang tot persoonsgegevens wordt verleend, is in sommige lidstaten
uitdrukkelijk geregeld en in andere niet. In sommige lidstaten kan de
betrokkene direct bij de bevoegde autoriteit toegang tot zijn gegevens vragen
(Bulgarije, Duitsland, Finland, Ierland, Letland, Malta, Nederland, Oostenrijk,
Polen, Slowakije, het Verenigd Koninkrijk, Zweden), terwijl in andere (België,
Frankrijk) slechts "indirecte" toegang wordt verkregen. In dit
laatste geval is het de nationale toezichthoudende autoriteit die toegang heeft
tot alle persoonsgegevens en niet de betrokkene zelf. In Finland en Litouwen
kan de betrokkene kiezen. In Portugal is directe toegang de algemene regel,
maar is voorzien in indirecte toegang wanneer er een raakvlak is tussen de
verwerking van persoonsgegevens en de staatsveiligheid of het voorkomen of
onderzoeken van strafbare feiten. De situatie is vergelijkbaar in Luxemburg,
waar in de regel directe toegang wordt verleend, maar in gevallen waarin een
uitzondering geldt, het verzoek om toegang moet worden gericht tot de
toezichthoudende autoriteit. Het kaderbesluit
bevat algemene bepalingen inzake het verlenen van een recht van toegang aan de
betrokkene. Er wordt niet gepreciseerd welke informatie aan de betrokkene moet
worden verstrekt. Het wordt eveneens aan de lidstaten overgelaten of de
betrokkene directe toegang krijgen of een indirecte route moeten volgen.
2.1.4.
Nationale toezichthoudende autoriteiten
(artikel 25)
Het kaderbesluit
erkent dat het "een essentieel onderdeel van de bescherming van
persoonsgegevens die worden verwerkt in het kader van de politiële en
justitiële samenwerking in strafzaken tussen de lidstaten, is dat de lidstaten
toezichthoudende autoriteiten aanwijzen die hun opdracht volledig onafhankelijk
vervullen" (overweging 33). Voorts word bepaald dat de in de lidstaten
reeds krachtens de richtlijn ingestelde toezichthoudende autoriteiten eveneens
deze taken op zich kunnen nemen (overweging 34). De inhoud van artikel 28
(leden 1-4 en 7) van de richtlijn, betreffende de bevoegdheden van de
toezichthoudende autoriteit, haar volstrekte onafhankelijkheid bij het
vervullen van de opgedragen taken en de inachtneming van het beroepsgeheim,
wordt grotendeels overgenomen in artikel 25 van het kaderbesluit. Elke
toezichthoudende autoriteit moet met name beschikken over
onderzoeksbevoegdheden, (zoals toegang tot gegevens en bevoegdheden om alle
noodzakelijke inlichtingen in te winnen), effectieve bevoegdheden om in te
grijpen (zoals de bevoegdheid om voorafgaand aan de uitvoering van de
verwerking advies uit te brengen en te zorgen voor een passende bekendmaking
van het advies; de bevoegdheid om gegevens te laten afschermen, wissen of
vernietigen, een verwerking voorlopig of definitief te verbieden, de voor de
verwerking verantwoordelijke te waarschuwen of te berispen, of de nationale
parlementen of andere politieke instellingen in te schakelen) en de bevoegdheid
om in rechte op te treden. Zoals tabel 5
laat zien, zijn de nationale autoriteiten die bevoegd zijn voor het toezicht op
de omzetting en de toepassing van de algemene gegevensbeschermingsregels
meestal ook verantwoordelijk voor het toezicht op de omzetting en de toepassing
van het kaderbesluit. Zweden deelde mee
dat zijn Gegevensinspectie (Data Inspection Board) nog moet worden aangesteld
als toezichthoudende autoriteit ter uitvoering van artikel 25 van het
kaderbesluit. Sommige lidstaten
stelden de kwestie van het toezicht op de gegevensverwerking door justitie
nadrukkelijk aan de orde[17].
Denemarken vermeldde dat de gerechtelijke administratie verantwoordelijk is
voor het toezicht op die gegevensverwerking en Oostenrijk stipte aan dat de
toezichthoudende autoriteit voor gegevensverwerking niet bevoegd is om te
oordelen over klachten in verband met schendingen van de
gegevensbeschermingsregels door justitie. In Luxemburg is de commissie
Gegevensbescherming in het algemeen bevoegd voor het toezicht op de verwerking
van persoonsgegevens. Verwerkingen die worden gedaan op grond van nationale
bepalingen tot uitvoering van internationale overeenkomsten staan onder
toezicht van een autoriteit die bestaat uit de Procureur Général d’Etat
of zijn gemachtigde en twee leden van de commissie Gegevensbescherming,
voorgedragen door de commissie en benoemd door de minister.
2.1.5.
Andere door de lidstaten aan de orde
gestelde punten
Twintig van de 26
lidstaten, waarvan er 8 deze vraag onbeantwoord lieten (België, Denemarken,
Estland, Griekenland, Hongarije, Luxemburg, Cyprus en Oostenrijk), hebben geen
bijzondere problemen met het kaderbesluit gemeld. Zoals in tabel 6 is
weergegeven, hebben 6 lidstaten een aantal punten gesignaleerd die volgens hen
aandacht vereisen: - Polen vond dat het kaderbesluit op verschillende
punten moet worden verbeterd en zegde steun toe voor een hervorming die moet
leiden tot een geïntegreerd, coherent gegevensbeschermingskader op EU-niveau; - Italië en Nederland wezen erop dat het in de
praktijk lastig is om onder het kaderbesluit vallende grensoverschrijdende
verwerking van gegevens en "binnenlandse" verwerking van elkaar te
onderscheiden, alsook op de daarmee samenhangende complicatie voor de
wetshandhavingsautoriteiten in de lidstaten, namelijk dat voor dezelfde persoonsgegevens
verschillende verwerkingsregels moeten worden toegepast; - Italië, Tsjechië
en Nederland hadden kritiek op wat in het kaderbesluit is bepaald voor
internationale doorgiften. Met name volgens Italië is het noodzakelijk om een
adequaat, gelijkwaardiger niveau van gegevensbescherming tot stand te brengen
voor de doorgifte van persoonsgegevens aan derde landen. Volgens Nederland is
het een probleem dat het kaderbesluit geen criteria bevat om te bepalen of het
beschermingsniveau dat een derde land biedt adequaat is, wat tot
uitvoeringsverschillen tussen de lidstaten leidt. Tsjechië tot slot, gaf te
kennen de regels inzake internationale doorgiften "onrealistisch" te
vinden.
- Frankrijk maakte
melding van een specifiek nationaal probleem in verband met de bewaartermijnen
van persoonsgegevens doorgegeven aan en ontvangen uit derde landen waar op dit
gebied andere eisen gelden; - Volgens Slowakije moet een duidelijker
onderscheid worden gemaakt tussen gegevensverwerking door de politie en door
het gerecht (gerechtelijke procedures); - Zowel Tsjechië
als Nederland wees erop dat het voor de wetshandhavingsdiensten verwarrend is
rekening te moeten houden met verschillende regels op internationaal (bv. Raad
van Europa), EU- en nationaal niveau.
3.
VERVOLGWERKZAAMHEDEN
Dit verslag geeft de stand van zaken weer met
betrekking tot de uitvoering en de werking van het kaderbesluit over de
bescherming van persoonsgegevens die worden verwerkt in het kader van de
politiële en justitiële samenwerking in strafzaken. De moeilijkheden
die in de praktijk door een aantal lidstaten zijn ondervonden om het
onderscheid te maken tussen regels voor "binnenlandse" verwerking en
die voor grensoverschrijdende verwerking, kunnen worden verholpen door één stel
regels uit te vaardigen dat beide vormen van verwerking bestrijkt. De
reikwijdte van het recht van informatie van de betrokkene en de mogelijke
uitzonderingen op dat recht op EU-niveau moeten nader worden gepreciseerd.
Geharmoniseerde minimumcriteria voor het recht van toegang van de betrokkene
zijn een middel niet alleen om de rechten van de betrokkene te versterken, maar
ook om te voorzien in uitzonderingen die politie en justitie in staat moeten
stellen om hun taken naar behoren te vervullen. Artikel 16 van het
Verdrag betreffende de werking van de Europese Unie, dat het recht op
bescherming van persoonsgegevens vestigt, maakt het nu mogelijk een alomvattend
kader te creëren dat een hoog niveau van bescherming van persoonsgegevens
waarborgt op het gebied van de politiële en justitiële samenwerking in
strafzaken en de uitwisseling van persoonsgegevens tussen de politiële en
justitiële autoriteiten van de lidstaten vergemakkelijkt, zonder afbreuk te
doen aan het beginsel van subsidiariteit. [1] PB L 350 van 30.12.2008, blz. 60. [2] Artikel 30. [3] Overweging (5) bij Richtlijn 95/46/EG van het Europees
Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van
natuurlijke personen in verband met de verwerking van persoonsgegevens en
betreffende het vrije verkeer van die gegevens, PB L 281, 23.11.1995,
blz. 31. [4] Artikel 1. [5] Artikel 1, lid 5. [6] Artikel 1, lid 2. [7] Artikel 13. [8] Italië deelde de Commissie mee dat specifieke
uitvoeringsmaatregelen nog niet formeel zijn vastgesteld. Er wordt verwezen
naar de wet bescherming persoonsgegevens, de strafprocedurewet en andere wetten
die bepalingen bevatten die van toepassing zijn op de gegevensverwerking op de
betrokken gebieden. Andere lidstaten hanteren een andere benadering: de
geldende gegevensbeschermingsregels zijn ook van toepassing op de binnenlandse
verwerking van persoonsgegevens door politie en justitie, en op de
grensoverschrijdende verwerking door politie en justitie in strafzaken. Zij
hebben de Commissie tevens ervan in kennis gesteld dat aanvullende
uitvoeringsmaatregelen worden voorbereid. [9] Zie het arrest in zaak C-105/03, Pupino, punten 34,
43-45, 47 en 61, waarin het Hof van Justitie stelde dat de nationale rechter
ertoe verplicht is de bepalingen van zijn nationale recht zoveel mogelijk op
een consequente manier uit te leggen, ook voor kaderbesluiten. [10] En dat was reeds zo voordat het kaderbesluit werd
goedgekeurd (zie werkdocument van de diensten van de Commissie,
effectbeoordeling, SEC(2005) 1241 van 4.10.2005, punt 5.1.2). [11] Zie tabel 2. [12] Zie tabel 2. [13] Zie opmerkingen van Nederland. [14] Zie ook de bijdrage van Polen (ministerie van Binnenlandse
Zaken) in het kader van de openbare raadpleging die de Commissie eind 2010
hield (en waarnaar in het antwoord op de vragenlijst werd verwezen): http://ec.europa.eu/justice/news/consulting_public/0006/contributions/public_authorities/pl_min_pl.pdf. [15] Dit kan worden geconcludeerd niettegenstaande sommige
lidstaten geen nadere bijzonderheden hebben verstrekt (zie details in tabel 3). [16] Deze uitzondering wordt niet uitdrukkelijk genoemd in
artikel 17 van het Kaderbesluit 2008/977/JBZ. Er is wel sprake van een
soortgelijke uitzondering in artikel 13, lid 1, van Richtlijn 95/46/EG. [17] Zie overweging 35, laatste zin, van het kaderbesluit,
bepalende dat de bevoegdheden van de toezichthoudende autoriteiten "geen
afbreuk [mogen] doen aan de bestaande regels van het strafprocesrecht en de
onafhankelijkheid van de rechterlijke macht".