Council Framework Decision 2008/977/JHA

Kaderbesluit 2008/977/JBZ van de Raad

of 27 November 2008

van 27 november 2008

on the protection of personal data processed in the framework of police and judicial cooperation in criminal matters

over de bescherming van persoonsgegevens die worden verwerkt in het kader van de politiële en justitiële samenwerking in strafzaken

THE COUNCIL OF THE EUROPEAN UNION,

DE RAAD VAN DE EUROPESE UNIE,

Having regard to the Treaty on European Union, and in particular Articles 30, 31 and 34(2)(b) thereof,

Gelet op het Verdrag betreffende de Europese Unie, met name op artikel 30, artikel 31 en artikel 34, lid 2, onder b),

Having regard to the proposal from the Commission,

Gezien het voorstel van de Commissie,

Having regard to the opinion of the European Parliament [1],

Gezien het advies van het Europees Parlement [1],

Whereas:

Overwegende hetgeen volgt:

(1) The European Union has set itself the objective of maintaining and developing the Union as an area of freedom, security and justice in which a high level of safety is to be provided by common action among the Member States in the fields of police and judicial cooperation in criminal matters.

(1) De Europese Unie heeft zich ten doel gesteld de Unie als een ruimte van vrijheid, veiligheid en recht in stand te houden en te ontwikkelen; gezamenlijk optreden van de lidstaten op het gebied van politiële en justitiële samenwerking in strafzaken moet tot een hoog niveau van veiligheid leiden.

(2) Common action in the field of police cooperation under Article 30(1)(b) of the Treaty on European Union and common action on judicial cooperation in criminal matters under Article 31(1)(a) of the Treaty on European Union imply a need to process the relevant information which should be subject to appropriate provisions on the protection of personal data.

(2) Gezamenlijk optreden op het gebied van politiële samenwerking in de zin van artikel 30, lid 1, onder b), van het Verdrag betreffende de Europese Unie en gezamenlijk optreden inzake justitiële samenwerking in strafzaken in de zin van artikel 31, lid 1, onder a), van het Verdrag betreffende de Europese Unie, brengt met zich dat relevante informatie moet worden verwerkt, waarop passende voorschriften inzake de bescherming van persoonsgegevens van toepassing moeten zijn.

(3) Legislation falling within the scope of Title VI of the Treaty on European Union should foster police and judicial cooperation in criminal matters with regard to its efficiency as well as its legitimacy and compliance with fundamental rights, in particular the right to privacy and to the protection of personal data. Common standards regarding the processing and protection of personal data processed for the purpose of preventing and combating crime contribute to the achieving of both aims.

(3) De regelgeving in het kader van titel VI van het Verdrag betreffende de Europese Unie moet de politiële en justitiële samenwerking in strafzaken bevorderen, en ervoor zorgen dat zij doeltreffend en rechtmatig is en strookt met de grondrechten, met name met het recht op bescherming van het privéleven en van persoonsgegevens. Gemeenschappelijke normen voor de verwerking en bescherming van persoonsgegevens die worden verwerkt om criminaliteit te voorkomen en te bestrijden, kunnen bijdragen tot de verwezenlijking van beide doelen.

(4) The Hague Programme on strengthening freedom, security and justice in the European Union, adopted by the European Council on 4 November 2004, stressed the need for an innovative approach to the cross-border exchange of law-enforcement information under the strict observation of key conditions in the area of data protection and invited the Commission to submit proposals in this regard by the end of 2005 at the latest. This was reflected in the Council and Commission Action Plan implementing the Hague Programme on strengthening freedom, security and justice in the European Union [2].

(4) In het Haags programma betreffende de versterking van vrijheid, veiligheid en recht in de Europese Unie, dat de Europese Raad op 4 november 2004 heeft aangenomen, wordt erop gewezen dat een innoverende benadering van de grensoverschrijdende uitwisseling van rechtshandhavingsinformatie nodig is, waarbij strak de hand moet worden gehouden aan de basisvoorwaarden op het gebied van gegevensbescherming, en wordt de Commissie verzocht uiterlijk eind 2005 voorstellen op dit gebied in te dienen. Dit is terug te vinden in het Actieplan van de Raad en de Commissie ter uitvoering van het Haags programma voor de versterking van de ruimte van vrijheid, veiligheid en recht in de Europese Unie [2].

(5) The exchange of personal data within the framework of police and judicial cooperation in criminal matters, notably under the principle of availability of information as laid down in the Hague Programme, should be supported by clear rules enhancing mutual trust between the competent authorities and ensuring that the relevant information is protected in a way that excludes any discrimination in respect of such cooperation between the Member States while fully respecting fundamental rights of individuals. Existing instruments at the European level do not suffice; Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data [3] does not apply to the processing of personal data in the course of an activity which falls outside the scope of Community law, such as those provided for by Title VI of the Treaty on European Union, nor, in any case, to processing operations concerning public security, defence, state security or the activities of the State in areas of criminal law.

(5) De uitwisseling van persoonsgegevens in het kader van de politiële en justitiële samenwerking in strafzaken moet, zeker indien deze uitwisseling gebaseerd is op het beschikbaarheidsbeginsel zoals neergelegd in het Haags programma, steunen op duidelijke regels die leiden tot wederzijds vertrouwen tussen de bevoegde autoriteiten en die de zekerheid bieden dat de gegevens zodanig worden beschermd dat iedere discriminatie met betrekking tot de samenwerking tussen de lidstaten is uitgesloten, terwijl de individuele grondrechten toch volledig worden geëerbiedigd. De bestaande regelgeving op Europees niveau is ontoereikend. Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens, en betreffende het vrije verkeer van die gegevens [3], is niet van toepassing op de verwerking van persoonsgegevens in het kader van een activiteit die buiten de werkingssfeer van het Gemeenschapsrecht valt, zoals de activiteiten in het kader van titel VI van het Verdrag betreffende de Europese Unie, en zeker niet op de verwerking van gegevens in verband met openbare veiligheid, defensie, de staatsveiligheid en de activiteiten van de staat op strafrechtelijk gebied.

(6) This Framework Decision applies only to data gathered or processed by competent authorities for the purpose of the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties. This Framework Decision should leave it to Member States to determine more precisely at national level which other purposes are to be considered as incompatible with the purpose for which the personal data were originally collected. In general, further processing for historical, statistical or scientific purposes should not be considered as incompatible with the original purpose of the processing.

(6) Het kaderbesluit is alleen van toepassing op gegevens die door de bevoegde autoriteiten worden verzameld of verwerkt met het oog op preventie, onderzoek, opsporing en vervolging van strafbare feiten en tenuitvoerlegging van straffen. Het kaderbesluit laat het aan de lidstaten over om op nationaal niveau met meer nauwkeurigheid te bepalen welke andere doeleinden als onverenigbaar moeten worden aangemerkt met het doel waarvoor de persoonsgegevens aanvankelijk werden verzameld. In zijn algemeenheid is verdere verwerking voor historische, statistische of wetenschappelijke doeleinden niet onverenigbaar met het oorspronkelijke doel van de verwerking.

(7) The scope of this Framework Decision is limited to the processing of personal data transmitted or made available between Member States. No conclusions should be inferred from this limitation regarding the competence of the Union to adopt acts relating to the collection and processing of personal data at national level or the expediency for the Union to do so in the future.

(7) Het toepassingsgebied van het kaderbesluit is beperkt tot de verwerking van persoonsgegevens die worden verstrekt of beschikbaar gesteld tussen lidstaten. Uit deze beperking kunnen geen conclusies worden getrokken met betrekking tot de bevoegdheid van de Europese Unie om besluiten aan te nemen in verband met het verzamelen en verwerken van persoonsgegevens op nationaal niveau, noch met betrekking tot de wenselijkheid dat de Unie dergelijke besluiten in de toekomst aanneemt.

(8) In order to facilitate data exchanges within the Union, Member States intend to ensure that the standard of data protection achieved in national data processing matches that provided for in this Framework Decision. With regard to national data processing, this Framework Decision does not preclude Member States from providing safeguards for the protection of personal data higher than those established in this Framework Decision.

(8) Om de uitwisseling van gegevens in de Europese Unie te vergemakkelijken, zullen de lidstaten ernaar streven bij de nationale gegevensverwerking dezelfde standaard van gegevensbeschermings te waarborgen als die waarin dit kaderbesluit voorziet. Met betrekking tot de verwerking van gegevens op nationaal niveau belet dit kaderbesluit de lidstaten niet om uitgebreidere waarborgen te bieden ter bescherming van persoonsgegevens dan die waarin het kaderbesluit voorziet.

(9) This Framework Decision should not apply to personal data which a Member State has obtained within the scope of this Framework Decision and which originated in that Member State.

(9) Dit kaderbesluit geldt niet voor persoonsgegevens die een lidstaat op grond van dit kaderbesluit heeft verkregen en welke uit die lidstaat zelf afkomstig zijn.

(10) The approximation of Member States’ laws should not result in any lessening of the data protection they afford but should, on the contrary, seek to ensure a high level of protection within the Union.

(10) De onderlinge aanpassing van de rechtsstelsels van de lidstaten mag niet tot een vermindering van de gegevensbescherming leiden, maar moet juist zorgen voor een hoog beschermingsniveau in de Unie.

(11) It is necessary to specify the objectives of data protection within the framework of police and judicial activities and to lay down rules concerning the lawfulness of processing of personal data in order to ensure that any information that might be exchanged has been processed lawfully and in accordance with fundamental principles relating to data quality. At the same time the legitimate activities of the police, customs, judicial and other competent authorities should not be jeopardised in any way.

(11) Er moeten doelstellingen voor de gegevensbescherming in het kader van politiële en justitiële activiteiten worden bepaald en regels voor de rechtmatigheid van de verwerking van persoonsgegevens worden vastgesteld, om te kunnen garanderen dat alle gegevens die worden uitgewisseld, rechtmatig en volgens de grondbeginselen betreffende de gegevenskwaliteit zijn verwerkt. Tegelijkertijd mogen politie, douane, justitiële en andere bevoegde autoriteiten op geen enkele manier in hun gerechtvaardigde activiteiten worden belemmerd.

(12) The principle of accuracy of data is to be applied taking account of the nature and purpose of the processing concerned. For example, in particular in judicial proceedings data are based on the subjective perception of individuals and in some cases are totally unverifiable. Consequently, the requirement of accuracy cannot appertain to the accuracy of a statement but merely to the fact that a specific statement has been made.

(12) Het beginsel van juistheid van de gegevens moet worden toegepast in het licht van de aard en het doel van de betreffende verwerking. Bijvoorbeeld, in het bijzonder tijdens gerechtelijke procedures zijn gegevens gebaseerd op de subjectieve perceptie van personen en in sommige gevallen volstrekt niet te verifiëren. Het vereiste van juistheid kan derhalve geen betrekking hebben op de juistheid van een verklaring, maar alleen op het feit dat een specifieke verklaring is afgelegd.

(13) Archiving in a separate data set should be permissible only if the data are no longer required and used for the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties. Archiving in a separate data set should also be permissible if the archived data are stored in a database with other data in such a way that they can no longer be used for the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties. The appropriateness of the archiving period should depend on the purposes of archiving and the legitimate interests of the data subjects. In the case of archiving for historical purposes a very long period may be envisaged.

(13) Archivering in een afzonderlijke groep van gegevens is alleen toegestaan indien de gegevens niet meer nodig zijn of niet meer gebruikt worden voor preventie, onderzoek, opsporing en vervolging van strafbare feiten en tenuitvoerlegging van straffen. Archivering in een afzonderlijke groep van gegevens is ook toegestaan indien de gegevens samen met andere gegevens aldus in een databank worden opgeslagen dat zij niet meer kunnen worden gebruikt voor preventie, onderzoek, opsporing en vervolging van strafbare feiten en tenuitvoerlegging van straffen. De doeleinden van de archivering en de gerechtvaardigde belangen van de betrokkenen bepalen wat de meest geschikte archiveringstermijn is. Ook bij archivering voor historische doeleinden kan worden gedacht aan een zeer lange termijn.

(14) Data may also be erased by destroying the data medium.

(14) De gegevens kunnen ook worden gewist door de gegevensdrager te vernietigen.

(15) As regards inaccurate, incomplete or no longer up-to-date data transmitted or made available to another Member State and further processed by quasi-judicial authorities, meaning authorities with powers to make legally binding decisions, its rectification, erasure or blocking should be carried out in accordance with national law.

(15) De verbetering, uitwissing of afscherming van gegevens die onjuist, onvolledig of niet meer actueel zijn en aan een andere lidstaat zijn toegezonden of beschikbaar gesteld om vervolgens verder te worden verwerkt door semi-rechterlijke instanties, in de zin van autoriteiten met de bevoegdheid juridisch bindende beslissingen te nemen, wordt uitgevoerd in overeenstemming met het nationaal recht.

(16) Ensuring a high level of protection of the personal data of individuals requires common provisions to determine the lawfulness and the quality of data processed by competent authorities in other Member States.

(16) Om een hoog beschermingsniveau voor gegevens van personen te kunnen bieden, moeten gemeenschappelijk bepalingen worden vastgesteld ter beoordeling van de rechtmatigheid en de kwaliteit van de gegevensverwerking door bevoegde autoriteiten in andere lidstaten.

(17) It is appropriate to lay down at the European level the conditions under which competent authorities of the Member States should be allowed to transmit and make available personal data received from other Member States to authorities and private parties in Member States. In many cases the transmission of personal data by the judiciary, police or customs to private parties is necessary to prosecute crime or to prevent an immediate and serious threat to public security or to prevent serious harm to the rights of individuals, for example, by issuing alerts concerning forgeries of securities to banks and credit institutions, or, in the area of vehicle crime, by communicating personal data to insurance companies in order to prevent illicit trafficking in stolen motor vehicles or to improve the conditions for the recovery of stolen motor vehicles from abroad. This is not tantamount to the transfer of police or judicial tasks to private parties.

(17) De voorwaarden waaronder de bevoegde autoriteiten van de lidstaten persoonsgegevens die zij van andere lidstaten hebben ontvangen, aan autoriteiten en particuliere instanties van lidstaten kunnen doorgeven of beschikbaar stellen, dienen op Europees niveau te worden vastgesteld. Vaak is het nodig dat persoonsgegevens door de rechterlijke macht, de politie of de douane aan particuliere instanties worden meegedeeld, om misdrijven te kunnen vervolgen of om een onmiddellijke en ernstige bedreiging voor de openbare veiligheid af te wenden of te voorkomen dat de rechten van personen ernstig worden geschonden; het betreft bijvoorbeeld het signaleren aan banken en kredietinstellingen van vervalsingen van waardepapieren, of, op het gebied van voertuigcriminaliteit, het meedelen van persoonsgegevens aan verzekeringsmaatschappijen teneinde handel in gestolen motorvoertuigen te voorkomen of de voorwaarden voor het terugkrijgen van gestolen motorvoertuigen in het buitenland te verbeteren. Dit staat niet gelijk met de overdracht van politiële of justitiële taken aan particuliere instanties.

(18) The rules in this Framework Decision regarding the transmission of personal data by the judiciary, police or customs to private parties do not apply to the disclosure of data to private parties (such as defence lawyers and victims) in the context of criminal proceedings.

(18) De voorschriften van dit kaderbesluit die de mededeling van persoonsgegevens door de rechterlijke macht, de politie of de douane aan particuliere instanties betreffen, zijn niet van toepassing op de bekendmaking van gegevens aan particulieren (zoals advocaten en slachtoffers) in het kader van strafrechtelijke procedures.

(19) The further processing of personal data received from, or made available by, the competent authority of another Member State, in particular the further transmission of or making available such data, should be subject to common rules at European level.

(19) De verdere verwerking van persoonsgegevens die zijn ontvangen van of beschikbaar gesteld door de bevoegde autoriteit van een andere lidstaat, in het bijzonder het verder doorgeven of het beschikbaar stellen van deze gegevens, moet gebonden zijn aan gemeenschappelijke regels op Europees niveau.

(20) Where personal data may be further processed after the Member State from which the data were obtained has given its consent, each Member State should be able to determine the modalities of such consent, including, for example, by means of a general consent for categories of information or categories of further processing.

(20) Met betrekking tot persoonsgegevens die verder mogen worden verwerkt nadat de lidstaat waarvan de gegevens afkomstig zijn, daarin heeft toegestemd, moet elke lidstaat die toestemming nader kunnen regelen, ook bijvoorbeeld in de vorm van een algemene toestemming voor categorieën van gegevens of categorieën van verdere verwerking.

(21) Where personal data may be further processed for administrative proceedings, these proceedings also include activities by regulatory and supervisory bodies.

(21) In het geval verdere verwerking van persoonsgegevens is toegestaan voor administratieve doeleinden, wordt hieronder ook de werkzaamheden van regelgevings- of toezichtsorganen verstaan.

(22) The legitimate activities of the police, customs, judicial and other competent authorities may require that data are sent to authorities in third States or international bodies that have obligations for the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties.

(22) Voor de gerechtvaardigde werkzaamheden van politie, douane, gerecht en andere bevoegde autoriteiten kan het nodig zijn dat gegevens aan autoriteiten in derde landen of aan internationale instanties worden gezonden die met de preventie, het onderzoek, de opsporing of de vervolging van strafbare feiten of met de strafuitvoering zijn belast.

(23) Where personal data are transferred from a Member State to third States or international bodies, these data should, in principle, benefit from an adequate level of protection.

(23) Persoonsgegevens die door een lidstaat worden doorgegeven aan derde landen of internationale organen moeten in beginsel adequaat beschermd worden.

(24) Where personal data are transferred from a Member State to third States or international bodies, such transfer should, in principle, take place only after the Member State from which the data were obtained has given its consent to the transfer. Each Member State should be able to determine the modalities of such consent, including, for example, by means of a general consent for categories of information or for specified third States.

(24) Doorgifte van persoonsgegevens door een lidstaat aan derde landen of internationale organisaties kan in beginsel pas plaatsvinden nadat de lidstaat van herkomst daarin heeft toegestemd. Elke lidstaat mag deze toestemming nader regelen, bijvoorbeeld in de vorm van een algemene toestemming voor categorieën van gegevens of voor bepaalde landen.

(25) The interests of efficient law enforcement cooperation require that where the nature of a threat to the public security of a Member State or a third State is so immediate as to render it impossible to obtain prior consent in good time, the competent authority should be able to transfer the relevant personal data to the third State concerned without such prior consent. The same could apply where other essential interests of a Member State of equal importance are at stake, for example where the critical infrastructure of a Member State could be the subject of an immediate and serious threat or where a Member State’s financial system could be seriously disrupted.

(25) In het belang van een efficiënte samenwerking op het gebied van de rechtshandhaving is het nodig dat indien een bedreiging voor de openbare veiligheid van een lidstaat of derde staat van zodanig onmiddellijke aard is dat het niet mogelijk is tijdig voorafgaande toestemming te verkrijgen, de bevoegde autoriteit de persoonsgegevens zonder voorafgaande toestemming aan de derde staat mag doorgeven. Hetzelfde zou kunnen gelden indien andere, even zwaarwegende wezenlijke belangen van een lidstaat op het spel staan, bijvoorbeeld in geval van onmiddellijke en ernstige dreiging voor de vitale infrastructuur van een lidstaat of ernstige verstoring van het financiële stelsel van een lidstaat.

(26) It may be necessary to inform data subjects regarding the processing of their data, in particular where there has been particularly serious encroachment on their rights as a result of secret data collection measures, in order to ensure that data subjects can have effective legal protection.

(26) Het kan geboden zijn de betrokkene in te lichten over de verwerking van zijn gegevens, in het bijzonder in het geval van zeer vergaande inmenging middels maatregelen van heimelijke gegevensvergaring, zodat hem de mogelijkheid van effectieve rechtsbescherming wordt gegarandeerd.

(27) Member States should ensure that the data subject is informed that the personal data could be or are being collected, processed or transmitted to another Member State for the purpose of prevention, investigation, detection, and prosecution of criminal offences or the execution of criminal penalties. The modalities of the right of the data subject to be informed and the exceptions thereto should be determined by national law. This may take a general form, for example, through the law or through the publication of a list of the processing operations.

(27) De lidstaten moeten erop toezien dat de betrokkene op de hoogte wordt gebracht van het feit dat de persoonsgegevens kunnen worden of worden verzameld, verwerkt of verstrekt aan een andere lidstaat met het oog op de preventie, het onderzoek, de opsporing en de vervolging ter zake van strafbare feiten en de tenuitvoerlegging van straffen. Het recht van de betrokkene om op de hoogte te worden gebracht, en de uitzonderingen daarop, worden nader geregeld in het nationaal recht. Dit kan in een algemene vorm gebeuren, bijvoorbeeld langs wettelijke weg of door bekendmaking van een lijst van verwerkingen.

(28) In order to ensure the protection of personal data without jeopardising the interests of criminal investigations, it is necessary to define the rights of the data subject.

(28) Om de bescherming van persoonsgegevens te garanderen zonder dat de belangen van het strafrechtelijk onderzoek gevaar lopen, dienen de rechten van de betrokkenen te worden omschreven.

(29) Some Member States have provided for the right of access of the data subject in criminal matters through a system where the national supervisory authority, in place of the data subject, has access to all the personal data related to the data subject without any restriction and may also rectify, erase or update inaccurate data. In such a case of indirect access, the national law of those Member States may provide that the national supervisory authority will inform the data subject only that all the necessary verifications have taken place. However, those Member States also provide for possibilities of direct access for the data subject in specific cases, such as access to judicial records, in order to obtain copies of own criminal records or of documents relating to own hearings by the police services.

(29) Sommige lidstaten kennen het recht van toegang van de betrokkene in strafzaken door middel van een systeem waarin de nationale toezichthoudende autoriteit in plaats van de betrokkene onbeperkte toegang heeft tot alle hem betreffende persoonsgegevens en de onjuiste gegevens kan verbeteren, wissen of bijwerken. Ten aanzien van deze indirecte toegang kan het nationaal recht bepalen dat de nationale toezichthoudende autoriteit de betrokkene alleen zal mededelen dat alle nodige verificaties zijn verricht. Deze lidstaten voorzien evenwel ook in mogelijkheden voor directe toegang voor de betrokkene in specifieke gevallen, zoals de toegang tot strafdossiers, het recht op een kopie van het eigen strafblad of van het verhoor dat hem door de politiediensten is afgenomen.

(30) It is appropriate to establish common rules on confidentiality and security of processing, on liability and penalties for unlawful use by competent authorities and on judicial remedies available to the data subject. It is, however, for each Member State to determine the nature of its tort rules and of the penalties applicable to violations of domestic data protection provisions.

(30) Er dienen gemeenschappelijke regels te worden vastgesteld met betrekking tot de vertrouwelijkheid en de beveiliging van de gegevensverwerking, aansprakelijkheid en sancties voor onrechtmatig gebruik door de bevoegde autoriteiten, alsmede rechtsmiddelen voor de betrokkenen. Het is evenwel aan iedere lidstaat zelf om de aard te bepalen van zijn regels inzake onrechtmatige daad en van de sancties die gelden voor inbreuken op de nationale gegevensbeschermingsvoorschriften.

(31) This Framework Decision allows the principle of public access to official documents to be taken into account when implementing the principles set out in this Framework Decision.

(31) Dit kaderbesluit biedt de mogelijkheid om bij de toepassing van de daarin vastgelegde beginselen rekening te houden met het beginsel van het recht van toegang van het publiek tot officiële documenten.

(32) When necessary to protect personal data in relation to processing which by scale or by type holds specific risks for fundamental rights and freedoms, for example processing by means of new technologies, mechanisms or procedures, it is appropriate to ensure that the competent national supervisory authorities are consulted prior to the establishment of filing systems aimed at the processing of these data.

(32) Indien noodzakelijk om persoonsgegevens te beschermen in het kader van verwerking die wegens de schaal waarop zij wordt toegepast of uit hun aard specifieke risico’s voor de fundamentele rechten en vrijheden opleveren — bijvoorbeeld verwerking met nieuwe technologieën, mechanismen of procedures — dient ervoor te worden gezorgd dat de bevoegde nationale toezichthoudende autoriteiten worden geraadpleegd voordat de voor de verwerking bedoelde bestanden worden gecreëerd.

(33) The establishment in Member States of supervisory authorities, exercising their functions with complete independence, is an essential component of the protection of personal data processed within the framework of police and judicial cooperation between the Member States.

(33) Een essentieel onderdeel van de bescherming van persoonsgegevens die worden verwerkt in het kader van de politiële en justitiële samenwerking in strafzaken tussen de lidstaten, is dat de lidstaten toezichthoudende autoriteiten aanwijzen die hun opdracht volledig onafhankelijk vervullen.

(34) The supervisory authorities already established in Member States under Directive 95/46/EC should also be able to assume responsibility for the tasks to be performed by the national supervisory authorities to be established under this Framework Decision.

(34) De in de lidstaten reeds krachtens Richtlijn 95/46/EG ingestelde toezichthoudende autoriteiten kunnen eveneens de taken op zich nemen die de op grond van dit kaderbesluit op te richten nationale toezichthoudende autoriteiten moeten uitvoeren.

(35) Such supervisory authorities should have the necessary means to perform their duties, including powers of investigation and intervention, particularly in cases of complaints from individuals, or powers to engage in legal proceedings. These supervisory authorities should help to ensure transparency of processing in the Member States within whose jurisdiction they fall. However, their powers should not interfere with specific rules set out for criminal proceedings or the independence of the judiciary.

(35) De toezichthoudende autoriteiten dienen over de middelen te beschikken om hun taak te kunnen vervullen, waaronder de bevoegdheid tot onderzoek en tot optreden, in het bijzonder bij klachten van personen, of de bevoegdheid om in rechte op te treden. Zij moeten ertoe bijdragen dat de gegevensverwerking in hun lidstaat transparant verloopt. Hun bevoegdheden mogen echter geen afbreuk doen aan de bestaande regels van het strafprocesrecht en de onafhankelijkheid van de rechterlijke macht.

(36) Article 47 of the Treaty on European Union stipulates that nothing in it is to affect the Treaties establishing the European Communities or the subsequent Treaties and Acts modifying or supplementing them. Accordingly, this Framework Decision does not affect the protection of personal data under Community law, in particular as provided for in Directive 95/46/EC, in Regulation (EC) No 45/2001 of the European Parliament and of the Council of 18 December 2000 on the protection of individuals with regard to the processing of personal data by the Community institutions and bodies and on the free movement of such data [4] and in Directive 2002/58/EC of the European Parliament and of the Council of 12 July 2002 concerning the processing of personal data and the protection of privacy in the electronic communications sector (Directive on privacy and electronic communications) [5].

(36) Artikel 47 van het Verdrag betreffende de Europese Unie bepaalt dat geen enkele bepaling van dit verdrag afbreuk doet aan de Verdragen tot oprichting van de Europese Gemeenschappen, noch aan de Verdragen en akten waarbij deze Verdragen zijn gewijzigd of aangevuld. Dit kaderbesluit doet dan ook geen afbreuk aan de bescherming van persoonsgegevens door het Gemeenschapsrecht, in het bijzonder als geregeld in Richtlijn 95/46/EG, Verordening (EG) nr. 45/2001 van het Europees Parlement en de Raad van 18 december 2000 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de communautaire instellingen en organen en betreffende het vrije verkeer van die gegevens [4], en Richtlijn 2002/58/EG van het Europees Parlement en de Raad van 12 juli 2002 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie (richtlijn betreffende privacy en elektronische communicatie) [5].

(37) This Framework Decision is without prejudice to the rules pertaining to illicit access to data laid down in Council Framework Decision 2005/222/JHA of 24 February 2005 on attacks against information systems [6].

(37) Dit kaderbesluit doet geen afbreuk aan de regels betreffende onrechtmatige toegang tot gegevens die zijn vastgelegd in Kaderbesluit 2005/222/JBZ van de Raad van 24 februari 2005 over aanvallen op informatiesystemen [6].

(38) This Framework Decision is without prejudice to existing obligations and commitments incumbent upon Member States or upon the Union by virtue of bilateral and/or multilateral agreements with third States. Future agreements should comply with the rules on exchanges with third States.

(38) Dit kaderbesluit doet geen afbreuk aan bestaande verplichtingen en verbintenissen die de lidstaten of de Europese Unie zijn aangegaan op grond van bilaterale en/of multilaterale overeenkomsten met derde landen. Latere overeenkomsten zullen moeten voldoen aan de voorschriften voor uitwisselingen met derde landen.

(39) Several acts, adopted on the basis of Title VI of the Treaty on European Union, contain specific provisions on the protection of personal data exchanged or otherwise processed pursuant to those acts. In some cases these provisions constitute a complete and coherent set of rules covering all relevant aspects of data protection (principles of data quality, rules on data security, regulation of the rights and safeguards of data subjects, organisation of supervision and liability) and they regulate these matters in more detail than this Framework Decision. The relevant set of data protection provisions of those acts, in particular those governing the functioning of Europol, Eurojust, the Schengen Information System (SIS) and the Customs Information System (CIS), as well as those introducing direct access for the authorities of Member States to certain data systems of other Member States, should not be affected by this Framework Decision. The same applies in respect of the data protection provisions governing the automated transfer between Member States of DNA profiles, dactyloscopic data and national vehicle registration data pursuant to the Council Decision 2008/615/JHA of 23 June 2008 on the stepping up of cross-border cooperation, particularly in combating terrorism and cross-border crime [7].

(39) Verschillende besluiten op grond van titel VI van het Verdrag van de Europese Unie bevatten specifieke bepalingen inzake de bescherming van persoonsgegevens die op grond van die besluiten worden uitgewisseld of anderszins verwerkt. In sommige gevallen vormen die bepalingen een volledig en samenhangend pakket van regels, dat alle belangrijke aspecten van de gegevensbescherming bestrijkt (beginselen betreffende de gegevenskwaliteit, regels inzake gegevensbeveiliging, regeling van de rechten van en waarborgen voor de betrokkenen, organisatie van het toezicht en de aansprakelijkheid) en nauwkeuriger regelt dan het huidige kaderbesluit. Deze gegevensbeschermingsbepalingen, met name die welke de werking van Europol, Eurojust, het SIS en het DIS betreffen en die welke rechtstreekse toegang voor de autoriteiten van de lidstaten tot bepaalde gegevenssystemen van andere lidstaten invoeren, worden door dit kaderbesluit onverlet gelaten. Hetzelfde geldt voor de gegevensbeschermingsvoorschriften betreffende de geautomatiseerde overdracht tussen de lidstaten van DNA-profielen, dactyloscopische gegevens en gegevens uit de nationale kentekenregisters op grond van Besluit 2008/615/JBZ van de Raad van 23 juni 2008 inzake de intensivering van de grensoverschrijdende samenwerking, in het bijzonder ter bestrijding van terrorisme en grensoverschrijdende criminaliteit [7].

(40) In other cases the provisions on data protection in acts, adopted on the basis of Title VI of the Treaty on European Union, are more limited in scope. They often set specific conditions for the Member State receiving information containing personal data from other Member States as to the purposes for which it can use those data, but refer for other aspects of data protection to the Council of Europe Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data of 28 January 1981 or to national law. To the extent that the provisions of those acts imposing conditions on receiving Member States as to the use or further transfer of personal data are more restrictive than those contained in the corresponding provisions of this Framework Decision, the former provisions should remain unaffected. However, for all other aspects the rules set out in this Framework Decision should be applied.

(40) In andere gevallen hebben de gegevensbeschermingsbepalingen in op grond van titel VI van het Verdrag van de Europese Unie aangenomen besluiten een beperkter toepassingsgebied. Veelal worden daarin de lidstaten die van andere lidstaten informatie ontvangen welke persoonsgegevens omvat, specifieke voorwaarden opgelegd ten aanzien van het doel waarvoor zij die gegevens mogen gebruiken, maar wordt er voor de andere gegevensbeschermingsaspecten verwezen naar het Verdrag van de Raad van Europa van 28 januari 1981 tot bescherming van personen met betrekking tot de geautomatiseerde verwerking van persoonsgegevens, of zelfs naar het nationaal recht. Voor zover de bepalingen van die besluiten waarbij aan de ontvangende lidstaten voorwaarden met betrekking tot het gebruik of de verdere overdracht van persoonsgegevens worden opgelegd, meer beperkend zijn dan de overeenkomstige bepalingen van dit kaderbesluit, moeten ook de eerstgenoemde bepalingen onverlet worden gelaten. Voor alle andere aspecten moeten evenwel de in dit kaderbesluit vastgestelde voorschriften worden toegepast.

(41) This Framework Decision does not affect the Council of Europe Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data, the Additional Protocol to that Convention of 8 November 2001 or the Council of Europe conventions on judicial cooperation in criminal matters.

(41) Dit kaderbesluit laat het Verdrag van de Raad van Europa tot bescherming van personen met betrekking tot de geautomatiseerde verwerking van persoonsgegevens, het aanvullend protocol bij dat Verdrag van 8 november 2001, alsmede de overeenkomsten van de Raad van Europa inzake justitiële samenwerking in strafzaken, onverlet.

(42) Since the objective of this Framework Decision, namely the determination of common rules for the protection of personal data processed in the framework of police and judicial cooperation in criminal matters, cannot be sufficiently achieved by the Member States, and can therefore, by reason of the scale and effects of the action, be better achieved at the Union level, the Union may adopt measures in accordance with the principle of subsidiarity as set out in Article 5 of the Treaty establishing the European Community and referred to in Article 2 of the Treaty on European Union. In accordance with the principle of proportionality as set out in Article 5 of the Treaty establishing the European Community, this Framework Decision does not go beyond what is necessary to achieve that objective.

(42) Daar de doelstelling van dit kaderbesluit, namelijk het vaststellen van gemeenschappelijke regels voor de bescherming van persoonsgegevens die worden verwerkt in het kader van de politiële en justitiële samenwerking in strafzaken, niet voldoende door de lidstaten kan worden verwezenlijkt en derhalve vanwege de omvang en de gevolgen van het optreden beter door de Unie kan worden verwezenlijkt, kan de Unie, overeenkomstig het in artikel 5 van het EG-Verdrag neergelegde subsidiariteitsbeginsel, waarnaar in artikel 2 van het EU-Verdrag wordt verwezen, maatregelen nemen. Overeenkomstig het in artikel 5 van het EG-Verdrag neergelegde evenredigheidsbeginsel gaat dit kaderbesluit niet verder dan nodig is om deze doelstelling te verwezenlijken.

(43) The United Kingdom is taking part in this Framework Decision, in accordance with Article 5 of the Protocol integrating the Schengen acquis into the framework of the European Union annexed to the Treaty on European Union and to the Treaty establishing the European Community, and Article 8(2) of Council Decision 2000/365/EC of 29 May 2000 concerning the request of the United Kingdom of Great Britain and Northern Ireland to take part in some of the provisions of the Schengen acquis [8].

(43) Het Verenigd Koninkrijk neemt deel aan dit kaderbesluit overeenkomstig artikel 5 van het Protocol tot opneming van het Schengenacquis in het kader van de Europese Unie, dat aan het EU-Verdrag en het EG-Verdrag is gehecht, en artikel 8, lid 2, van Besluit 2000/365/EG van de Raad van 29 mei 2000 betreffende het verzoek van het Verenigd Koninkrijk van Groot-Brittannië en Noord-Ierland deel te mogen nemen aan enkele van de bepalingen van het Schengenacquis [8].

(44) Ireland is taking part in this Framework Decision in accordance with Article 5 of the Protocol integrating the Schengen acquis into the framework of the European Union annexed to the Treaty on European Union and to the Treaty establishing the European Community, and Article 6(2) of Council Decision 2002/192/EC of 28 February 2002 concerning Ireland’s request to take part in some of the provisions of the Schengen acquis [9].

(44) Ierland neemt deel aan dit besluit overeenkomstig artikel 5 van het Protocol tot opneming van het Schengenacquis in het kader van de Europese Unie, dat aan het EU-Verdrag en het EG-Verdrag is gehecht, en artikel 6, lid 2, van Besluit 2002/192/EG van de Raad van 28 februari 2002 betreffende het verzoek van Ierland deel te mogen nemen aan bepalingen van het Schengenacquis [9].

(45) As regards Iceland and Norway, this Framework Decision constitutes a development of provisions of the Schengen acquis within the meaning of the Agreement concluded by the Council of the European Union and the Republic of Iceland and the Kingdom of Norway concerning the latter’s association with the implementation, application and development of the Schengen acquis [10], which fall within the area referred to in Article 1, points H and I of Council Decision 1999/437/EC [11] on certain arrangements for the application of that Agreement.

(45) Wat IJsland en Noorwegen betreft, houdt dit kaderbesluit een ontwikkeling in van de bepalingen van het Schengenacquis in de zin van de door de Raad van de Europese Unie en de Republiek IJsland en het Koninkrijk Noorwegen gesloten Overeenkomst inzake de wijze waarop IJsland en Noorwegen worden betrokken bij de uitvoering, de toepassing en de ontwikkeling van het Schengenacquis [10], die vallen onder het gebied dat is bedoeld in artikel 1, onder H en I, van Besluit 1999/437/EG van de Raad [11] inzake bepaalde toepassingsbepalingen van die overeenkomst.

(46) As regards Switzerland, this Framework Decision constitutes a development of the provisions of the Schengen acquis within the meaning of the Agreement between the European Union, the European Community and the Swiss Confederation on the Swiss Confederation’s association with the implementation, application and development of the Schengen acquis [12], which fall within the area referred to in Article 1, point H and I of Decision 1999/437/EC read in conjunction with Article 3 of Council Decision 2008/149/JHA [13] on the conclusion of that Agreement on behalf of the European Union.

(46) Wat Zwitserland betreft, houdt dit kaderbesluit een nadere uitwerking in van de bepalingen van het Schengenacquis in de zin van de Overeenkomst die is gesloten door de Europese Unie, de Europese Gemeenschap en de Zwitserse Bondsstaat inzake de wijze waarop Zwitserland wordt betrokken bij de uitvoering, de toepassing en de ontwikkeling van het Schengenacquis [12], die vallen onder het gebied dat is bedoeld in artikel 1, onder H en I, van Besluit 1999/437/EG, juncto artikel 3 van Besluit 2008/149/JBZ [13] van de Raad betreffende de sluiting van de overeenkomst namens de Europese Unie van deze overeenkomst.

(47) As regards Liechtenstein, this Framework Decision constitutes a development of the provisions of the Schengen acquis within the meaning of the Protocol signed between the European Union, the European Community, the Swiss Confederation and the Principality of Liechtenstein on the accession of the Principality of Liechtenstein to the Agreement between the European Union, the European Community and the Swiss Confederation on the Swiss Confederation’s association with the implementation, application and development of the Schengen acquis, which fall within the area referred to in Article 1, point H and I of Decision 1999/437/EC read in conjunction with Article 3 of Council Decision 2008/262/JHA [14] on the signature of that Protocol on behalf of the European Union.

(47) Wat Liechtenstein betreft, houdt dit kaderbesluit een nadere uitwerking in van de bepalingen van het Schengenacquis in de zin van het Protocol dat is ondertekend door de Europese Unie, de Europese Gemeenschap, de Zwitserse Bondsstaat en het Vorstendom Liechtenstein betreffende de toetreding van het Vorstendom Liechtenstein tot de Overeenkomst tussen de Europese Unie, de Europese Gemeenschap en de Zwitserse Bondsstaat inzake de wijze waarop Zwitserland wordt betrokken bij de uitvoering, de toepassing en de ontwikkeling van het Schengenacquis, die vallen onder het gebied dat is bedoeld in artikel 1, onder H en I, van Besluit 1999/437/EG, juncto artikel 3 van Besluit 2008/262/JBZ van de Raad [14] betreffende de ondertekening van dat Protocol namens de Europese Unie.

(48) This Framework Decision respects the fundamental rights and observes the principles recognised in particular by the Charter of Fundamental Rights of the European Union [15]. This Framework Decision seeks to ensure full respect for the rights to privacy and the protection of personal data reflected in Articles 7 and 8 of the Charter,

(48) In dit kaderbesluit worden de grondrechten geëerbiedigd en de beginselen in acht genomen die met name in het Handvest van de grondrechten van de Europese Unie zijn vastgelegd [15]. Dit kaderbesluit beoogt de volledige naleving van het recht op eerbiediging van het privéleven en het recht op bescherming van persoonsgegevens, vastgelegd in artikel 7, respectievelijk artikel 8 van het Handvest,

HAS ADOPTED THIS FRAMEWORK DECISION:

HEEFT HET VOLGENDE KADERBESLUIT VASTGESTELD:

Article 1

Artikel 1

Purpose and scope

Doel en toepassingsgebied

1. The purpose of this Framework Decision is to ensure a high level of protection of the fundamental rights and freedoms of natural persons, and in particular their right to privacy, with respect to the processing of personal data in the framework of police and judicial cooperation in criminal matters, provided for by Title VI of the Treaty on European Union, while guaranteeing a high level of public safety.

1. Doel van dit kaderbesluit is een hoge mate van bescherming te waarborgen van de fundamentele rechten en vrijheden, in het bijzonder het recht op een persoonlijke levenssfeer, van natuurlijke personen in verband met de verwerking van persoonsgegevens in het kader van de politiële en justitiële samenwerking in strafzaken volgens titel VI van het Verdrag betreffende de Europese Unie, terwijl een hoog niveau van openbare veiligheid wordt gegarandeerd.

2. In accordance with this Framework Decision, Member States shall protect the fundamental rights and freedoms of natural persons, and in particular their right to privacy when, for the purpose of the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, personal data:

2. De lidstaten beschermen, in overeenstemming met dit kaderbesluit, de fundamentele rechten en vrijheden, in het bijzonder het recht op de bescherming van de persoonlijke levenssfeer, van natuurlijke personen, in de gevallen waarin, met het oog op de preventie, het onderzoek, de opsporing en de vervolging ter zake van strafbare feiten of de tenuitvoerlegging van straffen, persoonsgegevens:

(a) are or have been transmitted or made available between Member States;

a) worden of zijn verstrekt of beschikbaar gesteld tussen de lidstaten;

(b) are or have been transmitted or made available by Member States to authorities or to information systems established on the basis of Title VI of the Treaty on European Union; or

b) door de lidstaten worden of zijn verstrekt of beschikbaar gesteld aan autoriteiten of informatiesystemen die krachtens titel VI van het Verdrag betreffende de Europese Unie zijn ingesteld, of

(c) are or have been transmitted or made available to the competent authorities of the Member States by authorities or information systems established on the basis of the Treaty on European Union or the Treaty establishing the European Community.

c) aan de bevoegde autoriteiten van de lidstaten worden of zijn verstrekt of beschikbaar gesteld door autoriteiten of informatiesystemen die krachtens het Verdrag betreffende de Europese Unie of het Verdrag tot oprichting van de Europese Gemeenschap zijn ingesteld.

3. This Framework Decision shall apply to the processing of personal data wholly or partly by automatic means, and to the processing otherwise than by automatic means, of personal data which form part of a filing system or are intended to form part of a filing system.

3. Dit kaderbesluit is van toepassing op de geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, alsmede op de niet-geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of bestemd zijn om daarin te worden opgenomen.

4. This Framework Decision is without prejudice to essential national security interests and specific intelligence activities in the field of national security.

4. Dit kaderbesluit laat de wezenlijke nationale veiligheidsbelangen en het specifieke inlichtingenwerk op het gebied van de nationale veiligheid onverlet.

5. This Framework Decision shall not preclude Member States from providing, for the protection of personal data collected or processed at national level, higher safeguards than those established in this Framework Decision.

5. De lidstaten kunnen, ter bescherming van de op nationaal niveau verzamelde of verwerkte persoonsgegevens, uitgebreidere waarborgen bieden dan die waarin dit kaderbesluit voorziet.

Article 2

Artikel 2

Definitions

Definities

For the purposes of this Framework Decision:

In dit kaderbesluit wordt verstaan onder:

(a) "personal data" mean any information relating to an identified or identifiable natural person ("data subject"); an identifiable person is one who can be identified, directly or indirectly, in particular by reference to an identification number or to one or more factors specific to his physical, physiological, mental, economic, cultural or social identity;

a) "persoonsgegevens": iedere informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon, hierna "betrokkene" genoemd; als identificeerbare persoon wordt beschouwd een persoon die direct of indirect kan worden geïdentificeerd, in het bijzonder aan de hand van een identificatienummer of van een of meer elementen die kenmerkend zijn voor zijn of haar fysieke, fysiologische, psychische, economische, culturele of sociale identiteit;

(b) "processing of personal data" and "processing" mean any operation or set of operations which is performed upon personal data, whether or not by automatic means, such as collection, recording, organisation, storage, adaptation or alteration, retrieval, consultation, use, disclosure by transmission, dissemination or otherwise making available, alignment or combination, blocking, erasure or destruction;

b) "verwerking van persoonsgegevens" en "verwerking": elke verwerking of elk geheel van verwerkingen met betrekking tot persoonsgegevens, al dan niet uitgevoerd met behulp van geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, onthullen door middel van verstrekking, verspreiden of op een andere wijze beschikbaar stellen, samenbrengen, met elkaar in verband brengen, afschermen, wissen of vernietigen van gegevens;

c) "afschermen": het markeren van opgeslagen persoonsgegevens met als doel de verwerking ervan in de toekomst te beperken;

(d) "personal data filing system" and "filing system" mean any structured set of personal data which are accessible according to specific criteria, whether centralised, decentralised or dispersed on a functional or geographical basis;

d) "bestand van persoonsgegevens" en "bestand": elk gestructureerd geheel van persoonsgegevens die volgens bepaalde criteria toegankelijk zijn, ongeacht of dit geheel gecentraliseerd dan wel gedecentraliseerd is of verspreid op een functioneel of geografisch bepaalde wijze;

(e) "processor" means any body which processes personal data on behalf of the controller;

e) "verwerker": ieder lichaam dat ten behoeve van de voor de verwerking verantwoordelijke persoonsgegevens verwerkt;

(f) "recipient" means any body to which data are disclosed;

f) "ontvanger": orgaan aan wie de gegevens worden meegedeeld;

(g) "the data subject’s consent" means any freely given specific and informed indication of his wishes by which the data subject signifies his agreement to personal data relating to him being processed;

g) "toestemming van de betrokkene": elke vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat hem betreffende persoonsgegevens worden verwerkt;

(h) "competent authorities" mean agencies or bodies established by legal acts adopted by the Council pursuant to Title VI of the Treaty on European Union, as well as police, customs, judicial and other competent authorities of the Member States that are authorised by national law to process personal data within the scope of this Framework Decision;

h) "bevoegde autoriteiten": middels een besluit van de Raad op grond van titel VI van het Verdrag betreffende de Europese Unie opgerichte agentschappen of organen, evenals politie-, douane-, justitiële en andere bevoegde autoriteiten van de lidstaten die krachtens het nationale recht gemachtigd zijn persoonsgegevens op het toepassingsgebied van dit kaderbesluit te verwerken;

(i) "controller" means the natural or legal person, public authority, agency or any other body which alone or jointly with others determines the purposes and means of the processing of personal data;

i) "de verantwoordelijke": de natuurlijke of rechtspersoon, de overheidsinstantie, de dienst of enig ander lichaam die, respectievelijk dat, alleen of tezamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt;

(j) "referencing" means the marking of stored personal data without the aim of limiting their processing in future;

j) "kenmerken": het markeren van opgeslagen persoonsgegevens, zonder de bedoeling om hun toekomstige verwerking te beperken;

(k) "to make anonymous" means to modify personal data in such a way that details of personal or material circumstances can no longer or only with disproportionate investment of time, cost and labour be attributed to an identified or identifiable natural person.

k) "anonimiseren": het zodanig veranderen van persoonsgegevens dat de persoonlijke of zakelijke details niet meer aan een geïdentificeerde of identificeerbare natuurlijke persoon kunnen worden gekoppeld, tenzij daaraan onevenredig veel tijd, kosten en arbeidskracht worden besteed.

Article 3

Artikel 3

Principles of lawfulness, proportionality and purpose

Beginsel van rechtmatigheid, evenredigheid en doelbinding

1. Personal data may be collected by the competent authorities only for specified, explicit and legitimate purposes in the framework of their tasks and may be processed only for the same purpose for which data were collected. Processing of the data shall be lawful and adequate, relevant and not excessive in relation to the purposes for which they are collected.

1. Persoonsgegevens mogen door de bevoegde autoriteiten alleen worden verzameld voor specifieke, uitdrukkelijke en rechtmatige doeleinden in het kader van hun taken en alleen worden verwerkt voor het doel waarvoor zij zijn verzameld. De verwerking van de gegevens moet rechtmatig, adequaat, ter zake dienend en niet excessief zijn in verhouding tot het doel waarvoor zij worden verzameld.

2. Further processing for another purpose shall be permitted in so far as:

2. Verdere verwerking voor een ander doel is toegestaan, mits

(a) it is not incompatible with the purposes for which the data were collected;

a) deze verwerking niet onverenigbaar is met het doel waarvoor de gegevens zijn verzameld;

(b) the competent authorities are authorised to process such data for such other purpose in accordance with the applicable legal provisions; and

b) de bevoegde autoriteiten bevoegd zijn om die gegevens te verwerken conform de toepasselijke wetsvoorschriften; en

c) deze verwerking noodzakelijk is en in verhouding staat tot dat doel.

The competent authorities may also further process the transmitted personal data for historical, statistical or scientific purposes, provided that Member States provide appropriate safeguards, such as making the data anonymous.

Bovendien mogen de verstrekte persoonsgegevens door de bevoegde autoriteiten verder worden verwerkt voor historische, statistische of wetenschappelijke doeleinden, mits de lidstaten passende garanties bieden, zoals het anonimiseren van de gegevens.

Article 4

Artikel 4

Rectification, erasure and blocking

Correctie, uitwissing en afscherming

1. Personal data shall be rectified if inaccurate and, where this is possible and necessary, completed or updated.

1. Persoonsgegevens moeten gecorrigeerd worden indien zij niet correct zijn en moeten, waar dit mogelijk en noodzakelijk is, worden aangevuld of geactualiseerd.

2. Personal data shall be erased or made anonymous when they are no longer required for the purposes for which they were lawfully collected or are lawfully further processed. Archiving of those data in a separate data set for an appropriate period in accordance with national law shall not be affected by this provision.

2. Persoonsgegevens moeten gewist of geanonimiseerd worden wanneer zij niet meer nodig zijn voor de doeleinden waarvoor zij rechtmatig verzameld zijn of verder verwerkt. Deze bepaling laat de archivering van deze gegevens in een afzonderlijke gegevensgroep voor een passende termijn overeenkomstig de nationale wetgeving, onverlet.

3. Personal data shall be blocked instead of erased if there are reasonable grounds to believe that erasure could affect the legitimate interests of the data subject. Blocked data shall be processed only for the purpose which prevented their erasure.

3. Persoonsgegevens worden niet gewist maar afgeschermd indien redelijkerwijs kan worden aangenomen dat het wissen van de gegevens de gerechtvaardigde belangen van de betrokkene die beschermd dienen te worden, zou kunnen schaden. Afgeschermde gegevens worden alleen gebruikt voor het doel ten behoeve waarvan zij niet gewist zijn.

4. When the personal data are contained in a judicial decision or record related to the issuance of a judicial decision, the rectification, erasure or blocking shall be carried out in accordance with national rules on judicial proceedings.

4. Het corrigeren, wissen of afschermen van persoonsgegevens die opgenomen zijn in een rechterlijke beslissing of een daarmee verband houdend dossier wordt afgedwongen overeenkomstig de nationale regels over het strafproces.

Article 5

Artikel 5

Establishment of time limits for erasure and review

Vastlegging van termijnen voor wissen en toetsing

Appropriate time limits shall be established for the erasure of personal data or for a periodic review of the need for the storage of the data. Procedural measures shall ensure that these time limits are observed.

Passende termijn worden vastgelegd voor het wissen van persoonsgegevens of een periodieke toetsing van de noodzaak van de opslag ervan. De naleving ervan wordt met procedurele maatregelen gewaarborgd.

Article 6

Artikel 6

Processing of special categories of data

Verwerking van bijzondere gegevenscategorieën

The processing of personal data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs or trade-union membership and the processing of data concerning health or sex life shall be permitted only when this is strictly necessary and when the national law provides adequate safeguards.

De verwerking van persoonsgegevens waaruit de raciale of etnische afkomst, de politieke opvattingen, de godsdienstige of levensbeschouwelijke overtuiging, of het lidmaatschap van een vakvereniging blijkt, alsook de verwerking van gegevens die de gezondheid of het seksleven betreffen zijn uitsluitend geoorloofd wanneer dit strikt noodzakelijk is en in de nationale wetgeving adequate garanties worden geboden.

Article 7

Artikel 7

Automated individual decisions

Geautomatiseerde individuele besluiten

A decision which produces an adverse legal effect for the data subject or significantly affects him and which is based solely on automated processing of data intended to evaluate certain personal aspects relating to the data subject shall be permitted only if authorised by a law which also lays down measures to safeguard the data subject’s legitimate interests.

Een besluit dat voor de betrokkene een nadelig rechtsgevolg heeft of wezenlijke consequenties heeft voor hem en dat uitsluitend op een geautomatiseerde gegevensverwerking berust die bestemd is om bepaalde aspecten van zijn persoonlijkheid te beoordelen, mag alleen worden genomen indien zulks is toegestaan bij een wet die ook maatregelen bevat voor de bescherming van de gerechtvaardigde belangen van de betrokkene.

Article 8

Artikel 8

Verification of quality of data that are transmitted or made available

Controle van de kwaliteit van de verstrekte of beschikbaar gestelde gegevens

1. The competent authorities shall take all reasonable steps to provide that personal data which are inaccurate, incomplete or no longer up to date are not transmitted or made available. To that end, the competent authorities shall, as far as practicable, verify the quality of personal data before they are transmitted or made available. As far as possible, in all transmissions of data, available information shall be added which enables the receiving Member State to assess the degree of accuracy, completeness, up-to-dateness and reliability. If personal data were transmitted without request the receiving authority shall verify without delay whether these data are necessary for the purpose for which they were transmitted.

1. De bevoegde autoriteiten nemen alle redelijke maatregelen om ervoor te zorgen dat persoonsgegevens die onjuist, onvolledig of niet actueel zijn, niet worden verstrekt of beschikbaar gesteld. Hiertoe controleren de bevoegde autoriteiten, voor zover praktisch uitvoerbaar, de kwaliteit van de persoonsgegevens voordat de gegevens worden verstrekt of beschikbaar gesteld. Voor zover mogelijk wordt bij alle verstrekte gegevens de beschikbare informatie toegevoegd aan de hand waarvan de ontvangende lidstaat de mate van juistheid, volledigheid, actualiteit en betrouwbaarheid kan beoordelen. Indien persoonsgegevens zonder voorafgaand verzoek zijn verstrekt, beoordeelt de ontvangende autoriteit onmiddellijk of deze gegevens noodzakelijk zijn voor het doel waarvoor zij zijn verstrekt.

2. If it emerges that incorrect data have been transmitted or data have been unlawfully transmitted, the recipient must be notified without delay. The data must be rectified, erased, or blocked without delay in accordance with Article 4.

2. Indien wordt vastgesteld dat onjuiste gegevens zijn verstrekt, of gegevens op onrechtmatige wijze zijn verstrekt, dient dit onmiddellijk aan de ontvanger te worden meegedeeld. De gegevens moeten onmiddellijk worden gecorrigeerd, gewist of afgeschermd overeenkomstig artikel 4.

Article 9

Artikel 9

Time limits

Termijnen

1. Upon transmission or making available of the data, the transmitting authority may in line with the national law and in accordance with Articles 4 and 5, indicate the time limits for the retention of data, upon the expiry of which the recipient must erase or block the data or review whether or not they are still needed. This obligation shall not apply if, at the time of the expiry of these time limits, the data are required for a current investigation, prosecution of criminal offences or enforcement of criminal penalties.

1. De verstrekkende autoriteit kan bij het verstrekken of beschikbaar stellen van de gegevens binnen de grenzen van het nationaal recht en overeenkomstig de artikelen 4 en 5 de termijnen voor het bewaren van de gegevens aangeven, na afloop waarvan ook de ontvanger de gegevens moet wissen of afschermen of moet nagaan of zij nog steeds nodig zijn. Deze verplichting geldt niet indien de gegevens bij het verstrijken van de termijnen nodig zijn voor een lopend onderzoek, de vervolging van strafbare feiten of de tenuitvoerlegging van straffen.

2. Where the transmitting authority has not indicated a time limit in accordance with paragraph 1, the time limits referred to in Articles 4 and 5 for the retention of data provided for under the national law of the receiving Member State shall apply.

2. Indien de verstrekkende autoriteit heeft nagelaten om overeenkomstig lid 1 een termijn op te geven, zijn, overeenkomstig de artikelen 4 en 5, de termijnen voor het bewaren van gegevens van het nationaal recht van de ontvangende lidstaat van toepassing.

Article 10

Artikel 10

Logging and documentation

Vastlegging en documentatie

1. All transmissions of personal data are to be logged or documented for the purposes of verification of the lawfulness of the data processing, self-monitoring and ensuring proper data integrity and security.

1. Iedere verstrekking van persoonsgegevens moet worden vastgelegd of gedocumenteerd zodat kan worden gecontroleerd of de gegevensverwerking rechtmatig is, interne controle kan worden uitgeoefend en de integriteit en de beveiliging van de gegevens kunnen worden gewaarborgd.

2. Logs or documentation prepared under paragraph 1 shall be communicated on request to the competent supervisory authority for the control of data protection. The competent supervisory authority shall use this information only for the control of data protection and for ensuring proper data processing as well as data integrity and security.

2. De krachtens lid 1 opgestelde vastlegging of documentatie wordt op verzoek verstrekt aan de voor gegevensbescherming bevoegde toezichthoudende autoriteit ten behoeve van de controle van gegevensbescherming. De bevoegde toezichthoudende autoriteit gebruikt deze informatie alleen om de gegevensbescherming te toetsen en om een correcte gegevensverwerking alsmede de integriteit en de beveiliging van de gegevens te waarborgen.

Article 11

Artikel 11

Processing of personal data received from or made available by another Member State

Verwerking van persoonsgegevens die zijn ontvangen van of ter beschikking gesteld door een andere lidstaat

Personal data received from or made available by the competent authority of another Member State may, in accordance with the requirements of Article 3(2), be further processed only for the following purposes other than those for which they were transmitted or made available:

Persoonsgegevens die zijn ontvangen van of beschikbaar gesteld door de bevoegde autoriteiten van een andere lidstaat mogen, overeenkomstig het vereiste in artikel 3, lid 2, alleen verder worden verwerkt voor onderstaande doeleinden, anders dan die waarvoor zij waren verstrekt of beschikbaar gesteld:

(a) the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties other than those for which they were transmitted or made available;

a) de preventie, het onderzoek, de opsporing of de vervolging ter zake van andere strafbare feiten of de tenuitvoerlegging van andere straffen dan die waarvoor de gegevens waren verstrekt of beschikbaar gesteld;

(b) other judicial and administrative proceedings directly related to the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties;

b) andere gerechtelijke en administratieve procedures die rechtstreeks verband houden met de preventie, het onderzoek, de opsporing en de vervolging ter zake van strafbare feiten en de tenuitvoerlegging van straffen;

c) de voorkoming van een onmiddellijke en ernstige bedreiging van de openbare veiligheid, of

(d) any other purpose only with the prior consent of the transmitting Member State or with the consent of the data subject, given in accordance with national law.

d) een ander doel, slechts na voorafgaande toestemming van de verstrekkende lidstaat of met instemming van de betrokkene, verleend overeenkomstig het nationale recht.

De bevoegde autoriteiten mogen de verstrekte persoonsgegevens ook verder verwerken voor historische, statistische of wetenschappelijke doeleinden, mits de lidstaten passende garanties bieden, zoals het anonimiseren van de gegevens.

Article 12

Artikel 12

Compliance with national processing restrictions

Naleving van nationale beperkingen op de verwerking

1. Where, under the law of the transmitting Member State, specific processing restrictions apply in specific circumstances to data exchanges between competent authorities within that Member State, the transmitting authority shall inform the recipient of such restrictions. The recipient shall ensure that these processing restrictions are met.

1. Indien krachtens het recht van de verstrekkende lidstaat in specifieke omstandigheden ten aanzien van de uitwisseling van gegevens tussen de bevoegde autoriteiten van die lidstaat specifieke beperkingen op de verwerking gelden, meldt de verstrekkende autoriteit deze beperkingen aan de ontvanger. De ontvanger ziet erop toe dat deze beperkingen op de verwerking in acht worden genomen.

2. When applying paragraph 1, Member States shall not apply restrictions regarding data transmissions to other Member States or to agencies or bodies established pursuant to Title VI of the Treaty on European Union other than those applicable to similar national data transmissions.

2. Bij de toepassing van lid 1 passen de lidstaten voor het verstrekken van gegevens aan andere lidstaten of aan op grond van titel VI van het Verdrag betreffende de Europese Unie opgerichte agentschappen of organen geen andere beperkingen toe dan die welke voor een soortgelijke nationale verstrekking van gegevens van toepassing zijn.

Article 13

Artikel 13

Transfer to competent authorities in third States or to international bodies

Doorgifte aan bevoegde instanties in derde landen of aan internationale organen

1. Member States shall provide that personal data transmitted or made available by the competent authority of another Member State may be transferred to third States or international bodies, only if:

1. De lidstaten bepalen dat persoonsgegevens die door de bevoegde autoriteit van een andere lidstaat zijn verstrekt of beschikbaar gesteld, uitsluitend mogen worden doorgegeven aan derde landen of internationale organen, indien

(a) it is necessary for the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties;

a) dit noodzakelijk is met het oog op de preventie, het onderzoek, de opsporing of de vervolging van strafbare feiten en de tenuitvoerlegging van straffen;

(b) the receiving authority in the third State or receiving international body is responsible for the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties;

b) de ontvangende autoriteit in het derde land of het ontvangende internationale orgaan belast is met de preventie, het onderzoek, de opsporing of de vervolging van strafbare feiten of de tenuitvoerlegging van straffen;

(c) the Member State from which the data were obtained has given its consent to transfer in compliance with its national law; and

c) de lidstaat waarvan de gegevens afkomstig zijn heeft toegestemd in de doorgifte met inachtneming van het nationale recht, en

(d) the third State or international body concerned ensures an adequate level of protection for the intended data processing.

d) het betrokken derde land of internationale orgaan een toereikend beschermingsniveau voor de voorgenomen gegevensverwerking waarborgt.

2. Transfer without prior consent in accordance with paragraph 1(c) shall be permitted only if transfer of the data is essential for the prevention of an immediate and serious threat to public security of a Member State or a third State or to essential interests of a Member State and the prior consent cannot be obtained in good time. The authority responsible for giving consent shall be informed without delay.

2. De doorgifte zonder voorafgaande toestemming overeenkomstig lid 1, onder c), is alleen toegestaan indien zij van essentieel belang is ter voorkoming van een onmiddellijke en ernstige bedreiging van de openbare veiligheid van een lidstaat of derde land of voor de wezenlijke belangen van een lidstaat, en de toestemming niet tijdig kan worden verkregen. De voor het verlenen van de toestemming bevoegde autoriteit wordt onverwijld geïnformeerd.

3. By way of derogation from paragraph 1(d), personal data may be transferred if:

3. In afwijking van lid 1, onder d), kunnen persoonsgegevens worden doorgegeven indien:

(a) the national law of the Member State transferring the data so provides because of:

a) de nationale wetgeving van de lidstaat die de gegevens doorgeeft daarin voorziet wegens

(i) legitimate specific interests of the data subject; or

i) gerechtvaardigde specifieke belangen van de betrokkene, of

(ii) legitimate prevailing interests, especially important public interests; or

ii) gerechtvaardigde doorslaggevende belangen, met name zwaarwegende openbare belangen, of

(b) the third State or receiving international body provides safeguards which are deemed adequate by the Member State concerned according to its national law.

b) het derde land of het ontvangende internationale orgaan, c.q. de ontvangende internationale organisatie garanties bieden die door de betrokken lidstaat conform de nationale wetgeving toereikend worden geacht.

4. The adequacy of the level of protection referred to in paragraph 1(d) shall be assessed in the light of all the circumstances surrounding a data transfer operation or a set of data transfer operations. Particular consideration shall be given to the nature of the data, the purpose and duration of the proposed processing operation or operations, the State of origin and the State or international body of final destination of the data, the rules of law, both general and sectoral, in force in the third State or international body in question and the professional rules and security measures which apply.

4. Of het in lid 1, onder d), bedoelde beschermingsniveau toereikend is, wordt beoordeeld met inachtneming van alle omstandigheden die op de doorgifte van gegevens of op een groep van gegevensverstrekkingen van invloed zijn. In het bijzonder wordt rekening gehouden met de aard van de gegevens, met het doel en met de duur van de voorgenomen verwerking of verwerkingen, het land van herkomst en het land of het internationale orgaan van eindbestemming van de gegevens, de algemene en sectorale rechtsregels die in het derde land of het internationale orgaan gelden, alsmede de beroepscodes en de veiligheidsmaatregelen die in het land of het orgaan van toepassing zijn.

Article 14

Artikel 14

Transmission to private parties in Member States

Doorgifte aan particuliere instanties in de lidstaten

1. Member States shall provide that personal data received from or made available by the competent authority of another Member State may be transmitted to private parties only if:

1. De lidstaten bepalen dat persoonsgegevens die zijn ontvangen van of beschikbaar gesteld door een bevoegde instantie van een andere lidstaat, alleen aan particuliere instanties mogen worden doorgegeven indien:

(a) the competent authority of the Member State from which the data were obtained has consented to transmission in compliance with its national law;

a) de bevoegde autoriteit van de lidstaat van herkomst in de doorgifte heeft toegestemd, met inachtneming van het nationale recht;

(b) no legitimate specific interests of the data subject prevent transmission; and

b) geen gerechtvaardigde specifieke belangen van de betrokkene zich tegen doorgifte verzetten, en

c) in bijzondere gevallen de doorgifte essentieel is voor de bevoegde autoriteit die de gegevens verstrekt aan een particuliere instantie ten behoeve van:

(i) the performance of a task lawfully assigned to it;

i) de uitvoering van haar wettelijke taak;

(ii) the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties;

ii) de preventie, het onderzoek, de opsporing of de vervolging van strafbare feiten en de tenuitvoerlegging van straffen;

(iii) the prevention of an immediate and serious threat to public security; or

iii) het voorkomen van een onmiddellijke en ernstige bedreiging van de openbare veiligheid, of

(iv) the prevention of serious harm to the rights of individuals.

iv) het voorkomen van ernstige schending van de rechten van personen.

2. The competent authority transmitting the data to a private party shall inform the latter of the purposes for which the data may exclusively be used.

2. De bevoegde autoriteit die gegevens aan een particuliere instantie doorgeeft, deelt deze instantie mee voor welk doel de gegevens uitsluitend gebruikt mogen worden.

Article 15

Artikel 15

Information on request of the competent authority

Het op verzoek informeren van de bevoegde autoriteit

The recipient shall, on request, inform the competent authority which transmitted or made available the personal data about their processing.

De ontvanger informeert de bevoegde autoriteit die de persoonsgegevens heeft verstrekt of beschikbaar gesteld, desgevraagd over de verwerking van de gegevens.

Article 16

Artikel 16

Information for the data subject

Informatie voor de betrokkene

1. Member States shall ensure that the data subject is informed regarding the collection or processing of personal data by their competent authorities, in accordance with national law.

1. De lidstaten zien erop toe dat de betrokkene overeenkomstig het nationaal recht wordt geïnformeerd over het verzamelen en verwerken van persoonsgegevens door hun bevoegde autoriteiten.

2. When personal data have been transmitted or made available between Member States, each Member State may, in accordance with the provisions of its national law referred to in paragraph 1, ask that the other Member State does not inform the data subject. In such case the latter Member State shall not inform the data subject without the prior consent of the other Member State.

2. Met betrekking tot persoonsgegevens die door lidstaten aan elkaar zijn verstrekt of beschikbaar gesteld kan elke lidstaat, overeenkomstig de in lid 1 bedoelde bepalingen van nationaal recht, van de andere lidstaat verlangen dat hij de betrokkene niet informeert. In dat geval informeert deze laatste lidstaat de betrokkene niet zonder dat de andere lidstaat daarin heeft toegestemd.

Article 17

Artikel 17

Right of access

Recht van toegang

1. Every data subject shall have the right to obtain, following requests made at reasonable intervals, without constraint and without excessive delay or expense:

1. De betrokkene is gerechtigd om, op grond van een verzoek dat met redelijke tussenpozen is gedaan, zonder beperking en zonder bovenmatige vertraging of kosten:

(a) at least a confirmation from the controller or from the national supervisory authority as to whether or not data relating to him have been transmitted or made available and information on the recipients or categories of recipients to whom the data have been disclosed and communication of the data undergoing processing; or

a) van de toezichthoudende instantie of persoon of van de nationale toezichthoudende overheid tenminste antwoord te krijgen op de vraag of de hem betreffende gegevens zijn verstrekt of beschikbaar gesteld, informatie te krijgen over de ontvangers of categorieën van ontvangers aan wie de gegevens zijn verstrekt, alsook een opgave te krijgen van de gegevens die verwerking ondergaan, of

(b) at least a confirmation from the national supervisory authority that all necessary verifications have taken place.

b) van de nationale toezichthoudende autoriteit tenminste de bevestiging te krijgen dat alle nodige verificaties zijn verricht.

2. The Member States may adopt legislative measures restricting access to information pursuant to paragraph 1(a), where such a restriction, with due regard for the legitimate interests of the person concerned, constitutes a necessary and proportional measure:

2. De lidstaten kunnen wettelijke maatregelen treffen ter beperking van het recht van toegang tot informatie overeenkomstig lid 1, onder a), indien dit, met inachtneming van de gerechtvaardigde belangen van de betrokkene, een noodzakelijke en evenredige maatregel is:

(a) to avoid obstructing official or legal inquiries, investigations or procedures;

a) om belemmering van officiële of gerechtelijke onderzoeken of procedures te voorkomen;

(b) to avoid prejudicing the prevention, detection, investigation and prosecution of criminal offences or for the execution of criminal penalties;

b) om te voorkomen dat de preventie, de opsporing, het onderzoek of de vervolging ter zake van strafbare feiten of de tenuitvoerlegging van straffen in het gedrang komt;

c) ter bescherming van de openbare veiligheid;

(d) to protect national security;

d) ter bescherming van de nationale veiligheid;

(e) to protect the data subject or the rights and freedoms of others.

e) ter bescherming van de betrokkene of van de rechten en vrijheden van anderen.

3. Any refusal or restriction of access shall be set out in writing to the data subject. At the same time, the factual or legal reasons on which the decision is based shall also be communicated to him. The latter communication may be omitted where a reason under paragraph 2(a) to (e) exists. In all of these cases the data subject shall be advised that he may appeal to the competent national supervisory authority, a judicial authority or to a court.

3. Iedere weigering of beperking van de toegang wordt schriftelijk aan de betrokkene toegelicht. Tevens worden de feitelijke of juridische redenen voor het besluit meegedeeld. Die mededeling kan achterwege blijven wanneer daar conform lid 2, punten a) tot en met e), grond voor is. In al die gevallen wordt aan de betrokkene meegedeeld dat hij bij de bevoegde nationale toezichthoudende autoriteit, een instantie met rechtsprekende bevoegdheid of een gerecht beroep kan aantekenen.

Article 18

Artikel 18

Right to rectification, erasure or blocking

Recht om gegevens te laten corrigeren, wissen of afschermen

1. The data subject shall have the right to expect the controller to fulfil its duties in accordance with Articles 4, 8 and 9 concerning the rectification, erasure or blocking of personal data which arise from this Framework Decision. Member States shall lay down whether the data subject may assert this right directly against the controller or through the intermediary of the competent national supervisory authority. If the controller refuses rectification, erasure or blocking, the refusal must be communicated in writing to the data subject who must be informed of the possibilities provided for in national law for lodging a complaint or seeking judicial remedy. Upon examination of the complaint or judicial remedy, the data subject shall be informed whether the controller acted properly or not. Member States may also provide that the data subject shall be informed by the competent national supervisory authority that a review has taken place.

1. De betrokkene heeft er recht op dat de voor de verwerking verantwoordelijke zijn plichten op grond van de artikelen 4, 8 en 9 inzake het corrigeren, wissen of afschermen van persoonsgegevens, die uit dit kaderbesluit voortvloeien, nakomt. De lidstaten bepalen of de betrokkene dit recht rechtstreeks tegen de voor de verwerking verantwoordelijke, dan wel door tussenkomst van de bevoegde nationale toezichthoudende autoriteit kan doen gelden. Indien de voor de verwerking verantwoordelijke correctie, wissen of afscherming weigert, moet die weigering schriftelijk worden meegedeeld en moet de betrokkene in kennis worden gesteld van de in het nationale recht bestaande mogelijkheden om klacht in te dienen of beroep bij de rechter in te stellen. Bij de behandeling van de klacht of het beroep wordt aan de betrokkene meegedeeld of de voor de verwerking verantwoordelijke al dan niet correct heeft gehandeld. De lidstaten kunnen ook bepalen dat de bevoegde nationale toezichthoudende autoriteit de betrokkene alleen meedeelt dat een verificatie heeft plaatsgevonden.

2. If the accuracy of an item of personal data is contested by the data subject and its accuracy or inaccuracy cannot be ascertained, referencing of that item of data may take place.

2. Indien de juistheid van een persoonsgegeven door de betrokkene wordt betwist en niet kan worden vastgesteld of het gegeven al dan niet juist is, kan dat gegeven worden gemarkeerd.

Article 19

Artikel 19

Right to compensation

Recht op schadevergoeding

1. Any person who has suffered damage as a result of an unlawful processing operation or of any act incompatible with the national provisions adopted pursuant to this Framework Decision shall be entitled to receive compensation for the damage suffered from the controller or other authority competent under national law.

1. Eenieder die schade heeft geleden ten gevolge van een onrechtmatige verwerking of van een andere handeling die onverenigbaar is met de krachtens dit kaderbesluit vastgestelde nationale voorschriften, heeft het recht van de voor de verwerking verantwoordelijke of een andere volgens het nationale recht bevoegde autoriteit, vergoeding van de geleden schade te verkrijgen.

2. Where a competent authority of a Member State has transmitted personal data, the recipient cannot, in the context of its liability vis-à-vis the injured party in accordance with national law, cite in its defence that the data transmitted were inaccurate. If the recipient pays compensation for damage caused by the use of incorrectly transmitted data, the transmitting competent authority shall refund to the recipient the amount paid in damages, taking into account any fault that may lie with the recipient.

2. Indien een bevoegde autoriteit van een lidstaat persoonsgegevens verstrekt, kan de ontvanger zich er in het kader van zijn aansprakelijkheid volgens nationaal recht tegenover de benadeelde niet op beroepen dat de gegevens onjuist waren. Indien de ontvanger een vergoeding uitkeert voor schade ten gevolge van het gebruik van onjuist verstrekte gegevens, dan betaalt de verstrekkende bevoegde autoriteit de ontvanger de uitgekeerde schadevergoeding terug, waarbij eventuele aan de ontvanger toe te schrijven fouten in aanmerking worden genomen.

Article 20

Artikel 20

Judicial remedies

Beroepsmogelijkheden

Without prejudice to any administrative remedy for which provision may be made prior to referral to the judicial authority, the data subject shall have the right to a judicial remedy for any breach of the rights guaranteed to him by the applicable national law.

Onverminderd de administratieve voorziening die kan worden getroffen voordat de zaak aanhangig wordt gemaakt bij de rechter, moet de betrokkene het recht hebben om, in geval van schending van de rechten die het nationale recht hem garandeert, beroep in te stellen.

Article 21

Artikel 21

Confidentiality of processing

Vertrouwelijkheid van de verwerking

1. Any person who has access to personal data which fall within the scope of this Framework Decision may process such data only if that person is a member of, or acts on instructions of, the competent authority, unless he is required to do so by law.

1. Degene die toegang heeft tot persoonsgegevens welke onder dit kaderbesluit vallen, mag deze gegevens alleen verwerken als medewerker of volgens de instructie van de bevoegde autoriteit, tenzij er wettelijke verplichtingen daartoe bestaan.

2. Persons working for a competent authority of a Member State shall be bound by all the data protection rules which apply to the competent authority in question.

2. Degenen die voor een bevoegde autoriteit van een lidstaat werken, vallen onder alle bepalingen inzake gegevensbescherming welke voor de betreffende bevoegde autoriteit gelden.

Article 22

Artikel 22

Security of processing

Beveiliging van de verwerking

1. Member States shall provide that the competent authorities must implement appropriate technical and organisational measures to protect personal data against accidental or unlawful destruction or accidental loss, alteration, unauthorised disclosure or access, in particular where the processing involves the transmission over a network or the making available by granting direct automated access, and against all other unlawful forms of processing, taking into account in particular the risks represented by the processing and the nature of the data to be protected. Having regard to the state of the art and the cost of their implementation, such measures shall ensure a level of security appropriate to the risks represented by the processing and the nature of the data to be protected.

1. De lidstaten schrijven voor dat de bevoegde autoriteiten passende technische en organisatorische maatregelen treffen om persoonsgegevens te beveiligen tegen onbedoelde of onrechtmatige vernietiging, tegen wijziging, ongeoorloofde mededeling of toegang, met name indien de verwerking verzending van gegevens via een netwerk of beschikbaarstelling via directe geautomatiseerde toegang omvat, en tegen alle andere vormen van onrechtmatige verwerking, waarbij met name rekening wordt gehouden met de risico’s van de verwerking en de aard van de te beschermen gegevens. Deze maatregelen moeten, rekening houdend met de stand van de techniek en de kosten van de maatregel, een passend beveiligingsniveau garanderen gelet op de risico’s die de verwerking en de aard van te beschermen gegevens met zich brengen.

2. In respect of automated data processing each Member State shall implement measures designed to:

2. Elke lidstaat treft ten aanzien van de geautomatiseerde verwerking van gegevens maatregelen om:

(a) deny unauthorised persons access to data-processing equipment used for processing personal data (equipment access control);

a) te verhinderen dat onbevoegden toegang krijgen tot apparatuur voor de verwerking van persoonsgegevens (controle op de toegang tot de apparatuur);

(b) prevent the unauthorised reading, copying, modification or removal of data media (data media control);

b) te voorkomen dat onbevoegden de gegevensdragers lezen, kopiëren, wijzigen of verwijderen (controle op de gegevensdragers);

(c) prevent the unauthorised input of data and the unauthorised inspection, modification or deletion of stored personal data (storage control);

c) te verhinderen dat onbevoegden gegevens invoeren of opgeslagen persoonsgegevens inzien, wijzigen of verwijderen (opslagcontrole);

(d) prevent the use of automated data-processing systems by unauthorised persons using data communication equipment (user control);

d) te voorkomen dat onbevoegden de systemen voor geautomatiseerde gegevensverwerking gebruiken met behulp van datatransmissieapparatuur (gebruikerscontrole);

(e) ensure that persons authorised to use an automated data-processing system only have access to the data covered by their access authorisation (data access control);

e) ervoor te zorgen dat degenen die bevoegd zijn een systeem voor automatische gegevensverwerking te gebruiken, uitsluitend toegang hebben tot de gegevens waarop hun toegangsbevoegdheid betrekking heeft (controle op de toegang tot de gegevens);

(f) ensure that it is possible to verify and establish to which bodies personal data have been or may be transmitted or made available using data communication equipment (communication control);

f) ervoor te zorgen dat kan worden nagegaan en vastgesteld aan welke organen persoonsgegevens zijn of kunnen worden verstrekt of beschikbaar gesteld met behulp van datatransmissieapparatuur (transmissiecontrole);

(g) ensure that it is subsequently possible to verify and establish which personal data have been input into automated data-processing systems and when and by whom the data were input (input control);

g) ervoor te zorgen dat achteraf kan worden nagegaan en vastgesteld welke persoonsgegevens wanneer en door wie in een geautomatiseerd gegevensverwerkingssysteem zijn ingevoerd (invoercontrole);

(h) prevent the unauthorised reading, copying, modification or deletion of personal data during transfers of personal data or during transportation of data media (transport control);

h) te voorkomen dat onbevoegden de persoonsgegevens lezen, kopiëren, wijzigen of verwijderen bij de overdracht van persoonsgegevens of het vervoer van gegevensdragers (vervoerscontrole);

(i) ensure that installed systems may, in case of interruption, be restored (recovery);

i) ervoor te zorgen dat de gebruikte systemen in geval van storing opnieuw ingezet kunnen worden (herstel);

(j) ensure that the functions of the system perform, that the appearance of faults in the functions is reported (reliability) and that stored data cannot be corrupted by means of a malfunctioning of the system (integrity).

j) ervoor te zorgen dat de functies van het systeem werken, dat eventuele functionele storingen gesignaleerd worden (betrouwbaarheid) en dat opgeslagen gegevens niet door verkeerd functioneren van het systeem beschadigd kunnen worden (integriteit).

3. Member States shall provide that processors may be designated only if they guarantee that they observe the requisite technical and organisational measures under paragraph 1 and comply with the instructions under Article 21. The competent authority shall monitor the processor in those respects.

3. De lidstaten schrijven voor dat verwerkers alleen kunnen worden aangewezen indien zij garanderen de vereiste technische en organisatorische maatregelen van lid 1 te zullen treffen en de instructies van artikel 21 te zullen opvolgen. De bevoegde autoriteit ziet erop toe dat de verwerker dat doet.

4. Personal data may be processed by a processor only on the basis of a legal act or a written contract.

4. Persoonsgegevens mogen door een verwerker alleen op grond van een wettelijke regeling of een schriftelijke overeenkomst worden verwerkt.

Article 23

Artikel 23

Prior consultation

Voorafgaand overleg

Member States shall ensure that the competent national supervisory authorities are consulted prior to the processing of personal data which will form part of a new filing system to be created where:

De lidstaten zien erop toe dat de bevoegde nationale toezichthoudende autoriteiten worden geraadpleegd voordat persoonsgegevens, die in een nieuw bestand zullen worden opgenomen, worden verwerkt, wanneer:

(a) special categories of data referred to in Article 6 are to be processed; or

a) bijzondere categorieën gegevens als bedoeld in artikel 6 worden verwerkt, of

(b) the type of processing, in particular using new technologies, mechanism or procedures, holds otherwise specific risks for the fundamental rights and freedoms, and in particular the privacy, of the data subject.

b) de aard van de verwerking, in het bijzonder met gebruikmaking van nieuwe technologieën, mechanismen of procedures, anderszins specifieke risico’s met zich meebrengt voor de fundamentele rechten en vrijheden van de betrokkene, in het bijzonder zijn recht op bescherming van de persoonlijke levenssfeer.

Article 24

Artikel 24

Penalties

Sancties

Member States shall adopt suitable measures to ensure the full implementation of the provisions of this Framework Decision and shall in particular lay down effective, proportionate and dissuasive penalties to be imposed in case of infringements of the provisions adopted pursuant to this Framework Decision.

De lidstaten nemen passende maatregelen om de volledige toepassing van de bepalingen van dit kaderbesluit te garanderen, en stellen in het bijzonder doeltreffende, evenredige en afschrikkende sancties vast, die worden opgelegd in geval van inbreuk op de krachtens dit kaderbesluit vastgestelde voorschriften.

Article 25

Artikel 25

National supervisory authorities

Nationale toezichthoudende autoriteiten

1. Each Member State shall provide that one or more public authorities are responsible for advising and monitoring the application within its territory of the provisions adopted by the Member States pursuant to this Framework Decision. These authorities shall act with complete independence in exercising the functions entrusted to them.

1. Elke lidstaat bepaalt dat een of meer autoriteiten worden belast met advisering en toezicht met betrekking tot de toepassing op zijn grondgebied van de krachtens dit kaderbesluit door de lidstaten vastgestelde voorschriften. Deze autoriteiten vervullen de hun opgedragen taken in volstrekte onafhankelijkheid.

2. Each authority shall in particular be endowed with:

2. Elke toezichthoudende autoriteit beschikt met name over:

(a) investigative powers, such as powers of access to data forming the subject matter of processing operations and powers to collect all the information necessary for the performance of its supervisory duties;

a) onderzoeksbevoegdheden, zoals het recht van toegang tot gegevens die voorwerp van verwerking zijn en bevoegdheden om alle inlichtingen in te winnen die voor de uitoefening van haar toezichtstaak noodzakelijk zijn;

(b) effective powers of intervention, such as, for example, that of delivering opinions before processing operations are carried out, and ensuring appropriate publication of such opinions, of ordering the blocking, erasure or destruction of data, of imposing a temporary or definitive ban on processing, of warning or admonishing the controller, or that of referring the matter to national parliaments or other political institutions;

b) effectieve bevoegdheden om in te grijpen, zoals de bevoegdheid om voorafgaand aan de uitvoering van de verwerking advies uit te brengen en te zorgen voor een passende bekendmaking van het advies, of de bevoegdheid om gegevens te laten afschermen, wissen of vernietigen, een verwerking voorlopig of definitief te verbieden, de voor de verwerking verantwoordelijke te waarschuwen of te berispen, of de nationale parlementen of andere politieke instellingen in te schakelen;

(c) the power to engage in legal proceedings where the national provisions adopted pursuant to this Framework Decision have been infringed or to bring this infringement to the attention of the judicial authorities. Decisions by the supervisory authority which give rise to complaints may be appealed against through the courts.

c) de bevoegdheid om in rechte op te treden in geval van inbreuken op de krachtens dit kaderbesluit vastgestelde nationale bepalingen, of om die inbreuken onder de aandacht van het gerecht te brengen. Tegen de beslissingen van de toezichthoudende autoriteit kan beroep bij de rechter worden ingesteld.

3. Each supervisory authority shall hear claims lodged by any person concerning the protection of his rights and freedoms in regard to the processing of personal data. The person concerned shall be informed of the outcome of the claim.

3. Eenieder kan bij elke toezichthoudende autoriteit een vordering indienen met betrekking tot de bescherming van zijn rechten en vrijheden in verband met de verwerking van persoonsgegevens. Hij wordt in kennis gesteld van het gevolg dat aan die vordering wordt gegeven.

4. Member States shall provide that the members and staff of the supervisory authority are bound by the data protection provisions applicable to the competent authority in question and, even after their employment has ended, are to be subject to a duty of professional secrecy with regard to confidential information to which they have access.

4. De lidstaten schrijven voor dat de leden en personeelsleden van de toezichthoudende autoriteit zijn gebonden door de voor die autoriteit geldende bepalingen inzake gegevensbescherming en, na beëindiging van hun dienstverband, aan het ambtsgeheim ten aanzien van de vertrouwelijke gegevens waartoe zij toegang hebben.

Article 26

Artikel 26

Relationship to agreements with third States

Verhouding tot overeenkomsten met derde staten

This Framework Decision is without prejudice to any obligations and commitments incumbent upon Member States or upon the Union by virtue of bilateral and/or multilateral agreements with third States existing at the time of adoption of this Framework Decision.

Dit kaderbesluit geldt onverminderd de verplichtingen en verbintenissen die de lidstaten of de Unie zijn aangegaan op grond van op de datum van vaststelling van dit kaderbesluit bestaande bilaterale en/of multilaterale overeenkomsten met derde landen.

In the application of these agreements, the transfer to a third State of personal data obtained from another Member State, shall be carried out while respecting Article 13(1)(c) or (2), as appropriate.

Bij de toepassing van deze overeenkomsten mogen van een andere lidstaat verkregen persoonsgegevens alleen aan een derde staat worden doorgegeven na toestemming en met inachtneming van artikel 13, lid 1, onder c), of lid 2.

Article 27

Artikel 27

Evaluation

Evaluatie

1. Member States shall report to the Commission by 27 November 2013 on the national measures they have taken to ensure full compliance with this Framework Decision, and particularly with regard to those provisions that already have to be complied with when data is collected. The Commission shall examine in particular the implications of those provisions for the scope of this Framework Decision as laid down in Article 1(2).

1. Uiterlijk op 27 november 2013 brengen de lidstaten verslag uit aan de Commissie over de nationale maatregelen die zij hebben genomen om te zorgen voor volledige naleving van dit kaderbesluit, en met name met betrekking tot de bepalingen die reeds bij het verzamelen van gegevens moeten worden nageleefd. De Commissie onderzoekt in het bijzonder de gevolgen van de bepaling inzake het toepassingsgebied in artikel 1, lid 2.

2. The Commission shall report to the European Parliament and the Council within one year on the outcome of the evaluation referred to in paragraph 1, and shall accompany its report with any appropriate proposals for amendments to this Framework Decision.

2. De Commissie brengt binnen een jaar aan het Europees Parlement en de Raad verslag uit over resultaten van de in lid 1 bedoelde evaluatie, en doet haar verslag vergezeld gaan van eventuele passende wijzigingsvoorstellen.

Article 28

Artikel 28

Relationship to previously adopted acts of the Union

Verhouding tot eerder aangenomen besluiten van de Unie

Where in acts, adopted under Title VI of the Treaty on European Union prior to the date of entry into force of this Framework Decision and regulating the exchange of personal data between Member States or the access of designated authorities of Member States to information systems established pursuant to the Treaty establishing the European Community, specific conditions have been introduced as to the use of such data by the receiving Member State, these conditions shall take precedence over the provisions of this Framework Decision on the use of data received from or made available by another Member State.

Indien bij besluiten die vóór de datum van inwerkingtreding van dit kaderbesluit op grond van titel VI van het Verdrag betreffende de Europese Unie zijn aangenomen en die de uitwisseling van persoonsgegevens tussen de lidstaten of de toegang van aangewezen autoriteiten van de lidstaten tot uit hoofde van het VEG ingestelde gegevenssystemen regelen, specifieke voorwaarden zijn ingevoerd met betrekking tot het gebruik van die gegevens door de ontvangende lidstaat, hebben die voorwaarden voorrang boven de bepalingen van dit kaderbesluit inzake het gebruik van gegevens die zijn ontvangen van of beschikbaar gesteld door een andere lidstaat.

Article 29

Artikel 29

Implementation

Uitvoering

1. Member States shall take the necessary measures to comply with the provisions of this Framework Decision before 27 November 2010.

1. De lidstaten treffen de nodige maatregelen om uiterlijk op 27 november 2010 aan dit kaderbesluit te voldoen.

2. By the same date Member States shall transmit to the General Secretariat of the Council and to the Commission the text of the provisions transposing into their national law the obligations imposed on them under this Framework Decision, as well as information on the supervisory authorities referred to in Article 25. On the basis of a report established using this information by the Commission, the Council shall, before 27 November 2011, assess the extent to which Member States have complied with the provisions of this Framework Decision.

2. Uiterlijk op dezelfde datum delen de lidstaten het secretariaat-generaal van de Raad en de Commissie de tekst mee van de bepalingen waarmee zij de uit dit kaderbesluit voortvloeiende verplichtingen omzetten in nationaal recht, alsmede informatie over de in artikel 25 bedoelde toezichthoudende autoriteiten. Op basis van een verslag van de Commissie dat is opgesteld met gebruikmaking van deze informatie, gaat de Raad vóór 27 november 2011 na in hoeverre de lidstaten de maatregelen hebben genomen die noodzakelijk zijn om aan dit kaderbesluit te voldoen.

Article 30

Artikel 30

Entry into force

Inwerkingtreding

This Framework Decision shall enter into force on the 20th day following its publication in the Official Journal of the European Union.

Dit kaderbesluit treedt in werking op de twintigste dag na de bekendmaking ervan in het Publicatieblad van de Europese Unie.

Done at Brussels, 27 November 2008.

Gedaan te Brussel, 27 november 2008.

For the Council

Voor de Raad

The President

De voorzitster

M. Alliot-Marie

[1] OJ C 125 E, 22.5.2008, p. 154.

[1] PB C 125 E van 22.5.2008, blz. 154.

[2] OJ C 198, 12.8.2005, p. 1.

[2] PB C 198 van 12.8.2005, blz. 1.

[3] OJ L 281, 23.11.1995, p. 31.

[3] PB L 281 van 23.11.1995, blz. 31.

[4] OJ L 8, 12.1.2001, p. 1.

[4] PB L 8 van 12.1.2001, blz. 1.

[5] OJ L 201, 31.7.2002, p. 37.

[5] PB L 201 van 31.7.2002, blz. 37.

[6] OJ L 69, 16.3.2005, p. 67.

[6] PB L 69 van 16.3.2005, blz. 67.

[7] OJ L 210, 6.8.2008, p. 1.

[7] PB L 210 van 6.8.2008, blz. 1.

[8] OJ L 131, 1.6.2000, p. 43.

[8] PB L 131 van 1.6.2000, blz. 43.

[9] OJ L 64, 7.3.2002, p. 20.

[9] PB L 64 van 7.3.2002, blz. 20.

[10] OJ L 176, 10.7.1999, p. 36.

[10] PB L 176 van 10.7.1999, blz. 36.

[11] OJ L 176, 10.7.1999, p. 31.

[11] PB L 176 van 10.7.1999, blz. 31.

[12] OJ L 53, 27.2.2008, p. 52.

[12] PB L 53 van 27.2.2008, blz. 52.

[13] OJ L 53, 27.2.2008, p. 50.

[13] PB L 53 van 27.2.2008, blz. 50.

[14] OJ L 83, 26.3.2008, p. 5.

[14] PB L 83 van 26.3.2008, blz. 5.

[15] OJ C 303, 14.12.2007, p. 1.

[15] PB C 303 van 14.12.2007, blz. 1.

--------------------------------------------------

Top

BG CS DA DE EL EN ES ET FI FR HU IT LT LV MT NL PL PT RO SK SL SV	BG CS DA DE EL EN ES ET FI FR HU IT LT LV MT NL PL PT RO SK SL SV
en	nl

Bilingual display

en

nl