30.12.2008

Publicatieblad van de Europese Unie

L 350/60

KADERBESLUIT 2008/977/JBZ VAN DE RAAD

van 27 november 2008

over de bescherming van persoonsgegevens die worden verwerkt in het kader van de politiële en justitiële samenwerking in strafzaken

DE RAAD VAN DE EUROPESE UNIE,

Gelet op het Verdrag betreffende de Europese Unie, met name op artikel 30, artikel 31 en artikel 34, lid 2, onder b),

Gezien het voorstel van de Commissie,

Gezien het advies van het Europees Parlement (1),

Overwegende hetgeen volgt:

(1)	De Europese Unie heeft zich ten doel gesteld de Unie als een ruimte van vrijheid, veiligheid en recht in stand te houden en te ontwikkelen; gezamenlijk optreden van de lidstaten op het gebied van politiële en justitiële samenwerking in strafzaken moet tot een hoog niveau van veiligheid leiden.

(2)

Gezamenlijk optreden op het gebied van politiële samenwerking in de zin van artikel 30, lid 1, onder b), van het Verdrag betreffende de Europese Unie en gezamenlijk optreden inzake justitiële samenwerking in strafzaken in de zin van artikel 31, lid 1, onder a), van het Verdrag betreffende de Europese Unie, brengt met zich dat relevante informatie moet worden verwerkt, waarop passende voorschriften inzake de bescherming van persoonsgegevens van toepassing moeten zijn.

(3)

De regelgeving in het kader van titel VI van het Verdrag betreffende de Europese Unie moet de politiële en justitiële samenwerking in strafzaken bevorderen, en ervoor zorgen dat zij doeltreffend en rechtmatig is en strookt met de grondrechten, met name met het recht op bescherming van het privéleven en van persoonsgegevens. Gemeenschappelijke normen voor de verwerking en bescherming van persoonsgegevens die worden verwerkt om criminaliteit te voorkomen en te bestrijden, kunnen bijdragen tot de verwezenlijking van beide doelen.

(4)

In het Haags programma betreffende de versterking van vrijheid, veiligheid en recht in de Europese Unie, dat de Europese Raad op 4 november 2004 heeft aangenomen, wordt erop gewezen dat een innoverende benadering van de grensoverschrijdende uitwisseling van rechtshandhavingsinformatie nodig is, waarbij strak de hand moet worden gehouden aan de basisvoorwaarden op het gebied van gegevensbescherming, en wordt de Commissie verzocht uiterlijk eind 2005 voorstellen op dit gebied in te dienen. Dit is terug te vinden in het Actieplan van de Raad en de Commissie ter uitvoering van het Haags programma voor de versterking van de ruimte van vrijheid, veiligheid en recht in de Europese Unie (2).

(5)

De uitwisseling van persoonsgegevens in het kader van de politiële en justitiële samenwerking in strafzaken moet, zeker indien deze uitwisseling gebaseerd is op het beschikbaarheidsbeginsel zoals neergelegd in het Haags programma, steunen op duidelijke regels die leiden tot wederzijds vertrouwen tussen de bevoegde autoriteiten en die de zekerheid bieden dat de gegevens zodanig worden beschermd dat iedere discriminatie met betrekking tot de samenwerking tussen de lidstaten is uitgesloten, terwijl de individuele grondrechten toch volledig worden geëerbiedigd. De bestaande regelgeving op Europees niveau is ontoereikend. Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens, en betreffende het vrije verkeer van die gegevens (3), is niet van toepassing op de verwerking van persoonsgegevens in het kader van een activiteit die buiten de werkingssfeer van het Gemeenschapsrecht valt, zoals de activiteiten in het kader van titel VI van het Verdrag betreffende de Europese Unie, en zeker niet op de verwerking van gegevens in verband met openbare veiligheid, defensie, de staatsveiligheid en de activiteiten van de staat op strafrechtelijk gebied.

(6)

Het kaderbesluit is alleen van toepassing op gegevens die door de bevoegde autoriteiten worden verzameld of verwerkt met het oog op preventie, onderzoek, opsporing en vervolging van strafbare feiten en tenuitvoerlegging van straffen. Het kaderbesluit laat het aan de lidstaten over om op nationaal niveau met meer nauwkeurigheid te bepalen welke andere doeleinden als onverenigbaar moeten worden aangemerkt met het doel waarvoor de persoonsgegevens aanvankelijk werden verzameld. In zijn algemeenheid is verdere verwerking voor historische, statistische of wetenschappelijke doeleinden niet onverenigbaar met het oorspronkelijke doel van de verwerking.

(7)

Het toepassingsgebied van het kaderbesluit is beperkt tot de verwerking van persoonsgegevens die worden verstrekt of beschikbaar gesteld tussen lidstaten. Uit deze beperking kunnen geen conclusies worden getrokken met betrekking tot de bevoegdheid van de Europese Unie om besluiten aan te nemen in verband met het verzamelen en verwerken van persoonsgegevens op nationaal niveau, noch met betrekking tot de wenselijkheid dat de Unie dergelijke besluiten in de toekomst aanneemt.

(8)

Om de uitwisseling van gegevens in de Europese Unie te vergemakkelijken, zullen de lidstaten ernaar streven bij de nationale gegevensverwerking dezelfde standaard van gegevensbeschermings te waarborgen als die waarin dit kaderbesluit voorziet. Met betrekking tot de verwerking van gegevens op nationaal niveau belet dit kaderbesluit de lidstaten niet om uitgebreidere waarborgen te bieden ter bescherming van persoonsgegevens dan die waarin het kaderbesluit voorziet.

(9)	Dit kaderbesluit geldt niet voor persoonsgegevens die een lidstaat op grond van dit kaderbesluit heeft verkregen en welke uit die lidstaat zelf afkomstig zijn.

(10)	De onderlinge aanpassing van de rechtsstelsels van de lidstaten mag niet tot een vermindering van de gegevensbescherming leiden, maar moet juist zorgen voor een hoog beschermingsniveau in de Unie.

(11)

Er moeten doelstellingen voor de gegevensbescherming in het kader van politiële en justitiële activiteiten worden bepaald en regels voor de rechtmatigheid van de verwerking van persoonsgegevens worden vastgesteld, om te kunnen garanderen dat alle gegevens die worden uitgewisseld, rechtmatig en volgens de grondbeginselen betreffende de gegevenskwaliteit zijn verwerkt. Tegelijkertijd mogen politie, douane, justitiële en andere bevoegde autoriteiten op geen enkele manier in hun gerechtvaardigde activiteiten worden belemmerd.

(12)

Het beginsel van juistheid van de gegevens moet worden toegepast in het licht van de aard en het doel van de betreffende verwerking. Bijvoorbeeld, in het bijzonder tijdens gerechtelijke procedures zijn gegevens gebaseerd op de subjectieve perceptie van personen en in sommige gevallen volstrekt niet te verifiëren. Het vereiste van juistheid kan derhalve geen betrekking hebben op de juistheid van een verklaring, maar alleen op het feit dat een specifieke verklaring is afgelegd.

(13)

Archivering in een afzonderlijke groep van gegevens is alleen toegestaan indien de gegevens niet meer nodig zijn of niet meer gebruikt worden voor preventie, onderzoek, opsporing en vervolging van strafbare feiten en tenuitvoerlegging van straffen. Archivering in een afzonderlijke groep van gegevens is ook toegestaan indien de gegevens samen met andere gegevens aldus in een databank worden opgeslagen dat zij niet meer kunnen worden gebruikt voor preventie, onderzoek, opsporing en vervolging van strafbare feiten en tenuitvoerlegging van straffen. De doeleinden van de archivering en de gerechtvaardigde belangen van de betrokkenen bepalen wat de meest geschikte archiveringstermijn is. Ook bij archivering voor historische doeleinden kan worden gedacht aan een zeer lange termijn.

(14)	De gegevens kunnen ook worden gewist door de gegevensdrager te vernietigen.

(15)

De verbetering, uitwissing of afscherming van gegevens die onjuist, onvolledig of niet meer actueel zijn en aan een andere lidstaat zijn toegezonden of beschikbaar gesteld om vervolgens verder te worden verwerkt door semi-rechterlijke instanties, in de zin van autoriteiten met de bevoegdheid juridisch bindende beslissingen te nemen, wordt uitgevoerd in overeenstemming met het nationaal recht.

(16)	Om een hoog beschermingsniveau voor gegevens van personen te kunnen bieden, moeten gemeenschappelijk bepalingen worden vastgesteld ter beoordeling van de rechtmatigheid en de kwaliteit van de gegevensverwerking door bevoegde autoriteiten in andere lidstaten.

(17)

De voorwaarden waaronder de bevoegde autoriteiten van de lidstaten persoonsgegevens die zij van andere lidstaten hebben ontvangen, aan autoriteiten en particuliere instanties van lidstaten kunnen doorgeven of beschikbaar stellen, dienen op Europees niveau te worden vastgesteld. Vaak is het nodig dat persoonsgegevens door de rechterlijke macht, de politie of de douane aan particuliere instanties worden meegedeeld, om misdrijven te kunnen vervolgen of om een onmiddellijke en ernstige bedreiging voor de openbare veiligheid af te wenden of te voorkomen dat de rechten van personen ernstig worden geschonden; het betreft bijvoorbeeld het signaleren aan banken en kredietinstellingen van vervalsingen van waardepapieren, of, op het gebied van voertuigcriminaliteit, het meedelen van persoonsgegevens aan verzekeringsmaatschappijen teneinde handel in gestolen motorvoertuigen te voorkomen of de voorwaarden voor het terugkrijgen van gestolen motorvoertuigen in het buitenland te verbeteren. Dit staat niet gelijk met de overdracht van politiële of justitiële taken aan particuliere instanties.

(18)

De voorschriften van dit kaderbesluit die de mededeling van persoonsgegevens door de rechterlijke macht, de politie of de douane aan particuliere instanties betreffen, zijn niet van toepassing op de bekendmaking van gegevens aan particulieren (zoals advocaten en slachtoffers) in het kader van strafrechtelijke procedures.

(19)	De verdere verwerking van persoonsgegevens die zijn ontvangen van of beschikbaar gesteld door de bevoegde autoriteit van een andere lidstaat, in het bijzonder het verder doorgeven of het beschikbaar stellen van deze gegevens, moet gebonden zijn aan gemeenschappelijke regels op Europees niveau.

(20)

Met betrekking tot persoonsgegevens die verder mogen worden verwerkt nadat de lidstaat waarvan de gegevens afkomstig zijn, daarin heeft toegestemd, moet elke lidstaat die toestemming nader kunnen regelen, ook bijvoorbeeld in de vorm van een algemene toestemming voor categorieën van gegevens of categorieën van verdere verwerking.

(21)	In het geval verdere verwerking van persoonsgegevens is toegestaan voor administratieve doeleinden, wordt hieronder ook de werkzaamheden van regelgevings- of toezichtsorganen verstaan.

(22)

Voor de gerechtvaardigde werkzaamheden van politie, douane, gerecht en andere bevoegde autoriteiten kan het nodig zijn dat gegevens aan autoriteiten in derde landen of aan internationale instanties worden gezonden die met de preventie, het onderzoek, de opsporing of de vervolging van strafbare feiten of met de strafuitvoering zijn belast.

(23)	Persoonsgegevens die door een lidstaat worden doorgegeven aan derde landen of internationale organen moeten in beginsel adequaat beschermd worden.

(24)

Doorgifte van persoonsgegevens door een lidstaat aan derde landen of internationale organisaties kan in beginsel pas plaatsvinden nadat de lidstaat van herkomst daarin heeft toegestemd. Elke lidstaat mag deze toestemming nader regelen, bijvoorbeeld in de vorm van een algemene toestemming voor categorieën van gegevens of voor bepaalde landen.

(25)

In het belang van een efficiënte samenwerking op het gebied van de rechtshandhaving is het nodig dat indien een bedreiging voor de openbare veiligheid van een lidstaat of derde staat van zodanig onmiddellijke aard is dat het niet mogelijk is tijdig voorafgaande toestemming te verkrijgen, de bevoegde autoriteit de persoonsgegevens zonder voorafgaande toestemming aan de derde staat mag doorgeven. Hetzelfde zou kunnen gelden indien andere, even zwaarwegende wezenlijke belangen van een lidstaat op het spel staan, bijvoorbeeld in geval van onmiddellijke en ernstige dreiging voor de vitale infrastructuur van een lidstaat of ernstige verstoring van het financiële stelsel van een lidstaat.

(26)	Het kan geboden zijn de betrokkene in te lichten over de verwerking van zijn gegevens, in het bijzonder in het geval van zeer vergaande inmenging middels maatregelen van heimelijke gegevensvergaring, zodat hem de mogelijkheid van effectieve rechtsbescherming wordt gegarandeerd.

(27)

De lidstaten moeten erop toezien dat de betrokkene op de hoogte wordt gebracht van het feit dat de persoonsgegevens kunnen worden of worden verzameld, verwerkt of verstrekt aan een andere lidstaat met het oog op de preventie, het onderzoek, de opsporing en de vervolging ter zake van strafbare feiten en de tenuitvoerlegging van straffen. Het recht van de betrokkene om op de hoogte te worden gebracht, en de uitzonderingen daarop, worden nader geregeld in het nationaal recht. Dit kan in een algemene vorm gebeuren, bijvoorbeeld langs wettelijke weg of door bekendmaking van een lijst van verwerkingen.

(28)	Om de bescherming van persoonsgegevens te garanderen zonder dat de belangen van het strafrechtelijk onderzoek gevaar lopen, dienen de rechten van de betrokkenen te worden omschreven.

(29)

Sommige lidstaten kennen het recht van toegang van de betrokkene in strafzaken door middel van een systeem waarin de nationale toezichthoudende autoriteit in plaats van de betrokkene onbeperkte toegang heeft tot alle hem betreffende persoonsgegevens en de onjuiste gegevens kan verbeteren, wissen of bijwerken. Ten aanzien van deze indirecte toegang kan het nationaal recht bepalen dat de nationale toezichthoudende autoriteit de betrokkene alleen zal mededelen dat alle nodige verificaties zijn verricht. Deze lidstaten voorzien evenwel ook in mogelijkheden voor directe toegang voor de betrokkene in specifieke gevallen, zoals de toegang tot strafdossiers, het recht op een kopie van het eigen strafblad of van het verhoor dat hem door de politiediensten is afgenomen.

(30)

Er dienen gemeenschappelijke regels te worden vastgesteld met betrekking tot de vertrouwelijkheid en de beveiliging van de gegevensverwerking, aansprakelijkheid en sancties voor onrechtmatig gebruik door de bevoegde autoriteiten, alsmede rechtsmiddelen voor de betrokkenen. Het is evenwel aan iedere lidstaat zelf om de aard te bepalen van zijn regels inzake onrechtmatige daad en van de sancties die gelden voor inbreuken op de nationale gegevensbeschermingsvoorschriften.

(31)	Dit kaderbesluit biedt de mogelijkheid om bij de toepassing van de daarin vastgelegde beginselen rekening te houden met het beginsel van het recht van toegang van het publiek tot officiële documenten.

(32)

Indien noodzakelijk om persoonsgegevens te beschermen in het kader van verwerking die wegens de schaal waarop zij wordt toegepast of uit hun aard specifieke risico’s voor de fundamentele rechten en vrijheden opleveren — bijvoorbeeld verwerking met nieuwe technologieën, mechanismen of procedures — dient ervoor te worden gezorgd dat de bevoegde nationale toezichthoudende autoriteiten worden geraadpleegd voordat de voor de verwerking bedoelde bestanden worden gecreëerd.

(33)	Een essentieel onderdeel van de bescherming van persoonsgegevens die worden verwerkt in het kader van de politiële en justitiële samenwerking in strafzaken tussen de lidstaten, is dat de lidstaten toezichthoudende autoriteiten aanwijzen die hun opdracht volledig onafhankelijk vervullen.

(34)	De in de lidstaten reeds krachtens Richtlijn 95/46/EG ingestelde toezichthoudende autoriteiten kunnen eveneens de taken op zich nemen die de op grond van dit kaderbesluit op te richten nationale toezichthoudende autoriteiten moeten uitvoeren.

(35)

De toezichthoudende autoriteiten dienen over de middelen te beschikken om hun taak te kunnen vervullen, waaronder de bevoegdheid tot onderzoek en tot optreden, in het bijzonder bij klachten van personen, of de bevoegdheid om in rechte op te treden. Zij moeten ertoe bijdragen dat de gegevensverwerking in hun lidstaat transparant verloopt. Hun bevoegdheden mogen echter geen afbreuk doen aan de bestaande regels van het strafprocesrecht en de onafhankelijkheid van de rechterlijke macht.

(36)

Artikel 47 van het Verdrag betreffende de Europese Unie bepaalt dat geen enkele bepaling van dit verdrag afbreuk doet aan de Verdragen tot oprichting van de Europese Gemeenschappen, noch aan de Verdragen en akten waarbij deze Verdragen zijn gewijzigd of aangevuld. Dit kaderbesluit doet dan ook geen afbreuk aan de bescherming van persoonsgegevens door het Gemeenschapsrecht, in het bijzonder als geregeld in Richtlijn 95/46/EG, Verordening (EG) nr. 45/2001 van het Europees Parlement en de Raad van 18 december 2000 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de communautaire instellingen en organen en betreffende het vrije verkeer van die gegevens (4), en Richtlijn 2002/58/EG van het Europees Parlement en de Raad van 12 juli 2002 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie (richtlijn betreffende privacy en elektronische communicatie) (5).

(37)	Dit kaderbesluit doet geen afbreuk aan de regels betreffende onrechtmatige toegang tot gegevens die zijn vastgelegd in Kaderbesluit 2005/222/JBZ van de Raad van 24 februari 2005 over aanvallen op informatiesystemen (6).

(38)

Dit kaderbesluit doet geen afbreuk aan bestaande verplichtingen en verbintenissen die de lidstaten of de Europese Unie zijn aangegaan op grond van bilaterale en/of multilaterale overeenkomsten met derde landen. Latere overeenkomsten zullen moeten voldoen aan de voorschriften voor uitwisselingen met derde landen.

(39)

Verschillende besluiten op grond van titel VI van het Verdrag van de Europese Unie bevatten specifieke bepalingen inzake de bescherming van persoonsgegevens die op grond van die besluiten worden uitgewisseld of anderszins verwerkt. In sommige gevallen vormen die bepalingen een volledig en samenhangend pakket van regels, dat alle belangrijke aspecten van de gegevensbescherming bestrijkt (beginselen betreffende de gegevenskwaliteit, regels inzake gegevensbeveiliging, regeling van de rechten van en waarborgen voor de betrokkenen, organisatie van het toezicht en de aansprakelijkheid) en nauwkeuriger regelt dan het huidige kaderbesluit. Deze gegevensbeschermingsbepalingen, met name die welke de werking van Europol, Eurojust, het SIS en het DIS betreffen en die welke rechtstreekse toegang voor de autoriteiten van de lidstaten tot bepaalde gegevenssystemen van andere lidstaten invoeren, worden door dit kaderbesluit onverlet gelaten. Hetzelfde geldt voor de gegevensbeschermingsvoorschriften betreffende de geautomatiseerde overdracht tussen de lidstaten van DNA-profielen, dactyloscopische gegevens en gegevens uit de nationale kentekenregisters op grond van Besluit 2008/615/JBZ van de Raad van 23 juni 2008 inzake de intensivering van de grensoverschrijdende samenwerking, in het bijzonder ter bestrijding van terrorisme en grensoverschrijdende criminaliteit (7).

(40)

In andere gevallen hebben de gegevensbeschermingsbepalingen in op grond van titel VI van het Verdrag van de Europese Unie aangenomen besluiten een beperkter toepassingsgebied. Veelal worden daarin de lidstaten die van andere lidstaten informatie ontvangen welke persoonsgegevens omvat, specifieke voorwaarden opgelegd ten aanzien van het doel waarvoor zij die gegevens mogen gebruiken, maar wordt er voor de andere gegevensbeschermingsaspecten verwezen naar het Verdrag van de Raad van Europa van 28 januari 1981 tot bescherming van personen met betrekking tot de geautomatiseerde verwerking van persoonsgegevens, of zelfs naar het nationaal recht. Voor zover de bepalingen van die besluiten waarbij aan de ontvangende lidstaten voorwaarden met betrekking tot het gebruik of de verdere overdracht van persoonsgegevens worden opgelegd, meer beperkend zijn dan de overeenkomstige bepalingen van dit kaderbesluit, moeten ook de eerstgenoemde bepalingen onverlet worden gelaten. Voor alle andere aspecten moeten evenwel de in dit kaderbesluit vastgestelde voorschriften worden toegepast.

(41)

Dit kaderbesluit laat het Verdrag van de Raad van Europa tot bescherming van personen met betrekking tot de geautomatiseerde verwerking van persoonsgegevens, het aanvullend protocol bij dat Verdrag van 8 november 2001, alsmede de overeenkomsten van de Raad van Europa inzake justitiële samenwerking in strafzaken, onverlet.

(42)

Daar de doelstelling van dit kaderbesluit, namelijk het vaststellen van gemeenschappelijke regels voor de bescherming van persoonsgegevens die worden verwerkt in het kader van de politiële en justitiële samenwerking in strafzaken, niet voldoende door de lidstaten kan worden verwezenlijkt en derhalve vanwege de omvang en de gevolgen van het optreden beter door de Unie kan worden verwezenlijkt, kan de Unie, overeenkomstig het in artikel 5 van het EG-Verdrag neergelegde subsidiariteitsbeginsel, waarnaar in artikel 2 van het EU-Verdrag wordt verwezen, maatregelen nemen. Overeenkomstig het in artikel 5 van het EG-Verdrag neergelegde evenredigheidsbeginsel gaat dit kaderbesluit niet verder dan nodig is om deze doelstelling te verwezenlijken.

(43)

Het Verenigd Koninkrijk neemt deel aan dit kaderbesluit overeenkomstig artikel 5 van het Protocol tot opneming van het Schengenacquis in het kader van de Europese Unie, dat aan het EU-Verdrag en het EG-Verdrag is gehecht, en artikel 8, lid 2, van Besluit 2000/365/EG van de Raad van 29 mei 2000 betreffende het verzoek van het Verenigd Koninkrijk van Groot-Brittannië en Noord-Ierland deel te mogen nemen aan enkele van de bepalingen van het Schengenacquis (8).

(44)

Ierland neemt deel aan dit besluit overeenkomstig artikel 5 van het Protocol tot opneming van het Schengenacquis in het kader van de Europese Unie, dat aan het EU-Verdrag en het EG-Verdrag is gehecht, en artikel 6, lid 2, van Besluit 2002/192/EG van de Raad van 28 februari 2002 betreffende het verzoek van Ierland deel te mogen nemen aan bepalingen van het Schengenacquis (9).

(45)

Wat IJsland en Noorwegen betreft, houdt dit kaderbesluit een ontwikkeling in van de bepalingen van het Schengenacquis in de zin van de door de Raad van de Europese Unie en de Republiek IJsland en het Koninkrijk Noorwegen gesloten Overeenkomst inzake de wijze waarop IJsland en Noorwegen worden betrokken bij de uitvoering, de toepassing en de ontwikkeling van het Schengenacquis (10), die vallen onder het gebied dat is bedoeld in artikel 1, onder H en I, van Besluit 1999/437/EG van de Raad (11) inzake bepaalde toepassingsbepalingen van die overeenkomst.

(46)

Wat Zwitserland betreft, houdt dit kaderbesluit een nadere uitwerking in van de bepalingen van het Schengenacquis in de zin van de Overeenkomst die is gesloten door de Europese Unie, de Europese Gemeenschap en de Zwitserse Bondsstaat inzake de wijze waarop Zwitserland wordt betrokken bij de uitvoering, de toepassing en de ontwikkeling van het Schengenacquis (12), die vallen onder het gebied dat is bedoeld in artikel 1, onder H en I, van Besluit 1999/437/EG, juncto artikel 3 van Besluit 2008/149/JBZ (13) van de Raad betreffende de sluiting van de overeenkomst namens de Europese Unie van deze overeenkomst.

(47)

Wat Liechtenstein betreft, houdt dit kaderbesluit een nadere uitwerking in van de bepalingen van het Schengenacquis in de zin van het Protocol dat is ondertekend door de Europese Unie, de Europese Gemeenschap, de Zwitserse Bondsstaat en het Vorstendom Liechtenstein betreffende de toetreding van het Vorstendom Liechtenstein tot de Overeenkomst tussen de Europese Unie, de Europese Gemeenschap en de Zwitserse Bondsstaat inzake de wijze waarop Zwitserland wordt betrokken bij de uitvoering, de toepassing en de ontwikkeling van het Schengenacquis, die vallen onder het gebied dat is bedoeld in artikel 1, onder H en I, van Besluit 1999/437/EG, juncto artikel 3 van Besluit 2008/262/JBZ van de Raad (14) betreffende de ondertekening van dat Protocol namens de Europese Unie.

(48)

In dit kaderbesluit worden de grondrechten geëerbiedigd en de beginselen in acht genomen die met name in het Handvest van de grondrechten van de Europese Unie zijn vastgelegd (15). Dit kaderbesluit beoogt de volledige naleving van het recht op eerbiediging van het privéleven en het recht op bescherming van persoonsgegevens, vastgelegd in artikel 7, respectievelijk artikel 8 van het Handvest,

HEEFT HET VOLGENDE KADERBESLUIT VASTGESTELD:

Artikel 1

Doel en toepassingsgebied

1. Doel van dit kaderbesluit is een hoge mate van bescherming te waarborgen van de fundamentele rechten en vrijheden, in het bijzonder het recht op een persoonlijke levenssfeer, van natuurlijke personen in verband met de verwerking van persoonsgegevens in het kader van de politiële en justitiële samenwerking in strafzaken volgens titel VI van het Verdrag betreffende de Europese Unie, terwijl een hoog niveau van openbare veiligheid wordt gegarandeerd.

2. De lidstaten beschermen, in overeenstemming met dit kaderbesluit, de fundamentele rechten en vrijheden, in het bijzonder het recht op de bescherming van de persoonlijke levenssfeer, van natuurlijke personen, in de gevallen waarin, met het oog op de preventie, het onderzoek, de opsporing en de vervolging ter zake van strafbare feiten of de tenuitvoerlegging van straffen, persoonsgegevens:

a)	worden of zijn verstrekt of beschikbaar gesteld tussen de lidstaten;

b)	door de lidstaten worden of zijn verstrekt of beschikbaar gesteld aan autoriteiten of informatiesystemen die krachtens titel VI van het Verdrag betreffende de Europese Unie zijn ingesteld, of

c)	aan de bevoegde autoriteiten van de lidstaten worden of zijn verstrekt of beschikbaar gesteld door autoriteiten of informatiesystemen die krachtens het Verdrag betreffende de Europese Unie of het Verdrag tot oprichting van de Europese Gemeenschap zijn ingesteld.

3. Dit kaderbesluit is van toepassing op de geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, alsmede op de niet-geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of bestemd zijn om daarin te worden opgenomen.

4. Dit kaderbesluit laat de wezenlijke nationale veiligheidsbelangen en het specifieke inlichtingenwerk op het gebied van de nationale veiligheid onverlet.

5. De lidstaten kunnen, ter bescherming van de op nationaal niveau verzamelde of verwerkte persoonsgegevens, uitgebreidere waarborgen bieden dan die waarin dit kaderbesluit voorziet.

Artikel 2

Definities

In dit kaderbesluit wordt verstaan onder:

„persoonsgegevens”: iedere informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon, hierna „betrokkene” genoemd; als identificeerbare persoon wordt beschouwd een persoon die direct of indirect kan worden geïdentificeerd, in het bijzonder aan de hand van een identificatienummer of van een of meer elementen die kenmerkend zijn voor zijn of haar fysieke, fysiologische, psychische, economische, culturele of sociale identiteit;

„verwerking van persoonsgegevens” en „verwerking”: elke verwerking of elk geheel van verwerkingen met betrekking tot persoonsgegevens, al dan niet uitgevoerd met behulp van geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, onthullen door middel van verstrekking, verspreiden of op een andere wijze beschikbaar stellen, samenbrengen, met elkaar in verband brengen, afschermen, wissen of vernietigen van gegevens;

c)	„afschermen”: het markeren van opgeslagen persoonsgegevens met als doel de verwerking ervan in de toekomst te beperken;

d)	„bestand van persoonsgegevens” en „bestand”: elk gestructureerd geheel van persoonsgegevens die volgens bepaalde criteria toegankelijk zijn, ongeacht of dit geheel gecentraliseerd dan wel gedecentraliseerd is of verspreid op een functioneel of geografisch bepaalde wijze;

e)	„verwerker”: ieder lichaam dat ten behoeve van de voor de verwerking verantwoordelijke persoonsgegevens verwerkt;

f)	„ontvanger”: orgaan aan wie de gegevens worden meegedeeld;

g)	„toestemming van de betrokkene”: elke vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat hem betreffende persoonsgegevens worden verwerkt;

„bevoegde autoriteiten”: middels een besluit van de Raad op grond van titel VI van het Verdrag betreffende de Europese Unie opgerichte agentschappen of organen, evenals politie-, douane-, justitiële en andere bevoegde autoriteiten van de lidstaten die krachtens het nationale recht gemachtigd zijn persoonsgegevens op het toepassingsgebied van dit kaderbesluit te verwerken;

i)	„de verantwoordelijke”: de natuurlijke of rechtspersoon, de overheidsinstantie, de dienst of enig ander lichaam die, respectievelijk dat, alleen of tezamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt;

j)	„kenmerken”: het markeren van opgeslagen persoonsgegevens, zonder de bedoeling om hun toekomstige verwerking te beperken;

k)	„anonimiseren”: het zodanig veranderen van persoonsgegevens dat de persoonlijke of zakelijke details niet meer aan een geïdentificeerde of identificeerbare natuurlijke persoon kunnen worden gekoppeld, tenzij daaraan onevenredig veel tijd, kosten en arbeidskracht worden besteed.

Artikel 3

Beginsel van rechtmatigheid, evenredigheid en doelbinding

1. Persoonsgegevens mogen door de bevoegde autoriteiten alleen worden verzameld voor specifieke, uitdrukkelijke en rechtmatige doeleinden in het kader van hun taken en alleen worden verwerkt voor het doel waarvoor zij zijn verzameld. De verwerking van de gegevens moet rechtmatig, adequaat, ter zake dienend en niet excessief zijn in verhouding tot het doel waarvoor zij worden verzameld.

2. Verdere verwerking voor een ander doel is toegestaan, mits

a)	deze verwerking niet onverenigbaar is met het doel waarvoor de gegevens zijn verzameld;

b)	de bevoegde autoriteiten bevoegd zijn om die gegevens te verwerken conform de toepasselijke wetsvoorschriften; en

c)	deze verwerking noodzakelijk is en in verhouding staat tot dat doel.

Bovendien mogen de verstrekte persoonsgegevens door de bevoegde autoriteiten verder worden verwerkt voor historische, statistische of wetenschappelijke doeleinden, mits de lidstaten passende garanties bieden, zoals het anonimiseren van de gegevens.

Artikel 4

Correctie, uitwissing en afscherming

1. Persoonsgegevens moeten gecorrigeerd worden indien zij niet correct zijn en moeten, waar dit mogelijk en noodzakelijk is, worden aangevuld of geactualiseerd.

2. Persoonsgegevens moeten gewist of geanonimiseerd worden wanneer zij niet meer nodig zijn voor de doeleinden waarvoor zij rechtmatig verzameld zijn of verder verwerkt. Deze bepaling laat de archivering van deze gegevens in een afzonderlijke gegevensgroep voor een passende termijn overeenkomstig de nationale wetgeving, onverlet.

3. Persoonsgegevens worden niet gewist maar afgeschermd indien redelijkerwijs kan worden aangenomen dat het wissen van de gegevens de gerechtvaardigde belangen van de betrokkene die beschermd dienen te worden, zou kunnen schaden. Afgeschermde gegevens worden alleen gebruikt voor het doel ten behoeve waarvan zij niet gewist zijn.

4. Het corrigeren, wissen of afschermen van persoonsgegevens die opgenomen zijn in een rechterlijke beslissing of een daarmee verband houdend dossier wordt afgedwongen overeenkomstig de nationale regels over het strafproces.

Artikel 5

Vastlegging van termijnen voor wissen en toetsing

Passende termijn worden vastgelegd voor het wissen van persoonsgegevens of een periodieke toetsing van de noodzaak van de opslag ervan. De naleving ervan wordt met procedurele maatregelen gewaarborgd.

Artikel 6

Verwerking van bijzondere gegevenscategorieën

De verwerking van persoonsgegevens waaruit de raciale of etnische afkomst, de politieke opvattingen, de godsdienstige of levensbeschouwelijke overtuiging, of het lidmaatschap van een vakvereniging blijkt, alsook de verwerking van gegevens die de gezondheid of het seksleven betreffen zijn uitsluitend geoorloofd wanneer dit strikt noodzakelijk is en in de nationale wetgeving adequate garanties worden geboden.

Artikel 7

Geautomatiseerde individuele besluiten

Een besluit dat voor de betrokkene een nadelig rechtsgevolg heeft of wezenlijke consequenties heeft voor hem en dat uitsluitend op een geautomatiseerde gegevensverwerking berust die bestemd is om bepaalde aspecten van zijn persoonlijkheid te beoordelen, mag alleen worden genomen indien zulks is toegestaan bij een wet die ook maatregelen bevat voor de bescherming van de gerechtvaardigde belangen van de betrokkene.

Artikel 8

Controle van de kwaliteit van de verstrekte of beschikbaar gestelde gegevens

1. De bevoegde autoriteiten nemen alle redelijke maatregelen om ervoor te zorgen dat persoonsgegevens die onjuist, onvolledig of niet actueel zijn, niet worden verstrekt of beschikbaar gesteld. Hiertoe controleren de bevoegde autoriteiten, voor zover praktisch uitvoerbaar, de kwaliteit van de persoonsgegevens voordat de gegevens worden verstrekt of beschikbaar gesteld. Voor zover mogelijk wordt bij alle verstrekte gegevens de beschikbare informatie toegevoegd aan de hand waarvan de ontvangende lidstaat de mate van juistheid, volledigheid, actualiteit en betrouwbaarheid kan beoordelen. Indien persoonsgegevens zonder voorafgaand verzoek zijn verstrekt, beoordeelt de ontvangende autoriteit onmiddellijk of deze gegevens noodzakelijk zijn voor het doel waarvoor zij zijn verstrekt.

2. Indien wordt vastgesteld dat onjuiste gegevens zijn verstrekt, of gegevens op onrechtmatige wijze zijn verstrekt, dient dit onmiddellijk aan de ontvanger te worden meegedeeld. De gegevens moeten onmiddellijk worden gecorrigeerd, gewist of afgeschermd overeenkomstig artikel 4.

Artikel 9

Termijnen

1. De verstrekkende autoriteit kan bij het verstrekken of beschikbaar stellen van de gegevens binnen de grenzen van het nationaal recht en overeenkomstig de artikelen 4 en 5 de termijnen voor het bewaren van de gegevens aangeven, na afloop waarvan ook de ontvanger de gegevens moet wissen of afschermen of moet nagaan of zij nog steeds nodig zijn. Deze verplichting geldt niet indien de gegevens bij het verstrijken van de termijnen nodig zijn voor een lopend onderzoek, de vervolging van strafbare feiten of de tenuitvoerlegging van straffen.

2. Indien de verstrekkende autoriteit heeft nagelaten om overeenkomstig lid 1 een termijn op te geven, zijn, overeenkomstig de artikelen 4 en 5, de termijnen voor het bewaren van gegevens van het nationaal recht van de ontvangende lidstaat van toepassing.

Artikel 10

Vastlegging en documentatie

1. Iedere verstrekking van persoonsgegevens moet worden vastgelegd of gedocumenteerd zodat kan worden gecontroleerd of de gegevensverwerking rechtmatig is, interne controle kan worden uitgeoefend en de integriteit en de beveiliging van de gegevens kunnen worden gewaarborgd.

2. De krachtens lid 1 opgestelde vastlegging of documentatie wordt op verzoek verstrekt aan de voor gegevensbescherming bevoegde toezichthoudende autoriteit ten behoeve van de controle van gegevensbescherming. De bevoegde toezichthoudende autoriteit gebruikt deze informatie alleen om de gegevensbescherming te toetsen en om een correcte gegevensverwerking alsmede de integriteit en de beveiliging van de gegevens te waarborgen.

Artikel 11

Verwerking van persoonsgegevens die zijn ontvangen van of ter beschikking gesteld door een andere lidstaat

Persoonsgegevens die zijn ontvangen van of beschikbaar gesteld door de bevoegde autoriteiten van een andere lidstaat mogen, overeenkomstig het vereiste in artikel 3, lid 2, alleen verder worden verwerkt voor onderstaande doeleinden, anders dan die waarvoor zij waren verstrekt of beschikbaar gesteld:

a)	de preventie, het onderzoek, de opsporing of de vervolging ter zake van andere strafbare feiten of de tenuitvoerlegging van andere straffen dan die waarvoor de gegevens waren verstrekt of beschikbaar gesteld;

b)	andere gerechtelijke en administratieve procedures die rechtstreeks verband houden met de preventie, het onderzoek, de opsporing en de vervolging ter zake van strafbare feiten en de tenuitvoerlegging van straffen;

c)	de voorkoming van een onmiddellijke en ernstige bedreiging van de openbare veiligheid, of

d)	een ander doel, slechts na voorafgaande toestemming van de verstrekkende lidstaat of met instemming van de betrokkene, verleend overeenkomstig het nationale recht.

De bevoegde autoriteiten mogen de verstrekte persoonsgegevens ook verder verwerken voor historische, statistische of wetenschappelijke doeleinden, mits de lidstaten passende garanties bieden, zoals het anonimiseren van de gegevens.

Artikel 12

Naleving van nationale beperkingen op de verwerking

1. Indien krachtens het recht van de verstrekkende lidstaat in specifieke omstandigheden ten aanzien van de uitwisseling van gegevens tussen de bevoegde autoriteiten van die lidstaat specifieke beperkingen op de verwerking gelden, meldt de verstrekkende autoriteit deze beperkingen aan de ontvanger. De ontvanger ziet erop toe dat deze beperkingen op de verwerking in acht worden genomen.

2. Bij de toepassing van lid 1 passen de lidstaten voor het verstrekken van gegevens aan andere lidstaten of aan op grond van titel VI van het Verdrag betreffende de Europese Unie opgerichte agentschappen of organen geen andere beperkingen toe dan die welke voor een soortgelijke nationale verstrekking van gegevens van toepassing zijn.

Artikel 13

Doorgifte aan bevoegde instanties in derde landen of aan internationale organen

1. De lidstaten bepalen dat persoonsgegevens die door de bevoegde autoriteit van een andere lidstaat zijn verstrekt of beschikbaar gesteld, uitsluitend mogen worden doorgegeven aan derde landen of internationale organen, indien

a)	dit noodzakelijk is met het oog op de preventie, het onderzoek, de opsporing of de vervolging van strafbare feiten en de tenuitvoerlegging van straffen;

b)	de ontvangende autoriteit in het derde land of het ontvangende internationale orgaan belast is met de preventie, het onderzoek, de opsporing of de vervolging van strafbare feiten of de tenuitvoerlegging van straffen;

c)	de lidstaat waarvan de gegevens afkomstig zijn heeft toegestemd in de doorgifte met inachtneming van het nationale recht, en

d)	het betrokken derde land of internationale orgaan een toereikend beschermingsniveau voor de voorgenomen gegevensverwerking waarborgt.

2. De doorgifte zonder voorafgaande toestemming overeenkomstig lid 1, onder c), is alleen toegestaan indien zij van essentieel belang is ter voorkoming van een onmiddellijke en ernstige bedreiging van de openbare veiligheid van een lidstaat of derde land of voor de wezenlijke belangen van een lidstaat, en de toestemming niet tijdig kan worden verkregen. De voor het verlenen van de toestemming bevoegde autoriteit wordt onverwijld geïnformeerd.

3. In afwijking van lid 1, onder d), kunnen persoonsgegevens worden doorgegeven indien:

de nationale wetgeving van de lidstaat die de gegevens doorgeeft daarin voorziet wegens

i)	gerechtvaardigde specifieke belangen van de betrokkene, of

ii)	gerechtvaardigde doorslaggevende belangen, met name zwaarwegende openbare belangen, of

b)	het derde land of het ontvangende internationale orgaan, c.q. de ontvangende internationale organisatie garanties bieden die door de betrokken lidstaat conform de nationale wetgeving toereikend worden geacht.

4. Of het in lid 1, onder d), bedoelde beschermingsniveau toereikend is, wordt beoordeeld met inachtneming van alle omstandigheden die op de doorgifte van gegevens of op een groep van gegevensverstrekkingen van invloed zijn. In het bijzonder wordt rekening gehouden met de aard van de gegevens, met het doel en met de duur van de voorgenomen verwerking of verwerkingen, het land van herkomst en het land of het internationale orgaan van eindbestemming van de gegevens, de algemene en sectorale rechtsregels die in het derde land of het internationale orgaan gelden, alsmede de beroepscodes en de veiligheidsmaatregelen die in het land of het orgaan van toepassing zijn.

Artikel 14

Doorgifte aan particuliere instanties in de lidstaten

1. De lidstaten bepalen dat persoonsgegevens die zijn ontvangen van of beschikbaar gesteld door een bevoegde instantie van een andere lidstaat, alleen aan particuliere instanties mogen worden doorgegeven indien:

a)	de bevoegde autoriteit van de lidstaat van herkomst in de doorgifte heeft toegestemd, met inachtneming van het nationale recht;

b)	geen gerechtvaardigde specifieke belangen van de betrokkene zich tegen doorgifte verzetten, en

in bijzondere gevallen de doorgifte essentieel is voor de bevoegde autoriteit die de gegevens verstrekt aan een particuliere instantie ten behoeve van:

i)	de uitvoering van haar wettelijke taak;

ii)	de preventie, het onderzoek, de opsporing of de vervolging van strafbare feiten en de tenuitvoerlegging van straffen;

iii)	het voorkomen van een onmiddellijke en ernstige bedreiging van de openbare veiligheid, of

iv)	het voorkomen van ernstige schending van de rechten van personen.

2. De bevoegde autoriteit die gegevens aan een particuliere instantie doorgeeft, deelt deze instantie mee voor welk doel de gegevens uitsluitend gebruikt mogen worden.

Artikel 15

Het op verzoek informeren van de bevoegde autoriteit

De ontvanger informeert de bevoegde autoriteit die de persoonsgegevens heeft verstrekt of beschikbaar gesteld, desgevraagd over de verwerking van de gegevens.

Artikel 16

Informatie voor de betrokkene

1. De lidstaten zien erop toe dat de betrokkene overeenkomstig het nationaal recht wordt geïnformeerd over het verzamelen en verwerken van persoonsgegevens door hun bevoegde autoriteiten.

2. Met betrekking tot persoonsgegevens die door lidstaten aan elkaar zijn verstrekt of beschikbaar gesteld kan elke lidstaat, overeenkomstig de in lid 1 bedoelde bepalingen van nationaal recht, van de andere lidstaat verlangen dat hij de betrokkene niet informeert. In dat geval informeert deze laatste lidstaat de betrokkene niet zonder dat de andere lidstaat daarin heeft toegestemd.

Artikel 17

Recht van toegang

1. De betrokkene is gerechtigd om, op grond van een verzoek dat met redelijke tussenpozen is gedaan, zonder beperking en zonder bovenmatige vertraging of kosten:

van de toezichthoudende instantie of persoon of van de nationale toezichthoudende overheid tenminste antwoord te krijgen op de vraag of de hem betreffende gegevens zijn verstrekt of beschikbaar gesteld, informatie te krijgen over de ontvangers of categorieën van ontvangers aan wie de gegevens zijn verstrekt, alsook een opgave te krijgen van de gegevens die verwerking ondergaan, of

b)	van de nationale toezichthoudende autoriteit tenminste de bevestiging te krijgen dat alle nodige verificaties zijn verricht.

2. De lidstaten kunnen wettelijke maatregelen treffen ter beperking van het recht van toegang tot informatie overeenkomstig lid 1, onder a), indien dit, met inachtneming van de gerechtvaardigde belangen van de betrokkene, een noodzakelijke en evenredige maatregel is:

a)	om belemmering van officiële of gerechtelijke onderzoeken of procedures te voorkomen;

b)	om te voorkomen dat de preventie, de opsporing, het onderzoek of de vervolging ter zake van strafbare feiten of de tenuitvoerlegging van straffen in het gedrang komt;

c)	ter bescherming van de openbare veiligheid;

d)	ter bescherming van de nationale veiligheid;

e)	ter bescherming van de betrokkene of van de rechten en vrijheden van anderen.

3. Iedere weigering of beperking van de toegang wordt schriftelijk aan de betrokkene toegelicht. Tevens worden de feitelijke of juridische redenen voor het besluit meegedeeld. Die mededeling kan achterwege blijven wanneer daar conform lid 2, punten a) tot en met e), grond voor is. In al die gevallen wordt aan de betrokkene meegedeeld dat hij bij de bevoegde nationale toezichthoudende autoriteit, een instantie met rechtsprekende bevoegdheid of een gerecht beroep kan aantekenen.

Artikel 18

Recht om gegevens te laten corrigeren, wissen of afschermen

1. De betrokkene heeft er recht op dat de voor de verwerking verantwoordelijke zijn plichten op grond van de artikelen 4, 8 en 9 inzake het corrigeren, wissen of afschermen van persoonsgegevens, die uit dit kaderbesluit voortvloeien, nakomt. De lidstaten bepalen of de betrokkene dit recht rechtstreeks tegen de voor de verwerking verantwoordelijke, dan wel door tussenkomst van de bevoegde nationale toezichthoudende autoriteit kan doen gelden. Indien de voor de verwerking verantwoordelijke correctie, wissen of afscherming weigert, moet die weigering schriftelijk worden meegedeeld en moet de betrokkene in kennis worden gesteld van de in het nationale recht bestaande mogelijkheden om klacht in te dienen of beroep bij de rechter in te stellen. Bij de behandeling van de klacht of het beroep wordt aan de betrokkene meegedeeld of de voor de verwerking verantwoordelijke al dan niet correct heeft gehandeld. De lidstaten kunnen ook bepalen dat de bevoegde nationale toezichthoudende autoriteit de betrokkene alleen meedeelt dat een verificatie heeft plaatsgevonden.

2. Indien de juistheid van een persoonsgegeven door de betrokkene wordt betwist en niet kan worden vastgesteld of het gegeven al dan niet juist is, kan dat gegeven worden gemarkeerd.

Artikel 19

Recht op schadevergoeding

1. Eenieder die schade heeft geleden ten gevolge van een onrechtmatige verwerking of van een andere handeling die onverenigbaar is met de krachtens dit kaderbesluit vastgestelde nationale voorschriften, heeft het recht van de voor de verwerking verantwoordelijke of een andere volgens het nationale recht bevoegde autoriteit, vergoeding van de geleden schade te verkrijgen.

2. Indien een bevoegde autoriteit van een lidstaat persoonsgegevens verstrekt, kan de ontvanger zich er in het kader van zijn aansprakelijkheid volgens nationaal recht tegenover de benadeelde niet op beroepen dat de gegevens onjuist waren. Indien de ontvanger een vergoeding uitkeert voor schade ten gevolge van het gebruik van onjuist verstrekte gegevens, dan betaalt de verstrekkende bevoegde autoriteit de ontvanger de uitgekeerde schadevergoeding terug, waarbij eventuele aan de ontvanger toe te schrijven fouten in aanmerking worden genomen.

Artikel 20

Beroepsmogelijkheden

Onverminderd de administratieve voorziening die kan worden getroffen voordat de zaak aanhangig wordt gemaakt bij de rechter, moet de betrokkene het recht hebben om, in geval van schending van de rechten die het nationale recht hem garandeert, beroep in te stellen.

Artikel 21

Vertrouwelijkheid van de verwerking

1. Degene die toegang heeft tot persoonsgegevens welke onder dit kaderbesluit vallen, mag deze gegevens alleen verwerken als medewerker of volgens de instructie van de bevoegde autoriteit, tenzij er wettelijke verplichtingen daartoe bestaan.

2. Degenen die voor een bevoegde autoriteit van een lidstaat werken, vallen onder alle bepalingen inzake gegevensbescherming welke voor de betreffende bevoegde autoriteit gelden.

Artikel 22

Beveiliging van de verwerking

1. De lidstaten schrijven voor dat de bevoegde autoriteiten passende technische en organisatorische maatregelen treffen om persoonsgegevens te beveiligen tegen onbedoelde of onrechtmatige vernietiging, tegen wijziging, ongeoorloofde mededeling of toegang, met name indien de verwerking verzending van gegevens via een netwerk of beschikbaarstelling via directe geautomatiseerde toegang omvat, en tegen alle andere vormen van onrechtmatige verwerking, waarbij met name rekening wordt gehouden met de risico’s van de verwerking en de aard van de te beschermen gegevens. Deze maatregelen moeten, rekening houdend met de stand van de techniek en de kosten van de maatregel, een passend beveiligingsniveau garanderen gelet op de risico’s die de verwerking en de aard van te beschermen gegevens met zich brengen.

2. Elke lidstaat treft ten aanzien van de geautomatiseerde verwerking van gegevens maatregelen om:

a)	te verhinderen dat onbevoegden toegang krijgen tot apparatuur voor de verwerking van persoonsgegevens (controle op de toegang tot de apparatuur);

b)	te voorkomen dat onbevoegden de gegevensdragers lezen, kopiëren, wijzigen of verwijderen (controle op de gegevensdragers);

c)	te verhinderen dat onbevoegden gegevens invoeren of opgeslagen persoonsgegevens inzien, wijzigen of verwijderen (opslagcontrole);

d)	te voorkomen dat onbevoegden de systemen voor geautomatiseerde gegevensverwerking gebruiken met behulp van datatransmissieapparatuur (gebruikerscontrole);

e)	ervoor te zorgen dat degenen die bevoegd zijn een systeem voor automatische gegevensverwerking te gebruiken, uitsluitend toegang hebben tot de gegevens waarop hun toegangsbevoegdheid betrekking heeft (controle op de toegang tot de gegevens);

f)	ervoor te zorgen dat kan worden nagegaan en vastgesteld aan welke organen persoonsgegevens zijn of kunnen worden verstrekt of beschikbaar gesteld met behulp van datatransmissieapparatuur (transmissiecontrole);

g)	ervoor te zorgen dat achteraf kan worden nagegaan en vastgesteld welke persoonsgegevens wanneer en door wie in een geautomatiseerd gegevensverwerkingssysteem zijn ingevoerd (invoercontrole);

h)	te voorkomen dat onbevoegden de persoonsgegevens lezen, kopiëren, wijzigen of verwijderen bij de overdracht van persoonsgegevens of het vervoer van gegevensdragers (vervoerscontrole);

i)	ervoor te zorgen dat de gebruikte systemen in geval van storing opnieuw ingezet kunnen worden (herstel);

j)	ervoor te zorgen dat de functies van het systeem werken, dat eventuele functionele storingen gesignaleerd worden (betrouwbaarheid) en dat opgeslagen gegevens niet door verkeerd functioneren van het systeem beschadigd kunnen worden (integriteit).

3. De lidstaten schrijven voor dat verwerkers alleen kunnen worden aangewezen indien zij garanderen de vereiste technische en organisatorische maatregelen van lid 1 te zullen treffen en de instructies van artikel 21 te zullen opvolgen. De bevoegde autoriteit ziet erop toe dat de verwerker dat doet.

4. Persoonsgegevens mogen door een verwerker alleen op grond van een wettelijke regeling of een schriftelijke overeenkomst worden verwerkt.

Artikel 23

Voorafgaand overleg

De lidstaten zien erop toe dat de bevoegde nationale toezichthoudende autoriteiten worden geraadpleegd voordat persoonsgegevens, die in een nieuw bestand zullen worden opgenomen, worden verwerkt, wanneer:

a)	bijzondere categorieën gegevens als bedoeld in artikel 6 worden verwerkt, of

de aard van de verwerking, in het bijzonder met gebruikmaking van nieuwe technologieën, mechanismen of procedures, anderszins specifieke risico’s met zich meebrengt voor de fundamentele rechten en vrijheden van de betrokkene, in het bijzonder zijn recht op bescherming van de persoonlijke levenssfeer.

Artikel 24

Sancties

De lidstaten nemen passende maatregelen om de volledige toepassing van de bepalingen van dit kaderbesluit te garanderen, en stellen in het bijzonder doeltreffende, evenredige en afschrikkende sancties vast, die worden opgelegd in geval van inbreuk op de krachtens dit kaderbesluit vastgestelde voorschriften.

Artikel 25

Nationale toezichthoudende autoriteiten

1. Elke lidstaat bepaalt dat een of meer autoriteiten worden belast met advisering en toezicht met betrekking tot de toepassing op zijn grondgebied van de krachtens dit kaderbesluit door de lidstaten vastgestelde voorschriften. Deze autoriteiten vervullen de hun opgedragen taken in volstrekte onafhankelijkheid.

2. Elke toezichthoudende autoriteit beschikt met name over:

a)	onderzoeksbevoegdheden, zoals het recht van toegang tot gegevens die voorwerp van verwerking zijn en bevoegdheden om alle inlichtingen in te winnen die voor de uitoefening van haar toezichtstaak noodzakelijk zijn;

effectieve bevoegdheden om in te grijpen, zoals de bevoegdheid om voorafgaand aan de uitvoering van de verwerking advies uit te brengen en te zorgen voor een passende bekendmaking van het advies, of de bevoegdheid om gegevens te laten afschermen, wissen of vernietigen, een verwerking voorlopig of definitief te verbieden, de voor de verwerking verantwoordelijke te waarschuwen of te berispen, of de nationale parlementen of andere politieke instellingen in te schakelen;

c)	de bevoegdheid om in rechte op te treden in geval van inbreuken op de krachtens dit kaderbesluit vastgestelde nationale bepalingen, of om die inbreuken onder de aandacht van het gerecht te brengen. Tegen de beslissingen van de toezichthoudende autoriteit kan beroep bij de rechter worden ingesteld.

3. Eenieder kan bij elke toezichthoudende autoriteit een vordering indienen met betrekking tot de bescherming van zijn rechten en vrijheden in verband met de verwerking van persoonsgegevens. Hij wordt in kennis gesteld van het gevolg dat aan die vordering wordt gegeven.

4. De lidstaten schrijven voor dat de leden en personeelsleden van de toezichthoudende autoriteit zijn gebonden door de voor die autoriteit geldende bepalingen inzake gegevensbescherming en, na beëindiging van hun dienstverband, aan het ambtsgeheim ten aanzien van de vertrouwelijke gegevens waartoe zij toegang hebben.

Artikel 26

Verhouding tot overeenkomsten met derde staten

Dit kaderbesluit geldt onverminderd de verplichtingen en verbintenissen die de lidstaten of de Unie zijn aangegaan op grond van op de datum van vaststelling van dit kaderbesluit bestaande bilaterale en/of multilaterale overeenkomsten met derde landen.

Bij de toepassing van deze overeenkomsten mogen van een andere lidstaat verkregen persoonsgegevens alleen aan een derde staat worden doorgegeven na toestemming en met inachtneming van artikel 13, lid 1, onder c), of lid 2.

Artikel 27

Evaluatie

1. Uiterlijk op 27 november 2013 brengen de lidstaten verslag uit aan de Commissie over de nationale maatregelen die zij hebben genomen om te zorgen voor volledige naleving van dit kaderbesluit, en met name met betrekking tot de bepalingen die reeds bij het verzamelen van gegevens moeten worden nageleefd. De Commissie onderzoekt in het bijzonder de gevolgen van de bepaling inzake het toepassingsgebied in artikel 1, lid 2.

2. De Commissie brengt binnen een jaar aan het Europees Parlement en de Raad verslag uit over resultaten van de in lid 1 bedoelde evaluatie, en doet haar verslag vergezeld gaan van eventuele passende wijzigingsvoorstellen.

Artikel 28

Verhouding tot eerder aangenomen besluiten van de Unie

Indien bij besluiten die vóór de datum van inwerkingtreding van dit kaderbesluit op grond van titel VI van het Verdrag betreffende de Europese Unie zijn aangenomen en die de uitwisseling van persoonsgegevens tussen de lidstaten of de toegang van aangewezen autoriteiten van de lidstaten tot uit hoofde van het VEG ingestelde gegevenssystemen regelen, specifieke voorwaarden zijn ingevoerd met betrekking tot het gebruik van die gegevens door de ontvangende lidstaat, hebben die voorwaarden voorrang boven de bepalingen van dit kaderbesluit inzake het gebruik van gegevens die zijn ontvangen van of beschikbaar gesteld door een andere lidstaat.

Artikel 29

Uitvoering

1. De lidstaten treffen de nodige maatregelen om uiterlijk op 27 november 2010 aan dit kaderbesluit te voldoen.

2. Uiterlijk op dezelfde datum delen de lidstaten het secretariaat-generaal van de Raad en de Commissie de tekst mee van de bepalingen waarmee zij de uit dit kaderbesluit voortvloeiende verplichtingen omzetten in nationaal recht, alsmede informatie over de in artikel 25 bedoelde toezichthoudende autoriteiten. Op basis van een verslag van de Commissie dat is opgesteld met gebruikmaking van deze informatie, gaat de Raad vóór 27 november 2011 na in hoeverre de lidstaten de maatregelen hebben genomen die noodzakelijk zijn om aan dit kaderbesluit te voldoen.

Artikel 30

Inwerkingtreding

Dit kaderbesluit treedt in werking op de twintigste dag na de bekendmaking ervan in het Publicatieblad van de Europese Unie.

Gedaan te Brussel, 27 november 2008.

Voor de Raad

De voorzitster

M. ALLIOT-MARIE

(1) PB C 125 E van 22.5.2008, blz. 154.

(2) PB C 198 van 12.8.2005, blz. 1.

(3) PB L 281 van 23.11.1995, blz. 31.

(4) PB L 8 van 12.1.2001, blz. 1.

(5) PB L 201 van 31.7.2002, blz. 37.