29.12.2010   

NL

Publicatieblad van de Europese Unie

C 355/10

1.

Op 15 juni 2010 heeft de Commissie een voorstel goedgekeurd voor een besluit van de Raad betreffende de sluiting van de Overeenkomst tussen de Europese Unie en de Verenigde Staten van Amerika inzake de verwerking en doorgifte van gegevens betreffende het financiële berichtenverkeer van de Europese Unie naar de Verenigde Staten ten behoeve van het programma voor het traceren van financiering van terrorisme (TFTP) (hierna te noemen „het voorstel”). Het voorstel (met inbegrip van de tekst van de ontwerpovereenkomst met de Verenigde Staten) werd de Europese toezichthouder voor Gegevensbescherming (hierna: „EDPS”) toegestuurd voor advies. De EDPS is ingenomen met deze raadpleging en beveelt aan om in de preambule van het voorstel een verwijzing op te nemen naar dit advies.

2.

De Commissie reageert met haar voorstel op wijzigingen in de architectuur van SWIFT (3) die ervoor zorgen dat met ingang van 1 januari 2010 berichten over financiële transacties die binnen de Europese Economische Ruimte en Zwitserland plaatsvinden, binnen de Europese zone — die van de trans-Atlantische zone wordt onderscheiden — worden gehouden en niet meer worden gespiegeld in het operationele centrum van SWIFT in de VS.

3.

Met het voorliggende voorstel stuurt de Commissie aan op een internationale overeenkomst tussen de EU en de VS waarin op grond van de artikelen 216 (internationale overeenkomsten), 82 (justitiële samenwerking) en 87 (politiële samenwerking) VWEU wordt bepaald dat aan het Ministerie van Financiën van de VS relevante gegevens betreffende het financiële berichtenverkeer moeten worden doorgegeven die noodzakelijk zijn in het kader van het programma van dat ministerie voor het traceren van financiering van terrorisme.

4.

Volgend op de beslissing van het Europees Parlement op 11 februari 2010 om geen goedkeuring te verlenen aan de op 30 november 2009 ondertekende tussentijdse overeenkomst, is de nieuwe ontwerpovereenkomst er met name op gericht tegemoet te komen aan de bezorgdheid over de bescherming van persoonsgegevens, een fundamenteel recht dat sinds de inwerkingtreding van het Verdrag van Lissabon een nog belangrijkere rol speelt in het wetgevingskader van de Europese Unie.

5.

In het voorstel wordt het belang van gegevensbescherming benadrukt door een uitdrukkelijke verwijzing naar desbetreffende artikelen van de Verdragen en van andere internationale instrumenten en door de erkenning van het feit dat gegevensbescherming een grondrecht is. Hoewel in artikel 1, lid 1, van het voorstel wordt onderstreept dat een hoog niveau van gegevensbescherming tot de hoofddoelstellingen van de ontwerpovereenkomst behoort, wordt artikel 16 VWEU echter niet als rechtsgrondslag voor het voorstel aangewezen. In dit verband wijst de EDPS er nogmaals op dat deze overeenkomst niet alleen de uitwisseling van persoonsgegevens, maar ook de bescherming van die gegevens betreft. Artikel 16 VWEU is daarom niet minder relevant als rechtsgrondslag dan de artikelen 82 en 87 VWEU inzake samenwerking tussen wetshandhavingsinstanties, die als rechtsgrondslagen zijn gekozen.

6.

Op het voorstel is de procedure van artikel 218, lid 6, VWEU van toepassing. Volgens deze procedure kan de Raad alleen na goedkeuring door het Europees Parlement een besluit houdende sluiting van een overeenkomst vaststellen. Dit voorstel is daarom een beslissende „testcase” voor de toepassing van de nieuwe Lissabon-procedures op een internationale overeenkomst over de bescherming van persoonsgegevens. Door ervoor te zorgen dat de beginselen en waarborgen met betrekking tot gegevensbescherming op bevredigende wijze in deze overeenkomst worden neergelegd, kan de basis worden gelegd voor succesvolle onderhandelingen in de toekomst.

7.

In dit verband onderstreept de EDPS het belang van onderhandelingen over een overeenkomst tussen de Europese Unie en de Verenigde Staten van Amerika over de bescherming van persoonsgegevens die worden doorgegeven en verwerkt met het oog op het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten, waaronder terrorisme, in het kader van politiële en justitiële samenwerking in strafzaken. Het ontwerpmandaat voor deze onderhandelingen werd door de Commissie op 26 mei 2010 goedgekeurd. Bij de presentatie van dit ontwerpmandaat benadrukte de Commissie de noodzaak van een degelijke overeenkomst inzake de bescherming van persoonsgegevens (4).

8.

Tegen deze achtergrond adviseert de EDPS om het voorliggende voorstel te koppelen aan de onderhandelingen met de VS over dit algemene trans-Atlantische gegevensbeschermingskader. Er moet voor worden gezorgd dat deze normen eveneens van toepassing zullen zijn op de TFTP II-overeenkomst. De EDPS beveelt aan om deze voorwaarde op te nemen in de voorliggende overeenkomst of om ten minste met de Verenigde Staten af te spreken dat een eventuele toekomstige overeenkomst over gegevensbescherming ook van toepassing zal zijn op de gegevensuitwisseling waarin het voorliggende voorstel voorziet.

9.

Tot slot levert de EDPS een actieve bijdrage aan de opinies van de Groep gegevensbescherming van artikel 29 en de Groep politie en justitie. Naast de punten die in die opinies aan de orde zijn gekomen of nog zullen komen, is de analyse van het voorliggende voorstel gebaseerd op eerdere opmerkingen van de EDPS over de tussentijdse overeenkomst en de lopende onderhandelingen met de Verenigde Staten.

10.

De EDPS erkent dat dit voorstel bepaalde substantiële verbeteringen bevat ten opzichte van de tussentijdse TFTP I-overeenkomst, bijvoorbeeld:

11.

Op verzoek van het Europees Parlement en van Europese gegevensbeschermingsautoriteiten is in het voorstel bovendien een aantal bepalingen opgenomen (artikelen 14 t/m 18) betreffende de rechten van betrokkenen, zoals het recht op informatie, het recht van toegang, het recht op correctie, wissen of afscherming en het recht van beroep. De concrete handhaving van deze bepalingen en de procedures die moeten worden gevolgd door personen die geen burger of ingezetene van de VS zijn, zijn nog steeds onduidelijk (zie hieronder, punt II.2.3).

12.

De EDPS onderschrijft volledig de noodzaak van de eerbiediging van de persoonlijke levenssfeer en de bescherming van persoonsgegevens, zoals bepaald in artikel 1, lid 1, van het voorstel. De EDPS wijst erop dat er nog vraagstukken zijn die moeten worden opgelost, en belangrijke elementen die moeten worden verbeterd, teneinde te kunnen voldoen aan de eisen van het EU-wetgevingskader betreffende de bescherming van persoonsgegevens.

13.

De EDPS is volledig doordrongen van het besef dat het voor de bestrijding van terrorisme en terrorismefinanciering noodzakelijk kan zijn het recht op de bescherming van persoonsgegevens en het bankgeheim te beperken. Dit is reeds het geval in een reeks EU-wetsinstrumenten (6) bij welke een aantal maatregelen is vastgesteld om te voorkomen dat het financiële stelsel wordt misbruikt voor het witwassen van geld en de financiering van terrorisme. Deze instrumenten bevatten tevens specifieke bepalingen op grond waarvan gegevens kunnen worden uitgewisseld met derde landen, alsmede waarborgen voor de bescherming van persoonsgegevens in overeenstemming met Richtlijn 95/46/EG.

14.

De overeenkomst tussen de EU en de VS betreffende wederzijdse rechtshulp staat de rechtshandhavingsautoriteiten bovendien toe gegevens over bankrekeningen en financiële transacties uit te wisselen en legt voorwaarden en beperkingen vast met betrekking tot een dergelijke uitwisseling. De beginselen van de Egmont-groep (7) vormen daarnaast op internationaal niveau de basis voor de internationale uitwisseling van informatie inzake financiële transacties tussen financiële inlichtingeneenheden en stellen beperkingen en waarborgen vast met betrekking tot het gebruik van uitgewisselde gegevens. Ook zijn reeds instrumenten ingevoerd voor de gegevensuitwisseling tussen de VS enerzijds en Europol en Eurojust anderzijds, die zowel in de uitwisseling van informatie als in de bescherming van persoonsgegevens voorzien.

15.

Tegen deze achtergrond benadrukt de Commissie in haar voorstel het nut van het TFTP-programma zoals dat door het Amerikaanse Ministerie van Financiën en de verslagen van de door de Commissie aangewezen prominente persoon is beschreven. In artikel 8 van het Europees Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden is evenwel bepaald dat inmenging in de persoonlijke levenssfeer uitsluitend gerechtvaardigd kan worden op grond van een „noodzaak”, niet op grond van een „nut”.

16.

De EDPS is van oordeel dat de toegevoegde waarde van deze overeenkomst ten opzichte van de bestaande instrumenten afdoende moet worden bewezen, dat wil zeggen: er moet worden aangetoond in hoeverre de overeenkomst daadwerkelijk noodzakelijk is om resultaten te behalen die niet kunnen worden verkregen met behulp van instrumenten die in mindere mate inbreuk maken op de persoonlijke levenssfeer, zoals de instrumenten die reeds door het bestaande Europese en internationale wetgevingskader zijn vastgesteld. Ook met het oog op het ingrijpende karakter ervan is de EDPS van mening dat een overeenkomst met de VS over de uitwisseling van financiële gegevens alleen kan worden ondertekend op voorwaarde dat die toegevoegde waarde onomstotelijk wordt aangetoond (zie ook de punten 18 t/m 22 inzake evenredigheid).

17.

De EDPS is niet in de positie om te beoordelen in hoeverre deze overeenkomst noodzakelijk is. Maar ook al kan de noodzaak van de overeenkomst worden aangetoond, dan zijn er nog andere punten die de aandacht van de onderhandelaars vergen.

18.

Ook evenredigheid is een centraal criterium bij de beoordeling van de vraag hoeveel persoonsgegevens kunnen worden uitgewisseld en hoe lang deze kunnen worden opgeslagen. In artikel 4 van het voorstel worden nadere voorwaarden geformuleerd waaraan verzoeken om informatie door de VS moeten voldoen. Toch voorziet het voorstel erin dat persoonsgegevens massaal („in bulk”) aan de autoriteiten van de VS worden doorgegeven en in beginsel gedurende vijf jaar worden bewaard, ongeacht de vraag of zij worden geëxtraheerd dan wel of er sprake is van een aangetoond verband met een specifiek onderzoek of een specifieke strafvervolging.

19.

Anders dan door het Europees Parlement en de Europese gegevensbeschermingsautoriteiten gewenst, berust het voorstel nog steeds op het concept dat persoonlijke gegevens massaal worden doorgegeven aan het Amerikaanse Ministerie van Financiën. Ter verduidelijking moet hierbij worden opgemerkt dat het feit dat het huidige SWIFT-systeem geen gerichte zoekfunctie ondersteunt, niet kan worden beschouwd als toereikende rechtvaardiging om de massale doorgifte van gegevens volgens de gegevensbeschermingswetgeving van de EU toe te staan.

20.

Derhalve is de EDPS van mening dat oplossingen moeten worden gevonden om te waarborgen dat de massale doorgifte van gegevens wordt vervangen door mechanismen met behulp waarvan gegevens over financiële transacties in de EU kunnen worden gefilterd en dat slechts relevante en noodzakelijke gegevens worden doorgestuurd naar de autoriteiten in de VS. Indien dergelijke oplossingen niet onmiddellijk kunnen worden gevonden, dient in de overeenkomst in ieder geval een korte overgangsperiode te worden vastgesteld waarna de massale doorgifte van gegevens niet meer is toegestaan.

21.

Wat betreft de bewaartermijn erkent de EDPS dat het voorstel terecht in maximale bewaartermijnen voorziet, evenals in mechanismen die waarborgen dat persoonsgegevens worden gewist wanneer zij niet langer noodzakelijk zijn. Evenwel lijken de bepalingen van artikel 6 van het voorstel inzake niet-geëxtraheerde gegevens de tegengestelde kant op te gaan. Ten eerste behoeft het concept „niet-geëxtraheerde gegevens” verduidelijking. Ten tweede is niet in afdoende mate gemotiveerd waarom niet-geëxtraheerde gegevens vijf jaar lang zouden moeten worden bewaard.

22.

De EDPS erkent ten volle dat ervoor moet worden gezorgd dat persoonsgegevens die in het kader van een specifiek antiterreuronderzoek of specifieke strafvervolging in verband met terrorisme noodzakelijk zijn, worden opgevraagd, verwerkt en bewaard zolang dat noodzakelijk is, in sommige gevallen zelfs meer dan vijf jaar, aangezien persoonsgegevens soms nodig zijn voor lang lopende onderzoeken of gerechtelijke procedures. Wanneer men echter veronderstelt dat niet-geëxtraheerde gegevens gegevens zijn die „in bulk” zijn doorgegeven, maar noch zijn opgevraagd noch voor een specifieke vervolging of een specifiek onderzoek zijn gebruikt, dient de periode gedurende dergelijke gegevens mogen worden bewaard veel korter te zijn. In dit verband zij erop gewezen dat het Duitse constitutionele hof heeft geoordeeld dat een bewaartermijn van 6 maanden in het geval van telecommunicatiegegevens reeds zeer lang is en derhalve naar behoren moet worden gemotiveerd (8). Het constitutionele hof lijkt deze periode van 6 maanden te beschouwen als maximale bewaartermijn voor gegevens die geen verband houden met een specifiek onderzoek.

23.

Volgens het onderhandelingsmandaat dient een openbare rechterlijke instantie te worden belast met de verantwoordelijkheid om informatieverzoeken van het Amerikaanse Ministerie van Financiën in ontvangst te nemen, te beoordelen of de verzoeken in overeenstemming zijn met de overeenkomst en, waar nodig, de verstrekker te verplichten de gegevens via een „push-systeem” door te geven. Zowel het Europees Parlement als de EDPS was ingenomen met deze aanpak, die — in overeenstemming met de nationale constituties en rechtsstelsels van de lidstaten — de cruciale garantie biedt dat de doorgifte van gegevens op wettige en evenwichtige wijze plaatsvindt en onder onafhankelijk toezicht staat.

24.

In het voorstel wordt deze taak evenwel toegewezen aan Europol, een EU-agentschap voor de voorkoming en bestrijding van georganiseerde criminaliteit, terrorisme en andere vormen van ernstige criminaliteit in twee of meer lidstaten (9). Het staat buiten kijf dat Europol geen rechterlijke instantie is.

25.

Bovendien heeft Europol specifieke belangen bij de uitwisseling van gegevens op basis van de voorgestelde overeenkomst. Krachtens artikel 10 van het voorstel zou Europol de bevoegdheid krijgen te verzoeken om relevante informatie die via het TFTP is verkregen, indien het agentschap van oordeel is dat een verband tussen een persoon of entiteit en terrorisme aannemelijk is. Deze bevoegdheid van Europol, die wellicht belangrijk is voor de vervulling van zijn taken en waarvoor goede betrekkingen met het Amerikaanse Ministerie van Financiën vereist zijn, valt slecht te verenigen met de taak van Europol om onafhankelijk toezicht te waarborgen.

26.

Daarenboven vraagt de EDPS zich af in hoeverre Europol — vooral zonder zijn rechtsgrondslag volgens de gewone wetgevingsprocedure van het Verdrag van Lissabon te wijzigen — in het huidige wetgevingskader de taak en bevoegdheid wordt toegewezen om een administratief verzoek van een derde land „bindende” juridische werking (artikel 4, lid 5) te verlenen op grond waarvan een particulier bedrijf „gemachtigd en verplicht” kan worden de gegevens aan dat derde land te verstrekken. In dit verband zij erop gewezen dat de EU-wetgeving thans geen uitsluitsel geeft over de vraag of een besluit van Europol ten aanzien van een particulier bedrijf het voorwerp kan zijn van rechterlijk toezicht door het Europees Hof van Justitie.

27.

Tegen deze achtergrond herhaalt de EDPS dat — ook met het oog op de naleving van het onderhandelingsmandaat en het huidige wetgevingskader van de EU — de taak om de verzoeken van het Amerikaanse Ministerie van Financiën te beoordelen dient te worden toegewezen aan een openbare rechterlijke instantie.

28.

Zoals reeds in de inleiding van dit advies werd vermeld, wordt in het voorstel een aantal rechten van betrokkenen vastgesteld, zoals het recht op informatie, het recht van toegang, het recht op correctie, wissen of afscherming en het recht van beroep. Het is echter belangrijk om aan de ene kant een aantal elementen van de desbetreffende bepalingen te verbeteren en aan de andere kant de feitelijke afdwingbaarheid ervan te waarborgen.

29.

Met betrekking tot het recht op toegang tot eigen persoonsgegevens wordt in de overeenkomst een aantal beperkingen vastgesteld. De EDPS erkent dat, met name in verband met de bestrijding van terrorisme, de rechten van de betrokkenen eventueel kunnen worden beperkt indien dit noodzakelijk is. In het voorstel moet echter duidelijk worden gemaakt dat het vrijgeven van persoonsgegevens aan de betrokkene in de in artikel 15, lid 2, genoemde gevallen weliswaar aan beperkingen onderhevig kan zijn, maar dat het in elk geval mogelijk moet zijn deze gegevens vrij te geven aan de Europese nationale gegevensbeschermingsautoriteiten, teneinde deze autoriteiten in staat te stellen zich doeltreffend van hun toezichtstaken te kwijten. Natuurlijk zijn de gegevensbeschermingsautoriteiten bij de uitvoering van hun taken door een geheimhoudingsplicht gebonden en is het hun, zolang de voorwaarden voor de uitzondering gegeven zijn, niet toegestaan de gegevens bekend te maken aan de betrokkene.

30.

Met betrekking tot het recht op correctie is in artikel 17, lid 2, het volgende bepaald: „Elke partij stelt de andere, indien mogelijk, ervan in kennis als zij te weten komt dat belangrijke informatie die zij heeft doorgegeven aan of ontvangen van de andere partij bij deze overeenkomst onjuist of onbetrouwbaar is”. Volgens de EDPS betekent de verplichting om onjuiste of onbetrouwbare gegevens te corrigeren een fundamentele waarborg, niet alleen voor de betrokkene, maar ook voor de doeltreffendheid van het optreden van de rechtshandhavingsautoriteiten. Vanuit deze optiek behoren autoriteiten die gegevens uitwisselen, over mechanismen te beschikken die garanderen dat een dergelijke correctie te allen tijde mogelijk is, de formulering „indien mogelijk” dient daarom te worden geschrapt.

31.

Het grootste punt van zorg van de EDPS betreft echter de handhaving van deze rechten. Aan de ene kant moet in het voorstel ten behoeve van de rechtszekerheid en de transparantie nader worden gespecificeerd welke concrete procedures betrokkenen kunnen volgen om de door de overeenkomst erkende rechten zowel in de EU als in de VS af te dwingen.

32.

Aan de andere kant wordt in artikel 20, lid 1, uitdrukkelijk en in alle duidelijkheid bepaald dat de overeenkomst „geen rechten of voordelen voor enige particuliere of openbare persoon of entiteit” schept of verleent. De bindende werking van de bepalingen die in rechten voor betrokkenen voorzien die thans in de wetgeving van de VS noch erkend noch afdwingbaar zijn, lijken door deze bepaling teniet te worden gedaan of in twijfel te worden getrokken, vooral voor zover de betrokkenen geen burgers of permanent ingezetenen van de VS zijn. Zo is het door de Privacy Act (wet op de privésfeer) van de VS verleende gekwalificeerde recht op toegang tot persoonsgegevens sterker dan het algemene recht op toegang dat door de Freedom of Information Act (wet op de vrijheid van informatie) aan het algemene publiek wordt verleend. Evenwel wordt in de Privacy Act duidelijk bepaald dat een verzoek om toegang tot gegevens met betrekking tot de eigen persoon slechts mogelijk is voor „een staatsburger van de VS of een vreemdeling die rechtmatig de status van permanent ingezetene heeft verworven” (10).

33.

De EDPS beveelt derhalve aan de huidige formulering van artikel 20, lid 1, te wijzigen teneinde ervoor te zorgen dat de door het voorstel verleende rechten duidelijk worden vermeld en ook op het grondgebied van de VS effectief kunnen worden gehandhaafd.

34.

In artikel 12 van het voorstel worden verschillende controleniveaus vastgesteld met betrekking tot de voorwaarden en waarborgen van de overeenkomst. De zoekopdrachten van het Amerikaanse Ministerie van Financiën worden door „onafhankelijke toezichthouders” zowel op het moment zelf als achteraf geïnspecteerd. Bovendien wordt door een onafhankelijke persoon die door de Europese Commissie is aangewezen op het eerste toezichtniveau een doorlopende supervisie uitgevoerd, waarbij ook de onafhankelijkheid van dit toezicht wordt getoetst. De taken van deze onafhankelijke persoon moeten worden verduidelijkt, hoe kan worden gewaarborgd dat hij zijn taken daadwerkelijk kan vervullen en aan wie hij verslag doet.

35.

Bij artikel 13 wordt daarnaast een mechanisme voor gezamenlijke evaluatie vastgesteld dat na 6 maanden en vervolgens met vaste regelmaat ten uitvoer wordt gelegd. De gezamenlijke evaluatie wordt door een gemengde EU-VS-delegatie verricht, waaraan voor de EU ook vertegenwoordigers van twee gegevensbeschermingsautoriteiten deelnemen. De evaluatie mondt uit in een verslag dat de Commissie voorlegt aan het Europees Parlement en de Raad.

36.

De EDPS benadrukt dat onafhankelijk toezicht een centraal element vormt van het recht op de bescherming van persoonsgegevens, zoals dat is verankerd in artikel 16 VWEU en artikel 8 van het Handvest van de grondrechten van de Europese Unie. Onlangs heeft het Hof van Justitie in zijn arrest van 9 maart 2010 in de zaak Europese Commissie tegen Duitsland (11) strenge onafhankelijkheidscriteria vastgesteld. Het is duidelijk dat het niet mogelijk is om dezelfde strenge criteria op te leggen aan derde landen, maar het staat ook vast dat er alleen sprake kan zijn van een adequate bescherming van persoonsgegevens (12) indien er voldoende waarborgen voor onafhankelijk toezicht zijn. Dit is tevens een voorwaarde voor internationale overeenkomsten met landen waar het rechtsstelsel geen controles door een onafhankelijke instantie voorschrijft.

37.

In dit licht is het van cruciaal belang dat ten minste de toezichtmodaliteiten en de gemeenschappelijke evaluatie alsmede de bevoegdheden en onafhankelijkheidsgaranties van de bij het toezicht betrokken personen duidelijk worden omschreven in de overeenkomst, en dat deze niet door de partijen „in onderling overleg” worden afgesproken of in een later stadium worden bepaald. Met name is het belangrijk ervoor te zorgen dat zowel de door de Europese Commissie aangewezen persoon als de vertegenwoordigers van de Europese gegevensbeschermingsautoriteiten in staat worden gesteld onafhankelijk op te treden en hun toezichttaken doeltreffend uit te voeren.

38.

Voorts dient in het voorstel niet alleen de datum van de eerste, na 6 maanden uit te voeren gezamenlijke evaluatie te worden vastgelegd, maar ook het tijdschema voor de daaropvolgende evaluaties, die bijvoorbeeld ieder jaar kunnen plaatsvinden. De EDPS adviseert ook om een verband te leggen tussen de resultaten van deze gezamenlijke evaluaties en de duur van de overeenkomst.

39.

In deze context beklemtoont de EDPS dat een vervalbepaling wenselijk is, ook met het oog op het feit dat op langere termijn mogelijk meer gerichte oplossingen beschikbaar zijn. Een vervalbepaling zou ook een welkome stimulans zijn om ervoor te zorgen dat de nodige inspanningen worden ondernomen om oplossingen te vinden die de massale doorgifte van gegevens aan het Amerikaanse Ministerie van Financiën overbodig maken.

40.

Teneinde de effectiviteit van het toezicht en van de gezamenlijke evaluatie te verhogen, dienen gegevens en relevante cijfers beschikbaar te zijn over het aantal verzoeken om toegang en het aantal ingestelde beroepen, de eventueel daarop volgende stappen (wissen, correctie, enz.) en het aantal besluiten waardoor rechten van betrokken worden beperkt. Voor wat de evaluatie betreft geldt eveneens dat informatie beschikbaar moet zijn en dat moet worden gerapporteerd over het aantal berichten dat door het Amerikaanse Ministerie van Financiën wordt opgevraagd, maar ook over de berichten die aan dat ministerie worden verstrekt. Dit dient in de overeenkomst te worden gespecificeerd.

41.

Voorts geldt dat de bevoegdheden van de Europese gegevensbeschermingsautoriteiten door dit voorstel op geen enkele wijze mogen worden beperkt. In dit verband constateert de EDPS dat het voorstel een stap terug betekent ten opzichte van de tussentijdse TFTP-overeenkomst. Terwijl in de vroegere overeenkomst nog was bepaald dat „deze overeenkomst geen afwijking inhoudt van de bestaande bevoegdheden van de gegevensbeschermingsautoriteiten van de lidstaten om eenieder bescherming te bieden ter zake van verwerking van zijn of haar persoonsgegevens”, is in het voorliggende voorstel sprake van „toezicht van de bevoegde gegevensbeschermingsautoriteiten, op een wijze die verenigbaar is met de specifieke bepalingen van deze overeenkomst”. De EDPS beveelt derhalve aan om duidelijk in het voorstel aan te geven dat de overeenkomst geen afwijking of beperking inhoudt van de bevoegdheden van de Europese gegevensbeschermingsautoriteiten.

42.

De EDPS erkent dat met dit voorstel bepaalde substantiële verbeteringen ten opzichte van de tussentijdse TFTP I-overeenkomst worden beoogd, zoals de uitsluiting van SEPA-gegevens, een beperktere definitie van terrorisme en meer gedetailleerde bepalingen betreffende de rechten van de betrokkenen.

43.

De EDPS wijst er evenwel op dat de legitimiteit van een nieuwe TFTP-overeenkomst alleen kan worden vastgesteld als is voldaan aan een cruciale voorwaarde. Het belang van de nieuwe regeling moet worden aangetoond in vergelijking tot de reeds bestaande Europese en internationale instrumenten.

44.

Ook indien dit daadwerkelijk zou kunnen worden aangetoond, zijn er naar het oordeel van de EDPS nog vraagstukken die moeten worden opgelost, en belangrijke elementen die moeten worden verbeterd, teneinde te kunnen voldoen aan de eisen van het EU-wetgevingskader betreffende de bescherming van persoonsgegevens, zoals: