28.4.2007   

NL

Publicatieblad van de Europese Unie

C 94/3

1.

Het doel van het voorstel voor een Verordening van het Europees Parlement en de Raad tot wijziging van Verordening (EG) nr. 515/97 van de Raad van 13 maart betreffende de wederzijdse bijstand tussen de administratieve autoriteiten van de lidstaten en de samenwerking tussen deze autoriteiten en de Commissie met het oog op de juiste toepassing van de douane- en landbouwvoorschriften (3) (hierna „het voorstel”) is tweeledig. Aan de ene kant heeft het voorstel tot doel de bestaande Verordening (EG) nr. 515/97 in overeenstemming te brengen met de nieuwe bevoegdheden van de Gemeenschap op het gebied van de communautaire douanesamenwerking; aan de andere kant heeft het tot doel de samenwerking en de uitwisseling van informatie tussen de lidstaten onderling en tussen de lidstaten en de Commissie te intensiveren.

2.

Om deze twee doelstellingen te bereiken, voorziet het voorstel, onder meer, het bestaande Douane-informatiesysteem („DIS”) van extra functies en creëert het een Europees gegevensbestand, met daarin de gegevens over de bewegingen van de containers en/of vervoermiddelen, alsmede over de goederen en de personen die bij de bewegingen betrokken zijn („Europees gegevensbestand”).

3.

Voorts zorgt het voorstel ervoor dat het Referentiebestand van onderzoeksdossiers op douanegebied (FIDE), dat aanvankelijk door de lidstaten tot stand is gebracht op basis van Titel VI van het Verdrag betreffende de Europese Unie, in het Gemeenschapsrecht wordt geïntegreerd. (4) Voortaan valt het FIDE onder zowel de communautaire materies als het optreden uit hoofde van de derde pijler en wordt het, naar gelang van de situatie, door een ander wetgevingsinstrument beheerst. Hetzelfde geldt voor het DIS (5). In de praktijk gebeurt dit door het opzetten van twee gegevensbestanden, die toegankelijk worden gemaakt voor verschillende entiteiten, zodat deze voor andere doeleinden worden gebruikt (eerste en derde pijler).

4.

De Commissie heeft het voorstel voor advies aan de Europese Toezichthouder voor gegevensbescherming („EDPS”) toegezonden, overeenkomstig artikel 28, lid 2, van Verordening (EG) nr. 45/2001 van het Europees Parlement en de Raad van 18 december 2000 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de communautaire instellingen en organen en betreffende het vrije verkeer van die gegevens (hierna Verordening (EG) nr. 45/2001). Dit verzoek is op 4 januari 2007 bij de EDPS ingekomen.

5.

Artikel 28, lid 2, van Verordening (EG) nr. 45/2001 heeft een dwingend karakter, hetgeen betekent dat deze raadpleging in de preambule van het Raadsbesluit, vóór de overwegingen, dient te worden vermeld. De EDPS stelt voor om daarvoor de formulering te gebruiken waarmee in andere wetgevingsvoorstellen naar adviezen van de EDPS wordt verwezen (6), namelijk: „Na raadpleging van de Europese Toezichthouder voor gegevensbescherming”.

6.

Door het opzetten en bijwerken van de verschillende instrumenten voor het verbeteren van de communautaire samenwerking, namelijk het DIS, het FIDE en het Europees gegevensbestand, worden meer in de lidstaten verzamelde en vervolgens met de bestuurlijke autoriteiten van de lidstaten en in sommige landen ook met derde landen uitgewisselde persoonsgegevens gedeeld. Het kan onder meer gaan om gegevens betreffende de vermeende of bewezen betrokkenheid van personen bij inbreuken op de douane- of landbouwwetgeving. Vanuit dit oogpunt heeft het voorstel belangrijke gevolgen op het gebied van de bescherming van persoonsgegevens. Dat belang wordt nog groter indien men rekening houdt met het type verzamelde en gedeelde gegevens, met name gegevens over personen die verdacht worden van medeplichtigheid aan inbreuken, en het globale doel en resultaat van de verwerking van deze gegevens.

7.

Voor het bestuderen van de effecten van het voorstel op de bescherming van persoonsgegevens acht de EDPS het van belang in dit advies na te gaan in hoeverre het voorstel van invloed is op de bescherming van de rechten en vrijheden van individuele personen, wat de verwerking van persoonsgegevens betreft.

8.

De volgende elementen van het voorstel zijn het belangrijkst vanuit het oogpunt van de gegevensbescherming: (i) het opzetten van een Europees gegevensbestand (artikelen 18bis en 18ter); (ii) de bepalingen inzake de bijwerking van het DIS (artikelen 23 tot en met 27) en (iii) de voorschriften waarbij FIDE tot een communautair gegevensbestand wordt omgevormd (artikel 41bis tot en met artikel 41quinquies). Ook de diverse bepalingen, waaronder die welke betrekking hebben op het toezicht op de gegevensbescherming en die gewijzigd zijn om rekening te houden met de aanneming van Verordening (EG) nr. 45/2001 (de artikelen 37, 42 en 43) zijn in dat verband van belang.

9.

De EDPS herinnert eraan dat hij in zijn vorig advies over het voorstel voor een verordening inzake wederzijdse administratieve bijstand ter bescherming van de financiële belangen van de Gemeenschap tegen fraude en andere onwettige activiteiten (7) erop heeft gewezen dat sommige bepalingen van Verordening (EG) nr. 515/97 dienden te worden aangepast aan de nieuwe op de EU-instellingen toepasselijke wetgeving inzake gegevensbescherming, namelijk Verordening (EG) nr. 45/2001. De EDPS is daarom ingenomen met de wijzigingen van het voorstel die in die richting gaan.

10.

Voorts constateert de EDPS met tevredenheid dat de bepalingen tot oprichting van het Europees gegevensbestand, alsook die tot bijwerking van de voorschriften van het DIS de bescherming van de persoonsgegevens en de persoonlijke levenssfeer van individuele personen waarborgen. De EDPS spreekt ook zijn waardering uit voor de beslissing om het FIDE binnen de werkingssfeer van het Gemeenschapsrecht, en dus onder de gelding van Verordening (EG) nr. 45/2001 te brengen.

11.

De EDPS is zich bewust van het belang van de doelstellingen die met het voorstel worden nagestreefd, namelijk een betere samenwerking tussen de lidstaten onderling en tussen de lidstaten en de Commissie. Hij erkent ook dat er behoefte is aan nieuwe instrumenten of aan bijwerking van de bestaande instrumenten zoals het DIS en het FIDE om deze doelstellingen te bereiken. Bovendien is de EDPS verheugd over het feit dat dat streven gepaard is gegaan met de opneming in het voorstel van waarborgen inzake gegevensbescherming die beantwoorden aan de bestaande, voor de EU instellingen geldende wetgeving inzake gegevensbescherming. Volgens de EDPS is er evenwel nog ruimte voor verbetering, in die zin dat het voorstel nog meer in overeenstemming kan worden gebracht met het bestaande wetgevingskader inzake gegevensbescherming en de daadwerkelijke bescherming van de persoonsgegevens nog kan worden verbeterd. In de hierna volgende afdeling maakt de EDPS daarover een aantal opmerkingen en doet hij ter zake voorstellen.

12.

Overeenkomstig artikel 18bis, lid 1, van het Commissievoorstel zorgt de Commissie voor het opzetten en het beheer van een Europees gegevensbestand met het oog op „het opsporen van goederenzendingen die vatbaar zijn voor inbreuken op de douane- of landbouwvoorschriften en/of van de transportmiddelen”. De Commissie zal de meeste gegevens verkrijgen van openbare of particuliere aanbieders van diensten op het gebied van de logistiek en het goederenvervoer. Het gegevensbestand kan uit hoofde van artikel 18bis, lid 2, punt b), worden verrijkt met gegevens „uit andere bronnen”. Artikel 18 bis, lid 3, bevat een lijst met gegevens die in het gegevensbestand kunnen worden opgenomen, waaronder de lijst van de betrokken persoonsgegevens (8). De Commissie maakt de in het gegevensbestand opgenomen gegevens toegankelijk voor de ter zake bevoegde autoriteiten van de lidstaten.

13.

In het voorstel is gesteld dat het opzetten van het gegevensbestand nuttig zal zijn om transacties op te sporen die uit het oogpunt van de douane- en landbouwwetgeving een risico vormen. De EDPS is evenwel van mening dat, zoals dat het geval zou moeten zijn telkens wanneer er een centraal gegevensbestand met persoonsgegevens wordt opgezet, terdege en zorgvuldig moet worden gemotiveerd waarom een dergelijk gegevensbestand noodzakelijk is, en zodra het gegevensbestand is opgezet, en dat, in het licht van de beginselen inzake gegevensbescherming, voorzien moet worden in specifieke waarborgen. Dat alles om te vermijden dat afbreuk wordt gedaan aan de bescherming van persoonsgegevens.

14.

De EDPS vindt in het voorstel onvoldoende argumenten waaruit blijkt dat het noodzakelijk is dat gegevensbestand op te zetten. Opdat alleen die gegevensbestanden worden gecreëerd die werkelijk noodzakelijk zijn, roept de EDPS de Commissie op grondig te onderzoeken of dat gegevensbestand noodzakelijk is en verslag uit te brengen over haar bevindingen.

15.

Wat de waarborgen inzake gegevensbescherming betreft, neemt de EDPS er nota van dat het voorstel enkele waarborgen bevat; hij acht evenwel bijkomende maatregelen nodig.

16.

De EDPS wijst erop dat, aangezien de Commissie een Europees gegevensbestand zal opzetten en beheren dat persoonsgegevens zal bevatten, Verordening (EG) nr. 45/2001 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de communautaire instellingen en organen en betreffende het vrije verkeer van die gegevens met zekerheid op het gegevensbestand van toepassing is. Bijgevolg moet de Commissie in haar hoedanigheid van verantwoordelijke voor de verwerking van gegevens in het gegevensbestand, de naleving van alle bepalingen van de bovengenoemde verordening waarborgen (9).

17.

Terwijl Verordening (EG) nr. 45/2001 in het licht van hetgeen voorafgaat per definitie van toepassing is op het opzetten en het beheer van het gegevensbestand, is de EDPS om redenen van consistentie van oordeel dat een lid dient worden toegevoegd waarin erop gewezen wordt dat deze verordening van toepassing is. De EDPS constateert namelijk dat artikel 34 van het voorstel, dat betrekking heeft op het Douane-informatiesysteem (DIS) en het Referentiebestand van onderzoeksdossiers op douanegebied (FIDE), een bepaling bevat waarin in herinnering wordt gebracht dat Verordening (EG) nr. 45/2001 van toepassing is. Om te stroken met deze aanpak moet een soortgelijke bepaling worden opgenomen met betrekking tot het gegevensbestand. De EDPS stelt dan ook voor in artikel 18, lid 1, een op de formulering van artikel 34 geïnspireerd nieuw lid op te nemen: „De Commissie beschouwt het Europees gegevensbestand als een systeem voor de verwerking van persoonsgegevens dat is onderworpen aan Verordening (EG) nr. 45/2001”.

18.

De EDPS wijst erop dat in artikel 18 bis, lid 2, onder b), van het voorstel bevestigd wordt dat Verordening (EG) nr. 45/2001 van toepassing is voor bepaalde vormen van gebruik van het gegevensbestand, met name wanneer de Commissie het gegevensbestand gebruikt om „de […] gegevens met elkaar te matchen, te indexeren, te verrijken … ”. Behoudens toevoeging van een algemene verklaring waarin bevestigd wordt dat Verordening (EG) nr. 45/2001 van toepassing is op het gegevensbestand als geheel, inclusief de verwerkingsoperaties voor het opzetten van het gegevensbestand tot en met het beheer ervan, kunnen alle andere activiteiten/stadia die niet uitdrukkelijk in artikel 18 bis, lid 2, onder b), worden vermeld, geacht worden niet door Verordening (EG) nr. 45/2001 te worden bestreken. Dat is een bijkomende reden om de hierboven voorgestelde tekstgedeelten toe te voegen.

19.

De EDPS wijst erop dat de Commissie, door zich te conformeren aan Verordening (EG) nr. 45/2001, onder meer verplicht zal zijn de individuele personen wier namen in het gegevensbestand zijn opgenomen, daarvan op de hoogte te stellen. (10) Daarbij mag niet uit het oog worden verloren dat, zelfs indien de in het gegevensbestand ingevoerde persoonsgegevens uit publieke bronnen zijn verzameld, dat recht geldt. Gelet op het doel van het gegevensbestand zal de Commissie bovendien gebonden zijn door artikel 27 van Verordening nr. 45/2001, volgens hetwelk de EDPS het systeem eerst moet controleren voordat het in werking wordt gesteld (11).

20.

Overeenkomstig artikel 18 bis, lid 2, onder c), van het voorstel is de Commissie bevoegd om gegevens ter beschikking te stellen van de betrokken autoriteiten van de lidstaten. De EDPS wijst erop dat een dergelijke overdracht weliswaar wordt beheerst door Verordening (EG) nr. 45/2001, maar dat het daaropvolgende gebruik van de gegevens door de autoriteiten van de lidstaten onder Richtlijn 95/46/EG van 24 oktober 1995 valt. Artikel 18 bis, lid 2, onder c), lijkt dit begrip weliswaar weer te geven, zoals hieronder zal worden uiteengezet, maar de formulering ervan is voor verbetering vatbaar om dat begrip duidelijker tot uitdrukking te brengen.

21.

Artikel 18 bis, lid 2, onder c), luidt als volgt: „De Commissie wordt in het kader van het beheer van dit bestand gemachtigd: (…) c) de in dit bestand opgenomen gegevens ter beschikking te stellen van de in artikel 1, lid 1, bedoelde bevoegde autoriteiten, uitsluitend ter verwezenlijking van de doelstellingen van deze verordening en met inachtneming van de nationale omzettingsbepalingen van Richtlijn 95/46/EG.” Volgens de EDPS blijkt uit artikel 18 bis, lid 2, onder c), onvoldoende duidelijk dat het verdere gebruik van persoonsgegevens door de autoriteiten van de lidstaten geregeld wordt door de nationale bepalingen ter uitvoering van Richtlijn 95/46/EG. Om hierover meer duidelijkheid te verschaffen, is de EDPS van oordeel dat het laatste deel van artikel 18bis, lid 2, onder c), als volgt moet worden gewijzigd: „... uitsluitend ter verwezenlijking van de doelstellingen van deze verordening. Het verdere gebruik van persoonsgegevens door deze autoriteiten wordt geregeld door de nationale bepalingen ter uitvoering van Richtlijn 95/46/EG.” In ieder geval moet dat verdere gebruik op nationaal niveau verenigbaar zijn met het doel waarvoor deze gegevens door de Commissie ter beschikking zijn gesteld, tenzij er aan speciale voorwaarden is voldaan (zie artikel 6, lid 1, onder b), en artikel 13, lid 1, van Richtlijn 95/46/EG).

22.

De EDPS steunt de in artikel 18, lid 4, van het voorstel gevolgde aanpak, die erin bestaat binnen de Commissie de voor de verwerking van in het Europees gegevensbestand opgenomen persoonsgegevens bevoegde diensten te beperken. Dat strookt met artikel 22 van Verordening (EG) nr. 45/2001, dat onder meer bepaalt dat de verantwoordelijke voor de verwerking alle technische en organisatorische maatregelen treft om een passend beveiligingsniveau te waarborgen, zoals ervoor zorgen dat de gegevens beschikbaar zijn op een „need to know”-basis.

23.

In de laatste alinea van artikel 18, lid 4, is gesteld dat persoonsgegevens die niet noodzakelijk zijn om het beoogde doel te bereiken, onmiddellijk worden gewist of anoniem worden gemaakt. Voorts — zo gaat het artikel verder — mogen persoonsgegevens in geen geval langer dan één jaar worden bewaard. De EDPS is tevreden over deze verplichting, die strookt met artikel 4, lid 1, onder e) van de verordening, waarin bepaald is dat persoonsgegevens in een vorm die het mogelijk maakt de betrokkenen te identificeren, niet langer mogen worden bewaard dan noodzakelijk is voor de verwezenlijking van de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt.

24.

Zoals vereist door artikel 22 van Verordening (EG) nr. 45/2001 moet het gegevensbestand op passende wijze worden beschermd. Zorgen voor een optimaal niveau van beveiliging van het gegevensbestand is een fundamentele vereiste voor de bescherming van de in het gegevensbestand opgeslagen persoonsgegevens. De bepalingen in verband met het Douane-informatiesysteem voorzien in de uitvoering van specifieke beveiligingsmaatregelen, maar omtrent het Europees gegevensbestand bewaart het voorstel het stilzwijgen. De EDPS is van oordeel dat er voor de veiligheidsvraagstukken in verband met dat gegevensbestand aanvullende administratieve voorschriften moet worden vastgesteld met specifieke maatregelen voor het waarborgen van het vertrouwelijke karakter van de gegevens. Voor het vaststellen van deze voorschriften moet de EDPS worden geraadpleegd.

25.

De artikelen 23 tot en met 41 van Verordening (EG) nr. 515/97 van de Raad bevatten de bepalingen houdende instelling van het Douane-informatiesysteem, een gegevensbestand dat door de Commissie wordt beheerd en door de lidstaten en de Commissie kan worden geraadpleegd, en dat tot doel heeft hen bij te staan in het voorkomen, opsporen en vervolgen van inbreuken op de douane- en de landbouwwetgeving.

26.

Een aantal van de oorspronkelijke bepalingen tot regeling van de werking en het gebruik van het DIS zijn in het voorstel gewijzigd. Zo heeft artikel 25 de categorieën van persoonsgegevens die in het DIS kunnen worden opgeslagen, verruimd en heeft artikel 27 de lijst met mogelijke aanwendingen van de in het DIS opgeslagen persoonsgegevens, verruimd om er operationele analyses in op te nemen, waarmee onder meer het volgende beoogd werd: „het beoordelen van de betrouwbaarheid van de informatiebronnen en de informatie”, „het formuleren van bevindingen, hypothesen of aanbevelingen […] ten behoeve van de opsporing van andere handelingen die in strijd zijn met de douane- en landbouwvoorschriften en/of de nauwkeurige identificatie van de bij die handelingen betrokken natuurlijke of rechtspersoon of -personen”. Voorts opent artikel 35, lid 3, de mogelijkheid inhoud van het DIS te kopiëren in andere systemen voor gegevensverwerking, zoals „systemen voor risicobeheer die gerichte nationale douanecontroles mogelijk moeten maken of […] een systeem voor operationele analyse dat gerichte gecoördineerde acties op Gemeenschapsniveau mogelijk maakt.”

27.

Volgens het voorstel zijn de hiervoor beschreven bijkomende aanwendingen noodzakelijk ter ondersteuning van het opsporen en vervolgen van inbreuken op de douane- en landbouwwetgeving. Hoewel de EDPS het bestaan van deze behoefte niet betwist, is hij van oordeel dat deze behoefte in het Commissievoorstel nader had moeten worden toegelicht en beter had moeten worden gemotiveerd.

28.

De EDPS constateert met tevredenheid dat de bovenbedoelde wijzigingen gepaard zijn gegaan met waarborgen inzake de gegevensbescherming. Het voorstel bevat nog steeds de limitatieve lijst van persoonsgegevens die alleen in het DIS kunnen worden ingevoerd (voormalig artikel 25, lid 1) wanneer er „concrete aanwijzingen”bestaan die erop duiden dat de betrokken persoon de inbreuken heeft begaan of nog zal begaan (voormalig artikel 27, lid 2). Voorts mogen in het DIS geen gevoelige gegevens (12) worden ingevoerd (voormalig artikel 25, lid 3). Artikel 35, lid 3, beperkt bovendien de bevoegdheid om uit het DIS gegevens te kopiëren voor de in datzelfde artikel genoemde doeleinden tot een aantal personen, alsook de duur van bewaring van de uit het DIS gekopieerde gegevens. Deze maatregelen stroken met het in artikel 4 van Verordening (EG) nr. 45/2001 opgenomen beginsel van de kwaliteit van de gegevens.

29.

In artikel 34 van het voorstel is rekening gehouden met de vaststelling van Verordening (EG) nr. 45/2001, die van toepassing is op de verwerking van persoonsgegevens door communautaire instellingen en organen. De Commissie wordt dan ook geacht Verordening (EG) nr. 45/2001 van toepassing te verklaren op het DIS. De EDPS bevestigt dat aangezien het DIS persoonsgegevens bevat en de Commissie toegang heeft tot het gegevensbestand waarvoor zij de verantwoordelijke voor de verwerking is, Verordening (EG) nr. 45/2001 zeker van toepassing is. De EDPS is dan ook tevreden met deze wijziging, die de tekst in overeenstemming brengt met het bestaande wetgevingskader inzake gegevensbescherming.

30.

De EDPS herinnert eraan dat, als gevolg van de toepassing van artikel 27 van Verordening (EG) nr. 45/2001 en rekening houdend met het feit dat de doeleinden van het DIS kunnen worden geacht specifieke risico's voor de rechten en vrijheden van het gegevenssubject op te leveren, de EDPS vooraf het systeem moet controleren.

31.

Naast de toepassing van Verordening (EG) nr. 45/2001 handhaaft artikel 34 van het voorstel de gelijktijdige toepassing van de nationale bepalingen ter uitvoering van Richtlijn 95/46/EG. De EDPS beschouwt dit als de juiste aanpak, voor zover de autoriteiten van de lidstaten toegang hebben tot het DIS en de bevoegdheid hebben om de gegevens van het DIS over te nemen en verder te verwerken. In fine is de EDPS van oordeel dat het toezicht op het DIS een gedeelde verantwoordelijkheid is van de Commissie en de lidstaten, die beide verantwoordelijk zijn voor de verwerking van de DIS-gegevens.

32.

Ten gevolge van de toepassing van Verordening (EG) nr. 45/2001 is de Europese Toezichthouder voor gegevensbescherming verantwoordelijk voor de toepassing van de verordening wat het DIS betreft. Sommige artikelen van het voorstel weerspiegelen de bevoegdheden van de EDPS, andere niet. De EDPS betreurt in het bijzonder dat sommige afdelingen van artikel 37, die betrekking hebben op het toezicht, niet dienovereenkomstig zijn gewijzigd, en roept de wetgevers op de hieronder omschreven wijzigingen aan te brengen.

33.

De EDPS constateert dat de bevoegdheid van de lidstaten voor het toezicht op het DIS uitdrukkelijk wordt erkend in artikel 37, lid 1. Artikel 37, lid 1, bevat evenwel geen overeenkomstige EDPS-bevoegdheden uit hoofde van Verordening (EG) nr. 45/2001. Dat probleem komt nog scherper naar voren uit artikel 37, lid 3, dat niet door het voorstel is gewijzigd. In artikel 37, lid 3, is gesteld: „De Commissie neemt binnen haar diensten alle noodzakelijke maatregelen om op de bescherming van persoonsgegevens een toezicht te verzekeren dat gelijkwaardige waarborgen biedt als die welke voortvloeien uit lid 1 …”Anders gezegd, artikel 37, lid 3, vertrouwt het toezicht op de gegevensbescherming toe aan „de Commissie”. Dat artikel had om voor de hand liggende redenen gewijzigd moeten worden om in overeenstemming te zijn met de nieuwe toezichthoudende rol van de EDPS. Zoals het thans luidt, heeft artikel 37, lid 3, geen enkele zin. Om dit probleem te verhelpen, moet artikel 37, lid 3, als volgt worden geformuleerd: „De Europese Toezichthouder voor gegevensbescherming ziet erop toe dat het DIS voldoet aan de voorschriften van Verordening (EG) nr. 45/2001”.

34.

Aangezien het DIS niet alleen beheerst wordt door Verordening (EG) nr. 45/2001, maar ook door de nationale bepalingen tot uitvoering van Richtlijn 95/46/EG, valt het toezicht op het DIS onder zowel de EDPS als de nationale autoriteiten voor gegevensbescherming. Voorts moeten de toezichtsactiviteiten van de nationale toezichthoudende autoriteiten en de EDPS tot op zekere hoogte gecoördineerd worden om te zorgen voor voldoende samenhang en efficiëntie in het algemeen. Zoals in de vorige adviezen van de EDPS over de onder toezicht van de EU-lidstaten en de EDPS staande gegevensbestanden is gesteld, moet „de verordening […] namelijk op geharmoniseerde wijze worden toegepast en er moet worden toegewerkt naar een gemeenschappelijke aanpak van gemeenschappelijke problemen” (13)

35.

Spijtig genoeg voorziet het voorstel niet in een coördinatieprocedure om de samenwerking tussen de EDPS en de nationale autoriteiten voor gegevensbescherming te structureren en te intensiveren. Om dit probleem te verhelpen ziet de EDPS een eerste mogelijkheid, namelijk in artikel 37 een als volgt luidende nieuwe paragraaf opnemen over toezicht op de gegevensbescherming: „De EDPS zal ten minste eenmaal per jaar een bijeenkomst met alle nationale toezichthoudende autoriteiten bijeenroepen om problemen in verband met het toezicht op het DIS te bespreken. De leden van de nationale autoriteiten voor gegevensbescherming en de EDPS worden ”de toezichthoudende autoriteiten „genoemd”.

36.

Een betere oplossing om de gelaagde aanpak op het toezicht te weerspiegelen zou, zoals hiervoor is gesteld, bestaan in de splitsing van de bepalingen inzake toezicht (artikel 37) in verschillende bepalingen, die elk aan een welbepaald niveau van toezicht gewijd zijn, zoals dat op vakkundige wijze is gedaan in de recentelijk aangenomen wetgevingsinstrumenten tot vaststelling van het Schengeninformatiesysteem (SIS II). Met name de artikelen 44 tot en met 46 van Verordening (EG) nr. 1987/2006 van het Europees Parlement en de Raad van 20 december 2006 betreffende de instelling, de werking en het gebruik van het Schengeninformatiesysteem van de tweede generatie (SIS II) (14) voorzien in een evenwichtig systeem van gedeeld toezicht tussen het nationale en het Europese niveau, met coördinatie tussen beide. De EDPS dringt er stellig op aan (met enkele kleine aanpassingen) dit systeem van toezicht over te nemen voor het DIS. Het DIS en SIS II zijn namelijk grotendeels vergelijkbaar wat de structuur van het toezicht betreft.

37.

In artikel 43, lid 5, is bepaald dat een ad hoc samenstelling van het in artikel 43, lid 1, bedoelde comité (hierna het ad hoc comité) op gezette tijden zal bijeenkomen om problemen in verband met de gegevensbescherming in het kader van het DIS te bespreken. De EDPS is van mening dat dit ad hoc comité niet het passende forum is om toezicht uit te oefenen op het DIS, aangezien deze bevoegdheid uitsluitend bij de nationale autoriteiten van de lidstaten en de EDPS berust. De in artikel 43, lid 5, beschreven ad hoc samenstelling is in feite een comitologiecomité.

38.

De EDPS is evenwel van mening dat de ad hoc samenstelling van het comité wel een passend forum is voor het bespreken van met de werking van het DIS verband houdende problemen inzake gegevensbescherming. Daartoe stelt de EDPS voor artikel 43, lid 5, als volgt te herformuleren, zodat de taken en de functie van de ad hoc samenstelling van het comité uit hoofde van artikel 43, lid 5, beter tot hun recht komen: „Het comité, samen met de in artikel ... bedoelde toezichtsgroep, buigt zich over alle problemen waarmee de toezichthoudende autoriteiten in verband met de werking van het DIS geconfronteerd worden. Het comité komt ten miste eenmaal per jaar in zijn ad hoc samenstelling bijeen”.

39.

De EDPS wenst ook de aandacht van de wetgever te vestigen op een ander kenmerk die het DIS en SIS II met elkaar gemeen hebben: zij functioneren zowel onder de eerste als onder de derde pijler, hetgeen met zich meebrengt dat er voor elk systeem twee onderscheiden rechtsgrondslagen zijn. Het DIS-„derde pijler ”wordt beheerst door het in punt 3 van dit advies genoemde Verdrag. Dat heeft een aantal gevolgen, onder meer voor de structuur van het toezicht; het toezicht op het onderdeel van het DIS betreffende de eerste pijler-aangelegenheden wordt uitgeoefend door de EDPS en de nationale autoriteiten inzake gegevensbescherming, terwijl het onderdeel betreffende de derde pijler onder toezicht staat van de gezamenlijke toezichthoudende autoriteit (die uit vertegenwoordigers van dezelfde nationale autoriteiten is samengesteld). Het is een eerder omslachtig systeem van toezicht, dat tot inconsistenties kan leiden en niet zeer efficiënt is. Dit illustreert de moeilijkheden van een complexe juridische omgeving zoals deze.

40.

Vermeldenswaard in het kader van het SIS II is dat de Europese wetgever ervoor heeft gekozen het model van toezicht te rationaliseren door hetzelfde gelaagde model te hanteren als datgene dat hiervoor met betrekking tot de eerste pijler- en de derde pijler-omgeving van het systeem is beschreven. Dat is een aanpak die zeker het overwegen waard is, en de EDPS beveelt aan de kansen die het biedt voor een beter en consistenter toezicht nader te onderzoeken.

41.

De rechten inzake bescherming van persoonsgegevens uit hoofde van het voorstel, met name het recht op kennisneming, worden geregeld in de artikelen 36 en 37, die door het voorstel gedeeltelijk zijn gewijzigd. De EDPS wenst met betrekking tot het recht op kennisneming de volgende drie punten aan de orde te stellen: (i) het toepasselijk recht uit hoofde van artikel 36, lid 1; (ii) de beperkingen van het recht op kennisneming uit hoofde van artikel 36, lid 2, en (iii) de procedure voor verzoeken om kennisneming door individuele personen uit hoofde van artikel 37, lid 2, van het voorstel.

42.

Toepasselijk recht: Artikel 36, lid 1, dat door het voorstel ongewijzigd is gelaten, erkent terloops de toepassing van de rechten van de individuele persoon op het gebied van de gegevensbescherming en bepaalt dat het recht op kennisneming zal worden beheerst door de wetgeving van de lidstaten of de op de Commissie toepasselijke voorschriften inzake gegevensbescherming, naargelang dat recht in de lidstaten of in de EU-instellingen wordt ingeroepen. Dat criterium weerspiegelt hetgeen hiervoor is gesteld met betrekking tot artikel 34 van het voorstel, namelijk dat de Commissie de lidstaten gezamenlijk de voor verwerking verantwoordelijke instanties van het DIS zijn. De EDPS is het eens met deze aanpak en is blij dat de formulering van artikel 36, lid 1, in het voorstel is gehandhaafd. Het is hoe dan ook duidelijk dat deze bepaling impliciet verwijst naar de nationale wetgeving ter zake tot uitvoering van Richtlijn 95/46/EG of Verordening (EG) nr. 45/2001. Het toepasselijke recht zal in ieder geval bepaald worden door de plaats waar de rechten worden uitgeoefend.

43.

Grenzen van het recht op kennisneming: Artikel 36, lid 2, tweede alinea, bepaalt dat „kennisneming [wordt] geweigerd gedurende de periode waarin maatregelen inzake waarneming en onopvallende controle worden uitgevoerd, alsook gedurende de periode waarin operationele analyse van gegevens of het onderzoek aan de gang is”. Om de hieronder uiteengezette redenen is de EDPS ervoor gewonnen deze zinsnede te wijzigen in „kan kennisneming worden geweigerd ”(in plaats van „kennisneming wordt geweigerd”).

44.

Uit hoofde van Verordening (EG) nr. 45/2001 hebben individuele personen in beginsel recht op kennisneming van hun persoonsgegevens. In artikel 20 van Verordening (EG) nr. 45/2001 is evenwel bepaald dat dat recht kan worden beperkt indien een van de specifieke voorwaarden die een beperking rechtvaardigen, van toepassing is. Anders gezegd, individuele personen hebben in beginsel recht op kennisneming, maar deze kennisneming kan worden beperkt. Omgekeerd laten de bewoordingen van artikel 36, lid 2, „kennisneming wordt geweigerd”, geen ruimte voor interpretatie bij het beantwoorden van de vraag of kennisneming al dan niet kan worden toegestaan. Dat komt er in wezen op neer dat de individuele persoon gedurende een bepaalde periode geen enkel recht op kennisneming heeft. Er is geen reden waarom de algemene aanpak van Verordening (EG) nr. 45/2001 in deze situatie niet zou kunnen worden gevolgd, met name indien artikel 20 de beperking van het recht op kennisneming tijdens de in artikel 36, lid 2, genoemde periode mogelijk zou maken. Indien de Commissie kennisneming zou willen weigeren, zou zij zich kunnen beroepen op artikel 20, waarin bepaald is dat de kennisneming kan worden geweigerd het oog op de bescherming van het onderzoek.

45.

De EDPS vindt dat in het voorstel dezelfde aanpak moet worden gevolgd als in Verordening (EG) nr. 45/2001. Het tegenovergestelde zou strijdig zijn met het algemene kader, dat voorziet in het recht op kennisneming uit hoofde van Verordening (EG) nr. 45/2001. Het probleem zou eenvoudig kunnen worden opgelost door „wordt beperkt ”te vervangen door „kan worden beperkt”.

46.

Procedure voor de verzoeken om kennisneming door individuele personen: Het voorstel heeft het vroegere artikel 37, lid 2, van Verordening (EG) nr. 515/97 gewijzigd, dat betrekking had op de procedure voor het indienen van verzoeken om te weten te komen of het DIS persoonsgegevens bevat die op hemzelf of haarzelf betrekking hebben. Het nieuwe artikel 37, lid 2, voorziet in de mogelijkheid voor individuele personen om de verzoeken om kennisneming in te dienen bij de Europese Toezichthouder voor gegevensbescherming of bij de nationale toezichthoudende autoriteiten, naargelang de gegevens door de Commissie of door een lidstaat in het DIS zijn ingevoerd.

47.

De EDPS juicht toe dat dit amendement de procedure meer in overeenstemming brengt met het bestaande juridisch kader inzake gegevensbescherming. Om de hierna volgende redenen is de EDPS evenwel van oordeel dat het antwoord op de vraag of de lidstaten bevoegd zijn, dan wel de Commissie, niet mag afhangen van de entiteit die de gegevens in het DIS heeft ingevoerd. In de eerste plaats wijst de EDPS erop dat individuele personen er zich naar alle waarschijnlijkheid niet bewust van zijn dat een entiteit — de Commissie of een lidstaat — gegevens in het DIS heeft ingevoerd. Zij weten dan ook niet welke entiteit bevoegd is om hun verzoek om kennisneming te behandelen. De procedure voor verzoeken om kennisneming zal omslachtig worden indien individuele personen verplicht zijn eerst te achterhalen wie de gegevens heeft ingevoerd. Ten tweede vindt de EDPS dat deze bepaling strijdig is met het in artikel 36, lid 1, gekozen criterium, volgens hetwelk het recht op kennisneming wordt beheerst door de wetgeving van de lidstaten inzake gegevensbescherming of de op de Commissie toepasselijke voorschriften inzake gegevensbescherming, naar gelang van het antwoord op de vraag of deze rechten in de lidstaten, dan wel binnen de EU-instellingen zijn ingeroepen. Alleen al om in overeenstemming te zijn met artikel 36, moet de bevoegdheid voor verzoeken om kennisneming derhalve worden bepaald door het antwoord op de vraag of het recht op kennisneming is ingeroepen bij de nationale toezichthoudende autoriteiten, dan wel bij de EDPS.

48.

Om dit probleem op te lossen kan de zin „naargelang de gegevens door de Commissie of door een lidstaat in het DIS zijn ingevoerd”worden vervangen door „naargelang de rechten bij de nationale toezichthoudende autoriteiten of bij de EDPS zijn ingeroepen”. Indien deze aanpak wordt gevolgd, krijgt de daaropvolgende zin van artikel 37, lid 2, zijn volledige betekenis: „Wanneer de gegevens door een andere lidstaat of door de Commissie zijn ingevoerd, geschiedt de controle in nauw overleg met de nationale controleautoriteit van die lidstaat of met de Europese Toezichthouder voor gegevensbescherming.”.

49.

Het voorstel voegt geen nieuwe elementen toe, wat de uitwisseling van persoonsgegevens met de autoriteiten van derde landen betreft. Deze aangelegenheid wordt behandeld in artikel 30, lid 4, van de verordening. Volgens de EDPS moet dit artikel worden gewijzigd, zodat erruit blijkt dat de Commissie (en niet alleen de lidstaten) speciale maatregelen moeten treffen om de gegevens te beveiligen wanneer zij aan in derde landen gevestigde diensten worden toegezonden of verstrekt. Voorts moet artikel 30, lid 4, worden gewijzigd met het oog op overeenstemming met de wetgeving inzake overdracht van persoonsgegevens naar derde landen.

50.

Artikel 41, onder a), b), c) en d) van het voorstel bevat de voorschriften voor de werking van het Referentiebestand van onderzoeksdossiers op douanegebied (FIDE). In het FIDE kunnen de bevoegde autoriteiten controleren of een persoon of bedrijf het voorwerp is geweest van een strafrechtelijk onderzoek in een lidstaat.

51.

Het FIDE bestaat reeds als instrument dat door de lidstaten uit hoofde van de derde pijler wordt gebruikt (15). Bijgevolg bestaat het doel van artikel 41 erin een rechtsgrondslag te verschaffen voor het communautaire FIDE, wat door de EDPS wordt toegejuicht.

52.

Omdat alle bepalingen van het voorstel die van toepassing zijn op het DIS, uit hoofde van artikel 41bis ook van toepassing zijn op het FIDE, gelden de opmerkingen in afdeling II hiervoor mutatis mutandis ook voor het FIDE.

53.

De EDPS wijst erop dat, aangezien de Commissie bevoegd is om de in het FIDE opgenomen gegevens te verwerken, Verordening (EG) nr. 45/2001 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de communautaire instellingen en organen en betreffende het vrije verkeer van die gegevens met zekerheid van op het FIDE van toepassing is. Volgens de EDPS is het passend in artikel 41 in herinnering te brengen dat Verordening (EG) nr. 45/2001 van toepassing is en dat de EDPS bevoegd is om toe te zien op en te zorgen voor de naleving van de voorschriften van deze verordening.

54.

De EDPS herinnert eraan dat als gevolg van de toepassing van artikel 27 van Verordening (EG) nr. 45/2001 en rekening houdend met het feit dat de doeleinden van het FIDE kunnen worden geacht specifieke risico's voor de rechten en vrijheden van het gegevenssubject op te leveren, de EDPS het systeem voorafgaand moet controleren.

55.

Artikel 41 quinquies bevat de termijnen voor de bewaring van de gegevens. De EDPS acht de termijnen van artikel 41 quinquies redelijk.

56.

Het is niet duidelijk hoe deze bepaling zich verhoudt tot artikel 33, betreffende het DIS. Er kan van worden uitgegaan dat artikel 41 quinquies prevaleert boven de bepaling met hetzelfde onderwerp betreffende het DIS, maar dit wordt in het voorstel niet verduidelijkt. Een bepaling waarin dit wordt verduidelijkt, zou nuttig zijn.

57.

Volgens het beginsel van kwaliteit van de gegevens (artikel 4 van Verordening (EG) nr. 45/2001) moeten persoonsgegevens, uitgaande van de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt, adequaat en terzake dienend zijn, en mogen deze niet buitensporig zijn. Het is duidelijk dat de kwaliteit van de persoonsgegevens alleen kan worden gewaarborgd als de nauwkeurigheid ervan op gezette tijden grondig wordt gecontroleerd. De EDPS spreekt ook zijn waardering uit voor artikel 41 quinquies, dat bepaalt dat zodra de betrokkene overeenkomstig de wettelijke en bestuursrechtelijke bepalingen en procedures van de gegevensverstrekkende lidstaat van het onderzoek is uitgesloten, de gegevens over hem onmiddellijk worden gewist.

58.

Anderzijds stelt de EDPS voor, om ervoor te zorgen dat gegevens die onnodig in het FIDE opgenomen blijven, enkele van de in artikel 33 voor het DIS vastgestelde voorschriften inzake gegevensbewaring ook op het FIDE van toepassing te maken. De EDPS stelt meer bepaald voor om de bepaling van artikel 33, lid 1, volgens welke de noodzaak de gegevens te bewaren jaarlijks door de verstrekkende instantie moet worden getoetst, ook op het FIDE van toepassing te maken. Daartoe stelt de EDPS voor om na artikel 41 quinquies, lid 2, de volgende zin toe te voegen: „De noodzaak de gegevens te bewaren wordt tenminste eenmaal per jaar getoetst door de verstrekkende lidstaat.”.

59.

De EDPS spreekt zijn tevredenheid uit over het feit dat hij is geraadpleegd over het voorstel, dat voorziet in het opzetten of bijwerken van verschillende bestanden die persoonsgegevens bevatten: het Europees gegevensbestand, het Douane-informatiesysteem (DIS) en het Referentiebestand van onderzoeksdossiers op douanegebied („FIDE”), die tot doel hebben de samenwerking en de uitwisseling van gegevens tussen de lidstaten onderling en tussen de lidstaten en de Commissie te intensiveren.

60.

Ten gronde concludeert de EDPS het volgende:

61.

Om ervoor te zorgen dat niet-noodzakelijke persoonsgegevens uit het FIDE worden gewist, stelt de EDPS voor na artikel 41quinquies, lid 2, de volgende zin toe te voegen: „De noodzaak de gegevens te bewaren wordt tenminste eenmaal per jaar getoetst door de verstrekkende lidstaat.”.

62.

Wat de procedure betreft: