23.3.2010   

NL

Publicatieblad van de Europese Unie

C 73/1

1.

De Commissie heeft op 27 juli 2009 een voorstel voor een verordening van de Raad tot vaststelling van bepaalde specifieke beperkende maatregelen tegen sommige natuurlijke personen en rechtspersonen, entiteiten en lichamen in het licht van de situatie in Somalië alsmede een voorstel voor een verordening van de Raad tot wijziging van Verordening (EG) nr. 314/2004 van de Raad betreffende bepaalde beperkende maatregelen tegen Zimbabwe aangenomen. Op 18 september 2009 heeft de Commissie tevens een voorstel aangenomen voor een verordening van de Raad tot wijziging van Verordening (EG) nr. 329/2007 van de Raad betreffende beperkende maatregelen ten aanzien van de Democratische Volksrepubliek Korea. En op 23 november 2009 heeft de Commissie een voorstel aangenomen voor een verordening van de Raad tot vaststelling van bepaalde specifieke beperkende maatregelen ten aanzien van Guinee. De Commissie heeft deze voorstellen voor raadpleging naar de EDPS gestuurd, overeenkomstig artikel 28, lid 2, van Verordening (EG) nr. 45/2001. De EDPS brengt in herinnering dat hij ook informele opmerkingen heeft gemaakt over deze ontwerp-voorstellen en over andere ontwerp-voorstellen tot wijziging van vergelijkbare verordeningen van de Raad houdende bevriezing van tegoeden en tot vaststelling van andere beperkende maatregelen.

2.

Het verheugt de EDPS dat hij is geraadpleegd en dat van deze raadpleging in de preambule van de voorstellen melding is gemaakt, zoals ook is gebeurd in een aantal andere wetgevingsteksten waarover de EDPS conform Verordening (EG) 45/2001 is geraadpleegd.

3.

De in het onderhavige advies behandelde voorstellen, die wijzigingen van vigerende wetgeving of voorstellen voor nieuwe rechtsinstrumenten bevatten, strekken tot bestrijding van terrorisme of van schendingen van mensenrechten middels de vaststelling van beperkende maatregelen — met name de bevriezing van tegoeden en reisverboden — jegens natuurlijke personen of rechtspersonen die verdacht worden van banden met terroristische organisaties en/of bepaalde regeringen. De Europese Commissie publiceert in dit verband „zwarte lijsten” van natuurlijke of rechtspersonen die onder deze beperkende maatregelen vallen.

4.

De EDPS heeft op 28 juli 2009 reeds advies uitgebracht over het voorstel voor een verordening van de Raad tot wijziging van Verordening (EG) nr. 881/2002 tot vaststelling van bepaalde specifieke beperkende maatregelen tegen sommige personen en entiteiten die banden hebben met Osama bin Laden, het Al Qaida-netwerk en de Taliban (hierna „het Al Qaida-voorstel”). Daarin verwelkomt hij het voornemen van de Commissie om voor een betere bescherming van de grondrechten — inclusief de bescherming van persoonsgegevens — te zorgen, en beveelt hij aan het voorstel op bepaalde punten te wijzigen en/of te verduidelijken om tegemoet te komen aan een aantal essentiele beginselen van de EU-gegevensbescherming. De EDPS heeft het verloop van de onderhandelingen in de Raad over het Al Qaida-voorstel (3) van nabij gevolgd en betreurt het dat een groot aantal bepalingen betreffende de bescherming van persoonsgegevens is geschrapt of inhoudelijk beknot.

5.

De in bovengenoemd advies geformuleerde punten blijven onverkort geldig en de meeste ervan zijn tot op zekere hoogte ook van toepassing op de voorstellen die in het onderhavige advies worden behandeld: een groot aantal bepalingen van deze voorstellen loopt immers gelijk met die van het Al Qaida-voorstel. Het onderhavige advies, waarin rekening is gehouden met de tot dusver door de EDPS voor raadpleging ontvangen voorstellen en met het verloop van de onderhandelingen in de Raad, heeft betrekking op de toepassing van gegevensbeschermingsbeginselen in het kader van beperkende maatregelen en bevat aanbevelingen voor verbeteringen. In deze aanbevelingen is ook rekening gehouden met de inwerkingtreding van het Verdrag van Lissabon, en met belangrijke beleidslijnen uit het onlangs aangenomen programma van Stockholm (4). Deze benadering maakt het mogelijk voor de EDPS om in de toekomst alleen nieuwe adviezen over wetgevingsvoorstellen op dit gebied uit te brengen, voor zover die nieuwe voorstellen inhoudelijk sterk afwijken van de bepalingen van de voorstellen die in het onderhavige advies worden behandeld.

6.

In het onderhavige advies wordt met name ingegaan op de aspecten van de beperkende maatregelen die direct verband houden met de bescherming van persoonsgegevens, en met name met de aspecten die — op aanbeveling van de EDPS — in dat opzicht moeten worden verduidelijkt om voor rechtszekerheid en efficiëntie van de maatregelen te zorgen. Dit advies heeft geen betrekking of invloed op andere inhoudelijke vraagstukken die verband kunnen houden met het opnemen in een lijst krachtens andere regels.

7.

De voorstellen van de Commissie dienen tegemoet te komen aan de rechtspraak van het Hof van Justitie, dat herhaaldelijk heeft gesteld dat de EU-normen inzake bescherming van de grondrechten moeten worden nageleefd, ongeacht of er beperkende maatregelen zijn aangenomen op EU-niveau of maatregelen van de kant van internationale organisaties zoals de Verenigde Naties (5).

8.

De grondrechten van de EU omvatten ook het recht op bescherming van persoonsgegevens, dat door het Hof van Justitie wordt erkend als een van de beginselen die voortvloeien uit artikel 6, lid 2, VEU en voorts wordt bevestigd door artikel 8 van het Handvest van de grondrechten van de EU (6). Het recht op bescherming van persoonsgegevens is een cruciale factor binnen het domein van de beperkende maatregelen, omdat het tevens de effectieve eerbiediging van andere grondrechten dient, zoals het recht op verdediging, het recht om te worden gehoord en het recht van effectieve rechterlijke bescherming.

9.

De EDPS is, zoals hij reeds heeft aangegeven in zijn advies van 28 juli 2009 betreffende de beperkende maatregelen tegen Al Qaida, in dit opzicht ingenomen met het voornemen van de Commissie om het huidige rechtskader te verbeteren door de procedure voor opname in een lijst te versterken en uitdrukkelijk rekening te houden met het recht op bescherming van persoonsgegevens. Beperkende maatregelen zijn gebaseerd op de verwerking van persoonsgegevens, een handeling die op zich — ongeacht de bevriezing van tegoeden-onderworpen is aan regels en waarborgen van gegevensbescherming. Het is daarom van het grootste belang duidelijkheid en rechtszekerheid te scheppen over de regels die van toepassing zijn op de verwerking van persoonsgegevens van personen die op een lijst zijn geplaatst, onder andere om de rechtmatigheid en legitimiteit van de beperkende maatregelen te garanderen.

10.

In het programma van Stockholm staat duidelijk dat „waar in verband met de ruimte van vrijheid, veiligheid en recht de eerbiediging van het privéleven aan de orde is, het recht op vrijheid in het geding komt”, alsmede dat de EU op haar grondgebied en in haar betrekkingen met andere landen de toepassing van de gegevensbeschermingsbeginselen moet bevorderen.

11.

Door de inwerkingtreding van het Verdrag van Lissabon is het rechtskader op dit terrein versterkt. Enerzijds worden twee nieuwe rechtsgronden (de artikelen 75 en 215 VWEU) ingesteld op grond waarvan de EU beperkende maatregelen kan aannemen tegen natuurlijke of rechtspersonen en niet-statelijke entiteiten. Anderzijds worden in de artikelen 16 VWEU en 39 VEU het recht op gegevensbescherming en de noodzaak van gegevensbeschermingsbepalingen en -garanties op alle domeinen van actie van de Europese Unie herhaald, en krijgt het Handvest van de grondrechten van de EU een bindend karakter, waardoor-zoals in het programma van Stockholm uitdrukkelijk wordt onderkend-„de verplichting van de Unie, met name haar instellingen, om overal waar zij werkzaam is de grondrechten voortvarend te verdedigen, (…) nog dwingender zal worden” (7).

12.

Meer in het bijzonder is, wat de verwerking van persoonsgegevens door de EU-instellingen betreft, artikel 16 VWEU van toepassing op alle activiteiten van de EU, met inbegrip van het gemeenschappelijk buitenlands en veiligheidsbeleid, terwijl in artikel 39 VEU in een andere besluitvormingsprocedure is voorzien voor de verwerking van persoonsgegevens door de lidstaten in het kader van het gemeenschappelijk buitenlands en veiligheidsbeleid. Voorts wordt het Hof van Justitie volledig bevoegd, zelfs op het gebied van het gemeenschappelijk buitenlands en veiligheidsbeleid, om toezicht te houden op de wettigheid-met name de eerbiediging van de grondrechten-van besluiten houdende beperkende maatregelen jegens natuurlijke personen of rechtspersonen (artikel 275 VWEU).

13.

Verder zullen als gevolg van de toetreding van de EU tot het Europees Mensenrechtenverdrag, zoals voorzien in het Verdrag van Lissabon, de standpunten van de Raad van Europa met betrekking tot zwarte lijsten (8) alsook de rechtspraak van het Europees Mensenrechtenhof nog aan belang winnen voor het rechtskader van de EU.

14.

Artikel 8 van het Handvest van de grondrechten is in deze context van bijzonder belang, met name waar het bepaalt dat persoonsgegevens moeten worden verwerkt op basis van een gerechtvaardigde grondslag waarin de wet voorziet, en dat „eenieder recht heeft op toegang tot de over hem verzamelde gegevens en op rectificatie daarvan”. Deze wezenlijke bestanddelen van gegevensbescherming moeten in alle EU-maatregelen worden geëerbiedigd en de burger zou zelfs aanspraak kunnen maken op de rechtstreekse werking van de op grond van dit artikel toegekende rechten, ongeacht of deze in afgeleide EU-wetgeving uitdrukkelijk worden erkend.

15.

Het nieuwe rechtskader dat is ontstaan door de inwerkingtreding van het Verdrag van Lissabon, verschaft de wetgever instrumenten en houdt tegelijk de verplichting in om-ook op het gebied van beperkende maatregelen-alomvattende en consistente voorschriften voor de bescherming van persoonsgegevens vast te stellen. Deze verplichting wint nog aan belang in het licht van de sterke toename en het steeds langer van kracht blijven van dergelijke maatregelen, die verstrekkende gevolgen hebben voor de betrokkenen.

16.

In dit opzicht beveelt de EDPS de Commissie met klem aan, af te stappen van de huidige fragmentarische aanpak waarbij per land of organisatie telkens specifieke, en soms andere, voorschriften betreffende de verwerking van persoonsgegevens worden aangenomen, en een algemeen en consistent kader voor te stellen voor alle door de EU ondernomen gerichte sancties tegen natuurlijke personen of rechtspersonen, entiteiten of lichamen, dat de eerbiediging van de grondrechten van de betrokkenen, en met name van het grondrecht op bescherming van persoonsgegevens, waarborgt. Noodzakelijke beperkingen van deze rechten moeten uitdrukkelijk bij wet zijn voorzien, evenredig zijn en in elk geval de essentie van deze rechten eerbiedigen.

17.

Deze inspanning moet naar de opvatting van de EDPS parallel lopen met de door de Europese Raad in het programma van Stockholm opgenomen doelstelling om „zich in (te) zetten voor een betere opzet, tenuitvoerlegging en doeltreffendheid van de door de VN-Veiligheidsraad opgelegde sancties met het oog op de naleving van de grondrechten en de waarborging van eerlijke en duidelijke procedures” (9).

18.

In de navolgende analyse van de behandelde voorstellen zal de EDPS niet alleen aanbevelingen formuleren om de bepalingen van deze voorstellen te verbeteren, maar ook wijzen op de gegevensbeschermingsaspecten die voorlopig niet aan bod komen en-zo zal zijn aanbeveling luiden-hetzij in de betrokken rechtsinstrumenten, hetzij in een algemener kader moeten worden verduidelijkt.

19.

De EDPS heeft in zijn advies van 28 juli 2009 reeds aangegeven dat de op grond van Verordening (EG) nr. 45/2001 ingestelde gegevensbeschermingsbepalingen van toepassing zijn op de verwerking van persoonsgegevens door de EU-instellingen in het kader van beperkende maatregelen, zelfs indien deze maatregelen in oorsprong zijn genomen door internationale organisaties of terug te voeren zijn op gemeenschappelijke standpunten in het kader van het gemeenschappelijk buitenlands en veiligheidsbeleid.

20.

De EDPS verwelkomt in dit opzicht dat in de voorstellen waarover dit advies gaat, wordt verwezen naar de toepasselijkheid van Verordening (EG) nr. 45/2001 en naar de daaruit voortvloeiende rechten van de betrokkenen. De EDPS betreurt het echter dat een aantal van deze verwijzingen in de loop van de onderhandelingen over de beperkende maatregelen tegen Al Qaida is geschrapt.

21.

De EDPS wenst in dit verband te beklemtonen dat het feit dat deze verwijzingen zijn geschrapt, geen uitsluiting of beperking inhoudt van de toepasselijkheid van de verplichtingen of de rechten van de betrokkenen die niet langer expliciet in de rechtsinstrumenten worden genoemd. Het expliciet vermelden en behandelen van gegevensbeschermingsaspecten in de rechtsinstrumenten tot vaststelling van beperkende maatregelen zorgt evenwel naar de opvatting van de EDPS niet alleen voor een betere bescherming van de grondrechten, maar voorkomt tegelijk dat delicate kwesties onduidelijk blijven en als gevolg daarvan aan de rechter worden voorgelegd.

22.

Meer algemeen beklemtoont de EDPS dat op grond van artikel 8 van het Handvest van de grondrechten van de EU „eenieder recht heeft op bescherming van de hem betreffende persoonsgegevens”. Dit betekent dat dit grondrecht in de Europese Unie moet worden gewaarborgd ongeacht de nationaliteit, verblijfplaats of beroepsactiviteit van de betrokkene. Het kan met andere woorden wel degelijk noodzakelijk zijn dit recht in het kader van beperkende maatregelen te limiteren, maar bepaalde categorieën, zoals personen die banden hebben met de regering van een derde land, mogen er niet per definitie of algemeen van worden uitgesloten.

23.

Overeenkomstig de toepasselijke gegevensbeschermingsbepalingen (artikel 4 van Verordening (EG) nr. 45/2001) moeten persoonsgegevens eerlijk en rechtmatig worden verwerkt; voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verkregen en vervolgens niet op een met die doeleinden onverenigbare wijze worden verwerkt; uitgaande van de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt, adequaat, ter zake dienend en niet buitensporig zijn. Persoonsgegevens moeten tevens nauwkeurig zijn en zo nodig worden bijgewerkt; alle redelijke maatregelen moeten worden getroffen om de gegevens die onnauwkeurig of onvolledig zijn, te wissen of te corrigeren. Persoonsgegevens mogen ten slotte in een vorm die het mogelijk maakt de betrokkenen te identificeren, niet langer worden bewaard dan noodzakelijk is voor de verwezenlijking van de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt.

24.

Het verheugt de EDPS dat de Commissievoorstellen (10) telkens uitdrukkelijk bepalen welke categorieën persoonsgegevens worden verwerkt in het kader van beperkende maatregelen, en steeds een uitdrukkelijke regeling bevatten voor het verwerken van persoonsgegevens met betrekking tot strafbare feiten, veroordelingen of veiligheidsmaatregelen.

25.

Tegen die achtergrond is de EDPS ingenomen met het beginsel dat is opgenomen in lid 3 en volgens hetwelk de achternaam en voornaam van de ouders van de natuurlijke persoon alleen in de bijlage kunnen worden opgenomen indien deze gegevens in een specifiek geval en uitsluitend ter identificatie van de betrokken natuurlijke persoon op de lijst noodzakelijk zijn. Deze bepaling is ook een goede weergave van het doelbindingsbeginsel op het gebied van gegevensbescherming, dat inhoudt dat persoonsgegevens voor welbepaalde doeleinden worden verkregen en vervolgens niet op een met die doeleinden onverenigbare wijze mogen worden verwerkt.

26.

Om ervoor te zorgen dat dit beginsel passend wordt verduidelijkt en van toepassing is op elke vorm van verwerking van persoonsgegevens op dit gebied, beveelt de EDPS aan om dit beginsel uitdrukkelijk op alle gegevenscategorieën toe te passen, door de betreffende artikelen in die zin te wijzigen dat in de bijlage met de op een lijst geplaatste personen „uitsluitend de informatie wordt opgenomen die noodzakelijk is voor de identificatie van de natuurlijke personen die op de lijst zijn geplaatst, en in geen geval meer dan de volgende informatie:”. Door deze wijziging kan worden voorkomen dat onnodige informatie over op een lijst opgenomen natuurlijke personen en hun gezinsleden wordt verzameld en bekendgemaakt.

27.

Verder stelt de EDPS voor om in de voorstellen uitdrukkelijk te bepalen dat persoonsgegevens worden geschrapt of geanonimiseerd zodra zij in een bepaald geval niet langer nodig zijn voor de uitvoering van de beperkende maatregelen of voor de behandeling van een zaak door het Hof van Justitie.

28.

Wat betreft de verplichting dat persoonsgegevens nauwkeurig moeten zijn en moeten worden bijgewerkt, volgen de behandelde voorstellen een verschillende aanpak. In het voorstel betreffende Somalië, dat geïnspireerd is op het Al Qaida-voorstel, wordt bepaald dat indien de Verenigde Naties besluiten een persoon van de lijst te schrappen, de Commissie de EU-lijst dienovereenkomstig moet aanpassen (artikel 11, lid 4). Het voorstel betreffende de Democratische Volksrepubliek Korea bevat een verplichting om de EU-lijst regelmatig en ten minste om de twaalf maanden te evalueren (artikel 6, lid 2). In de andere voorstellen wordt niet naar deze mechanismen verwezen.

29.

Dit neemt niet weg dat alle EU-lijsten-ongeacht tegen welk land zij zijn gericht en ongeacht of zij rechtstreeks op EU-niveau dan wel ter uitvoering van VN-besluiten zijn aangenomen-moeten voldoen aan het beginsel van gegevenskwaliteit, dat van cruciaal belang is in het kader van beperkende maatregelen. Zoals het Gerecht van eerste aanleg onlangs heeft aangegeven (11), moet, indien de beperkende maatregelen gebaseerd zijn op een onderzoek van de politie of van de veiligheidsdienst, bij de evaluatie van de lijsten terdege rekening worden gehouden met latere ontwikkelingen van dit onderzoek (zoals de afsluiting van het onderzoek zonder verdere gerechtelijke stappen, het afzien van vervolging of een vrijspraak), teneinde te voorkomen dat iemands tegoeden zonder enige rechterlijke controle en ongeacht de uitkomst van de eventueel aangespannen gerechtelijke procedures onbeperkt worden bevroren.

30.

Tegen die achtergrond beveelt de EDPS aan dat voor alle huidige en nog komende voorstellen ter zake effectieve mechanismen worden ingesteld om natuurlijke personen van een lijst te schrappen en de EU-lijsten regelmatig aan nieuw onderzoek te onderwerpen.

31.

In zijn advies van 28 juli 2009 heeft de EDPS zich ingenomen getoond met het voornemen van de Commissie om de eerbiediging van de grondrechten te versterken door de betrokkenen middelen te bieden om kennis te nemen van de redenen waarom zij op de lijst zijn geplaatst, en hen de mogelijkheid te geven tot commentaar. Een gelijkluidende bepaling wordt thans voorgesteld met betrekking tot Somalië (12) en Guinee (13), terwijl, wat Zimbabwe (14) betreft, het recht om kennis te nemen van de redenen waarom men op een lijst is geplaatst en om commentaar te geven, beperkt is tot personen die geen banden hebben met de regering. In het voorstel betreffende de Democratische Volksrepubliek Korea is helemaal geen sprake van deze mogelijkheid.

32.

De EDPS herinnert aan de verplichting overeenkomstig artikel 11 om de betrokkene informatie te verschaffen, en in het bijzonder aan artikel 12 van Verordening (EG) nr. 45/2001 over mee te delen informatie in het geval van niet bij de betrokkene verzamelde gegevens. Deze bepalingen moeten ten aanzien van alle betrokkenen worden nageleefd, ongeacht hun nationaliteit of hun banden met de regering van een bepaald land. Het spreekt vanzelf dat het verstrekken van informatie aan personen op een lijst op verschillende manieren kan gebeuren, die kunnen worden aangepast aan de specifieke politieke context waarin de beperkende maatregelen worden genomen. Voorts kunnen op grond van artikel 20 van Verordening (EG) nr. 45/2001 (15) beperkingen of uitzonderingen worden vastgesteld, voor zover zij in specifieke omstandigheden nodig zijn, maar er kan niet in het algemeen of onbeperkt afstand worden genomen van de verplichting om informatie te verschaffen.

33.

Derhalve beveelt de EDPS aan dat in alle huidige en nog komende voorstellen ter zake uitdrukkelijker wordt voorzien in het recht op informatie van personen op een lijst, alsmede in de voorwaarden en modaliteiten van de beperkingen die eventueel noodzakelijk zijn.

34.

In artikel 8, lid 2, van het Handvest van de grondrechten van de EU wordt bepaald dat „eenieder recht heeft op toegang tot de over hem verzamelde gegevens en op rectificatie daarvan”. Dit maakt van het recht van toegang een van de kernpunten van het grondrecht op bescherming van persoonsgegevens. In het verlengde daarvan heeft de betrokkene op grond van artikel 13 van Verordening (EG) nr. 45/2001 het recht te allen tijde en ongehinderd binnen drie maanden na ontvangst van het verzoek kosteloos van de verantwoordelijke voor de verwerking, onder meer de gegevens die verwerking ondergaan in begrijpelijke vorm verstrekt te krijgen (zie onder c)).

35.

Wanneer het gaat om beperkende maatregelen, staan de personalia van personen op een lijst-en met name de gegevens betreffende de redenen waarom de betrokkene op de lijst is opgenomen-vaak in gerubriceerde documenten. De voorstellen van de Commissie bevatten gelijkluidende bepalingen met betrekking tot dit soort documenten: ten eerste is bepaald dat indien de VN of een bepaald land gerubriceerde informatie verstrekt, de Commissie deze informatie moet verwerken overeenkomstig de interne veiligheidsvoorschriften van de Commissie (Besluit 2001/844/EG, EGKS, Euratom (16) en, voor zover van toepassing, volgens de overeenkomst tussen de EU en het verstrekkende land inzake de beveiliging van gerubriceerde gegevens; tevens is bepaald dat documenten die zijn gerubriceerd op een niveau dat overeenstemt met „EU Top Secret”, „EU Secret” of „EU Confidential”, niet worden vrijgegeven zonder toestemming van de verstrekker (17).

36.

De EDPS heeft in zijn advies van 28 juli 2009 reeds een uitvoerige analyse verricht van deze bepalingen (18), en heeft erop gewezen dat de toegang van betrokkenen tot de op hen betrekking hebbende persoonsgegevens niet aan bod komt in de interne veiligheidsvoorschriften van de Commissie noch in de overeenkomsten met individuele lidstaten of met de VN. Beperkingen van het recht van toegang kunnen overigens wel degelijk worden overwogen in het kader van beperkende maatregelen, maar de huidige bepalingen bieden niet de waarborg dat een beperking alleen plaatsvindt wanneer dit noodzakelijk is en bevatten ook geen inhoudelijke criteria om de noodzakelijkheid ervan te toetsen. Uit de voorstellen blijkt immers dat ten aanzien van het recht van toegang een onvoorwaardelijke verplichting geldt om de toestemming van de verstrekker te verkrijgen, hetgeen een en ander volledig aan de discretie van de verstrekker van de informatie, waaronder partijen die niet onderworpen zijn aan de EU-wetgeving en de EU-normen inzake de bescherming van grondrechten, overlaat.

37.

In de loop van de onderhandelingen in de Raad is deze bepaling uit het Al Qaida-voorstel geschrapt.

38.

In dat licht beveelt de EDPS de wetgever met klem aan, het essentiële recht van personen op een lijst om toegang te hebben-rechtstreeks of onrechtstreeks via andere autoriteiten (19) -tot de hen betreffende persoonsgegevens in gerubriceerde documenten, onder voorbehoud van evenredige beperkingen die in bepaalde omstandigheden noodzakelijk zouden zijn, in alle huidige en nog komende voorstellen op te nemen.

39.

De EDPS wenst tevens te memoreren dat in Verordening (EG) nr. 45/2001 ook andere rechten van de betrokkenen zijn opgenomen, die de wetgever bij de behandeling van de huidige of komende voorstellen in aanmerking dient te nemen. Zo bevat artikel 14 de verplichting voor de verantwoordelijke voor de verwerking om onnauwkeurige of onvolledige persoonsgegevens onverwijld te rectificeren, terwijl artikel 17 de verplichting inhoudt om derden aan wie gegevens zijn verstrekt, in kennis te stellen van elke rectificatie of verwijdering van gegevens-zoals bij schrapping van een lijst het geval is-tenzij dit onmogelijk blijkt of onevenredig veel moeite kost.

40.

De EDPS neemt er tevens met voldoening nota van dat alle voorstellen uitdrukkelijk voorzien in de aanwijzing van een dienst van de Europese Commissie als verantwoordelijke voor de verwerking, hetgeen de zichtbaarheid van de verantwoordelijke zal verbeteren, de betrokkenen beter in staat zal stellen hun rechten uit te oefenen en de toewijzing van verantwoordelijkheden op grond van Verordening (EG) nr. 45/2001 zal vergemakkelijken.

41.

Een belangrijk vraagstuk dat in de voorstellen tot dusver niet expliciet aan de orde is gekomen maar wel impliciet besloten ligt in de procedure voor het op een lijst plaatsen, is hoe ervoor kan worden gezorgd dat persoonsgegevens adequaat worden beschermd wanneer zij door de EU met derde landen en internationale organisaties-zoals de Verenigde Naties-worden uitgewisseld.

42.

De EDPS wijst in dit verband op artikel 9 van Verordening (EG) nr. 45/2001, dat de voorwaarden bevat voor doorgifte van persoonsgegevens aan ontvangers die geen communautaire organen zijn en niet onder Richtlijn 95/46/EG vallen. Hiervoor is een heel scala aan oplossingen beschikbaar, van toestemming van de betrokkene (lid 6, onder a) en de uitoefening van een recht in rechte (lid 6, onder d)-nuttig indien de informatie door de op de lijst vermelde persoon is verstrekt om de herziening van die plaatsing op de lijst te initiëren-tot mechanismen in VN-kader of in de betrokken derde landen om een adequate bescherming te waarborgen van door de EU doorgegeven persoonsgegevens.

43.

De EDPS herinnert eraan dat de diverse beoogde verwerkingshandelingen met dit stelsel in overeenstemming moeten zijn, en beveelt de wetgever aan ervoor te zorgen dat adequate mechanismen en waarborgen-zoals specificaties in de voorstellen en in de regelingen met de VN of met andere betrokken derde landen-voorhanden zijn teneinde een passende bescherming te waarborgen van persoonsgegevens die met derde landen en internationale organisaties worden uitgewisseld.

44.

De EDPS vindt dat restricties en beperkingen van bepaalde grondrechten, zoals de bescherming van persoonsgegevens, cruciaal zijn in de context van beperkende maatregelen, omdat zij noodzakelijk kunnen zijn om een effectieve en correcte handhaving van de beperkende maatregelen te waarborgen.

45.

Het Europees Mensenrechtenverdrag, het EU-Handvest van de grondrechten en de specifieke rechtsinstrumenten op het gebied van gegevensbescherming, daaronder begrepen artikel 20 van Verordening (EG) nr. 45/2001, voorzien in deze mogelijkheid, mits wordt voldaan aan bepaalde voorwaarden die zijn bevestigd en verduidelijkt door het Europees Hof voor de Rechten van de Mens en het Europees Hof van Justitie (20). Kort samengevat moeten die beperkingen van het grondrecht op gegevensbescherming op wetgevingsmaatregelen zijn gebaseerd en een strenge evenredigheidstoets doorstaan, met andere woorden, zij dienen, ook op het gebied van beperkende maatregelen, zowel inhoudelijk als in de tijd beperkt te zijn tot wat nodig is om het in het geding zijnd openbaar belang te dienen, zoals bevestigd door de uitvoerige jurisprudentie van het Hof van Justitie. Algemene, onevenredige of onvoorzienbare restricties zouden deze test niet doorstaan.

46.

Informatieverstrekking aan betrokkenen zal bijvoorbeeld moeten worden uitgesteld als dat nodig is om het „verrassingseffect” te handhaven van het besluit om die persoon op de lijst te plaatsen en diens tegoeden te bevriezen. Het Gerecht van eerste aanleg heeft er in zijn rechtspraak (21) echter op gewezen dat blijven weigeren of uitstellen van het verstrekken van deze informatie, zelfs nadat tegoeden zijn bevroren, onnodig en bijgevolg onevenredig is. Evenredige en tijdelijke restricties van het recht van toegang van op een lijst geplaatste personen tot de hen betreffende persoonsgegevens-inclusief tot informatie over de besluiten die ten grondslag liggen aan de plaatsing op een lijst-zijn ook mogelijk, maar een algehele en permanente uitsluiting van dit recht valt niet te rijmen met de essentie van het grondrecht op bescherming van persoonsgegevens.

47.

Verordening (EG) nr. 45/2001 biedt reeds het rechtskader voor beperkingen en waarborgen. De leden 3 en 4 van artikel 20 bevatten regels betreffende de toepassing van een beperking. Volgens lid 3 dient de desbetreffende instelling de betrokkene in kennis te stellen van de voornaamste redenen waarop de toepassing van de beperking berust en van zijn, respectievelijk haar recht om zich tot de EDPS te wenden. Lid 4 bevat een nadere regel die specifiek betrekking heeft op een beperking van het recht van toegang. Die regel stelt dat wanneer de EDPS op basis van lid 3 een verzoek bestudeert, hij de betrokkene slechts meedeelt of de gegevens op correcte wijze zijn verwerkt en, zo niet, of de noodzakelijke verbeteringen zijn aangebracht (22).

48.

De beperkingen van de rechten op gegevensbescherming worden in de huidige voorstellen slechts gedeeltelijk of impliciet behandeld, en staan bijgevolg niet in de weg aan conflicterende normen en verschillende mogelijke interpretaties, die wellicht uiteindelijk voor de rechter zullen komen. De onderhandelingen over het Al Qaida-voorstel lijken te tenderen naar minder aandacht voor rechten op gegevensbescherming en de noodzakelijke beperkingen daarop.

49.

De EDPS beveelt de wetgever daarom aan zich over deze delicate kwestie te buigen, door in de thans behandelde voorstellen of in een ander rechtsinstrument meer duidelijkheid te verschaffen over de beperkingen van de gegevensbeschermingsbeginselen en over de waarborgen die in het kader van beperkende maatregelen noodzakelijk zijn. Beperkingen zouden daardoor voorzienbaar en evenredig worden, en tegelijk zou de doeltreffendheid van de beperkende maatregelen, de eerbiediging van de grondrechten en een vermindering van het aantal rechtszaken erdoor worden gegarandeerd. Dit beantwoordt bovendien aan het programma van Stockholm, waarin duidelijk staat dat de EU moet bepalen onder welke omstandigheden overheidsinstanties beperkingen kunnen stellen aan de uitoefening van gegevensbeschermingsrechten (23).

50.

Overeenkomstig artikel 32, lid 4, van Verordening (EG) nr. 45/2001 en artikel 23 van Richtlijn 95/46/EG heeft eenieder die schade heeft geleden ten gevolge van een onrechtmatige verwerking van gegevens, het recht van de voor de verwerking verantwoordelijke een vergoeding van de geleden schade te verkrijgen, tenzij de voor de verwerking verantwoordelijke bewijst dat de schade hem niet kan worden toegerekend. Het betreft hier een specificatie van het algemene rechtsbegrip „aansprakelijkheid”, door omkering van de bewijslast.

51.

In dit geval zijn beperkende maatregelen gebaseerd op de verwerking en bekendmaking van persoongegevens, een handeling die op zichzelf-ongeacht de genomen beperkende maatregelen-aanleiding kan geven tot morele schade, zoals reeds door het Gerecht van eerste aanleg is erkend (24).

52.

De EDPS wijst erop dat deze niet-contractuele aansprakelijkheid voor de verwerking van persoonsgegevens die indruist tegen de toepasselijke dataprotectiewetgeving, geldig blijft en niet van haar essentiële inhoud kan worden ontdaan, zelfs indien enkele van de in dit advies behandelde voorstellen (25) een uitsluiting van aansprakelijkheid bevatten-behalve in het geval van nalatigheid-voor de natuurlijke of rechtspersonen die beperkende maatregelen ten uitvoer leggen.

53.

Op een lijst geplaatste personen hebben recht op een beroep in rechte en op administratieve voorziening voor de bevoegde toezichthoudende autoriteiten inzake gegevensbescherming. Laatstgenoemde voorziening behelst tevens het horen van klachten die zijn ingediend door de betrokkenen, overeenkomstig artikel 32 van Verordening (EG) nr. 45/2001, en berusten op de bevoegdheid van de EDPS om van een verantwoordelijke voor de verwerking of een communautaire instelling of communautair orgaan toegang te verkrijgen tot alle persoonsgegevens en tot alle informatie die voor zijn onderzoek nodig zijn (zie artikel 47, lid 2, onder b), van Verordening (EG) nr. 45/2001).

54.

Onafhankelijk toezicht op de naleving van de gegevensbeschermingsbepalingen is een kernbeginsel van gegevensbescherming dat, in verband met de verwerking van persoonsgegevens in het kader van activiteiten van de EU, thans uitdrukkelijk wordt bevestigd in artikel 8 van het EU-Handvest van de grondrechten, alsook in artikel 16 VWEU en artikel 39 VEU.

55.

Zoals hij in zijn advies van 28 juli 2009 reeds heeft aangegeven (26), vreest de EDPS dat de in de thans behandelde voorstellen opgenomen voorwaarde dat gerubriceerde informatie alleen met toestemming van de verstrekker wordt vrijgegeven, niet alleen afbreuk kan doen aan de toezichthoudende bevoegdheden van de EDPS ter zake, maar ook de doeltreffendheid van het juridisch toezicht zou kunnen aantasten, door afbreuk te doen aan de mogelijkheid van het Hof van Justitie om te toetsen of er een goed evenwicht is gevonden tussen de noodzaak om het internationaal terrorisme te bestrijden en de bescherming van de grondrechten. Zoals het Gerecht van eerste aanleg in zijn arrest van 4 december 2008 heeft gesteld, kan de toegang tot gerubriceerde informatie nodig zijn om het Hof daartoe in staat te stellen (27).

56.

In dat licht beveelt de EDPS aan dat in de thans behandelde voorstellen de waarborg wordt opgenomen dat de voorhanden zijnde rechtsmiddelen en het onafhankelijk toezicht door de toezichthoudende autoriteiten voor gegevensbescherming onverkort van toepassing zijn, en dat aan de effectiviteit ervan geen afbreuk wordt gedaan door voorwaarden in verband met de toegang tot gerubriceerde documenten. Een eerste stap om dit te verwezenlijken zou erin kunnen bestaan om in de desbetreffende artikelen van de thans behandelde voorstellen (28) het woord „vrijgegeven” te vervangen door „openbaar gemaakt”.

57.

Het is de vaste overtuiging van de EDPS dat de strijd tegen degenen die de eerbiediging van de grondrechten ondermijnen, onder eerbiediging van die grondrechten moet worden gevoerd.

58.

Zoals reeds aangegeven in zijn advies van 28 juli 2009 betreffende de beperkende maatregelen tegen Al Qaida, is de EDPS in dit opzicht ingenomen met het voornemen van de Commissie om het huidige rechtskader te verbeteren door de procedure voor opname in een lijst te versterken en uitdrukkelijk rekening te houden met het recht op bescherming van persoonsgegevens.

59.

In het licht van de door het Verdrag van Lissabon geboden instrumenten en de langetermijnvisie die in het programma van Stockholm is verwoord, beveelt de EDPS de Commissie met klem aan, af te stappen van de huidige fragmentarische aanpak waarbij per land of organisatie telkens specifieke, en soms andere, voorschriften betreffende de verwerking van persoonsgegevens worden aangenomen, en een algemeen en consistent kader voor te stellen voor alle door de EU ondernomen gerichte sancties tegen natuurlijke personen of rechtspersonen, entiteiten of lichamen, dat de eerbiediging van de grondrechten van de betrokkenen, en met name de eerbiediging van het grondrecht op bescherming van persoonsgegevens, waarborgt. Noodzakelijke beperkingen van deze rechten moeten uitdrukkelijk bij wet zijn voorzien, evenredig zijn en in elk geval de essentie van deze rechten eerbiedigen.

60.

De EDPS verwelkomt dat in de voorstellen waarover dit advies gaat wordt verwezen naar de toepasselijkheid van Verordening (EG) nr. 45/2001 en naar de daaruit voortvloeiende rechten van de betrokkenen.

61.

Met betrekking tot de gegevenskwaliteit en het doelbindingsbeginsel beveelt de EDPS een aantal wijzigingen aan die moeten waarborgen dat alleen noodzakelijke gegevens worden verwerkt, en dat deze gegevens worden bijgewerkt en niet langer worden bewaard dan noodzakelijk is. De EDPS beveelt met name aan dat voor alle huidige en nog komende voorstellen ter zake effectieve mechanismen worden ingesteld om natuurlijke personen van een lijst te schrappen en de EU-lijsten regelmatig aan nieuw onderzoek te onderwerpen.

62.

De EDPS beveelt aan dat in alle huidige en nog komende voorstellen ter zake uitdrukkelijker wordt voorzien in het recht op informatie van personen op een lijst, alsmede in de voorwaarden en modaliteiten van de beperkingen die eventueel noodzakelijk zijn.

63.

De EDPS beveelt de wetgever met klem aan, het essentiële recht van personen op een lijst om toegang te hebben tot de hen betreffende persoonsgegevens in gerubriceerde documenten, onder voorbehoud van evenredige beperkingen die in bepaalde omstandigheden noodzakelijk zouden zijn, in alle huidige en nog komende voorstellen op te nemen.

64.

De EDPS beveelt de wetgever aan ervoor te zorgen dat adequate mechanismen en waarborgen-zoals specificaties in de voorstellen en in de regelingen met de VN of met andere betrokken derde landen-voorhanden zijn teneinde een passende bescherming te waarborgen van persoonsgegevens die met derde landen en internationale organisaties worden uitgewisseld.

65.

De EDPS beveelt de wetgever aan, in de thans behandelde voorstellen of in een ander rechtsinstrument meer duidelijkheid te verschaffen over de beperkingen van de gegevensbeschermingsbeginselen en over de waarborgen die in het kader van beperkende maatregelen noodzakelijk zijn, teneinde de eventuele beperkingen voorzienbaar en evenredig te maken.

66.

De EDPS wijst erop dat de aansprakelijkheid voor de onrechtmatige verwerking van persoonsgegevens als principe geldig blijft en niet van haar essentiële inhoud kan worden ontdaan.

67.

De EDPS beveelt aan ervoor te zorgen dat de voorhanden zijnde rechtsmiddelen en het onafhankelijk toezicht door de toezichthoudende autoriteiten voor gegevensbescherming onverkort van toepassing zijn, en dat aan de effectiviteit ervan geen afbreuk wordt gedaan door voorwaarden in verband met de toegang tot gerubriceerde documenten.