De bescherming van persoonsgegevens die worden gebruikt door politie en strafrechtelijke autoriteiten (vanaf 2018)

KERNPUNTEN

In de richtlijn wordt voorgeschreven dat gegevens die door rechtshandhavingsautoriteiten worden verzameld:

• op wettige en eerlijke wijze worden verwerkt;
• uitsluitend voor welbepaalde, uitdrukkelijk omschreven en legitieme doeleinden worden verzameld en geheel in overeenstemming met deze doeleinden worden verwerkt;
• toereikend, ter zake dienend en niet bovenmatig zijn in verhouding tot de doeleinden waarvoor zij worden verwerkt;
• juist zijn en worden geactualiseerd waar nodig;
• niet langer dan voor verwerkingsdoeleinden noodzakelijk is in een vorm worden bewaard die identificatie van de betrokkene mogelijk maakt;
• met gebruikmaking van passende technische of organisatorische middelen passend worden beschermd, waaronder ook de bescherming tegen ongeoorloofde of onrechtmatige verwerking.

Termijnen

Lidstaten moeten termijnen vaststellen voor het wissen van persoonsgegevens of voor een periodieke evaluatie van de noodzaak van de opslag ervan.

Betrokkenen

De richtlijn schrijft voor dat rechtshandhavingsautoriteiten een duidelijk onderscheid maken tussen de gegevens van verschillende categorieën personen, zoals:

• personen ten aanzien van wie gegronde vermoedens bestaan dat zij een strafbaar feit hebben gepleegd of zullen plegen;
• personen die voor een strafbaar feit zijn veroordeeld;
• slachtoffers van een strafbaar feit of personen waarvan op goede gronden wordt vermoed dat zij het slachtoffer van een strafbaar feit zouden kunnen zijn;
• personen die bij een strafbaar feit betrokken zijn, onder wie mogelijke getuigen.

Informatie voor betrokkenen en toegang tot gegevens

Personen hebben er recht op dat de bevoegde rechtshandhavingsautoriteiten bepaalde informatie aan hen ter beschikking stellen, of in sommige gevallen aan hen verstrekken, zoals:

• de naam en contactgegevens van de bevoegde autoriteit die beslist over het doel en de wijze van gegevensverwerking;
• de doeleinden van de verwerking van de persoonsgegevens;
• het bestaan van het recht om een klacht in te dienen bij een toezichthoudende autoriteit en de contactgegevens van die autoriteit;
• het bestaan van het recht om te verzoeken om inzage in en rectificatie of verwijdering van hun persoonsgegevens en van het recht om de verwerking van hun persoonsgegevens te beperken.

Personen hebben het recht om van de bevoegde autoriteiten uitsluitsel te krijgen over of hun persoonsgegevens al dan niet worden verwerkt, om die persoonsgegevens in te zien en om informatie betreffende de verwerking ervan te verkrijgen.

Beveiliging en bijhouden van logbestanden

Nationale autoriteiten moeten technische en organisatorische maatregelen nemen om te zorgen dat het niveau van de beveiliging van persoonsgegevens afgestemd is op het risico. Als de gegevensverwerking is geautomatiseerd, moeten een aantal maatregelen worden getroffen, zoals:

• verhinderen dat onbevoegden toegang krijgen tot apparatuur die voor verwerking wordt gebruikt;
• verhinderen dat onbevoegden gegevensdragers¹ kunnen lezen, kopiëren, wijzigen of verwijderen;
• verhinderen dat persoonsgegevens onbevoegd worden ingevoerd en dat opgeslagen persoonsgegevens onbevoegd worden ingezien, gewijzigd of gewist.

Nationale autoriteiten moeten logboeken bijhouden waarin onder andere de volgende informatie wordt opgeslagen: de datum en het tijdstip waarop de toegang tot persoonsgegevens is verkregen en de namen van degenen die de gegevens hebben geraadpleegd of aan wie de gegevens bekend zijn gemaakt. De logbestanden dienen voornamelijk te worden gebruikt om te controleren of de gegevensverwerking rechtmatig is, om de integriteit en de beveiliging van de verwerking en strafrechtelijke procedures te waarborgen.

Intrekking

Met de richtlijn wordt Kaderbesluit 2008/977/JBZ over de bescherming van persoonsgegevens die worden verwerkt in het kader van politiële en justitiële samenwerking in strafzaken per 6 mei 2018 ingetrokken.

Evaluatie

In juni 2020 heeft de Europese Commissie een mededeling uitgevaardigd getiteld “Volgende stappen om het acquis van de voormalige derde pijler aan de gegevensbeschermingsregels aan te passen”.

Op 5 mei 2022 moet het eerste verslag over de evaluatie en toetsing van de richtlijn worden ingediend.