De bescherming van persoonsgegevens die worden gebruikt door politie en strafrechtelijke autoriteiten (vanaf 2018)

SAMENVATTING VAN:

Richtlijn (EU) 2016/680 – De bescherming van natuurlijke personen in verband met de verwerking van hun persoonsgegevens door de politie en strafrechtelijke autoriteiten, en het vrije verkeer van die gegevens

WAT IS HET DOEL VAN DE RICHTLIJN?

Richtlijn (EU) 2016/680, de richtlijn wetshandhaving ten aanzien van gegevensbescherming, waarborgt de beveiliging van de persoonsgegevens van personen die betrokken zijn bij strafzaken, ongeacht of zij getuige, slachtoffer of verdachte zijn.
Met de richtlijn wordt een alomvattend kader gecreëerd om een hoog beschermingsniveau te garanderen, terwijl rekening wordt gehouden met de specifieke aard van het gebruik door politie en strafrechtelijke autoriteiten.
De richtlijn draagt bij aan een vergroting van vertrouwen en maakt samenwerking mogelijk op het gebied van criminaliteitsbestrijding in Europa, middels harmonisatie van de bescherming van persoonsgegevens door rechtshandhavingsautoriteiten in lidstaten van de Europese Unie (EU) en Schengenlanden.
De richtlijn maakt onderdeel uit van de EU-hervormingsmaatregelen voor gegevensbescherming, naast de Algemene verordening gegevensbescherming (AVG) (zie samenvatting) en Verordening (EU) 2018/1725 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door instellingen, organen en instanties van de EU (zie samenvatting).

KERNPUNTEN

In de richtlijn wordt voorgeschreven dat gegevens die door rechtshandhavingsautoriteiten worden verzameld:

op wettige en eerlijke wijze worden verwerkt;
uitsluitend voor welbepaalde, uitdrukkelijk omschreven en legitieme doeleinden worden verzameld en geheel in overeenstemming met deze doeleinden worden verwerkt;
toereikend, ter zake dienend en niet bovenmatig zijn in verhouding tot de doeleinden waarvoor zij worden verwerkt;
juist zijn en worden geactualiseerd waar nodig;
niet langer dan voor verwerkingsdoeleinden noodzakelijk is in een vorm worden bewaard die identificatie van de betrokkene mogelijk maakt;
met gebruikmaking van passende technische of organisatorische middelen passend worden beschermd, waaronder ook de bescherming tegen ongeoorloofde of onrechtmatige verwerking.

Termijnen

Lidstaten moeten termijnen vaststellen voor het wissen van persoonsgegevens of voor een periodieke evaluatie van de noodzaak van de opslag ervan.

Betrokkenen

De richtlijn schrijft voor dat rechtshandhavingsautoriteiten een duidelijk onderscheid maken tussen de gegevens van verschillende categorieën personen, zoals:

personen ten aanzien van wie gegronde vermoedens bestaan dat zij een strafbaar feit hebben gepleegd of zullen plegen;
personen die voor een strafbaar feit zijn veroordeeld;
slachtoffers van een strafbaar feit of personen waarvan op goede gronden wordt vermoed dat zij het slachtoffer van een strafbaar feit zouden kunnen zijn;
personen die bij een strafbaar feit betrokken zijn, onder wie mogelijke getuigen.

Informatie voor betrokkenen en toegang tot gegevens

Personen hebben er recht op dat de bevoegde rechtshandhavingsautoriteiten bepaalde informatie aan hen ter beschikking stellen, of in sommige gevallen aan hen verstrekken, zoals:

de naam en contactgegevens van de bevoegde autoriteit die beslist over het doel en de wijze van gegevensverwerking;
de doeleinden van de verwerking van de persoonsgegevens;
het bestaan van het recht om een klacht in te dienen bij een toezichthoudende autoriteit en de contactgegevens van die autoriteit;
het bestaan van het recht om te verzoeken om inzage in en rectificatie of verwijdering van hun persoonsgegevens en van het recht om de verwerking van hun persoonsgegevens te beperken.

Personen hebben het recht om van de bevoegde autoriteiten uitsluitsel te krijgen over of hun persoonsgegevens al dan niet worden verwerkt, om die persoonsgegevens in te zien en om informatie betreffende de verwerking ervan te verkrijgen.

Beveiliging en bijhouden van logbestanden

Nationale autoriteiten moeten technische en organisatorische maatregelen nemen om te zorgen dat het niveau van de beveiliging van persoonsgegevens afgestemd is op het risico. Als de gegevensverwerking is geautomatiseerd, moeten een aantal maatregelen worden getroffen, zoals:

verhinderen dat onbevoegden toegang krijgen tot apparatuur die voor verwerking wordt gebruikt;
verhinderen dat onbevoegden gegevensdragers* kunnen lezen, kopiëren, wijzigen of verwijderen;
verhinderen dat persoonsgegevens onbevoegd worden ingevoerd en dat opgeslagen persoonsgegevens onbevoegd worden ingezien, gewijzigd of gewist.

Nationale autoriteiten moeten logboeken bijhouden waarin onder andere de volgende informatie wordt opgeslagen: de datum en het tijdstip waarop de toegang tot persoonsgegevens is verkregen en de namen van degenen die de gegevens hebben geraadpleegd of aan wie de gegevens bekend zijn gemaakt. De logbestanden dienen voornamelijk te worden gebruikt om te controleren of de gegevensverwerking rechtmatig is, om de integriteit en de beveiliging van de verwerking en strafrechtelijke procedures te waarborgen.

Intrekking

Met de richtlijn wordt Kaderbesluit 2008/977/JBZ over de bescherming van persoonsgegevens die worden verwerkt in het kader van politiële en justitiële samenwerking in strafzaken per 6 mei 2018 ingetrokken.

Evaluatie

In juni 2020 heeft de Europese Commissie een mededeling uitgevaardigd getiteld “Volgende stappen om het acquis van de voormalige derde pijler aan de gegevensbeschermingsregels aan te passen”.

Op 5 mei 2022 moet het eerste verslag over de evaluatie en toetsing van de richtlijn worden ingediend.

VANAF WANNEER IS DE RICHTLIJN VAN TOEPASSING?

Deze is sinds 5 mei 2016 van toepassing. Lidstaten moesten de richtlijn voor 6 mei 2018 omzetten in nationaal recht.

ACHTERGROND

Zie voor meer informatie:

Hervorming van de EU-regels voor gegevensbescherming (Europese Commissie)
EU-regels voor gegevensbescherming (Europese Commissie)
Commissieverslag: EU-regels voor gegevensbescherming versterken positie burgers en zijn geschikt voor digitale tijdperk – persbericht (Europese Commissie)
Hervorming van gegevensbescherming – memo (Europese Commissie)
Bescherming van persoonsgegevens (Europese Commissie).

KERNBEGRIPPEN

Gegevensdragers. Schijven of andere apparatuur waarop gegevens kunnen worden opgeslagen.

BELANGRIJKSTE DOCUMENT

Richtlijn (EU) 2016/680 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en betreffende het vrije verkeer van die gegevens en tot intrekking van Kaderbesluit 2008/977/JBZ van de Raad (PB L 119 van 4.5.2016, blz. 89–131).

Achtereenvolgende wijzigingen aan Richtlijn (EU) 2016/680 werden in de basistekst opgenomen. Deze geconsolideerde versie is enkel van documentaire waarde.

GERELATEERDE DOCUMENTEN

Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming) (PB L 119 van 4.5.2016, blz. 1–88).

Verordening (EU) 2018/1725 van het Europees Parlement en de Raad van 23 oktober 2018 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie en betreffende het vrije verkeer van die gegevens, en tot intrekking van Verordening (EG) nr. 45/2001 en Besluit nr. 1247/2002/EG (PB L 295 van 21.11.2018, blz. 39–98).

Richtlijn 2002/58/EG van het Europees Parlement en de Raad van 12 juli 2002 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie (richtlijn betreffende privacy en elektronische communicatie) (PB L 201 van 31.7.2002, blz. 37–47).

Zie de geconsolideerde versie.

Laatste bijwerking 14.01.2022