RICHTLIJN (EU) 2023/2123 VAN HET EUROPEES PARLEMENT EN DE RAAD

van 4 oktober 2023

tot wijziging van Besluit 2005/671/JBZ van de Raad met het oog op de aanpassing ervan aan de Unievoorschriften inzake de bescherming van persoonsgegevens

HET EUROPEES PARLEMENT EN DE RAAD VAN DE EUROPESE UNIE,

Gezien het Verdrag betreffende de werking van de Europese Unie, en met name artikel 16, lid 2,

Gezien het voorstel van de Europese Commissie,

Na toezending van het ontwerp van wetgevingshandeling aan de nationale parlementen,

Handelend volgens de gewone wetgevingsprocedure (1),

Overwegende hetgeen volgt:

(1)

Richtlijn (EU) 2016/680 van het Europees Parlement en de Raad (2) voorziet in geharmoniseerde bepalingen inzake de bescherming en het vrije verkeer van persoonsgegevens die worden verwerkt met het oog op de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid. Overeenkomstig die richtlijn moeten de lidstaten persoonsgegevens op een dusdanige manier verwerken dat de passende beveiliging ervan gewaarborgd is. Die richtlijn bepaalt voorts dat de Commissie moet nagaan of andere relevante door de Unie vastgestelde rechtshandelingen aan die richtlijn moeten worden aangepast en dat zij, waar passend, de nodige voorstellen moet indienen om die handelingen te wijzigen teneinde een consequente aanpak van de bescherming van persoonsgegevens binnen het toepassingsgebied van die richtlijn te waarborgen.

(2)

Besluit 2005/671/JBZ van de Raad (3) voorziet in specifieke voorschriften betreffende informatie-uitwisseling en samenwerking in verband met strafbare feiten van terroristische aard. Om een consistente aanpak van de bescherming van persoonsgegevens in de Unie te waarborgen, moet dat besluit worden gewijzigd om het in overeenstemming te brengen met Richtlijn (EU) 2016/680. Meer bepaald moet in dat besluit, op een wijze die in overeenstemming is met Richtlijn (EU) 2016/680, het doel van de verwerking van persoonsgegevens worden bepaald en moet worden aangegeven welke categorieën persoonsgegevens kunnen worden uitgewisseld, overeenkomstig de vereisten van artikel 8, lid 2, van Richtlijn (EU) 2016/680, waarbij terdege rekening wordt gehouden met de operationele behoeften van de betrokken autoriteiten.

(3)	Duidelijkheidshalve moeten de verwijzingen in Besluit 2005/671/JBZ naar de rechtsinstrumenten betreffende de werking van het Agentschap van de Europese Unie voor samenwerking op het gebied van rechtshandhaving (Europol) worden geactualiseerd.

(4)

Bij de toepassing van Besluit 2005/671/JBZ, in het kader waarvan informatie over strafbare feiten van terroristische aard wordt verwerkt, wordt uitgewisseld en verder wordt gebruikt, worden persoonsgegevens verwerkt. Met het oog op de consistentie en op een doeltreffende bescherming van deze persoonsgegevens is het van belang dat de verwerking van persoonsgegevens in het kader van de toepassing van Besluit 2005/671/JBZ in overeenstemming is met het Unierecht, waaronder de voorschriften van Richtlijn (EU) 2016/680, en in overeenstemming is met de beveiligingsvereisten, waarborgen en garanties inzake gegevensbescherming die zijn vastgelegd in andere Unierechtelijke instrumenten die gegevensbeschermingsbepalingen bevatten, waaronder Verordening (EU) 2016/794 (4) en Verordening (EU) 2018/1725 (5) van het Europees Parlement en de Raad, alsook met het nationale recht.

(5)

Overeenkomstig artikel 6 bis van Protocol nr. 21 betreffende de positie van het Verenigd Koninkrijk en Ierland ten aanzien van de ruimte van vrijheid, veiligheid en recht, dat gehecht is aan het Verdrag betreffende de Europese Unie (VEU) en het Verdrag betreffende de werking van de Europese Unie (VWEU), is Ierland niet gebonden door de in deze richtlijn vastgestelde regels die betrekking hebben op de verwerking van persoonsgegevens door de lidstaten bij de uitoefening van activiteiten die binnen het toepassingsgebied van deel III, titel V, hoofdstuk 4 of 5 VWEU vallen, wanneer Ierland niet gebonden is door de regels betreffende de vormen van justitiële samenwerking in strafzaken of van politiële samenwerking in het kader waarvan de op grond van artikel 16 VWEU vastgestelde bepalingen moeten worden nageleefd.

(6)

Overeenkomstig de artikelen 2 en 2 bis van Protocol nr. 22 betreffende de positie van Denemarken, dat gehecht is aan het VEU en het VWEU, zijn de in deze richtlijn vastgestelde regels die betrekking hebben op de verwerking van persoonsgegevens door de lidstaten bij de uitoefening van activiteiten die binnen het toepassingsgebied van deel III, titel V, hoofdstuk 4 of 5 VWEU vallen, niet bindend voor, noch van toepassing in Denemarken.

(7)	Overeenkomstig artikel 42, lid 1, van Verordening (EU) 2018/1725 is de Europese Toezichthouder voor gegevensbescherming geraadpleegd, en op 25 januari 2022 heeft hij een advies uitgebracht,

HEBBEN DE VOLGENDE RICHTLIJN VASTGESTELD:

Artikel 1

Besluit 2005/671/JBZ wordt als volgt gewijzigd:

Artikel 1 wordt als volgt gewijzigd:

a)	punt b) wordt geschrapt;

punt d) wordt vervangen door:

“d)	“groep of entiteit”: terroristische groepering zoals gedefinieerd in artikel 2, punt 3), van Richtlijn (EU) 2017/541 en de groepen en entiteiten die zijn vermeld in de bijlage bij Gemeenschappelijk Standpunt 2001/931/GBVB van de Raad (*1).

(*1) Gemeenschappelijk Standpunt 2001/931/GBVB van de Raad van 27 december 2001 betreffende de toepassing van specifieke maatregelen ter bestrijding van het terrorisme (PB L 344 van 28.12.2001, blz. 93).”."

Artikel 2 wordt als volgt gewijzigd:

a)	het kopje wordt vervangen door: “Verstrekking van informatie over strafbare feiten van terroristische aard aan Europol en de lidstaten”;

het volgende lid wordt toegevoegd:

“3 bis. Elke lidstaat zorgt ervoor dat persoonsgegevens overeenkomstig lid 3 van dit artikel uitsluitend worden verwerkt met het oog op het voorkomen, onderzoeken, opsporen of vervolgen van strafbare feiten van terroristische aard en andere strafbare feiten die vallen onder de bevoegdheid van Europol, zoals vermeld in bijlage I bij Verordening (EU) 2016/794. Een dergelijke verwerking doet geen afbreuk aan de beperkingen die van toepassing zijn op de verwerking van gegevens uit hoofde van Verordening (EU) 2016/794.”

;

c)	aan lid 4 wordt de volgende alinea toegevoegd: “De categorieën persoonsgegevens die voor de in lid 3 bis genoemde doeleinden aan Europol moeten worden verstrekt, blijven beperkt tot die welke zijn vermeld in deel B, punt 2, van bijlage II bij Verordening (EU) 2016/794.”;

d)	aan lid 6 wordt de volgende alinea toegevoegd: “De categorieën persoonsgegevens die tussen de lidstaten mogen worden uitgewisseld voor de in de eerste alinea genoemde doeleinden, blijven beperkt tot die welke zijn vermeld in deel B, punt 2, van bijlage II bij Verordening (EU) 2016/794.”.

Artikel 2

1. De lidstaten doen de nodige wettelijke en bestuursrechtelijke bepalingen in werking treden om uiterlijk op 1 november 2025 aan deze richtlijn te voldoen. Zij stellen de Commissie daarvan onmiddellijk in kennis.

Wanneer de lidstaten die bepalingen vaststellen, wordt in de bepalingen zelf of bij de officiële bekendmaking daarvan naar deze richtlijn verwezen. De regels voor een dergelijke verwijzing worden vastgesteld door de lidstaten.

2. De lidstaten delen de Commissie de tekst van de belangrijkste bepalingen van intern recht mee die zij op het onder deze richtlijn vallende gebied vaststellen.

Artikel 3

Deze richtlijn treedt in werking op de twintigste dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie.

Artikel 4

Deze richtlijn is gericht tot de lidstaten overeenkomstig de Verdragen.

Gedaan te Straatsburg, 4 oktober 2023.

Voor het Europees Parlement

De voorzitter

R. METSOLA

Voor de Raad

De voorzitter

J. M. ALBARES BUENO

(1) Standpunt van het Europees Parlement van 12 juli 2023 (nog niet bekendgemaakt in het Publicatieblad) en besluit van de Raad van 18 september 2023.

(2) Richtlijn (EU) 2016/680 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en betreffende het vrije verkeer van die gegevens en tot intrekking van Kaderbesluit 2008/977/JBZ van de Raad (PB L 119 van 4.5.2016, blz. 89).

(3) Besluit 2005/671/JBZ van de Raad van 20 september 2005 betreffende informatie-uitwisseling en samenwerking in verband met strafbare feiten van terroristische aard (PB L 253 van 29.9.2005, blz. 22).

(4) Verordening (EU) 2016/794 van het Europees Parlement en de Raad van 11 mei 2016 betreffende het Agentschap van de Europese Unie voor samenwerking op het gebied van rechtshandhaving (Europol) en tot vervanging en intrekking van de Besluiten 2009/371/JBZ, 2009/934/JBZ, 2009/935/JBZ, 2009/936/JBZ en 2009/968/JBZ van de Raad (PB L 135 van 24.5.2016, blz. 53).

(5) Verordening (EU) 2018/1725 van het Europees Parlement en de Raad van 23 oktober 2018 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie en betreffende het vrije verkeer van die gegevens, en tot intrekking van Verordening (EG) nr. 45/2001 en Besluit nr. 1247/2002/EG (PB L 295 van 21.11.2018, blz. 39).