EUROPESE COMMISSIE
Brussel, 11.5.2023
COM(2023) 244 final
2023/0143(COD)
Voorstel voor een
VERORDENING VAN HET EUROPEES PARLEMENT EN DE RAAD
tot wijziging van Besluit 2009/917/JBZ van de Raad wat betreft de aanpassing ervan aan de Unievoorschriften inzake de bescherming van persoonsgegevens
TOELICHTING
1.ACHTERGROND VAN HET VOORSTEL
•Motivering en doel van het voorstel
Richtlijn (EU) 2016/680 (hierna “richtlijn gegevensbescherming bij rechtshandhaving” genoemd) is op 6 mei 2016 in werking getreden. De lidstaten hadden tot 6 mei 2018 de tijd om deze in nationaal recht om te zetten. Kaderbesluit 2008/977/JBZ van de Raad werd door Richtlijn (EU) 2016/680 ingetrokken en vervangen, maar de richtlijn is een veel uitgebreider instrument voor de bescherming van persoonsgegevens. De richtlijn is met name van toepassing op zowel binnenlandse als grensoverschrijdende verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid (artikel 1, lid 1).
In artikel 62, lid 6, van de richtlijn gegevensbescherming bij rechtshandhaving wordt bepaald dat de Commissie uiterlijk op 6 mei 2019 moet nagaan of andere handelingen van de EU in verband met de verwerking van persoonsgegevens voor rechtshandhavingsdoeleinden door de bevoegde instanties aan de richtlijn gegevensbescherming bij rechtshandhaving moeten worden aangepast, en dat zij in voorkomend geval voorstellen moet indienen om die handelingen te wijzigen teneinde een consequente aanpak van de bescherming van persoonsgegevens binnen het toepassingsgebied van de richtlijn te waarborgen.
De Commissie heeft de resultaten van haar evaluatie uiteengezet in haar mededeling “Volgende stappen om het acquis van de voormalige derde pijler aan de gegevensbeschermingsregels aan te passen” van 24 juni 2020, waarin tien handelingen worden gespecificeerd die aan de richtlijn gegevensbescherming bij rechtshandhaving moeten worden aangepast. De lijst omvat Besluit 2009/917/JBZ van de Raad inzake het gebruik van informatica op douanegebied.
Het voorstel heeft tot doel de gegevensbeschermingsregels van Besluit 2009/917/JBZ van de Raad in overeenstemming te brengen met de beginselen en regels die zijn vastgelegd in de richtlijn gegevensbescherming bij rechtshandhaving, teneinde een sterk en samenhangend kader voor de bescherming van persoonsgegevens in de Unie tot stand te brengen.
•Verenigbaarheid met bestaande bepalingen op het beleidsterrein
Het bij Besluit 2009/917/JBZ van de Raad ingestelde douane-informatiesysteem (DIS) is een geautomatiseerd informatiesysteem voor douanedoeleinden dat tot doel heeft bij te dragen tot het voorkomen, het onderzoeken en het vervolgen van ernstige overtredingen van nationale wetten door deze gegevens sneller toegankelijk te maken en de doeltreffendheid van de douaneadministratie te verbeteren. Het voorstel heeft tot doel de gegevensbeschermingsregels van Besluit 2009/917/JBZ van de Raad in overeenstemming te brengen met de beginselen en regels die zijn vastgelegd in de richtlijn gegevensbescherming bij rechtshandhaving, teneinde een sterk en samenhangend kader voor de bescherming van persoonsgegevens in de Unie tot stand te brengen.
•Verenigbaarheid met andere beleidsterreinen van de Unie
2.RECHTSGRONDSLAG, SUBSIDIARITEIT EN EVENREDIGHEID
•Rechtsgrondslag
De bescherming van natuurlijke personen bij de verwerking van hun persoonsgegevens is een grondrecht dat is vastgelegd in artikel 8, lid 1, van het Handvest van de grondrechten van de Europese Unie (“het Handvest”).
Het voorstel is gebaseerd op artikel 16, lid 2, van het Verdrag betreffende de werking van de Europese Unie (VWEU), dat de meest geschikte rechtsgrondslag is aangezien zowel het doel als de inhoud van de voorgestelde wijziging duidelijk beperkt is tot de bescherming van persoonsgegevens.
Op grond van artikel 16, lid 2, VWEU kunnen regels worden vastgesteld betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de bevoegde autoriteiten in de lidstaten wanneer zij activiteiten verrichten om strafbare feiten die binnen de werkingssfeer van het Unierecht vallen, te voorkomen, te onderzoeken, op te sporen of te vervolgen of straffen in dat verband uit te voeren. Deze bepaling maakt het tevens mogelijk voorschriften vast te stellen betreffende het vrije verkeer van persoonsgegevens, onder meer wat de uitwisseling van persoonsgegevens door bevoegde autoriteiten binnen de EU betreft.
Overeenkomstig artikel 2 bis van Protocol nr. 22 betreffende de positie van Denemarken, dat gehecht is aan het VEU en het VWEU, zijn de op grond van artikel 16 VWEU vastgestelde regels die betrekking hebben op de verwerking van persoonsgegevens bij de uitoefening van activiteiten die binnen het toepassingsgebied van deel III, titel V, hoofdstukken 4 en 5, van het VWEU vallen, niet bindend voor, noch van toepassing in Denemarken. Denemarken zal derhalve niet gebonden zijn door de nu voorgestelde verordening en zal het besluit van de Raad in zijn huidige vorm blijven toepassen, dat wil zeggen zonder de nu voorgestelde wijzigingen.
Dit houdt onder meer in dat de in artikel 25 van het besluit van de Raad bedoelde gemeenschappelijke controleautoriteit formeel blijft bestaan, alleen voor Denemarken. Vanwege de voorgestelde schrapping van dat artikel en de voorgestelde wijziging van artikel 26 waarbij het model voor gecoördineerd toezicht van artikel 62 van Verordening (EU) 2018/1725 wordt ingevoerd, heeft dit voortbestaan geen gevolgen voor de andere lidstaten of het douane-informatiesysteem als zodanig. Aangezien het onderhavige voorstel beperkt is tot het aanpassen van het besluit van de Raad aan de richtlijn gegevensbescherming bij rechtshandhaving, is dit resultaat een onvermijdelijk gevolg van de uit hoofde van de richtlijn gegevensbescherming bij rechtshandhaving vereiste aanpassing en de uit Protocol nr. 22 voortvloeiende beperkingen. Wanneer in de toekomst een bredere beoordeling van het besluit van de Raad gerechtvaardigd is, zal de Commissie deze kwestie opnieuw bekijken.
Overeenkomstig artikel 6 bis van Protocol nr. 21 betreffende de positie van het Verenigd Koninkrijk en Ierland ten aanzien van de ruimte van vrijheid, veiligheid en recht, is Ierland niet gebonden door de op grond van artikel 16 VWEU vastgestelde regels, wanneer Ierland niet gebonden is door de regels betreffende de vormen van justitiële samenwerking in strafzaken of van politiële samenwerking in het kader waarvan de op grond van artikel 16 VWEU vastgestelde bepalingen moeten worden nageleefd. Aangezien Ierland deelneemt aan Besluit 2009/917/JBZ van de Raad, zal het dus ook deelnemen aan de vaststelling van dit voorstel.
•Subsidiariteit (bij niet-exclusieve bevoegdheid)
Het onderwerp van deze verordening valt onder de exclusieve bevoegdheid van de Unie, aangezien slechts de Unie voorschriften kan vaststellen voor de verwerking van persoonsgegevens door de bevoegde autoriteiten voor rechtshandhavingsdoeleinden. Alleen de Unie kan handelingen van de EU aanpassen aan de regels van de richtlijn gegevensbescherming bij rechtshandhaving. Derhalve kan alleen de Unie een wetgevingshandeling vaststellen tot wijziging van Besluit 2009/917/JBZ van de Raad.
•Evenredigheid
Het voorstel is beperkt tot hetgeen noodzakelijk is om Besluit 2009/917/JBZ van de Raad in overeenstemming te brengen met de Uniewetgeving betreffende de bescherming van persoonsgegevens (richtlijn gegevensbescherming bij rechtshandhaving), zonder het toepassingsgebied van het besluit van de Raad op enigerlei wijze te wijzigen. Het voorstel gaat overeenkomstig artikel 5, lid 4, van het Verdrag betreffende de Europese Unie niet verder dan hetgeen nodig is om de beoogde doelstellingen te verwezenlijken.
•Keuze van het instrument
Het voorstel strekt tot wijziging van een besluit van de Raad dat vóór de inwerkingtreding van het Verdrag van Lissabon in 2009 is vastgesteld. De relevante bepalingen van Besluit 2009/917/JBZ van de Raad waarbij het douane-informatiesysteem wordt ingesteld en de regels voor de werking en het gebruik van het systeem zijn vastgesteld, zijn rechtstreeks toepasselijk.
Het meest geschikte instrument om dit besluit van de Raad op grond van artikel 16, lid 2, VWEU te wijzigen, is derhalve een verordening van het Europees Parlement en de Raad.
3.EVALUATIE, RAADPLEGING VAN BELANGHEBBENDEN EN EFFECTBEOORDELING
•Evaluatie van bestaande wetgeving en controle van de resultaatgerichtheid ervan
Het voorstel sluit aan bij de resultaten van de evaluatie die de Commissie heeft verricht uit hoofde van artikel 62, lid 6, van de richtlijn gegevensbescherming bij rechtshandhaving, zoals gepresenteerd in de mededeling van 2020 “Volgende stappen om het acquis van de voormalige derde pijler aan de gegevensbeschermingsregels aan te passen”. In deze mededeling worden zes specifieke punten opgesomd waarvoor aanpassing van Besluit 2009/917/JBZ van de Raad aan de richtlijn gegevensbescherming bij rechtshandhaving vereist is, namelijk:
–in verband met de “ernstige overtredingen” waarop het besluit van de Raad van toepassing is;
–de voorwaarden verduidelijken voor het verzamelen en registreren van de persoonsgegevens en voorschrijven dat persoonsgegevens alleen in het DIS mogen worden ingevoerd indien er, in het bijzonder op grond van eerdere illegale handelingen, een redelijk vermoeden bestaat dat de betrokken persoon een ernstig strafbaar feit heeft gepleegd, bezig is dit te plegen of nog zal plegen;
–in aanvullende vereisten voorzien met betrekking tot de beveiliging van de verwerking, door de lijst van vereiste beveiligingsmaatregelen in overeenstemming te brengen met artikel 29 van de richtlijn gegevensbescherming bij rechtshandhaving, d.w.z. door vereisten toe te voegen betreffende het herstel, de betrouwbaarheid en de integriteit van het systeem;
–de verdere verwerking van in het DIS geregistreerde persoonsgegevens voor andere doeleinden dan waarvoor persoonsgegevens werden verzameld, beperken zodat deze alleen kan plaatsvinden onder de voorwaarden waarin de richtlijn gegevensbescherming bij rechtshandhaving voorziet;
–de verwerking van persoonsgegevens uit hoofde van Besluit 2009/917/JBZ van de Raad onderwerpen aan het in artikel 62 van Verordening (EU) 2018/1725 vastgestelde model voor gecoördineerd toezicht. Het besluit van de Raad is de laatste rechtshandeling waarbij het toezicht op de verwerking van persoonsgegevens wordt uitgeoefend door de gemeenschappelijke controleautoriteit, die inmiddels achterhaald is;
–de algemene verwijzing naar Kaderbesluit 2008/977/JBZ van de Raad actualiseren, door te verwijzen naar de toepasselijkheid van de richtlijn gegevensbescherming bij rechtshandhaving. Elke bepaling die overlappingen met de richtlijn gegevensbescherming bij rechtshandhaving bevat (zoals definities of bepalingen betreffende de rechten van de betrokkenen of de beschikbaarheid van rechtsmiddelen en aansprakelijkheid), moet als achterhaalde en overbodige bepaling worden verwijderd. Verwijzingen naar specifieke bepalingen van Kaderbesluit 2008/977/JBZ van de Raad moeten worden geactualiseerd met specifieke overeenkomstige verwijzingen naar de richtlijn gegevensbescherming bij rechtshandhaving.
Het voorstel blijft beperkt tot hetgeen nodig is om de bovengenoemde punten te realiseren.
•Raadpleging van belanghebbenden
•Bijeenbrengen en gebruik van expertise
Bij de evaluatie op grond van artikel 62, lid 6, van de richtlijn gegevensbescherming bij rechtshandhaving , heeft de Commissie rekening gehouden met een studie die is uitgevoerd in het kader van het proefproject voor de evaluatie vanuit het oogpunt van de grondrechten van instrumenten en programma’s van de EU voor het vergaren van gegevens. In die studie werd een overzicht gegeven van de in artikel 62, lid 6, van richtlijn gegevensbescherming bij rechtshandhaving bedoelde Uniehandelingen en werd vastgesteld welke bepalingen mogelijk een aanpassing behoefden uit het oogpunt van gegevensbescherming.
•Effectbeoordeling
Het effect van dit voorstel is beperkt tot de verwerking van persoonsgegevens door de bevoegde autoriteiten in de specifieke gevallen die door Besluit 2009/917/JBZ van de Raad worden geregeld. Het effect van de nieuwe verplichtingen die voortvloeien uit de richtlijn gegevensbescherming bij rechtshandhaving is beoordeeld in het kader van de voorbereidende werkzaamheden voor die richtlijn. Een specifieke effectbeoordeling voor dit voorstel is dan ook onnodig.
•Resultaatgerichtheid en vereenvoudiging
Het voorstel valt niet onder het programma voor gezonde en resultaatgerichte regelgeving (Refit).
•Grondrechten
Het recht op de bescherming van persoonsgegevens is vastgelegd in artikel 8 van het Handvest en in artikel 16 VWEU. Zoals het Hof van Justitie van de Europese Unie heeft beklemtoond, heeft het recht op bescherming van persoonsgegevens geen absolute gelding, maar moet het in relatie tot de functie ervan in de maatschappij worden beschouwd. Er is ook een nauw verband tussen de bescherming van persoonsgegevens en de eerbiediging van het privéleven en het familie- en gezinsleven, dat door artikel 7 van het Handvest wordt beschermd.
Dit voorstel waarborgt dat elke verwerking van persoonsgegevens krachtens Besluit 2009/917/JBZ van de Raad onderworpen is aan de “horizontale” beginselen en regels van de EU-wetgeving inzake bescherming van persoonsgegevens, waardoor artikel 8 van het Handvest verder ten uitvoer wordt gelegd. Deze wetgeving beoogt een hoog niveau van bescherming van persoonsgegevens te waarborgen. Verduidelijken dat de regels van de richtlijn gegevensbescherming bij rechtshandhaving van toepassing zijn, en tevens specificeren hoe zij van toepassing zijn op de verwerking van persoonsgegevens krachtens het besluit van de Raad, zal de grondrechten op privacy en bescherming van persoonsgegevens ten goede komen.
4.GEVOLGEN VOOR DE BEGROTING
5.OVERIGE ELEMENTEN
•Uitvoeringsplanning en regelingen betreffende controle, evaluatie en rapportage
•Artikelsgewijze toelichting
In artikel 1 worden de relevante bepalingen van Besluit 2009/917/JBZ van de Raad genoemd die moeten worden gewijzigd op basis van de evaluatie die de Commissie uit hoofde van artikel 62, lid 6, van richtlijn gegevensbescherming bij rechtshandhaving heeft verricht en in haar mededeling van 2020 heeft gepresenteerd. Deze bepalingen zijn:
·Artikel 1 – Lid 2 wordt gewijzigd om het begrip “ernstige overtredingen van nationale wetten” te vervangen door de verwijzing naar “strafbare feiten volgens nationale wetten”, teneinde de duidelijkheid te vergroten en tegelijkertijd het besluit in overeenstemming te brengen met de richtlijn gegevensbescherming bij rechtshandhaving.
·Artikel 2 – Punt 2 betreffende de definitie van “persoonsgegevens” wordt geschrapt aangezien de definitie van persoonsgegevens in artikel 3, punt 1, van de richtlijn gegevensbescherming bij rechtshandhaving van toepassing is.
·Artikel 3 – Lid 2 wordt gewijzigd om de respectieve rol van de Commissie en de lidstaten met betrekking tot de persoonsgegevens te verduidelijken. Daartoe wordt ook een overweging ingevoegd.
·Artikel 4 – Lid 5 wordt geactualiseerd om de verwijzing naar de lijst van bepaalde categorieën persoonsgegevens die niet in het systeem kunnen worden ingevoerd op grond van Kaderbesluit 2008/977/JBZ te vervangen door een verwijzing naar de overeenkomstige lijst in de richtlijn gegevensbescherming bij rechtshandhaving.
·Artikel 5 – Lid 2 wordt geactualiseerd om de voorwaarden voor het verzamelen en registreren van de persoonsgegevens te verduidelijken en voor te schrijven dat persoonsgegevens alleen in het DIS mogen worden ingevoerd indien er, in het bijzonder op grond van eerdere illegale handelingen, een redelijk vermoeden bestaat dat de betrokken persoon een van de strafbare feiten volgens nationale wetten heeft gepleegd, bezig is dit te plegen of nog zal plegen.
·Artikel 7 – Lid 3 wordt geactualiseerd om de voorwaarden te verduidelijken waaronder op grond van de richtlijn gegevensbescherming bij rechtshandhaving toegang tot het DIS kan worden verleend aan internationale of regionale organisaties.
·Artikel 8 – Lid 1 wordt geactualiseerd om de verdere verwerking van in het DIS opgeslagen persoonsgegevens te beperken, overeenkomstig het doelbindingsbeginsel zoals geregeld in de richtlijn gegevensbescherming bij rechtshandhaving. Verder wordt verduidelijkt onder welke voorwaarden niet-persoonsgebonden gegevens voor andere doeleinden kunnen worden verwerkt. Lid 4 is anders geformuleerd om de voorwaarden te verduidelijken waaronder de doorzendingen en internationale doorgiften van persoonsgegevens en niet-persoonsgebonden gegevens kunnen plaatsvinden.
·Artikel 14 betreffende het bewaren van persoonsgegevens wordt geactualiseerd om een maximale bewaartermijn overeenkomstig artikel 4, lid 1, punt e), van de richtlijn gegevensbescherming bij rechtshandhaving in te voeren en de vorige procedure te vereenvoudigen. Er wordt ook een overweging ingevoerd om de grondgedachte van deze actualisering nader toe te lichten.
·Artikel 15 – Lid 3 wordt vervangen om het begrip “ernstige overtredingen van nationale wetten” in overeenstemming te brengen met de verwijzing naar “strafbare feiten volgens nationale wetten”, zoals ingevoerd in het nieuwe lid 2 van artikel 1.
·Artikel 20 – Dit artikel wordt vervangen om de algemene verwijzing naar Kaderbesluit 2008/977/JBZ te actualiseren met de verwijzing naar de richtlijn gegevensbescherming bij rechtshandhaving.
·Artikel 22 betreffende het recht op toegang, verbetering, verwijdering of afscherming wordt geschrapt omdat het achterhaald en verouderd is.
·Artikel 23 betreffende de rechten van de betrokkenen op nationaal niveau wordt geschrapt omdat het achterhaald en verouderd is.
·Artikel 24 betreffende de aanwijzing van een nationale controleautoriteit of -autoriteiten wordt geschrapt omdat het achterhaald en verouderd is
·Artikel 25 betreffende de oprichting van een gemeenschappelijke controleautoriteit wordt geschrapt omdat het achterhaald en verouderd is.
·Artikel 26 – Dit artikel wordt geactualiseerd om de verwerking van persoonsgegevens te onderwerpen aan het in artikel 62 van Verordening (EU) 2018/1725 vastgestelde model voor gecoördineerd toezicht.
·Artikel 28 – Lid 2 wordt gewijzigd om in aanvullende vereisten te voorzien met betrekking tot de beveiliging van de verwerking, door de lijst van vereiste beveiligingsmaatregelen in overeenstemming te brengen met artikel 29 van de richtlijn gegevensbescherming bij rechtshandhaving, d.w.z. door vereisten toe te voegen betreffende het herstel, de betrouwbaarheid en de integriteit van het systeem.
·Artikel 30 – Lid 1 wordt geschrapt omdat het verouderd en achterhaald is.
In artikel 2 wordt de datum van inwerkingtreding van de verordening vastgesteld.
2023/0143 (COD)
Voorstel voor een
VERORDENING VAN HET EUROPEES PARLEMENT EN DE RAAD
tot wijziging van Besluit 2009/917/JBZ van de Raad wat betreft de aanpassing ervan aan de Unievoorschriften inzake de bescherming van persoonsgegevens
HET EUROPEES PARLEMENT EN DE RAAD VAN DE EUROPESE UNIE,
Gezien het Verdrag betreffende de werking van de Europese Unie, en met name artikel 16, lid 2,
Gezien het voorstel van de Europese Commissie,
Na toezending van het ontwerp van wetgevingshandeling aan de nationale parlementen,
Handelend volgens de gewone wetgevingsprocedure,
Overwegende hetgeen volgt:
(1)Richtlijn (EU) 2016/680 van het Europees Parlement en de Raad voorziet in geharmoniseerde bepalingen inzake de bescherming en het vrije verkeer van persoonsgegevens die worden verwerkt met het oog op de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid. In die richtlijn wordt bepaald dat de Commissie moet nagaan of andere relevante rechtshandelingen van de Unie aan die richtlijn moeten worden aangepast en dat zij, in voorkomend geval, voorstellen tot wijziging van die handelingen moet indienen teneinde een consequente aanpak van de bescherming van persoonsgegevens binnen het toepassingsgebied van die richtlijn te waarborgen.
(2)Bij Besluit 2009/917/JBZ van de Raad inzake het gebruik van informatica op douanegebied is het douane-informatiesysteem (DIS) ingesteld om bij te dragen tot het voorkomen, het onderzoeken en het vervolgen van ernstige overtredingen van nationale wetten door deze gegevens sneller toegankelijk te maken en de doeltreffendheid van de douanediensten te verbeteren. Om een consequente aanpak van de bescherming van persoonsgegevens in de Unie te waarborgen, moet dat besluit worden gewijzigd om het in overeenstemming te brengen met Richtlijn (EU) 2016/680. De regels inzake de bescherming van persoonsgegevens moeten met name voldoen aan het beginsel van doelbepaling, zich beperken tot bepaalde categorieën betrokkenen en categorieën persoonsgegevens, voldoen aan de vereisten inzake gegevensbeveiliging, aanvullende bescherming bieden voor bijzondere categorieën persoonsgegevens en de voorwaarden voor verdere verwerking in acht nemen. Bovendien moet worden voorzien in het model voor gecoördineerd toezicht dat is ingevoerd bij artikel 62 van Verordening (EU) 2018/1725.
(3)Met het oog op een duidelijke en consequente aanpak die een passende bescherming van persoonsgegevens waarborgt, moet met name de term “ernstige overtredingen” worden vervangen door “strafbare feiten”, rekening houdend met het feit dat wanneer een bepaalde gedraging krachtens het strafrecht van een lidstaat verboden is, dat op zich al een zekere ernst van de overtreding impliceert. Bovendien moet het doel van het DIS beperkt blijven tot het bijdragen tot het voorkomen, het onderzoeken, het opsporen of het vervolgen van strafbare feiten volgens nationale wetten zoals omschreven in Besluit 2009/917/JBZ van de Raad, dat wil zeggen nationale wetten waarvoor de nationale douaneadministraties bevoegd zijn en die derhalve bijzonder relevant zijn in het kader van de douane. Hoewel de kwalificatie als strafbaar feit een noodzakelijke voorwaarde is, moeten dus niet alle strafbare feiten worden geacht hieronder te vallen. De strafbare feiten die hieronder vallen zijn bijvoorbeeld illegale drugshandel, illegale wapenhandel en het witwassen van geld. Afgezien van de invoering van de term “strafbare feiten” doet deze wijziging geen afbreuk aan de specifieke vereisten van dat besluit van de Raad betreffende het opstellen en verzenden van een lijst van strafbare feiten volgens nationale wetten die aan bepaalde voorwaarden voldoen; deze vereisten hebben uitsluitend betrekking op het bijzondere doel van het referentiebestand van onderzoeksdossiers op douanegebied.
(4)Het is noodzakelijk om de respectieve rol van de Commissie en de lidstaten met betrekking tot de persoonsgegevens te verduidelijken. De Commissie wordt beschouwd als de verwerker die optreedt namens de door elke lidstaat aangewezen nationale autoriteiten, die als de verwerkingsverantwoordelijken voor de persoonsgegevens worden beschouwd.
(5)Om de gegevens zo goed mogelijk te bewaren en tegelijkertijd de administratieve lasten voor de bevoegde autoriteiten te verminderen, moet de procedure voor de bewaring van persoonsgegevens in het DIS worden vereenvoudigd door de verplichting tot jaarlijkse toetsing te schrappen en door een maximale bewaartermijn van vijf jaar vast te stellen die, na motivering, met nog eens twee jaar kan worden verlengd. Deze bewaartermijn is noodzakelijk en evenredig gezien de typische duur van strafrechtelijke procedures en de behoefte aan gegevens voor het uitvoeren van gezamenlijke douaneoperaties en onderzoeken.
(6)Overeenkomstig artikel 6 bis van Protocol nr. 21 betreffende de positie van het Verenigd Koninkrijk en Ierland ten aanzien van de ruimte van vrijheid, veiligheid en recht, gehecht aan het Verdrag betreffende de Europese Unie (VEU) en het VWEU, is Ierland gebonden aan Besluit 2009/917/JBZ van de Raad en neemt derhalve deel aan de vaststelling van deze verordening.
(7)Overeenkomstig de artikelen 1, 2 en 2 bis van Protocol nr. 22 betreffende de positie van Denemarken, gehecht aan het Verdrag betreffende de Europese Unie en het Verdrag betreffende de werking van de Europese Unie, neemt Denemarken niet deel aan de vaststelling van deze verordening en is deze niet bindend voor, noch van toepassing op Denemarken.
(8)De Europese Toezichthouder voor gegevensbescherming is geraadpleegd overeenkomstig artikel 42 van Verordening (EU) 2018/1725 en heeft op XX XX 202X advies uitgebracht.
(9)Besluit 2009/917/JBZ van de Raad moet dienovereenkomstig worden gewijzigd,
HEBBEN DE VOLGENDE VERORDENING VASTGESTELD:
Artikel 1
Besluit 2009/917/JBZ wordt als volgt gewijzigd:
(1)In artikel 1 wordt lid 2 vervangen door:
“2. Het douane-informatiesysteem heeft tot doel de bevoegde autoriteiten van de lidstaten bij te staan bij het voorkomen, het onderzoeken, het opsporen of het vervolgen van strafbare feiten volgens nationale wetten door deze gegevens sneller toegankelijk te maken en aldus de doeltreffendheid van de samenwerkings- en controleprocedures van de douaneadministraties van de lidstaten te verbeteren.”.
(2)In artikel 2 wordt punt 2 geschrapt.
(3)In artikel 3, lid 2, wordt na de eerste zin de volgende zin ingevoegd:
“Met betrekking tot de verwerking van persoonsgegevens in het douane-informatiesysteem wordt de Commissie beschouwd als de verwerker in de zin van artikel 3, punt 12, van Verordening (EU) 2018/1725, die optreedt namens de door elke lidstaat aangewezen nationale autoriteiten, die worden beschouwd als de verwerkingsverantwoordelijken voor de persoonsgegevens.”.
(4)In artikel 4 wordt lid 5 vervangen door:
“5. In geen geval mogen de in artikel 10 van Richtlijn (EU) 2016/680 bedoelde persoonsgegevens in het douane-informatiesysteem worden ingevoerd.”.
(5)In artikel 5 wordt lid 2 vervangen door:
“2. Ten behoeve van de acties als bedoeld in lid 1 mogen persoonsgegevens in de in artikel 3, lid 1, bedoelde categorieën uitsluitend in het douane-informatiesysteem worden ingevoerd indien er een redelijk vermoeden bestaat, in het bijzonder op grond van eerdere illegale handelingen, dat de desbetreffende persoon strafbare feiten volgens nationale wetten heeft gepleegd, bezig is deze te plegen of nog zal plegen.”.
(6)In artikel 7 wordt lid 3 vervangen door:
“3. In afwijking van de leden 1 en 2 kan de Raad, bij wijze van uitzondering en na raadpleging van het Europees Comité voor gegevensbescherming, unaniem besluiten aan internationale of regionale organisaties toegang te verlenen tot het douane-informatiesysteem, mits aan beide volgende voorwaarden wordt voldaan:
(a)de toegang voldoet aan de algemene beginselen voor de doorgiften van persoonsgegevens in artikel 35 of, in voorkomend geval, artikel 39 van Richtlijn (EU) 2016/680;
(b)de toegang is gebaseerd op een adequaatheidsbesluit dat is genomen op grond van artikel 36 van die richtlijn of is onderworpen aan passende waarborgen op grond van artikel 37 van die richtlijn.”.
(7)In artikel 8 wordt lid 1 vervangen door:
“1. De lidstaten, Europol en Eurojust mogen gegevens die zijn verkregen uit het douane-informatiesysteem uitsluitend verwerken om het in artikel 1, lid 2, omschreven doel te bereiken, overeenkomstig de toepasselijke regels van het Unierecht inzake de verwerking van persoonsgegevens.
De lidstaten, Europol en Eurojust mogen niet-persoonsgebonden gegevens die zijn verkregen uit het douane-informatiesysteem verwerken om het in artikel 1, lid 2, omschreven doel te bereiken of voor andere doeleinden, waaronder administratieve, met inachtneming van de door de lidstaat die de niet-persoonsgebonden gegevens in dat systeem heeft ingevoerd gestelde voorwaarden.”.
(8)In artikel 8 wordt lid 4 vervangen door:
“4. Persoonsgegevens die zijn verkregen uit het douane-informatiesysteem mogen, met voorafgaande toestemming van de lidstaat die die gegevens in dat systeem heeft ingevoerd en met inachtneming van de eventueel door die staat gestelde voorwaarden, worden:
(a)doorgezonden aan en verder verwerkt door andere dan de krachtens lid 2 aangewezen nationale autoriteiten, overeenkomstig de toepasselijke regels van het Unierecht inzake de verwerking van persoonsgegevens; of
(b)overgedragen aan en verder verwerkt door de bevoegde autoriteiten van derde landen en internationale of regionale organisaties, overeenkomstig hoofdstuk V van Richtlijn (EU) 2016/680 en, in voorkomend geval, hoofdstuk V van Verordening (EU) 2018/1725.
Niet-persoonsgebonden gegevens die zijn verkregen uit het douane-informatiesysteem mogen worden overgedragen aan en verder verwerkt door andere dan de krachtens lid 2 aangewezen nationale autoriteiten, door derde landen en internationale of regionale organisaties, met inachtneming van de door de lidstaat die de niet-persoonsgebonden gegevens in dat systeem heeft ingevoerd gestelde voorwaarden.”.
(9)Artikel 14 wordt vervangen door:
“In het douane-informatiesysteem ingevoerde persoonsgegevens worden niet langer bewaard dan nodig is voor het bereiken van het in artikel 1, lid 2, omschreven doel, en in geen geval langer dan vijf jaar. Bij wijze van uitzondering kunnen deze gegevens echter gedurende een aanvullende periode van maximaal twee jaar worden bewaard, indien en voor zover dit in een individueel geval strikt noodzakelijk wordt geacht om dat doel te bereiken.”.
(10)In artikel 15 wordt lid 3 vervangen door:
“3. Ten behoeve van het referentiebestand van onderzoeksdossiers doet elke lidstaat aan de andere lidstaten, Europol, Eurojust en aan het in artikel 27 bedoelde comité een lijst toekomen van strafbare feiten volgens zijn nationale wetten.
Die lijst omvat alleen strafbare feiten die worden bestraft:
(a)met een maximale vrijheidsstraf of maatregel welke vrijheidsbeneming meebrengt van ten minste twaalf maanden, of
(b)met een boete van ten minste 15 000 EUR.”.
(11)Artikel 20 wordt vervangen door:
“Richtlijn (EU) 2016/680 is van toepassing op de verwerking van persoonsgegevens in het kader van dit besluit”.
(12)De artikelen 22, 23, 24 en 25 worden geschrapt.
(13)Artikel 26 wordt vervangen door:
“Overeenkomstig artikel 62 van Verordening (EU) 2018/1725 wordt gezorgd voor gecoördineerd toezicht door de nationale toezichthoudende autoriteiten en de Europese Toezichthouder voor gegevensbescherming.”.
(14)Aan artikel 28, lid 2, worden de volgende punten toegevoegd:
“i)
ervoor te zorgen dat de geïnstalleerde systemen in geval van storing opnieuw kunnen worden ingezet;
j)
ervoor te zorgen dat de functies van het systeem werken, dat eventuele functionele storingen worden gesignaleerd en dat opgeslagen persoonsgegevens niet kunnen worden beschadigd door het verkeerd functioneren van het systeem.”.
(15)In artikel 30 wordt lid 1 geschrapt.
Artikel 2
Deze verordening treedt in werking op de twintigste dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie.
Deze verordening is verbindend in al haar onderdelen en is rechtstreeks toepasselijk in de lidstaten overeenkomstig de Verdragen.
Gedaan te Brussel,
Voor het Europees Parlement
Voor de Raad
De voorzitter
De voorzitter