Toelichting bij COM(2012)10 - Bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens met strafrechtelijk oogmerk en het vrije verkeer van die gegevens

Dit is een beperkte versie

U kijkt naar een beperkte versie van dit dossier in de EU Monitor.

1. ACHTERGROND VAN HET VOORSTEL

In deze toelichting wordt nader ingegaan op de aanpak voor het nieuwe EU-rechtskader voor persoonsgegevensbescherming die wordt voorgesteld in Mededeling COM(2012) 9 definitief. Het rechtskader omvat twee wetgevingsvoorstellen:

– een voorstel voor een verordening van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (Algemene verordening gegevensbescherming); en

– een voorstel voor een richtlijn van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en betreffende het vrije verkeer van die gegevens.

Deze toelichting betreft het tweede wetgevingsvoorstel.

Richtlijn 95/46/EG[1], de hoeksteen van de huidige EU-wetgeving inzake persoonsgegevensbescherming, werd in 1995 vastgesteld en had twee doelstellingen: het fundamentele recht op gegevensbescherming waarborgen en het vrije verkeer van persoonsgegevens tussen de lidstaten garanderen. De richtlijn werd aangevuld met een aantal instrumenten die specifieke gegevensbeschermingsvoorschriften bevatten inzake politiële en justitiële samenwerking in strafzaken[2] (de vroegere derde pijler), waaronder Kaderbesluit 2008/977/JBZ[3].

De Europese Raad heeft de Commissie verzocht om de werking van de EU-instrumenten inzake gegevensbescherming te beoordelen en zo nodig met nadere initiatieven van wetgevende en niet-wetgevende aard te komen[4]. In zijn resolutie over het programma van Stockholm[5] juichte het Europees Parlement een integrale regeling voor de bescherming van persoonsgegevens in de EU toe en drong het onder meer aan op herziening van het kaderbesluit. De Commissie benadrukte in haar actieplan ter uitvoering van het programma van Stockholm[6] dat het grondrecht op bescherming van de persoonlijke levenssfeer in het kader van alle EU-beleid consequent moet worden toegepast. In het Actieplan werd gesteld: “In een door snelle technologische veranderingen gekenmerkte mondiale samenleving waarin uitwisseling van informatie geen grenzen kent, is het van bijzonder belang dat de persoonlijke levenssfeer wordt beschermd. De Unie moet ervoor zorgen dat het grondrecht op bescherming van de persoonlijke levenssfeer consequent wordt toegepast. Het standpunt van de EU over de bescherming van persoonsgegevens van individuen in het kader van alle EU-beleid moet worden versterkt, ook op het gebied van rechtshandhaving en criminaliteitspreventie en in onze internationale relaties.”

In haar mededeling “Een integrale aanpak van de bescherming van persoonsgegevens in de Europese Unie”[7] concludeerde de Commissie dat de EU een meer integraal en coherent beleid inzake het grondrecht op bescherming van persoonsgegevens moet ontwikkelen.

Kaderbesluit 2008/977/JBZ heeft een beperkt toepassingsgebied: het is uitsluitend van toepassing op grensoverschrijdende gegevensverwerking en niet op verwerkingsactiviteiten van de politiële en justitiële autoriteiten op zuiver nationaal niveau. Dit kan problemen veroorzaken voor de politie en andere bevoegde autoriteiten op het gebied van justitiële en politiële samenwerking in strafzaken. Het is niet altijd eenvoudig om een onderscheid te maken tussen zuiver binnenlandse en grensoverschrijdende verwerking, of te voorzien of bepaalde persoonsgegevens in een later stadium zullen worden uitgewisseld (zie punt 2). Door zijn aard en inhoud geeft het kaderbesluit de lidstaten veel speelruimte bij het vaststellen van de nationale wetgeving ter omzetting van de bepalingen ervan. Bovendien voorziet het niet in een mechanisme of in een adviesgroep, zoals de Groep gegevensbescherming artikel 29, ter ondersteuning van een gemeenschappelijke interpretatie van de bepalingen of in uitvoeringsbevoegdheden van de Commissie om een gemeenschappelijke aanpak van de tenuitvoerlegging te waarborgen.

Artikel 16, lid 1, van het Verdrag betreffende de werking van de Europese Unie (VWEU) bepaalt dat eenieder recht heeft op bescherming van zijn persoonsgegevens. Bovendien is bij het Verdrag van Lissabon in artikel 16, lid 2, VWEU een specifieke rechtsgrondslag voor de vaststelling van voorschriften inzake gegevensbescherming ingevoerd, die tevens van toepassing is op justitiële samenwerking in strafzaken en op politiële samenwerking. Bescherming van persoonsgegevens is als grondrecht verankerd in artikel 8 van het Handvest van de grondrechten van de EU. Op grond van artikel 16 VWEU moet de wetgever tevens voorschriften vaststellen betreffende de bescherming van natuurlijke personen ten aanzien van de verwerking van persoonsgegevens op het gebied van justitiële samenwerking in strafzaken en politiële samenwerking, die zowel de grensoverschrijdende als de binnenlandse verwerking van persoonsgegevens bestrijken. Dit maakt het mogelijk de fundamentele rechten en vrijheden van natuurlijke personen te beschermen, en in het bijzonder hun recht op de bescherming van persoonsgegevens, en laat bovendien de uitwisseling van persoonsgegevens toe met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen. Hierdoor wordt de samenwerking bij de bestrijding van criminaliteit in Europa vergemakkelijkt.

Vanwege de specifieke aard van de politiële en justitiële samenwerking in strafzaken werd in Verklaring nr. 21[8] erkend dat op het gebied van justitiële samenwerking in strafzaken en op het gebied van politiële samenwerking specifieke voorschriften inzake de bescherming van persoonsgegevens en het vrije verkeer van die gegevens op basis van artikel 16 VWEU nodig zouden kunnen blijken.

1.

Resultaten van de raadpleging van belanghebbende partijen en effectbeoordeling



Dit initiatief is het resultaat van uitgebreid overleg met alle belangrijke belanghebbenden over een herziening van het huidige rechtskader voor de bescherming van persoonsgegevens. Dit overleg omvatte twee fasen van openbare raadpleging:

– van 9 juli tot en met 31 december 2009 de raadpleging over het rechtskader voor het grondrecht op bescherming van persoonsgegevens. De Commissie ontving 168 reacties: 127 van particulieren, bedrijfsorganisaties en verenigingen en 12 van overheden. De niet-vertrouwelijke bijdragen kunnen worden ingezien op de website van de Commissie[9].

– van 4 november 2010 tot en met 15 januari 2011 de raadpleging over integrale aanpak van de bescherming van persoonsgegevens in de Europese Unie. De Commissie ontving 305 reacties: 54 van burgers, 31 van overheden en 220 van particuliere organisaties, met name bedrijfsorganisaties en niet-gouvernementele organisaties. De niet-vertrouwelijke bijdragen kunnen worden ingezien op de website van de Commissie[10].

Deze raadplegingen hadden vooral betrekking op de herziening van Richtlijn 95/46/EG, maar tegelijkertijd werd gericht overleg gevoerd met belanghebbenden op het gebied van de rechtshandhaving: onder andere werd op 29 juni 2010 met de autoriteiten van de lidstaten een workshop gehouden over de toepassing van de gegevensbeschermingsvoorschriften op de overheid, onder meer op het gebied van de politiële en justitiële samenwerking in strafzaken. Op 2 februari 2011 hield de Commissie een werkshop met de autoriteiten van de lidstaten over de tenuitvoerlegging van Kaderbesluit 2008/977/JBZ en meer in het algemeen over gegevensbeschermingskwesties met betrekking tot de politiële en justitiële samenwerking in strafzaken.

De mening van de EU-burgers werd gepeild met een Eurobarometerenquête in november-december 2010[11]. Er werd ook opdracht gegeven voor een aantal studies[12]. De Groep gegevensbescherming artikel 29[13] heeft adviezen uitgebracht en nuttige input geleverd aan de Commissie[14]. De Europese Toezichthouder voor gegevensbescherming heeft een breed advies uitgebracht over de problemen die in de mededeling van de Commissie van november 2010 aan de orde waren gesteld[15].

Het Europees Parlement heeft bij zijn resolutie van 6 juli 2011 zijn goedkeuring gehecht aan een verslag waarbij het instemde met de aanpak van de Commissie voor de hervorming van het gegevensbeschermingskader[16]. De Raad van de Europese Unie heeft op 24 februari 2011 conclusies goedgekeurd waarin hij in grote lijnen akkoord ging met het voornemen van de Commissie om het kader voor gegevensbescherming te hervormen en instemde met een groot aantal onderdelen van de aanpak van de Commissie. Ook het Europees Economisch en Sociaal Comité steunde het algemene streven van de Commissie naar een consequentere toepassing van de EU-voorschriften inzake gegevensbescherming door alle lidstaten en een passende herziening van Richtlijn 95/46/EG[17].

In overeenstemming met haar beleid voor een betere regelgeving heeft de Commissie een effectbeoordeling van beleidsalternatieven uitgevoerd[18]. De effectbeoordeling werd verricht op basis van drie beleidsdoelen: de internemarktdimensie van gegevensbescherming versterken, de uitoefening van gegevensbeschermingsrechten effectiever maken en een breed, samenhangend kader tot stand brengen voor alle gebieden die onder de bevoegdheid van de Unie vallen, waaronder politiële samenwerking en justitiële samenwerking in strafzaken. In het bijzonder voor laatstgenoemde doelstelling werden twee beleidsopties beoordeeld. De eerste behelst in wezen dat de voorschriften inzake gegevensbescherming worden uitgebreid en de lacunes en andere problemen in verband met het kaderbesluit worden aangepakt; de tweede optie gaat veel verder en omvat de invoering van uiterst normatieve en stringente regels in, waardoor ook alle voormalige derdepijlerinstrumenten meteen moeten worden gewijzigd. Een derde “minimalistische” beleidsoptie, die vooral uitging van interpretatieve mededelingen van de Commissie en beleidsondersteunende maatregelen zoals financieringsprogramma’s en technische instrumenten, met een minimale wijziging van de wetgeving, werd niet geschikt bevonden om de problemen met betrekking tot de bewaring van gegevens op dit terrein op te lossen.

Volgens de gebruikelijke methode van de Commissie is met de steun van een interdepartementale stuurgroep voor elke beleidsoptie beoordeeld welke bijdrage die levert tot de verwezenlijking van de beleidsdoelen, wat de economische gevolgen voor de belanghebbenden (en de gevolgen voor de begroting van de EU-instellingen) zijn, wat de sociale gevolgen zijn en wat de gevolgen voor de grondrechten zijn. Er is niet naar milieugevolgen gekeken.

Aan de hand van de algemene effectanalyse is de in dit voorstel opgenomen voorkeursoptie verder uitgewerkt. Volgens de beoordeling zal de tenuitvoerlegging daarvan leiden tot een betere bescherming van persoonsgegevens op dit beleidsgebied, met name doordat nu ook binnenlandse verwerking onder het toepassingsgebied valt. Dit vergroot de rechtszekerheid voor de bevoegde autoriteiten op het gebied van justitiële samenwerking in strafzaken en politiële samenwerking.

De Raad voor effectbeoordeling heeft op 9 september 2011 advies uitgebracht over deze effectbeoordeling. Naar aanleiding van het advies van de Raad voor effectbeoordeling is de effectbeoordeling als volgt gewijzigd:

– de doelstellingen van het huidige wetgevingskader (in welk opzicht deze doelstellingen zijn bereikt en in welk opzicht niet) en de doelstellingen van de voorgenomen hervorming werden verduidelijkt;

– aan de passage betreffende de probleemstelling werden meer gegevens en extra verduidelijkingen en uitleg toegevoegd.

De Commissie heeft voorts overeenkomstig artikel 29, lid 2, van Kaderbesluit 2008/977/JBZ een verslag over de uitvoering van dat kaderbesluit opgesteld, dat als onderdeel van het gegevensbeschermingspakket moet worden goedgekeurd[19]. Van de bevindingen van het verslag, dat op basis van input van de lidstaten is opgesteld, is ook gebruikgemaakt voor de effectbeoordeling.

3.

3. JURIDISCHE ELEMENTEN VAN HET VOORSTEL 3.1. Rechtsgrondslag


Het voorstel is gebaseerd op artikel 16, lid 2, VWEU, een nieuwe specifieke bepaling die in het Verdrag van Lissabon is opgenomen met het oog op de vaststelling van voorschriften betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie en door de lidstaten bij de uitvoering van activiteiten die binnen de werkingssfeer van het Unierecht vallen, alsook voorschriften betreffende het vrije verkeer van dergelijke gegevens.

Het voorstel beoogt een consequent hoog niveau van gegevensbescherming op dit gebied te verzekeren, teneinde het wederzijds vertrouwen van de politiële en justitiële autoriteiten van de verschillende lidstaten te versterken en het vrije verkeer van gegevens en de samenwerking tussen die autoriteiten te bevorderen.

Subsidiariteit en evenredigheid



Volgens het subsidiariteitsbeginsel (artikel 5, lid 3, VEU) dient de Unie slechts op te treden indien en voor zover de doelstellingen van het overwogen optreden niet voldoende door de lidstaten kunnen worden verwezenlijkt, maar vanwege de omvang of de gevolgen van het overwogen optreden beter door de Unie kunnen worden bereikt. In het licht van de hierboven aangekaarte problemen geeft de subsidiariteitsanalyse aan dat op het gebied van politie en strafrecht om de volgende redenen actie moet worden ondernomen op EU-niveau:

– Het recht op de bescherming van persoonsgegevens, dat is vastgelegd in artikel 8 van het Handvest van de grondrechten van de EU en in artikel 16, lid 1, VWEU, vereist dat in de hele Unie persoonsgegevens in dezelfde mate worden beschermd. Hetzelfde beschermingsniveau moet gelden voor uitgewisselde gegevens en voor in het binnenland verwerkte gegevens.

– De rechtshandhavingsautoriteiten in de lidstaten moeten steeds vaker en sneller gegevens verwerken en uitwisselen met het oog op de voorkoming en bestrijding van grensoverschrijdende criminaliteit en terrorisme. Duidelijke en consequente EU-voorschriften voor gegevensbescherming vergemakkelijken daarbij de samenwerking tussen die autoriteiten.

Er doen zich bovendien praktische problemen voor bij de handhaving van de wetgeving inzake gegevensbescherming en de samenwerking tussen de lidstaten en hun autoriteiten. Een en ander moet op EU-niveau worden geregeld om de eenvormige toepassing van het Unierecht te waarborgen. In bepaalde situaties is de EU het beste in staat om doeltreffende en consequente garanties te bieden voor een gelijk beschermingsniveau bij de doorgifte van persoonsgegevens naar derde landen.

– De problemen met de huidige regeling kunnen niet door de lidstaten afzonderlijk worden verholpen, zeker niet als die problemen te wijten zijn aan de fragmentatie van de nationale wetgevingen. Er is dus een specifieke noodzaak om een geharmoniseerd en samenhangend kader te ontwikkelen waardoor vlotte grensoverschrijdende doorgifte van persoonsgegevens binnen de EU kan plaatsvinden en tegelijkertijd iedereen in de EU doeltreffend wordt beschermd.

– Gezien de aard en de omvang van de problemen, die niet beperkt blijven tot één of meer lidstaten, is de voorgestelde EU-maatregel waarschijnlijk doeltreffender dan soortgelijke maatregelen die door de lidstaten worden genomen.

Overeenkomstig het evenredigheidsbeginsel moet optreden doelgericht zijn en mag het niet verder gaan dan wat noodzakelijk is om de doelstellingen te verwezenlijken. Dit beginsel is gevolgd vanaf de identificatie en evaluatie van alternatieve beleidsopties tot het opstellen van dit wetgevingsvoorstel.

Het beste instrument om op dit gebied op EU-niveau tot harmonisatie te komen en tegelijkertijd de lidstaten de nodige flexibiliteit te geven bij de tenuitvoerlegging van de beginselen, voorschriften en uitzonderingen daarop op nationaal niveau, is daarom een richtlijn. Gezien de complexiteit van de huidige nationale voorschriften inzake de bescherming van persoonsgegevens die in het kader van de politiële en justitiële samenwerking in strafzaken worden verwerkt, en de doelstelling deze voorschriften door middel van een richtlijn volledig te harmoniseren, zal de Commissie de lidstaten moeten verzoeken om het verband tussen de onderdelen van de richtlijn en de overeenkomstige delen van de nationale omzettingsinstrumenten nader toe te lichten, om haar in staat te stellen toezicht te houden op de omzetting van deze richtlijn.

4.

3.3. Samenvatting van eventuele problemen in verband met de grondrechten


Het recht op de bescherming van persoonsgegevens is vastgelegd in artikel 8 van het Handvest van de grondrechten van de EU en in artikel 16 VWEU, alsook in artikel 8 van het Europees Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden. Zoals het Hof van Justitie van de Europese Unie heeft beklemtoond[20], heeft het recht op bescherming van persoonsgegevens geen absolute gelding, maar moet het in relatie tot de functie ervan in de maatschappij worden beschouwd[21]. Er is een nauw verband tussen gegevensbescherming en de eerbiediging van het privéleven en het familie- en gezinsleven, dat door artikel 7 van het Handvest wordt beschermd. Dat blijkt ook uit artikel 1, lid 1, van Richtlijn 95/46/EG, waarin wordt bepaald dat de lidstaten in verband met de verwerking van persoonsgegevens de bescherming van de fundamentele rechten en vrijheden van natuurlijke personen, inzonderheid van het recht op persoonlijke levenssfeer, moeten waarborgen.

Andere in het Handvest vastgelegde grondrechten die mogelijk in het geding zijn, zijn het verbod op discriminatie op grond van onder meer ras, etnische afkomst, genetische kenmerken, godsdienst of overtuiging, politieke of andere denkbeelden, een handicap of seksuele gerichtheid (artikel 21), de rechten van het kind (artikel 24) en het recht op een doeltreffende voorziening in rechte en op een onpartijdig gerecht (artikel 47).

3.4. Nadere uitleg van het voorstel 3.4.1. HOOFDSTUK I – ALGEMENE BEPALINGEN

In artikel 1 wordt het onderwerp van de richtlijn bepaald, namelijk dat deze voorschriften bevat betreffende de verwerking van persoonsgegevens met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van strafrechtelijke sancties, en wordt het tweeledige doel van de richtlijn vastgesteld, namelijk de bescherming van de fundamentele rechten en vrijheden van natuurlijke personen en in het bijzonder hun recht op de bescherming van persoonsgegevens terwijl een hoog niveau van openbare veiligheid wordt gegarandeerd, en de facilitering van de uitwisseling van persoonsgegevens door de bevoegde autoriteiten in de Unie.

In artikel 2 wordt het toepassingsgebied van de richtlijn aangegeven. Het toepassingsgebied is niet beperkt tot grensoverschrijdende gegevensverwerking, maar bestrijkt alle verwerkingsactiviteiten die “bevoegde autoriteiten” (zoals gedefinieerd in artikel 3, punt 14) voor de toepassing van de richtlijn uitvoeren. De richtlijn is niet van toepassing op gegevensverwerking in het kader van activiteiten die buiten de werkingssfeer van het Unierecht vallen of op gegevensverwerking door instellingen, organen en instanties van de Unie, die geregeld wordt bij Verordening (EG) nr. 45/2001 en andere specifieke wetgeving.

Artikel 3 bevat de definities van de termen die in de richtlijn worden gebruikt. Een aantal definities is overgenomen uit Richtlijn 95/49/EG en Kaderbesluit 2008/977/JBZ, terwijl andere definities zijn gewijzigd, aangevuld of nieuw ingevoerd. De nieuw gedefinieerde termen zijn “inbreuk in verband met persoonsgegevens”, “genetische gegevens”, “biometrische gegevens”, “bevoegde autoriteiten” (op basis van artikel 87 VWEU en artikel 2, onder h), van Kaderbesluit 2008/977/JBZ) en “kind” (op basis van het VN-verdrag inzake de rechten van het kind[22]).

3.4.2. HOOFDSTUK II – BEGINSELEN

In artikel 4 worden de beginselen inzake de verwerking van persoonsgegevens geformuleerd, op basis van artikel 6 van Richtlijn 95/46/EG en artikel 3 van Kaderbesluit 2008/977/JBZ, maar aangepast aan de context van onderhavige richtlijn.

Artikel 5 vereist dat zo veel mogelijk een onderscheid wordt gemaakt tussen persoonsgegevens betreffende verschillende categorieën betrokkenen. Dit is een nieuwe bepaling die noch in Richtlijn 95/46/EG, noch in Kaderbesluit 2008/977/JBZ voorkomt, hoewel zij wel was opgenomen in het oorspronkelijke voorstel van de Commissie voor het kaderbesluit[23]. De bepaling is geïnspireerd op aanbeveling R (87) 15 van het Comité van ministers van de Raad van Europa. Soortgelijke regels gelden al voor Europol[24] en Eurojust[25].

Artikel 6 betreffende verschillende graden van juistheid en betrouwbaarheid is in overeenstemming met beginsel 3.2 van aanbeveling R (87) 15 van het Comité van ministers van de Raad van Europa. Soortgelijke voorschriften, die ook al in het Commissievoorstel voor het kaderbesluit stonden, gelden ten aanzien van Europol[26].

In artikel 7 worden de gronden voor rechtmatige verwerking vastgesteld. Verwerking is rechtmatig wanneer zij noodzakelijk is voor het uitvoeren van een taak door een bevoegde autoriteit overeenkomstig het nationale recht, om aan een wettelijke verplichting voor de voor de verwerking verantwoordelijke te voldoen, om de vitale belangen van de betrokkene of van een andere persoon te verdedigen of om een onmiddellijke en ernstige bedreiging voor de openbare veiligheid af te wenden. De overige in artikel 7 van Richtlijn 95/46/EG genoemde gronden voor rechtmatige verwerking zijn niet van toepassing op verwerking in een politieel of strafrechtelijk kader.

Artikel 8 bevat een algemeen verbod op de verwerking van bijzondere categorieën persoonsgegevens en uitzonderingen op die algemene regel. Het is gebaseerd op artikel 8 van Richtlijn 95/46/EG en voegt daaraan, overeenkomstig de jurisprudentie van het Europees Hof voor de rechten van de mens, genetische gegevens toe[27].

Artikel 9 verbiedt maatregelen die uitsluitend op geautomatiseerde verwerking van persoonsgegevens berusten, tenzij zulks is toegestaan bij een wet die passende waarborgen biedt, in overeenstemming met artikel 7 van Kaderbesluit 2008/977/JBZ.

3.4.3. HOOFDSTUK III – RECHTEN VAN DE BETROKKENE

Artikel 10 bepaalt dat de lidstaten transparante, eenvoudig toegankelijke en begrijpelijke informatie moeten verstrekken (een verplichting die met name is ingegeven door beginsel 10 van de Resolutie van Madrid over internationale normen voor de bescherming van persoonsgegevens en de persoonlijke levenssfeer[28]) en dat voor de verwerking verantwoordelijken moeten voorzien in procedures en mechanismen ter vergemakkelijking van de uitoefening van de rechten van de betrokkene. Ook wordt hier bepaald dat de betrokkene zijn rechten in beginsel moet kunnen uitoefenen zonder dat daaraan kosten verbonden zijn.

Artikel 11 bepaalt dat de lidstaten verplicht zijn de betrokkene bepaalde informatie te verstrekken. De verplichtingen in dezen zijn gebaseerd op de artikelen 10 en 11 van Richtlijn 95/46/EG, maar de bepalingen inzake informatie die van de betrokkene afkomstig is en die welke uit andere bron komt, zijn nu samengevoegd in één artikel en de te verstrekken informatie is uitgebreid. Het artikel bevat uitzonderingen op de informatieplicht indien die uitzonderingen evenredig zijn met hun doel en in een democratische samenleving noodzakelijk zijn voor de uitoefening van de taken van de bevoegde autoriteiten (geïnspireerd op artikel 13 van Richtlijn 95/46/EG en artikel 17 van Kaderbesluit 2008/977/JBZ).

Artikel 12 verplicht de lidstaten ertoe om te voorzien in het recht van de betrokkene op toegang tot zijn persoonsgegevens. Dit artikel is gebaseerd op artikel 12, onder a), van Richtlijn 95/46/EG, waaraan nieuwe elementen zijn toegevoegd. Zo moet de betrokkene worden gewezen op de opslagtermijn, het recht van rectificatie, wissen, beperking van de gegevensverwerking en het recht om een klacht in te dienen.

Artikel 13 bepaalt dat de lidstaten wetgeving mogen vaststellen waarbij het recht van toegang wordt beperkt indien de specifieke aard van de gegevensverwerking in het kader van politie en strafrecht zulks vereist. Het artikel bevat voorts bepalingen over de informatieverstrekking aan de betrokkene inzake de beperking van het toegangsrecht, op basis van artikel 17, leden 2 en 3, van Kaderbesluit 2008/977/JBZ.

Artikel 14 bevat de regel dat de betrokkene, wanneer de directe toegang beperkt is, moet worden ingelicht over de mogelijkheid om indirect toegang te verkrijgen via de toezichthoudende autoriteit. Deze dient dan het toegangsrecht namens de betrokkene uit te oefenen en deze in te lichten over het resultaat van haar verificatie.

Artikel 15 over het recht van rectificatie is gebaseerd op artikel 12, onder b), van Richtlijn 95/46/EG en, wat de verplichtingen bij weigering betreft, op artikel 18, lid 1, van Kaderbesluit 2008/977/JBZ.

Artikel 16 over het recht om gegevens te laten wissen is gebaseerd op artikel 12, onder b), van Richtlijn 95/46/EG en, wat de verplichtingen bij weigering betreft, op artikel 18, lid 1, van Kaderbesluit 2008/977/JBZ. Dit artikel betreft ook het recht om de verwerking in bepaalde gevallen te laten “markeren”. Deze term komt in de plaats van de dubbelzinnige term “afscherming” die in artikel 12, onder b), van Richtlijn 95/46/EG en artikel 18, lid 1, van Kaderbesluit 2008/977/JBZ wordt gebruikt.

Artikel 17 inzake rectificatie, uitwissing en beperking van de verwerking bij gerechtelijke procedures biedt een helderder formulering op basis van artikel 4, lid 4, van Kaderbesluit 2008/977/JBZ.

3.4.4. HOOFDSTUK IV – VOOR DE VERWERKING VERANTWOORDELIJKE EN VERWERKER 3.4.4.1. AFDELING 1 – ALGEMENE VERPLICHTINGEN

Artikel 18 omschrijft de verplichting van de voor de verwerking verantwoordelijke om de richtlijn na te leven en op de naleving ervan toe te zien, onder meer door daarvoor beleid en mechanismen vast te stellen.

Artikel 19 bepaalt dat de lidstaten erop moeten toezien dat de voor de verwerking verantwoordelijke voldoet aan de verplichtingen die voortvloeien uit de beginselen inzake privacy by design en privacy by default.

Artikel 20 verduidelijkt de status van gemeenschappelijk voor de verwerking verantwoordelijken wat betreft hun onderlinge verhouding.

Artikel 21 verduidelijkt de positie en de verplichtingen van verwerkers. Deze bepaling is deels gebaseerd op artikel 17, lid 2, van Richtlijn 95/46/EG, maar is uitgebreid met nieuwe elementen. Zo moet een verwerker die niet uitsluitend op instructie van de voor de verwerking verantwoordelijke handelt, als een gemeenschappelijk voor de verwerking verantwoordelijke worden beschouwd.

Artikel 22 heeft betrekking op verwerking onder het gezag van de voor de verwerking verantwoordelijke en de verwerker. Het artikel is gebaseerd op artikel 16 van Richtlijn 95/46/EG.

Bij artikel 23 worden voor de verwerking verantwoordelijken en verwerkers ertoe verplicht alle verwerkingssystemen en procedures die onder hun verantwoordelijkheid vallen, te documenteren.

Artikel 24 betreft het bijhouden van een registratie, zoals bedoeld in artikel 10, lid 1, van Kaderbesluit 2008/977/JBZ, en biedt verdere verduidelijking daaromtrent.

Artikel 25 verduidelijkt de verplichtingen van de voor de verwerking verantwoordelijke en de verwerker bij de samenwerking met de toezichthoudende autoriteit.

Artikel 26 betreft de gevallen waarin vóór de verwerking plaatsvindt, overleg met de toezichthoudende autoriteit verplicht is, en is gebaseerd op artikel 23 van Kaderbesluit 2008/977/JBZ.

3.4.4.2. ARTIKEL 2 – BEVEILIGING VAN GEGEVENS

Artikel 27 betreffende de beveiliging van de verwerking is gebaseerd op artikel 17, lid 1, van Richtlijn 95/46/EG en artikel 22 van Kaderbesluit 2008/977/JBZ, maar breidt de verplichtingen op dat gebied uit tot verwerkers, ongeacht hun contract met de voor de verwerking verantwoordelijke.

Bij de artikelen 28 en 29 wordt de verplichting ingevoerd om inbreuken in verband met persoonsgegevens te melden. Deze bepaling is geïnspireerd op artikel 4, lid 3, van Richtlijn 2002/58/EG (e-privacyrichtlijn). De bepaling wordt verduidelijkt en de verplichting om de toezichthoudende autoriteit in kennis te stellen (artikel 28) wordt gescheiden van de verplichting om in bepaalde omstandigheden de betrokkene in te lichten (artikel 29). Artikel 29 voorziet ook in een uitzonderingsbepaling waarin wordt verwezen naar artikel 11, lid 4.

3.4.4.3. AFDELING 3 – FUNCTIONARIS VOOR GEGEVENSBESCHERMING

Artikel 30 bepaalt dat de voor de verwerking verantwoordelijke verplicht is een functionaris voor gegevensverwerking te benoemen, die belast wordt met de in artikel 32 genoemde taken. Wanneer een aantal bevoegde autoriteiten handelt onder toezicht van een centrale autoriteit die als voor de verwerking verantwoordelijke optreedt, dient in ieder geval deze centrale autoriteit een functionaris voor gegevensverwerking te benoemen. Artikel 18, lid 2, van de Richtlijn 95/46/EG bepaalde dat lidstaten het vereiste inzake algemene kennisgeving door een dergelijke verplichting mochten vervangen.

In artikel 31 wordt de positie van de functionaris voor gegevensbescherming geregeld.

Artikel 32 bepaalt de taken van de functionaris voor gegevensbescherming.

3.4.5. HOOFDSTUK V – DOORGIFTE VAN PERSOONSGEGEVENS NAAR DERDE LANDEN OF INTERNATIONALE ORGANISATIES

Artikel 33 bepaalt de algemene beginselen voor de doorgifte van gegevens naar derde landen en internationale organisaties op het gebied van politiële samenwerking en justitiële samenwerking in strafzaken, alsook voor verdere doorgifte. Het artikel preciseert dat doorgifte naar derde landen slechts mag plaatsvinden indien dit noodzakelijk is met het oog op de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten en de tenuitvoerlegging van straffen.

Artikel 34 bepaalt dat doorgifte naar een derde land is toegestaan ofwel wanneer de Commissie ten aanzien van dat land overeenkomstig Verordening nr. …/…/201X een besluit heeft vastgesteld waarbij het beschermingsniveau passend wordt verklaard, dan wel een besluit dat specifiek betrekking heeft op politiële samenwerking of justitiële samenwerking in strafzaken, ofwel, bij ontstentenis van dergelijke besluiten, wanneer passende garanties worden geboden. De richtlijn zorgt ervoor dat wanneer er nog geen besluit is vastgesteld waarbij het beschermingsniveau passend is verklaard, de doorgifte kan blijven plaatsvinden op basis van passende garanties en afwijkingsbepalingen. Voorts wordt bepaald aan de hand van welke criteria de Commissie beoordeelt of het beschermingsniveau al dan niet passend is, waarbij uitdrukkelijk de rechtsstaat, de toegang tot rechtsmiddelen en onafhankelijk toezicht in aanmerking worden genomen. Het artikel voorziet ook in de mogelijkheid dat de Commissie het beschermingsniveau beoordeelt dat door een gebied of een verwerkingssector in een derde land geboden wordt. Een algemeen besluit waarbij een beschermingsniveau passend wordt verklaard, dat volgens de procedure van artikel 38 van de algemene verordening gegevensbescherming is vastgesteld, is ook binnen de werkingssfeer van deze richtlijn van toepassing. Ook kan de Commissie specifiek voor de toepassing van deze richtlijn een besluit vaststellen waarbij een beschermingsniveau passend wordt verklaard.

Artikel 35 bepaalt welke passende garanties moeten worden geboden voordat een internationale doorgifte is toegestaan, indien de Commissie geen besluit heeft vastgesteld waarbij een beschermingsniveau passend is verklaard. Deze garanties kunnen worden geboden door een juridisch bindend instrument zoals een internationale overeenkomst. Ook kan de voor de verwerking verantwoordelijke op grond van een beoordeling van de omstandigheden van de doorgifte ervan uitgaan dat dergelijke passende garanties bestaan.

Artikel 36 voorziet in uitzonderingsbepalingen voor gegevensdoorgifte en is gebaseerd op artikel 26 van Richtlijn 95/46/EG en artikel 13 van Kaderbesluit 2008/977/JBZ.

Volgens artikel 37 moeten de lidstaten bepalen dat de voor de verwerking verantwoordelijke de ontvanger van de gegevens moet inlichten over eventuele beperkingen voor de verwerking en alle redelijke maatregelen moet nemen om te waarborgen dat ontvangers van persoonsgegevens in het betrokken derde land of de betrokken internationale organisatie zich aan deze beperkingen houden.

Artikel 38 voorziet uitdrukkelijk in internationale mechanismen voor samenwerking inzake de bescherming van persoonsgegevens tussen de Commissie en de toezichthoudende autoriteiten van derde landen, met name die waarvan het beschermingsniveau als passend is beoordeeld, rekening houdende met de aanbeveling van de OESO van 12 juni 2007 inzake grensoverschrijdende samenwerking bij de handhaving van wetgeving ter bescherming van de persoonlijke levenssfeer.

3.4.6. HOOFDSTUK VI – NATIONALE TOEZICHTHOUDENDE AUTORITEITEN 3.4.6.1. AFDELING 1 – ONAFHANKELIJKHEID

Artikel 39 verplicht de lidstaten ertoe een toezichthoudende autoriteit op te richten en is gebaseerd op artikel 28, lid 1, van Richtlijn 95/46/EG en artikel 25 van Kaderbesluit 2008/977/JBZ. De taakomschrijving van deze autoriteiten wordt uitgebreid: zo moeten zij bijdragen tot een consequente toepassing van de richtlijn in de gehele Unie. De toezichthoudende autoriteit die bij de algemene verordening gegevensbescherming is opgericht, kan ook optreden als de toezichthoudende autoriteit voor deze richtlijn.

Artikel 40 verduidelijkt de voorwaarden voor de onafhankelijkheid van de toezichthoudende autoriteit. Het artikel volgt de jurisprudentie van het Hof van Justitie van de EU[29] en is ook geïnspireerd op artikel 44 van Verordening (EG) nr. 45/2001[30].

Artikel 41 stelt algemene voorwaarden vast voor de leden van de toezichthoudende autoriteit. Het artikel volgt de jurisprudentie van het Hof van Justitie van de EU[31] en is ook geïnspireerd op artikel 42, leden 2 tot en met 6, van Verordening (EG) nr. 45/2001.

Artikel 42 bevat voorschriften voor de oprichting van de toezichthoudende autoriteit en de voorwaarden voor de leden ervan, die de lidstaten bij de wet moeten vaststellen.

Artikel 43 betreffende het beroepsgeheim van de leden en het personeel van de toezichthoudende autoriteit is gebaseerd op artikel 28, lid 7, van Richtlijn 95/46/EG en artikel 25, lid 4, van Kaderbesluit 2008/977/JBZ.

3.4.6.2. AFDELING 2 – TAKEN EN BEVOEGDHEDEN

Artikel 44 stelt de competentie van de toezichthoudende autoriteiten vast en is gebaseerd op artikel 28, lid 6, van Richtlijn 95/46/EG en artikel 25, lid 1, van Kaderbesluit 2008/977/JBZ. Rechtbanken zijn in het kader van hun gerechtelijke taken niet onderworpen aan het toezicht van de toezichthoudende autoriteit, maar wel aan de toepassing van de materiële voorschriften inzake gegevensbescherming.

Artikel 45 bepaalt dat de lidstaten de taken van de toezichthoudende autoriteit vaststellen. Daartoe behoren het kennisnemen en onderzoeken van klachten en het voorlichten van het publiek over de risico’s, voorschriften, garanties en rechten. Deze richtlijn verleent aan de toezichthoudende autoriteiten de bijzondere taak om namens de betrokkene het toegangsrecht uit te oefenen, wanneer directe toegang is geweigerd of beperkt, en de rechtmatigheid van de gegevensverwerking te toetsen.

Artikel 46 stelt de bevoegdheden van de toezichthoudende autoriteit vast en is gebaseerd op artikel 28, lid 3, van Richtlijn 95/46/EG en artikel 25, leden 2 en 3, van Kaderbesluit 2008/977/JBZ. Artikel 47 bepaalt dat de toezichthoudende autoriteiten een jaarlijks activiteitenverslag opstellen en is gebaseerd op artikel 28 van Richtlijn 95/46/EG.

3.4.7. HOOFDSTUK VII – SAMENWERKING

Artikel 48 bevat voorschriften over de verplichting tot wederzijdse bijstand, terwijl in artikel 28, lid 6, van Richtlijn 95/46/EG slechts een algemene, niet nader gespecificeerde verplichting tot samenwerking was vervat.

Artikel 49 bepaalt dat het Europees Comité voor gegevensbescherming, dat bij de algemene verordening gegevensbescherming is opgericht, zijn taken tevens uitvoert met betrekking tot verwerkingsactiviteiten die onder deze richtlijn vallen. Met het oog op aanvullende ondersteuning vraagt de Commissie, via een deskundigengroep inzake de rechtshandhavingsaspecten van gegevensbescherming, advies van vertegenwoordigers van autoriteiten van de lidstaten die bevoegd zijn voor de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en van vertegenwoordigers van Europol en Eurojust.

3.4.8. HOOFDSTUK VIII – BEROEP OP DE RECHTER, AANSPRAKELIJKHEID EN SANCTIES

Artikel 50 voorziet in het recht van elke betrokkene om een klacht in te dienen bij een toezichthoudende autoriteit. Het is gebaseerd op artikel 28, lid 4, van Richtlijn 95/46/EG en is van toepassing op elke inbreuk op de richtlijn ten aanzien van de klager. Het artikel bepaalt tevens welke instanties, organisaties of verenigingen een klacht mogen indienen namens de betrokkene, of betreffende een inbreuk in verband met persoonsgegevens, die losstaat van een klacht van een betrokkene.

Artikel 51 betreft het recht om tegen een toezichthoudende autoriteit beroep bij de rechter in te stellen. Het bouwt voort op de algemene bepaling van artikel 28, lid 3, van de Richtlijn 95/46/EG en bepaalt uitdrukkelijk dat de betrokkene de rechter kan verzoeken de toezichthoudende autoriteit te gelasten gevolg te geven aan een klacht.

Artikel 52 voorziet in rechtsmiddelen tegen een voor de verwerking verantwoordelijke of een verwerker. Het is gebaseerd op artikel 22 van Richtlijn 95/46/EG en artikel 20 van Kaderbesluit 2008/977/JBZ.

Artikel 53 bevat gemeenschappelijke voorschriften voor gerechtelijke procedures, waaronder de rechten van instanties, organisaties of verenigingen om betrokkenen in rechte te vertegenwoordigen en het recht van toezichthoudende instanties om gerechtelijke procedures aan te spannen. De verplichting voor de lidstaten om te voorzien in rechtsgedingen waarbij snel maatregelen kunnen worden getroffen is geïnspireerd op artikel 18, lid 1, van de richtlijn inzake elektronische handel (Richtlijn 2000/31/EG) [32].

Artikel 54 verplicht de lidstaten ertoe te voorzien in een recht op schadevergoeding. Het is gebaseerd op artikel 28, lid 6, van Richtlijn 95/46/EG en artikel 19, lid 1, van Kaderbesluit 2008/977/JBZ, maar breidt dit recht uit tot schade door toedoen van verwerkers en verduidelijkt de aansprakelijkheid van gemeenschappelijk voor de verwerking verantwoordelijken en gezamenlijke verwerkers.

Artikel 55 verplicht de lidstaten ertoe voorschriften vast te stellen inzake sancties om inbreuken op deze richtlijn te bestraffen, en toe te zien op de tenuitvoerlegging van die sancties.

3.4.9. HOOFDSTUK IX – GEDELEGEERDE HANDELINGEN EN UITVOERINGSHANDELINGEN

Artikel 56 bevat standaardbepalingen inzake de uitvoering van bevoegdheidsdelegaties overeenkomstig artikel 290 VWEU. Dit artikel biedt de wetgever de mogelijkheid om aan de Commissie de bevoegdheid over te dragen niet-wetgevingshandelingen van algemene strekking vast te stellen ter aanvulling of wijziging van bepaalde niet-essentiële onderdelen van een wetgevingshandeling (quasiwetgevingshandelingen).

Artikel 57 voorziet in de vereiste comitéprocedure om aan de Commissie uitvoeringsbevoegdheden toe te kennen in gevallen waarin het nodig is dat juridisch bindende handelingen van de Unie volgens eenvormige voorwaarden worden uitgevoerd, zoals bedoeld in artikel 291 VWEU. De onderzoeksprocedure is van toepassing.

3.4.10. HOOFDSTUK X – SLOTBEPALINGEN

Bij artikel 58 wordt Kaderbesluit 2008/977/JBZ van de Raad ingetrokken.

Artikel 59 stelt vast dat in handelingen van de Unie opgenomen specifieke bepalingen betreffende de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, die de verwerking van persoonsgegevens of de toegang tot informatiesystemen regelen die binnen de werkingssfeer van deze richtlijn vallen, onverlet worden gelaten.

Artikel 60 verduidelijkt hoe deze richtlijn zich verhoudt tot eerder door de lidstaten gesloten internationale overeenkomsten op het gebied van justitiële samenwerking in strafzaken en politiële samenwerking.

Artikel 61 verplicht de Commissie ertoe de tenuitvoerlegging van de richtlijn te evalueren en daarover verslag uit te brengen, teneinde te beoordelen of de in artikel 59 bedoelde eerder vastgestelde specifieke bepalingen aan deze richtlijn moeten worden aangepast.

Artikel 62 verplicht de lidstaten ertoe de richtlijn in hun nationale recht om te zetten en de Commissie mee te delen welke bepalingen zij hebben vastgesteld om aan deze richtlijn te voldoen.

Artikel 63 stelt de datum van inwerkingtreding van de richtlijn vast.

Artikel 64 stelt de adressaten van de richtlijn vast.

2.

Gevolgen voor de begroting



Het financieel memorandum bij het voorstel voor de algemene verordening gegevensbescherming betreft de gevolgen voor de begroting van zowel die verordening als deze richtlijn.