Toelichting bij COM(2021)767 - Wijziging van Besluit 2005/671/JBZ, met betrekking tot de aanpassing aan de EU-voorschriften inzake de bescherming van persoonsgegevens

Dit is een beperkte versie

U kijkt naar een beperkte versie van dit dossier in de EU Monitor.

1. Motivering en doel van het voorstel

1.1.Motivering van het voorstel

Richtlijn (EU) 2016/680 1 (hierna “richtlijn gegevensbescherming bij rechtshandhaving” genoemd) is op 6 mei 2016 in werking getreden. De lidstaten hadden tot 6 mei 2018 de tijd om deze in nationaal recht om te zetten. Bij de richtlijn is Kaderbesluit 2008/977/JBZ van de Raad 2 ingetrokken en vervangen. De richtlijn heeft een zeer breed toepassingsgebied, aangezien zij het eerste instrument is met een alomvattende aanpak op het gebied van gegevensverwerking in het kader van rechtshandhaving. Zij is van toepassing op zowel binnenlandse als grensoverschrijdende verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten en het uitvoeren van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid.

Op grond van artikel 62, lid 6, van de richtlijn gegevensbescherming bij rechtshandhaving moest de Commissie voor 6 mei 2019 nagaan of andere rechtshandelingen van de EU die de verwerking van persoonsgegevens door bevoegde autoriteiten voor rechtshandhavingsdoeleinden regelen, moesten worden aangepast. Het doel daarvan was te beoordelen of die handelingen in overeenstemming moesten worden gebracht met de richtlijn gegevensbescherming bij rechtshandhaving en voorstellen tot wijziging ervan in te dienen om te zorgen voor consistentie met de gegevensbescherming binnen het toepassingsgebied van de richtlijn.

De Commissie heeft de bevindingen van haar beoordeling uiteengezet in haar mededeling Volgende stappen om het acquis van de voormalige derde pijler aan de gegevensbeschermingsregels aan te passen van 24 juni 2020 3 , waarin wordt aangegeven welke rechtshandelingen aan de richtlijn gegevensbescherming bij rechtshandhaving moeten worden aangepast. Aangezien Besluit 2005/671/JBZ van de Raad ook op de lijst staat, heeft de Commissie te kennen gegeven dat zij gerichte wijzigingen zou voorstellen.

Op grond van artikel 6 van de richtlijn gegevensbescherming bij rechtshandhaving moeten de lidstaten ervoor zorgen dat de bevoegde autoriteiten een duidelijk onderscheid maken tussen persoonsgegevens betreffende verschillende categorieën van betrokkenen, zoals:

·personen ten aanzien van wie er gegronde vermoedens bestaan dat zij een strafbaar feit hebben gepleegd of zullen plegen;

·personen die voor een strafbaar feit zijn veroordeeld;

·slachtoffers van een strafbaar feit of andere personen die bij een strafbaar feit betrokken zijn.

Volgens artikel 8, lid 1, van de richtlijn gegevensbescherming bij rechtshandhaving moeten de lidstaten ervoor zorgen dat de verwerking rechtmatig is. Dit betekent dat een bevoegde autoriteit persoonsgegevens alleen mag verwerken voor zover dat nodig is voor de uitvoering van een in de richtlijn gegevensbescherming bij rechtshandhaving beschreven taak. Artikel 8, lid 2, van de richtlijn gegevensbescherming bij rechtshandhaving schrijft voor dat in het nationale recht dat gegevensverwerking binnen het kader van de richtlijn gegevensbescherming bij rechtshandhaving regelt, ten minste de verwerkingsdoeleinden, de te verwerken persoonsgegevens en de doeleinden van de verwerking moeten worden vermeld.

Voor een doeltreffende bestrijding van terrorisme is het van wezenlijk belang dat informatie die door de bevoegde instanties relevant wordt geacht voor de voorkoming, de opsporing, het onderzoek en de vervolging van strafbare feiten van terroristische aard, op efficiënte wijze wordt uitgewisseld tussen de bevoegde autoriteiten en de instanties van de Unie. Die informatie-uitwisseling moet plaatsvinden met volledige inachtneming van het recht op gegevensbescherming en in overeenstemming met de door de richtlijn gegevensbescherming bij rechtshandhaving gestelde voorwaarden.

In Besluit 2005/671/JBZ van de Raad van 20 september 2005 betreffende informatie-uitwisseling en samenwerking in verband met strafbare feiten van terroristische aard 4 is bepaald dat het voor de bestrijding van terrorisme essentieel is dat over zo volledig en actueel mogelijke informatie kan worden beschikt. De aanhoudende en complexe terroristische dreiging leidt ertoe dat steeds meer informatie wordt uitgewisseld.

Daarom bepaalt Besluit 2005/671/JBZ van de Raad dat de lidstaten alle relevante gegevens moeten verzamelen die betrekking hebben op en voortvloeien uit strafrechtelijke onderzoeken die verband houden met strafbare feiten van terroristische aard die twee of meer lidstaten treffen of kunnen treffen, en die gegevens aan Europol moeten verstrekken 5 . De lidstaten moeten ook alle relevante gegevens verzamelen over vervolgingen en veroordelingen wegens strafbare feiten van terroristische aard die twee of meer lidstaten treffen of kunnen treffen, en die gegevens aan Eurojust doorgeven. Elke lidstaat moet ook alle relevante gegevens beschikbaar stellen die door zijn bevoegde autoriteiten zijn verzameld in strafprocedures die verband houden met strafbare feiten van terroristische aard. Die gegevens moeten snel ter beschikking worden gesteld aan de bevoegde autoriteiten van een andere lidstaat waar de informatie kan worden gebruikt om strafbare feiten van terroristische aard te voorkomen, op te sporen, te onderzoeken of te vervolgen.

Het is sinds 2005 steeds duidelijker geworden hoe groot het belang is van het delen van informatie tussen de lidstaten en met Europol en Eurojust. Bij Richtlijn (EU) 2017/541 inzake terroristismebestrijding 6 is Besluit 2005/671/JBZ van de Raad gewijzigd teneinde te verzekeren dat de lidstaten informatie doeltreffend en tijdig met elkaar delen, rekening houdend met de ernstige dreiging die van strafbare feiten van terroristische aard uitgaat.

In overweging 7 van Besluit 2005/671/JBZ van de Raad wordt gesteld dat het besluit in overeenstemming is met de grondrechten en voldoet aan de beginselen die zijn erkend in het Handvest van de grondrechten van de Europese Unie. De bescherming van persoonsgegevens is als grondrecht verankerd in artikel 8 van het Handvest van de grondrechten van de Europese Unie. Artikel 16, lid 1, van het Verdrag betreffende de werking van de Europese Unie (VWEU) bepaalt ook dat eenieder recht heeft op bescherming van zijn persoonsgegevens. Bovendien is bij artikel 16, lid 2, VWEU een specifieke rechtsgrondslag ingevoerd voor de vaststelling van regels inzake de bescherming van persoonsgegevens.

Sinds de vaststelling van Besluit 2005/671/JBZ van de Raad zijn de Unieregels inzake gegevensbescherming verder ontwikkeld. Zoals eerder gezegd hebben het Europees Parlement en de Raad op basis van artikel 16, lid 2, VWEU met name de richtlijn gegevensbescherming bij rechtshandhaving aangenomen, die op 6 mei 2016 in werking is getreden. De richtlijn gegevensbescherming bij rechtshandhaving is een alomvattend horizontaal instrument voor gegevensbescherming. Belangrijk is dat zij van toepassing is op alle verwerkingen die voor rechtshandhavingsdoeleinden door de bevoegde autoriteiten worden verricht (zowel binnenlandse als grensoverschrijdende verwerking).

1.2.Doel van het voorstel

Het voorstel heeft tot doel Besluit 2005/671/JBZ van de Raad in overeenstemming te brengen met de beginselen en regels van de richtlijn gegevensbescherming bij rechtshandhaving, teneinde te zorgen voor een consistente aanpak van de bescherming van personen in verband met de verwerking van persoonsgegevens. Volgens de mededeling van de Commissie van 24 juni 2020 moet Besluit 2005/671/JBZ als volgt worden aangepast:

·specificeren dat de verwerking van persoonsgegevens in het kader van Besluit 2005/671/JBZ van de Raad alleen kan plaatsvinden met het oog op het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten van terroristische aard, in overeenstemming met het beginsel van doelbinding;

·in het Unierecht of lidstatelijke recht nauwkeuriger definiëren welke categorieën persoonsgegevens kunnen worden uitgewisseld, overeenkomstig het vereiste van artikel 8, lid 2, van de richtlijn gegevensbescherming bij rechtshandhaving, rekening houdend met de operationele behoeften van de betrokken instanties.

1.3.Verenigbaarheid met bestaande bepalingen op het beleidsterrein

Dit voorstel voor een richtlijn houdt rekening met de wijzigingen van Besluit 2005/671/JBZ die voortvloeien uit het voorstel voor een verordening betreffende de digitale uitwisseling van informatie in terrorismezaken, dat de Commissie samen met dit voorstel indient. Dat voorstel voor een verordening maakt deel uit van het pakket digitalisering van justitie, dat door de Commissie is opgesteld naar aanleiding van de mededeling over de digitalisering van justitie 7 . Zodra dat voorstel is aangenomen, worden de bepalingen betreffende de uitwisseling van informatie over grensoverschrijdende terrorismezaken die op Eurojust betrekking hebben, geschrapt uit Besluit 2005/671/JBZ en opgenomen in de Eurojust-verordening (Verordening (EU) 2018/1727 8 ). Ten gevolge daarvan worden ook de verwijzingen naar Eurojust geschrapt uit Besluit 2005/671/JBZ van de Raad. Gedurende het gehele wetgevingsproces zal nauwe coördinatie vereist zijn om de samenhang tussen de wijzigingen in het voorstel voor een verordening en in dit voorstel voor een richtlijn te verzekeren.

2. RECHTSGRONDSLAG, SUBSIDIARITEIT EN EVENREDIGHEID

2.1.Rechtsgrondslag

De aanpassing van Besluit 2005/671/JBZ van de Raad aan de richtlijn gegevensbescherming bij rechtshandhaving is gebaseerd op artikel 16, lid 2, VWEU. Op grond van artikel 16, lid 2, VWEU kunnen regels worden vastgesteld betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de bevoegde autoriteiten in de lidstaten wanneer zij activiteiten verrichten om strafbare feiten die binnen de werkingssfeer van het Unierecht vallen, te voorkomen, te onderzoeken, op te sporen of te vervolgen of straffen in dat verband uit te voeren. De bepaling maakt het tevens mogelijk voorschriften vast te stellen betreffende het vrije verkeer van persoonsgegevens, onder meer wat de uitwisseling van persoonsgegevens door bevoegde autoriteiten binnen de EU betreft.

2.2.Subsidiariteit (bij niet-exclusieve bevoegdheid)

Rechtshandelingen van de EU kunnen alleen door de EU worden aangepast aan de regels van de richtlijn gegevensbescherming bij rechtshandhaving. Dus kan alleen de EU een wetgevingshandeling vaststellen tot wijziging van Besluit 2005/671/JBZ van de Raad.

2.3.Evenredigheid

Met dit voorstel wordt beoogd een bestaande EU-rechtshandeling in overeenstemming te brengen met een latere rechtshandeling van de EU, zoals in laatstgenoemde handeling voorgeschreven, zonder het toepassingsgebied ervan te wijzigen. Teneinde de basisdoelstellingen van het waarborgen van een hoog niveau van bescherming van natuurlijke personen bij de verwerking van persoonsgegevens en het vrije verkeer van persoonsgegevens in de EU te verwezenlijken, moeten in overeenstemming met het evenredigheidsbeginsel regels worden vastgesteld voor de verwerking van persoonsgegevens door de bevoegde autoriteiten van de lidstaten met het oog op het voorkomen, onderzoeken, opsporen of vervolgen van strafbare feiten. Deze houden tevens in dat bescherming moet worden geboden tegen bedreigingen van de openbare veiligheid en dat deze moeten worden voorkomen. Het voorstel gaat overeenkomstig artikel 5, lid 4, VEU niet verder dan nodig is om de beoogde doelstellingen te verwezenlijken.

2.4.Keuze van het instrument

Het voorstel strekt tot wijziging van een besluit van de Raad dat vóór de inwerkingtreding van het Verdrag van Lissabon in 2009 is vastgesteld. De rechtsgrondslag voor Besluit 2005/671/JBZ van de Raad, namelijk artikel 34, lid 2, punt c), VEU, zoals van toepassing in 2005, bestaat niet langer. De relevante bepalingen van Besluit 2005/671/JBZ voorzien in verplichtingen voor de lidstaten die vergelijkbaar zijn met een richtlijn, in plaats van opzichzelfstaande voorschriften die rechtstreeks toepasselijk zouden zijn. Het meest geschikte instrument om dit besluit van de Raad op grond van artikel 16, lid 2, VWEU te wijzigen, is derhalve een richtlijn van het Europees Parlement en de Raad.

3. Toelichting bij de specifieke bepalingen van het voorstel

1.

Het voorstel wijzigt Besluit 2005/671/JBZ van de Raad op de volgende punten:


Om de doeleinden van de verwerking van persoonsgegevens vast te stellen, wordt in artikel 1, lid 2, punt a), van het voorstel een nieuwe alinea toegevoegd aan artikel 2, lid 3, van het besluit van de Raad, waarin wordt bepaald dat persoonsgegevens worden verwerkt om strafbare feiten van terroristische aard te voorkomen, te onderzoeken, op te sporen of te vervolgen.

Met het oog op de vaststelling van de te verwerken categorieën gegevens, worden bij artikel 1, lid 2, punten b) en c), van het voorstel nieuwe alinea’s toegevoegd aan artikel 2 van het besluit van de Raad, waarin wordt bepaald dat de categorieën persoonsgegevens die met Europol mogen worden uitgewisseld, die zijn welke in de Europol-verordening zijn gespecificeerd, en dat de categorieën persoonsgegevens die tussen de lidstaten mogen worden uitgewisseld met het oog op het voorkomen, onderzoeken, opsporen of vervolgen van strafbare feiten van terroristische aard, worden gespecificeerd in de respectieve nationale wetgeving.

Voorts schrapt het voorstel artikel 1, punt b), van het besluit van de Raad, om het besluit van de Raad te actualiseren in het licht van latere wettelijke ontwikkelingen en met name om ervoor te zorgen dat bovengenoemde wijzigingsbepaling naar het juiste rechtsinstrument verwijst. Het genoemde punt b) verwijst naar de Europol-overeenkomst. De desbetreffende bepalingen van het besluit van de Raad, zoals gewijzigd, verwijzen in plaats daarvan naar de Europol-verordening.