Verordening 2022/991 - Wijziging van Verordening (EU) 2016/794, wat betreft de samenwerking van Europol met particuliere partijen, de verwerking van persoonsgegevens door Europol ter ondersteuning van strafrechtelijke onderzoeken, en de rol van Europol bij onderzoek en innovatie - Hoofdinhoud

NL

Publicatieblad van de Europese Unie

L 169/1

Het Agentschap van de Europese Unie voor samenwerking op het gebied van rechtshandhaving (Europol) is opgericht bij Verordening (EU) 2016/794 van het Europees Parlement en de Raad (2) ter ondersteuning en versterking van het optreden van de bevoegde autoriteiten van de lidstaten en hun wederzijdse samenwerking bij de voorkoming en bestrijding van zware criminaliteit waardoor twee of meer lidstaten worden getroffen, van terrorisme en van vormen van criminaliteit die een schending inhouden van een gemeenschappelijk belang dat tot het beleid van de Unie behoort.

Europa wordt geconfronteerd met een veranderlijke veiligheidssituatie, met veiligheidsdreigingen die voortdurend veranderen en steeds complexer worden. Terroristen en andere criminelen benutten de digitale transformatie en nieuwe technologieën, met name zowel de interconnectiviteit als het vervagen van de grenzen tussen de fysieke en de digitale wereld, bijvoorbeeld door hun strafbare feiten en hun identiteit met steeds geraffineerdere methoden te verbergen. Terroristen en andere criminelen hebben zich in staat getoond hun werkwijzen aan te passen en nieuwe criminele activiteiten te ontwikkelen in tijden van crisis, onder andere door met technologische hulpmiddelen meer criminele activiteiten te verrichten en de reikwijdte en omvang van hun criminele activiteiten te vergroten. Terrorisme blijft een belangrijke bedreiging vormen voor de vrijheid en levenswijze van de burgers van de Unie.

De evoluerende en complexe bedreigingen verspreiden zich over de grenzen heen, behelzen en faciliteren allerlei strafbare feiten, en zijn het werk van polycriminele georganiseerde misdaadgroepen die tal van criminele activiteiten ontplooien. Aangezien maatregelen op nationaal niveau en grensoverschrijdende samenwerking niet volstaan om die grensoverschrijdende veiligheidsbedreigingen aan te pakken, hebben de bevoegde autoriteiten van de lidstaten steeds meer gebruikgemaakt van de ondersteuning en deskundigheid die Europol biedt om zware criminaliteit en terrorisme te voorkomen en bestrijden. Sinds Verordening (EU) 2016/794 van toepassing is geworden, is het operationele belang van de taken van Europol aanzienlijk toegenomen. Bovendien verandert de nieuwe dreigingsomgeving de reikwijdte en soort van ondersteuning die de lidstaten van Europol nodig hebben en verwachten om de veiligheid van de burgers te waarborgen.

Daarom moet Europol bij deze verordening met extra taken worden belast, om het in staat te stellen de bevoegde autoriteiten van de lidstaten beter te ondersteunen, met volledige inachtneming van de in artikel 4, lid 2, van het Verdrag betreffende de Europese Unie (VEU) vastgelegde verantwoordelijkheden van de lidstaten op het gebied van nationale veiligheid. Tegenover het versterkte mandaat van Europol moeten betere waarborgen staan met betrekking tot de grondrechten en een grotere verantwoordingsplicht, grotere aansprakelijkheid en meer toezicht, met inbegrip van parlementaire controle en toezicht door de raad van bestuur van Europol (“de raad van bestuur”). Om Europol in staat te stellen zijn versterkte mandaat te kunnen vervullen, moet het voldoende personele en financiële middelen krijgen om zijn aanvullende taken te ondersteunen.

Aangezien de Unie geconfronteerd wordt met toenemende bedreigingen van georganiseerde criminele groepen en terroristische aanslagen, zijn voor een effectieve rechtshandhavingsrespons goed opgeleide interoperabele speciale interventie-eenheden nodig die gespecialiseerd zijn in de beheersing van door de mens veroorzaakte crisissituaties. In de Unie werken de speciale interventie-eenheden van de lidstaten samen op basis van Besluit 2008/617/JBZ van de Raad (3). Europol moet die speciale interventie-eenheden kunnen ondersteunen door technische en financiële steun te verlenen, in aanvulling op de inspanningen van de lidstaten.

De afgelopen jaren waren grootschalige cyberaanvallen, ook vanuit derde landen, gericht op zowel publieke als private entiteiten in veel jurisdicties in de Unie en daarbuiten, met gevolgen voor diverse sectoren, waaronder vervoer, gezondheidszorg en financiële diensten. De preventie, de opsporing, het onderzoek en de vervolging van dergelijke cyberaanvallen worden ondersteund door coördinatie en samenwerking tussen betrokken actoren, waaronder het Agentschap van de Europese Unie voor cyberbeveiliging (Enisa), dat is opgericht bij Verordening (EU) 2019/881 van het Europees Parlement en de Raad (4), de autoriteiten die bevoegd zijn voor de beveiliging van netwerk- en informatiesystemen in de zin van Richtlijn (EU) 2016/1148 van het Europees Parlement en de Raad (5), de bevoegde autoriteiten van de lidstaten en particuliere partijen. Met het oog op effectieve samenwerking tussen alle betrokken actoren op Unie- en nationaal niveau inzake cyberaanvallen en bedreigingen voor de cyberveiligheid, moet Europol met het Enisa samenwerken, in het bijzonder door informatie uit te wisselen en analytische ondersteuning te bieden op gebieden die binnen hun respectieve bevoegdheden vallen.

Criminelen die een hoog risico vormen staan aan het hoofd van criminele netwerken en hun criminele activiteiten vormen een hoog risico voor de interne veiligheid van de Unie. Om georganiseerde criminele groepen die een hoog risico vormen en hun leidende leden te bestrijden, moet Europol de lidstaten kunnen ondersteunen om hun onderzoeksrespons te richten op het in kaart brengen van de leden en de leidende leden van die netwerken, hun criminele activiteiten en hun financiële middelen.

De bedreiging die uitgaat van zware criminaliteit, vereist een gecoördineerde, coherente, multidisciplinaire respons waarbij diverse instanties samenwerken. Europol moet inlichtingengestuurde veiligheidsinitiatieven die door de lidstaten worden aangestuurd en die gericht zijn op het vaststellen, prioriteren en aanpakken van ernstige criminele dreigingen, zoals het Europees multidisciplinair platform tegen criminaliteitsdreiging (Empact), kunnen faciliteren en ondersteunen. Europol moet administratieve, logistieke, financiële en operationele steun kunnen verlenen aan dergelijke initiatieven.

Het Schengeninformatiesysteem (SIS), dat op het gebied van politiële en justitiële samenwerking in strafzaken is ingesteld bij Verordening (EU) 2018/1862 van het Europees Parlement en de Raad (6), is een essentieel instrument voor de handhaving van een hoge mate van veiligheid in de ruimte van vrijheid, veiligheid en recht. Als knooppunt voor informatie-uitwisseling in de Unie, ontvangt en bewaart Europol waardevolle informatie van derde landen en internationale organisaties over personen die verdacht worden van betrokkenheid bij strafbare feiten die onder de doelstellingen van Europol vallen. In het kader van zijn doelstellingen en als een van zijn taken om de lidstaten te ondersteunen bij het voorkomen en bestrijden van zware criminaliteit en terrorisme, moet Europol de lidstaten helpen bij het verwerken van gegevens die door derde landen of internationale organisaties aan Europol zijn verstrekt, door voor te stellen dat de lidstaten signaleringen in het SIS kunnen opnemen onder een nieuwe categorie informatiesignaleringen in het belang van de Unie (“informatiesignaleringen”), zodat die informatiesignaleringen beschikbaar worden voor de eindgebruikers van het SIS. Daartoe moet een mechanisme voor periodieke rapportage worden ingesteld om ervoor te zorgen dat de lidstaten en Europol op de hoogte worden gehouden van het resultaat van de verificatie en analyse van die gegevens en van het antwoord op de vraag of de informatie in het SIS werd opgenomen. De modaliteiten voor samenwerking tussen de lidstaten bij de verwerking van dergelijke gegevens en de opneming van signaleringen in het SIS, met name op het gebied van terrorismebestrijding, moeten door de lidstaten voortdurend onderling gecoördineerd worden. De raad van bestuur moet de criteria nader bepalen op basis waarvan Europol voorstellen moet kunnen doen voor de opneming van dergelijke informatiesignaleringen in het SIS.

Europol heeft een belangrijke rol te spelen bij de ondersteuning van het evaluatiemechanisme voor de controle van en het toezicht op de toepassing van het Schengenacquis, dat is vastgesteld bij Verordening (EU) nr. 1053/2013 van de Raad (7). Europol moet derhalve, op verzoek van de lidstaten, met zijn deskundigheid, analyses, verslagen en andere relevante informatie bijdragen aan het evaluatiemechanisme voor de controle van en het toezicht op de toepassing van het Schengenacquis.

Mede dankzij risicobeoordelingen kan op nieuwe trends worden geanticipeerd en kunnen nieuwe dreigingen die uitgaan van zware criminaliteit en terrorisme worden aangepakt. Om de Commissie en de lidstaten te ondersteunen bij het uitvoeren van effectieve risicobeoordelingen, moet Europol op basis van de informatie over criminele verschijnselen en trends waarover het beschikt, dreigingsanalyses aan de Commissie en de lidstaten verstrekken, zonder afbreuk te doen aan het Unierecht inzake douanerisicobeheersing.

Opdat de Uniefinanciering voor veiligheidsonderzoek haar doel bereikt en ervoor zorgt dat dat onderzoek zijn volledige potentieel ontwikkelt en voorziet in de behoeften van rechtshandhaving, moet Europol de Commissie bijstaan bij het vaststellen van de belangrijkste onderzoeksthema’s en bij het opstellen en uitvoeren van de kaderprogramma’s van de Unie voor onderzoek en innovatie die relevant zijn voor de doelstellingen van Europol. Waar relevant moet Europol de resultaten van zijn onderzoeks- en innovatieactiviteiten kunnen verspreiden als onderdeel van zijn bijdrage aan het creëren van synergie tussen de onderzoeks- en innovatieactiviteiten van de betrokken organen van de Unie. Bij het ontwerpen en conceptualiseren van onderzoeks- en innovatieactiviteiten die relevant zijn voor de doelstellingen van Europol, moet Europol waar passend het Gemeenschappelijk Centrum voor Onderzoek (Joint Research Centre, JRC) van de Commissie kunnen raadplegen. Europol moet alle nodige maatregelen nemen om belangenconflicten te voorkomen. Europol mag geen financiering uit een bepaald kaderprogramma van de Unie ontvangen wanneer het de Commissie bijstaat bij het vaststellen van belangrijke onderzoeksthema’s en bij het opstellen en uitvoeren van dat programma. Het is van belang dat Europol kan vertrouwen op adequate financiering om de lidstaten en de Commissie te kunnen bijstaan op het gebied van onderzoek en innovatie.

De Unie en de lidstaten kunnen om redenen van veiligheid of openbare orde beperkende maatregelen vaststellen met betrekking tot buitenlandse directe investeringen. Daartoe stelt Verordening (EU) 2019/452 van het Europees Parlement en de Raad (8) een kader vast voor de screening van buitenlandse directe investeringen in de Unie. Buitenlandse directe investeringen in opkomende technologieën verdienen bijzondere aandacht, omdat zij aanzienlijke gevolgen kunnen hebben voor de veiligheid en de openbare orde, met name wanneer dergelijke technologieën door de bevoegde autoriteiten van de lidstaten worden gebruikt. Vanwege zijn betrokkenheid bij de monitoring van opkomende technologieën en zijn betrokkenheid bij het ontwikkelen van nieuwe manieren om die technologieën te gebruiken voor rechtshandhavingsdoeleinden, met name via zijn innovatielab en via de EU-innovatiehub voor interne veiligheid, beschikt Europol over uitgebreide kennis over de kansen die dergelijke technologieën bieden en over de risico’s van het gebruik ervan. Europol moet derhalve ondersteuning kunnen bieden aan de lidstaten bij de screening van buitenlandse directe investeringen in de Unie en de bijbehorende risico’s voor de veiligheid die betrekking hebben op ondernemingen die technologieën leveren, waaronder software, die door Europol worden gebruikt ter voorkoming en voor het onderzoeken van strafbare feiten die onder de doelstellingen van Europol vallen, of cruciale technologieën die gebruikt zouden kunnen worden om terrorisme te faciliteren. In die context moet Europol met zijn deskundigheid ondersteuning verlenen aan de screening van buitenlandse directe investeringen en de bijbehorende veiligheidsrisico’s. In het bijzonder moet worden nagegaan of de buitenlandse investeerder reeds betrokken is geweest bij activiteiten die van invloed zijn op de veiligheid, of er een ernstig risico bestaat dat de buitenlandse investeerder zich bezighoudt met illegale of criminele activiteiten en of de buitenlandse investeerder rechtstreeks of indirect onder invloed staat van de regering van een derde land, waaronder via subsidies.

Europol biedt gespecialiseerde deskundigheid op het gebied van de bestrijding van zware criminaliteit en terrorisme. Personeelsleden van Europol moeten, op verzoek van een lidstaat, aan de bevoegde autoriteiten van die lidstaat operationele ondersteuning kunnen bieden bij operaties en onderzoeken, met name door grensoverschrijdende informatie-uitwisseling te faciliteren, en forensische en technische ondersteuning te bieden bij operaties en onderzoeken, onder meer waar het gaat om gemeenschappelijke onderzoeksteams. Personeelsleden van Europol moeten, op verzoek van een lidstaat, het recht hebben aanwezig te zijn tijdens de uitvoering van onderzoeksmaatregelen in die lidstaat. Personeelsleden van Europol mogen niet bevoegd zijn om onderzoeksmaatregelen uit te voeren.

Een van de doelstellingen van Europol is het ondersteunen en versterken van het optreden van de bevoegde autoriteiten van de lidstaten en van hun wederzijdse samenwerking bij de voorkoming en bestrijding van criminaliteit die een schending inhoudt van een gemeenschappelijk belang dat voorwerp van Uniebeleid is. Om die ondersteuning te versterken, moet de uitvoerend directeur van Europol (“de uitvoerend directeur”) aan de bevoegde autoriteiten van een lidstaat kunnen voorstellen dat zij het onderzoek naar een strafbaar feit dat uitsluitend betrekking heeft op die lidstaat maar een schending inhoudt van een gemeenschappelijk belang dat voorwerp van Uniebeleid is, instellen, uitvoeren of coördineren. Europol moet Eurojust en, indien van toepassing, het bij Verordening (EU) 2017/1939 van de Raad (9) ingestelde Europees Openbaar Ministerie (“het EOM”) op de hoogte brengen van een dergelijk voorstel.

De bekendmaking van de identiteit en bepaalde persoonsgegevens van verdachten of veroordeelde personen die op basis van een nationale justitiële beslissing worden gezocht, verhoogt de kans van de lidstaten om dergelijke personen op te sporen en aan te houden. Om de lidstaten te ondersteunen bij het opsporen en aanhouden van dergelijke personen, moet Europol op zijn website informatie kunnen bekendmaken over de in Europa meest gezochte voortvluchtigen met betrekking tot strafbare feiten die onder de doelstellingen van Europol vallen. Met hetzelfde doel moet Europol de verstrekking door het publiek van informatie over die personen aan de lidstaten en Europol vergemakkelijken.

Zodra Europol heeft vastgesteld dat persoonsgegevens die het ontvangt onder zijn doelstellingen vallen, moet het die persoonsgegevens kunnen verwerken in de volgende vier situaties. In de eerste situatie hebben de ontvangen persoonsgegevens betrekking op een in bijlage II bij Verordening (EU) 2016/794 (“bijlage II”) opgenomen categorie betrokkenen. In de tweede situatie bestaan de ontvangen persoonsgegevens uit onderzoeksgegevens die gegevens bevatten die geen betrekking hebben op een van de in bijlage II vermelde categorieën betrokkenen, maar die, op grond van een verzoek om ondersteuning door Europol in een specifiek strafrechtelijk onderzoek, door een lidstaat, het EOM, Eurojust of een derde land zijn verstrekt, op voorwaarde dat die lidstaat, het EOM, Eurojust of dat derde land de bevoegdheid heeft dergelijke onderzoeksgegevens overeenkomstig de procedurele vereisten en waarborgen die krachtens het Unie- en nationale recht van toepassing zijn, te verwerken. In die situatie moet Europol die onderzoeksgegevens kunnen verwerken zolang die verwerking dat specifieke strafrechtelijke onderzoek ondersteunt. In de derde situatie hebben de ontvangen persoonsgegevens mogelijk geen betrekking op de in bijlage II opgenomen categorieën betrokkenen en zijn ze niet verstrekt op grond van een verzoek om ondersteuning door Europol in een specifiek strafrechtelijk onderzoek. In die situatie moet Europol kunnen verifiëren of die persoonsgegevens betrekking hebben op een van die categorieën betrokkenen. In de vierde situatie zijn de ontvangen persoonsgegevens ingediend met het oog op onderzoeks- en innovatieprojecten en hebben ze geen betrekking op de in bijlage II opgenomen categorieën betrokkenen.

Overeenkomstig artikel 73 van Verordening (EU) 2018/1725 van het Europees Parlement en de Raad (10) dient Europol, indien van toepassing en voor zover mogelijk, een duidelijk onderscheid te maken tussen de persoonsgegevens die betrekking hebben op de in bijlage II opgenomen categorieën betrokkenen.

Indien de lidstaten gebruikmaken van de infrastructuur van Europol voor de uitwisseling van persoonsgegevens over strafbare feiten die niet onder de doelstellingen van Europol vallen, mag Europol geen toegang tot die persoonsgegevens hebben en moet Europol worden beschouwd als een verwerker op grond van artikel 87 van Verordening (EU) 2018/1725. In die gevallen moet Europol persoonsgegevens kunnen verwerken die geen betrekking hebben op de in bijlage II opgenomen categorieën betrokkenen. Indien de lidstaten gebruikmaken van de infrastructuur van Europol voor de uitwisseling van persoonsgegevens over strafbare feiten die onder de doelstellingen van Europol vallen en indien zij Europol toegang verlenen tot die gegevens, moeten de vereisten in verband met de in bijlage II opgenomen categorieën betrokkenen van toepassing zijn op elke andere verwerking van die persoonsgegevens door Europol.

Met inachtneming van het beginsel van minimale gegevensverwerking, moet Europol kunnen verifiëren of persoonsgegevens die zijn ontvangen in het kader van de voorkoming en bestrijding van strafbare feiten die onder zijn doelstellingen vallen, betrekking hebben op een van de in bijlage II opgenomen categorieën betrokkenen. Daartoe moet Europol een vooranalyse van de ontvangen persoonsgegevens kunnen uitvoeren met als enig doel vast te stellen of die gegevens betrekking hebben op een van die categorieën betrokkenen door die persoonsgegevens te vergelijken met gegevens waarover Europol reeds beschikt, zonder die persoonsgegevens nader te analyseren. Een dergelijke vooranalyse moet plaatsvinden voordat Europol de gegevens verwerkt voor kruiscontroles, strategische analyse, operationele analyse of informatie-uitwisseling, en onafhankelijk daarvan, en nadat Europol heeft vastgesteld dat de desbetreffende gegevens relevant zijn en nodig voor het verrichten van zijn taken. Zodra Europol heeft vastgesteld dat die persoonsgegevens betrekking hebben op de in bijlage II opgenomen categorieën betrokkenen, moet Europol die persoonsgegevens kunnen verwerken voor kruiscontroles, strategische analyse, operationele analyse of informatie-uitwisseling. Indien Europol tot de conclusie komt dat die persoonsgegevens geen betrekking hebben op de in bijlage II opgenomen categorieën betrokkenen, moet het die persoonsgegevens wissen.

De categorisering van persoonsgegevens in een bepaalde dataset kan mettertijd veranderen als gevolg van het beschikbaar worden van nieuwe informatie in het kader van strafrechtelijke onderzoeken, bijvoorbeeld met betrekking tot nieuwe verdachten. Om die reden moet Europol voor een periode van ten hoogste 18 maanden vanaf het ogenblik waarop het heeft vastgesteld dat die persoonsgegevens binnen zijn doelstellingen vallen, die persoonsgegevens kunnen verwerken indien dat strikt noodzakelijk en evenredig is om de categorieën betrokkenen te bepalen waarop de desbetreffende gegevens betrekking hebben. Europol moet die periode, in naar behoren gemotiveerde gevallen en mits een dergelijke verlenging noodzakelijk en proportioneel is, tot ten hoogste drie jaar kunnen verlengen. De verlenging moet worden gemeld bij de Europese Toezichthouder voor gegevensbescherming (European Data Protection Supervisor, EDPS). Wanneer de verwerking van persoonsgegevens om de categorieën betrokkenen te bepalen niet meer nodig en gerechtvaardigd is, en in ieder geval na het einde van de maximale verwerkingsperiode, moet Europol de persoonsgegevens wissen.

De hoeveelheid gegevens die in het kader van strafrechtelijke onderzoeken worden verzameld is steeds omvangrijker geworden en de datasets zijn steeds complexer geworden. De lidstaten leggen grote en complexe datasets voor aan Europol met het verzoek een operationele analyse te verrichten teneinde verbanden te leggen met andere strafbare feiten dan het strafbare feit waarop het onderzoek in het kader waarvan de gegevens zijn verzameld, betrekking heeft, en met criminelen in andere lidstaten en buiten de Unie. Aangezien Europol dergelijke grensoverschrijdende verbanden doeltreffender kan opsporen dan de lidstaten door middel van hun eigen gegevensanalyse, moet Europol de strafrechtelijke onderzoeken van de lidstaten kunnen ondersteunen door grote en complexe datasets te verwerken om dergelijke grensoverschrijdende verbanden bloot te leggen, op voorwaarde dat aan de strenge vereisten en waarborgen van deze verordening wordt voldaan. Indien dat nodig is om een lopend specifiek strafrechtelijk onderzoek in een lidstaat effectief te ondersteunen, moet Europol onderzoeksgegevens kunnen verwerken waarvoor de bevoegde autoriteiten van de lidstaten de bevoegdheid hebben om die te verwerken in dat specifieke strafrechtelijk onderzoek overeenkomstig de procedurele vereisten en waarborgen die van toepassing zijn krachtens hun nationale recht en die zij vervolgens aan Europol hebben verstrekt. Daaronder moeten ook persoonsgegevens vallen in gevallen waarin een lidstaat niet heeft kunnen vaststellen of die persoonsgegevens betrekking hebben op de in bijlage II opgenomen categorieën betrokkenen. Wanneer een lidstaat, het EOM of Eurojust aan Europol onderzoeksgegevens verstrekt en Europol daarbij om ondersteuning voor een lopend specifiek strafrechtelijk onderzoek verzoekt, moet Europol die gegevens kunnen verwerken zolang het dat specifieke strafrechtelijk onderzoek ondersteunt, in overeenstemming met de procedurele vereisten en waarborgen die van toepassing zijn krachtens het Unie- of nationale recht.

Om ervoor te zorgen dat gegevensverwerking in het kader van een strafrechtelijk onderzoek noodzakelijk en evenredig is, moeten de lidstaten ervoor zorgen dat het Unierecht en het nationale recht worden nageleefd wanneer zij onderzoeksgegevens bij Europol indienen. Wanneer de lidstaten onderzoeksgegevens bij Europol indienen teneinde Europol om ondersteuning voor een lopend specifiek strafrechtelijk onderzoek te verzoeken, moeten zij rekening houden met de omvang en complexiteit van de desbetreffende gegevensverwerking en met het type onderzoek en het belang van het onderzoek. De lidstaten moeten Europol ervan in kennis stellen wanneer zij, overeenkomstig de procedurele vereisten en waarborgen die van toepassing zijn krachtens hun nationale recht, niet langer bevoegd zijn om gegevens in het lopende specifieke strafrechtelijk onderzoek in kwestie te verwerken. Europol moet enkel persoonsgegevens verwerken die geen betrekking hebben op de in bijlage II opgenomen categorieën betrokkenen wanneer het oordeelt dat het niet mogelijk is een lopend specifiek strafrechtelijk onderzoek te ondersteunen zonder die persoonsgegevens te verwerken. Europol moet die beoordeling documenteren. Europol moet dergelijke gegevens functioneel gescheiden houden van andere gegevens en mag dergelijke gegevens alleen verwerken wanneer dat nodig is voor zijn ondersteuning van het lopende specifieke strafrechtelijk onderzoek in kwestie, zoals in het geval van een nieuwe aanwijzing.

Europol moet ook persoonsgegevens kunnen verwerken die nodig zijn ter ondersteuning van een specifiek strafrechtelijk onderzoek in een of meer lidstaten, indien die gegevens door een derde land worden verstrekt, mits: over het derde land een adequaatheidsbesluit is genomen overeenkomstig Richtlijn (EU) 2016/680 van het Europees Parlement en de Raad (11) (“adequaatheidsbesluit”); er door de Unie op grond van artikel 218 van het Verdrag betreffende de werking van de Europese Unie (VWEU) een internationale overeenkomst is gesloten met dat derde land die de overdracht van persoonsgegevens voor rechtshandhavingsdoeleinden omvat (“internationale overeenkomst”); vóór de inwerkingtreding van Verordening (EU) 2016/794 tussen Europol en het derde land een samenwerkingsovereenkomst is gesloten voor de uitwisseling van persoonsgegevens (“samenwerkingsovereenkomst”); of er in passende waarborgen met betrekking tot de bescherming van persoonsgegevens wordt voorzien in een juridisch bindend instrument, of Europol op basis van een beoordeling van alle omstandigheden in verband met de overdracht van persoonsgegevens tot de conclusie komt dat die waarborgen in dat derde land bestaan en mits het derde land de gegevens in het kader van een strafrechtelijk onderzoek heeft verkregen overeenkomstig de procedurele vereisten en waarborgen die krachtens zijn nationale strafrecht van toepassing zijn. Indien er onderzoeksgegevens aan Europol worden verstrekt door een derde land, moet Europol verifiëren of de hoeveelheid persoonsgegevens niet kennelijk onevenredig is in verhouding tot het door Europol ondersteunde specifieke strafrechtelijk onderzoek in de betrokken lidstaat, en, voor zover als mogelijk, of er geen objectieve aanwijzingen zijn die erop wijzen dat de onderzoeksgegevens in het derde land zijn verzameld op een wijze die duidelijk in strijd is met de grondrechten. Indien Europol tot de conclusie komt dat niet aan die voorwaarden is voldaan, mag het de gegevens niet verwerken en moet het de gegevens wissen. Wanneer een derde land onderzoeksgegevens aan Europol verstrekt, moet de functionaris voor gegevensbescherming van Europol de EDPS daar waar passend van in kennis kunnen stellen.

Om ervoor te zorgen dat een lidstaat de analytische verslagen van Europol kan gebruiken in de context van een gerechtelijke procedure na een strafrechtelijk onderzoek, moet Europol de desbetreffende onderzoeksgegevens op verzoek van die lidstaat, het EOM of Eurojust kunnen opslaan om de waarheidsgetrouwheid, betrouwbaarheid en traceerbaarheid van het criminele-inlichtingenproces te waarborgen. Europol moet dergelijke gegevens functioneel gescheiden houden van andere gegevens en slechts zolang de gerechtelijke procedure in verband met dat strafrechtelijk onderzoek in de lidstaat loopt. Er moet bovendien worden gezorgd voor toegang van de bevoegde justitiële autoriteiten en voor de rechten van de verdediging, met name het recht van toegang van verdachten of beklaagden of hun advocaten tot de stukken van de zaak. Daartoe moet Europol al het bewijsmateriaal en de methoden waarmee dat bewijsmateriaal door Europol is geproduceerd of verkregen, registreren zodat de verdediging het bewijsmateriaal effectief kan bestuderen.

Europol moet persoonsgegevens die het vóór de inwerkingtreding van deze verordening heeft ontvangen en die geen betrekking hebben op de in bijlage II opgenomen categorieën betrokkenen, in twee situaties overeenkomstig deze verordening kunnen verwerken. In de eerste situatie moet Europol dergelijke persoonsgegevens kunnen verwerken ter ondersteuning van een strafrechtelijk onderzoek of om de waarheidsgetrouwheid, betrouwbaarheid en traceerbaarheid van het criminele-inlichtingenproces te waarborgen, op voorwaarde dat de vereisten die zijn vastgelegd in de overgangsregelingen met betrekking tot de verwerking van persoonsgegevens die ter ondersteuning van een strafrechtelijk onderzoek zijn ontvangen, worden nageleefd. In de tweede situatie moet Europol tevens kunnen verifiëren of dergelijke persoonsgegevens betrekking hebben op een van de in bijlage II opgenomen categorieën betrokkenen door een vooranalyse van die persoonsgegevens uit te voeren binnen een periode van ten hoogste 18 maanden vanaf de datum van de eerste ontvangst van de persoonsgegevens door Europol, of, indien gerechtvaardigd en met voorafgaande toestemming van de EDPS, gedurende een langere periode. De maximale periode voor de verwerking van persoonsgegevens met het oog op een dergelijke vooranalyse mag niet langer zijn dan drie jaar vanaf de datum van de eerste ontvangst van de persoonsgegevens door Europol.

Grensoverschrijdende gevallen van zware criminaliteit of terrorisme vereisen nauwe samenwerking tussen de bevoegde autoriteiten van de betrokken lidstaten. Europol biedt instrumenten ter ondersteuning van die samenwerking bij onderzoeken, met name door de uitwisseling van informatie. Om die samenwerking bij specifieke strafrechtelijke onderzoeken verder te versterken door middel van gezamenlijke operationele analyse, moeten de lidstaten andere lidstaten rechtstreeks toegang kunnen verlenen tot de informatie die zij aan Europol hebben verstrekt, onverminderd eventuele door hen aangegeven algemene of specifieke beperkingen op de toegang tot die informatie. De verwerking van persoonsgegevens door de lidstaten in het kader van gezamenlijke operationele analyse moet steeds plaatsvinden overeenkomstig deze verordening en Richtlijn (EU) 2016/680.

Europol en het EOM moeten een werkafspraak maken waarin de nadere regels voor hun samenwerking worden vastgelegd, waarbij naar behoren rekening wordt gehouden met hun respectieve bevoegdheden. Europol moet nauw samenwerken met het EOM en de onderzoeken van het EOM op diens verzoek actief ondersteunen, onder meer door analytische ondersteuning en relevante informatie te verstrekken. Europol moet ook met het EOM samenwerken vanaf het moment waarop een vermoedelijk strafbaar feit aan het EOM wordt gemeld tot het moment waarop het EOM beslist om de zaak te vervolgen of anderszins af te handelen. Europol moet het EOM zonder onnodige vertraging in kennis stellen van elke criminele gedraging ten aanzien waarvan het EOM zijn bevoegdheid zou kunnen uitoefenen. Om de operationele samenwerking tussen Europol en het EOM te verbeteren, moet Europol het EOM toegang geven tot gegevens die in het bezit zijn van Europol, op basis van een hit/no hit-systeem waarbij alleen Europol wordt gewaarschuwd in geval van een hit, overeenkomstig deze verordening, met inbegrip van eventuele beperkingen die door de verstrekker van de informatie aan Europol worden aangegeven. Indien de informatie onder een door een lidstaat aangegeven beperking valt, moet Europol de zaak aan die lidstaat doorverwijzen, zodat die kan voldoen aan zijn verplichtingen uit hoofde van Verordening (EU) 2017/1939. De betrokken lidstaat moet het EOM vervolgens overeenkomstig zijn nationale procedure in kennis stellen. De regels van deze verordening over de doorgifte van persoonsgegevens aan organen van de Unie moeten van toepassing zijn op de samenwerking tussen Europol en het EOM. Europol moet ook de onderzoeken van het EOM kunnen ondersteunen door grote en complexe datasets te analyseren in overeenstemming met de waarborgen en de gegevensbeschermingsregels waarin deze verordening voorziet.

Europol moet nauw samenwerken met het Europees Bureau voor fraudebestrijding (OLAF) om fraude, corruptie en elke andere onwettige activiteit waardoor de financiële belangen van de Unie worden geschaad, op te sporen. Daartoe moet Europol OLAF zonder onnodige vertraging alle informatie doorgeven ten aanzien waarvan OLAF zijn bevoegdheid zou kunnen uitoefenen. De regels van deze verordening over de doorgifte van persoonsgegevens aan organen van de Unie moeten van toepassing zijn op de samenwerking tussen Europol en OLAF.

Zware criminaliteit en terrorisme strekken hun tentakels vaak uit tot buiten de Unie. Europol kan persoonsgegevens uitwisselen met derde landen met inachtneming van de bescherming van het privéleven en de grondrechten en fundamentele vrijheden van de betrokkenen. Wanneer het van essentieel belang is voor het onderzoek naar een specifiek strafbaar feit dat onder de doelstellingen van Europol valt, moet de uitvoerend directeur per geval toestemming kunnen verlenen voor een categorie van overdrachten van persoonsgegevens aan derde landen, wanneer die categorie van overdrachten betrekking heeft op dezelfde specifieke situatie, uit dezelfde categorieën persoonsgegevens en dezelfde categorieën betrokkenen bestaat, noodzakelijk en evenredig is ten behoeve van het onderzoek naar een specifiek strafbaar feit en aan alle vereisten van deze verordening voldoet. Het moet voor individuele overdrachten die onder een categorie van overdrachten vallen, mogelijk zijn slechts enkele van de categorieën persoonsgegevens en categorieën betrokkenen waarvan de overdracht door de uitvoerend directeur is toegestaan, te omvatten. Het moet ook mogelijk zijn een categorie van overdrachten van persoonsgegevens toe te staan in de volgende specifieke situaties: wanneer de overdracht van persoonsgegevens noodzakelijk is om de vitale belangen van de betrokkene of van een andere persoon te beschermen; wanneer de overdracht van persoonsgegevens van essentieel belang is om een onmiddellijke en ernstige bedreiging van de openbare veiligheid van een lidstaat of een derde land te voorkomen; wanneer de overdracht van persoonsgegevens gebeurt met het oog op de bescherming van de legitieme belangen van de betrokkene; of, in individuele gevallen, met het oog op de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten of de tenuitvoerlegging van strafrechtelijke sancties of voor de instelling, de uitoefening of de onderbouwing van een rechtsvordering in verband met de voorkoming, het onderzoek, de opsporing of de vervolging van een specifiek strafbaar feit of de tenuitvoerlegging van een specifieke strafrechtelijke sanctie.

Overdrachten die niet gebaseerd zijn op een toestemming van de uitvoerend directeur, een adequaatheidsbesluit, een internationale overeenkomst of een samenwerkingsovereenkomst mogen alleen worden toegestaan indien in passende waarborgen voor de bescherming van persoonsgegevens is voorzien in een juridisch bindend instrument of wanneer Europol op basis van een beoordeling van alle omstandigheden in verband met de overdracht van persoonsgegevens tot de conclusie komt dat die waarborgen bestaan. In het kader van die beoordeling moet Europol rekening kunnen houden met bilaterale overeenkomsten tussen de lidstaten en derde landen die de uitwisseling van persoonsgegevens mogelijk maken, en met de vraag of voor de overdracht van persoonsgegevens verplichtingen inzake vertrouwelijkheid en het beginsel van specificiteit gelden, om ervoor te zorgen dat de gegevens niet worden verwerkt voor andere doeleinden dan die waarvoor zij worden overgedragen. Verder is het belangrijk dat Europol rekening houdt met de vraag of de persoonsgegevens gebruikt kunnen worden om de doodstraf of enige vorm van wrede of onmenselijke behandeling te vorderen, uit te spreken of uit te voeren. Europol moet bijkomende waarborgen kunnen eisen.

Om de lidstaten te ondersteunen bij de samenwerking met particuliere partijen, moet Europol, wanneer die particuliere partijen over informatie beschikken die van belang is voor het voorkomen en bestrijden van zware criminaliteit en terrorisme, persoonsgegevens van particuliere partijen kunnen ontvangen en, in specifieke gevallen waarin dat noodzakelijk en evenredig is, kunnen uitwisselen met particuliere partijen.

Criminelen maken steeds vaker gebruik van de diensten van particuliere partijen om te communiceren en illegale activiteiten uit te oefenen. Seksuele delinquenten buiten kinderen uit en delen wereldwijd foto’s en -video’s waarop kinderen seksueel worden misbruikt via digitale platforms op internet of met anderen via nummeronafhankelijke interpersoonlijke communicatiediensten. Terroristen maken gebruik van de diensten van aanbieders van onlinediensten om vrijwilligers te werven, aanvallen te plannen en te coördineren en propaganda te verspreiden. Cybercriminelen profiteren van de digitalisering van onze samenlevingen en het gebrek aan digitale geletterdheid en andere digitale vaardigheden onder het grote publiek om door middel van phishing en social engineering andere vormen van cybercriminaliteit te begaan, zoals online-oplichting, ransomwareaanvallen of betalingsfraude. Als gevolg van het toegenomen gebruik van onlinediensten door criminelen beschikken particuliere partijen over steeds grotere hoeveelheden persoonsgegevens, waaronder abonnee-, verkeers- en inhoudsgegevens die potentieel relevant zijn voor strafrechtelijke onderzoeken.

Gezien de internationale aard van het internet is het mogelijk dat de aanbieder van de onlinedienst en de digitale infrastructuur waarin de persoonsgegevens zijn opgeslagen, elk onder verschillende nationale jurisdicties vallen, ofwel binnen de Unie of daarbuiten. Particuliere partijen kunnen derhalve in het bezit zijn van voor de rechtshandhaving relevante datasets die persoonsgegevens bevatten die onder de bevoegdheid van meerdere jurisdicties vallen alsook persoonsgegevens die niet gemakkelijk op een specifieke jurisdictie terug te voeren zijn. De bevoegde autoriteiten van de lidstaten kunnen het moeilijk vinden om dergelijke datasets die op meerdere jurisdicties betrekking hebben of die niet op een jurisdictie terug te voeren zijn, doeltreffend te analyseren aan de hand van nationale oplossingen. Bovendien is er momenteel geen centraal contactpunt voor particuliere partijen die besluiten datasets rechtmatig en vrijwillig te delen met de bevoegde autoriteiten van de lidstaten. Derhalve moet Europol over maatregelen beschikken om de samenwerking met particuliere partijen te vergemakkelijken, ook voor wat betreft de uitwisseling van informatie.

Om ervoor te zorgen dat particuliere partijen een contactpunt op Unieniveau hebben voor het rechtmatig en vrijwillig verstrekken van datasets die op meerdere jurisdicties betrekking hebben of datasets die niet gemakkelijk op een of meer specifieke jurisdicties terug te voeren zijn, moet Europol persoonsgegevens rechtstreeks van particuliere partijen kunnen ontvangen om de lidstaten overeenkomstig deze verordening te voorzien van de informatie die zij nodig hebben om hun jurisdictie vast te stellen en strafbare feiten die onder hun respectieve jurisdictie vallen, te onderzoeken. Die informatie kan verslagen omvatten met betrekking tot gemodereerde inhoud waarvan redelijkerwijs kan worden aangenomen dat zij verband houdt met de criminele activiteiten die onder de doelstellingen van Europol vallen.

Om ervoor te zorgen dat de lidstaten de relevante informatie die nodig is om een onderzoek in te stellen met het oog op het voorkomen en bestrijden van zware criminaliteit en terrorisme, zonder onnodige vertraging ontvangen, moet Europol persoonsgegevens kunnen verwerken en analyseren om de betrokken nationale eenheden te identificeren en om die nationale eenheden de persoonsgegevens en op basis van zijn analyse en verificatie van dergelijke gegevens verkregen resultaten toe te zenden die relevant zijn voor het vaststellen van jurisdictie en voor het onderzoeken van de betrokken strafbare feiten onder hun respectieve jurisdicties. Europol moet de persoonsgegevens en resultaten van zijn analyse en verificatie van dergelijke gegevens die relevant zijn ten behoeve van het vaststellen van jurisdictie ook kunnen toezenden aan contactpunten of autoriteiten van betrokken derde landen waarover een adequaatheidsbesluit is genomen, of waarmee een internationale overeenkomst of een samenwerkingsovereenkomst is gesloten, of wanneer er passende waarborgen voor de bescherming van persoonsgegevens geboden worden in een juridisch bindend instrument of Europol op basis van een beoordeling van alle omstandigheden in verband met de overdracht van persoonsgegevens tot de conclusie komt dat die waarborgen in die derde landen bestaan. Wanneer er over het betrokken derde land geen adequaatheidsbesluit is genomen, wanneer het geen partij is bij een internationale overeenkomst of bij een samenwerkingsovereenkomst, wanneer er geen juridisch bindend instrument is of wanneer Europol niet tot de conclusie is gekomen dat er passende waarborgen bestaan, moet Europol het resultaat van zijn analyse en verificatie van dergelijke gegevens kunnen overdragen aan het betrokken derde land overeenkomstig deze verordening.

Overeenkomstig Verordening (EU) 2016/794 kan het, in bepaalde gevallen en onder voorwaarden, voor Europol noodzakelijk en evenredig zijn om persoonsgegevens over te dragen aan particuliere partijen die niet gevestigd zijn in de Unie of in een derde land waarover een adequaatheidsbesluit is genomen of waarmee een internationale overeenkomst of een samenwerkingsovereenkomst is gesloten, of wanneer er geen passende waarborgen voor de bescherming van persoonsgegevens geboden worden in een juridisch bindend instrument of Europol niet tot de conclusie is gekomen dat passende waarborgen bestaan. In dergelijke gevallen moet de overdracht vooraf goedgekeurd worden door de uitvoerend directeur.

Om ervoor te zorgen dat Europol alle relevante nationale eenheden kan identificeren, moet het particuliere partijen kunnen informeren indien de door hen verstrekte informatie ontoereikend is om Europol in staat te stellen de betrokken nationale eenheden te identificeren. Dat zou die particuliere partijen in staat stellen te beslissen of het in hun belang is aanvullende informatie met Europol te delen en of zij dat rechtmatig kunnen doen. Daartoe moet Europol particuliere partijen op de hoogte kunnen brengen van ontbrekende informatie, voor zover dat strikt noodzakelijk is en als enig doel heeft de betrokken nationale eenheden te identificeren. Er moeten bijzondere waarborgen van toepassing zijn op de overdrachten van informatie van Europol aan particuliere partijen indien de betrokken particuliere partij niet gevestigd is in de Unie of in een derde land waarover een adequaatheidsbesluit is genomen of waarmee een internationale overeenkomst of een samenwerkingsovereenkomst is gesloten, of wanneer er geen passende waarborgen voor de bescherming van persoonsgegevens geboden worden door een juridisch bindend instrument of Europol niet tot de conclusie is gekomen dat passende waarborgen bestaan.

Wanneer de lidstaten, derde landen, internationale organisaties of particuliere partijen datasets die op meerdere jurisdicties betrekking hebben of datasets die niet op een of meer specifieke jurisdicties terug te voeren zijn, met Europol delen, is het mogelijk dat die datasets verband houden met persoonsgegevens die in het bezit zijn van particuliere partijen. In dergelijke situaties moet Europol de lidstaten via hun nationale eenheden een verzoek kunnen sturen waarin het vraagt om de persoonsgegevens te verkrijgen die in het bezit zijn van particuliere partijen die op het grondgebied van die lidstaten gevestigd zijn of daar een wettelijke vertegenwoordiger hebben. Een dergelijk verzoek mag alleen worden gedaan wanneer het verkrijgen van aanvullende informatie van dergelijke particuliere partijen noodzakelijk is om de betrokken nationale eenheden te identificeren. Het verzoek moet gemotiveerd en zo nauwkeurig mogelijk zijn. De relevante persoonsgegevens, die zo min mogelijk gevoelig moeten zijn en strikt beperkt moeten blijven tot wat noodzakelijk en evenredig is ten behoeve van de identificatie van de betrokken nationale eenheden, moeten overeenkomstig het toepasselijke recht van de betrokken lidstaten aan Europol worden verstrekt. De bevoegde autoriteiten van de betrokken lidstaten moeten het verzoek van Europol beoordelen en in overeenstemming met hun nationale wetgeving besluiten of het verzoek ingewilligd wordt. Elke verwerking van gegevens door particuliere partijen bij de verwerking van dergelijke verzoeken van de bevoegde autoriteiten van de lidstaten moet onderworpen blijven aan de toepasselijke regels, met name op het gebied van gegevensbescherming. Particuliere partijen moeten de gevraagde gegevens aan de bevoegde autoriteiten van de lidstaten verstrekken voor verdere doorgifte aan Europol. In veel gevallen is het mogelijk dat de betrokken lidstaten geen ander verband met hun jurisdictie kunnen vaststellen dan het feit dat de particuliere partij die de relevante gegevens in haar bezit heeft, in hun jurisdictie is gevestigd of daar een wettelijke vertegenwoordiger heeft. Niettegenstaande de vraag of zij jurisdictie hebben met betrekking tot het specifieke strafbaar feit, moeten de lidstaten er in ieder geval voor zorgen dat hun bevoegde autoriteiten persoonsgegevens van particuliere partijen kunnen verkrijgen met het oog op het verstrekken van de informatie die Europol nodig heeft om zijn doelstellingen te verwezenlijken, met volledige inachtneming van de procedurele waarborgen uit hoofde van hun nationale recht.

Om ervoor te zorgen dat Europol de rechtstreeks van particuliere partijen ontvangen persoonsgegevens niet langer bewaart dan nodig is om de betrokken nationale eenheden te identificeren, moeten er termijnen gelden voor de opslag van persoonsgegevens door Europol. Zodra Europol alle beschikbare middelen heeft uitgeput om de betrokken nationale eenheden te identificeren en redelijkerwijs niet te verwachten valt dat het nog meer betrokken nationale eenheden zal identificeren, is de opslag van die persoonsgegevens niet langer noodzakelijk en evenredig ten behoeve van de identificatie van de betrokken nationale eenheden. Europol moet de persoonsgegevens wissen binnen vier maanden na hun laatste doorgifte, overdracht aan een nationale eenheid of overdracht aan het contactpunt van een derde land of een autoriteit van een derde land, tenzij een nationale eenheid, een contactpunt of een betrokken autoriteit, in overeenstemming met het Unierecht en het nationale recht, binnen die termijn de persoonsgegevens opnieuw indient als hun gegevens. Indien de opnieuw ingediende persoonsgegevens deel uitmaakten van een grotere reeks persoonsgegevens, mag Europol alleen die persoonsgegevens bewaren die opnieuw zijn ingediend door een nationale eenheid, een contactpunt of een betrokken autoriteit.

Samenwerking van Europol met particuliere partijen mag de activiteiten van de financiële-inlichtingeneenheden (FIE’s) die zijn opgericht op grond van Richtlijn (EU) 2015/849 van het Europees Parlement en de Raad (12), niet overlappen of hinderen, en mag alleen betrekking hebben op informatie die nog niet aan FIE’s moet worden verstrekt overeenkomstig die richtlijn. Europol moet blijven samenwerken met de FIE’s, met name via de nationale eenheden.

Europol moet de bevoegde autoriteiten van de lidstaten de nodige ondersteuning kunnen bieden om met particuliere partijen te communiceren, met name door te voorzien in de nodige infrastructuur voor dergelijke communicatie, bijvoorbeeld wanneer de bevoegde autoriteiten van de lidstaten terroristische online-inhoud melden, verwijderingsbevelen betreffende dergelijke inhoud aan aanbieders van onlinediensten op grond van Verordening (EU) 2021/784 van het Europees Parlement en de Raad (13) toezenden of informatie uitwisselen met particuliere partijen bij cyberaanvallen. Wanneer de lidstaten gebruikmaken van Europol-infrastructuur voor de uitwisseling van persoonsgegevens over strafbare feiten die niet onder de doelstellingen van Europol vallen, mag Europol geen toegang tot die gegevens hebben. Europol moet er met technische middelen voor zorgen dat zijn infrastructuur strikt beperkt blijft tot het bieden van een kanaal voor dergelijke communicatie tussen de bevoegde autoriteiten van de lidstaten en een particuliere partij, en dat Europol alle nodige waarborgen biedt tegen toegang van een particuliere partij tot andere informatie in de systemen van Europol die geen verband houdt met de uitwisseling met die particuliere partij.

Terroristische aanslagen leiden tot grootschalige verspreiding, via online platforms, van terroristische inhoud die schade aan het leven of de fysieke integriteit weergeeft of oproept om het leven of de fysieke integriteit schade toe te brengen, wat de verheerlijking van terrorisme in de hand werkt en fungeert als training voor terrorisme, en uiteindelijk de radicalisering en werving van andere personen bevordert. Daarnaast zorgt de toename in het gebruik van internet voor het opnemen of delen van materiaal van seksueel misbruik van kinderen ervoor dat de schade voor de slachtoffers voortduurt omdat het materiaal gemakkelijk kan worden gekopieerd en verspreid. Om de strafbare feiten die onder de doelstellingen van Europol vallen te voorkomen en te bestrijden, moet Europol lidstaten kunnen ondersteunen bij hun aanpak van de verspreiding van terroristische inhoud in het kader van onlinecrisissituaties als gevolg van actuele of recente reële gebeurtenissen en bij hun aanpak van de onlineverspreiding van online materiaal van seksueel misbruik van kinderen; daarnaast moet Europol het handelen van aanbieders van onlinediensten in het kader van hun verplichtingen uit hoofde van het Unierecht en hun vrijwillig handelen kunnen ondersteunen. Daartoe moet Europol relevante persoonsgegevens, waaronder unieke, niet-omkeerbare digitale handtekeningen (“hashes”), IP-adressen of URL’s in verband met dergelijke inhoud, kunnen uitwisselen met particuliere partijen die zijn gevestigd in de Unie of in een derde land waarover een adequaatheidsbesluit is genomen, of, bij gebrek aan een dergelijk besluit, waarmee een internationale overeenkomst of een samenwerkingsovereenkomst is gesloten, of wanneer er passende waarborgen voor de bescherming van persoonsgegevens geboden worden in een juridisch bindend instrument of Europol op basis van een beoordeling van alle omstandigheden in verband met de overdracht van persoonsgegevens tot de conclusie komt dat die passende waarborgen in dat derde land bestaan. Dergelijke uitwisselingen van persoonsgegevens mogen alleen plaatsvinden met het oog op het verwijderen van terroristische inhoud en online materiaal van seksueel misbruik van kinderen, met name wanneer de exponentiële vermenigvuldiging en viraliteit van die inhoud en afbeeldingen bij meerdere aanbieders van onlinediensten wordt verwacht. Niets in deze verordening mag worden opgevat als een beletsel voor een lidstaat om verwijderingsbevelen als bedoeld in Verordening (EU) 2021/784 te gebruiken als instrument om terroristische online-inhoud aan te pakken.

Om dubbel werk en mogelijke hinder voor onderzoeken te voorkomen en de lasten voor de getroffen aanbieders van hostingdiensten tot een minimum te beperken, moet Europol bijstand bieden aan, informatie uitwisselen met en samenwerken met de bevoegde autoriteiten van de lidstaten met betrekking tot doorgiften en overdrachten van persoonsgegevens aan particuliere partijen om onlinecrisissituaties en de onlineverspreiding van online materiaal van seksueel misbruik van kinderen aan te pakken.

Verordening (EU) 2018/1725 bevat regels over de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie. Hoewel Verordening (EU) 2018/1725 van toepassing is op de verwerking van administratieve persoonsgegevens door Europol die geen verband houden met strafrechtelijke onderzoeken, zoals personeelsgegevens, zijn artikel 3, punt 2), en hoofdstuk IX van die verordening, waarin de verwerking van persoonsgegevens wordt geregeld, momenteel niet van toepassing op Europol. Om de uniforme en consequente bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens te waarborgen, moet hoofdstuk IX van Verordening (EU) 2018/1725 overeenkomstig artikel 2, lid 2, van die verordening op Europol van toepassing zijn, en moet dat hoofdstuk worden aangevuld met specifieke bepalingen voor de specifieke verwerkingen die Europol moet uitvoeren om zijn taken te vervullen. Daarom moeten de toezichthoudende bevoegdheden van de EDPS met betrekking tot verwerkingen door Europol worden versterkt, in overeenstemming met de relevante bevoegdheden die van toepassing zijn op de verwerking van administratieve persoonsgegevens die gelden voor alle instellingen, organen en instanties van de Unie uit hoofde van hoofdstuk VI van Verordening (EU) 2018/1725. Daartoe moet de EDPS, wanneer Europol voor operationele doeleinden persoonsgegevens verwerkt, van Europol kunnen vereisen dat het verwerkingen in overeenstemming brengt met deze verordening en dat het gegevensstromen naar een ontvanger in een lidstaat, in een derde land of in een internationale organisatie schorst, en moet de EDPS een administratieve boete kunnen opleggen bij niet-naleving door Europol.

Verwerking van gegevens in het kader van deze verordening kan leiden tot de verwerking van bijzondere categorieën persoonsgegevens als bedoeld in Verordening (EU) 2016/679 van het Europees Parlement en de Raad (14). De verwerking van foto’s mag niet systematisch worden beschouwd als de verwerking van bijzondere categorieën persoonsgegevens, aangezien foto’s alleen onder de definitie van biometrische gegevens in artikel 3, punt 18), van Verordening (EU) 2018/1725 vallen wanneer zij worden verwerkt met behulp van bepaalde technische middelen die de unieke identificatie of authenticatie van een natuurlijke persoon mogelijk maken.

Het raadplegingsmechanisme van Verordening (EU) 2018/1725 waarbij de EDPS betrokken is, is een belangrijke voorzorgsmaatregel voor nieuwe soorten verwerkingen. Dat mechanisme mag echter niet gelden voor specifieke individuele operationele activiteiten zoals operationeleanalyseprojecten, maar wel voor het gebruik van nieuwe informatietechnologiesystemen (IT-systemen) voor de verwerking van persoonsgegevens en voor belangrijke wijzigingen van die systemen die een hoog risico voor de rechten en vrijheden van betrokkenen met zich meebrengen. De termijn waarbinnen de EDPS schriftelijk advies over dergelijke raadplegingen moet uitbrengen, mag niet geschorst kunnen worden. In het geval van verwerkingsactiviteiten die van wezenlijk belang zijn voor de verrichting van de taken van Europol en die bijzonder urgent zijn, moet het mogelijk zijn dat Europol bij uitzondering reeds na de start van de voorafgaande raadpleging met de verwerking begint, ook al is de termijn voor het verstrekken van schriftelijk advies door de EDPS nog niet verstreken. Een dergelijke urgentie kan zich voordoen in situaties die van wezenlijk belang zijn voor de verrichting van de taken van Europol, wanneer de verwerking noodzakelijk is om een onmiddellijke dreiging van een strafbaar feit dat onder de doelstellingen van Europol valt, te voorkomen en te bestrijden, en om de vitale belangen van de betrokkene of van een andere persoon te beschermen. De functionaris voor gegevensbescherming van Europol moet betrokken zijn bij de beoordeling van de urgentie en noodzakelijkheid van een dergelijke verwerking vóór het verstrijken van de termijn waarbinnen de EDPS op de voorafgaande raadpleging moet reageren. De functionaris voor gegevensbescherming van Europol houdt toezicht op een dergelijke verwerking. De EDPS moet zijn bevoegdheden met betrekking tot een dergelijke verwerking kunnen uitoefenen.

Gezien de uitdagingen die de snelle technologische ontwikkeling en de exploitatie van nieuwe technologieën door terroristen en andere criminelen met zich meebrengen voor de veiligheid van de Unie, moeten de bevoegde autoriteiten van de lidstaten hun technologische capaciteiten versterken voor het identificeren, veiligstellen en analyseren van de gegevens die nodig zijn om strafbare feiten te onderzoeken. Europol moet de lidstaten kunnen ondersteunen bij het gebruik van opkomende technologieën, bij het verkennen van nieuwe benaderingen en bij het ontwikkelen van gemeenschappelijke technologische oplossingen waarmee de lidstaten strafbare feiten die onder de doelstellingen van Europol vallen, beter kunnen voorkomen en bestrijden. Tegelijkertijd moet Europol ervoor zorgen dat de ontwikkeling, het gebruik en de uitrol van nieuwe technologieën gebaseerd zijn op de beginselen van transparantie, verklaarbaarheid, eerlijkheid en verantwoording, geen grondrechten en fundamentele vrijheden ondermijnen en het Unierecht naleven. Daartoe moet Europol onderzoeks- en innovatieprojecten kunnen uitvoeren met betrekking tot aangelegenheden die onder deze verordening vallen binnen de algemene reikwijdte voor de onderzoeks- en ontwikkelingsprojecten die in een bindend document is vastgesteld door de raad van bestuur. Dat document moet waar passend geactualiseerd worden en aan de EDPS ter beschikking gesteld worden. Voor die projecten moet het mogelijk zijn persoonsgegevens enkel te verwerken indien aan bepaalde voorwaarden voldaan is, namelijk dat de verwerking van persoonsgegevens strikt noodzakelijk is, dat de doelstelling van het relevante project niet verwezenlijkt kan worden door niet-persoonsgebonden gegevens, zoals synthetische of anonieme gegevens, te gebruiken, en dat de volledige eerbiediging van de grondrechten, met name non-discriminatie, gewaarborgd wordt.

De verwerking van bijzondere categorieën persoonsgegevens voor onderzoeks- en innovatiedoeleinden mag alleen worden toegestaan indien dat strikt noodzakelijk is. Gezien de gevoeligheid van een dergelijke verwerking moeten passende aanvullende waarborgen, waaronder pseudonimisering, worden toegepast. Teneinde vooringenomenheid in algoritmische besluitvorming te voorkomen, moet de verwerking door Europol van persoonsgegevens die geen betrekking hebben op de in bijlage II opgenomen categorieën betrokkenen, toegestaan zijn. Europol mag van elke verwerking van persoonsgegevens in het kader van zijn onderzoeks- en innovatieprojecten logbestanden enkel bijhouden om de juistheid van het resultaat van de gegevensverwerking te verifiëren en enkel zo lang dat nodig is voor die verificatie. De bepalingen betreffende de ontwikkeling van nieuwe instrumenten door Europol mogen geen rechtsgrond vormen voor het inzetten van die instrumenten op het niveau van de Unie of op nationaal niveau. Om innovatie te stimuleren en synergie op het gebied van onderzoeks- en innovatieprojecten te versterken, is het belangrijk dat Europol zijn samenwerking met relevante netwerken van professionals uit de lidstaten en andere agentschappen van de Unie binnen hun respectieve bevoegdheden op dat gebied intensiveert, en andere daarmee samenhangende vormen van samenwerking ondersteunt, zoals secretariële ondersteuning van de EU-innovatiehub voor interne veiligheid als samenwerkingsnetwerk van innovatielabs.

Europol moet een sleutelrol spelen bij het bijstaan van de lidstaten bij de ontwikkeling van nieuwe technologische oplossingen op basis van kunstmatige intelligentie die relevant zijn voor het verwezenlijken van de doelstellingen van Europol en die de bevoegde autoriteiten van de lidstaten in de hele Unie ten goede komen. Die bijstand moet worden verleend met volledige eerbiediging van grondrechten en fundamentele vrijheden, waaronder non-discriminatie. Europol moet ook een sleutelrol spelen bij de bevordering van de ontwikkeling en uitrol van ethische, betrouwbare en mensgerichte kunstmatige intelligentie, met degelijke waarborgen op het gebied van beveiliging, veiligheid, transparantie, verklaarbaarheid en grondrechten.

Europol moet de EDPS voorafgaand aan de start van zijn onderzoeks- en innovatieprojecten waarbij persoonsgegevens worden verwerkt, op de hoogte brengen. Europol moet zijn raad van bestuur informeren dan wel raadplegen, overeenkomstig bepaalde criteria die in de relevante richtsnoeren moeten zijn opgenomen. Europol mag geen gegevens ten behoeve van onderzoeks- en innovatieprojecten verwerken zonder toestemming van de lidstaat, het orgaan van de Unie, het derde land of de internationale organisatie die de gegevens bij Europol heeft ingediend, tenzij die lidstaat, dat orgaan van de Unie, dat derde land of die internationale organisatie vooraf toestemming heeft verleend voor een dergelijke verwerking ten behoeve van onderzoeks- en innovatieprojecten. Voor elk project moet Europol voorafgaand aan de verwerking een effectbeoordeling van de gegevensbescherming uitvoeren om volledige eerbiediging van het recht op gegevensbescherming en alle andere grondrechten en fundamentele vrijheden van de betrokkenen te waarborgen. De effectbeoordeling van de gegevensbescherming moet ook een beoordeling omvatten van de geschiktheid, de noodzaak en de evenredigheid van de persoonsgegevens die voor het specifieke doel van het project moeten worden verwerkt, met inbegrip van de vereiste van minimale gegevensverwerking en een beoordeling van mogelijke vooringenomenheid inzake het resultaat en inzake de persoonsgegevens die voor het specifieke doel van het project moeten worden verwerkt, alsook de maatregelen die worden overwogen om die risico’s te beperken. De ontwikkeling van nieuwe instrumenten door Europol mag geen afbreuk doen aan de rechtsgrond, met inbegrip van de gronden voor de verwerking van de betrokken persoonsgegevens, die later nodig zouden zijn om te worden ingezet op het niveau van de Unie of op nationaal niveau.

Om Europol extra instrumenten en capaciteiten te kunnen toekennen, moeten het democratische toezicht op en de verantwoordingsplicht van Europol worden versterkt. Gezamenlijke parlementaire controle vormt een belangrijk onderdeel van het politieke toezicht op de activiteiten van Europol. Om een doeltreffend politiek toezicht mogelijk te maken op de wijze waarop Europol de extra instrumenten en capaciteiten gebruikt waarin deze verordening voorziet, moet Europol de gezamenlijke parlementaire controlegroep (GPC) en de lidstaten jaarlijks gedetailleerde informatie verstrekken over de ontwikkeling, het gebruik en de doelmatigheid van die instrumenten en capaciteiten en over het resultaat van het gebruik ervan, met name voor wat betreft onderzoeks- en innovatieprojecten alsook nieuwe activiteiten of de oprichting van eventuele nieuwe gespecialiseerde centra binnen Europol. Bovendien moeten twee vertegenwoordigers van de GPC, één voor het Europees Parlement en één voor de nationale parlementen, ter weerspiegeling van de dubbele samenstelling van de GPC, voor ten minste twee gewone vergaderingen van de raad van bestuur worden uitgenodigd teneinde de raad van bestuur namens de GPC toe te spreken en het geconsolideerde jaarlijkse activiteitenverslag, het enkelvoudig programmeringsdocument en de jaarbegroting, schriftelijke vragen en antwoorden van de GPC, alsook buitenlandse betrekkingen en partnerschappen, te bespreken, met inachtneming van de verschillende rollen en verantwoordelijkheden van de raad van bestuur en van de GPC overeenkomstig deze verordening. De raad van bestuur moet samen met de vertegenwoordigers van de GPC andere te bespreken aangelegenheden van politiek belang kunnen vaststellen. Overeenkomstig de toezichthoudende rol van de GPC mogen de twee vertegenwoordigers van de GPC geen stemrecht hebben in de raad van bestuur. Geplande onderzoeks- en innovatieactiviteiten moeten worden opgenomen in het enkelvoudig programmeringsdocument dat de meerjarige programmering en het jaarlijkse werkprogramma van Europol bevat en aan de GPC wordt toegezonden.

Op voorstel van de uitvoerend directeur moet de raad van bestuur een functionaris voor de grondrechten aanwijzen die verantwoordelijk moet zijn voor het ondersteunen van Europol bij het eerbiedigen van de grondrechten bij al zijn activiteiten en taken, met name bij de onderzoeks- en innovatieprojecten van Europol en de uitwisseling van persoonsgegevens met particuliere partijen. Het moet mogelijk zijn een lid van het bestaande personeel van Europol dat een speciale opleiding heeft gevolgd op het gebied van het recht en de praktijk inzake grondrechten, aan te wijzen als functionaris voor de grondrechten. De functionaris voor de grondrechten en de functionaris voor gegevensbescherming moeten binnen hun respectieve bevoegdheden nauw met elkaar samenwerken. Voor zover het aangelegenheden in verband met gegevensbescherming betreft, moet de volledige verantwoordelijkheid bij de functionaris voor gegevensbescherming berusten.

Aangezien de doelstelling van deze verordening, namelijk de ondersteuning en versterking van het optreden van de bevoegde autoriteiten van de lidstaten, alsmede hun wederzijdse samenwerking bij de voorkoming en bestrijding van zware criminaliteit waardoor twee of meer lidstaten worden getroffen, van terrorisme en van vormen van criminaliteit die een schending inhouden van een gemeenschappelijk belang dat voorwerp van Uniebeleid is, niet voldoende door de lidstaten kan worden verwezenlijkt, maar vanwege het grensoverschrijdende karakter van zware criminaliteit en terrorisme en de noodzaak van een gecoördineerde reactie op daarmee verband houdende bedreigingen voor de veiligheid beter op het niveau van de Unie kan worden verwezenlijkt, kan de Unie, overeenkomstig het in artikel 5 VEU neergelegde subsidiariteitsbeginsel, maatregelen nemen. Overeenkomstig het in hetzelfde artikel neergelegde evenredigheidsbeginsel gaat deze verordening niet verder dan nodig is om die doelstelling te verwezenlijken.

Overeenkomstig artikel 3 van Protocol nr. 21 betreffende de positie van het Verenigd Koninkrijk en Ierland ten aanzien van de ruimte van vrijheid, veiligheid en recht, gehecht aan het VEU en het VWEU, heeft Ierland laten weten te willen deelnemen aan de vaststelling en toepassing van deze verordening.

Overeenkomstig de artikelen 1 en 2 van Protocol nr. 22 betreffende de positie van Denemarken, gehecht aan het VEU en het VWEU, neemt Denemarken niet deel aan de vaststelling van deze verordening, die derhalve niet bindend is voor, noch van toepassing is in Denemarken.

Overeenkomstig artikel 42, lid 1, van Verordening (EU) 2018/1725 is de EDPS geraadpleegd, en op 8 maart 2021 heeft hij een advies (15) uitgebracht.

Deze verordening eerbiedigt de grondrechten en waarborgen ten volle en neemt de beginselen in acht die met name in het Handvest van de grondrechten van de Europese Unie ("het Handvest") zijn neergelegd, met name het recht op eerbiediging van het privéleven, familie- en gezinsleven en het recht op de bescherming van persoonsgegevens zoals neergelegd in de artikelen 7 en 8 van het Handvest, alsook in artikel 16 VWEU. Gezien het belang van de verwerking van persoonsgegevens voor het rechtshandhavingswerk in het algemeen en voor de ondersteuning door Europol in het bijzonder, moet deze verordening versterkte waarborgen en mechanismen voor democratisch toezicht en verantwoording bevatten, om de volledige naleving van de in het Handvest neergelegde grondrechten bij de uitvoer van de activiteiten en taken van Europol te waarborgen, met name het recht op gelijkheid voor de wet, het recht op non-discriminatie en het recht op een effectief rechtsmiddel bij de bevoegde nationale rechtbank naar aanleiding van alle maatregelen die voortvloeien uit deze verordening. De verwerking van persoonsgegevens in het kader van deze verordening moet beperkt blijven tot hetgeen strikt noodzakelijk en evenredig is, en moet onderworpen zijn aan duidelijke voorwaarden, strikte vereisten en doeltreffend toezicht door de EDPS.

Verordening (EU) 2016/794 moet derhalve dienovereenkomstig worden gewijzigd.

Om ervoor te zorgen dat de in deze verordening opgenomen maatregelen meteen kunnen worden toegepast, moet deze verordening in werking treden op de dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie,

artikel 2 wordt als volgt gewijzigd:

artikel 4 wordt als volgt gewijzigd:

artikel 6 wordt als volgt gewijzigd:

in artikel 7 wordt lid 8 vervangen door:

“8.   Elke lidstaat zorgt ervoor dat zijn FIE, binnen de grenzen van haar mandaat en bevoegdheid en met inachtneming van de nationale procedurele waarborgen, gerechtigd is te antwoorden op behoorlijk gemotiveerde verzoeken die door Europol zijn ingediend overeenkomstig artikel 12 van Richtlijn (EU) 2019/1153 met betrekking tot financiële informatie en financiële analyses, hetzij via zijn nationale eenheid, hetzij, indien die lidstaat dat toelaat, door rechtstreeks contact tussen de FIE en Europol.”;

in artikel 11 wordt lid 1 als volgt gewijzigd:

artikel 12 wordt als volgt gewijzigd:

in artikel 14 wordt lid 4 vervangen door:

“4.   De raad van bestuur kan eenieder wiens mening relevant kan zijn voor de discussie uitnodigen om de vergadering als niet-stemgerechtigde waarnemer bij te wonen.

Twee vertegenwoordigers van de GPC worden uitgenodigd om jaarlijks twee gewone vergaderingen van de raad van bestuur als waarnemers zonder stemrecht bij te wonen om de volgende aangelegenheden van politiek belang te bespreken:

De raad van bestuur kan samen met de vertegenwoordigers van de GPC andere aangelegenheden van politiek belang vaststellen die tijdens de in de eerste alinea bedoelde vergaderingen besproken moeten worden.”;

artikel 16 wordt als volgt gewijzigd:

artikel 18 wordt als volgt gewijzigd:

het volgende artikel wordt ingevoegd:

“Artikel 18 bis

Verwerking van persoonsgegevens ter ondersteuning van een strafrechtelijk onderzoek

• 1. 

  Wanneer dat nodig is ter ondersteuning van een lopend specifiek strafrechtelijk onderzoek dat onder de doelstellingen van Europol valt, kan Europol persoonsgegevens verwerken die geen betrekking hebben op de in bijlage II opgenomen categorieën betrokkenen, indien:

De resultaten van de in eerste alinea, punt b), bedoelde beoordeling worden geregistreerd en ter informatie aan de EDPS toegezonden wanneer Europol het in de eerste alinea genoemd onderzoek niet langer ondersteunt.

• 2. 

  Indien de in lid 1, eerste alinea, punt a), bedoelde lidstaat overeenkomstig de procedurele vereisten en waarborgen uit hoofde van zijn toepasselijke nationale recht niet langer de bevoegdheid heeft de gegevens in het in lid 1 bedoelde lopend specifiek strafrechtelijk onderzoek te verwerken, stelt hij Europol daarvan in kennis.

Indien het EOM of Eurojust onderzoeksgegevens aan Europol verstrekt en het EOM of Eurojust in overeenstemming met de procedurele vereisten en waarborgen uit hoofde van het toepasselijke Unie- en nationale recht niet langer de bevoegdheid heeft de gegevens in het in lid 1 bedoelde lopend specifiek strafrechtelijk onderzoek te verwerken, stelt het Europol daarvan in kennis.

• 3. 

  Europol kan onderzoeksgegevens overeenkomstig artikel 18, lid 2, verwerken zolang het ondersteuning biedt aan het lopende specifieke strafrechtelijk onderzoek waarvoor de onderzoeksgegevens zijn verstrekt overeenkomstig lid 1, eerste alinea, punt a), van dit artikel, en uitsluitend ter ondersteuning van dat onderzoek.

• 4. 

  Europol kan de overeenkomstig lid 1, eerste alinea, punt a), verstrekte onderzoeksgegevens en de resultaten van de verwerking van die gegevens langer opslaan dan de in lid 3 vermelde verwerkingsperiode, op verzoek van de verstrekker van die onderzoeksgegevens, met als doeleinde de waarheidsgetrouwheid, de betrouwbaarheid en de traceerbaarheid van het criminele-inlichtingenproces te waarborgen, en zulks uitsluitend zolang de gerechtelijke procedure loopt betreffende het specifieke strafrechtelijk onderzoek naar aanleiding waarvan die gegevens werden verstrekt.

De in lid 1, eerste alinea, punt a), bedoelde verstrekkers van de onderzoeksgegevens of, met hun toestemming, een lidstaat waar een gerechtelijke procedure loopt met betrekking tot een daarmee verband houdend strafrechtelijk onderzoek, kunnen Europol verzoeken de onderzoeksgegevens en de resultaten van zijn operationele analyse van die onderzoeksgegevens langer op te slaan dan de in lid 3 vermelde verwerkingsperiode, met als doeleinde de waarheidsgetrouwheid, de betrouwbaarheid en de traceerbaarheid van het criminele-inlichtingenproces te waarborgen, en zulks uitsluitend zolang in die andere lidstaat de gerechtelijke procedure betreffende een daarmee verband houdend strafrechtelijk onderzoek loopt.

• 5. 

  Onverminderd de verwerking van persoonsgegevens uit hoofde van artikel 18, lid 6 bis, worden persoonsgegevens die geen betrekking hebben op de in bijlage II opgenomen categorieën betrokkenen, functioneel gescheiden gehouden van andere gegevens en worden zij enkel verwerkt indien dat evenredig is aan en noodzakelijk is voor de doeleinden van de leden 3, 4 en 6 van dit artikel.

De raad van bestuur geeft, op voorstel van de uitvoerend directeur en na raadpleging van de EDPS, een nadere omschrijving van de voorwaarden voor de verstrekking en verwerking van persoonsgegevens overeenkomstig de leden 3 en 4.

• 6. 

  De leden 1 tot en met 4 van dit artikel zijn ook van toepassing indien persoonsgegevens aan Europol worden verstrekt door een derde land als bedoeld in artikel 25, lid 1, punt a), b) of c), of in artikel 25, lid 4 bis, en indien dat derde land Europol onderzoeksgegevens verstrekt voor een operationele analyse die bijdraagt aan het specifieke strafrechtelijke onderzoek in een of meer lidstaten dat door Europol wordt ondersteund, mits het derde land de gegevens heeft verkregen in het kader van een strafrechtelijk onderzoek in overeenstemming met de procedurele vereisten en waarborgen die van toepassing zijn uit hoofde van zijn nationale strafrecht.

Indien een derde land overeenkomstig de eerste alinea Europol onderzoeksgegevens verstrekt, kan de functionaris voor gegevensbescherming, waar passend, de EDPS daarvan in kennis stellen.

Europol vergewist zich ervan dat de hoeveelheid persoonsgegevens als bedoeld in de eerste alinea niet kennelijk onevenredig is in verhouding tot het specifieke strafrechtelijk onderzoek in de betrokken lidstaat. Indien Europol tot de conclusie komt dat er een aanwijzing is dat zulke gegevens kennelijk onevenredig zijn of duidelijk in strijd met de grondrechten werden verzameld, verwerkt Europol de gegevens niet en wist het die.

Op grond van dit lid verwerkte persoonsgegevens zijn alleen toegankelijk voor Europol indien dat nodig is ter ondersteuning van het specifieke strafrechtelijk onderzoek waarvoor zij werden verstrekt. Die persoonsgegevens worden uitsluitend binnen de Unie gedeeld.”;

in artikel 19 worden de leden 1 en 2 vervangen door:

“1.   Een lidstaat die, een orgaan van de Unie dat, een derde land dat of een internationale organisatie die informatie aan Europol verstrekt, bepaalt voor welk doeleinde of welke doeleinden die informatie moet worden verwerkt overeenkomstig artikel 18.

Indien een in de eerste alinea bedoelde verstrekker van informatie niet aan die alinea heeft voldaan, verwerkt Europol, met de instemming van degene die de informatie in kwestie heeft verstrekt, de informatie teneinde de relevantie ervan te bepalen, alsook het doeleinde of de doeleinden waarvoor de informatie verder moet worden verwerkt.

Europol verwerkt alleen met toestemming van de verstrekker informatie voor een ander doeleinde dan waarvoor de informatie was verstrekt.

Informatie die is verstrekt voor de in artikel 18, lid 2, punten a) tot en met d), bedoelde doeleinden, kan ook door Europol worden verwerkt voor het in artikel 18, lid 2, punt e), bedoelde doeleinde overeenkomstig artikel 33 bis.

• 2. 

  Lidstaten, organen van de Unie, derde landen en internationale organisaties kunnen op het moment waarop zij informatie verstrekken aan Europol, algemene of specifieke toegangs- of gebruiksbeperkingen stellen, ook met betrekking tot het overdragen, doorgeven, wissen of vernietigen. Indien de noodzaak van zulke beperkingen pas na het verstrekken van de informatie duidelijk wordt, stellen zij Europol daarvan op de hoogte. Europol houdt zich aan zulke beperkingen.”;

artikel 20 wordt als volgt gewijzigd:

het volgende artikel wordt ingevoegd:

“Artikel 20 bis

Betrekkingen met het Europees Openbaar Ministerie

• 1. 

  Europol creëert en onderhoudt een nauwe relatie met het EOM. In het kader van die relatie handelen Europol en het EOM binnen de grenzen van hun respectieve mandaat en bevoegdheden. Daartoe maken zij een werkafspraak waarin hun samenwerking nader wordt geregeld.

• 2. 

  Op verzoek van het EOM overeenkomstig artikel 102 van Verordening (EU) 2017/1939 ondersteunt Europol de onderzoeken van het EOM en werkt ermee samen door informatie en analytische ondersteuning te verstrekken totdat het EOM besluit of het de vervolging instelt of de zaak anderszins afdoet.

• 3. 

  Teneinde informatie te verstrekken aan het EOM in het kader van lid 2 van dit artikel, neemt Europol alle nodige maatregelen om het EOM op basis van een hit/no hit-systeem indirecte toegang te geven tot gegevens in verband met strafbare feiten die onder de bevoegdheid van het EOM vallen, die zijn verstrekt voor de in artikel 18, lid 2, punten a), b) en c), bepaalde doeleinden. Dat hit/no hit-systeem stelt alleen Europol in kennis van een hit, en dat onverminderd de op grond van artikel 19, lid 2, door de in artikel 19, lid 1, bedoelde verstrekkers van informatie gestelde beperkingen.

Indien een zoekopdracht een hit oplevert, stelt Europol de procedure in die het mogelijk maakt de informatie die tot de hit heeft geleid, te delen, in overeenstemming met het besluit van de in artikel 19, lid 1, bedoelde verstrekker van de informatie, en alleen voor zover de gegevens die tot een hit hebben geleid, relevant zijn voor het op grond van lid 2 van dit artikel ingediende verzoek.

• 4. 

  Europol meldt zonder onnodige vertraging aan het EOM alle strafbare gedragingen ten aanzien waarvan het EOM zijn bevoegdheid zou kunnen uitoefenen overeenkomstig artikel 22 en artikel 25, leden 2 en 3, van Verordening (EU) 2017/1939 en onverminderd de door de verstrekker van de informatie gestelde beperkingen op grond van artikel 19, lid 2, van deze verordening.

Wanneer Europol uit hoofde van de eerste alinea een melding doet aan het EOM, stelt het de betrokken lidstaten onverwijld in kennis.

Indien informatie over strafbare gedragingen ten aanzien waarvan het EOM zijn bevoegdheid zou kunnen uitoefenen, aan Europol is verstrekt door een lidstaat die op grond van artikel 19, lid 2, van deze verordening beperkingen heeft gesteld op het gebruik van die informatie, stelt Europol het EOM in kennis van het bestaan van die beperkingen en verwijst het de aangelegenheid door naar de betrokken lidstaat. De desbetreffende lidstaat neemt rechtstreeks contact op met het EOM teneinde aan artikel 24, leden 1 en 4, van Verordening (EU) 2017/1939 te voldoen.”;

aan artikel 21 wordt het volgende lid toegevoegd:

“8.   Indien Europol bij het verwerken van informatie met betrekking tot een specifiek strafrechtelijk onderzoek of een specifiek project informatie ontdekt die relevant is ten aanzien van mogelijke onwettige activiteiten die de financiële belangen van de Unie schaden, verstrekt Europol die informatie onverwijld aan OLAF onverminderd eventuele beperkingen die op grond van artikel 19, lid 2, werden gesteld door de lidstaat die de informatie heeft verstrekt.

Wanneer Europol uit hoofde van de eerste alinea informatie verstrekt aan OLAF, stelt het de betrokken lidstaten onverwijld in kennis.”;

in artikel 23 wordt lid 7 vervangen door:

“7.   Het is niet toegestaan dat de lidstaten, organen van de Unie, derde landen, internationale organisaties of particuliere partijen persoonsgegevens die in het bezit zijn van Europol verder overdragen, tenzij Europol vooraf zijn uitdrukkelijke toestemming heeft gegeven.”;

de titel van afdeling 2 wordt vervangen door:

“Doorgifte, overdracht en uitwisseling van persoonsgegevens”;

artikel 24 wordt vervangen door:

“Artikel 24

Doorgifte van persoonsgegevens aan organen van de Unie

• 1. 

  Europol geeft persoonsgegevens uitsluitend door aan een orgaan van de Unie overeenkomstig artikel 71, lid 2, van Verordening (EU) 2018/1725 en onder voorbehoud van eventuele verdere beperkingen op grond van deze verordening, en onverminderd artikel 67 van deze verordening, indien die gegevens evenredig zijn aan en noodzakelijk zijn voor de rechtmatige uitoefening van de taken van het ontvangende orgaan van de Unie.

• 2. 

  Na een verzoek tot doorgifte van persoonsgegevens door een ander orgaan van de Unie, verifieert Europol de bevoegdheid van het andere orgaan van de Unie. Indien Europol niet kan bevestigen dat de doorgifte van de persoonsgegevens noodzakelijk is overeenkomstig lid 1, vraagt Europol het verzoekende orgaan van de Unie om nadere toelichting.

Het verzoekende orgaan van de Unie zorgt ervoor dat de noodzaak van de doorgifte van de persoonsgegevens geverifieerd kan worden.

• 3. 

  Het ontvangende orgaan van de Unie verwerkt de in de leden 1 en 2 bedoelde persoonsgegevens uitsluitend voor de doeleinden waarvoor zij waren doorgegeven.”;

artikel 25 wordt als volgt gewijzigd:

artikel 26 wordt als volgt gewijzigd:

de volgende artikelen worden ingevoegd:

“Artikel 26 bis

Uitwisseling van persoonsgegevens met particuliere partijen in onlinecrisissituaties

• 1. 

  In onlinecrisissituaties kan Europol rechtstreeks van particuliere partijen persoonsgegevens ontvangen en die persoonsgegevens overeenkomstig artikel 18 verwerken.

• 2. 

  Indien Europol persoonsgegevens ontvangt van een in een derde land gevestigde particuliere partij, stuurt Europol die gegevens en de resultaten van zijn analyse en verificatie van die gegevens alleen door naar een lidstaat, of naar een betrokken derde land als bedoeld in artikel 25, lid 1, punt a), b) of c), of in artikel 25, lid 4 bis.

Europol kan de resultaten van zijn analyse en verificatie van de in lid 1 van dit artikel bedoelde gegevens op grond van artikel 25, lid 5 of lid 6, overdragen aan het betrokken derde land.

• 3. 

  Europol kan in een individueel geval persoonsgegevens doorgeven of overdragen aan particuliere partijen, onder voorbehoud van eventuele op grond van artikel 19, lid 2 of lid 3, gestelde beperkingen en onverminderd artikel 67, indien de doorgifte of overdracht van zulke gegevens strikt noodzakelijk is om onlinecrisissituaties aan te pakken, en de grondrechten en fundamentele vrijheden van de betrokkenen niet prevaleren boven het openbaar belang dat vereist dat die persoonsgegevens worden doorgegeven of overgedragen.

• 4. 

  Indien de betrokken particuliere partij niet is gevestigd in de Unie of in een derde land als bedoeld in artikel 25, lid 1, punt a), b) of c), of in artikel 25, lid 4 bis, is voor de overdracht de toestemming van de uitvoerend directeur vereist.

• 5. 

  Europol verleent bijstand aan, wisselt informatie uit en werkt samen met de bevoegde autoriteiten van de lidstaten voor de doorgifte of overdracht van persoonsgegevens aan particuliere partijen krachtens lid 3 of lid 4, met name om dubbel werk te voorkomen, de coördinatie te verbeteren en hinder voor onderzoeken in verschillende lidstaten te vermijden.

• 6. 

  Europol kan de lidstaten via hun nationale eenheden verzoeken om overeenkomstig hun nationale recht persoonsgegevens te verkrijgen van particuliere partijen die op hun grondgebied gevestigd zijn of er een wettelijke vertegenwoordiger hebben, teneinde die persoonsgegevens te delen met Europol. Dergelijke verzoeken worden gemotiveerd en zijn zo nauwkeurig mogelijk. Dergelijke persoonsgegevens zijn zo min mogelijk gevoelig en blijven strikt beperkt tot wat noodzakelijk en evenredig is om Europol in staat te stellen de lidstaten te ondersteunen bij het aanpakken van onlinecrisissituaties.

Niettegenstaande de jurisdictie van de lidstaten met betrekking tot de verspreiding van de inhoud ten aanzien waarvan Europol om persoonsgegevens verzoekt, zorgen de lidstaten ervoor dat hun bevoegde autoriteiten de in de eerste alinea bedoelde verzoeken kunnen verwerken, overeenkomstig hun nationale recht, om Europol de informatie te verstrekken die het nodig heeft om zijn doelstellingen te verwezenlijken.

• 7. 

  Europol zorgt ervoor dat alle overdrachten van persoonsgegevens en de redenen daarvoor op gedetailleerde wijze geregistreerd worden overeenkomstig deze verordening. Op verzoek van de EDPS stelt Europol die geregistreerde gegevens ter beschikking van de EDPS op grond van artikel 39 bis.

• 8. 

  Indien de ontvangen of over te dragen persoonsgegevens gevolgen hebben voor de belangen van een lidstaat, stelt Europol de nationale eenheid van de betrokken lidstaat daarvan onmiddellijk in kennis.

Artikel 26 ter

Uitwisseling van persoonsgegevens met particuliere partijen ter bestrijding van de onlineverspreiding van online materiaal van seksueel misbruik van kinderen

• 1. 

  Europol kan rechtstreeks van particuliere partijen persoonsgegevens ontvangen en die persoonsgegevens overeenkomstig artikel 18 verwerken ter bestrijding van de onlineverspreiding van online materiaal van seksueel misbruik van kinderen, als bedoeld in artikel 4, lid 1, punt y).

• 2. 

  Indien Europol persoonsgegevens ontvangt van een in een derde land gevestigde particuliere partij, stuurt Europol die gegevens en de resultaten van zijn analyse en verificatie van die gegevens alleen door naar een lidstaat, of naar een betrokken derde land als bedoeld in artikel 25, lid 1, punt a), b) of c), of in artikel 25, lid 4 bis.

Europol kan de resultaten van zijn analyse en verificatie van de in de eerste alinea van dit lid bedoelde gegevens op grond van artikel 25, lid 5 of lid 6, overdragen aan het betrokken derde land.

• 3. 

  Europol kan in een individueel geval persoonsgegevens doorgeven of overdragen aan particuliere partijen, onder voorbehoud van eventuele op grond van artikel 19, lid 2 of lid 3, gestelde beperkingen en onverminderd artikel 67, indien de doorgifte of overdracht van zulke gegevens strikt noodzakelijk is voor de bestrijding van de onlineverspreiding van online materiaal van seksueel misbruik van kinderen, als bedoeld in artikel 4, lid 1, punt y), en de grondrechten en fundamentele vrijheden van de betrokkenen niet prevaleren boven het openbaar belang dat vereist dat die persoonsgegevens worden doorgegeven of overgedragen.

• 4. 

  Indien de betrokken particuliere partij niet is gevestigd in de Unie of in een derde land als bedoeld in artikel 25, lid 1, punt a), b) of c), of in artikel 25, lid 4 bis, is voor de overdracht de toestemming van de uitvoerend directeur vereist.

• 5. 

  Europol verleent bijstand aan, wisselt informatie uit en werkt samen met de bevoegde autoriteiten van de lidstaten voor de doorgifte of overdracht van persoonsgegevens aan particuliere partijen krachtens lid 3 of lid 4, met name om dubbel werk te voorkomen, de coördinatie te verbeteren en hinder voor onderzoeken in verschillende lidstaten te vermijden.

• 6. 

  Europol kan de lidstaten via hun nationale eenheden verzoeken om overeenkomstig hun nationale recht persoonsgegevens te verkrijgen van particuliere partijen die op hun grondgebied gevestigd zijn of er een wettelijke vertegenwoordiger hebben, teneinde die persoonsgegevens te delen met Europol. Dergelijke verzoeken worden gemotiveerd en zijn zo nauwkeurig mogelijk. Dergelijke persoonsgegevens zijn zo min mogelijk gevoelig en blijven strikt beperkt tot wat evenredig en noodzakelijk is om Europol in staat te stellen de onlineverspreiding van online materiaal van seksueel misbruik van kinderen als bedoeld in artikel 4, lid 1, punt y), te bestrijden.

Niettegenstaande de jurisdictie van de lidstaten met betrekking tot de verspreiding van de inhoud ten aanzien waarvan Europol om persoonsgegevens verzoekt, zorgen de lidstaten ervoor dat hun bevoegde autoriteiten de in de eerste alinea bedoelde verzoeken kunnen verwerken, overeenkomstig hun nationale recht, om Europol de informatie te verstrekken die het nodig heeft om zijn doelstellingen te verwezenlijken.

• 7. 

  Europol zorgt ervoor dat alle overdrachten van persoonsgegevens en de redenen daarvoor op gedetailleerde wijze geregistreerd worden overeenkomstig deze verordening. Op verzoek van de EDPS stelt Europol die geregistreerde gegevens ter beschikking van de EDPS op grond van artikel 39 bis.

• 8. 

  Indien de ontvangen of over te dragen persoonsgegevens gevolgen hebben voor de belangen van een lidstaat, stelt Europol de nationale eenheid van de betrokken lidstaat daarvan onmiddellijk in kennis.”;

in artikel 27 worden de leden 1 en 2 vervangen door:

“1.   Voor zover dat nodig is voor de verrichting van zijn taken kan Europol van particuliere personen afkomstige informatie ontvangen en verwerken.

Van particuliere personen afkomstige persoonsgegevens worden uitsluitend door Europol verwerkt op voorwaarde dat zij zijn ontvangen via:

• 2. 

  Indien Europol informatie, met inbegrip van persoonsgegevens, ontvangt van een particuliere persoon die verblijft in een ander derde land dan een derde land bedoeld in artikel 25, lid 1, punt a) of b), of in artikel 25, lid 4 bis, stuurt Europol die informatie uitsluitend naar een lidstaat of naar een dergelijk derde land door.”;

de titel van hoofdstuk VI wordt vervangen door:

“GEGEVENSBESCHERMING”;

het volgende artikel wordt ingevoegd:

“Artikel 27 bis

Verwerking van persoonsgegevens door Europol

• 1. 

  Onverminderd deze verordening zijn artikel 3 en hoofdstuk IX van Verordening (EU) 2018/1725 van toepassing op de verwerking van persoonsgegevens door Europol.

Verordening (EU) 2018/1725, met uitzondering van hoofdstuk IX daarvan, is van toepassing op de verwerking van administratieve persoonsgegevens door Europol.

• 2. 

  Verwijzingen naar “persoonsgegevens” in deze verordening worden opgevat als verwijzingen naar “operationele persoonsgegevens” als omschreven in artikel 3, punt 2), van Verordening (EU) 2018/1725, tenzij anders is bepaald in deze verordening.

• 3. 

  De raad van bestuur stelt regels vast teneinde de termijnen te bepalen voor het opslaan van administratieve persoonsgegevens.”;

artikel 28 wordt geschrapt;

artikel 30 wordt als volgt gewijzigd:

artikel 32 wordt vervangen door:

“Artikel 32

Beveiliging van de verwerking

Mechanismen om ervoor te zorgen dat beveiligingsmaatregelen gelden rond alle informatiesystemen worden door Europol ingesteld overeenkomstig artikel 91 van Verordening (EU) 2018/1725 en door de lidstaten overeenkomstig artikel 29 van Richtlijn (EU) 2016/680.”;

artikel 33 wordt geschrapt;

het volgende artikel wordt ingevoegd:

“Artikel 33 bis

Verwerking van persoonsgegevens voor onderzoek en innovatie

• 1. 

  Europol kan persoonsgegevens verwerken in het kader van zijn onderzoeks- en innovatieprojecten, op voorwaarde dat de verwerking van die persoonsgegevens:

De verwerking van persoonsgegevens door Europol in het kader van onderzoeks- en innovatieprojecten vindt plaats met inachtneming van de beginselen van transparantie, verklaarbaarheid, redelijkheid en verantwoording.

• 2. 

  Onverminderd lid 1 gelden voor de verwerking van persoonsgegevens in het kader van onderzoeks- en innovatieprojecten van Europol de volgende waarborgen:

• 3. 

  De raad van bestuur stelt in een bindend document de algemene reikwijdte vast voor onderzoeks- en innovatieprojecten. Dergelijk document wordt wanneer passend bijgewerkt en ter beschikking gesteld van de EDPS met het oog op het toezicht door de EDPS.

• 4. 

  Europol houdt een document met een gedetailleerde beschrijving bij van het proces en van de redenen voor het trainen, testen en valideren van algoritmen, teneinde de transparantie van het proces en de algoritmen, met inbegrip van de inachtneming van de waarborgen van dit artikel, te waarborgen en de juistheid van de resultaten op basis van het gebruik van dergelijke algoritmen te kunnen verifiëren. Op verzoek stelt Europol dat document ter beschikking van belanghebbende partijen, met inbegrip van de lidstaten en de GPC.

• 5. 

  Indien de voor een onderzoeks- en innovatieproject te verwerken persoonsgegevens zijn verstrekt door een lidstaat, een orgaan van de Unie, een derde land of een internationale organisatie, vraagt Europol die gegevensverstrekker om toestemming overeenkomstig artikel 19, lid 2, tenzij de gegevensverstrekker voor die verwerking zijn voorafgaande toestemming heeft verleend met het oog op onderzoeks- en innovatieprojecten, in algemene zin dan wel met inachtneming van specifieke voorwaarden.

Europol verwerkt geen gegevens voor onderzoeks- en innovatieprojecten zonder de toestemming van de gegevensverstrekker. Die toestemming kan te allen tijde worden ingetrokken.”;

artikel 34 wordt als volgt gewijzigd:

artikel 35 wordt als volgt gewijzigd:

artikel 36 wordt als volgt gewijzigd:

artikel 37 wordt als volgt gewijzigd:

artikel 38 wordt als volgt gewijzigd:

artikel 39 wordt vervangen door:

“Artikel 39

Voorafgaande raadpleging

• 1. 

  Onverminderd artikel 90 van Verordening (EU) 2018/1725 is voorafgaande raadpleging van de EDPS niet van toepassing op specifieke individuele operationele activiteiten die geen nieuwe soort verwerking omvatten die een hoog risico voor de rechten en vrijheden van de betrokkenen zou inhouden.

• 2. 

  Europol kan verwerkingen beginnen die op grond van artikel 90, lid 1, van Verordening (EU) 2018/1725 worden onderworpen aan een voorafgaande raadpleging van de EDPS, tenzij de EDPS schriftelijk advies op grond van artikel 90, lid 4, van die verordening heeft verstrekt binnen de in die bepaling bepaalde termijnen, die aanvangen op de datum van ontvangst van het oorspronkelijke verzoek om raadpleging en niet mogen worden geschorst.

• 3. 

  Indien de in lid 2 van dit artikel bedoelde verwerkingen van aanzienlijk belang zijn voor het verrichten van de taken van Europol en bijzonder dringend en noodzakelijk zijn om een onmiddellijke dreiging van een strafbaar feit dat onder de doelstellingen van Europol valt, te voorkomen en te bestrijden of om de vitale belangen van de betrokkene of van een andere persoon te beschermen, kan Europol bij uitzondering na het begin van de in artikel 90, lid 1, van Verordening (EU) 2018/1725 bedoelde voorafgaande raadpleging van de EDPS maar vóór het verstrijken van de in artikel 90, lid 4, van die verordening bedoelde termijn met de verwerking beginnen. In dat geval informeert Europol de EDPS voordat met de verwerkingen wordt begonnen.

Met het schriftelijk advies van de EDPS op grond van artikel 90, lid 4, van Verordening (EU) 2018/1725 wordt achteraf rekening gehouden waarna de wijze waarop de verwerking wordt uitgevoerd dienovereenkomstig wordt aangepast.

De functionaris voor gegevensbescherming wordt betrokken bij de beoordeling van de urgentie van dergelijke verwerkingen vóór het verstrijken van de in artikel 90, lid 4, van Verordening (EU) 2018/1725 bedoelde termijn, en hij houdt toezicht op de verwerking in kwestie.

• 4. 

  De EDPS houdt een register bij van alle verwerkingen waarvan hem op grond van lid 1 kennis is gegeven. Het register wordt niet openbaar gemaakt.”;

het volgende artikel wordt ingevoegd:

“Artikel 39 bis

Registers van categorieën verwerkingsactiviteiten

• 1. 

  Europol houdt een register bij van alle categorieën verwerkingsactiviteiten die onder zijn verantwoordelijkheid plaatsvinden. Dat register bevat de volgende informatie:

• 2. 

  Het in lid 1 bedoelde register wordt opgesteld in schriftelijke vorm, daaronder begrepen elektronische vorm.

• 3. 

  Europol stelt het in lid 1 bedoelde register desgevraagd ter beschikking van de EDPS.”;

artikel 40 wordt vervangen door:

“Artikel 40

Bijhouden van logbestanden

• 1. 

  Overeenkomstig artikel 88 van Verordening (EU) 2018/1725 houdt Europol logbestanden bij van zijn verwerkingen. Het is niet mogelijk de logbestanden te wijzigen.

• 2. 

  Onverminderd artikel 88 van Verordening (EU) 2018/1725 worden de in lid 1 bedoelde logbestanden, als een nationale eenheid die nodig heeft in het kader van een specifiek onderzoek in verband met de naleving van de gegevensbeschermingsvoorschriften, meegedeeld aan die nationale eenheid.”;

artikel 41 wordt vervangen door:

“Artikel 41

Aanwijzing van de functionaris voor gegevensbescherming

• 1. 

  De raad van bestuur wijst een personeelslid van Europol aan als functionaris voor gegevensbescherming, die uitsluitend voor die functie wordt aangewezen.

• 2. 

  De functionaris voor gegevensbescherming wordt gekozen op basis van professionele kwaliteiten en, in het bijzonder, de deskundigheid op het gebied van het recht en de praktijk inzake gegevensbescherming en het vermogen de in artikel 41 ter van deze verordening en in Verordening (EU) 2018/1725 bedoelde taken uit te voeren.

• 3. 

  De keuze van de functionaris voor gegevensbescherming mag niet leiden tot een belangenconflict tussen zijn taak als functionaris voor gegevensbescherming en andere officiële taken, met name in verband met de toepassing van deze verordening.

• 4. 

  De functionaris voor gegevensbescherming wordt door de raad van bestuur niet ontslagen of gestraft vanwege de verrichting van zijn taken.

• 5. 

  Europol maakt de contactgegevens van de functionaris voor gegevensbescherming bekend en deelt die mee aan de EDPS.”;

de volgende artikelen worden ingevoegd:

“Artikel 41 bis

Positie van de functionaris voor gegevensbescherming

• 1. 

  Europol zorgt ervoor dat de functionaris voor gegevensbescherming goed en tijdig betrokken wordt bij alle aangelegenheden die verband houden met de bescherming van persoonsgegevens.

• 2. 

  Europol ondersteunt de functionaris voor gegevensbescherming bij de verrichting van de in artikel 41 ter bedoelde taken door de benodigde middelen en het benodigde personeel voor het uitvoeren van die taken ter beschikking te stellen en door toegang te verschaffen tot persoonsgegevens en verwerkingen, alsook voor het op peil houden van zijn deskundigheid.

Om de functionaris voor gegevensbescherming bij de uitvoering van zijn taken te ondersteunen, kan een personeelslid van Europol worden aangewezen als assistent van de functionaris voor gegevensbescherming.

• 3. 

  Europol zorgt ervoor dat de functionaris voor gegevensbescherming onafhankelijk handelt en geen instructies ontvangt met betrekking tot de uitvoering van zijn taken.

De functionaris voor gegevensbescherming brengt rechtstreeks verslag uit aan de raad van bestuur.

• 4. 

  Betrokkenen kunnen met de functionaris voor gegevensbescherming contact opnemen over alle aangelegenheden die verband houden met de verwerking van hun persoonsgegevens en met de uitoefening van hun rechten uit hoofde van deze verordening en van Verordening (EU) 2018/1725.

Niemand mag nadeel ondervinden van het feit dat hij een zaak onder de aandacht van de bevoegde functionaris voor gegevensbescherming heeft gebracht wegens een vermeende inbreuk op deze verordening of op Verordening (EU) 2018/1725.

• 5. 

  De raad van bestuur stelt uitvoeringsregels vast met betrekking tot de functionaris voor gegevensbescherming. Die uitvoeringsregels hebben met name betrekking op de selectieprocedure voor de positie van de functionaris voor gegevensbescherming, zijn ontslag, taken, verplichtingen en bevoegdheden, en waarborgen voor zijn onafhankelijkheid.

• 6. 

  De functionaris voor gegevensbescherming en zijn personeel zijn gehouden aan de geheimhoudingsplicht overeenkomstig artikel 67, lid 1.

• 7. 

  De functionaris voor gegevensbescherming wordt benoemd voor een termijn van vier jaar en kan worden herbenoemd.

• 8. 

  De functionaris voor gegevensbescherming wordt door de raad van bestuur uit zijn functie ontheven indien hij niet langer voldoet aan de voorwaarden voor het uitoefenen van zijn taken en alleen met instemming van de EDPS.

• 9. 

  De functionaris voor gegevensbescherming en de assistent van de functionaris voor gegevensbescherming worden door de raad van bestuur aangemeld bij de EDPS.

• 10. 

  De bepalingen die van toepassing zijn op de functionaris voor gegevensbescherming zijn van overeenkomstige toepassing op de assistent van de functionaris voor gegevensbescherming.

Artikel 41 ter

Taken van de functionaris voor gegevensbescherming

• 1. 

  De functionaris voor gegevensbescherming heeft met name de volgende taken met betrekking tot de verwerking van persoonsgegevens:

• 2. 

  De functionaris voor gegevensbescherming kan met het oog op de praktische verbetering van de gegevensbescherming aanbevelingen doen aan de raad van bestuur en de raad advies verstrekken over kwesties die verband houden met de toepassing van bepalingen inzake gegevensbescherming.

De functionaris voor gegevensbescherming kan, op eigen initiatief of op verzoek van de raad van bestuur of van iedere andere persoon, zaken en gebeurtenissen onderzoeken die rechtstreeks verband houden met zijn taken en waarvan hij kennis heeft gekregen, en daarover verslag uitbrengen aan de persoon die om het onderzoek heeft verzocht of aan de raad van bestuur.

• 3. 

  De functionaris voor gegevensbescherming vervult de functies die bij Verordening (EU) 2018/1725 met betrekking tot administratieve persoonsgegevens zijn vastgelegd.

• 4. 

  Bij het verrichten van zijn taken heeft de functionaris voor gegevensbescherming van Europol toegang tot alle door Europol verwerkte gegevens en tot alle gebouwen van Europol; hetzelfde geldt voor de personeelsleden van Europol die de functionaris voor gegevensbescherming bij het verrichten van zijn taken bijstaan.

• 5. 

  Indien de functionaris voor gegevensbescherming van oordeel is dat de bepalingen van deze verordening of van Verordening (EU) 2018/1725 die betrekking hebben op de verwerking van administratieve persoonsgegevens, of de bepalingen van deze verordening of van artikel 3 en hoofdstuk IX van Verordening (EU) 2018/1725 die betrekking hebben op de verwerking van persoonsgegevens, niet worden nageleefd, stelt hij de uitvoerend directeur daarvan in kennis, met de eis die situatie van niet-naleving binnen een bepaalde termijn op te lossen.

Indien de uitvoerend directeur die situatie van niet-naleving niet binnen de gestelde termijn oplost, licht de functionaris voor gegevensbescherming de raad van bestuur in. De raad van bestuur antwoordt binnen een met de functionaris voor gegevensbescherming overeengekomen termijn. Indien de raad van bestuur die situatie van niet-naleving niet binnen de gestelde termijn oplost, legt de functionaris voor gegevensbescherming de zaak voor aan de EDPS.

Artikel 41 quater

Functionaris voor de grondrechten

• 1. 

  De raad van bestuur wijst, op voorstel van de uitvoerend directeur, een functionaris voor de grondrechten aan. De functionaris voor de grondrechten kan een lid zijn van het bestaande personeel van Europol dat een speciale opleiding heeft gevolgd op het gebied van het recht en de praktijk inzake grondrechten.

• 2. 

  De functionaris voor de grondrechten verricht de volgende taken:

• 3. 

  Europol zorgt ervoor dat de functionaris voor de grondrechten geen instructies ontvangt met betrekking tot de uitvoering van zijn taken.

• 4. 

  De functionaris voor de grondrechten brengt rechtstreeks verslag uit aan de uitvoerend directeur en stelt jaarverslagen op over zijn activiteiten, onder meer over de mate waarin de activiteiten van Europol de grondrechten eerbiedigen. Die verslagen worden ter beschikking gesteld van de raad van bestuur.

Artikel 41 quinquies

Grondrechtenopleiding

Alle personeelsleden van Europol die betrokken zijn bij operationele taken waarbij persoonsgegevens verwerkt worden, krijgen een verplichte opleiding over de bescherming van de grondrechten en fundamentele vrijheden, onder meer met betrekking tot de verwerking van persoonsgegevens. Die opleiding wordt ontwikkeld in samenwerking met het Bureau van de Europese Unie voor de grondrechten (FRA), opgericht bij Verordening (EG) nr. 168/20007 van de Raad (*12), en het Agentschap van de Europese Unie voor opleiding op het gebied van rechtshandhaving (Cepol), opgericht bij Verordening (EU) 2015/2219 van het Europees Parlement en de Raad (*13).

(*12)  Verordening (EG) nr. 168/2007 van de Raad van 15 februari 2007 tot oprichting van een Bureau van de Europese Unie voor de grondrechten (PB L 53 van 22.2.2007, blz. 1)."

(*13)  Verordening (EU) 2015/2219 van het Europees Parlement en de Raad van 25 november 2015 betreffende het Agentschap van de Europese Unie voor opleiding op het gebied van rechtshandhaving (Cepol) en tot vervanging en intrekking van Besluit 2005/681/JBZ van de Raad (PB L 319 van 4.12.2015, blz. 1).”;"

in artikel 42 worden de leden 1 en 2 vervangen door:

“1.   De in artikel 41 van Richtlijn (EU) 2016/680 bedoelde nationale toezichthoudende autoriteiten hebben, met het oog op de uitoefening van hun toezichtstaak, bij de nationale eenheid of ten kantore van de verbindingsofficieren toegang tot de gegevens die door hun lidstaat zijn ingediend bij Europol overeenkomstig de relevante nationale procedures en tot de in artikel 40 van deze Verordening bedoelde logbestanden.

• 2. 

  De nationale toezichthoudende autoriteiten hebben toegang tot de kantoren en documenten van hun verbindingsofficieren bij Europol.”;

artikel 43 wordt als volgt gewijzigd:

artikel 44 wordt als volgt gewijzigd:

de artikelen 45 en 46 worden geschrapt.

artikel 47 wordt als volgt gewijzigd:

artikel 50 wordt vervangen door:

“Artikel 50

Recht op schadevergoeding

• 1. 

  Elke persoon die materiële of immateriële schade heeft geleden ten gevolge van een inbreuk op deze verordening, heeft het recht om een schadevergoeding te ontvangen overeenkomstig artikel 65 van Verordening (EU) 2018/1725 en artikel 56 van Richtlijn (EU) 2016/680.

• 2. 

  Geschillen tussen Europol en de lidstaten over de uiteindelijke aansprakelijkheid voor de schadevergoeding die wordt toegekend aan een persoon die materiële of immateriële schade heeft geleden overeenkomstig lid 1 van dit artikel, worden voorgelegd aan de raad van bestuur. De raad van bestuur beslist bij tweederdemeerderheid van de leden over die aansprakelijkheid, onverminderd het recht om die beslissing overeenkomstig artikel 263 VWEU aan te vechten.”;

artikel 51 wordt als volgt gewijzigd:

het volgende artikel wordt ingevoegd:

“Artikel 52 bis

Adviesforum

• 1. 

  De GPC richt een adviesforum op dat haar desgevraagd bijstaat met onafhankelijk advies op het gebied van grondrechten.

De GPC en de uitvoerend directeur kunnen het adviesforum raadplegen over elke aangelegenheid die verband houdt met grondrechten.

• 2. 

  De GPC bepaalt de samenstelling van het adviesforum, zijn werkmethoden en de wijze waarop de informatie aan het adviesforum doorgegeven moet worden.”;

in artikel 58 wordt lid 9 vervangen door:

“9.   Gedelegeerde Verordening (EU) 2019/715 is van toepassing op alle bouwprojecten die waarschijnlijk aanzienlijke gevolgen zullen hebben voor de begroting van Europol.”;

artikel 60 wordt als volgt gewijzigd:

artikel 61 wordt vervangen door:

“Artikel 61

Financiële regeling

• 1. 

  De financiële regeling die op Europol van toepassing is, wordt na raadpleging van de Commissie door de raad van bestuur vastgesteld. Die financiële regeling wijkt niet af van Gedelegeerde Verordening (EU) 2019/715 tenzij dat in verband met de activiteiten van Europol een specifieke vereiste is en de Commissie vooraf toestemming heeft verleend.

• 2. 

  Europol kan subsidies toekennen in verband met de verwezenlijking van zijn doelstellingen of de vervulling van zijn taken.

• 3. 

  Europol kan, zonder een oproep tot indiening van voorstellen, subsidies toekennen aan de lidstaten voor het verrichten van activiteiten die onder de doelstellingen en taken van Europol vallen.

• 4. 

  Indien dat voor operationele doeleinden naar behoren gemotiveerd wordt, kan de financiële steun, na toestemming van de raad van bestuur, de volledige investeringskosten van uitrusting en infrastructuur dekken.

In de in lid 1 bedoelde financiële regeling kunnen de criteria worden vastgesteld uit hoofde waarvan de financiële steun de in de eerste alinea van dit lid bedoelde investeringskosten volledig kan dekken.

• 5. 

  Met betrekking tot de financiële steun voor de activiteiten van gemeenschappelijke onderzoeksteams stellen Europol en Eurojust gezamenlijk de regels en voorwaarden vast voor de verwerking van aanvragen voor dergelijke financiële steun.”;

artikel 68 wordt als volgt gewijzigd:

de volgende artikelen worden ingevoegd:

“Artikel 74 bis

Overgangsregelingen betreffende de verwerking van persoonsgegevens ter ondersteuning van een lopend strafrechtelijk onderzoek

• 1. 

  Indien een lidstaat, het EOM of Eurojust vóór 28 juni 2022 persoonsgegevens aan Europol heeft verstrekt die geen betrekking hebben op de in bijlage II opgenomen categorieën betrokkenen, mag Europol die persoonsgegevens overeenkomstig artikel 18 bis verwerken indien:

De in punt c) van dit lid bedoelde beoordeling wordt geregistreerd en ter informatie aan de EDPS toegezonden wanneer Europol het daarmee verband houdende specifieke strafrechtelijk onderzoek niet langer ondersteunt.

• 2. 

  Indien een lidstaat, het EOM of Eurojust niet voldoet aan een of meer van de in lid 1, punten a) en b), van dit artikel vastgestelde vereisten met betrekking tot persoonsgegevens die geen betrekking hebben op de in bijlage II opgenomen categorieën betrokkenen die zij vóór 28 juni 2022 aan Europol hebben verstrekt, of indien een lidstaat, het EOM of Eurojust niet voldoet aan lid 1, punt c), van dit artikel verwerkt Europol die persoonsgegevens overeenkomstig artikel 18 bis niet, maar wist Europol, onverminderd artikel 18, lid 5, en artikel 74 ter, die persoonsgegevens uiterlijk op 29 oktober 2022.

• 3. 

  Indien een in artikel 18 bis, lid 6, bedoeld derde land vóór 28 juni 2022 persoonsgegevens aan Europol heeft verstrekt die geen betrekking hebben op de in bijlage II opgenomen categorieën betrokkenen, mag Europol die persoonsgegevens overeenkomstig artikel 18 bis, lid 6, verwerken mits:

• 4. 

  Indien een derde land niet voldoet aan de in lid 3, punt c), van dit artikel vastgestelde vereiste met betrekking tot persoonsgegevens die geen betrekking hebben op de in bijlage II opgenomen categorieën betrokkenen die het derde land vóór 28 juni 2022 aan Europol heeft verstrekt, of indien niet is voldaan aan een van de andere vereisten van lid 3 van dit artikel, verwerkt Europol die persoonsgegevens overeenkomstig artikel 18 bis, lid 6, niet, maar wist, onverminderd artikel 18, lid 5, en artikel 74 ter, die persoonsgegevens uiterlijk op 29 oktober 2022.

• 5. 

  Indien een lidstaat, het EOM of Eurojust vóór 28 juni 2022 aan Europol persoonsgegevens heeft verstrekt die geen betrekking hebben op de in bijlage II opgenomen categorieën betrokkenen, kan de lidstaat, het EOM of Eurojust Europol uiterlijk op 29 september 2022 verzoeken die gegevens en het resultaat van de door Europol uitgevoerde verwerking van die gegevens op te slaan wanneer dat noodzakelijk is om de waarheidsgetrouwheid, betrouwbaarheid en traceerbaarheid van het criminele-inlichtingenproces te waarborgen. Europol houdt persoonsgegevens die geen betrekking hebben op de in bijlage II opgenomen categorieën betrokkenen, functioneel gescheiden van andere gegevens en verwerkt die gegevens uitsluitend om de waarheidsgetrouwheid, betrouwbaarheid en traceerbaarheid van het criminele-inlichtingenproces te waarborgen, en zulks uitsluitend zolang de gerechtelijke procedure in verband met het strafrechtelijk onderzoek waarvoor die gegevens werden verstrekt, loopt.

• 6. 

  Indien Europol vóór 28 juni 2022 persoonsgegevens heeft ontvangen die geen betrekking hebben op de in bijlage II opgenomen categorieën betrokkenen, slaat Europol die gegevens niet op om de waarheidsgetrouwheid, betrouwbaarheid en traceerbaarheid van het criminele-inlichtingenproces te waarborgen, tenzij daarom overeenkomstig lid 5 wordt verzocht. Bij gebrek aan een dergelijk verzoek wist Europol die persoonsgegevens uiterlijk op 29 oktober 2022.

Artikel 74 ter

Overgangsregelingen betreffende de verwerking van persoonsgegevens die in het bezit zijn van Europol

Onverminderd artikel 74 bis kan Europol voor persoonsgegevens die het vóór 28 juni 2022 heeft ontvangen, verifiëren of die persoonsgegevens betrekking hebben op een van de in bijlage II opgenomen categorieën betrokkenen. Daartoe kan Europol een vooranalyse van die persoonsgegevens uitvoeren voor een periode van ten hoogste 18 maanden vanaf de datum van de eerste ontvangst van de gegevens, of gedurende een langere periode indien gerechtvaardigd en met voorafgaande toestemming van de EDPS.

De maximale verwerkingsduur voor de in de eerste alinea bedoelde gegevens bedraagt drie jaar vanaf de dag van ontvangst van de gegevens door Europol.”.