Artikelen bij COM(2022)364 - Eerste verslag over de toepassing en werking van Richtlijn (EU) 2016/680, de richtlijn gegevensbescherming bij rechtshandhaving (“richtlijn rechtshandhaving”) - Hoofdinhoud
Dit is een beperkte versie
U kijkt naar een beperkte versie van dit dossier in de EU Monitor.
| dossier | COM(2022)364 - Eerste verslag over de toepassing en werking van Richtlijn (EU) 2016/680, de richtlijn gegevensbescherming bij ... |
|---|---|
| document | COM(2022)364   |
| datum | 25 juli 2022 |
Brussel, 25.7.2022
COM(2022) 364 final
MEDEDELING VAN DE COMMISSIE AAN HET EUROPEES PARLEMENT EN DE RAAD
Eerste verslag over de toepassing en werking van Richtlijn (EU) 2016/680, de richtlijn gegevensbescherming bij rechtshandhaving (“richtlijn rechtshandhaving”)
MEDEDELING VAN DE COMMISSIE AAN HET EUROPEES PARLEMENT EN DE RAAD
Eerste verslag over de toepassing en werking van Richtlijn (EU) 2016/680, de richtlijn gegevensbescherming bij rechtshandhaving (“richtlijn rechtshandhaving”)
Inhoudsopgave
1 De richtlijn rechtshandhaving als belangrijkste instrument voor het waarborgen van gegevensbescherming in het veiligheidsbeleid van de Europese Unie
1.1 Een essentieel onderdeel van een samenhangend kader voor gegevensbescherming in de Europese Unie
1.2 Een essentiële bijdrage om te zorgen voor een robuust veiligheidsbeleid in de Europese Unie
1.3 Belangrijke overwegingen inzake de opstelling van het verslag
2 De omzetting is bevredigend, maar er blijft een aantal onopgeloste kwesties
2.1 Een volledige omzetting in het algemeen, maar met enkele problemen in verband met specifieke bepalingen
2.2 Prioriteiten voor de beoordeling van naleving
2.2.1 Het toepassingsgebied van de richtlijn rechtshandhaving
2.2.2 Governance en bevoegdheden van de toezichthoudende autoriteiten voor gegevensbescherming
2.2.3 Beroep
2.2.4 Termijnen voor opslag en evaluatie
2.2.5 Rechtsgrondslag van de verwerking, met inbegrip van bijzondere categorieën van persoonsgegevens
2.2.6 Geautomatiseerde besluitvorming
2.2.7 De rechten van betrokkenen
2.2.8 Enkele belangrijke bepalingen die specifiek zijn voor de richtlijn rechtshandhaving
3 Eerste lessen uit de toepassing en de werking van de richtlijn rechtshandhaving
3.1 Klachten en positief effect op de rechten van de betrokkenen
3.2 Grotere bewustwording van gegevensbescherming bij de bevoegde autoriteiten
3.3 Verbeterde gegevensbeveiliging, maar verschillen in de meldingen van inbreuken in verband met persoonsgegevens
3.4 Toezicht door toezichthoudende autoriteiten voor gegevensbescherming
3.4.1 Middelen van de toezichthoudende autoriteiten voor gegevensbescherming
3.4.2 Gebruik van bevoegdheden
3.4.3 Rechterlijke toetsing van het optreden van de toezichthoudende autoriteiten voor gegevensbescherming
3.4.4 Richtsnoeren van het EDPB
3.4.5 Wederzijdse bijstand
3.5 Flexibel instrument voor internationale doorgifte van gegevens
3.5.1 Adequaatheidsbesluiten
3.5.2 Passende waarborgen
3.5.3 Gebruik van afwijkingen
3.5.4 Doeltreffende grensoverschrijdende politiële en justitiële samenwerking
4 Volgende stappen
1De richtlijn rechtshandhaving als belangrijkste instrument voor het waarborgen van gegevensbescherming in het veiligheidsbeleid van de Europese Unie
Deze mededeling bevat het eerste verslag van de Europese Commissie over de evaluatie en herziening van Richtlijn (EU) 2016/680, de richtlijn gegevensbescherming bij rechtshandhaving 1 (“richtlijn rechtshandhaving”), overeenkomstig artikel 62, lid 1, van de richtlijn rechtshandhaving.
In het verslag worden met name de toepassing en de werking onderzocht van de voorschriften van de richtlijn rechtshandhaving voor de doorgifte van persoonsgegevens aan derde landen en internationale organisaties, zoals vereist door de richtlijn rechtshandhaving, maar er is daarnaast gekozen voor een bredere benadering. Het plaatst de richtlijn rechtshandhaving in de kaders van het EU-recht inzake de bescherming van persoonsgegevens en het EU-recht dat de verwerking van persoonsgegevens regelt met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten en de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid (“strafrechtelijke rechtshandhaving”) 2 . Het verslag geeft een overzicht van de omzetting van de richtlijn in nationaal recht door de lidstaten, beschrijft de eerste lessen die kunnen worden getrokken uit de toepassing en de werking van de richtlijn, en zet de koers uit voor de toekomst.
1.1Een essentieel onderdeel van een samenhangend kader voor gegevensbescherming in de Europese Unie
De richtlijn rechtshandhaving is een van de drie pijlers van het EU-kader dat het grondrecht op de bescherming van persoonsgegevens waarborgt. De andere twee pijlers zijn de algemene verordening gegevensbescherming (“de AVG”) 3 en de verordening betreffende gegevensbescherming met betrekking tot EU-instellingen en -organen (“de EUDPR”) 4 . Het grondrecht op gegevensbescherming is vastgelegd in artikel 8 van het Handvest van de grondrechten van de Europese Unie (“het Handvest”) 5 en in artikel 16 van het Verdrag betreffende de werking van de Europese Unie (“VWEU”) 6 .
De richtlijn rechtshandhaving is op 6 mei 2016 in werking getreden en de lidstaten dienden deze uiterlijk op 6 mei 2018 om te zetten 7 .
De richtlijn rechtshandhaving is de eerste wetgevingshandeling van de EU die een alomvattende aanpak hanteert voor de bescherming van persoonsgegevens door bevoegde autoriteiten (d.w.z. rechterlijke autoriteiten, politie en andere strafrechtelijke rechtshandhavingsautoriteiten als bedoeld in artikel 3, punt 7, van de richtlijn rechtshandhaving) met het oog op strafrechtelijke rechtshandhaving. In vergelijking met Kaderbesluit 2008/977/JBZ van de Raad 8 , dat bij de nieuwe richtlijn werd ingetrokken en vervangen, betekent deze richtlijn een grote stap vooruit in het streven naar een consequente toepassing van de gegevensbeschermingsregels in de EU. Ten eerste biedt de richtlijn rechtshandhaving een compleet pakket regels voor zowel de grensoverschrijdende als de binnenlandse verwerking van persoonsgegevens voor doeleinden op het gebied van strafrechtelijke rechtshandhaving, terwijl het kaderbesluit van de Raad alleen betrekking had op grensoverschrijdende verwerking. Ten tweede biedt de richtlijn een alomvattend en horizontaal geheel van regels, terwijl bij de vorige aanpak voor elke sectorale handeling van de EU die voorzag in de verwerking van persoonsgegevens in het kader van de strafrechtelijke rechtshandhaving, de eigen regels inzake gegevensbescherming golden 9 .
De AVG, de EUDPR en de richtlijn rechtshandhaving zijn gebaseerd op soortgelijke concepten en beginselen 10 , wat leidt tot een consequente uitlegging en toepassing van de EU-gegevensbeschermingsregels. Zij delen gemeenschappelijke definities en bevatten soortgelijke verplichtingen voor verwerkingsverantwoordelijken en verwerkers. De richtlijn rechtshandhaving gaat echter ook specifiek in op risico’s in verband met de verwerking van persoonsgegevens in het kader van de strafrechtelijke rechtshandhaving. De overeenkomstige bepalingen omvatten verplichtingen om i) een onderscheid te maken tussen verschillende categorieën van betrokkenen, ii) een onderscheid te maken tussen persoonsgegevens die op feiten zijn gebaseerd en gegevens die op een persoonlijk oordeel zijn gebaseerd, iii) een logboek bij te houden over het gebruik van persoonsgegevens, en te voldoen aan specifieke beveiligingseisen 11 .
Gezien de specifieke aard van justitiële samenwerking in strafzaken en politiële samenwerking, werd het nodig geacht op deze gebieden specifieke regels vast te stellen voor de bescherming van persoonsgegevens en het vrije verkeer van persoonsgegevens 12 . De gevoeligheid van het gebied van justitiële samenwerking in strafzaken en politiële samenwerking, in combinatie met de complexiteit van de nationale rechtskaders die strafrechtelijke rechtshandhaving regelen, heeft ertoe geleid dat een richtlijn als het beste instrument werd beschouwd om op dit gebied een hoog niveau van gegevensbescherming tot stand te brengen. Een richtlijn geeft de lidstaten ook de nodige flexibiliteit bij de uitvoering van de beginselen, voorschriften en uitzonderingen daarop op nationaal niveau 13 .
De Commissie heeft op 24 juni 2020 haar eerste verslag over de uitvoering van de AVG gepubliceerd 14 . Daarin werd geconcludeerd dat de algemene opvatting was dat de AVG aan haar doelstellingen voldeed, met name door de burgers een aantal robuuste afdwingbare rechten te verlenen en door een nieuw governance- en handhavingssysteem in de EU op te zetten. In het verslag wordt vermeld welke acties noodzakelijk zijn om de toepassing van de AVG door alle belanghebbenden verder te vergemakkelijken en in de EU een gegevensbeschermingscultuur te bevorderen en verder te ontwikkelen, waarbij tegelijkertijd wordt gezorgd voor een krachtige handhaving van de AVG.
Dit verslag is een vervolg op de evaluatie van door de EU vastgestelde rechtshandelingen die de verwerking van gegevens door bevoegde autoriteiten regelen met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen. Doel van die evaluatie was om na te gaan of de betrokken handelingen aan de richtlijn rechtshandhaving moesten worden aangepast 15 . Op 24 juni 2020 heeft de Commissie aan deze verplichting voldaan door een mededeling vast te stellen inzake de volgende stappen om het acquis van de voormalige derde pijler aan de gegevensbeschermingsregels aan te passen 16 . Daarin werden tien rechtshandelingen genoemd die aan de richtlijn rechtshandhaving moeten worden aangepast en werd een tijdschema voor deze werkzaamheden vastgesteld.
Tot slot werd dit verslag gelijktijdig opgesteld met het verslag van de Commissie over de toepassing van de EUDPR. Een belangrijk onderdeel van dit laatste verslag is de herziening van de in hoofdstuk IX vastgestelde regels inzake de verwerking van operationele persoonsgegevens door instellingen, organen of instanties van de EU bij de uitoefening van activiteiten die binnen het toepassingsgebied van politiële samenwerking en samenwerking in strafzaken vallen 17 (“JBZ-instanties”). De betrokken regels zijn grotendeels gebaseerd op de richtlijn rechtshandhaving. Artikel 98 EUDPR bepaalt dat de Commissie de rechtshandelingen moet toetsen die de verwerking van operationele persoonsgegevens door JBZ-instanties regelen, en biedt haar de mogelijkheid passende wetgevingsvoorstellen in te dienen, met name met het oog op de toepassing van de regels van hoofdstuk IX 18 op Europol en het Europees Openbaar Ministerie, alsook om eventuele nodige wijzigingen van dit hoofdstuk voor te stellen.
1.2Een essentiële bijdrage om te zorgen voor een robuust veiligheidsbeleid in de Europese Unie
De Commissie heeft er voortdurend op gewezen dat een doeltreffende en echt veilige EU alleen kan worden opgebouwd op basis van de volledige naleving van de grondrechten die in het Handvest en de afgeleide EU-wetgeving zijn vastgelegd. De richtlijn rechtshandhaving draagt in belangrijke mate bij tot het veiligheidsbeleid van de EU door ervoor te zorgen dat de persoonsgegevens van slachtoffers, getuigen en verdachten van misdrijven naar behoren worden beschermd. Daarnaast draagt de richtlijn, door middel van harmonisatie van de regels inzake de bescherming van persoonsgegevens die door de bevoegde autoriteiten in de EU- en Schengenlanden worden verwerkt, bij tot meer vertrouwen en de beveiliging van gegevens die tussen autoriteiten worden uitgewisseld voor strafrechtelijke rechtshandhavingsdoeleinden, en vergemakkelijkt zij zo de grensoverschrijdende samenwerking in de strijd tegen criminaliteit en terrorisme 19 . De richtlijn rechtshandhaving speelt ook een belangrijke rol bij het bevorderen van een cultuur van naleving van de gegevensbescherming door de bevoegde autoriteiten.
In de strategie voor de veiligheidsunie 20 wordt voorts benadrukt dat nieuwe technologie, zoals artificiële intelligentie, kan worden gebruikt als een krachtig instrument voor het bestrijden van criminaliteit. Om dit potentieel te verwezenlijken, moeten ook de strengste normen voor de naleving van de grondrechten worden gewaarborgd. De wetgeving inzake gegevensbescherming, met inbegrip van de richtlijn rechtshandhaving, vormt de basis waarop de sectorale wetgeving kan voortbouwen. De voorgestelde verordening artificiële intelligentie 21 zou bijvoorbeeld een kader bieden voor het gebruik van persoonsgegevens voor biometrische identificatie op afstand in openbare ruimten voor rechtshandhavingsdoeleinden.
Tot slot wordt criminaliteit (en met name cybercriminaliteit en gedigitaliseerde criminaliteit) in een onderling verbonden wereld steeds meer van grensoverschrijdende aard. Zelfs bij het onderzoeken van binnenlandse aangelegenheden hebben bevoegde autoriteiten steeds vaker te maken met grensoverschrijdende situaties, omdat informatie elektronisch is opgeslagen in een derde land. Hierdoor neemt de behoefte aan internationale samenwerking in strafrechtelijke onderzoeken toe, zowel van de kant van de autoriteiten van de lidstaten als van de kant van EU-organen zoals Europol en Eurojust. Deze samenwerking, en met name het verzamelen en uitwisselen van elektronisch bewijsmateriaal 22 , gaat vaak gepaard met de doorgifte van persoonsgegevens. Solide waarborgen voor gegevensbescherming zijn daarom van essentieel belang. Dergelijke waarborgen helpen ook het vertrouwen tussen de rechtshandhavingsautoriteiten te vergroten, waardoor informatie sneller en doeltreffender kan worden uitgewisseld en de rechtszekerheid wordt versterkt wanneer informatie vervolgens in strafprocedures wordt gebruikt. In dit verband biedt de richtlijn rechtshandhaving een geactualiseerde reeks instrumenten om dergelijke doorgiften van persoonsgegevens van de EU naar een derde land of een internationale organisatie (bijvoorbeeld Interpol 23 ) te vergemakkelijken en er gelijktijdig voor te zorgen dat de persoonsgegevens in hoge mate beschermd blijven. De Commissie en de lidstaten hebben sinds de inwerkingtreding van de richtlijn rechtshandhaving gebruikgemaakt van alle instrumenten ervan. Hieruit blijkt dat de richtlijn breed en flexibel genoeg is om een doeltreffende internationale politiële en justitiële samenwerking mogelijk te maken.
1.3Belangrijke overwegingen inzake de opstelling van het verslag
Bij de opstelling van dit verslag heeft de Commissie informatie en feedback ingewonnen uit verschillende bronnen en door gerichte raadpleging. Op grond van artikel 62 van de richtlijn rechtshandhaving hield de Commissie rekening met de bijdragen en standpunten van het Europees Parlement 24 , de Raad 25 , het Europees Comité voor gegevensbescherming (“het EDPB”) 26 en de nationale toezichthoudende autoriteiten voor gegevensbescherming. Aanvullende feedback werd verkregen via een vragenlijst gericht aan organisaties uit het maatschappelijk middenveld (via het Bureau van de Europese Unie voor de grondrechten) 27 en uit reacties op een openbaar verzoek om input 28 . De Commissie heeft ook rekening gehouden met de opmerkingen van de deskundigengroep van de lidstaten inzake de AVG en de richtlijn rechtshandhaving 29 , en met de opmerkingen van het Duitse voorzitterschap van de Raad 30 . Zij hield eveneens rekening met de analyse van de nationale omzettingsmaatregelen en met een klein aantal klachten dat zij in verband hiermee had ontvangen.
Hoewel de richtlijn rechtshandhaving van toepassing is op alle lidstaten en alle Schengenlanden (omdat zij een ontwikkeling inhoudt van de bepalingen van het Schengenacquis 31 ) heeft dit verslag alleen betrekking op de EU-lidstaten.
Drie factoren waren van invloed op de opstelling van dit verslag. Ten eerste heeft twee derde van de lidstaten de termijn van mei 2018 voor de omzetting van de richtlijn rechtshandhaving in nationaal recht niet gehaald. Niettemin hebben de meeste lidstaten de richtlijn uiterlijk in 2019 omgezet, nadat de Commissie inbreukprocedures had ingeleid. Er is dus vrij weinig ervaring opgedaan met de toepassing ervan, een punt dat ook door het EDPB 32 en de Raad 33 wordt benadrukt. Ten tweede bleek het in vergelijking met de AVG moeilijker om statistieken over de toepassing van de richtlijn rechtshandhaving op te stellen. Sommige toezichthoudende autoriteiten voor gegevensbescherming stellen geen afzonderlijke statistieken op inzake hun toezichtactiviteiten in het kader van de richtlijn rechtshandhaving en de AVG. Dit is bijvoorbeeld het geval met betrekking tot meldingen van inbreuken in verband met gegevens 34 en klachten in het kader van de richtlijn rechtshandhaving 35 , waardoor het soms moeilijk is een nauwkeurig overzicht te krijgen van deze bepalingen in het kader van de richtlijn rechtshandhaving 36 .
Ten derde mag niet worden vergeten dat de jurisprudentie inzake de toepassing van de richtlijn rechtshandhaving zich nog maar net begint te ontwikkelen. Er zijn momenteel verschillende zaken aanhangig bij het Hof van Justitie van de Europese Unie (“HvJ-EU”) met betrekking tot de uitlegging van belangrijke bepalingen van de richtlijn, zoals het recht op inzage en het recht op een doeltreffende voorziening in rechte van de betrokkenen. Deze arresten zullen meer duidelijkheid scheppen en bijdragen tot een meer geharmoniseerde aanpak van de lidstaten.
2De omzetting is bevredigend, maar er blijft een aantal onopgeloste kwesties
De Commissie heeft een deskundigengroep van de lidstaten 37 opgericht om de lidstaten te helpen bij de omzetting van de richtlijn rechtshandhaving in nationaal recht. De groep bevordert besprekingen en het delen van ervaringen tussen de lidstaten en de Commissie over de regels inzake gegevensbescherming. Tussen de vaststelling van de richtlijn rechtshandhaving in 2016 en de omzettingstermijn van mei 2018 is de groep regelmatig bijeengekomen en in 2021 heeft de groep haar werkzaamheden hervat.
Het onderstaande overzicht van de omzetting is toegespitst op de belangrijkste kwesties die tot dusver zijn vastgesteld. Het is hoofdzakelijk gebaseerd op de analyse van de Commissie van de informatie die de lidstaten hebben verstrekt bij hun mededeling aan de Commissie van de nationale maatregelen die zij hebben genomen om de richtlijn rechtshandhaving in nationaal recht om te zetten. Deze analyse werd ondersteund door een externe studie die door een externe contractant werd uitgevoerd. De Commissie heeft ook bilateraal overleg gepleegd met verschillende lidstaten.
2.1Een volledige omzetting in het algemeen, maar met enkele problemen in verband met specifieke bepalingen
De Commissie leidde in juli 2018 inbreukprocedures in tegen 19 lidstaten omdat zij op de uiterste termijn van mei 2018 geen wetten ter omzetting van de richtlijn rechtshandhaving hadden vastgesteld en de Commissie niet naar behoren in kennis hadden gesteld van hun omzetting. Een andere procedure wegens gedeeltelijke niet-omzetting werd in juli 2019 ingeleid tegen een andere lidstaat. Als gevolg daarvan stelden de meeste lidstaten de Commissie hierna in kennis van hun nationale omzettingswetgeving en sloot de Commissie de inbreukprocedures tegen hen in 2019 (2020 voor één lidstaat) geleidelijk af. In 2021 verwees de Commissie haar inbreukprocedure tegen Spanje naar het HvJ-EU omdat Spanje de richtlijn nog steeds niet had omgezet en de Commissie niet in kennis had gesteld van zijn omzettingsmaatregelen. Gezien de ernst en de duur van de inbreuk veroordeelde het HvJ-EU Spanje voor het eerst tot betaling van zowel een forfaitaire som als een dwangsom 38 .
De Commissie heeft — in april 2022 — ook een inbreukprocedure tegen Duitsland ingeleid nadat zij een lacune in de omzetting van de richtlijn rechtshandhaving in verband met de activiteiten van de federale politie van Duitsland had ontdekt.
De Commissie zal de omzetting van de richtlijn rechtshandhaving in de lidstaten blijven beoordelen en zal de nodige maatregelen nemen om eventuele lacunes te verhelpen.
2.2Prioriteiten voor de beoordeling van naleving
De Commissie gaat ook na of de nationale bepalingen van de lidstaten de voorschriften van de richtlijn rechtshandhaving correct omzetten (nalevingscontrole).
Bij de omzetting van de richtlijn rechtshandhaving hebben de lidstaten ofwel hun eerdere wetgeving inzake gegevensbescherming gewijzigd, ofwel deze ingetrokken en vervangen door een of meer nieuwe horizontale wetten inzake gegevensbescherming. In veel gevallen zet de nationale wetgeving de richtlijn rechtshandhaving om door te verwijzen naar dezelfde of gelijkwaardige bepalingen van de AVG (bv. met betrekking tot definities, meldingen van inbreuken in verband met persoonsgegevens, de benoeming van de functionaris voor gegevensbescherming en bepalingen inzake de organisatie, de status, de bevoegdheden, de taken en de bevoegdheden van de nationale toezichthoudende autoriteiten voor gegevensbescherming). Een aantal bepalingen van de richtlijn rechtshandhaving is ook omgezet door middel van nieuwe bepalingen in bijvoorbeeld het algemeen bestuursrecht, het bestuursprocesrecht of het strafprocesrecht. Sommige lidstaten hebben een aantal bepalingen van de richtlijn ook omgezet in sectorale wetgeving die de werking en de bevoegdheden van specifieke bevoegde autoriteiten regelt. Om te bepalen of de richtlijn rechtshandhaving al dan niet correct is omgezet in een bepaalde lidstaat, kan het dus nodig zijn rekening te houden met een hele reeks nationale rechtshandelingen. Over het algemeen weerspiegelt de nationale wetgeving grotendeels de beginselen en kernbepalingen van de richtlijn rechtshandhaving. Er zijn echter een aantal problemen vastgesteld, waarvan de belangrijkste in de volgende punten uiteen worden gezet. De Commissie heeft reeds een aantal inbreukprocedures tegen lidstaten ingeleid 39 . Het evaluatieproces is nog steeds lopende en de Commissie zal gebruik blijven maken van alle beschikbare instrumenten, waaronder inbreukprocedures, wanneer een nationale omzettingsmaatregel niet in overeenstemming is met de richtlijn rechtshandhaving.
De jurisprudentie over de richtlijn staat nog in de kinderschoenen. Het HvJ-EU is begonnen met het wijzen van arresten over de uitlegging van de richtlijn, onder meer in de zaken WS/Bundesrepublik Deutschland 40 en B/Latvijas Republikas Saeima 41 . Ten tijde van de opstelling van dit verslag is er een aantal prejudiciële vragen aanhangig bij het HvJ-EU (zoals aangegeven in de volgende punten).
2.2.1Het toepassingsgebied van de richtlijn rechtshandhaving
De moeilijkheid om het toepassingsgebied van de richtlijn en dat van de AVG af te bakenen, is zowel door de deskundigengroep van de lidstaten inzake de AVG en de richtlijn rechtshandhaving 42 , als door het EDPB als een punt van zorg aan de orde gesteld 43 . Sommige toezichthoudende autoriteiten voor gegevensbescherming hebben ook opgemerkt dat de bevoegde autoriteiten hier moeite mee kunnen hebben 44 .
Het toepassingsgebied van de richtlijn rechtshandhaving wordt bepaald 45 door twee kernelementen: het begrip bevoegde autoriteit (persoonlijk toepassingsgebied) en het begrip strafbaar feit (materieel toepassingsgebied).
Wat het persoonlijke toepassingsgebied betreft, valt gegevensverwerking onder de richtlijn rechtshandhaving wanneer zij wordt uitgevoerd door een bevoegde autoriteit en wanneer de persoonsgegevens worden verwerkt voor doeleinden van de richtlijn rechtshandhaving 46 (d.w.z. de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid). Volgens de Commissie zijn “bevoegde autoriteiten” als gedefinieerd in de richtlijn rechtshandhaving 47 organen van de staat of particuliere instanties waaraan de wet bijzondere bevoegdheden toekent die verder gaan dan die welke voortvloeien uit de normale regels die van toepassing zijn in de betrekkingen tussen particulieren en/of die in de mogelijkheid voorzien om dwang uit te oefenen. Deze autoriteiten zijn bevoegde autoriteiten in de zin van de richtlijn rechtshandhaving wanneer zij (ook al is dat slechts sporadisch en/of in geïsoleerde gevallen) gegevens verwerken met het oog op de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten of de tenuitvoerlegging van straffen (met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid). Dit betekent bijvoorbeeld dat de verwerking door dergelijke organen van persoonsgegevens voor doeleinden die niet onder de richtlijn rechtshandhaving vallen (bijvoorbeeld personeelszaken of andere bestuursrechtelijke doeleinden, zoals de verwerking door financiële-inlichtingeneenheden (FIE’s) van persoonsgegevens in het kader van het acquis inzake de bestrijding van het witwassen van geld 48 ) binnen het toepassingsgebied van de AVG en niet binnen die van de richtlijn rechtshandhaving valt.
Het begrip “strafbaar feit” staat centraal bij de vaststelling of gegevensverwerking al dan niet binnen het toepassingsgebied van de richtlijn rechtshandhaving valt. Volgens het HvJ-EU zijn drie criteria van belang bij de beoordeling of een strafbaar feit van strafrechtelijke aard is: de vraag of het strafbare feit naar nationaal recht als strafbaar is aangemerkt, de aard zelf van het strafbare feit en de zwaarte van de sanctie die aan de betrokkene kan worden opgelegd 49 . Het autonome karakter van het begrip strafbaar feit als bedoeld in overweging 13 van de richtlijn rechtshandhaving brengt onder meer met zich mee dat het recht van de lidstaten de aard van een strafbaar feit niet kan aanmerken als “strafbaar” met als enig doel de richtlijn rechtshandhaving toe te passen.
Het probleem van de afbakening tussen de toepassingsgebieden van de AVG en de richtlijn rechtshandhaving doet zich in sommige lidstaten voor wat betreft de afbakening tussen de gebieden van strafrechtelijke en bestuursrechtelijke inbreuken. In sommige nationale omzettingswetten wordt namelijk verwezen naar doeleinden voor de verwerking van persoonsgegevens die niet in artikel 1 van de richtlijn rechtshandhaving zijn vermeld (bv. gevaren voor de openbare orde of de openbare veiligheid). De vraag rijst ook omdat sommige lidstaten van oordeel zijn dat een aantal bestuursorganen (bv. FIE’s, zoals hierboven vermeld) taken uitvoeren die onder de richtlijn rechtshandhaving vallen.
De wetgeving van de meeste lidstaten bestrijkt alle bevoegde autoriteiten die gegevens verwerken voor doeleinden van de richtlijn rechtshandhaving. Sommige lidstaten hebben er daarentegen voor gekozen om in hun nationale wetgeving een uitputtende opsomming te geven van de bevoegde autoriteiten die onder de richtlijn rechtshandhaving vallen. Een paar lidstaten hebben ook voorzien in een afwijking voor de verwerking door bepaalde soorten bevoegde autoriteiten of de verwerking van bepaalde soorten gegevens.
Over de kwestie van het toepassingsgebied van de richtlijn rechtshandhaving is een prejudiciële vraag gesteld aan het HvJ-EU. Het Landesverwaltungsgericht Tirol (Oostenrijk) heeft de kwestie van het toepassingsgebied van de richtlijn rechtshandhaving aan de orde gesteld in een zaak waarin een bevoegde autoriteit tevergeefs probeerde toegang te krijgen tot gegevens op een in beslag genomen telefoon (uitlegging van artikel 2 van de richtlijn rechtshandhaving). De zaak heeft ook betrekking op de voorwaarden voor een dergelijke toegang 50 .
2.2.2Governance en bevoegdheden van de toezichthoudende autoriteiten voor gegevensbescherming
Alle lidstaten (met uitzondering van België en Zweden) hebben de handhaving van de richtlijn rechtshandhaving toevertrouwd aan de toezichthoudende autoriteit die ook verantwoordelijk is voor de handhaving van de AVG. België heeft het toezicht op de politie in het kader van de richtlijn rechtshandhaving aan een andere toezichthoudende autoriteit toevertrouwd. In Zweden wordt het toezicht op bepaalde bevoegde autoriteiten, waaronder de politie, gezamenlijk uitgeoefend door de toezichthoudende autoriteit die bevoegd is voor de AVG en een andere toezichthoudende autoriteit. Daarnaast zijn toezichthoudende autoriteiten voor gegevensbescherming krachtens de richtlijn rechtshandhaving niet bevoegd om toezicht te houden op rechtbanken wanneer deze in hun rechterlijke hoedanigheid optreden.
Wat betreft de bepalingen van de richtlijn rechtshandhaving inzake de onafhankelijkheid van de toezichthoudende autoriteiten voor gegevensbescherming 51 , hebben alle lidstaten in hun omzettingswetgeving bepaald dat de toezichthoudende autoriteiten voor gegevensbescherming bij de uitvoering van hun taken onafhankelijk moeten optreden. Zij eisen ook dat de leden van hun toezichthoudende autoriteiten voor gegevensbescherming vrij zijn van externe invloeden en van niemand instructies aanvaarden of verlangen.
Het toezicht op de naleving door de toezichthoudende autoriteiten voor gegevensbescherming is van cruciaal belang en is vastgelegd in artikel 8, lid 3, van het Handvest. De richtlijn rechtshandhaving verplicht de lidstaten ertoe de toezichthoudende autoriteiten voor gegevensbescherming onderzoeksbevoegdheden, bevoegdheden tot het treffen van corrigerende maatregelen en adviesbevoegdheden te verlenen, die effectief moeten zijn. Dit is een eerste voorwaarde om de gegevensbeschermingsregels naar behoren te kunnen handhaven en aldus de doelstelling van de richtlijn rechtshandhaving te verwezenlijken, namelijk een hoog niveau van bescherming van de grondrechten, met name wat het recht op bescherming van persoonsgegevens betreft, en om het vrije verkeer van gegevens binnen de EU te waarborgen. De toezichthoudende autoriteiten voor gegevensbescherming moeten in de gehele EU over gelijkwaardige bevoegdheden beschikken, zodat zij hun taken kunnen uitvoeren zoals de richtlijn voorschrijft 52 .
Alle lidstaten hebben hun autoriteiten de in de richtlijn rechtshandhaving vermelde onderzoeksbevoegdheden verleend en de meeste lidstaten hebben hun daarnaast andere bevoegdheden verleend (bv. om audits uit te voeren, bedrijfsruimten te betreden, kopieën van gegevens te maken en voorwerpen in beslag te nemen 53 ). Bijgevolg hebben bijna alle toezichthoudende autoriteiten voor gegevensbescherming vastgesteld dat zij over effectieve onderzoeksbevoegdheden beschikken.
Bijna alle lidstaten hebben voorzien in de in de richtlijn rechtshandhaving vermelde bevoegdheden tot het treffen van corrigerende maatregelen 54 . Veel lidstaten hebben daarbij de formulering van de richtlijn nauwgezet gevolgd, terwijl verscheidene andere lidstaten zeer ruime formuleringen hebben gebruikt die redelijkerwijs zo kunnen worden uitgelegd dat zij alle in de richtlijn vastgestelde bevoegdheden omvatten.
Bovendien verleent de wetgeving van de meeste lidstaten de toezichthoudende autoriteiten voor gegevensbescherming de bevoegdheid om administratieve boeten op te leggen 55 .
Niet alle lidstaten hebben hun toezichthoudende autoriteiten voor gegevensbescherming de bevoegdheid gegeven om inbreuken op de nationale wetten die zijn vastgesteld ter omzetting van de richtlijn rechtshandhaving, onder de aandacht van de rechterlijke autoriteiten te brengen en rechtsvorderingen in te stellen of anderszins in rechte op te treden. Deze bevoegdheid is belangrijk en vormt een aanvulling op de andere middelen waarover de toezichthoudende autoriteiten voor gegevensbescherming moeten beschikken om een hoog niveau van bescherming van de grondrechten van personen, en met name van hun recht op bescherming van hun persoonsgegevens, doeltreffend te waarborgen.
2.2.3Beroep
Alle lidstaten hebben voorzien in het recht om een klacht in te dienen bij de bevoegde toezichthoudende autoriteit 56 . De meeste nationale wetgevingen voorzien in een termijn voor het indienen van een dergelijke klacht. Het is belangrijk dat deze termijn geen belemmering vormt voor het recht van de betrokkenen in dit verband.
Overeenkomstig de richtlijn rechtshandhaving 57 voorzien alle lidstaten in een voorziening in rechte tegen de besluiten van de toezichthoudende autoriteit, onverminderd andere mogelijkheden van administratief of buitengerechtelijk beroep die in hun rechtsstelsel beschikbaar zijn. Een voorziening in rechte is beschikbaar in alle lidstaten, op twee na 58 , wanneer een toezichthoudende autoriteit een klacht niet behandelt of de betrokkene niet binnen drie maanden in kennis stelt over de voortgang of het resultaat van de klacht 59 .
De meeste lidstaten zorgen ook voor een voorziening in rechte tegen de verwerkingsverantwoordelijke en de verwerker 60 in geval van een vermeende inbreuk op de richtlijn rechtshandhaving. Verscheidene nationale omzettingswetten voorzien echter niet in het recht van de betrokkene om organen, organisaties of verenigingen zonder winstoogmerk opdracht te geven om namens hem een klacht in te dienen bij een toezichthoudende autoriteit of een voorziening in rechte in te stellen 61 .
2.2.4Termijnen voor opslag en evaluatie
De aanpak van de lidstaten bij de omzetting van de termijnen van de richtlijn rechtshandhaving voor de opslag en evaluatie van persoonsgegevens 62 loopt sterk uiteen. De meeste nationale wetten inzake gegevensbescherming die de richtlijn rechtshandhaving omzetten, voldoen alleen aan het algemene voorschrift van artikel 5 van de richtlijn rechtshandhaving. Dit betekent dat in het sectorale recht daadwerkelijk termijnen moeten worden vastgesteld voor het wissen van persoonsgegevens of voor een periodieke evaluatie van de noodzaak om persoonsgegevens op te slaan. Enkele lidstaten zetten de bepaling om door de termijnen in de sectorale wetgeving vast te leggen.
In sommige lidstaten laat de wet het echter aan de bevoegde autoriteit over om de termijnen vast te stellen. In sommige gevallen worden in de wet geen criteria vastgelegd voor de periodieke evaluatie en wordt daarin niet voorgeschreven dat dergelijke criteria in andere wetten moeten worden opgenomen en/of bepaald dat de procedures om ervoor te zorgen dat de termijnen worden nageleefd, ook in de nationale wetgeving moeten worden vastgesteld.
Er zij op gewezen dat de Bulgaarse hoogste administratieve rechter onlangs het HvJ-EU heeft verzocht om een antwoord op zijn verzoek om een prejudiciële beslissing over de uitlegging van artikel 5 van de richtlijn rechtshandhaving met betrekking tot de termijnen voor gegevensopslag 63 .
2.2.5Rechtsgrondslag van de verwerking, met inbegrip van bijzondere categorieën van persoonsgegevens
De meeste lidstaten bepalen — in bewoordingen die vaak nauw aansluiten bij artikel 8 van de richtlijn rechtshandhaving — dat de rechtsgrondslag van de verwerking in de EU-wetgeving of de wetgeving van de lidstaat moet zijn vastgelegd. In sommige nationale handelingen inzake gegevensbescherming tot omzetting van de richtlijn rechtshandhaving komt het voorschrift dat de te verwerken persoonsgegevens en de doeleinden van de verwerking in de wet moeten worden gespecificeerd, echter niet tot uiting 64 . Andere nationale handelingen inzake gegevensbescherming tot omzetting van de richtlijn rechtshandhaving bevatten niet alle bepalingen van artikel 8. Het is aan de nationale wetgeving om de grondslag van de verwerking vast te stellen en aan de voorschriften van artikel 8 te voldoen. Bovendien kan het louter herhalen van de algemene vereisten van artikel 8 van de richtlijn rechtshandhaving in de nationale wetgeving niet worden beschouwd als een toereikende rechtsgrondslag voor een specifieke verwerking: in het nationale recht moet worden gespecificeerd welke autoriteit bevoegd is om de persoonsgegevens te verwerken, welke publieke taken zij uitvoert die een dergelijke verwerking rechtvaardigen, en wat het doel van de verwerking is.
Wat de verwerking van bijzondere categorieën van persoonsgegevens 65 betreft, schrijven de meeste lidstaten een strikte noodzaak voor als voorwaarde voor de verwerking. De meeste lidstaten voorzien ook in dezelfde rechtsgrondslagen voor de verwerking van gevoelige gegevens als die welke in artikel 10 van de richtlijn rechtshandhaving zijn vermeld (bij recht toegestane verwerking, verwerking ter bescherming van een vitaal belang van de betrokkene of van een andere natuurlijke persoon, of verwerking die betrekking heeft op gegevens die kennelijk door de betrokkene zelf openbaar zijn gemaakt). In enkele lidstaten voorzien de omzettingswetten in enkele aanvullende grondslagen voor gegevensverwerking (bv. wanneer de verwerking van dergelijke gegevens noodzakelijk is om een gevaar dat een rechtstreekse bedreiging vormt voor het leven, de fysieke integriteit of het vermogen van personen, af te wenden of te voorkomen, of om de gezondheid of de belangen van de betrokkene of van een andere persoon te beschermen). Wanneer de nationale wet inzake gegevensbescherming tot omzetting van de richtlijn rechtshandhaving niet de nodige waarborgen biedt voor de rechten en vrijheden van de betrokkenen (zoals in sommige lidstaten het geval is), moeten deze waarborgen door de sectorale wetgeving worden geboden.
In enkele nationale omzettingswetten wordt verwezen naar toestemming in verband met de verwerking van persoonsgegevens, met inbegrip van de verwerking van bijzondere categorieën van persoonsgegevens. Er zij aan herinnerd dat het de lidstaten weliswaar niet is verboden in hun nationaal recht te bepalen dat de betrokkene kan instemmen met de verwerking van zijn persoonsgegevens voor doeleinden in het kader van de richtlijn rechtshandhaving, maar dat deze toestemming alleen als vrijwaring kan dienen en niet de rechtsgrondslag voor een dergelijke verwerking kan vormen. Uit de besprekingen over dit onderwerp blijkt dat het nuttig zou zijn meer richtsnoeren te hebben over de rol van toestemming in het kader van de verwerking van persoonsgegevens voor strafrechtelijke rechtshandhavingsdoeleinden.
2.2.6Geautomatiseerde besluitvorming
Alle omzettingswetten van de lidstaten bevatten bepalingen die uitsluitend op geautomatiseerde verwerking gebaseerde besluiten verbieden, tenzij de wet daarin voorziet 66 . De omzettingswetten van de meeste lidstaten schrijven voor dat dergelijke besluiten niet gebaseerd mogen zijn op bijzondere categorieën van persoonsgegevens, tenzij in passende waarborgen wordt voorzien 67 . Ook verbieden zij profilering die tot discriminatie leidt 68 . In sommige nationale wetgeving wordt echter niet verwezen naar passende waarborgen voor de rechten en vrijheden van de betrokkene in gevallen waarin geautomatiseerde besluitvorming bij wet is toegestaan. Meer bepaald voorzien niet alle lidstaten in het recht op menselijke tussenkomst van de verwerkingsverantwoordelijke, of schrijven zij geen passende maatregelen voor ter bescherming van de rechten en/of vrijheden en rechtmatige belangen van de betrokkene.
2.2.7De rechten van betrokkenen
Alle lidstaten hebben ervoor gekozen gebruik te maken van de door de richtlijn rechtshandhaving geboden mogelijkheid om het recht van de betrokkene op inzage van zijn persoonsgegevens te beperken 69 . De meeste lidstaten voorzien ook in beperkingen van andere rechten van de betrokkene 70 . In de nationale handelingen inzake gegevensbescherming tot omzetting van de richtlijn rechtshandhaving wordt vaak alleen de algemene formulering van de richtlijn gevolgd, zonder dat nader wordt aangegeven onder welke omstandigheden of voorwaarden de beperkingen van toepassing zijn. In dergelijke gevallen moeten deze omstandigheden en voorwaarden in de sectorale wetgeving worden gespecificeerd, anders zou dit de verwerkingsverantwoordelijken discretionaire bevoegdheid geven bij de toepassing van deze beperkingen.
De meeste lidstaten voldoen aan het voorschrift van de richtlijn rechtshandhaving om betrokkenen in staat te stellen hun rechten uit te oefenen via de toezichthoudende autoriteit voor gegevensbescherming 71 . De meeste lidstaten hebben gebruikgemaakt van de mogelijkheid om te bepalen dat de rechten van betrokkenen in het kader van nationale strafrechtelijke onderzoeken en procedures overeenkomstig het nationale recht moeten worden uitgeoefend 72 .
In de omzettingswetten van verscheidene lidstaten zijn niet alle specifieke voorschriften van de richtlijn overgenomen over de wijze waarop de rechten van de betrokkenen moeten worden uitgeoefend (bv. het model en de wijze van verstrekking van de antwoorden, het ontbreken van een vergoeding).
Er is een prejudiciële vraag 73 gesteld door een Duitse rechter over de uitlegging van de beperkingen van het recht van betrokkenen op inzage van hun gegevens (artikel 15 van de richtlijn rechtshandhaving in het licht van artikel 54 van de richtlijn) en het recht op een doeltreffende voorziening in rechte overeenkomstig artikel 47 van het Handvest en de vrijheid van beroep als bedoeld in artikel 15 van het Handvest.
2.2.8Enkele belangrijke bepalingen die specifiek zijn voor de richtlijn rechtshandhaving
Sommige bepalingen van de richtlijn zijn specifiek voor strafrechtelijke rechtshandhaving en hebben geen equivalent in de AVG.
Categorieën van betrokkenen
In het kader van de richtlijn rechtshandhaving zijn de lidstaten verplicht om van een verwerkingsverantwoordelijke te eisen, in voorkomend geval en voor zover mogelijk, een onderscheid te maken maakt tussen gegevens betreffende verschillende categorieën van betrokkenen en voorbeelden te geven van die categorieën (bv. personen ten aanzien van wie gegronde vermoedens bestaan dat zij een strafbaar feit hebben gepleegd of zullen plegen (een “verdachte”)) 74 . In de wetgeving van sommige lidstaten worden de door de richtlijn rechtshandhaving opgesomde categorieën (tot op zekere hoogte of in het geheel) niet gespecificeerd. Wanneer de categorie “verdachten” wordt gespecificeerd, wordt in sommige nationale wetten niet vereist dat er “gegronde vermoedens bestaan dat de personen een strafbaar feit hebben gepleegd of zullen plegen”. Het komende arrest van het HvJ-EU in de aanhangige zaak Ministerstvo na vatreshnite raboti/B.C. zal meer duidelijkheid scheppen over de uitlegging van de richtlijn rechtshandhaving wat de categorieën van betrokkenen betreft, met inbegrip van het voorschrift dat een betrokkene slechts als verdachte kan worden aangemerkt indien er gegronde vermoedens bestaan dat zij een strafbaar feit hebben gepleegd of zullen plegen 75 .
Onderscheid tussen klassen persoonsgegevens en controle van de kwaliteit ervan
De lidstaten moeten erin voorzien dat persoonsgegevens die op feiten zijn gebaseerd, voor zover mogelijk worden onderscheiden van persoonsgegevens die op een persoonlijk oordeel zijn gebaseerd 76 . Zij moeten ook maatregelen nemen om ervoor te zorgen dat persoonsgegevens die onjuist, onvolledig of niet meer actueel zijn, niet worden doorgezonden of beschikbaar gesteld. Wanneer onjuiste gegevens zijn doorgezonden, moeten de ontvangers daarvan onverwijld in kennis worden gesteld en in dergelijke gevallen moeten de persoonsgegevens worden gerectificeerd of gewist, of moet de verwerking ervan worden beperkt. Hoewel de meeste lidstaten dit voorschrift hebben omgezet, zijn sommige van de vereiste specifieke maatregelen niet uitdrukkelijk opgenomen in verschillende nationale omzettingswetten.
Bijhouden van logbestanden
In totaal hebben twaalf lidstaten 77 gebruikgemaakt van de mogelijkheid om het in overeenstemming brengen van hun geautomatiseerde verwerkingssysteem met de registratievoorschriften uit te stellen tot mei 2023 78 .
De meeste lidstaten voorzien erin dat er logbestanden worden bijgehouden voor verwerkingsactiviteiten in geautomatiseerde verwerkingssystemen 79 . In de wetgeving van sommige lidstaten hoeven niet alle soorten activiteiten te worden geregistreerd. In de richtlijn rechtshandhaving is vastgelegd welke soorten informatie de logbestanden ten minste moeten bevatten. In sommige nationale wetten zijn niet alle vereiste soorten informatie opgenomen (bv. de reden voor raadpleging of bekendmaking van persoonsgegevens).
3Eerste lessen uit de toepassing en de werking van de richtlijn rechtshandhaving
3.1Klachten en positief effect op de rechten van de betrokkenen
De richtlijn rechtshandhaving waarborgt de bescherming van de grondrechten en fundamentele vrijheden van personen, en met name het recht op gegevensbescherming. De richtlijn biedt een alomvattend kader voor de rechten van de betrokkene en de wijze waarop deze rechten kunnen worden uitgeoefend, waaronder het recht op informatie, op inzage, rectificatie of wissing van de persoonsgegevens, en op beperking van de verwerking. De richtlijn rechtshandhaving heeft het inzicht van de betrokkenen in hun rechten en de wijze waarop zij die kunnen uitoefenen, vergroot. Dit komt tot uiting in een toename van het aantal bij de bevoegde autoriteiten ingediende verzoeken. Uit de praktijk is gebleken dat van de rechten die uit hoofde van de richtlijn rechtshandhaving aan betrokkenen worden verleend, het recht op inzage en het recht op wissing het vaakst bij de bevoegde autoriteiten worden aangevoerd 80 .
De richtlijn rechtshandhaving maakt het mogelijk beperkingen te stellen aan bepaalde rechten (het inzagerecht 81 en het recht om gegevens te laten rectificeren of wissen 82 ) en aan de informatie die een verwerkingsverantwoordelijke aan de betrokkene moet verstrekken in verband met verwerkte persoonsgegevens 83 . Betrokkenen kunnen de toezichthoudende autoriteiten voor gegevensbescherming verzoeken de beperking van het recht in kwestie door een bevoegde autoriteit te evalueren of na te gaan of de beperking in overeenstemming met de richtlijn rechtshandhaving is uitgevoerd (indirecte uitoefening van het recht) 84 . Ongeveer de helft van de toezichthoudende autoriteiten voor gegevensbescherming meldt dat zij een dergelijk verzoek hebben ontvangen 85 . Uit de praktijk blijkt dat het aantal ontvangen verzoeken aanzienlijk kan variëren (zo werd in Kroatië één dergelijk verzoek ontvangen, terwijl Frankrijk er meer dan 1 500 ontving) 86 . Hoewel de toezichthoudende autoriteiten voor gegevensbescherming na controle of evaluatie van deze klachten vaststelden dat de meeste verzoeken niet-ontvankelijk waren, werd de verwerkingsverantwoordelijke in een aantal gevallen gelast de persoonsgegevens te rectificeren of te wissen, dan wel de verwerking van persoonsgegevens te beperken, waardoor de juiste toepassing van de beperkingen werd gewaarborgd 87 .
De richtlijn rechtshandhaving voorziet in de mogelijkheid dat een orgaan, organisatie of vereniging zonder winstoogmerk een klacht indient namens een betrokkene. Hier lijkt echter zeer weinig gebruik van te worden gemaakt (slechts vier toezichthoudende autoriteiten voor gegevensbescherming meldden dat zij een dergelijke klacht van een vertegenwoordigende instantie hadden ontvangen 88 ). Ook de organisaties van het maatschappelijk middenveld meldden slechts een klein aantal verzoeken tot indiening van een dergelijke klacht 89 .
Mensen maken ook steeds meer gebruik van hun recht om klachten in te dienen bij de toezichthoudende autoriteiten voor gegevensbescherming, ook in gevallen waarin de bevoegde autoriteiten de uitoefening van de rechten van de betrokkenen beperken. Meer dan een derde van de toezichthoudende autoriteiten voor gegevensbescherming meldde een toename van het aantal ontvangen klachten na de omzetting van de richtlijn rechtshandhaving in hun lidstaat 90 . Enkele van de meest voorkomende klachten die de toezichthoudende autoriteiten voor gegevensbescherming ontvingen, betroffen de beperking van het inzagerecht 91 , het recht op rectificatie of wissing 92 , en het recht op informatie en de beperkingen daarvan 93 . Deze werden gevolgd door klachten in verband met het beginsel van opslagbeperking, op grond waarvan de bevoegde autoriteiten persoonsgegevens niet langer dan noodzakelijk mogen bewaren, en het recht op informatie.
3.2Grotere bewustwording van gegevensbescherming bij de bevoegde autoriteiten
De lidstaten melden dat de invoering van de richtlijn rechtshandhaving van grote invloed was — en nog steeds is — op de bewustwording van de bevoegde autoriteiten wat betreft het belang van gegevensbescherming 94 . Verscheidene toezichthoudende autoriteiten voor gegevensbescherming waren van mening dat het grootste effect van de richtlijn was dat zij zich meer bewust zijn geworden van en meer aandacht hebben besteed aan gegevensbeschermingskwesties en de rechten van betrokkenen 95 . Dit bleek ook uit de uitwisselingen tussen de toezichthoudende autoriteiten voor gegevensbescherming en de bevoegde autoriteiten over de rechten van betrokkenen en de regelingen voor de uitoefening van die rechten 96 . Sommige bevoegde autoriteiten meldden dat zij als gevolg daarvan meer middelen voor gegevensbescherming hadden uitgetrokken 97 . Dit omvatte onder meer investeringen in de integratie van het beginsel van privacy door ontwerp en door standaardinstellingen in hun IT-systemen, de vaststelling van bewaartermijnen voor gegevens, de toepassing van het beginsel van gegevensminimalisatie, en de melding van inbreuken. Vervolgens werd gemeld dat de algemene beveiliging van de verwerkte gegevens was verbeterd 98 .
Opleidings- en bewustmakingsactiviteiten door toezichthoudende autoriteiten voor gegevensbescherming dragen ook bij tot de goede uitvoering van de richtlijn rechtshandhaving, en de toezichthoudende autoriteiten hebben tot taak de verwerkingsverantwoordelijken en verwerkers bewust te maken van hun verplichtingen uit hoofde van deze richtlijn 99 .
Veel toezichthoudende autoriteiten voor gegevensbescherming verhogen de bewustwording door richtsnoeren te publiceren. De verschillende toezichthoudende autoriteiten op het gebied van gegevensbescherming houden zich onder meer bezig met: het bijstaan van de rechterlijke macht, de diensten van het openbaar ministerie en de politiediensten bij de naleving van het verantwoordingsbeginsel; het uitwisselen van persoonsgegevens met de politie; het benoemen van een functionaris voor gegevensbescherming; het uitvoeren van een effectbeoordeling inzake gegevensbescherming; het verwerken van gegevens op strafrechtelijk gebied, zoals georganiseerde misdaad en terrorisme; het bijhouden van registers van verwerkingsactiviteiten en van logbestanden; videobewaking; het verstrekken van informatie aan betrokkenen; het melden van inbreuken in verband met gegevens; het nakomen van verplichtingen door de verwerkingsverantwoordelijken; en het uitoefenen van rechten door personen.
Acht toezichthoudende autoriteiten voor gegevensbescherming hebben echter nog geen richtsnoeren en/of praktische instrumenten verstrekt om de bevoegde autoriteiten en de verwerkers te helpen aan hun verplichtingen te voldoen.
Voorts hebben twaalf toezichthoudende autoriteiten voor gegevensbescherming geen opleiding verstrekt of bewustmakingsactiviteiten uitgevoerd voor bevoegde autoriteiten of verwerkers in het kader van de richtlijn rechtshandhaving 100 . Onder de toezichthoudende autoriteiten die wel dergelijke activiteiten hebben ondernomen, zijn de meest frequente onderwerpen: gegevensverwerking door de politie, het Openbaar Ministerie, rechterlijke en correctionele autoriteiten; afbakening van de respectieve toepassingsgebieden van de AVG en de richtlijn rechtshandhaving; gebruik van persoonsgegevens van socialemedianetwerken; verwerking van gegevens in politiedossiers; videobewakingstechnieken en big data; behandeling van de rechten van de betrokkene; en de verwerking van persoonsgegevens van gedetineerden 101 .
Een andere innovatie van de richtlijn rechtshandhaving is de verplichting voor verwerkingsverantwoordelijken om een functionaris voor gegevensbescherming (data protection officer — DPO) aan te wijzen, die onder meer tot taak heeft te informeren en te adviseren over de voorschriften inzake gegevensbescherming, toe te zien op de naleving van de richtlijn, advies te verstrekken met betrekking tot gegevensbeschermingseffectbeoordelingen en toe te zien op de uitvoering daarvan 102 . Dit heeft ertoe geleid dat de bevoegde autoriteiten zich meer bewust zijn geworden van hun verplichtingen op het gebied van gegevensbescherming. Het heeft bovendien een positief effect gehad op de naleving van de gegevensbeschermingsregels door de bevoegde autoriteiten, zoals ook door de Raad is erkend 103 .
Het is belangrijk te investeren in de ontwikkeling en maximalisering van de deskundigheid en kennis van de DPO’s om de bevoegde autoriteiten te helpen de richtlijn rechtshandhaving consequent toe te passen 104 . Daarom heeft de Commissie het netwerk voor functionarissen voor gegevensbescherming van de bevoegde autoriteiten, de agentschappen Justitie en Binnenlandse Zaken en het Europees Openbaar Ministerie opgericht en ondersteunt zij dit. Het netwerk is een permanent initiatief dat gericht is op de toepassing van de richtlijn rechtshandhaving door de bevoegde autoriteiten van de lidstaten. Het wil een platform bieden voor samenwerking en uitwisseling van deskundigheid tussen de DPO’s van de lidstaten. Het Europol-netwerk van deskundigen op het gebied van gegevensbescherming (EDEN) en de nationale netwerken van DPO’s van de bevoegde autoriteiten zijn belangrijke initiatieven die de DPO’s van de bevoegde autoriteiten helpen bij het bevorderen van de uitwisseling van beste praktijken inzake en informatie over de toepassing van de richtlijn rechtshandhaving.
3.3Verbeterde gegevensbeveiliging, maar verschillen in de meldingen van inbreuken in verband met persoonsgegevens
De richtlijn rechtshandhaving heeft de beveiliging van persoonsgegevens verbeterd door van de bevoegde autoriteiten te verlangen dat zij maatregelen nemen om specifieke beveiligingsdoelstellingen te verwezenlijken. Zo schrijft de richtlijn voor dat de bevoegde autoriteiten een gegevensbeschermingseffectbeoordeling moeten uitvoeren wanneer een gegevensverwerkende activiteit waarschijnlijk zal leiden tot een hoog risico voor de rechten en vrijheden van de betrokkenen. De effectbeoordelingen omvatten het identificeren van risico’s en maatregelen om deze te beperken. Dit voorschrift, alsmede het afdwingen van de naleving van het beginsel van gegevensbescherming door ontwerp en van gegevensbescherming door standaardinstellingen, en de meldingsplicht voor inbreuken in verband met gegevens, hebben tot een verbetering van de beveiliging van de verwerking van persoonsgegevens geleid 105 .
Dit is ook door de Raad erkend die tot de bevinding kwam dat de richtlijn rechtshandhaving het niveau van gegevensbeveiliging heeft verbeterd, onder meer door beveiligingsplannen, actualisering van IT-systemen en organisatorische maatregelen, gegevensbeschermingseffectbeoordelingen en de verplichting voor de bevoegde autoriteiten om registers bij te houden van bepaalde verwerkingsactiviteiten 106 .
In de richtlijn rechtshandhaving is bepaald in welke omstandigheden verwerkingsverantwoordelijken aan hun toezichthoudende autoriteit voor gegevensbescherming en de betrokkene een inbreuk in verband met persoonsgegevens moeten melden 107 . Ondanks deze verplichting zijn er grote verschillen in het aantal inbreuken in verband met persoonsgegevens dat sinds de invoering van de richtlijn aan de toezichthoudende autoriteiten voor gegevensbescherming is gemeld 108 . Zes toezichthoudende autoriteiten voor gegevensbescherming gaven te kennen dat zij geen meldingen van inbreuken in verband met persoonsgegevens hadden ontvangen 109 en verscheidene andere meldden dat zij zeer weinig van dergelijke meldingen hadden ontvangen. Zo meldde de Italiaanse autoriteit slechts drie meldingen van inbreuken en de Franse autoriteit acht, terwijl de Nederlandse autoriteit er meer dan 500 meldde.
Dit verschil in het aantal gemelde inbreuken in verband met persoonsgegevens wijst erop (rekening houdend met factoren zoals bevolkingsomvang) dat er tussen de bevoegde autoriteiten van de lidstaten uiteenlopende praktijken lijken te bestaan met betrekking tot wat als een inbreuk wordt beschouwd en wanneer deze aan een toezichthoudende autoriteit voor gegevensbescherming moet worden gemeld. De Commissie heeft hier ook op gewezen in haar verslag over de AVG 110 . Het EDPB heeft onlangs richtsnoeren over inbreuken in het kader van de AVG gepubliceerd 111 . Deze richtsnoeren zijn weliswaar niet rechtstreeks van toepassing, maar zijn ook van belang voor inbreuken in verband met gegevens in het kader van de richtlijn rechtshandhaving. Zij moeten daarom bijdragen tot een meer uniforme aanpak van inbreuken in het kader van de richtlijn rechtshandhaving in de lidstaten.
3.4Toezicht door toezichthoudende autoriteiten voor gegevensbescherming
3.4.1Middelen van de toezichthoudende autoriteiten voor gegevensbescherming
Alle gegevensbeschermingsautoriteiten moeten — als essentiële voorwaarde voor hun onafhankelijkheid — kunnen beschikken over de personele, technische en financiële middelen, en de dienstruimten en infrastructuur die noodzakelijk zijn voor het effectief uitvoeren van hun taken en uitoefenen van hun bevoegdheden 112 . De Commissie heeft voortdurend benadrukt dat de lidstaten verplicht zijn voldoende personele, financiële en technische middelen ter beschikking te stellen van de toezichthoudende autoriteiten voor gegevensbescherming 113 . Ook de Raad heeft de lidstaten specifiek opgeroepen om voldoende personele, technische en financiële middelen toe te wijzen aan de toezichthoudende autoriteiten voor gegevensbescherming 114 .
De algemene toename van het personeel van de toezichthoudende autoriteiten voor gegevensbescherming in de afgelopen jaren 115 lijkt echter geen betrekking te hebben op taken in verband met de richtlijn rechtshandhaving. Bij de helft van de toezichthoudende autoriteiten voor gegevensbescherming is het aantal personeelsleden dat zich met de richtlijn rechtshandhaving bezighoudt, gelijk gebleven of zelfs gedaald 116 . Eventuele verhogingen waren zeer bescheiden en betroffen gemiddeld minder dan twee voltijdequivalenten (vte’s) 117 . Bij bijna de helft van de toezichthoudende autoriteiten voor gegevensbescherming (waaronder die met een totaal aantal werknemers van meer dan 100 vte’s) werkt minder dan 1 % tot 7 % van het totale personeelsbestand aan de richtlijn rechtshandhaving 118 . In absolute cijfers wijst ongeveer de helft van de toezichthoudende autoriteiten voor gegevensbescherming tussen 1 en 4 vte’s toe aan taken in het kader van de richtlijn rechtshandhaving, terwijl acht toezichthoudende autoriteiten voor gegevensbescherming tussen 7 en 15 vte’s aan deze taken toewijzen. Eén toezichthoudende autoriteit voor gegevensbescherming heeft echter aan 53 vte’s taken in het kader van de richtlijn rechtshandhaving toegewezen 119 . Ook het EDPB-secretariaat heeft minder dan 1,5 vte toegewezen aan kwesties die volledig verband houden met de richtlijn rechtshandhaving.
Deze situatie is niet bevredigend, ook al hebben tien toezichthoudende autoriteiten voor gegevensbescherming aangegeven dat zij over voldoende financiële, personele en technische middelen beschikken 120 . Anderzijds meenden 16 toezichthoudende autoriteiten voor gegevensbescherming over onvoldoende middelen te beschikken. Sommige van deze autoriteiten merkten op dat dit een negatieve invloed had op hun onderzoeken op eigen initiatief 121 , de behandeling van klachten 122 , de inspectie van grootschalige IT-systemen (SIS, VIS) en het uitbrengen van adviezen op eigen initiatief 123 . De specifieke kenmerken van de sector leiden er immers toe dat een doeltreffende handhaving van de richtlijn rechtshandhaving een systematische inspectie vereist van vaak complexe verwerkingsactiviteiten, en dat het niet volstaat te vertrouwen op individuele klachten (die veel minder talrijk zijn dan voor de AVG) 124 .
Bovendien hebben de toezichthoudende autoriteiten voor gegevensbescherming gewezen op het gebrek aan IT-expertise om de steeds grotere complexiteit van de IT-technologieën die op het gebied van rechtshandhaving worden gebruikt, aan te pakken 125 .
3.4.2Gebruik van bevoegdheden
Gebruik van corrigerende bevoegdheden
In totaal hebben 19 toezichthoudende autoriteiten voor gegevensbescherming hun onderzoeksbevoegdheden uitgeoefend, hetzij op eigen initiatief, hetzij op basis van een klacht 126 . De toezichthoudende autoriteiten voor gegevensbescherming maakten slechts in een zeer klein aantal gevallen melding van moeilijkheden (bijvoorbeeld wanneer een verwerkingsverantwoordelijke niet alle relevante informatie verstrekte of de toegang tot informatie weigerde) 127 .
Dezelfde 19 toezichthoudende autoriteiten voor gegevensbescherming hebben ook gebruikgemaakt van hun corrigerende bevoegdheden. De verreweg meest gebruikte bevoegdheid was het afgeven van bevelen om de verwerking in overeenstemming te brengen met de wet, met inbegrip van bevelen om persoonsgegevens te rectificeren of te wissen of de verwerking ervan te beperken. De toezichthoudende autoriteiten voor gegevensbescherming hebben in 114 gevallen van deze bevoegdheid gebruikgemaakt. Het feit dat deze bevoegdheid om een tijdelijke of definitieve beperking (met inbegrip van een verbod) van de verwerking te gelasten slechts in vier gevallen werd gebruikt 128 , toont aan dat de toezichthoudende autoriteiten voor gegevensbescherming deze bevoegdheden zorgvuldig hebben gebruikt.
Gebruik van adviesbevoegdheden
Systematisch voorafgaand overleg plegen en de toezichthoudende autoriteiten voor gegevensbescherming om advies vragen over ontwerpen van wettelijke en bestuursrechtelijke maatregelen zijn doeltreffende middelen om een hoog niveau van bescherming van het recht op de bescherming van persoonsgegevens te waarborgen en het aantal klachten achteraf te verminderen. Voorafgaande raadpleging van de toezichthoudende autoriteiten voor gegevensbescherming is met name belangrijk bij het gebruik van nieuwe technologieën die een aanzienlijke impact kunnen hebben op de grondrechten.
De helft van de toezichthoudende autoriteiten voor gegevensbescherming meldde te zijn geraadpleegd over effectbeoordelingen op het gebied van gegevensbescherming. Het aantal voorafgaande raadplegingen verschilt van lidstaat tot lidstaat. Sommige autoriteiten werden slechts één keer geraadpleegd, terwijl een andere autoriteit 59 keer vooraf werd geraadpleegd 129 . In de meeste van deze gevallen hebben de toezichthoudende autoriteiten voor gegevensbescherming schriftelijk advies verstrekt en in sommige gevallen gebruikgemaakt van hun corrigerende bevoegdheden ten aanzien van de verwerking — zij hebben met name waarschuwingen gegeven of maatregelen gelast om de gegevensverwerking in overeenstemming met de wet te brengen. In één geval heeft de toezichthoudende autoriteit voor gegevensbescherming een negatief advies uitgebracht, dat hetzelfde effect lijkt te hebben gehad als een verwerkingsverbod.
Voorts blijkt dat de toezichthoudende autoriteiten voor gegevensbescherming ook buiten de procedure van voorafgaande raadpleging verzoeken om advies behandelen. Het meest voorkomende type kwestie waarover de bevoegde autoriteiten de toezichthoudende autoriteiten voor gegevensbescherming om advies verzochten, had betrekking op specifieke vormen van verwerking (met name het gebruik van nieuwe technologieën, mechanismen of procedures, op de voet gevolgd door passende beveiligingsmaatregelen, de verwerking van bijzondere categorieën persoonsgegevens, de vaststelling van de rechtsgrondslag voor de verwerking, het beginsel van opslagbeperking en passende opslagtermijnen 130 ).
Voorts hebben 22 toezichthoudende autoriteiten voor gegevensbescherming advies uitgebracht aan hun nationale parlementen en regeringen over wetgevende en bestuursrechtelijke maatregelen in verband met de verwerking van persoonsgegevens. Verscheidene gaven aan af en toe te worden geraadpleegd 131 .
3.4.3Rechterlijke toetsing van het optreden van de toezichthoudende autoriteiten voor gegevensbescherming
Bijna de helft van de toezichthoudende autoriteiten voor gegevensbescherming gaf aan dat zij in een klein aantal gevallen te maken kregen met gerechtelijke procedures betreffende hun besluiten of het uitblijven van maatregelen. De procedures werden hoofdzakelijk ingeleid door de betrokkenen en in een paar gevallen door de bevoegde autoriteiten 132 . Verscheidene zaken werden door de rechter niet-ontvankelijk verklaard of werden door de verzoekers ingetrokken. De rechtbank bevestigde het besluit van de toezichthoudende autoriteit voor gegevensbescherming in de meeste van de resterende gevallen, maar maakte het in enkele gevallen ongedaan (en andere zaken zijn nog hangende). Vanwege het geringe aantal uitspraken tot dusver kan nog geen duidelijke tendens worden vastgesteld.
3.4.4Richtsnoeren van het EDPB
Voor een doeltreffende justitiële samenwerking in strafzaken en een doeltreffende politiële samenwerking zijn samenhang en een hoge mate van bescherming tussen de lidstaten van essentieel belang 133 . De richtlijn rechtshandhaving bepaalt dat het EDPB richtsnoeren, aanbevelingen en beste praktijken moet uitvaardigen (op eigen initiatief of op verzoek van de Commissie) om ervoor te zorgen dat de lidstaten de richtlijn consequent toepassen. Het EDPB heeft richtsnoeren met betrekking tot de richtlijn rechtshandhaving opgesteld die specifiek zijn voor hoofdstuk V (internationale doorgiften 134 ), evenals richtsnoeren over het gebruik van gezichtsherkenningstechnologieën 135 , en (in haar vroegere hoedanigheid van Groep gegevensbescherming artikel 29) een advies over een aantal kernkwesties van de richtlijn rechtshandhaving 136 .
Veel van de richtsnoeren van het EDPB inzake de AVG zijn ook relevant voor de richtlijn rechtshandhaving, voor zover zij berusten op gemeenschappelijke begrippen of technologieën. Dat geldt onder meer voor de richtsnoeren over de begrippen verwerkingsverantwoordelijke en verwerker 137 , over de rechten van betrokkenen 138 , over de melding van inbreuken in verband met persoonsgegevens 139 , over gegevensbeschermingseffectbeoordelingen 140 , over gegevensbescherming door ontwerp en door standaardinstellingen 141 , en over geautomatiseerde individuele besluitvorming 142 .
Het opstellen van alomvattende en praktische richtsnoeren vergt veel werk en middelen, maar richtsnoeren zijn van essentieel belang (zoals ook de Raad heeft opgemerkt 143 ). Het is daarom zeer positief dat het EDPB heeft aangekondigd binnenkort aanvullende richtsnoeren te verstrekken, onder meer over het concept van de effectieve onderzoeks- en corrigerende bevoegdheden van de toezichthoudende autoriteiten voor gegevensbescherming, en over internationale doorgiften die passende waarborgen moeten bieden.
Door de EDPB-richtsnoeren kan ook de werklast van de toezichthoudende autoriteiten voor gegevensbescherming worden verminderd (bv. taken zoals advies verstrekken aan verwerkingsverantwoordelijken of de behandeling van klachten). Zo behoren verschillende van de kwesties die in het advies van de Groep gegevensbescherming artikel 29 met betrekking tot enkele kernpunten van de richtlijn worden behandeld (zoals passende termijnen, de rechtsgrondslag van de verwerking, voorwaarden voor de verwerking van bijzondere categorieën van gegevens) ook tot de meest voorkomende kwesties waarover de bevoegde autoriteiten de toezichthoudende autoriteiten voor gegevensbescherming om advies hebben gevraagd 144 .
3.4.5Wederzijdse bijstand
Met het oog op een consequente toepassing van de richtlijn rechtshandhaving moeten de toezichthoudende autoriteiten voor gegevensbescherming elkaar wederzijdse bijstand bieden. Dit omvat bijstand in de vorm van verzoeken om informatie en verzoeken om raadplegingen, inspecties en onderzoeken 145 . Tot dusver is echter zeer zelden gebruikgemaakt van wederzijdse bijstand. Slechts zes toezichthoudende autoriteiten voor gegevensbescherming hebben er gebruik van gemaakt, hoofdzakelijk in antwoord op verzoeken om informatie van andere toezichthoudende autoriteiten voor gegevensbescherming. De meeste toezichthoudende autoriteiten voor gegevensbescherming hebben aangegeven slechts één verzoek om informatie te hebben ontvangen. Al deze toezichthoudende autoriteiten voor gegevensbescherming meldden dat zij aan het desbetreffende verzoek hadden voldaan. Ook van de vrijwillige wederzijdse bijstand, waarvoor geen wettelijke termijn of strikte verplichting om hierop te antwoorden geldt, is geen gebruikgemaakt. Het EDPB heeft verklaard richtsnoeren te publiceren over het kader voor wederzijdse bijstand uit hoofde van de AVG en de richtlijn rechtshandhaving 146 .
3.5Flexibel instrument voor internationale doorgifte van gegevens
Hoofdstuk V van de richtlijn rechtshandhaving heeft betrekking op de doorgifte van persoonsgegevens aan bevoegde autoriteiten in derde landen en internationale organisaties. Dit hoofdstuk waarborgt in wezen dat er continuïteit van bescherming is wanneer persoonsgegevens voor rechtshandhavingsdoeleinden vanuit een lidstaat worden doorgegeven aan een derde land of een internationale organisatie. Zoals hierboven is aangegeven, is die continuïteit van bescherming een belangrijke voorwaarde voor een snelle, doeltreffende en rechtszekere samenwerking tussen vertrouwde partners op het gebied van rechtshandhaving.
Krachtens de desbetreffende voorschriften van de richtlijn rechtshandhaving 147 moeten internationale doorgiften tussen bevoegde autoriteiten in de zin van de richtlijn rechtshandhaving met name gebaseerd zijn op een van de verschillende instrumenten van doorgifte die in de artikelen 36 tot en met 38 van de richtlijn worden genoemd (wanneer de gegevens afkomstig zijn uit een andere lidstaat, is voor de doorgifte ook de voorafgaande toestemming van die lidstaat vereist). Deze instrumenten omvatten besluiten waarbij een passend beschermingsniveau wordt vastgesteld, doorgiften op basis van passende waarborgen en afwijkingen voor specifieke gevallen. Artikel 39 van de richtlijn rechtshandhaving staat ook rechtstreekse doorgifte toe aan ontvangers in derde landen die geen strafrechtelijke rechtshandhavingsautoriteiten zijn, in afzonderlijke en specifieke gevallen, en onder verschillende voorwaarden.
3.5.1Adequaatheidsbesluiten
De Commissie heeft haar werkzaamheden versneld om het volledige potentieel van de in het kader van de richtlijn rechtshandhaving beschikbare instrumenten te verwezenlijken. Zo is in juni 2021 met het Verenigd Koninkrijk voor het eerst een “adequaatheidsbesluit” vastgesteld betreffende gegevensverwerking voor rechtshandhavingsdoeleinden in het kader van artikel 36 van de richtlijn 148 . Dit adequaatheidsbesluit maakt een veilig en vrij verkeer van persoonsgegevens naar de bevoegde autoriteiten van het betrokken derde land mogelijk, zonder dat verdere waarborgen of specifieke toestemming nodig zijn (tenzij een andere lidstaat waarvan de gegevens zijn verkregen zijn toestemming moet geven voor de doorgifte 149 ). Het adequaatheidsbesluit voor het Verenigd Koninkrijk van juni 2021 is een cruciaal fundament voor politiële en justitiële samenwerking na de brexit, die volgens de handels- en samenwerkingsovereenkomst tussen de EU en het Verenigd Koninkrijk is gebaseerd op de “jarenlange inzet van de Partijen om een hoog niveau van bescherming van persoonsgegevens te waarborgen” 150 . Overeenkomstig artikel 36, lid 4, van de richtlijn rechtshandhaving houdt de Commissie toezicht op elke ontwikkeling in het rechtskader van het Verenigd Koninkrijk die mogelijk invloed zou kunnen hebben op dit adequaatheidsbesluit. Dit adequaatheidsbesluit met het Verenigd Koninkrijk geldt voor een periode van vier jaar vanaf de inwerkingtreding ervan, die in beginsel met nog eens vier jaar kan worden verlengd indien uit het toezicht van de Commissie blijkt dat het Verenigd Koninkrijk nog steeds een adequaat beschermingsniveau handhaaft 151 .
Daarnaast heeft het EDPB ook bijgedragen aan de ontwikkeling van dit instrument door de wettelijke norm te verduidelijken door middel van richtsnoeren over de elementen die in aanmerking moeten worden genomen bij de beoordeling van adequaatheid in het kader van rechtshandhaving, met de publicatie van de adequaatheidsreferentie in het kader van de richtlijn rechtshandhaving 152 . Het derde land moet met name zorgen voor afdwingbare individuele rechten, doeltreffende gerechtelijke beroepsmogelijkheden en onafhankelijk toezicht.
De Commissie houdt zich actief bezig met de bevordering van mogelijke adequaatheidsvaststellingen met andere belangrijke internationale partners, met name met die landen waarmee nauw en snel moet worden samengewerkt bij de bestrijding van criminaliteit en terrorisme en waarmee reeds op grote schaal persoonsgegevens worden uitgewisseld 153 . Tot dusver zijn er nog geen andere adequaatheidsbesluiten vastgesteld, maar dat komt vooral omdat dit instrument nog maar onlangs is ingevoerd. Bovendien begint de wereldwijde convergentie van de gegevensbeschermingsregels op het gebied van strafrechtelijke rechtshandhaving, anders dan voor de gegevensverwerking door commerciële marktdeelnemers, zich nu pas te ontwikkelen (bijvoorbeeld door multilaterale regelingen zoals het gemoderniseerde Verdrag 108 van de Raad van Europa of het tweede aanvullend protocol bij het Verdrag van Boedapest inzake cybercriminaliteit). Niettemin zal de ervaring die is opgedaan met de vaststelling van het adequaatheidsbesluit met het Verenigd Koninkrijk helpen de weg te effenen voor soortgelijke initiatieven in de komende jaren. De Commissie zal, als onderdeel van haar internationale strategie, andere mogelijke kandidaten voor toekomstige adequaatheidsbesluiten in het kader van de richtlijn rechtshandhaving onderzoeken en zal dit in rechtstreeks contact doen met de andere relevante EU-instellingen en -organen 154 . Daartoe zal de Commissie, overeenkomstig overweging 68 van de richtlijn rechtshandhaving, nauwlettend toezien op de internationale verplichtingen van de beoordeelde landen met betrekking tot de bescherming van persoonsgegevens, met inbegrip van de toetreding tot de voornoemde multilaterale regelingen of tot andere rechtshandhavingsinstrumenten die passende waarborgen voor gegevensbescherming bieden.
3.5.2Passende waarborgen
De richtlijn rechtshandhaving bevat andere instrumenten voor doorgifte naast de alomvattende oplossing van een adequaatheidsbesluit. De flexibiliteit van deze “toolbox” komt tot uiting in artikel 37 van de richtlijn, dat de doorgifte van gegevens regelt op basis van “passende waarborgen” ten aanzien van de bescherming van persoonsgegevens. Dergelijke passende waarborgen kunnen worden geboden door middel van een juridisch bindend instrument, of wanneer de verwerkingsverantwoordelijke, op basis van een beoordeling van alle omstandigheden rond de doorgifte, tot de conclusie komt dat er sprake is van passende waarborgen (de zogenoemde “eigen beoordeling” voor doorgiften).
In de eerste jaren van de toepassing van de richtlijn rechtshandhaving heeft de Commissie met name gewerkt aan juridisch bindende instrumenten in de vorm van internationale overeenkomsten die passende waarborgen bieden. Dergelijke overeenkomsten spelen een belangrijke rol bij zowel “traditionele” vormen van samenwerking op het gebied van rechtshandhaving (d.w.z. samenwerking tussen bevoegde autoriteiten), als bij andere vormen hiervan (d.w.z. samenwerking waarbij derde partijen zoals particuliere ondernemingen betrokken zijn). Zij kunnen ook dienen als basis voor de doorgifte van gegevens door Europol en Eurojust op grond van hun respectieve rechtskaders, waarvan de regels inzake internationale doorgifte sterk lijken op die van de richtlijn rechtshandhaving.
Wat de traditionele vormen van samenwerking op het gebied van rechtshandhaving betreft, is de Commissie bezig met de herziening van internationale overeenkomsten die vóór de inwerkingtreding van de richtlijn rechtshandhaving zijn gesloten, om ervoor te zorgen dat deze in overeenstemming zijn met de gemoderniseerde gegevensbeschermingsregeling van de EU 155 .
Ten eerste beoordeelt de Commissie de gegevensbeschermingsbepalingen in de bestaande samenwerkingsovereenkomsten van Europol 156 met derde landen die vóór 1 mei 2017 zijn gesloten, zoals haar is opgedragen bij Verordening (EU) 2016/794 betreffende het Agentschap van de Europese Unie voor samenwerking op het gebied van rechtshandhaving (hierna “de Europol-verordening”) 157 . Overeenkomstig artikel 9 van protocol nr. 36 bij het Verdrag betreffende de Europese Unie 158 en het VWEU (betreffende overgangsbepalingen) blijven de rechtsgevolgen van deze overeenkomsten gehandhaafd totdat deze overeenkomsten zijn ingetrokken, nietig verklaard of gewijzigd 159 . De Commissie zal het Europees Parlement en de Raad op de hoogte brengen van het resultaat van deze beoordeling en zal, in voorkomend geval, bij de Raad een aanbeveling indienen voor een besluit houdende machtiging tot het openen van onderhandelingen om de respectieve overeenkomst(en) te wijzigen overeenkomstig artikel 218 VWEU. Dit is een complexe taak, die de beoordeling van 18 overeenkomsten omvat en vertraging heeft opgelopen door de verstoringen als gevolg van de COVID-19-pandemie. De Commissie verwacht haar beoordeling in de tweede helft van 2022 te kunnen afronden.
De samenhang van alle samenwerkingsmechanismen op het gebied van rechtshandhaving met de regels van de richtlijn rechtshandhaving is een leidend beginsel dat door de Commissie ook wordt gevolgd bij onderhandelingen over nieuwe overeenkomsten voor de doorgifte van persoonsgegevens door Europol aan derde landen of internationale organisaties. Sinds de huidige Europol-verordening in 2017 in werking is getreden, is artikel 218 VWEU de rechtsgrondslag voor dergelijke internationale overeenkomsten die passende waarborgen bieden. In 2018 en 2019 heeft de Raad negen mandaten voor de Commissie vastgesteld om namens de EU onderhandelingen met derde landen te beginnen. De Commissie is ook gemachtigd om onderhandelingen te beginnen over een samenwerkingsovereenkomst met Interpol die betrekking heeft op de uitwisseling van gegevens met verschillende EU-organen en -agentschappen. In al deze gevallen heeft de Raad onderhandelingsrichtsnoeren aan de Commissie verschaft om ervoor te zorgen dat de nodige waarborgen voor de bescherming van persoonsgegevens en andere fundamentele rechten en vrijheden van personen worden opgenomen. Op basis daarvan heeft de Commissie de onderhandelingen met Nieuw-Zeeland al afgerond, wat heeft geleid tot de ondertekening van een samenwerkingsovereenkomst op 30 juni 2022. Daarnaast is vooruitgang geboekt in de onderhandelingen met Israël. Wat Turkije betreft, zijn de onderhandelingen in een vergevorderd stadium, maar zij kunnen pas worden afgesloten wanneer Turkije de nodige hervormingen van zijn gegevensbeschermingswetgeving heeft vastgesteld. In maart 2021 zijn soortgelijke machtigingen verleend voor onderhandelingen over samenwerkingsovereenkomsten om de uitwisseling van gegevens door Eurojust met 13 derde landen mogelijk te maken.
Ten tweede voert de Commissie de eerste gezamenlijke evaluatie uit van de overeenkomst tussen de Verenigde Staten van Amerika en de Europese Unie inzake de bescherming van persoonsgegevens in verband met de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten (de “raamovereenkomst”). De raamovereenkomst, die in februari 2017 in werking is getreden, bevat een uitgebreide en geharmoniseerde reeks gegevensbeschermingsregels die van toepassing zijn op alle trans-Atlantische uitwisselingen tussen bevoegde autoriteiten. Zij vormt een aanvulling op bestaande overeenkomsten tussen rechtshandhavingsinstanties van de EU en de VS en tussen rechtshandhavingsinstanties van de EU-lidstaten en de VS, stelt een norm vast voor een hoge mate van bescherming voor toekomstige overeenkomsten op dit gebied, en versterkt de samenwerking op het gebied van rechtshandhaving door de uitwisseling van informatie te bevorderen. De gezamenlijke evaluatie heeft tot doel de doeltreffende uitvoering van de raamovereenkomst te beoordelen, met name wat betreft de bepalingen inzake verdere doorgifte, individuele rechten en beroepsmogelijkheden. Het tijdschema voor de gezamenlijke evaluatie werd beïnvloed door de verstoringen in verband met de COVID-19-pandemie, alsook door de gelijktijdige onderhandelingen over het tweede aanvullend protocol bij het Verdrag van Boedapest inzake cybercriminaliteit van de Raad van Europa 160 . De Commissie verwacht dat de evaluatie in de tweede helft van 2022 wordt afgerond.
Als eerste bilaterale internationale overeenkomst met een brede catalogus van rechten en verplichtingen inzake gegevensbescherming is de raamovereenkomst een referentiepunt voor onderhandelingen over soortgelijke kaderovereenkomsten met belangrijke partners op het gebied van strafrechtelijke handhaving 161 . Daarbij zal de Commissie ook rekening houden met relevante ontwikkelingen, waaronder het EDPB-richtsnoeren, jurisprudentie van het HvJ-EU en de resultaten van internationale onderhandelingen over gegevensbeschermingswaarborgen op dit gebied (bijvoorbeeld het tweede aanvullend protocol bij het Verdrag van Boedapest inzake cybercriminaliteit of de overeenkomst van Europol met Nieuw-Zeeland 162 ).
Ten derde heeft de Commissie de overeenkomst tussen de Europese Unie en Japan betreffende wederzijdse rechtshulp in strafzaken 163 aangemerkt als een EU-besluit dat de verwerking (doorgiften) van gegevens voor strafrechtelijke rechtshandhavingsdoeleinden regelt en dat moet worden gewijzigd om te zorgen voor passende gegevensbeschermingswaarborgen die in overeenstemming zijn met de richtlijn rechtshandhaving. Na de vaststelling door de Raad van een besluit 164 houdende machtiging tot het openen van onderhandelingen over de wijziging van de Overeenkomst tussen de EU en Japan betreffende wederzijdse rechtshulp in strafzaken, blijft de Commissie contact onderhouden met de Japanse autoriteiten teneinde de onderhandelingen zo spoedig mogelijk te beginnen.
Bovendien wordt nu ook steeds meer een beroep gedaan op andere vormen van samenwerking, die zijn aangepast aan de specifieke uitdagingen en behoeften van strafrechtelijke onderzoeken in de huidige digitale economie. Het gaat daarbij voornamelijk om nauwere samenwerking op het gebied van cybercriminaliteit en om het verzamelen van bewijsmateriaal in elektronische vorm met betrekking tot strafbare feiten. Deze samenwerking omvat ook rechtstreekse samenwerking met particuliere partijen voor de toegang tot elektronisch bewijsmateriaal.
De Commissie heeft eveneens banden gelegd met internationale partners om ervoor te zorgen dat deze andere (belangrijke) vormen van samenwerking kunnen plaatsvinden op basis van passende waarborgen inzake gegevensbescherming.
Ten eerste heeft de Commissie de EU vertegenwoordigd bij de onderhandelingen 165 in het kader van de Raad van Europa over een tweede aanvullend protocol bij het Verdrag van Boedapest inzake cybercriminaliteit 166 . Het protocol, dat op 17 november 2021 door het Comité van ministers van de Raad van Europa is goedgekeurd, bevat solide waarborgen voor de bescherming van de grondrechten, waaronder een artikel 167 met gedetailleerde bepalingen over de bescherming van persoonsgegevens die in het kader van het protocol worden doorgegeven. Deze bepalingen bestrijken alle essentiële beginselen, rechten en verplichtingen inzake gegevensbescherming die in het EU-recht zijn erkend. Deze waarborgen worden aangevuld met een bepaling inzake toezicht en met de mogelijkheid om doorgiften op te schorten in geval van systematische of wezenlijke inbreuk op de waarborgen van het protocol, bijvoorbeeld het ontbreken van doeltreffende rechtsmiddelen. Met deze bepalingen worden passende waarborgen geboden die in overeenstemming zijn met de voorschriften van artikel 37, lid 1, punt a), van de richtlijn rechtshandhaving 168 . Dit is een noemenswaardige prestatie gezien de uiteenlopende juridische achtergronden en tradities van de momenteel 66 verdragsluitende staten bij het Verdrag van Boedapest. Het zal de bevoegde autoriteiten van de lidstaten in staat stellen te profiteren van doeltreffende grensoverschrijdende samenwerking bij de bestrijding van cybercriminaliteit, terwijl tegelijkertijd de inachtneming van de EU-waarden, zoals weergegeven in het EU-Handvest van de grondrechten, de EU-Verdragen en het afgeleide recht van de EU, wordt gewaarborgd. Gezien het grote aantal partijen bij het Verdrag van Boedapest, waartoe momenteel landen uit de hele wereld behoren, zal het protocol ook bijdragen tot de bevordering van strenge gegevensbeschermingsnormen voor de verwerking van gegevens op het gebied van strafrechtelijke rechtshandhaving op mondiaal niveau. Het protocol is op 12 mei 2022 voor ondertekening opengesteld en in totaal hebben 22 partijen bij het Verdrag van Boedapest (waaronder 13 EU-lidstaten) het reeds ondertekend.
Ten tweede is de Commissie onderhandelingen begonnen over een bilaterale overeenkomst met de Verenigde Staten betreffende grensoverschrijdende toegang tot elektronisch bewijsmateriaal ten behoeve van justitiële samenwerking in strafzaken 169 . Deze overeenkomst heeft betrekking op elektronisch bewijsmateriaal dat al dan niet persoonsgebonden gegevens betreft, met inbegrip van verkeers- en inhoudsgegevens. Een belangrijk punt is dat de onderhandelingen ook gericht zijn op de opneming van verdere waarborgen inzake gegevensbescherming, die de waarborgen van de raamovereenkomst zouden aanvullen, waarbij met name rekening wordt gehouden met de gevoeligheid van de betrokken categorieën gegevens, alsmede met de eisen die worden gesteld aan de rechtstreekse overdracht van elektronisch bewijsmateriaal door dienstverleners. De voortgang van deze onderhandelingen zal grotendeels afhangen van de voortgang bij het lopende wetgevingsproces betreffende het pakket elektronisch bewijsmateriaal van de EU 170 .
Deze verschillende initiatieven van de Commissie om internationale instrumenten te ontwikkelen die de samenwerking op het gebied van rechtshandhaving met internationale partners vergemakkelijken en tegelijkertijd passende waarborgen voor gegevensbescherming bieden, zijn ondersteund door de werkzaamheden van het EDPB en de EDPS. Deze werkzaamheden omvatten onder meer de verklaring van het EDPB over het ontwerp van een tweede aanvullend protocol bij het Verdrag van Boedapest 171 en de adviezen van de EDPS over de ontwerponderhandelingsmandaten voor internationale overeenkomsten uit hoofde van artikel 218 VWEU, die Europol en Eurojust in staat zouden stellen persoonsgegevens uit te wisselen met derde landen of internationale organisaties 172 . Het EDPB heeft ook een verklaring afgelegd waarin de lidstaten wordt verzocht internationale overeenkomsten die internationale doorgifte van persoonsgegevens behelzen, te evalueren en, waar nodig, te herzien 173 . Deze verklaring heeft betrekking op overeenkomsten die vóór 6 mei 2016 zijn gesloten, ook op het gebied van strafrechtelijke rechtshandhaving, en verzoekt de lidstaten te bepalen of verdere afstemming op de EU-wetgeving inzake gegevensbescherming en jurisprudentie is vereist.
Artikel 37 van de richtlijn rechtshandhaving staat ook internationale doorgifte van gegevens toe op basis van een eigen beoordeling door een bevoegde autoriteit van de vraag of een derde land (of een internationale organisatie) passende waarborgen voor gegevensbescherming heeft. In deze gevallen moet de autoriteit de doorgifte documenteren (met inbegrip van de datum en het tijdstip, informatie over de ontvangende autoriteit, de reden voor de doorgifte en de doorgegeven persoonsgegevens zelf) en moet de documentatie desgevraagd ter beschikking van de toezichthoudende autoriteit worden gesteld (artikel 37, lid 3, richtlijn rechtshandhaving). Uit de door de lidstaten verstrekte feedback 174 blijkt dat dit instrument zelden is gebruikt.
Om de lidstaten in staat te stellen ten volle gebruik te maken van de instrumenten van de richtlijn rechtshandhaving, is het van belang dat het EDPB zijn lopende werkzaamheden met betrekking tot de verschillende mechanismen voor doorgifte versterkt. Het moet onder meer richtsnoeren verstrekken over de in artikel 37, lid 1, van de richtlijn opgenomen mechanismen, met name over doorgiften op basis van eigen beoordelingen door de bevoegde autoriteiten. Ook de Raad heeft op deze noodzaak gewezen 175 .
3.5.3Gebruik van afwijkingen
Tot slot bieden de zogenoemde “afwijkingen” een belangrijke grond voor doorgiften onder bepaalde voorwaarden, welke zijn neergelegd in artikel 38 van de richtlijn rechtshandhaving. Deze voorwaarden zorgen voor een evenwicht tussen privacyoverwegingen en de operationele behoeften van de bevoegde autoriteiten. Met name krachtens artikel 38, lid 1, worden doorgiften, en zelfs categorieën van doorgiften, van persoonsgegevens toegelaten indien dit noodzakelijk is om een onmiddellijke en ernstige bedreiging van de openbare veiligheid te voorkomen 176 of, in afzonderlijke gevallen, voor de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten 177 . In tegenstelling tot afwijkingen op grond van artikel 49 AVG, bestaan er momenteel geen richtsnoeren voor afwijkingen op grond van artikel 38 van de richtlijn rechtshandhaving.
3.5.4Doeltreffende grensoverschrijdende politiële en justitiële samenwerking
De richtlijn rechtshandhaving is een internationaal referentiepunt geworden voor gegevensbescherming in het kader van rechtshandhaving en heeft als katalysator gewerkt voor landen over de hele wereld om de invoering van moderne privacyregels op dit gebied te overwegen. Dit is een zeer positieve ontwikkeling, die nieuwe mogelijkheden biedt om personen in de EU beter te beschermen wanneer hun gegevens voor rechtshandhavingsdoeleinden naar het buitenland worden doorgegeven, en tegelijkertijd gegevensstromen vergemakkelijkt die kunnen helpen bij de bestrijding van criminaliteit.
Meer in het algemeen is het van belang ervoor te zorgen dat wanneer ondernemingen die actief zijn op de Europese markt verzoeken om rechtstreekse samenwerking ontvangen om gegevens te delen voor rechtshandhavingsdoeleinden, zij hieraan gehoor kunnen geven zonder met wetsconflicten te maken te krijgen en met volledige inachtneming van de grondrechten van de EU 178 . Om dergelijke doorgiften te verbeteren, streeft de Commissie ernaar samen met haar internationale partners passende rechtskaders te ontwikkelen om wetsconflicten te voorkomen en doeltreffende vormen van samenwerking te ondersteunen, met name door voor de nodige waarborgen inzake gegevensbescherming te zorgen en zo bij te dragen tot een doeltreffendere bestrijding van criminaliteit.
Tegen deze achtergrond heeft de Commissie zich via bilaterale, regionale en multilaterale betrekkingen actief ingezet voor de internationale convergentie van gegevensbeschermingsnormen voor samenwerking op het gebied van strafrechtelijke rechtshandhaving. Tijdens de dialogen met verschillende buitenlandse partnerlanden over de lopende hervormingen van de gegevensbeschermingswetgeving hebben de diensten van de Commissie zich op verschillende manieren ingezet (bv. bijdragen in het kader van openbare raadplegingen, deelname aan parlementaire hoorzittingen en speciale bijeenkomsten met regeringsvertegenwoordigers en beleidsmakers) voor de ontwikkeling van regels inzake de verwerking van persoonsgegevens door bevoegde autoriteiten.
In regionaal en multilateraal verband steunt de Commissie bijvoorbeeld projecten voor capaciteitsopbouw in het kader van de uitvoering van het Verdrag van Boedapest inzake cybercriminaliteit van de Raad van Europa 179 . Deze projecten omvatten het programma GLACY+ ter versterking van de capaciteit van staten om wetgeving inzake cybercriminaliteit toe te passen en hun vermogen tot doeltreffende internationale samenwerking overeenkomstig het Verdrag van Boedapest en de aanvullende protocollen te vergroten. Dit omvat ook de ontwikkeling van wetgeving inzake gegevensbescherming voor gegevensverwerking op dit gebied. Het programma ondersteunt momenteel 17 prioritaire en hub-landen in Afrika, Azië en de Stille Oceaan, Latijns-Amerika en het Caribisch gebied.
De Commissie werkt ook samen met Ameripol, een organisatie voor politiesamenwerking waarin 18 landen van Latijns-Amerika zijn verenigd, met het oog op de ontwikkeling van een gegevensbeschermingskader voor de uitwisseling van informatie tussen Ameripol en haar lidstaten. Deze samenwerking vindt plaats via “EL PAcCTO: Support to Ameripol”, een project dat tot doel heeft de internationale samenwerking tussen de politiële, justitiële en openbare ministeries van de partnerlanden bij de bestrijding van de georganiseerde misdaad te verbeteren.
De Commissie bevordert ook het gemoderniseerde Verdrag 108 (bekend als Verdrag 108+) 180 , dat eveneens van toepassing is op gegevensverwerkingsactiviteiten voor strafrechtelijke rechtshandhavingsdoeleinden. Dit verdrag, dat ook openstaat voor niet-leden van de Raad van Europa, is niet alleen belangrijk omdat het de enige multilaterale bindende overeenkomst inzake gegevensbescherming is, maar ook omdat het via zijn Verdragscomité een forum biedt voor de uitwisseling van beste praktijken en de vaststelling van wereldwijde normen 181 . In het kader van haar internationale strategie inzake gegevensstromen moedigt de Commissie derde landen aan toe te treden tot het Verdrag 108+.
Tot slot moedigt de Commissie een grotere convergentie op internationaal niveau aan door onze ervaringen met aspecten van gegevensbescherming binnen samenwerkingen op strafrechtelijk handhavingsgebied met partners te delen. De “Data Protection Academy” van de Commissie, een onderdeel van het project “International Digital Cooperation — Enhanced Data Protection and Data Flows”, dat wordt gefinancierd door Instrumenten buitenlands beleid, is een belangrijk instrument in verband met dit streven. De Academy is opgericht om uitwisselingen tussen Europese regelgevers en regelgevers van derde landen te bevorderen en de samenwerking in de praktijk te verbeteren. De activiteiten ervan bestrijken alle aspecten van het toezicht op gegevensbescherming, ook op het gebied van rechtshandhaving.
4Volgende stappen
Om te zorgen voor een efficiënt EU-veiligheidsbeleid dat het grondrecht op de bescherming van persoonsgegevens volledig in acht neemt, zal de Commissie blijven controleren of de lidstaten de richtlijn rechtshandhaving correct hebben omgezet en toezicht blijven houden op de toepassing van de bepalingen ervan.
De richtlijn heeft aanzienlijk bijgedragen tot een meer geharmoniseerd en hoger niveau van bescherming van de rechten van personen en een coherenter rechtskader voor de bevoegde autoriteiten.
De richtlijn rechtshandhaving is over het algemeen op bevredigende wijze omgezet, maar er is ook een aantal problemen vastgesteld. De Commissie heeft reeds inbreukprocedures ingeleid met betrekking tot zowel de niet-omzetting als de non-conformiteit van de nationale wetgevingen met de richtlijn. Zij zal zich blijven inzetten voor een volledige en correcte omzetting.
De richtlijn rechtshandhaving heeft ertoe geleid dat de nationale bevoegde autoriteiten zich meer bewust zijn geworden van en meer aandacht besteden aan gegevensbescherming, ook wat de beveiliging van de verwerking betreft.
Actief toezicht door de toezichthoudende autoriteiten voor gegevensbescherming is van cruciaal belang om ervoor te zorgen dat de doelstellingen van de richtlijn rechtshandhaving in de praktijk worden verwezenlijkt. De autoriteiten moeten derhalve alle soorten bevoegdheden krijgen die de richtlijn voorschrijft, samen met voldoende middelen.
In dit stadium moet de nadruk liggen op de verwezenlijking van het volledige potentieel van de richtlijn rechtshandhaving. In dit verband, en gezien de beperkte ervaring met deze nieuwe regels, is de Commissie van mening dat het nog te vroeg is om een herziening van de richtlijn rechtshandhaving te overwegen.
De Commissie zal actief met alle betrokken partijen blijven samenwerken in het vooruitzicht van de volgende evaluatie die tegen 2026 moet plaatsvinden. In de tussentijd blijft zij zich inzetten om de samenhang met andere EU-wetgeving die relevant is voor de verwerking van persoonsgegevens voor strafrechtelijke rechtshandhavingsdoeleinden te waarborgen.
Rechtskader
De Commissie zal:
-de omzetting van de richtlijn rechtshandhaving door de lidstaten blijven beoordelen en waar nodig passende maatregelen nemen (met inbegrip van het inleiden van inbreukprocedures);
-bilaterale uitwisselingen met de lidstaten nastreven;
-ervoor zorgen dat toekomstige wetgevingsvoorstellen in overeenstemming zijn met de richtlijn rechtshandhaving.
De lidstaten zouden:
-moeten zorgen voor de volledige en correcte omzetting van de richtlijn rechtshandhaving op nationaal niveau, onder meer door de nodige voorschriften van de richtlijn te specificeren wanneer de nationale handelingen inzake gegevensbescherming tot omzetting van de richtlijn dit niet doen.
Toezicht door toezichthoudende autoriteiten voor gegevensbescherming
De lidstaten zouden:
-de toezichthoudende autoriteiten voor gegevensbescherming voldoende middelen moeten verstrekken, zodat zij hun taken in het kader van de richtlijn rechtshandhaving kunnen uitvoeren;
-ervoor moeten zorgen dat de toezichthoudende autoriteiten voor gegevensbescherming alle soorten bevoegdheden kunnen uitoefenen die in de richtlijn rechtshandhaving zijn opgenomen;
-systematisch hun toezichthoudende autoriteiten voor gegevensbescherming moeten raadplegen over wetgevingsontwerpen en bestuursrechtelijke maatregelen van algemene toepassing in verband met de bescherming van persoonsgegevens, en terdege rekening moeten houden met hun adviezen (met name in het geval van nieuwe technologieën).
De toezichthoudende autoriteiten voor gegevensbescherming worden verzocht:
-ten volle gebruik te maken van hun onderzoeksbevoegdheden, onder meer door het verrichten van inspecties op eigen initiatief;
-specifieke statistieken te verzamelen met betrekking tot hun toezichtactiviteiten in het kader van de richtlijn rechtshandhaving;
-gebruik te maken van de instrumenten voor wederzijdse bijstand en praktische maatregelen te ontwikkelen om verzoeken om bijstand te vergemakkelijken, onder meer door middel van de geplande EDPB-richtsnoeren.
Het EDPB wordt verzocht:
-de ondersteuningsgroep van deskundigen (Support Pool of Experts) 182 uit te breiden voor taken die betrekking hebben op de richtlijn rechtshandhaving.
Ondersteuning van de bevoegde autoriteiten
De Commissie zal:
-de discussies en de uitwisseling van ervaringen tussen de lidstaten en de Commissie in de deskundigengroep inzake de richtlijn rechtshandhaving van de lidstaten bevorderen;
-de uitwisseling van standpunten tussen functionarissen voor gegevensbescherming bevorderen via het netwerk van functionarissen voor gegevensbescherming.
De lidstaten worden verzocht:
-hun inspanningen voort te zetten om de bevoegde autoriteiten opleiding te verstrekken over de voorschriften inzake gegevensbescherming, ook met betrekking tot nieuwe technologieën.
Het EDPB en de toezichthoudende autoriteiten voor gegevensbescherming worden verzocht:
-hun inspanningen op te voeren om relevante richtsnoeren vast te stellen (bijvoorbeeld over de rol van toestemming in verband met de verwerking van persoonsgegevens voor strafrechtelijke rechtshandhavingsdoeleinden, en over de rechten van betrokkenen, met inbegrip van de mogelijke beperkingen daarvan), hetzij door nieuwe opzichzelfstaande richtsnoeren vast te stellen, hetzij door de reeds voor de AVG vastgestelde richtsnoeren aan te vullen.
Grensoverschrijdende doorgiften van gegevens
De Commissie is voornemens:
-mogelijke nieuwe adequaatheidsbesluiten actief te bevorderen bij belangrijke internationale partners;
-te onderhandelen over nieuwe samenwerkingsovereenkomsten tussen Europol en Eurojust, enerzijds, en derde landen, anderzijds. Waar nodig zal zij trachten opnieuw te onderhandelen over bestaande Europol-samenwerkingsovereenkomsten om ervoor te zorgen dat daarin passende waarborgen inzake gegevensbescherming worden opgenomen;
-onderhandelingen aan te knopen met Japan met het oog op de wijziging van de bestaande overeenkomst tussen de EU en Japan betreffende wederzijdse rechtshulp, zodat passende waarborgen inzake gegevensbescherming worden geboden;
-de onderhandelingen over een bilaterale overeenkomst met de Verenigde Staten betreffende grensoverschrijdende toegang tot elektronisch bewijsmateriaal ten behoeve van justitiële samenwerking in strafzaken voort te zetten en af te ronden, onder meer door de in de raamovereenkomst tussen de EU en de VS geboden waarborgen inzake gegevensbescherming aan te vullen om de specifieke context van rechtstreekse samenwerking tussen rechtshandhavingsinstanties en dienstverleners te weerspiegelen;
-na te gaan of met belangrijke partners op het gebied van strafrechtelijke rechtshandhaving kaderovereenkomsten inzake gegevensbescherming kunnen worden gesloten voor de gegevensverwerking op het gebied van strafrechtelijke handhaving, naar het voorbeeld van de EU-VS-raamovereenkomst.
Het EDPB wordt verzocht:
-richtsnoeren vast te stellen om het begrip en de inhoud van “passende waarborgen” (artikel 37 van de richtlijn rechtshandhaving) en het gebruik van afwijkingen (artikel 38 van de richtlijn rechtshandhaving) verder te verduidelijken.
Bevordering van convergentie en ontwikkeling van internationale samenwerking
De Commissie zal:
-haar contacten met internationale partners uitbreiden om de convergentie van de gegevensbeschermingsregels op het gebied van strafrechtelijke rechtshandhaving te versterken, onder meer door de toetreding tot het Verdrag 108+ als de enige bindende wereldwijde overeenkomst inzake gegevensbescherming te bevorderen;
-bilaterale, regionale en multilaterale samenwerking bevorderen en projecten voor capaciteitsopbouw op het gebied van gegevensbescherming en politiële samenwerking ondersteunen. Dit omvat opleiding en de uitwisseling van kennis en beste praktijken via de Data Protection Academy.
De lidstaten worden verzocht:
-het tweede aanvullend protocol bij het Verdrag inzake cybercriminaliteit van de Raad van Europa (Boedapest) onverwijld te bekrachtigen, zodra zij daartoe bij besluit van de Raad gemachtigd zijn.
(1)
Richtlijn (EU) 2016/680 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en betreffende het vrije verkeer van die gegevens en tot intrekking van Kaderbesluit 2008/977/JBZ van de Raad (PB L 119 van 4.5.2016, blz. 89).
(2)
Artikel 1, lid 1, richtlijn rechtshandhaving.
(3)
Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (PB L 119 van 4.5.2016, blz. 1).
(4)
Verordening (EU) 2018/1725 van het Europees Parlement en de Raad van 23 oktober 2018 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie en betreffende het vrije verkeer van die gegevens, en tot intrekking van Verordening (EG) nr. 45/2001 en Besluit nr. 1247/2002/EG (PB L 295 van 21.11.2018, blz. 39).
(5)
Het Handvest van de grondrechten van de Europese Unie (PB C 202 van 7.6.2016, blz. 389).
(6)
Geconsolideerde versie van het Verdrag betreffende de werking van de Europese Unie (PB C 202 van 7.6.2016, blz. 47).
(7)
Artikel 63, lid 1, richtlijn rechtshandhaving.
(8)
Kaderbesluit 2008/977/JBZ van de Raad van 27 november 2008 over de bescherming van persoonsgegevens die worden verwerkt in het kader van de politiële en justitiële samenwerking in strafzaken (PB L 350 van 30.12.2008, blz. 60).
(9)
Rechtshandelingen tot regeling van het Schengeninformatiesysteem en andere instrumenten van het Schengenacquis bevatten bijvoorbeeld specifieke bepalingen die zaken als de rechten van betrokkenen regelen.
(10)
Deze omvatten rechtmatigheid en eerlijkheid, doelbinding, gegevensminimalisatie, juistheid, opslagbeperking, integriteit en vertrouwelijkheid, en verantwoording (artikel 4, richtlijn rechtshandhaving).
(11)
Respectievelijk de artikelen 6, 7, 25 en 29 van de richtlijn rechtshandhaving.
(12)
Verklaring 21 betreffende de bescherming van persoonsgegevens op het gebied van justitiële samenwerking in strafzaken en op het gebied van politiële samenwerking, gehecht aan de Slotakte van de intergouvernementele conferentie die het Verdrag van Lissabon heeft aangenomen. (PB C 115 van 9.5.2008, blz. 345).
(13)
Toelichting bij het voorstel voor een richtlijn betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en betreffende het vrije verkeer van die gegevens, COM(2012) 10 final van 25 januari 2012.
(14)
Mededeling van de Commissie aan het Europees Parlement en de Raad “Gegevensbescherming als pijler van zeggenschap van de burger en de EU-aanpak van de digitale transformatie - twee jaar toepassing van de algemene verordening”, COM(2020) 264 final van 24 juni 2020.
(15)
Volgens artikel 62, lid 6, van de richtlijn rechtshandhaving moest de Commissie uiterlijk op 6 mei 2019 andere handelingen van de EU herzien in verband met de verwerking van persoonsgegevens voor rechtshandhavingsdoeleinden, teneinde de noodzaak tot aanpassing aan de richtlijn rechtshandhaving te beoordelen en dat zij in voorkomend geval voorstellen tot wijzigingen van die andere EU-handelingen moest indienen om een consequente aanpak van de bescherming van persoonsgegevens binnen het toepassingsgebied van de richtlijn rechtshandhaving te waarborgen.
(16)
Mededeling van de Commissie aan het Europees Parlement en de Raad “Volgende stappen om het acquis van de voormalige derde pijler aan de gegevensbeschermingsregels aan te passen”, COM(2020) 262 final van 24 juni 2020.
(17)
Hoofdstukken 4 en 5 van titel V van het derde deel van het VWEU.
(18)
Dit is al aan bod gekomen in het voorstel van de Commissie van 2020 tot wijziging van de Europol-verordening.
(19)
Mededeling van de Commissie aan het Europees Parlement en de Raad, Eerste voortgangsverslag over de EU-strategie voor de veiligheidsunie, COM(2020) 797 final van 9 december 2020.
(20)
Mededeling van de Commissie aan het Europees Parlement, de Europese Raad, de Raad, het Europees Economisch en Sociaal Comité en het Comité van de Regio’s betreffende de EU-strategie voor de veiligheidsunie, COM(2020) 605 final van 24 juli 2020.
(21)
Voorstel voor een verordening van het Europees Parlement en de Raad tot vaststelling van geharmoniseerde regels betreffende artificiële intelligentie (wet op de artificiële intelligentie) en tot wijziging van bepaalde wetgevingshandelingen van de Unie, COM(2021) 206 final van 21 april 2021.
(22)
Zo’n 85 % van de onderzoeken naar ernstige misdrijven vereist elektronische informatie en elektronisch bewijsmateriaal, terwijl 65 % van het totale aantal verzoeken naar aanbieders in een ander rechtsgebied gaat. Zie het werkdocument van de diensten van de Commissie (Impact Assessment accompanying the document Proposal for a Regulation of the European Parliament and of the Council on European Production and Preservation Orders for electronic evidence in criminal matters and Proposal for a Directive of the European Parliament and of the Council laying down harmonised rules on the appointment of legal representatives for the purpose of gathering evidence in criminal proceedings), SWD(2018) 118 final.
(23)
Zie ook overweging 25 van de richtlijn rechtshandhaving.
(24)
Bijdrage van de Commissie burgerlijke vrijheden, justitie en binnenlandse zaken van het Europees Parlement aan het komende verslag van de Europese Commissie over de evaluatie en herziening van de richtlijn rechtshandhaving, 7 februari 2022.
(25)
Standpunt en bevindingen van de Raad over de toepassing van de richtlijn rechtshandhaving (document van de Raad 13943/21 van 18 november 2021, https://www.consilium.europa.eu/media/54304/st_13943_2021_init_en.pdf ).
(26)
Bijdrage van het EDPB aan de evaluatie van de richtlijn rechtshandhaving door de Europese Commissie op grond van artikel 62 richtlijn rechtshandhaving, vastgesteld op 14 december 2021 (“Contribution of the EDPB to the evaluation of the Data Protection Law Enforcement Directive (LED) under Article 62”).
https://edpb.europa.eu/system/files/2021-12/edpb_contribution_led_review_en.pdf
(27)
Van de 804 organisaties uit het maatschappelijk middenveld die door het Bureau van de Europese Unie voor de grondrechten (FRA) werden benaderd, hebben er 88 geantwoord. Slechts 17 van de bijdragen konden echter in aanmerking worden genomen omdat 61 bijdragen geen verband hielden met de richtlijn rechtshandhaving, of omdat daarin werd aangegeven dat de betrokken organisatie zich niet bezighield met de bescherming van de grondrechten op het gebied van de strafrechtelijke rechtshandhaving of totaal niet bekend was met de richtlijn rechtshandhaving.
(28)
Verzoek om input, gegevensbescherming bij rechtshandhaving — verslag over de betrokken richtlijn, 24 januari 2022, https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/13288-Gegevensbescherming-bij-rechtshandhaving-verslag-over-de-betrokken-richtlijn_nl
(29)
Deskundigengroep van de Commissie inzake Verordening (EU) 2016/679 en Richtlijn (EU) 2016/680 (E03461); https://ec.europa.eu/transparency/expert-groups-register/screen/expert-groups/consult?do=groupDetail.groupDetail&groupID=3461
(30)
Verslag van het voorzitterschap van de Raad van de Europese Unie over de uitwisseling van politiegegevens met derde landen — ervaringen met de toepassing van artikel 37 van de richtlijn gegevensbescherming bij rechtshandhaving, december 2020.
(31)
Zie overwegingen 101-103 van de richtlijn rechtshandhaving.
(32)
Bijdrage van het EDPB aan de evaluatie van de richtlijn rechtshandhaving, punt 4.
(33)
Standpunt en bevindingen van de Raad over de toepassing van de richtlijn rechtshandhaving, punt 7.
(34)
De autoriteiten in Denemarken, Litouwen, Noorwegen, Oostenrijk en verscheidene autoriteiten in Duitsland houden bijvoorbeeld geen afzonderlijke statistieken bij over inbreuken in verband met gegevens in het kader van de richtlijn rechtshandhaving. Zes autoriteiten hebben ook gemeld dat zij geen meldingen van inbreuken in het kader van de richtlijn rechtshandhaving hebben ontvangen.
(35)
De autoriteiten in Denemarken en Oostenrijk en verscheidene autoriteiten in Duitsland houden bijvoorbeeld geen afzonderlijke statistieken bij over klachten in het kader van de richtlijn rechtshandhaving.
(36)
Bijdrage van het EDPB aan de evaluatie van de richtlijn rechtshandhaving, punt 43.
(37)
Zie voetnoot 29.
(38)
Arrest van 25 februari 2021, Europese Commissie/Koninkrijk Spanje, C-658/19, EU:C:2017:548.
(39)
In april 2022 heeft de Commissie inbreukprocedures ingeleid tegen Griekenland, Finland en Zweden omdat hun nationale omzettingswetten niet in overeenstemming zouden zijn met de richtlijn rechtshandhaving. De zaak tegen Griekenland heeft betrekking op een aantal punten, waaronder de niet-toepassing van de nationale wetgeving tot omzetting van de richtlijn rechtshandhaving inzake de verwerking van persoonsgegevens door justitiële vervolgingsautoriteiten en door autoriteiten die onder hun toezicht optreden voor het merendeel van de strafbare feiten; de omzetting van de bepalingen betreffende de opslag van gegevens en evaluatie hiervan (artikel 5); de rechtsgrondslag voor gegevensverwerking (artikel 8); en de waarborgen in het kader van geautomatiseerde besluitvorming (artikel 11). De inbreukprocedures tegen Finland en Zweden werden ingeleid omdat de wetgeving van deze landen de betrokkenen geen toegang biedt tot een doeltreffende voorziening in rechte. De Commissie heeft in mei 2022 een inbreukprocedure ingeleid tegen Duitsland omdat verscheidene nationale wetten tot omzetting van de richtlijn rechtshandhaving niet voorzien in doeltreffende bevoegdheden tot het treffen van corrigerende maatregelen op federaal en deelstaatniveau.
(40)
Arrest van 12 mei 2021, WS/Bundesrepublik Deutschland, C-505/19, EU:C:2021:376. De zaak betrof onder meer de rechtmatigheid van de verwerking van persoonsgegevens (artikel 4, lid 1, punt a) en artikel 8 van de richtlijn rechtshandhaving) in de specifieke context van een door Interpol uitgevaardigde rode kennisgeving. Het Hof heeft niet uitgesloten dat de verwerking van persoonsgegevens in een door Interpol uitgevaardigde rode kennisgeving rechtmatig is zolang niet in een definitieve rechterlijke beslissing is vastgesteld dat het beginsel ne bis in idem van toepassing is op de handelingen die aan deze rode kennisgeving ten grondslag liggen.
(41)
Arrest van 22 juni 2021, B/Latvijas Republikas Saeima, C-439/19, EU:C:2021:504. Het HvJ-EU heeft de definitie van bevoegde autoriteit van artikel 3, punt 7, en het begrip strafbaar feit uitgelegd. Zie ook het punt hieronder.
(42)
Zie de notulen van de vergadering van de deskundigengroep van de Commissie inzake Verordening (EU) 2016/679 en Richtlijn (EU) 2016/680 van 5 mei 2021 https://ec.europa.eu/transparency/expert-groups-register/screen/meetings/consult?lang=en&meetingId=25283&fromExpertGroups=true
(43)
Bijdrage van het EDPB aan de evaluatie van de richtlijn rechtshandhaving, punt 7.
(44)
De toezichthoudende autoriteiten voor gegevensbescherming van Ierland, Frankrijk en Hongarije hebben dit als een punt van zorg naar voren gebracht.
(45)
Artikel 2, lid 1, richtlijn rechtshandhaving en overwegingen 12-14 van de richtlijn rechtshandhaving.
(46)
Artikel 1 van de richtlijn rechtshandhaving.
(47)
Artikel 3, punt 7, van de richtlijn rechtshandhaving.
(48)
In artikel 41 van Richtlijn (EU) 2015/849 van het Europees Parlement en de Raad van 20 mei 2015 inzake de voorkoming van het gebruik van het financiële stelsel voor het witwassen van geld of terrorismefinanciering, tot wijziging van Verordening (EU) nr. 648/2012 van het Europees Parlement en de Raad en tot intrekking van Richtlijn 2005/60/EG van het Europees Parlement en de Raad en Richtlijn 2006/70/EG van de Commissie, die de werking van de financiële-inlichtingeneenheden (FIE’s) regelt, is uitdrukkelijk bepaald dat de verwerking van persoonsgegevens op grond van deze richtlijn onderworpen is aan Verordening (EU) 2016/679.
(49)
Arrest van 22 juni 2021, B/Latvijas Republikas Saeima, C-439/19, EU:C:2021:504, punt 87.
(50)
Verzoek om een prejudiciële beslissing in C.G./Bezirkshauptmannschaft Landeck, C-548/21.
(51)
Afdeling 1 van hoofdstuk VI van de richtlijn rechtshandhaving.
(52)
Overwegingen 7 en 82 van de richtlijn rechtshandhaving.
(53)
Zie ook punt 23 van de bijdrage van het EDPB aan de evaluatie van de richtlijn rechtshandhaving: 24 lidstaten hebben voor verwerkingsverantwoordelijken en verwerkers voorzien in de bevoegdheid tot toegang tot gebouwen, en tot alle gegevensverwerkingsapparatuur en -middelen; 21 lidstaten hebben voorzien in een auditprocedure en 9 lidstaten hebben voorzien in andere bevoegdheden (bv. inbeslagneming van voorwerpen, verzoeken om te worden gehoord door de toezichthoudende autoriteit voor gegevensbescherming en verzoeken om uitvoerende ondersteuning van de politie).
(54)
Artikel 47, lid 2, punten a) tot en met c), van de richtlijn rechtshandhaving.
(55)
18 lidstaten hebben in die mogelijkheid voorzien: Bulgarije, Tsjechië, Estland, Griekenland, Kroatië, Italië, Cyprus, Letland, Litouwen, Luxemburg, Hongarije, Malta, Nederland, Oostenrijk, Portugal, Roemenië, Slowakije en Zweden. De toezichthoudende autoriteiten voor gegevensbescherming in drie lidstaten (Estland, Letland en Oostenrijk) kunnen boeten opleggen aan natuurlijke personen (bv. werknemers) of aan particuliere entiteiten (d.w.z. particuliere entiteiten die als verwerkers optreden).
(56)
Artikel 52 van de richtlijn rechtshandhaving.
(57)
Artikel 53 van de richtlijn rechtshandhaving.
(58)
Finland en Zweden.
(59)
Artikel 53, lid 2, van de richtlijn rechtshandhaving.
(60)
Artikel 54 van de richtlijn rechtshandhaving.
(61)
Artikel 55 van de richtlijn rechtshandhaving.
(62)
Artikel 5 van de richtlijn rechtshandhaving.
(63)
Verzoek om een prejudiciële beslissing in NG/Direktor na Glavna direktsia “Natsionalna politsia” pri MVR — Sofia, C-118/22.
(64)
Artikel 8, lid 2, van de richtlijn rechtshandhaving.
(65)
Artikel 10 van de richtlijn rechtshandhaving.
(66)
Artikel 11, lid 1, van de richtlijn rechtshandhaving.
(67)
Artikel 11, lid 2, van de richtlijn rechtshandhaving.
(68)
Artikel 11, lid 3, van de richtlijn rechtshandhaving.
(69)
Artikel 15, lid 1, van de richtlijn rechtshandhaving.
(70)
Artikel 13, lid 3, en artikel 16, lid 4, van de richtlijn rechtshandhaving.
(71)
Artikel 17 van de richtlijn rechtshandhaving.
(72)
Artikel 18 van de richtlijn rechtshandhaving.
(73)
Verzoek om een prejudiciële beslissing in TX/Bundesrepublik Deutschland, C-481/21.
(74)
Artikel 6 van de richtlijn rechtshandhaving.
(75)
Verzoek om een prejudiciële beslissing in de zaak Ministerstvo na vatreshnite raboti/B.C., C-205/21.
(76)
Artikel 7 van de richtlijn rechtshandhaving.
(77)
Duitsland heeft gebruikgemaakt van de mogelijkheid voor bepaalde wetten tot omzetting van de richtlijn rechtshandhaving op federaal en deelstaatniveau.
(78)
Artikel 63, lid 2, van de richtlijn rechtshandhaving.
(79)
Artikel 25 van de richtlijn rechtshandhaving.
(80)
Standpunt en bevindingen van de Raad over de toepassing van de richtlijn rechtshandhaving, punt 15.
(81)
Artikel 15 van de richtlijn rechtshandhaving.
(82)
Artikel 16 van de richtlijn rechtshandhaving.
(83)
Artikel 13 van de richtlijn rechtshandhaving.
(84)
Artikel 17 van de richtlijn rechtshandhaving.
(85)
Vier toezichthoudende autoriteiten voor gegevensbescherming verzamelen geen statistieken over verzoeken die zij uit hoofde van artikel 17 van de richtlijn rechtshandhaving hebben ontvangen.
(86)
Deze hebben betrekking op verzoeken die sinds de omzetting van de richtlijn rechtshandhaving tot december 2021 zijn ingediend. Bijdrage van het EDPB aan de evaluatie van de richtlijn rechtshandhaving (individuele antwoorden van de gegevensbeschermingsautoriteit).
(87)
Bijdrage van het EDPB aan de evaluatie van de richtlijn rechtshandhaving, punt 50.
(88)
Bijdrage van het EDPB aan de evaluatie van de richtlijn rechtshandhaving, punt 33.
(89)
Drie organisaties meldden (in het kader van de antwoorden op de vragenlijsten die hun door het Bureau voor de grondrechten waren toegezonden) dat zij één verzoek hadden ontvangen en één organisatie meldde dat zij meer dan één verzoek had ontvangen.
(90)
Bijdrage van het EDPB aan de evaluatie van de richtlijn rechtshandhaving, punt 31.
(91)
Artikel 15 van de richtlijn rechtshandhaving.
(92)
Artikel 16 van de richtlijn rechtshandhaving.
(93)
Artikel 13 van de richtlijn rechtshandhaving.
(94)
Standpunt en bevindingen van de Raad over de toepassing van de richtlijn rechtshandhaving, punt 21.
(95)
Bijdrage van het EDPB aan de evaluatie van de richtlijn rechtshandhaving (individuele antwoorden van de gegevensbeschermingsautoriteit).
(96)
Bijdrage van het EDPB aan de evaluatie van de richtlijn rechtshandhaving, punt 40 en standpunt en bevindingen van de Raad over de toepassing van de richtlijn rechtshandhaving, punt 9.
(97)
Bijdrage van het EDPB aan de evaluatie van de richtlijn rechtshandhaving, punt 70.
(98)
Bijdrage van het EDPB aan de evaluatie van de richtlijn rechtshandhaving, punt 70.
(99)
Artikel 46, lid 1, punt d), van de richtlijn rechtshandhaving.
(100)
Bijdrage van het EDPB aan de evaluatie van de richtlijn rechtshandhaving (individuele antwoorden van de gegevensbeschermingsautoriteit).
(101)
Bijdrage van het EDPB aan de evaluatie van de richtlijn rechtshandhaving, punten 41 en 42.
(102)
Artikelen 32-34 van de richtlijn rechtshandhaving.
(103)
Standpunt en bevindingen van de Raad over de toepassing van de richtlijn rechtshandhaving, punt 22.
(104)
Standpunt en bevindingen van de Raad over de toepassing van de richtlijn rechtshandhaving, punt 25.
(105)
Bijdrage van het EDPB aan de evaluatie van de richtlijn rechtshandhaving, punten 70 en 71, en individuele antwoorden van de gegevensbeschermingsautoriteit (Duitsland, Finland, Frankrijk, Hongarije, Malta).
(106)
Standpunt en bevindingen van de Raad over de toepassing van de richtlijn rechtshandhaving, punt 26.
(107)
Artikelen 30 en 31 van de richtlijn rechtshandhaving.
(108)
De cijfers omvatten alle inbreuken op persoonsgegevens die tussen de omzetting van de richtlijn en december 2021 zijn gemeld. De gegevens zijn verzameld bij de toezichthoudende autoriteiten voor gegevensbescherming in december 2021.
(109)
Spanje, Kroatië, Litouwen, Portugal, Slowakije en Slovenië.
(110)
Werkdocument van de diensten van de Commissie, Mededeling van de Commissie aan het Europees Parlement en de Raad, Gegevensbescherming als pijler van zeggenschap van de burger en de EU-aanpak van de digitale transformatie - twee jaar toepassing van de algemene verordening gegevensbescherming, COM(2020) 264 final.
(111)
Richtsnoeren 01/2021 van het EDPB inzake voorbeelden van melding van inbreuken in verband met persoonsgegevens, aangenomen op 14 December 2021. https://edpb.europa.eu/system/files/2022-01/edpb_guidelines_012021_pdbnotification_adopted_en.pdf
(112)
Artikel 42, lid 4, van de richtlijn rechtshandhaving.
(113)
Mededeling van de Commissie aan het Europees Parlement en de Raad "Gegevensbescherming als pijler van zeggenschap van de burger en de EU-aanpak van de digitale transformatie — twee jaar toepassing van de algemene verordening", COM(2020) 264 final.
(114)
Standpunt en bevindingen van de Raad over de toepassing van de richtlijn rechtshandhaving, punt 12.
(115)
Bijdrage van het EDPB aan de evaluatie van de AVG krachtens artikel 97, 18 februari 2020, blz. 26-29.
https://edpb.europa.eu/sites/default/files/files/file1/edpb_contributiongdprevaluation_20200218.pdf
Overzicht van het EDPB van de middelen die de lidstaten ter beschikking stellen van de gegevensbeschermingsautoriteiten en van de handhavingsacties van de gegevensbeschermingsautoriteiten (“EDPB overview on resources”), 5 augustus 2021, blz. 4-5.
https://edpb.europa.eu/our-work-tools/our-documents/other-guidance/overview-resources-made-available-member-states-data_en
(116)
Bijdrage van het EDPB aan de evaluatie van de richtlijn rechtshandhaving, punt 65 en figuur bij vraag 41, blz. 20.
(117)
Duitsland meldde een aanzienlijke stijging van 33 naar 53 vte’s tussen 2017 en 2021.
(118)
Bijdrage van het EDPB aan de evaluatie van de richtlijn rechtshandhaving, figuur bij vraag 41, blz. 20. EDPB-overzicht van de middelen, blz. 5.
(119)
Bijdrage van het EDPB aan de evaluatie van de richtlijn rechtshandhaving, figuur bij vraag 41, blz. 19.
(120)
België, Denemarken, Ierland, Griekenland, Letland, Luxemburg, Hongarije, Malta, Oostenrijk en Finland.
(121)
Duitsland en Frankrijk.
(122)
Frankrijk en Zweden.
(123)
Nederland.
(124)
Ierland heeft 135 klachten in verband met de richtlijn rechtshandhaving ontvangen sinds 2018, Hongarije heeft er 141 ontvangen sinds 2018 en Denemarken 223 sinds 2017. Daarentegen zijn er duizenden klachten in verband met de AVG geweest (zie EDPB-overzicht van de middelen, blz. 10).
(125)
Bijdrage van het EDPB aan de evaluatie van de richtlijn rechtshandhaving, punt 69.
(126)
De toezichthoudende autoriteiten voor gegevensbescherming van Ierland, Malta en Nederland meldden dat zij op eigen initiatief onderzoek verrichtten. De toezichthoudende autoriteiten voor gegevensbescherming van Griekenland, Spanje, Litouwen en Hongarije voerden onderzoeken uit op basis van klachten. De toezichthoudende autoriteiten voor gegevensbescherming van België, Bulgarije, Denemarken, Duitsland, Frankrijk, Italië, Luxemburg, Oostenrijk, Polen, Slovenië en Zweden hebben zowel op eigen initiatief als op basis van klachten onderzoek verricht.
(127)
De Duitse en Hongaarse toezichthoudende autoriteiten voor gegevensbescherming verklaarden dat zij niet alle nodige informatie hadden ontvangen en/of dat de verwerkingsverantwoordelijke hun de toegang tot de nodige informatie had geweigerd. De Duitse autoriteiten vermeldden dat er niet is voorzien in een bevoegdheid als die van artikel 58, lid 1, punt a), AVG.
(128)
Bijdrage van het EDPB aan de evaluatie van de richtlijn rechtshandhaving, punt 30, evenals de individuele antwoorden van de autoriteiten van Oostenrijk en Luxemburg.
(129)
De Deense en de Litouwse toezichthoudende autoriteit voor gegevensbescherming meldden dat zij slechts één keer waren geraadpleegd. De Belgische toezichthoudende autoriteit voor gegevensbescherming werd 59 keer vooraf geraadpleegd.
(130)
Bijdrage van het EDPB aan de evaluatie van de richtlijn rechtshandhaving, punt 39.
(131)
De toezichthoudende autoriteiten voor gegevensbescherming van Tsjechië, Griekenland, Kroatië, Letland en Zweden meldden dat zij geen adviezen hadden uitgebracht. De toezichthoudende autoriteiten voor gegevensbescherming van Griekenland, Kroatië, Letland, Polen, Roemenië, Slovenië en Slowakije werden slechts sporadisch geraadpleegd.
(132)
Deze vaststelling is gebaseerd op de antwoorden die zijn ontvangen van de toezichthoudende autoriteiten voor gegevensbescherming van België, Bulgarije, Duitsland, Estland, Ierland, Italië, Hongarije, Nederland, Oostenrijk, Polen, Finland en Zweden.
(133)
Overweging 7 van de richtlijn rechtshandhaving.
(134)
Aanbeveling 01/2021 van het EDPB over de adequaatheidsreferentie in het kader van de richtlijn rechtshandhaving, aangenomen op 2 februari 2021.
https://edpb.europa.eu/sites/default/files/files/file1/recommendations012021onart.36led.pdf_en.pdf
(135)
Richtsnoeren 05/2022 van het EDPB inzake het gebruik van gezichtsherkenningstechnieken in het kader van rechtshandhaving, aangenomen op 12 mei 2022, versie voor openbare raadpleging, beschikbaar op https://edpb.europa.eu/system/files/2022-05/edpb-guidelines_202205_frtlawenforcement_en_1.pdf
(136)
Advies van de Groep gegevensbescherming artikel 29 over enkele kernpunten van de richtlijn rechtshandhaving (EU 2016/680), WP 258, aangenomen op 29 november 2017, beschikbaar op https://ec.europa.eu/newsroom/article29/items/610178/en
(137)
Richtsnoeren 07/2020 van het EDPB inzake de begrippen verwerkingsverantwoordelijke en verwerker in de AVG, aangenomen op 7 juli 2021, beschikbaar op https://edpb.europa.eu/system/files/2021-07/eppb_guidelines_202007_controllerprocessor_final_en.pdf
(138)
Richtsnoeren 01/2022 van het EDPB inzake de rechten van betrokkenen — recht op inzage, aangenomen op 18 januari 2022, versie voor openbare raadpleging, beschikbaar op https://edpb.europa.eu/system/files/2022-01/edpb_guidelines_012022_right-of-access_0.pdf
(139)
Richtsnoeren van de Groep gegevensbescherming artikel 29 inzake de melding van inbreuken in verband met persoonsgegevens op grond van Verordening (EU) 2016/679, WP 250rev.01, laatstelijk herzien op 6 februari 2018 en bekrachtigd door het EDPB op 25 mei 2018, beschikbaar op https://ec.europa.eu/newsroom/article29/items/612052/en ; Richtsnoeren 01/2021 van het EDPB inzake voorbeelden van melding van inbreuken in verband met persoonsgegevens, aangenomen op 14 december 2021, beschikbaar op https://edpb.europa.eu/system/files/2022-01/edpb_guidelines_012021_pdbnotification_adopted_en.pdf
(140)
Richtsnoeren van de Groep gegevensbescherming artikel 29 voor gegevensbeschermingseffectbeoordelingen en het bepalen of de verwerking “waarschijnlijk een hoog risico oplevert” in de zin van Verordening (EU) 2016/679, WP 248rev.01, laatstelijk herzien op 4 oktober 2017, en bekrachtigd door het EDPB op 25 mei 2018, beschikbaar op https://ec.europa.eu/newsroom/article29/items/611236
(141)
EDPB-richtsnoeren 4/2019 inzake artikel 25, gegevensbescherming door ontwerp en door standaardinstellingen, aangenomen op 20 oktober 2020, beschikbaar op https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_201904_dataprotection_by_design_and_by_default_v2.0_en.pdf
(142)
Richtsnoeren van de Groep gegevensbescherming artikel 29 inzake geautomatiseerde individuele besluitvorming en profilering voor de toepassing van Verordening (EU) 2016/679, WP 251rev01, laatstelijk herzien op 6 februari 2018, en bekrachtigd door het EDPB op 25 mei 2018; beschikbaar op https://ec.europa.eu/newsroom/article29/items/612053/en
(143)
Standpunt en bevindingen van de Raad over de toepassing van de richtlijn rechtshandhaving, punt 14.
(144)
Bijdrage van het EDPB aan de evaluatie van de richtlijn rechtshandhaving, punt 39.
(145)
Artikel 50 van de richtlijn rechtshandhaving.
(146)
Werkprogramma voor 2021-2022 van het EDPB, edpb_workprogramme_2021-2022_en.pdf (europa.eu)
(147)
Zie artikel 35, lid 3, en overweging 64 van de richtlijn rechtshandhaving. Zie voor verdere doorgiften artikel 35, lid 1, punt e), en overweging 65 van de richtlijn rechtshandhaving.
(148)
Uitvoeringsbesluit van de Commissie van 28 juni 2021 overeenkomstig Richtlijn (EU) 2016/680 van het Europees Parlement en de Raad betreffende de adequate bescherming van persoonsgegevens door het Verenigd Koninkrijk, beschikbaar op https://eur-lex.europa.eu/legal-content/NL/TXT/?from=GA&uri=CELEX%3A32021D1773
(149)
Zie artikel 35, lid 1, punt c), artikel 35, lid 2, en overweging 66 van de richtlijn rechtshandhaving.
(150)
Zie artikel 525, lid 1, van de handels- en samenwerkingsovereenkomst.
(151)
Zie de punten 172 tot en met 174 van het besluit betreffende de adequate bescherming van persoonsgegevens door het Verenigd Koninkrijk: richtlijn rechtshandhaving, 28 juni 2021, beschikbaar op https://eur-lex.europa.eu/legal-content/NL/TXT/?from=GA&uri=CELEX%3A32021D1773
(152)
EDPB-aanbevelingen 01/2021 over de adequaatheidsreferentie in het kader van de richtlijn rechtshandhaving, aangenomen op 2 februari 2021. Zie ook artikel 36, lid 2, en overweging 67 van de richtlijn rechtshandhaving.
(153)
Zie de mededeling van de Commissie aan het Europees Parlement en de Raad “Uitwisseling en bescherming van persoonsgegevens in een geglobaliseerde wereld” COM(2017) 7 final, blz. 13-14.
(154)
Standpunt en bevindingen van de Raad over de toepassing van de richtlijn rechtshandhaving, punt 18.
(155)
In haar mededeling over de toekomstige aanpassing van het acquis van de voormalige derde pijler aan de gegevensbeschermingsregels heeft de Commissie geconcludeerd dat verschillende bestaande overeenkomsten niet verder hoeven te worden aangepast aan de richtlijn rechtshandhaving (bv. Overeenkomst tussen de Europese Unie en de Republiek IJsland en het Koninkrijk Noorwegen inzake de toepassing van een aantal bepalingen van de Overeenkomst van 29 mei 2000 betreffende wederzijdse rechtshulp in strafzaken tussen de lidstaten van de Europese Unie en het bijbehorende protocol van 2001).
(156)
Voor meer informatie over de bestaande Europol-overeenkomsten, zie de website van Europol op: https://www.europol.europa.eu/partners-collaboration/agreements
(157)
Zie artikel 25, lid 4, van Verordening (EU) 2016/794 van het Europees Parlement en de Raad van 11 mei 2016 betreffende het Agentschap van de Europese Unie voor samenwerking op het gebied van rechtshandhaving (Europol) en tot vervanging en intrekking van de Besluiten 2009/371/JBZ, 2009/934/JBZ, 2009/935/JBZ, 2009/936/JBZ en 2009/968/JBZ van de Raad, PB L 135 van 24.5.2016, blz. 53-114.
(158)
Geconsolideerde versie van het Verdrag betreffende de Europese Unie, PB C 202 van 7.6.2016, beschikbaar op https://eur-lex.europa.eu/legal-content/NL/TXT/?uri=CELEX%3A02016M%2FTXT-20200301
(159)
Zie overweging 35 van de Europol-verordening.
(160)
De Commissie, namens de Europese Unie, en de Verenigde Staten waren nauw betrokken bij deze onderhandelingen, onder meer in de speciale subgroep gegevensbescherming (aangezien gegevensbescherming een van de meest intensief besproken onderwerpen was).
(161)
Zie de mededeling van de Commissie aan het Europees Parlement en de Raad, Uitwisseling en bescherming van persoonsgegevens in een geglobaliseerde wereld” COM(2017) 7 final, blz. 14.
(162)
Overeenkomst tussen de Europese Unie, enerzijds, en Nieuw-Zeeland, anderzijds, op het gebied van de uitwisseling van persoonsgegevens tussen het Agentschap van de Europese Unie voor samenwerking op het gebied van rechtshandhaving (Europol) en de Nieuw-Zeelandse autoriteiten die bevoegd zijn voor de bestrijding van zware criminaliteit en terrorisme.
(163)
Overeenkomst tussen de Europese Unie en Japan betreffende wederzijdse rechtshulp in strafzaken (PB L 39 van 12.2.2010, blz. 20). https://eur-lex.europa.eu/legal-content/NL/ALL/?uri=CELEX%3A22010A0212%2801%29 .
(164)
Besluit van de Raad houdende machtiging om onderhandelingen te openen met Japan tot wijziging van de Overeenkomst tussen de Europese Unie en Japan betreffende wederzijdse rechtshulp in strafzaken (document LT 223/21).
(165)
Na de goedkeuring van een mandaat door de Raad van de Europese Unie op 6 juni 2019. Het mandaat is beschikbaar op https://www.consilium.europa.eu/nl/press/press-releases/2019/06/06/council-gives-mandate-to-commission-to-negotiate-international-agreements-on-e-evidence-in-criminal-matters/
(166)
Het tweede aanvullend protocol bij het Verdrag inzake cybercriminaliteit inzake een nauwere samenwerking en de openbaarmaking van elektronisch bewijsmateriaal is op 17 november 2021 goedgekeurd door het Comité van Ministers. Het is tussen september 2017 en mei 2021 opgesteld door de commissie Cybercrimeverdrag (T-CY). De tekst van het protocol (voor eensluidend gewaarmerkt afschrift) is beschikbaar op https://rm.coe.int/1680a4b2e1 De toelichting bij het protocol is beschikbaar op https://rm.coe.int/1680a49c9d
(167)
Zie artikel 14 van het aanvullend protocol, samen met de punten 220-287 van de toelichting.
(168)
In zijn advies 1/2022 van 20 januari 2022 over de ontwerpbesluiten van de Raad waarbij machtiging wordt verleend tot ondertekening en bekrachtiging van het aanvullend protocol, is de Europese Toezichthouder voor gegevensbescherming (European Data Protection Supervisor — EDPS) “ingenomen met het grote aantal waarborgen die in het protocol zijn opgenomen”.
(169)
Besluit van de Raad houdende machtiging tot het openen van onderhandelingen met het oog op de sluiting van een overeenkomst tussen de Europese Unie en de Verenigde Staten van Amerika over grensoverschrijdende toegang tot elektronisch bewijsmateriaal voor justitiële samenwerking in strafzaken. Het mandaat is beschikbaar op de volgende link: https://data.consilium.europa.eu/doc/document/ST-9114-2019-INIT/nl/pdf
(170)
Voorstel voor een verordening van het Europees Parlement en de Raad betreffende het Europees bevel tot verstrekking en het Europees bevel tot bewaring van elektronisch bewijsmateriaal in strafzaken, COM(2018) 225 final, en voorstel voor een richtlijn van het Europees Parlement en de Raad tot vaststelling van geharmoniseerde regels inzake de aanwijzing van wettelijke vertegenwoordigers ten behoeve van de bewijsgaring in strafprocedures, COM(2018) 226 final.
(171)
Verklaring 2/2021 van het EDPB inzake nieuwe ontwerpbepalingen van het tweede aanvullend protocol bij het Verdrag van de Raad van Europa inzake cybercriminaliteit (Verdrag van Boedapest), aangenomen op 2 februari 2021, beschikbaar op https://edpb.europa.eu/our-work-tools/our-documents/statements/statement-022021-new-draft-provisions-second-additional_nl
(172)
Advies 04/2021 van de EDPS over de evaluatie van het mandaat van Europol, aangenomen op 8 maart 2021, beschikbaar op https://edps.europa.eu/data-protection/our-work/publications/opinions/edps-opinion-proposal-amendment-europol-regulation_en
(173)
Verklaring 04/2021 van het EDPB over internationale overeenkomsten, waaronder die betreffende doorgifte, aangenomen op 13 april 2021. De verklaring is beschikbaar op https://edpb.europa.eu/system/files/2022-05/edpb_statement042021_international_agreements_including_transfers_nl.pdf
(174)
Zie het verslag van het voorzitterschap van de Raad over de uitwisseling van politiegegevens met derde landen — Ervaringen met de toepassing van artikel 37 van de richtlijn rechtshandhaving. Het EDPB heeft aangekondigd dat hij de conclusies van het verslag van het voorzitterschap, samen met verdere informatie en opmerkingen van de lidstaten, zal opnemen in zijn inspanningen om richtsnoeren betreffende artikel 37 van de richtlijn op te stellen. Zie de brief van de voorzitter van het EDPB aan de permanente vertegenwoordiging van de Bondsrepubliek Duitsland bij de Europese Unie van 26 februari 2021 (document 13555/1/20).
(175)
Standpunt en bevindingen van de Raad over de toepassing van de richtlijn rechtshandhaving, punt 20.
(176)
Artikel 38, lid 1, punt c), van de richtlijn rechtshandhaving.
(177)
Artikel 38, lid 1, punt d), van de richtlijn rechtshandhaving.
(178)
Het tweede aanvullend protocol bij het Verdrag van Boedapest kan bijvoorbeeld worden beschouwd als een internationale overeenkomst voor de toepassing van artikel 48 AVG.
(179)
Zie: https://www.coe.int/en/web/cybercrime/glacyplus
(180)
Wijzigingsprotocol bij het Verdrag tot bescherming van personen met betrekking tot de verwerking van persoonsgegevens, vastgesteld door het Comité van Ministers tijdens zijn 128e zitting in Helsingør op 18 mei 2018 (Verdrag 108+), beschikbaar op https://rm.coe.int/convention-108-convention-for-the-protection-of-individuals-with-regar/16808b36f1
(181)
Zie bijvoorbeeld de praktische gids voor het gebruik van persoonsgegevens in de politiesector, beschikbaar op https://rm.coe.int/t-pd-201-01-practical-guide-on-the-use-of-personal-data-in-the-police-/16807927d5
(182)
EDPB-document over de taakomschrijving van de ondersteuningsgroep van deskundigen van het EDPB, aangenomen op 15 december 2020.