Toelichting bij COM(2023)244 - Wijziging van Besluit 2009/917/JBZ wat betreft de aanpassing ervan aan de Unievoorschriften inzake de bescherming van persoonsgegevens - Hoofdinhoud
Dit is een beperkte versie
U kijkt naar een beperkte versie van dit dossier in de EU Monitor.
| dossier | COM(2023)244 - Wijziging van Besluit 2009/917/JBZ wat betreft de aanpassing ervan aan de Unievoorschriften inzake de bescherming van ... |
|---|---|
| bron | COM(2023)244 |
| datum | 11-05-2023 |
• Motivering en doel van het voorstel
Richtlijn (EU) 2016/6801 (hierna “richtlijn gegevensbescherming bij rechtshandhaving” genoemd) is op 6 mei 2016 in werking getreden. De lidstaten hadden tot 6 mei 2018 de tijd om deze in nationaal recht om te zetten. Kaderbesluit 2008/977/JBZ van de Raad2 werd door Richtlijn (EU) 2016/680 ingetrokken en vervangen, maar de richtlijn is een veel uitgebreider instrument voor de bescherming van persoonsgegevens. De richtlijn is met name van toepassing op zowel binnenlandse als grensoverschrijdende verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid (artikel 1, lid 1).
In artikel 62, lid 6, van de richtlijn gegevensbescherming bij rechtshandhaving wordt bepaald dat de Commissie uiterlijk op 6 mei 2019 moet nagaan of andere handelingen van de EU in verband met de verwerking van persoonsgegevens voor rechtshandhavingsdoeleinden door de bevoegde instanties aan de richtlijn gegevensbescherming bij rechtshandhaving moeten worden aangepast, en dat zij in voorkomend geval voorstellen moet indienen om die handelingen te wijzigen teneinde een consequente aanpak van de bescherming van persoonsgegevens binnen het toepassingsgebied van de richtlijn te waarborgen.
De Commissie heeft de resultaten van haar evaluatie uiteengezet in haar mededeling “Volgende stappen om het acquis van de voormalige derde pijler aan de gegevensbeschermingsregels aan te passen” van 24 juni 20203, waarin tien handelingen worden gespecificeerd die aan de richtlijn gegevensbescherming bij rechtshandhaving moeten worden aangepast. De lijst omvat Besluit 2009/917/JBZ van de Raad inzake het gebruik van informatica op douanegebied4.
Het voorstel heeft tot doel de gegevensbeschermingsregels van Besluit 2009/917/JBZ van de Raad in overeenstemming te brengen met de beginselen en regels die zijn vastgelegd in de richtlijn gegevensbescherming bij rechtshandhaving, teneinde een sterk en samenhangend kader voor de bescherming van persoonsgegevens in de Unie tot stand te brengen.
• Verenigbaarheid met bestaande bepalingen op het beleidsterrein
Het bij Besluit 2009/917/JBZ van de Raad ingestelde douane-informatiesysteem (DIS) is een geautomatiseerd informatiesysteem voor douanedoeleinden dat tot doel heeft bij te dragen tot het voorkomen, het onderzoeken en het vervolgen van ernstige overtredingen van nationale wetten door deze gegevens sneller toegankelijk te maken en de doeltreffendheid van de douaneadministratie te verbeteren. Het voorstel heeft tot doel de gegevensbeschermingsregels van Besluit 2009/917/JBZ van de Raad in overeenstemming te brengen met de beginselen en regels die zijn vastgelegd in de richtlijn gegevensbescherming bij rechtshandhaving, teneinde een sterk en samenhangend kader voor de bescherming van persoonsgegevens in de Unie tot stand te brengen.
• Verenigbaarheid met andere beleidsterreinen van de Unie
Niet van toepassing.
2. RECHTSGRONDSLAG, SUBSIDIARITEIT EN EVENREDIGHEID
• Rechtsgrondslag
De bescherming van natuurlijke personen bij de verwerking van hun persoonsgegevens is een grondrecht dat is vastgelegd in artikel 8, lid 1, van het Handvest van de grondrechten van de Europese Unie (“het Handvest”).
Het voorstel is gebaseerd op artikel 16, lid 2, van het Verdrag betreffende de werking van de Europese Unie (VWEU), dat de meest geschikte rechtsgrondslag is aangezien zowel het doel als de inhoud van de voorgestelde wijziging duidelijk beperkt is tot de bescherming van persoonsgegevens.
Op grond van artikel 16, lid 2, VWEU kunnen regels worden vastgesteld betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de bevoegde autoriteiten in de lidstaten wanneer zij activiteiten verrichten om strafbare feiten die binnen de werkingssfeer van het Unierecht vallen, te voorkomen, te onderzoeken, op te sporen of te vervolgen of straffen in dat verband uit te voeren. Deze bepaling maakt het tevens mogelijk voorschriften vast te stellen betreffende het vrije verkeer van persoonsgegevens, onder meer wat de uitwisseling van persoonsgegevens door bevoegde autoriteiten binnen de EU betreft.
Overeenkomstig artikel 2 bis van Protocol nr. 22 betreffende de positie van Denemarken, dat gehecht is aan het VEU en het VWEU, zijn de op grond van artikel 16 VWEU vastgestelde regels die betrekking hebben op de verwerking van persoonsgegevens bij de uitoefening van activiteiten die binnen het toepassingsgebied van deel III, titel V, hoofdstukken 4 en 5, van het VWEU vallen, niet bindend voor, noch van toepassing in Denemarken. Denemarken zal derhalve niet gebonden zijn door de nu voorgestelde verordening en zal het besluit van de Raad in zijn huidige vorm blijven toepassen, dat wil zeggen zonder de nu voorgestelde wijzigingen.
Dit houdt onder meer in dat de in artikel 25 van het besluit van de Raad bedoelde gemeenschappelijke controleautoriteit formeel blijft bestaan, alleen voor Denemarken. Vanwege de voorgestelde schrapping van dat artikel en de voorgestelde wijziging van artikel 26 waarbij het model voor gecoördineerd toezicht van artikel 62 van Verordening (EU) 2018/1725 wordt ingevoerd, heeft dit voortbestaan geen gevolgen voor de andere lidstaten of het douane-informatiesysteem als zodanig. Aangezien het onderhavige voorstel beperkt is tot het aanpassen van het besluit van de Raad aan de richtlijn gegevensbescherming bij rechtshandhaving, is dit resultaat een onvermijdelijk gevolg van de uit hoofde van de richtlijn gegevensbescherming bij rechtshandhaving vereiste aanpassing en de uit Protocol nr. 22 voortvloeiende beperkingen. Wanneer in de toekomst een bredere beoordeling van het besluit van de Raad gerechtvaardigd is, zal de Commissie deze kwestie opnieuw bekijken.
Overeenkomstig artikel 6 bis van Protocol nr. 21 betreffende de positie van het Verenigd Koninkrijk en Ierland ten aanzien van de ruimte van vrijheid, veiligheid en recht, is Ierland niet gebonden door de op grond van artikel 16 VWEU vastgestelde regels, wanneer Ierland niet gebonden is door de regels betreffende de vormen van justitiële samenwerking in strafzaken of van politiële samenwerking in het kader waarvan de op grond van artikel 16 VWEU vastgestelde bepalingen moeten worden nageleefd. Aangezien Ierland deelneemt aan Besluit 2009/917/JBZ van de Raad, zal het dus ook deelnemen aan de vaststelling van dit voorstel.
• Subsidiariteit (bij niet-exclusieve bevoegdheid)
Het onderwerp van deze verordening valt onder de exclusieve bevoegdheid van de Unie, aangezien slechts de Unie voorschriften kan vaststellen voor de verwerking van persoonsgegevens door de bevoegde autoriteiten voor rechtshandhavingsdoeleinden. Alleen de Unie kan handelingen van de EU aanpassen aan de regels van de richtlijn gegevensbescherming bij rechtshandhaving. Derhalve kan alleen de Unie een wetgevingshandeling vaststellen tot wijziging van Besluit 2009/917/JBZ van de Raad.
• Evenredigheid
Het voorstel is beperkt tot hetgeen noodzakelijk is om Besluit 2009/917/JBZ van de Raad in overeenstemming te brengen met de Uniewetgeving betreffende de bescherming van persoonsgegevens (richtlijn gegevensbescherming bij rechtshandhaving), zonder het toepassingsgebied van het besluit van de Raad op enigerlei wijze te wijzigen. Het voorstel gaat overeenkomstig artikel 5, lid 4, van het Verdrag betreffende de Europese Unie niet verder dan hetgeen nodig is om de beoogde doelstellingen te verwezenlijken.
• Keuze van het instrument
Het voorstel strekt tot wijziging van een besluit van de Raad dat vóór de inwerkingtreding van het Verdrag van Lissabon in 2009 is vastgesteld. De relevante bepalingen van Besluit 2009/917/JBZ van de Raad waarbij het douane-informatiesysteem wordt ingesteld en de regels voor de werking en het gebruik van het systeem zijn vastgesteld, zijn rechtstreeks toepasselijk.
Het meest geschikte instrument om dit besluit van de Raad op grond van artikel 16, lid 2, VWEU te wijzigen, is derhalve een verordening van het Europees Parlement en de Raad.
3. EVALUATIE, RAADPLEGING VAN BELANGHEBBENDEN EN EFFECTBEOORDELING
• Evaluatie van bestaande wetgeving en controle van de resultaatgerichtheid ervan
Het voorstel sluit aan bij de resultaten van de evaluatie die de Commissie heeft verricht uit hoofde van artikel 62, lid 6, van de richtlijn gegevensbescherming bij rechtshandhaving, zoals gepresenteerd in de mededeling van 2020 “Volgende stappen om het acquis van de voormalige derde pijler aan de gegevensbeschermingsregels aan te passen”. In deze mededeling worden zes specifieke punten opgesomd waarvoor aanpassing van Besluit 2009/917/JBZ van de Raad aan de richtlijn gegevensbescherming bij rechtshandhaving vereist is, namelijk:
- in verband met de “ernstige overtredingen” waarop het besluit van de Raad van toepassing is;
- de voorwaarden verduidelijken voor het verzamelen en registreren van de persoonsgegevens en voorschrijven dat persoonsgegevens alleen in het DIS mogen worden ingevoerd indien er, in het bijzonder op grond van eerdere illegale handelingen, een redelijk vermoeden bestaat dat de betrokken persoon een ernstig strafbaar feit heeft gepleegd, bezig is dit te plegen of nog zal plegen;
- in aanvullende vereisten voorzien met betrekking tot de beveiliging van de verwerking, door de lijst van vereiste beveiligingsmaatregelen in overeenstemming te brengen met artikel 29 van de richtlijn gegevensbescherming bij rechtshandhaving, d.w.z. door vereisten toe te voegen betreffende het herstel, de betrouwbaarheid en de integriteit van het systeem;
- de verdere verwerking van in het DIS geregistreerde persoonsgegevens voor andere doeleinden dan waarvoor persoonsgegevens werden verzameld, beperken zodat deze alleen kan plaatsvinden onder de voorwaarden waarin de richtlijn gegevensbescherming bij rechtshandhaving voorziet;
- de verwerking van persoonsgegevens uit hoofde van Besluit 2009/917/JBZ van de Raad onderwerpen aan het in artikel 62 van Verordening (EU) 2018/1725 vastgestelde model voor gecoördineerd toezicht5. Het besluit van de Raad is de laatste rechtshandeling waarbij het toezicht op de verwerking van persoonsgegevens wordt uitgeoefend door de gemeenschappelijke controleautoriteit, die inmiddels achterhaald is;
- de algemene verwijzing naar Kaderbesluit 2008/977/JBZ van de Raad actualiseren, door te verwijzen naar de toepasselijkheid van de richtlijn gegevensbescherming bij rechtshandhaving. Elke bepaling die overlappingen met de richtlijn gegevensbescherming bij rechtshandhaving bevat (zoals definities of bepalingen betreffende de rechten van de betrokkenen of de beschikbaarheid van rechtsmiddelen en aansprakelijkheid), moet als achterhaalde en overbodige bepaling worden verwijderd. Verwijzingen naar specifieke bepalingen van Kaderbesluit 2008/977/JBZ van de Raad moeten worden geactualiseerd met specifieke overeenkomstige verwijzingen naar de richtlijn gegevensbescherming bij rechtshandhaving.
Het voorstel blijft beperkt tot hetgeen nodig is om de bovengenoemde punten te realiseren.
• Raadpleging van belanghebbenden
Niet van toepassing.
• Bijeenbrengen en gebruik van expertise
Bij de evaluatie op grond van artikel 62, lid 6, van de richtlijn gegevensbescherming bij rechtshandhaving , heeft de Commissie rekening gehouden met een studie die is uitgevoerd in het kader van het proefproject voor de evaluatie vanuit het oogpunt van de grondrechten van instrumenten en programma’s van de EU voor het vergaren van gegevens6. In die studie werd een overzicht gegeven van de in artikel 62, lid 6, van richtlijn gegevensbescherming bij rechtshandhaving bedoelde Uniehandelingen en werd vastgesteld welke bepalingen mogelijk een aanpassing behoefden uit het oogpunt van gegevensbescherming.
• Effectbeoordeling
Het effect van dit voorstel is beperkt tot de verwerking van persoonsgegevens door de bevoegde autoriteiten in de specifieke gevallen die door Besluit 2009/917/JBZ van de Raad worden geregeld. Het effect van de nieuwe verplichtingen die voortvloeien uit de richtlijn gegevensbescherming bij rechtshandhaving is beoordeeld in het kader van de voorbereidende werkzaamheden voor die richtlijn. Een specifieke effectbeoordeling voor dit voorstel is dan ook onnodig.
• Resultaatgerichtheid en vereenvoudiging
Het voorstel valt niet onder het programma voor gezonde en resultaatgerichte regelgeving (Refit).
• Grondrechten
Het recht op de bescherming van persoonsgegevens is vastgelegd in artikel 8 van het Handvest en in artikel 16 VWEU. Zoals het Hof van Justitie van de Europese Unie7 heeft beklemtoond, heeft het recht op bescherming van persoonsgegevens geen absolute gelding, maar moet het in relatie tot de functie ervan in de maatschappij worden beschouwd8. Er is ook een nauw verband tussen de bescherming van persoonsgegevens en de eerbiediging van het privéleven en het familie- en gezinsleven, dat door artikel 7 van het Handvest wordt beschermd.
Dit voorstel waarborgt dat elke verwerking van persoonsgegevens krachtens Besluit 2009/917/JBZ van de Raad onderworpen is aan de “horizontale” beginselen en regels van de EU-wetgeving inzake bescherming van persoonsgegevens, waardoor artikel 8 van het Handvest verder ten uitvoer wordt gelegd. Deze wetgeving beoogt een hoog niveau van bescherming van persoonsgegevens te waarborgen. Verduidelijken dat de regels van de richtlijn gegevensbescherming bij rechtshandhaving van toepassing zijn, en tevens specificeren hoe zij van toepassing zijn op de verwerking van persoonsgegevens krachtens het besluit van de Raad, zal de grondrechten op privacy en bescherming van persoonsgegevens ten goede komen.
4. GEVOLGEN VOOR DE BEGROTING
Niet van toepassing.
5. OVERIGE ELEMENTEN
• Uitvoeringsplanning en regelingen betreffende controle, evaluatie en rapportage
Niet van toepassing.
• Artikelsgewijze toelichting
In artikel 1 worden de relevante bepalingen van Besluit 2009/917/JBZ van de Raad genoemd die moeten worden gewijzigd op basis van de evaluatie die de Commissie uit hoofde van artikel 62, lid 6, van richtlijn gegevensbescherming bij rechtshandhaving heeft verricht en in haar mededeling van 2020 heeft gepresenteerd. Deze bepalingen zijn:
- Artikel 1 – Lid 2 wordt gewijzigd om het begrip “ernstige overtredingen van nationale wetten” te vervangen door de verwijzing naar “strafbare feiten volgens nationale wetten”, teneinde de duidelijkheid te vergroten en tegelijkertijd het besluit in overeenstemming te brengen met de richtlijn gegevensbescherming bij rechtshandhaving.
- Artikel 2 – Punt 2 betreffende de definitie van “persoonsgegevens” wordt geschrapt aangezien de definitie van persoonsgegevens in artikel 3, punt 1, van de richtlijn gegevensbescherming bij rechtshandhaving van toepassing is.
- Artikel 3 – Lid 2 wordt gewijzigd om de respectieve rol van de Commissie en de lidstaten met betrekking tot de persoonsgegevens te verduidelijken. Daartoe wordt ook een overweging ingevoegd.
- Artikel 4 – Lid 5 wordt geactualiseerd om de verwijzing naar de lijst van bepaalde categorieën persoonsgegevens die niet in het systeem kunnen worden ingevoerd op grond van Kaderbesluit 2008/977/JBZ te vervangen door een verwijzing naar de overeenkomstige lijst in de richtlijn gegevensbescherming bij rechtshandhaving.
- Artikel 5 – Lid 2 wordt geactualiseerd om de voorwaarden voor het verzamelen en registreren van de persoonsgegevens te verduidelijken en voor te schrijven dat persoonsgegevens alleen in het DIS mogen worden ingevoerd indien er, in het bijzonder op grond van eerdere illegale handelingen, een redelijk vermoeden bestaat dat de betrokken persoon een van de strafbare feiten volgens nationale wetten heeft gepleegd, bezig is dit te plegen of nog zal plegen.
- Artikel 7 – Lid 3 wordt geactualiseerd om de voorwaarden te verduidelijken waaronder op grond van de richtlijn gegevensbescherming bij rechtshandhaving toegang tot het DIS kan worden verleend aan internationale of regionale organisaties.
- Artikel 8 – Lid 1 wordt geactualiseerd om de verdere verwerking van in het DIS opgeslagen persoonsgegevens te beperken, overeenkomstig het doelbindingsbeginsel zoals geregeld in de richtlijn gegevensbescherming bij rechtshandhaving. Verder wordt verduidelijkt onder welke voorwaarden niet-persoonsgebonden gegevens voor andere doeleinden kunnen worden verwerkt. Lid 4 is anders geformuleerd om de voorwaarden te verduidelijken waaronder de doorzendingen en internationale doorgiften van persoonsgegevens en niet-persoonsgebonden gegevens kunnen plaatsvinden.
- Artikel 14 betreffende het bewaren van persoonsgegevens wordt geactualiseerd om een maximale bewaartermijn overeenkomstig artikel 4, lid 1, punt e), van de richtlijn gegevensbescherming bij rechtshandhaving in te voeren en de vorige procedure te vereenvoudigen. Er wordt ook een overweging ingevoerd om de grondgedachte van deze actualisering nader toe te lichten.
- Artikel 15 – Lid 3 wordt vervangen om het begrip “ernstige overtredingen van nationale wetten” in overeenstemming te brengen met de verwijzing naar “strafbare feiten volgens nationale wetten”, zoals ingevoerd in het nieuwe lid 2 van artikel 1.
- Artikel 20 – Dit artikel wordt vervangen om de algemene verwijzing naar Kaderbesluit 2008/977/JBZ te actualiseren met de verwijzing naar de richtlijn gegevensbescherming bij rechtshandhaving.
- Artikel 22 betreffende het recht op toegang, verbetering, verwijdering of afscherming wordt geschrapt omdat het achterhaald en verouderd is.
- Artikel 23 betreffende de rechten van de betrokkenen op nationaal niveau wordt geschrapt omdat het achterhaald en verouderd is.
- Artikel 24 betreffende de aanwijzing van een nationale controleautoriteit of -autoriteiten wordt geschrapt omdat het achterhaald en verouderd is
- Artikel 25 betreffende de oprichting van een gemeenschappelijke controleautoriteit wordt geschrapt omdat het achterhaald en verouderd is.
- Artikel 26 – Dit artikel wordt geactualiseerd om de verwerking van persoonsgegevens te onderwerpen aan het in artikel 62 van Verordening (EU) 2018/1725 vastgestelde model voor gecoördineerd toezicht.
- Artikel 28 – Lid 2 wordt gewijzigd om in aanvullende vereisten te voorzien met betrekking tot de beveiliging van de verwerking, door de lijst van vereiste beveiligingsmaatregelen in overeenstemming te brengen met artikel 29 van de richtlijn gegevensbescherming bij rechtshandhaving, d.w.z. door vereisten toe te voegen betreffende het herstel, de betrouwbaarheid en de integriteit van het systeem.
- Artikel 30 – Lid 1 wordt geschrapt omdat het verouderd en achterhaald is.
In artikel 2 wordt de datum van inwerkingtreding van de verordening vastgesteld.