Toelichting bij COM(2021)21 - Wijziging van Richtlijn 2014/41/EU, met betrekking tot de aanpassing aan de EU-voorschriften inzake de bescherming van persoonsgegevens

Dit is een beperkte versie

U kijkt naar een beperkte versie van dit dossier in de EU Monitor.

dossier COM(2021)21 - Wijziging van Richtlijn 2014/41/EU, met betrekking tot de aanpassing aan de EU-voorschriften inzake de bescherming van ...
bron COM(2021)21 NLEN
datum 20-01-2021
1. ACHTERGROND VAN HET VOORSTEL

Motivering en doel van het voorstel

Richtlijn (EU) 2016/680 1 (hierna “richtlijn gegevensbescherming bij rechtshandhaving” genoemd) is op 6 mei 2016 in werking getreden. De lidstaten hadden tot 6 mei 2018 de tijd om deze in nationaal recht om te zetten. Kaderbesluit 2008/977/JBZ van de Raad 2 werd door Richtlijn (EU) 2016/680 ingetrokken en vervangen, maar de richtlijn is een veel uitgebreider en algemener instrument voor gegevensbescherming. Van belang is dat de richtlijn van toepassing is op zowel binnenlandse als grensoverschrijdende verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid (artikel 1, lid 1).

In artikel 62, lid 6, van de richtlijn gegevensbescherming bij rechtshandhaving wordt bepaald dat de Commissie uiterlijk op 6 mei 2019 moet nagaan of andere handelingen van de EU in verband met de verwerking van persoonsgegevens voor rechtshandhavingsdoeleinden door de bevoegde instanties aan de richtlijn gegevensbescherming bij rechtshandhaving moeten worden aangepast, en dat zij in voorkomend geval voorstellen moet indienen om die handelingen te wijzigen teneinde een consequente aanpak van de bescherming van persoonsgegevens binnen het toepassingsgebied van de richtlijn te waarborgen.

De Commissie heeft de resultaten van haar evaluatie uiteengezet in haar mededeling Volgende stappen om het acquis van de voormalige derde pijler aan de gegevensbeschermingsregels aan te passen van 24 juni 2020 3 , waarin tien handelingen worden gespecificeerd die aan de richtlijn gegevensbescherming bij rechtshandhaving moeten worden aangepast en daarvoor een tijdschema wordt vastgesteld. Richtlijn 2014/41/EU van het Europees Parlement en de Raad betreffende het Europees onderzoeksbevel in strafzaken 4 is een van die handelingen. De Commissie heeft aangegeven dat zij in het laatste kwartaal van 2020 gerichte wijzigingen van die richtlijn zou voorstellen; dat is nu het doel van dit voorstel.

Dit initiatief valt niet onder het programma voor gezonde en resultaatgerichte regelgeving (Refit).

Verenigbaarheid met bestaande bepalingen op het beleidsterrein

Het voorstel heeft tot doel de gegevensbeschermingsregels van Richtlijn 2014/41/EU in overeenstemming te brengen met de beginselen en regels die zijn vastgelegd in de richtlijn gegevensbescherming bij rechtshandhaving, teneinde een sterk en samenhangend kader voor gegevensbescherming in de Unie tot stand te brengen.

Verenigbaarheid met andere beleidsterreinen van de Unie

Niet van toepassing.

2. RECHTSGRONDSLAG, SUBSIDIARITEIT EN EVENREDIGHEID

Rechtsgrondslag

Dit voorstel is gebaseerd op artikel 16, lid 2, van het Verdrag betreffende de werking van de Europese Unie (VWEU).

De oorspronkelijke handeling was gebaseerd op artikel 34, lid 2, punt b), van het vroegere Verdrag betreffende de Europese Unie, dat veeleer overeenstemt met artikel 82, lid 1, VWEU. Zowel het doel als de inhoud van de voorgestelde wijziging is echter duidelijk beperkt tot de bescherming van persoonsgegevens.

In dit verband is artikel 16, lid 2, VWEU de meest geschikte rechtsgrondslag. Deze maakt het mogelijk voorschriften vast te stellen betreffende de bescherming van natuurlijke personen ten aanzien van de verwerking van persoonsgegevens door de lidstaten, bij de uitoefening van activiteiten die binnen het toepassingsgebied van het recht van de Unie vallen, alsmede voorschriften betreffende het vrij verkeer van die gegevens.

Overeenkomstig artikel 2 bis van protocol nr. 22 is Denemarken niet gebonden door op grond van artikel 16 VWEU vastgestelde regels die betrekking hebben op de verwerking van persoonsgegevens bij de uitvoering van activiteiten binnen het toepassingsgebied van deel III, titel IV, hoofdstuk 4 of 5, van het VWEU. Hetzelfde geldt voor Ierland overeenkomstig artikel 6 bis van Protocol nr. 21.

Subsidiariteit (bij niet-exclusieve bevoegdheid)

Alleen de Unie kan een wetgevingshandeling vaststellen tot wijziging van Richtlijn 2014/41/EU.

Evenredigheid

Dit voorstel is beperkt tot hetgeen noodzakelijk is om Richtlijn 2014/41/EU in overeenstemming te brengen met de Uniewetgeving betreffende de bescherming van persoonsgegevens (met name de richtlijn gegevensbescherming bij rechtshandhaving), zonder het toepassingsgebied van de richtlijn op enigerlei wijze te wijzigen. Deze richtlijn gaat overeenkomstig artikel 5, lid 4, van het Verdrag betreffende de Europese Unie niet verder dan hetgeen nodig is om de beoogde doelstellingen te verwezenlijken.

Keuze van het instrument

Voor de wijziging van Richtlijn 2014/41/EU is een richtlijn het meest geschikte instrument.

3. EVALUATIE, RAADPLEGING VAN BELANGHEBBENDEN EN EFFECTBEOORDELING

Evaluatie van bestaande wetgeving en controle van de resultaatgerichtheid ervan

Dit voorstel sluit aan bij de resultaten van de evaluatie die de Commissie heeft verricht uit hoofde van artikel 62, lid 6, van de richtlijn gegevensbescherming bij rechtshandhaving, en gepresenteerd in de mededeling Volgende stappen om het acquis van de voormalige derde pijler aan de gegevensbeschermingsregels aan te passen. In die mededeling worden punten opgesomd waarvoor aanpassing noodzakelijk is. Er wordt met name gewezen op de noodzaak om te verduidelijken dat elke verwerking van persoonsgegevens krachtens Richtlijn 2014/41/EU onderworpen is aan de richtlijn gegevensbescherming bij rechtshandhaving of aan Verordening (EU) 2016/679 5 (algemene verordening gegevensbescherming — AVG), afhankelijk van de vraag of de verwerking plaatsvindt in het kader van een strafrechtelijke of een niet-strafrechtelijke procedure. Bij de aanpassing moet worden verduidelijkt dat krachtens Richtlijn 2014/41/EU verkregen gegevens enkel onder de voorwaarden van de richtlijn gegevensbescherming bij rechtshandhaving (artikel 4, lid 2, of artikel 9, lid 1) of de AVG (artikel 6) mogen worden verwerkt voor andere doeleinden dan waarvoor zij zijn verzameld.

Door de schrapping van artikel 20 van Richtlijn 2014/41/EU voor te stellen, blijft dit voorstel beperkt tot hetgeen nodig is om genoemde punten te realiseren.

•Raadpleging van belanghebbenden

Niet van toepassing.

Bijeenbrengen en gebruik van expertise

Bij de evaluatie heeft de Commissie rekening gehouden met de studie die is uitgevoerd in het kader van het proefproject voor de evaluatie vanuit het oogpunt van de grondrechten van instrumenten en programma’s van de EU voor het vergaren van gegevens 6 . In die studie werd een overzicht gegeven van de in artikel 62, lid 6, van richtlijn gegevensbescherming bij rechtshandhaving bedoelde Uniehandelingen en werd vastgesteld welke bepalingen mogelijk een aanpassing behoefden uit het oogpunt van gegevensbescherming.

Effectbeoordeling

Het effect van dit voorstel is beperkt tot de verwerking van persoonsgegevens door de bevoegde autoriteiten in de specifieke gevallen die door Richtlijn 2014/41/EU worden geregeld. Het effect van de nieuwe verplichtingen die voortvloeien uit de richtlijn gegevensbescherming bij rechtshandhaving is beoordeeld in het kader van de voorbereidende werkzaamheden voor die richtlijn. Een specifieke effectbeoordeling voor dit voorstel is dan ook onnodig.

•Resultaatgerichtheid en vereenvoudiging

Niet van toepassing.

•Grondrechten

Het recht op de bescherming van persoonsgegevens is vastgelegd in artikel 8 van het Handvest van de grondrechten van de Europese Unie en in artikel 16 VWEU. Zoals het Hof van Justitie van de Europese Unie heeft beklemtoond 7 , heeft het recht op bescherming van persoonsgegevens geen absolute gelding, maar moet het in relatie tot de functie ervan in de maatschappij worden beschouwd 8 . Er is ook een nauw verband tussen gegevensbescherming en de eerbiediging van het privéleven en het familie- en gezinsleven, dat door artikel 7 van het Handvest wordt beschermd.

Dit voorstel waarborgt dat elke verwerking van persoonsgegevens krachtens Richtlijn 2014/41/EU onderworpen is aan de “horizontale” beginselen en regels van de EU-wetgeving inzake gegevensbescherming, waardoor artikel 8 van het Handvest verder ten uitvoer wordt gelegd. Deze wetgeving beoogt een hoog niveau van bescherming van persoonsgegevens te waarborgen en te verduidelijken dat de beginselen en regels van Richtlijn (EU) 2016/680 van toepassing zijn op de gegevensverwerking krachtens Richtlijn 2014/41/EU, wat de grondrechten op privacy en gegevensbescherming ten goede zal komen.

4. GEVOLGEN VOOR DE BEGROTING

Niet van toepassing.

5. OVERIGE ELEMENTEN

Uitvoeringsplanning en regelingen betreffende controle, evaluatie en rapportage

Niet van toepassing.

Toelichtende stukken (bij richtlijnen)

Voor dit voorstel zijn geen toelichtende stukken over de omzetting vereist, aangezien het slechts de schrapping van één artikel van Richtlijn 2014/41/EU beoogt.

Artikelsgewijze toelichting

Bij artikel 1 wordt artikel 20 van Richtlijn 2014/41/EU geschrapt. Op die manier blijft dit voorstel beperkt tot hetgeen nodig is om de bovengenoemde punten te realiseren. Artikel 20 bepaalt dat elke verwerking van persoonsgegevens uit hoofde van de richtlijn in overeenstemming moet zijn met Kaderbesluit 2008/977/JBZ van de Raad en met de beginselen van het Verdrag van de Raad van Europa tot bescherming van personen met betrekking tot de geautomatiseerde verwerking van persoonsgegevens van 28 januari 1981 en het aanvullende protocol.

Het kaderbesluit is bij de richtlijn gegevensbescherming bij rechtshandhaving ingetrokken met ingang van 6 mei 2018. Volgens artikel 59 van de richtlijn gegevensbescherming bij rechtshandhaving gelden verwijzingen naar het kaderbesluit als verwijzingen naar de richtlijn gegevensbescherming bij rechtshandhaving.

Op grond van artikel 2, punt 1, van de richtlijn gegevensbescherming bij rechtshandhaving is deze van toepassing op de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de doeleinden van artikel 1, lid 1, ervan, namelijk de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid. Richtlijn 2014/41/EU is echter ook van toepassing op bepaalde soorten niet-strafrechtelijke procedures, en die vallen onder de algemene verordening gegevensbescherming.

De verwijzing in artikel 20 van Richtlijn 2014/41/EU naar het kaderbesluit zou tot verwarring kunnen leiden over de vraag of de richtlijn gegevensbescherming bij rechtshandhaving ook van toepassing is op de verwerking van persoonsgegevens in verband met Europese onderzoeksbevelen in het kader van niet-strafrechtelijke procedures (die niet binnen de werkingssfeer van de richtlijn gegevensbescherming bij rechtshandhaving vallen). Schrapping van artikel 20 volstaat om deze situatie te verhelpen. De richtlijn gegevensbescherming bij rechtshandhaving blijft van toepassing op binnen het toepassingsgebied van Richtlijn 2014/41/EU vallende verwerkingen van persoonsgegevens.

Aangezien de richtlijn gegevensbescherming bij rechtshandhaving en de AVG (elk binnen hun toepassingsgebied) van toepassing zijn op de verwerking van persoonsgegevens in het kader van Richtlijn 2014/41/EU, wordt de verwerking van dergelijke gegevens voor andere doeleinden dan die waarvoor zij zijn verzameld, verricht overeenkomstig de richtlijn gegevensbescherming bij rechtshandhaving (artikel 4, lid 2, en artikel 9, lid 1) of de AVG (artikel 6, lid 4). Daarvoor is geen nieuwe bepaling nodig.

Artikel 20 van Richtlijn 2014/41/EU schrijft ook voor dat de toegang tot persoonsgegevens wordt beperkt, onverminderd rechten van de betrokkene, en dat alleen bevoegde personen toegang tot die gegevens mogen hebben. Bij de richtlijn gegevensbescherming bij rechtshandhaving en de AVG is een alomvattend kader vastgesteld voor de rechten van betrokkenen en de verplichtingen van de verwerkingsverantwoordelijke, onder meer wat betreft gegevensbescherming door ontwerp en door standaardinstellingen, en beveiliging van de verwerking. De tweede alinea van artikel 20 is derhalve redundant.

Aangezien Richtlijn 2014/41/EU geen specifieke gegevensbeschermingsregels bevat, zijn er geen verdere wijzigingen in verband met gegevensbescherming nodig.

In artikel 2 wordt de termijn voor de omzetting van de voorgestelde nieuwe richtlijn vastgesteld.

In artikel 3 wordt de datum van inwerkingtreding van de richtlijn vastgesteld.

In artikel 4 wordt bepaald dat de richtlijn tot de lidstaten is gericht.