Bijlagen bij COM(2022)530 - Eerste verslag over de toepassing van de verordening gegevensbescherming voor de instellingen, organen en instanties van de EU (Verordening (EU) 2018/1725) - Hoofdinhoud

Dit is een beperkte versie

U kijkt naar een beperkte versie van dit dossier in de EU Monitor.

dossier	COM(2022)530 - Eerste verslag over de toepassing van de verordening gegevensbescherming voor de instellingen, organen en instanties van de ...
document	COM(2022)530
datum	14 oktober 2022

BIJLAGE

1Inleiding

De verordening gegevensbescherming voor de instellingen, organen en instanties van de Europese Unie ¹ (“EUVG”) is het belangrijkste ² gegevensbeschermingskader voor de instellingen, organen en instanties van de EU (“EU-instellingen en -organen”) wanneer zij persoonsgegevens verwerken als verwerkingsverantwoordelijken of verwerkers. De verordening is een pijler van goed bestuur en goed administratief gedrag op EU-niveau. Zij is van toepassing sinds 11 december 2018 ³ , toen daarbij haar voorganger, Verordening (EG) nr. 45/2001, werd ingetrokken en vervangen ⁴ .

Deze mededeling omvat het eerste verslag over de toepassing van de EUVG, overeenkomstig artikel 97 van de verordening. Ook worden hierin de op basis van de Verdragen vastgestelde rechtshandelingen geëvalueerd, die de verwerking regelen van operationele persoonsgegevens ⁵ door instellingen, organen of instanties van de EU bij de uitoefening van activiteiten in het kader van politiële samenwerking en justitiële samenwerking in strafzaken ⁶ , overeenkomstig artikel 98 EUVG.

De Commissie heeft informatie verzameld over de toepassing van de EUVG via een in oktober 2021 gelanceerde enquête, waarin de EU-instellingen en -organen werden uitgenodigd hun ervaringen met de toepassing van de EUVG te delen. In totaal hebben 56 ⁷ EU-instellingen en -organen geantwoord, en de in het verslag gepresenteerde statistieken over de EU-instellingen en -organen zijn gebaseerd op die antwoorden ⁸ . Een afzonderlijk verzoek om een bijdrage werd toegezonden aan de Europese Toezichthouder voor gegevensbescherming (EDPS) in zijn hoedanigheid van toezichthoudende autoriteit ⁹ . Tot slot heeft de Commissie een verzoek om input gepubliceerd ¹⁰ , zodat ook het publiek opmerkingen kon maken. De kwesties die aan de orde zijn gesteld in de zeer weinige reacties op het verzoek om input, worden in dit verslag behandeld.

In dit verslag wordt de EUVG onder ogen genomen in het kader van de EU-wetgeving inzake gegevensbescherming, worden de toepassing ervan door de EU-instellingen en -organen en de activiteiten van de EDPS gepresenteerd, en wordt de toepassing geanalyseerd van het hoofdstuk dat van toepassing is op EU-organen en -instanties die activiteiten uitvoeren in het kader van politiële samenwerking en justitiële samenwerking in strafzaken. Het verslag wordt afgesloten met een beschrijving van de te nemen vervolgstappen.

2Afzonderlijke gegevensbeschermingsregels voor EU-instellingen, -organen en -instanties afgestemd op de EU-wetgeving inzake gegevensbescherming

De belangrijkste instrumenten voor gegevensbescherming in de EU zijn de algemene verordening gegevensbescherming (“AVG”) ¹¹ , de richtlijn gegevensbescherming bij rechtshandhaving (“richtlijn rechtshandhaving”) ¹² en de e-privacyrichtlijn ¹³ . Zij zijn echter niet van toepassing op de verwerking van persoonsgegevens door EU-instellingen en -organen ¹⁴ . Daarom zijn er afzonderlijke, maar hierop afgestemde gegevensbeschermingsregels voor de EU-instellingen en -organen. De EUVG voorziet in die regels.

Met het oog op een consequente aanpak van de bescherming van persoonsgegevens en het vrije verkeer ervan in de EU, is de EUVG zoveel mogelijk afgestemd op de gegevensbeschermingsregels die voor de overheidssector zijn vastgesteld in de AVG en de richtlijn rechtshandhaving. Telkens wanneer de EUVG dezelfde beginselen volgt als de AVG, moet zij op dezelfde manier worden geïnterpreteerd, aangezien zij als gelijkwaardig aan de AVG moet worden beschouwd ¹⁵ . Hetzelfde kan worden gezegd voor de regels die in overeenstemming met de richtlijn rechtshandhaving zijn.

De EUVG is aangepast aan de specifieke context van de EU-instellingen en -organen, zoals in de onderstaande punten wordt beschreven.

·Aangezien de EUVG uitsluitend van toepassing is op de EU-instellingen en -organen als overheidsinstanties, zijn verschillende bepalingen van de AVG die alleen betrekking hebben op de particuliere sector weggelaten. De mogelijkheid om gegevens te verwerken met de “legitieme belangen” van de verwerkingsverantwoordelijke als rechtsgrondslag, bestaat bijvoorbeeld niet in de EUVG ¹⁶ .

·Verscheidene bevoegdheden die aan de Commissie worden verleend om uitvoerings- of gedelegeerde handelingen vast te stellen, worden niet als zodanig herhaald, maar in plaats daarvan wordt in de EUVG verwezen naar de AVG of de richtlijn rechtshandhaving. Zo bevat de EUVG geen mechanisme om adequaatheidsbesluiten voor internationale doorgiften vast te stellen, maar kunnen ook de EU-instellingen en -organen zich beroepen op adequaatheidsbesluiten die op grond van de AVG of de richtlijn rechtshandhaving zijn vastgesteld.

·De EUVG stelt ook rechtstreeks de EDPS in en legt de taken, bevoegdheden en benoemingsprocedures ervan vast. In het kader van de AVG en de richtlijn rechtshandhaving worden de respectieve toezichthoudende autoriteiten naar intern recht ingesteld, overeenkomstig de voorschriften van deze twee rechtshandelingen.

·Het hoofdstuk van de EUVG dat van toepassing is op EU-organen en -instanties op het gebied van strafrechtshandhaving ¹⁷ is functioneel gezien gelijk aan de richtlijn rechtshandhaving voor die organen en instanties. Als rechtstreeks toepasselijke verordening is zij echter anders geformuleerd. Zij voorziet in algemene regels die waar nodig moeten worden aangevuld met specifieke bepalingen in de oprichtingshandelingen van organen en instanties die op dit gebied actief zijn. Zij voorziet in een op maat gesneden regeling voor de verwerking van operationele persoonsgegevens, waarbij rekening wordt gehouden met de specifieke aard van deze sector, bijvoorbeeld de regels inzake het informeren van de betrokkenen, die waarborgen dat het onderzoek wordt beschermd.

3Uitvoering van de EUVG binnen EU-instellingen en -organen

3.1De rol van EU-instellingen en -organen als verwerkingsverantwoordelijken

Uit de algemene feedback van de EU-instellingen en -organen blijkt dat de eerste jaren van toepassing van de EUVG met succes hebben bijgedragen tot de versterking van hun algemene gegevensbeschermingscultuur. In dit verband verklaarde 94 % van de EU-instellingen en -organen dat de inwerkingtreding van de EUVG het bewustzijn van hun organisatie ten aanzien van de gegevensbeschermingsregels in zekere mate of in grote mate heeft vergroot. Over het algemeen gaven de EU-instellingen en -organen aan dat de EUVG een positief effect heeft gehad op hun gegevensbeschermingsbeleid en dat hun personeel zich meer bewust is van de verantwoordingsplicht van hun organisatie als verwerkingsverantwoordelijken en van de voorschriften inzake de verwerking van persoonsgegevens.

De EU-instellingen en -organen noemden het uitvoeren van gegevensbeschermingeffectbeoordelingen, het opsporen en aanpakken van inbreuken in verband met persoonsgegeven en het in overweging nemen van gegevensbescherming door ontwerp en door standaardinstellingen als de belangrijkste effecten van de EUVG in vergelijking met de ingetrokken Verordening (EG) nr. 45/2001. De EUVG maakt de mogelijkheid van gezamenlijke verwerkingsverantwoordelijkheid — meerdere organisaties die samen het doel van en de middelen voor de verwerking van persoonsgegevens bepalen — zichtbaarder, net als de AVG dat doet. De EDPS heeft richtsnoeren verstrekt ¹⁸ over dit onderwerp en de Commissie heeft interne modellen voor regelingen inzake gezamenlijke verwerkingsverantwoordelijkheid ontwikkeld.

Hoewel de aanvullende verantwoordingsvereisten die nodig zijn om de naleving van de EUVG voor EU-instellingen en -organen aan te tonen over het algemeen werden toegejuicht, merkten sommige EU-instellingen en -organen op dat de EUVG-regels tot een hogere werklast hebben geleid. Zij wezen er ook op dat de EUVG relatief complexe regels bevat, die meer deskundigheid vereisen bij de EU-instellingen en -organen, onder meer bij hun functionarissen voor gegevensbescherming, alsook bij de netwerken van coördinatoren voor gegevensbescherming in de EU-instellingen en -organen die over dergelijke netwerken beschikken.

Alle EU-instellingen en -organen, op twee na, houden gegevens over verwerkingsactiviteiten bij in een centraal register. Hoewel dit geen specifieke vereiste is uit hoofde van de EUVG, is het wel een goede praktijk die ook door de EDPS wordt aanbevolen ¹⁹ . Voorts heeft 72 % van de EU-instellingen en -organen alle aan de functionaris voor gegevensbescherming verzonden kennisgevingen uit hoofde van de vorige verordening ²⁰ in registers opgenomen. De EU-instellingen en organen die deze taak nog niet hebben voltooid, moeten hun documentatie over verwerkingsactiviteiten herzien en bijwerken om ervoor te zorgen dat deze volledig en actueel is.

3.2Uitoefening van de rechten van betrokkenen

De EUVG biedt betrokkenen een breed scala aan rechten met betrekking tot de verwerking van hun persoonsgegevens, in overeenstemming met de AVG. De EU-instellingen en -organen hebben als verwerkingsverantwoordelijken een specifieke verplichting om de uitoefening van deze rechten gemakkelijker te maken ²¹ . Bijgevolg heeft 96 % van de EU-instellingen en -organen aangegeven bewustmakingsactiviteiten te hebben ondernomen, zoals het actualiseren van publiek beschikbare informatie over hun verwerkingsactiviteiten, informatieberichten of richtsnoeren voor betrokkenen.

Een aantal EU-instellingen en -organen, zoals de Commissie, de Europese Centrale Bank en de Europese Dienst voor extern optreden, meldden een duidelijke toename van het aantal verzoeken dat zij tussen 2018 en 2021 van natuurlijke personen hadden ontvangen ²² . Voor andere, zoals het Hof van Justitie van de Europese Unie, het Europees Economisch en Sociaal Comité en het Asielagentschap van de Europese Unie, waren de aantallen echter stabiel of schommelden ze zonder een duidelijk waarneembare tendens. Het is nog niet mogelijk een duidelijke tendens te ontwaren in het aantal verzoeken van betrokkenen na de inwerkingtreding van de EUVG, aangezien de registratie van de verschillende soorten verzoeken per instelling, orgaan of instantie verschilt.

3.3Beperking van de rechten van de betrokkene door middel van interne voorschriften

Net als de AVG voorziet de EUVG ²³ in de mogelijkheid om bepaalde rechten van betrokkenen te beperken. Dit kan gebeuren via wetgevingshandelingen en via interne voorschriften ²⁴ . Voor dergelijke interne voorschriften gelden strenge criteria. Zij moeten duidelijk en nauwkeurig zijn en de toepassing ervan moet voorzienbaar zijn voor de personen waarop zij betrekking hebben. De voorschriften moeten in het Publicatieblad worden bekendgemaakt en moeten voldoen aan de vereisten van het Handvest van de grondrechten en het Europees Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden ²⁵ .

De op interne voorschriften gebaseerde beperkingen kunnen alleen betrekking hebben op de werking van de EU-instellingen en -organen. Zij moeten de grondrechten eerbiedigen, in een democratische samenleving noodzakelijke en evenredige maatregelen vormen en tot doel hebben een van de specifiek in de EUVG genoemde doelstellingen te waarborgen ²⁶ . Elke betrokkene wiens rechten zijn beperkt, heeft het recht een klacht in te dienen bij de EDPS ²⁷ .

Een grote meerderheid (84 %) van de EU-instellingen en -organen heeft interne voorschriften vastgesteld. Dergelijke voorschriften zijn bijvoorbeeld ingevoerd om het verstrekken van informatie aan een betrokkene in een intern administratief onderzoek uit te stellen ²⁸ . In andere gevallen was het doel van dergelijke voorschriften de voortdurende doeltreffende samenwerking met de lidstaten te waarborgen op die gebieden waar de activiteiten van de EU-instellingen en -organen afhankelijk zijn van informatie die zij van de bevoegde autoriteiten van de lidstaten ontvangen. De interne voorschriften die de Commissie heeft vastgesteld voor de verwerking van persoonsgegevens in het kader van haar activiteiten op het gebied van mededinging, fraudebestrijding en interne audits, voorzien bijvoorbeeld in de mogelijkheid om beperkingen op te leggen aan de rechten van betrokkenen wanneer persoonsgegevens worden verkregen van de bevoegde autoriteiten van de lidstaten ²⁹ . Die voorschriften voorzien in de mogelijkheid om soortgelijke beperkingen op te leggen wanneer nationale autoriteiten beperkingen hebben opgelegd op basis van een wettelijke maatregel die mogelijk is op grond van de AVG ³⁰ of de richtlijn rechtshandhaving ³¹ .

Wanneer EU-instellingen en -organen interne voorschriften hebben vastgesteld die het mogelijk maken de rechten van betrokkenen te beperken, worden deze meestal per geval toegepast, zoals vereist door hun respectieve interne voorschriften. 69 % van de EU-instellingen en -organen die de voorschriften van artikel 25 hebben ingevoerd, meldt echter dergelijke voorschriften nog niet te hebben toegepast. De instellingen en organen die ze wel hebben toegepast, hebben minder dan tien gevallen van beperkingen gemeld, met uitzondering van het Europees Parlement en de Commissie. De behoefte aan beperkingen is vaker gerezen bij de activiteiten van het Europees Bureau voor fraudebestrijding (OLAF), met name voor het uitstellen van informatieverstrekking aan betrokkenen over de verwerking van hun persoonsgegevens wanneer een onderzoek zich nog in een vroeg stadium bevindt, om het verzamelen van bewijsmateriaal niet in gevaar te brengen. OLAF heeft ook verscheidene beperkingen toegepast met betrekking tot verzoeken van betrokkenen om inzage van hun persoonsgegevens, die alleen waren afgewezen om rechten en vrijheden van anderen te beschermen ³² , bv. wanneer het bekendmaken van de gegevens een informant aan het risico van represailles zou blootstellen.

Volgens de interne voorschriften van de EU-instellingen en -organen moeten zij hun functionarissen voor gegevensbescherming in kennis stellen van alle toegepaste beperkingen en hun toegang verlenen tot het register en tot alle documenten over die beperkingen ³³ .

3.4Functionarissen voor gegevensbescherming

De verplichting om in alle EU-instellingen en -organen een functionaris voor gegevensbescherming aan te stellen, was al opgenomen in de vorige Verordening (EG) nr. 45/2001. De EUVG heeft deze rol zichtbaarder gemaakt door het verantwoordingsbeginsel in te voeren. Dit houdt in dat de verwerkingsverantwoordelijke verantwoordelijk is voor de naleving van de gegevensbeschermingsregels en moet kunnen aantonen dat deze worden nageleefd.

In 46 % van de EU-instellingen en -organen worden de functionarissen voor gegevensbescherming ondersteund door netwerken van coördinatoren voor gegevensbescherming of soortgelijke structuren ³⁴ . Grotere EU-instellingen en -organen beschikken vaker over dergelijke netwerken, zoals het Europees Parlement, het secretariaat-generaal van de Raad, de Commissie en de Europese Dienst voor extern optreden (EDEO). De EDEO organiseert en onderhoudt ook een netwerk van correspondenten voor gegevensbescherming in de EU-delegaties.

Een aantal EU-instellingen en -organen wees op de toename van de verantwoordelijkheden en de werklast van hun functionaris voor gegevensbescherming (en in het verlengde daarvan van de coördinatoren voor gegevensbescherming). Zij erkenden dat de functionarissen (en de coördinatoren) voor gegevensbescherming meer middelen moeten krijgen zodat zij het gegevensbeschermingsbeleid van hun EU-instellingen en -organen doeltreffend kunnen uitvoeren. Ook de noodzaak om de onafhankelijkheid van functionarissen voor gegevensbescherming te waarborgen werd genoemd.

In dit verband zijn er twee tendensen: enerzijds legt de EUVG meer nadruk op de verantwoordingsplicht van de verwerkingsverantwoordelijke, bv. door afschaffing van de procedure van voorafgaande controle die bestond onder de vorige Verordening (EG) nr. 45/2001, waardoor de administratieve lasten worden verminderd. Anderzijds vragen de verwerkingsverantwoordelijken om meer richtsnoeren van de functionarissen/coördinatoren voor gegevensbescherming over hoe zij het best aan de EUVG kunnen voldoen. In dit verband werd opgemerkt dat het netwerk van functionarissen voor gegevensbescherming van de EU-instellingen en -organen een belangrijk forum is voor de bespreking en verduidelijking van bepaalde juridische en technische aspecten die specifiek zijn voor gegevensverwerking door EU-instellingen en -organen. Dit netwerk biedt een platform voor uitwisselingen tussen de functionarissen voor gegevensbescherming en de EDPS en tussen die functionarissen onderling. Het werkt op permanente basis samen en komt gewoonlijk tweemaal per jaar bijeen.

Meer dan de helft van de EU-instellingen en -organen (54 %) heeft meer middelen uitgetrokken voor hun functionarissen voor gegevensbescherming en meer in het algemeen voor gegevensbeschermingstaken. De meeste EU-instellingen en -organen (84 %) hebben hun interne processen aangepast om ervoor te zorgen dat hun personeel de functionarissen voor gegevensbescherming informeert en raadpleegt over nieuwe verwerkingen van persoonsgegevens. Meestal gebeurt dit door de functionarissen voor gegevensverwerking bijvoorbeeld te betrekken bij veranderingsbeheerprocessen of bij projectstuurgroepen.

3.5Gegevensbeschermingseffectbeoordelingen

Het grootste aantal gegevensbeschermingseffectbeoordelingen werd uitgevoerd door de Europese Centrale Bank, de Europese Investeringsbank en de Commissie. In vergelijking met het vorige systeem van “voorafgaande controle” ³⁵ op grond van Verordening (EG) nr. 45/2001, is het aantal zaken dat naar de EDPS werd gestuurd, aanzienlijk gedaald. Dit was het verwachte gevolg van deze wijziging, en de EDPS werd minder vaak geraadpleegd over administratieve verwerkingen, zoals personeelsbeoordelingen.

Tabel 1 in de bijlage geeft een overzicht van de gegevensbeschermingseffectbeoordelingen die de EU-instellingen en -organen tussen 2019 en 2021 hebben uitgevoerd.

Bijna alle EU-instellingen en -organen (94 %) waren het erover eens dat de EUVG-criteria ³⁶ risicovolle verwerkingen adequaat bestrijken wanneer zij gegevensbeschermingseffectbeoordelingen moeten uitvoeren. Degenen die het hier niet mee eens waren, benadrukten dat de EDPS bij de interpretatie van deze criteria rekening moet houden met technologische ontwikkeling. Cloudcomputing is bijvoorbeeld niet langer een “nieuwe” technologie en hiermee moet rekening worden gehouden bij de vraag of er gegevensbeschermingseffectbeoordelingen moeten worden uitgevoerd. De EU-instellingen en -organen die dit punt aan de orde hebben gesteld, zijn doorgaans van mening dat de wettekst zelf voldoende duidelijk is, en dat dit een kwestie van interpretatie door de EDPS is.

De EUVG bevat geen specifieke verplichting om de resultaten van gegevensbeschermingseffectbeoordelingen bekend te maken. Een grote meerderheid van de EU-instellingen en -organen (84 %) maakt de uitgevoerde gegevensbeschermingseffectbeoordelingen niet bekend, terwijl 14 % deze gedeeltelijk of in de vorm van een samenvatting bekendmaakt, waarbij informatie wordt weggelaten die de vastgestelde waarborgen voor de beveiliging in gevaar zou kunnen brengen. Slechts één van de EU-instellingen en -organen heeft aangegeven gegevensbeschermingseffectbeoordelingen volledig bekend te maken. De bekendmaking van gegevensbeschermingseffectbeoordelingen, waar nodig met weglating van informatie die de beveiliging van de verwerkingen in gevaar zou kunnen brengen, verbetert de transparantie met betrekking tot de naleving van de EUVG-voorschriften door de EU-instellingen en -organen en is een goede praktijk die door de EDPS wordt aanbevolen ³⁷ .

3.6Internationale doorgifte van persoonsgegevens

Bijna alle EU-instellingen en -organen (91 %) meldden dat hun activiteiten gepaard gaan met internationale doorgiften van persoonsgegevens. Dit omvat zowel doorgiften van persoonsgegevens naar niet-EU-/EER-landen als naar internationale organisaties. Verscheidene EU-instellingen en -organen vermeldden echter dat deze doorgiften zelden voorkomen of slechts betrekking hebben op een beperkte hoeveelheid persoonsgegevens. Wat de gebruikte instrumenten voor doorgifte betreft, verwezen de EU-instellingen en -organen meestal naar adequaatheidsbesluiten (vastgesteld in het kader van de AVG ³⁸ of de richtlijn rechtshandhaving ³⁹ ) en contractuele instrumenten, bijvoorbeeld voor gegevensdoorgiften aan particuliere ondernemingen. Voor gegevensdoorgiften aan overheidsinstanties worden ook andere instrumenten gebruikt, zoals juridisch bindende overeenkomsten en administratieve regelingen. Daarnaast merkte 51 % van de EU-instellingen en -organen op dat zij beperkte, incidentele doorgiften verrichten, bijvoorbeeld om opleidingen te organiseren, op basis van de wettelijke gronden voor gegevensdoorgifte (de “afwijkingen”) ⁴⁰ .

In de praktijk worden gegevensdoorgiften meestal niet rechtstreeks door EU-instellingen en -organen verricht, maar door de verwerkers (die geen EU-instellingen en -organen zijn) die namens hen optreden. De Commissie heeft daarom specifiek aandacht besteed aan dit scenario in de standaardcontractbepalingen die in juni 2021 in het kader van de AVG zijn vastgesteld ⁴¹ om de verwerkingsverantwoordelijken en verwerkers te helpen te voldoen aan de voorschriften van zowel de AVG als de EUVG. Verwerkers in de Europese Economische Ruimte (EER) hebben met name de mogelijkheid om deze standaardcontractbepalingen voor internationale gegevensdoorgiften op te nemen in de overeenkomsten met hun subverwerkers in derde landen ⁴² . Dit waarborgt de naleving van de EUVG-voorschriften ⁴³ bij de inschakeling van subverwerkers namens EU-instellingen en -organen, zolang de gegevensbeschermingsverplichtingen onderling zijn afgestemd in de overeenkomsten tussen: i) de instelling/het orgaan van de EU en de verwerker; en ii) de verwerker en zijn subverwerker ⁴⁴ . EU-instellingen en -organen kunnen met name voor een dergelijke afstemming zorgen door gebruik te maken van de standaardcontractbepalingen die door de Commissie zijn vastgesteld voor de betrekkingen tussen verwerkingsverantwoordelijken en verwerkers ⁴⁵ .

Om aanvullende instrumenten te verstrekken die passende waarborgen bieden voor rechtstreekse doorgiften van gegevens door EU-instellingen en -organen aan derde landen (d.w.z. zonder tussenkomst van een EU-/EER-verwerker), ontwikkelt de Commissie momenteel standaardcontractbepalingen op grond van artikel 48, lid 2, punt b), EUVG. Deze bepalingen zullen zoveel mogelijk in overeenstemming worden gebracht met de bestaande bepalingen die in het kader van de AVG zijn vastgesteld.

Tot slot ontwikkelt de Commissie, gezien de specifieke vragen die rijzen bij de doorgifte van persoonsgegevens aan internationale organisaties (bijvoorbeeld vanwege de status van internationale organisaties en de toepasselijke voorrechten en immuniteiten), samen met de functionarissen voor gegevensbescherming van de EU-instellingen en -organen specifieke instrumenten (bv. administratieve regelingen) die zijn afgestemd op dergelijke doorgiften.

4Activiteiten van de EDPS

4.1De EDPS als toezichthoudende autoriteit voor gegevensbescherming voor EU-instellingen en -organen

De EDPS is de onafhankelijke toezichthoudende autoriteit voor gegevensbescherming voor de EU-instellingen en -organen ⁴⁶ , en weerspiegelt daarmee de rol van de nationale toezichthoudende autoriteiten voor gegevensbescherming die in de lidstaten zijn ingesteld uit hoofde van de AVG en de richtlijn rechtshandhaving.

Tabel 2 in de bijlage geeft een overzicht van de toezichtactiviteiten van de EDPS van 2018 tot en met 2021. Aangezien de EUVG op 11 december 2018 in werking is getreden ⁴⁷ , vormen de cijfers voor 2018 een basisscenario voor vergelijking met de situatie onder de vorige Verordening (EG) nr. 45/2001.

De EDPS constateerde dat de onderwerpen van de raadplegingen die hij van de EU-instellingen en -organen heeft ontvangen sinds de EUVG van toepassing is geworden, zijn verschoven in de richting van hun kerntaken. Dit betekent een verschuiving naar vragen over de verwerking van persoonsgegevens voor de uitvoering van aan de EU-instellingen en -organen toevertrouwde taken van algemeen belang, terwijl vragen over “administratieve” onderwerpen, zoals personeelsbeheer, verminderen.

Het aantal niet-ontvankelijke klachten dat de EDPS heeft ontvangen, is tussen 2019 en 2021 gestegen ⁴⁸ . De meeste niet-ontvankelijk verklaarde klachten waren gericht tegen verwerkingsverantwoordelijken in de lidstaten, die niet onder toezicht staan van de EDPS, maar van hun nationale autoriteiten voor gegevensbescherming. De aantallen voor 2018 waren waarschijnlijk hoger omdat de AVG van toepassing werd. Dit leidde tot een groter bewustzijn van de gegevensbeschermingsregels bij de bevolking, maar ook tot een toename van het aantal niet-ontvankelijke klachten. Ook kan de EDPS ontvankelijke klachten afsluiten wanneer een minnelijke oplossing wordt getroffen.

Het aantal inspecties en controles steeg in 2019 ten opzichte van het basisscenario van 2018, gevolgd door een daling in 2020 en 2021. Dit kan worden verklaard doordat de COVID-19-pandemie controles ter plaatse bemoeilijkte en deze werden vervangen door controles op afstand. Aan de hand van risico’s beoordeelt de EDPS welke EU-instellingen en -organen moeten worden geïnspecteerd. Daarbij wordt bijvoorbeeld rekening gehouden met het aantal ingediende raadplegingen, met name wanneer bijzondere categorieën van gegevens worden verwerkt als onderdeel van de kernactiviteiten van een EU-instelling. De EDPS kan ook besluiten op eigen initiatief onderzoeken uit te voeren, bijvoorbeeld naar het gebruik van cloudaanbieders door de EU-instellingen en -organen.

Wat inbreuken in verband met persoonsgegevens betreft, meldde de EDPS dat in de meeste gevallen menselijke fouten de onderliggende oorzaak waren, gevolgd door technische fouten en externe aanvallen ⁴⁹ .

De EDPS heeft de meeste van zijn bevoegdheden uit hoofde van de EUVG gebruikt, waaronder het opleggen van tijdelijke verboden op verwerkingen ⁵⁰ . Hij heeft nog niet gebruikgemaakt van zijn nieuwe bevoegdheid om administratieve geldboeten op te leggen, wat volgens de EUVG een maatregel in laatste instantie is ⁵¹ .

De EDPS heeft er in zijn bijdrage aan dit verslag ook op gewezen dat hij heeft geïnvesteerd in bewustmakingsactiviteiten, zoals opleidingen, met een piek van naar schatting meer dan 4 600 deelnemers in 2019, na de inwerkingtreding van de EUVG. Hoewel het aantal deelnemers in 2020 en 2021 is gedaald ten opzichte van die piek, is het nog steeds aanzienlijk hoger dan het basisscenario van naar schatting 1 000 deelnemers in 2018.

De EU-instellingen en -organen gaven overwegend positieve feedback over de interacties met en de begeleiding door de EDPS, waarbij 86 % aangaf dat de antwoorden altijd of meestal gemakkelijk te begrijpen waren. Ook spraken de EU-instellingen en -organen hun waardering uit over de toegenomen contacten van de EDPS met het netwerk van functionarissen voor gegevensbescherming.

Sommige EU-instellingen en -organen merkten echter op dat het advies van de EDPS soms te laat kwam ⁵² . Zij benadrukten het belang van voortdurende steun en advies van de EDPS en vroegen om tijdige en praktische begeleiding bij bepaalde kwesties op het gebied van gegevensbescherming, namelijk de toepassing van de risicogebaseerde aanpak voor de verwerkingsverantwoordelijken, internationale doorgiften en de relatie tussen verwerkingsverantwoordelijken (met inbegrip van gezamenlijke verwerkingsverantwoordelijken) en hun verwerkers.

4.2De EDPS als adviseur van de EU-wetgever

De Commissie raadpleegt de EDPS op formele wijze ⁵³ , met name over wetgevingsvoorstellen die gevolgen hebben voor de verwerking van persoonsgegevens, nadat deze door het college zijn vastgesteld ⁵⁴ . De EDPS reageert op deze raadplegingen met adviezen of opmerkingen ⁵⁵ . De EDPS brengt ook op eigen initiatief adviezen uit, zoals zijn voorlopig advies over de Europese ruimte voor gezondheidsgegevens ⁵⁶ . Wanneer een voorstel van bijzonder belang is voor gegevensbescherming, kan de Commissie ook het Europees Comité voor gegevensbescherming (EDPB) raadplegen. In dat geval moeten de EDPS en het EDPB een gezamenlijk advies uitbrengen ⁵⁷ om ervoor te zorgen dat de EU-wetgever een samenhangend advies krijgt.

De Commissie raadpleegt de EDPS ook informeel voordat handelingen waarvoor raadplegingsvereisten gelden door het college worden aangenomen. In antwoord op dergelijke raadplegingen verstrekt de EDPS informele opmerkingen aan de Commissie. Deze mogelijkheid helpt ervoor te zorgen dat de handelingen van de Commissie volledig in overeenstemming zijn met de gegevensbeschermingsregels voordat zij worden vastgesteld. Informele raadplegingen worden met name gebruikt bij besluiten die gevoelig zijn of die een grotere impact hebben op gegevensbescherming.

De activiteit van de EDPS als adviseur van de EU-wetgever hangt af van het aantal nieuwe voorstellen dat door de Commissie wordt voorbereid. Na lagere aantallen in het laatste jaar van de aftredende Commissie is de duidelijke toename van het aantal formele opmerkingen in 2021 toe te schrijven aan het grotere aantal wetgevingsvoorstellen en aan de inspanningen van de Commissie om de EDPS zoals voorgeschreven consequent te raadplegen ⁵⁸ . Hieronder vallen ook uitvoering- en gedelegeerde handelingen die betrekking hebben op de verwerking van persoonsgegevens. Na de inwerkingtreding van de EUVG heeft het secretariaat-generaal van de Commissie procedures opgesteld en de diensten bewust gemaakt van de verplichting om de EDPS te raadplegen. Dit heeft geleid tot een meer systematische raadpleging, ook wat betreft uitvoerings- en gedelegeerde handelingen. Met het oog op de planning houden de EDPS en de diensten van de Commissie jaarlijks vergaderingen over het komende werkprogramma en de voorstellen waarover raadpleging zal moeten plaatsvinden.

4.3Samenwerking tussen de EDPS en de nationale gegevensbeschermingsautoriteiten

De EDPS is een lid van het EDPB en verzorgt het secretariaat ervan. Hij werkt ook op andere manieren samen met de nationale toezichthoudende autoriteiten bij de uitoefening van hun respectieve taken ⁵⁹ . Voorbeelden hiervan zijn het doorverwijzen van klachten naar de bevoegde toezichthoudende autoriteit voor gegevensbescherming of zaken waarbij externe dienstverleners zijn betrokken die zowel door EU-instellingen en- organen als door verwerkingsverantwoordelijken in het kader van de AVG worden gebruikt. De EDPS draagt ook actief bij aan de werkzaamheden van het EDPB door bijvoorbeeld als hoofd- of mederapporteur voor richtsnoeren op te treden of anderszins bij te dragen aan de werkzaamheden ervan.

Verscheidene grootschalige IT-systemen en agentschappen die uit hoofde van de EU-wetgeving zijn opgericht, vereisen dat de EDPS en de nationale toezichthoudende autoriteiten, elk binnen hun eigen verantwoordelijkheden, actief samenwerken om een gecoördineerd toezicht te waarborgen ⁶⁰ . In het verleden bevatten de oprichtingshandelingen van elk systeem of agentschap specifieke bepalingen daarvoor. De EUVG ⁶¹ creëert een geharmoniseerd systeem voor deze toezichtcoördinatie, waarnaar in andere handelingen kan worden verwezen. Dit is gebeurd voor het Informatiesysteem interne markt ⁶² , Ecris-TCN ⁶³ , Eurojust ⁶⁴ en recentelijk voor Europol ⁶⁵ . Andere systemen hebben nog steeds coördinatiegroepen voor toezicht met gedetailleerde regels in hun oprichtingshandelingen, of gedetailleerde verwijzingen naar vergaderingen als onderdeel van het EDPB ⁶⁶ .

De EDPS draagt ook bij aan het Schengenevaluatiemechanisme dat is ingesteld bij Verordening (EU) nr. 1053/2013 van de Raad ⁶⁷ . Krachtens die verordening kan de Commissie de EDPS verzoeken een waarnemer aan te wijzen om deel te nemen aan een plaatsbezoek waarbij een gebied uit zijn mandaat wordt geëvalueerd, namelijk evaluaties op het gebied van gegevensbescherming ⁶⁸ . Dit komt overeen met de mogelijkheid voor Frontex en Europol om waarnemers aan te wijzen voor evaluaties van respectievelijk grensbeheer en politiesamenwerking. De Commissie is van mening dat de deskundigheid van de waarnemers van de EDPS een waardevolle troef is voor de evaluaties inzake gegevensbescherming.

4.4Middelen van de EDPS

Het aantal personeelsleden van de EDPS (met inbegrip van het secretariaat van het EDPB ⁶⁹ ) is in de verslagperiode gestaag toegenomen ⁷⁰ , hetgeen de algemene tendens bij de nationale toezichthoudende autoriteiten voor gegevensbescherming weerspiegelt. De activiteiten van het EDPB-secretariaat zijn in de loop der tijd toegenomen, met een groeiende output van EDPB-richtsnoeren, -aanbevelingen, -adviezen en andere documenten waaraan het secretariaat een bijdrage levert. Het is van essentieel belang dat het EDPB-secretariaat over voldoende middelen beschikt, gezien de grotere rol die het secretariaat naar verwachting zal spelen bij de doeltreffende handhaving van de AVG. Dit heeft in het bijzonder betrekking op de doelstelling van het EDPB om nauwere samenwerking te ontwikkelen op het gebied van strategische werkzaamheden en om nieuwe instrumenten te gebruiken ter ondersteuning van de samenwerking tussen gegevensbeschermingsautoriteiten ⁷¹ . In het bijzonder is een sterk en goed uitgerust secretariaat ter ondersteuning van de werkzaamheden van het EDPB van cruciaal belang om ervoor te zorgen dat het EDPB zijn werk naar behoren kan uitvoeren, met name in de context van het coherentiemechanisme ⁷² , waarvan het gebruik naar verwachting zal blijven toenemen.

In zijn bijdrage aan dit verslag was de EDPS met name van mening dat, mocht hij worden belast met extra taken, bijvoorbeeld als markttoezichtautoriteit in het kader van het wetgevingsvoorstel inzake artificiële intelligentie ⁷³ , hij dienovereenkomstige extra middelen moet krijgen.

5Gebruik van bevoegdheden door de Commissie om gedelegeerde en uitvoeringshandelingen vast te stellen

De EUVG verleent de Commissie verschillende bevoegdheden om uitvoeringshandelingen en standaardclausules vast te stellen, en bevat kruisverwijzingen naar bevoegdheden uit hoofde van de AVG ⁷⁴ .

De EUVG ⁷⁵ bevat bepalingen die haar de bevoegdheid geven om standaardcontractbepalingen inzake gegevensbescherming vast te stellen voor overeenkomsten tussen verwerkingsverantwoordelijken en verwerkers, welke bepalingen overeenstemmen met de bevoegdheid in de AVG ⁷⁶ . De Commissie heeft van deze bevoegdheid gebruikgemaakt en in juni 2021 standaardcontractbepalingen vastgesteld voor betrekkingen tussen verwerkingsverantwoordelijken en verwerkers ⁷⁷ , die zowel de AVG als de EUVG bestrijken. Deze bepalingen bieden verwerkingsverantwoordelijken gebruiksvriendelijke instrumenten om de betrekkingen met hun verwerkers doeltreffend te beheren.

De EUVG ⁷⁸ geeft de Commissie ook de bevoegdheid om standaardcontractbepalingen inzake gegevensbescherming vast te stellen die passende waarborgen bieden voor de doorgifte van persoonsgegevens buiten de EU/EER. De Commissie werkt momenteel aan dergelijke bepalingen.

6Gegevensbeschermingsregels voor organen en instanties die zich bezighouden met politiële samenwerking en justitiële samenwerking in strafzaken

Hoofdstuk IX van de EUVG bevat voorschriften voor EU-instellingen en -organen die operationele persoonsgegevens verwerken bij de uitvoering van activiteiten in het kader van politiële samenwerking en justitiële samenwerking in strafzaken (“hoofdstuk rechtshandhaving”). Het beoogt de versnippering te verminderen:

·tussen de gegevensbeschermingsregelingen die van toepassing zijn op de verwerking van operationele gegevens door EU-instanties op dit gebied;

·ten aanzien van de gegevensbeschermingsregeling die van toepassing is op nationale strafrechtshandhavingsactiviteiten in het kader van de richtlijn rechtshandhaving.

Daartoe voorziet het hoofdstuk rechtshandhaving van de EUVG in een reeks horizontale regels op basis van de richtlijn rechtshandhaving. Deze regels kunnen, waar nodig, worden aangevuld met specifieke regels in de oprichtingshandelingen van de instanties, afhankelijk van hun respectieve mandaten en van de specifieke aard van hun taken en gegevensverwerkingsactiviteiten.

In de EUVG staat dat moet worden gezorgd voor een eenvormige en consequente bescherming van natuurlijke personen bij de verwerking van hun persoonsgegevens ⁷⁹ . Daartoe wordt uitdrukkelijk verwezen naar de doelstelling om de toepassing van het hoofdstuk rechtshandhaving van de EUVG uit te breiden tot instanties die ten tijde van de vaststelling van de EUVG afzonderlijke gegevensbeschermingskaders in hun oprichtingshandelingen hadden, namelijk Europol en het Europees Openbaar Ministerie (EOM). Tevens wordt verwezen naar de mogelijke wijziging van het hoofdstuk rechtshandhaving, indien nodig.

6.1Uitbreiding van de toepassing van het hoofdstuk rechtshandhaving van de EUVG

Op het moment van opstelling van dit verslag, is het hoofdstuk rechtshandhaving van de EUVG van toepassing op de verwerking van operationele persoonsgegevens door:

·Eurojust ⁸⁰ , aangevuld met specifieke regels die zijn opgenomen in de Eurojust-verordening;

·Europol ⁸¹ , aangevuld met specifieke regels die zijn opgenomen in de Europol-verordening, die sinds de inwerkingtreding van de EUVG is gewijzigd ⁸² ;

·Frontex voor het kleine deel van zijn activiteiten dat valt onder strafrechtshandhaving ⁸³ .

Het hoofdstuk rechtshandhaving van de EUVG is echter nog niet van toepassing op het EOM, waarvan de oprichtingsverordening was vastgesteld vóór de EUVG. De EOM-verordening voorziet in een op zichzelf staande regeling voor de verwerking van operationele gegevens. Dit heeft twee gevolgen: Ten eerste verschillen sommige bepalingen in de EOM-verordening inhoudelijk van het hoofdstuk rechtshandhaving van de EUVG, zoals de verwerking van “beperkte” persoonsgegevens ⁸⁴ . Ten tweede zijn sommige bepalingen van de EOM-verordening, hoewel inhoudelijk vergelijkbaar, anders geformuleerd dan het hoofdstuk rechtshandhaving van de EUVG, hetgeen tot verschillende interpretaties kan leiden.

Ter wille van de samenhang en overeenkomstig de algemene doelstelling om de versnippering van de gegevensbeschermingsregels zoveel mogelijk te beperken, moet voor het EOM een soortgelijke aanpak worden gevolgd als voor Eurojust en Europol. Doel is ervoor te zorgen dat het hoofdstuk rechtshandhaving van de EUVG rechtstreeks toepasselijk is op het EOM, waarbij alleen de noodzakelijke specificaties in de EOM-verordening worden aangehouden. Aangezien het EOM pas één jaar operationeel is, moet tegelijkertijd op korte termijn meer inzicht worden verkregen in de praktische toepassing van de gegevensbeschermingsregeling van het EOM. Op die manier kunnen die specificaties nauwkeurig worden vastgesteld, rekening houdend met de aard van het EOM als onafhankelijk openbaar ministerie van de EU ⁸⁵ .

6.2Verduidelijking van de toepasselijkheid van bepaalde EUVG-bepalingen op de verwerking van operationele gegevens

In de EUVG ⁸⁶ is het volgende bepaald: “Uitsluitend artikel 3 [definities] en hoofdstuk IX [hoofdstuk rechtshandhaving] van deze verordening zijn van toepassing op de verwerking van operationele persoonsgegevens”

Het hoofdstuk rechtshandhaving bevat inhoudelijke bepalingen die overeenstemmen met de meeste bepalingen van de hoofdstukken II tot en met V van de EUVG (algemene beginselen, rechten van betrokkenen, bepaalde verplichtingen van verwerkingsverantwoordelijken en verwerkers, internationale doorgifte van gegevens), met enkele verschillen om rekening te houden met de specifieke aard van rechtshandhaving (bv. regels over het informeren van betrokkenen en over hun recht op inzage van hun gegevens).

Het is van belang om door middel van een wijziging van de EUVG te verduidelijken dat het hoofdstuk rechtshandhaving alleen specifieke regels bevat voor de overeenkomstige bepalingen van andere hoofdstukken van de EUVG die een direct equivalent hebben in het hoofdstuk rechtshandhaving. Indien de wetgever geen specifieke voorschriften in de oprichtingshandeling van een instantie opneemt, zijn de bepalingen in andere hoofdstukken dan het hoofdstuk rechtshandhaving die geen rechtstreeks equivalent in dat hoofdstuk hebben ⁸⁷ , van toepassing op de verwerking van operationele gegevens.

Deze wijziging zou de rechtszekerheid ten goede komen en een compleet kader bieden (bv. van de positie van functionarissen voor gegevensbescherming, de samenwerking met nationale toezichthoudende autoriteiten voor gegevensbescherming), ook voor eventuele toekomstige instanties op dit gebied ⁸⁸ . Een dergelijk compleet kader zou ook het risico van versnippering verminderen.

6.3Bevoegdheden van de EDPS bij het toezicht op EU-organen en -instanties

Momenteel bevatten de verordeningen tot oprichting van het EOM, Eurojust en Europol specifieke bepalingen over de bevoegdheden van de EDPS ⁸⁹ .

De geactualiseerde Europol-verordening verleent de EDPS bevoegdheden die zijn afgestemd op die van artikel 58 EUVG ⁹⁰ . Dit is met name het geval voor de bevoegdheid om administratieve boeten op te leggen en de bevoegdheid om de verwerkingsverantwoordelijke of de verwerker te gelasten de verwerking, waar passend, op een bepaalde wijze en binnen een bepaalde termijn met de voorschriften in overeenstemming te brengen.

In het geval van het EOM zijn de bevoegdheden van de EDPS echter anders geformuleerd dan in de EUVG. De EDPS beschikt niet over de twee bovengenoemde bevoegdheden ⁹¹ .

De Frontex-verordening bevat, voor het kleine deel van de activiteiten van Frontex dat onder het hoofdstuk rechtshandhaving valt ⁹² , geen specifieke bepalingen over de bevoegdheden van de EDPS, hetgeen tot onzekerheid over die bevoegdheden leidt.

Door de volgende twee stappen te volgen kunnen alle in artikel 58 EUVG genoemde bevoegdheden aan de EDPS worden verleend.

1.Verduidelijken dat de EUVG standaard het toezicht op het hoofdstuk rechtshandhaving en de bevoegdheden van artikel 58 EUVG aan de EDPS toevertrouwt ⁹³ . Daartoe moet de EUVG worden gewijzigd, zoals in het vorige punt is voorgesteld.

Dit zou ook de leemte in de Frontex-verordening opvullen.

2.Door de bepalingen over de bevoegdheden van de EDPS te schrappen uit de oprichtingsbesluiten van de instanties en organen, zou het volledige scala aan bevoegdheden van de EDPS uit hoofde van de gewijzigde EUVG rechtstreeks van toepassing zijn op Eurojust en het EOM. Doel is deze zoveel mogelijk op elkaar af te stemmen om de versnippering van de gegevensbeschermingsregels te beperken.

7Volgende stappen

Over het algemeen functioneert de EUVG goed en is de verordening geschikt voor het beoogde doel. In dit stadium zal de Commissie geen wijzigingen voorstellen voor die delen die gelijkwaardig zijn aan de overeenkomstige regels in de AVG, zodat de EUVG en de AVG zo nauw mogelijk op elkaar blijven aansluiten ⁹⁴ . De mogelijke wijzigingen die in dit verslag worden overwogen, hebben betrekking op andere delen, met name de verhouding van het hoofdstuk rechtshandhaving van de EUVG tot de andere bepalingen van de verordening.

In het voorjaar van 2022 heeft de Commissie regels voorgesteld om de informatiebeveiliging in de EU-instellingen en -organen ⁹⁵ te versterken, wat een positief effect zal hebben op informatiebeveiliging, inclusief op de bescherming van persoonsgegevens. Dat voorstel is gericht op verdere versterking van de veerkracht van de EU-instellingen en -organen en van hun vermogen om op incidenten te reageren wanneer zij met cyberbeveiligingsdreigingen worden geconfronteerd.

De Commissie zal ook de in de onderstaande punten uiteengezette stappen ondernemen:

-bij de actualisering van de oprichtingshandelingen voor grootschalige IT-systemen die nog gedetailleerde regels over een model voor gecoördineerd toezicht bevatten, waarborgen dat het model voor gecoördineerd toezicht van de EUVG ⁹⁶ van toepassing zal zijn om de procedures te stroomlijnen;

-wijzigingen in de EUVG overwegen om:

ode rechtszekerheid te verbeteren en het kader voor de verwerking van operationele gegevens te voltooien door in artikel 2, lid 2, te verduidelijken dat de algemene bepalingen van de EUVG ook van toepassing zijn op de verwerking van operationele persoonsgegevens, tenzij het hoofdstuk rechtshandhaving specifieke bepalingen bevat (zoals over het recht van inzage). Dit zou ook een kant-en-klaar kader bieden voor eventuele toekomstige instanties op het gebied van justitiële samenwerking in strafzaken en politiële samenwerking;

oervoor te zorgen dat de EDPS als waarnemer deelneemt aan alle evaluaties inzake gegevensbescherming in het kader van het Schengenevaluatiemechanisme;

-vervolgens overwegen de EOM- en Eurojust-verordeningen bij een toekomstige herziening zo te wijzigen dat de voorschriften inzake de verwerking van operationele persoonsgegevens in de gewijzigde EUVG volledig van toepassing zijn, rekening houdend met de specifieke aard van die organen. Dit zal er ook toe leiden dat de bevoegdheden van de EDPS ten aanzien van deze organen en instanties worden geharmoniseerd met zijn bevoegdheden ten aanzien van de andere EU-instellingen en -organen;

-standaardcontractbepalingen voor de internationale doorgiften van persoonsgegevens ⁹⁷ voor de EU-instellingen en -organen voorstellen;

-de nauwe samenwerking met de EDPS (en, in voorkomend geval, het EDPB) voortzetten om te zorgen voor een tijdige en gerichte raadpleging over nieuwe voorstellen ⁹⁸ , en de EDPS ook informeel blijven raadplegen over belangrijke teksten voordat deze worden aangenomen.

De EDPS wordt verzocht:

-aanvullende en tijdige praktische richtsnoeren te verstrekken aan de EU-instellingen en -organen, onder meer over internationale doorgiften van gegevens;

-de verwerkingsverantwoordelijken en verwerkers bewust te blijven maken van hun verplichtingen uit hoofde van de EUVG, en de functionarissen voor gegevensbescherming met advies bij te staan;

-de inspanningen op te voeren om de EUVG doeltreffend te handhaven teneinde de volledige bescherming van de betrokkenen te waarborgen.

De instellingen, organen en instanties van de EU worden verzocht:

-hun inspanningen op het gebied van bewustmaking voort te zetten en, waar nodig, op te voeren om te zorgen voor voldoende interne deskundigheid over de EUVG-voorschriften;

-te overwegen de gegevensbeschermingseffectbeoordelingen bekend te maken, zo nodig met uitsluiting van informatie die de vastgestelde waarborgen voor de beveiliging in gevaar zou kunnen brengen;

-ervoor te zorgen dat de functionarissen (en de coördinatoren) voor gegevensbescherming over voldoende middelen beschikken en een zodanige positie binnen de EU-instellingen en -organen innemen dat zij hun taken efficiënt en onafhankelijk kunnen uitvoeren;

-hun resterende kennisgevingen in het kader van de vorige verordening gegevensbescherming om te zetten in de registers van verwerkingsactiviteiten.

BIJLAGE

Tabel 1 — Gegevensbeschermingseffectbeoordelingen en voorafgaande raadplegingen door de EU-instellingen en -organen

	2019	2020	2021
Aanvaard restrisico	30	50	77
Voorafgaande raadpleging van de EDPS	3	3	5
Project afgebroken	2	2	0

Tabel 2 — Toezichtactiviteiten van de EDPS

	2018	2019	2020	2021
Raadplegingen	50 ⁹⁹	75	59	52
Voorafgaande raadplegingen	0	0	1	4
Toestemmingen voor doorgifte	0	1	0	4
Ontvangen ontvankelijke klachten	58	59	43	44 ¹⁰⁰
Besluiten ¹⁰¹ naar aanleiding van ontvankelijke klachten	23	48	35	22
Ontvangen niet-ontvankelijke klachten	240	151	203	269
Uitgevoerde inspecties/controles	5	9	4	4
Uitgevoerde formele onderzoeken	0	4	1	2

Ontvangen meldingen van inbreuken in verband met persoonsgegevens

121

82 ¹⁰²

Tabel 3 — Adviesactiviteiten van de EDPS

	2018	2019	2020	2021
Opmerkingen	13	3	19	72
Adviezen	7	6	8	12
Adviezen op eigen initiatief	1	1	2	0
Gezamenlijk adviezen met het EDPB	0	1	0	5
Informele opmerkingen	33 ¹⁰³	16	13	25

Tabel 4 — Middelen van de EDPS

	2018	2019	2020	2021	2022 (raming)
Totaal aantal personeelsleden van de EDPS (met inbegrip van het EDPB-secretariaat)	98	100	118	126	139
EDPS-personeel bij het EDPB-secretariaat	19	22	27	34	38
Begroting ¹⁰⁴	13 539 302 EUR (uitgevoerd)	15 301 687 EUR (uitgevoerd)	14 211 719 EUR (uitgevoerd)	16 761 285 EUR (uitgevoerd)	20 202 000 EUR (ontwerp)

(1)

Verordening (EU) 2018/1725 van het Europees Parlement en de Raad van 23 oktober 2018 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie en betreffende het vrije verkeer van die gegevens, en tot intrekking van Verordening (EG) nr. 45/2001 en Besluit nr. 1247/2002/EG (Voor de EER relevante tekst) (PB L 295 van 21.11.2018, blz. 39, https://eur-lex.europa.eu/eli/reg/2018/1725/oj?locale=nl ).

(2)

In de oprichtingshandelingen van sommige instanties op het gebied van justitie en binnenlandse zaken zijn specifieke gegevensbeschermingsregels opgenomen die de EUVG aanvullen of in plaats daarvan van toepassing zijn, zie punt 6.

(3)

Overeenkomstig artikel 101, lid 2, EUVG is zij pas sinds 12 december 2019 van toepassing op Eurojust.

(4)

Verordening (EG) nr. 45/2001 van het Europees Parlement en de Raad van 18 december 2000 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de communautaire instellingen en organen en betreffende het vrije verkeer van die gegevens (PB L 8 van 12.1.2001, blz. 1, https://eur-lex.europa.eu/eli/reg/2001/45/oj?locale=nl ).

(5)

Artikel 3, lid 2, EUVG.

(6)

Hoofdstuk 4 of 5 van titel V van het derde deel van het Verdrag betreffende de werking van de Europese Unie (VWEU).

(7)

De enquête werd toegezonden aan de op dat moment bestaande EU-instellingen en -organen (lijst: http://publications.europa.eu/code/nl/nl-5000900.htm ).

(8)

De in dit verslag vermelde percentages zijn altijd berekend op basis van de EU-instellingen en -organen die de desbetreffende specifieke vraag in de enquête hebben beantwoord.

(9)

Europese Toezichthouder voor gegevensbescherming, Bijdrage van de Europese Toezichthouder voor gegevensbescherming aan het verslag over de toepassing van Verordening (EU) 2018/1725, de “EUVG”, 21 december 2021, https://edps.europa.eu/system/files/2022-04/20-12-21-contribution_edps_report_eudpr_en_0.pdf

(10)

https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/13256-Data-Protection-Regulation-for-EU-institutions-bodies-offices-and-agencies-report-on-application_nl

(11)

Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming) (PB L 119 van 4.5.2016, blz. 1, https://eur-lex.europa.eu/eli/reg/2016/679/oj?locale=nl ).

(12)

Richtlijn (EU) 2016/680 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en betreffende het vrije verkeer van die gegevens en tot intrekking van Kaderbesluit 2008/977/JBZ van de Raad (PB L 119 van 4.5.2016, blz. 89, https://eur-lex.europa.eu/eli/dir/2016/680/oj.?locale=nl ).

(13)

Richtlĳn 2002/58/EG van het Europees Parlement en de Raad van 12 juli 2002 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlĳke levenssfeer in de sector elektronische communicatie (PB L 201 van 31.7.2002, blz. 37, https://eur-lex.europa.eu/eli/dir/2002/58/oj?locale=nl ).

(14)

Artikel 2, lid 3, AVG en artikel 2, lid 3, punt b), richtlijn rechtshandhaving. De e-privacyrichtlijn als zodanig is niet van toepassing, maar artikel 37 EUVG verplicht EU-instellingen en -organen om gegevens te beschermen die worden overgedragen naar, opgeslagen zijn op, verband houden met, worden verwerkt door en verzameld uit eindapparatuur van gebruikers die hun openbaar toegankelijke websites en mobiele toepassingen bezoeken, overeenkomstig artikel 5, lid 3, van Richtlijn 2002/58/EG.

(15)

Zie overweging 5 EUVG.

(16)

Dit komt overeen met de situatie onder haar voorganger, Verordening (EG) nr. 45/2001, waarin de rechtsgrondslag “legitiem belang” evenmin was opgenomen. In overweging 22 EUVG wordt in de tweede zin verduidelijkt: “de verwerking van persoonsgegevens voor de vervulling van de taken die door de instellingen of organen van de Unie in het algemeen belang worden verricht, omvat de verwerking van de voor [hun] beheer en werking benodigde persoonsgegevens”, wat betekent dat dergelijke verwerkingen, bv. voor het verzekeren van de fysieke toegangscontrole tot gebouwen en terreinen van de EU-instellingen en -organen, er ook onder vallen.

(17)

Hoofdstuk IX over de verwerking van operationele persoonsgegevens door organen en instanties van de EU bij de uitoefening van activiteiten die binnen het toepassingsgebied van hoofdstuk 4 of 5, titel V, van het derde deel van het VWEU vallen.

(18)

De begrippen verwerkingsverantwoordelijke, verwerker en gezamenlijke verwerkingsverantwoordelijken op grond van Verordening (EU) 2018/1725, https://edps.europa.eu/data-protection/our-work/publications/guidelines/concepts-controller-processor-and-joint

(19)

Accountability on the ground: Guidance on documenting processing operations for EU institutions, bodies and agencies — Part I: Records and threshold assessment, blz. 7, https://edps.europa.eu/sites/default/files/publication/19-07-17_accountability_on_the_ground_part_i_en.pdf

(20)

Artikel 25 van Verordening (EG) nr. 45/2001.

(21)

Artikel 14 EUVG.

(22)

Het gaat hierbij om algemene verzoeken om informatie en verzoeken tot uitoefening van de rechten van betrokkenen uit hoofde van hoofdstuk II van de EUVG, zoals het recht van inzage van hun persoonsgegevens die in het bezit zijn van een EU-instelling of -orgaan.

(23)

Artikel 25 EUVG.

(24)

Dit stemt overeen met de mogelijkheden in sommige lidstaten om de rechten van de betrokkenen op nationaal niveau te beperken, bv. bij ministeriële besluiten.

(25)

Artikel 25, lid 5, en overweging 24, EUVG.

(26)

Artikel 25, lid 1, EUVG.

(27)

Artikel 25, lid 6, EUVG.

(28)

Zie bijvoorbeeld Besluit nr. 59/2021 van de secretaris-generaal van de Raad van de Europese Unie tot vaststelling van uitvoeringsvoorschriften betreffende de toepassing van Verordening (EU) 2018/1725 van het Europees Parlement en de Raad en de beperking van de rechten van betrokkenen in het kader van administratief onderzoek, tuchtprocedures en gerechtelijke procedures, PB C 25 van 18.1.2022, blz. 2.

(29)

Besluit (EU) 2018/1961 van de Commissie (PB L 315 van 12.12.2018, blz. 35); Besluit (EU) 2018/1962 van de Commissie (PB L 315 van 12.12.2018, blz. 41); Besluit (EU) 2018/1927 van de Commissie (PB L 313 van 10.12.2018, blz. 39).

(30)

Artikel 23 GDPR.

(31)

Artikel 13, lid 3, artikel 15 of 16, richtlijn rechtshandhaving.

(32)

Zie artikel 2, lid 2, van Besluit (EU) 2018/1962 van de Commissie, waarin wordt verwezen naar de bescherming van derden als bedoeld in artikel 25, lid 1, punt h), EUVG.

(33)

Dit wordt ook aanbevolen in de richtsnoeren van de EDPS over artikel 25 EUVG, die beschikbaar zijn op: https://edps.europa.eu/data-protection/our-work/publications/guidelines/guidance-art-25-regulation-20181725_en

(34)

Binnen de Europese Commissie is bijvoorbeeld een functionaris voor gegevensbescherming verbonden aan het secretariaat-generaal, die wordt ondersteund door coördinatoren voor gegevensbescherming in elk directoraat-generaal.

(35)

Artikel 27 van Verordening (EG) nr. 45/2001. Volgens dat systeem moesten verwerkingen, bijvoorbeeld verwerkingen van persoonsgegevens betreffende de gezondheid en verwerkingen van gegevens inzake verdenkingen, strafbare feiten, strafrechtelijke veroordelingen of veiligheidsmaatregelen, of verwerkingen die ten doel hebben de persoonlijke eigenschappen van de betrokkenen, zoals bekwaamheid, rendement of gedrag, te beoordelen, vooraf door de EDPS worden gecontroleerd. Dit heeft geleid tot een groot aantal kennisgevingen (en bijbehorende adviezen van de EDPS) over zeer vergelijkbare verwerkingen; zo vielen bijvoorbeeld procedures voor de selectie en beoordeling van personeel onder deze bepaling.

(36)

Artikel 39 EUVG.

(37)

Hoewel de bekendmaking van (beknopte) verslagen van gegevensbeschermingseffectbeoordelingen geen verplichting is uit hoofde van de EUVG, is het wel een goede praktijk die door de EDPS wordt aanbevolen, zie Accountability on the ground, Part II, blz. 18-19, https://edps.europa.eu/node/4582_en

(38)

Artikel 45, lid 3, GDPR.

(39)

Artikel 36, lid 3, LED.

(40)

Artikel 50 EUVG.

(41)

Uitvoeringsbesluit (EU) 2021/914 van de Commissie van 4 juni 2021 betreffende standaardcontractbepalingen voor de doorgifte van persoonsgegevens naar derde landen overeenkomstig Verordening (EU) 2016/679 van het Europees Parlement en de Raad.

(42)

Door “module drie” van de standaardcontractbepalingen te gebruiken.

(43)

Artikel 29, lid 4, EUVG.

(44)

Zie overweging 8 van Uitvoeringsbesluit (EU) 2021/914 van de Commissie en voetnoot 1 van de bijlage bij dat besluit.

(45)

Uitvoeringsbesluit (EU) 2021/915 van de Commissie van 4 juni 2021 betreffende standaardcontractbepalingen tussen verwerkingsverantwoordelijken en verwerkers uit hoofde van artikel 28, lid 7, van Verordening (EU) 2016/679 van het Europees Parlement en de Raad en artikel 29, lid 7, van Verordening (EU) 2018/1725 van het Europees Parlement en de Raad.

(46)

Met uitzondering van het Hof van Justitie van de Europese Unie wanneer het als rechtsprekende instantie optreedt, zie artikel 57, lid 1, punt a), en overweging 74 EUVG. In die gevallen wordt het toezicht uitgeoefend door specifieke mechanismen, die zijn ingesteld bij besluit van het Hof van Justitie van 1 oktober 2019 tot instelling van een intern toezichtmechanisme inzake de verwerking van persoonsgegevens wanneer het Hof van Justitie als rechtsprekende instantie optreedt (PB C 383 van 11.11.2019, blz. 2) en bij besluit van het Gerecht van 16 oktober 2019 tot instelling van een intern toezichtmechanisme inzake de verwerking van persoonsgegevens wanneer het Gerecht als rechtsprekende instantie optreedt (PB C 383 van 11.11.2019, blz. 4). Daarnaast bestaat de bij Besluit 2009/917/JBZ van de Raad opgerichte gemeenschappelijke controleautoriteit voor het douane-informatiesysteem nog steeds.

(47)

Een uitzondering in dit verband is Eurojust, waarvoor de EUVG sinds 12 december 2019 van toepassing is, zie artikel 101, lid 2, EUVG.

(48)

Zie tabel 2 in de bijlage.

(49)

Voor 2020 (het laatste jaar met volledige statistieken): 52 % van de inbreuken in verband met persoonsgegevens werd veroorzaakt door menselijke fouten, 21 % door technische fouten, 17 % door een externe aanval, en de rest was te wijten aan andere oorzaken, bv. misbruik van bevoorrechte accounts.

(50)

Bijvoorbeeld op verwerkingen voor het monitoren van sociale media door het toenmalige Europees Ondersteuningsbureau voor asielzaken (EASO): https://edps.europa.eu/sites/default/files/publication/19-11-12_reply_easo_ssm_final_reply_en.pdf . In reactie hierop heeft het toenmalige EASO de omstreden verwerkingen stopgezet.

(51)

Krachtens de AVG kunnen geldboeten rechtstreeks worden opgelegd voor een inbreuk, bijvoorbeeld wanneer een verwerkingsverantwoordelijke de betrokkenen niet naar behoren informatie verstrekt over de verwerking van hun persoonsgegevens (artikelen 12 tot en met 14 AVG). Krachtens de EUVG kan de EDPS alleen geldboeten opleggen wegens niet-naleving van een bevel, bijvoorbeeld ter compensatie van verzuim om de betrokkenen naar behoren te informeren uit hoofde van de artikelen 14 tot en met 16 EUVG.

(52)

67 % van de EU-instellingen en -organen verklaarde dat zij het advies van de EDPS tijdig of meestal tijdig hadden ontvangen, terwijl 33 % neutraal was of verklaarde dat het advies (meestal) te laat kwam.

(53)

Artikel 42 EUVG.

(54)

Wat uitvoeringshandelingen en gedelegeerde handelingen betreft, kan de formele raadpleging plaatsvinden in de periode waarin het publiek feedback kan geven over ontwerpen van dergelijke handelingen.

(55)

De EDPS verwijst naar de antwoorden op wetgevingsvoorstellen en aanbevelingen op grond van artikel 218 VWEU met de term “adviezen”. Antwoorden betreffende uitvoeringshandelingen of gedelegeerde handelingen worden “opmerkingen” genoemd, zie ook Besluit van de Europese Toezichthouder voor gegevensbescherming van 15 mei 2020 tot vaststelling van het reglement van orde van de EDPS (PB L 204 van 26.6.2020, blz. 49, https://eur-lex.europa.eu/legal-content/NL/TXT/?uri=CELEX:32020Q0626(01) ).

(56)

Voorlopig advies 8/2020 van de EDPS over de Europese ruimte voor gezondheidsgegevens, https://edps.europa.eu/data-protection/our-work/publications/opinions/preliminary-opinion-82020-european-health-data-space_en

(57)

Artikel 42, lid 2, EUVG.

(58)

Artikel 42 EUVG.

(59)

Overeenkomstig artikel 61 EUVG werkt de EDPS ook samen met de gemeenschappelijke controleautoriteit opgericht krachtens artikel 25 van Besluit 2009/917/JBZ van de Raad.

(60)

Voorbeelden zijn het Schengeninformatiesysteem, het visuminformatiesysteem en Eurodac. Zie Verordening (EU) 2018/1862 van het Europees Parlement en de Raad van 28 november 2018 betreffende de instelling, de werking en het gebruik van het Schengeninformatiesysteem (SIS) op het gebied van politiële en justitiële samenwerking in strafzaken, tot wijziging en intrekking van Besluit 2007/533/JBZ van de Raad en tot intrekking van Verordening (EG) nr. 1986/2006 van het Europees Parlement en de Raad en Besluit 2010/261/EU van de Commissie (PB L 312 van 7.12.2018, blz. 56); Verordening (EG) nr. 767/2008 van het Europees Parlement en de Raad van 9 juli 2008 betreffende het Visuminformatiesysteem (VIS) en de uitwisseling tussen de lidstaten van gegevens op het gebied van visa voor kort verblijf (PB L 218 van 13.8.2008, blz. 60); en Verordening (EU) nr. 603/2013 van het Europees Parlement en van de Raad van 26 juni 2013 betreffende de instelling van Eurodac voor de vergelijking van vingerafdrukken ten behoeve van een doeltreffende toepassing van Verordening (EU) nr. 604/2013 tot vaststelling van de criteria en instrumenten om te bepalen welke lidstaat verantwoordelijk is voor de behandeling van een verzoek om internationale bescherming dat door een onderdaan van een derde land of een staatloze bij een van de lidstaten wordt ingediend en betreffende verzoeken van rechtshandhavingsinstanties van de lidstaten en Europol om vergelijkingen van Eurodac-gegevens ten behoeve van rechtshandhaving, en tot wijziging van Verordening (EU) nr. 1077/2011 tot oprichting van een Europees Agentschap voor het operationeel beheer van grootschalige IT-systemen op het gebied van vrijheid, veiligheid en recht (PB L 180 van 29.6.2013, blz. 1).

(61)

Artikel 62 EUVG.

(62)

Verordening (EU) 2018/1724 van het Europees Parlement en de Raad van 2 oktober 2018 tot oprichting van één digitale toegangspoort voor informatie, procedures en diensten voor ondersteuning en probleemoplossing en houdende wijziging van Verordening (EU) nr. 1024/2012 (PB L 295 van 21.11.2018, blz. 1).

(63)

Verordening (EU) 2019/816 van het Europees Parlement en de Raad van 17 april 2019 tot invoering van een gecentraliseerd systeem voor de vaststelling welke lidstaten over informatie beschikken inzake veroordelingen van onderdanen van derde landen en staatlozen (Ecris-TCN) ter aanvulling van het Europees Strafregisterinformatiesysteem en tot wijziging van Verordening (EU) 2018/1726 (PB L 135 van 22.5.2019, blz. 1).

(64)

Artikel 42, lid 2, van Verordening (EU) 2018/1727 van het Europees Parlement en de Raad van 14 november 2018 betreffende het Agentschap van de Europese Unie voor justitiële samenwerking in strafzaken (Eurojust), en tot vervanging en intrekking van Besluit 2002/187/JBZ van de Raad (PB L 295 van 21.11.2018, blz. 138).

(65)

Zie de wijzigingen van artikel 44, lid 2, van de Europolverordening zoals doorgevoerd bij Verordening (EU) 2022/991 van het Europees Parlement en de Raad van 8 juni 2022 tot wijziging van Verordening (EU) 2016/794, wat betreft de samenwerking van Europol met particuliere partijen, de verwerking van persoonsgegevens door Europol ter ondersteuning van strafrechtelijke onderzoeken, en de rol van Europol bij onderzoek en innovatie (PB L 169 van 27.6.2022, blz. 1).

(66)

Artikel 57 van Verordening (EU) 2018/1861 van het Europees Parlement en de Raad van 28 november 2018 betreffende de instelling, de werking en het gebruik van het Schengeninformatiesysteem (SIS) op het gebied van grenscontroles, tot wijziging van de Overeenkomst ter uitvoering van het Akkoord van Schengen en tot wijziging en intrekking van Verordening (EG) nr. 1987/2006 (PB L 312 van 7.12.2018, blz. 14), en artikel 71 van Verordening (EU) 2018/1862 van het Europees Parlement en de Raad van 28 November 2018 betreffende de instelling, de werking en het gebruik van het Schengeninformatiesysteem (SIS) op het gebied van politiële en justitiële samenwerking in strafzaken, tot wijziging en intrekking van Besluit 2007/533/JBZ van de Raad en tot intrekking van Verordening (EG) nr. 1986/2006 van het Europees Parlement en de Raad en Besluit 2010/261/EU van de Commissie (PB L 312 van 7.12.2018, blz. 56).

(67)

Verordening (EU) nr. 1053/2013 van de Raad van 7 oktober 2013 betreffende de instelling van een evaluatiemechanisme voor de controle van en het toezicht op de toepassing van het Schengenacquis en houdende intrekking van het Besluit van 16 september 1998 tot oprichting van de Permanente Schengenbeoordelings- en toepassingscommissie (PB L 295 van 6.11.2013, blz. 27).

(68)

Artikel 10, lid 5, van Verordening (EU) nr. 1053/2013 van de Raad van 7 oktober 2013.

(69)

Artikel 57, lid 1, punt l), EUVG.

(70)

Zie tabel 4 in de bijlage.

(71)

Verklaring van het EDPB over nauwere samenwerking inzake strategische dossiers, 29 april 2022: DPAs decide on closer cooperation for strategic files | European Data Protection Board (europa.eu)

(72)

Hoofdstuk VII, AVG.

(73)

COM(2021) 206 final.

(74)

Zie artikel 47 EUVG waarin EU-instellingen en -organen in staat zijn gesteld zich te beroepen op adequaatheidsbesluiten die in het kader van de AVG en de richtlijn rechtshandhaving zijn genomen, en artikel 14, lid 8, EUVG betreffende gedelegeerde handelingen inzake iconen uit hoofde van artikel 12, lid 8, AVG.

(75)

Artikel 29, lid 7, EUVG.

(76)

Artikel 28, lid 7, GDPR.

(77)

Uitvoeringsbesluit (EU) 2021/915 van de Commissie van 4 juni 2021 betreffende standaardcontractbepalingen tussen verwerkingsverantwoordelijken en verwerkers uit hoofde van artikel 28, lid 7, van Verordening (EU) 2016/679 van het Europees Parlement en de Raad en artikel 29, lid 7, van Verordening (EU) 2018/1725 van het Europees Parlement en de Raad (Voor de EER relevante tekst) (PB L 199 van 7.6.2021, blz. 18, https://eur-lex.europa.eu/legal-content/NL/TXT/HTML/?uri=CELEX:32021D0915&from=EN ).

(78)

Artikel 48, lid 2, punt b, EUVG.

(79)

Artikel 98, lid 2, EUVG.

(80)

Artikel 26 van Verordening (EU) 2018/1727 van het Europees Parlement en de Raad van 14 november 2018 betreffende het Agentschap van de Europese Unie voor justitiële samenwerking in strafzaken (Eurojust), en tot vervanging en intrekking van Besluit 2002/187/JBZ van de Raad (PB L 295 van 21.11.2018, blz. 138).

(81)

Artikel 28 van de gewijzigde Europol-verordening, Verordening (EU) 2016/794 van het Europees Parlement en de Raad van 11 mei 2016 betreffende het Agentschap van de Europese Unie voor samenwerking op het gebied van rechtshandhaving (Europol) en tot vervanging en intrekking van de Besluiten 2009/371/JBZ, 2009/934/JBZ, 2009/935/JBZ, 2009/936/JBZ en 2009/968/JBZ van de Raad.

(82)

Verordening (EU) 2022/991 van het Europees Parlement en de Raad van 8 juni 2022 tot wijziging van Verordening (EU) 2016/794, wat betreft de samenwerking van Europol met particuliere partijen, de verwerking van persoonsgegevens door Europol ter ondersteuning van strafrechtelijke onderzoeken, en de rol van Europol bij onderzoek en innovatie (PB L 169 van 27.6.2022, blz. 1).

(83)

Zie artikel 10, lid 1, punt q), en artikel 90 van Verordening (EU) 2019/1896 van het Europees Parlement en de Raad van 13 november 2019 betreffende de Europese grens- en kustwacht en tot intrekking van Verordening (EU) nr. 1052/2013 en Verordening (EU) 2016/1624, (PB L 295 van 14.11.2019, blz. 1, https://eur-lex.europa.eu/eli/reg/2019/1896/oj?locale=nl ).

(84)

Artikel 61, lid 4, van de EOM-verordening staat de verwerking van “beperkte” gegevens toe “met uitzondering van de opslag, slechts [...] ter bescherming van de rechten van de betrokkene of een andere natuurlijke of rechtspersoon die partij is bij de procedure van het EOM, of voor de doeleinden van [bewijs]”. In het overeenkomstige artikel 82, lid 3, EUVG staat: “[a]an beperkingen onderworpen gegevens worden alleen gebruikt voor het doel ten behoeve waarvan zij niet zijn gewist”, hetgeen het bewaren van de gegevens als bewijsmateriaal inhoudt, maar geen betrekking heeft op de bescherming van de rechten van de betrokkene of van anderen.

(85)

De ervaring die met Eurojust en Europol is opgedaan, is niet rechtstreeks overdraagbaar op het EOM, aangezien het EOM niet tot taak heeft de samenwerking tussen de nationale autoriteiten te ondersteunen en te verbeteren, maar misdrijven die de financiële belangen van de EU schaden, te onderzoeken en te vervolgen.

(86)

Artikel 2, lid 2, EUVG.

(87)

Bijvoorbeeld wat betreft de verplichting van verwerkingsverantwoordelijken om samen te werken krachtens artikel 32 EUVG, de regels inzake functionarissen voor gegevensbescherming in de artikelen 43 tot en met 45 EUVG, artikel 31 betreffende het bijhouden van registers van verwerkingsactiviteiten, en de samenwerking met andere toezichthoudende autoriteiten krachtens artikel 61 EUVG.

(88)

Het specifieke rechtskader van deze instanties zou nog steeds moeten worden vastgelegd overeenkomstig de voorschriften van de EUVG, bv. artikel 72 over de vaststelling van opslagperiodes. Het zou evenwel niet nodig zijn de rechten van de betrokkenen of de bevoegdheden van de EDPS te regelen, tenzij de wetgever er specifiek voor zou kiezen af te wijken van de aanpak van de EUVG.

(89)

Artikel 85 van de EOM-verordening, artikel 40 van de Eurojust-verordening en artikel 43 van de Europol-verordening.

(90)

Bepaalde taken van de EDPS die niet relevant zijn voor Europol, zoals het goedkeuren van standaardcontractbepalingen, worden niet herhaald.

(91)

Krachtens artikel 85, lid 3, punt b), van de EOM-verordening en artikel 40, lid 3, punt b), van de Eurojust-verordening kan de EDPS, in geval van een vermeende inbreuk op de bepalingen betreffende de verwerking van operationele persoonsgegevens, de zaak alleen aan het EOM of Eurojust voorleggen en, in voorkomend geval, voorstellen doen om een einde te maken aan de inbreuk en de betrokkenen beter te beschermen.

(92)

Zie artikel 10, lid 1, punt q), en artikel 90 van de Frontex-verordening.

(93)

Artikel 1, lid 3, EUVG geeft de EDPS de taak “toezicht [te houden] op de toepassing van deze verordening op alle door een instelling of orgaan van de Unie verrichte verwerkingen”. Hoewel deze bepaling zo kan worden uitgelegd dat zij ook van toepassing is op de activiteiten die onder het hoofdstuk rechtshandhaving vallen, zou het met het oog op de rechtszekerheid nuttig zijn deze bepaling expliciet vast te leggen.

(94)

Mocht de AVG in een later stadium worden gewijzigd, dan zal de Commissie nagaan welke wijzigingen in de EUVG nodig zijn om beide teksten op elkaar afgestemd te houden.

(95)

Voorstel voor een verordening van het Europees Parlement en de Raad betreffende maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de instellingen, organen en instanties van de Unie, COM(2022) 122 final.

(96)

Artikel 62 EUVG.

(97)

Artikel 48, lid 2, punt b, EUVG.

(98)

In overeenstemming met artikel 42 EUVG.

(99)

Waarvan twee na de inwerkingtreding van de EUVG.

(100)

Tot 15 november 2021.

(101)

Inclusief afgesloten zaken door minnelijke schikking, verwijzing naar de functionaris voor gegevensbescherming en andere wijzen van afsluiting.

(102)

Tot half november 2021.

(103)

Uit hoofde van de vorige Verordening (EG) nr. 45/2001 beschouwde de EDPS raadplegingen over gedelegeerde en uitvoeringshandelingen als “informele” opmerkingen. Een aantal van de opmerkingen die voor 2018 onder informele opmerkingen werden opgenomen, zouden daarna als “formele opmerkingen” zijn beschouwd.

(104)

Deze cijfers zijn geactualiseerd ten aanzien van de cijfers in de bijdrage van de EDPS aan dit verslag.