29.12.2010   

NL

Publicatieblad van de Europese Unie

C 355/1

1.

In de laatste jaren zijn steeds meer inspanningen verricht om de justitiële samenwerking in strafzaken te verbeteren. Dit onderwerp, dat nu een belangrijke plaats inneemt in het programma van Stockholm (4), wordt gekenmerkt door de grote gevoeligheid van de persoonsgegevens en door de gevolgen die de verwerking ervan kan hebben voor de betrokkenen.

2.

Met het oog hierop heeft de Europese Toezichthouder voor gegevensbescherming (EDPS) bijzondere aandacht aan dit onderwerp besteed (5) en wil hij via dit advies opnieuw nadrukkelijk wijzen op de noodzaak van de bescherming van fundamentele rechten als hoeksteen van de ruimte van vrijheid, veiligheid en recht als bedoeld in het programma van Stockholm.

3.

Dit advies is een reactie op twee initiatieven voor een richtlijn van een aantal lidstaten, op basis van artikel 76 van het Verdrag betreffende de werking van de Europese Unie (VWEU), te weten:

4.

Het verstrekken van advies over deze initiatieven behoort tot het taakgebied dat aan de EDPS is toevertrouwd bij artikel 41 van Verordening (EG) nr. 45/2001 voor het uitbrengen van advies aan de communautaire instellingen en organen inzake alle kwesties betreffende de verwerking van persoonsgegevens. Dit advies bevat daarom opmerkingen over de initiatieven voor zover deze betrekking hebben op de verwerking van persoonsgegevens. Aangezien er geen verzoek om advies is gezonden naar de EDPS, wordt dit advies uitgebracht op eigen initiatief (8).

5.

De EDPS herinnert eraan dat de Commissie overeenkomstig artikel 28, lid 2, van Verordening (EG) nr. 45/2001 verplicht is de EDPS te raadplegen, wanneer zij een wetgevingsvoorstel aanneemt betreffende de bescherming van de rechten en vrijheden van natuurlijke personen inzake de verwerking van persoonsgegevens. In het geval van een initiatief van lidstaten is deze verplichting niet in strikte zin van toepassing. Sinds de inwerkingtreding van het Verdrag van Lissabon is de gewone wetgevingsprocedure echter tevens van toepassing op de ruimte van politiële en justitiele samenwerking, met één specifieke, in artikel 76 van het VWEU opgenomen uitzondering, namelijk dat een kwart van de lidstaten het initiatief voor EU maatregelen kan nemen. Volgens het Verdrag van Lissabon worden deze initiatieven zoveel mogelijk afgestemd op Commissievoorstellen en moet waar mogelijk gebruik worden gemaakt van procedurele waarborgen. Om die reden gaan de onderhavige initiatieven vergezeld van een effectbeoordeling.

6.

Tegen deze achtergrond betreurt de EDPS het niet alleen dat hij bij het uitbrengen van de initiatieven niet is geraadpleegd, maar beveelt hij de Raad tevens aan een procedure in te stellen voor raadpleging van de EDPS wanneer een initiatief van lidstaten betrekking heeft op de verwerking van persoonsgegevens.

7.

Hoewel de initiatieven verschillende doelen dienen — betere bescherming van slachtoffers respectievelijk grensoverschrijdende samenwerking in strafzaken bij het verzamelen van bewijsmateriaal — zijn er belangrijke overeenkomsten:

Om die redenen acht de EDPS het passend de initiatieven tezamen te behandelen.

8.

In dit kader zij opgemerkt dat ook de Europese Commissie zich onlangs heeft beziggehouden met de kwestie van het verzamelen van bewijs ter indiening bij de bevoegde instanties in andere lidstaten (het specifieke doel van het EOB-initiatief). Zo werd eind 2009 een groenboek (11) gepubliceerd — waarvan de raadplegingsronde inmiddels is afgesloten (12) — met het voornemen van de Commissie (blijkens het Actieplan ter uitvoering van het programma van Stockholm  (13)) om een wetgevingsvoorstel in te dienen betreffende de invoering in 2011 van een integrale rechtsregeling voor bewijsverkrijging in strafzaken die op het beginsel van wederzijdse erkenning is gebaseerd en die alle soorten bewijs dekt (14).

9.

Beide initiatieven passen binnen de algemene ontwikkeling van de maatregelen die de EU de laatste jaren heeft genomen ten aanzien van de ruimte van vrijheid, veiligheid en recht. Sinds september 2001 is er, mede dankzij ontwikkelingen op ICT-gebied, sprake van een duidelijk stijgende lijn in de verzameling en uitwisseling van informatie door EU-lidstaten (en derde landen), hetgeen mogelijk is gemaakt door een aantal EU-rechtsinstrumenten. Ook het EBB-initiatief en het EOB-initiatief zijn bedoeld om de gegevensuitwisseling over natuurlijke personen in de ruimte van vrijheid, veiligheid en recht te verbeteren.

10.

Het EBB-initiatief — dat is gebaseerd op artikel 82, lid 1, onder d), van het VWEU — beoogt de slachtoffers van strafbare handelingen, met name vrouwen, te verzekeren van doeltreffende bescherming binnen de Europese Unie. Daartoe maakt het EBB-initiatief het mogelijk de beschermingsmaatregelen die zijn genoemd in artikel 2, lid 2, van dit initiatief en die volgens het recht van de ene lidstaat (de „uitvaardigende staat”) zijn genomen in een andere lidstaat waarnaar de beschermde persoon verhuist (de „uitvoerende staat”), uit te breiden zonder dat het nodig is dat het slachtoffer een nieuwe procedure instelt of in de uitvoerende staat opnieuw bewijs levert.

11.

De beschermingsmaatregelen die (op verzoek van het slachtoffer) worden opgelegd aan de gevaar veroorzakende persoon, beogen daarom het leven, de fysieke en psychologische integriteit, de vrijheid of de seksuele integriteit van het slachtoffer te beschermen binnen de EU, ongeacht nationale grenzen, alsmede nieuwe strafbare handelingen tegen hetzelfde slachtoffer te voorkomen.

12.

Het EBB moet op verzoek van het slachtoffer in de uitvaardigende (lid)staat worden gegeven door een rechterlijke (of gelijkwaardige) autoriteit. De procedure omvat de volgende stappen:

13.

Om dit te bereiken, moeten administratieve maatregelen worden getroffen. Die maatregelen zullen ten dele betrekking hebben op de uitwisseling van persoonsgegevens tussen de uitvaardigende staat en de uitvoerende staat in verband met de betrokken persoon (het „slachtoffer”) en de gevaar veroorzakende persoon. De volgende bepalingen voorzien in de uitwisseling van persoonsgegevens:

14.

De in het voorgaande punt genoemde informatie valt duidelijk onder persoonsgegevens zoals die in wetgeving inzake gegevensbescherming in brede zin zijn gedefinieerd als „iedere informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon” (15) en nader worden toegelicht door de Groep gegevensbescherming artikel 29. Het EBB-initiatief betreft informatie over een natuurlijk persoon (het slachtoffer of de gevaar veroorzakende persoon) of informatie die wordt gebruikt of waarschijnlijk wordt gebruikt om de status van een natuurlijk persoon (met name de gevaar veroorzakende persoon) te beoordelen, op een bepaalde wijze te behandelen of te beïnvloeden (16).

15.

Het EOB-initiatief — dat is gebaseerd op artikel 82, lid 1, onder a), van het VWEU — verlangt van de lidstaten dat zij bewijs verzamelen, bewaren en verzenden, ook als dat nog niet beschikbaar is in het nationale rechtsgebied. Het initiatief gaat dus verder dan het beschikbaarheidsbeginsel, dat in het Haags programma van 2004 is gepresenteerd als een innoverende benadering van de grensoverschrijdende uitwisseling van rechtshandhavingsinformatie (17). Het gaat ook verder dan Kaderbesluit 2008/978/JBZ van de Raad van 18 december 2008 betreffende het Europees bewijsverkrijgingsbevel, dat alleen van toepassing is op (gegeven) bewijs dat al bestaat (18).

16.

Een EOB wordt uitgevaardigd om een of meer specifieke onderzoeksmaatregelen te laten uitvoeren in de uitvoerende staat met het oog op de verzameling en overdracht van bewijs (dat mogelijk niet bestaat wanneer het bevel wordt gegeven) (artikel 12). Het is van toepassing op bijna alle onderzoeksmaatregelen (zie de overwegingen 6 en 7 van het initiatief).

17.

Het doel van het EOB-initiatief is een enkel efficiënt en flexibel instrument te scheppen om in een andere lidstaat bewijs te verzamelen in het kader van strafzaken, in plaats van het complexere rechtsinstrument dat thans wordt gebruikt door gerechtelijke autoriteiten (op basis van wederzijdse rechtshulp enerzijds en wederzijdse erkenning anderzijds) (19).

18.

Vanzelfsprekend kunnen via een EOB verzamelde bewijsmiddelen (zie ook bijlage A bij het initiatief) persoonsgegevens bevatten, zoals in het geval van inlichtingen over bankrekeningen (artikel 23), gegevens over banktransacties (artikel 24) en toezicht op banktransacties (artikel 25), of betrekking hebben op de communicatie van persoonsgegevens, zoals bij een video- of telefoonconferentie (artikelen 21 en 22).

19.

Het EOB-initiatief heeft daarom belangrijke gevolgen voor het recht op de bescherming van persoonsgegevens. Mede in aanmerking nemend dat de uitvoeringstermijn van Kaderbesluit 2008/978/JBZ nog niet is verstreken (zodat de doeltreffendheid van het instrument en de behoefte aan aanvullende juridische maatregelen zich moeilijk laten beoordelen) (20), herinnert de EDPS aan de noodzaak van periodieke verificatie, in het licht van de gegevensbeschermingsbeginselen, van de doeltreffendheid en de evenredigheid van de in de ruimte van vrijheid, veiligheid en recht genomen juridische maatregelen (21). De EDPS adviseert daarom in het EOB-initiatief een evaluatiebepaling op te nemen, die de lidstaten verplicht regelmatig verslag uit te brengen over de toepassing van het instrument, waarbij de Commissie deze rapporten samenvoegt en, waar van toepassing, passende wijzigingsvoorstellen doet.

20.

Zoals hierboven is toegelicht in de punten 13, 14 en 18, is het duidelijk dat volgens de voorgestelde richtlijnen persoonsgegevens zullen worden verwerkt en uitgewisseld door de bevoegde autoriteiten van de verschillende lidstaten. Onder deze omstandigheden wordt de betrokkene beschermd door het grondrecht op gegevensbescherming, zoals is vastgelegd in artikel 16 van het VWEU en artikel 8 van het EU-handvest van de grondrechten.

21.

Desondanks schat het memorandum van toelichting bij het EBB-initiatief het risico van inbreuk op de grondrechten op „0” (nul) (22), en laat de effectbeoordeling in het memorandum van toelichting bij het EBB-initiatief gegevensbeschermingskwesties buiten beschouwing (23).

22.

De EDPS betreurt deze conclusies en benadrukt het belang van gegevensbescherming in de specifieke context waarin persoonsgegevens worden verwerkt, namelijk:

23.

In een dergelijke context luisteren gegevensverwerkingen extra nauw, omdat zij belangrijke gevolgen kunnen hebben voor de grondrechten van de betrokkene, waaronder het recht op bescherming van persoonsgegevens.

24.

Gezien deze overwegingen vraagt de EDPS zich af waarom de initiatieven noch ingaan op de bescherming van persoonsgegevens (afgezien van een vermelding van de vertrouwelijkheidsverplichting die aan de betrokkenen bij een onderzoek wordt opgelegd door artikel 18 van het EOB-initiatief), noch uitdrukkelijk verwijzen naar Kaderbesluit 2008/977/JBZ. Dit kaderbesluit zou immers van toepassing zijn op de verwerkingswerkzaamheden die in beide initiatieven worden bedoeld (zie artikel 1, lid 2, onder a)).

25.

De EDPS is daarom verheugd dat tijdens de voorbereidende werkzaamheden van de Raad in verband met het EBB-initiatief een verwijzing naar Kaderbesluit 2008/977/JBZ is ingevoerd (25), en heeft er vertrouwen in dat het Europees Parlement deze wijziging van de oorspronkelijke initiatieven zal goedkeuren (26).

26.

De EDPS betreurt het dat er nog geen vergelijkbare overweging is opgenomen in het EOB-initiatief, dat een veel intensievere uitwisseling van persoonsgegevens inhoudt. In dit verband verwelkomt de EDPS het feit dat de Europese Commissie in haar commentaar op het EOB-initiatief voorstelt om (zowel in de overweging als in het dispositief van het voorstel) een verwijzing op te nemen naar de toepasselijkheid van Kaderbesluit 2008/977/JBZ (27).

27.

Om die reden, en onverminderd deel III hierna, dienen beide initiatieven een specifieke bepaling te bevatten die duidelijk maakt dat Kaderbesluit 2008/977/JBZ van toepassing is op de in de initiatieven voorziene gegevensverwerking.

28.

Beide initiatieven stellen opnieuw de fundamentele kwestie van de onvolledige en inconsequente toepassing van gegevensbeschermingsbeginselen op het gebied van justitiële samenwerking in strafzaken aan de orde (28).

29.

Het is de EDPS bekend dat het belangrijk is de doeltreffendheid van justitiële samenwerking tussen de lidstaten te verbeteren, ook op de terreinen die worden bestreken door het EBB-initiatief en het EOB-initiatief (29). De EDPS heeft tevens oog voor de voordelen en noodzaak van informatie-uitwisseling, maar wil onderstrepen dat de verwerking van gegevens moet voldoen aan — onder meer (30) — de EU-voorschriften inzake gegevensbescherming. Dat is nog duidelijker in het licht van het gegeven dat bij het Verdrag van Lissabon artikel 16 van het VWEU is ingevoerd en bindende kracht is verleend aan artikel 8 van het Handvest van de grondrechten van de Europese Unie.

30.

Situaties waarin sprake is van grensoverschrijdende uitwisseling van informatie binnen de EU, verdienen bijzondere aandacht, aangezien de verwerking van persoonsgegevens in meer dan een rechtsgebied een verhoging van de risico's voor de rechten en belangen van de betrokkenen met zich brengt. De persoonsgegevens worden verwerkt in diverse rechtsgebieden waar de wettelijke voorschriften en het technische kader niet noodzakelijkerwijs gelijk zijn.

31.

Bovendien leidt dit tot rechtsonzekerheid voor de betrokkenen: mogelijk zijn er partijen uit andere lidstaten bij betrokken en zijn nationale wetgevingen van diverse lidstaten van toepassing, die wellicht anders zijn dan het recht waaraan zij gewend zijn, of die van toepassing zijn in een voor hen onbekend rechtsstelsel. Dat vergt een extra inspanning om nakoming van de voorschriften van de EU-wetgeving inzake gegevensbescherming te waarborgen (31).

32.

Naar het oordeel van de EDPS is het slechts een eerste stap om te wijzen op de toepasselijkheid van Kaderbesluit 2008/977/JBZ, zoals voorgesteld in punt 27.

33.

De specifieke uitdagingen voor een doeltreffende bescherming op het gebied van justitiële samenwerking in strafzaken, samen met een niet geheel bevredigend Kaderbesluit 2008/977/JBZ (zie de punten 52-56), vragen mogelijk om specifieke gegevensbeschermingsregels, wanneer er uit hoofde van bepaalde EU-rechtsinstrumenten persoonsgegevens moeten worden uitgewisseld.

34.

Een doeltreffende bescherming van persoonsgegevens (zoals aangegeven in punt 29) is niet alleen belangrijk voor de betrokkenen maar ook in het belang van de justitiële samenwerking zelf. Een autoriteit in de ene lidstaat zal immers eerder bereid zijn dergelijke gegevens uit te wisselen met autoriteiten in een andere lidstaat, als zij verzekerd is van de mate van bescherming, nauwkeurigheid en betrouwbaarheid van de persoonsgegevens in die andere lidstaat (32). Kortom, een (strenge) gemeenschappelijke norm voor gegevensbescherming op dit gevoelige gebied zal het wederzijds vertrouwen van de lidstaten bevorderen en de justitiële samenwerking op basis van wederzijdse erkenning versterken, wat ten goede zal komen aan de kwaliteit van de uitgewisselde informatie.

35.

In die specifieke context adviseert de EDPS om, naast de algemene verwijzing naar Kaderbesluit 2008/977/JBZ (zoals is voorgesteld in punt 27), specifieke waarborgen voor gegevensbescherming op te nemen in het EBB-initiatief en het EOB-initiatief.

36.

Sommige van die waarborgen zijn van meer algemene aard en zijn bestemd voor opname in beide initiatieven, met name die welke een verbetering van de nauwkeurigheid van de gegevens, evenals van de veiligheid en vertrouwelijkheid beogen. Andere waarborgen betreffen specifieke bepalingen in een van beide initiatieven.

37.

In die situaties waarin volgens de initiatieven gegevens worden uitgewisseld tussen lidstaten, dient specifieke nadruk te worden gelegd op het waarborgen van de nauwkeurigheid van de informatie. De EDPS verwelkomt in dit verband dat het EBB-initiatief in artikel 14 de bevoegde autoriteit van de uitvaardigende staat duidelijk verplicht de bevoegde autoriteit van de uitvoerende staat te informeren bij wijziging, verstrijken of intrekking van het beschermingsbevel.

38.

De EDPS merkt tevens op dat de noodzaak van vertaaldiensten van invloed kan zijn op de nauwkeurigheid van de informatie, vooral omdat de initiatieven specifieke rechtsinstrumenten betreffen die in andere talen en andere rechtsstelsels een andere betekenis kunnen hebben. Hoewel de EDPS verheugd is dat het EBB-initiatief ingaat op de kwestie van vertaaldiensten (artikel 16), stelt hij daarom voor in het EOB-initiatief een vergelijkbare bepaling op te nemen.

39.

De toename van de grensoverschrijdende samenwerking waartoe de goedkeuring van beide initiatieven zou kunnen leiden, vergt een zorgvuldige afweging van de veiligheidsaspecten van de grensoverschrijdende overdracht van persoonsgegevens in het kader van de uitvoering van Europese beschermings- en onderzoeksbevelen (33). Dat is niet alleen nodig om te voldoen aan de veiligheidsvoorschriften voor de verwerking van persoonsgegevens volgens artikel 22 van Kaderbesluit 2008/977/JBZ, maar ook om de vertrouwelijkheid van onderzoeken en van de betrokken strafprocedures te waarborgen, welke is geregeld bij artikel 18 van het EOB-initiatief en, als algemene regel voor persoonsgegevens in het kader van grensoverschrijdende uitwisseling, bij artikel 21 van Kaderbesluit 2008/977/JBZ.

40.

De EDPS benadrukt de noodzaak van veilige telecommunicatiesystemen in de overdrachtprocedures. Hij verwelkomt daarom het beoogde gebruik van het Europees justitieel netwerk (34) als middel om te waarborgen dat Europese beschermings- en onderzoeksbevelen aan de juiste bevoegde nationale autoriteiten worden gericht, en het risico te voorkomen of zoveel mogelijk te beperken dat andere autoriteiten worden betrokken bij de uitwisseling van persoonsgegevens (zie artikel 7, lid 2 en lid 3, van het EBB-initiatief en artikel 6, lid 3 en lid 4, van het EOB-initiatief).

41.

In verband hiermee dienen de initiatieven de lidstaten voor te schrijven dat zij ervoor zorgen dat:

42.

De EDPS adviseert tevens voorschriften in te voeren om de inachtname van belangrijke gegevensbeschermingsbeginselen bij de verwerking van persoonsgegevens te waarborgen, en om te zorgen voor de nodige interne mechanismen waarmee naleving kan worden aangetoond tegenover belanghebbende derden. Dergelijke voorschriften zouden een instrument bieden om voor de verwerking verantwoordelijken toerekeningsvatbaar te maken (volgens het „accountability principle” dat momenteel wordt besproken in verband met de herziening van het kader voor gegevensbescherming (35)). Zij moeten dan de nodige maatregelen uitvoeren om naleving te waarborgen. Deze voorschriften dienen te bestaan uit:

43.

Gezien het feit dat bij bepaalde onderzoeksmaatregelen duidelijk sprake is van inbreuk op de persoonlijke levenssfeer, roept de EDPS op tot een diepgaande overweging van de toelaatbaarheid van bewijs dat voor andere doeleinden is verzameld dan voor de preventie, het onderzoek, de opsporing of de vervolging van strafbare feiten of voor de tenuitvoerlegging van strafrechtelijke sancties en de uitoefening van het verweerrecht. Met name zou moeten worden stilgestaan bij het gebruik van bewijs dat is verkregen krachtens artikel 11, lid 1, onder d), van Kaderbesluit 2008/977/JBZ (36).

44.

In het EOB-initiatief dient daarom een uitzondering op de toepassing van de bepaling van artikel 11, lid 1, onder d), te worden opgenomen, in de zin dat in het kader van het EOB verzameld bewijs niet voor andere doeleinden mag worden gebruikt dan de preventie, het onderzoek, de opsporing of de vervolging van strafbare feiten of de tenuitvoerlegging van strafrechtelijke sancties en de uitoefening van het verweerrecht.

45.

Ten aanzien van het EBB-initiatief erkent de EDPS dat de persoonsgegevens die worden uitgewisseld tussen de bevoegde autoriteiten en die worden beschreven in bijlage I bij het initiatief (betreffende zowel het slachtoffer als de gevaar veroorzakende persoon) passend, ter zake dienend en niet buitensporig zijn in verhouding tot de doeleinden waarvoor zij worden verzameld en verder verwerkt.

46.

Het initiatief maakt echter onvoldoende duidelijk — met name in artikel 8, lid 1, onder b) — welke persoonsgegevens van het slachtoffer door de bevoegde autoriteit van de uitvoerende staat worden doorgegeven aan de gevaar veroorzakende persoon.

47.

De EDPS acht het gepast de omstandigheden en inhoud van de beschermingsmaatregelen die zijn genomen door de gerechtelijke autoriteit in de uitvaardigende staat in aanmerking te nemen alvorens de gevaar veroorzakende persoon te informeren. Aan laatstgenoemde dienen alleen die persoonsgegevens van het slachtoffer (waaronder, in sommige gevallen, mogelijk ook de contactgegevens) te worden gegeven die strikt noodzakelijk zijn voor de volledige uitvoering van de beschermingsmaatregel.

48.

Het is de EDPS bekend dat de verstrekking van contactgegevens (bv. telefoonnummers, adres van het slachtoffer en van andere regelmatig bezochte plaatsen, zoals het werk of de school van de kinderen) in feite een bedreiging kan zijn voor het lichamelijke en psychologische welzijn van het slachtoffer, en zijn of haar recht op bescherming van de persoonlijke levenssfeer en persoonsgegevens kan aantasten. Anderzijds kan het in sommige gevallen noodzakelijk zijn de desbetreffende adressen op te geven om de gevaar veroorzakende persoon te waarschuwen dat het hem of haar verboden is daarheen te gaan. Het doel daarvan is uitvoering te geven aan het bevel en eventuele straffen wegens schending ervan te voorkomen. Bovendien kan het, naargelang de omstandigheden, nodig zijn de plaats(en) waar de gevaar veroorzakende personen niet mogen komen, op te geven, om hen niet onnodig te beperken in hun bewegingsvrijheid.

49.

In het licht van deze overwegingen wijst de EDPS op het belang van dit onderwerp en adviseert hij in het EBB-initiatief duidelijk te stellen dat, naargelang de omstandigheden van het geval, aan de gevaar veroorzakende persoon alleen die persoonsgegevens van het slachtoffer (waaronder, in sommige gevallen, mogelijk ook de contactgegevens) mogen worden gegeven die strikt noodzakelijk zijn voor de volledige uitvoering van de beschermingsmaatregel (37).

50.

Tot slot verzoekt de EDPS de uitdrukking „elektronische middelen” in overweging 10 van het EBB-initiatief te verduidelijken. In het bijzonder dient te worden uitgelegd of persoonsgegevens worden verwerkt met „elektronische middelen” en, zo ja, in welke waarborgen wordt voorzien.

51.

Kaderbesluit 2008/977/JBZ is van toepassing op iedere uitwisseling van persoonsgegevens in het kader van het EBB-initiatief en het EOB-initiatief.

52.

Hoewel de EDPS heeft erkend dat Kaderbesluit 2008/977/JBZ — wanneer het wordt uitgevoerd door de lidstaten — een belangrijke stap vooruit is voor de gegevensbescherming in politiële en justitiële samenwerking (38), is het kaderbesluit zelf niet geheel bevredigend (39). De belangrijkste onopgeloste kwestie betreft het beperkte toepassingsgebied. Het kaderbesluit beperkt zich tot de uitwisseling van persoonsgegevens op het gebied van politie en justitie tussen autoriteiten en systemen in verschillende lidstaten en op EU-niveau (40).

53.

Ook als deze kwestie niet kan worden opgelost in het kader van het EBB-initiatief en het EOB-initiatief, wil de EDPS er nogmaals op wijzen dat het gebrek aan een (strenge) gemeenschappelijke norm voor gegevensbescherming in justitiële samenwerking zou kunnen inhouden dat een gerechtelijke autoriteit op nationaal of EU-niveau bij de behandeling van een strafdossier met informatie uit andere lidstaten (bv. bewijs verzameld op grond van een EOB) verschillende regels zou moeten toepassen voor de gegevensverwerking: nationale regelgeving (die moet beantwoorden aan Verdrag nr. 108 van de Raad van Europa) voor gegevens uit de lidstaat zelf en de regels ter uitvoering van Kaderbesluit 2008/977/JBZ voor gegevens uit andere lidstaten. Verschillende gegevens kunnen dus onder verschillende rechtsstelsels vallen.

54.

De toepassing van een „dubbele” norm voor gegevensbescherming op elk strafdossier met grensoverschrijdende onderdelen heeft belangrijke gevolgen voor de dagelijkse praktijk (bijvoorbeeld het bewaren van de informatie volgens de toepasselijke wetgeving van elk van de toezendende instanties; nadere verwerkingsbeperkingen die elk van de verzendende instanties oplegt; in het geval van een verzoek van een derde land zou elke verzendende instantie haar toestemming geven volgens haar eigen beoordeling van toereikendheid en/of internationale verplichtingen; en verschillen in de regeling van het inzagerecht van de betrokkene). Bovendien zouden de bescherming en de rechten van burgers kunnen variëren en onderworpen kunnen zijn aan verschillende ruime uitzonderingen, naargelang de lidstaat waar de verwerking plaatsvindt (41).

55.

De EDPS maakt daarom van de gelegenheid gebruik zijn adviezen te herhalen met betrekking tot de noodzaak van een integrale regeling voor de bescherming van persoonsgegevens die geldt voor alle bevoegdheidsgebieden van de EU, ook die van politie en justitie, en die moet worden toegepast op zowel persoonsgegevens die door bevoegde autoriteiten van andere lidstaten worden verzonden of beschikbaar gesteld als de binnenlandse verwerking in de ruimte van vrijheid, veiligheid en recht (42).

56.

Tot slot merkt de EDPS op dat de regels voor gegevensbescherming van toepassing moeten zijn op alle sectoren en op het gebruik van gegevens voor alle doeleinden (43). Natuurlijk moeten naar behoren onderbouwde en duidelijk opgestelde uitzonderingen mogelijk zijn, met name ten aanzien van persoonsgegevens die worden verwerkt voor rechtshandhavingsdoeleinden (44). Leemten in de bescherming van persoonsgegevens zijn strijdig met het huidige (vernieuwde) rechtskader van de Europese Unie. Artikel 3, lid 2, van Richtlijn 95/46/EG — waarbij het gebied van politie en justitie is uitgesloten van het toepassingsgebied van de richtlijn — beantwoordt niet aan artikel 16 van het VWEU. Deze leemten worden bovendien onvoldoende gevuld door Verdrag nr. 108 van de Raad van Europa (45), dat alle lidstaten bindt.

57.

De EDPS pleit er met betrekking tot zowel het EBB-initiatief als het EOB-initiatief voor om:

58.

De EDPS pleit er met betrekking tot het EBB-initiatief voor om:

59.

De EDPS pleit er met betrekking tot het EOB-initiatief voor om:

60.

Daarnaast, en meer in het algemeen: