[overzicht] [activiteiten] [ongeplande activiteiten] [besluiten] [commissies] [geschenken] [kamerleden] [kamerstukdossiers] [open vragen]
[toezeggingen] [stemmingen] [verslagen] [🔍 zoekmachine] [wat is dit?]

bescherming van persoonsgegevens die worden verwerkt in het kader van de politiële en justitiële samenwerking in strafzaken

Bijlage

Nummer: 2008D17430, datum: 2008-11-21, bijgewerkt: 2024-02-19 10:56, versie: 1

Directe link naar document, link naar pagina op de Tweede Kamer site.

Bijlage bij: Aanv. Geann. Agenda JBZ Raad 27 en 28 november 2008 (2008D17397)

Preview document (🔗 origineel)





RAAD VAN

DE EUROPESE UNIE

Brussel, 24 juni 2008

(OR. en)

Interinstitutioneel dossier:

2005/0202 (CNS)

9260/08

  DOCVARIABLE "LWCons_CoteSec"    





CRIMORG 71

DROIPEN 43

ENFOPOL 89

DATAPROTECT 23

ENFOCUSTOM 55

COMIX 370

WETGEVINGSBESLUITEN EN ANDERE INSTRUMENTEN

Betreft:	KADERBESLUIT VAN DE RAAD over de bescherming van
persoonsgegevens die worden verwerkt in het kader van de politiële en
justitiële samenwerking in strafzaken



KADERBESLUIT VAN DE RAAD

van

over de bescherming van persoonsgegevens die worden verwerkt 

in het kader van de politiële en justitiële samenwerking in strafzaken

DE RAAD VAN DE EUROPESE UNIE,

Gelet op het Verdrag betreffende de Europese Unie, met name op
artikel 30, artikel 31 en artikel 34, lid 2, onder b),

Gezien het voorstel van de Commissie,

Gezien het advies van het Europees Parlement,

Overwegende hetgeen volgt:

(1)	De Europese Unie heeft zich ten doel gesteld de Unie als een ruimte
van vrijheid, veiligheid en recht in stand te houden en te ontwikkelen;
gezamenlijk optreden van de lidstaten op het gebied van politiële en
justitiële samenwerking in strafzaken moet tot een hoog niveau van
veiligheid leiden.

(2)	Gezamenlijk optreden op het gebied van politiële samenwerking in de
zin van artikel 30, lid 1, onder b), van het Verdrag betreffende de
Europese Unie en gezamenlijk optreden inzake justitiële samenwerking in
strafzaken in de zin van artikel 31, lid 1, onder a), van het Verdrag
betreffende de Europese Unie, brengt met zich mee dat relevante
informatie moet worden verwerkt, waarop passende voorschriften inzake de
bescherming van persoonsgegevens van toepassing moeten zijn.

(3)	De regelgeving in het kader van titel VI van het Verdrag betreffende
de Europese Unie moet de politiële en justitiële samenwerking in
strafzaken bevorderen, en ervoor zorgen dat zij doeltreffend en
rechtmatig is en strookt met de grondrechten, met name met het recht op
bescherming van het privéleven en van persoonsgegevens.
Gemeenschappelijke normen voor de verwerking en bescherming van
persoonsgegevens die worden verwerkt om criminaliteit te voorkomen en te
bestrijden, kunnen bijdragen tot de verwezenlijking van beide doelen.

(4)	In het Haags programma betreffende de versterking van vrijheid,
veiligheid en recht in de Europese Unie, dat de Europese Raad op
4 november 2004 heeft aangenomen, wordt erop gewezen dat een
innoverende benadering van de grensoverschrijdende uitwisseling van
rechtshandhavingsinformatie nodig is, waarbij strak de hand moet worden
gehouden aan de basisvoorwaarden op het gebied van gegevensbescherming,
en wordt de Commissie verzocht uiterlijk eind 2005 voorstellen op dit
gebied in te dienen. Dit is terug te vinden in het Actieplan van de Raad
en de Commissie ter uitvoering van het Haags programma voor de
versterking van de ruimte van vrijheid, veiligheid en recht in de
Europese Unie.

(5)	De uitwisseling van persoonsgegevens in het kader van de politiële
en justitiële samenwerking in strafzaken moet, zeker indien deze
uitwisseling gebaseerd is op het beschikbaarheidsbeginsel zoals
neergelegd in het Haags programma, steunen op duidelijke regels die
leiden tot wederzijds vertrouwen tussen de bevoegde autoriteiten en die
de zekerheid bieden dat de gegevenszodanig worden beschermd dat iedere
discriminatie met betrekking tot de samenwerking tussen de lidstaten is
uitgesloten, terwijl de individuele grondrechten toch volledig worden
geëerbiedigd. De bestaande regelgeving op Europees niveau is
ontoereikend. Richtlijn 95/46/EG van het Europees Parlement en de Raad
van 24 oktober 1995 betreffende de bescherming van natuurlijke
personen in verband met de verwerking van persoonsgegevens, en
betreffende het vrije verkeer van die gegevens, is niet van toepassing
op de verwerking van persoonsgegevens in het kader van een activiteit
die buiten de werkingssfeer van het Gemeenschapsrecht valt, zoals de
activiteiten in het kader van titel VI van het Verdrag betreffende de
Europese Unie, en zeker niet op de verwerking van gegevens in verband
met openbare veiligheid, defensie, de staatsveiligheid en de
activiteiten van de staat op strafrechtelijk gebied.

(6)	Het kaderbesluit is alleen van toepassing op gegevens die door de
bevoegde autoriteiten worden verzameld of verwerkt met het oog op
preventie, onderzoek, opsporing en vervolging van strafbare feiten en
tenuitvoerlegging van straffen. Het kaderbesluit laat het aan de
lidstaten over om op nationaal niveau met meer nauwkeurigheid te bepalen
welke andere doeleinden als onverenigbaar moeten worden aangemerkt met
het doel waarvoor de persoonsgegevens aanvankelijk werden verzameld. In
zijn algemeenheid is verdere verwerking voor historische, statistische
of wetenschappelijke doeleinden niet onverenigbaar met het
oorspronkelijke doel van de verwerking.

(7)	Het toepassingsgebied van het kaderbesluit is beperkt tot de
verwerking van persoonsgegevens die worden verstrekt of beschikbaar
gesteld tussen lidstaten. Uit deze beperking kunnen geen conclusies
worden getrokken met betrekking tot de bevoegdheid van de Europese Unie
om besluiten aan te nemen in verband met het verzamelen en verwerken van
persoonsgegevens op nationaal niveau, noch met betrekking tot de
wenselijkheid dat de Unie dergelijke besluiten in de toekomst aanneemt.

(8)	Om de uitwisseling van gegevens in de Europese Unie te
vergemakkelijken, zullen de lidstaten ernaar streven bij de nationale
gegevensverwerking dezelfde standaard van gegevensbeschermings te
waarborgen als die waarin dit kaderbesluit voorziet. Met betrekking tot
de verwerking van gegevens op nationaal niveau belet dit kaderbesluit de
lidstaten niet om uitgebreidere waarborgen te bieden ter bescherming van
persoonsgegevens dan die waarin het kaderbesluit voorziet.

(9)	Dit kaderbesluit geldt niet voor persoonsgegevens die een lidstaat
op grond van dit kaderbesluit heeft verkregen en welke uit die lidstaat
zelf afkomstig zijn.

(10)	De onderlinge aanpassing van de rechtsstelsels van de lidstaten mag
niet tot een vermindering van de gegevensbescherming leiden, maar moet
juist zorgen voor een hoog beschermingsniveau in de Unie.

(11)	Er moeten doelstellingen voor de gegevensbescherming in het kader
van politiële en justitiële activiteiten worden bepaald en regels voor
de rechtmatigheid van de verwerking van persoonsgegevens worden
vastgesteld, om te kunnen garanderen dat alle gegevens die worden
uitgewisseld, rechtmatig en volgens de grondbeginselen betreffende de
gegevenskwaliteit zijn verwerkt. Tegelijkertijd mogen politie, douane,
justitiële en andere bevoegde autoriteiten op geen enkele manier in hun
gerechtvaardigde activiteiten worden belemmerd.

(12)	Het beginsel van juistheid van de gegevens moet worden toegepast in
het licht van de aard en het doel van de betreffende verwerking.
Bijvoorbeeld, in het bijzonder tijdens gerechtelijke procedures zijn
gegevens gebaseerd op de subjectieve perceptie van personen en in
sommige gevallen volstrekt niet te verifiëren. Het vereiste van
juistheid kan derhalve geen betrekking hebben op de juistheid van een
verklaring, maar alleen op het feit dat een specifieke verklaring is
afgelegd.

(13)	Archivering in een afzonderlijk groep van gegevens is alleen
toegestaan indien de gegevens niet meer nodig zijn of niet meer gebruikt
worden voor preventie, onderzoek, opsporing en vervolging van strafbare
feiten en tenuitvoerlegging van straffen. Archivering in een
afzonderlijk groep van gegevens is ook toegestaan indien de gegevens
samen met andere gegevens aldus in een databank worden opgeslagen dat
zij niet meer kunnen worden gebruikt voor preventie, onderzoek,
opsporing en vervolging van strafbare feiten en tenuitvoerlegging van
straffen. De doeleinden van de archivering en de gerechtvaardigde
belangen van de betrokkenen bepalen wat de meest geschikte
archiveringstermijn is. Ook bij archivering voor historische doeleinden
kan worden gedacht aan een zeer lange termijn.

(14)	De gegevens kunnen ook worden gewist door de gegevensdrager te
vernietigen.

(15)	De verbetering, uitwissing of afscherming van gegevens die onjuist,
onvolledig of niet meer actueel zijn en aan een andere lidstaat zijn
toegezonden of beschikbaar gesteld om vervolgens verder te worden
verwerkt door semi-rechterlijke instanties, in de zin van autoriteiten
met de bevoegdheid juridisch bindende beslissingen te nemen, wordt
uitgevoerd in overeenstemming met het nationaal recht.

(16)	Om een hoog beschermingsniveau voor gegevens van personen te
kunnen bieden, moeten gemeenschappelijk bepalingen worden vastgesteld
ter beoordeling van de rechtmatigheid en de kwaliteit van de
gegevensverwerking door bevoegde autoriteiten in andere lidstaten.

(17)	De voorwaarden waaronder de bevoegde autoriteiten van de lidstaten
persoonsgegevens die zij van andere lidstaten hebben ontvangen, aan
autoriteiten en particuliere instanties van lidstaten kunnen doorgeven
of beschikbaar stellen, dienen op Europees niveau te worden vastgesteld.
Vaak is het nodig dat persoonsgegevens door de rechterlijke macht,
de politie of de douane aan particuliere instanties worden meegedeeld,
om misdrijven te kunnen vervolgen of om een onmiddellijke en ernstige
bedreiging voor de openbare veiligheid af te wenden of te voorkomen dat
de rechten van personen ernstig worden gechonden; het betreft
bijvoorbeeld het signaleren aan banken en kredietinstellingen van
vervalsingen van waardepapieren, of, op het gebied van
voertuigcriminaliteit, het meedelen van persoonsgegevens aan
verzekeringsmaatschappijen teneinde handel in gestolen motorvoertuigen
te voorkomen of de voorwaarden voor het terugkrijgen van gestolen
motorvoertuigen in het buitenland te verbeteren. Dit staat niet gelijk
met de overdracht van politiële of justitiële taken aan particuliere
instanties.

(18)	De voorschriften van dit kaderbesluit die de mededeling van
persoonsgegevens door de rechterlijke macht, de politie of de douane aan
particuliere instanties betreffen, zijn niet van toepassing op de
bekendmaking van gegevens aan particulieren (zoals advocaten en
slachtoffers) in het kader van strafrechtelijke procedures.

(19)	De verdere verwerking van persoonsgegevens die zijn ontvangen van
of beschikbaar gesteld door de bevoegde autoriteit van een andere
lidstaat, in het bijzonder het verder doorgeven of het beschikbaar
stellen van deze gegevens, moet gebonden zijn aan gemeenschappelijke
regels op Europees niveau.

(20)	Met betrekking tot persoonsgegevens die verder mogen worden
verwerkt nadat de lidstaat waarvan de gegevens afkomstig zijn, daarin
heeft toegestemd, moet elke lidstaat die toestemming nader kunnen
regelen, ook bijvoorbeeld in de vorm van een algemene toestemming voor
categorieën van gegevens of categorieën van verdere verwerking.

(21)	In het geval verdere verwerking van persoonsgegevens is toegestaan
voor administratieve doeleinden, wordt hieronder ook de werkzaamheden
van regelgevings- of toezichtsorganen verstaan.

(22)	Voor de gerechtvaardigde werkzaamheden van politie, douane, gerecht
en andere bevoegde autoriteiten kan het nodig zijn dat gegevens aan
autoriteiten in derde landen of aan internationale instanties worden
gezonden die met de preventie, het onderzoek, de opsporing of de
vervolging van strafbare feiten of met de strafuitvoering zijn belast.

(23)	Persoonsgegevens die door een lidstaat worden doorgegeven aan derde
landen of internationale organen moeten in beginsel adequaat beschermd
worden.

(24)	Doorgifte van persoonsgegevens door een lidstaat aan derde landen
of internationale organisaties kan in beginsel pas plaatsvinden nadat de
lidstaat van herkomst daarin heeft toegestemd. Elke lidstaat mag deze
toestemming nader regelen, bijvoorbeeld in de vorm van een algemene
toestemming voor categorien van gegevens of voor bepaalde landen.

(25)	In het belang van een efficiënte samenwerking op het gebied van de
rechtshandhaving is het nodig dat indien een bedreiging voor de openbare
veiligheid van een lidstaat of derde staat van zodanig onmiddellijke
aard is dat het niet mogelijk is tijdig voorafgaande toestemming te
verkrijgen, de bevoegde autoriteit de persoonsgegevens zonder
voorafgaande toestemming aan de derde staat mag doorgeven. Hetzelfde zou
kunnen gelden indien andere, even zwaarwegende wezenlijke belangen van
een lidstaat op het spel staan, bijvoorbeeld in geval van onmiddellijke
en ernstige dreiging voor de vitale infrastructuur van een lidstaat of
ernstige verstoring van het financiële stelsel van een lidstaat.

(26)	Het kan geboden zijn de betrokkene in te lichten over de verwerking
van zijn gegevens, in het bijzonder in het geval van zeer ver gaande
inmenging middels maatregelen van heimelijke gegevensvergaring, zodat
hem de mogelijkheid van effectieve rechtsbescherming wordt gegarandeerd.

(27)	De lidstaten moeten erop toezien dat de betrokkene op de hoogte
wordt gebracht van het feit dat de persoonsgegevens kunnen worden of
worden verzameld, verwerkt of verstrekt aan een andere lidstaat met het
oog op de preventie, het onderzoek, de opsporing en de vervolging ter
zake van strafbare feiten en de tenuitvoerlegging van straffen. Het
recht van de betrokkene om op de hoogte te worden gebracht, en de
uitzonderingen daarop, worden nader geregeld in het nationaal recht. Dit
kan in een algemene vorm gebeuren, bijvoorbeeld langs wettelijke weg of
door bekendmaking van een lijst van verwerkingen.

(28)	Om de bescherming van persoonsgegevens te garanderen zonder dat de
belangen van het strafrechtelijk onderzoek gevaar lopen, dienen de
rechten van de betrokkenen te worden omschreven.

(29)	Sommige lidstaten kennen het recht van toegang van de betrokkene in
strafzaken door middel van een systeem waarin de nationale
toezichthoudende autoriteit in plaats van de betrokkene onbeperkte
toegang heeft tot alle hem betreffende persoonsgegevens en de onjuiste
gegevens kan verbeteren, wissen of bijwerken. Ten aanzien van deze
indirecte toegang kan het nationaal recht bepalen dat de nationale
toezichthoudende autoriteit de betrokkene alleen zal mededelen dat alle
nodige verificaties zijn verricht. Deze lidstaten voorzien evenwel ook
in mogelijkheden voor directe toegang voor de betrokkene in specifieke
gevallen, zoals de toegang tot strafdossiers, het recht op een kopie van
het eigen strafblad of van het verhoor dat hem door de politiediensten
is afgenomen.

(30)	Er dienen gemeenschappelijke regels te worden vastgesteld met
betrekking tot de vertrouwelijkheid en de beveiliging van de
gegevensverwerking, aansprakelijkheid en sancties voor onrechtmatig
gebruik door de bevoegde autoriteiten, alsmede rechtsmiddelen voor de
betrokkenen. Het is evenwel aan iedere lidstaat zelf om de aard te
bepalen van zijn regels inzake onrechtmatige daad en van de sancties die
gelden voor inbreuken op de nationale gegevensbeschermingsvoorschriften.

(31)	Dit kaderbesluit biedt de mogelijkheid om bij de toepassing van de
daarin vastgelegde beginselen rekening te houden met het beginsel van
het recht van toegang van het publiek tot officiële documenten.

(32)	Indien noodzakelijk om persoonsgegevens te beschermen in het kader
van verwerking die wegens de schaal waarop zij wordt toegepast of uit
hun aard specifieke risico's voor de fundamentele rechten en vrijheden
opleveren - bijvoorbeeld verwerking met nieuwe technologieën,
mechanismen of procedures - dient ervoor te worden gezorgd dat de
bevoegde nationale toezichthoudende autoriteiten worden geraadpleegd
voordat de voor de verwerking bedoelde bestanden worden gecreëerd.

(33)	Een essentieel onderdeel van de bescherming van persoonsgegevens
die worden verwerkt in het kader van de politiële en justitiële
samenwerking in strafzaken tussen de lidstaten, is dat de lidstaten
toezichthoudende autoriteiten aanwijzen die hun opdracht volledig
onafhankelijk vervullen.

(34)	De in de lidstaten reeds krachtens Richtlijn 95/46/EG ingestelde
toezichthoudende autoriteiten kunnen eveneens de taken op zich nemen die
de op grond van dit kaderbesluit op te richten nationale
toezichthoudende autoriteiten moeten uitvoeren.

(35)	De toezichthoudende autoriteiten dienen over de middelen te
beschikken om hun taak te kunnen vervullen, waaronder de bevoegdheid tot
onderzoek en tot optreden, in het bijzonder bij klachten van personen,
of de bevoegdheid om in rechte op te treden. Zij moeten ertoe bijdragen
dat de gegevensverwerking in hun lidstaat transparant verloopt. Hun
bevoegdheden mogen echter geen afbreuk doen aan de bestaande regels van
het strafprocesrecht en de onafhankelijkheid van de rechterlijke macht.

(36)	Artikel 47 van het Verdrag betreffende de Europese Unie bepaalt dat
geen enkele bepaling van dit verdrag afbreuk doet aan de Verdragen tot
oprichting van de Europese Gemeenschappen, noch aan de Verdragen en
akten waarbij deze Verdragen zijn gewijzigd of aangevuld. Dit
kaderbesluit doet dan ook geen afbreuk aan de bescherming van
persoonsgegevens door het Gemeenschapsrecht, inhet bijzonder als
geregeld in Richtlijn 95/46/EG, Verordening (EG) nr. 45/2001 van het
Europees Parlement en de Raad van 18 december 2000 betreffende de
bescherming van natuurlijke personen in verband met de verwerking van
persoonsgegevens door de communautaire instellingen en organen en
betreffende het vrije verkeer van die gegevens, en Richtlijn 2002/58/EG
van het Europees Parlement en de Raad van 12 juli 2002 betreffende de
verwerking van persoonsgegevens en de bescherming van de persoonlijke
levenssfeer in de sector elektronische communicatie (richtlijn
betreffende privacy en elektronische communicatie).

(37)	Dit kaderbesluit doet geen afbreuk aan de regels betreffende
onrechtmatige toegang tot gegevens die zijn vastgelegd in Kaderbesluit
2005/222/JBZ van de Raad van 24 februari 2005 over aanvallen op
informatiesystemen.

(38)	Dit kaderbesluit doet geen afbreuk aan bestaande verplichtingen en
verbintenissen die de lidstaten of de Europese Unie zijn aangegaan op
grond van bilaterale en/of multilaterale overeenkomsten met derde
landen. Latere overeenkomsten zullen moeten voldoen aan de voorschriften
voor uitwisselingen met derde landen.

(39)	Verschillende besluiten op grond van titel VI van het Verdrag van
de Europese Unie bevatten specifieke bepalingen inzake de bescherming
van persoonsgegevens die op grond van die besluiten worden uitgewisseld
of anderszins verwerkt. In sommige gevallen vormen die bepalingen een
volledig en samenhangend pakket van regels, dat alle belangrijke
aspecten van de gegevensbescherming bestrijkt (beginselen betreffende de
gegevenskwaliteit, regels inzake gegevensbeveiliging, regeling van de
rechten van en waarborgen voor de betrokkenen, organisatie van het
toezicht en de aansprakelijkheid) en nauwkeuriger regelt dan het huidige
kaderbesluit. Deze gegevensbeschermingsbepalingen, met name die welke de
werking van Europol, Eurojust, het SIS en het DIS betreffen en die welke
rechtstreekse toegang voor de autoriteiten van de lidstaten tot bepaalde
gegevenssystemen van andere lidstaten invoeren, worden door dit
kaderbesluit onverlet gelaten. Hetzelfde geldt voor de
gegevensbeschermingsvoorschriften betreffende de geautomatiseerde
overdracht tussen de lidstaten van DNA-profielen, dactyloscopische
gegevens en gegevens uit de nationale kentekenregisters op grond van
Besluit 2008/…/JBZ van de Raad van … inzake de intensivering van
de grensoverschrijdende samenwerking, in het bijzonder ter bestrijding
van terrorisme en grensoverschrijdende criminaliteit.

(40)	In andere gevallen hebben de gegevensbeschermingsbepalingen in op
grond van titel VI van het Verdrag van de Europese Unie aangenomen
besluiten een beperkter toepassingsgebied. Veelal worden daarin de
lidstaten die van andere lidstaten informatie ontvangen welke
persoonsgegevens omvat, specifieke voorwaarden opgelegd ten aanzien van
het doel waarvoor zij die gegevens mogen gebruiken, maar wordt er voor
de andere gegevensbeschermingsaspecten verwezen naar het Verdrag van de
Raad van Europa van 28 januari 1981 tot bescherming van personen met
betrekking tot de geautomatiseerde verwerking van persoonsgegevens, of
zelfs naar het nationaal recht. Voor zover de bepalingen van die
besluiten waarbij aan de ontvangende lidstaten voorwaarden met
betrekking tot het gebruik of de verdere overdracht van persoonsgegevens
worden opgelegd, meer beperkend zijn dan de overeenkomstige bepalingen
van dit kaderbesluit, moeten ook de eerstgenoemde bepalingen onverlet
worden gelaten. Voor alle andere aspecten moeten evenwel de in dit
kaderbesluit vastgestelde voorschriften worden toegepast.

(41)	Dit kaderbesluit laat het Verdrag van de Raad van Europa tot
bescherming van personen met betrekking tot de geautomatiseerde
verwerking van persoonsgegevens, het aanvullend protocol bij dat Verdrag
van 8 november 2001, alsmede de overeenkomsten van de Raad van Europa
inzake justitiële samenwerking in strafzaken, onverlet.

(42)	Daar de doelstelling van dit kaderbesluit, namelijk het
vaststellen van gemeenschappelijke regels voor de bescherming van
persoonsgegevens die worden verwerkt in het kader van de politiële en
justitiële samenwerking in strafzaken, niet voldoende door de lidstaten
kan worden verwezenlijkt en derhalve vanwege de omvang en de gevolgen
van het optreden beter door de Unie kan worden verwezenlijkt, kan de
Unie, overeenkomstig het in artikel 5 van het EG-Verdrag neergelegde
subsidiariteitsbeginsel, waarnaar in artikel 2 van het EU-Verdrag wordt
verwezen, maatregelen nemen. Overeenkomstig het in artikel 5 van
het EG-Verdrag neergelegde evenredigheidsbeginsel gaat dit kaderbesluit
niet verder dan nodig is om deze doelstelling te verwezenlijken.

(43)	Het Verenigd Koninkrijk neemt deel aan dit kaderbesluit
overeenkomstig artikel 5 van het Protocol tot opneming van het
Schengenacquis in het kader van de Europese Unie, dat aan het EU-Verdrag
en het EG-Verdrag is gehecht, en artikel 8, lid 2, van Besluit
2000/365/EG van de Raad van 29 mei 2000 betreffende het verzoek van het
Verenigd Koninkrijk van Groot-Brittannië en Noord-Ierland deel te mogen
nemen aan enkele van de bepalingen van het Schengenacquis.

(44)	Ierland neemt deel aan dit besluit overeenkomstig artikel 5 van
het Protocol tot opneming van het Schengenacquis in het kader van de
Europese Unie, dat aan het EU-Verdrag en het EG-Verdrag is gehecht, en
artikel 6, lid 2, van Besluit 2002/192/EG van de Raad van
28 februari 2002 betreffende het verzoek van Ierland deel te mogen
nemen aan bepalingen van het Schengenacquis.

(45)	Wat IJsland en Noorwegen betreft, houdt dit kaderbesluit een
ontwikkeling in van de bepalingen van het Schengenacquis in de zin van
de door de Raad van de Europese Unie en de Republiek IJsland en het
Koninkrijk Noorwegen gesloten Overeenkomst inzake de wijze waarop deze
twee staten worden betrokken bij de uitvoering, de toepassing en de
ontwikkeling van het Schengenacquis, die vallen onder het gebied dat is
bedoeld in artikel 1, onder H en I, van Besluit 1999/437/EG van de
Raad van 17 mei 1999 inzake bepaalde toepassingsbepalingen van die
overeenkomst.

(46)	Wat Zwitserland betreft, houdt dit kaderbesluit een nadere
uitwerking in van de bepalingen van het Schengenacquis in de zin van de
Overeenkomst die is gesloten door de Europese Unie, de Europese
Gemeenschap en de Zwitserse Bondsstaat betreffende de wijze waarop
Zwitserland wordt betrokken bij de uitvoering, de toepassing en de
ontwikkeling van het Schengenacquis, die vallen onder het gebied dat is
bedoeld in artikel 1, onder H en I, van Besluit 1999/437/EG van de
Raad van 17 mei 1999, juncto artikel 3 van Besluit 2008/149/EG van de
Raad van 28 januari 2008 betreffende de sluiting van de overeenkomst
namens de Europese Unie van deze overeenkomst.

(47)	Wat Liechtenstein betreft, houdt dit kaderbesluit een nadere
uitwerking in van de bepalingen van het Schengenacquis in de zin van het
Protocol dat is ondertekend door de Europese Unie, de Europese
Gemeenschap, de Zwitserse Bondsstaat en het Vorstendom Liechtenstein
betreffende de toetreding van het Vorstendom Liechtenstein tot de
Overeenkomst tussen de Europese Unie, de Europese Gemeenschap en de
Zwitserse Bondsstaat inzake de wijze waarop Zwitserland wordt betrokken
bij de uitvoering, de toepassing en de ontwikkeling van het
Schengenacquis, die vallen onder het gebied dat is bedoeld in
artikel 1, onder H en I, van Besluit 1999/437/EG, juncto artikel 3
van Besluit 2008/262/EG van de Raad van 28 februari 2008 betreffende
de ondertekening van dat Protocol namens de Europese Unie.

(48)	In dit kaderbesluit worden de grondrechten geëerbiedigd en de
beginselen in acht genomen die met name in het Handvest van de
grondrechten van de Europese Unie zijn vastgelegd. Dit kaderbesluit
beoogt de volledige naleving van het recht op eerbiediging van het
privéleven en het recht op bescherming van persoonsgegevens, vastgelegd
in artikel 7, respectievelijk artikel 8 van het Handvest,

HEEFT HET VOLGENDE KADERBESLUIT VASTGESTELD:

Artikel 1

Doel en toepassingsgebied

1.	Doel van dit kaderbesluit is een hoge mate van bescherming te
waarborgen van de fundamentele rechten en vrijheden, in het bijzonder
het recht op een persoonlijke levenssfeer, van natuurlijke personen in
verband met de verwerking van persoonsgegevens in het kader van de
politiële en justitiële samenwerking in strafzaken volgens titel VI
van het Verdrag betreffende de Europese Unie, terwijl een hoog niveau
van openbare veiligheid wordt gegarandeerd.

2.	De lidstaten beschermen, in overeenstemming met dit kaderbesluit, de
fundamentele rechten en vrijheden, in het bijzonder het recht op de
bescherming van de persoonlijke levenssfeer, van natuurlijke personen,
in de gevallen waarin, met het oog op de preventie, het onderzoek, de
opsporing en de vervolging ter zake van strafbare feiten of de
tenuitvoerlegging van straffen, persoonsgegevens:

a)	worden of zijn verstrekt of beschikbaar gesteld tussen de lidstaten;

b)	door de lidstaten worden of zijn verstrekt of beschikbaar gesteld aan
autoriteiten of informatiesystemen die krachtens titel VI van het
Verdrag betreffende de Europese Unie zijn ingesteld, of

c)	aan de bevoegde autoriteiten van de lidstaten worden of zijn
verstrekt of beschikbaar gesteld door autoriteiten of informatiesystemen
die krachtens het Verdrag betreffende de Europese Unie of het Verdrag
tot oprichting van de Europese Gemeenschap zijn ingesteld.

3.	Dit kaderbesluit is van toepassing op de geheel of gedeeltelijk
geautomatiseerde verwerking van persoonsgegevens, alsmede op de
niet-geautomatiseerde verwerking van persoonsgegevens die in een bestand
zijn opgenomen of bestemd zijn om daarin te worden opgenomen.

4.	Dit kaderbesluit laat de wezenlijke nationale veiligheidsbelangen en
het specifieke inlichtingenwerk op het gebied van de nationale
veiligheid onverlet.

5.	De lidstaten kunnen, ter bescherming van de op nationaal niveau
verzamelde of verwerkte persoonsgegevens, uitgebreidere waarborgen
bieden dan die waarin dit kaderbesluit voorziet.

Artikel 2

Definities

In dit kaderbesluit wordt verstaan onder:

a)	"persoonsgegevens": iedere informatie betreffende een
geïdentificeerde of identificeerbare natuurlijke persoon, hierna
"betrokkene" genoemd; als identificeerbare persoon wordt beschouwd een
persoon die direct of indirect kan worden geïdentificeerd, inhet
bijzonder aan de hand van een identificatienummer of van een of meer
elementen die kenmerkend zijn voor zijn of haar fysieke, fysiologische,
psychische, economische, culturele of sociale identiteit;

b)	"verwerking van persoonsgegevens" en "verwerking": elke verwerking of
elk geheel van verwerkingen met betrekking tot persoonsgegevens, al dan
niet uitgevoerd met behulp van geautomatiseerde procédés, zoals het
verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen,
raadplegen, gebruiken, onthullen door middel van verstrekking,
verspreiden of op een andere wijze beschikbaar stellen, samenbrengen,
met elkaar in verband brengen, afschermen, wissen of vernietigen van
gegevens;

c)	"afschermen": het markeren van opgeslagen persoonsgegevens met als
doel de verwerking ervan in de toekomst te beperken;

d)	"bestand van persoonsgegevens" en "bestand": elk gestructureerd
geheel van persoonsgegevens die volgens bepaalde criteria toegankelijk
zijn, ongeacht of dit geheel gecentraliseerd dan wel gedecentraliseerd
is of verspreid op een functioneel of geografisch bepaalde wijze;

e)	"verwerker": ieder lichaam dat ten behoeve van de voor de verwerking
verantwoordelijke persoonsgegevens verwerkt;

f)	"ontvanger": orgaan aan wie de gegevens worden meegedeeld;

g)	"toestemming van de betrokkene": elke vrije, specifieke en op
informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat hem
betreffende persoonsgegevens worden verwerkt;

h)	"bevoegde autoriteiten": middels een besluit van de Raad op grond van
titel VI van het Verdrag betreffende de Europese Unie opgerichte
agentschappen of organen, evenals politie-, douane-, justitiële en
andere bevoegde autoriteiten van de lidstaten die krachtens het
nationale recht gemachtigd zijn persoonsgegevens op het
toepassingsgebied van dit kaderbesluit te verwerken;

i)	"de verantwoordelijke": de natuurlijke of rechtspersoon, de
overheidsinstantie, de dienst of enig ander lichaam die, respectievelijk
dat, alleen of tezamen met anderen, het doel van en de middelen voor de
verwerking van persoonsgegevens vaststelt;

j)	"kenmerken": het markeren van opgeslagen persoonsgegevens, zonder de
bedoeling om hun toekomstige verwerking te beperken;

k)	"anonimiseren": het zodanig veranderen van persoonsgegevens dat de
persoonlijke of zakelijke details niet meer aan een geïdentificeerde of
identificeerbare natuurlijke persoon kunnen worden gekoppeld, tenzij
daaraan onevenredig veel tijd, kosten en arbeidskracht worden besteed.

Artikel 3

Beginsel van rechtmatigheid, evenredigheid en doelbinding

1.	Persoonsgegevens mogen door de bevoegde autoriteiten alleen worden
verzameld voor specifieke, uitdrukkelijke en rechtmatige doeleinden in
het kader van hun taken en alleen worden verwerkt voor het doel waarvoor
zij zijn verzameld. De verwerking van de gegevens moet rechtmatig,
adequaat, ter zake dienend en niet excessief zijn in verhouding tot het
doel waarvoor zij worden verzameld.

2.	Verdere verwerking voor een ander doel is toegestaan, mits

a)	deze verwerking niet onverenigbaar is met het doel waarvoor de
gegevens zijn verzameld;

b)	de bevoegde autoriteiten bevoegd zijn om die gegevens te verwerken
conform de toepasselijke wetsvoorschriften; en 

c)	deze verwerking noodzakelijk is en in verhouding staat tot dat doel.

Bovendien mogen de verstrekte persoonsgegevens door de bevoegde
autoriteiten verder worden verwerkt voor historische, statistische of
wetenschappelijke doeleinden, mits de lidstaten passende garanties
bieden, zoals het anonimiseren van de gegevens.

Artikel 4

Correctie, uitwissing en afscherming

1.	Persoonsgegevens moeten gecorrigeerd worden indien zij niet correct
zijn en moeten, waar dit mogelijk en noodzakelijk is, worden aangevuld
of geactualiseerd.

2.	Persoonsgegevens moeten gewist of geanonimiseerd worden wanneer zij
niet meer nodig zijn voor de doeleinden waarvoor zij rechtmatig
verzameld zijn of verder verwerkt. Deze bepaling laat de archivering van
deze gegevens in een afzonderlijke gegevensgroep voor een passende
termijn overeenkomstig de nationale wetgeving, onverlet.

3.	Persoonsgegevens worden niet gewist maar afgeschermd indien
redelijkerwijs kan worden aangenomen dat het wissen van de gegevens de
gerechtvaardigde belangen van de betrokkene die beschermd dienen te
worden, zou kunnen schaden. Afgeschermde gegevens worden alleen gebruikt
voor het doel ten behoeve waarvan zij niet gewist zijn.

4.	Het corrigeren, wissen of afschermen van persoonsgegevens die
opgenomen zijn in een rechterlijke beslissing of een daarmee verband
houdend dossier wordt afgedwongen overeenkomstig de nationale regels
over het strafproces.

Artikel 5

Vastlegging van termijnen voor wissen en toetsing

Passende termijn wordne vastgelegd voor het wissen van persoonsgegevens
of een periodieke toetsing van de noodzaak van de opslag ervan. De
naleving ervan wordt met procedurele maatregelen gewaarborgd.

Artikel 6

Verwerking van bijzondere gegevenscategorieën

De verwerking van persoonsgegevens waaruit de raciale of etnische
afkomst, de politieke opvattingen, de godsdienstige of
levensbeschouwelijke overtuiging, of het lidmaatschap van een
vakvereniging blijkt, alsook de verwerking van gegevens die de
gezondheid of het seksleven betreffen zijn uitsluitend geoorloofd
wanneer dit strikt noodzakelijk is en in de nationale wetgeving adequate
garanties worden geboden.

Artikel 7

Geautomatiseerde individuele besluiten

Een besluit dat voor de betrokkene een nadelig rechtsgevolg heeft of
wezenlijke consequenties heeft voor hem en dat uitsluitend op een
geautomatiseerde gegevensverwerking berust die bestemd is om bepaalde
aspecten van zijn persoonlijkheid te beoordelen, mag alleen worden
genomen indien zulks is toegestaan bij een wet die ook maatregelen bevat
voor de bescherming van de gerechtvaardigde belangen van de betrokkene.

Artikel 8

Controle van de kwaliteit van de verstrekte of beschikbaar gestelde
gegevens

1.	De bevoegde autoriteiten nemen alle redelijke maatregelen om ervoor
te zorgen dat persoonsgegevens die onjuist, onvolledig of niet actueel
zijn, niet worden verstrekt of beschikbaar gesteld. Hiertoe controleren
de bevoegde autoriteiten, voor zover praktisch uitvoerbaar, de kwaliteit
van de persoonsgegevens voordat de gegevens worden verstrekt of
beschikbaar gesteld. Voor zover mogelijk wordt bij alle verstrekte
gegevens de beschikbare informatie toegevoegd aan de hand waarvan de
ontvangende lidstaat de mate van juistheid, volledigheid, actualiteit en
betrouwbaarheid kan beoordelen. Indien persoonsgegevens zonder
voorafgaand verzoek zijn verstrekt, beoordeelt de ontvangende autoriteit
onmiddellijk of deze gegevens noodzakelijk zijn voor het doel waarvoor
zij zijn verstrekt.

2.	Indien wordt vastgesteld dat onjuiste gegevens zijn verstrekt, of
gegevens op onrechtmatige wijze zijn verstrekt, dient dit onmiddellijk
aan de ontvanger te worden meegedeeld. De gegevens moeten onmiddellijk
worden gecorrigeerd, gewist of afgeschermd overeenkomstig artikel 4.

Artikel 9

Termijnen

1.	De verstrekkende autoriteit kan bij het verstrekken of beschikbaar
stellen van de gegevens binnen de grenzen van het nationaal recht en
overeenkomstig de artikelen 4 en 5 de termijnen voor het bewaren van de
gegevens aangeven, na afloop waarvan ook de ontvanger de gegevens moet
wissen of afschermen of moet nagaan of zij nog steeds nodig zijn. Deze
verplichting geldt niet indien de gegevens bij het verstrijken van de
termijnen nodig zijn voor een lopend onderzoek, de vervolging van
strafbare feiten of de tenuitvoerlegging van straffen.

2.	Indien de verstrekkende autoriteit heeft nagelaten om overeenkomstig
lid 1 een termijn op te geven, zijn, overeenkomstig de artikelen 4 en 5,
de termijnen voor het bewaren van gegevens van het nationaal recht van
de ontvangende lidstaat van toepassing.

Artikel 10

Vastlegging en documentatie

1.	Iedere verstrekking van persoonsgegevens moet worden vastgelegd of
gedocumenteerd zodat kan worden gecontroleerd of de gegevensverwerking
rechtmatig is, interne controle kan worden uitgeoefend en de integriteit
en de beveiliging van de gegevens kunnen worden gewaarborgd.

2.	De krachtens lid 1 opgestelde vastlegging of documentatie wordt op
verzoek verstrekt aan de voor gegevensbescherming bevoegde
toezichthoudende autoriteit ten behoeve van de controle van
gegevensbescherming. De bevoegde toezichthoudende autoriteit gebruikt
deze informatie alleen om de gegevensbescherming te toetsen en om een
correcte gegevensverwerking alsmede de integriteit en de beveiliging van
de gegevens te waarborgen.

Artikel 11

Verwerking van persoonsgegevens die zijn ontvangen van of ter
beschikking gesteld

door een andere lidstaat

1.	Persoonsgegevens die zijn ontvangen van of beschikbaar gesteld door
de bevoegde autoriteiten van een andere lidstaat mogen, overeenkomstig
het vereiste in artikel 3, lid 2, alleen verder worden verwerkt voor
onderstaande doeleinden, anders dan die waarvoor zij waren verstrekt of
beschikbaar gesteld:

a)	de preventie, het onderzoek, de opsporing of de vervolging ter zake
van andere strafbare feiten of de tenuitvoerlegging van andere straffen
dan die waarvoor de gegevens waren verstrekt of beschikbaar gesteld;

b)	andere gerechtelijke en administratieve procedures die rechtstreeks
verband houden met de preventie, het onderzoek, de opsporing en de
vervolging ter zake van strafbare feiten en de tenuitvoerlegging van
straffen;

c)	de voorkoming van een onmiddellijke en ernstige bedreiging van de
openbare veiligheid, of

d)	een ander doel, slechts na voorafgaande toestemming van de
verstrekkende lidstaat of met instemming van de betrokkene, verleend
overeenkomstig het nationale recht.

De bevoegde autoriteiten mogen de verstrekte persoonsgegevens ook verder
verwerken voor historische, statistische of wetenschappelijke
doeleinden, mits de lidstaten passende garanties bieden, zoals het
anonimiseren van de gegevens.

Artikel 12

Naleving van nationale beperkingen op de verwerking

1.	Indien krachtens het recht van de verstrekkende lidstaat in
specifieke omstandigheden ten aanzien van de uitwisseling van gegevens
tussen de bevoegde autoriteiten van die lidstaat specifieke beperkingen
op de verwerking gelden, meldt de verstrekkende autoriteit deze
beperkingen aan de ontvanger. De ontvanger ziet erop toe dat deze
beperkingen op de verwerking in acht worden genomen.

2.	Bij de toepassing van lid 1 passen de lidstaten voor het verstrekken
van gegevens aan andere lidstaten of aan op grond van titel VI van het
Verdrag betreffende de Europese Unie opgerichte agentschappen of organen
geen andere beperkingen toe dan die welke voor een soortgelijke
nationale verstrekking van gegevens van toepassing zijn.

Artikel 13

Doorgifte aan bevoegde instanties in derde landen 

of aan internationale organen

1.	De lidstaten bepalen dat persoonsgegevens die door de bevoegde
autoriteit van een andere lidstaat zijn verstrekt of beschikbaar
gesteld, uitsluitend mogen worden doorgegeven aan derde landen of
internationale organen, indien

a)	dit noodzakelijk is met het oog op de preventie, het onderzoek, de
opsporing of de vervolging van strafbare feiten en de tenuitvoerlegging
van straffen;

b)	de ontvangende autoriteit in het derde land of het ontvangende
internationale orgaan belast is met de preventie, het onderzoek, de
opsporing of de vervolging van strafbare feiten of de tenuitvoerlegging
van straffen,

c)	de lidstaat waarvan de gegevens afkomstig zijn heeft toegestemd in de
doorgifte met inachtneming van het nationale recht, en

d)	het betrokken derde land of internationale orgaan een toereikend
beschermingsniveau voor de voorgenomen gegevensverwerking waarborgt.

2.	De doorgifte zonder voorafgaande toestemming overeenkomstig lid 1,
onder c), is alleen toegestaan indien zij van essentieel belang is ter
voorkoming van een onmiddellijke en ernstige bedreiging van de openbare
veiligheid van een lidstaat of derde land of voor de wezenlijke belangen
van een lidstaat, en de toestemming niet tijdig kan worden verkregen. De
voor het verlenen van de toestemming bevoegde autoriteit wordt
onverwijld geïnformeerd.

3.	In afwijking van lid 1, onder d), kunnen persoonsgegevens worden
doorgegeven indien:

a)	de nationale wetgeving van de lidstaat die de gegevens doorgeeft
daarin voorziet wegens

i)	gerechtvaardigde specifieke belangen van de betrokkene, of

ii)	gerechtvaardigde doorslaggevende belangen, met name zwaarwegende
openbare belangen, of

b)	het derde land of het ontvangende internationale orgaan, c.q. de
ontvangende internationale organisatie garanties bieden die door de
betrokken lidstaat conform de nationale wetgeving toereikend worden
geacht.

4.	Of het in lid 1, onder d), bedoelde beschermingsniveau toereikend is,
wordt beoordeeld met inachtneming van alle omstandigheden die op de
doorgifte van gegevens of op een groep van gegevensverstrekkingen van
invloed zijn. In het bijzonder wordt rekening gehouden met de aard van
de gegevens, met het doel en met de duur van de voorgenomen verwerking
of verwerkingen, het land van herkomst en het land of het internationale
orgaan van eindbestemming van de gegevens, de algemene en sectorale
rechtsregels die in het derde land of het internationale orgaan gelden,
alsmede de beroepscodes en de veiligheidsmaatregelen die in het land of
het orgaan van toepassing zijn.

Artikel 14

Doorgifte aan particuliere instanties in de lidstaten

1.	De lidstaten bepalen dat persoonsgegevens die zijn ontvangen van of
beschikbaar gesteld door een bevoegde instantie van een andere lidstaat,
alleen aan particuliere instanties mogen worden doorgegeven indien:

a)	de bevoegde autoriteit van de lidstaat van herkomst in de doorgifte
heeft toegestemd, met inachtneming van het nationale recht,

b)	geen gerechtvaardigde specifieke belangen van de betrokkene zich
tegen doorgifte verzetten en

c)	in bijzondere gevallen de doorgifte essentieel is voor de bevoegde
autoriteit die de gegevens verstrekt aan een particuliere instantie ten
behoeve van:

i)	de uitvoering van haar wettelijke taak;

ii)	de preventie, het onderzoek, de opsporing of de vervolging van
strafbare feiten en de tenuitvoerlegging van straffen;

iii)	het voorkomen van een onmiddellijke en ernstige bedreiging van de
openbare veiligheid, of

iv)	het voorkomen van ernstige schending van de rechten van personen.

2.	De bevoegde autoriteit die gegevens aan een particuliere instantie
doorgeeft, deelt deze instantie mee voor welk doel de gegevens
uitsluitend gebruikt mogen worden.

Artikel 15

Het op verzoek informeren van de bevoegde autoriteit

De ontvanger informeert de bevoegde autoriteit die de persoonsgegevens
heeft verstrekt of beschikbaar gesteld, desgevraagd over de verwerking
van de gegevens.

Artikel 16

Informatie voor de betrokkene

1.	De lidstaten zien erop toe dat de betrokkene overeenkomstig het
nationaal recht wordt geïnformeerd over het verzamelen en verwerken van
persoonsgegevens door hun bevoegde autoriteiten.

2.	Met betrekking tot persoonsgegevens die door lidstaten aan elkaar
zijn verstrekt of beschikbaar gesteld kan elke lidstaat, overeenkomstig
de in lid 1 bedoelde bepalingen van nationaal recht, van de andere
lidstaat verlangen dat hij de betrokkene niet informeert. In dat geval
informeert deze laatste lidstaat de betrokkene niet zonder dat de andere
lidstaat daarin heeft toegestemt.

Artikel 17

Recht van toegang

1.	De betrokkene is gerechtigd om, op grond van een verzoek dat met
redelijke tussenpozen is gedaan,, zonder beperking en zonder bovenmatige
vertraging of kosten:

a)	van de toezichthoudende instantie of persoon of van de nationale
toezichthoudende overheid tenminste antwoord te krijgen op de vraag of
de hem betreffende gegevens zijn verstrekt of beschikbaar gesteld,
informatie te krijgen over de ontvangers of categorieën van ontvangers
aan wie de gegevens zijn verstrekt, alsook een opgave te krijgen van de
gegevens die verwerking ondergaan; of

b)	van de nationale toezichthoudende autoriteit tenminste de bevestiging
te krijgen dat alle nodige verificaties zijn verricht.

2.	De lidstaten kunnen wettelijke maatregelen treffen ter beperking van
het recht van toegang tot informatie overeenkomstig lid 1, onder a),
indien dit, met inachtneming van de gerechtvaardigde belangen van de
betrokkene, een noodzakelijke en evenredige maatregel is:

a)	om belemmering van officiële of gerechtelijke onderzoeken of
procedures te voorkomen;

b)	om te voorkomen dat de preventie, de opsporing, het onderzoek of de
vervolging ter zake van strafbare feiten of de tenuitvoerlegging van
straffen in het gedrang komt;

c)	ter bescherming van de openbare veiligheid;

d)	ter bescherming van de nationale veiligheid;

e)	ter bescherming van de betrokkene of van de rechten en vrijheden van
anderen.

3.	Iedere weigering of beperking van de toegang wordt schriftelijk aan
de betrokkene toegelicht. Tevens worden de feitelijke of juridische
redenen voor het besluit meegedeeld. Die mededeling kan achterwege
blijven wanneer daar conform lid 2, punten a) tot en met e), grond voor
is. In al die gevallen wordt aan de betrokkene meegedeeld dat hij bij de
bevoegde nationale toezichthoudende autoriteit, een instantie met
rechtsprekende bevoegdheid of een gerecht beroep kan aantekenen.

Artikel 18

Recht om gegevens te laten corrigeren, wissen of afschermen

1.	De betrokkene heeft er recht op dat de voor de verwerking
verantwoordelijke zijn plichten op grond van de artikelen 4, 8 en 9
inzake het corrigeren, wissen of afschermen van persoonsgegevens, die
uit dit kaderbesluit voortvloeien, nakomt. De lidstaten bepalen of de
betrokkene dit recht rechtstreeks tegen de voor de verwerking
verantwoordelijke, dan wel door tussenkomst van de bevoegde nationale
toezichthoudende autoriteit kan doen gelden. Indien de voor de
verwerking verantwoordelijke correctie, wissen of afscherming weigert,
moet die weigering schriftelijk worden meegedeeld en moet de betrokkene
in kennis worden gesteld van de in het nationale recht bestaande
mogelijkheden om klacht in te dienen of beroep bij de rechter in te
stellen. Bij de behandeling van de klacht of het beroep wordt aan de
betrokkene meegedeeld of de voor de verwerking verantwoordelijke al dan
niet correct heeft gehandeld. De lidstaten kunnen ook bepalen dat de
bevoegde nationale toezichthoudende autoriteit de betrokkene alleen
meedeelt dat een verificatie heeft plaatsgevonden.

2.	Indien de juistheid van een persoonsgegeven door de betrokkene wordt
betwist en niet kan worden vastgesteld of het gegeven al dan niet juist
is, kan dat gegeven worden gemarkeerd.

Artikel 19

Recht op schadevergoeding

1.	Eenieder die schade heeft geleden ten gevolge van een onrechtmatige
verwerking of van een andere handeling die onverenigbaar is met de
krachtens dit kaderbesluit vastgestelde nationale voorschriften, heeft
het recht van de voor de verwerking verantwoordelijke of een andere
volgens het nationale recht bevoegde autoriteit, vergoeding van de
geleden schade te verkrijgen.

2.	Indien een bevoegde autoriteit van een lidstaat persoonsgegevens
verstrekt, kan de ontvanger zich er in het kader van zijn
aansprakelijkheid volgens nationaal recht tegenover de benadeelde niet
op beroepen dat de gegevens onjuist waren. Indien de ontvanger een
vergoeding uitkeert voor schade ten gevolge van het gebruik van onjuist
verstrekte gegevens, dan betaalt de verstrekkende bevoegde autoriteit de
ontvanger de uitgekeerde schadevergoeding terug, waarbij eventuele aan
de ontvanger toe te schrijven fouten in aanmerking worden genomen.

Artikel 20

Beroepsmogelijkheden

Onverminderd de administratieve voorziening die kan worden getroffen
voordat de zaak aanhangig wordt gemaakt bij de rechter, moet de
betrokkene het recht hebben om, in geval van schending van de rechten
die het nationale recht hem garandeert, beroep in te stellen.

Artikel 21

Vertrouwelijkheid van de verwerking

1.	Degene die toegang heeft tot persoonsgegevens welke onder dit
kaderbesluit vallen, mag deze gegevens alleen verwerken als medewerker
of volgens de instructie van de bevoegde autoriteit, tenzij er
wettelijke verplichtingen daartoe bestaan.

2.	Degenen die voor een bevoegde autoriteit van een lidstaat werken,
valt onder alle bepalingen inzake gegevensbescherming welke voor de
betreffende bevoegde autoriteit gelden.

Artikel 22

Beveiliging van de verwerking

1.	De lidstaten schrijven voor dat de bevoegde autoriteiten passende
technische en organisatorische maatregelen treffen om persoonsgegevens
te beveiligen tegen onbedoelde of onrechtmatige vernietiging, tegen
wijziging, ongeoorloofde mededeling of toegang, met name indien de
verwerking verzending van gegevens via een netwerk of
beschikbaarstelling via directe geautomatiseerde toegang omvat, en tegen
alle andere vormen van onrechtmatige verwerking, waarbij met name
rekening wordt gehouden met de risico's van de verwerking en de aard van
de te beschermen gegevens. Deze maatregelen moeten, rekening houdend met
de stand van de techniek en de kosten van de maatregel, een passend
beveiligingsniveau garanderen gelet op de risico's die de verwerking en
de aard van te beschermen gegevens met zich brengen.

2.	Elke lidstaat treft ten aanzien van de geautomatiseerde verwerking
van gegevens maatregelen om:

a)	te verhinderen dat onbevoegden toegang krijgen tot apparatuur voor de
verwerking van persoonsgegevens (controle op de toegang tot de
apparatuur);

b)	te voorkomen dat onbevoegden de gegevensdragers lezen, kopiëren,
wijzigen of verwijderen (controle op de gegevensdragers);

c)	te verhinderen dat onbevoegden gegevens invoeren of opgeslagen
persoonsgegevens inzien, wijzigen of verwijderen (opslagcontrole);

d)	te voorkomen dat onbevoegden de systemen voor geautomatiseerde
gegevensverwerking gebruiken met behulp van datatransmissieapparatuur
(gebruikerscontrole);

e)	ervoor te zorgen dat degenen die bevoegd zijn een systeem voor
automatische gegevensverwerking te gebruiken, uitsluitend toegang hebben
tot de gegevens waarop hun toegangsbevoegdheid betrekking heeft
(controle op de toegang tot de gegevens);

f)	ervoor te zorgen dat kan worden nagegaan en vastgesteld aan welke
organen persoonsgegevens zijn of kunnen worden verstrekt of beschikbaar
gesteld met behulp van datatransmissieapparatuur (transmissiecontrole);

g)	ervoor te zorgen dat achteraf kan worden nagegaan en vastgesteld
welke persoonsgegevens wanneer en door wie in een geautomatiseerd
gegevensverwerkingssysteem zijn ingevoerd (invoercontrole);

h)	te voorkomen dat onbevoegden de persoonsgegevens lezen, kopiëren,
wijzigen of verwijderen bij de overdracht van persoonsgegevens of het
vervoer van gegevensdragers (vervoerscontrole);

i)	ervoor te zorgen dat de gebruikte systemen in geval van storing
opnieuw ingezet kunnen worden (herstel);

j)	ervoor te zorgen dat de functies van het systeem werken, dat
eventuele functionele storingen gesignaleerd worden (betrouwbaarheid) en
dat opgeslagen gegevens niet door verkeerd functioneren van het systeem
beschadigd kunnen worden (integriteit).

3.	De lidstaten schrijven voor dat verwerkers alleen kunnen worden
aangewezen indien zij garanderen de vereiste technische en
organisatorische maatregelen van lid 1 te zullen treffen en de
instructies van artikel 21 te zullen opvolgen. De bevoegde autoriteit
ziet erop toe dat de verwerker dat doet.

4.	Persoonsgegevens mogen door een verwerker alleen op grond van een
wettelijke regeling of een schriftelijke overeenkomst worden verwerkt.

Artikel 23

Voorafgaand overleg

De lidstaten zien erop toe dat de bevoegde nationale toezichthoudende
autoriteiten worden geraadpleegd voordat persoonsgegevens, die in een
nieuw bestand zullen worden opgenomen, worden verwerkt, wanneer:

a)	bijzondere categorieën gegevens als bedoeld in artikel 6 worden
verwerkt, of

b)	de aard van de verwerking, in het bijzonder met gebruikmaking van
nieuwe technologieën, mechanismen of procedures, anderszins specifieke
risico's met zich meebrengt voor de fundamentele rechten en vrijheden
van de betrokkene, in het bijzonder zijn recht op bescherming van de
persoonlijke levenssfeer.

Artikel 24

Sancties

De lidstaten nemen passende maatregelen om de volledige toepassing van
de bepalingen van dit kaderbesluit te garanderen, en stellen in het
bijzonder doeltreffende, evenredige en afschrikkende sancties vast, die
worden opgelegd in geval van inbreuk op de krachtens dit kaderbesluit
vastgestelde voorschriften.

Artikel 25

Nationale toezichthoudende autoriteiten

1.	Elke lidstaat bepaalt dat een of meer autoriteiten worden belast met
advisering en toezicht met betrekking tot de toepassing op zijn
grondgebied van de krachtens dit kaderbesluit door de lidstaten
vastgestelde voorschriften. Deze autoriteiten vervullen de hun
opgedragen taken in volstrekte onafhankelijkheid.

2.	Elke toezichthoudende autoriteit beschikt met name over:

a)	onderzoeksbevoegdheden, zoals het recht van toegang tot gegevens die
voorwerp van verwerking zijn en bevoegdheden om alle inlichtingen in te
winnen die voor de uitoefening van haar toezichtstaak noodzakelijk zijn;

b)	effectieve bevoegdheden om in te grijpen, zoals de bevoegdheid om
voorafgaand aan de uitvoering van de verwerking advies uit te brengen en
te zorgen voor een passende bekendmaking van het advies, of de
bevoegdheid om gegevens te laten afschermen, wissen of vernietigen, een
verwerking voorlopig of definitief te verbieden, de voor de verwerking
verantwoordelijke te waarschuwen of te berispen, of de nationale
parlementen of andere politieke instellingen in te schakelen;

c)	de bevoegdheid om in rechte op te treden in geval van inbreuken op de
krachtens dit kaderbesluit vastgestelde nationale bepalingen, of om die
inbreuken onder de aandacht van het gerecht te brengen. Tegen de
beslissingen van de toezichthoudende autoriteit kan beroep bij de
rechter worden ingesteld.

3.	Eenieder kan bij elke toezichthoudende autoriteit een vordering
indienen met betrekking tot de bescherming van zijn rechten en vrijheden
in verband met de verwerking van persoonsgegevens. Hij wordt in kennis
gesteld van het gevolg dat aan die vordering wordt gegeven.

4.	De lidstaten schrijven voor dat de leden en personeelsleden van de
toezichthoudende autoriteit zijn gebonden door de voor die autoriteit
geldende bepalingen inzake gegevensbescherming en, na beëindiging van
hun dienstverband, aan het ambtsgeheim ten aanzien van de vertrouwelijke
gegevens waartoe zij toegang hebben.

Artikel 26

Verhouding tot overeenkomsten met derde staten

Dit kaderbesluit geldt onverminderd de verplichtingen en verbintenissen
die de lidstaten of de Unie zijn aangegaan op grond van op de datum van
vaststelling van dit kaderbesluit bestaande bilaterale en/of
multilaterale overeenkomsten met derde landen.

Bij de toepassing van deze overeenkomsten mogen van een andere lidstaat
verkregen persoonsgegevens alleen aan een derde staat worden doorgegeven
na toestemming en met inachtneming van artikel 13, lid 1, onder c), of
lid 2.

Artikel 27

Evaluatie

1.	Uiterlijk op … brengen de lidstaten verslag uit aan de Commissie
over de nationale maatregelen die zij hebben genomen om te zorgen voor
volledige naleving van dit kaderbesluit, en met name met betrekking tot
de bepalingen die reeds bij het verzamelen van gegevens moeten worden
nageleefd. De Commissie onderzoekt in het bijzonder de gevolgen van de
bepaling inzake het toepassingsgebied in artikel 1, lid 2.

2.	De Commissie brengt binnen een jaar aan het Europees Parlement en de
Raad verslag uit over resultaten van de in lid 1 bedoelde evaluatie, en
doet haar verslag vergezeld gaan van eventuele passende
wijzigingsvoorstellen.

Artikel 28

Verhouding tot eerder aangenomen besluiten van de Unie

Indien bij besluiten die vóór … op grond van titel VI van het
Verdrag betreffende de Europese Unie zijn aangenomen en die de
uitwisseling van persoonsgegevens tussen de lidstaten of de toegang van
aangewezen autoriteiten van de lidstaten tot uit hoofde van het VEG
ingestelde gegevenssystemen regelen, specifieke voorwaarden zijn
ingevoerd met betrekking tot het gebruik van die gegevens door de
ontvangende lidstaat, hebben die voorwaarden voorrang boven de
bepalingen van dit kaderbesluit inzake het gebruik van gegevens die zijn
ontvangen van of beschikbaar gesteld door een andere lidstaat.

Artikel 29

Uitvoering

1.	De lidstaten treffen de nodige maatregelen om uiterlijk op … aan
dit kaderbesluit te voldoen.

2.	Uiterlijk op dezelfde datum delen de lidstaten het
secretariaat-generaal van de Raad en de Commissie de tekst mee van de
bepalingen waarmee zij de uit dit kaderbesluit voortvloeiende
verplichtingen omzetten in nationaal recht, alsmede informatie over de
in artikel 25 bedoelde toezichthoudende autoriteiten. Op basis van een
verslag van de Commissie dat is opgesteld met gebruikmaking van deze
informatie, gaat de Raad vóór …( na in hoeverre de lidstaten de
maatregelen hebben genomen die noodzakelijk zijn om aan dit kaderbesluit
te voldoen.

Artikel 30

Inwerkingtreding

Dit kaderbesluit treedt in werking op de twintigste dag na de
bekendmaking ervan in het Publicatieblad van de Europese Unie.

Gedaan te Brussel, 

	Voor de Raad

	De voorzitter

	Advies van ... (nog niet bekendgemaakt in het Publicatieblad).

	PB C 198 van 12.8.2005, blz. 1.

	PB L 281 van 23.11.1995, blz. 31. Richtlijn gewijzigd bij Verordening
(EG) nr. 1882/2003 (PB L 284 van 31.10.2003, blz. 1).

	PB L 8 van 12.1.2001, blz. 1.

	PB L 201 van 31.7.2001, blz. 37. Richtlijn gewijzigd bij Richtlijn
2004/24/EG (PB L 105 van 13.4.2006, blz. 54).

	PB L 69 van 16.3.2005, blz. 67.

(	PB: nummer, datum en publicatiegegevens van dit besluit in doc.
11896/07 invullen.

	PB L 

	PB L 131 van 1.6.2000, blz. 43.

	PB L 64 van 7.3.2002, blz. 20.

	PB L 176 van 10.7.1999, blz. 36.

	PB L 176 van 10.7.1999, blz. 31.

	PB L 53 van 27.2.2008, blz. 52.

	PB L 53 van 27.2.2008, blz. 50.

	PB L 83 van 26.3.2008, blz. 5.

	PB C 303 van 14.12.2007, blz. 1.

(	PB: 5 jaar na aanneming.

(	PB: 2 jaar na aanneming.

(	PB: 3 jaar na aanneming.

9260/08		HD/lg	

	DG H 2		NL

9260/08		HD/lg	  PAGE  \* MERGEFORMAT  43 

	DG H 2		NL