35 745 EU-voorstellen voor een verordening tot wijziging mandaat Europol

C BRIEF VAN DE VICEVOORZITTER VAN DE EUROPESE COMMISSIE, DE HEER MAROŠ ŠEFČOVIČ EN HET LID VAN DE EUROPESE COMMISSIE, MEVROUW YLVA JOHANSSON

Aan de Voorzitter van de Eerste Kamer der Staten-Generaal

Brussel, 1 juli 2021

De Commissie dankt de Eerste Kamer voor haar advies over het voorstel van de Commissie voor een verordening van het Europees Parlement en de Raad tot wijziging van Verordening (EU) 2018/1862 betreffende de instelling, de werking en het gebruik van het Schengeninformatiesysteem (SIS) op het gebied van politiële en justitiële samenwerking in strafzaken, met betrekking tot de invoering van signaleringen door Europol (COM(2020) 791 final), en over het voorstel voor een verordening van het Europees Parlement en de Raad tot wijziging van Verordening (EU) 2016/794 wat betreft de samenwerking van Europol met particuliere partijen, de verwerking van persoonsgegevens door Europol ter ondersteuning van strafrechtelijke onderzoeken en de rol van Europol op het gebied van onderzoek en innovatie (COM(2020) 796 final).

De Commissie is net als de Eerste Kamer doordrongen van het belang en de urgentie van samenwerking op Europees niveau bij de bestrijding van zware criminaliteit met een grensoverschrijdende dimensie, waaronder met name seksueel misbruik van kinderen en terroristische misdrijven.

De veiligheid van Europese burgers en de eerbiediging van hun grondrechten, met inbegrip van het recht op bescherming van hun persoonsgegevens, versterken elkaar. De voorstellen van de Commissie versterken de capaciteiten van Europol en zorgen ervoor dat het over de moderne middelen beschikt om de lidstaten te ondersteunen bij de bestrijding van zware en georganiseerde criminaliteit en terrorisme, terwijl tegelijkertijd het gegevensbeschermingskader van Europol en het parlementair toezicht verder worden versterkt.

Voor het antwoord op de specifieke vragen die door de fractieleden van GroenLinks en de ChristenUnie zijn gesteld, verwijzen wij naar de bijlage.

Mevrouw M.M. de Boer

Voorzitter van de vaste commissie voor Justitie en Veiligheid van de Eerste Kamer

Eerste Kamer der Staten-Generaal

Postbus 20017

2500 EA DEN HAAG

cc: De heer Jan Anthonie Bruijn

Voorzitter van de Eerste Kamer

Postbus 20017

2500 EA DEN HAAG Binnenhof 22

Wij hopen met deze toelichting voldoende te zijn ingegaan op de door de Eerste Kamer aan de orde gestelde punten en kijken ernaar uit de politieke dialoog in de toekomst voort te zetten.

Maroš Šefčovič, Vicevoorzitter

Ylva Johansson, Lid van de Commissie

BIJLAGE

De Commissie heeft elk van de vragen van de fractieleden van de GroenLinks en de ChristenUnie zorgvuldig bestudeerd en verstrekt graag de volgende verduidelijkingen en antwoorden.

PARLEMENTAIRE FRACTIE VAN GROENLINKS

Ten aanzien van voorstel COM(2020)796 hebben de leden van de GroenLinks-fractie de volgende vragen:

1.

In het wijzigingsvoorstel wordt gesteld dat de EDPS en de functionaris gegevensbescherming toezicht zullen houden op het waarborgen van fundamentele rechten van burgers bij alle verwerking van persoonsgegevens. De leden vragen zich af hoe stringent de supervisie van deze twee organen is. Voor welke handelingen moet Europol expliciete toestemming van de EDPS krijgen? Heeft de EDPS de bevoegdheid om het uitwisselen van persoonsgegevens door Europol in bepaalde gevallen te blokkeren indien een schending van de fundamentele rechten van burgers geconstateerd of voorzien wordt? Wat is hierin de rol van de functionaris gegevensbescherming?

ANTWOORD:

De functionaris voor gegevensbescherming en de Europese Toezichthouder voor gegevensbescherming (EDPS) hebben verschillende rollen. De functionaris voor gegevensbescherming is lid van het personeel van Europol, zij het met een bijzondere onafhankelijke status, aangezien hij rechtstreeks verbonden is aan de raad van bestuur, en is belast met het adviseren van Europol over de manier waarop er op onafhankelijke wijze voor kan worden gezorgd dat Europol voldoet aan de vereisten inzake de verwerking van persoonsgegevens en andere specifieke taken (artikel 41 ter van het voorstel).

De EDPS is het enige orgaan dat belast is met het toezicht op de bescherming van de grondrechten door Europol. Op grond van artikel 39 wordt de EDPS vooraf geraadpleegd bij elke nieuwe soort verwerkingsoperatie die met speciale gegevenscategorieën gegevens moet worden verricht. In een dergelijk geval mag de verwerking niet beginnen zonder voorafgaande toestemming van de EDPS.

Op grond van de Europol-verordening moet de EDPS op de hoogte worden gebracht wanneer:

  • overeenkomstig artikel 18, lid 3, de verwerking plaatsvindt met het oog op operationele analyses door middel van operationele analyseprojecten (voor elk van dergelijke projecten moet de uitvoerend directeur het specifieke doel omschrijven, alsmede de categorieën van persoonsgegevens en de categorieën van betrokkenen, de deelnemers, de duur van de opslag en de voorwaarden voor toegang, overdracht en gebruik van de betrokken gegevens, en de EDPS daarvan in kennis stellen);

  • overeenkomstig artikel 18 bis, lid 4, een derde land Europol een onderzoeksdossier verstrekt. Indien Europol of de EDPS tot de conclusie komt dat er voorlopige aanwijzingen zijn dat dergelijke gegevens onevenredig zijn of in strijd met de grondrechten worden verzameld, verwerkt Europol de gegevens niet;

  • overeenkomstig artikel 25, lid 7, afwijkingen voor overdrachten uit hoofde van lid 5 zijn toegepast;

  • overeenkomstig artikel 31, lid 3, persoonsgegevens van de in artikel 30, leden 1 en 2, bedoelde categorieën gedurende een periode van meer dan vijf jaar worden opgeslagen;

  • overeenkomstig artikel 33 bis, lid 1, de verwerking van persoonsgegevens plaatsvindt in het kader van onderzoeks- en innovatieprojecten van Europol. De EDPS wordt voorafgaand aan de start van het project op de hoogte gebracht.

De EDPS kan besluiten de verwerking in kwestie nader te bestuderen.

Zoals in alle andere gevallen waarin de verwerking niet volledig in overeenstemming is met de toepasselijke gegevensbeschermingsregels, kan de EDPS zijn bevoegdheden uit hoofde van artikel 43 van de Europol-verordening uitoefenen, met inbegrip van het opleggen van een tijdelijk of definitief verbod op de verwerkingsoperaties door Europol die in strijd zijn met de bepalingen inzake de verwerking van persoonsgegevens.

2.

Het is de leden van de GroenLinks-fractie nog enigszins onduidelijk hoe de fundamentele rechten van burgers worden gewaarborgd in de veranderingen die de Europese Commissie voorstelt. Deze leden vragen om een overzicht te geven van de waarborgen voor fundamentele rechten van kracht bij:

  • a. het ontvangen van en overdragen van persoonsgegevens aan private actoren;

  • b. het analyseren van grote datasets afkomstig uit lidstaten; en

  • c. het overdragen van persoonsgegevens aan derde landen en internationale organisaties.

ANTWOORD:

Horizontale waarborgen:

Alle bestaande materiële en procedurele waarborgen blijven van toepassing. Het belangrijkste is dat Europol alleen gegevens kan behandelen die duidelijk verband houden met zware georganiseerde criminaliteit of terrorisme. Als een particuliere partij persoonsgegevens deelt met Europol die geen verband houden met een misdrijf waarvoor Europol bevoegd is, zal Europol deze gegevens wissen.

Bovendien zullen de horizontale bepalingen van hoofdstuk IX van Verordening (EU) 2018/1725 van het Europees Parlement en de Raad van 23 oktober 2018 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie en betreffende het vrije verkeer van die gegevens1 nu volledig van toepassing worden op de verwerking van operationele gegevens door Europol. Met name zijn de algemene beginselen inzake gegevensbescherming (zoals wat betreft noodzakelijkheid, evenredigheid, nauwkeurigheid of beveiliging (artikel 71), rechtmatigheid van de verwerking van operationele persoonsgegevens (artikel 72), onderscheid tussen verschillende categorieën betrokkenen en tussen operationele persoonsgegevens en controle van de kwaliteit van die gegevens (artikelen 73 en 74), geautomatiseerde individuele besluitvorming, waaronder profilering (artikel 77), regels inzake de rechten van de betrokkene (artikelen 78–84) en inzake de beveiliging van de verwerking (artikel 91)) van toepassing.

Tot slot blijven meer specifieke procedurele waarborgen van de Europol-verordening van toepassing, zoals de regels inzake de betrouwbaarheid van de bron en van de nauwkeurigheid van de informatie (artikel 29), de regels inzake de verwerking van bijzondere categorieën gegevens en verschillende categorieën betrokkenen (artikel 30), de regels inzake termijnen voor opslag en wissen van persoonsgegevens (artikel 31), de regels inzake inbreuken in verband met persoonsgegevens (artikel 34), de regels inzake het recht van toegang van de betrokkene (artikel 36) en de regels inzake het recht van correctie, uitwissing en beperking (artikel 37).

Punt a): specifieke waarborgen voor het ontvangen van en overdragen van persoonsgegevens aan private actoren

Daarnaast voorziet het voorstel in aanvullende waarborgen voor het geval Europol persoonsgegevens van particulieren ontvangt (artikel 26, lid 2). Europol zal deze gegevens alleen volledig kunnen verwerken om alle betrokken lidstaten te identificeren. Zodra Europol alle beschikbare middelen heeft uitgeput om alle betrokken lidstaten te identificeren en geen verdere betrokken lidstaten kan identificeren, moet het Agentschap deze gegevens wissen binnen vier maanden nadat de laatste doorzending aan een nationale eenheid of doorgifte aan een contactpunt van een derde land of een autoriteit van een derde land heeft plaatsgevonden, tenzij de nationale eenheid, het contactpunt of de betrokken autoriteit in kwestie de persoonsgegevens binnen deze termijn als eigen gegevens opnieuw bij Europol indient.

Indien Europol persoonsgegevens van particuliere partijen nodig heeft, moet het de lidstaat van vestiging verzoeken deze gegevens van de betrokken particuliere partij te verkrijgen (artikel 26, lid 6 bis). Het is dan aan de lidstaat van vestiging (of van de wettelijke vertegenwoordiger) om het verzoek van Europol te beoordelen en overeenkomstig zijn nationale wetgeving te beslissen of het al dan niet wordt ingewilligd. Dit moet waarborgen dat alle materiële en procedurele waarborgen met betrekking tot dergelijke verzoeken in acht worden genomen.

Tot slot kan Europol in nauwkeurig omschreven omstandigheden een particuliere partij die eerder persoonsgegevens heeft gedeeld met het Agentschap, ervan in kennis stellen dat de verstrekte informatie niet volstaat om de betrokken lidstaten te identificeren (artikel 26, lid 5, punt d)). Deze informatie komt niet neer op een verzoek, maar stelt de betrokken particuliere partij in staat te beoordelen of het doel van het delen van de gegevens met Europol in eerste instantie is bereikt, dan wel het delen van aanvullende gegevens wenselijk is.

Punt b): specifieke waarborgen voor het analyseren van grote datasets afkomstig uit lidstaten

Het voorstel van de Commissie bevat een aantal waarborgen voor de verwerking van grote en complexe datasets afkomstig uit de lidstaten. Ten eerste moeten de gegevens door een lidstaat worden verkregen in het kader van een strafrechtelijk onderzoek en overeenkomstig de procedurele vereisten en waarborgen die krachtens zijn nationale strafrecht van toepassing zijn. Ten tweede moeten de grote en complexe datasets – als onderdeel van een onderzoeksdossier – door de lidstaat aan Europol worden verstrekt met het oog op operationele analyse ter ondersteuning van dat specifieke strafrechtelijk onderzoek. Overeenkomstig artikel 17, lid 1, punt a), van de Europol-verordening (Verordening (EU) 2016/794) moeten de lidstaten ervoor zorgen dat bij de indiening van de gegevens bij Europol het nationale recht wordt nageleefd. Ten derde moet de verwerking van de grote complexe dataset nodig zijn ter ondersteuning van dat specifieke strafrechtelijk onderzoek. Ten vierde moet Europol oordelen dat het niet mogelijk is de operationele analyse van het onderzoeksdossier uit te voeren zonder persoonsgegevens te verwerken die niet voldoen aan de vereisten inzake de in bijlage II bij de Europol-verordening opgenomen categorieën betrokkenen. Dit oordeel wordt geregistreerd. Ten vijfde mag Europol persoonsgegevens uit het onderzoeksdossier slechts verwerken zolang het ondersteuning biedt aan het lopende specifieke strafrechtelijk onderzoek en uitsluitend ter ondersteuning van dat onderzoek. Ten zesde worden persoonsgegevens die niet behoren tot de in bijlage II bij de Europol- verordening genoemde categorieën betrokkenen functioneel gescheiden van andere gegevens en mogen zij alleen worden geraadpleegd wanneer dat nodig is voor de ondersteuning van het specifieke strafrechtelijk onderzoek.

Punt c): specifieke waarborgen voor het overdragen van persoonsgegevens aan derde landen en internationale organisaties.

De waarborgen van de bestaande Europol-verordening voor de overdracht van persoonsgegevens in specifieke situaties (artikel 25, lid 5, van Verordening (EU) 2016/794) blijven van toepassing. Dit omvat de waarborg dat dergelijke overdrachten alleen in individuele gevallen plaatsvinden en alleen indien de overdracht noodzakelijk is in een van de in de richtlijn vermelde specifieke situaties (artikel 25, lid 5, punten a) tot en met e), van Verordening (EU) 2016/794). Persoonsgegevens worden niet doorgegeven indien de uitvoerend directeur bepaalt dat de grondrechten en fundamentele vrijheden van de betrokkene voor de doorgifte prevaleren boven het algemeen belang. Bovendien is de rechtsgrondslag niet van toepassing op systematische, grootschalige of structurele overdrachten.

3.

Het voorgestelde artikel 18 bis geeft Europol de mogelijkheid om persoonsgegevens te verwerken die niet voldoen aan de vereisten van artikel 18, lid 5. In het voorgestelde artikel 18 bis, lid 2, wordt gesteld dat een dergelijke verwerking gedaan mag worden in het geval het ondersteuning biedt aan het lopende specifieke strafrechtelijk onderzoek waarvoor het onderzoeksdossier is verstrekt. Kan de Europese Commissie verder toelichten waarom voor specifiek deze inperking gekozen is? En hoe wordt het begrip «ondersteuning» in deze context toegepast? Gaat het om informatie die noodzakelijk is, of is het een minder strakke aanduiding? Wie bepaalt of de verwerking noodzakelijk en evenredig is?

ANTWOORD:

De Commissie is van mening dat de verwerking door Europol van gegevens op grond van het voorgestelde nieuwe artikel 18 bis, lid 1 – dat betrekking heeft op de verwerking van gegevens waarop de vereisten van artikel 18, lid 5, van de vigerende Europol-verordening (Verordening (EU) 2016/794) niet van toepassing zijn – moet worden beperkt tot gegevens die door een lidstaat zijn verkregen in het kader van een strafrechtelijk onderzoek en met inachtneming van de procedurele vereisten en waarborgen van het toepasselijke nationale strafrecht. De verwijzing naar procedurele vereisten en waarborgen van het toepasselijke nationale strafrecht waarborgt dat de beginselen van noodzakelijkheid en evenredigheid in acht werden genomen toen de gegevens werden verkregen. Europol mag dergelijke gegevens alleen verwerken indien dit nodig is ter ondersteuning van het specifieke strafrechtelijk onderzoek waarvoor zij door de lidstaat zijn verstrekt. Overeenkomstig artikel 17, lid 1, punt a), van de vigerende Europol-verordening (Verordening (EU) 2016/794) moet de lidstaat ervoor zorgen dat bij de verstrekking van de gegevens aan Europol het nationale recht wordt nageleefd. Bovendien moet Europol van oordeel zijn dat het niet mogelijk is het strafrechtelijk onderzoek te ondersteunen zonder persoonsgegevens te verwerken die niet aan de vereisten van artikel 18, lid 5, voldoen. Dit oordeel wordt geregistreerd.

4.

In het voorgestelde artikel 39 bis, lid 1, onderdeel f wordt aangegeven dat Europol in een register van alle categorieën verwerkingsactiviteiten onder meer bijhoudt, indien mogelijk, de beoogde termijnen waarbinnen de verschillende categorieën gegevens moeten worden gewist. Kan de Europese Commissie voorbeelden geven van momenten waarop het niet mogelijk is om de beoogde termijnen in te schatten of vast te stellen?

ANTWOORD:

De Commissie is van mening dat Europol de invoering van termijnen voor het wissen van de verschillende categorieën gegevens kan overwegen. Dit zou bijvoorbeeld moeilijker kunnen blijken in situaties als bedoeld in artikel 18 bis, lid 3, waarin lidstaten Europol kunnen verzoeken het onderzoeksdossier en de resultaten van zijn operationele analyse langer op te slaan dan de beoogde opslagperiode, met als doel de waarheidsgetrouwheid, de betrouwbaarheid en de traceerbaarheid van het criminele- inlichtingenproces te waarborgen, en zulks uitsluitend zolang een gerechtelijke procedure in verband met een strafrechtelijk onderzoek in een andere lidstaat loopt. De formulering van artikel 39 bis, lid 1, punt f), waarin wordt bepaald dat deze informatie «indien mogelijk» moet worden geregistreerd, biedt ruimte voor flexibiliteit om rekening te houden met deze en andere situaties die op dit moment nog niet duidelijk zijn.

5.

Artikel 47 bepaalt dat betrokkenen hebben het recht om een klacht in te dienen bij de EDPS, indien zij van oordeel zijn dat de verwerking van hun persoonsgegevens door Europol niet voldoet aan de betrokken EU-verordeningen. Heeft er een evaluatie plaatsgevonden van hoe dit soort klachten tot nu toe behandeld zijn? Is er een tijdslimiet waarbinnen de EDPS een klacht moet behandelen? Dezelfde vragen wensen de leden te stellen ten aanzien van de klachtprocedure, voorgesteld in artikel 68, lid 2, van COM(2020)791?

ANTWOORD:

Er is geen evaluatie verricht van de behandeling van klachten door de EDPS op grond van artikel 47 van de Europol-verordening of artikel 68, lid 2, van COM(2020) 796. De EDPS behandelt klachten die bij hem zijn ingediend op grond van Verordening (EU) 2018/1725 en zijn reglement van orde2. Overeenkomstig artikel 17 van het reglement van orde stelt de EDPS de klager zo spoedig mogelijk op de hoogte van het resultaat van een klacht en van de genomen maatregelen.

6.

Met artikel 57, vierde lid, wordt voorgesteld om lidstaten en derde landen ook de mogelijkheid te geven om bij overeenkomst financieel bij te dragen aan de financiële middelen van Europol. Hoe kijkt de Europese Commissie naar de relatie die hierdoor ontstaat? Ziet zij hier risico’s? Hoe wil zij voorkomen dat bepaalde lidstaten of derde landen een grote invloed krijgen op het werk van Europol?

ANTWOORD:

De mogelijkheid om financiële bijdragen van lidstaten en derde landen te ontvangen was reeds opgenomen in de financiële kaderregeling die van toepassing is op alle gedecentraliseerde agentschappen en die is omgezet in het financieel reglement van Europol (artikel 20 over bestemmingsontvangsten).

In het voorstel tot herziening van het mandaat van Europol wordt deze mogelijkheid verduidelijkt en wordt duidelijker aangegeven dat agentschappen voor specifieke gevallen kunnen profiteren van andere financieringsbronnen dan de jaarlijkse EU- bijdrage. Met het voorstel werd ook beoogd om de situatie te verduidelijken van de inkomsten die reeds regelmatig van de lidstaten worden ontvangen, namelijk de financiële bijdrage van Denemarken, dat weliswaar een lidstaat is, maar een derde land wat betreft de toepassing van de Europol-verordening, en dat een overeenkomst met het Agentschap heeft gesloten en bijdraagt aan de begroting ervan.

Dit mechanisme is geenszins bedoeld ter vervanging van de jaarlijkse EU-bijdrage, die het essentiële deel van de inkomsten van Europol blijft uitmaken. Deze financiering is afhankelijk van de sluiting van een specifieke overeenkomst tussen Europol en de betrokken lidstaten of derde landen. De raad van bestuur van Europol wordt derhalve geacht volledig te worden betrokken bij het besluit om al dan niet een dergelijke overeenkomst te sluiten.

7.

De bevoegdheid van de uitvoerend directeur van Europol om in bepaalde gevallen persoonsgegevens door te geven aan derde landen of internationale organisaties wordt uitgebreid met «categorieën van doorgiften van persoonsgegevens». Kan de Europese Commissie verder toelichten wat met deze uitbreiding wordt bedoeld? Gaat deze beslissing om buiten het «adequaatheidsbesluit», genoemd in artikel 25, lid 1, onder a? Zo ja, welke waarborgen gelden er in dat geval bij het overdragen van persoonsgegevens per beslissing van de uitvoerend directeur van Europol? Worden gegevens enkel overgedragen indien een land voldoende bescherming biedt? Wie maakt die beslissing, en hoe wordt daar toezicht op gehouden? Is de Europese Commissie voornemens een lijst van landen op te nemen die daaraan voldoen en wat wordt daarbij verstaan onder een «passend niveau van bescherming»?

ANTWOORD:

Het Commissievoorstel bevat een gerichte wijziging van de bepaling in de bestaande Europol-verordening (artikel 25, lid 5, van Verordening (EU) 2016/794) die voorziet in een afwijking voor de doorgifte van persoonsgegevens in een specifieke situatie. Met deze regelgevende ingreep wordt duidelijk gemaakt dat de bepaling veeleer van toepassing is op een «categorie van doorgiften» van persoonsgegevens dan op één enkele doorgifte; daarmee wordt deze bepaling in overeenstemming gebracht met de richtlijn gegevensbescherming bij rechtshandhaving (Richtlijn 2016/680). De voorgestelde wijziging leidt tot de mogelijkheid om een categorie persoonsgegevens aan een derde land over te dragen op basis van één enkele motivering en toestemming. Dit zou de doorgifte omvatten van persoonsgegevens van personen die betrokken zijn bij of anderszins iets te maken hebben met het specifieke strafbare feit ten aanzien waarvan toestemming wordt gevraagd, in overeenstemming met de in bijlage II bij de Europol- verordening vermelde categorieën persoonsgegevens en categorieën betrokkenen, op voorwaarde dat een dergelijke doorgifte van persoonsgegevens strikt noodzakelijk is.

Adequaatheidsbesluiten als bedoeld in artikel 25, lid 1, punt a), van Verordening (EU) 2016/794, internationale overeenkomsten als bedoeld in artikel 25, lid 1, punt b), van die verordening en bestaande samenwerkingsovereenkomsten als bedoeld in artikel 25, lid 1, punt c), zouden de enige rechtsgrondslag blijven voor de structurele doorgifte van persoonsgegevens naar derde landen.

Wat de afwijking voor de doorgifte van persoonsgegevens in een specifieke situatie betreft, blijven de waarborgen van de bestaande Europol-verordening voor een dergelijke doorgifte (artikel 25, lid 5, van Verordening (EU) 2016/794) van toepassing. Dit omvat de waarborg dat dergelijke doorgiften alleen in individuele gevallen plaatsvinden en alleen indien de overdracht noodzakelijk is in een van de in de richtlijn vermelde specifieke situaties (artikel 25, lid 5, punten a) tot en met e), van Verordening (EU) 2016/794). Dit vormt een afwijking ten opzichte van overdrachten op basis van adequaatheidsbesluiten, internationale overeenkomsten of samenwerkingsovereenkomsten. Persoonsgegevens worden echter niet doorgegeven indien de uitvoerend directeur bepaalt dat de grondrechten en fundamentele vrijheden van de betrokkene voor de doorgifte prevaleren boven het algemeen belang. Bovendien is deze rechtsgrondslag niet van toepassing op systematische, massale of structurele overdrachten. Zoals bij elke verwerking van persoonsgegevens door Europol, zou de doorgifte van persoonsgegevens aan een derde land in een specifieke situatie onderworpen zijn aan het toezicht van de Europese Toezichthouder voor gegevensbescherming.

8.

Voorgesteld wordt om artikel 30, lid 4, te schrappen, dat luidt: «4. Beslissingen van een bevoegde autoriteit met negatieve rechtsgevolgen voor een betrokkene mogen niet uitsluitend worden gebaseerd op geautomatiseerde verwerking van gegevens van het in lid 2 bedoelde type, tenzij de beslissing uitdrukkelijk is toegestaan door de nationale wetgeving of de wetgeving van de Unie.» Kan de Europese Commissie uitleggen waarom besloten is om dit artikellid te verwijderen? Betekent dit dat beslissingen met negatieve rechtsgevolgen nu wel uitsluitend mogen worden gebaseerd op geautomatiseerde gegevensverwerking van het in lid 2 bedoelde type gegevens?

ANTWOORD:

Het verbod van artikel 30, lid 4, is geschrapt omdat het overeenkomt met artikel 77 van Verordening (EU) 2018/1725. Aangezien hoofdstuk IX van die verordening, met inbegrip van artikel 77, rechtstreeks van toepassing zal zijn op Europol, is artikel 30, lid 4, van de Europol-verordening overbodig geworden.

Beslissingen met negatieve rechtsgevolgen voor de betrokkene of die hem of haar in aanzienlijke mate treffen, mogen derhalve niet uitsluitend worden gebaseerd op de geautomatiseerde verwerking van gegevens. Geen van de leden van artikel 30 voorziet in een regel die dit zou toestaan. Artikel 30, lid 2, staat Europol weliswaar toe bijzondere categorieën gegevens te verwerken, maar geeft geen toestemming voor geautomatiseerde besluiten die uitsluitend op geautomatiseerde verwerking zijn gebaseerd.

Ten aanzien van voorstel COM(2020)791 hebben de leden van de GroenLinks-fractie nog de volgende vraag:

9.

In het nieuw voorgestelde artikel 37 bis, lid 2, onder b, staat dat Europol uitsluitend een signalering in SIS mag invoeren van personen ten aanzien van wie er feitelijke aanwijzingen zijn of een redelijk vermoeden bestaat dat zij strafbare feiten zullen plegen die overeenkomstig artikel 3 van Verordening (EU) 2016/794 onder de bevoegdheid van Europol vallen. Kan de Europese Commissie verder uitleggen wat «feitelijke aanwijzingen» en «redelijk vermoeden» in dit geval precies inhoudt? Zou dit niet verder ingeperkt moeten worden om een te ruime bevoegdheid te vermijden?

ANTWOORD:

De formulering van het nieuwe artikel 37 bis, lid 2, punten a) en b), geeft de reikwijdte aan van de gevallen die Europol kan overwegen in het SIS op te nemen. De formulering in beide punten weerspiegelt de beperking van het doel van de informatieverwerkingsactiviteiten van Europol zoals gedefinieerd in artikel 18, lid 2, punt a), van Verordening (EU) 2016/794. Deze bepalingen geven op zich geen definitie van de discretionaire bevoegdheid van Europol om signaleringen in het SIS in te voeren, maar moeten worden gelezen in het licht van alle andere vereisten en strikte procedurele waarborgen waarin het nieuwe artikel 37 bis van het voorstel voorziet:

  • Europol moet de betrouwbaarheid van de bron van de informatie en de nauwkeurigheid van de informatie over de betrokkene bevestigen (waar nodig na een verdere uitwisseling van informatie met de verstrekkende partij);

  • een verificatie heeft bevestigd dat de signalering noodzakelijk is om de doelstellingen van Europol te bereiken zoals vastgelegd in artikel 3 van Verordening (EU) 2016/794;

  • een raadpleging, waarbij informatie over de betrokkene werd gedeeld met de lidstaten, heeft bevestigd dat: i) er geen lidstaten hun voornemen hebben uitgesproken om een signalering van de betrokken persoon in SIS in te voeren; ii) er geen lidstaten bezwaar hebben geuit tegen de voorgestelde invoering van een signalering in SIS door Europol.

Europol houdt gedetailleerde gegevens bij over de invoering van de signalering in SIS en over de redenen daarvoor, om na te kunnen gaan of aan de materiële en procedurele vereisten is voldaan. Deze gegevens worden desgevraagd aan de Europese Toezichthouder voor gegevensbescherming verstrekt.

De algemene vereisten en verplichtingen die van toepassing zijn op de lidstaten bij het invoeren van signaleringen gelden ook voor Europol [zie nieuw artikel 37 bis, lid 6] wat betreft de gegevenscategorieën, evenredigheid, minimale gegevensinhoud voor een in te voeren signalering, opneming van biometrische gegevens, algemene voorschriften inzake gegevensverwerking en kwaliteit van de gegevens in SIS.

Indien aan al het bovenstaande is voldaan, mag Europol de signalering alleen invoeren met toestemming van de uitvoerend directeur van Europol [zie het voorstel van de Commissie over de herziening van het mandaat van Europol, artikel 4, nieuw punt r)].

Bovendien voert de Europese Toezichthouder voor gegevensbescherming ten minste om de vier jaar een audit uit van de verwerking van gegevens door Europol, overeenkomstig internationale auditnormen.

CHRISTENUNIE-FRACTIE

De leden van de ChristenUnie-fractie stellen vast dat sprake is van omvangrijke en ingrijpende wijzigingen van de Europol-verordening en de SIS-verordening. Deze leden hebben de volgende drie vragen aan de Europese Commissie:

1.

Één van de voorstellen tot wijziging van de Europol-verordening behelst het mogelijk maken dat Europol rechtstreeks persoonsgegevens van private partijen kan

ontvangen en dat Europol lidstaten kan verzoeken om informatie op te vragen bij private partijen en deze met Europol te delen. De leden van de ChristenUnie-fractie vragen wie vervolgens de eigenaar is van de aan Europol door private partijen overgedragen informatie.

ANTWOORD:

Op het moment van ontvangst zou Europol eigenaar worden van de door een private partij doorgegeven persoonsgegevens. Europol zou deze gegevens echter slechts verwerken zolang als nodig is om alle betrokken lidstaten te identificeren. Zodra Europol alle beschikbare middelen heeft uitgeput om alle betrokken lidstaten te identificeren en geen verdere betrokken lidstaten kan identificeren, moet het Agentschap deze gegevens wissen binnen vier maanden nadat de laatste doorzending aan een nationale eenheid of doorgifte aan een contactpunt van een derde land of een autoriteit van een derde land heeft plaatsgevonden, tenzij de nationale eenheid, het contactpunt of de betrokken autoriteit in kwestie de persoonsgegevens binnen deze termijn als eigen gegevens opnieuw bij Europol indient. Als een lidstaat deze gegevens opnieuw indient, wordt deze lidstaat eigenaar van de gegevens.

2.

De eerste vraag is ook van belang bij het voorstel dat Europol persoonsgegevens kan delen met private partijen om grootschalige verspreiding van terroristische content te voorkomen. Is Europol de eigenaar van deze persoonsgegevens? Is het juist dat Europol samenwerking kan initiëren met private partijen om de verspreiding van terroristische content te voorkomen? Doorkruist dit niet de rol van de lidstaten? Wat is de verantwoordelijkheid van de lidstaten in dit geheel?

ANTWOORD:

Artikel 26 bis zou Europol in staat stellen de lidstaten te ondersteunen bij het voorkomen van de verspreiding van online-inhoud met betrekking tot terrorisme of gewelddadig extremisme in crisissituaties op het internet, en met name bij de uitvoering van het EU- crisisprotocol. Dit protocol wordt door de lidstaten in werking gezet en Europol heeft slechts een ondersteunende rol. Zodra het protocol in werking is getreden, kan Europol zogenaamde hashes delen met aanbieders van onlinediensten, waardoor deze particuliere partijen snel relevante inhoud kunnen identificeren. Het zou Europol ook in staat stellen persoonsgegevens van particuliere partijen te ontvangen, bijvoorbeeld abonneegegevens inzake de account vanwaar de desbetreffende inhoud werd geüpload of informatie over het al of niet verwijderd zijn van de inhoud.

3.

Wat betreft de wijzigingen in de SIS-verordening leeft bij de leden van de ChristenUnie-fractie de vraag op welke manier de informatie van derde landen wordt gewogen die verstrekt is aan Europol en bedoeld is om te worden opgenomen in het SIS. Hoe beoordeelt Europol of deze informatie voldoende kwaliteit heeft? Met andere woorden, hoe beoordeelt Europol of de informatie betrouwbaar is en hoe wordt zeker gesteld dat de rechten van de datasubjecten worden gerespecteerd?

ANTWOORD:

Voor de beoordeling van de kwaliteit en de betrouwbaarheid van de informatie wordt u verwezen naar het antwoord onder punt 9.

Wat de rechten van betrokkenen betreft, omvat het voorstel de wijziging van artikel 67 van Verordening (EU) 2018/1862, waarin de regels zijn vastgesteld betreffende het recht op inzage, rectificatie van onjuiste gegevens en wissing van onrechtmatig opgeslagen gegevens. Het amendement voorziet in dezelfde rechten voor de betrokkenen bij door Europol ingevoerde signaleringen als voor de betrokkenen bij door de lidstaten ingevoerde signaleringen. De betrokkenen kunnen de rechten uitoefenen die zijn neergelegd in de artikelen 15, 16 en 17 van Verordening (EU) 2016/679, in de nationale bepalingen tot omzetting van artikel 14 en artikel 16, leden 1 en 2, van Richtlijn (EU) 2016/680 en in hoofdstuk IX van Verordening (EU) 2018/1725.

Meer bepaald informeert Europol overeenkomstig het nieuwe artikel 67, lid 4, de betrokkene bij ontvangst van een verzoek tot inzage, rectificatie of wissing zo spoedig mogelijk en in elk geval binnen één maand na ontvangst van het verzoek, over het vervolg. Afhankelijk van de complexiteit van de verzoeken en van het aantal verzoeken kan die termijn indien nodig met nog eens twee maanden worden verlengd. Europol stelt de betrokkene binnen één maand na ontvangst van het verzoek in kennis van een dergelijke verlenging en van de redenen daarvoor. In artikel 67, lid 3, worden de redenen genoemd die kunnen dienen als basis voor een besluit van Europol om de betrokkene geen of slechts gedeeltelijke informatie mee te delen, voor zover en zolang die volledige of gedeeltelijke beperking in een democratische samenleving, met inachtneming van de grondrechten en legitieme belangen van de natuurlijke persoon in kwestie, een noodzakelijke en evenredige maatregel is Europol registreert de feitelijke of juridische redenen die ten grondslag liggen aan het besluit om geen informatie aan de betrokkene te verstrekken. Die informatie wordt ter beschikking gesteld van de bevoegde toezichthoudende autoriteiten. In dergelijke gevallen kan de betrokkene zijn rechten ook uitoefenen via de bevoegde toezichthoudende instanties.

Bovendien bepaalt artikel 68, lid 2, inzake rechtsmiddelen dat eenieder het recht heeft om naar aanleiding van een door Europol ingevoerde hem of haar betreffende signalering een klacht in te dienen bij de Europese Toezichthouder voor gegevensbescherming met het oog op inzage, rectificatie, wissing en op het verkrijgen van informatie of schadevergoeding in verband met zijn of haar signalering.

Volgens artikel 72 inzake aansprakelijkheid is eenieder die als gevolg van een met Verordening (EU) 2018/1862 strijdige handeling van Europol materiële of immateriële schade heeft geleden, gerechtigd om van Europol schadevergoeding te ontvangen.

X Noot
1

Verordening (EU) 2018/1725 van het Europees Parlement en de Raad van 23 oktober 2018 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie en betreffende het vrije verkeer van die gegevens, en tot intrekking van Verordening (EG) nr. 45/2001 en Besluit nr. 1247/2002/EG (PB L 295 van 21.11.2018, blz. 39).

X Noot
2

Besluit van de Europese Toezichthouder voor gegevensbescherming van 15 mei 2020 tot vaststelling van het reglement van orde van de EDPS (PB L 204 van 26.6.2020, blz. 49).

Naar boven