Regeling toezicht verwerking persoonsgegevens door gerechten en het parket bij de Hoge Raad1

Datum inwerkingtreding: 25 mei 2018

Gelet op artikel 55 lid 3 Verordening EU 2016/679 en artikel 45 lid 2 van de Richtlijn EU 2016/680, gehoord de Raad voor de Rechtspraak en de presidenten van de gerechten als bedoeld in artikel 2 RO, stelt de procureur-generaal bij de Hoge Raad de volgende regeling vast met het oog op toezicht op verwerking van persoonsgegevens met betrekking tot de uitoefening van gerechtelijke taken.

Vanaf 25 mei 2018 is de Algemene verordening gegevensbescherming (verder: AVG) van toepassing.2 De AVG vervangt de Wet bescherming persoonsgegevens. Om te voorzien in wettelijke regels ter uitvoering van de AVG is de Uitvoeringswet Algemene verordening gegevensbescherming in voorbereiding. Naast de AVG is er een aparte Richtlijn gegevensbescherming opsporing en vervolging3 (verder: de Richtlijn).

De bepalingen uit de AVG zijn ook van toepassing op activiteiten van de gerechten, tenminste voor zover deze niet zien op strafzaken4. Voor strafzaken geldt in plaats van de AVG, de Richtlijn. Anders dan de AVG heeft de Richtlijn geen directe werking. Ter implementatie van de Richtlijn worden de Wet politiegegevens en de Wet justitiële en strafvorderlijke gegevens gewijzigd. In het wetsvoorstel dat strekt tot wijziging van deze wetten, wordt voorgesteld een aparte titel op te nemen in de Wet justitiële en strafvorderlijke gegevens ten aanzien van de verwerking van gegevens van natuurlijke personen en rechtspersonen door de gerechtelijke instanties in het kader van de behandeling van strafzaken (titel 3b: De verwerking van gerechtelijke strafgegevens).

In de preambule van de AVG wordt overwogen dat de regels en procedures met betrekking tot het verwerken van persoonsgegevens door gerechten en andere rechterlijke autoriteiten nader kunnen worden gespecificeerd en zowel in de preambule van de AVG als in die van de Richtlijn is overwogen dat de competentie van de toezichthoudende autoriteiten (in Nederland is dat de Autoriteit Persoonsgegevens) zich niet mag uitstrekken tot de verwerking van persoonsgegevens door gerechten in het kader van hun (ge)rechtelijke taken4. Dit is ook vastgelegd in art. 55 lid 3 AVG en art. 45 lid 2 van de Richtlijn.

Het toezicht op de gegevensverwerking door gerechten en andere rechterlijke autoriteiten in het kader van hun (ge)rechtelijke taken, moet worden toevertrouwd aan specifieke instanties binnen de rechterlijke organisatie. Dit om de onafhankelijkheid van de rechterlijke macht bij de uitoefening van haar rechterlijke taken te waarborgen. Deze toezichthoudende instanties moeten de naleving van de regels van de AVG garanderen, leden van de rechterlijke macht van hun verplichtingen krachtens de AVG sterker bewust maken en klachten met betrekking tot de gegevensverwerkingen door gerechten en andere rechterlijke autoriteiten behandelen, aldus overweging 20 van de preambule van de AVG. In de preambule van de Richtlijn staat in overweging 80 vermeld dat de naleving van de regels van de Richtlijn door gerechten en andere onafhankelijke rechterlijke autoriteiten, in elk geval altijd onderworpen moet zijn aan onafhankelijk toezicht in overeenstemming met art. 8 lid 3 van het Handvest van de grondrechten van de Europese Unie. Het is verder aan de rechterlijke instanties zelf gelaten om in het toezicht op de gegevensverwerking in het kader van de uitoefening van hun gerechtelijke taken te voorzien.

Gehoord de Raad voor de Rechtspraak en de presidenten van de gerechten als bedoeld in art. 2 van de Wet op de Rechterlijke Organisatie wordt het toezicht op de verwerking van persoonsgegevens door gerechten en het parket bij de Hoge Raad in het kader van de uitoefening van hun gerechtelijke taken, met inachtneming van toepasselijke verordening (AVG), de hiervoor genoemde Richtlijn en de wet- en regelgeving, als volgt ingericht:

Algemene bepalingen

  • 1. Het toezicht op de verwerking van persoonsgegevens door gerechten en het parket bij de Hoge Raad in het kader van de uitoefening van hun gerechtelijke taken wordt toevertrouwd aan de door de gerechten en het parket bij de Hoge Raad aangewezen functionarissen voor gegevensbescherming (verder: FG’s) en aan de procureur-generaal bij de Hoge Raad (verder PGHR)5.

  • 2. Onder verwerking van persoonsgegevens in het kader van de uitoefening van gerechtelijke taken wordt in deze regeling verstaan: alle verwerkingen van persoonsgegevens die plaatsvinden in het kader van rechtszaken6.

  • 3. Als verantwoordelijken voor verwerkingen van persoonsgegevens in het kader van de uitoefening van gerechtelijke taken worden aangemerkt:

    • bij de rechtbanken en de gerechtshoven: het gerechtsbestuur;

    • bij de Hoge Raad: de president van de Hoge Raad7;

    • bij het parket bij de Hoge Raad: de PGHR8.

  • 4. De verwerkingsverantwoordelijken en het bij de verwerking betrokken personeel verlenen desgevraagd hun medewerking aan de FG’s en de PGHR.9

  • 5. De FG’s vervullen de volgende taken10:

    • a) gerechten en het parket bij de Hoge Raad informeren en adviseren over hun verplichtingen uit hoofde van de Algemene Verordening Gegevensbescherming (verder: AVG) en de krachtens de Richtlijn EU 2016/680betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en betreffende het vrije verkeer van die gegevens en tot intrekking van Kaderbesluit 2008/977/JBZ van de Raad (verder: de Richtlijn) vastgestelde bepalingen;

    • b) toezien op naleving van de AVG en de krachtens de Richtlijn vastgestelde bepalingen en van het beleid van de gerechten met betrekking tot de bescherming van persoonsgegevens, met inbegrip van de toewijzing van verantwoordelijkheden, bewustmaking en opleiding van het bij de verwerking betrokken personeel;

    • c) desgevraagd advies verstrekken met betrekking tot de gegevensbeschermingseffect-beoordeling en toezien op de uitvoering daarvan in overeenstemming met art. 35 AVG;

    • d) met de PGHR samenwerken;

    • e) optreden als contactpunt voor de PGHR inzake met verwerking verband houdende aangelegenheden.

  • 6. De PGHR vervult – als toezichthouder op de verwerking van persoonsgegevens door gerechten en het parket bij de Hoge Raad in het kader van de uitoefening van hun gerechtelijke taken – de volgende taken11 12:

    • a) monitoren en handhaven13 van de toepassing van de AVG en de krachtens de Richtlijn vastgestelde bepalingen door de gerechten en het parket bij de Hoge Raad bij de uitoefening van hun gerechtelijke taken;

    • b) in samenwerking met de FG’s bevorderen van bekendheid met en inzicht in de risico’s, regels, waarborgen en rechten in verband met de verwerking;

    • c) behandelen van klachten van betrokkenen;

    • d) bijhouden van een register van inbreuken op de AVG en de krachtens de Richtlijn vastgestelde bepalingen en de maatregelen die naar aanleiding daarvan zijn getroffen.

Klachten

  • 7. Onverminderd andere voorzieningen in rechte, heeft iedere betrokkene het recht een klacht in te dienen bij de PGHR, indien hij van mening is dat de verwerking door gerechten of het parket bij de Hoge Raad van hem betreffende persoonsgegevens in het kader van de uitoefening van hun gerechtelijke taken inbreuk maakt op de AVG of de krachtens de Richtlijn vastgestelde bepalingen14.

  • 8. De interne klachtenregelingen, gebaseerd op art. 26, 75 lid 6 en art. 120 lid 3 van de Wet op de Rechterlijke Organisatie, kunnen buiten toepassing gelaten worden bij klachten als bedoeld in deze regeling.15

  • 9. Klachten als bedoeld in deze regeling, worden zoveel mogelijk overeenkomstig de bepalingen uit afdeling 1a van Hoofdstuk 2 van de Wet op de Rechterlijke Organisatie behandeld16.

  • 10. Indien de klacht de verwerking van persoonsgegevens betreft die onder de verantwoordelijkheid valt van de PGHR, wordt de klacht behandeld door de plaatsvervangend PGHR17.

  • 11. Op grond van deze regeling kan niet worden geklaagd over de zakelijke inhoud van een rechterlijke beslissing.16

  • 12. Op grond van deze regeling kan niet worden geklaagd over de inhoud van een genomen conclusie of een bij de Hoge Raad ingestelde vordering voor zover de klacht betrekking heeft op een onderwerp waarover de klager een beslissing van de Hoge Raad heeft gevraagd of had kunnen vragen door middel van een reactie op de conclusie of vordering.17

  • 13. Klachten als bedoeld in deze regeling kunnen bij de PGHR ook worden ingediend door het elektronisch invullen en insturen van een door de PGHR ter beschikking gesteld klachtenformulier18.

  • 14. De PGHR kan de FG voor de rechtspraak of het betrokken gerecht en/of een in te stellen college van FG’s of deskundigen verzoeken hem mondeling of schriftelijk inlichtingen te verstrekken of hem te adviseren ten aanzien van een bij hem ingediende klacht19.

  • 15. In iedere fase van de klachtbehandeling kan de PGHR nagaan of de klager door middel van een informele afhandeling van zijn klacht tevreden gesteld kan worden22.

  • 16. De PGHR is niet verplicht een vordering in te stellen bij de Hoge Raad tot het doen van een onderzoek indien de klacht kennelijk ongegrond is of indien het belang van klager dan wel het gewicht van de gedraging kennelijk onvoldoende is20.

  • 17. De PGHR kan ook ambtshalve bij de Hoge Raad een vordering instellen tot het doen van een onderzoek naar de wijze waarop een gerecht of het parket bij de Hoge Raad persoonsgegevens verwerkt in het kader van de uitoefening van zijn gerechtelijke taken 21.

Datalekken

18. Indien een inbreuk op de AVG of de krachtens de Richtlijn vastgestelde bepalingen heeft plaatsgevonden, meldt de verwerkingsverantwoordelijke dit aan de aangewezen FG en de PGHR22.

Jaarverslag

19. De PGHR stelt jaarlijks een verslag over zijn activiteiten op, met daarin mogelijk een lijst van de soorten klachten en gemelde inbreuken en de eventueel ingestelde vorderingen bij de Hoge Raad.23


X Noot
1

De regeling heeft betrekking op de gerechten bedoeld in art. 2 Wet RO (rechtbanken, gerechtshoven en Hoge Raad) en het parket bij de Hoge Raad. De regeling heeft geen betrekking op het toezicht op de verwerking van persoonsgegevens door de bestuursrechtelijke colleges.

X Noot
2

Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming).

X Noot
3

Richtlijn EU 2016/680betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en betreffende het vrije verkeer van die gegevens en tot intrekking van Kaderbesluit 2008/977/JBZ. 4 Zie art. 2 lid 2 onder d AVG.

X Noot
4

Zie preambule AVG onder 20 en preambule Richtlijn onder 80.

X Noot
5

De bevoegdheden van de PGHR zijn gebaseerd op art. 121 en afdeling 1a van H2 van de Wet op de Rechterlijke Organisatie (welke afdeling ingevolge art. 120 lid 4 Wet op de Rechterlijke Organisatie van overeenkomstige toepassing is op leden van het parket bij de Hoge Raad).

X Noot
6

De verenigbaarheid van de nationale invulling van het begrip “gerechtelijke taken” met het unierecht is voorbehouden aan het Hof van Justitie van de Europese Unie.

X Noot
7

Ingevolge art. 25 Besluit orde van dienst gerechten draagt de griffier van de Hoge Raad zorg voor de bij de Hoge Raad in behandeling zijn stukken. Nu de president van de Hoge Raad functioneel leidinggevende is van de griffier (zie art. 1 lid 2 onder c Wrra), wordt de president aangemerkt als verantwoordelijke voor alle verwerkingen van persoonsgegevens die plaatsvinden bij de Hoge Raad in het kader van rechtszaken. Dit geldt dus ook voor verwerkingen door o.a. griffiemedewerkers, bodes en medewerkers van het wetenschappelijk bureau.

X Noot
8

Ten aanzien van verwerkingen in het kader van de uitoefening van gerechtelijke taken die ingevolge de wet zijn toebedeeld aan de PGHR, wordt niet de president, maar de PGHR aangemerkt als verwerkingsverantwoordelijke.

X Noot
9

Deels gebaseerd op art. 31 AVG en art. 26 van de Richtlijn.

X Noot
10

Deels gebaseerd op art. 39 lid 1 AVG en art. 34 van de Richtlijn.

X Noot
11

Op grond van art. 121 Wet RO waakt de PGHR in het bijzonder voor de handhaving en uitvoering van wettelijke voorschriften bij de Hoge Raad, de gerechtshoven en de rechtbanken. Voorts deels gebaseerd op art.

X Noot
12

AVG en 46 van de Richtlijn.

X Noot
13

De hier bedoelde handhaving door de PGHR behelst geen sanctie- of interventiebevoegdheid, maar houdt in dat verwerkingsverantwoordelijken kunnen worden aangesproken en dat eventueel een onderzoek naar de gedraging (wijze van verwerking persoonsgegevens) kan worden gevorderd bij de Hoge Raad met het oog op de vaststelling van de behoorlijkheid van de gedraging. De Hoge Raad kan bij ontvankelijkheid van de vordering beslissen of de gedraging behoorlijk is of onbehoorlijk.

X Noot
14

Deels gebaseerd op art. 77 lid 1 AVG en art. 52 lid 1 van de Richtlijn.

X Noot
15

Dit betekent ook dat de sepotgrond ex art. 13b lid 1 onder b Wet RO buiten toepassing gelaten wordt.16 De Hoge Raad zou in een voorgelegde zaak kunnen beslissen dat klachten over de verwerking van persoonsgegevens niet kunnen worden aangemerkt als klacht als bedoeld in de klachtenregeling ex art. 13a e.a. Wet RO. In dat geval is het aan de wetgever om een regeling te treffen die specifiek is toegesneden op klachten over de verwerking van persoonsgegevens door gerechten (en het parket bij de Hoge Raad) in het kader van de uitoefening van hun gerechtelijke taken.17 Vergelijk art. 120 lid 4 onder a Wet RO.

X Noot
16

In art. 13a Wet RO worden klachten over rechterlijke beslissingen uitgesloten. Voor zover het klachten over de verwerking van persoonsgegevens in rechterlijke beslissingen betreft, is een standaardverwijzing naar het rechtsmiddelenstelsel in het licht van de AVG en de Richtlijn niet adequaat. Van een procespartij kan niet worden verlangd een rechtsmiddel in te stellen tegen een rechterlijke beslissing indien hij slechts bezwaren heeft tegen de verwerking van zijn persoonsgegevens en niet tegen de zakelijke inhoud van de rechterlijke beslissing. Voorts kunnen in de beslissing ook persoonsgegevens zijn verwerkt van derden die geen rechtsmiddel tegen de beslissing kunnen instellen.

X Noot
17

Aangesloten is bij art. 2.4 Klachtenregeling van het parket van de Procureur-Generaal bij de Hoge Raad der Nederlanden.

X Noot
18

Zie art. 57 lid 2 AVG en art. 46 lid 2 van de Richtlijn.

X Noot
19

Vergelijk art. 13b lid 2 Wet RO en art. 11 Model Klachtenregeling Rechtspraak.22 Gebaseerd op art. 4 lid 1 Model Klachtenregeling Rechtspraak.

X Noot
20

De sepotgrond ex art. 13 lid 1 onder c Wet RO is niet van toepassing nu de op art. 26, 75 lid 6 en 120 lid 3 Wet RO gebaseerde interne klachtenregelingen niet hoeven te worden gevolgd. De sepotgrond geformuleerd in dit artikel is deels gebaseerd op art. 7 lid 2 van het Model Klachtenregeling Rechtspraak en sluit aan bij algemene rechtsbeginselen.

X Noot
21

Vergelijk art. 13c Wet RO. Dit is de kern van de handhavingsbevoegdheid van de PGHR.

X Noot
22

Deels gebaseerd op art. 33 lid 1 AVG en 30 lid 1 van de Richtlijn. De artikelen 33 en 34 AVG en 30 en 31 van de Richtlijn zijn op de meldingen van toepassing.

X Noot
23

Mutatis mutandis gebaseerd op art. 59 AVG, 49 van de Richtlijn en art. 14 Model Klachtenregeling Rechtspraak.

Naar boven