Politiegegevens in Europees perspectief

(1)

Politiegegevens in Europees perspectief

Verkennend onderzoek naar de wettelijke regeling voor de verwerking van persoonsgegevens door de politie in een aantal Europese landen, in opdracht van het Wetenschappelijk Onderzoek- en Documentatiecentrum van het ministerie van Justitie.

Den Haag, 16 december 2003 ES&E,

Dr. M.M Egelkamp Mr. A.G. Mein

(2)

Politiegegevens in Europees perspectief

2

Inhoud

1. Inleiding

4

2. Doel en karakter onderzoek

5

2.1 Doelstelling 5 2.2 Karakter onderzoek 5

3. Verantwoording

6 3.1 Vraagstelling 6 3.2 Onderzoeksvragen 6 3.3 Werkwijze 7

4. Overzicht wetgeving

9 4.1 België 9

4.1.1 Algemene uitgangspunten en systematiek 9

4.1.2 De verwerking van gevoelige/bijzondere 10

persoonsgegevens

4.1.3 De verstrekking van persoonsgegevens aan derden 11

4.1.4 De rechten van de betrokkene 11

4.2 Duitsland 11

4.2.1 De situatie op federaal niveau 12

4.2.1.1 Algemene uitgangspunten en systematiek 12

4.2.1.2 De verwerking van gevoelige/bijzondere 13

4.2.1.3 De verstrekking van persoonsgegevens aan derden 14

4.2.1.4 De rechten van de betrokkene 14

4.2.2 De situatie op deelstaatniveau 15

4.2.2.1 Algemene uitgangspunten en systematiek 15

4.2.2.2 De verwerking van gevoelige/bijzondere 15

4.2.2.3De verstrekking van persoonsgegevens aan derden 16

4.2.2.4De rechten van de betrokkene 17

4.3 Engeland 17

4.4 Frankrijk 20

(3)

3

4.5 Italië 21

5. Algemeen beeld

25

Bijlage 1 Geraadpleegde publicaties en websites

Bijlage 2 Overzicht leden klankbordgroep

(4)

4

1. Inleiding

Dit rapport bevat een staalkaart van de wettelijke regelingen voor de verwerking van persoonsgegevens door de politie in een aantal Europese landen. Het onderzoek is eind 2003 door ES&E uitgevoerd in opdracht van het WODC van het ministerie van Justitie. Het rapport is als volgt opgebouwd. Allereerst gaan wij in op het doel en het karakter van het onderzoek: een staalkaart (quick scan) van wettelijke regelingen voor de verwerking van persoonsgegevens door de politie als inspiratiebron voor het wetgevingsproces (hoofdstuk 2). Vervolgens leggen wij verantwoording af over de gevolgde werkwijze (hoofdstuk 3). In hoofdstuk 4 geven wij een gedetailleerd overzicht van de wettelijke regelingen in de onderzochte landen. In het daaropvolgende hoofdstuk schetsen wij het algemene beeld: welke conclusie kunnen worden getrokken? In bijlage 1 volgt een overzicht van

geraadpleegde literatuur en websites. In bijlage 2 volgt een overzicht van de leden van de klankbordgroep en in bijlage 3 staan de relevante wetsartikelen.

(5)

5

2. Doel en karakter onderzoek

In dit hoofdstuk gaan wij kort in op het doel en de reikwijdte van het onderzoek. 2.1 Doelstelling

Het ministerie van Justitie werkt momenteel aan een Wet politiegegevens ter vervanging van de huidige Wet politieregisters1_{(Wpolr). Laatstgenoemde wet blijkt niet meer, of althans}

onvoldoende, te voldoen aan de eisen die in deze tijd worden gesteld aan de verwerking van persoonsgegevens door de politie.

De uitkomst van dit onderzoek naar de wijze waarop de verwerking van persoonsgegevens door de politie in het buitenland wettelijk is geregeld (onder meer uitgangspunten,

systematiek, gebruik persoonsgegevens), dient als een van de inspiratiebronnen voor dit wetgevingsproces.

Bij het ontwikkelen van de bovengenoemde wettelijke regeling wordt tevens rekening gehouden met de (groeiende) behoefte om, in het kader van de internationale politiële samenwerking, persoonsgegevens uit te wisselen. Op basis van de onderzoeksgegevens zou de systematiek van gegevensverwerking in ons land in zekere mate kunnen worden

afgestemd op die in de ons omringende landen.

Mogelijk kan de opbrengst van het onderzoek ook een rol spelen bij het streven van Nederland binnen de Europese Unie (c.q. als voorzitter van de EU) de verwerking van persoonsgegevens door de politie in Europa zoveel mogelijk op elkaar af te stemmen om de Europese politiële samenwerking verder te bevorderen.

2.2 Karakter onderzoek

Het onderzoek heeft het karakter van een quick scan. Het biedt een staalkaart van de in de hieronder genoemde landen gehanteerde wettelijke systematiek voor de verwerking van persoonsgegevens door de politie. De onderzoeksgegevens zullen door de opdrachtgever nader worden geduid en vergeleken.

Het onderzoek omvat de volgende landen: België, Duitsland (deelstaat Schleswig-Holstein), Engeland, Frankrijk en Italië.

1 _{1 Stb. 1990, 414.}

(6)

6

3. Verantwoording

In dit hoofdstuk gaan wij kort in op de vraagstelling en de gehanteerde onderzoeksmethode. Zoals gezegd heeft het onderzoek het karakter van een quick scan. Het heeft een looptijd van twee maanden.

3.1 Vraagstelling

De centrale vraagstelling van het onderzoek luidt als volgt:

Op welke wijze is in België, Duitsland, Engeland, Frankrijk en Italië invulling gegeven aan de verwerking van persoonsgegevens door de politie?

3.2 Onderzoeksvragen

Wij hebben de vraagstelling uitgewerkt in de volgende onderzoeksvragen:

1. a. Kent het betrokken land een apart regime voor de verwerking van persoonsgegevens door de politie? Zo ja, waarom?

b. Zo nee, kan de politie uit de voeten met de algemene regeling voor de verwerking van persoonsgegevens?

c. Hoe wordt in het kader van een dergelijke algemene regeling invulling gegeven aan de behoefte om in het kader van de opsporing van strafbare feiten gegevens van verdachte en onverdachte personen te verwerken?

2. Wordt er een onderscheid gemaakt naar de gevoeligheid van de gegevens, bijvoorbeeld door een categorie bijzondere gegevens te definiëren?

3. a. Wordt een onderscheid gemaakt tussen de opslag van gegevens van verdachte burgers en onverdachte burgers?

b. Worden ook nog andere categorieën personen onderscheiden, bijvoorbeeld getuigen, aangevers, informanten en veroordeelden?

4. Is er een bijzonder regime voor zogenoemde CIE-gegevens?

5. Wordt voor de verwerking van persoonsgegevens een onderscheid gemaakt tussen de handhaving van de openbare orde, de hulpverlening en de opsporing van strafbare feiten?

6. a. Welke bewaartermijnen worden aangehouden voor de door de politie verzamelde gegevens? Waarom?

b. Is er sprake van daadwerkelijke vernietiging van de gegevens na afloop van de bewaartermijnen of worden deze verwijderd dan wel apart gehouden van de persoonsgegevens?

7. a. Hoe is de verstrekking van politiegegevens aan derden geregeld? Is er sprake van een gesloten systeem?

b. Is er sprake van doelbinding, en zo ja, hoe nauwkeurig worden de doelen geformuleerd?

c. Is er een bijzondere regeling voor justitiële gegevens, zoals gegevens betreffende veroordelingen en dergelijke?

(7)

7 9. Kunnen persoonsgegevens die worden verwerkt in een onderzoek naar een strafbaar feit

worden gebruikt voor onderzoek naar niet-gerelateerde andere strafbare feiten? 3.3 Werkwijze

Om de onderzoeksvragen te beantwoorden hebben wij via het internet de volgende informatiebronnen geraadpleegd.

Op basis van een overzicht van de status van de implementatie van Richtlijn 95/46 van het Europees Parlement en de Raad van de Europese Unie betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens2_{op de website van de Europese Unie, hebben wij de} relevante wetgeving verzameld met betrekking tot de bescherming van persoonsgegevens in de te onderzoeken landen.

De onderzochte landen kennen een autoriteit die toeziet op de naleving van de richtlijn c.q. nationale regelgeving terzake. De verschillende websites van deze autoriteit of commissie zijn tevens geraadpleegd. Dit leverde nadere informatie op in de vorm van handleidingen en toelichtingen op de relevante wetgeving. Daarnaast zijn ook websites geraadpleegd van relevante ministeries, universitaire onderzoeksinstituten en politiekorpsen in meergenoemde landen. Dit leverde aanvullende rapporten op. Voor een overzicht zij verwezen naar bijlage 1.

Vervolgens hebben wij de verzamelde gegevens geanalyseerd om aan de hand daarvan de onderzoeksvragen te beantwoorden. Tot slot hebben wij, ter verificatie, een zestal deskundigen uit meergenoemde landen per e-mail een aantal vragen voorgelegd. Deze deskundigen kwamen naar voren uit bovengenoemde Internet-search of zijn door of vanwege de opdrachtgever gesuggereerd.

In de loop van het onderzoek kwam naar voren dat in de onderzochte landen alleen algemene wetgeving van kracht is met betrekking tot de bescherming van

persoons-gegevens. De verwerking van persoonsgegevens met het oog op voorkoming, opsporing en vervolging van strafbare feiten komt hierin alleen in beperkte zin aan de orde. De

onderzochte landen kennen, voor zover wij in het relatief korte tijdsbestek van dit onderzoek hebben kunnen nagaan, geen bijzondere (en gedetailleerde) regelgeving met betrekking tot de verwerking van persoonsgegevens door de politie. Uit informatie van het College Bescherming Persoonsgegevens leiden wij af dat Finland en Zweden wel een dergelijke bijzondere wettelijke regeling kennen.

Een uitzondering hierop vormt Duitsland, waar in het wetboek van strafvordering, de politiewet en een aantal bijzondere (bestuursrechtelijke) wetten specifieke bepalingen zijn opgenomen over de verwerking van persoonsgegevens door de politie (zie paragraaf 4.2). Voor zover wij hebben kunnen nagaan beschikken alleen Finland en Zweden over bijzondere wetgeving voor de verwerking van persoonsgegevens door de politie.

(8)

8 De consequentie hiervan is dat de onderzoeksvragen (die impliciet uitgaan van het systeem van de Nederlandse Wet Politieregisters) niet in detail kunnen worden beantwoord. Wij hebben dan ook, na overleg met de opdrachtgever, gekozen voor een meer algemene thematische beschrijving van de verwerking van persoonsgegevens door de politie (vgl. hoofdstuk 4).

De onderzoeksopzet en het conceptrapport zijn besproken met een klankbordgroep van deskundigen.

(9)

9

4. Overzicht wetgeving

In dit hoofdstuk schetsen wij per land een beeld van de wijze waarop de verwerking van persoonsgegevens door de politie wettelijk is geregeld. Wij schetsen dit beeld aan de hand van een viertal thema’s: algemene beginselen voor de verwerking van persoonsgegevens, de verwerking van gevoelige/bijzondere persoonsgegevens, de verstrekking van persoons-gegevens aan derden en de rechten van de betrokkene.

4.1 België

4.1.1 Algemene uitgangspunten en systematiek

Wettelijk kader

In België is de verwerking persoonsgegevens geregeld in de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoons-gegevens3_{. Deze wet is gewijzigd bij wet van 11 december 1998}4_{ter implementatie van de} EU Richtlijn 95/46. Bij Koninklijk Besluit van 13 februari 20015_{ter uitvoering van} bovengenoemde wet zijn nadere regels gesteld.

Geen apart regime

De wet heeft betrekking op alle vormen van verwerking van persoonsgegevens, door private en publieke organisaties waaronder de politie. België kent geen specifieke wettelijke regeling voor de verwerking van persoonsgegevens door de politie.

Algemene uitgangspunten

De wet benadrukt allereerst het recht van ieder natuurlijk persoon op bescherming van zijn fundamentele rechten en vrijheden, in het bijzonder de bescherming van zijn privacy waar het gaat om de verwerking van zijn persoonsgegevens6_{. De wet hanteert als uitgangspunt} een ‘verplichting tot transparantie’.

Vervolgens wordt, conform de EU Richtlijn, in de wet een aantal algemene uitgangspunten opgesomd, waaraan degene die verantwoordelijk is voor de verwerking van persoons-gegevens zich moet houden7_{. Zo moet de verwerking van persoonsgegevens zorgvuldig,} rechtmatig en transparant plaatsvinden. Ook mogen alleen gegevens worden verwerkt die relevant en noodzakelijk zijn in het licht van het doel waarvoor zij zijn verzameld. Verder mogen persoonsgegevens alleen worden verwerkt voor een specifieke en gerechtvaardigde doelstelling. De persoonsgegevens moeten nauwkeurig zijn en indien nodig bijgewerkt zijn. Ze moeten adequaat worden beschermd tegen misbruik en onder (geclausuleerde) voor-waarde dat betrokkene instemt met de verwerking van de persoonsgegevens. Betrokkene moet instemmen met de verwerking van zijn persoonsgegevens. Zo niet, dan moet er een noodzaak bestaan tot de gegevensverwerking (waaronder de uitvoering van een wettelijke taak of taak van openbaar belang).

3 _{Belgisch Staatsblad 18 maart 1993.} 4 _{Belgisch Staatsblad 3 februari 2001.} 5 _{Belgisch Staatsblad 13 maart 2001.} 6 _{Artikel 2.}

(10)

10 Uitzonderingen

De wet kent echter een aantal uitzonderingen op bovengenoemde algemene uitgangspunten. Zo is de verwerking van persoonsgegevens door overheidsorganen in het kader van de opsporing en vervolging van strafbare feiten en de handhaving van de openbare orde uitgezonderd van het recht op inzage en correctie8_{. In dit opzicht is dus een uitzondering} gemaakt op bovengenoemd beginsel van transparantie in de verwerking van persoons-gegevens.

4.1.2 De verwerking van gevoelige/bijzondere persoonsgegevens

Op grond van de wet mogen gevoelige gegevens in beginsel niet worden verwerkt9_{. Het gaat} dan om gegevens over ras, politieke opvattingen, godsdienstige of levensbeschouwelijke overtuiging, lidmaatschap van een vakvereniging, gezondheid en seksuele geaardheid. Ook gegevens over verdenking, vervolging en strafrechtelijke of ‘bestuursrechtelijke’

veroordelingen worden aangemerkt als gevoelig.

Een uitzondering hierop geldt indien betrokkene daartoe schriftelijke toestemming heeft gegeven of indien de verwerking van deze gevoelige gegevens noodzakelijk is voor bepaalde doelen. Gegevens over verdenking, vervolging en strafrechtelijke of bestuursrechtelijke veroordelingen mogen, in uitzondering op bovenstaande, worden verwerkt door overheids-organen indien dat noodzakelijk is voor de uitoefening van hun (wettelijke) taken.

In bovengenoemd Koninklijk Besluit zijn nadere voorwaarden gesteld ten aanzien van de verwerking van gevoelige persoonsgegevens10_{. Zo moet de verantwoordelijke voor de} verwerking van persoonsgegevens de categorieën van personen aanwijzen die (gevoelige) persoonsgegevens kunnen raadplegen. Er moet een lijst van categorieën van personen worden opgesteld, die zo nauwkeurig mogelijk worden omschreven (toegangsprofielen). Deze personen zijn verplicht het vertrouwelijke karakter van de betrokken gegevens in acht te nemen.

Geen andere bijzondere categorieën

Afgezien van bovengenoemde regeling voor de verwerking van gevoelige persoonsgegevens en de in de vorige paragraaf beschreven uitzonderingen voor de verwerking van persoons-gegevens die samenhangen met strafbare feiten, kent de wet geen bijzondere categorieën persoonsgegevens (bijvoorbeeld persoonsgegevens van getuigen, slachtoffers, aangevers of informanten) of een speciaal regime voor bijzondere gegevens (bijvoorbeeld criminele inlichtingen).

Wel wordt in de Belgische (politie)wetgeving onderscheid gemaakt tussen gerechtelijke en administratieve (bestuurlijke/bestuursrechtelijke) politietaken. Dit onderscheid heeft echter geen betekenis voor de wijze waarop de politie dient om te gaan met persoonsgegevens.

8 _{Artikel 3, paragraaf 5.}

9 _{Artikel 6-8.} 10 _{Artikel 25-27.}

(11)

11 4.1.3 De verstrekking van persoonsgegevens aan derden

Zoals gezegd kent België geen specifieke wettelijke regeling voor de verwerking van persoonsgegevens door de politie. Er bestaat evenmin een bijzonder (gesloten) systeem voor de verstrekking van politiële persoonsgegevens aan derden.

4.1.4 De rechten van de betrokkene

Op basis van de Belgische wet heeft betrokkene onder meer recht op informatie en inzage en het recht op verbetering van de verzamelde persoonsgegevens11_.

In paragraaf 4.1.1 is aangegeven dat er uitzonderingen gelden op het recht op inzage en kennisneming als het gaat om verwerking van persoonsgegevens door overheidsorganen in het kader van de opsporing en vervolging van strafbare feiten en de handhaving van de openbare orde.

Bewaartermijnen

Persoonsgegevens mogen niet langer worden bewaard dan noodzakelijk in relatie tot het doel waarvoor zij zijn verzameld en verwerkt12_{. Daarna moeten zij worden gewist of} geanonimiseerd.

4.2 Duitsland

Voor een goed begrip van de situatie in Duitsland, moet onderscheid worden gemaakt tussen de situatie op federaal niveau en op het niveau van de deelstaten. Voor dit onderzoek hebben wij gekozen voor de deelstaat Schleswig-Holstein. De situatie in deze deelstaat bleek goed gedocumenteerd op internet.

Wettelijk kader

De basis voor de privacyregelingen in Duitsland is het Bundesdatenschutzgesetz (BDSG). Het BDSG regelt het verzamelen en verwerken van persoonsgegevens. De wet geldt voor overheidsinstellingen op federaal niveau alsook op het niveau van de deelstaat, voor zover er op dat niveau geen speciale privacywetgeving bestaat13_{. De meeste deelstaten beschikken} echter over een Landesdatenschutzgesetz (LDSG). De Landesdatenschutzgesetze vormen de basis voor de privacy bescherming in de deelstaten en zijn deels nog verder uitgewerkt in Landesdatenschutzverordnungen (DSVO).

Daarnaast bevatten ook andere wetten bepalingen ter bescherming van de privacy. Zo bevat de Strafprozessordnung (StPO) een aantal bepalingen over de omgang met persoonsgegevens door politie en Openbaar Ministerie. Verder zijn er ook in de federale en deelstatelijke politiewet(ten) en bestuurswetten privacybeschermende regelingen opgenomen en in algemene bestuurswetten (Allgemeines Verwaltungsgesetz14_{, LVwG). Een bijzondere wet in dit}

11 _{Artikel 9-15.}

12 _{Artikel 4, paragraaf 1 sub 5.} 13 _{§ 1 lid 2 BDSG.}

14 _{Bijvoorbeeld voor de deelstaat Holstein, Gesetz- und Verordnungsblatt} Schleswig-Holstein 1992, S. 243.

(12)

12 verband is het ‘Gesetz für das Bundeskriminalamt (BKA) und die Zusammenarbeit des Bundes und Länder in kriminalpolizeilichen Angelegenheiten’ (BKAG)15_.

De BDSG en/of LDSG gelden echter altijd aanvullend als de bijzondere wetten alleen bepaalde specifieke punten regelen. Voor de algemene regelingen moet ook worden gekeken naar de BDSG en/of LDSG.

4.2.1 De situatie op federaal niveau

Voor organisaties op federaal overheidsniveau in Duitsland geldt de BDSG. Het BKA is de enige politie-instelling op federaal niveau en heeft een coördinerende en ondersteunende functie. Het is de nationale centrale voor Interpol, Europol en zaken die verband houden met de uitvoering van het Akkoord van Schengen. Voor de BKA is naast de BKAG, de BDSG en de StPO van toepassing.

4.2.1.1 Algemene uitgangspunten en systematiek Wettelijk kader

Het doel van het BDSG is personen te beschermen tegen inbreuken op hun informationelle Selbstbestimmung. De informationelle Selbstbestimmung is een deel van het grondrecht op persoonlijke vrijheid. Het BDSG bepaalt dat persoonsgegevens alleen mogen worden verzameld en verwerkt op basis van een wettelijke grondslag16_{. Voor het BKA is dit het} BKAG.

Algemene uitgangspunten

Het BDSG bevat een aantal basisprincipes die door de gegevensverwerkende instelling moet worden voldaan. Deze principes zijn onder andere:

- persoonsgegevens mogen alleen worden gebruikt als zij op rechtmatige wijze zijn verkregen17_;

- doelbinding: gegevens mogen alleen worden verzameld en/of verwerkt als de kennis van de gegevens noodzakelijk is voor het vervullen van de taken van de organisatie of instelling18_;

- informatierecht betrokkene: de betrokkene heeft het recht op inzage in de verzamelde gegevens19_;

- correctie van onjuiste gegevens. Uitzonderingen

De basisprincipes uit de BDSG zijn niet volledig toe te passen op de politie. Zo wordt bijvoorbeeld de strikte doelbinding opgeheven als dit nodig is voor de vervolging van misdrijven en overtredingen, voor de strafvordering of om gevaren voor de openbare orde en veiligheid af te weren20_{. Om dezelfde redenen kan ook de inzage worden geweigerd}21_.

15 _{Bundesgesetzblatt Jahrgang 1997 Teil I, Nr. 46.} 16 _{§ 4,1 BDSG.} 17 _{§ 4,1 BDSG.} 18 _{§ 13, § 14 BDSG.} 19 _{§ 4,3, § 6, § 19 BDSG.} 20 _{§ 14,2,6, § 14,2,7 BDSG.} 21 _{§ 19,4 BDSG.}

(13)

13 De StPO

Alle instellingen die met strafvervolging bezig zijn mogen persoonsgegevens van beschul-digden verzamelen, veranderen en gebruiken22_{. Onder bijzondere omstandigheden mogen} ook gegevens van andere personen worden verzameld. Deze regeling is gelijk aan de regeling in het BKAG (zie hieronder).

De BKAG

In juli 1997 trad de BKAG in werking. Omdat het BKAG speciale wetgeving bevat moeten de algemenere regelingen van het BDSG terugtreden. Aanvullend gelden ook voor het BKA de regelingen uit de StPO.

Apart regime voor het BKA

§ 2 BKAG bepaalt dat het BKA een politie-informatiesysteem opbouwt en onderhoudt. Voor dit systeem (Inpol) geldt het BKAG. Inpol bevat niet alleen informatie over de verdachten, maar ook de omstandigheden van het delict en informatie over eventuele getuigen (erkennungsdienstliche Einrichtungen en Sammlungen, zentrale Einrichtungen für die Fahndung nach Personen und Sachen).

De basisprincipes

Ook het BKAG kent het beginsel van de doelbinding. Het BKA is bevoegd persoons-gegevens op te slaan, te veranderen en te gebruiken in zoverre dit noodzakelijk is om de taken als ondersteunende inrichting te vervullen23_{. In het bijzonder gaat het hier om}

persoonsgegevens van de verdachte en andere informatie die geschikt is om de verdachte te identificeren, om de politieorganisatie die met de zaak vertrouwd is (was) en het

dossiernummer, de tijd en de plaats van het delict en de artikelen van het Strafgesetzbuch waarvan hij/zij wordt (werd) verdacht24_{. Andere data over de verdachte mag alleen worden} opgeslagen of gebruikt indien er redenen zijn aan te nemen dat er vanwege de aard en uitvoering van het delict, de persoonlijkheid van de verdachte of andere informatie, verdere strafzaken tegen de verdachte mogelijk zijn25_{. Wordt de beschuldigde vrijgesproken of} wordt de zaak geseponeerd dan mag er geen data van hem meer worden opgeslagen, als in de motivering van de beslissing eenduidig is aangegeven dat de verdachte het delict niet of niet wederrechtelijk heeft gepleegd26_{. Voor het recht op inzage in en/of kennis van de} gegevens door de betrokkene verwijst de BKAG naar het BDSG. De inzage kan worden geweigerd als dit nodig is voor de vervolging van misdrijven en overtredingen, voor de strafvordering of om gevaren voor de openbare orde en veiligheid af te weren27_.

4.2.1.2 De verwerking van gevoelige/bijzondere persoonsgegevens

Zowel het BDSG als het BKAG bevatten enkele regelingen over gevoelige

persoonsgegevens. Hierbij gaat het om gegevens over ras of etnische afkomst, politieke opvattingen, religie of andere levensbeschouwingen,vakbondslidmaatschap, gezondheid, seksuele geaardheid28_{of andere data die onder een beroeps- of ambtsgeheim vallen. Deze} 22 _{§ 484, 1 StPO.} 23 _{§ 7,1 BKAG.} 24 _{§ 8,1 BKAG.} 25 _{§ 8,2 BKAG.} 26 _{§ 8,3BKAG.} 27 _{§ 19,4 BDSG.} 28 _{§ 3,9 BDSG.}

(14)

14 gegevens mogen alleen worden verzameld en gebruikt als dit noodzakelijk is voor de vervolging van misdrijven en overtredingen, voor de strafvordering of om gevaren voor de openbare orde en veiligheid af te weren29_{. Het gebruik ervan is strikt doelgebonden.}

Gegevens van getuigen en derden

Gegevens van (vermoedelijke) getuigen en/of slachtoffers, van informanten of vergelijkbare personen mogen alleen worden opgeslagen, veranderd of gebruikt als dit noodzakelijk is om toekomstige delicten van enige betekenis te verhinderen. Er kunnen persoongegevens van de getuige of informant, de politieorganisatie die met de zaak vertrouwt is, het dossier-nummer en de functie van de persoon in de zaak worden opgeslagen30_{. Persoonsgegevens} van derden31_{mogen alleen worden opgeslagen, veranderd of gebruikt als dit noodzakelijk is} omdat er redenen zijn om aan te nemen dat hierdoor delicten van enige betekenis door deze personen zullen worden gepleegd.

4.2.1.3 De verstrekking van persoonsgegevens aan derden

De politie kan gebruik maken van persoonsgegevens die uit strafzaken voortkomen32_. Onder welke omstandigheden dit geschiedt, regelen de politiewetten. In het BKAG wordt een verschil gemaakt tussen het verstrekken van BKA-data binnen Duitsland en op

internationaal niveau. Binnen Duitsland mag het BKA persoonsgegevens aan andere instellingen doorgeven als dit noodzakelijk is om de taken van het BKA of de ander politie-instelling te kunnen vervullen. Ook aan andere politie-instellingen en organisaties33_{dan politie} kunnen persoonsgegevens worden doorgegeven als dit voor de strafvordering, de volstrekking van een vonnis of om gevaren voor de openbare orde en veiligheid noodzakelijk blijkt34_.

Als derden persoonsgegevens van het BKA gebruiken is er sprake van doelbinding35_{. Op} internationaal niveau mag het BKA gegevens aan politie-instellingen uit andere landen verstrekken als dit noodzakelijk is om zijn eigen taken te vervullen, voor de strafvordering zoals internationale wetten het bepalen of om een gevaar voor de openbare veiligheid af te wenden36_.

4.2.1.4 De rechten van de betrokkene

De betrokkene heeft het recht op inzage in zijn dossiers37_{. Dit recht wordt echter beperkt} door een uitzondering38_{. Hier wordt bepaald dat informaties over verzamelde}

persoonsgegevens niet mogen worden verstrekt als de openbare orde en veiligheid door de verstrekking in gevaar zou kunnen raken.

29 _{§ 13,2 BDSG, § 14,5 BDSG.} 30 _{§ 8,4 BKAG.}

31 _{Onder derden worden hier alle andere personen begrepen, dus niet getuigen/informanten en/of} slachtoffers. De wet spreekt van sonstige Personen, dus zijn alle andere personen bedoeld.

32 _{§ 481 StPO.}

33 _{Dit geldt zowel voor andere overheidsinstellingen, als voor niet-overheidsinstellingen.} 34 _{§ 10,2 BKAG.}

35 _{§ 10,6 BKAG; § 10,7 BKAG.} 36 _{§ 14,1 BKAG.}

37 _{§ 11,5 BKAG, § 19 BDSG.} 38 _{§ 19,4 BDSG.}

(15)

15 Verbetering, verwijderen of blokkering van persoonsgegevens/bewaartermijnen

Gegevens die onjuist zijn moeten worden verbeterd39_{. Ook op onwettelijke manier}

verzamelde gegevens moeten worden verwijderd, net als data die voor de vervulling van de taken niet meer noodzakelijk zijn40_{. Het BKA moet in ieder geval checken of de verzamelde} gegevens nog noodzakelijk zijn41_{. Dit moet uiterlijk bij volwassenen elke tien jaar, bij} jongeren elke vijf jaar en bij kinderen elke twee jaar gebeuren.

4.2.2 De situatie op deelstaatniveau

4.2.2.1 Algemene uitgaanspunten en systematiek Wettelijk kader

Basis voor de verzameling van persoonsgegevens bij de politie-instellingen op deelstaat-niveau is de StPO in verband met de politiewetten en de LDSG en LDSV.

Apart regime

Er is in Schleswig-Holstein sprake van een apart regime voor de verzameling en het gebruik van persoonsgegevens door de politie. Hier zijn echter een aantal kanttekeningen te

plaatsen. Voor de verzameling van gegevens op strafrechtelijk gebied zijn in eerste instantie de regelingen uit de StPO en de LDSG van toepassing. Als het gaat om gegevens die in samenhang met het handhaven van de openbare orde en veiligheid zijn verzameld gelden de politiewet(ten) en de algemene bestuurswet(ten).

De basisprincipes

De LDSG bepaalt onder welke omstandigheden het verwerken42_{van persoonsgegevens} rechtmatig is: steeds wanneer dit voor het vervullen van de wettelijke taak van de instelling noodzakelijk is (doelbinding)43_{. De politie kan dus de data die zij voor de opheldering en} strafvervolging nodig heeft verwerken. Met betrekking op de andere basisprincipes is de LDSG te vergelijken met de BDSG. De LDSG bevat dezelfde regelingen en ook dezelfde uitzonderingen ervan.

4.2.2.2 De verwerking van gevoelige/bijzondere persoonsgegevens

De LDSG bevat een regeling over het verwerken van gevoelige persoonsgegevens.

Hieronder worden gegevens begrepen over ras of etnische afkomst, politieke opvattingen, religie of andere levensbeschouwingen,vakbondslidmaatschap, gezondheid, seksuele geaardheid of andere data die onder een beroeps- of ambtsgeheim vallen. Deze gegevens mogen alleen onder bijzondere omstandigheden worden verzameld, onder anderen als deze gegevens voor die Abwehr von Gefahren für Leben, Gesundheit, persönliche Freiheit oder vergleichbare Rechtsgüter noodzakelijk zijn44_{. Dit geldt ook voor data over strafbare handelingen en} beslissingen in strafzaken45_.

39 _{§ 32, 1 BKAG.}

40 _{§ 32, 2 BKAG.}

41 _{§ 32, 3 BKAG, § 34,8 BKAG.}

42 _{Onder verwerken wordt begrepen: het gebruiken van persoonsgegevens (§ 2 lid 2 LDSG).} 43 _{§ 11 LDSG.}

44 _{§ 11,3,1, no.4 PolG.} 45 _{§ 11,3,2 PolG.}

(16)

16 De StPO

De StPO geeft de strafvervolgingsinstellingen de bevoegdheid om persoonsgegevens te verzamelen, te veranderen en te gebruiken in zoverre als dit voor de vervolging van de (mogelijke) verdachte noodzakelijk is46_{. Daarbij gaat het niet alleen om tegenwoordige} strafzaken maar ook om mogelijke toekomstige47_{. Het gaat dan om persoonsgegevens van} de verdachte en andere kenmerken die een identificatie mogelijk maken, om de verantwoor-delijke politie-instelling en het dossiernummer en de tijd en aard van het delict. Andere data mag alleen worden verzameld als het noodzakelijk lijkt, omdat de betrokkene misschien schuldig zou kunnen zijn aan andere (toekomstige) delicten. De regeling hier is vergelijkbaar met de regeling in het BKAG. De StPO verwijst de politie naar de politiewet(ten)48_.

De Polizeigesetz (PolG) van Schleswig-Holstein

De politie kan persoonsgegevens verzamelen, veranderen en gebruiken in zoverre en zolang als zij deze gegevens nodig heeft om haar taken te kunnen vervullen49_{. Het verzamelen,} veranderen en gebruiken van de persoonsgegevens is doelgebonden, zij mogen dus alleen voor het doel worden gebruikt waarvoor zij in eerste instantie bedoeld waren. Zullen de gegevens voor een ander doel worden gebruikt dan mag dat alleen als ook het verzamelen voor dit doel rechtmatig zou zijn50_.

De LVwG

Ook de LVwG bevat een regeling over het verwerken van verzamelde persoonsgegevens door de politie. Het is van toepassing als de politie ingrijpt om gevaar voor de openbare orde en veiligheid af te wenden51_{. Om dit doel te bereiken kan de politie persoonsgegevens} die in het kader van een opsporingsonderzoek (Ermittlungsverfahren) zijn verzameld opslaan, veranderen en gebruiken als dit noodzakelijk is omdat de verdenking bestaat dat de dader opnieuw een delict zou plegen of een gevaar voor de openbare orde en veiligheid zou opleveren52_.

4.2.2.3 De verstrekking van persoonsgegevens aan derden

De regeling in de LDSG is identiek met de regeling in de BDSG: de wet onderscheidt de verstrekking aan overheids- en particuliere instellingen en verstrekking binnen Duitsland en aan buitenlandse organisaties en/of instellingen. De verstrekking van gegevens aan andere Duitse overheidsinstellingen is in principe onbeperkt mogelijk onder dezelfde voorwaarden die ook voor het verzamelen en het gebruik van de gegevens gelden (doelbinding, kennis-geving aan betrokkene, inzagerecht).53_{Maar ook hier gelden weer de uitzonderingen voor} gegevens die in het kader van een strafrechtelijk onderzoek worden verzameld. Verstrekking aan niet-overheidsinstellingen mag alleen als de instelling een juridisch belang bij de

gegevens heeft en de belangen van de betrokkene hierdoor niet worden gekwetst54_{. Binnen}

46 _{§§ 483 ff. StPO.} 47 _{§ 484 StPO.} 48 _{§§ 481,1 StPO; § 484,4 StPO.} 49 _{§ 1 PolG.} 50 _{§ 2 PolG.} 51 _{§ 168 LVwG.} 52 _{§ 188, § 189,1 LVwG.} 53 _{§ 14 LDSG.} 54 _{§ 15 LDSG.}

(17)

17 de EU gelden voor de verstrekking van gegevens dezelfde regels als binnen Duitsland55_, buiten de EU mogen gegevens alleen worden verstrekt als in het betreffende land een redelijk niveau van privacy bescherming wordt gehanteerd56_.

4.2.2.4 De rechten van de betrokkene

De betrokkenen moeten over het feit dat hun persoonsgegevens worden verwerkt worden geïnformeerd57_{. Er bestaat echter een uitzondering voor onder andere politie-instellingen}58_. Hetzelfde geldt voor het informatierecht van de betrokkene: in principe is de data

verwerkende instelling verplicht op aanvraag van de betrokkene informatie te verstrekken over de verzamelde gegevens59_{. Maar ook dit geldt niet als deze informatie de vervulling van} de taken van de verwerkende instelling in gevaar zou brengen.

Bewaartermijnen

In principe geeft het LDSG geen bewaartermijnen, gegevens zijn te verwijderen zodra het verwerken onrechtmatig wordt of de kennis van de gegevens niet meer noodzakelijk is. Maar het LVwG geeft als speciale regeling wel een bepaalde tijd aan. Informaties die zich op een bepaalde Ermittlungsverfahren betrekken mogen in principe niet langer dan twee jaar worden opgeslagen. Daarna moet opnieuw worden gecheckt hoe de stand van zaken is en of de data nog noodzakelijk zijn60_{. Indien de gegevens nog noodzakelijk blijken te zijn moet} aansluitend een keer per jaar worden gekeken of aan de eisen voor het opslaan van

persoonsgegevens is voldaan. Voor andere persoonsgegevens gelden de volgende termijnen: bij volwassenen moet om de vijf (in bijzondere gevallen tien) jaar, bij jongeren om de vijf jaar en bij kinderen om twee jaar worden gecheckt of de gegevens nog mogen worden bewaard61_.

4.3 Engeland

Wettelijk kader

In het Verenigd Koninkrijk is de verwerking persoonsgegevens geregeld in de Data Protection Act (en daarmee samenhangende lagere regelgeving) uit 1998. De wet is op 1 maart 2000 in werking getreden. De wet dient ter implementatie van de EU Richtlijn 95/46.

Deze wet heeft betrekking op alle vormen van verwerking van persoonsgegevens door private en publieke organisaties, waaronder de politie. Het Verenigd Koninkrijk kent geen specifieke wettelijke regeling voor de verwerking van persoonsgegevens door de politie.

55 _{§16,1 LDSG.} 56 _{§ 16,2 LDSG.} 57 _{§ 26, 1 LDSG.} 58 _{§ 26,2 LDSG.} 59 _{§ 27, 1 LDSG.} 60 _{§ 189,2 LVwG.} 61 _{§ 196 LVwG.}

(18)

18 De Data Protection Principles

De wet kent, conform de richtlijn, acht principes ter bescherming van persoonsgegevens, de Data Protection Principles62_{. De principes zijn in beginsel van toepassing op alle vormen van} verwerking van persoonsgegevens. Diegenen die verantwoordelijk zijn voor de verwerking van persoonsgegevens moeten zich in beginsel aan deze principes houden63_{. Volgens de} principes moeten/mogen persoonsgegevens:

1. op zorgvuldige wijze en rechtmatig worden verwerkt;

2. alleen worden verwerkt voor specifieke en rechtmatige doeleinden (en zullen niet verder worden verwerkt in strijd met die doeleinden);

3. adequaat, relevant en niet disproportioneel zijn, in relatie tot het doel waarvoor zij worden verwerkt;

4. accuraat en zo nodig actueel zijn;

5. niet langer worden bewaard dan nodig voor het doel waarvoor zij worden verwerkt; 6. worden verwerkt met inachtneming van de rechten van betrokkene;

7. worden beveiligd tegen ongeoorloofd of onrechtmatig gebruik;

8. niet worden verstrekt aan derde landen zonder adequate bescherming van de belangen van betrokkene.

In de bijlage bij de wet zijn nadere voorschriften opgenomen met betrekking tot de interpretatie en toepassing van deze principes64_{, waaronder de voorwaarde dat de}

betrokkene instemt met de verwerking van de persoonsgegevens en dat de verwerking van de persoonsgegevens noodzakelijk is in relatie tot met name genoemde doelen, waaronder de rechtspleging en de uitvoering van wettelijk opgedragen taken.

Uitzonderingen

De wet kent echter een aantal uitzonderingen op de toepasselijkheid van bovengenoemde principes. Zo zijn in beginsel uitgezonderd van het eerste en zesde principe (in het bijzonder het inzagerecht) persoonsgegevens die worden verwerkt met het oog op het voorkomen, opsporen en vervolgen van strafbare feiten65_{. Ook de verstrekking van} bovengenoemde persoonsgegevens aan derden is in dit verband (in beginsel) uitgezonderd van het eerste, tweede, derde, vierde en vijfde principe.

Dit betekent dat de Engelse politie bij de verwerking van persoonsgegevens meer speelruimte heeft, doordat zij niet onverkort is gehouden aan alle principes van goed informatiebeheer.

4.3.2 De verwerking van gevoelige/bijzondere persoonsgegevens

De Data Protection Act66_{maakt een onderscheid tussen gewone en gevoelige gegevens.} Persoonsgegevens over ras, etniciteit, politieke overtuiging, godsdienst of levensovertuiging, lidmaatschap van een vakbond, gezondheid en seksuele geaardheid worden aangemerkt als gevoelige persoonsgegevens. Evenals persoonsgegevens over (een verdenking van) het 62 _{Artikel 4 en Schedule 1-4.} 63 _{Artikel 4,4.} 64 _{Schedule 1-4.} 65 _{Artikel 29.} 66 _{Artikel 2.}

(19)

19 begaan van een strafbaar feit en de gegevens over een daarmee samenhangende gerechtelijke procedure.

Voor de verwerking van gevoelige persoonsgegevens gelden zwaardere eisen: er moet sprake zijn van expliciete toestemming dan wel een nauw omschreven noodzaak voor de verwerking van die persoonsgegevens, waaronder de rechtspleging en wettelijk opgedragen taken67_{. Een en ander is nader geregeld in de Sensitive Data Order.}

Geen andere bijzondere categorieën

Afgezien van bovengenoemde regeling voor de verwerking van gevoelige persoonsgegevens en de in de vorige paragraaf beschreven uitzonderingen voor de verwerking van

persoonsgegevens die samenhangen met strafbare feiten, kent de wet geen bijzondere categorieën persoonsgegevens (bijvoorbeeld persoonsgegevens van getuigen, slachtoffer, aangevers of informanten) of een speciaal regime voor bijzondere gegevens (bijvoorbeeld criminele inlichtingen). Evenmin wordt in de wet onderscheid gemaakt tussen verschillende politietaken (handhaving openbare orde, opsporing en hulpverlening).

4.3.3 De verstrekking van persoonsgegevens aan derden

Zoals gezegd kent het Verenigd Koninkrijk geen specifieke wettelijke regeling voor de verwerking van persoonsgegevens door de politie. Er bestaat evenmin een bijzonder (gesloten) systeem voor de verstrekking van politiële persoonsgegevens aan derden. Op basis van het tweede, derde en vijfde principe, voor zover deze van toepassing zijn, moet er wel sprake van zijn van doelbinding en moet bij de verwerking en verstrekking van persoonsgegevens de proportionaliteit en subsidiariteit in acht worden genomen. De doelen zijn echter vrij algemeen geformuleerd.

Op basis van de Data Protection Act heeft betrokkene onder meer het recht op inzage en kennisneming, het recht om verwerking van persoonsgegevens te voorkomen indien hij daardoor schade ondervindt en het recht op correctie, blokkering, verwijdering of vernietiging van persoonsgegevens.

In paragraaf 4.3.1 is aangegeven dat er uitzonderingen gelden op het recht op inzage als het gaat om persoonsgegevens die worden verwerkt met het oog op het voorkomen, opsporen en vervolgen van strafbare feiten.

Bewaartermijnen

Op basis van het vijfde principe mogen persoonsgegevens niet langer worden bewaard dan noodzakelijk in relatie tot het doel waarvoor zij zijn verzameld en verwerkt. In bijzondere regelgeving zijn specifieke bewaartermijnen opgenomen voor persoonsgegevens, zoals de Police and Criminal Evidence Act uit 1984. In de CCTV Code of Pratice van de Information Commissioner zijn aanbevelingen opgenomen voor de bewaartermijn van camerabeelden.

67 _{Schedule 3.}

(20)

20 4.4 Frankrijk

Wettelijk kader

Frankrijk kende als een van de eerste landen in Europa een wettelijke regeling ter

bescherming van de privacy. De Loi 78-17, relative à l’informatique, aux fichiers et aux libertés69 werd al in 1978 opgesteld. In 2002 keurden het parlement en de senaat een nieuwe wet goed, waardoor de wet uit 1978 wordt gewijzigd. Deze nieuwe wet is nog niet in werking getreden.

De Franse wetgeving kent geen apart regime voor de verwerking van persoonsgegevens door de politie. Bovengenoemde privacywetgeving is ook van toepassing op de politie. Algemene uitgangspunten

De Loi 78-17 relative à l’informatique, aux fichiers et aux libertés kent een aantal principes voor de verwerking van persoonsgegevens. Diegenen die verantwoordelijk zijn voor het verzamelen en verwerken van persoonsgegevens moeten zich hieraan houden. Het gaat om de volgende principes:

1. Alleen op rechtmatige wijze verkregen persoonsgegevens mogen worden verwerkt70_. 2. De gegevens mogen alleen worden verzameld en verwerkt voor een bepaald doel en alleen voor dit doel. Zijn de persoonsgegevens niet meer noodzakelijk om dit doel te realiseren, dan mogen zij niet langer worden bewaard.

3. In principe moeten betrokkenen worden geïnformeerd over het verzamelen en verwerken van hun persoonsgegevens71_.

4. Betrokkenen hebben op aanvraag het recht op informatie over de verzamelde en verwerkte persoonsgegevens72_.

Aanvragen van de betrokkene om informatie over persoonsgegevens moeten worden ingediend bij de Commission nationale de l’informatique et de liberte (CNIL)73_{(indirecte toegang).} De CNIL gaat dan na of de persoonsgegevens op een rechtmatige manier zijn verkregen en of het noodzakelijk is dat ze bewaard worden.

Uitzonderingen

De wet kent echter ook een aantal uitzonderingen op deze principes. Zo is het recht van betrokkene op informatie beperkt in gevallen waar het gaat om de veiligheid van de staat of de openbare veiligheid.

4.4.2 De verwerking van gevoelige/bijzondere gegevens

De Loi no. 78-17 maakt onderscheid tussen gewone en gevoelige gegevens.

Persoonsgegevens over ras, politieke, filosofische of religieuze opvattingen mogen niet

69 _{Journal officiel du 7 janvier 1978 et rectificatif au J.O. du 25 janvier 1978.} 70 _{art. 25 loi no. 78-17.}

71 _{art. 27 loi no. 78-17.}

72 _{art. 3 loi no. 78-17, chapitre V loi no. 78-17.}

(21)

21 worden verzameld, verwerkt of bewaard74_{. Een uitzondering hierop geldt om redenen van} algemeen belang. Daarnaast moet de CNIL dit goedkeuren of moet de uitzondering terug te voeren zijn op een richtlijn van de Conseil d'Etat. Een en ander geldt (onder meer) voor specifieke persoonsgegevens, bijvoorbeeld gegevensbestanden van het Reseignements

Généreaux Departement, een specialistische dienst van de Franse politie die zich onder andere bezighoudt met terrorismebestrijding.

De Loi no. 78-17 kent overigens geen bijzondere categorieën van persoonsgegevens. Er wordt dus geen onderscheid gemaakt tussen bijvoorbeeld getuigen, slachtoffers en daders. Wel heeft de CNIL geadviseerd dat slachtoffers het recht zou moeten worden toegekend hun gegevens te laten verwijderen, zodra de verdachte is veroordeeld75_{. In hoeverre dit} advies is opgevolgd, is uit de stukken niet af te leiden.

De Franse privacywetgeving bevat geen regeling over het verstrekken van persoonsgegevens aan derden. Wel geldt het algemene uitgangspunt dat alleen persoonsgegevens mogen worden verstrekt voor zover het doel dit rechtvaardigt (doelbinding). De nieuwe Franse privacywet maakt het mogelijk dat gegevens aan andere EU-landen worden verstrekt. Aan landen die niet beschikken over adequaat regime ter bescherming van persoonsgegevens, mogen geen persoonsgegevens worden verstrekt.

Zoals hierboven al aangegeven, is het recht van betrokkene op informatie over zijn persoonsgegevens beperkt in die gevallen waar de veiligheid van de staat of de openbare veiligheid in het geding is76_.

Bewaartermijnen

De Loi 78-17 relative à l’informatique, aux fichiers et aux libertés kent geen expliciete

bewaartermijnen. De gegevens mogen worden bewaard en gebruikt voor zolang het doel dit rechtvaardigt.

4.5 Italië

Wettelijk kader

In Italië is de bescherming van persoonsgegevens geregeld in de Legge 31 dicembre 1996, n. 675: tutela delle persone e di altri soggetti rispetto al trattemento dei dati personali77_{. Aanvullend gelden} onder andere het:

74 _{art. 31 loi no. 78-17.}

75 _{Gentot, p. 2.} 76 _{art. 39 loi no. 78-17.}

77 _{Wet ter bescherming van natuurlijke en andere rechtspersonen bij de verwerking van} persoonsgegevens.

(22)

22 - decreto legislativo 11 maggio 1999, n. 135: disposisioni integrativa della legge 31 dicembre 1996,

n. 675, sul trattamento di dati sensibili da parte dei soggetti pubblici78_;

- decreto legislativo 30 luglio 1999, n. 281: disposisioni in materia di trattamento deo dati personali per finalita storiche, statistiche e di ricerca scientifica79_;

- decreto legislativo 30 luglio 1999, n.282: disposizione per garantire la riservatezze dei dati personali in ambito sanitario80_.

De Italiaanse wet kent geen specifieke regeling voor de verwerking van persoonsgegevens door de politie. Bovengenoemde wettelijke regelingen zijn ook op de politie van toepassing. Algemene uitgangspunten

De Legge 31 dicembre 1996, n. 675 stelt een aantal basisprincipes voor de verwerking van persoonsgegevens81_:

1. De gegevens moeten naar eer en geweten en op rechtmatige manier worden verwerkt. 2. De gegevens moeten op rechtmatige manier zijn verzameld.

3. Voor de verzameling van persoonsgegevens geldt het vereiste van doelbinding: er mogen alleen gegevens worden verzameld en verwerkt die noodzakelijk zijn om het beoogde doel te bereiken.

4. Verzamelde persoonsgegevens moeten juist zijn en indien nodig worden geactualiseerd.

5. De gegevens moeten zo worden bewaard dat de betrokkene niet kan worden geïdentificeerd als dit niet meer noodzakelijk is om het doel te bereiken. Uitzonderingen

Bovengenoemde wet geldt, met uitzondering van een negental artikelen waarin onder meer bovengenoemde basisprincipes zijn neergelegd, niet voor overheidsinstellingen die

persoonsgegevens verwerken ten behoeve van het voorkomen, opsporen en vervolgen van strafbare feiten82_.

Persoonsgegevens die informatie bevatten over maatregelen die in verband met art. 686 Codice di procedura penale zijn ingesteld, mogen alleen worden verwerkt indien dit door een wettelijke regeling mogelijk wordt gemaakt of door de garante (zie hierna) is toegestaan83_.

Melding van bestanden aan de Commissie voor de bescherming van de privacy (zgn.

garante)

De politie moet het inrichten van een nieuw bestand met persoonsgegevens melden aan de garante84_{. De politie moet melden welke gegevens in het bestand zullen worden opgenomen,}

78 _{Richtlijn over de verwerking van gevoelige persoonsgegevens door overheidsinstellingen.} 79 _{Richtlijn over de verwerking van persoonsgegevens voor statistische, historische of andere}

wetenschappelijke doeleinden.

80 _{Richtlijn over de verwerking van persoonsgegevens in de gezondheidszorg.} 81 _{art. 9 Legge 31 dicembre 1996, n. 675.}

82 _{art. 4, 1e van de Legge 31 dicembre 1996, n. 675.} 83 _{art. 24 Legge 31 dicembre 1996, n. 675.} 84 _{art. 7 Legge 31 dicembre 1996, n. 675.}

(23)

23 het doel en aard van de verwerking, de gebruiker en de verantwoordelijke voor het bestand en eventuele verbindingen met andere bestanden.

4.5.2 De verwerking van gevoelige/bijzondere gegevens

Voor de verwerking van gevoelige persoonsgegevens geldt aanvullend het decreto legislativo 11 maggio 1999, n. 135. Gevoelige persoonsgegevens zijn gegevens over ras of etnische afkomst, religieuze, filosofische of politieke opvattingen, lidmaatschap van een politieke partij, vakbond, vereniging of organisatie met religieuze doeleinden, gezondheid of de seksuele geaardheid85_.

Bovengenoemde wet bepaalt dat deze gegevens niet mogen worden verzameld, verwerkt en gebruikt. Het decreto legislativo 11 maggio 1999, n. 135 geeft aan onder welke voorwaarden hierop uitzonderingen mogelijk zijn. Overheidsinstellingen die de persoonsgegevens verwerken voor onder andere het voorkomen, opsporen en vervolgen van strafbare feiten zijn uitgezonderd.

De Legge 31 dicembre 1996, n. 675 kent overigens geen bijzondere categorieën van persoons-gegevens en maakt dus geen onderscheid tussen persoonspersoons-gegevens van bijvoorbeeld verdachten, getuigen en dergelijke.

Binnen Italië mogen persoonsgegevens in principe alleen aan derden worden verstrekt als de betrokkene daarin toestemt86_{. Dit voorschrift geldt niet voor overheidsinstellingen die} persoonsgegevens verwerken voor het voorkomen, opsporen en vervolgen van strafbare feiten.

De verzameling en/of verwerking van persoonsgegevens door een organisatie is afhankelijk van de toestemming van de betrokkene87_{. De vereiste toestemming is niet nodig voor} persoonsgegevens die worden verwerkt voor het voorkomen, opsporen en vervolgen van strafbare feiten.

De Legge 31 dicembre 1996, n. 675 omvat een informatierecht voor betrokkenen88_{. Ook dit} recht geldt echter niet voor door de politie verzamelde en verwerkte persoonsgegevens. Hetzelfde geldt voor het recht op toegang tot de over een persoon verzamelde gegevens. Ook hier kent de Legge in principe dit recht toe aan betrokkene89_{, maar ook dit geldt niet} voor door de politie verzamelde en verwerkte persoonsgegevens. Wel geeft de wet indirecte toegang tot de persoonsgegevens via de garante90_{. Deze toetst of de verzamelde gegevens} rechtmatig zijn verkregen en volgens de wet worden verwerkt.

85 _{art. 22 Legge 31 dicembre 1996, n. 675.} 86 _{art. 20 Legge 31 dicembre 1996, n. 675.} 87 _{art. 11 Legge 31 dicembre 1996, n. 675.} 88 _{art. 10 Legge 31 dicembre 1996, n. 675.} 89 _{art. 13 Legge 31 dicembre 1996, n. 675.} 90 _{art. 32,6; 32,7 Legge 31 dicembre 1996, n. 675.}

(24)

24 Bewaartermijnen

De Legge 31 dicembre 1996, n. 675 kent geen expliciete bewaartermijnen. De gegevens mogen worden verwerkt en bewaard zolang het doel waarvoor de gegevens zijn verzameld hiertoe aanleiding geeft. De Garante toetst op aanvraag van de betrokkene de naleving van dit voorschrift.

(25)

25

5. Algemeen beeld

In het voorgaande hoofdstuk is de verwerking van persoonsgegevens door de politie thematisch beschreven. In dit afsluitende hoofdstuk schetsen wij een algemeen beeld. In de onderzochte landen wordt gewerkt met een algemene wettelijke regeling voor de bescherming van persoonsgegevens. Er is geen sprake van een bijzondere (formeel)

wettelijke regeling voor de verwerking van persoonsgegevens door de politie. Wel kent men in Duitsland een bijzondere wettelijke regeling voor de verwerking van persoonsgegevens op federaal niveau door het BKA. Daarnaast zijn in Duitsland voor de verwerking van persoonsgegevens door de politie, in strafvorderlijk en bestuursrechtelijk kader, nadere voorschriften gesteld in bijzondere wetten, In de onderzochte landen is geen, met de Wet Politieregisters vergelijkbaar, apart (gesloten) regime van kracht voor de verwerking van persoonsgegevens door de politie.

De onderzochte landen hebben de EU Richtlijn 95/46 geïmplementeerd door, naar het model van de richtlijn, een algemene wettelijke regeling te treffen voor de bescherming van persoonsgegevens (met uitzondering van Frankrijk, waar de daartoe strekkende wettelijke regeling nog in werking moet treden). Met uitzondering van Duitsland (en overigens ook Finland en Zweden), is in de onderzochte landen geen bijzondere (formeel)wettelijke regeling getroffen voor de verwerking van persoonsgegevens door de politie.

Dat wil overigens niet zeggen dat er geen nadere regelingen voor de uitvoeringspraktijk zouden bestaan. Deze zijn in het kader van de beperkte reikwijdte van dit onderzoek echter niet aangetroffen. Mede daardoor hebben wij onvoldoende kunnen nagaan hoe algemene begrippen, zoals doelbinding of gegevensverstrekking aan derden, nader worden ingevuld of hoe ver bepaalde uitzonderingen gaan.

Bovengenoemde algemene wetten kennen, in de geest van de EU Richtlijn 95/46, een aantal algemene beginselen die bij de verwerking van persoonsgegevens in acht moeten worden genomen. Deze algemene beginselen gelden echter niet onverkort als het gaat om de verwerking van persoonsgegevens met het oog op voorkoming, opsporing en vervolging van strafbare feiten. Zo is in het bijzonder het recht op inzage en correctie (in bepaalde mate) uitgezonderd en zijn de waarborgen die in acht moeten worden genomen bij de verstrekking van persoonsgegevens aan derden niet of slechts in beperkt mate van toepassing, indien het gaat om verstrekking met het oog op voorkoming, opsporing en vervolging van strafbare feiten. De richtlijn laat hiertoe overigens de ruimte.

(26)

Bijlagen

Bijlage 1 Geraadpleegde publicaties en websites

In de loop van ons onderzoek hebben wij de volgende publicaties en websites

geraadpleegd. Een deel van die publicaties en websites bevat naar onze mening interessante informatie die mogelijk voor de opdrachtgever ook buiten de context van dit onderzoek bruikbaar zou kunnen zijn.

Publicaties:

- Korff, D.; comparative summary of national laws, EC-study on Implementation of Data Protection Directive, Human Rights Centre, University of Essex, Colchester (UK), September 2002.

- Gerling, R.W.; Der Datenschutzberauftragte und die Polizei: rechtliche Grundlagen der Zusammenarbeit, Max-Planck-Gesellschaft 2003.

- Schmid, C.; Aktenauskunft und Akteneinsicht bei der Berliner Polizei – Betrachtung aus Sicht des Datenschutzes, in: Bürgerrechte und Polizei/CILIP, No. 54 (2) 1996.

- Tuerk, A.; The Protection of Personel Data in the Context of Police and Judical Activities, Paper for the XXII International Conference of Data Protection Commissioners, Venice 2000.

- Gentot, M.; CNIL and Public Security Files, Paper for the Spring Conference of Privacy Protection Commission Members, Seville 2003.

Websites:

- europa.eu.int/comm/internal_market/privacy/law/implementation_en.htm:

website van de EU, met een overzicht van de stand van zaken rond de implementatie van Richtlijn 95/46;

- www.privacy.fgov.be: website van la Commission de la protection de la vie privée in België,

met wetteksten en toelichting;

- www.law.kuleuven.ac.be/icri: website van het Interdisciplinary Centre for Law and IT van

de Katholieke Universiteit Leuven in België, met wetteksten en relevante publicaties;

- www.dataprotection.gov.uk: website van de Information Commissioner in het Verenigd

Koninkrijk, met wetteksten en toelichting;

- www.bfd.bund.de: website van de Bundesbeauftragte für den Datenschutz;

www.bundesdatenschutzbeauftragter.de: website van de Bundesdatenschutzbeauftragte;

- www.rainer-gerling.de: website van een Datenschutzbeauftragte;

- www.hamburg.datenschutz.de: website van de Hamburgische Datenschutzbeauftragte;

- www.ldi.nrw.de: website van de Nordrhein-Westfälische Landesbeauftragte für Datenschutz

und Informationsfreiheit;

- www.datenschutzzentrum.de: website van het Unabhängiges Landeszentrum für

Datenschutz Schleswig-Holstein;

(27)

Bijlagen

- www.garanteprivacy.it: website van de garante, overzicht Italiaanse privacywetgeving;

- www.ambientediritto.it/legislazione/privacy/privacy.htm#nazionale: website met

overzicht Italiaanse privacywetgeving;

- www.legifrance.gouv.fr: website met overzicht Franse privacywetgeving;

- admi.net/cgi-bin/admijo.pl?requete=loi=78-17: publicatie van wetteksten op

internet, waaronder die van de Loi no. 78-17

- www.senat.fr/dossierleg/pjl1-203.htm: website van de Franse senaat: nieuwe

(28)

Bijlagen

Bijlage 2 Overzicht leden klankbordgroep

R.J. Bokhorst Onderzoeker WODC

N.W. Groenhart College Bescherming Persoonsgegevens A. van der Jagt Ministerie van Justitie

directoraat generaal rechtshandhaving, bureau juridische en bestuurlijke aangelegenheden

I. Konijn Ministerie van Binnenlandse Zaken en Koninkrijksrelaties Directie Politie

E.C. Mac Gillavry Ministerie van Justitie Directie Opsporingsbeleid L.P. Mol Lous Ministerie van Justitie

Directie Wetgeving A.H.C. van Oosterhout Ministerie van Justitie

Directie Opsporingsbeleid

T. van der Reijt Ministerie van Binnenlandse Zaken en Koninkrijksrelaties Directie Politie

(29)

Bijlagen

Bijlage 3 overzicht relevante wetsartikelen

België

Wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens.

Art.1

§ 1. Voor de toepassing van deze wet wordt onder “persoonsgegevens” iedere informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon verstaan, hierna “betrokkene” genoemd; als identificeerbaar wordt beschouwd een persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificatienummer of van één of meer specifieke elementen die kenmerkend zijn voor zijn of haar fysieke, fysiologische, psychische, economische, culturele of sociale identiteit.

§ 2. Onder “verwerking” wordt verstaan elke bewerking of elk geheel van bewerkingen met betrekking tot persoonsgegevens, al dan niet uitgevoerd met behulp van geautomatiseerde procédés, zoals het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen,

opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op enigerlei andere wijze ter beschikking stellen, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van persoonsgegevens. § 3. Onder “bestand” wordt verstaan elk gestructureerd geheel van persoonsgegevens die volgens bepaalde criteria toegankelijk zijn, ongeacht of dit geheel gecentraliseerd dan wel gedecentraliseerd is of verspreid op een functioneel of geografisch bepaalde wijze. § 4. Onder “verantwoordelijke voor de verwerking” wordt de natuurlijke persoon of de rechtspersoon, de feitelijke vereniging of het openbaar bestuur verstaan die alleen of samen met anderen het doel en de middelen voor de verwerking van persoonsgegevens bepaalt. Indien het doel en de middelen voor de verwerking door of krachtens een wet, een decreet of een ordonnantie zijn bepaald, is de verantwoordelijke voor de verwerking de natuurlijke persoon, de rechtspersoon, de feitelijke vereniging of het openbaar bestuur die door of krachtens de wet, het decreet of de ordonnantie als de voor de verwerking

verantwoordelijke wordt aangewezen.

§ 5. Onder “verwerker” wordt de natuurlijke persoon, de rechtspersoon, de feitelijke vereniging of het openbaar bestuur verstaan die ten behoeve van de voor de verwerking verantwoordelijke persoonsgegevens verwerkt, met uitsluiting van de personen die onder rechtstreeks gezag van de verantwoordelijke voor de verwerking gemachtigd zijn om de gegevens te verwerken.

§ 6. Onder “derde” wordt de natuurlijke persoon, de rechtspersoon, de feitelijke vereniging of het openbaar bestuur verstaan, niet zijnde de betrokkene, noch de verantwoordelijke voor de verwerking, noch de verwerker, noch de personen die onder rechtstreeks gezag van de verantwoordelijke of de verwerker gemachtigd zijn om de gegevens te verwerken. § 7. Onder “ontvanger” wordt de natuurlijke persoon, de rechtspersoon, de feitelijke vereniging of het openbaar bestuur verstaan, aan wie de gegevens worden meegedeeld, ongeacht of het al dan niet een derde betreft; administratieve of gerechtelijke instanties aan wie gegevens kunnen worden meegedeeld in het kader van een bijzondere

onderzoeksprocedure worden evenwel niet beschouwd als ontvangers.

§ 8. Onder “toestemming van de betrokkene”, wordt elke vrije, specifieke en op informatie berustende wilsuiting verstaan, waarmee de betrokkene of zijn wettelijke vertegenwoordiger aanvaardt dat persoonsgegevens betreffende de betrokkene worden verwerkt.

(30)

Bijlagen

Art. 3

§ 5. De artikelen 9, 10, § 1, en 12 zijn niet van toepassing:

1. op de verwerkingen van persoonsgegevens beheerd door openbare overheden met het oog op de uitoefening van hun opdrachten van gerechtelijke politie;

2. op de verwerkingen van persoonsgegevens beheerd door de politiediensten bedoeld in artikel 3 van de wet van 18 juli 1991 tot regeling van het toezicht op politie- en

inlichtingendiensten, met het oog op de uitoefening van hun opdrachten van bestuurlijke politie;

3. op de verwerkingen van persoonsgegevens beheerd, met het oog op de uitoefening van hun opdrachten van bestuurlijke politie, door andere openbare overheden die aangewezen zijn bij een in Ministerraad overlegd koninklijk besluit, na advies van de Commissie voor de bescherming van de persoonlijke levenssfeer;

4. op de verwerkingen van persoonsgegevens die noodzakelijk zijn geworden ten gevolge van de toepassing van de wet van 11 januari 1993 tot voorkoming van het gebruik van het financiële stelsel voor het witwassen van geld;

5. op de verwerking van persoonsgegevens beheerd door het Vast Comité van Toezicht op de politiediensten en de Dienst Enquêtes ervan met het oog op de uitoefening van hun wettelijke opdrachten.

Art. 4.

§ 1. Persoonsgegevens dienen:

1. eerlijk en rechtmatig te worden verwerkt;

2. voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden te worden verkregen en niet verder te worden verwerkt op een wijze die, rekening houdend met alle relevante factoren, met name met de redelijke verwachtingen van de betrokkene en met de toepasselijke wettelijke en reglementaire bepalingen, onverenigbaar is met die doeleinden. Onder de voorwaarden vastgesteld door de Koning na advies van de Commissie voor de bescherming van de persoonlijke levenssfeer, wordt verdere verwerking van de gegevens voor historische, statistische of wetenschappelijke doeleinden niet als onverenigbaar beschouwd;

3. toereikend, terzake dienend en niet overmatig te zijn, uitgaande van de doeleinden waarvoor zij worden verkregen of waarvoor zij verder worden verwerkt;

4. nauwkeurig te zijn en, zo nodig, te worden bijgewerkt; alle redelijke maatregelen dienen te worden getroffen om de gegevens die, uitgaande van de doeleinden waarvoor zij worden verkregen of waarvoor zij verder worden verwerkt, onnauwkeurig of onvolledig zijn, uit te wissen of te verbeteren;

5. in een vorm die het mogelijk maakt de betrokkenen te identificeren, niet langer te worden bewaard dan voor de verwezenlijking van de doeleinden waarvoor zij worden verkregen of verder worden verwerkt, noodzakelijk is. De Koning voorziet, na advies van de Commissie voor de bescherming van de persoonlijke levenssfeer, in passende waarborgen voor persoonsgegevens die, langer dan hiervoor bepaald, voor historische, statistische of wetenschappelijke doeleinden worden bewaard.

§ 2. Op de verantwoordelijke voor de verwerking rust de plicht om voor de naleving van het bepaalde in § 1 zorg te dragen.

Art. 5. Persoonsgegevens mogen