De European Data Protection Supervisor (EDPS) heeft op 20 januari 2022 zijn advies over twee voorstellen gepubliceerd: één om de EU-lidstaten te machtigen het tweede protocol bij het Verdrag van Boedapest inzake cybercriminaliteit te ondertekenen, en één om de EU-lidstaten te machtigen ditzelfde protocol te bekrachtigen.

Het Verdrag van Boedapest inzake cybercriminaliteit heeft als doel het onderzoek naar en de vervolging van misdrijven, in het bijzonder cybercriminaliteit, te vergemakkelijken door middel van internationale samenwerking. Het tweede protocol bij dit verdrag beoogt de samenwerking tussen wethandhavingsautoriteiten van de verschillende verdragspartijen te verbeteren met het oog op de vergaring van bewijsmateriaal ten behoeve van specifieke strafrechtelijke onderzoeken of procedures. Daarnaast bevat het protocol bepalingen voor rechtstreekse grensoverschrijdende samenwerking tussen rechtshandhavingsinstanties en dienstverleners.

Wojciech Wiewiórowski (EDPS): “Investigating and prosecuting crime is a legitimate aim, for which international cooperation, including the exchange of information, plays an important role. The EU needs sustainable agreements for sharing personal data with non-EU countries for law enforcement purposes. These agreements should be fully compatible with EU law, including the fundamental rights to privacy and data protection.” 

Gezien de risico’s die zijn verbonden aan de verwerking van persoonsgegevens in strafzaken, moeten passende waarborgen worden ingebouwd om te voorkomen dat het door het EU-recht gewaarborgde beschermingsniveau voor personen wordt ondermijnd. Tegen deze achtergrond doet de EDPS in zijn advies over de voorstellen een reeks aanbevelingen.

In zijn huidige vorm zou het protocol niet EU-landen die partij zijn bij het protocol, toestaan dienstverleners in de EU rechtstreeks te verzoeken bepaalde soorten informatie openbaar te maken die een aanzienlijk risico kunnen inhouden voor de fundamentele rechten op privacy- en gegevensbescherming. De EDPS is van mening dat verzoeken om toegang tot specifieke soorten informatie, met name bepaalde soorten toegangsnummers, alleen mogen worden toegestaan als zij worden gericht aan de autoriteiten van de lidstaten en niet rechtstreeks aan de dienstverleners worden toegezonden. Om deze redenen beveelt de EDPS aan dat de EU-lidstaten zich het recht voorbehouden om de bepaling inzake rechtstreekse samenwerking met dienstverleners in dit verband niet toe te passen, teneinde ervoor te zorgen dat in de EU-lidstaten extra waarborgen worden ingebouwd in het toetsingsproces van deze verzoeken.

Om ervoor te zorgen dat verzoeken, die door niet-EU-landen die partij zijn bij het protocol worden gericht aan dienstverrichters in de EU naar behoren worden getoetst, adviseert de EDPS de EU-lidstaten tevens een rechterlijke instantie, of een andere onafhankelijke instantie aan te wijzen om de toetsing uit te voeren.

Tot slot van zijn advies beveelt de EDPS aan de interactie tussen het protocol en andere internationale overeenkomsten, zoals de EU-US Umbrella Agreement, die in plaats van de gegevensbeschermingsbepaling van het protocol zouden kunnen worden toegepast, verder te verduidelijken.

Bron: EDPS