Preamble
The member States of the Council of Europe and the other States Parties to the Convention on Cybercrime (ETS No. 185, hereinafter “the Convention”), opened for signature in Budapest on 23 November 2001, signatories hereto,
Bearing in mind the reach and impact of the Convention in all regions of the world;
Recalling that the Convention is already supplemented by the Additional Protocol concerning the criminalisation of acts of a racist and xenophobic nature committed through computer systems (ETS No. 189), opened for signature in Strasbourg on 28 January 2003 (hereinafter “the First Protocol”), as between Parties to that Protocol;
Taking into account existing Council of Europe treaties on co-operation in criminal matters as well as other agreements and arrangements on co-operation in criminal matters between Parties to the Convention;
Having regard also for the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data (ETS No. 108) as amended by its amending Protocol (CETS No. 223), opened for signature in Strasbourg on 10 October 2018, and to which any State may be invited to accede;
Recognising the growing use of information and communication technology, including internet services, and increasing cybercrime, which is a threat to democracy and the rule of law and which many States also consider a threat to human rights;
Also recognising the growing number of victims of cybercrime and the importance of obtaining justice for those victims;
Recalling that governments have the responsibility to protect society and individuals against crime not only offline but also online, including through effective criminal investigations and prosecutions;
Aware that evidence of any criminal offence is increasingly stored in electronic form on computer systems in foreign, multiple or unknown jurisdictions, and convinced that additional measures are needed to lawfully obtain such evidence in order to enable an effective criminal justice response and to uphold the rule of law;
Recognising the need for increased and more efficient co-operation between States and the private sector, and that in this context greater clarity or legal certainty is needed for service providers and other entities regarding the circumstances in which they may respond to direct requests from criminal justice authorities in other Parties for the disclosure of electronic data;
Aiming, therefore, to further enhance co-operation on cybercrime and the collection of evidence in electronic form of any criminal offence for the purpose of specific criminal investigations or proceedings through additional tools pertaining to more efficient mutual assistance and other forms of co-operation between competent authorities; co-operation in emergencies; and direct co-operation between competent authorities and service providers and other entities in possession or control of pertinent information;
Convinced that effective cross-border co-operation for criminal justice purposes, including between public and private sectors, benefits from effective conditions and safeguards for the protection of human rights and fundamental freedoms;
Recognising that the collection of electronic evidence for criminal investigations often concerns personal data, and recognising the requirement in many Parties to protect privacy and personal data in order to meet their constitutional and international obligations; and
Mindful of the need to ensure that effective criminal justice measures on cybercrime and the collection of evidence in electronic form are subject to conditions and safeguards, which shall provide for the adequate protection of human rights and fundamental freedoms, including rights arising pursuant to obligations that States have undertaken under applicable international human rights instruments, such as the 1950 Convention for the Protection of Human Rights and Fundamental Freedoms (ETS No. 5) of the Council of Europe, the 1966 United Nations International Covenant on Civil and Political Rights, the 1981 African Charter on Human and People’s Rights, the 1969 American Convention on Human Rights and other international human rights treaties;
Have agreed as follows:
The purpose of this Protocol is to supplement:
the Convention as between the Parties to this Protocol; and
the First Protocol as between the Parties to this Protocol that are also Parties to the First Protocol.
Except as otherwise specified herein, the measures described in this Protocol shall be applied:
as between Parties to the Convention that are Parties to this Protocol, to specific criminal investigations or proceedings concerning criminal offences related to computer systems and data, and to the collection of evidence in electronic form of a criminal offence; and
as between Parties to the First Protocol that are Parties to this Protocol, to specific criminal investigations or proceedings concerning criminal offences established pursuant to the First Protocol.
The definitions provided in Articles 1 and 18, paragraph 3, of the Convention apply to this Protocol.
For the purposes of this Protocol, the following additional definitions apply:
“central authority” means the authority or authorities designated under a mutual assistance treaty or arrangement on the basis of uniform or reciprocal legislation in force between the Parties concerned, or, in the absence thereof, the authority or authorities designated by a Party under Article 27, paragraph 2.a, of the Convention;
“competent authority” means a judicial, administrative or other law-enforcement authority that is empowered by domestic law to order, authorise or undertake the execution of measures under this Protocol for the purpose of collection or production of evidence with respect to specific criminal investigations or proceedings;
“emergency” means a situation in which there is a significant and imminent risk to the life or safety of any natural person;
“personal data” means information relating to an identified or identifiable natural person;
“transferring Party” means the Party transmitting the data in response to a request or as part of a joint investigation team or, for the purposes of Chapter II, section 2, a Party in whose territory a transmitting service provider or entity providing domain name registration services is located.
Requests, orders and accompanying information submitted to a Party shall be in a language acceptable to the requested Party or the Party notified under Article 7, paragraph 5, or be accompanied by a translation into such a language.
Orders under Article 7 and requests under Article 6, and any accompanying information shall be:
submitted in a language of the other Party in which the service provider or entity accepts them under comparable domestic process;
submitted in another language acceptable to the service provider or entity; or
accompanied by a translation into one of the languages under paragraphs 2.a or 2.b.
The Parties shall co-operate in accordance with the provisions of this Chapter to the widest extent possible.
Section 2 of this chapter consists of Articles 6 and 7. It provides for procedures enhancing direct co-operation with providers and entities in the territory of another Party. Section 2 applies whether or not there is a mutual assistance treaty or arrangement on the basis of uniform or reciprocal legislation in force between the Parties concerned.
Section 3 of this chapter consists of Articles 8 and 9. It provides for procedures to enhance international co-operation between authorities for the disclosure of stored computer data. Section 3 applies whether or not there is a mutual assistance treaty or arrangement on the basis of uniform or reciprocal legislation in force between the requesting and requested Parties.
Section 4 of this chapter consists of Article 10. It provides for procedures pertaining to emergency mutual assistance. Section 4 applies whether or not there is a mutual assistance treaty or arrangement on the basis of uniform or reciprocal legislation in force between the requesting and requested Parties.
Section 5 of this chapter consists of Articles 11 and 12. Section 5 applies where there is no mutual assistance treaty or arrangement on the basis of uniform or reciprocal legislation in force between the requesting and requested Parties. The provisions of section 5 shall not apply where such treaty or arrangement exists, except as provided in Article 12, paragraph 7. However, the Parties concerned may mutually determine to apply the provisions of section 5 in lieu thereof, if the treaty or arrangement does not prohibit it.
Where, in accordance with the provisions of this Protocol, the requested Party is permitted to make co-operation conditional upon the existence of dual criminality, that condition shall be deemed fulfilled, irrespective of whether its laws place the offence within the same category of offence or denominate the offence by the same terminology as the requesting Party, if the conduct underlying the offence for which assistance is sought is a criminal offence under its laws.
Each Party shall adopt such legislative and other measures as may be necessary to empower its competent authorities, for the purposes of specific criminal investigations or proceedings, to issue a request to an entity providing domain name registration services in the territory of another Party for information in the entity’s possession or control, for identifying or contacting the registrant of a domain name.
Each Party shall adopt such legislative and other measures as may be necessary to permit an entity in its territory to disclose such information in response to a request under paragraph 1, subject to reasonable conditions provided by domestic law.
The request under paragraph 1 shall include:
the date on which the request was issued and the identity and contact details of the competent authority issuing the request;
the domain name about which information is sought and a detailed list of the information sought, including the particular data elements;
a statement that the request is issued pursuant to this Protocol, that the need for the information arises because of its relevance to a specific criminal investigation or proceeding and that the information will only be used for that specific criminal investigation or proceeding; and
the time frame within which and the manner in which to disclose the information and any other special procedural instructions.
If acceptable to the entity, a Party may submit a request under paragraph 1 in electronic form. Appropriate levels of security and authentication may be required.
In the event of non-co-operation by an entity described in paragraph 1, a requesting Party may request that the entity give a reason why it is not disclosing the information sought. The requesting Party may seek consultation with the Party in which the entity is located, with a view to determining available measures to obtain the information.
Each Party shall adopt such legislative and other measures as may be necessary to empower its competent authorities to issue an order to be submitted directly to a service provider in the territory of another Party, in order to obtain the disclosure of specified, stored subscriber information in that service provider’s possession or control, where the subscriber information is needed for the issuing Party’s specific criminal investigations or proceedings.
Each Party shall adopt such legislative and other measures as may be necessary for a service provider in its territory to disclose subscriber information in response to an order under paragraph 1.
At the time of signature of this Protocol or when depositing its instrument of ratification, acceptance or approval, a Party may – with respect to orders issued to service providers in its territory – make the following declaration: “The order under Article 7, paragraph 1, must be issued by, or under the supervision of, a prosecutor or other judicial authority, or otherwise be issued under independent supervision”.
The order under paragraph 1 shall specify:
the issuing authority and date issued;
a statement that the order is issued pursuant to this Protocol;
the name and address of the service provider(s) to be served;
the offence(s) that is/are the subject of the criminal investigation or proceeding;
the authority seeking the specific subscriber information, if not the issuing authority; and
a detailed description of the specific subscriber information sought.
The order under paragraph 1 shall be accompanied by the following supplemental information:
the domestic legal grounds that empower the authority to issue the order;
a reference to legal provisions and applicable penalties for the offence being investigated or prosecuted;
the contact information of the authority to which the service provider shall return the subscriber information, from which it can request further information, or to which it shall otherwise respond;
the time frame within which and the manner in which to return the subscriber information;
whether preservation of the data has already been sought, including the date of preservation and any applicable reference number;
any special procedural instructions;
if applicable, a statement that simultaneous notification has been made pursuant to paragraph 5; and
any other information that may assist in obtaining disclosure of the subscriber information.
A Party may, at the time of signature of this Protocol or when depositing its instrument of ratification, acceptance or approval, and at any other time, notify the Secretary General of the Council of Europe that, when an order is issued under paragraph 1 to a service provider in its territory, the Party requires, in every case or in identified circumstances, simultaneous notification of the order, the supplemental information and a summary of the facts related to the investigation or proceeding.
Whether or not a Party requires notification under paragraph 5.a, it may require the service provider to consult the Party’s authorities in identified circumstances prior to disclosure.
The authorities notified under paragraph 5.a or consulted under paragraph 5.b may, without undue delay, instruct the service provider not to disclose the subscriber information if:
disclosure may prejudice criminal investigations or proceedings in that Party; or
conditions or grounds for refusal would apply under Article 25, paragraph 4, and Article 27, paragraph 4, of the Convention had the subscriber information been sought through mutual assistance.
The authorities notified under paragraph 5.a or consulted under paragraph 5.b:
may request additional information from the authority referred to in paragraph 4.c for the purposes of applying paragraph 5.c and shall not disclose it to the service provider without that authority’s consent; and
shall promptly inform the authority referred to in paragraph 4.c if the service provider has been instructed not to disclose the subscriber information and give the reasons for doing so.
A Party shall designate a single authority to receive notification under paragraph 5.a and perform the actions described in paragraphs 5.b, 5.c and 5.d. The Party shall, at the time when notification to the Secretary General of the Council of Europe under paragraph 5.a is first given, communicate to the Secretary General the contact information of that authority.
The Secretary General of the Council of Europe shall set up and keep updated a register of the authorities designated by the Parties pursuant to paragraph 5.e and whether and under what circumstances they require notification pursuant to paragraph 5.a. Each Party shall ensure that the details that it provides for the register are correct at all times.
If acceptable to the service provider, a Party may submit an order under paragraph 1 and supplemental information under paragraph 4 in electronic form. A Party may provide notification and additional information under paragraph 5 in electronic form. Appropriate levels of security and authentication may be required.
If a service provider informs the authority in paragraph 4.c that it will not disclose the subscriber information sought, or if it does not disclose subscriber information in response to the order under paragraph 1 within thirty days of receipt of the order or the timeframe stipulated in paragraph 4.d, whichever time period is longer, the competent authorities of the issuing Party may then seek to enforce the order only via Article 8 or other forms of mutual assistance. Parties may request that a service provider give a reason for refusing to disclose the subscriber information sought by the order.
A Party may, at the time of signature of this Protocol or when depositing its instrument of ratification, acceptance or approval, declare that an issuing Party shall seek disclosure of subscriber information from the service provider before seeking it under Article 8, unless the issuing Party provides a reasonable explanation for not having done so.
At the time of signature of this Protocol or when depositing its instrument of ratification, acceptance, or approval, a Party may:
reserve the right not to apply this article; or
if disclosure of certain types of access numbers under this article would be inconsistent with the fundamental principles of its domestic legal system, reserve the right not to apply this article to such numbers.
Each Party shall adopt such legislative and other measures as may be necessary to empower its competent authorities to issue an order to be submitted as part of a request to another Party for the purpose of compelling a service provider in the requested Party’s territory to produce specified and stored
subscriber information, and
traffic data
in that service provider’s possession or control which is needed for the Party’s specific criminal investigations or proceedings.
Each Party shall adopt such legislative and other measures as may be necessary to give effect to an order under paragraph 1 submitted by a requesting Party.
In its request, the requesting Party shall submit the order under paragraph 1, the supporting information and any special procedural instructions to the requested Party.
The order shall specify:
the issuing authority and the date the order was issued;
a statement that the order is submitted pursuant to this Protocol;
the name and address of the service provider(s) to be served;
the offence(s) that is/are the subject of the criminal investigation or proceeding;
the authority seeking the information or data, if not the issuing authority; and
a detailed description of the specific information or data sought.
The supporting information, provided for the purpose of assisting the requested Party to give effect to the order and which shall not be disclosed to the service provider without the consent of the requesting Party, shall specify:
the domestic legal grounds that empower the authority to issue the order;
the legal provisions and applicable penalties for the offence(s) being investigated or prosecuted;
the reason why the requesting Party believes that the service provider is in possession or control of the data;
a summary of the facts related to the investigation or proceeding;
the relevance of the information or data to the investigation or proceeding;
contact information of an authority or authorities that may provide further information;
whether preservation of the information or data has already been sought, including the date of preservation and any applicable reference number; and
whether the information has or data have already been sought by other means, and, if so, in what manner.
The requesting Party may request that the requested Party carry out special procedural instructions.
A Party may declare at the time of signature of this Protocol or when depositing its instrument of ratification, acceptance or approval, and at any other time, that additional supporting information is required to give effect to orders under paragraph 1.
The requested Party shall accept requests in electronic form. It may require appropriate levels of security and authentication before accepting the request.
The requested Party, from the date of receipt of all the information specified in paragraphs 3 and 4, shall make reasonable efforts to serve the service provider within forty-five days, if not sooner, and shall order a return of requested information or data no later than:
twenty days for subscriber information; and
forty-five days for traffic data.
The requested Party shall provide for the transmission of the produced information or data to the requesting Party without undue delay.
If the requested Party cannot comply with the instructions under paragraph 3.c in the manner requested, it shall promptly inform the requesting Party, and, if applicable, specify any conditions under which it could comply, following which the requesting Party shall determine whether the request should nevertheless be executed.
The requested Party may refuse to execute a request on the grounds established in Article 25, paragraph 4, or Article 27, paragraph 4, of the Convention or may impose conditions it considers necessary to permit execution of the request. The requested Party may postpone execution of requests for reasons established under Article 27, paragraph 5, of the Convention. The requested Party shall notify the requesting Party as soon as practicable of the refusal, conditions, or postponement. The requested Party shall also notify the requesting Party of other circumstances that are likely to delay execution of the request significantly. Article 28, paragraph 2.b, of the Convention shall apply to this article.
If the requesting Party cannot comply with a condition imposed by the requested Party under paragraph 8, it shall promptly inform the requested Party. The requested Party shall then determine if the information or material should nevertheless be provided.
If the requesting Party accepts the condition, it shall be bound by it. The requested Party that supplies information or material subject to such a condition may require the requesting Party to explain in relation to that condition the use made of such information or material.
Each Party shall, at the time of signature of this Protocol or when depositing its instrument of ratification, acceptance or approval, communicate to the Secretary General of the Council of Europe and keep up to date the contact information of the authorities designated:
to submit an order under this article; and
to receive an order under this article.
A Party may, at the time of signature of this Protocol or when depositing its instrument of ratification, acceptance or approval, declare that it requires that requests by other Parties under this article be submitted to it by the central authority of the requesting Party, or by such other authority as mutually determined between the Parties concerned.
Each Party shall adopt such legislative and other measures as may be necessary, in an emergency, for its point of contact for the 24/7 Network referenced in Article 35 of the Convention (“point of contact”) to transmit a request to and receive a request from a point of contact in another Party seeking immediate assistance in obtaining from a service provider in the territory of that Party the expedited disclosure of specified, stored computer data in that service provider’s possession or control, without a request for mutual assistance.
A Party may, at the time of signature of this Protocol or when depositing its instrument of ratification, acceptance or approval, declare that it will not execute requests under paragraph 1.a seeking only the disclosure of subscriber information.
Each Party shall adopt such legislative and other measures as may be necessary to enable, pursuant to paragraph 1:
its authorities to seek data from a service provider in its territory following a request under paragraph 1;
a service provider in its territory to disclose the requested data to its authorities in response to a request under paragraph 2.a; and
its authorities to provide the requested data to the requesting Party.
The request under paragraph 1 shall specify:
the competent authority seeking the data and date on which the request was issued;
a statement that the request is issued pursuant to this Protocol;
the name and address of the service provider(s) in possession or control of the data sought;
the offence(s) that is/are the subject of the criminal investigation or proceeding and a reference to its legal provisions and applicable penalties;
sufficient facts to demonstrate that there is an emergency and how the data sought relate to it;
a detailed description of the data sought;
any special procedural instructions; and
any other information that may assist in obtaining disclosure of the requested data.
The requested Party shall accept a request in electronic form. A Party may also accept a request transmitted orally and may require confirmation in electronic form. It may require appropriate levels of security and authentication before accepting the request.
A Party may, at the time of signature of this Protocol or when depositing its instrument of ratification, acceptance or approval, declare that it requires requesting Parties, following the execution of the request, to submit the request and any supplemental information transmitted in support thereof, in a format and through such channel, which may include mutual assistance, as specified by the requested Party.
The requested Party shall inform the requesting Party of its determination on the request under paragraph 1 on a rapidly expedited basis and, if applicable, shall specify any conditions under which it would provide the data and any other forms of co-operation that may be available.
If a requesting Party cannot comply with a condition imposed by the requested Party under paragraph 6, it shall promptly inform the requested Party. The requested Party shall then determine whether the information or material should nevertheless be provided. If the requesting Party accepts the condition, it shall be bound by it.
The requested Party that supplies information or material subject to such a condition may require the requesting Party to explain in relation to that condition the use made of such information or material.
Each Party may seek mutual assistance on a rapidly expedited basis where it is of the view that an emergency exists. A request under this article shall include, in addition to the other contents required, a description of the facts that demonstrate that there is an emergency and how the assistance sought relates to it.
A requested Party shall accept such a request in electronic form. It may require appropriate levels of security and authentication before accepting the request.
The requested Party may seek, on a rapidly expedited basis, supplemental information in order to evaluate the request. The requesting Party shall provide such supplemental information on a rapidly expedited basis.
Once satisfied that an emergency exists and the other requirements for mutual assistance have been satisfied, the requested Party shall respond to the request on a rapidly expedited basis.
Each Party shall ensure that a person from its central authority or other authorities responsible for responding to mutual assistance requests is available on a twenty-four hour, seven-day-a-week basis for the purpose of responding to a request under this article.
The central authority or other authorities responsible for mutual assistance of the requesting and requested Parties may mutually determine that the results of the execution of a request under this article, or an advance copy thereof, may be provided to the requesting Party through a channel other than that used for the request.
Where there is no mutual assistance treaty or arrangement on the basis of uniform or reciprocal legislation in force between the requesting and requested Parties, Article 27, paragraphs 2.b and 3 to 8, and Article 28, paragraphs 2 to 4, of the Convention shall apply to this article.
Where such a treaty or arrangement exists, this article shall be supplemented by the provisions of such treaty or arrangement unless the Parties concerned mutually determine to apply any or all of the provisions of the Convention referred to in paragraph 7 of this article, in lieu thereof.
Each Party may, at the time of signature of this Protocol or when depositing its instrument of ratification, acceptance or approval, declare that requests may also be sent directly to its judicial authorities, or through the channels of the International Criminal Police Organization (INTERPOL) or to its 24/7 point of contact established under Article 35 of the Convention. In any such cases, a copy shall be sent at the same time to the central authority of the requested Party through the central authority of the requesting Party. Where a request is sent directly to a judicial authority of the requested Party and that authority is not competent to deal with the request, it shall refer the request to the competent national authority and inform the requesting Party directly that it has done so.
A requesting Party may request, and the requested Party may permit, testimony and statements to be taken from a witness or expert by video conference. The requesting Party and the requested Party shall consult in order to facilitate resolution of any issues that may arise with regard to the execution of the request, including, as applicable: which Party shall preside; the authorities and persons that shall be present; whether one or both Parties shall administer particular oaths, warnings or give instructions to the witness or expert; the manner of questioning the witness or expert; the manner in which the rights of the witness or expert shall be duly ensured; the treatment of claims of privilege or immunity; the treatment of objections to questions or responses; and whether one or both Parties shall provide translation, interpretation and transcription services.
The central authorities of the requested and requesting Parties shall communicate directly with each other for the purposes of this article. A requested Party may accept a request in electronic form. It may require appropriate levels of security and authentication before accepting the request.
The requested Party shall inform the requesting Party of the reasons for not executing or for delaying the execution of the request. Article 27, paragraph 8, of the Convention applies to this article. Without prejudice to any other condition a requested Party may impose in accordance with this article, Article 28, paragraphs 2 to 4, of the Convention apply to this article.
A requested Party providing assistance under this article shall endeavour to obtain the presence of the person whose testimony or statement is sought. Where appropriate the requested Party may, to the extent possible under its law, take the necessary measures to compel a witness or expert to appear in the requested Party at a set time and location.
The procedures relating to the conduct of the video conference specified by the requesting Party shall be followed, except where incompatible with the domestic law of the requested Party. In case of incompatibility, or to the extent that the procedure has not been specified by the requesting Party, the requested Party shall apply the procedure under its domestic law unless otherwise mutually determined by the requesting and requested Parties.
Without prejudice to any jurisdiction under the domestic law of the requesting Party, where in the course of the video conference, the witness or expert:
makes an intentionally false statement when the requested Party has, in accordance with the domestic law of the requested Party, obliged such person to testify truthfully;
refuses to testify when the requested Party has, in accordance with the domestic law of the requested Party, obliged such person to testify; or
commits other misconduct that is prohibited by the domestic law of the requested Party in the course of such proceedings;
the person shall be sanctionable in the requested Party in the same manner as if such act had been committed in the course of its domestic proceedings.
Unless otherwise mutually determined between the requesting Party and the requested Party, the requested Party shall bear all costs related to the execution of a request under this article, except:
the fees of an expert witness;
the costs of translation, interpretation and transcription; and
costs of an extraordinary nature.
If the execution of a request would impose costs of an extraordinary nature, the requesting Party and the requested Party shall consult each other in order to determine the conditions under which the request may be executed.
Where mutually agreed upon by the requesting Party and the requested Party:
the provisions of this article may be applied for the purposes of carrying out audio conferences;
video conferencing technology may be used for purposes, or for hearings, other than those described in paragraph 1, including for the purposes of identifying persons or objects.
By mutual agreement, the competent authorities of two or more Parties may establish and operate a joint investigation team in their territories to facilitate criminal investigations or proceedings, where enhanced coordination is deemed to be of particular utility. The competent authorities shall be determined by the respective Parties concerned.
The procedures and conditions governing the operation of joint investigation teams, such as their specific purposes; composition; functions; duration and any extension periods; location; organisation; terms of gathering, transmitting and using information or evidence; terms of confidentiality; and terms for the involvement of the participating authorities of a Party in investigative activities taking place in another Party’s territory, shall be as agreed between those competent authorities.
A Party may declare at the time of signature of this Protocol or when depositing its instrument of ratification, acceptance, or approval that its central authority must be a signatory to or otherwise concur in the agreement establishing the team.
Those competent and participating authorities shall communicate directly, except that Parties may mutually determine other appropriate channels of communication where exceptional circumstances require more central coordination.
Where investigative measures need to be taken in the territory of one of the Parties concerned, participating authorities from that Party may request their own authorities to take those measures without the other Parties having to submit a request for mutual assistance. Those measures shall be carried out by that Party’s authorities in its territory under the conditions that apply under domestic law in a national investigation.
Use of information or evidence provided by the participating authorities of one Party to participating authorities of other Parties concerned may be refused or restricted in the manner set forth in the agreement described in paragraphs 1 and 2. If that agreement does not set forth terms for refusing or restricting use, the Parties may use the information or evidence provided:
for the purposes for which the agreement has been entered into;
for detecting, investigating and prosecuting criminal offences other than those for which the agreement was entered into, subject to the prior consent of the authorities providing the information or evidence. However, consent shall not be required where fundamental legal principles of the Party using the information or evidence require that it disclose the information or evidence to protect the rights of an accused person in criminal proceedings. In that case, those authorities shall notify the authorities that provided the information or evidence without undue delay; or
to prevent an emergency. In that case, the participating authorities that received the information or evidence shall notify without undue delay the participating authorities that provided the information or evidence, unless mutually determined otherwise.
In the absence of an agreement described in paragraphs 1 and 2, joint investigations may be undertaken under mutually agreed terms on a case-by-case basis. This paragraph applies whether or not there is a mutual assistance treaty or arrangement on the basis of uniform or reciprocal legislation in force between the Parties concerned.
In accordance with Article 15 of the Convention, each Party shall ensure that the establishment, implementation and application of the powers and procedures provided for in this Protocol are subject to conditions and safeguards provided for under its domestic law, which shall provide for the adequate protection of human rights and liberties.
Scope
Except as otherwise provided in paragraphs 1.b and c, each Party shall process the personal data that it receives under this Protocol in accordance with paragraphs 2 to 15 of this article.
If, at the time of receipt of personal data under this Protocol, both the transferring Party and the receiving Party are mutually bound by an international agreement establishing a comprehensive framework between those Parties for the protection of personal data, which is applicable to the transfer of personal data for the purpose of the prevention, detection, investigation and prosecution of criminal offences, and which provides that the processing of personal data under that agreement complies with the requirements of the data protection legislation of the Parties concerned, the terms of such agreement shall apply, for the measures falling within the scope of such agreement, to personal data received under this Protocol in lieu of paragraphs 2 to 15, unless otherwise agreed between the Parties concerned.
If the transferring Party and the receiving Party are not mutually bound under an agreement described in paragraph 1.b, they may mutually determine that the transfer of personal data under this Protocol may take place on the basis of other agreements or arrangements between the Parties concerned in lieu of paragraphs 2 to 15.
Each Party shall consider that the processing of personal data pursuant to paragraphs 1.a and 1.b meets the requirements of its personal data protection legal framework for international transfers of personal data, and no further authorisation for transfer shall be required under that legal framework. A Party may only refuse or prevent data transfers to another Party under this Protocol for reasons of data protection under the conditions set out in paragraph 15 when paragraph 1.a applies; or under the terms of an agreement or arrangement referred to in paragraphs 1.b or c, when one of those paragraphs applies.
Nothing in this article shall prevent a Party from applying stronger safeguards to the processing by its own authorities of personal data received under this Protocol.
Purpose and use
The Party that has received personal data shall process them for the purposes described in Article 2. It shall not further process the personal data for an incompatible purpose, and it shall not further process the data when this is not permitted under its domestic legal framework. This article shall not prejudice the ability of the transferring Party to impose additional conditions pursuant to this Protocol in a specific case, however, such conditions shall not include generic data protection conditions.
The receiving Party shall ensure under its domestic legal framework that personal data sought and processed are relevant to and not excessive in relation to the purposes of such processing.
Quality and integrity
Each Party shall take reasonable steps to ensure that personal data are maintained with such accuracy and completeness and are as up to date as is necessary and appropriate for the lawful processing of the personal data, having regard to the purposes for which they are processed.
Sensitive data
Processing by a Party of personal data revealing racial or ethnic origin, political opinions or religious or other beliefs, or trade union membership; genetic data; biometric data considered sensitive in view of the risks involved; or personal data concerning health or sexual life; shall only take place under appropriate safeguards to guard against the risk of unwarranted prejudicial impact from the use of such data, in particular against unlawful discrimination.
Retention periods
Each Party shall retain the personal data only for as long as necessary and appropriate in view of the purposes of processing the data pursuant to paragraph 2. In order to meet this obligation, it shall provide in its domestic legal framework for specific retention periods or periodic review of the need for further retention of the data.
Automated decisions
Decisions producing a significant adverse effect concerning the relevant interests of the individual to whom the personal data relate may not be based solely on automated processing of personal data, unless authorised under domestic law and with appropriate safeguards that include the possibility to obtain human intervention.
Data security and security incidents
Each Party shall ensure that it has in place appropriate technological, physical and organisational measures for the protection of personal data, in particular against loss or accidental or unauthorised access, disclosure, alteration or destruction (“security incident”).
Upon discovery of a security incident in which there is a significant risk of physical or non- physical harm to individuals or to the other Party, the receiving Party shall promptly assess the likelihood and scale thereof and shall promptly take appropriate action to mitigate such harm. Such action shall include notification to the transferring authority or, for purposes of Chapter II, section 2, the authority or authorities designated pursuant to paragraph 7.c. However, notification may include appropriate restrictions as to the further transmission of the notification; it may be delayed or omitted when such notification may endanger national security, or delayed when such notification may endanger measures to protect public safety. Such action shall also include notification to the individual concerned, unless the Party has taken appropriate measures so that there is no longer a significant risk. Notification to the individual may be delayed or omitted under the conditions set out in paragraph 12.a.i. The notified Party may request consultation and additional information concerning the incident and the response thereto.
Each Party shall, at the time of signature of this Protocol or when depositing its instrument of ratification, acceptance or approval, communicate to the Secretary General of the Council of Europe the authority or authorities to be notified under paragraph 7.b for the purposes of Chapter II, section 2; the information provided may subsequently be modified.
Maintaining records
Each Party shall maintain records or have other appropriate means to demonstrate how an individual’s personal data are accessed, used and disclosed in a specific case.
Onward sharing within a Party
When an authority of a Party provides personal data received initially under this Protocol to another authority of that Party, that other authority shall process it in accordance with this article, subject to paragraph 9.b.
Notwithstanding paragraph 9.a, a Party that has made a reservation under Article 17 may provide personal data it has received to its constituent States or similar territorial entities provided the Party has in place measures in order that the receiving authorities continue to effectively protect the data by providing for a level of protection of the data comparable to that afforded by this article.
In case of indications of improper implementation of this paragraph, the transferring Party may request consultation and relevant information about those indications.
Onward transfer to another State or international organisation
The receiving Party may transfer the personal data to another State or international organisation only with the prior authorisation of the transferring authority or, for purposes of Chapter II, section 2, the authority or authorities designated pursuant to paragraph 10.b.
Each Party shall, at the time of signature of this Protocol or when depositing its instrument of ratification, acceptance or approval, communicate to the Secretary General of the Council of Europe the authority or authorities to provide authorisation for purposes of Chapter II, section 2; the information provided may subsequently be modified.
Transparency and notice
Each Party shall provide notice through the publication of general notices, or through personal notice to the individual whose personal data have been collected, with regard to:
the legal basis for and the purpose(s) of processing;
any retention or review periods pursuant to paragraph 5, as applicable;
recipients or categories of recipients to whom such data are disclosed; and
access, rectification and redress available.
A Party may subject any personal notice requirement to reasonable restrictions under its domestic legal framework pursuant to the conditions set forth in paragraph 12.a.i.
Where the transferring Party’s domestic legal framework requires giving personal notice to the individual whose data have been provided to another Party, the transferring Party shall take measures so that the other Party is informed at the time of transfer regarding this requirement and appropriate contact information. The personal notice shall not be given if the other Party has requested that the provision of the data be kept confidential, where the conditions for restrictions as set out in paragraph 12.a.i apply. Once these restrictions no longer apply and the personal notice can be provided, the other Party shall take measures so that the transferring Party is informed. If it has not yet been informed, the transferring Party is entitled to make requests to the receiving Party which will inform the transferring Party whether to maintain the restriction.
Access and rectification
Each Party shall ensure that any individual, whose personal data have been received under this Protocol is entitled to seek and obtain, in accordance with processes established in its domestic legal framework and without undue delay:
a written or electronic copy of the documentation kept on that individual containing the individual’s personal data and available information indicating the legal basis for and purposes of the processing, retention periods and recipients or categories of recipients of the data (“access”), as well as information regarding available options for redress; provided that access in a particular case may be subject to the application of proportionate restrictions permitted under its domestic legal framework, needed, at the time of adjudication, to protect the rights and freedoms of others or important objectives of general public interest and that give due regard to the legitimate interests of the individual concerned;
rectification when the individual’s personal data are inaccurate or have been improperly processed; rectification shall include – as appropriate and reasonable considering the grounds for rectification and the particular context of processing – correction, supplementation, erasure or anonymisation, restriction of processing, or blocking.
If access or rectification is denied or restricted, the Party shall provide to the individual, in written form which may be provided electronically, without undue delay, a response informing that individual of the denial or restriction. It shall provide the grounds for such denial or restriction and provide information about available options for redress. Any expense incurred in obtaining access should be limited to what is reasonable and not excessive.
Judicial and non-judicial remedies
Each Party shall have in place effective judicial and non-judicial remedies to provide redress for violations of this article.
Oversight
Each Party shall have in place one or more public authorities that exercise, alone or cumulatively, independent and effective oversight functions and powers with respect to the measures set forth in this article. The functions and powers of these authorities acting alone or cumulatively shall include investigation powers, the power to act upon complaints and the ability to take corrective action.
Consultation and suspension
A Party may suspend the transfer of personal data to another Party if it has substantial evidence that the other Party is in systematic or material breach of the terms of this article or that a material breach is imminent. It shall not suspend transfers without reasonable notice, and not until after the Parties concerned have engaged in a reasonable period of consultation without reaching a resolution. However, a Party may provisionally suspend transfers in the event of a systematic or material breach that poses a significant and imminent risk to the life or safety of, or substantial reputational or monetary harm to, a natural person, in which case it shall notify and commence consultations with the other Party immediately thereafter. If the consultation has not led to a resolution, the other Party may reciprocally suspend transfers if it has substantial evidence that suspension by the suspending Party was contrary to the terms of this paragraph. The suspending Party shall lift the suspension as soon as the breach justifying the suspension has been remedied; any reciprocal suspension shall be lifted at that time. Any personal data transferred prior to suspension shall continue to be treated in accordance with this Protocol.
Article 39, paragraph 2, of the Convention shall apply to this Protocol.
With respect to Parties that are members of the European Union, those Parties may, in their mutual relations, apply European Union law governing the matters dealt with in this Protocol.
Paragraph 1.b does not affect the full application of this Protocol between Parties that are members of the European Union and other Parties.
This Protocol shall be open for signature by Parties to the Convention, which may express their consent to be bound by either:
signature without reservation as to ratification, acceptance or approval; or
signature subject to ratification, acceptance or approval, followed by ratification, acceptance or approval.
Instruments of ratification, acceptance or approval shall be deposited with the Secretary General of the Council of Europe.
This Protocol shall enter into force on the first day of the month following the expiration of a period of three months after the date on which five Parties to the Convention have expressed their consent to be bound by this Protocol, in accordance with the provisions of paragraphs 1 and 2 of this article.
In respect of any Party to the Convention which subsequently expresses its consent to be bound by this Protocol, this Protocol shall enter into force on the first day of the month following the expiration of a period of three months after the date on which the Party has expressed its consent to be bound by this Protocol, in accordance with the provisions of paragraphs 1 and 2 of this article.
A federal State may reserve the right to assume obligations under this Protocol consistent with its fundamental principles governing the relationship between its central government and constituent States or other similar territorial entities, provided that:
this Protocol shall apply to the central government of the federal State;
such a reservation shall not affect obligations to provide for the co-operation sought by other Parties in accordance with the provisions of Chapter II; and
the provisions of Article 13 shall apply to the federal State’s constituent States or other similar territorial entities.
Another Party may prevent authorities, providers or entities in its territory from co-operating in response to a request or order submitted directly by the constituent State or other similar territorial entity of a federal State that has made a reservation under paragraph 1, unless that federal State notifies the Secretary General of the Council of Europe that a constituent State or other similar territorial entity applies the obligations of this Protocol applicable to that federal State. The Secretary General of the Council of Europe shall set up and keep updated a register of such notifications.
Another Party shall not prevent authorities, providers, or entities in its territory from co-operating with a constituent State or other similar territorial entity on the grounds of a reservation under paragraph 1, if an order or request has been submitted via the central government or a joint investigation team agreement under Article 12 is entered into with the participation of the central government. In such situations, the central government shall provide for the fulfilment of the applicable obligations of this Protocol, provided that, with respect to the protection of personal data provided to constituent States or similar territorial entities, only the terms of Article 14, paragraph 9, or, where applicable, the terms of an agreement or arrangement described in Article 14, paragraphs 1.b or 1.c, shall apply.
With regard to the provisions of this Protocol, the application of which comes under the jurisdiction of constituent States or other similar territorial entities that are not obliged by the constitutional system of the federation to take legislative measures, the central government shall inform the competent authorities of such States of the said provisions with its favourable opinion, encouraging them to take appropriate action to give them effect.
This Protocol shall apply to the territory or territories specified in a declaration made by a Party under Article 38, paragraphs 1 or 2, of the Convention to the extent that such declaration has not been withdrawn under Article 38, paragraph 3.
A Party may, at the time of signature of this Protocol or when depositing its instrument of ratification, acceptance or approval, declare that this Protocol shall not apply to one or more territories specified in the Party’s declaration under Article 38, paragraphs 1 and/or 2, of the Convention.
A declaration under paragraph 2 of this article may, in respect of any territory specified in such declaration, be withdrawn by a notification addressed to the Secretary General of the Council of Europe. The withdrawal shall become effective on the first day of the month following the expiration of a period of three months after the date of receipt of such notification by the Secretary General.
By a written notification addressed to the Secretary General of the Council of Europe, any Party to the Convention may, at the time of signature of this Protocol or when depositing its instrument of ratification, acceptance or approval, declare that it avails itself of the reservation(s) provided for in Article 7, paragraphs 9.a and 9.b, Article 8, paragraph 13, and Article 17 of this Protocol. No other reservations may be made.
By a written notification addressed to the Secretary General of the Council of Europe, any Party to the Convention may, at the time of signature of this Protocol or when depositing its instrument of ratification, acceptance or approval, make the declaration(s) identified in Article 7, paragraphs 2.b and 8; Article 8, paragraph 11; Article 9, paragraphs 1.b and 5; Article 10, paragraph 9; Article 12, paragraph 3; and Article 18, paragraph 2, of this Protocol.
By a written notification addressed to the Secretary General of the Council of Europe, any Party to the Convention shall make any declaration(s), notifications or communications identified in Article 7, paragraphs 5.a and 5.e; Article 8, paragraphs 4, 10.a and 10.b; Article 14, paragraphs 7.c and 10.b; and Article 17, paragraph 2, of this Protocol according to the terms specified therein.
A Party that has made a reservation in accordance with Article 19, paragraph 1, shall withdraw such reservation, in whole or in part, as soon as circumstances so permit. Such withdrawal shall take effect on the date of receipt of a notification addressed to the Secretary General of the Council of Europe. If the notification states that the withdrawal of a reservation is to take effect on a date specified therein, and such date is later than the date on which the notification is received by the Secretary General, the withdrawal shall take effect on this later date.
The Secretary General of the Council of Europe may periodically enquire of Parties that have made one or more reservations in accordance with Article 19, paragraph 1, as to the prospects for withdrawing such reservation(s).
Amendments to this Protocol may be proposed by any Party to this Protocol and shall be communicated by the Secretary General of the Council of Europe, to the member States of the Council of Europe and to the Parties and signatories to the Convention as well as to any State which has been invited to accede to the Convention.
Any amendment proposed by a Party shall be communicated to the European Committee on Crime Problems (CDPC), which shall submit to the Committee of Ministers its opinion on that proposed amendment.
The Committee of Ministers shall consider the proposed amendment and the opinion submitted by the CDPC and, following consultation with the Parties to the Convention, may adopt the amendment.
Article 45 of the Convention shall apply to this Protocol.
Parties shall periodically assess the effective use and implementation of the provisions of this Protocol. Article 2 of the Cybercrime Convention Committee Rules of Procedure as revised on 16 October 2020 shall apply mutatis mutandis. The Parties shall initially review and may modify by consensus the procedures of that article as they apply to this Protocol five years after the entry into force of this Protocol.
The review of Article 14 shall commence once ten Parties to the Convention have expressed their consent to be bound by this Protocol.
Any Party may, at any time, denounce this Protocol by means of a notification addressed to the Secretary General of the Council of Europe.
Such denunciation shall become effective on the first day of the month following the expiration of a period of three months after the date of receipt of the notification by the Secretary General.
Denunciation of the Convention by a Party to this Protocol constitutes denunciation of this Protocol.
The Secretary General of the Council of Europe shall notify the member States of the Council of Europe, the Parties and signatories to the Convention, and any State which has been invited to accede to the Convention of:
any signature;
the deposit of any instrument of ratification, acceptance or approval;
any date of entry into force of this Protocol in accordance with Article 16, paragraphs 3 and 4;
any declarations or reservations made in accordance with Article 19 or withdrawal of reservations made in accordance with Article 20;
any other act, notification or communication relating to this Protocol.
IN WITNESS WHEREOF the undersigned, being duly authorised thereto, have signed this Protocol.
DONE at Strasbourg on the 12th day of May 2022, in English and in French, both texts being equally authentic, in a single copy which shall be deposited in the archives of the Council of Europe. The Secretary General of the Council of Europe shall transmit certified copies to each member State of the Council of Europe, to the Parties and Signatories to the Convention, and to any State which has been invited to accede to the Convention.
Preambule
De lidstaten van de Raad van Europa en de andere staten die partij zijn bij het Verdrag inzake de bestrijding van strafbare feiten verbonden met elektronische netwerken (ETS nr. 185, hierna „het verdrag” genoemd), op 23 november 2001 te Boedapest opengesteld voor ondertekening, die dit protocol hebben ondertekend,
Indachtig het feit dat het verdrag betrekking heeft op en gevolgen heeft voor alle delen van de wereld;
Eraan herinnerend dat het verdrag reeds is aangevuld met het aanvullend protocol betreffende de strafbaarstelling van handelingen van racistische en xenofobische aard verricht via computersystemen (ETS nr. 189), voor ondertekening opengesteld op 28 januari 2003 te Straatsburg (hierna „het eerste protocol” genoemd), van toepassing tussen de partijen bij dat protocol;
Gezien de bestaande verdragen van de Raad van Europa inzake samenwerking op strafrechtelijk terrein, alsmede andere overeenkomsten en regelingen inzake samenwerking op strafrechtelijk terrein tussen de partijen bij het verdrag;
Gezien tevens het Verdrag tot bescherming van personen met betrekking tot de geautomatiseerde verwerking van persoonsgegevens (ETS nr. 108), gewijzigd bij het Protocol tot wijziging van het Verdrag tot bescherming van personen met betrekking tot de geautomatiseerde verwerking van persoonsgegevens (CETS nr. 223), voor ondertekening opengesteld op 10 oktober 2018 te Straatsburg, waartoe iedere staat kan worden uitgenodigd toe te treden;
Erkennende het toenemende gebruik van informatie- en communicatietechnologieën, met inbegrip van internetdiensten, en de toename van cybercriminaliteit, die een bedreiging vormt voor de democratie en de rechtsstaat en door veel staten ook als bedreiging voor de mensenrechten wordt beschouwd;
Erkennende tevens het groeiende aantal slachtoffers van cybercriminaliteit en het belang om recht te laten geschieden voor die slachtoffers;
Eraan herinnerend dat op overheden de verplichting rust om de samenleving en personen te beschermen tegen misdaad, niet alleen offline maar ook online, onder meer door op doeltreffende wijze strafrechtelijk onderzoek en strafrechtelijke vervolging in te stellen;
Beseffende dat bewijzen van strafbare feiten steeds vaker in elektronische vorm worden opgeslagen op computersystemen in verschillende buitenlandse of onbekende rechtsgebieden, en ervan overtuigd dat aanvullende maatregelen vereist zijn om dergelijke bewijzen rechtmatig te verkrijgen, teneinde strafrechtelijk doeltreffend op te treden en de rechtsstaat te handhaven;
Erkennende dat er behoefte is aan meer en efficiëntere samenwerking tussen staten en de particuliere sector, en dat in dit verband meer duidelijkheid en rechtszekerheid moet worden geboden aan serviceproviders en andere entiteiten met betrekking tot de omstandigheden waarin zij kunnen reageren op rechtstreekse verzoeken van strafrechtelijke autoriteiten in andere partijen om verstrekking van elektronische gegevens;
Strevende derhalve naar verdere versterking van de samenwerking op het gebied van cybercriminaliteit en de vergaring van bewijs in elektronische vorm van enig strafbaar feit met het oog op specifieke strafrechtelijke onderzoeken of procedures door middel van aanvullende instrumenten voor efficiëntere wederzijdse bijstand en andere vormen van samenwerking tussen bevoegde autoriteiten; van de samenwerking in noodsituaties; en van rechtstreekse samenwerking tussen bevoegde autoriteiten en serviceproviders en andere entiteiten die in het bezit zijn van relevante informatie of gerechtigd zijn tot toegang daartoe;
Ervan overtuigd dat doeltreffende grensoverschrijdende samenwerking voor strafrechtelijke doeleinden, ook tussen de openbare en de particuliere sector, baat heeft bij doeltreffende voorwaarden en waarborgen voor de bescherming van de mensenrechten en de fundamentele vrijheden;
Erkennende dat vergaring van elektronisch bewijsmateriaal voor strafrechtelijk onderzoek vaak betrekking heeft op persoonsgegevens, en erkennende dat veel partijen verplicht zijn privacy en persoonsgegevens te beschermen om hun grondwettelijke en internationale verplichtingen na te komen; en
Indachtig de noodzaak ervoor te zorgen dat doeltreffende strafrechtelijke maatregelen tegen cybercriminaliteit en de vergaring van bewijsmateriaal in elektronische vorm onderworpen zijn aan voorwaarden en waarborgen die voorzien in passende bescherming van de mensenrechten en de fundamentele vrijheden, met inbegrip van rechten die voortvloeien uit verplichtingen die staten zijn aangegaan in het kader van toepasselijke internationale mensenrechteninstrumenten, zoals het Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden van 1950 (ETS nr. 5) van de Raad van Europa, het Internationaal Verdrag van de Verenigde Naties inzake burgerrechten en politieke rechten van 1966, het Afrikaans Handvest van de rechten van mensen en volken van 1981, het Amerikaans Verdrag inzake de rechten van de mens van 1969 en andere internationale mensenrechtenverdragen;
Zijn als volgt overeengekomen:
Dit protocol strekt tot aanvulling van:
het verdrag zoals dat tussen de partijen bij dit protocol van toepassing is; en
het eerste protocol zoals dat van toepassing is tussen de partijen bij dit protocol die ook partij zijn bij het eerste protocol.
Tenzij anders bepaald, zijn de in dit protocol omschreven maatregelen van toepassing:
tussen partijen bij het verdrag die partij zijn bij dit protocol: op specifieke strafrechtelijke onderzoeken en procedures die betrekking hebben op strafbare feiten die verband houden met computersystemen en -gegevens, en op de vergaring van bewijs in elektronische vorm van enig strafbaar feit; en
tussen partijen bij het eerste protocol die partij zijn bij dit protocol: op specifieke strafrechtelijke onderzoeken en procedures die betrekking hebben op strafbare feiten zoals vastgesteld krachtens het eerste protocol.
De definities in artikel 1 en artikel 18, lid 3, van het verdrag zijn op dit protocol van toepassing.
Voor de toepassing van dit protocol wordt bovendien verstaan onder:
„centrale autoriteit”: de autoriteit of autoriteiten die krachtens een verdrag of regeling inzake wederzijdse bijstand zijn aangewezen op basis van tussen de betrokken partijen geldende uniforme of wederkerige wetgeving, of, bij gebreke daarvan, de autoriteit of autoriteiten die een partij heeft aangewezen uit hoofde van artikel 27, lid 2, punt a), van het verdrag;
„bevoegde autoriteit”: een gerechtelijke, bestuurlijke of andere rechtshandhavingsinstantie die krachtens het nationale recht bevoegd is om de uitvoering van maatregelen uit hoofde van dit protocol te gelasten, toe te staan of uit te voeren met het oog op het vergaren of verstrekken van bewijsmateriaal met betrekking tot specifieke strafrechtelijke onderzoeken of procedures;
„noodsituatie”: een situatie waarin er een aanzienlijk en imminent risico bestaat voor
het leven of de veiligheid van een natuurlijke persoon;
„persoonsgegevens”: informatie over een geïdentificeerde of identificeerbare natuurlijke persoon;
„doorgevende partij”: de partij die de gegevens doorzendt naar aanleiding van een verzoek of in het kader van een gemeenschappelijk onderzoeksteam of, voor de toepassing van hoofdstuk II, afdeling 2, een partij op het grondgebied waarvan zich een serviceprovider die doorgiftediensten aanbiedt of een entiteit die domeinnaamregistratiediensten aanbiedt, bevindt.
Verzoeken, bevelen en begeleidende informatie die bij een partij worden ingediend, worden gesteld in een taal die aanvaardbaar is voor de aangezochte partij of de partij waaraan overeenkomstig artikel 7, lid 5, kennisgeving wordt gedaan, of gaan vergezeld van een vertaling in een dergelijke taal.
De in artikel 7 bedoelde bevelen en de in artikel 6 bedoelde verzoeken en de begeleidende informatie daarbij:
worden ingediend in een taal van de andere partij waarin de serviceprovider of entiteit vergelijkbare binnenlandse bevelen of verzoeken aanvaardt;
worden ingediend in een andere taal die aanvaardbaar is voor de serviceprovider of entiteit; of
gaan vergezeld van een vertaling in een van de talen als bedoeld in lid 2, punt a) of b).
Afdeling 2 van dit hoofdstuk bestaat uit de artikelen 6 en 7. Zij voorziet in procedures ter versterking van de rechtstreekse samenwerking met serviceproviders en entiteiten op het grondgebied van een andere partij. Afdeling 2 is van toepassing ongeacht of er sprake is van een verdrag of regeling inzake wederzijdse bijstand op basis van uniforme of wederkerige wetgeving tussen de betrokken partijen.
Afdeling 3 van dit hoofdstuk bestaat uit de artikelen 8 en 9. Zij voorziet in procedures ter versterking van de internationale samenwerking tussen autoriteiten bij de verstrekking van opgeslagen computergegevens. Afdeling 3 is van toepassing ongeacht of er sprake is van een verdrag of regeling inzake wederzijdse bijstand op basis van uniforme of wederkerige wetgeving tussen de verzoekende en de aangezochte partij.
Afdeling 4 van dit hoofdstuk bestaat uit artikel 10. Zij voorziet in procedures voor wederzijdse bijstand in noodsituaties. Afdeling 4 is van toepassing ongeacht of er sprake is van een verdrag of regeling inzake wederzijdse bijstand op basis van uniforme of wederkerige wetgeving tussen de verzoekende en de aangezochte partij.
Afdeling 5 van dit hoofdstuk bestaat uit de artikelen 11 en 12. Afdeling 5 is van toepassing wanneer er geen verdrag of regeling inzake wederzijdse bijstand op basis van uniforme of wederkerige wetgeving van kracht is tussen de verzoekende en de aangezochte partij. De bepalingen van afdeling 5 zijn niet van toepassing wanneer een dergelijk verdrag of een dergelijke regeling wel bestaat, behoudens het bepaalde in artikel 12, lid 7. De betrokken partijen kunnen evenwel onderling besluiten de bepalingen van afdeling 5 in plaats daarvan toe te passen, indien het verdrag of de regeling dat niet verbiedt.
Wanneer het de aangezochte partij, in overeenstemming met de bepalingen van dit protocol, is toegestaan medewerking afhankelijk te maken van het bestaan van dubbele strafbaarheid, wordt aan deze voorwaarde geacht te zijn voldaan indien de gedraging die ten grondslag ligt aan het strafbare feit waarvoor om medewerking wordt verzocht, in haar wetgeving wordt aangemerkt als strafbaar feit, ongeacht of het interne recht het strafbare feit al dan niet in dezelfde categorie plaatst of met dezelfde termen aanduidt als het recht van de verzoekende partij.
Iedere partij stelt de nodige wetgevende en andere maatregelen vast om haar bevoegde autoriteiten in het kader van specifieke strafrechtelijke onderzoeken of procedures de bevoegdheid te verlenen een entiteit die op het grondgebied van een andere partij domeinnaamregistratiediensten aanbiedt, te verzoeken informatie te verstrekken die in haar bezit is of tot toegang waartoe zij gerechtigd is, teneinde de registrant van een domeinnaam te identificeren of met die registrant contact op te nemen.
Iedere partij stelt de nodige wetgevende en andere maatregelen vast om een entiteit op haar grondgebied toe te staan dergelijke informatie te verstrekken naar aanleiding van een verzoek uit hoofde van lid 1, met inachtneming van redelijke voorwaarden waarin het nationale recht voorziet.
In het in lid 1 bedoelde verzoek wordt vermeld:
de datum waarop het verzoek is gedaan en de identiteit en de contactgegevens van de bevoegde autoriteit die het verzoek heeft gedaan;
de domeinnaam waarover informatie wordt gevraagd en een gedetailleerde lijst van de gevraagde informatie, met vermelding van de specifieke gegevenselementen;
een verklaring dat het verzoek op grond van dit protocol wordt gedaan, dat de informatie nodig is vanwege het belang ervan voor een bepaald strafrechtelijk onderzoek of een specifieke strafrechtelijke procedure en dat de informatie alleen voor dat specifieke strafrechtelijk onderzoek of die specifieke strafprocedure zal worden gebruikt; en
de termijn waarbinnen en de wijze waarop de informatie openbaar moet worden gemaakt, alsmede eventuele andere bijzondere procedurele instructies.
Indien de instantie daarmee instemt, kan een partij een verzoek uit hoofde van lid 1 in elektronische vorm indienen. Er kan een passend niveau van beveiliging en authenticatie worden vereist.
Indien een entiteit als in lid 1 beschreven geen medewerking verleent, kan de verzoekende partij de entiteit verzoeken te motiveren waarom zij de gevraagde informatie niet verstrekt. De verzoekende partij kan verzoeken om overleg met de partij waar de entiteit is gevestigd, teneinde vast te stellen welke maatregelen getroffen kunnen worden om de informatie te verkrijgen.
Iedere partij deelt bij de ondertekening van het protocol of bij de nederlegging van haar akte van ratificatie, aanvaarding of goedkeuring, of op enig ander tijdstip, de secretaris-generaal van de Raad van Europa de namen en adressen mee van de autoriteiten die voor het in lid 5 bedoelde overleg zijn aangewezen.
Iedere partij stelt de nodige wetgevende en andere maatregelen vast om haar bevoegde autoriteiten de bevoegdheid te verlenen een bevel uit te vaardigen dat rechtstreeks gericht is tot een serviceprovider op het grondgebied van een andere partij, teneinde die serviceprovider gespecificeerde door hem opgeslagen abonnee-informatie te doen verstrekken die in zijn bezit is of tot toegang waartoe hij gerechtigd is, indien die abonnee-informatie nodig is voor specifieke strafrechtelijke onderzoeken of strafprocedures van de uitvaardigende partij.
Iedere partij stelt de wetgevende en andere maatregelen vast die noodzakelijk zijn voor de verstrekking van abonnee-informatie door een serviceprovider op haar grondgebied naar aanleiding van een verzoek uit hoofde van lid 1.
Bij de ondertekening van dit protocol of bij de nederlegging van haar akte van ratificatie, aanvaarding of goedkeuring kan een partij – met betrekking tot bevelen aan serviceproviders op haar grondgebied – de volgende verklaring afleggen: „Het bevel uit hoofde van artikel 7, lid 1, moet worden uitgevaardigd door of onder toezicht van een aanklager of een andere justitiële autoriteit, of anderszins onder onafhankelijk toezicht worden uitgevaardigd.”
In het in lid 1 bedoelde bevel wordt vermeld:
de uitvaardigende autoriteit en de datum van uitvaardiging;
een verklaring dat het bevel uit hoofde van dit protocol is uitgevaardigd;
de naam en het adres van de serviceprovider(s) aan wie het bevel moet worden betekend;
de strafbare feiten waarop het strafrechtelijk onderzoek of de strafprocedure betrekking heeft;
de autoriteit die de specifieke abonnee-informatie opvraagt, indien dat niet de uitvaardigende autoriteit is; en
een gedetailleerde beschrijving van de gevraagde specifieke abonnee-informatie.
Het in lid 1 bedoelde bevel gaat vergezeld van de volgende aanvullende informatie:
de nationale rechtsgrondslagen uit hoofde waarvan de autoriteit bevoegd is het bevel uit te vaardigen;
een verwijzing naar de wettelijke bepalingen en de toepasselijke straffen voor het strafbaar feit dat wordt onderzocht of vervolgd;
de contactgegevens van de autoriteit waaraan de serviceprovider de abonnee-informatie moet toezenden, die hij om nadere informatie kan verzoeken of waaraan hij anderszins antwoord moet geven;
de termijn waarbinnen en de wijze waarop de abonnee-informatie moeten worden toegezonden;
of reeds om bewaring van de gegevens is verzocht, met opgave van de bewaringsdatum en eventuele toepasselijke referentienummers;
eventuele bijzondere procedurele instructies;
indien van toepassing, een verklaring dat de gelijktijdige kennisgeving overeenkomstig lid 5 heeft plaatsgevonden; en
alle andere informatie die van nut kan zijn om de verstrekking van de abonnee-informatie te verkrijgen.
Een partij kan, bij de ondertekening van dit protocol of bij de nederlegging van haar akte van ratificatie, aanvaarding of goedkeuring, en op enig ander tijdstip, de secretaris-generaal van de Raad van Europa ervan kennisgeving doen dat wanneer een bevel overeenkomstig lid 1 is uitgevaardigd aan een serviceprovider op haar grondgebied, de partij, in alle gevallen dan wel in bepaalde omstandigheden, verlangt dat gelijktijdig kennis wordt gegeven van het bevel, de aanvullende informatie en een samenvatting van de feiten in verband met het onderzoek of de procedure.
Ongeacht of een partij een kennisgeving uit hoofde van lid 5, punt a), verlangt, kan zij van de serviceprovider verlangen dat deze de autoriteiten van de partij in bepaalde omstandigheden raadpleegt voorafgaand aan de verstrekking.
De overeenkomstig lid 5, punt a), in kennis gestelde of overeenkomstig lid 5, punt b), geraadpleegde autoriteiten kunnen de serviceprovider onverwijld opdracht geven de abonnee-informatie niet te verstrekken indien:
de verstrekking strafrechtelijke onderzoeken of strafprocedures in die partij in gevaar kan brengen; of
de voorwaarden of gronden voor weigering uit hoofde van artikel 25, lid 4, en artikel 27, lid 4, van het verdrag van toepassing zouden zijn indien de abonnee-informatie via wederzijdse bijstand was opgevraagd.
De overeenkomstig lid 5, punt a), in kennis gestelde of overeenkomstig lid 5, punt b), geraadpleegde autoriteiten:
kunnen de in lid 4, punt c), bedoelde autoriteit ten behoeve van de toepassing van lid 5, punt c), om aanvullende informatie verzoeken en verstrekken deze informatie niet zonder toestemming van die autoriteit aan de serviceprovider; en
stellen de in lid 4, punt c), bedoelde autoriteit onverwijld in kennis indien de serviceprovider opdracht heeft gekregen de abonnee-informatie niet te verstrekken, en geven de redenen daarvoor op.
Een partij wijst één autoriteit aan voor het in ontvangst nemen van kennisgevingen overeenkomstig lid 5, punt a), en het uitvoeren van de maatregelen omschreven in lid 5, punten b), c) en d). Wanneer de partij voor de eerste maal overeenkomstig lid 5, punt a), kennisgeving doet aan de secretaris-generaal van de Raad van Europa, deelt zij de secretaris-generaal de contactgegevens van die autoriteit mee.
De secretaris-generaal van de Raad van Europa zet een register op van de uit hoofde van lid 5, punt e), door de partijen aangewezen autoriteiten en houdt dit bij, en registreert of en zo ja, wanneer kennisgeving is vereist overeenkomstig lid 5, punt a). Iedere partij zorgt ervoor dat de in het register vermelde gegevens te allen tijde juist zijn.
Indien dit voor de serviceprovider aanvaardbaar is, kan een partij bevelen uit hoofde van lid 1 en aanvullende informatie als bedoeld in lid 4 in elektronische vorm indienen. Een partij kan de in lid 5 bedoelde kennisgeving en aanvullende informatie in elektronische vorm verstrekken. Er kan een passend niveau van beveiliging en authenticatie worden vereist.
Indien een serviceprovider de in lid 4, punt c), bedoelde autoriteit meedeelt dat hij de gevraagde abonnee-informatie niet zal verstrekken, of indien hij naar aanleiding van het in lid 1 bedoelde bevel geen abonnee-informatie verstrekt binnen dertig dagen na ontvangst van het bevel of binnen de in lid 4, punt d), vastgestelde termijn, indien deze langer is, kunnen de bevoegde autoriteiten van de uitvaardigende partij het bevel uitsluitend via artikel 8 of andere vormen van wederzijdse bijstand ten uitvoer leggen. Partijen kunnen verlangen dat een serviceprovider de reden vermeldt voor zijn weigering de in het bevel gevraagde abonnee- informatie te verstrekken.
Een partij kan, bij de ondertekening van dit protocol of bij de nederlegging van haar akte van ratificatie, aanvaarding of goedkeuring, verklaren dat een uitvaardigende partij de serviceprovider moet verzoeken om verstrekking van abonnee-informatie alvorens actie te ondernemen om deze informatie overeenkomstig artikel 8 te verkrijgen, tenzij de uitvaardigende partij een redelijke verklaring geeft waarom zij dit niet heeft gedaan.
Bij de ondertekening van dit protocol of bij de nederlegging van haar akte van ratificatie, aanvaarding of goedkeuring kan een partij:
zich het recht voorbehouden dit artikel niet toe te passen; of
indien verstrekking van bepaalde soorten toegangsnummers uit hoofde van dit artikel in strijd zou zijn met de grondbeginselen van haar nationale rechtsstelsel, zich het recht voorbehouden dit artikel niet op dergelijke nummers toe te passen.
Iedere partij stelt de nodige wetgevende en andere maatregelen vast om haar bevoegde autoriteiten de bevoegdheid te verlenen een bevel uit te vaardigen dat in het kader van een verzoek bij een andere partij wordt ingediend teneinde een serviceprovider op het grondgebied van de aangezochte partij te verplichten tot verstrekking van gespecificeerde opgeslagen
abonnee-informatie, en
verkeersgegevens
die in het bezit zijn van die serviceprovider of tot toegang waartoe die serviceprovider gerechtigd is, indien die gegevens noodzakelijk zijn voor een specifiek strafrechtelijk onderzoek of een specifieke strafprocedure van de partij.
Iedere partij stelt de nodige wetgevende en andere maatregelen vast om uitvoering te geven aan een door een verzoekende partij krachtens lid 1 ingediend bevel.
In haar verzoek dient de verzoekende partij het in lid 1 bedoelde bevel, de ondersteunende informatie en eventuele bijzondere procedurele instructies in bij de aangezochte partij.
In het bevel worden de volgende gegevens vermeld:
de uitvaardigende autoriteit en de datum van uitvaardiging van het bevel;
een verklaring dat het bevel uit hoofde van dit protocol wordt ingediend;
de naam en het adres van de serviceprovider(s) aan wie het bevel moet worden betekend;
de strafbare feiten waarop het strafrechtelijk onderzoek of de strafprocedure betrekking heeft;
de autoriteit die de informatie of de gegevens opvraagt, indien dat niet de uitvaardigende autoriteit is; en
een gedetailleerde beschrijving van de gevraagde specifieke informatie of gegevens.
In de ondersteunende informatie, die wordt verstrekt om de aangezochte partij te helpen uitvoering te geven aan het bevel en die niet zonder toestemming van de verzoekende partij aan de serviceprovider mag worden verstrekt, wordt het volgende vermeld:
de nationale rechtsgrondslagen uit hoofde waarvan de autoriteit bevoegd is het bevel uit te vaardigen;
de wettelijke bepalingen en de toepasselijke straffen voor het strafbaar feit dat wordt onderzocht of vervolgd;
de reden waarom de verzoekende partij van mening is dat de serviceprovider in het bezit is van de gegevens of gerechtigd is tot toegang daartoe;
een samenvatting van de feiten in verband met het onderzoek of de procedure;
de relevantie van de informatie of gegevens voor het onderzoek of de procedure;
de contactgegevens van de autoriteit of autoriteiten die nadere informatie kunnen verstrekken;
of reeds om bewaring van de informatie of gegevens is verzocht, met opgave van de bewaringsdatum en eventuele toepasselijke referentienummers; en
of de informatie of de gegevens al op andere wijze zijn opgevraagd, en zo ja, op welke wijze.
De verzoekende partij kan de aangezochte partij verzoeken bijzondere procedurele instructies uit te voeren.
Een partij kan bij de ondertekening van dit protocol of bij de nederlegging van haar akte van ratificatie, aanvaarding of goedkeuring en op enig ander tijdstip verklaren dat aanvullende ondersteunende informatie vereist is om uitvoering te gegeven aan bevelen als bedoeld in lid 1.
De aangezochte partij aanvaardt verzoeken in elektronische vorm. Zij mag een passend niveau van beveiliging en authenticatie vereisen alvorens het verzoek te aanvaarden.
Vanaf de datum waarop de aangezochte partij alle in de leden 3 en 4 genoemde informatie heeft ontvangen, levert zij redelijke inspanningen om de serviceprovider binnen vijfenveertig dagen, zo niet eerder, van dienst te zijn, en gelast zij de toezending van de gevraagde informatie of gegevens binnen:
twintig dagen voor abonnee-informatie; en
vijfenveertig dagen voor verkeersgegevens.
De aangezochte partij zorgt ervoor dat de te verstrekken informatie of gegevens onverwijld aan de verzoekende partij worden toegezonden.
Indien de aangezochte partij de in lid 3, punt c), bedoelde instructies niet op de gevraagde wijze kan opvolgen, stelt zij de verzoekende partij daarvan onverwijld in kennis en geeft zij, indien van toepassing, aan onder welke voorwaarden zij aan het verzoek zou kunnen voldoen, waarna de verzoekende partij bepaalt of het verzoek toch moet worden uitgevoerd.
De aangezochte partij mag weigeren een verzoek uit te voeren op de gronden die zijn vastgesteld in artikel 25, lid 4, of artikel 27, lid 4, van het verdrag, of kan voorwaarden opleggen die zij noodzakelijk acht om uitvoering van het verzoek mogelijk te maken. De aangezochte partij mag de uitvoering van verzoeken uitstellen om redenen die uit hoofde van artikel 27, lid 5, van het verdrag zijn vastgesteld. De aangezochte partij stelt de verzoekende partij zo spoedig mogelijk in kennis van de weigering, de voorwaarden of het uitstel. De aangezochte partij stelt de verzoekende partij tevens in kennis van andere omstandigheden die de uitvoering van het verzoek aanzienlijk kunnen vertragen. Artikel 28, lid 2, punt b), van het verdrag is van toepassing op dit artikel.
Indien de verzoekende partij niet kan voldoen aan een door de aangezochte partij uit hoofde van lid 8 opgelegde voorwaarde, stelt zij de aangezochte partij daarvan onverwijld in kennis. De aangezochte partij bepaalt vervolgens of de informatie of het materiaal toch moet worden verstrekt.
Indien de verzoekende partij de voorwaarde aanvaardt, is zij daardoor gebonden. Een aangezochte partij die informatie of materiaal verstrekt waarvoor een dergelijke voorwaarde geldt, kan van de verzoekende partij, met betrekking tot die voorwaarde, nadere uitleg verlangen omtrent het gebruik dat van deze informatie of van dit materiaal is gemaakt.
Iedere partij deelt bij de ondertekening van het protocol of bij de nederlegging van haar akte van ratificatie, aanvaarding of goedkeuring de secretaris-generaal van de Raad van Europa de contactgegevens en alle wijzigingen daarvan mee van de autoriteiten die zijn aangewezen:
voor het indienen van een bevel krachtens dit artikel; en
voor het in ontvangst nemen van een bevel uit hoofde van dit artikel.
Een partij kan bij de ondertekening van dit protocol of bij de nederlegging van haar akte van ratificatie, aanvaarding of goedkeuring verklaren dat zij verlangt dat verzoeken van andere partijen uit hoofde van dit artikel bij haar worden ingediend door de centrale autoriteit van de verzoekende partij of door een andere autoriteit die in onderling overleg door de betrokken partijen is vastgesteld.
Iedere partij stelt de wetgevende en andere maatregelen vast die in een noodsituatie nodig kunnen zijn om haar contactpunt voor het 24/7 netwerk als bedoeld in artikel 35 van het verdrag (hierna „contactpunt”) in staat te stellen om, zonder een verzoek om wederzijdse bijstand, een verzoek door te zenden naar en te ontvangen van een contactpunt in een andere partij dat onmiddellijke bijstand vraagt om van een serviceprovider op het grondgebied van die partij spoedverstrekking te verkrijgen van gespecificeerde opgeslagen computergegevens die in het bezit zijn van die serviceprovider of tot toegang waartoe die serviceprovider gerechtigd is.
Een partij kan bij de ondertekening van dit protocol of bij de nederlegging van haar akte van ratificatie, aanvaarding of goedkeuring verklaren dat zij geen gevolg zal geven aan verzoeken als bedoeld in lid 1, punt a), die uitsluitend de verstrekking van abonnee-informatie betreffen.
Iedere partij stelt de nodige wetgevende en andere maatregelen vast om uit hoofde van lid 1:
haar autoriteiten in staat te stellen naar aanleiding van een verzoek uit hoofde van lid 1 gegevens op te vragen bij een serviceprovider op haar grondgebied;
een serviceprovider op haar grondgebied in staat te stellen de gevraagde gegevens te verstrekken aan haar autoriteiten naar aanleiding van een verzoek uit hoofde van lid 2, punt a); en
haar autoriteiten in staat te stellen de gevraagde gegevens aan de verzoekende partij te verstrekken.
In het in lid 1 bedoelde verzoek wordt vermeld:
de bevoegde autoriteit die de gegevens opvraagt en de datum waarop het verzoek is gedaan;
een verklaring dat het verzoek krachtens dit protocol is uitgevaardigd;
de naam en het adres van de serviceprovider of serviceproviders die in het bezit is of zijn van de gevraagde gegevens of tot toegang daartoe gerechtigd is of zijn;
het strafbare feit of de strafbare feiten die het voorwerp uitmaken van het strafrechtelijk onderzoek of de strafprocedure en een verwijzing naar de wettelijke bepalingen en toepasselijke straffen;
voldoende feiten om aan te tonen dat er sprake is van een noodsituatie en aan te geven wat het verband is met de gevraagde gegevens;
een gedetailleerde beschrijving van de gevraagde gegevens;
eventuele bijzondere procedurele instructies; en
alle andere informatie die van nut kan zijn om de verstrekking van de gevraagde gegevens te verkrijgen.
De aangezochte partij aanvaardt verzoeken in elektronische vorm. Een partij kan ook mondeling verzonden verzoeken aanvaarden en kan bevestiging in elektronische vorm verlangen. Zij kan een passend niveau van beveiliging en authenticatie vereisen alvorens een verzoek te aanvaarden.
Een partij kan bij de ondertekening van dit protocol of bij de nederlegging van haar akte van ratificatie, aanvaarding of goedkeuring verklaren dat zij verzoekende partijen, na de uitvoering van het verzoek, ertoe verplicht het verzoek en alle ter ondersteuning daarvan verstrekte aanvullende informatie in te dienen in een formaat en via een kanaal zoals bepaald door de aangezochte partij, mogelijk in het kader van wederzijdse bijstand.
De aangezochte partij stelt de verzoekende partij met spoed in kennis van haar beslissing betreffende het in lid 1 bedoelde verzoek en geeft, indien van toepassing, aan onder welke voorwaarden zij de gegevens zou verstrekken en welke andere vormen van samenwerking er eventueel beschikbaar zijn.
Indien de verzoekende partij niet kan voldoen aan een door de aangezochte partij uit hoofde van lid 6 opgelegde voorwaarde, stelt zij de aangezochte partij daarvan onverwijld in kennis. De aangezochte partij bepaalt vervolgens of de informatie of het materiaal toch moet worden verstrekt. b) Indien de verzoekende partij de voorwaarde aanvaardt, is zij daardoor gebonden.
Een aangezochte partij die informatie of materiaal verstrekt waarvoor een dergelijke voorwaarde geldt, kan van de verzoekende partij, met betrekking tot die voorwaarde, nadere uitleg verlangen omtrent het gebruik dat van deze informatie of van dit materiaal is gemaakt.
Iedere partij kan om snelle wederzijdse bijstand verzoeken wanneer zij van mening is dat er sprake is van een noodsituatie. Een verzoek uit hoofde van dit artikel vermeldt, naast de andere vereiste inhoud, een beschrijving van de feiten die aantonen dat er sprake is van een noodsituatie en wat het verband is met de gevraagde bijstand.
De aangezochte partij aanvaardt dergelijke verzoeken in elektronische vorm. De aangezochte partij mag een passend niveau van beveiliging en authenticatie vereisen alvorens het verzoek te aanvaarden.
De aangezochte partij kan met spoed aanvullende informatie opvragen om het verzoek te kunnen beoordelen. De verzoekende partij verstrekt deze aanvullende informatie met spoed.
Zodra de aangezochte partij zich ervan heeft vergewist dat er sprake is van een noodsituatie en aan de andere vereisten voor wederzijdse bijstand is voldaan, beantwoordt zij met spoed het verzoek.
Iedere partij zorgt ervoor dat er bij haar centrale autoriteit, of bij andere autoriteiten die verantwoordelijk zijn voor het beantwoorden van verzoeken om wederzijdse bijstand, vierentwintig uur per dag en zeven dagen per week iemand beschikbaar is voor het beantwoorden van verzoeken uit hoofde van dit artikel.
De centrale autoriteit of andere voor wederzijdse bijstand verantwoordelijke autoriteiten van de verzoekende en de aangezochte partij kunnen onderling bepalen dat de resultaten van de uitvoering van een verzoek uit hoofde van dit artikel, of een voorlopige versie daarvan, aan de verzoekende partij kunnen worden verstrekt via een ander kanaal dan het voor het verzoek gebruikte kanaal.
Wanneer er tussen de verzoekende en de aangezochte partij geen verdrag inzake wederzijdse bijstand noch een regeling op basis van uniforme of wederkerige wetgeving van kracht is, zijn artikel 27, lid 2, punt b), en de leden 3 tot en met 8, alsmede artikel 28, leden 2 tot en met 4, van het verdrag van toepassing op dit artikel.
Indien er wel een dergelijk verdrag of een dergelijke regeling bestaat, wordt dit artikel aangevuld met de bepalingen van dat verdrag of die regeling, tenzij de betrokken partijen onderling besluiten in plaats daarvan een of meer van de in lid 7 van dit artikel bedoelde bepalingen van het verdrag toe te passen.
Iedere partij kan bij de ondertekening van dit protocol of bij de nederlegging van haar akte van ratificatie, aanvaarding of goedkeuring verklaren dat verzoeken ook rechtstreeks kunnen worden gericht aan haar gerechtelijke autoriteiten, via de kanalen van de Internationale Criminele Politieorganisatie (Interpol) of haar 24/7-contactpunt dat is ingesteld krachtens artikel 35 van het verdrag. In een dergelijk geval wordt tegelijkertijd door tussenkomst van de centrale autoriteit van de verzoekende partij een afschrift gezonden aan de centrale autoriteit van de aangezochte partij. Wanneer een verzoek rechtstreeks naar een justitiële autoriteit van de aangezochte partij is gezonden en die autoriteit niet bevoegd is om het verzoek te behandelen, zendt deze het verzoek door naar de bevoegde nationale autoriteit en stelt zij de verzoekende partij daarvan rechtstreeks op de hoogte.
Een verzoekende partij kan erom vragen dat getuigenverklaringen en verklaringen van deskundigen door middel van een videoconferentie worden afgenomen, en de aangezochte partij kan dat toestaan. De verzoekende partij en de aangezochte partij plegen overleg om een oplossing voor eventuele problemen in verband met de uitvoering van het verzoek te faciliteren, bijvoorbeeld met betrekking tot: de vraag welke partij als voorzitter optreedt; de autoriteiten en personen die aanwezig zullen zijn; de vraag of een of beide partijen een bepaalde eed afleggen, waarschuwingen uitspreken of instructies geven aan een getuige of deskundige; de wijze waarop de getuige of deskundige wordt gehoord; de wijze waarop de rechten van de getuige of deskundige worden verzekerd; de behandeling van aanspraken op voorrechten of immuniteiten; de behandeling van bezwaren tegen vragen of antwoorden; en de vraag of een van de partijen dan wel beide partijen diensten op het gebied van vertaling, vertolking en transcriptie aanbieden.
De centrale autoriteiten van de aangezochte en de verzoekende partij communiceren voor de toepassing van dit artikel rechtstreeks met elkaar. De aangezochte partij kan dergelijke verzoeken in elektronische vorm aanvaarden. Zij mag een passend niveau van beveiliging en authenticatie vereisen alvorens het verzoek te aanvaarden.
De aangezochte partij deelt de verzoekende partij mee waarom zij het verzoek niet uitvoert of de uitvoering ervan uitstelt. Artikel 27, lid 8, van het verdrag is van toepassing op dit artikel. Onverminderd andere voorwaarden die een aangezochte partij overeenkomstig dit artikel kan stellen, zijn de leden 2 tot en met 4 van artikel 28 van het verdrag van toepassing op dit artikel.
Een aangezochte partij die uit hoofde van dit artikel bijstand verleent, spant zich in om te bewerkstelligen dat de persoon wiens getuigenis of verklaring wordt gevraagd, aanwezig is. In voorkomend geval kan de aangezochte partij, voor zover haar recht dit toelaat, de nodige maatregelen nemen om een getuige of deskundige te verplichten op een bepaald tijdstip en op een bepaalde plaats in de aangezochte partij te verschijnen.
De door de verzoekende partij gespecificeerde procedures voor het houden van de videoconferentie worden gevolgd, tenzij dat onverenigbaar is met het nationale recht van de aangezochte partij. In geval van onverenigbaarheid of voor zover de procedure niet door de verzoekende partij is gespecificeerd, past de aangezochte partij de procedure uit hoofde van haar nationale recht toe, tenzij de verzoekende en de aangezochte partij onderling anders bepalen.
Indien de getuige of deskundige tijdens de videoconferentie:
een opzettelijk onjuiste verklaring aflegt, terwijl die persoon overeenkomstig het nationale recht van de aangezochte partij ertoe verplicht is een waarheidsgetrouwe verklaring af te leggen,
weigert een verklaring af te leggen, terwijl die persoon overeenkomstig het nationale recht van de aangezochte partij ertoe verplicht een verklaring af te leggen, of
zich in de loop van de procedure schuldig maakt aan andere misdragingen die krachtens het nationale recht van de aangezochte partij verboden zijn,
is die persoon in de aangezochte partij strafbaar op dezelfde wijze als wanneer de genoemde gedraging in het kader van een binnenlandse procedure had plaatsgevonden, zulks onverminderd de rechtsbevoegdheid krachtens het nationale recht van de verzoekende partij.
Tenzij de verzoekende partij en de aangezochte partij onderling anders zijn overeengekomen, draagt de aangezochte partij alle kosten in verband met de uitvoering van een verzoek uit hoofde van dit artikel, met uitzondering van:
honoraria van getuigen-deskundigen;
kosten van vertaling, vertolking en transcriptie; en
buitengewone kosten.
Indien de uitvoering van een verzoek tot buitengewone kosten zou leiden, plegen de verzoekende partij en de aangezochte partij overleg om te bepalen onder welke voorwaarden het verzoek kan worden uitgevoerd.
Indien de verzoekende partij en de aangezochte partij zulks onderling overeenkomen:
kunnen de bepalingen van dit artikel worden toegepast voor de uitvoering van audioconferenties;
kan videoconferentietechnologie worden gebruikt voor andere dan de in lid 1 beschreven doeleinden of hoorzittingen, waaronder de identificatie van personen of voorwerpen.
Indien een aangezochte partij ervoor kiest het horen van een verdachte of beklaagde toe te staan, kan zij bijzondere voorwaarden en waarborgen vereisen met betrekking tot het afnemen van een getuigenis of verklaring van die persoon, het verstrekken van kennisgevingen aan die persoon of het toepassen van procedurele maatregelen ten aanzien van die persoon.
In onderlinge overeenstemming kunnen de bevoegde autoriteiten van twee of meer partijen, wanneer versterkte coördinatie van bijzonder nut wordt geacht, op hun grondgebied gemeenschappelijke onderzoeksteams instellen en beheren, teneinde strafrechtelijke onderzoeken en strafprocedures te faciliteren. De respectieve betrokken partijen bepalen welke de bevoegde autoriteiten zijn.
De procedures en de voorwaarden voor de werking van gemeenschappelijke onderzoeksteams, zoals de specifieke doelstellingen, de samenstelling, de functies, de duur van de onderzoeksactiviteiten en eventuele verlengingstermijnen, de locatie, de organisatie, de voorwaarden voor het vergaren, doorgeven en gebruiken van informatie en bewijsmateriaal, de vertrouwelijkheidsvoorwaarden en de voorwaarden voor de betrokkenheid van de deelnemende autoriteiten van een partij bij onderzoeksactiviteiten die op het grondgebied van een andere partij plaatsvinden, worden door de bevoegde autoriteiten overeengekomen.
Een partij kan bij de ondertekening van dit protocol of bij de nederlegging van haar akte van ratificatie, aanvaarding of goedkeuring verklaren dat haar centrale autoriteit de overeenkomst tot oprichting van het team moet ondertekenen of er anderszins mee moet instemmen.
De bevoegde en deelnemende autoriteiten communiceren rechtstreeks met elkaar, met dien verstande dat de partijen onderling afspraken kunnen maken over andere passende communicatiekanalen, wanneer uitzonderlijke omstandigheden meer centrale coördinatie vereisen.
Wanneer onderzoeksmaatregelen op het grondgebied van een van de betrokken partijen moeten worden uitgevoerd, kunnen de deelnemende autoriteiten van die partij hun eigen autoriteiten verzoeken deze maatregelen uit te voeren en is het niet noodzakelijk dat de andere partijen een verzoek om wederzijdse bijstand indienen. Deze maatregelen worden door de autoriteiten van die partij op haar grondgebied uitgevoerd onder de voorwaarden die krachtens het nationale recht van toepassing zijn op nationale onderzoeken.
Het gebruik van informatie die of bewijsmateriaal dat door de deelnemende autoriteiten van een partij aan de deelnemende autoriteiten van andere betrokken partijen is verstrekt, kan worden geweigerd of beperkt op de wijze die is uiteengezet in de in de leden 1 en 2 beschreven overeenkomst. Indien in die overeenkomst geen voorwaarden zijn vermeld voor het weigeren of beperken van het gebruik, kunnen de partijen gebruikmaken van de verstrekte informatie of het verstrekte bewijsmateriaal:
voor de doeleinden waarvoor de overeenkomst is gesloten;
voor het opsporen, onderzoeken en vervolgen van andere strafbare feiten dan die waarvoor de overeenkomst is gesloten, met voorafgaande toestemming van de autoriteiten die de informatie of het bewijsmateriaal hebben verstrekt. Toestemming is echter niet vereist wanneer fundamentele rechtsbeginselen van de partij die de informatie of het bewijsmateriaal gebruikt, vereisen dat zij de informatie of het bewijsmateriaal verstrekt ter bescherming van de rechten van een beklaagde in een strafprocedure. In dat geval stellen die autoriteiten de autoriteiten die de informatie of het bewijs hebben verstrekt, daarvan onverwijld in kennis; of
om een noodsituatie te voorkomen. In dat geval stellen de deelnemende autoriteiten die de informatie of het bewijs hebben ontvangen, de deelnemende autoriteiten die de informatie of het bewijs hebben verstrekt, daarvan onverwijld in kennis, tenzij onderling anders is overeengekomen.
Bij gebreke van een overeenkomst als beschreven in de leden 1 en 2, kunnen op onderling overeengekomen voorwaarden per geval gezamenlijke onderzoeken worden ingesteld. Dit lid is van toepassing ongeacht of er sprake is van een verdrag of regeling inzake wederzijdse bijstand op basis van uniforme of wederkerige wetgeving tussen de betrokken partijen.
Overeenkomstig artikel 15 van het verdrag ziet iedere partij erop toe dat de invoering, uitwerking en toepassing van de in dit protocol bedoelde bevoegdheden en procedures onderworpen zijn aan de voorwaarden en waarborgen vervat in haar nationale recht, dat een passende bescherming moet bieden aan de rechten en vrijheden van de mens.
Toepassingsgebied
Tenzij anders bepaald in de punten b) en c), verwerkt iedere partij de persoonsgegevens die zij uit hoofde van dit protocol ontvangt in overeenstemming met de leden 2 tot en met 15 van dit artikel.
Indien ten tijde van de ontvangst van persoonsgegevens uit hoofde van dit protocol zowel de doorgevende partij als de ontvangende partij wederzijds gebonden zijn door een internationale overeenkomst tot vaststelling van een algemeen kader tussen die partijen voor de bescherming van persoonsgegevens, die van toepassing is op de doorgifte van persoonsgegevens met het oog op het voorkomen, opsporen, onderzoeken en vervolgen van strafbare feiten en waarin is bepaald dat de verwerking van persoonsgegevens in het kader van die overeenkomst in overeenstemming is met de vereisten van de gegevensbeschermingswetgeving van de betrokken partijen, zijn de bepalingen van die overeenkomst, wat maatregelen betreft die onder het toepassingsgebied van die overeenkomst vallen, van toepassing op persoonsgegevens die in het kader van het protocol zijn ontvangen, in plaats van de leden 2 tot en met 15, tenzij de betrokken partijen anders zijn overeengekomen.
Indien de doorgevende partij en de ontvangende partij niet wederzijds gebonden zijn door een overeenkomst als bedoeld in punt b), kunnen zij overeenkomen dat de doorgifte van persoonsgegevens in het kader van dit protocol kan plaatsvinden op basis van andere overeenkomsten of regelingen tussen de betrokken partijen in plaats van de leden 2 tot en met 15.
Iedere partij gaat ervan uit dat de verwerking van persoonsgegevens overeenkomstig de punten a) en b) voldoet aan de vereisten van haar rechtskader inzake de bescherming van persoonsgegevens voor internationale doorgiften van persoonsgegevens, en dat uit hoofde van dat rechtskader geen verdere toestemming voor doorgifte vereist is. Een partij mag de doorgifte van gegevens aan een andere partij in het kader van dit protocol alleen weigeren of verhinderen om redenen van gegevensbescherming onder de voorwaarden van lid 15, wanneer punt a) van toepassing is, of onder de voorwaarden van een overeenkomst als bedoeld in punt b) of c), indien een van die punten van toepassing is.
Niets in dit artikel belet een partij om strengere waarborgen toe te passen op de verwerking door haar eigen autoriteiten van in het kader van dit protocol ontvangen persoonsgegevens.
Doel en gebruik
Een partij die persoonsgegevens heeft ontvangen, verwerkt deze voor de in artikel 2 omschreven doeleinden. Zij verwerkt de persoonsgegevens niet verder voor een daarmee onverenigbaar doel en verwerkt de gegevens niet verder wanneer haar nationale rechtskader zulks niet toestaat. Dit artikel doet geen afbreuk aan de mogelijkheid voor de doorgevende partij om in een specifiek geval uit hoofde van dit protocol aanvullende voorwaarden op te leggen, maar dergelijke voorwaarden mogen geen algemene voorwaarden inzake gegevensbescherming inhouden.
De ontvangende partij ziet er overeenkomstig haar nationale rechtskader op toe dat de gevraagde en vervolgens verwerkte persoonsgegevens relevant zijn voor het doel van de verwerking en in verhouding daartoe niet bovenmatig zijn.
Kwaliteit en integriteit
Iedere partij neemt redelijke maatregelen om ervoor te zorgen dat persoonsgegevens worden bewaard en bijgewerkt met de nauwkeurigheid en volledigheid die voor de rechtmatige verwerking van de persoonsgegevens vereist en passend is, rekening houdend met de doeleinden waarvoor zij worden verwerkt.
Gevoelige gegevens
Een partij mag persoonsgegevens waaruit raciale of etnische afkomst, politieke opvattingen, godsdienstige of andere overtuigingen of het lidmaatschap van een vakvereniging blijken, genetische gegevens, biometrische gegevens die gezien de ermee gepaard gaande risico’s als gevoelig worden beschouwd, en persoonsgegevens die gezondheid of seksueel gedrag betreffen, slechts verwerken met inachtneming van passende waarborgen ter voorkoming van het risico van ongerechtvaardigde nadelige gevolgen van het gebruik van dergelijke gegevens, en in het bijzonder ter voorkoming van onwettige discriminatie.
Bewaringstermijnen
Iedere partij bewaart persoonsgegevens niet langer dan nodig en passend is voor de doeleinden van de verwerking van de gegevens overeenkomstig lid 2. Om aan deze verplichting te voldoen, stelt zij in haar nationale rechtskader specifieke bewaringstermijnen vast of voorziet zij in periodieke toetsing van de noodzaak om gegevens langer te bewaren.
Geautomatiseerde besluiten
Besluiten die aanzienlijke nadelige gevolgen hebben voor de relevante belangen van de persoon op wie de persoonsgegevens betrekking hebben, mogen niet uitsluitend gebaseerd zijn op geautomatiseerde verwerking van persoonsgegevens, tenzij dat is toegestaan uit hoofde van het nationale recht en in passende waarborgen is voorzien, waaronder de mogelijkheid van menselijke tussenkomst.
Gegevensbeveiliging en beveiligingsincidenten
Iedere partij zorgt ervoor dat zij beschikt over passende technologische, fysieke en organisatorische maatregelen om persoonsgegevens te beschermen, met name tegen verlies of onopzettelijke of ongeoorloofde toegang, verspreiding, wijziging of vernietiging („beveiligingsincidenten”).
Wanneer een veiligheidsincident aan het licht komt dat gepaard gaat met een aanzienlijk risico van fysiek letsel of niet-fysieke schade aan personen of aan de andere partij, beoordeelt de ontvangende partij onverwijld de waarschijnlijkheid en de omvang ervan en neemt zij onverwijld passende maatregelen om dergelijk letsel of dergelijke schade te beperken. Deze maatregelen houden onder meer in dat kennisgeving wordt gedaan aan de doorgevende autoriteit, dan wel, voor de toepassing van hoofdstuk II, afdeling 2, aan de autoriteit(en) die zijn aangewezen krachtens lid 7, punt c). In de kennisgeving kunnen echter ook passende beperkingen op verdere verspreiding van de kennisgeving worden opgenomen: verspreiding kan worden uitgesteld of achterwege blijven wanneer de kennisgeving de nationale veiligheid in gevaar kan brengen, of worden uitgesteld wanneer de kennisgeving de maatregelen ter bescherming van de openbare veiligheid in gevaar kan brengen. De maatregelen omvatten ook kennisgeving aan de betrokken persoon, tenzij de partij passende maatregelen heeft genomen waardoor er niet langer een aanzienlijk risico bestaat. De kennisgeving aan de betrokken persoon kan worden uitgesteld of achterwege blijven onder de voorwaarden van lid 12, punt a), i). De in kennis gestelde partij kan verzoeken om overleg en aanvullende informatie over het incident en de respons erop.
Iedere partij stelt bij de ondertekening van het protocol of bij de nederlegging van haar akte van ratificatie, aanvaarding of goedkeuring de secretaris-generaal van de Raad van Europa in kennis van de autoriteit(en) waaraan uit hoofde van lid 7, punt b), kennisgeving moet worden gedaan voor de doeleinden van hoofdstuk II, afdeling 2; de verstrekte informatie kan later worden gewijzigd.
Bijhouden van bestanden
Iedere partij houdt bestanden bij of beschikt over andere passende middelen om aan te tonen hoe de persoonsgegevens van een persoon in een specifiek geval worden geraadpleegd, gebruikt en verstrekt.
Verdere uitwisseling binnen een partij
Wanneer een autoriteit van een partij persoonsgegevens die oorspronkelijk uit hoofde van dit protocol zijn ontvangen, aan een andere autoriteit van die partij verstrekt, verwerkt die andere autoriteit deze gegevens in overeenstemming met dit artikel, met inachtneming van lid 9, punt b).
Onverminderd lid 9, punt a), kan een partij die uit hoofde van artikel 17 een voorbehoud heeft gemaakt, door haar ontvangen persoonsgegevens verstrekken aan haar constituerende staten of vergelijkbare territoriale entiteiten, mits de partij maatregelen heeft getroffen om ervoor te zorgen dat de ontvangende autoriteiten de gegevens doeltreffend blijven beschermen door te voorzien in een niveau van bescherming van de gegevens dat vergelijkbaar is met dat waarin dit artikel voorziet.
Indien er aanwijzingen zijn van onjuiste toepassing van dit lid, kan de doorgevende partij verzoeken om overleg en relevante informatie over die aanwijzingen.
Verdere doorgifte naar een andere staat of internationale organisatie
De ontvangende partij mag de persoonsgegevens alleen doorgeven aan een andere staat of internationale organisatie indien daarvoor voorafgaande toestemming is verleend door de doorgevende autoriteit of, voor de toepassing van hoofdstuk II, afdeling 2, de overeenkomstig lid 10, punt b). aangewezen autoriteit(en).
Iedere partij stelt bij de ondertekening van het protocol of bij de nederlegging van haar akte van ratificatie, aanvaarding of goedkeuring de secretaris-generaal van de Raad van Europa in kennis van de autoriteiten die toestemming kunnen verlenen voor de toepassing van hoofdstuk II, afdeling 2; de verstrekte informatie kan later worden gewijzigd.
Transparantie en kennisgeving
Iedere partij stelt, door publicatie van algemene kennisgevingen of door een persoonlijke kennisgeving, de persoon wiens persoonsgegevens zijn verzameld, daarvan in kennis, met betrekking tot:
de rechtsgrondslag en het doel van de verwerking;
alle bewaringstermijnen of toetsingstermijnen overeenkomstig lid 5, naargelang het geval;
ontvangers of categorieën ontvangers aan wie dergelijke gegevens worden verstrekt; en
toegang, rectificatie en de beschikbare rechtsmiddelen.
Een partij kan elke verplichting tot persoonlijke kennisgeving onderwerpen aan redelijke beperkingen uit hoofde van haar interne rechtskader overeenkomstig de voorwaarden van lid 12, punt a), i).
Wanneer het nationale rechtskader van de doorgevende partij vereist dat de persoon wiens gegevens aan een andere partij zijn verstrekt, daarvan persoonlijk in kennis wordt gesteld, neemt de doorgevende partij maatregelen om de andere partij op het tijdstip van de doorgifte in kennis te stellen van deze eis en passende contactgegevens te verstrekken. De persoonlijke kennisgeving wordt niet gedaan indien de andere partij heeft verzocht de verstrekking van de gegevens vertrouwelijk te behandelen, ingeval de voorwaarden voor beperkingen van lid 12, punt a), i), van toepassing zijn. Zodra deze beperkingen niet langer van toepassing zijn en de persoonlijke kennisgeving kan worden verstrekt, neemt de andere partij maatregelen om de doorgevende partij daarvan in kennis te stellen. Indien zij nog niet in kennis is gesteld, heeft de doorgevende partij het recht een verzoek in te dienen bij de ontvangende partij, die de doorgevende partij zal meedelen of de beperking al dan niet moet worden gehandhaafd.
Toegang en rectificatie
Iedere partij ziet erop toe dat eenieder wiens persoonsgegevens in het kader van dit protocol zijn ontvangen, het recht heeft om, in overeenstemming met de in haar interne rechtskader vastgestelde procedures, onverwijld:
een schriftelijke of elektronische kopie te vragen en te verkrijgen van de documentatie die over die persoon wordt bewaard, met daarin de persoonsgegevens van de betrokkene, en de beschikbare informatie over de rechtsgrondslag en het doel van de verwerking, de bewaringstermijnen en de ontvangers of categorieën ontvangers van de gegevens (degenen die er „toegang” toe hebben), alsmede informatie over de beschikbare rechtsmiddelen; met dien verstande dat op de toegang in een bepaald geval op grond van het nationale rechtskader toegestane evenredige beperkingen van toepassing kunnen zijn die op het tijdstip van de uitspraak noodzakelijk zijn om de rechten en vrijheden van anderen of belangrijke doelstellingen van algemeen openbaar belang te beschermen en waarbij naar behoren rekening wordt gehouden met de legitieme belangen van de betrokkene;
rectificatie wanneer de persoonsgegevens van de betrokkene onjuist zijn of onjuist zijn verwerkt; rectificatie omvat – indien dat passend en redelijk is, gezien de redenen voor rectificatie en de bijzondere context van de verwerking – correctie, aanvulling, wissing of anonimisering, beperking van de verwerking of afscherming.
Indien de toegang of rectificatie wordt geweigerd of beperkt, verstrekt de partij de betrokkene onverwijld in schriftelijke vorm, hetgeen tevens elektronisch kan geschieden, een antwoord waarmee de betrokkene in kennis wordt gesteld van de weigering of beperking. Dit antwoord vermeldt de gronden voor de weigering of beperking en verstrekt informatie over de beschikbare rechtsmiddelen. Alle kosten voor het verkrijgen van toegang moeten beperkt blijven tot wat redelijk is en mogen niet buitensporig zijn.
Gerechtelijke en buitengerechtelijke rechtsmiddelen
Iedere partij beschikt over doeltreffende gerechtelijke en buitengerechtelijke rechtsmiddelen om verhaal te zoeken tegen schendingen van dit artikel.
Toezicht
Iedere partij beschikt over een of meer overheidsinstanties die, alleen of cumulatief, onafhankelijke en effectieve toezichtstaken en -bevoegdheden uitoefenen met betrekking tot de in dit artikel genoemde maatregelen. De taken en bevoegdheden van deze instanties die alleen of cumulatief handelen, omvatten onderzoeksbevoegdheden, de bevoegdheid om naar aanleiding van klachten op te treden en het vermogen corrigerende maatregelen te nemen.
Raadpleging en opschorting
Een partij kan de doorgifte van persoonsgegevens aan een andere partij opschorten indien zij over substantieel bewijs beschikt waaruit blijkt dat de andere partij stelselmatig of wezenlijk inbreuk maakt op de voorwaarden van dit artikel of dat een wezenlijke inbreuk dreigt. Zij schort doorgiften niet op zonder een redelijke termijn in acht te nemen en niet eerder dan nadat de betrokken partijen gedurende een redelijke termijn overleg hebben kunnen plegen zonder dat zij tot een oplossing zijn gekomen. Een partij kan doorgiften echter voorlopig opschorten in geval van een stelselmatige of wezenlijke inbreuk die een aanzienlijk en imminent risico vormt voor het leven of de veiligheid van of voor aanzienlijke reputatieschade of financiële schade aan een natuurlijke persoon, in welk geval zij de andere partij onmiddellijk daarna in kennis stelt en overleg opent. Indien het overleg niet tot een oplossing heeft geleid, kan de andere partij de doorgiften wederkerig opschorten indien zij over substantieel bewijs beschikt dat de opschorting door de partij die tot opschorting is overgegaan, in strijd was met de bepalingen van dit lid. De partij die tot opschorting is overgegaan, heft de opschorting op zodra de inbreuk die de opschorting rechtvaardigde, is beëindigd; Iedere wederkerige opschorting wordt op dat moment opgeheven. Persoonsgegevens die vóór de opschorting zijn doorgegeven, worden ook na de opschorting overeenkomstig het protocol behandeld.
Artikel 39, lid 2, van het verdrag is van toepassing op dit protocol.
Partijen die lidstaten zijn van de Europese Unie, kunnen in hun wederzijdse betrekkingen het recht van de Europese Unie inzake de in dit protocol behandelde aangelegenheden toepassen.
Punt b) laat de volledige toepassing van dit protocol tussen partijen die lidstaten zijn van de Europese Unie en andere partijen onverlet.
Dit protocol staat open voor ondertekening door partijen bij het verdrag, die kunnen verklaren dat zij ermee instemmen erdoor gebonden te zijn, door:
te ondertekenen zonder voorbehoud van ratificatie, aanvaarding of goedkeuring; of
te ondertekenen met voorbehoud van ratificatie, aanvaarding of goedkeuring, gevolgd door ratificatie, aanvaarding of goedkeuring;
De akten van ratificatie, aanvaarding of goedkeuring worden neergelegd bij de secretaris-generaal van de Raad van Europa.
Dit protocol treedt in werking op de eerste dag van de maand die volgt op het verstrijken van een tijdvak van drie maanden na de datum waarop vijf partijen bij het verdrag, overeenkomstig de bepalingen van de leden 1 en 2 van dit artikel, hun instemming door het protocol te worden gebonden tot uitdrukking hebben gebracht.
Ten aanzien van iedere ondertekenende partij bij het verdrag die later zijn instemming door dit protocol te worden gebonden tot uitdrukking brengt, treedt het protocol in werking op de eerste dag van de maand die volgt op het verstrijken van een tijdvak van drie maanden na de datum waarop de partij haar instemming door het protocol te worden gebonden tot uitdrukking heeft gebracht overeenkomstig de leden 1 en 2 van dit artikel.
Een federale staat kan zich het recht voorbehouden de verplichtingen ingevolge dit protocol aan te gaan voor zover deze in overeenstemming zijn met zijn fundamentele beginselen die ten grondslag liggen aan de betrekkingen tussen zijn centrale regering en de constituerende staten of andere vergelijkbare territoriale entiteiten, mits:
het protocol van toepassing is op de centrale regering van de federale staat;
een dergelijk voorbehoud geen afbreuk doet aan de verplichtingen om de door andere partijen gevraagde samenwerking aan te gaan overeenkomstig de bepalingen van hoofdstuk II; en
de bepalingen van artikel 13 van toepassing zijn op de constituerende staten of andere vergelijkbare territoriale entiteiten van de federale staat.
Een andere partij kan autoriteiten, serviceproviders of entiteiten op haar grondgebied beletten medewerking te verlenen naar aanleiding van een rechtstreeks verzoek of bevel van een constituerende staat of andere vergelijkbare territoriale entiteit van een federale staat die een voorbehoud heeft gemaakt als bedoeld in lid 1, tenzij die federale staat de secretaris- generaal van de Raad van Europa ervan in kennis stelt dat een constituerende staat of andere vergelijkbare territoriale entiteit de verplichtingen van dit protocol die op die federale staat van toepassing zijn, toepast. De secretaris-generaal van de Raad van Europa stelt een register op van dergelijke kennisgevingen en houdt dit bij.
Een andere partij belet autoriteiten, serviceproviders of entiteiten op haar grondgebied niet om op grond van een voorbehoud uit hoofde van lid 1 medewerking te verlenen aan een constituerende staat of andere vergelijkbare territoriale entiteit, indien via de centrale overheid een bevel of verzoek is ingediend of een overeenkomst inzake een gemeenschappelijk onderzoeksteam overeenkomstig artikel 12 is gesloten met medewerking van de centrale regering. In dergelijke situaties voorziet de centrale regering in de vervulling van de toepasselijke verplichtingen van het protocol, op voorwaarde dat met betrekking tot de bescherming van persoonsgegevens die aan de constituerende staten of vergelijkbare territoriale entiteiten worden verstrekt, slechts de voorwaarden van artikel 14, lid 9, of in voorkomend geval de voorwaarden van een overeenkomst of regeling als omschreven in artikel 14, lid l, punt b) of c), van toepassing zijn.
Ten aanzien van de bepalingen van dit protocol waarvan de toepassing onder de rechtsbevoegdheid valt van elk van de constituerende staten of andere vergelijkbare territoriale entiteiten die, ingevolge het constitutionele stelsel van de federatie, niet verplicht zijn wetgevende maatregelen te nemen, brengt de centrale regering de bevoegde autoriteiten van deze staten op de hoogte van de genoemde bepalingen, vergezeld van een gunstig advies, hen aanmoedigende om passende maatregelen te nemen ter effectuering hiervan.
Dit protocol is van toepassing op het grondgebied of de grondgebieden vermeld in een verklaring van een partij uit hoofde van artikel 38, lid 1 of lid 2, van het verdrag, voor zover die verklaring niet is ingetrokken uit hoofde van artikel 38, lid 3.
Een partij kan bij de ondertekening van dit protocol of bij de nederlegging van haar akte van ratificatie, aanvaarding of goedkeuring verklaren dat dit protocol niet van toepassing is op een of meer in de verklaring van de partij uit hoofde van artikel 38, lid 1 en/of lid 2, van het verdrag vermelde grondgebieden.
Iedere uit hoofde van lid 2 van dit artikel afgelegde verklaring kan met betrekking tot elk in die verklaring aangegeven grondgebied worden ingetrokken door een aan de secretaris- generaal van de Raad van Europa gerichte kennisgeving. De intrekking wordt van kracht op de eerste dag van de maand die volgt op het verstrijken van een tijdvak van drie maanden na de datum van ontvangst van die kennisgeving door de secretaris-generaal.
Door middel van een schriftelijke kennisgeving aan de secretaris-generaal van de Raad van Europa kan iedere partij bij het verdrag, bij de ondertekening van dit protocol of bij de nederlegging van haar akte van ratificatie, aanvaarding of goedkeuring, verklaren dat zij een of meer van de voorbehouden als bedoeld in artikel 7, lid 9, punten a) en b), artikel 8, lid 13, en artikel 17 van dit protocol maakt. Andere voorbehouden zijn niet toegestaan.
Door middel van een schriftelijke kennisgeving aan de secretaris-generaal van de Raad van Europa kan iedere partij bij het verdrag, bij de ondertekening van dit protocol of bij de nederlegging van haar akte van ratificatie, aanvaarding of goedkeuring, een of meer van de verklaringen afleggen als bedoeld in artikel 7, lid 2, punt b), en lid 8, artikel 8, lid 11, artikel 9, lid 1, punt b), en lid 5, artikel 10, lid 9, artikel 12, lid 3, en artikel 18, lid 2, van dit protocol.
Door elke partij bij het verdrag worden de verklaringen, kennisgevingen of mededelingen als bedoeld in artikel 7, lid 5, punten a) en e), artikel 8, lid 4, en lid 10, punten a) en b), artikel 14, lid 7, punt c), en lid 10, punt b), en artikel 17, lid 2, van dit protocol, overeenkomstig de daarin bepaalde voorwaarden, afgelegd door middel van een schriftelijke kennisgeving aan de secretaris-generaal van de Raad van Europa.
Een partij die overeenkomstig artikel 19. lid 1, een voorbehoud heeft gemaakt, trekt dit voorbehoud geheel of ten dele in zodra de omstandigheden dit toelaten. Deze intrekking wordt van kracht op de datum van ontvangst van een aan de secretaris-generaal van de Raad van Europa gerichte kennisgeving. Indien in de kennisgeving wordt vermeld dat de intrekking van een voorbehoud van kracht moet worden op een daarin nader aangeduide datum, en deze datum later valt dan de datum waarop de kennisgeving door de secretaris-generaal wordt ontvangen, wordt de intrekking op deze latere datum van kracht.
De secretaris-generaal van de Raad van Europa kan met regelmatige tussenpozen bij de partijen die een of meer voorbehouden overeenkomstig artikel 19, lid 1, hebben gemaakt, informeren naar het mogelijke vooruitzicht op intrekking daarvan.
Wijzigingen van dit protocol kunnen worden voorgesteld door iedere partij bij dit protocol en worden door de secretaris-generaal van de Raad van Europa meegedeeld aan de lidstaten van de Raad van Europa, aan de partijen bij en ondertekenaars van het verdrag, alsmede aan iedere staat die uitgenodigd is toe te treden tot het verdrag.
Iedere door een partij voorgestelde wijziging wordt meegedeeld aan het Europees comité voor strafrechtelijke vraagstukken (CDPC), dat zijn advies over de voorgestelde wijziging voorlegt aan het Comité van Ministers.
Het Comité van Ministers onderzoekt de voorgestelde wijziging en het door het CDPC voorgelegde advies en kan, na raadpleging van de partij bij het verdrag, de wijziging aannemen.
Artikel 45 van het verdrag is van toepassing op dit protocol.
De partijen beoordelen periodiek het feitelijke gebruik en de feitelijke uitvoering van de bepalingen van dit protocol. Artikel 2 van het reglement van orde van het comité Cybercrimeverdrag, zoals herzien op 16 oktober 2020, is van overeenkomstige toepassing. De partijen evalueren aanvankelijk de procedures van dat artikel zoals die van toepassing zijn op dit protocol en kunnen deze bij consensus wijzigen vijf jaar nadat dit protocol in werking is getreden.
De evaluatie van artikel 14 vangt aan zodra tien partijen bij het verdrag hebben verklaard ermee in te stemmen door dit protocol gebonden te zijn.
Iedere partij kan dit protocol te allen tijde opzeggen door middel van een kennisgeving aan de secretaris-generaal van de Raad van Europa.
De secretaris-generaal van de Raad van Europa stelt de lidstaten van de Raad van Europa, de partijen bij en ondertekenaars van het verdrag en iedere staat die is uitgenodigd om tot het verdrag toe te treden, in kennis van:
iedere ondertekening;
iedere nederlegging van een akte van ratificatie, aanvaarding of goedkeuring;
iedere datum van inwerkingtreding van dit protocol in overeenstemming met artikelen 16, leden 3 en 4;
iedere verklaring die is afgelegd en ieder voorbehoud dat is gemaakt overeenkomstig artikel 19 en iedere intrekking van een voorbehoud overeenkomstig artikel 20;
iedere andere handeling, kennisgeving of mededeling met betrekking tot dit protocol.
TEN BLIJKE WAARVAN de ondergetekenden, hiertoe naar behoren gemachtigd, dit protocol hebben ondertekend.
GEDAAN te Straatsburg op 12 mei 2022 in de Engelse en de Franse taal, zijnde beide teksten gelijkelijk authentiek, in één exemplaar dat zal worden neergelegd in het archief van de Raad van Europa. De secretaris-generaal van de Raad van Europa doet een gewaarmerkt afschrift toekomen aan iedere lidstaat van de Raad van Europa, aan iedere partij bij en iedere ondertekenaar van het verdrag en aan iedere staat die is uitgenodigd om tot het verdrag toe te treden.